< >
    ส่งให้เพื่อน
    จาก

    นโยบายคุ้มครองข้อมูลส่วนบุคคล

    บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด(มหาชน)

    • นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ถือหุ้น
    • บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)

      1. บททั่วไป

      บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)  และบริษัทในเครือ1 (“บริษัทฯ”) ได้ตระหนักถึงความสำคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต (“กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ”) บริษัทฯ จึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับผู้ถือหุ้น และ/หรือ ผู้ถือหลักทรัพย์ของบริษัทฯ (รวมเรียกว่า “ผู้ถือหุ้น” และที่เกี่ยวกับนโยบาย เรียกว่า “นโยบายฯ”) ฉบับนี้ขึ้น เพื่อให้ท่านเชื่อมั่นว่าข้อมูลที่สามารถระบุตัวตนของผู้ถือหุ้นได้ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ (“ข้อมูลส่วนบุคคลฯ”) เป็นข้อมูลที่บริษัทฯ ให้ความสำคัญเป็นอย่างสูงโดยมีการคุ้มครองและบริหารจัดการข้อมูลส่วนบุคคลฯ ด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม 

      บริษัทฯ มีความจำเป็นในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งต่อข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นจึงจัดทำนโยบายฯ เพื่อปฏิบัติตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น บริษัทฯ ขอแนะนำให้ผู้ถือหุ้นอ่านและทำความเข้าใจถึงข้อกำหนดต่างๆ ภายใต้นโยบายฯ โดยมีรายละเอียดดังต่อไปนี้

      1. วัตถุประสงค์

      บริษัทฯ จะดำเนินการ เก็บ รวบรวม ใช้ ประมวลผล เปิดเผย ส่งต่อข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้น เพื่อวัตถุประสงค์ ดังต่อไปนี้

      2.1 การจัดทำทะเบียนผู้ถือหุ้น

      2.2 การกำหนดสิทธิต่างๆ ของผู้ถือหุ้น

      2.3 การประมวลผลเพื่อการส่งหนังสือเชิญประชุม หรือหนังสือบอกกล่าวอื่นๆ เพื่อแจ้งสิทธิของผู้ถือหุ้น

      2.4 การยืนยันตัวตนของผู้ถือหุ้น เพื่อแสดงสิทธิต่างๆ ในการเป็นผู้ถือหุ้นฯ เช่น การใช้สิทธิในการร่วมประชุมผู้ถือหุ้น สิทธิในการโอนหุ้น เป็นต้น

      2.5 การจัดการตอบรับการสื่อสารที่ผู้ถือหุ้นติดต่อบริษัทฯ 

      2.6 การแจ้งเกี่ยวกับผลประโยชน์ ข้อมูลทางการเงิน เช่น การจ่ายเงินปันผลแก่ผู้ถือหุ้น 

      2.7 การเปลี่ยนแปลงในสิทธิผู้ถือหุ้นของบริษัทฯ

      2.8 วัตถุประสงค์อื่นๆ ที่มีความจำเป็น เป็นประโยชน์ต่อผู้ถือหุ้นและความเกี่ยวข้องกับวัตถุประสงค์ที่ระบุไว้

      2.9 เพื่อปฎิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลของผู้ถือหุ้นเพื่อเข้าทำสัญญา  

      1. การเก็บรวบรวม แหล่งที่มา การวิเคราะห์และใช้ข้อมูลส่วนบุคคลฯ

      3.1 ภายใต้นโยบายฯ ฉบับนี้ แหล่งที่มาของข้อมูลส่วนบุคคลฯ ที่บริษัทฯ ได้รับมาจากผู้ถือหุ้นจะได้มาโดยในกรณีดังต่อไปนี้ 

      เมื่อบุคคลได้เข้าถือหุ้นของบริษัทฯ หรือผู้ถือหุ้นส่งมอบเอกสารต่างๆ ซึ่งมีข้อมูลส่วนบุคคลฯ ปรากฏอยู่มาให้กับบริษัทฯ หรือบริษัทฯ ได้รับข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้น จาก บริษัท ศูนย์รับฝากหลักทรัพย์ (ประเทศไทย) จำกัด (“TSD”) หรือจากการที่บริษัทฯ ได้ตรวจสอบสมุดทะเบียนผู้ถือหุ้นของบริษัทฯ หรือจากหน้าที่ในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลฯ ของบริษัทฯ ตามกฎหมายว่าด้วยบริษัทมหาชนจำกัด และกฎหมายหลักทรัพย์และตลาดหลักทรัพย์ รวมถึงกฎหมายที่เกี่ยวข้อง โดยข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นที่บริษัทจะดำเนินการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งต่อข้อมูลส่วนบุคคลฯ มีดังต่อไปนี้

      (ก) ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาใบอนุญาตขับรถ สำเนาบัตรประจำตัวข้าราชการ สำเนาหนังสือเดินทาง สำเนาใบเปลี่ยนชื่อนามสกุล เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง รูปถ่าย ลายมือชื่อ สัญชาติ เชื้อชาติ ศาสนา2 เป็นต้น
      (ข) ข้อมูลการติดต่อ เช่น ที่อยู่ติดต่อได้ หมายเลขโทรศัพท์ โทรสาร อีเมล ข้อมูลผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน และข้อมูลบุคคลอ้างอิง เป็นต้น

      (ค) ข้อมูลเลขทะเบียนผู้ถือหุ้น
      (ง) การบันทึกหรือถ่ายทอดผ่านระบบ เช่น ออนไลน์ หรืออิเล็คทรอนิกส์ การบันทึกวีดีโอทัศน์ การบันทึกเสียง การบันทึกภาพนิ่ง ภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV) ฯลฯ

      3.2 ในการเก็บรวบรวมข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้น ผู้ถือหุ้นจะได้รับการแจ้งถึงรายละเอียดต่างๆ ตามที่ระบุใน   นโยบายฯ ฉบับนี้ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะวัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ เปิดเผย และ/

      หรือ ประมวลผลข้อมูลส่วนบุคคล หรือหากเป็นกรณีที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้การประมวลผลข้อมูลส่วนบุคคลใดต้องได้รับความยินยอมจากผู้ถือหุ้น บริษัทฯ จะขอความยินยอมจากผู้ถือหุ้นโดย     ชัดแจ้ง

      3.3 ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นไว้ก่อนวันที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ    ในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับ บริษัทฯ จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ ได้เคยแจ้งไว้แก่ผู้ถือหุ้นในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งท่านมีสิทธิยกเลิกความยินยอม โดยติดต่อมายังบริษัทฯ ตามรายละเอียดการติดต่อที่ระบุไว้ในข้อ 7    ของนโยบายฯ ฉบับนี้ ทั้งนี้  บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำขอยกเลิกความยินยอมของท่านและดำเนินการตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลกำหนด

      ___________________________________________

      2 ข้อมูลส่วนบุคคลที่ผู้ถือหุ้นส่งให้แก่บริษัทฯ อาจปรากฏข้อมูลอ่อนไหว (Sensitive Data) เช่น สัญชาติ เชื้อชาติ ศาสนา ซึ่งเป็นข้อมูลที่ไม่มีความจำเป็นในการประชุมผู้ถือหุ้น บริษัทฯ ขอให้ผู้ถือหุ้นปกปิดข้อมูลดังกล่าวก่อนนำส่งให้แก่บริษัทฯ ในกรณีที่     ผู้ถือหุ้นไม่ได้ปกปิดข้อมูลดังกล่าว บริษัทฯ ถือว่าผู้ถือหุ้นยินยอมในการให้บริษัทฯ เก็บข้อมูลดังกล่าว

      3.4 ในกรณีที่บริษัทฯ จะดำเนินการเก็บ รวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นในลักษณะ และ/หรือเพื่อวัตถุประสงค์ที่เพิ่มขึ้นหรือแตกต่างกับวัตถุประสงค์ที่ระบุไว้ในนโยบาย ฯ ฉบับนี้ บริษัทฯ จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม และ/หรือมีหนังสือไปยังผู้ถือหุ้นเพื่ออธิบายการประมวลผลข้อมูลในลักษณะดังกล่าว โดยผู้ถือหุ้นควรอ่านนโยบายหรือประกาศเพิ่มเติมที่เกี่ยวข้องร่วมกับนโยบายฯ ฉบับนี้ และ/หรือหนังสือดังกล่าว (แล้วแต่กรณี) 

      1. การเปิดเผยข้อมูลส่วนบุคคลฯ

      ข้อมูลส่วนบุคคลที่ผู้ถือหุ้นฯ ได้ให้ไว้แก่บริษัทฯ จะถูกเก็บ รวบรวม ประมวลผล ใช้ และเปิดเผย ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ ในการเปิดเผยข้อมูลส่วนบุคคลของผู้ถือหุ้นให้กับบุคคลอื่น บริษัทฯ จะจัดให้มีมาตรการที่เหมาะสม         เพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผยและเพื่อปฏิบัติตามมาตรฐานและหน้าที่การคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด และที่จะเพิ่มเติมในอนาคต

