ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล

นโยบายความเป็นส่วนตัวและความปลอดภัยของหน้าเว็บไซต์

ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท เอสเอวายเอ (ประเทศไทย) จํากัด

บริษัท เอสเอวายเอ (ประเทศไทย) จํากัด (“บริษัท”) ได้มีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของลูกค้า คู่ค้า พนักงาน ผู้สมัคร บุคลากรและบุคคลอื่นใดที่เกี่ยวข้องกับบริษัท โดยบริษัทเคารพและตระหนักถึงความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น โดยให้มีผลบังคับใช้กับพนักงานและบุคลากรทุกคน รวมถึงผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท เพื่อกำหนดเป็นแนวทางการปฏิบัติและยึดถือเป็นหลักในการประมวลผลข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด ภายใต้หลักเกณฑ์ ระเบียบ และมาตรการที่เหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทได้รับจะถูกนำไปใช้ตามระเบียบการปฏิบัติและถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยมีรายละเอียดดังนี้

ข้อ 1 คำนิยาม

“บริษัท” หมายถึง บริษัท เอสเอวายเอ (ประเทศไทย) จํากัด โดยบริษัทดำเนินธุรกิจหลักเกี่ยวกับรีสอร์ท และโรงแรม (โรงแรมฮอลิเดย์ อินน์ กรุงเทพฯ สีลม)

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง
ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน
ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่ข้อมูลนั้นบ่งชี้ไปถึง

“การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

ข้อ 2 วัตถุประสงค์และการเก็บรวบรวมการใช้ข้อมูลส่วนบุคคล

2.1 บริษัทจะดำเนินการเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นหรือเท่าที่มีความเกี่ยวข้องต่อวัตถุประสงค์ในการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลดังกล่าว โดยจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลอื่นใดที่ไม่เกี่ยวข้อง

2.2 บริษัทจะดำเนินการเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล
ที่กำหนดเท่านั้น และจะไม่นำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากวัตถุประสงค์อื่น ในกรณีที่บริษัทมีการดำเนินการอื่นใดนอกเหนือจากวัตถุประสงค์ที่กำหนด บริษัทจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมหากจำเป็น

2.3 ในกรณีที่บริษัทเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน เว้นแต่จะเข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้สามารถกระทำได้โดยไม่ต้องขอความยินยอมดังกล่าว

2.4 บริษัทจะไม่จัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้งเท่านั้น หรือเข้าข้อยกเว้นตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไม่จำเป็นต้องขอความยินยอม โดยบริษัทจะเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลดังกล่าวด้วยความระมัดระวังภายใต้มาตรฐานการรักษาความมั่นคงปลอดภัยที่เหมาะสม

2.5 บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยคำนึงถึงการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
เป็นสำคัญ ไม่นำข้อมูลที่ได้รับมาจากการปฏิบัติงานไปใช้เพื่อวัตถุประสงค์อื่นหรือทำให้เกิดความเสียหายต่อบริษัท

ข้อ 3 การประมวลผลข้อมูลส่วนบุคคลโดยบุคคลภายนอก

บริษัทอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลให้บุคคลหรือหน่วยงานภายนอกประมวลผล โดยบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น การจัดส่งข้อมูลเท่าที่จำเป็น รวมถึงการมีข้อตกลงรักษาความลับหรือข้อตกลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้รับข้อมูลดังกล่าว

ข้อ 4 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ในกรณีที่บริษัทมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะคำนึงและพิจารณาว่าประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ บริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เว้นแต่เข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศยังสามารถกระทำได้หากเข้าข้อยกเว้นกรณีเป็นการปฏิบัติตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล, เป็นการจำเป็นในการปฏิบัติตามสัญญา, ป้องกันระงับอันตรายต่อชีวิต หรือเป็นการจำเป็นเพื่อประโยชน์สาธารณะเป็นสำคัญ

ข้อ 5 ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่จำเป็นต่อการประมวลผลตามวัตถุประสงค์ หรือ ตลอดระยะเวลา
ที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ เว้นแต่มีกฎหมายหรือคำสั่งศาลกำหนดให้บริษัทต้องจัดเก็บข้อมูลส่วนบุคคลดังกล่าว
ตามที่กำหนด เช่น จัดเก็บไว้เพื่อวัตถุประสงค์ในการพิสูจน์ตรวจสอบกรณีอาจเกิดข้อพิพาทภายในอายุความตามที่กฎหมายกำหนดเป็นระยะเวลาไม่เกิน 10 ปี

ทั้งนี้ บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของบุคคลได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว

ข้อ 6 การรักษาความมั่นคงปลอดภัย

6.1 บริษัทจะดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งมาตรการเชิงเทคนิค (Technical Measure) เช่น การกำหนดรหัสผ่าน การเข้ารหัส (Secure Sockets Layer/SSL) ระบบรักษาความปลอดภัยของอุปกรณ์เครือข่าย เป็นต้น และมาตรการเชิงบริหารจัดการ (Organizational Measure) การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ การรักษาความลับ กำหนดสิทธิเข้าถึง การประเมินและจัดการความเสี่ยง การกำหนดหลักเกณฑ์ ข้อบังคับ โดยมีการบังคับใช้มาตรการดังกล่าวอย่างเคร่งครัดและทบทวนปรับปรุงมาตรการทั้งสองอย่างสม่ำเสมอ หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความปลอดภัย ป้องกันการละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข นำข้อมูลไปใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

6.2 การเข้าถึง ใช้ แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม จำกัดเฉพาะผู้ที่มีความจำเป็นในการปฏิบัติตามหน้าที่ของตนเท่านั้น

6.3 ในกรณีที่สถานะความเป็นลูกจ้างของบริษัทสิ้นสุดลงไม่ว่าด้วยเหตุใดก็ตาม การเข้าถึง ใช้ แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจะสิ้นสุดลงทันที โดยลูกจ้างดังกล่าวจะต้องไม่นำข้อมูลส่วนบุคคลที่ได้มาจากการปฏิบัติงานออกไปเพื่อใช้ประโยชน์ส่วนตัวหรือผู้อื่นที่ไม่เกี่ยวข้องอันเป็นการแสวงหาผลประโยชน์โดยมิชอบ หรือก่อให้เกิดความเสียหายต่อบริษัท

ข้อ 7 การละเมิดข้อมูลส่วนบุคคล

ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง นับแต่เมื่อบริษัททราบถึงเหตุละเมิดข้อมูลส่วนบุคคลดังกล่าว หรือกรณีที่การละเมิดข้อมูลส่วนบุคคลนั้นมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุละเมิดพร้อมแนวทางเยียวยาเหตุละเมิดดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า

ข้อ 8 สิทธิของเจ้าของข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคลเป็นสิทธิตามกฎหมาย โดยเจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย โดยบริษัทจะดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า ทั้งนี้หากมีกรณีที่บริษัทต้องปฏิเสธคำร้องขอ บริษัทจะแจ้งเหตุแห่งการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลรับทราบ

8.1 สิทธิขอเพิกถอนความยินยอม หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับหรือหลังจากนั้น) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท เว้นแต่มีข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่ โดยบริษัทจะแจ้งถึงผลกระทบที่อาจเกิดขึ้นจากการถอนความยินยอมดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบ

8.2 สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงหรือขอรับสำเนาซึ่งข้อมูลส่วนบุคคลของตน
ที่อยู่ในความรับผิดชอบของบริษัทรวมถึงขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม ทั้งนี้บริษัทมีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามกฎหมายหรือคำสั่งศาล หรือการเข้าถึงหรือขอรับสำเนานั้นส่งผลกระทบต่อสิทธิเสรีภาพของบุคคลอื่น

8.3 สิทธิขอโอนย้ายข้อมูลส่วนบุคคล ท่านมีสิทธิขอให้บริษัทโอนข้อมูลส่วนบุคคลของท่านไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น

8.4 สิทธิขอคัดค้านการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลในเวลาใดก็ได้ หากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม หรือเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ ทั้งนี้บริษัทสามารถปฏิเสธคำร้องขอได้หากเป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือกรณีที่บริษัทแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายสำคัญยิ่งกว่า หรือเพื่อก่อตั้ง การใช้สิทธิเรียกร้อง การปฏิบัติตามกฎหมาย

8.5 สิทธิขอให้ลบหรือทำลายข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทไม่มีความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว

8.6 สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราว ในกรณีที่บริษัท
อยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้าน หรือกรณีอื่นใดที่บริษัทไม่มีความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง

8.7 สิทธิขอให้แก้ไขข้อมูล เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอแก้ไขข้อมูลส่วนบุคคลของตนให้เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

ข้อ 9 บทกำหนดโทษ

ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบายฉบับนี้ จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้น ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัท และ/หรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายกับผู้ที่กระทำความผิดดังกล่าวอย่างถึงที่สุด

ข้อ 10 การปฏิบัติตามนโยบาย

เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและเพื่อให้เป็นไปตามนโยบายฉบับนี้ บริษัทมีการทบทวนการปฏิบัติงานของแต่ละฝ่ายที่เกี่ยวข้อง รวมถึงการจัดทำคู่มือแนวทางการปฏิบัติเกี่ยวกับการจัดการด้านข้อมูลส่วนบุคคลและความปลอดภัยด้านเทคโนโลยีสารสนเทศ เพื่อเป็นแนวปฏิบัติแก่พนักงานและบุคลากรของบริษัทในการยึดถือปฏิบัติเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสูงสุด

ข้อ 11 การทบทวนนโยบาย

บริษัทจะทำการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข

ประกาศ ณ วันที่ 31 พฤษภาคม 2565