Privacy Policy and Notice

นโยบายและประกาศความเป็นส่วนตัว

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด ("บริษัทฯ") ให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยในการประมวลผลข้อมูลอย่างสูงสุด เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และมาตรฐานสากล ISO/IEC 27701:2019 บริษัทจึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแสดงถึงหลักการ แนวทาง และมาตรการในการเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้งาน พันธมิตรธุรกิจ และบุคคลที่เกี่ยวข้องทุกฝ่าย
1. หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล

บริษัทยึดหลักการสากลและตาม PDPA ในการประมวลผลข้อมูลส่วนบุคคล ดังนี้:

• ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness, Transparency)
• ความจำกัดตามวัตถุประสงค์ (Purpose Limitation)
• การใช้ข้อมูลอย่างจำกัดและจำเป็น (Data Minimization)
• ความถูกต้องของข้อมูล (Accuracy)
• การเก็บรักษาอย่างจำกัดเวลา (Storage Limitation)
• ความมั่นคงปลอดภัยและความลับ (Integrity and Confidentiality)
• ความสามารถในการแสดงความรับผิดชอบ (Accountability)

2. ข้อมูลส่วนบุคคลที่บริษัทประมวลผล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ชื่อ-นามสกุล ข้อมูลติดต่อ อีเมล หมายเลขโทรศัพท์ ข้อมูลบัญชีผู้ใช้งาน ข้อมูลการใช้งานเว็บไซต์หรือระบบอีเมล ข้อมูลเทคนิค เช่น IP address รวมถึงข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยข้อมูลจะถูกประมวลผลเท่าที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่ได้แจ้งไว้

3. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณี ดังนี้

3.1 บริษัทได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลจากขั้นตอนการให้บริการ ดังนี้

• ขั้นตอนการใช้บริการกับบริษัทหรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่าง ๆ กับบริษัทเช่น การลงทะเบียนสมัครใช้บริการ การรับข้อมูลข่าวสาร การสมัครงาน เป็นต้น
• การเก็บข้อมูลโดยความสมัครใจของเจ้าของข้อมูลส่วนบุคคล เช่น การทำแบบสอบถาม (survey) หรือ การโต้ตอบทางที่อยู่อีเมล (email address) หรือช่องทางการสื่อสารอื่นๆ ระหว่างบริษัทและเจ้าของข้อมูลส่วนบุคคล
• การเก็บข้อมูลจากการใช้เว็บไซต์ของบริษัทผ่านเบราว์เซอร์คุกกี้ (browser’s cookies) ของเจ้าของข้อมูลส่วนบุคคล และการใช้บริการธุรกรรมทางอิเล็กทรอนิกส์

3.2 บริษัทได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากบุคคลที่สาม โดยบริษัทเชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและเปิดเผยแก่บริษัทฯ

4. ฐานทางกฎหมายในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลของบริษัทจะกระทำบนพื้นฐานที่มีกฎหมายรองรับตามมาตรา 24 และ 26 ของ PDPA ได้แก่

• การปฏิบัติตามสัญญา (Contract)
• การปฏิบัติตามกฎหมาย (Legal Obligation)
• ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
• ประโยชน์สำคัญต่อชีวิต (Vital Interest)
• ความยินยอม (Consent) บริษัทจะขอความยินยอมจากท่าน กรณีที่มีกฎหมายกำหนดให้ขอความยินยอม หรือบริษัทไม่มีเหตุให้ใช้ฐานการประมวลผลข้างต้นเพื่อประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมมาจากท่านได้

5. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

บริษัทจะประมวลผลข้อมูลส่วนบุคคลเพื่อ

• ให้บริการระบบอีเมลและบริการที่เกี่ยวข้องแก่ลูกค้า
• ติดต่อสื่อสาร แจ้งเตือน และให้ข้อมูลเกี่ยวกับการให้บริการ
• ปรับปรุงและพัฒนาบริการให้ตอบสนองต่อความต้องการของผู้ใช้งาน
• ตรวจสอบ วิเคราะห์ และรายงานตามข้อกำหนดด้านความมั่นคงปลอดภัย
• ปฏิบัติตามกฎหมาย กฎระเบียบ และมาตรฐานที่เกี่ยวข้อง