      การเปิดเผยข้อมูลส่วนบุคคลฯ ภายใต้วัตถุประสงค์ที่กำหนดและตามหลักเกณฑ์ที่กฎหมายกำหนด โดยบริษัทฯ อาจมี       ความจำเป็นต้องเปิดเผยให้แก่บุคคลและหน่วยงานดังต่อไปนี้

      4.1 ผู้ให้บริการ และผู้ประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ มอบหมายหรือว่าจ้างให้ทำหน้าที่บริหารจัดการ/ประมวลผลข้อมูลส่วนบุคคลฯ ให้แก่บริษัทฯ ในการให้บริการต่างๆ เช่น การให้บริการด้านเทคโนโลยีสารสนเทศ บริการบันทึกข้อมูล บริการด้านสุขภาพ บริการวิเคราะห์ข้อมูล หรือบริการอื่นใดที่อาจเป็นประโยชน์ต่อผู้ถือหุ้น 

      4.2 TSD ในฐานะผู้ให้บริการนายทะเบียนหลักทรัพย์ให้แก่บริษัทฯ 

      4.3 สถาบันการเงินต่างๆ ที่บริษัทฯ จะแจ้งข้อมูลส่วนบุคคลฯ เพื่อผลประโยชน์ในข้อมูลทางการเงิน เช่น                           การจ่ายเงินปันผลแก่ผู้ถือหุ้น 

      4.4 หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย หรือที่ได้รับอนุญาตตามกฎหมายที่เกี่ยวข้อง อาทิ กรมสรรพากร กรมการปกครอง กรมพัฒนาธุรกิจการค้า สำนักงานคณะกรรมการหลักทรัพย์และตลาดหลักทรัพย์ ตลาดหลักทรัพย์แห่งประเทศไทย และบริษัทย่อยของตลาดหลักทรัพย์แห่งประเทศไทย (TSD) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

      4.5 บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลของท่านต่อบุคคลหรือหน่วยงานนั้นๆ อาทิ การเปิดเผยการประมวลภาพกิจกรรมตามช่องทางสื่อต่างๆ ของบริษัทฯ ให้แก่ประชาชนทั่วไป เป็นต้น

      4.6 ที่ปรึกษาของบริษัทฯ อาทิ ที่ปรึกษาทางกฎหมาย ทนายความ ที่ปรึกษาทางบัญชี ผู้ตรวจสอบบัญชี หรือผู้เชี่ยวชาญอื่นใด ทั้งภายในและภายนอกของบริษัทฯ เป็นต้น

      1. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ

      บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการเก็บ รวบรวม ประมวลผล และ ใช้ข้อมูลส่วนบุคคลฯ ซึ่งได้ระบุไว้ในนโยบายฯ ฉบับนี้ โดยระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลฯ                   จะเปลี่ยนแปลงไปโดยขึ้นอยู่กับวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้นๆ นอกจากนี้ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาตามที่กฎหมายที่เกี่ยวข้องกำหนด โดยคำนึงถึงอายุความตามกฎหมายสำหรับการดำเนินคดี    ที่อาจเกิดขึ้นจากหรือเกี่ยวข้องกับเอกสารหรือข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมไว้ในแต่ละรายการ 

      ในกรณีที่ไม่สามารถระบุระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ ได้ชัดเจน บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ            ของผู้ถือหุ้นตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บข้อมูลส่วนบุคคลฯ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของผู้ถือหุ้นไว้ตามระยะเวลาที่จำเป็นในระหว่างที่ผู้ถือหุ้นมีความสัมพันธ์อยู่กับบริษัทฯในฐานะผู้ถือหุ้น หรือตลอดระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ ซึ่งอาจจำเป็นต้องเก็บรักษาไว้ต่อไปภายหลังจากนั้นหากมีกฎหมายกำหนดหรืออนุญาตไว้เป็นระยะเวลา 10 ปี นับแต่วันที่สิ้นสุดความเป็นผู้ถือหุ้น หรือได้รับข้อมูลส่วนบุคคลฯ จากผู้ถือหุ้น สิ้นสุดลง อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อสิทธิเรียกร้องทางกฎหมายของบริษัทฯ

      หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น บริษัทฯ จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของบริษัทฯ และของบุคคลอื่นซึ่งให้บริการแก่บริษัทฯ (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถ        ระบุตัวท่านได้ 

      1. สิทธิต่างๆ ของผู้ถือหุ้นเกี่ยวกับข้อมูลส่วนบุคคลฯ

      ผู้ถือหุ้นในฐานะเจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิต่างๆ ภายใต้กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ ดังต่อไปนี้ 

      6.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
      ผู้ถือหุ้นมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของผู้ถือหุ้น และขอรับสำเนาข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นซึ่งผู้ถือหุ้นได้ให้ไว้ในนโยบายฯ ฉบับนี้ ตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      6.2 สิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ
      ผู้ถือหุ้นมีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวท่านเอง เว้นแต่โดยสภาพไม่สามารถทำได้ ตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      6.3 สิทธิในการคัดค้านการเก็บ รวบรวม ประมวลผล และ ใช้ ข้อมูลส่วนบุคคลฯ
      ผู้ถือหุ้นมีสิทธิขอคัดค้านการเก็บ รวบรวม ประมวลผล และ ใช้ ข้อมูลส่วนบุคคลฯ ได้ตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      6.4 สิทธิในการลบข้อมูลส่วนบุคคลฯ
      ผู้ถือหุ้นมีสิทธิขอให้บริษัทฯ ลบ หรือ ทำลายหรือทำให้ข้อมูลส่วนบุคคลฯ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      6.5 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลฯ
      ผู้ถือหุ้นมีสิทธิขอให้บริษัทฯ ระงับการใช้ข้อมูลส่วนบุคคลฯ ตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      6.6 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้อง

      กรณีที่ผู้ถือหุ้นพบว่าข้อมูลส่วนบุคคลฯ  ที่ได้ให้ไว้ตามนโยบายฯ ฉบับนี้ ไม่ถูกต้อง หรือผู้ถือหุ้นมีการเปลี่ยนแปลงข้อมูลส่วนบุคคลฯ ผู้ถือหุ้นมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้อง ตามที่กฎหมายการคุ้มครองข้อมูลส่วน    บุคคลฯ กำหนด

       

      6.7 สิทธิในการรับทราบกรณีการแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ
      บริษัทฯ อาจมีการพิจารณาแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ ตามความเหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลฯ ของผู้ถือหุ้นจะได้รับความคุ้มครองอย่างเหมาะสมตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด 

      6.8 สิทธิในการร้องเรียน

      หากผู้ถือหุ้นมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของ          ผู้ถือหุ้น ให้ติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 7 ของนโยบายฯ ฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายการคุ้มครองข้อมูลส่วนบุคคล ผู้ถือหุ้นมีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลกำหนด

      อย่างไรก็ตาม สิทธิต่างๆของผู้ถือหุ้นในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ในนโยบายฯ ฉบับนี้  อยู่ภายใต้ข้อจำกัดและเงื่อนไขตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล  บริษัทจึงอาจปฎิเสธคำร้องของท่านโดยให้เหตุผลที่กฎหมายกำหนดรวมทั้งของสงวนสิทธิในการพิจารณาคำร้องขอท่านภายใต้เงื่อนไข กระบวนการ และกฎระเบียบของบริษัท 

      1. วิธีการติดต่อบริษัทฯ

      บริษัทฯ ได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office :DPO) เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฯ หากผู้ถือหุ้นมีความประสงค์จะขอใช้สิทธิต่างๆ  ในข้อ 6. ของนโยบายฯ ฉบับนี้ ผู้ถือหุ้นสามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้

      7.1 เจ้าหน้าที่นักลงทุนสัมพันธ์
      อีเมล: IR@taokaenoi.co.th
      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120

      7.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO)
      อีเมล: DPO@taokaenoi.co.th
      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120 

      1. การเปลี่ยนแปลงนโยบายฯ ฉบับนี้

      บริษัทฯ อาจทำการเปลี่ยนแปลงนโยบายฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลฯ  และตามที่กฎหมายการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด โดยบริษัทฯ จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใดๆ พร้อมกับประกาศฯ ฉบับปรับปรุงผ่าน www.taokaenoi.co.th หรือช่องทางอื่นที่บริษัทฯ จะแจ้งให้ทราบ ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศฯ เป็นระยะๆ

      ให้ประกาศฯ ฉบับนี้มีผลใช้บังคับตั้งแต่วันที่ 16 พฤศจิกายน 2564

    • นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับคู่ค้า
    • บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)

