นโยบายคุ้มครองข้อมูลส่วนบุคคลของ
แอนคอร์ ประเทศไทย

วันที่ออก: 20 มกราคม พ.ศ. 2564

บทนำ

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้เป็นของบริษัท จัดหางาน ปาร์คเกอร์ บริดจ์ จำกัด และบริษัท จัดหางาน แอนคอร์ 

เอาท์ซอร์สซิ่ง จำกัด (“แอนคอร์ ประเทศไทย”) นโยบายนี้กำหนดแนวทางปฏิบัติงานและคงไว้ซึ่งแผนการคุ้มครองข้อมูลส่วนบุคคลของแอนคอร์ ประเทศไทย และการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย พ.ศ. 2562 (พรบ. คุ้มครองข้อมูลส่วนบุคคล) และในเขตอำนาจตามกฎหมายอื่นที่เกี่ยวข้อง โดยบังคับใช้กับข้อมูลส่วนบุคคลที่ประมวลผลหรือถือครองไว้ในการดำเนินธุรกิจและการปฏิบัติงานของแอนคอร์ ประเทศไทย

ข้อมูลที่ระบุตัวบุคคลได้ (พีไอไอ) เป็นข้อมูลใดก็ตามที่เกี่ยวข้องกับบุคคลที่ถูกหรือสามารถระบุตัวตนได้ หรือเรียกว่าเจ้าของข้อมูล และข้อมูลพีไอไอที่มีความอ่อนไหวเป็นข้อมูลส่วนบุคคลที่มีความละเอียดมากยิ่งขึ้นและเกี่ยวข้องกับข้อมูลเฉพาะบุคคล เช่น ความเชื่อทางศาสนาและปรัชญา สุขภาพ รสนิยมทางเพศ และความชอบส่วนตัว การเป็นสมาชิกพรรคการเมืองและสหภาพแรงงาน อาชญากรรมและความยุติธรรม ชาติพันธุ์และเชื้อชาติ ข้อมูลชีวมิติและพันธุกรรม ข้อมูลพีไอไอและข้อมูลพีไอไอที่มีความอ่อนไหวต้องอยู่ภายใต้ความคุ้มครองตามพรบ. คุ้มครองข้อมูลส่วนบุคคลของไทย การประมวลผลข้อมูลประกอบด้วยการรวบรวม เก็บรักษา ใช้งาน และเปิดเผยข้อมูลพีไอไอและข้อมูลพีไอไอที่มีความอ่อนไหว 

แอนคอร์ ประเทศไทยจะคงไว้ซึ่งกรอบการทำงานตามหลักความเป็นส่วนตัวและการปฏิบัติตามกฎหมายเพื่อรับประกันการจัดการความเสี่ยงเกี่ยวกับความเป็นส่วนตัว และกำหนดและคงไว้ซึ่งแนวทางปฏิบัติ ขั้นตอน และระบบต่างๆ ที่แสดงให้เห็นถึงการปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ที่เกี่ยวข้อง

หลักการคุ้มครองข้อมูลส่วนบุคคล

การประมวลผลข้อมูลส่วนบุคคลทั้งหมดต้องมีความเป็นธรรม ชอบด้วยกฎหมาย และโปร่งใส อีกทั้งต้องเป็นไปตามหลักการดังต่อไปนี้

ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส: ข้อมูลพีไอไอและข้อมูลพีไอไอที่มีความอ่อนไหวจะมีการประมวลผลเพื่อจุดประสงค์ทางธุรกิจอันชอบด้วยกฎหมายและเป็นไปตามข้อกำหนดด้านกฎระเบียบเท่านั้น บุคคลต้องได้รับทราบถึงการประมวลผลข้อมูลของตนเว้นแต่มีฐานทางกฎหมายและเหตุผลตามสมควรที่ไม่ต้องดำเนินการดังกล่าว

ข้อจำกัดด้านจุดประสงค์: จะมีการประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามจุดประสงค์ธุรกิจที่กำหนดไว้อย่างชัดแจ้ง และชอบด้วยกฎหมายเท่านั้น และจะไม่มีการประมวลผลข้อมูลโดยมิได้รับความยินยอมจากเจ้าของข้อมูลและไม่เป็นไปตามจุดประสงค์ที่กำหนดไว้

