นโยบายการคุ้มครองข้อมูลส่วนบุคคล

เลขที่เอกสาร : PB-COM-35 Rev.02

วันที่มีผลบังคับใช้ : 28 มีนาคม 2568

1. บทนำ

บริษัท เอ็นทีเอฟ อินเตอร์กรุ๊ป (ประเทศไทย) จำกัด (มหาชน) (บริษัท) ดำเนินธุรกิจโดยตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นเพื่อให้มีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (รวมทั้งที่ได้แก้ไขเพิ่มเติม) ("พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล" รวมถึงกฎหมายและกฎเกณฑ์อื่นที่เกี่ยวช้องกับการคุ้มครองชัอมูลส่วนบุคคล

2. คำนิยาม

2.1 "ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลรรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

2.2 "ข้อมูลส่วนบุคคลอ่อนไหว" หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อน และอาจสุมเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของช้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

2.3 "การประมวลผล" หมายถึง การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย การลบ หรือการทำลายข้อมูลส่วนบุคคล

2.4 "เจ้าของข้อมูลส่วนบุคคล" หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม

2.5 "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

2.6 "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

3. การเก็บรวบรวมข้อมูลส่วนบุคคล

3.1 บริษัทจะดำเนินการเก็บรวมรวมข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น

3.2 บริษัทจะดำเนินการให้เจ้าของข้อมูลส่วนบุคคลรับรู้ หรือให้ความยินยอมทางอิเล็กทรอนิกส์หรือตามแบบวิธีการของบริษัท ทั้งนี้ กรณีที่จัดเก็บข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้งก่อนทำการเก็บรวบรวม เว้นแต่การเก็บข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลอ่อนไหวจะเข้าข้อยกเว้นตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนดไว้

4. วัตถุประสงค์ในการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคล

บริษัทจะดำเนินการเก็บรวมรวมหรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อประโยชน์ในการดำเนินงานของบริษัท หรือเพื่อปรับปรุงคุณภาพในการปฏิบัติงานให้มีประสิทธิภาพมากยิ่งขึ้น และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของบริษัท โดยบริษัทจะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล หรือตามที่กฎหมายกำหนดให้อำนาจไว้เท่านั้น บริษัทจะไม่กระทำการใดๆ แตกต่างจากที่ระบุในวัตถุประสงค์ของการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เว้นแต่

(1) ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

(2) เป็นการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้อง

5. การเปิดเผยหรือส่งต่อข้อมูลส่วนบุคคล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปให้บุคคลใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ต่อเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของบริษัทและการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บริษัทในเครือ หรือบุคคลอื่นทั้งในและต่างประเทศ เช่น ผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว บริษัทจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่บริษัทได้กำหนดไว้

นอกจากนี้ บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมายในกรณีที่บริษัทมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศ และประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลต่ำกว่าหลักเกณฑ์ที่กฎหมายกำหนด บริษัทจะดำเนินการให้เป็นที่มั่นใจว่าจะมีการคุ้มครองข้อมูลส่วนบุคคลที่ถูกโอนไปในระดับที่เพียงพอ เช่น บริษัทอาจจะต้องได้รับคำยืนยันตามสัญญาจากบุคคลภายนอกที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลดังกล่าวว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองภายใต้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่ากับประเทศไทย

6. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะกำหนดมาตรการต่าง ๆ รวมถึงมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และนโยบายฉบับนี้ เพื่อให้พนักงานของบริษัทและบุคคลอื่นที่เกี่ยวข้องปฏิบัติ รวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยพนักงานของบริษัทต้องปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตามที่บริษัทกำหนดไว้ เพื่อให้บริษัทสามารถปฏิบัติตามนโยบายและ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ

7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลและการทำลายข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเป็นระยะเวลาเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งได้ระบุไว้ในนโยบายฉบับนี้ ตามหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ เช่น ระยะเวลาที่บริษัทยังมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในของบริษัท ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน บริษัทจะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม เช่น เก็บตามระยะเวลาของอายุความตามกฎหมายที่เกี่ยวข้องกับข้อมูลนั้น

7.1 การกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

ข้อมูลผู้บริหาร กรรมการ และพนักงาน เอกสาร (Hard Copy)10 ปีนับแต่สิ้นสุดการเป็นผู้บริหาร กรรมการ และพนักงาน

ข้อมูลผู้สมัครงานที่ไม่ผ่านการคัดเลือก เอกสาร (Hard Copy) 1 ปี นับแต่ส่งเอกสารสมัครงาน เพื่อใช้ในการคัดเลือกตำแหน่งอื่นที่เหมาะสมต่อไป

ข้อมูลลูกค้า เอกสาร (Hard Copy) / อิเล็กทรอนิกส์ (Soft File) 10 ปีนับแต่การซื้อขายสินค้าหรือบริการสิ้นสุดลง

ข้อมูลคู่ค้า เอกสาร (Hard Copy) / อิเล็กทรอนิกส์ (Soft File) 10 ปีนับแต่การซื้อขายสินค้าหรือบริการสิ้นสุดลง

ข้อมูลเอกสาร/สัญญาทางกฎหมาย เอกสาร (Hard Copy) / อิเล็กทรอนิกส์ (Soft File) 10 ปีนับแต่สัญญาสิ้นสุดลง

7.2 การเข้ารหัส

การจำแนกประเภทข้อมูลและสถานที่จัดเก็บข้อมูลส่วนบุคคล เมื่อมีความเหมาะสมหรือจำเป็นต้องใช้มาตรการทางเทคนิคในการเข้ารหัสเพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูล ทั้งนี้ จำเป็นต้องใช้ความระมัดระวังเพื่อให้มั่นใจว่าคีย์เข้ารหัสที่ใช้เข้าข้อมูลมีการจัดเก็บอย่างปลอดภัยตลอดอายุการใช้งานของข้อมูลที่เกี่ยวข้อง และเป็นไปตามนโยบายขององค์กร

7.3 หลักการทำลายข้อมูลส่วนบุคคล

เมื่อครบกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล หรือ เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอให้มีการทำลายข้อมูลส่วนบุคคล พนักงานที่มีหน้าที่รับผิดชอบจะขออนุมัติการทำลายข้อมูลตามกรอบอำนาจอนุมัติ ดำเนินการทำลายข้อมูลตามแนวทางการทำลายข้อมูลส่วนบุคคล บันทึกการทำลายข้อมูลส่วนบุคคล และแจ้งผลการทำลายข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ (กรณีมีการร้องขอให้ทำลาย)

7.4 แนวทางการทำลายข้อมูลส่วนบุคคล

เอกสาร (Hard Copy) ถมดำข้อมูลส่วนบุคคลและใช้เครื่องย่อยเอกสาร

อิเล็กทรอนิกส์ (Soft File) ลบออกจาก Drive เครือข่าย และอุปกรณ์

7.5 การตรวจสอบการลบข้อมูลส่วนบุคคล

เมื่อครบกำหนดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ที่กำหนดไว้ ข้อมูลส่วนบุคคลจะต้องถูกลบหรือทำลายอย่างปลอดภัยในลักษณะที่ทำให้แน่ใจว่าจะไม่สามารถใช้งานได้อีกต่อไป โดยขั้นตอนการทำลายจะต้องบันทึกรายละเอียดการลบหรือทำลายไว้โดยถูกต้องและเก็บรักษาไว้เป็นหลักฐานการตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคลจะต้องจัดทำอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงของบริษัทอย่างนัยสำคัญ เพื่อให้มั่นใจว่า

- นโยบายระยะเวลาการจัดเก็บและทำลายข้อมูลส่วนบุคคลยังคงมีผลบังคับใช้อยู่อย่างมีประสิทธิภาพ

- บันทึกจะถูกเก็บรักษาไว้ตามนโยบาย

- ข้อมูลส่วนบุคคลจะถูกลบหรือทำลายอย่างปลอดภัยเมื่อไม่มีความจำเป็นอีกต่อไป

- ปฏิบัติตามข้อกำหนดของกฎหมาย ระเบียบ และ สัญญาที่เกี่ยวข้อง

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิดังต่อไปนี้ภายใต้เงื่อนไขของบริษัท และเงื่อนไขอื่นตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลกำหนด

8.1 การถอนความยินยอม ในกรณีที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคลโดยอาศัยความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมนั้นได้เสมอ อย่างไรก็ตาม การถอนความยินยอมอาจส่งผลกระทบต่อสิทธิประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามสัญญาหรือข้อตกลงที่เกี่ยวข้อง ตลอดจนโอกาสในการทำนิติกรรมสัญญา ทั้งนี้ ขึ้นอยู่กับลักษณะนิติกรรมสัญญาเป็นกรณีไป

8.2 การเข้าถึงข้อมูล เจ้าของข้อมูลอาจใช้สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของบริษัท รวมถึงอาจใช้สิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลนั้นในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม

8.3 การขอรับหรือให้โอนข้อมูล ในกรณีบริษัททำให้ข้อมูลส่วนบุคคลอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลได้ด้วยวิธีการอัตโนมัติเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลดังกล่าวของตนได้ รวมทั้งมีสิทธิขอให้ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้อื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ หรือขอรับข้อมูลที่มีการส่งหรือโอนในรูปแบบดังกล่าวไปยังผู้อื่น

8.4 การคัดค้าน หากมีการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคลดังกล่าวได้

(1) เป็นการเก็บรวบรวมที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24(4) แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวคือ เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท หรือตามมาตรา 24(5) แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวคือ เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของผู้อื่น โดยประโยชน์นั้นมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เว้นแต่บริษัทจะแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่าในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น หรือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(2) เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง

(3) เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ

8.5 การขอให้ลบหรือทำลายข้อมูล เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิขอให้บริษัทดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งบริษัทเป็นผู้ควบคุมข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

(1) เมื่อข้อมูลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือ เปิดเผย

(2) เมื่อมีการถอนความยินยอมและไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยได้ต่อไป

(3) เมื่อมีการคัดค้านตาม 8.4(1) และผู้ถูกคัดค้านไม่อาจปฏิเสธได้ หรือเมื่อมีการคัดค้านตาม 8.4(2)

(4) เมื่อข้อมูลนั้นถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยผิดกฎหมาย

8.6 การขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งบริษัทเป็นผู้ควบคุมข้อมูล ในกรณีดังต่อไปนี้

(1) เมื่อบริษัทอยู่ในระหว่างการตรวจสอบหรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลที่ได้ร้องขอให้ปรับปรุงข้อมูลนั้น

(2) เมื่อเป็นข้อมูลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยผิดกฎหมาย

(3) เมื่อข้อมูลนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้มีการเก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(4) เมื่อบริษัทอยู่ในระหว่างการพิสูจน์หรือตรวจสอบตามที่ถูกคัดค้านตาม 8.4(1) หรือ 8.4(2)

8.7 การขอปรับปรุงข้อมูล เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิร้องขอให้บริษัทปรับปรุงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งบริษัทเปีนผู้ควบคุมข้อมูลได้ เพื่อให้ข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

8.8 การร้องเรียน เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิร้องเรียนตามกฎหมายได้ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทรวมถึงพนักงานของบริษัทไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่แนบท้ายนโยบายฉบับนี้ ผ่านช่องทางการติดต่อของบริษัทซึ่งระบุไว้ในข้อ 10. ข้อมูลและช่องทางการติดต่อของของบริษัท