      1. บททั่วไป

      บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)  และบริษัทในเครือ1 (“บริษัทฯ”) ได้ตระหนักถึงความสำคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต  (“กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ”) บริษัทฯ จึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับคู่ค้า (“นโยบายฯ”) ซึ่งเป็นส่วนขยายจาก “นโยบายคุ้มครองข้อมูลส่วนบุคคลตามประกาศที่ 102/2564” เพื่อแจ้งรายละเอียดการคุ้มครองข้อมูลส่วนบุคคลสำหรับคู่ค้า เพื่อให้คู่ค้าเชื่อมั่นว่าข้อมูลที่สามารถระบุตัวตนของคู่ค้าได้ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ (“ข้อมูลส่วนบุคคลฯ”) เป็นข้อมูลที่บริษัทฯ ให้ความสำคัญเป็นอย่างสูงโดยมีการคุ้มครองและบริหารจัดการข้อมูลส่วนบุคคลฯ ด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

      บริษัทฯ มีความจำเป็นในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งต่อข้อมูลส่วนบุคคลฯ ของคู่ค้าจึงจัดทำนโยบายฯ  เพื่อแจ้งรายละเอียดให้คู่ค้าทราบตามเงื่อนไขของกฎหมายคุ้มครองข้อมูลส่วนบุคคลและเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น บริษัทฯ ขอแนะนำให้คู่ค้าอ่านและทำความเข้าใจถึงข้อกำหนดต่างๆ ภายใต้นโยบายฯ ฉบับนี้ โดยมีรายละเอียดดังต่อไปนี้

      1.   นิยาม 

      2.1 คู่ค้า หมายถึง บุคคลหรือนิติบุคคลที่มีนิติสัมพันธ์กับบริษัทที่เข้ามาเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการ และ/หรือรับจ้างทำของให้แก่บริษัทฯ ตามสัญญาซื้อขาย สัญญาการให้บริการ สัญญาจ้างทำของ หรือสัญญาอื่นใดที่เกี่ยวข้องกับการจัดซื้อจัดจ้างของบริษัทฯ เช่น ผู้ขาย ผู้ให้บริการ ผู้รับจ้าง หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน โดยมีสถานะเป็นเจ้าของข้อมูลส่วนบุคคล รวมทั้งกรรมการ ผู้แทน ผู้มีอำนาจทำการแทน ตัวแทน พนักงานหรือลูกจ้างของคู่ค้าที่เกี่ยวข้องกับนิติสัมพันธ์ดังกล่าว ซึ่งต่อไปในนโยบายฯ ฉบับนี้จะเรียกว่า “คู่ค้า” หรือ “ท่าน

      2.2 ข้อมูลส่วนบุคคลของคู่ค้า หมายถึง ข้อมูลส่วนบุคคลของคู่ค้าที่เป็นบุคคลธรรมดา ข้อมูลส่วนบุคคลของบุคคลที่เป็นผู้แทน ผู้มีอำนาจทำการแทนหรือตัวแทนที่ได้รับมอบหมายจากคู่ค้าที่เป็นนิติบุคคล รวมทั้งข้อมูลส่วนบุคคลของลูกจ้าง พนักงาน ผู้รับจ้าง ตัวแทนของคู่ค้า ที่ได้รับมอบหมายให้ดำเนินการเกี่ยวกับสัญญาหรือนิติกรรมใดๆ กับบริษัทฯ 

      2.3 ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อมและเป็นข้อมูลที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

      2.4 ประมวลผลข้อมูลส่วนบุคคล หมายถึง การเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล

      1. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของคู่ค้า 

      ในการประมวลผลข้อมูลส่วนบุคคลของคู่ค้า คู่ค้าจะได้รับการแจ้งถึงรายละเอียดต่างๆ ตามที่ระบุในนโยบายฯ ฉบับนี้                ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะวัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ ประมวลผลข้อมูลส่วนบุคคล ดังจะกล่าวต่อไปนี้ 

      3.1 เพื่อประโยชน์ในการดำเนินการขั้นตอนการทำคำเสนอการเทียบราคา เจรจาต่อรองราคา การจัดซื้อจัดจ้าง และการคัดเลือกคู่ค้าหรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกันเพื่อเข้าทำสัญญาซื้อขาย สัญญาการให้บริการ สัญญาจ้างทำของ หรือสัญญาอื่นใดที่เกี่ยวข้องกับการจัดซื้อจัดจ้างของบริษัทฯ ระหว่างบริษัทฯ และคู่ค้า  เพื่อการตรวจสอบเอกสารหลักฐานผู้ซื้อ ผู้ขาย ผู้รับบริการ ผู้ให้บริการ ผู้ว่าจ้าง ผู้รับจ้างอันเกี่ยวข้องกับการติดต่อเข้าทำสัญญาหรือเจรจาทำสัญญา และการดำเนินการที่เกี่ยวข้องตามนโยบายการจัดซื้อจัดจ้างของบริษัทฯ เช่น การบันทึกยืนยันระบุตัวคู่ค้ารวมทั้งผู้แทน ผู้มีอำนาจทำการแทน ตัวแทนหรือผู้ได้รับมอบหมายจากคู่ค้าให้ดำเนินการเกี่ยวกับสัญญาดังกล่าว   

      3.2 เพื่อประโยชน์ในการลงทะเบียนคู่ค้ารายใหม่ หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกันเพื่อประมวลผลข้อมูลส่วนบุคคลที่เป็นการจำเป็นในการดำเนินการตามคำขอของผู้ที่คาดว่าจะเป็นคู่ค้า หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เพื่อดำเนินการลงทะเบียนเป็นคู่ค้ารายใหม่ตลอดจนการดำเนินการในเรื่องที่เกี่ยวข้องจนเสร็จการ

      3.3 เพื่อประโยชน์ในการปฎิบัติตามสัญญาหรือดำเนินการตามสัญญาซื้อขาย สัญญาการให้บริการ สัญญาจ้างทำของ หรือสัญญาอื่นใดที่เกี่ยวข้องกับการจัดซื้อจัดจ้างของบริษัทฯ  เช่น เพื่อการชำระราคา การจัดส่งและการรับส่งสินค้า การจัดทำเอกสารทางการค้าและการดำเนินการอื่นที่เกี่ยวข้องกับการปฎิบัติตามสัญญา  การประมวลผลข้อมูลส่วนบุคคลของคู่ค้าเพื่อดำเนินการเกี่ยวเนื่องหลังการซื้อขาย การให้บริการ การจ้างทำของ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ การคืนสินค้า การรับประกัน ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสถานะเป็นผู้แทนหรือผู้มีอำนาจทำการแทนหรือตัวแทนหรือผู้ได้รับมอบหมายให้ดำเนินการเกี่ยวกับสัญญาดังกล่าว  

      3.4 เพื่อให้บริษัทฯ สามารถปฎิบัติหน้าที่ต่างๆ ตามกฎหมายที่เกี่ยวข้อง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะกฎหมายเกี่ยวกับการขนส่ง กฎหมายเกี่ยวกับภาษีอากร และเพื่อปฎิบัติตามระเบียบ ประกาศ หรือข้อบังคับที่ออกตามความในกฎหมาย และเพื่อการรายงาน การแจ้งข้อมูลต่อหน่วยงานราชการ หรือหน่วยงานที่เกี่ยวข้อง ตามที่กฎหมายกำหนดหน้าที่ให้บริษัทฯ กระทำการดังกล่าว รวมทั้งเพื่อปฎิบัติตามคำสั่งโดยชอบด้วยกฎหมายของพนักงานเจ้าหน้าที่ คำสั่งศาล   

      3.5 เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ ซึ่งรวมถึงกรณีต่อไปนี้ 

      -การประมวลผลข้อมูลส่วนบุคคลของคู่ค้าเพื่อการตรวจสอบภายใน  การตรวจสอบทางการเงินและการบัญชี                  การตรวจสอบและป้องกันการฉ้อโกง การทุจริต หรือการกระทำผิดกฎหมาย หรือเพื่อใช้แตรียมการในการดำเนินคดีตามกฎหมาย  รวมทั้งเพื่อประโยชน์โดยชอบด้วยกฎหมายอื่นของบริษัทฯ  

      -การประมวผลข้อมูลส่วนบุคคลของคู่ค้าที่เข้ามาในพื้นที่หรือทรัพย์สินของบริษัทฯ เพื่อติดต่อทางธุรกิจ เยี่ยมชม ประสานงาน ฯลฯ   โดยบริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของคู่ค้าเพื่อประโยชน์ในการรักษาความปลอดภัยในทรัพย์สิน สถานที่ของบริษัทฯ 

      -การประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง ผู้รับจ้าง ตัวแทน ของคู่ค้าที่คู่ค้าส่งหรือโอนมาให้บริษัทฯ                                เพื่อประมวลผลตามวัตถุประสงค์ในการเข้าทำสัญญาหรือปฎิบัติตามสัญญาระหว่างบริษัทฯ และคู่ค้า รวมทั้ง เพื่อการติดต่อหรือประสานงานที่เกี่ยวเนื่องกับการเจรจาเข้าทำสัญญาหรือปฎิบัติตามสัญญาระหว่างบริษัทฯ และคู่ค้า

