Data Privacy Policy

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

1. หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึงการเก็บ รวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อ เจ้าของข้อมูล ประกอบกับได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 แล้วนั้น

บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งเป็นสิทธิขั้นพื้นฐานสำคัญใน ความเป็นส่วนตัว (Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย บริษัทมีความมุ่งมั่นในการ คุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเพิ่มเติมจากที่ได้มีการบัญญัติไว้ ตามกฎหมายเฉพาะ บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การปฏิบัติงานของบริษัทเป็นไปตามกฎหมาย มาตรฐานสากลในการคุ้มครองข้อมูล ส่วนบุคคล และสอดคล้องกับหลักการกำกับดูแลกิจการที่ดี รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของ เจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและ เหมาะสม

2. วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งทำการค้า ธุรกรรม ใช้บริการ มีส่วนได้ส่วนเสีย หรือมีส่วนเกี่ยวข้องกับบริษัท โดยมีวัตถุประสงค์ ดังนี้
2.1 เพื่อกำหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.2 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
2.3 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ต่อบุคคล ลูกค้า คู่ค้า ผู้ใช้บริการ
ตลอดจนบุคคลอื่นๆ ซึ่งมีส่วนได้ส่วนเสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล

3. ขอบเขตการใช้
3.1 ให้ประกาศฉบับนี้ มีผลใช้บังคับกับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของ บริษัท เฮลท์ เอ็ม ไพร์ คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในเครือ รวมถึงคู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท
3.2 ให้ประกาศฉบับนี้ มีผลใช้บังคับกับทุกกิจกรรมการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

4. คำนิยาม
"บริษัท" หมายความว่า บริษัท เฮลท์ เอ็มไพร์ คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทในเครือ
“บริษัทในเครือ” หมายความว่า บริษัท เฮลท์ เอ็มไพร์ คอร์ปอเรชั่น จำกัด (มหาชน) บริษัทย่อย และบริษัทร่วมของบริษัท และหมายความรวมถึงผู้กระทำการแทนของบริษัท ดังกล่าวด้วย
"ข้อมูลส่วนบุคคล" หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
"ข้อมูลส่วนบุคคลที่มีความอ่อนไหว" หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติ (Sensitive Data) อย่างไม่เป็นธรรม ในที่นี้หมายถึง เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ประวัติ อาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่นๆ ตามที่กฎหมายกำหนด
"เจ้าของข้อมูลส่วนบุคคล" หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่า ลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงาน
"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัท หน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
"ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามค าสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคลล ใน ที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอกที่บริษัทได้ว่าจ้าง
"บุคคล" หมายความว่า บุคคลธรรมดา
"บุคคลผู้หย่อนความสามารถ" หมายความว่า บุคคลซึ่งเป็นผู้เยาว์ เป็นคนไร้ความสามารถ หรือเสมือนไร้ ความสามารถตามประมวลกฎหมายแพ่งและพาณิชย์
"เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO) ส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คุกกี้(Cookies) หมายความว่า ไฟล์ขนาดเล็ก ซึ่งอาจถูกติดตั้ง และ/หรือ จัดเก็บในอุปกรณ์ของ ผู้เข้าชมเว็บไชต์ของบริษัท (เช่น คอมพิวเตอร์ โทรศัพท์มือถือ แท็บเล็ต เป็นต้น)

5. การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อ ประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการเก็บรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึง รายละเอียดดังต่อไปนี้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล

  • 1) วัตถุประสงค์ของการเก็บรวบรวม
  • 2) ระยะเวลาในการเก็บรวบรวมไว้
  • 3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
  • 4) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
  • 5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • 6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กฎหมาย กำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา ทั้งนี้ เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของ ข้อมูลส่วนบุคค
    • ก) เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การทำสถิติ หรือการปฏิบัติตามกฎหมาย
    • ข) เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
    • ค) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น
    • ง) เป็นการจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับ มอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญ มากกว่าสิทธิขั้นฟื้นฐานของเจ้าของข้อมูลส่วนบุคคล


5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความความสามารถ การเก็บรวบรวมข้อมูสส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อด าเนินการตามวัตถุประสงค์ใดๆ ซึ่งผู้เยาว์ไม่ อาจด าเนินการเองได้โดยล าพังตามที่ประมวลกฎหมายแพ่งและพณิชย์ก าหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อ านาจปกครอง หรือผู้ท าการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อ านาจปกครองหรือผู้การแทน ผู้เยาว์เท่านั้น การเก็บรวบรวมข้อมูลส่วนบุคลลซึ่งเจ้าของข้อมูลเป็นบุลคลไร้ความสามารถหรือเสมือนไร้ความสามารถต้องได้รับ ความยินยอมจากผู้อนุบาลหรือจากผู้พิทักษ์ หรือบุคคลผู้ท าการแทนเท่านั้น
5.3 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจ าเป็นต้องเก็บรวบรวม โดยต้อง ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายก าหนดให้สามารถเก็บรวบรวมได้โดยไม่ ต้องขอความยินยอม
5.4 การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะ ท าการเก็บรวบรวม หรือเป็นการจ าเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วน บุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายก าหนดให้ไม่ต้องขอความยินยอมจาก เจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย

บุคคลหรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยหรือเป็น ผู้ประมวลผลข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัท และตามที่บุคคลหรือนิติบุคลลนั้นได้แจ้งไว้กับบริษัทเท่านั้น

6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้
6.1 ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น ประมวลกฎหมายแพ่งและพาณิชย์, พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปราม การฟอกเงิน พ.ศ. 2542 และ พระราชบัญญัติความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร เป็นต้น
6.2 ในกรณีที่กฎหมายไม่ได้ก าหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะบริษัทจะกำหนดระยะเวลา ในการจัดเก็บตามความจ าเป็นที่เหมาะสมในการปฏิบัติงานของบริษัท เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าว บริษัทจะ ดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

7. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในกรณีที่บริษัทมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะต้องดำเนินการเพื่อให้มั่นใจว่าประเทศ ปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการ คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่ง หรือโอนข้อมูลส่วนบุคคลดังกล่าวจะต้องเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่บริษัท กำหนด โดยไม่ขัดต่อกฎหมาย

8. คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และต้องดำเนินการ จัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอหรือแก้ไขข้อมูลส่วนบุคคลของตัวเองได้

9. บทบาทหน้าทแี่ ละความรับผิดชอบ
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้องและเป็นไปตาม นโยบายและกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

9.1 ผู้ควบคุมข้อมูลส่วนบุคคล
9.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่าง
สม ่าเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
9.1.2 ก าหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลที่ได้เปิดเผยต่อบุคคลหรือนิติบุคลลอื่น
9.1.3จัดให้มีระบบตรวจสอบการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
9.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
9.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วน บุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือ บุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัย การเก็บ การใช้ การเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตาม นโยบายฉบับนี้ และตามพระราชบัญญัติคุมครองข้อมูลส่วนบุคคล พ.ศ. 2562

9.2 ผู้ประมวลข้อมูลส่วนบุคคล
9.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วน บุคคล
9.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
9.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
9.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
9.3.1 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และคู่ค้า
9.3.2 ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
9.3.3 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท บริษัทในเครือ และคู่ค้าของบริษัท
9.4 หน่วยงานกฎหมาย
9.4.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล
9.4.2 ให้คำปรึกษาทางด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
9.5 หน่วยงานคณะกรรมการบริหารความเสี่ยง
9.5.1 ประเมินความเสี่ยงและแผนการจัดการความเสี่ยงในกระบวนการจัดการข้อมูลส่วนบุคคลของบริษัท
9.5.2 รายงานเรื่องความเสี่ยงต่อคณะกรรมการเจ้าหน้าที่บริหาร
9.6 หน่วยงานตรวจสอบภายใน
9.6.1 ตรวจสอบการทำงานของผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
9.6.2 สอบทานและประเมินประสิทธิภาพของระบบรักษาข้อมูลส่วนบุลคล
9.6.3 รายงานผลการตรวจสอบต่อคณะกรรมการตรวจสอบของบริษัท
9.7 บริษัทในเครือ หน่วยงานระดับสำนักหรือเทียบเท่า
9.7.1 ให้ผู้บริหารสูงสุดของบริษัทในเครือหรือผู้บริหารสูงสุดของสำนักในระดับสำนักหรือเทียบเท่า มีหน้าที่สั่งการ ควบคุม กำกับดูแลให้พนักงานภายในสังกัดของตนปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบาย ฉบับนี้โดยเคร่งครัด โดยให้มีหน้าที่เป็นผู้ประสานงานข้อมูลส่วนบุคคล (Data Protection Coordinator: DPC) หรือแต่งตั้งผู้ ประสานงานข้อมูลส่วนบุคคล รวมถึงแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ซึ่งเกิดขึ้นในบริษัทหรือหน่วยงานของตนต่อเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
9.7.2 บริษัทในเครือ หน่วยงานระดับสายงาน ระดับส านักหรือเทียบเท่า สามารถออกข้อกำหนดหรือระเบียบปฏิบัติ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้บังคับภายในหน่วยงานของตนได้ ทั้งนี้ ข้อกำหนดหรือระเบียบปฏิบัติดังกล่าวนั้น ต้องเป็นไปตามนโยบายฉบับนี้และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และต้องแจ้งให้กับหน่วยงาน กฎหมายทราบ

