นโยบายความเป็นส่วนตัว
การให้ความยินยอมในการให้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
อ้างถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล") บริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด(“บริษัท”) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ได้จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) ขึ้น เพื่อแจ้งให้ท่านในฐานะ เจ้าของข้อมูลส่วนบุคคล ได้ทราบเกี่ยวกับรายละเอียดและวัตถุประสงค์ รวมถึงรายละเอียดเกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคล ระยะเวลา ในการจัดเก็บข้อมูลส่วนบุคคล ตลอดจนสิทธิตามกฎหมายของท่านที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และวิธีการที่ท่านสามารถติดต่อบริษัทเพื่อ ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล โดยท่านสามารถศึกษานโยบายความเป็นส่วนตัว (Privacy Policy) ได้ที่เว็บไซต์ของบริษัท https://www.cbgdevices.com/privacypolicy เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บริษัทมีความจำเป็นต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของท่านแก่บริษัท และ/หรือบุคคลที่ได้รับมอบหมายให้เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจากบริษัท และ/หรือหน่วยงานของรัฐ และ/หรือเอกชนเพื่อปฏิบัติให้เป็นไปตามกฎหมาย ดังต่อไปนี้ ข้าพเจ้า (ชื่อ-สกุล) เลขบัตรประจำตัวประชาชน ในฐานะเจ้าของข้อมูลส่วน บุคคล ได้อ่านและรับทราบนโยบายความเป็นส่วนตัว (Privacy Policy) ของบริษัทแล้ว และขอให้ความยินยอมแก่บริษัทในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของข้าพเจ้าที่มีอยู่กับบริษัทได้ภายใต้ข้อกำหนด เงื่อนไข และวัตถุประสงค์ ดังต่อไปนี้
ข้อ 1. ข้อมูลที่จัดเก็บและใช้โดยบริษัท ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคที่บริษัทได้รับมา ได้แก่ (1) ข้อมูลทั่วไป หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุและบ่งบอกตัวบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล วันเดือนปีเกิด อายุ ที่อยู่ เพศ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน อีเมล์ ไลน์ไอดี ชื่อในการใช้งานเฟซบุ๊ก (Facebook) รูปถ่าย เป็นต้น
(2) ข้อมูลด้านการทำธุรกิจ หมายความว่า ข้อมูลหรือสิ่งใด ๆ ที่แสดงออกมาในรูปแบบเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพนิ่งการบันทึกภาพเคลื่อนไหว หรือเสียงการบันทึกโดยเครื่องมือทาง อิเล็กทรอนิกส์หรือวิธีอื่นใดที่ท าให้สิ่งที่บันทึกไวปรากฏขึ้นในเรื่องที่เกี่ยวกับการด าเนินธุรกิจของบุคคลที่สามารถระบุตัวบุคคลได้และ/หรือ
(3) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว อันได้แก่ ข้อมูลชีวภาพ ข้อมูลสุขภาพ ประวัติอาชญากรรม และข้อมูลที่แสดงอยู่ในเอกสารประจำตัว เป็นต้น โดยเป็นข้อมูลส่วนบุคคลที่มีความสมบูรณ์ ถูกต้อง เป็นปัจจุบัน และมีคุณภาพ จะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์ที่กำหนดไว้ ตามนโยบายนี้เท่านั้น และบริษัทจะดำเนินมาตรการที่เข้มงวดในการรักษาความมั่นคงปลอดภัย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วน บุคคลไปใช้โดยมิได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลก่อน
ข้อ 2. ความยินยอมให้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ข้าพเจ้าตกลงยินยอมให้บริษัทเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคลและข้อมูลการใช้บริการของข้าพเจ้าได้และยินยอมให้บริษัทส่ง โอน ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลใน บริษัท บริษัทอื่น ๆ ในเครือเดียวกัน ผู้ประมวลผลข้อมูล นิติบุคคลหรือบุคคลใด ๆ ที่เกี่ยวข้องตามสัญญา หรือคู่ค้าหรือพันธมิตรทางการค้า และธุรกิจ หรือผู้ให้บริการที่เป็นบุคคลภายนอก เช่น ผู้สอบบัญชี ผู้ตรวจสอบภายในและผู้ตรวจสอบภายนอกของบริษัท ที่ปรึกษากฎหมาย และทนายความ ผู้ให้บริการเกี่ยวกับเทคโนโลยีสารสนเทศ การวิเคราะห์ข้อมูล สถิติ การวิจัยและพัฒนาผลิตภัณฑ์ เป็นต้น หรือดำเนินการ ตามกฎหมาย หน่วยงานภาครัฐ หน่วยงานก ากับดูแล สถาบันการเงิน ผู้รับโอนสิทธิเรียกร้อง ได้ทั้งในประเทศไทยและต่างประเทศตามความ จำเป็นและเหมาะสม โดยมีวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล คือ (1) เพื่อวัตถุประสงค์ในการขายสินค้า ให้บริการ วิเคราะห์ข้อมูล ปรับปรุงคุณภาพสินค้าหรือการให้บริการ, (2) เพื่อประโยชน์ในการดำเนินงานของบริษัท เช่น การจัดซื้อจัดจ้าง การทำสัญญา การทำธุรกรรมทางการเงิน การดำเนินกิจกรรมบริษัท การติดต่อประสานงาน การโฆษณา ประชาสัมพันธ์ หรือให้ข้อมูลข่าวสารต่าง ๆ, (3) เพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของบริษัท , (4) เพื่อตรวจสอบรายการธุรกรรมที่อาจบ่งชี้ถึงการทุจริต, (5) เพื่อประโยชน์ในการยืนยันหรือระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล, (6) เพื่อ วัตถุประสงค์อื่นใดที่เกี่ยวข้องกับการขายสินค้าหรือให้บริการระหว่างท่านกับบริษัท และ/หรือ (7) เพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบ ของหน่วยงานราชการที่เกี่ยวข้องต่อการดำเนินงานของบริษัท โดยบริษัทจะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล หรือตามที่ กฎหมายกำหนดไว้หรือตามความจำเป็นทางเทคนิคเท่านั้น
ข้อ 3. ข้าพเจ้ายินยอมให้บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของข้าพเจ้าจากแหล่งอื่นได้ เป็นต้นว่า ส่วนราชการ หรือหน่วยงานของรัฐ เป็นต้น
ข้อ 4. วิธีการเพิกถอนความยินยอมและผลการเพิกถอนความยินยอม ข้าพเจ้าในฐานะเจ้าของข้อมูลส่วนบุคคลอาจเพิกถอนความยินยอมทั้งหมดหรือส่วนใดส่วนหนึ่งตามหนังสือฉบับนี้โดยข้าพเจ้าจะแจ้งให้บริษัททราบเป็นหนังสือ และบริษัทอาจขอทราบถึงเหตุผลแห่งการนั้น การเพิกถอนความยินยอมของข้าพเจ้า จะไม่ส่งผลกระทบต่อการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่ข้าพเจ้าได้ ยินยอมแก่บริษัทไปแล้วก่อนหน้านั้น ในกรณีที่การเพิกถอนความยินยอมเกิดผลกระทบต่อสิทธิหรือหน้าที่ใด ๆ ของข้าพเจ้า ข้าพเจ้ายอมรับผลกระทบที่เกิดจากการนั้น ได้ อนึ่ง ในกรณีที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดหลักเกณฑ์วิธีการใด ๆ ในอนาคตที่มีผลทำให้การให้ความยินยอม ตามหนังสือฉบับนี้จะต้องเปลี่ยนแปลง ปรับปรุง หรือแก้ไข เพื่อให้สอดคล้องกับหลักเกณฑ์และวิธีการดังกล่าว ข้าพเจ้ายินดีที่จะให้บริษัท ดำเนินการจัดทำหนังสือขึ้นใหม่
นโยบายการใช้งาน Cookies
นโยบายการใช้คุกกี้นี้ จะอธิบายถึงประเภท เหตุผล และลักษณะการใช้คุกกี้ รวมถึงวิธีการจัดการคุกกี้ ของเว็บไซต์ทั้งหมดของ บริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัดโดยมีรายละเอียด ดังนี้
-
คุกกี้ (Cookies) คืออะไร ? คุกกี้ คือ ข้อมูลคอมพิวเตอร์ขนาดเล็ก (text file) ที่จะถูกติดตั้ง หรือบันทึกลงบนคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ของท่านเมื่อ ท่านเข้าชมเว็บไซต์ คุกกี้จะจดจำข้อมูลการใช้งานเว็บไซต์ของท่าน ทั้งนี้เราจะเรียกเทคโนโลยี อื่นที่ทำหน้าที่คล้ายคลึงกันว่าคุกกี้ด้วย
-
เราใช้คุกกี้อย่างไรบ้าง? เราจะใช้คุกกี้เมื่อท่านได้เข้าเยี่ยมชมเว็บไซต์ของเรา โดยการใช้งานคุกกี้ของเราแบ่งออกตามลักษณะของการใช้งานได้ดังนี้
-
คุกกี้เพื่อการวิเคราะห์ (Analytic Cookies) คุกกี้ประเภทนี้จะเก็บข้อมูลการใช้งานเว็บไซต์ของท่าน เพื่อให้เราสามารถวัดผล ประเมิน ปรับปรุง และพัฒนาเนื้อหา สินค้า/บริการและเว็บไซต์ของเราเพื่อเพิ่มประสบการณ์ที่ดีในการใช้เว็บไซต์ของท่าน ทั้งนี้ หากท่านไม่ยินยอมให้เราใช้คุกกี้ประเภทนี้ เราจะไม่สามารถวัดผล ประเมิน และพัฒนาเว็บไซต์ได้
-
คุกกี้เพื่อช่วยในการใช้งาน (Functional Cookies) คุกกี้ประเภทนี้จะช่วยจดจำข้อมูลคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ที่ท่านใช้เข้าชมเว็บไซต์ ข้อมูลการลงทะเบียนหรือ log in ข้อมูลการตั้งค่าหรือตัวเลือกที่ท่านเคยเลือกไว้บนเว็บไซต์ เช่น ภาษาที่แสดงบนเว็บไซต์ เพื่อให้ท่านสามารถใช้งานเว็บไซต์ได้สะดวกยิ่งขึ้น โดยไม่ต้องให้ข้อมูลหรือตั้งค่าใหม่ทุกครั้งที่ท่านเข้าใช้เว็บไซต์ ทั้งนี้ หากท่านไม่ยินยอมให้เราใช้คุกกี้ประเภทนี้ ท่านอาจใช้งานเว็บไซต์ได้ไม่สะดวกและไม่เต็มประสิทธิภาพ
-
คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย (Targeting Cookies) คุกกี้ประเภทนี้จะเก็บข้อมูลต่าง ๆ ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของท่าน และสร้างโปรไฟล์เกี่ยวกับตัวท่าน เพื่อให้เราสามารถวิเคราะห์และนำเสนอเนื้อหา สินค้า/บริการ และ/หรือ โฆษณาที่เหมาะสมกับความสนใจของท่านได้ ทั้งนี้ หากท่านไม่ยินยอมให้เราใช้ คุกกี้ประเภทนี้ ท่านอาจได้รับข้อมูลและโฆษณาทั่วไปที่ไม่ตรงกับความสนใจของท่าน การใช้คุกกี้โดยบุคคลที่สาม (Third-Party Cookies) เว็บไซต์ของเรา มีการใช้คุกกี้โดยบุคคลที่สาม ซึ่งลักษณะการใช้งานและการตั้งค่าจะเป็นไปตามคุกกี้ในข้อ 2 โดยท่านจะไม่สามารถเลือกตั้งค่าการใช้งานเฉพาะคุกกี้โดยบุคคลที่สามได้ ทั้งนี้ เราไม่สามารถควบคุมการใช้ข้อมูลของบุคคลที่สามนั้นได้ ท่านสามารถตรวจสอบรายชื่อของบุคคลที่สาม นโยบายความเป็นส่วนตัว (Privacy Notice) และนโยบายการใช้คุกกี้ของบุคคลที่สาม ซึ่งแตกต่างจากเว็บไซต์ของเราได้ที่เว็บไซต์ของบุคคลที่สามนั้นๆ การจัดการคุกกี้ ท่านสามารถ เลือกตั้งค่า คุกกี้แต่ละประเภท โดย การตั้งค่าในเว็บบราวเซอร์ (web browser) เช่น ห้ามการติดตั้งคุกกี้ลงบนอุปกรณ์ของท่าน ทั้งนี้การปิดการใช้งานคุกกี้อาจส่งผลให้ท่านไม่สามารถใช้เว็บไซต์ต่างๆ ได้อย่างมีประสิทธิภาพ
-
ข้อกำหนดและสิทธิส่วนบุคคล
เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้
1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) : ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล
สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?
