ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
บริษัท ซูมิโตโม เฮฟวี่ อินดัสทรีส์ (ไทยแลนด์) จํากัด
บริษัท ซูมิโตโม เฮฟวี่ อินดัสทรีส์ (ไทยแลนด์) จำกัด (“บริษัท”) ได้มีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของ ลูกค้า คู่ค้า พนักงาน ผู้สมัคร บุคลากรและบุคคลอื่นใดที่เกี่ยวข้องกับบริษัท โดยบริษัทเคารพและตระหนักถึงความสำคัญของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นโดยให้มีผลบังคับใช้กับพนักงานและบุคลากรทุกคน รวมถึงผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท เพื่อกำหนดเป็น แนวทางการปฏิบัติและยึดถือเป็นหลักในการประมวลผลข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด ภายใต้หลักเกณฑ์ระเบียบและมาตรการที่เหมาะสมเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทได้รับจะถูกนำไปใช้ตามระเบียบการปฏิบัติและถูกต้องตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยมีรายละเอียดดังนี้
ข้อ 1 คำนิยาม
“บริษัทฯ”
หมายถึง บริษัท ซูมิโตโม เฮฟวี่ อินดัสทรีส์ (ไทยแลนด์) จำกัด
“ข้อมูลส่วนบุคคล”
หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”
หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“ผู้ควบคุมข้อมูลส่วนบุคคล”
หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลประกาศกำหนด
“ผู้ประมวลผลข้อมูลส่วนบุคคล”
หมายถึง บุคคลหรือนิติบุคคลซึ่งดเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าของข้อมูล”
หมายถึง บุคคลธรรมดาที่ข้อมูลนั้นบ่งชี้ไปถึง
“การประมวลผลข้อมูล”
หมายถึง การดำเนินการใดๆ เกี่ยวกับการเก็บรวบรวมใช้เปิดเผยข้อมูลส่วนบุคคล
ข้อ 2 วัตถุประสงค์และการเก็บรวบรวมการใช้ข้อมูลส่วนบุคคล
2.1 บริษัทจะดำเนินการเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นหรือเท่าที่มีความเกี่ยวข้องต่อ วัตถุประสงค์ในการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลดังกล่าว โดยจะไม่เก็บรวบรวมข้อมูลส่วนบุคคลอื่นใดที่ไม่เกี่ยวข้อง
2.2 บริษัทจะดำเนินการเก็บรวบรวมและ/หรือใช้ข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล ที่กำหนดเท่านั้น และจะไม่นำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากวัตถุประสงค์อื่น ในกรณีที่บริษัทมีการดำเนินการอื่นใดนอกเหนือจากวัตถุประสงค์ที่กำหนด บริษัทจะดำเนินการแจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมหากจำเป็น
2.3 ในกรณีที่บริษัทเก็บรวบรวม และ/หรือใช้ข้อมูลส่วนบุคคล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลก่อนเว้นแต่จะเข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้สามารถกระทำได้โดยไม่ต้องขอความยินยอมดังกล่าว
2.4 บริษัทจะไม่จัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพหรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้ง เท่านั้น หรือเข้าข้อยกเว้นตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไม่จำเป็นต้องขอความยินยอม โดยบริษัทจะเก็บรวบรวมใช้ข้อมูลส่วนบุคคลดังกล่าวด้วยความระมัดระวังภายใต้มาตรฐานการรักษาความมั่นคงปลอดภัยที่เหมาะสม
2.5 บริษัทจะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยคำนึงถึงการรักษาความปลอดภัยของข้อมูลส่วนบุคคลเป็นสำคัญไม่นำข้อมูลที่ได้รับมาจากการปฏิบัติงานไปใช้เพื่อวัตถุประสงค์อื่นหรือทำให้เกิดความเสียหายต่อบริษัท
ข้อ 3 การประมวลผลข้อมูลส่วนบุคคลโดยบุคคลภายนอก
บริษัทอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลให้บุคคลหรือหน่วยงานภายนอกประมวลผล โดยบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับ เช่น การแยกส่วนข้อมูลก่อนส่งข้อมูลส่วนบุคคล การจัดส่งข้อมูลเท่าที่จำเป็น รวมถึงการมีข้อตกลงรักษาความลับหรือข้อตกลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้รับข้อมูลดังกล่าว
ข้อ 4 การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
บริษัทอาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังบริษัทในโครงข่ายของบริษัทที่อยู่ต่างประเทศหรือไปยัง ผู้รับข้อมูลอื่นซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติของบริษัท เช่น การส่งหรือโอนข้อมูลส่วนบุคคลไปเก็บไว้บน เซิร์ฟเวอร์(server) หรือ คลาวด์ (cloud) ในประเทศต่าง ๆ บริษัทจะคำนึงและพิจารณาว่าประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
กรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอบริษัทจะดูแลการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนดและจะดำเนินการให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เห็นว่าจำเป็นและเหมาะสมสอดคล้องกับมาตรฐานการรักษาความลับเว้นแต่เข้าข้อยกเว้นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานไม่เพียงพอการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศยังสามารถกระทำได้หากเข้าข้อยกเว้นกรณีเป็นการปฏิบัติตามกฎหมาย,ได้รับความยินยอมจากเจ้าของข้อมูล, เป็นการจำเป็นในการปฏิบัติตามสัญญา, ป้องกันระงับอันตรายต่อชีวิต หรือเป็นการจำเป็น เพื่อประโยชน์สาธารณะเป็นสำคัญ
ข้อ 5 ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่จเป็นต่อการประมวลผลตามวัตถุประสงค์หรือ ตลอดระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์เว้นแต่มีกฎหมายหรือคำสั่งศาลกำหนดให้บริษัทต้องจัดเก็บข้อมูลส่วนบุคคลดังกล่าวตามที่กำหนด เช่น จัดเก็บไว้เพื่อวัตถุประสงค์ในการพิสูจน์ตรวจสอบกรณีอาจเกิดข้อพิพาทภายในอายุความตามที่กฎหมายกำหนด เป็นระยะเวลาไม่เกิน 10 ปี
ทั้งนี้บริษัทจะลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุถึงตัวตนของบุคคลได้เมื่อหมดความจำเป็นหรือสิ้นสุดระยะเวลาดังกล่าว
ข้อ 6 การรักษาความมั่นคงปลอดภัย
6.1 บริษัทจะดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งมาตรการ เชิงเทคนิค (Technical Measure) เช่น การกำหนดรหัสผ่าน การเข้ารหัส (Secure Sockets Layer/SSL) ระบบรักษาความปลอดภัยของอุปกรณ์เครือข่าย เป็นต้น และมาตรการเชิงบริหารจัดการ (Organizational Measure) การกำหนดนโยบายการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศ การรักษาความลับ กำหนดสิทธิเข้าถึง โดยมีการบังคับใช้มาตรการดังกล่าวอย่าง เคร่งครัดและทบทวนปรับปรุงมาตรการทั้งสองอย่างสม่ำเสมอ หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการ รักษาความปลอดภัย ป้องกันการละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้เปลี่ยนแปลง แก้ไข นำข้อมูลไปใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
ข้อ 7 การละเมิดข้อมูลส่วนบุคคล
ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลบริษัทจะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทราบภายใน 72ชั่วโมง นับแต่เมื่อบริษัททราบถึงเหตุละเมิดข้อมูลส่วนบุคคลดังกล่าว หรือกรณีที่การละเมิดข้อมูลส่วนบุคคลนั้นมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทจะดำเนินการแจ้งเหตุละเมิดพร้อมแนวทางเยียวยาเหตุละเมิดดังกล่าวให้เจ้าของข้อมูลทราบโดยไม่ชักช้า
ข้อ 8 สิทธิของเจ้าของข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลเป็นสิทธิตามกฎหมาย โดยเจ้าของข้อมูลสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของ กฎหมาย โดยบริษัทจะดำเนินการตามคร้องขอของเจ้าของข้อมูลโดยไม่ชักช้า ทั้งนี้หากมีกรณีที่บริษัทต้องปฏิเสธคำร้องขอ บริษัทจะแจ้งเหตุแห่งการปฏิเสธให้เจ้าของข้อมูลรับทราบ
8.1 สิทธิขอเพิกถอนความยินยอม หากเจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าจะเป็นความยินยอมที่เจ้าของข้อมูลให้ไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ หรือหลังจากนั้น) เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท เว้นแต่มี ข้อจำกัดสิทธินั้นโดยกฎหมายหรือมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลอยู่ โดยบริษัทจะแจ้งถึงผลกระทบที่อาจเกิดขึ้นจากการ ถอนความยินยอมดังกล่าวให้เจ้าของข้อมูลทราบ