6. การเก็บรักษาและมาตรการความมั่นคงปลอดภัย

บริษัทจะดำเนินการตามมาตรา 37 ของ PDPA และมาตรฐาน ISO/IEC 27701 โดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งในด้านเทคนิค กายภาพ และการบริหารจัดการ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ซึ่งรวมถึง

• การควบคุมสิทธิ์การเข้าถึงด้วยระบบยืนยันตัวตนและอนุญาตสิทธิ์
• การเข้ารหัสข้อมูล การปกป้องข้อมูลที่จัดเก็บและส่งผ่านระบบเครือข่าย
• การตรวจสอบและบันทึกกิจกรรมที่เกี่ยวข้องกับข้อมูล (logging & monitoring)
• การสำรองข้อมูล (Backup) และการกู้คืนในกรณีเกิดเหตุผิดปกติ (Disaster Recovery & BCP)
• การจัดอบรมความรู้ด้าน PDPA และ ISO/IEC 27701 ให้กับพนักงานและผู้มีส่วนเกี่ยวข้อง
• การทบทวน ทดสอบ และประเมินผลมาตรการความมั่นคงปลอดภัยอย่างสม่ำเสมอ
• กำหนดให้ผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับและประมวลผลข้อมูลส่วนบุคคลเฉพาะเจาะจงตามที่บริษัทกำหนดไว้

7. การเปิดเผยหรือโอนข้อมูล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลให้บุคคลภายนอก เว้นแต่

• ได้รับความยินยอม
• เป็นไปตามกฎหมาย
• ว่าจ้างผู้ประมวลผลข้อมูลที่มีข้อตกลงด้านการคุ้มครองข้อมูลที่ชัดเจน และมีมาตรการความมั่นคงปลอดภัยตามมาตรฐานที่กฎหมายกำหนด

ในกรณีการโอนข้อมูลไปต่างประเทศ บริษัทจะตรวจสอบให้ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลเพียงพอ

8. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลอาจใช้ตามกฎหมายดังนี้
ขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล

• 1. สิทธิขอถอนความยินยอม
• 2. สิทธิขอเข้าถึงข้อมูล
• 3. สิทธิขอถ่ายโอนข้อมูล
• 4. สิทธิขอคัดค้าน
• 5. สิทธิขอให้ลบหรือทำลายข้อมูล
• 6. สิทธิขอให้ระงับการใช้ข้อมูล
• 7. สิทธิขอให้แก้ไขข้อมูล
• 8. สิทธิร้องเรียน ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

9. การใช้คุกกี้ (Cookies)

เว็บไซต์ของบริษัทใช้คุกกี้เพื่อวิเคราะห์พฤติกรรมการใช้งาน โดยจะแจ้งให้ผู้ใช้งานทราบ และขอความยินยอมเมื่อจำเป็นตามกฎหมาย

10. การแจ้งเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล

บริษัทจะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และแจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล ทั้งนี้บริษัทมีแผนตอบสนองต่อเหตุการณ์ (Incident Response Plan) ตามมาตรฐาน ISO/IEC 27701

11. ช่องทางการติดต่อ
    หากท่านมีข้อสงสัยหรือประสงค์จะใช้สิทธิ กรุณาติดต่อ:

ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

เลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ทีมBD
เเลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

12. กฎหมายที่ใช้บังคับ

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น

13. การปรับปรุงนโยบาย

บริษัทอาจปรับปรุงนโยบายนี้ตามความเหมาะสม โดยจะประกาศนโยบายฉบับปรับปรุงบนเว็บไซต์ของบริษัทฯ

นโยบายนี้ประกาศใช้เมื่อวันที่ …………

Standard Consult