-
สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
-
สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
-
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
-
สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten)
-
สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
-
สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
ทั้งนี้ ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกัน ก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) : ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อรับมือกับพ.ร.บ.นี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหารสำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้า ตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ฉบับนี้จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูลหรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม
บทลงโทษของผู้กระทำความผิด
– โทษทางอาญา
-
จำคุกสูงสุด 1 ปี
-
ปรับสูงสุด 1 ล้านบาท
– โทษทางแพ่ง
-
จ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง
– โทษทางปกครอง
-
ปรับไม่เกิน 5 ล้านบาท
นโยบายความเป็นส่วนตัว
บริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด (“บริษัท”) เคารพสิทธิความเป็นส่วนตัวของลูกค้า ผู้ถือหุ้น พนักงานของบริษัท และบุคคลต่าง ๆ ที่เกี่ยวข้องกับบริษัท และเพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการบริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด จึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท (Privacy Policy) เพื่อให้บริษัทมีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม
-
ขอบเขตการบังคับใช้ : นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับบริษัท พนักงานของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของบริษัท
-
คำนิยาม
2.1 การประมวลผล (Processing) หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย
2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data)
2.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
2.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลข้อมูลส่วนบุคคล
2.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
2.6 บริษัท หมายถึง บริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด และบริษัทย่อยตามงบการเงินรวมของบริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด
นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
3.1 บริษัทจะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้ (1) กำหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกำหนดบทบาท ภารกิจและความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้อง ให้ชัดเจน เพื่อสร้างกลไกการกำกับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท (2) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer: DPO) โดยมีบทบาทและหน้าที่ตามที่กำหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.2 บริษัทจะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.3 บริษัทจะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างต่อเนื่อง
3.4 บริษัทจะดำเนินการฝึกอบรมพนักงานของบริษัทอย่างสม่ำเสมอ เพื่อให้พนักงานของบริษัทตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและทำให้มั่นใจได้ว่าพนักงานของบริษัทที่เกี่ยวข้องทุกคนผ่านการฝึกอบรมและมีความรู้ความเช้าใจในการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูล ส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทางการดำเนินธุรกิจของบริษัท อีกทั้งบริษัทจะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
4.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3 บริษัทจะจัดทำและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สำหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการหรือกิจกรรม ที่เกี่ยวข้อง
4.4 บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว
4.5 บริษัทจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6 ในกรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทำข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลสส่วนบุคคลของบริษัท
4.7 ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่าประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย
4.8 บริษัทจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดำเนินธุรกิจของบริษัท
4.9 บริษัทจะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกำหนด รวมทั้งจะดำเนินการบันทึก และประเมินการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
-
นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
-
บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
-
บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
-
บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย
-
-
นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
-
บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
-
บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา
-
-
บทบาท หน้าที่ และความรับผิดชอบ
-
คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้ (1) กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบริษัท เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้ม ครองข้อมูลส่วนบุคคลของบริษัท (2) กำกับดูแลและสนับสนุนให้บริษัทดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
-
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ให้คณะจัดการบริหารความเสี่ยงของบริษัท (Risk Management Committee) ทำหน้าที่เป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้ (1) จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที (2) ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อย 1 ครั้งต่อปีรวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการและแนวทางการบริหารความเสี่ยงที่เหมาะสม (3) กำหนดและทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดำเนินงานของบริษัท สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท (4) แต่งตั้งเจ้าหน้าที่คุ้มครองช้อมูลส่วนบุคคลของบริษัท (DPO)
-
ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
-
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (DPO) มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้ (1) รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบอย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ (2) ให้คำแนะนำพนักงานของบริษัท เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท (3) ตรวจสอบการดำเนินงานของหน่วยงานในบริษัท ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
-
พนักงานของบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้ (1) ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล (2) รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ให้ผู้บังคับบัญชาทราบ
-
-
โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอาจมีความผิดและถูกลงโทษทางวินัยรวมทั้งอาจได้รับโทษตามที่กฎหมายกำหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 14 พฤษภาคม 2567 ตามมติคณะกรรมการบริษัท ซีบีจี คอสเมติก อินเตอร์เนชั่นแนล จำกัด วันที่ 10 พฤษภาคม 2567