นโยบายคุ้มครองข้อมูลส่วนบุคคล
ด้วยคณะกรรมการบริหารของ กลุ่มบริษัท อักษร เอ็ดดูเคชั่น จำกัด (มหาชน) จำกัด เห็นถึงความสำคัญในการประมวลผลข้อมูลส่วนบุคคลให้เหมาะสมและถูกต้องตามกฎหมาย คณะกรรมการบริหารจึงอนุมัติรับรองและออกประกาศบริษัท เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้น เพื่อกำหนดกรอบการประมวลผลข้อมูลส่วนบุคคลในกระบวนการต่างๆ ของบริษัทเพื่อไม่ให้กระทบสิทธิภายใต้กรอบกฎหมายของเจ้าของข้อมูลแต่ละกลุ่มมากเกินไป รวมถึงเป็นนโยบายการกำกับดูแล และบริหารจัดการการประมวลผลข้อมูลดังกล่าวให้ถูกต้องตามมาตรฐานที่ระบุไว้โดยหน่วยงานกำกับดูแล โดยมีจุดประสงค์ให้พนักงานและบุคคลที่เกี่ยวข้องของบริษัทยึดถือและปฏิบัติตาม ภายใต้รายละเอียด ดังนี้
- นโยบายและคู่มือการคุ้มครองข้อมูลส่วนบุคคล
- ประกาศฉบับนี้เรียกว่า “ประกาศกลุ่มบริษัท เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล” โดยให้มีผลบังคับใช้นับแต่วันที่บริษัทประกาศเป็นต้นไป โดยให้มีผลบังคับใช้กับบริษัท อักษร เอ็ดดูเคชั่น จำกัด (มหาชน) และ บริษัทในเครือทั้งหมด ได้แก่ บริษัท อักษรเจริญทัศน์ อจท. จำกัด, บริษัท อักษร อินสไปร์ จำกัด, บริษัท อักษร เนกซ์ จำกัด, บริษัท อักษรโลจิสติกส์ จำกัด, บริษัท ไทยร่มเกล้า จำกัด และ บริษัท คอมฟอร์ม จำกัด
- โดยอาศัยอำนาจของประกาศบริษัทฉบับนี้ บริษัทอาจพิจารณากำหนดและประกาศคู่มือการปฏิบัติงานโดยละเอียดเพื่อกำหนดแนวทางการปฏิบัติต่างๆ ในการรับประกันความสมบูรณ์ถูกต้อง และครบถ้วนในการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องเพิ่มเติม โดยให้คู่มือการปฏิบัติงานดังกล่าวมีผลบังคับสมบูรณ์เช่นเดียวกันกับประกาศฉบับนี้
- โครงสร้างการบริหารจัดการและกำกับการประมวลผลข้อมูลส่วนบุคคล
เพื่อให้การกำกับดูแลและบริหารจัดการด้านการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลให้สมบูรณ์ บริษัทกำหนดจัดตั้งโครงสร้างดังต่อไปนี้
- คณะกรรมการบริหาร มีหน้าที่หลักในการกำหนดทิศทางและการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลในภาพรวมของบริษัท รวมถึงบริหารจัดการความเสี่ยงต่างๆ ที่อาจเกิดจากการประมวลผลข้อมูลส่วนบุคคล โดยมีบทบาทหลักในการตรวจสอบและอนุมัติทุกนโยบายย่อยและคู่มือแนวทางการปฏิบัติที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
- เพื่อการกำกับดูแลการปฏิบัติงานการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามนโยบายและสอดคล้องกับกรอบกฎหมาย บริษัทกำหนดกลไกกำกับการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลภายใต้รูปแบบโครงสร้าง 3 Lines of Defense ดังนี้
