นโยบายคุ้มครองข้อมูลส่วนบุคคล

 

1. บทนำ

บริษัท มิลล์คอน สตีล จำกัด (มหาชน) และกลุ่มบริษัท (ต่อไปนี้จะเรียกว่า “บริษัท” ) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และมาตรการในการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคลตามมาตรฐานที่เหมาะสม จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น โดยนโยบายฉบับนี้ จัดทำเพื่อเผยแพร่ให้กับบุคคลทั่วไปที่เกี่ยวข้องกับบริษัทได้รับทราบ และให้มีผลกับผู้บริหาร พนักงาน และบุคคลภายนอกผู้ปฏิบัติงานให้กับบริษัททุกคนถือปฏิบัติ ให้ผู้บริหารของทุกแผนกมีหน้าที่รับผิดชอบในการสนับสนุน ผลักดัน และตรวจสอบการดำเนินงานให้เป็นไปตามนโยบายและกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

2. คำนิยาม ที่กล่าวถึงในนโยบายฉบับนี้

“ข้อมูลส่วนบุคคล” (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือ ทางอ้อม เช่น ชื่อ ที่อยู่ เลขบัตรประชาชน เลขที่บัญชีธนาคาร แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ 

“ข้อมูลส่วนบุคคลอ่อนไหว” (Sensitive Data)  หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ อาทิ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคล หรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคล หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” ( Data Subject ) หมายถึง บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นเท่านั้น ไม่รวมถึง ผู้ควบคุมข้อมูลส่วนบุคคล หรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย

 

3. วัตถุประสงค์การคุ้มครองข้อมูลส่วนบุคคล

3.1 บริษัทจะไม่มีการรวบรวม จัดเก็บ ใช้ หรือ เปิดเผยข้อมูล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีมีฐานกฎหมายให้อำนาจไว้ (Lawful Basis) ในเรื่องดังต่อไปนี้ 

(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล (Historical/Statistic/Research)

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ (Vital Interest)

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา (Contract) หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคล นิติบุคคลอื่น (Legitimate Interest) ที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้น พื้นฐานโดยคำนึงถึงความถูกต้องของข้อมูล (Accuracy)

3.2 ระยะเวลาการจัดเก็บข้อมูลเท่าที่จำเป็นตามอายุสัญญา หรือตามที่มีกฎหมายกำหนด (Storage Limitation) โดย

(1) จัดให้มีการตรวจสอบเพื่อดำเนินการลบ

(2) ทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาเก็บรักษา

(3) ลบทำลายเมื่อหมดความจำเป็นในการใช้ข้อมูล

(4) ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ (กรณีไม่มีฐานกฎหมายรองรับ หรือ ใช้ฐานความยินยอม)

3.3 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม (Integrity and Confidentiality) มีการตรวจสอบระบบอย่างสม่ำเสมอเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปิดเผย โดยปราศจากอำนาจโดยมิชอบ รวมถึงจัดให้มีการทบทวนมาตรการดังกล่าวเมื่อเทคโนโลยีเปลี่ยนแปลงไป

3.4 จัดให้มีการบริหารจัดการความเสี่ยง รวมถึงการสร้างจิตสำนึกความรับผิดชอบในด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

3.5 จัดให้มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กำหนดความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูลส่วนบุคคล และประมวลผลข้อมูล (Lawfulness, Fairness and Transparency)

3.6 จัดให้มีการประชาสัมพันธ์ และการเผยแพร่นโยบาย รวมถึงแนวปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ของบริษัท การดำเนินการเรื่องอื่นๆ ตามที่กฎหมายกำหนด (Information Security Awareness & Training) และการจัดอบรมแผนการเตรียมการ (Scenario) กรณีหากเกิดเหตุการณ์ไม่ปกติ เหตุการณ์ข้อมูลรั่วไหล ข้อมูลถูก Hack  หรือ ข้อมูลติดไวรัส  

3.7   การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง บริษัทอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัท  ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่บริษัท มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่บริษัทมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัท เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ บริษัท จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง บริษัท กับผู้ประมวลผลข้อมูลส่วนบุคคล

 

4. การใช้ฐานความยินยอม (Consent) และสิทธิของเจ้าของส่วนบุคคล

4.1 กรณีไม่มีฐานกฎหมายรองรับ ให้ใช้ฐานความยินยอม (Consent) เป็นฐานหลักในการประมวลผลข้อมูล

