แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล โดย บริษัท บางกอกอินดัสเทรียลแก๊ส จำกัด
(Bangkok Industrial Gas Personal Data Protection Procedure)
บริษัท บางกอกอินดัสเทรียลแก๊ส จำกัด (“บริษัท”) ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลนี้ขึ้น เพื่อกำหนดขั้นตอนและวิธีการในการปฏิบัติกับข้อมูลส่วนบุคคล ให้เป็นไปตามกฎหมายรวมถึงให้เป็นไปตามมาตรการคุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยการดำเนินการใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ของบริษัทนั้น จะปฏิบัติภายใต้หลักการสำคัญ คือ กำกับดูแลรักษาความปลอดภัย (Security) และความเป็นส่วนตัว (Privacy) ของข้อมูลส่วนบุคคล ที่บริษัทได้รับมา ซึ่งจะต้องมีมาตรการให้ได้รับการคุ้มครองที่เหมาะสมในทุกขั้นตอน ตั้งแต่การเก็บ รวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล ขั้นตอนและวิธีการในการปฏิบัติงานของบริษัทต่อข้อมูลส่วนบุคคล มีหลักเกณฑ์สำคัญ ดังนี้
- การจำแนกหน่วยงานภายในของบริษัทและประเภทของข้อมูลส่วนบุคคลที่ได้รับมาในนามบริษัท ให้เก็บ รวบรวม ใช้ หรือเปิดเผย เพียงเท่าที่สอดคล้องกับการทำงานของหน่วยงานภายในนั้น ๆ ทั้งนี้ หน่วยงานภายในของบริษัทที่เกี่ยวข้องข้างต้น คือ
ชื่อหน่วยงาน | ข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวม |
HC | 1. ข้อมูลผู้มาสมัครงาน 2. ข้อมูลลูกจ้าง พนักงาน 3. ข้อมูลผู้จัดจำหน่ายและผู้ผลิตที่จ้างมาติดต่อเฉพาะงาน หรือเฉพาะครั้งคราว |
CMD | 1. ข้อมูลลูกค้าที่เป็นบุคคลธรรมดา 2. ข้อมูลของกรรมการผู้มีอำนาจกระทำการแทนบริษัทคู่สัญญา |
Marketing | ข้อมูลลูกค้าในระบบ Customer Relationship Management (CRM) |
Branding | ข้อมูลลูกค้าและผู้มุ่งหวัง |
Accounting | ข้อมูล Auditor |
Purchasing | ข้อมูลผู้จัดจำหน่ายและผู้ผลิต |
Admin | ข้อมูลของกรรมการบริษัท และบริษัทในเครือ |
- การจัดเก็บข้อมูลส่วนบุคคลที่บริษัทได้เก็บ รวบรวม ใช้ และเปิดเผย
- การจัดเก็บข้อมูลส่วนบุคคลจะแบ่งเป็น 2 ประเภท และเป็นไปตามที่ระบุไว้ใน ”ข้อกำหนดและหลักปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของบริษัท” ซึ่งบริษัทจะจัดให้มีเจ้าหน้าที่ผู้รับผิดชอบดูแลเอกสารดังกล่าวโดยเฉพาะ ดังนี้
- การจัดเก็บในรูปแบบเอกสาร ภายในสำนักงานของบริษัท
- การจัดเก็บในรูปแบบอิเล็กทรอนิกส์
- บริษัทจะดำเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล รวมถึงการดูแลเรื่องความปลอดภัย (Security) และความเป็นส่วนตัว (Privacy) ของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิในการเข้าถึง การนำไปใช้ การเผยแพร่ซึ่งข้อมูลส่วนบุคคล ให้กระทำตามวัตถุประสงค์แห่งความยินยอมที่ได้ระบุไว้ตามมาตรการคุ้มครองข้อมูลส่วนบุคคลของบริษัท หรือที่ระบุไว้ตามหนังสือยินยอม หรือปฏิบัติตามกฎหมายเท่านั้น