- 1st Line of Defense: Risk Owner บริษัทกำหนดให้ระดับผู้จัดการฝ่ายขึ้นไป มีหน้าที่รับผิดชอบโดยตรงในการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของพนักงานภายในหน่วยงานของตนให้ถูกต้องและสอดคล้องกับนโยบายและกฎหมายที่เกี่ยวข้อง
- 2nd Line of Defense: Risk Control กำหนดให้มีการแต่งตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคล (Data Protection Working Committee) ซึ่งประกอบด้วยหัวหน้าฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคลต่างๆ ในบริษัท ทำงานร่วมกับหน่วยงานกำกับดูแลการปฏิบัติงาน โดยการทำงานของคณะทำงานดังกล่าวต้องเป็นไปอย่างอิสระภายใต้หลักการ maker-checker ซึ่งบริษัทจะได้ออกประกาศในการแต่งตั้งโครงสร้างคณะทำงานดังกล่าว พร้อมกับกำหนดบทบาทหน้าที่ของคณะทำงานดังกล่าวเป็นประกาศต่างหาก
- 3rd Line of Defense: Risk Assurance ได้แก่ คณะกรรมการหรือหน่วยงานตรวจสอบ ซึ่งมีหน้าที่กำกับดูแลและตรวจสอบการดำเนินการประมวลผลข้อมูลส่วนบุคคลของทุกหน่วยงานอีกครั้งโดยดำเนินการเป็นปกติ ทั้งนี้อาจเป็นหน่วยงานตรวจสอบกำกับดูแลภายใน หรือภายนอกตามแต่ การพิจารณาตามความเหมาะสม โดยคณะกรรมการบริหาร
- บริษัทกำหนดจัดสรรทรัพยากรอย่างเพียงพอทั้งในแง่ของระบบงาน บุคลากร และงบประมาณในการสนับสนุนการปฏิบัติงานของแต่ละหน่วยงานกำกับดูแลตามนโยบายและมาตรฐานการคุ้มครองการประมวลผลข้อมูลส่วนบุคคลในทุกส่วน
- การประเมินและบริหารจัดการความเสี่ยงการประมวลผลข้อมูลส่วนบุคคล
- บริษัทกำหนดให้มีการประเมินและทบทวนการประเมินความเสี่ยงการประมวลผลข้อมูลส่วนบุคคลในภาพรวมขององค์กร (Enterprise Risk Management Level) อย่างน้อยปีละ 1 ครั้งหรือทุกครั้งที่มีการเปลี่ยนแปลงของรูปแบบการประมวลผลข้อมูลส่วนบุคคลอย่างมีสาระสำคัญ
- บริษัทกำหนดให้แต่ละหน่วยงานใน 1st Line of Defense ที่ระบุไว้ในข้อ 2.2 มีหน้าที่และความรับผิดชอบในการประเมิน ทบทวน และบริหารจัดการความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลภายในหน่วยงานของตน รวมถึงการติดตามและรายงานผลด้านความเสี่ยงให้แก่คณะทำงานคุ้มครองข้อมูลส่วนบุคคลพิจารณา
- บริษัทกำหนดให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลในฐานะผู้รับผิดชอบหลักในส่วนที่เกี่ยวข้องกับ การประมวลผลข้อมูลส่วนบุคคลของบริษัทรวบรวมและจัดทำเอกสารการประเมิน รวมถึงทบทวนการประมวลบริหารจัดการความเสี่ยงของบริษัทในภาพรวม โดยคำนึงถึงกรอบ “ความเสี่ยงที่ยอมรับได้ด้านการประมวลผลข้อมูลส่วนบุคคลของบริษัท” และรายงานต่อคณะกรรมการบริหาร เพื่อพิจารณาและอนุมัติรับรองแผนการบริหารจัดการความเสี่ยงการประมวลผลข้อมูลส่วนบุคคลรวมของบริษัท
