ประกาศนโยบายความเป็นส่วนตัว (Privacy Policy)

 

ประกาศนโยบายความเป็นส่วนตัว (Privacy Policy)

 

 

1. หลักการวัตถุประสงค์

บริษัท นิวทรีชั่น เอสซี จำกัด (มหาชน) (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้จัดทำนโยบายความเป็นส่วนตัว (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการ การละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและเหมาะสม

 

2. ขอบเขตการบังคับใช้

 

นโยบายความเป็นส่วนตัว (Personal Data Protection Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมถึงบุคคลใด ๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัทฯ ซึ่งจะต้องปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้ และตามกรอบที่กฎหมายกำหนด

 

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 

3. คำจำกัดความ

“นโยบายความเป็นส่วนตัว” (Personal Data Protection Policy) หมายความว่า นโยบาย ที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดไว้

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลที่อ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“การประมวลผล” หมายความว่า การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

 

4. บทบาทและหน้าที่ความรับผิดชอบ

บทบาทและหน้าที่ความรับผิดชอบของบุคคลที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มีดังต่อไปนี้


ผู้ควบคุมข้อมูลส่วนบุคคล

  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกัน การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย รวมถึงทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
  • ดำเนินการเพื่อป้องกันไม่ให้ผู้รับข้อมูลส่วนบุคคลที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย
  • จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูล ส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
  • แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า
  • บันทึกรายการตามที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • จัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่มีการมอบหมายการประมวลผลข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคล
  • แจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
  • จัดให้มีและสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล


ผู้ประมวลผลข้อมูลส่วนบุคคล

  • ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย
  • แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคล
  • จัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล
  • แจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
  • จัดให้มีและสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล


ผู้บริหาร

  • ปฏิบัติ สอบทาน และติดตามการปฏิบัติงานของพนักงาน และลูกจ้างให้เป็นไปตามนโยบายความเป็นส่วนตัวเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด


พนักงาน และลูกจ้าง

  • ปฏิบัติตามนโยบายความเป็นส่วนตัวอย่างเคร่งครัด
  • ปฏิบัติตามประกาศความเป็นส่วนตัวอย่างเคร่งครัด
    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ให้คำแนะนำ บริหารจัดการ และตรวจสอบการดำเนินงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • รายงานไปยังผู้บริหารสูงสุด เมื่อมีปัญหาในการปฏิบัติหน้าที่
  • ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย
  • จัดทำและทบทวนนโยบายความเป็นส่วนตัว
  • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจาก การปฏิบัติหน้าที่
  • ปฏิบัติหน้าที่หรือภารกิจอื่นโดยไม่ขัดต่อกฎหมาย

 

5. การเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

5.1  แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลจาก 2 ช่องทาง ดังนี้

  • เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) ของบริษัทฯ หรือการเข้าใช้งานระบบเว็บไซต์ของบริษัทฯ ผ่านคุกกี้ (Cookies)
  • เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ หรือการสอบถามจากบุคคลที่สาม โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

5.2  บริษัทฯ อาจทำการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น

  • ข้อมูลเฉพาะบุคคล เช่น ชื่อ วันเดือนปีเกิด สัญชาติ หมายเลขบัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง หรือเอกสารราชการอื่น ๆ ที่สามารถระบุตัวตนได้
  • ข้อมูลสำหรับการติดต่อ เช่น ที่อยู่ อีเมล์ หมายเลขโทรศัพท์ หมายเลขโทรสาร
  • ข้อมูลประวัติการทำงาน เช่น สถานะวิชาชีพ ตำแหน่งงาน
  • ข้อมูลที่เกี่ยวเนื่องกับการใช้งานเว็บไซต์ เช่น Username และ password สำหรับใช้การบริการผ่านออนไลน์และแอพพลิเคชั่น ข้อมูล IP address
  • ข้อมูลคุกกี้ (Cookies)
  • ข้อมูลเกี่ยวกับการสำรวจทางการตลาด เช่น ข้อมูลวิเคราะห์สถิติทางการตลาดของเจ้าของข้อมูล
  • ข้อมูลอ่อนไหว เช่น ข้อมูลศาสนา ข้อมูลสุขภาพ ประวัติอาชญากรรม
  • ข้อมูลอุปกรณ์ และข้อมูลตำแหน่งของอุปกรณ์ เช่น ระบบจีพีเอส
  • ข้อมูลภาพวิดีทัศน์กล้องวงจรปิด
  • บทสนทนา และการสื่อสารทางโทรศัพท์ หรืออุปกรณ์อิเล็กทรอนิกส์


