นโยบายคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Protection Policy)
บริษัท ยูเนี่ยนอุตสาหกรรมสิ่งทอ จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้ถือหุ้น นักลงทุน คู่ค้า กรรมการ บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และกฎหมายอื่นที่เกี่ยวข้อง คณะกรรมการบริษัทได้อนุมัตินโยบายคุ้มครองข้อมูลส่วนบุคคล โดยให้เป็นส่วนหนึ่งของคู่มือการกำกับดูแลกิจการที่ดีของบริษัท เพื่อให้บริษัทมีหลักเกณฑ์ มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวบ นำไปใช้ เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย โดยมีสาระสำคัญดังต่อไปนี้
1. ขอบเขตการบังคับใช้
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบริษัท บุคลากรของบริษัท และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของบริษัท
2. คำนิยาม
“บริษัท” หมายถึง บริษัท ยูเนี่ยนอุตสาหกรรมสิ่งทอ จำกัด (มหาชน)
“การประมวลผล (Processing)” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดทำระบบ ทำโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน นำไปใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทำลาย
“ข้อมูลส่วนบุคคล (Personal Data)” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“เจ้าของข้อมูลส่วนบุคคล (Data Subject)” หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
“ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับประมวลผลข้อมูลส่วนบุคคล
“ผู้ประมวลข้อมูลส่วนบุคคล (Data Processor)” หมายถึง บุคคลธรรมดาหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Officer)” หมายถึง บุคคลธรรมดาหรือคณะบุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
3.1 บริษัทจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล โดยกำหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
(1) กําหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแลการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
(2) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท (Data Protection Officer : DPO) โดยมีบทบาทและหน้าที่ตามที่กฎหมายกําหนด
3.2 บริษัทจัดทำนโยบายและแนวปฏิบัติ รวมถึงเอกสารที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามที่กฎหมายกำหนด
3.3 บริษัทจัดให้มีกระบวนการบริหารจัดการในการปฏิบัติตามนโยบาย เพื่อควบคุมดูแลให้มีการปฏิบัติ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
3.4 บริษัทจะดําเนินการฝึกอบรมบุคลากรของบริษัท เพื่อให้ทุกคนมีความรู้ ความเข้าใจ และตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล
4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
4.1 บริษัทจะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลเท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส โดยบริษัทจะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
4.2 บริษัทจะจัดทําบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : ROPA) สําหรับบันทึกรายการและกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
4.3 บริษัทจะจัดให้มีแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Notice) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอม (Consent Form) และเอกสารอื่นๆตามที่กฏหมายกำหนด
4.4 กรณีที่บริษัทส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บริษัทจะจัดทําข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้น เพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย
4.5 กรณีที่บริษัทต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทจะปฏิบัติให้สอดคล้องกับกฎหมาย
4.6 บริษัทจัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษา
4.7 บริษัทจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด
6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
6.1 บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายกำหนด เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมทั้งจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าวอย่างสม่ำเสมอ
6.2 ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หากมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุนั้นต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ หากการละเมิดนั้นเป็นการละเมิดที่มีความเสี่ยงสูงซึ่งมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะแจ้งเหตุนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ
7. บทบาท หน้าที่ และความรับผิดชอบ
คณะกรรมการบริษัท
มีหน้าที่กํากับดูแลและสนับสนุนให้บริษัทดําเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ และสอดคล้องกับกฎหมาย
กรรมการผู้จัดการ
มีหน้าที่ติดตาม ควบคุมให้ทุกหน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
มีหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทให้เป็นไปตามกฎหมายกำหนด รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
พนักงานของบริษัท
มีหน้าที่ปฏิบัติหน้าที่ให้สอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และรายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ
8. การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะจัดให้มีการทบทวนและปรับปรุง หรือแก้ไขนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับข้อกฏหมาย การเปลี่ยนแปลงการดำเนินงานของบริษัทฯ รวมถึงข้อเสนอแนะต่างๆที่บริษัทพิจารณาแล้วเห็นว่าเหมาะสม และเป็นประโยชน์ต่อทุกฝ่าย โดยบริษัทจะประกาศให้ทราบผ่านทางเว็บไซต์ของทางบริษัท www.ut.co.th
9. บทลงโทษ
การไม่ปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท อาจมีความผิดและถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกําหนด
10. ช่องทางการติดต่อบริษัทฯ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
อีเมล์ This email address is being protected from spambots. You need JavaScript enabled to view it.
บริษัท ยูเนี่ยนอุตสาหกรรมสิ่งทอ จำกัด (มหาชน)
205 หมู่ที่ 4 ถนนสุขุมวิท ก.ม. 39.5 ตำบลบางปูใหม่ อำเภอเมืองสมุทรปราการ จังหวัดสมุทรปราการ 10280
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับบุคลากรทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท โดยทุกคนต้องเข้าใจและปฏิบัติตามนโยบายฉบับนี้ รวมทั้งให้ความร่วมมือและสนับสนุนให้เกิดการปฏิบัติอย่างจริงจังทั่วทั้งองค์กร โดยมีรายละเอียดแบบแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Notice) สำหรับกรรมการ ผู้บริหาร ผู้ถือหุ้น คู่ค้า บุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท แบบให้ความยินยอม (Personal Data Processing Consent Form) และเอกสารอื่น ๆ แนบท้ายประกาศนี้
ประกาศ ณ วันที่ 24 พฤษภาคม 2565