8.2 สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอเข้าถึงหรือขอรับสำเนาซึ่งข้อมูลส่วนบุคคลของตนที่อยู่ใน ความรับผิดชอบของบริษัทรวมถึงขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของฃข้อมูลไม่ได้ให้ความ ยินยอม ทั้งนี้บริษัทมีสิทธิปฏิเสธคร้องขอ หากเป็นไปตามกฎหมายหรือคำสั่งศาล หรือการเข้าถึงหรือขอรับสำเนานั้นส่งผล กระทบต่อสิทธิเสรีภาพของบุคคลอื่น
8.3 สิทธิขอโอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลในกรณีที่บริษัทได้จัดทข้อมูลส่วน บุคคลนั้นอยู่ในรูปแบบให้สามารถอ่านหรือใช้งานได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือ เปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค
ทั้งนี้ข้อมูลส่วนบุคคลข้างต้นต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมแก่บริษัทในการเก็บรวบรวมใช้ และ/หรือเปิดเผย หรือเป็นข้อมูลส่วนบุคคลที่บริษัทจำเป็นต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยเพื่อสามารถดำเนินการตาม สัญญาได้ตามความประสงค์ หรือ เป็นข้อมูลส่วนบุคคลอื่นตามที่ผู้มีอำนาจตามกฎหมายกำหนด
8.4 สิทธิขอคัดค้านการเก็บรวบรวม ใช้เปิดเผย ข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลในเวลาใดก็ได้ หากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความ ยินยอม หรือเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ ทั้งนี้บริษัทสามารถปฏิเสธคำร้องขอได้หากเป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือกรณีที่ บริษัทแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายสำคัญยิ่งกว่า หรือเพื่อก่อตั้ง การใช้สิทธิเรียกร้อง การปฏิบัติตามกฎหมาย
8.5 สิทธิขอให้ลบหรือทำลายข้อมูล เจ้าของข้อมูลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วน บุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หากเจ้าของข้อมูลเชื่อว่าข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยไม่ ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าบริษัทไม่มีความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับ นี้ หรือเมื่อเจ้าของข้อมูลได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว
8.6 สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราว ในกรณีที่บริษัท อยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้าน หรือกรณีอื่นใดที่บริษัทไม่มีความจำเป็นและ ต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง
8.7 สิทธิขอให้แก้ไขข้อมูลเจ้าของข้อมูลมีสิทธิขอให้ข้อมูลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
ข้อ 9 บทกำหนดโทษ
ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการ หรือไม่ ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบายและคู่มือแนวทางการปฏิบัติ เกี่ยวกับการจัดการด้านข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความผิดตามกฎหมาย และ/หรือความเสียหายขึ้น ผู้นั้นต้องรับโทษ ทางวินัยตามระเบียบของบริษัท ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัท และ/หรือบุคคลอื่นใด บริษัทอาจ พิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป
ข้อ 10 การปฏิบัติตามนโยบายและการทบกวนนโยบาย
เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทมีการทบทวนการปฏิบัติงานของแต่ละฝ่ายที่เกี่ยวข้อง รวมถึงการจัดทำคู่มือแนวทางการปฏิบัติเกี่ยวกับการจัดการด้านข้อมูลส่วนบุคคลและความปลอดภัยด้านเทคโนโลยีสารสนเทศเพื่อเป็นแนวปฏิบัติแก่พนักงานและบุคลากรของบริษัทในการยึดถือปฏิบัติเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมี ประสิทธิภาพสูงสุด ทั้งนี้ บริษัทจะทการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข
ประกาศ ณ วันที่ 8 เดือน มกราคม พ.ศ. 2567
Akira Yokota
Managing Director