4.2 กรณีเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ให้ความยินยอม มีสิทธิดังนี้

(1) สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอน        ความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

(2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูล        ส่วนบุคคลที่ไม่ได้ให้ความยินยอม

(3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

(4) สิทธิในการลบข้อมูลส่วนบุคคล

(5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

ทั้งนี้ เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่บริษัทกำหนด ผ่าน “ช่องทางการติดต่อของบริษัท”  โดยบริษัทจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องฯ ของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องดังกล่าว  และบริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลส่วนบุคคลได้กรณีที่มีฐานกฎหมายกำหนดให้อำนาจไว้

 

5. บทบาทหน้าที่ความรับผิดชอบ

5.1 ผู้ควบคุมข้อมูล (Data Controller) ได้แก่

(1) กรรมการผู้มีอำนาจกระทำแทนนิติบุคคล

(2) ผู้บริหารสูงสุดแต่ละสายงาน

(3) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

(4) เจ้าหน้าที่ ที่ได้รับมอบอำนาจ

5.2 มีหน้าที่ ดังต่อไปนี้

(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นเมื่อเทคโนโลยีเปลี่ยนแปลง เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

(2) ในกรณีต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

(3)  จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ ทำลาย ข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ

(4)  แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของบุคคล และในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้                                          เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า

5.3   ผู้ประมวลผลข้อมูล (Data Processor)  บุคคล หรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ตามคำสั่ง หรือ ในนามของผู้ควบคุมข้อมูลส่วนบุคคล (ทั้งนี้ บุคคล หรือนิติบุคคล ซึ่งดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล) มีหน้าที่ ดังต่อไปนี้

(1) ดำเนินการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งทีได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

(2) จัดให้มีเก็บรักษาที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

(3) แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นทันทีเมื่อทราบเหตุ

(4) จัดทำหรือเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

 

ผู้ประมวลผล ซึ่งไม่ปฏิบัติตาม (1) สำหรับการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลใด ให้ถือว่าผู้ประมวลข้อมูลส่วนบุคคล เป็นผู้ควบคุมข้อมูลส่วนบุคคล สำหรับการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลนั้น การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน (Data Processing Agreement) เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

 

6. แหล่งที่มาของข้อมูลส่วนบุคคลที่เก็บรวบรวม

บริษัทฯ เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้

6.1 ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยบริษัทฯ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัทฯ ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยบริษัทฯ เป็นต้น

6.2 ข้อมูลที่เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของ บริษัท ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น

6.3 ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัท

6.4 การรับข้อมูลส่วนบุคคลจากหน่วยงานคู่สัญญาอื่นในฐานะที่บริษัท มีหน้าที่ตามสัญญา หรือตามข้อตกลง รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญา หรือ ข้อตกลงที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับบริษัทหรือหน่วยงานคู่สัญญาได้

นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่บริษัท ดังนั้น ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่บริษัท ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฎิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของบริษัท  อาจเป็นผลให้บริษัท ไม่สามารถให้ปฏิบัติตามข้อตกลง ข้อสัญญา หรือการให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

7. ขอบเขตการบังคับใช้

7.1 กลุ่มลูกค้าธุรกิจของบริษัท ซึ่งครอบคลุม ทั้งที่เป็น

(1) บุคคลธรรมดาที่เป็นลูกค้าของบริษัท ในปัจจุบัน ในอดีต และอาจเป็นเป้าหมายของบริษัทในอนาคต

(2) พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ ผู้ติดต่อ และบุคคลธรรมดาอื่นที่กระทำในนามนิติบุคคลซึ่งเป็นลูกค้านิติบุคคลของบริษัท

7.2 กลุ่มคู่ค้า คู่สัญญา ผู้ให้บริการภายนอก ซึ่งครอบคลุมถึง

(1) บุคคลธรรมดา ซึ่งเป็นคู้ค้า หรือ คู่สัญญาของบริษัท ในปัจจุบัน ในอดีต และอาจเป็นคู่ค้า หรือ คู่สัญญาของบริษัทในอนาคต

(2) พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ  ผู้ติดต่อ และบุคคลธรรมดาอื่นที่กระทำในนามนิติบุคคล ซึ่งเป็นคู่ค้า คู่สัญญานิติบุคคลของบริษัท

7.3 กลุ่มผู้ถือหุ้น นักลงทุน พันธมิตรทางธุรกิจ บริษัทในกลุ่มบริษัท มิลล์คอน สตีล จำกัด (มหาชน) รวมถึงบุคคลใดๆ ที่สนใจเกี่ยวกับการลงทุนในบริษัท ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของร่วมทุน พันธมิตรทางธุรกิจ รวมถึง                                        บริษัทในกลุ่มบริษัท มิลล์คอน สตีล จำกัด (มหาชน)

7.4 กลุ่มผู้มาติดต่อ บุคคลภายนอก วิทยากร ผู้เข้าร่วมประชุม ผู้เข้าร่วมสัมมนาฯ ที่เข้ามาบริเวณพื้นที่ปฏิบัติงานของบริษัท รวมถึงบุคคลที่เข้าใช้เว็บไซต์หรือแอปพลิเคชันของบริษัท ซึ่งจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลไว้ตามระเบียบ/วัตถุประสงค์ที่กฎหมายกำหนด และการรักษาความปลอดภัย

7.5 กลุ่มผู้มีส่วนได้เสีย (Stakeholders) ได้แก่ กลุ่มกรรมการและอดีตกรรมการของบริษัท ผู้ถือหุ้น นักลงทุน นักวิเคราะห์ สื่อมวลชน ผู้นำชุมชน ผู้เข้าร่วมกิจกรรมด้าน CSR ของบริษัท หรือ บุคคลใดๆ ที่บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลไว้ เพื่อดำเนินกิจกรรมเพื่อสังคม หรือเพื่อการอื่นใด

7.6 กลุ่มบุคลากร พนักงาน ผู้สมัครงาน และผู้ฝึกงาน ซึ่งรวมถึงบุคคลอ้างอิงซึ่งพนักงานหรือผู้สมัครงานอ้างอิงถึง

7.7 กลุ่มบุคคลภายนอกอื่น เช่น ผู้กำกับดูแล (Regulators) หน่วยงานราชการ หน่วยงานของรัฐ เป็นต้น

8. มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Security Control Baseline)

บริษัทฯ ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ดังต่อไปนี้

8.1 มาตรการป้องกันด้านบริหารจัดการ (Administrative Safeguard)

ขั้นที่ 1 จัดทำมีนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

ขั้นที่ 2 กำหนดชั้นความลับข้อมูล จัดให้มีการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน และกำหนดผู้ดูแล   ระบบ  ดังนี้  

(1) กำหนดชั้นความลับของข้อมูล และกำหนดผู้ดูแลระบบการจัดการข้อมูลส่วนบุคคล (Information Classification & Information Handling)

(2) กำหนดการอนุญาต หรือกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล (User Access Control)การห้ามแชร์ Password กำหนดระยะเวลาการเปลี่ยน User Password

(3) บริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management)  การจัดทำ Maker Checker Form เพื่อ ควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ได้รับอนุญาตแล้ว

(4) กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) การกำหนด Job Descriptionของพนักงาน  ผู้ใช้งาน เพื่อให้ทราบถึงหน้าที่ และความรับผิดชอบการใช้งาน,  เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้  หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล

(5) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือ ถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล

(6) การรักษาความปลอดภัยระบบปฏิบัติการ (Operational Security) จัดให้มีระบบ Anti-Virus, Data Backup, การเก็บข้อมูลจราจรทางคอมพิวเตอร์ของบริษัท (Log) ,ข้อมูลการเข้าใช้งานเว็บไซต์และระบบต่างๆ ของบริษัท, ข้อมูลบันทึกการเข้าสู่ระบบ (Login Log), ข้อมูลบันทึกการใช้งาน เช่น ตัวระบุอุปกรณ์ หมายเลข IP  ข้อมูลเครือข่ายมือถือ เวลาที่เยี่ยมชมระบบ ข้อมูลผู้เข้าใช้งานเว็บไซต์ (Website) ที่บริษัทได้เก็บรวบรวมผ่านคุกกี้ (Cookies) 

