ประกาศการประมวลผลข้อมูลส่วนบุคคลผู้ใช้บริการ Aksorn One Account

กลุ่มบริษัทอักษร เอ็ดดูเคชั่น จำกัด (มหาชน) (“อักษร”) เคารพสิทธิความเป็นส่วนตัวของผู้ใช้บริการ Aksorn One Account (“One Account”) และเพื่อให้เกิดความมั่นใจว่าท่านได้รับความคุ้มครองข้อมูลส่วนบุคคลจึงได้จัดทำประกาศการประมวลผลข้อมูลส่วนบุคคลผู้ใช้บริการ Aksorn One Account (“ประกาศ”) ฉบับนี้ขึ้น เพื่อแจ้งให้ท่านทราบและตกลงยอมรับถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม การใช้ การเปิดเผย การส่งต่อ การบริหารจัดการ รวมถึงการประมวลผลเพื่อการให้บริการต่าง ๆ ที่เข้าถึงข้อมูลส่วนบุคคลของท่านในฐานะผู้ใช้บริการ One Account จากช่องทางออฟไลน์ หรือออนไลน์ผ่านระบบและเว็บไซต์ (“เว็บไซต์”) และ/หรือช่องทางอื่น ๆ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

เมื่อท่านสมัครบัญชี One Account ท่านจะถือเป็น “ผู้ใช้บริการ” โดยเป็นข้อตกลงระหว่างท่านกับอักษรในการใช้บริการไม่ว่าท่านจะเข้าผ่านช่องทางใด ทั้งนี้ เพื่อประโยชน์ในการใช้งานของตัวท่านเอง ท่านรับรองว่าได้อ่านและเข้าใจประกาศ ข้อกำหนดและเงื่อนไข รวมไปถึงเงื่อนไขที่ระบุในเอกสารอื่น ๆ และข้อมูลใด ๆ ที่อักษรจัดหาให้แก่ท่านเป็นอย่างดีแล้ว โดยบัญชีผู้ใช้บริการนี้เป็นบัญชีสำหรับระบุตัวตนของท่านระหว่างการใช้งานช่องทางต่าง ๆ บนเว็บไซต์ของอักษร โดยผู้ใช้บริการสามารถเชื่อมต่อการใช้บริการในแต่ละช่องทางตามสิทธิที่ท่านได้รับ และได้รับความสะดวกในการซื้อสินค้าและ/หรือบริการของอักษรได้ตรงความต้องการ

“ผู้ใช้บริการ” ของ “One Account” อาจแบ่งออกได้เป็นหลายกลุ่มของเจ้าของข้อมูล ได้แก่ (1) กลุ่มโรงเรียนหรือสถาบันการศึกษา (2) กลุ่มครูอาจารย์ (3) กลุ่มนักเรียน (4) กลุ่มผู้ปกครองของนักเรียน (5) กลุ่มบุคคลทั่วไป ทั้งนี้ ผู้ใช้บริการแต่ละประเภทรับทราบว่า ผู้ใช้บริการอาจไม่สามารถใช้บริการทุกประเภทของ One Account ได้ทั้งหมด ทั้งนี้ ขึ้นอยู่กับสิทธิการใช้บริการในแต่ละประเภท

หากมีการเปลี่ยนแปลงใด ๆ ภายใต้ประกาศฉบับนี้ อักษรจะแจ้งให้ท่านผู้ใช้บริการทราบถึงการเปลี่ยนแปลงดังกล่าวผ่านช่องทางการติดต่อต่าง ๆ โดยเฉพาะผ่านเว็บไซต์ของอักษร และให้ถือว่ามีผลบังคับใช้ทันทีที่มีการประกาศ

1. ขอบเขตการบริการของ One Account

   วัตถุประสงค์หลักในการให้บริการของอักษรภายใต้ One Account

   เมื่อท่านสมัครบัญชี One Account และเป็นผู้ใช้บริการ อักษรจะเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการลงทะเบียนและยืนยันตัวตน รวมถึงการจัดการบัญชีผู้ใช้บริการของท่านซึ่งเป็นเครื่องมือที่จะช่วยส่งเสริมสนับสนุนความสามารถและประสิทธิภาพในการเรียนการสอน (Learning Performance) ของผู้ใช้บริการซึ่งเป็นผู้ที่มีส่วนเกี่ยวข้องในระบบการเรียนการสอนทั้งหมด ทั้งนี้ เพื่อให้บรรลุจุดประสงค์หลักที่ระบุไว้ในการให้บริการภายใต้ One Account ดำเนินการผ่านกิจกรรมหลัก 5 ฟังก์ชัน คือ