      -การประมวลผลข้อมูลส่วนบุคคลของคู่ค้าพื่อการบริหารจัดการและการปฎิบัติงานของบริษัทฯ 

      3.6 เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของคู่ค้าหรือบุคคลอื่น  

      3.7 เพื่อการส่งมอบงาน การตรวจสอบและรับมอบงาน การดำเนินการเอกสารที่เกี่ยวข้องกับการชำระเงิน เช่น การวางบิล การชำระเงิน และการจัดส่งใบเสร็จรับเงินและเอกสารที่เกี่ยวข้องให้แก่คู่ค้า 

      3.8 เพื่อปรับปรุงพัฒนาการให้บริการของบริษัทฯ ต่อคู่ค้า เช่น การทำแบบสอบถามเพื่อสำรวจความพึงพอใจ

      3.9 ในการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่างๆ ดังกล่าวข้างต้น หากเป็นกรณีที่กฎหมายกำหนดให้              การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใดต้องได้รับความยินยอมจากคู่ค้า   บริษัทฯ จะขอความยินยอมโดยชัดแจ้ง  ตามเอกสารแนบท้ายนโยบายฯ ฉบับนี้ และหากเป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถประมวลผลข้อมูลส่วนบุคลลของคู่ค้าโดยไม่ต้องอาศัยความยินยอม ถือว่าบริษัทฯ ได้แจ้งรายละเอียดการประมวลผลให้เจ้าของข้อมูลทราบแล้วภายใต้นโยบายฯ นี้ 

      3.10 ในกรณีที่บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลของคู่ค้าในลักษณะ และ/หรือเพื่อวัตถุประสงค์ที่แตกต่างหรือไม่สอดคล้องกับที่แจ้งรายละเอียดในนโยบายฯ ฉบับนี้   บริษัทฯ จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมโดยจะแจ้งให้คู่ค้าทราบถึงรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลนั้น 

      3.11 ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลของคู่ค้าไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วน                  ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับ บริษัทฯ จะเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลฯ ของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ แจ้งให้ท่านทราบตามนโยบาย ฯ ฉบับนี้ ทั้งนี้ หากท่านไม่ประสงค์ให้บริษัทประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิยกเลิกความยินยอม โดยติดต่อมายังบริษัทฯ ตามช่องทางการติดต่อที่ระบุไว้ในนโยบายฯ ฉบับนี้   โดยบริษัทฯ ขอสงวนสิทธิในการพิจารณาคำขอยกเลิกความยินยอมของท่านและดำเนินการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด   

      3.12 ในกรณีข้อมูลส่วนบุคคลที่บริษัทฯ ประมวลผลตามนโยบายฯนี้ จัดเป็นข้อมูลส่วนบุคคลที่อ่อนไหว                                        บริษัทฯ จะดำเนินการขอความยินยอมจากท่าน เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ ประมวลผลได้โดย                ไม่ต้องอาศัยความยินยอม  

      1. ข้อมูลส่วนบุคคลที่เก็บรวบรวม และแหล่งที่มาของข้อมูลส่วนบุคคล  

      4.1 ภายใต้นโยบายฯ ฉบับนี้  บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากคู่ค้าโดยตรงเมื่อคู่ค้าส่งข้อมูลส่วนบุคคลที่เป็นส่วนหนึ่งหรือประกอบกับเอกสารต่างๆ  เพื่อวัตถุประสงค์ในการขอเข้าทำสัญญาและปฎิบัติตามสัญญากับบริษัทฯ ตามข้อ 3.1 และ 3.2   โดยประกอบด้วยข้อมูลส่วนบุคคลดังนี้  

      (ก) ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาใบเปลี่ยนชื่อนามสกุล เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ หมายเลขบัตรประจำตัวประชาชน ลายมือชื่อ ตัวอย่างลายมือชื่อ  สำเนาทะเบียนบ้าน บัญชีธนาคาร ภาพถ่าย  รวมทั้งข้อมูลส่วนบุคคลในลักษณะดังกล่าวที่ปรากฎในแบบฟอร์มหรือเอกสารทางการค้าที่เกี่ยวข้องกับนิติสัมพันธ์กับบริษัทฯ สำหรับข้อมูลส่วนบุคคลที่อ่อนไหวในบัตรประชาชน บริษัทฯ ไม่มีนโยบายเก็บข้อมูลส่วนบุคคลที่อ่อนไหว โดยให้คู่ค้าขีดฆ่าหรือทำให้ไม่สามารถระบุตัวได้

      (ข) ข้อมูลการติดต่อ เช่น ที่อยู่ตามสำเนาบัตรประจำตัวประชาชน ที่อยู่ตามสำเนาทะเบียนบ้าน หมายเลขโทรศัพท์ โทรสาร อีเมล ไอดีผู้ใช้สำหรับไลน์แอปพลิเคชัน (Line ID) ไอดีผู้ใช้สำหรับวีแชทแอปพลิเคชัน (Wechat ID) บัญชีเฟซบุ๊ก บัญชีอินสตาแกรม ช่องทางติดต่อในสื่อสังคมออนไลน์ ที่ปรากฎในนามบัตร จดหมายอิเล็กทรอนิกส์  แบบฟอร์ม เอกสารทางการค้าที่เกี่ยวข้องกับนิติสัมพันธ์กับบริษัทฯ 

      (ค) ในบางกรณี บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยอัตโนมัติผ่านช่องทางต่างๆ  ขึ้นอยู่กับการใช้งานหรือแนวปฎิบัติหรือการติดต่อระหว่างท่านและบริษัทฯ   ทั้งนี้  หากการเก็บรวบรวมข้อมูลโดยอัตโนมัติดังกล่าวมีรายละเอียดแตกต่างหรือเพิ่มเติมจากนโยบายฯ ฉบับนี้  บริษัทจะจัดทำนโยบายเพื่อแจ้งรายละเอียดแก่ท่านเป็นการเฉพาะ เช่น หากคู่ค้าใช้งานเว็บไซต์ของบริษัทฯ อาจมีการ การใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่นๆ ที่คล้ายคลึงกัน  โดยบริษัทฯ ได้ทำการแจ้งรายละเอียดเพิ่มเติมในนโยบายการใช้คุกกี้ 

      (ง)   ในบางกรณี บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเมื่อท่านติดต่อสื่อสารกับบริษัทฯ เช่น                         การบันทึกหรือถ่ายทอดการสนทนาระหว่างท่านกับบริษัทฯ ผ่านระบบออนไลน์ หรืออิเล็คทรอนิกส์ หรือ เมื่อท่านเข้ามาติดต่อยังสถานที่ของบริษัทฯ เช่น การบันทึกภาพนิ่ง ภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV)

      (จ)  ข้อมูลส่วนบุคคลที่เกี่ยวกับธุรกิจ เช่น รายละเอียดเกี่ยวกับโรงงานของคู่ค้า ข้อมูลการติดต่อ สำเนาเอกสารสิทธิ เงื่อนไขทางการค้า

      (ฉ)  ข้อมูลเกี่ยวกับการชำระเงิน เช่น เลขที่บัญชี ข้อมูลส่วนบุคคลที่ปรากฏใบใบแจ้งหนี้ ใบเสร็จรับเงิน

      (ช)  ข้อมูลประกอบการทำสัญญาหรือนิติกรรมต่าง ๆ เช่น สำเนาหนังสือรับรองบริษัท สำเนาเอกสารใบอนุญาตประกอบกิจการโรงงาน สำเนาเอกสารสิทธิในที่ดิน สำเนาหนังสือมอบอำนาจ สำเนาหนังสือยินยอม สำเนากรมธรรม์ประกันภัย

      4.2   ในกรณีที่บริษัทฯ เก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของพนักงาน ลูกจ้าง   ตัวแทน หรือบุคคลผู้ได้รับมอบหมายจากคู่ค้า   ซึ่งคู่ค้าได้ส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวมาให้บริษัทฯ เพื่อการดำเนินการอันเกี่ยวข้องกับวัตถุประสงค์ข้อ 3.1 และ/หรือ 3.2 เช่น ชื่อ นามสกุล ตำแหน่งงาน  ข้อมูลติดต่อ  โดยบริษัทฯ ไม่ต้องขอความยินยอมจากบุคคลดังกล่าว  เว้นแต่เป็นกรณีข้อมูลส่วนบุคคลที่อ่อนไหว โดยบริษัทฯ แจ้งให้บุคคลดังกล่าวทราบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลภายใต้นโยบายฯ นี้ด้วย  อย่างไรก็ตาม  หากบริษัทฯ ไม่สามารถแจ้งรายละเอียดตามนโยบายนี้ให้บุคคลดังกล่าวทราบได้โดยตรง  คู่ค้ายอมรับที่จะนำนโยบายนี้ไปแจ้งให้บุคคลดังกล่าวทราบแทนบริษัทฯ และส่งเอกสารที่แสดงถึงการรับทราบนโยบายดังกล่าวให้แก่บริษัทฯ ด้วย  นอกจากนี้หากเป็นกรณีที่บริษัทฯ ต้องขอความยินยอมจากบุคคลดังกล่าว คู่ค้ายอมรับที่จะนำแบบความยินยอมแนบท้ายนโยบายนี้ไปให้บุคคลดังกล่าวแสดงการยินยอมด้วย ในการนี้คู่ค้ายอมรับว่าบริษัทฯ อาจเรียกให้ท่านส่งหลักฐานอันแสดงถึงการดำเนินการดังกล่าวเพื่อการตรวจสอบการปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อไป

      1. การเปิดเผยข้อมูลส่วนบุคคลฯ

      บริษัทฯ เปิดเผยหรือส่งหรือโอนหรือแลกเปลี่ยนข้อมูลส่วนบุคคลของคู่ค้าตามวัตถุประสงค์ดังกล่าวในข้อ 3 โดยมีรายละเอียดเกี่ยวกับบุคคลหรือหน่วยงานที่เป็นผู้รับโอนหรือรับการเปิดเผยดังต่อไปนี้   

      5.1 เปิดเผยข้อมูลส่วนบุคคลคู่ค้าให้แก่ผู้ให้บริการต่างๆ เช่น การให้บริการด้านเทคโนโลยีสารสนเทศ บริการบันทึกข้อมูล บริการวิเคราะห์ข้อมูล หรือบริการอื่นใดที่เกี่ยวข้องกับการที่บริษัทฯ ต้องดำเนินการเพื่อเข้าทำสัญญาหรือเพื่อปฎิบัติตามสัญญาที่มีกับท่าน  

      5.2 เปิดเผยข้อมูลส่วนบุคคลของคู่ค้าแก่ผู้ให้บริการด้านการเงิน การชำระเงินอิเล็กทรอนิกส์ หรือบริการอื่นใดที่เกี่ยวข้องกับการที่บริษัทฯ ต้องดำเนินการเพื่อการปฎิบัติตามสัญญาที่มีกับท่าน ซึ่งรวมถึงการชำระราคาสินค้า 

      5.3 หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย หรือที่ได้รับอนุญาตตามกฎหมายที่เกี่ยวข้อง อาทิ กรมสรรพากร กรมพัฒนาธุรกิจการค้า 

      5.4 บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลของท่าน อาทิ การเปิดเผยภาพกิจกรรมตามช่องทางสื่อต่างๆ การเปิดเผยแก่ผู้ให้บริการสื่อสังคมออนไลน์ หรือการเปิดเผยต่อสาธารณะทางสื่อต่างๆ  

      5.5 บริษัทในเครือ ทั้งนี้ให้หมายความรวมถึงผู้บริหาร กรรมการ พนักงาน ลูกจ้าง และ/หรือบุคลากรภายในของบริษัทฯ ดังกล่าวเท่าที่เกี่ยวข้องและตามความจำเป็นเพื่อการประมวลผลข้อมูลส่วนบุคคลฯ ของท่าน 

      5.6 ที่ปรึกษาของบริษัทฯ อาทิ ที่ปรึกษาทางกฎหมาย ทนายความ ที่ปรึกษาทางบัญชี ผู้ตรวจสอบบัญชี หรือผู้เชี่ยวชาญอื่นใด ทั้งภายในและภายนอกของบริษัทฯ 

      1. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ

      6.1 บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ ของคู่ค้าตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการเก็บ รวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลฯ ซึ่งได้ระบุไว้ในข้อ 3 ของนโยบายฯ ฉบับนี้  โดยระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลฯ จะเปลี่ยนแปลงไปโดยขึ้นอยู่กับวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้นๆ  สำหรับการเก็บรักษาข้อมูลเพื่อวัตถุประสงค์เกี่ยวกับการเข้าทำสัญญาหรือปฎิบัติตามสัญญา บริษัทฯ จะเก็บรักษาไว้ตลอดระยะเวลาที่คู่สัญญายังคงมีสถานะความสัมพันธ์ตามสัญญาดังกล่าว นอกจากนี้ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาตามที่กฎหมายที่เกี่ยวข้องกำหนด โดยคำนึงถึงอายุความตามกฎหมายสำหรับ                       การดำเนินคดีที่อาจเกิดขึ้นจากหรือเกี่ยวข้องกับการดำเนินการกับข้อมูลส่วนบุคคลตามวัตถุประสงค์แต่ละกรณีด้วย  

      6.2 ในกรณีที่ไม่สามารถระบุระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ ได้ชัดเจน บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ ของคู่ค้าตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บข้อมูลส่วนบุคคลฯ อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลฯ ของคู่ค้าเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของบริษัทฯ

      6.3 หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น บริษัทฯ จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของบริษัทฯ และของบุคคลอื่นซึ่งให้บริการแก่บริษัทฯ (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ 

      1. สิทธิของคู่ค้าในฐานะเจ้าของข้อมูลส่วนบุคคล

      คู่ค้าในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่างๆ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ดังต่อไปนี้ 

      7.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคลฯ
      คู่ค้ามีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของคู่ค้าและขอรับสำเนาข้อมูลส่วนบุคคลฯของคู่ค้าซึ่งคู่ค้าให้ไว้ในโยบายฯ ฉบับนี้ ทั้งนี้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.2 สิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ

      คู่ค้ามีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นหรือตัวท่านเอง เว้นแต่โดยสภาพไม่สามารถทำได้ ทั้งนี้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.3 สิทธิในการคัดค้านการเก็บ รวบรวม ประมวลผล และ ใช้ ข้อมูลส่วนบุคคลฯ 

      คู่ค้ามีสิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลฯ ได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.4 สิทธิในการลบข้อมูลส่วนบุคคลฯ
      คู่ค้ามีสิทธิขอให้บริษัทฯ ลบ หรือ ทำลายหรือทำให้ข้อมูลส่วนบุคคลฯ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.5 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลฯ

      คู่ค้ามีสิทธิขอให้บริษัทฯ ระงับการประมวลผลข้อมูลส่วนบุคคลฯ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.6 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้อง

      กรณีที่คู่ค้าพบว่าข้อมูลส่วนบุคคลฯ  ที่ได้ให้ไว้ตามนโยบายฯ ฉบับนี้ ไม่ถูกต้อง หรือคู่ค้ามีการเปลี่ยนแปลงข้อมูลส่วนบุคคลฯ คู่ค้ามีสิทธิขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้องหรือเป็นปัจจุบัน ตามที่กฎหมายคุ้มครองข้อมูล            ส่วนบุคคลฯ กำหนด

      7.7 สิทธิในการรับทราบกรณีการแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ

      บริษัทฯ อาจมีการพิจารณาแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ ตามความเหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลฯ ของคู่ความจะได้รับความคุ้มครองอย่างเหมาะสมตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.8 สิทธิในการร้องเรียน

      หากคู่ความมีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของคู่ค้า โปรดติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 8 ของนโยบายฯ ฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายการคุ้มครองข้อมูลส่วนบุคคล คู่ค้ามีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

      อย่างไรก็ตาม สิทธิต่างๆ ของคู่ค้าในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ในนโยบายฯ ฉบับนี้  อยู่ภายใต้ข้อจำกัดและเงื่อนไขตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ บริษัทฯ จึงอาจปฎิเสธคำร้องของท่านโดยให้เหตุผลที่กฎหมายกำหนดรวมทั้งของสงวนสิทธิในการพิจารณาคำร้องขอท่านภายใต้เงื่อนไข กระบวนการ และกฎระเบียบของ บริษัทฯ 

      1. วิธีการติดต่อบริษัทฯ

      บริษัทฯ ได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office: DPO) เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากคู่ค้ามีความประสงค์จะขอใช้สิทธิต่างๆ  ในข้อ 7 ของนโยบายฯ ฉบับนี้ คู่ค้าสามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้ 

      เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
      อีเมล: DPO@taokaenoi.co.th
      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120 

      1. การเปลี่ยนแปลงนโยบายฯ ฉบับนี้

      บริษัทฯ อาจทำการเปลี่ยนแปลงนโยบายฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลฯ และตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด             โดยบริษัทฯ จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใดๆ พร้อมกับประกาศฯ ฉบับปรับปรุงผ่าน www.taokaenoi.co.th หรือช่องทางอื่นที่บริษัทฯ จะแจ้งให้ทราบ ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศฯ ฉบับนี้เป็นระยะ

      ให้ประกาศฯ ฉบับนี้มีผลใช้บังคับตั้งแต่วันที่ 16 พฤศจิกายน 2564 

    • นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับลูกค้า
    • บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)

      1. บททั่วไป

      บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)  และบริษัทในเครือ1 (“บริษัทฯ”) ได้ตระหนักถึงความสำคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต  (“กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ”) บริษัทฯ จึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับลูกค้า (“นโยบายฯ”) ซึ่งเป็นส่วนขยายจาก “นโยบายคุ้มครองข้อมูลส่วนบุคคล ตามประกาศที่ 102/2564” เพื่อแจ้งรายละเอียดการคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้า  เพื่อให้ลูกค้าเชื่อมั่นว่าข้อมูลที่สามารถระบุตัวตนของลูกค้าได้ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ (“ข้อมูลส่วนบุคคลฯ”) เป็นข้อมูลที่บริษัทฯ ให้ความสำคัญเป็นอย่างสูงโดยมีการคุ้มครองและบริหารจัดการข้อมูลส่วนบุคคลฯ ด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

      บริษัทฯ มีความจำเป็นในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งต่อข้อมูลส่วนบุคคลฯ ของลูกค้าจึงจัดทำนโยบายฯ เพื่อแจ้งรายละเอียดให้ลูกค้าทราบตามเงื่อนไขของกฎหมายรคุ้มครองข้อมูลส่วนบุคคลฯ และเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น บริษัทฯ ขอแนะนำให้ลูกค้าอ่านและทำความเข้าใจถึงข้อกำหนดต่างๆ ภายใต้นโยบายฯ ฉบับนี้ โดยมีรายละเอียดดังต่อไปนี้

      1.   นิยาม 

      2.1 ลูกค้า หมายถึง บุคคลหรือนิติบุคคลที่มีนิติสัมพันธ์กับบริษัท ตามสัญญาซื้อขาย หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เช่น ผู้สนใจสอบถามข้อมูลเกี่ยวกับสินค้าหรือผลิตภัณฑ์ของบริษัทฯ  รวมถึง บุคคลผู้ร่วมกิจกรรม โดยมีสถานะเป็นเจ้าของข้อมูลส่วนบุคคล รวมทั้งผู้แทนหรือผู้มีอำนาจทำการแทนหรือตัวแทนหรือลูกจ้างของลูกค้าที่เกี่ยวข้องกับนิติสัมพันธ์ดังกล่าว ซึ่งต่อไปในนโยบายฯ ฉบับนี้จะเรียกว่า “ลูกค้า” หรือ “ท่าน

      ___________________________________________

       บริษัทในเครือ หมายถึง บริษัทในเครือของบริษัทฯ ซึ่งปัจจุบัน ได้แก่

      (1) บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน) (2) บริษัท เถ้าแก่น้อย เรสเตอรองท์ แอนด์ แฟรนไชส์ จำกัด            (3) บริษัท เอ็นซีพี เทรดดิ้งแอนด์ซัพพลาย จำกัด  (4) บริษัท เถ้าแก่น้อย แคร์ จำกัด (5) Taokaenoi USA Inc.

      บุคคลผู้ร่วมกิจกรรม หมายถึง บุคคลที่มีนิติสัมพันธ์กับบริษัทฯ ตามสัญญาอื่นนอกเหนือจากสัญญาซื้อขายในขอบเขตที่เกี่ยวเนื่องกับการประกอบธุรกิจของบริษัทฯ  รวมทั้งบุคคลที่แสดงเจตนาเข้าร่วมกิจกรรมหรือโครงการหรือติดต่อสื่อสารกับบริษัทอันเกี่ยวเนื่องกับการประกอบธุรกิจของบริษัทฯ เช่น ผู้สนใจสอบถามข้อมูลเกี่ยวกับสินค้าหรือผลิตภัณฑ์ของบริษัทฯ ผู้เข้าร่วมกิจกรรม ผู้ใช้บริการบนเว็บไซต์ ผู้ที่ติดต่อเพื่อขอรับข้อมูลจากบริษัทฯ และผู้ตอบแบบสอบถามเกี่ยวกับสินค้า และ/หรือ บริการของบริษัทฯ   

      2.2 ข้อมูลส่วนบุคคลของลูกค้า หมายถึง ข้อมูลส่วนบุคคลของลูกค้าที่เป็นบุคคลธรรมดา ข้อมูลส่วนบุคคลของบุคคลที่เป็นผู้แทนหรือผู้มีอำนาจทำการแทนหรือตัวแทนที่ได้รับมอบหมายจากลูกค้าที่เป็นนิติบุคคล รวมทั้งข้อมูลส่วนบุคคลของลูกจ้าง พนักงาน ผู้รับจ้าง ตัวแทน ของลูกค้า ที่ได้รับมอบหมายให้ดำเนินการเกี่ยวกับสัญญาหรือนิติกรรมใดๆ กับบริษัทฯ 

      2.3 ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อมและเป็นข้อมูลที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

      2.4 ประมวลผลข้อมูลส่วนบุคคล หมายถึง การเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล

      1. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของลูกค้า 

      ในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า   ลูกค้าจะได้รับการแจ้งถึงรายละเอียดต่างๆ ตามที่ระบุในนโยบายฯ ฉบับนี้ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะวัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ เปิดเผย และ/หรือ ประมวลผลข้อมูลส่วนบุคคล ดังจะกล่าวต่อไปนี้ 

      3.1 เพื่อประโยชน์ในการดำเนินการขั้นตอนการทำคำเสนอและการเจรจาต่อรอง เพื่อเข้าทำสัญญาซื้อขายระหว่างบริษัทฯ และลูกค้า เพื่อการตรวจสอบเอกสารหลักฐานผู้ซื้อ ผู้ขาย อันเกี่ยวข้องกับการติดต่อเข้าทำสัญญาหรือเจรจาทำสัญญา และการดำเนินการที่เกี่ยวข้อง เช่น การบันทึกยืนยันระบุตัวลูกค้า การเปิดหน้าบัญชีซื้อขายสินค้าและการลงทะเบียนลูกค้ารวมทั้งผู้แทนหรือผู้มีอำนาจทำการแทนหรือตัวแทนหรือผู้ได้รับมอบหมายให้ดำเนินการเกี่ยวกับสัญญาดังกล่าว  

      3.2 เพื่อประโยชน์ในการปฎิบัติตามสัญญาหรือดำเนินการตามสัญญาซื้อขาย  เช่น เพื่อการชำระราคา การจัดส่งและการรับส่งสินค้า การจัดทำเอกสารทางการค้าและการดำเนินการอื่นที่เกี่ยวข้องกับการปฎิบัติตามสัญญา  การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อดำเนินการเกี่ยวเนื่องหลังการซื้อขาย ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ การคืนสินค้า การรับประกัน ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสถานะเป็นผู้แทนหรือผู้มีอำนาจทำการแทนหรือตัวแทนหรือผู้ได้รับมอบหมายให้ดำเนินการเกี่ยวกับสัญญาดังกล่าว  

      3.3 เพื่อให้บริษัทฯ สามารถปฎิบัติหน้าที่ต่างๆ ตามกฎหมายที่เกี่ยวข้อง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะกฎหมายเกี่ยวกับการขนส่ง กฎหมายเกี่ยวกับภาษีอากร และเพื่อปฎิบัติตามระเบียบ ประกาศ หรือข้อบังคับที่ออกตามความในกฎหมาย และเพื่อการรายงาน การแจ้งข้อมูลต่อหน่วยงานราชการ หรือหน่วยงานที่เกี่ยวข้อง ตามที่กฎหมายกำหนดหน้าที่ให้บริษัทฯ กระทำการดังกล่าว รวมทั้งเพื่อปฎิบัติตามคำสั่งโดยชอบด้วยกฎหมายของพนักงานเจ้าหน้าที่ คำสั่งศาล   

      3.4 เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ ซึ่งรวมถึงกรณีต่อไปนี้ 

      -การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อการตรวจสอบภายใน  การตรวจสอบทางการเงินและการบัญชี      การตรวจสอบและป้องกันการฉ้อโกง การทุจริต หรือการกระทำผิดกฎหมาย หรือเพื่อใช้แตรียมการในการดำเนินคดีตามกฎหมาย  รวมทั้งเพื่อประโยชน์โดยชอบด้วยกฎหมายอื่นของบริษัทฯ  

      -การประมวผลข้อมูลส่วนบุคคลของลูกค้าที่เข้ามาในพื้นที่หรือทรัพย์สินของบริษัทฯ เพื่อติดต่อทางธุรกิจ เยี่ยมชม ประสานงาน ฯลฯ   โดยบริษัทฯ ประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อประโยชน์ในการรักษาความปลอดภัยในทรัพย์สิน สถานที่ของบริษัทฯ 

      -การประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง ผู้รับจ้าง ตัวแทน ของลูกค้าที่ลูกค้าส่งหรือโอนมาให้บริษัทฯ เพื่อประมวลผลตามวัตถุประสงค์ในการเข้าทำสัญญาหรือปฎิบัติตามสัญญาระหว่างบริษัทฯ และลูกค้า รวมทั้ง เพื่อการติดต่อหรือประสานงานที่เกี่ยวเนื่องกับการเจรจาเข้าทำสัญญาหรือปฎิบัติตามสัญญาระหว่างบริษัทฯ และลูกค้า-การประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อการบริหารจัดการและการปฎิบัติงานของบริษัทฯ 

      3.5 เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของลูกค้าหรือบุคคลอื่น  

      3.6 เพื่อวัตถุประสงค์ในการธุรกิจ การตลาด การประชาสัมพันธ์  การส่งเสริมการขาย  จัดกิจกรรมความสัมพันธ์ระหว่างบริษัทฯ และลูกค้า เช่น การส่งข้อความเกี่ยวกับการสื่อสารทางการตลาด การถ่ายภาพนิ่งหรือภาพเคลื่อนไหวเพื่อนำไปประมวลภาพและประชาสัมพันธ์กิจกรรมทางการตลาด การส่งเสริมการขายตามช่องทางสื่อต่าง ๆ บริษัทฯ จะดำเนินการโดยอาศัยความยินยอมที่ได้รับจากท่าน

      3.7 เพื่อปรับปรุงพัฒนาการให้บริการของบริษัทฯ ต่อลูกค้า เช่น การวิจัยเพื่อพัฒนาผลิตภัณฑ์หรือบริการ การทำแบบสอบถามเพื่อสำรวจความพึงพอใจ

      3.8 ในการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่างๆ ดังกล่าวข้างต้น  หากเป็นกรณีที่กฎหมายกำหนดให้การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใดต้องได้รับความยินยอมจากลูกค้า   บริษัทฯ จะขอความยินยอมโดยชัดแจ้ง ตามเอกสารแนบท้ายนโยบายฯ ฉบับนี้ หากเป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถประมวลผลข้อมูลส่วนบุคลลของลูกค้าโดยไม่ต้องอาศัยความยินยอม ดังเช่น ข้อ  3.1-3.5   ถือว่าบริษัทฯ ได้แจ้งรายละเอียดการประมวลผลให้เจ้าของข้อมูลทราบแล้วภายใต้นโยบายฯ นี้ 

      3.9 ในกรณีที่บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลของลูกค้าในลักษณะ และ/หรือเพื่อวัตถุประสงค์ที่แตกต่าง หรือไม่สอดคล้องกับที่แจ้งรายละเอียดในนโยบายฯ ฉบับนี้  บริษัทฯ จะจัดให้มีนโยบายหรือประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม โดยจะแจ้งให้ลูกค้าทราบถึงรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลนั้น   

      3.10 ในกรณีที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าไว้ก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีผลใช้บังคับบริษัทฯ จะเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลฯ ของท่านต่อไปตามวัตถุประสงค์เดิมที่บริษัทฯ ได้แจ้งให้แก่ท่านตามนโยบายนี้  ทั้งนี้หากท่านไม่ประสงค์ให้บริษัทประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิยกเลิกความยินยอม โดยติดต่อมายังบริษัทฯ ตามช่องทางการติดต่อที่ระบุไว้ในนโยบายฯ ฉบับนี้ โดย บริษัทฯ ขอสงวนสิทธิในการพิจารณาคำขอยกเลิกความยินยอมของท่านและดำเนินการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      3.11 ในกรณีข้อมูลส่วนบุคคลที่บริษัทฯ ประมวลผลตามวัตถุประสงค์ข้อ 3.1-3.7 จัดเป็นข้อมูลส่วนบุคคลที่อ่อนไหว   บริษัทฯ จะดำเนินการขอความยินยอมจากท่าน เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ ประมวลผลได้โดยไม่ต้องอาศัยความยินยอม  

      1. ข้อมูลส่วนบุคคลที่เก็บรวบรวม และแหล่งที่มาของข้อมูลส่วนบุคคล  

      4.1 ภายใต้นโยบายฯ ฉบับนี้  บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากลูกค้าโดยตรงเมื่อลูกค้าส่งข้อมูลส่วนบุคคลที่เป็นส่วนหนึ่งหรือประกอบกับเอกสารต่างๆ  เพื่อวัตถุประสงค์ในการขอเข้าทำสัญญาและปฎิบัติตามสัญญากับบริษัทฯ    ตามข้อ 3.1 และ 3.2   โดยประกอบด้วยข้อมูลส่วนบุคคลดังนี้  

      (ก) ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาใบเปลี่ยนชื่อนามสกุล เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ หมายเลขบัตรประจำตัวประชาชน ลายมือชื่อ ตัวอย่างลายมือชื่อ  สำเนาทะเบียนบ้าน บัญชีธนาคาร ภาพถ่าย  รวมทั้งข้อมูลส่วนบุคคลในลักษณะดังกล่าวที่ปรากฎในแบบฟอร์มหรือเอกสารทางการค้าที่เกี่ยวข้องกับนิติสัมพันธ์กับบริษัทฯ สำหรับข้อมูลส่วนบุคคลที่อ่อนไหวในบัตรประชาชน บริษัทฯ ไม่มีนโยบายเก็บข้อมูลส่วนบุคคลที่อ่อนไหว โดยให้ลูกค้าขีดฆ่าหรือทำให้ไม่สามารถระบุตัวได้

      (ข) ข้อมูลการติดต่อ เช่น ที่อยู่ตามสำเนาบัตรประจำตัวประชาชน ที่อยู่ตามสำเนาทะเบียนบ้าน หมายเลขโทรศัพท์ โทรสาร อีเมล ไอดีผู้ใช้สำหรับไลน์แอปพลิเคชัน (Line ID) ไอดีผู้ใช้สำหรับวีแชทแอปพลิเคชัน (Wechat ID) บัญชีเฟซบุ๊ก บัญชีอินสตาแกรม ช่องทางติดต่อในสื่อสังคมออนไลน์   ที่ปรากฎในแบบฟอร์มหรือเอกสารทางการค้าที่เกี่ยวข้องกับนิติสัมพันธ์กับบริษัทฯ 

      (ค) ในบางกรณี บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยอัตโนมัติผ่านช่องทางต่างๆ  ขึ้นอยู่กับการใช้งานหรือแนวปฎิบัติหรือการติดต่อระหว่างท่านและบริษัทฯ ทั้งนี้  หากการเก็บรวบรวมข้อมูลโดยอัตโนมัติดังกล่าวมีรายละเอียดแตกต่างหรือเพิ่มเติมจากนโยบายฯ ฉบับนี้  บริษัทจะจัดทำนโยบายเพื่อแจ้งรายละเอียดแก่ท่านเป็นการเฉพาะ เช่น หากลูกค้าใช้งานเว็บไซต์ของบริษัทฯ อาจมีการใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่นๆ ที่คล้ายคลึงกัน โดยบริษัทฯ ได้ทำการแจ้งรายละเอียดเพิ่มเติมในนโยบายการใช้คุกกี้

      (ง)   ในบางกรณี บริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเมื่อท่านติดต่อสื่อสารกับบริษัทฯ เช่น   การบันทึกหรือถ่ายทอดการสนทนาระหว่างท่านกับบริษัทฯ ผ่านระบบออนไลน์ หรืออิเล็คทรอนิกส์ หรือ เมื่อท่านเข้ามาติดต่อยังสถานที่ของบริษัทฯ เช่น การบันทึกภาพนิ่ง ภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV)

      4.2   ในกรณีที่บริษัทฯ เก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของพนักงาน ลูกจ้าง   ตัวแทน หรือบุคคลผู้ได้รับมอบหมายจากลูกค้า   ซึ่งลูกค้าได้ส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวมาให้บริษัทฯ เพื่อการดำเนินการอันเกี่ยวข้องกับวัตถุประสงค์ข้อ 3.1 และ/หรือ 3.2 เช่น ชื่อ นามสกุล ตำแหน่งงาน  ข้อมูลติดต่อ  โดยบริษัทฯ ไม่ต้องขอความยินยอมจากบุคคลดังกล่าว  เว้นแต่เป็นกรณีข้อมูลส่วนบุคคลที่อ่อนไหว โดยบริษัทฯ แจ้งให้บุคคลดังกล่าวทราบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลภายใต้นโยบายฯ นี้ด้วย  อย่างไรก็ตาม  หากบริษัทฯ ไม่สามารถแจ้งรายละเอียดตามนโยบายนี้ให้บุคคลดังกล่าวทราบได้โดยตรง  ลูกค้ายอมรับที่จะนำนโยบายนี้ไปแจ้งให้บุคคลดังกล่าวทราบแทนบริษัทฯ และส่งเอกสารที่แสดงถึงการรับทราบนโยบายดังกล่าวให้แก่บริษัทฯ ด้วย  นอกจากนี้หากเป็นกรณีที่บริษัทฯ ต้องขอความยินยอมจากบุคคลดังกล่าว ลูกค้ายอมรับที่จะนำแบบความยินยอมแนบท้ายนโยบายนี้ไปให้บุคคลดังกล่าวแสดงการยินยอมด้วย ในการนี้ลูกค้ายอมรับว่าบริษัทฯ อาจเรียกให้ท่านส่งหลักฐานอันแสดงถึงการดำเนินการดังกล่าวเพื่อการตรวจสอบการปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อไป