- บนพื้นฐานการประเมินความเสี่ยงในระดับองค์กร สำหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบถึงสิทธิเสรีภาพของบุคคล ซึ่งอาจนำไปสู่การเสียประโยชน์ทางเศรษฐกิจและสังคมอย่างมีนัยสําคัญของเจ้าของข้อมูลส่วนบุคคล หรือที่จะทําให้เจ้าของข้อมูลไม่สามารถควบคุมข้อมูลส่วนบุคคลของตนได้ บริษัทกำหนดให้ต้องมีการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Processing Impact Assessment: DPIA) เฉพาะกิจกรรมการประมวลผลข้อมูลส่วนบุคคลความเสี่ยงสูงดังกล่าวเพิ่มขึ้นก่อนการตัดสินใจประมวลผลข้อมูลส่วนบุคคลดังกล่าว โดยต้องทำรายงานกระบวนการประเมินความเสี่ยงดังกล่าวเป็นลายลักษณ์อักษรเพื่อการตรวจสอบ
ทั้งนี้ การประเมิน DPIA ต้องดำเนินการภายใต้หลักการ ดังนี้ (1) ต้องมีการอธิบายรายละเอียดขอบเขตการประเมินผลวัตถุประสงค์และความจำเป็นในการประมวลผลข้อมูลดังกล่าว (2) ต้องมีกระบวนการปรึกษาหารือกับผู้มีส่วนเกี่ยวข้องต่างๆ ทั้งภายในและภายนอกองค์กร ซึ่งรวมถึงเจ้าของข้อมูลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง (3) ต้องมีคำอธิบายที่ชัดเจนเกี่ยวกับความจำเป็นและความได้สัดส่วนของการประมวลผลข้อมูล (4) ต้องจัดให้มีการประเมินความเสี่ยงที่จะส่งผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลโดยคํานึงถึง “ความน่าจะเป็น” (likelihood) และ “ความร้ายแรง” (severity) (5) ต้องกำหนดรายละเอียดมาตรการในการลดความเสี่ยงที่ระบุไว้ และคำอธิบายเกี่ยวกับมาตรการที่เหมาะสมในการลดความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ให้อยู่ในเกณฑ์ความเสี่ยงที่ยอมรับได้ที่บริษัทกำหนดไว้ในกรอบการประเมินความเสี่ยงระดับองค์กร
- การสื่อสารประชาสัมพันธ์นโยบาย
- บริษัทให้ความสำคัญต่อการสื่อสารนโยบายและแนวทางการปฏิบัติงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้แก่พนักงาน รวมถึงผู้ให้บริการภายนอกทั้งหมดของบริษัทที่มีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยและในนามบริษัท โดยกำหนดเป็นนโยบายให้มีการสื่อสารผ่านทุกช่องทางการติดต่อกับพนักงานและผู้ให้บริการภายนอกดังกล่าวอย่างเป็นปกติ โดยเฉพาะเมื่อมีการเปลี่ยนแปลงที่มีสาระสำคัญและกระทบต่อการประมวลผลข้อมูลส่วนบุคคลรวมของบริษัท
- บริษัทกำหนดให้เป็นหน้าที่ของแต่ละหน่วยงานที่ดำเนินการประมวลผลข้อมูลส่วนบุคคล ในการสื่อสารและจัดการฝึกอบรม รวมถึงสร้างความตระหนักรู้ต่างๆ ให้พนักงานภายในแผนกหรือฝ่ายของตน รวมถึงผู้ให้บริการภายนอกที่อยู่ภายใต้สังกัดและการดูแลของหน่วยงาน หรือแผนกดังกล่าวรับทราบเพื่อให้มั่นใจว่าบุคคลดังกล่าวตระหนักรู้ถึงความสำคัญของสิทธิของเจ้าของข้อมูล รวมถึงหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลทั้งหมดนั้น
- กลไกการกำกับดูแลและตรวจสอบ
บริษัทกำหนดกลไกการติดตามตรวจสอบการปฏิบัติตามนโยบายการประมวลผลข้อมูลส่วนบุคคลภายใต้หลักการ ดังนี้
- บริษัทกำหนดกลไกการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคล ตาม 3 Lines of Defense ที่ระบุ ไว้ในข้อ 2.2 โดยให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลทำหน้าที่ติดตามและตรวจสอบการปฏิบัติตามนโยบายของบริษัทที่กำหนดไว้ ทั้งส่วนของพนักงานและผู้ให้บริการภายนอก และรายงานผลต่อคณะกรรมการบริหารอย่างน้อยปีละ 1 ครั้ง หรือกรณีมีการละเมิดอย่างมีนัยสำคัญต่อธุรกิจ หรือชื่อเสียงของบริษัท
- กรณีที่ตรวจพบการฝ่าฝืนนโยบายการคุ้มครองการประมวลผลข้อมูลส่วนบุคคล คณะทำงานคุ้มครองข้อมูลส่วนบุคคลจะเป็นหน่วยงานรับเรื่องร้องเรียน และทำหน้าที่ตรวจสอบจนทราบข้อเท็จจริง หากพบว่าเกิดการฝ่าฝืนหรือละเมิดนั้นจริง คณะทำงานจะเสนอไปยังคณะกรรมการของบริษัท เพื่อพิจารณากำหนดมาตรการลงโทษทางวินัยตามระเบียบบริหารงานบุคคลต่อไป
- การจัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (Report of Processing)
- บริษัทกำหนดให้แต่ละหน่วยงานใน 1st Line of Defense ที่ระบุไว้ในข้อ 2.2 เป็นหน่วยงานผู้รับผิดชอบในการจัดทำและปรับปรุงรายการการประมวลผลข้อมูลดังกล่าวอย่างสม่ำเสมอ โดยต้องดำเนินการควบคู่ไปกับการประเมิน และการทบทวนการประเมินความเสี่ยงการประมวลผลข้อมูลส่วนบุคคล
- บริษัทกำหนดให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลเป็นหน่วยงานให้ความรู้คำแนะนำ กำกับดูแลและตรวจสอบการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคลโดยแต่ละหน่วยงานใน 1st Line of Defense เพื่อรับประกันความถูกต้อง ครบถ้วน และสอดคล้องกับมาตรฐานและกฎหมายที่เกี่ยวข้อง
- นโยบายการเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานภายนอก
- บริษัทกำหนดการบริหารจัดการข้อมูลส่วนบุคคลโดยจัดระดับความลับของข้อมูลดังกล่าว เป็นข้อมูลความลับที่สุด (Strictly Confidential) ภายใต้หลักการในการรักษาความลับของบริษัท โดยเฉพาะกรณีที่จะมีการเปิดเผยส่งต่อข้อมูลส่วนบุคคลไปให้แก่หน่วยงานภายนอกองค์กร
- บริษัทกำหนดให้พนักงานทุกคนมีหน้าที่การบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลที่มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกองค์กร โดยหากจำเป็นต้องมีการเปิดเผยข้อมูลส่วนบุคคลออกไปให้แก่หน่วยงานภายนอกจะต้องมีการตรวจสอบความจำเป็น รวมถึงความเสี่ยงในการส่งต่อข้อมูลส่วนบุคคลและความน่าเชื่อถือของผู้รับข้อมูลส่วนบุคคลดังกล่าวก่อน ทั้งนี้ การส่งต่อหรือเปิดเผยแต่ละครั้งต้องได้รับความยินยอมจากผู้บังคับบัญชาตามอำนาจการอนุมัติ
- ในกรณีการส่งต่อหรือรับข้อมูลส่วนบุคคลจากบุคคลภายนอกองค์กร บริษัทกำหนดนโยบายให้ต้องมีการลงนามในสัญญาหรือข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างบริษัทและบุคคลภายนอกดังกล่าว เพื่อกำหนดเงื่อนไขข้อกำหนดสิทธิและหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลระหว่างคู่สัญญาและรับประกันความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว
- พนักงานผู้เปิดเผยหรือส่งต่อข้อมูลออกไปนอกองค์กร ต้องรับประกันปฏิบัติตามช่องทางและวิธีการส่งต่อหรือเปิดเผยข้อมูลที่บริษัทกำหนดเพื่อให้มีความเสี่ยงด้านความมั่นคงปลอดภัยน้อยที่สุด รวมถึงหลีกเลี่ยงการส่งผ่านช่องทางส่วนตัวที่ไม่สามารถควบคุมได้
- นโยบายการกำหนดระยะเวลาการรักษาข้อมูล
- บริษัทกำหนดกรอบการกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามหลักการพิจารณาความจำเป็นเป็น ดังนี้
- หากมีระยะเวลาตามกฎหมายระบุชัดเจนให้เก็บรักษาข้อมูลส่วนบุคคลส่วนใดไว้เป็นระยะเวลานานเท่าใดให้จัดเก็บตามกําหนดเวลานั้น และในกรณีการเก็บรักษาข้อมูลส่วนบุคคลส่วนใดอยู่ภายใต้เกณฑ์การเก็บรักษาของกฎหมายที่แตกต่างกัน บริษัทกำหนดกรอบการเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นระยะเวลาตามกรอบเวลาสูงสุดที่กฎหมายทั้งหมดกำหนดไว้
- กรณีเป็นการเก็บข้อมูลส่วนบุคคลเนื่องจากความจำเป็น ที่พิจารณาโดยอาศัยความสัมพันธ์ต่างๆ ที่บริษัทมีกับเจ้าของข้อมูลด้วยฐานสัญญา ให้เก็บข้อมูลไว้เท่าที่จำเป็นเพื่อการปฏิบัติตามหน้าที่ในสัญญาที่บริษัทมีกับเจ้าของข้อมูลดังกล่าว เช่น ตลอดระยะเวลาการให้บริการหรือตราบเท่าที่จะมีการยกเลิกสัญญาหรือความสัมพันธ์ที่เกี่ยวข้องซึ่งอาจมีระยะเวลาแน่นอนหรือไม่ก็เป็นได้แต่มีกรอบระยะเวลาการเก็บรักษาที่ชัดเจนแน่นอนซึ่งคาดหมายได้โดยเจ้าของข้อมูล
- กรณีเป็นการเก็บข้อมูลเพื่อประโยชน์อันชอบด้วยกฎหมายของบริษัท ให้เก็บข้อมูลดังกล่าวไว้ตามกรอบที่เหมาะสมเพื่อการใช้สิทธิและประโยชน์อันชอบด้วยกฎหมายนั้นในแต่ละกรณี ภายใต้หลักการดังนี้ เช่น ตามระยะเวลาอายุความกรณีการฟ้องร้องต่อสู้สิทธิต่างๆ ทั้งนี้สำหรับการเก็บรักษาข้อมูลส่วนบุคคลด้วยฐานประโยชน์อันชอบด้วยกฎหมาย บริษัทกำหนดหลักการสำคัญที่ต้องพิจารณา คือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวต้องไม่กระทบสิทธิของเจ้าของข้อมูลมากเกินสมควร และบริษัทต้องให้สิทธิเจ้าของข้อมูลในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลโดยฐานดังกล่าวได้ตามสิทธิที่มี
- กรณีการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานความยินยอม ให้เก็บข้อมูลได้ตราบเท่าที่เจ้าของข้อมูลยังไม่ได้ใช้สิทธิในการถอนความยินยอม ซึ่งเป็นสิทธิอิสระที่เจ้าของข้อมูลสามารถดำเนินการได้ ตลอดระยะเวลาและบริษัทเคารพสิทธิในการตัดสินใจดังกล่าว
- กรณีข้อมูลส่วนบุคคลอ่อนไหว เช่น ประวัติอาชญากรรม หรือประวัติสุขภาพการรักษาพยาบาล หรือข้อมูลชีวภาพอื่นๆ ที่บริษัทอาจเก็บรักษาด้วยความยินยอมของเจ้าของข้อมูล บริษัทต้องใช้ความระมัดระวังในการเก็บรักษาข้อมูลส่วนบุคคลด้วยมาตรฐานที่สูงขึ้น โดยต้องลบหรือทำลายในทันทีที่หมดความจำเป็น