9.8 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
9.8.1 จัดทำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
9.8.2 กำกับดูแลหน่วยงานต่างๆ ของบริษัท บริษัทในเครือ และคู่ค้าของบริษัทให้ดำเนินงานตามนโยบายและแนว ปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
9.8.3 รายงานการปฏิบัติของหน่วยงานต่างๆ ของบริษัท บริษัทในเครือ และคู่ค้าของบริษัทต่อคณะกรรมการเจ้าหน้าที่ บริหาร
9.8.4 ประเมินความเสี่ยงด้านการรั่วไหลของข้อมูลส่วนบุคคลที่พนักงานในแผนก/ฝ่าย มีต่อบุคคลที่สาม พร้อมนำเสนอ แนวทางการป้องกันและแก้ไขเพื่อไม่ให้เกิดการรั่วไหลของของมูลส่วนบุคคล
9.8.5 จัดทำแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
9.8.6 ประเมินผลนโยบาย และแนวทางปฏิบัติรวมถึงวิเคราะห์จุดที่ควรปรับปรุง แก้ไข


10. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
10.1 กำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล
10.2 ในการส่ง การโอนข้อมูลส่วนบุคลลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบ อื่นใด ซึ่งผู้ให้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการ คุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
10.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความมั่นคงปลอดภัยของบริษัท จนเป็นเหตุให้มีการละเมิดข้อมูล ส่วน บุคคล บริษัทจะดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่ จะสามารถทำได้ เว้นแต่การละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะด าเนินการ แจ้งเหตุการละเมิดพร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้ บริษัทจะไม่รับผิดชอบในกรณี ความเสียหายใดๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จงใจหรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัย จนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้หรือเปิดเผยต่อ บุคคลที่สามหรือบุคคลอื่นใด

11. คุกกี้(Cookies) และการใช้คุกกี้
ในการเข้าชมเว็บไซต์ของบริษัท อาจมีการวางคุกกี้ไว้ในอุปกรณ์ของผู้เข้าชม และมีการเก็บรวบรวมข้อมูลโดยอัตโนมัติ คุกกี้บางส่วนมีความจำเป็นเพื่อให้เว็บไซต์สามารถทำงานได้อย่างเหมาะสม และบางส่วนเป็นคุกกี้ที่มีไว้เพื่ออำนวยความสะดวก แก่ผู้เข้าชมเว็บไซต์โดยสามารถศึกษาข้อมูลเพิ่มเติมได้ในนโยบายคุกกี้ของบริษัท ซึ่งปรากฎอยู่ที่เว็บไซต์ของบริษัท

12. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน ขอรับสำเนา ขอถอนความยินยอม คัดค้านการเก็บ การใช้ การเปิดเผย ขอให้ลบท าลายหรือพักการใช้ ขอแก้ไขข้อมูลให้เป็นปัจจุบัน ร้องเรียน หรือขอให้โอนข้อมูลส่วนบุคคลของตน ไปยังผู้ควบคุมข้อมูลอื่น เว้นแต่เป็นการกระทบต่อสิทธิเสรีภาพของบุคคลอื่น เป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยซน์หรือตาม กฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

13. การร้องเรียน การแจ้งเบาะแส
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการข้อมูลส่วนบุลคล การร้องเรียน หรือการใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคลตามนโยบายฉบับนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถติดต่อกับบริษัทได้ ดังนี้ บริษัท เฮลท์ เอ็มไพร์ คอร์ปอเรชั่น จำกัด (มหาชน)
สถานที่ติดต่อ : 51 อาคารเมเจอร์ ทาวเวอร์ พระราม 9 - รามคำแหง ชั้นที่ 20 ห้องเลขที่ OFFICE 2 ถนนพระราม 9 แขวงหัวหมาก เขตบางกะปิ กรุงเทพมหานคร
เวลาทำการ : วันจันทร์ - ศุกร์ เวลา 09.00 - 18.00 น.
Email Address : pdpa@hempcorp.co.th
Website : www.hempcorp.co.th
Call Center : 02-514-5000


14. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้กับผู้บริหารและ พนักงานทุกระดับ

15. การทบทวนนโยบาย บริษัทอาจมีการพิจารณาทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท เพื่อให้สอดคล้องกับแนวปฏิบัติ และ กฎหมาย ข้อบังคับที่เกี่ยวข้อง ทั้งนี้หากมีการเปลี่ยนแปลงนโยบายข้อมูลส่วนบุคคล บริษัทจะแจ้งให้เจ้าของข้อมูลทราบด้วยการ อัพเดตข้อมูลลงในเว็บไซต์ของบริษัทโดยเร็วที่สุด

16. บทกำหนดโทษ ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หรือผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของ ตน หากละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการ ฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชปัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด จนเป็นเหตุให้เกิดความผิดตามกฎหมายและ/หรือความเสียหายขึ้น ผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัทและ ต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้น ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป