นโยบาย

คุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท กรุงไทยกฎหมาย จำกัด ("บริษัท") ปรับปรุงครั้งสุดท้ายเมื่อวันที่ 1 ตุลาคม 2563


             เนื่องด้วยบริษัทตระหนังถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล ("นโยบาย") ฉบับนี้ขึ้น เพื่อกำหนดหลักปฏิบัติที่สำคัญในการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งจะทำให้การบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทเป็นไปในทิศทางเดียวกัน และยังช่วยให้การเก็บรวบรวม ใช้ เปิดเผย ("ประมวลผล") และส่งต่อข้อมูลส่วนบุคคล เป็นไปโดยถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบเอกสาร ภาพถ่าย ไฟล์ดิจิตอล สื่ออิเล็กทรอนิกส์ การบันทึกเสียง หรือในรูปแบบอื่นใด

             นโยบายฉบับนี้มีผลบังคับใช้แก่บุคคลธรรมดาที่เป็นลูกค้า คู่สัญญา และผู้ใช้บริการของบริษัททั้งในอดีต ปัจจุบัน และในอนาคตที่บริษัททำการเก็บรวบรวมข้อมูลส่วนบุคคลไม่ว่าด้วยวิธีการใด รวมถึง บุคลากรทุกคนของบริษัทตลอดจนผู้ปฏิบัติงานในบริษัท เช่น กรรมการผู้จัดการ คณะกรรมการบริษัท ผู้ถือหุ้น ที่ปรึกษา บุคลากรประจำ บุคลากรสัญญาจ้างรายปี บุคลากรสัญญาจ้างรายวัน บุคลากรทดลองงานของบริษัท และนักศึกษาฝึกงาน เป็นต้น ("บุคลากร") บริษัทจึงขอแนะนำให้ลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรทุกคน โปรดอ่านและทำความเข้าใจนโยบายฉบับนี้ เพื่อรับทราบวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลที่ได้มอบให้แก่บริษัท ตลอดจนการคุ้มครอง การเข้าถึง และสิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้ นโยบายฉบับนี้สอดคล้องและเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎเกณฑ์ที่ออกภายใต้กฎหมายดังกล่าว ("พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ")



      ความหมายของข้อมูลส่วนบุคคล

             ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ) เช่น ชื่อ วันเดือนปีเกิด ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ ข้อมูลบัญชีเงินฝาก

             ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน



      ข้อมูลส่วนบุคคลที่บริษัททำการเก็บรวบรวม และแหล่งที่มาของข้อมูล

             ข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการ

             บริษัทจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการ เพื่อดำเนินการตามสัญญาจ้างบริการทางกฎหมายต่าง ๆ ซึ่งจะมีกระบวนการเก็บรวบรวมข้อมูลส่วนบุคคลที่แตกต่างกันออกไป ทั้งนี้ ขึ้นอยู่กับบริบทของการมีปฏิสัมพันธ์ระหว่างบริษัทกับลูกค้า คู่สัญญา และผู้ใช้บริการและประเภทของบริการที่ลูกค้า คู่สัญญา และผู้ใช้บริการต้องการจากบริษัท ทั้งนี้ บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากลูกค้า คู่สัญญา และผู้ใช้บริการโดยตรงหรือผ่านทางบุคคลภายนอก โดยข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากลูกค้า คู่สัญญา และผู้ใช้บริการจะรวมถึงข้อมูลดังต่อไปนี้

             (ก) ข้อมูลส่วนบุคคลที่ลูกค้า คู่สัญญา และผู้ใช้บริการ ได้มอบให้แก่บริษัท ได้แก่ข้อมูลต่อไปนี้

                    1. ข้อมูลที่ได้รับจากเอกสารและการแสดงตัวตนของลูกค้า คู่สัญญา และผู้ใช้บริการ

                    2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวตามที่ปรากฏในเอกสารแสดงตัวตน (เช่น ศาสนา) เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนเท่านั้น

                    3. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลส่วนบุคคลอื่น ๆ ได้ เช่น อายุ วัน-เดือน-ปีเกิด

                    4. ข้อมูลด้านการเงินและรายละเอียดและประวัติการเข้าทำสัญญาและการทำธุรกรรมการซื้อขายต่างๆ

