นโยบายการคุ้มครองข้อมูลส่วนบุคคล

1. ขอบเขตการบังคับใช้ : นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับบริษัท พนักงานของบริษัท และบุคคลที่เกี่ยวข้องกับการ ประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัท

2. คํานิยาม
2.1 การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทําให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data)
2.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้
ไม่ว่าทางตรงหรือทางอ้อม
2.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการ ประมวลผลข้อมูลส่วนบุคคล
2.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการประมวลผล ข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
2.6 บริษัท หมายถึง บริษัท เวสเทอร์น พร็อพเพอร์ตี้ จํากัด

3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล
3.1 บริษัทจะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
(1) กําหนดให้มีโครงสร้างองค์กร รวมทั้งกําหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่ เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการ ติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(2) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยมีบทบาทและหน้าที่ตามที่กําหนดในนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลของบริษัท ตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
3.2 บริษัทจะจัดทํานโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการ
คุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.3 บริษัทจะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย เพื่อควบคุมดูแลให้มีการป การปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างต่อเนื่อง
3.4 บริษัทจะดําเนินการฝึกอบรมพนักงานของบริษัทอย่างสม่ําเสมอ เพื่อให้พนักงานของบริษัทตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และทําให้มั่นใจได้ว่าพนักงานของบริษัทที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครอง ข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล
4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคํานึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูล ส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทําได้เท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนว ทางการดําเนินธุรกิจของบริษัท อีกทั้งบริษัทจะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคล
อย่างเพียงพอ
4.2 บริษัทจะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.3 บริษัทจะจัดทําและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล สําหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการ ประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการ เปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง
4.4 บริษัทจะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวมและรายละเอียดการประมวลผล ข้อมูลส่วนบุคคล และการขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแลและตรวจสอบในเรื่องดังกล่าว
4.5 บริษัทจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4.6 ในกรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อ กําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
4.7 ในกรณีที่บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย
4.8 บริษัทจะทําลายข้อมูลส่วนบุคคลเมื่อครบกําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายและแนวทางการดําเนิน
ธุรกิจของบริษัท
4.9 บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผล
ข้อมูลส่วนบุคคล

5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกําหนด รวมทั้ง จะดําเนินการบันทึก และประเมินการตอบสนองต่อคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดําเนินการป้องกันไม่ให้เกิด การรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
6.2 บริษัทจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
6.3 บริษัทจะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย

7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล
7.1 บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้
ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
7.2 บริษัทจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines)
ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจํา เพื่อให้ทันสมัยสอดคล้อง
กับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา

8. บทบาท หน้าที่ และความรับผิดชอบ
8.1 คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
(1) กํากับให้เกิดโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบริษัท เพื่อให้เกิดการปฏิบัติ ตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(2) กํากับดูแลและสนับสนุนให้บริษัทดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
8.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
8.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกําหนด ซึ่งรวมถึงหน้าที่ ดังต่อไปนี้
(1) รายงานสถานะ การคุ้มครองข้อมูลส่วนบุคคลให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบอย่างสม่ําเสมอ และจัดทําข้อเสนอแนะ เพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
(2) ให้คําแนะนําพนักงานของบริษัท เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(3) ตรวจสอบการดําเนินงานของหน่วยงานในบริษัทให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
8.4 พนักงานของบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
(1) ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(2) รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ

9. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท อาจมีความผิดและถูกลงโทษทางวินัยรวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด

10. การติดต่อบริษัท
หากท่านมีข้อซักถามหรือข้อสงสัยประการใด สามารถติดต่อบริษัทได้ที่ dpo@westernproperty.co.th หรือตามที่อยู่ด้านล่างนี้

บริษัท เวสเทอร์น พร็อพเพอร์ตี้ จํากัด
1550 อาคารธนภูมิ ชั้น 9 ถนนเพชรบุรีตัดใหม่ แขวงมักกะสัน เขตราชเทวี กรุงเทพฯ 10400
โทรศัพท์ +66 2 207 0789

ประกาศนโยบายฉบับนี้ ให้มีผลบังคับใช้ตั้งแต่วันที่ 31 พฤษภาคม 2565 เป็นต้นไป