นโยบายการคุ้มครองและประมวลผลข้อมูลส่วนบุคคล

ACS Aviation Consultant and Services Co., Ltd.

บริษัท เอซีเอส เอวิเอชั่น คอนซัลแตนท์ แอนด์ เซอร์วิสเซส จำกัด

English Version

1. คำแถลงเจตนารมณ์และความมุ่งมั่น

บริษัท เอซีเอส เอวิเอชั่น คอนซัลแตนท์ แอนด์ เซอร์วิสเซส จำกัด เคารพและให้ความสำคัญต่อความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ จึงได้จัดทำและเผยแพร่นโยบายคุ้มครองและประมวลผลข้อมูลส่วนบุคคลฉบับนี้ เพื่อให้ให้บุคคลทั่วไปและบุคคลภายนอกที่มีส่วนได้ส่วนเสียกับบริษัทฯ ได้รับทราบ และบังคับใช้กับ ผู้บริหาร พนักงาน และบุคลากรภายในบริษัทฯ เพื่อทุกคนถือปฏิบัติเป็นแนวทางเดียวกัน และให้พนักงานและผู้บริหารที่มีหน้าที่รับผิดชอบ สนับสนุน และตรวจสอบการดำเนินงานอย่างเคร่งครัด เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย และเชื่อมโยงสอดรับกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของนานาประเทศที่เกี่ยวข้องตามความเหมาะสม

บริษัทฯ รับรองว่าการประมวลผลข้อมูลส่วนบุคคลจะดำเนินการโดยชอบด้วยกฎหมาย เป็นธรรม มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และเป็นไปอย่างโปร่งใส

2. คำจำกัดความ

  • บริษัทฯ หมายถึง บริษัท เอซีเอส เอวิเอชั่น คอนซัลแตนท์ แอนด์ เซอร์วิสเซส จำกัด
  • ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ
  • การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ บริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผย
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หมายถึง บุคคลที่ทำหน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ไม่ว่าจะเป็นข้อมูลภายในหรือภายนอกองค์กร โดยจะทำหน้าที่ให้คำปรึกษา ตรวจสอบ กำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. ขอบเขตการบังคับใช้และการครอบคลุม

นโยบายฉบับนี้ให้ใช้บังคับกับกรรมการ พนักงาน ที่ปรึกษา ผู้รับจ้าง และบุคคลภายนอกที่ปฏิบัติหน้าที่ในนามของบริษัททุกราย ซึ่งมีหรืออาจมีการเข้าถึง ใช้ ประมวลผล หรือบริหารจัดการข้อมูลส่วนบุคคล

4. กิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

ในฐานะผู้ให้บริการที่ปรึกษามืออาชีพ บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลเฉพาะในกรณีที่มีความจำเป็นเพื่อวัตถุประสงค์ดังต่อไปนี้

• การติดต่อ ประสานงาน และการให้บริการแก่ลูกค้า

• การปฏิบัติตามข้อผูกพันตามสัญญา และข้อกำหนดตามกฎหมายหรือข้อบังคับที่เกี่ยวข้อง

• การติดต่อสื่อสารทางธุรกิจ

• การบริหารจัดการด้านการจ้างงาน และการบริหารจัดการคู่ค้า/ผู้ให้บริการ

บริษัทฯ จะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลในลักษณะขนาดใหญ่ หรือมีความเสี่ยงสูง เว้นแต่จะมีความจำเป็นตามขอบเขตงานที่กำหนดไว้ตามสัญญากับลูกค้าโดยเฉพาะ

5. หลักการพื้นฐานในการคุ้มครองข้อมูลส่วนบุคคล

• ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส โดยข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมและประมวลผลเฉพาะเพื่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมาย และเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง

• การให้ความยินยอมและการแจ้งให้ทราบกรณีที่กฎหมายกำหนด บริษัทฯ จะดำเนินการขอความยินยอมที่เหมาะสม และแจ้งรายละเอียดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลอย่างชัดเจน

• การจำกัดวัตถุประสงค์ข้อมูลส่วนบุคคลจะถูกใช้เฉพาะตามวัตถุประสงค์ที่กำหนดไว้อย่างชัดเจนและชอบด้วยกฎหมายเท่านั้น

• การเก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจหรือข้อกำหนดทางกฎหมายเท่านั้น

• การเก็บรวบรวมข้อมูลเท่าที่จำเป็นภายใต้การจำกัดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล โดยข้อมูลจะถูกเก็บรักษาไว้เฉพาะระยะเวลาที่จำเป็นตามวัตถุประสงค์ทางธุรกิจ ข้อกำหนดทางกฎหมาย หรือข้อผูกพันตามสัญญาเท่านั้น

6. มาตรการรักษาความมั่นคงปลอดภัยและการคุ้มครองข้อมูล

บริษัทฯ จัดให้มีมาตรการด้านการบริหารจัดการ มาตรการทางเทคนิค และมาตรการเชิงองค์กรที่เหมาะสมและเพียงพอ เพื่อป้องกันการเข้าถึง การใช้ การเปิดเผย การเปลี่ยนแปลงแก้ไข หรือการสูญหายของข้อมูลส่วนบุคคลโดยมิชอบหรือโดยไม่ได้รับอนุญาต

7. การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก

ในกรณีที่บริษัทฯ มีการเปิดเผยหรือส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก บริษัทจะดำเนินการให้มั่นใจว่าบุคคลภายนอกดังกล่าวนั้นมีคุณสมบัติตรงตามที่บริษัทฯ กำหนด ดังนี้

• เป็นคู่ค้าหรือพันธมิตรทางธุรกิจที่มีความน่าเชื่อถือและไว้วางใจได้

• มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความลับที่เหมาะสม

• ปฏิบัติตามกฎหมายและข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง

8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัทฯ เคารพและคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกำหนด ซึ่งรวมถึงสิทธิในการขอเข้าถึง ขอแก้ไขให้ถูกต้อง ขอให้ลบหรือทำลายข้อมูล ขอจำกัดการประมวลผลข้อมูล และสิทธิในการเพิกถอนความยินยอม ทั้งนี้ตามเงื่อนไขและขอบเขตที่กฎหมายกำหนด

9. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในกรณีที่มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเหมาะสม เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงข้อกำหนดตามสัญญา หรือมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลระหว่างประเทศที่เกี่ยวข้อง

10. การจัดเก็บและการคุ้มครองข้อมูล

บริษัทฯ จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอ เพื่อป้องกันการเข้าถึง การใช้ การเปิดเผย การเปลี่ยนแปลงแก้ไข หรือการสูญหายของข้อมูลส่วนบุคคลโดยมิชอบ ทั้งนี้ มาตรการดังกล่าวจะถูกกำหนดตามลักษณะ ประเภท และระดับความอ่อนไหวของข้อมูลส่วนบุคคล

11. การควบคุมการเข้าถึงข้อมูล

บริษัทฯ กำหนดให้การเข้าถึงข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากรที่ได้รับอนุญาต และมีความจำเป็นต้องเข้าถึงข้อมูลเพื่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายเท่านั้น โดยมาตรการควบคุมการเข้าถึงข้อมูลประกอบด้วย

• การกำหนดสิทธิ์การเข้าถึงตามบทบาทหน้าที่ (Role-Based Access Control)

• การใช้รหัสผ่าน และมาตรการควบคุมความปลอดภัยของระบบ (ในกรณีที่เกี่ยวข้อง)

• การจำกัดการเข้าถึงข้อมูลตามหลักความจำเป็นในการรับรู้ (Need-to-Know Basis)

• การกำกับดูแลโดยฝ่ายบริหารต่อกิจกรรมการเข้าถึงข้อมูล

โดยบุคลากรทุกคนมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลอย่างเคร่งครัด

12. การบริหารจัดการเหตุการณ์และการละเมิดข้อมูล

บริษัทฯ จะดำเนินการที่เหมาะสมในการตรวจสอบ บริหารจัดการ และลดผลกระทบจากเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่สงสัยหรือที่เกิดขึ้น ทั้งนี้ ในกรณีที่กฎหมายหรือข้อผูกพันตามสัญญากำหนด บริษัทฯ จะดำเนินการแจ้งให้บุคคลหรือหน่วยงานที่เกี่ยวข้องทราบตามที่กำหนดไว้

13. การกำกับดูแลและความรับผิดชอบ

กรรมการผู้จัดการมีหน้าที่รับผิดชอบในการกำกับดูแลให้มีการนำและบังคับใช้นโยบายฉบับนี้อย่างมีประสิทธิภาพ รวมถึงส่งเสริมความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร บุคลากรทุกคนต้องปฏิบัติตามนโยบายฉบับนี้อย่างเคร่งครัด และต้องรายงานเหตุการณ์ที่สงสัยว่าอาจเกี่ยวข้องกับการละเมิดการคุ้มครองข้อมูลส่วนบุคคลโดยทันที

14. การทบทวนนโยบาย

บริษัทฯ จะดำเนินการทบทวนนโยบายฉบับนี้เป็นระยะตามความเหมาะสม เพื่อให้มั่นใจว่านโยบายยังคงสอดคล้องกับกฎหมาย ข้อกำหนดทางกฎหมาย และข้อกำหนดด้านกฎระเบียบที่เกี่ยวข้องที่มีผลใช้บังคับ

15. ข้อมูลการติดต่อ

ในกรณีที่มีข้อสงสัย ข้อเสนอแนะหรือต้องการสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน โปรดติดต่อบริษัทฯ ได้ตามช่องทางดังต่อไปนี้

บริษัท เอซีเอส เอวิเอชั่น คอนซัลแตนท์ แอนด์ เซอร์วิสเซส จำกัด

สถานที่ติดต่อ : เลขที่ 100/548 ซอยแจ้งวัฒนะ 10 แยก 9-1 (มีสุข) แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210