5.3  หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล

5.3.1  บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น

  • เพื่อการเข้าทำสัญญาและปฏิบัติตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูลส่วนบุคคล
  • เพื่อยืนยันตัวตนหรือตรวจสอบบุคคลก่อนจะให้บริการหรือเข้าทำสัญญากับบริษัทฯ
  • เพื่อตอบคำถามและให้ความช่วยเหลือแก่ลูกค้า
  • เพื่อพัฒนาและปรับปรุงผลิตภัณฑ์ของบริษัทฯ ให้ตอบสนองต่อความต้องการของลูกค้ามากยิ่งขึ้น
  • เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ การบริการ หรือประชาสัมพันธ์ทางการตลาดผ่านทางช่องทางการติดต่อที่ได้รับจากลูกค้า
  • เพื่อการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัทฯ อาทิ การจัดเก็บข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า ซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน
  • เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนด หรือ ตามที่หน่วยงานของรัฐร้องขอ อาทิ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ หรือ สำนักงานป้องกันและปราบปรามการฟอกเงิน
  • เพื่อวัตถุประสงค์ในการตรวจสอบต่าง ๆ การวิเคราะห์และจัดทำเอกสารตามคำร้องขอของหน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของ บริษัทฯ อาทิ ธนาคารแห่งประเทศไทย
  • เพื่อประโยชน์ในการบริหารจัดการภายในของบริษัทฯ เช่น เพื่อการจ่ายเงินเดือนและค่าตอบแทนต่าง ๆ แก่พนักงาน ลูกจ้าง และผู้ฝึกหัดงานของบริษัทฯ เพื่อการเข้าทำสัญญาจ้างแรงงานกับบริษัท เพื่อการบริหารจัดการบุคลากรภายในของบริษัท และการมอบสวัสดิการแก่พนักงาน ลูกจ้างของบริษัทฯ

5.3.2 ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา หรือต้องให้ข้อมูลด้วยประการอื่นใด หากเจ้าของข้อมูลไม่ให้ข้อมูลเช่นว่านั้น อาจส่งผลให้ธุรกรรมหรือกิจกรรมอื่นใดที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลถูกระงับ หรือหยุดลงชั่วคราว จนกว่าบริษัทฯจะได้รับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เนื่องจากบริษัทฯ ไม่สามารถประมวลผลข้อมูลเหล่านั้นได้ หรือ กฎหมายกำหนดห้ามมิให้มีการดำเนินธุรกรรมหรือกิจกรรมนั้นอีกต่อไป เป็นต้น

5.3.3 บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ บริษัทฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม

  • เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยบริษัทฯ จะจัดให้มีมาตรการป้องกันเหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
  • เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
  • เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบหมายให้แก่บริษัทฯ
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของ เจ้าของข้อมูลส่วนบุคคล
  • เพื่อปฏิบัติตามกฎหมาย เช่น กฎหมายแพ่งและพาณิชย์ หรือประมวลกฎหมายอาญา เป็นต้น

5.3.4  การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว บริษัทฯ จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย

 

6. การใช้และการเปิดเผยข้อมูลส่วนบุคคล

การใช้และการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 5.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้

(1) บริษัทในเครือ หรือบริษัทในกลุ่ม

(2) คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ เช่น บริษัทในกลุ่มธุรกิจประกันภัย

(3) ผู้แทนจำหน่าย

(4) หน่วยงานซึ่งดำเนินงานด้านข้อมูลเครดิต

(5) ธนาคาร

(6) หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด สำนักงานประกันสังคม กรมสรรพากร กรมบังคับคดี ศาล

(7) หน่วยงาน หรือ องค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท ฯ อาทิ ธนาคารแห่งประเทศไทย

 

7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้

(1)  ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร

(2)  ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทฯ จะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของ บริษัทฯ

(3)  เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าว บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

 

8. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะต้องเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย

 

9. สิทธิของเจ้าของข้อมูลส่วนบุคคล

นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถการใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้