   1. เพื่อให้ความรู้และฝึกอบรมผ่านสื่อการสอนต่าง ๆ ที่เป็นลิขสิทธิ์ของอักษร
   2. เพื่อเป็นเครื่องมือในการบริหารจัดการการเรียนการสอนที่เกี่ยวข้องกับการให้ความรู้ การฝึกฝนเพื่อพัฒนาความรู้และทักษะ และการประเมินผล
   3. เพื่อดำเนินการทดสอบความรู้ความเข้าใจของผู้ใช้บริการ ทั้ง Online และ/หรือ Offline ซึ่งสะท้อนให้เห็นถึงความสามารถของผู้ใช้บริการที่เข้ารับการทดสอบ และ/หรือประสิทธิภาพในการบริหารจัดการการเรียนการสอนของโรงเรียน ครูอาจารย์ หรือ ผู้ปกครอง
   4. เพื่อให้คำแนะนำในลักษณะที่เป็น Mentor หรือ Coach ให้ผู้ใช้บริการกลุ่มต่าง ๆ เกี่ยวกับจุดแข็งและ/หรือจุดที่ผู้ใช้บริการแต่ละกลุ่มต้องปรับปรุง โดยประเมินจากผลการเข้าร่วมการดำเนินกิจกรรมทุกกระบวนการที่กล่าวไว้
   5. เพื่อความสะดวกในการซื้อขายสินค้าและบริการผ่านระบบ Online (E-commerce) อย่างมีประสิทธิภาพและบริการอื่น ๆ ตามที่อักษรอาจกำหนดและจัดทำเพิ่มเติมตามดุลพินิจฝ่ายเดียวของอักษร โดยสอดคล้องกับเงื่อนไขการให้บริการของ One Account
2. การเก็บรวบรวมข้อมูลส่วนบุคคลและการประมวลผล

   แหล่งที่มาของข้อมูลส่วนบุคคล

   1. การรับข้อมูลส่วนบุคคลโดยตรงมาจากผู้ใช้บริการผ่านการลงทะเบียนหรือการให้ข้อมูลในรูปแบบใดรูปแบบหนึ่งแก่อักษร
   2. ข้อมูลส่วนบุคคลซึ่งได้จากการเก็บ รวบรวม ประมวลผล และวิเคราะห์ด้วยระบบการทำงานอัตโนมัติ ของอักษร ได้แก่ ผลการทดสอบ การบันทึกการเข้าระบบ และการใช้บริการต่าง ๆ ของผู้ใช้บริการทุกระบบ (Function) ของ One Account
   3. กรณีการลงทะเบียนเพื่อเปิดบัญชีผู้ใช้งานผ่านการดำเนินการแทนโดยต้นสังกัด หรือผู้อื่นซึ่งดำเนินการแทนเจ้าของข้อมูลส่วนบุคคลหรือนำข้อมูลของเจ้าของข้อมูลส่วนบุคคลอื่นมาเปิดเผย (ผู้เปิดเผยข้อมูล) เช่น โรงเรียนและ/หรือคุณครูผู้ดูแลระบบ (Admin) ดำเนินการเปิดบัญชีผู้ใช้งานแทนนักเรียนและ/หรือผู้ปกครองหรือนำข้อมูลของนักเรียนและ/หรือผู้ปกครองมาลงทะเบียน ผู้เปิดเผยข้อมูลดังกล่าว รับประกันแก่อักษรว่าข้อมูลดังกล่าวมีความถูกต้องครบถ้วน สมบูรณ์และเป็นปัจจุบัน และตนมีสิทธิและ/หรือได้รับความยินยอมมาจากเจ้าของข้อมูลในการเปิดเผยข้อมูลดังกล่าวต่ออักษรโดยชอบด้วยกฎหมาย ทั้งนี้อักษรมีสิทธิ (แต่ไม่เป็นภาระหน้าที่) ในการตรวจสอบความถูกต้องของสิทธิการเปิดเผยดังกล่าว