การจัดเก็บข้อมูลเท่าที่จำเป็น: ข้อมูลพีไอไอที่ประมวลแล้วนั้นต้องครบถ้วนถูกต้อง เกี่ยวข้องสัมพันธ์กัน และจำกัดไว้เท่าที่จำเป็นตามจุดประสงค์การเก็บรวบรวมหรือประมวลผลข้อมูลเท่านั้น

ความถูกต้องของข้อมูล: ต้องมีมาตรการที่เหมาะสมเพื่อตรวจสอบให้แน่ใจว่า ข้อมูลส่วนบุคคลนั้นถูกต้อง และต้องปรับปรุงข้อมูลล่าสุดอยู่เสมอหากจำเป็น บันทึกหรือฐานข้อมูลใดก็ตามที่มีความสำคัญต้องอยู่ในความครอบครองของหัวหน้าหน่วยธุรกิจที่ได้รับมอบหมาย

การจำกัดการเก็บข้อมูล: ต้องเก็บข้อมูลพีไอไอและข้อมูลพีไอไอที่มีความอ่อนไหวในรูปแบบที่ได้รับอนุญาตไม่เกินกว่าระยะเวลาที่จำเป็นต้องประมวลผลข้อมูลนั้นตามจุดประสงค์ที่กำหนดไว้และเป็นไปตามข้อกำหนดด้านกฎระเบียบ

ความปลอดภัยของข้อมูล: ต้องประมวลผลข้อมูลพีไอไอและข้อมูลพีไอไอที่มีความอ่อนไหวในลักษณะที่มีการคุ้มครองความปลอดภัยของข้อมูล รวมถึงป้องกันการประมวลผลโดยที่มิได้รับอนุญาตหรือมิชอบด้วยกฎหมาย และป้องกันการสูญหาย การทำลาย หรือความเสียหายโดยใช้มาตรการทางเทคนิคและมาตรการขององค์กรที่เหมาะสม (ดูภาคผนวก ช – มาตรการทางเทคนิคในการคุ้มครองข้อมูลส่วนบุคคล)

ความรับผิดชอบ: แอนคอร์ ประเทศไทยจะคงไว้ซึ่งกรอบการทำงานตามหลักความเป็นส่วนตัวและการปฏิบัติตามกฎหมายเพื่อรับประกันการจัดการความเสี่ยงเกี่ยวกับความเป็นส่วนตัว และกำหนดและคงไว้ซึ่งแนวทางปฏิบัติ ขั้นตอน และระบบต่างๆ ที่แสดงให้เห็นถึงการปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ที่เกี่ยวข้อง

การประมวลผลข้อมูล

การประมวลผลข้อมูลของแอนคอร์ ประเทศไทยครอบคลุมสามด้านหลัก ได้แก่ บริการจัดหางาน บริการจัดจ้างงานภายนอก และกระบวนการสนับสนุนงานภายใน ดูรายละเอียดในภาคผนวก ก - กระแสข้อมูล และภาคผนวก ข - กิจกรรมการประมวลผลข้อมูล ณ วันที่ 20 มกราคม พ.ศ. 2564

การตลาด

จะมีการสื่อสารทางการตลาดกับเจ้าของข้อมูลโดยตรงกรณีที่มีบริการที่เกี่ยวข้องกับบริการที่เจ้าของข้อมูลได้ตกลงรับบริการไว้ก่อนหน้านี้หรือได้แสดงความสนใจไว้ และเจ้าของข้อมูลไม่ได้แจ้งว่า ไม่ประสงค์รับข้อมูลสื่อสารด้านการตลาดหรือเจ้าของข้อมูลได้ให้ความยินยอมเป็นการเฉพาะในการรับข้อมูลด้านการตลาดดังกล่าว

สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลเป็นบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลที่มีการประมวลผล และ/หรือเก็บรวบรวมไว้ และมีสิทธิในข้อมูลดังกล่าวตามพรบ. คุ้มครองข้อมูลส่วนบุคคล แอนคอร์ ประเทศไทยมีกระบวนการและขั้นตอนในการอนุญาตให้เจ้าของข้อมูลใช้สิทธิดังกล่าวดังต่อไปนี้

• รับทราบและเข้าถึงข้อมูลของตน
  
• รับสำเนาข้อมูลส่วนบุคคลของตน
• แก้ไขหรือปรับปรุงข้อมูลส่วนบุคคล
• ลบหรือทำลายข้อมูลส่วนบุคคล
• จำกัดการประมวลผลข้อมูลของตน
• ถอนความยินยอมของตน
• รับข้อมูลของตนในรูปแบบที่สามารถอ่านได้และใช้งานโดยทั่วไป
• ขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ใช้เพื่อทำการตลาดโดยตรง 
• ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน

ดูรายละเอียดในภาคผนวก ค - ขั้นตอนการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูล

การอบรม

พนักงานทุกคนต้องได้รับการอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้แน่ใจว่าทราบรายละเอียดเกี่ยวกับพรบ. คุ้มครองข้อมูลส่วนบุคคลและหลักการคุ้มครองข้อมูลส่วนบุคคลของไทย รวมถึงเรื่องต่างๆ ที่เกี่ยวข้องเป็นอย่างดี ดูรายละเอียดในภาคผนวก ง - แผนอบรมการคุ้มครองข้อมูลส่วนบุคคล

การละเมิดข้อมูลส่วนบุคคล

แอนคอร์ ประเทศไทยจะคงไว้ซึ่งขั้นตอนในการตรวจสอบให้แน่ใจว่า การกระทำอันเป็นการละเมิดข้อมูลส่วนบุคคลที่อาจส่งผลกระทบร้ายแรงและความเสี่ยงต่อเจ้าของข้อมูลและสิทธิของเจ้าของข้อมูลนั้นมีการรายงานให้หน่วยงานที่รับผิดชอบตามพรบ.คุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง และแจ้งให้เจ้าของข้อมูลทราบกรณีที่เหตุการณ์ดังกล่าวก่อให้เกิดความเสี่ยงสูงต่อตัวเจ้าของข้อมูล ดูรายละเอียดในภาคผนวก จ - ขั้นตอนการรายงานเหตุการละเมิดข้อมูลส่วนบุคคล

บุคคลภายนอก

การประมวลผลข้อมูลส่วนบุคคลใดๆ ของบุคคลภายนอกในนามของแอนคอร์ ประเทศไทย จะอยู่ภายใต้ข้อตกลงที่ทำขึ้นเป็นลายลักษณ์อักษรตามระดับการจัดการข้อมูลเพื่อให้แน่ใจว่ามีมาตรการทางเทคนิคและการดำเนินงานที่เพียงพอเหมาะสม โดยต้องมีการทบทวนรายชื่อผู้ค้าเป็นประจำ ดูรายละเอียดในภาคผนวก ฉ – มาตรการควบคุมการคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอก และภาคผนวก ช - มาตรการทางเทคนิคในการคุ้มครองข้อมูลส่วนบุคคล

การถ่ายโอนข้อมูลระหว่างประเทศ

การถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศระหว่างแอนคอร์ ประเทศไทย และสำนักงานใหญ่แอนคอร์จะอยู่ภายใต้ข้อตกลงภายในที่มีการรับประกันการคุ้มครองความปลอดภัยข้อมูลส่วนบุคคล การถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศไปยังบุคคลภายนอกต้องอยู่ภายใต้ข้อตกลงที่กำหนดให้ผู้รับข้อมูลต้องคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลภายใต้เงื่อนไขเดียวกับที่กำหนดไว้ในนโยบายฉบับนี้

ภาคผนวก ก – กระแสข้อมูล และภาคผนวก ข - กิจกรรมการประมวลผลข้อมูล (ณ วันที่ 20 มกราคม พ.ศ. 2564) ดูหมายเลขกิจกรรมการประมวลผลข้อมูลในแผนภาพกระแสข้อมูลในภาคผนวก ก และกิจกรรมการประมวลผลข้อมูลแสดงไว้ในตาราง ดูรายละเอียดเพิ่มเติมเกี่ยวกับกิจกรรมการประมวลผลข้อมูลในไฟล์เอกซ์เซล

บริการจัดหางาน

บริการจัดจ้างงานภายนอก

กระบวนการสนับสนุนงานภายใน

ภาคผนวก ค - ขั้นตอนการใช้สิทธิเข้าถึงข้อมูลของเจ้าของข้อมูล

ภาคผนวก จ – ขั้นตอนการรายงานเหตุการละเมิดข้อมูลส่วนบุคคล

ภาคผนวก ฉ – มาตรการควบคุมการคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอก - อยู่ในเอกสารแยกต่างหาก

ภาคผนวก ช – มาตรการทางเทคนิคในการคุ้มครองข้อมูลส่วนบุคคล - อยู่ในเอกสารแยกต่างหาก