1)  สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่กับบริษัทฯ

2)  สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): เจ้าของข้อมูลส่วนบุคคลมสีิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลได้

3)  สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์

4)  สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ ทำการลบข้อมูลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

5)  สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

6)  สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้

7)  สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อมายังบริษัทฯ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้างหรือ ผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศที่ออกตามพระราชบัญญัติดังกล่าว

 

10. การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ

ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมาย

 

11. การทบทวนและปรับปรุงนโยบาย

บริษัทฯ จะจัดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือเมื่อเกิดเหตุการณ์เปลี่ยนแปลงที่มีผลกระทบต่อนโยบายอย่างมีนัยสำคัญ

 

12. ช่องทางการติดต่อ

หากท่านมีข้อสงสัยหรือต้องการสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับประกาศนโยบายความเป็นส่วนตัวของบริษัทฯ โปรดติดต่อบริษัทฯ ตามช่องทางดังต่อไปนี้

 

บริษัท นิวทรีชั่น เอสซี จำกัด (มหาชน)
47/2 หมู่ 6 ถ.พุทธมณฑลสาย 4 ต.กระทุ่มล้ม อ.สามพราน จ.นครปฐม 73220
เบอร์โทร +662-840-4333
Email : dpo@nutritionsc.co.th

Data Privacy Policy

 

Nutrition Sc Public Company Limited (hereinafter referred to as the “Company” or “we” or “us”) recognizes the importance of personal data protection (Data Privacy) of data subject, who is an employee, a staff or job applicant of the company, considered as a fundamental right under the law. This policy shall establish the rules for setting up a system and to strictly control and supervise the securities of the personal data of data subject and the data processing, including to collect, use or disclose the personal data transparently and complying with the standards set forth by the governmental agencies. With respect to this privacy notice, the purpose is to inform the data subject about our practices to your personal data, such as, collection, use, disclosure, as well as any rights of the data subject and so forth. Accordingly, this policy shall be applied to all activities of the Company in connection with the personal data.

 

1. Definition

In this policy,

“Company” means Nutrition Sc Company Limited;

“Person”  means a natural person;

“Personal Data”  means any information relating to a Person, which enables the identification of such Person, whether directly or indirectly, but not including the information of the deceased Persons in particular;

“Sensitive Data” means any person data may leading to unfair discrimination, in this policy wherein means, racial, religious beliefs, sexual behavior, criminal records, health data, disability, genetic data, biometric data, or of any data classified by law;

“Incompetent Person” means a person who is a minor, an incompetent person or a quasi incompetent person subject to the Thai Civil and Commercial Code;

“Data Protection Officer” means a person appointed by the Company to work as a data protection officer under the Personal Protection Act B.E. 2562;

“Data Subject” means a natural person who is a personnel, staff, employee, job applicant or any related person, customer, service user, website visitor, visitor of the Company’s mobile application, including executive of the Company and any person who has a legal relation with the Company, hereinafter referred to as a “Data Subject”;

“Website” means a website of the Company which belongs to the Company or service provider, as a case may be;

“Application” means any applications provided by the Company, in addition to the applications that have been changed, updated, updated or supplemented thereafter;

“Data Controller” means the Company having the power or duties to make decision regarding the personal data, obtaining from Data Subject or service provider of Data Subject or performance of contractual obligation with Data Subject, whether directly or indirectly.

“Data Processor” means a person or juristic person who operates n relation to the collection, use, or disclosure of the Personal Data pursuant to the orders given by or on behalf of a Data Controller, whereby such Person or juristic person is not the Data Controller;

“Collection” means an acquisition of personal data;

“Data Processing” means any actions which act on the personal data, whether by automated method or not, such as collecting, recording, organizing, storage, use, disclosing, changing or any other actions causing an availability, compilation, or destruction of personal data.

 

2. Objectives

This policy is provided to protect personal data of the Data Subject, who transacts, uses a service, has an interest with the Company under following objectives:

2.1 To define the roles and duties of organizations, executives, personnel involved in the personal data.

2.2 To determine procedures, security measures or other measures to protect the personal data pursuant to the law.

2.3 To establish a performance guideline of personnel related to the data processing or other operations in relation to the personal data.

2.4 To build a confidence in the security of personal data to persons, customers, partners, service users, as well as other persons who have an interest or involved in the personal data.

 

3. The Collection of Personal Data

The collection, use or disclosure of personal data shall be consistent with the principle of personal data protection as required by the law, that is (1) the personal data shall collected, used or disclosed with lawfulness, fairness and transparency (2) the personal data shall collected, used or disclosed subject to the objectives specified by the Company and the Company shall not use or disclose the personal data under limited purposes where is provided therein (3) the personal data shall collected, used or disclosed sufficiently, relevantly and as necessary for the purposes of such collected, used and disclosed (Data Minimization) (4) the personal data shall collected, used or disclosed accurately and up-to-date, as it is necessary (Accuracy) (5) the personal data shall collected, used or disclosed  as it is necessary (Storage Limitation) and, (6) the personal data shall collected, used or disclosed under appropriate security measures (Integrity and Confidentiality), nonetheless, the collection, use or disclosure of personal data shall be carried out pursuant to the purposes and only where is necessary under the limited purposes, or for the direct benefits related to the purposes of collection, which will be notified to the Data Subject prior to or at the time of collection of personal data, including the details as follows:

 

3.1 The Company will collect personal data for the purposes (1) for providing services, improving services and quality of sale, carrying out marketing activities, education, data analysis, and to improve the quality of company service to be more efficient (2) for  the benefit of Data Subject to offer a privilege pursing to the interest of Data Subject (3) for the procurement regarding personnel activities and, (4) for legal obligations and if there is any change of new objective, the Company will inform the Data Subject instantly.

 

3.2 The Company will collect personal data, such as first name, surname, address, date of birth, gender, educational background, phone number, E-mail, Identification number, credit or debit card information, bank account number or other information regarding banking or payment, IP number, service number, Cookies, MAC Address, service account, service usage information, record of communication between the Data Subject and the Company and any other information that may occur while using the service with the Company, etc. Personal data will be retained for a period as necessary for the purposes of data processing and in accordance with applicable law. After such a period expires or the Company has no right to retain, or the Company is unable to claim a lawful basic for data processing of personal data, the Company will destroy such personal data by appropriate and legal means.

 

3.3 In the event that the data subject has to provide personal data to comply with the law or contract, or to enter into a contract, the Company will also notify the significant effect of not providing personal data to the data subject.

 

3.4 The Company may disclose personal data collected to individuals or entities, such as disclosure of data by law, security, providing services, etc. This must be disclosed only to the extent necessary.

 

3.5 The Company will collect personal data of the data subject directly when the consent given by the data subject, whether voluntarily or expressly, and by one of the following methods:

3.5.1 Service request form or the processing of submitting a request when for the exercising of rights.

3.5.2 Questionnaire survey or e-mail correspondence.

3.5.3 Via the Company’s Website or Mobile Application of the Company.

3.5.4 SMS.

3.5.5 Other communication channels between the data subject and the company as provided by the Company.

 

3.6 The Company has a Cookies Policy as specified by the company.

 

3.7 Some of personal data collected by the Company may be sensitive data, which the Company will request for express consent, for example, racial, religious beliefs, health data, criminal records, labor union etc. And the Company will collect these data where is necessary abiding by the laws and regulations. In obtaining consent, the Company will request for a consent from the data subject, prior to or at the time of collection, use and disclosure of personal data; unless,

(1) For the achieving of education, research or statistics, to protect the right and freedom of subject data;

(2) For preventing or suppressing a danger to life, body or health of data subject or other persons;

(3) For the performance of a contract or in order to take steps at the request of the data subject prior to entering into a contract;

(4) For the performance of a task carried out in the public interest or for the exercising of official authority;

(5) For legitimate interests overriding all the Company’s operation;

(6) For the compliance with the judgement adjudicated by the court or required by the law, such as Communicable Disease Act, Computer-related Crime Act, Cyber Security Act, Anti-money Laundering Act and so forth.;

(7) It is regarded as a legally public information.

 

3.8 In the event that the data subject provides personal data of any third parties, i.e., spouse, family members or friend etc. to the Company, for example, may specify as an emergency address contact, the data subject shall certify and warrant that the data subject has consent to the collection, use and disclosure of such personal data as set forth in this policy.

 

3.9 In the event that the company collects, uses or discloses the personal data on the ground of consent basic or express consent, the request of consent must be carried out expressly, either in written form or through an electronic system; unless on the condition that a consent cannot be given by such means. In obtaining a consent, the Company shall inform the objectives of collection, use or disclosure of personal data and the request must be clearly separated from other content with a form or statement, which accesses and understands easily, including using a simple language that undoubtedly comprehends and not be deceiving or misleading the data subject of such objectives.

 

In obtaining the consent of data subject, the Company will consider the independence of data subject giving a consent, entering a contract, or providing any service
by the Company without non-necessary conditions or not relevant entering a contract or providing that service. Furthermore, the data subject may withdraw a consent given to the Company at any time by any convenience mean; unless there is a restriction on the right to withdraw consent by the law or contract benefiting to the data subject. Despite the withdrawal of consent does not affect the previous collection, use or disclosure of personal data given a rightful consent, the Company will accordingly notify the data subject of the impact of consent withdrawal in the case that such withdrawal is influenced to the data subject in any concerns.

 

To obtain a consent of minor to collect, use or disclose personal data, who is underage by marriage or has reached the age of majority under Section 27 of the Civil and Commercial Code, incompetent, quasi-incompetent person, or the withdrawing of consent of such persons, the Company will proceed in accordance with the laws on personal data protection.

 

4. Use and Disclosure of Personal Data

Use or disclosure of personal data shall be according to the purposes or as necessary for the direct benefits related to purpose of collection. The Company may disclose the personal data of data subject to any persons, agencies or to any third person, such as the Department of Labor Protection and Welfare, Legal Execution Department, Student Loan Fund, Technology Crime Suppression Division, or security agencies, etc., where is necessary and required by the law only.

 

5. Objectives of Personal Data Processing

          The Company processes the personal data under the objectives and legal basic as follows:

5.1 Processing data on the contract basis, for example,

5.1.1  When customers, contractual parties and service users contact about the service or entering into a contract with the Company, it is necessary to request for the personal data of such persons to the Company for processing to provide a service, enter into a contract, communicate with such persons, follow up and notify about the performance of the contract.

5.1.2 Upon the recruitment with the Company or conducting a transaction related to the Company through any channels, personnel are required to provide their personal data to the Company in order to process regarding selection, approval of employment, calculation of entitlement under the employment contract, due date for
a payment, salary, communication with personnel and notification of benefits and rights that have been changed, answering inquiries and other notification of changes.

 

5.2  Processing data on the consent basis, for example,

The Company may use the personal data of the customers, contractual parties, and service users for processing in order to enter into a contract with such persons. The Company may require processing sensitive data appearing on the identity documents
(e.g., religion) for the purpose of person identification, and assist person in the event that such person is ill or need an emergency assistance, including, facilitate personnel in the regard of life insurance. However, the Company will not process such personal data without the consent of customers, contract parties, service users and personnel.

 

Additionally, provided that customers, contractual parties, service users and personnel desire to withdraw their consent in data processing thereon, customers, contractual parties, service users and personnel may contact the Company to request for the withdrawal of consent.

 

5.3 Processing data on the legitimate interest of data controller basic, for example, the Company processes the personal data of its customers, contractual parties and service users for business administration and relationship management, including but not limited to, issue an invoice in accordance with the internal records, internal management, audit, reporting, submission or filing requirements, data processing or other related to or similar activities. However, the Company may process the personal data for the management and internal reporting of the Company, maintaining the work and service standards, tax and risk management, auditing, submission or filing the information, data processing or other related to or similar activities.

 

5.4 Processing data on the legal obligation basic, the Company may use personal data of customers, contractual parties and service users to process in compliance with the applicable laws or orders of legal authorities according to the obligations prescribed by law and/or internal processes, fraud detection, legal or other regulatory investigations.
In addition, the Company may process the personal data of personnel in compliance with laws on employment and business operations, such as, Labor Protection Act B.E. 2540, Student Loan Fund Act B.E. 2560, Thai Provident Fund B.E. 2530 etc., as well as any other laws required for a disclosure of personal data.

 

6. Securities for Personal Data

For the benefit of confidentiality, integrity, and availability of personal data, the Company has established and implemented measures to maintain the security of personal data according to following:

 

6.1 Providing the authentication measures, determining the rights (Authorization),  and recording all activities (Accounting) concerning accessing, using, disclosing, and processing personal data in accordance with the Information Security Policy provided by the Company strictly.

 

6.2 In the event that the Company sends or transfers personal data to other countries or retains the personal data to other databases located in other countries, the sufficient measures for personal data protection or equivalent to measures under this policy shall be provided, unless it is required by law or under the consent of data subject.