                    5. ข้อมูลเกี่ยวกับการทำธุรกรรมต่าง ๆ ของลูกค้า คู่สัญญา และผู้ใช้บริการ

                    6. ข้อมูลอื่น ๆ ที่ลูกค้า คู่สัญญา และผู้ใช้บริการมอบให้กับบริษัทระหว่างการติดต่อกับบริษัท หรือตามที่บริษัทร้องขอให้ลูกค้า คู่สัญญา และผู้ใช้บริการจัดส่ง เพื่อนำไปใช้ประกอบการดำเนินคดี หรือประกอบการให้คำปรึกษาด้านกฎหมาย

                    7. ข้อมูลเกี่ยวกับคดีความต่าง ๆ ในขั้นตอนหรือกระบวนการตามลำดับ รวมทั้งข้อมูลที่ลูกค้า คู่สัญญา และผู้ใช้บริการ ต้องเปิดเผยตามกฎหมายที่บริษัทต้องอยู่ภายใต้บังคับ

                    8. ข้อมูลอื่นใดที่สามารถระบุตัวตนของลูกค้า คู่สัญญา และผู้ใช้บริการได้


             (ข) ข้อมูลส่วนบุคคลที่บริษัทเก็บหรือสร้างขึ้นเกี่ยวกับลูกค้า คู่สัญญา และผู้ใช้บริการ หรือที่บริษัทได้รับจากบุคคลอื่น ได้แก่ข้อมูลต่อไปนี้

                    1. ไฟล์ข้อมูลที่บริษัทอาจสร้างเป็นข้อมูลของความสัมพันธ์ที่บริษัทมีกับลูกค้า คู่สัญญา และผู้ใช้บริการ ในฐานะทนายความ ที่ปรึกษาด้านกฎหมาย หรือคู่สัญญาจ้างบริการทางกฎหมาย รวมถึง ประวัติการติดต่อ ประวัติและข้อมูลการสื่อสารในทุกช่องทาง

                    2. ข้อมูลส่วนบุคคลใด ๆ ที่ลูกค้า คู่สัญญา และผู้ใช้บริการได้ติดต่อสื่อสารหรือที่บริษัทได้บันทึกระหว่างการติดต่อสื่อสารทางโทรศัพท์ การสื่อสารทางอีเมล หรือสื่อสังคมออนไลน์ต่าง ๆ รวมถึงการติดต่อทางโทรสาร และ ไปรษณีย์

                    3. ข้อมูลที่บริษัทได้รับมาจากหน่วยงานต่าง ๆ เช่น กรมพัฒนาธุรกิจการค้า, สำนักงานเขต, กรมที่ดิน และกระทรวงยุติธรรม เป็นต้น

             ข้อมูลส่วนบุคคลของบุคลากร

             บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของบุคลากรเพื่อใช้สำหรับการแต่งตั้ง ว่าจ้าง หรือการเข้าดำรงตำแหน่งของบุคลากร รวมตลอดถึงเพื่อการจัดทำธุรกรรมต่าง ๆ ที่เกี่ยวข้องกับการปฏิบัติหน้าที่ของบุคลากร อีกทั้งเพื่อใช้เป็นช่องทางในการติดต่อสื่อสารกับบุคลากรเกี่ยวกับการปฏิบัติงานต่าง ๆ โดยบริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคลากรโดยตรงหรือผ่านทางบุคคลภายนอก โดยข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากบุคลากรจะเป็น ดังนี้

             (ก) ข้อมูลส่วนบุคคลที่บุคลากรได้มอบให้แก่บริษัทได้แก่ข้อมูล ดังต่อไปนี้

                    1. ข้อมูลที่ได้รับจากเอกสารแสดงตัวตนของบุคลากร ประวัติส่วนตัว ประวัติการศึกษา และประวัติการทำงานของบุคลากร

                    2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ศาสนา ข้อมูลชีวภาพ

                    3. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลส่วนบุคคลอื่น ๆ ได้ เช่น อายุ วัน-เดือน-ปีเกิด และข้อมูลที่สามารถระบุตัวตนของบุคลากรได้

                    4. ข้อมูลด้านการเงินของบุคลากร สถานะทางภาษี และรายละเอียดของบัญชีธนาคาร


             (ข) ข้อมูลส่วนบุคคลที่บริษัทเก็บหรือสร้างขึ้นเกี่ยวกับตัวบุคลากร หรือที่บริษัทได้รับจากบุคคลอื่น ได้แก่ข้อมูล ดังต่อไปนี้

                    1. ไฟล์ข้อมูลที่บริษัทอาจสร้างเป็นข้อมูลของความสัมพันธ์ที่บริษัทมีอยู่กับบุคลากร รวมถึง ประวัติการติดต่อ และการสื่อสารในทุกช่องทาง

                    2. ข้อมูลส่วนบุคคลใด ๆ ที่บุคลากรได้ติดต่อสื่อสารหรือที่บริษัทได้บันทึกระหว่างการติดต่อสื่อสารทางโทรศัพท์ การสื่อสารทางอีเมล หรือสื่อสังคมออนไลน์ต่าง ๆ กับบุคลากร ไม่ว่าจะได้กระทำบนเว็บไซด์หรือช่องทางอื่นใด ภาพที่เก็บรวบรวมผ่านทางกล้องวงจรปิด (CCTV) หรือบันทึกการเข้าออกสำนักงานผ่านการแสกนลายนิ้วมือ


                  อนึ่ง สำหรับข้อมูลส่วนบุคคลของผู้ที่สนใจสมัครเข้าร่วมงานกับบริษัท ซึ่งได้แก่ ข้อมูลที่แสดงตัวตนของบุคคลดังกล่าว ประวัติส่วนตัว ประวัติการศึกษา และประวัติการทำงานของบุคลากร บริษัทจะเก็บรวบรวมไว้สำหรับการพิจารณาคัดเลือกเข้าร่วมงานกับบริษัท โดยหากบุคคลดังกล่าวยังไม่ได้รับการคัดเลือก บริษัทจะเก็บรวบรวมข้อมูลไว้เป็นเวลา 2 ปี และเมื่อพ้นระยะเวลาดังกล่าว บริษัทจะทำลายข้อมูลส่วนบุคคลนั้นภายใน 30 วัน


             ข้อมูลส่วนบุคคลของบุคคลที่สาม

             หากลูกค้า คู่สัญญา ผู้ใช้บริการ และ บุคลากรได้ให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่บริษัท เช่น ชื่อ นามสกุล รายละเอียดที่อยู่ และหมายเลขโทรศัพท์สำหรับการติดต่อฉุกเฉิน หรือการอ้างอิง บริษัทจะแจ้งให้ลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรขอความยินยอมในการให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่บริษัท และแจ้งนโยบายความเป็นส่วนตัวตามนโยบายฉบับนี้แก่บุคคลที่สามด้วย

             ทั้งนี้ หากบริษัทได้รับข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรจากบุคคลอื่น หรือแหล่งอื่น บริษัทจะทำการแจ้งให้ลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรทราบโดยไม่ชักช้า เว้นแต่เป็นกรณีที่บริษัทได้รับข้อมูลส่วนบุคคลนั้นตามที่ได้รับยกเว้นตามกฎหมายโดยไม่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ



      วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

        บริษัททำการประมวลผลข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ ดังนี้

             ประมวลผลข้อมูลตามฐานสัญญา (Contract)

             เมื่อลูกค้า คู่สัญญา และผู้ใช้บริการ ติดต่อเกี่ยวกับข้อเสนอการให้บริการหรือเข้าทำสัญญากับบริษัท จำเป็นที่ลูกค้า คู่สัญญา และผู้ใช้บริการ ต้องให้ข้อมูลส่วนบุคคลแก่บริษัท เพื่อบริษัทจะได้นำข้อมูลดังกล่าวไปประมวลผลเกี่ยวกับการให้บริการหรือการเข้าทำสัญญา หรือเพื่อติดต่อสื่อสารกับลูกค้า คู่สัญญา และผู้ใช้บริการ หรือเพื่อติดตามและแจ้งผลเกี่ยวกับการปฏิบัติตามสัญญา

             เมื่อบุคลากรทำการสมัครเข้าทำงานกับบริษัทหรือทำธุรกรรมที่เกี่ยวข้องกับบริษัทผ่านทางช่องทางต่าง ๆ บุคลากรจำเป็นต้องให้ข้อมูลส่วนบุคคลแก่บริษัท เพื่อที่บริษัทจะได้นำข้อมูลดังกล่าวไปประมวลผลเกี่ยวกับการพิจารณาคัดเลือกและอนุมัติการจ้างงาน รวมถึงการนำไปใช้เพื่อคำนวณและให้สิทธิอันเกิดจากการทำงาน กำหนดและเบิกจ่ายเงินเดือน ติดต่อสื่อสารกับบุคลากร ติดตามและแจ้งผลประโยชน์ที่บุคลากรได้รับ แจ้งการเปลี่ยนแปลงเกี่ยวกับผลประโยชน์หรือสิทธิอันเกี่ยวข้องกับการทำงานและปฏิบัติหน้าที่ ตอบข้อซักถาม และแจ้งการเปลี่ยนแปลงต่าง ๆ


             ประมวลผลข้อมูลตามฐานความยินยอม (Consent)

             บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการไปใช้ในการประมวลผลเพื่อการเข้าทำสัญญากับบุคคลดังกล่าว บริษัทอาจมีความจำเป็นในการประมวลผลข้อมูลอ่อนไหวตามที่ปรากฏในเอกสารแสดงตัวตน (เช่น ศาสนา) เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนของบุคคลดังกล่าว

             บริษัทอาจนำข้อมูลอ่อนไหวของบุคลากรไปใช้ในการประมวลผลเพื่อประกอบการช่วยเหลือบุคลากรในกรณีที่บุคลากรเจ็บป่วยหรือต้องการความช่วยเหลืออย่างเร็งด่วน รวมถึงการอำนวยความสะดวกแก่บุคลากรเกี่ยวกับประกันชีวิตและการเบิกจ่ายค่ารักษาพยาบาล

             ทั้งนี้ บริษัทจะไม่ทำการประมวลผลข้อมูลส่วนบุคคลดังกล่าวโดยไม่ได้รับความยินยอมจากลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรก่อน

             อนึ่ง หากลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรประสงค์จะถอนความยินยอมในการประมวลผลข้องมูลส่วนบุคคลในกรณีข้างต้นนี้ ลูกค้า คู่สัญญา ผู้ใช้บริการ และบุคลากรสามารถติดต่อบริษัทเพื่อขอถอนความยินยอมได้ โดยการแจ้งมายัง "ช่องทางการติดต่อ" ตามหัวข้อด้านล่างนี้



             ประมวลผลข้อมูลตามฐานประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legitimate Interest)

             บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการไปประมวลผล เพื่อการบริหารการดำเนินธุรกิจ และการจัดการความสัมพันธ์ตามข้อตกลง ซึ่งรวมถึง แต่ไม่จำกัดเพียง การดำเนินการและการออก ใบแจ้งหนี้ การปฏิบัติตามข้อกำหนดว่าด้วยการเก็บรักษาบันทึกภายใน การจัดการภายใน การสอบบัญชี การรายงาน การส่งหรือยื่นข้อมูล การประมวลผลข้อมูล หรือกิจกรรมอื่นที่เกี่ยวข้อง หรือคล้ายกัน

             บริษัทอาจนำข้อมูลส่วนบุคคลของบุคลากรไปประมวลผลเพื่อการจัดการและการจัดทำรายงานภายในของบริษัท การดูแลรักษาระบบเพื่อการรักษามาตรฐานการปฏิบัติงานและให้บริการ รวมถึงการดำเนินการด้านภาษีและการจัดการความเสี่ยงของบริษัท การสอบบัญชี การส่งหรือยื่นข้อมูล การประมวลผลข้อมูล หรือกิจกรรมอื่นที่เกี่ยวข้องหรือคล้ายกัน

             ประมวลผลข้อมูลตามฐานการปฏิบัติตามกฎหมาย (Legal Obligation)

             บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้า คู่สัญญา และผู้ใช้บริการ ไปประมวลผลเพื่อการปฏิบัติตามกฎหมายที่ใช้บังคับ เช่น พระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยการตรวจเงินแผ่นดิน พ.ศ.2561, พระราชบัญญัติว่าด้วยวินัยการเงินการคลังของรัฐ พ.ศ. 2561 ทั้งนี้ รวมถึงการปฏิบัติตามคำสั่งของผู้มีอำนาจตามกฎหมาย ตามภาระผูกพันที่กฎหมายกำหนด สิทธิและหน้าที่ภายใต้กฎหมายที่บริษัทใช้บังคับและ/หรือกระบวนการภายใน การตรวจจับการทุจริต การตรวจสอบทางกฎหมายหรือกฎข้อบังคับอื่น ๆ

             บริษัทอาจนำข้อมูลส่วนบุคคลของบุคลากรไปประมวลผลเพื่อการปฏิบัติตามกฎหมายที่เกี่ยวกับการจ้างงานและการประกอบธุรกิจของบริษัท เช่น พ.ร.บ. คุ้มครองแรงงาน พ.ศ. 2562 พ.ร.บ. กองทุนเงินให้กู้ยืมเพื่อการศึกษา พ.ศ. 2560 พ.ร.บ. กองทุนสำรองเลี้ยงชีพ พ.ศ. 2530 เป็นต้น รวมทั้งกฎหมายอื่นที่บริษัทต้องอยู่ภายใต้บังคับที่กำหนดให้ส่งข้อมูล