ทั้งนี้ ในการใช้สิทธิบางประการ เจ้าของข้อมูลส่วนบุคคลยอมรับต่อผลกระทบในด้านนิติสัมพันธ์ต่าง ๆ ที่เกี่ยวข้องที่มีอยู่หรือที่ผูกพันอยู่กับบริษัท และไม่สามารถเรียกร้องใด ๆ ต่อบริษัทได้ เว้นแต่การประมวลผล หรือส่งต่อข้อมูลส่วนบุคคล เป็นการกระทำที่ไม่ชอบด้วยกฎหมายหรือสัญญาที่ได้ตกลงไว้กับเจ้าของข้อมูลส่วนบุคคลคำร้องขอใช้สิทธิใด ๆ ข้างตันนี้ อาจถูกจำกัดโดยกฎหมายที่เกี่ยวข้อง อาจมีบางกรณีที่บริษัทสามารถปฏิเสธคำขอได้โดยชอบ เช่น เมื่อบริษัทต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล โดยบริษัทจะพิจารณาและทำการแจ้งผลพิจารณาคำร้องภายใน 30 วัน นับแต่วันที่บริษัทได้รับคำร้องดังกล่าว

9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจทำการปรับปรุงหรือแก้ไขนโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้อง การเปลี่ยนแปลงการดำเนินงานของบริษัท รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน

10. นโยบายการใช้คุกกี้

บริษัทมีการใช้งานคุกกี้ที่จัดเก็บหรือจดจำข้อมูลของผู้ใช้งานจนกว่าจะปิดเบราว์เซอร์ หรือจนกว่าผู้ใช้จะลบหรือปฏิเสธการเก็บรวบรวมคุกกี้ อย่างไรก็ตาม ถ้าท่านตัดสินใจอนุญาตใช้งานการติดตามคุกกี้ ท่านจะพบว่าการใช้งานเว็บไซต์จะสะดวกยิ่งขึ้น เนื่องจากคุกกี้จะช่วยจัดเก็บข้อมูลเกี่ยวกับเว็บไซต์ที่ท่านเคยเยี่ยมชมหรือเข้าถึง นอกจากนี้ เว็บไซต์จะใช้ข้อมูลคุกกี้ที่ได้รวบรวมไว้เพื่อการวิเคราะห์เชิงสถิติ และ/หรือ เพื่อการดำเนินกิจกรรมอื่นของบริษัทเพื่อการปรับปรุงผลิตภัณฑ์และบริการของบริษัทให้ดียิ่งขึ้น

11. ข้อมูลและช่องทางการติดต่อของของบริษัท

บริษัทได้กำหนดช่องทางการติดต่อบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ดังนี้

11.1 ผู้ควบคุมข้อมูลส่วนบุคคล

ชื่อบริษัท : บริษัท เอ็นทีเอฟ อินเตอร์กรุ๊ป (ประเทศไทย) จำกัด (มหาชน)

ที่อยู่ : เลขที่ 111 อาคารโครงการ True Digital Park West ชั้นที่ 9 ห้องเลขที่ 906 ถนนสุขุมวิท

แขวงบางจาก เขตพระโขนง กรุงเทพมหานคร 10260

อีเมล : admin@ntfintergroup.com

โทร : 082-849-2445

11.2 ในกรณีที่บริษัท หรือพนักงานของบริษัทฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนต่อหน่วยงานกำกับดูแลได้ ตามรายละเอียดดังต่อไปนี้

ชื่อหน่วยงาน : สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจ

ที่อยู่ : เลขที่ 120 หมู่ 3 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษาฯ อาคารรัฐและสังคม (ทำหน้าที่สำนักงาน ประศาสนภักดี (อาคารบี ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) หลักสี่ กรุงเทพฯ 10210

โทร : 02-141-6993, 02-142-1033

อีเมล : pdpc@mdes.go.th

Facebook : https://www.facebook.com/pdpc.th

• นโยบายการคุ้มครองข้อมูลส่วนบุคคล
• ประกาศความเป็นส่วนตัว (สำหรับคู่ธุรกิจและผู้เกี่ยวข้อง)
• Privacy Notice (for Customers and Related Parties)
• แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (ไทย)
• Data Subject Rights Request Form (Eng)