 

6.3 In case of violation of the Company’s security measures and causing a violation of personal data or leakage of personal data to the public, the Company will notify the data subject immediately, including inform the remedy of damage from such violation or leakage; provided, a failure of the Company affecting the rights and freedoms of data subject. Nevertheless, the Company shall not be liable for any damage arising from the use or disclosure of personal data to third parties, including but not limited to, neglect to log out from the system by data subject or any actions of the data subject or other persons pursuing to the consent of data subject

 

6.4 The Company has established regulations for all personnel obligated when accessing personal data of customers, contractual parties, service users and personnel. The persons, who can access such personal data, will be the person required to be informed to perform their duties only, such as, personnel of human resources section or personnel
who supervises and manages a contract between the Company and parties, etc.

 

6.5 The Company conducts a review and evaluation of the efficiency of computer systems to maintain the personal data effectively.

 

7. Roles and Responsibilities

The Company requires personnel or agencies related to personal data to pay attention and be responsible for collecting, using, or disclosing personal data pursuant to the Company’s personal data protection policies and practices strictly by assigning the following persons or agencies, to supervise and examine that the Company’s activities correctly and legally subject to the policies and laws on personal data protection.

 

7.1 Board of Directors shall be responsible for:

7.1.1 Establishing the policies and practices for personal data protection and privacy.

7.1.2 Supervising the implementation of policy in a concrete manner.

 

7.2 Executives at all levels shall be responsible for:

7.2.1 Providing rules and regulations to collect the personal data appropriately for each company in accordance with the policies, practices, laws and international standards.

7.2.2 Arranging a responsible person, such as, agencies or personnel who is responsible to oversee the operations in accordance with the regulations.

7.2.3 In the event that the Company employs a natural person or juristic person in order to carry out the processing of the data, a standardized data protection system shall be provided for screening.

7.2.4 Supervising the implementation of policies, guidelines and regulations,
as well as developing and improving such implementation to be more efficient and also ensuring that there is a performance report provided pursing to such policies, guidelines and procedures.

 

7.3 Section or person designated as a collector, user or discloser of personal data shall be responsible for:

7.3.1 Operating and controlling the processing of personal data, including notification, requesting for a consent, collecting, using, or disclosing of personal data in accordance with the regulations of personal data protection and as required by the law.

7.3.2  Implementing and controlling the appropriate security measures, to prevent loss, access, use, alteration, or disclosure of personal data without authorization or misuse of personal data as set forth in the regulations of Personal Data Protection, including notifying the data controller to aware of the incidents of personal data breaches.

7.3.3 Operating and controlling the deletion or destruction of personal data after the retention period has expired, or that is not related to or beyond the necessity for the purposes collected or as requested by the data subject.

7.3.4 Checking and controlling the personal data to be accurate and up-to-date.

7.3.5 Immediate notifying the PDPD working group when there is any violation of personal data.

7.3.6 Controlling data records and reporting to relevant person who is responsible for it.

7.3.7 Assessing the risk concerning the personal data which is under theirs responsibility, managing and implementing a measure for reducing risk.

 

7.4 The PDPA working group shall be responsible for:

7.4.1    Providing advice to the data controller or data processor, including employees in connection with the compliance with the Personal Data Protection Act.

7.4.2 Examining the operations of the data controller or data processor regarding the collection, use or disclosure of personal data complying with the law.

7.4.3 Coordinating and cooperating with the Office of the Personal Data Protection Commission in case of issues concerning the collection, use or disclosure of personal data carried out by the data controller data processor.

7.4.4 Maintaining the confidentiality of personal data perceived or acquired in the course of performing their duties.

 

7.5 Data Protection Officer shall be responsible for:  

7.5.1 Providing advice in various fields relating to the protection of personal data for executives, employees, and business partners of the Company.

7.5.2 Supervising and monitoring the operations of data controller and data processor.

7.5.3 Coordinating and cooperating with the Office of the Personal Data Protection Commission; supposing that, there is a problem concerning the collection, use or disclosure of personal data of the Company, its customers, its partners, or any other related person.

 

8. The Rights of Data Subject

The Company provides a channel and facilitates the data subject or the person having the authority to act on his/her behalf in exercising the rights of data subject
in accordance with the law on personal data protection, which entitles the data subject to exercise his/her rights as following:

8.1  Right to access and request a copy of personal data, which is under the responsibility of the Company, as well as request for disclosing the acquisition of personal data that have not obtained the consent given by the data subject.