ขั้นที่ 3 มีวิธีปฏิบัติ (Procedure) สำหรับการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บประมวลผล เช่น ตรวจสอบผู้มีสิทธิเข้าออก การบันทึกผู้ขออนุญาตคัดลอกสำเนาข้อมูล การแจ้งเตือนการละเมิด

8.2 มาตรการป้องกันด้านเทคนิค (Technical Safeguard) จัดให้มี 

(1) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต ตามระดับสิทธิการใช้งาน ได้แก่ การนำเข้า เปลี่ยนแปลง  แก้ไข เปิดเผย การแจ้งเตือนกรณีเกิดการละเมิด ตลอดจนการลบทำลาย

(2) วิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

(3) ระบบสำรองและกู้คืนข้อมูล เพื่อให้ระบบยังสามารถดำเนินการได้อย่างต่อเนื่อง

8.3 มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง หรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) โดยจัดให้มี

(1) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย เช่น มีบันทึกการเข้าออกพื้นที่ มีเจ้าหน้าที่รักษาความปลอดภัยพื้นที่ มีระบบกล้องวงจรปิดติดตั้ง มีการล้อมรั้ว มีการล็อกประตู

(2) ระบบแจ้งเตือนการบุกรุกภัยคุกคามทางไซเบอร์

(3) แนวทางการตอบสนองการรั่วไหลของข้อมูล

 

9. แนวทางการตอบสนองเหตุการณ์ข้อมูลรั่วไหลและแผนการดำเนินการป้องกันข้อมูลสำคัญรั่วไหล (Data Breach Response and Notification Procedure)

9.1 แนวทางการตอบสนองเหตุการณ์ข้อมูลรั่วไหล โดยจัดให้มี

(1) ผู้ที่ทราบเหตุหรือผู้ประมวลผลข้อมูล แจ้งคณะทำงานทันที ที่พบเหตุการณ์รั่วไหลของข้อมูล

(2) คณะทำงานตรวจสอบสาเหตุ ระบุต้นเหตุการณ์รั่วไหล เพื่อกำหนดมาตรการเยียวยา

(3) คณะทำงาน บันทึกการรั่วไหล และส่งประเมินความเสี่ยง

9.2 แผนการดำเนินการป้องกันข้อมูลสำคัญรั่วไหล

9.2.1 กรณีไม่มีความเสี่ยง

(1) บันทีกการรั่วไหล

(2) รายงานคณะกรรมการกำกับดูแลกิจการ (หลังจบเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคล)

9.2.2 กรณีมีความเสี่ยงแต่ไม่มาก

(1) บักทึกการรั่วไหล

(2) รายงานคณะกรรมการกำกับดูแลกิจการ (ภายใน 48 ชั่วโมงนับจากทราบเหตุการณ์)

(3) แจ้งต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์

9.2.3 กรณีมีความเสี่ยงสูง

(1) บันทึกการรั่วไหล

(2) รายงานคณะกรรมการกำกับดูแลกิจการ (ภายใน 48 ชั่วโมงนับจากทราบเหตุการณ์

(3) แจ้งต่อ สคส. ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์

(4) แจ้งต่อเจ้าของข้อมูลส่วนบุคคล (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)

 

10. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจดำเนินการปรับปรุง ทบทวน เปลี่ยนแปลง นโยบายการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

10.1 เพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมายที่เปลี่ยนแปลง

10.2 เพื่อให้สอดคล้องกับเทคโนโลยีที่เปลี่ยนแปลงไป

10.3 เพื่อให้สอดคล้องการเปลี่ยนแปลงการดำเนินงานของบริษัท

10.4 เพื่อให้สอดคล้องกับข้อเสนอแนะของหน่วยงานต่าง ๆ

 

11. การติดต่อสอบถาม

หากท่านมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ บริษัทฯ หรือเกี่ยวกับนโยบายนี้ หรือท่านต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถติดต่อสอบถามได้ที่คณะทำงานควบคุมข้อมูลส่วนบุคคล

 

สถานที่ติดต่อ

บริษัท มิลล์คอน สตีล จำกัด (มหาชน) 52 อาคารธนิยะพลาซ่า ชั้นที่ 29 ถนนสีลม แขวงสุริยวงศ์ เขตบางรัก กรุงเทพฯ 10500

 

ช่องทางการติดต่อสื่อสาร

โทรศัพท์ 02 – 652-333 ต่อ 208 E-mail cg@millconsteel.com