   ข้อมูลส่วนบุคคลที่มีการประมวลผล

   ข้อมูลส่วนบุคคลที่มาจากการเปิดบัญชี One Account ผ่านการกรอกข้อมูลของท่าน และ/หรือการส่งมอบข้อมูลส่วนบุคคลนั้นจากบุคคลต้นสังกัดของท่าน เพื่อให้อักษรทำการบันทึกข้อมูลส่วนบุคคลและเปิดบัญชี One Account ให้แก่ท่านในฐานะผู้ใช้บริการ ซึ่งข้อมูลจากการกรอกหรือบันทึกจำเป็นต้องเก็บ รวบรวม และใช้ เพื่อการประเมินคุณสมบัติยืนยันตัวตนของผู้ใช้บริการและการให้บริการตามเงื่อนไขการให้บริการที่อักษรได้กำหนดไว้ นอกจากนี้ยังรวมถึงข้อมูลส่วนบุคคลที่ได้มาจากการจัดเก็บอัตโนมัติโดยระบบ (Function) ผ่านการใช้บริการต่าง ๆ ของท่านผู้ใช้บริการ โดยข้อมูลดังกล่าวมีดังนี้

   • ข้อมูลทั่วไปเกี่ยวกับผู้ใช้บริการ ได้แก่ ชื่อ นามสกุล
   • ข้อมูลการติดต่อ ได้แก่ ที่อยู่อีเมล หมายเลขโทรศัพท์ วันเดือนปีเกิด และเพศ
   • ข้อมูลเลขบัตรประจำตัวประชาชน
   • ข้อมูลต้นสังกัดของผู้ใช้บริการ (ถ้าจำเป็น) เช่น โรงเรียนต้นสังกัด ระดับชั้น เป็นต้น
   • ข้อมูล Username และ Password ที่ผู้ใช้บริการใช้เพื่อการลงทะเบียนเข้าใช้บัญชีผู้ใช้งาน
   • ข้อมูลรายละเอียดการเข้าใช้บริการ Function ต่าง ๆ ที่ท่านได้ดำเนินการ
   • ข้อมูลที่ได้จากการวิเคราะห์ และการประเมินผลการทดสอบรวมถึงการเข้าร่วมกิจกรรมหรือบริการต่าง ๆ ที่ดำเนินการผ่าน Function ต่าง ๆ ของอักษร
   • ข้อมูล log บันทึกรายการการใช้บริการของท่านซึ่งถูกรวบรวมและจัดเก็บโดยอัตโนมัติ
   • ข้อมูลการติดต่อเป็นคำถาม ข้อสงสัย ข้อร้องเรียนต่าง ๆ ที่ท่านอาจติดต่อมายังอักษร
   • ข้อมูลความสนใจและความต้องการของท่าน ซึ่งท่านอาจลงทะเบียนเติมข้อมูลเพิ่มเติมในแบบสอบถามต่าง ๆ ของอักษร
   • ข้อมูลที่อยู่เพื่อการจัดส่งสินค้าและ/หรือบริการที่ท่านสนใจซื้อผ่านระบบ ข้อมูลธุรกรรมการซื้อขาย ซึ่งอาจรวมถึงแต่ไม่จำกัดเพียงแค่ข้อมูลการชำระเงิน ทั้งหลักฐานการชำระเงิน บัญชีธนาคาร บัตรเครดิต หรือข้อมูลอื่น ๆ ที่ท่านอาจให้แก่อักษรเพื่อการซื้อสินค้าและ/หรือบริการนั้น

   วัตถุประสงค์และระยะเวลาในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลเพื่อการใช้งาน One Account

   ข้อมูลส่วนบุคคลทั้งหมดที่อักษรได้รับในระหว่างที่ท่านใช้บริการต่าง ๆ ของ One Account ที่ระบุไว้ จะถูกเก็บ รวบรวม ใช้ ภายใต้วัตถุประสงค์หลัก ดังนี้