8.2 Right to data portability by requesting for the personal data which is collecting by the Company; provided that, supposing that such personal data is in readable form or common use by general or automatic equipment and can be also used or opened automatically, including the right to request for the personal data sent or transferred directly to another data controller, unless it is unable to do so due to a technical condition.

8.3  Right to object to collect, use or disclose the personal data.

8.4  Right to erase, destroy or de-identify the personal data of data subject.

8.5 Right to restriction of personal data processing.

8.6 Right to rectification by requesting the Company to rectify the personal data to be complete, accurate, up-to-date and non-misleading.

Subject to the applicable laws, the Company may refuse such an exercising of data subject rights or his/her authorized person; provided that, it is not against the law.

 

9. Improvement, Review or Amendment the Data Protection Policy – Human Resources

The Company may update, review, or amend this policy, whether in whole or in part or from time to time, to be consistent with the law, rules and regulations of authorized authorities, and the Company’s operations; provided that, this policy is amended.

 

10. Enforcement of Privacy Policy

This policy is applied to all personal data collected, used and/disclosed by the Company, which is entitled by the Data Subject to the Company to collect and use such personal data (if any), in accompany with any personal data, that is currently collected and will be further collected in the future, in order to use or disclose to other persons pursuing to the scope and objectives stated herein.

 

11. Hiring of Data Processing

The Company has established guidelines for entering a contract for personal data processing with a third party or juristic person, who is a personal data processor, as follows:

11.1 Prior to hiring a data processor, the Company must assess the service provider systems and personal data protection practices. Supposing that the service provider has no security system or such system is inadequate to entering into a contract, the data processor shall require the service provider to comply with the regulations or announcements specified by the Company.

11.2 The purpose of employment contract must be specified objectives, retention method, notification of the data subject, using, transmitting, transferring of data, and disposing or erasing the data.

11.3 The parties must sign a Data Processing Agreement (DPA) in accordance with the law or as specified by the Company’s regulations.

11.4 Upon the hiring of data processor, the Company shall control its processing following the objective of hiring and control its operation in accordance with the relevant guidelines.

11.5 When the data retention period expires, the Company shall monitor and control the service provider to process that personal data, as well as to delete, destroy, or
de-identify data (Anonymized Data) in accordance with the rules and regulations prescribed by the Company or agreed upon.

 

12. Training

The Company recognizes the importance of training, provided to educate, and raise awareness concerning the compliance of personal data protection, to executive and all personnel. It is also an obligation of all supervisors to assign personnel related to the personal data in their sections to attend the training strictly, in connection with assessment and follow-up to ensure that such personnel will be able to perform their duties completely and accurately as required by the laws on personal data protection.

 

13. Privacy Notice of Other Website

This Privacy Policy is applied only for the services of the company and use of the Company’s website only, if the customers, contractual parties, service users and personnel have clicked to other websites (even through the Company’s website), this policy and the terms and conditions of the Company shall not be binding to such customers, contractual parties, service users and personnel. In this regard, the customers, contractual parties, service users and personnel shall advise and abide by the privacy policy appearing on that website by themselves. The Company shall not be liable for the content or operation of such website due to not providing by the Company.

 

14. Personal Responsibility

The Company appoints a person or agency who is related to the personal data. Such person or agency must pay attention to the importance and responsibility of collection, use or disclosure of personal data in accordance with this Privacy Policy strictly. Any intention or negligent ordering or performing their duties are considered as a violation of this policy and our personal data protection practices; provided, and/or any damage occurred, such person shall be punished pursuant to the Company’s rules and regulations, in addition to be subject to legal penalties stipulated for such offense. Nevertheless, if such offense causes damage to the Company and/or any other person, the Company may consider proceeding further legal action.

 

15. Contact Us

If there is reasonable reason to doubt or believe that there is any violation of personal data, complaint, or the exercise of Data Subject rights under this policy or the Personal Data Protection Act B.E. 2562, you can contact the company by:

 

 

Nutrition SC PCL.

47/2 Moo 6 Phuthamonthon Sai 4 Rd., Krathumlom, Samphran Nakhonpathom 73220 Thailand

Tel :  +662-840-4333

Email : dpo@nutritionsc.co.th

Visitors: 118,729