- การจัดเก็บข้อมูลส่วนบุคคลจะแบ่งเป็น 2 ประเภท และเป็นไปตามที่ระบุไว้ใน ”ข้อกำหนดและหลักปฏิบัติในการเข้าถึงข้อมูลส่วนบุคคลของบริษัท” ซึ่งบริษัทจะจัดให้มีเจ้าหน้าที่ผู้รับผิดชอบดูแลเอกสารดังกล่าวโดยเฉพาะ ดังนี้
- การใช้คุกกี้ (Cookies)
บริษัทมีการใช้งาน คุกกี้ (Cookies) เพื่อช่วยอำนวยความสะดวกให้แก่ผู้ใช้บริการในการเข้าถึงบริการ และ/หรือผลิตภัณฑ์ของบริษัทเท่านั้น และมิใช่เป็นการใช้เพื่อเชื่อมโยงกับข้อมูลส่วนบุคคล ทั้งนี้ “คุกกี้” เป็นไฟล์ข้อมูลขนาดเล็ก ที่ทำหน้าที่ในการเก็บข้อมูลสถานะการใช้งานต่าง ๆ ของผู้ใช้บริการ และบริษัทนำมาใช้เพื่อรวบรวมสถิติที่ไม่มีการระบุชื่อผู้ใช้บริการอันจะช่วยให้บริษัทสามารถเข้าใจว่าผู้ใช้บริการใช้ไซต์ของเราอย่างไร และช่วยเราในการปรับปรุงประสบการณ์การใช้งานไซต์ของบริษัทให้ตรงกับประเภทและ/หรือความต้องการของผู้ใช้บริการต่อไป ทั้งนี้ บริษัทจะไม่สามารถทราบตัวตนของผู้ใช้บริการได้จากข้อมูลเหล่านี้
- การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบันซึ่งข้อมูลส่วนบุคคล
หากเจ้าของข้อมูลประสงค์ขอปรับปรุง เปลี่ยนแปลง หรือแก้ไขข้อมูลให้ถูกต้อง บริษัทได้จัดให้มีช่องทางในการติดต่อ ดังนี้
- ติดต่อทางจดหมายมายังบริษัท
- ติดต่อทางอีเมลแจ้ง ในเบื้องต้นขอให้ส่งจากอีเมลเดิมที่เคยให้ไว้กับบริษัท เพื่อให้ง่ายต่อการตรวจสอบ
- ติดต่อทางโทรศัพท์เพื่อขอแก้ไขข้อมูล โดยบริษัทอาจทำการสอบถามข้อมูลส่วนบุคคลเพิ่มเติมเพื่อเป็นการยืนยันตัวตน
- ติดต่อด้วยตนเอง ณ สำนักงานของบริษัท
- การรักษาความปลอดภัย(Security) และความเป็นส่วนตัว (Privacy) ของข้อมูลส่วนบุคคล
เพื่อรักษาความปลอดภัย (Security) และความเป็นส่วนตัว (Privacy) ของข้อมูลส่วนบุคคล รวมถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน ให้เป็นไปอย่างมีประสิทธิภาพ บริษัทจึงกำหนดสิทธิในการเข้าถึงหรือใช้ข้อมูลส่วนบุคคล ให้มีมาตรการที่เหมาะสมตั้งแต่การรวบรวมและจัดเก็บข้อมูลส่วนบุคคล เพื่อป้องกันการเปลี่ยนแปลงแก้ไขข้อมูลส่วนบุคคลดังกล่าวโดยมิชอบ รวมถึงการป้องกันการกระทำใดที่จะมีผลให้ข้อมูลถูกเผยแพร่โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน ซึ่งจะประกอบไปด้วยการดำเนินการ ดังนี้
- ให้ความรู้ เผยแพร่ข้อมูลข่าวสาร ด้านความปลอดภัย Security) และความเป็นส่วนตัว (Privacy) ของข้อมูลส่วนบุคคลให้แก่บุคลากร พนักงาน หรือเจ้าหน้าที่ที่เกี่ยวข้อง
- ปฏิบัติตามข้อกำหนดและหลักปฏิบัติ รวมถึงข้อกำหนดสิทธิและข้อจำกัดสิทธิ ในการเข้าถึงข้อมูลส่วนบุคคล
- ในการเข้าถึงข้อมูลส่วนบุคคลข้างต้นนั้น บริษัทจะจัดให้มีการบันทึกถึงการนำไปใช้ รวมทั้งการสำรองข้อมูลของการเข้าถึง หรือการเข้าใช้งานข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามที่กฎหมายกำหนด
บังคับใช้วันที่ 1 พฤษภาคม 2564