- บริษัทกำหนดแจ้งกรอบระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลแต่ละฐาน เพื่อแต่ละจุดประสงค์ให้เจ้าของข้อมูลแต่ละกลุ่มที่เกี่ยวข้องรับทราบในนโยบายข้อมูลส่วนบุคคลที่บริษัทจะจัดทำและแจ้งเจ้าของข้อมูลเป็นลายลักษณ์อักษร
- เมื่อพ้นระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลตามกรอบที่กำหนดไว้ในข้อ 8.1 แล้ว บริษัทจะลบทําลายข้อมูลส่วนบุคคลดังกล่าว หรือจะดำเนินการทําให้ข้อมูลกลายเป็นข้อมูลนิรนามขึ้นอยู่กับลักษณะของข้อมูล โดยต้องทำลายข้อมูลทั้งที่เป็นกระดาษเอกสาร และข้อมูลในระบบ
- บริษัทกำหนดกระบวนการการตรวจสอบระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล โดยให้ฝ่ายที่เกี่ยวข้อง ซึ่งเป็นฝ่ายที่รับผิดชอบข้อมูลและเอกสารดังกล่าวโดยตรง มีหน้าที่ในการตรวจสอบระยะเวลาการเก็บรักษาข้อมูลตามนโยบายการเก็บรักษาที่ได้ประกาศไว้
- กรณีที่บริษัทว่าจ้างผู้ให้บริการภายนอก เป็นผู้ทำลายข้อมูลส่วนบุคคลที่หมดความจำเป็นดังกล่าว บริษัทกำหนดให้ต้องมีการจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับผู้ให้บริการนั้น เพื่อรับการประกันความสมบูรณ์ในการทำลายข้อมูลด้วยเทคนิคที่เหมาะสม
- บริษัทกำหนดกรอบการกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามหลักการพิจารณาความจำเป็นเป็น ดังนี้
- การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- บริษัทกำหนดการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ภายใต้หลักการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ดังนี้
- ข้อมูลทั้งหมดจะได้รับการเก็บรักษาไว้อย่างปลอดภัยและเป็นความลับ (Confidentiality) โดยถือว่าข้อมูลส่วนบุคคลทั้งหมดโดยเฉพาะข้อมูลส่วนบุคคลอ่อนไหวเป็นข้อมูลความลับสูงสุด
- ข้อมูลทั้งหมดต้องเป็นข้อมูลที่ถูกต้องเชื่อถือได้เป็นไปตามข้อมูลที่ทางผู้เป็นเจ้าของข้อมูลได้ให้ข้อมูลดังกล่าวขึ้นมาโดยไม่เกิดการแก้ไขโดยไม่ได้รับอนุญาต (Integrity) และ
- ข้อมูลต้องมีความพร้อมใช้งานได้ทันทีที่ต้องการ (Availability)
- บริษัทกำหนดจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการผ่านโครงสร้างการจัดตั้งที่กำหนดขึ้น มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพภายใต้หลักการในการควบคุมเงื่อนไขการเข้าถึงและเข้าใช้ข้อมูลส่วนบุคคลในแต่ละระดับข้อมูลผ่านระบบ Authorization Matrix ตาม Role-Based การจัดการระบบ เพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงการเปลี่ยนแปลง การลบ หรือถ่ายโอนข้อมูลส่วนบุคคลได้ โดยเฉพาะอย่างยิ่งกรณีส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอ่อนไหว