   1. อักษรมีหน้าที่ตามสัญญาภายใต้เงื่อนไขการให้บริการต่าง ๆ แก่ผู้ใช้บริการ จึงมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่านตลอดระยะเวลา นับตั้งแต่การเปิดบัญชีผู้ใช้งานจนกระทั่งครบกำหนดระยะเวลา 1 ปีนับจากผู้ใช้บริการแจ้งยกเลิกบัญชีผู้ใช้งานมายังอักษรอย่างเป็นลายลักษณ์อักษร เพื่อวัตถุประสงค์ดังนี้
      1. เพื่อการยืนยันตัวตนของท่านผู้ใช้บริการ ก่อนการอนุญาตให้สิทธิเข้าถึงและใช้ระบบ Functions ต่าง ๆ ของ One Account
      2. เพื่อการให้บริการหรือการดำเนินกิจกรรมต่าง ๆ แต่ละ Functions ที่ท่านผู้ใช้บริการให้ความสนใจในการเข้าใช้หรือเข้าร่วม
      3. เพื่อตอบคำขอความช่วยเหลือของท่านผ่านช่องทางการติดต่อต่าง ๆ
      4. เพื่อการรวบรวมผลการใช้บริการทั้งหมดของผู้ใช้บริการแต่ละท่านเข้าใน Learner’s Profile
      5. เพื่อการให้คำแนะนำที่ออกแบบมาเป็นการเฉพาะสำหรับผู้ใช้บริการแต่ละท่าน (Personalized Mentor และ Advice) เกี่ยวกับการฝึกอบรม การใช้บริการสื่อการศึกษาเพิ่มเติม ที่เหมาะสมกับผู้ใช้บริการแต่ละท่าน
   2. กรณีซื้อขายสินค้าและ/หรือบริการบนเว็บไซต์ อักษรมีหน้าที่ตามสัญญาดังกล่าวในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อการตรวจสอบความสมบูรณ์และถูกต้องในการสั่งซื้อรวมถึงการชำระเงินและเพื่อการจัดส่งสินค้าและ/หรือบริการให้แก่ผู้ใช้บริการ โดยอักษรจะเก็บข้อมูลส่วนบุคคลไว้เป็นระยะเวลา 10 ปี นับจากที่ได้ยืนยันการรับสินค้า
   3. ในการให้บริการทั้งหมดของอักษรซึ่งอาจมีหน้าที่ตามกฎหมายหรือตามคำสั่งของหน่วยงานราชการในการเก็บ รวมรวบ และรายงานข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่หน่วยงานดังกล่าว ทั้งนี้ ได้แก่แต่ไม่จำกัดเพียง การจัดทำบัญชีและภาษีและเพื่อประโยชน์ในการปฏิบัติตามหน้าที่ดังกล่าวนั้น อักษรจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ตลอดระยะเวลาตามที่กฎหมายกำหนด
   4. เพื่อ (ก) การประมวลผลการออกแบบหรือพัฒนาผลิตภัณฑ์และ/หรือการบริการอื่นของอักษร รวมถึงการปรับปรุงการนำเสนอและ/หรือการปรับปรุงผลิตภัณฑ์และ/หรือการบริการภายใต้บัญชี One Account ให้ตรงกับความสนใจของผู้ใช้บริการในภาพรวม และของผู้ใช้บริการแต่ละท่านมากขึ้น รวมถึง (ข) การปรับปรุงการสร้างความสัมพันธ์ระหว่างท่านผู้ใช้บริการและอักษร ผ่านการฝึกอบรมพนักงานและการพิจารณาทบทวนการแก้ไขข้อร้องเรียนต่าง ๆ โดยอักษรจะเก็บข้อมูลส่วนบุคคลไว้เป็นระยะเวลา 5 ปีนับจากการเข้าใช้บริการครั้งสุดท้าย
   5. โดยไม่กระทบสิทธิของท่านในฐานะเจ้าของข้อมูล อักษรสงวนสิทธิในการเก็บรักษาข้อมูลส่วนบุคคลเพื่อการเตรียมตัวปกป้องสิทธิที่อาจมีภายใต้กฎหมายในขั้นตอนการดำเนินคดีหรือการป้องกันการทุจริตต่าง ๆ ในระบบเป็นระยะเวลาที่เหมาะสมเพื่อการปกป้องต่อสู้สิทธิดังกล่าวได้อย่างมีประสิทธิภาพ ซึ่งโดยหลักการอักษรสงวนสิทธิ์เก็บข้อมูลไว้อีก 10 ปี ภายหลังจากการยกเลิกบัญชีผู้ใช้บริการดังกล่าว
3. การเปิดเผยข้อมูลส่วนบุคคลของท่าน

   โดยหลักการอักษรรับประกันว่าจะไม่เปิดเผยหรือส่งต่อข้อมูลส่วนบุคคลใด ๆ ของผู้ใช้บริการให้แก่บุคคลอื่นยกเว้นบุคคลดังต่อไปนี้

   • ผู้ใช้บริการรายอื่นบน One Account อันได้แก่
     1. โรงเรียนต้นสังกัดซึ่งเป็นผู้ว่าจ้างให้อักษรให้บริการเครื่องมือการเรียนการสอนเพื่อประโยชน์ของผู้ใช้บริการที่เป็นบุคคลภายใต้สังกัด ในกรณีนี้อักษรในฐานะผู้ให้บริการมีความจำเป็นต้องส่งต่อและเปิดข้อมูลการทดสอบ ผลการเรียนหรือข้อมูลการวัดผลความพึงพอใจในการเรียนการสอนของผู้ใช้บริการในสังกัดให้แก่ต้นสังกัดดังกล่าว
     2. ผู้ใช้บริการกลุ่มครูอาจารย์ ผู้ดำเนินการจัดการเรียนการสอนผ่านระบบและเครื่องมือของอักษรและกำหนดให้ผู้ใช้บริการกลุ่มนักเรียนเข้าร่วมในกิจกรรม ในกรณีดังกล่าว อักษรจำเป็นต้องส่งต่อแลกเปลี่ยน เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการที่เกี่ยวข้องในการเข้าร่วมกิจกรรมให้แก่ ครูอาจารย์ที่เป็นผู้จัดกิจกรรมนั้น และ
     3. ผู้ใช้บริการกลุ่มผู้ปกครอง ซึ่งจะสามารถเข้าถึงข้อมูลส่วนบุคคลของนักเรียนซึ่งอยู่ภายใต้การคุ้มครองดูแลของผู้ปกครองดังกล่าว เพื่อให้การสนับสนุนเพิ่มเติมแก่นักเรียนซึ่งเป็นผู้เยาว์ในสังกัดได้

     ทั้งนี้ การดำเนินการส่งต่อและเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลต้นสังกัดดังกล่าว อักษรจะดำเนินการภายใต้ข้อจำกัดสิทธิของแต่ละกลุ่มผู้ใช้บริการตามเงื่อนไขการให้บริการที่อักษรกำหนดและจะดำเนินการบนพื้นฐานที่จำเป็นสำหรับแต่ละกลุ่ม (Need to Know Basis) เท่านั้น

   • ผู้ให้บริการภายนอก ที่อักษรอาจว่าจ้างเพื่อการให้บริการต่าง ๆ ที่อาจจำเป็น ทั้งนี้ อักษรจะกำหนดมาตรการอย่างเหมาะสมในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่านดังกล่าวผ่านการจัดทำมาตรการในการจำกัดการเข้าถึงข้อมูลและการจัดทำสัญญาการประมวลผลข้อมูลส่วนบุคคลที่จำกัดขอบเขตจุดประสงค์ในการเปิดเผยและเข้าถึงข้อมูลส่วนบุคคลดังกล่าวบนพื้นฐานที่จำเป็นเท่านั้น
   • หน่วยงานราชการหรือหน่วยงานกำกับดูแล ที่อักษรอาจมีหน้าที่ภายใต้กฎหมาย กฎระเบียบหรือข้อบังคับที่เกี่ยวข้องกำหนดรวมถึงคำสั่งของหน่วยงานราชการ

     ทั้งนี้ เพื่อคงคุณภาพของบริการและผลิตภัณฑ์ให้อยู่ในระดับที่ดีที่สุด อักษรอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของผู้ใช้บริการไปยังผู้ให้บริการภายนอกที่อยู่ต่างประเทศ ทั้งประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และประเทศปลายทางที่ไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ อย่างไรก็ตาม อักษรจะดำเนินการให้มั่นใจว่าผู้รับข้อมูลที่ประเทศปลายทางจะต้องจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยเทียบเท่ากับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ

4. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

   การปกป้องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่านเป็นสิ่งที่สำคัญ ทั้งนี้ อักษรตกลงเก็บข้อมูลส่วนบุคคลของท่านตราบเท่าที่ยังมีความจำเป็นต่าง ๆ ตามที่ระบุไว้ในวัตถุประสงค์ในสถานที่จัดเก็บที่ปลอดภัยและจะใช้มาตรการที่จำเป็นในการปกป้องข้อมูลส่วนบุคคลที่เก็บไว้จากการถูกนำไปใช้ในทางที่ผิด สูญหาย เข้าถึงโดยมิได้รับอนุญาต ดัดแปลง ต่อเติม หรือเปิดเผย

   โดยรวมอักษรได้กำหนดแนวปฏิบัติภายในเพื่อกำหนดสิทธิในการเข้าถึงหรือการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อรักษาความลับและความปลอดภัยของข้อมูล ทั้งนี้ อักษรจะจัดให้มีการทบทวนมาตรการดังกล่าวเป็นระยะเพื่อความเหมาะสม ตามมาตรฐานในอุตสาหกรรมและสอดคล้องกับกฎหมายที่เกี่ยวข้อง

   ทั้งนี้ มาตรการป้องกันการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคลจะประกอบไปด้วยการดำเนินการดังต่อไปนี้ เป็นอย่างน้อย

   1. มาตรการรักษาความมั่นคงปลอดภัยที่ต้องครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม
   2. มาตรการรักษาความมั่นคงปลอดภัยที่ประกอบด้วยมาตรการเชิงองค์กร (Organizational measures) และมาตรการเชิงเทคนิค (Technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (Physical measures) ที่จำเป็นด้วย
   3. ดำเนินการเกี่ยวกับการระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้นกับทรัพย์สินสารสนเทศ (Information assets) การป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น การตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล และการรักษาฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการละเมิดข้อมูลส่วนบุคคลเท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง
   4. มาตรการรักษาความมั่นคงปลอดภัยที่จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลไว้ได้อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทรัพยากรที่ต้องใช้
   5. สำหรับการประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ มาตรการรักษาความมั่นคงปลอดภัยจะต้องครอบคลุมส่วนประกอบต่าง ๆ ของระบบสารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลส่วนบุคคลและอุปกรณ์ต่าง ๆ ที่ใช้อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงหลักการป้องกันเชิงลึก (Defense in depth) ที่ควรประกอบด้วยมาตรการป้องกันหลายชั้น (Multiple layers of security controls)
   6. มาตรการรักษาความมั่นคงปลอดภัยในส่วนที่เกี่ยวกับการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล ให้คำนึงถึงความจำเป็นในการเข้าถึงและใช้งานตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยตามระดับความเสี่ยง ทรัพยากรที่ต้องใช้ โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว อย่างน้อยต้องประกอบด้วยการดำเนินการดังต่อไปนี้อย่างเหมาะสมตามระดับความเสี่ยง
      1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและส่วนประกอบของระบบสารสนเทศที่สำคัญ (Access control) ที่มีการพิสูจน์และยืนยันตัวตน (Identity proofing and authentication) และการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งาน (Authorization) ที่เหมาะสม โดยคำนึงถึงหลักการให้สิทธิเท่าที่จำเป็น (Need-to-Know basis) ตามหลักการให้สิทธิที่น้อยที่สุดเท่าที่จำเป็น (Principle of least privilege)
      2. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User access management) ที่เหมาะสมซึ่งอาจรวมถึงการลงทะเบียนและการถอนสิทธิผู้ใช้งาน (User registration and de-registration) การจัดการสิทธิการเข้าถึงของผู้ใช้งาน (User access provisioning) การบริหารจัดการสิทธิการเข้าถึงตามสิทธิ (Management of privileged access rights) การบริหารจัดการข้อมูลความลับสำหรับการพิสูจน์ตัวตนของผู้ใช้งาน (Management of secret authentication information of users) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (Review of user access rights) และการถอดถอนหรือปรับปรุงสิทธิการเข้าถึง (Removal or adjustment of access rights)
      3. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities) เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งรวมถึงกรณีที่เป็นการกระทำนอกเหนือบทบาทหน้าที่ที่ได้รับมอบหมาย ตลอดจนการลักลอบทำสำเนาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
      4. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
   7. มาตรการรักษาความมั่นคงปลอดภัยจะต้องรวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (Privacy and security awareness) และการแจ้งนโยบาย แนวปฏิบัติ และมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยอย่างเหมาะสม ให้บุคคลที่เป็นผู้ใช้งาน (User) หรือเกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล ทราบและถือปฏิบัติ รวมทั้งกรณีที่มีการปรับปรุงแก้ไขนโยบาย แนวปฏิบัติ และมาตรการดังกล่าวด้วย โดยคำนึงถึงลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ระดับความเสี่ยง ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน

      ทั้งนี้ บุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้อักษรจะต้องดำเนินการตามคำสั่งของอักษรและตกลงที่จะรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเท่านั้น

5. สิทธิของท่านในฐานะเจ้าของข้อมูล

   อักษรรับทราบและเคารพสิทธิตามกฎหมายของผู้ใช้บริการในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของท่านที่อยู่ในการควบคุมของอักษรโดยตกลงและรับประกันว่าท่านสามารถใช้สิทธิต่าง ๆ ดังต่อไปนี้ที่ท่านมีภายใต้กฎหมายได้

   • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้เป็น ปัจจุบันและถูกต้อง เว้นเป็นกรณีที่อักษรอาจอยู่ภายใต้ข้อจำกัดภายใต้กฎหมายในการเปิดเผย หรือ มอบสำเนาข้อมูลดังกล่าวให้แก่ท่าน
   • สิทธิขอรับข้อมูลส่วนบุคคล ในกรณีที่อักษรทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือ ใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ รวมถึงสิทธิขอให้ส่งหรือโอน ข้อมูลรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
   • สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคล
   • สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้เมื่อข้อมูล นั้นหมดความจำเป็นหรือเมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอม
   • สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีเมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบ หรือ เมื่อข้อมูลดังกล่าวหมดความจำเป็น
   • สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องสมบูรณ์และเป็นปัจจุบัน
   • สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
   • สิทธิถอนความยินยอม ในการประมวลผลข้อมูลที่ผู้ใช้บริการเคยให้ไว้ตามวัตถุประสงค์ที่ระบุไว้
   • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้เป็น ปัจจุบันและถูกต้อง เว้นเป็นกรณีที่อักษรอาจอยู่ภายใต้ข้อจำกัดภายใต้กฎหมายในการเปิดเผย หรือ มอบสำเนาข้อมูลดังกล่าวให้แก่ท่าน
   • สิทธิขอรับข้อมูลส่วนบุคคล ในกรณีที่อักษรทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือ ใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ รวมถึงสิทธิขอให้ส่งหรือโอน ข้อมูลรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
   • สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคล
   • สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้เมื่อข้อมูล นั้นหมดความจำเป็นหรือเมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอม
   • สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีเมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบ หรือ เมื่อ ข้อมูลดังกล่าวหมดความจำเป็น
   • สิทธิถอนความยินยอม ในการประมวลผลข้อมูลที่ผู้ใช้บริการเคยให้ไว้ตามวัตถุประสงค์ที่ระบุไว้

   ผู้ใช้บริการสามารถติดต่อมายังอักษรเพื่อดำเนินการขอใช้สิทธิข้างต้นได้ ตามรายละเอียดการติดต่อที่ได้กำหนดไว้และจะพิจารณาแจ้งผลการพิจารณาคำร้องของผู้ใช้บริการให้ทราบภายในกรอบระยะเวลาที่เหมาะสม

   ทั้งนี้ กรณีที่ผู้ใช้บริการเห็นว่าอักษรหรือผู้ประมวลผลข้อมูลของอักษร รวมทั้งพนักงานของอักษรไม่ปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือประกาศอื่น ๆ ภายใต้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ผู้ใช้บริการมีสิทธิยื่นร้องเรียนต่อเจ้าหน้าที่ผู้เชี่ยวชาญ ณ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

6. ข้อมูลการติดต่ออักษรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล

   อักษรยินดีรับคำถาม ข้อร้องเรียน ความเห็น และคำขอใด ๆ ที่เกี่ยวข้องกับประกาศฉบับนี้ โดยเฉพาะการใช้สิทธิในฐานะเจ้าของข้อมูลของท่านได้ โดยท่านสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของอักษรได้ที่อีเมล E-mail : privacy@aksorn.com หรือส่งไปรษณีย์มาที่ บริษัท อักษร เอ็ดดูเคชั่น จำกัด (มหาชน) ตามที่อยู่ 142 ซอยแพร่งสรรพศาสตร์ ถนนตะนาว แขวงศาลเจ้าพ่อเสือ เขตพระนคร กรุงเทพมหานคร 10200

ประกาศ ณ วันที่ 1 กรกฎาคม 2566