- บริษัทกำหนดจัดให้มีการบันทึกและจัดเก็บหลักฐาน (logs) ของการเข้าถึง เปลี่ยนแปลง ข้อมูลส่วนบุคคลในส่วนต่างๆ โดยกำหนดให้ (1) หัวหน้าฝ่ายหรือหน่วยงานที่เกี่ยวข้องรับผิดชอบทำการสอบทานบันทึก Log ของพนักงานภายใต้กำกับดูแลของฝ่ายหรือหน่วยงานของตนตรวจความผิดปกติของ Log อย่างสม่ำเสมอ และ (2) ให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคล และคณะกรรมการตรวจสอบตรวจสอบ Log ดังกล่าวตามลำดับ Line of Defenses ที่เกี่ยวข้อง
- ในการดำเนินการควบคุมและบริหารจัดการการประมวลผลข้อมูลส่วนบุคคลทั้งหมด บริษัทกำหนดให้ ดำเนินการภายใต้กรอบ Maker-Checker และต้องมีการตรวจสอบทดสอบประสิทธิภาพในการทำงาน ของมาตรการและกลไกต่างๆ อย่างสม่ำเสมอ
- บริษัทกำหนดกรอบนโยบายให้หน่วยงานต่างๆ ดำเนินการประมวลผลข้อมูลส่วนบุคคลทั้งหมด ผ่านระบบอิเล็กทรอนิกส์ที่ควบคุมการเข้าถึง และบันทึกการเข้าถึงได้มากกว่าการจัดเก็บข้อมูลเป็นกระดาษ ทั้งนี้ในกรณีจำเป็นต้องใช้ข้อมูลส่วนบุคคลในรูปแบบของกระดาษ ต้องจัดทำบันทึกการใช้ข้อมูลต้องมีนโยบาย Clean Desk และห้ามนำกระดาษที่มีข้อมูลส่วนบุคคลไปใช้ซ้ำ (Reuse) ต้องจัดเก็บใส่กล่องเรียบร้อยที่ระบุกำหนดระยะเวลาการเก็บข้อมูลดังกล่าว และหากจะมีการเคลื่อนย้ายข้อมูลดังกล่าวต้องดำเนินการตามกระบวนการรักษาความมั่นคงปลอดภัยของข้อมูล
- กรณีที่บริษัทใช้เครื่องมืออุปกรณ์หรือทรัพย์สินสารสนเทศใดในการเก็บและประมวลผลข้อมูลส่วน บุคคลของเจ้าของข้อมูล บริษัทต้องดำเนินการจัดทำทะเบียนทรัพย์สินดังกล่าวให้ครบถ้วน และโดยเฉพาะอย่างยิ่งต้องกำหนดจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลโดยผ่านทรัพย์สินสารสนเทศที่เป็นของพนักงานแต่ละคน (BYOD) ให้ชัดเจน เพื่อให้มีมาตรฐานในการรักษาความมั่นคงของข้อมูลส่วนบุคคลในทุกอุปกรณ์ทรัพย์สินสารสนเทศ โดยควรจำกัดการใช้ BYOD เพื่อการเก็บรักษาหรือประมวลผลข้อมูลส่วนบุคคลให้เหลือน้อยที่สุดเพื่อป้องกันความเสี่ยงของการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคล
- บริษัทกำหนดนโยบายการสำรองข้อมูลส่วนบุคลที่มีความสำคัญทั้งหมด ให้ครบถ้วนเพื่อให้ข้อมูลส่วนบุคคลดังกล่าวพร้อมใช้งานได้ตลอดเวลาโดยไม่หยุดชะงัก ตามกรอบระยะเวลาที่เหมาะสมเป็นปกติ ทั้งนี้ บริษัทกำหนดให้มีการทดสอบการสำรองข้อมูลและกระบวนการกู้คืนข้อมูลตามกรอบระยะเวลาที่เหมาะสมตามความเสี่ยงที่ประเมินไว้
- บริษัทกำหนดกระบวนการในการควบคุม และรักษาความปลอดภัยของการประมวลผลข้อมูลส่วนบุคคลโดยผู้ให้บริการภายนอกอย่างชัดเจน โดยกำหนดมาตรฐานตั้งแต่กระบวนการคัดเลือกผู้ให้บริการภายนอก การจัดทำสัญญา การกำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่ผู้ให้บริการภายนอกอาจเข้าถึง โดยจำกัดการเข้าถึงและการใช้งานเฉพาะเท่าที่จำเป็นเท่านั้น พร้อมทั้งการปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ให้บริการดังกล่าวให้ได้มาตรฐานเดียวกันกับมาตรฐานของบริษัท ทั้งนี้ หน่วยงานที่ว่าจ้างผู้ให้บริการดังกล่าวมีหน้าที่ในการติดตาม และตรวจสอบการปฏิบัติหน้าที่ของผู้ให้บริการภายนอกให้เป็นไปตามมาตรฐานที่กำหนดตามกำหนดระยะเวลาเป็นปกติ โดยหากพบความผิดปกติหรือการละเมิดให้ดำเนินการลงโทษผู้ให้บริการดังกล่าวทันที โดยรับประกันไม่ให้เกิดผลกระทบต่อความต่อเนื่องในการให้บริการของบริษัท
- บริษัทต้องทบทวนนโยบายและมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามการประเมินความเสี่ยงเป็นประจำอย่างน้อยปีละ 1 ครั้ง
- บริษัทกำหนดการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ภายใต้หลักการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ดังนี้
- การบริหารจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
- บริษัทกำหนดให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่ในการกำหนดนโยบายและมาตรการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลเป็นเหตุละเมิดข้อมูลส่วนบุคคล โดยประสานกับหน่วยงานที่เกี่ยวข้องใน 1st Line of Defense และหน่วยงานตรวจสอบ
- กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่กำหนดนิยามไว้ บริษัทกำหนดให้คณะทำงานคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ทำหน้าที่รับแจ้งเหตุการณ์และบริหารจัดการเหตุการณ์ดังกล่าวก่อน รวมถึงต้องทำหน้าที่ในการรายงานเหตุการณ์ดังกล่าวให้คณะกรรมการบริหารทราบเพื่อจัดเตรียมเอกสารรายงานจัดส่งให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบระยะเวลาการรายงาน 72 ชั่วโมง นับแต่ทราบเหตุและให้แจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคลกรณีได้รับผลกระทบ
- ภายหลังสิ้นสุดเหตุละเมิดดังกล่าว คณะทำงานคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ในการตรวจสอบและ สอบทานเพื่อพิจารณา Root Cause ของเหตุการณ์ดังกล่าว เพื่อจัดทำรายงานเสนอต่อคณะกรรมการ บริษัททราบ และเพื่อเป็นแผนการในการปรับปรุงแก้ไขป้องกันเหตุละเมิดที่อาจเกิดขึ้นในอนาคตต่อไป
- บริษัทต้องทบทวนแผนการดำเนินการเพื่อบริหารจัดการเหตุการณ์ละเมิดข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงที่ส่งผลกระทบกับแผนดังกล่าว
- การทบทวนหรือปรับปรุงนโยบาย
บริษัทกำหนดให้มีการทบทวนหรือปรับปรุงนโยบายฉบับนี้โดยกรรมการของบริษัท โดยพิจารณาจากรายงานการปฏิบัติตามนโยบายการบริหารจัดการคุ้มครองการประมวลผลข้อมูลที่นำเสนอโดยคณะทำงานคุ้มครองข้อมูลส่วนบุคคล และคณะกรรมการตรวจสอบอย่างน้อยปีละ 1 ครั้งหรือกรณีที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญต่อธุรกิจบริษัท หรือกระบวนการประมวลผลข้อมูลส่วนบุคคลที่บริษัทดำเนินการเพื่อให้นโยบายเป็นปัจจุบันอยู่เสมอ
ประกาศ ณ วันที่ 11 พฤษภาคม 2565