      1. การเปิดเผยข้อมูลส่วนบุคคลฯ

      บริษัทฯ เปิดเผยหรือส่งหรือโอนหรือแลกเปลี่ยนข้อมูลส่วนบุคคลของลูกค้าตามวัตถุประสงค์ดังกล่าวในข้อ 3 โดยมีรายละเอียดเกี่ยวกับบุคคลหรือหน่วยงานที่เป็นผู้รับโอนหรือรับการเปิดเผยดังต่อไปนี้   

      5.1 เปิดเผยข้อมูลส่วนบุคคลลูกค้าให้แก่ผู้ให้บริการต่างๆ  เช่น การให้บริการด้านเทคโนโลยีสารสนเทศ บริการบันทึกข้อมูล บริการวิเคราะห์ข้อมูล หรือบริการอื่นใดที่เกี่ยวข้องกับการที่บริษัทฯ ต้องดำเนินการเพื่อเข้าทำสัญญาหรือเพื่อปฎิบัติตามสัญญาที่มีกับท่าน  

      5.2 เปิดเผยข้อมูลส่วนบุคคลของลูกค้าแก่ผู้ให้บริการด้านการเงิน  การชำระเงินอิเล็กทรอนิกส์ หรือบริการอื่นใดที่เกี่ยวข้องกับการที่บริษัทฯ ต้องดำเนินการเพื่อการปฎิบัติตามสัญญาที่มีกับท่าน ซึ่งรวมถึงการชำระราคาสินค้า 

      5.3 หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย หรือที่ได้รับอนุญาตตามกฎหมายที่เกี่ยวข้อง อาทิ กรมสรรพากร กรมพัฒนาธุรกิจการค้า 

      5.4 บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลของท่าน อาทิ การเปิดเผยภาพกิจกรรมตามช่องทางสื่อต่างๆ หรือ การเปิดเผยแก่ผู้ให้บริการสื่อสังคมออนไลน์ หรือ การเปิดเผยต่อสาธารณะทางสื่อต่างๆ  ซึ่งเป็นส่วนหนึ่งของวัตถุประสงค์ตามข้อ 3.6 

      5.5 บริษัทในเครือ ทั้งนี้ให้หมายความรวมถึงผู้บริหาร กรรมการ พนักงาน ลูกจ้าง และ/หรือบุคลากรภายในของบริษัทฯ ดังกล่าวเท่าที่เกี่ยวข้องและตามความจำเป็นเพื่อการประมวลผลข้อมูลส่วนบุคคลฯ ของท่าน ซึ่งเป็นส่วนหนึ่งของวัตถุประสงค์ตามข้อ 3.4  

      5.6 ที่ปรึกษาของบริษัทฯ อาทิ ที่ปรึกษาทางกฎหมาย ทนายความ ที่ปรึกษาทางบัญชี ผู้ตรวจสอบบัญชี หรือผู้เชี่ยวชาญอื่นใด ทั้งภายในและภายนอกของบริษัทฯ ซึ่งเป็นส่วนหนึ่งของวัตถุประสงค์ตามข้อ 3.4  



      1. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ

      6.1 บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ ของลูกค้าตามระยะเวลาที่จำเป็นเพื่อบรรลุวัตถุประสงค์ที่กำหนดในการเก็บ รวบรวม ประมวลผล และ ใช้ข้อมูลส่วนบุคคลฯ ซึ่งได้ระบุไว้ในข้อ  3 ของนโยบายฯ ฉบับนี้  โดยระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลฯ จะเปลี่ยนแปลงไปโดยขึ้นอยู่กับวัตถุประสงค์ที่กำหนดในการประมวลผลข้อมูลส่วนบุคคลนั้นๆ    สำหรับการเก็บรักษาข้อมูลเพื่อวัตถุประสงค์เกี่ยวกับการเข้าทำสัญญาหรือปฎิบัติตามสัญญา บริษัทฯ จะเก็บรักษาไว้ตลอดระยะเวลาที่คู่สัญญายังคงมีสถานะความสัมพันธ์ตามสัญญาดังกล่าว นอกจากนี้ บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาตามที่กฎหมายที่เกี่ยวข้องกำหนด โดยคำนึงถึงอายุความตามกฎหมายสำหรับการดำเนินคดีที่อาจเกิดขึ้นจากหรือเกี่ยวข้องกับการดำเนินการกับข้อมูลส่วนบุคคลตามวัตถุประสงค์แต่ละกรณีด้วย  

      6.2 ในกรณีที่ไม่สามารถระบุระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลฯ ได้ชัดเจน บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลฯ ของลูกค้าตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บข้อมูลส่วนบุคคลฯ อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลฯ ของลูกค้าเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของบริษัทฯ

      6.3 หลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น บริษัทฯ จะลบหรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของบริษัทฯ และของบุคคลอื่นซึ่งให้บริการแก่บริษัทฯ (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ 

      1. สิทธิของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคล

      ลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่างๆ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ดังต่อไปนี้ 

      7.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคลฯ
      ลูกค้ามีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของลูกค้า และขอรับสำเนาข้อมูลส่วนบุคคลฯ ของลูกค้าซึ่งลูกค้าได้ให้ไว้ในนโยบายฯ ฉบับนี้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.2 สิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ
      ลูกค้ามีสิทธิขอให้ส่งหรือโอนข้อมูลส่วนบุคคลฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวท่านเอง เว้นแต่โดยสภาพไม่สามารถทำได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.3 สิทธิในการคัดค้านการเก็บ รวบรวม ประมวลผล และ ใช้ ข้อมูลส่วนบุคคลฯ 

      ลูกค้ามีสิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลฯ ได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.4 สิทธิในการลบข้อมูลส่วนบุคคลฯ
      ลูกค้ามีสิทธิขอให้บริษัทฯ ลบ หรือ ทำลายหรือทำให้ข้อมูลส่วนบุคคลฯ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.5 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลฯ

      ลูกค้ามีสิทธิขอให้บริษัทฯ ระงับการประมวลผลข้อมูลส่วนบุคคลฯ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.6 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้อง
      กรณีที่ลูกค้าพบว่าข้อมูลส่วนบุคคลฯ  ที่ได้ให้ไว้ตามนโยบายฯ ฉบับนี้ ไม่ถูกต้อง หรือลูกค้ามีการเปลี่ยนแปลงข้อมูลส่วนบุคคลฯ ลูกค้ามีสิทธิขอแก้ไขข้อมูลส่วนบุคคลฯ ให้ถูกต้อง ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.7 สิทธิในการรับทราบกรณีการแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ

      บริษัทฯ อาจมีการพิจารณาแก้ไขเปลี่ยนแปลงแบบการลงทะเบียนเกี่ยวกับข้อมูลส่วนบุคคลฯ ตามความเหมาะสม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลฯ ของลูกค้าจะได้รับความคุ้มครองอย่างเหมาะสมตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      7.8 สิทธิในการร้องเรียน

      หากลูกค้ามีความกังวลหรือมีข้อสงสัยเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า โปรดติดต่อบริษัทฯ โดยใช้รายละเอียดการติดต่อตามข้อ 7 ของนโยบายฯ ฉบับนี้ ทั้งนี้ ในกรณีที่มีเหตุให้เชื่อได้ว่าบริษัทฯ ได้ทำการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล ลูกค้ามีสิทธิยื่นข้อร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามระเบียบและวิธีการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

      อย่างไรก็ตาม สิทธิต่างๆ ของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ในนโยบายฯ ฉบับนี้  อยู่ภายใต้ข้อจำกัดและเงื่อนไขตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ บริษัทฯ จึงอาจปฎิเสธคำร้องของท่านโดยให้เหตุผลที่กฎหมายกำหนดรวมทั้งของสงวนสิทธิในการพิจารณาคำร้องขอท่านภายใต้เงื่อนไข กระบวนการ และกฎระเบียบของ บริษัทฯ 

      1. วิธีการติดต่อบริษัทฯ

      บริษัทฯ ได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office: DPO) เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากลูกค้ามีความประสงค์จะขอใช้สิทธิต่างๆ  ในข้อ 7 ของนโยบายฯ ฉบับนี้ ลูกค้าสามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้ 

      เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
      อีเมล: DPO@taokaenoi.co.th
      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120 

      1. การเปลี่ยนแปลงนโยบายฯ ฉบับนี้

      บริษัทฯ อาจทำการเปลี่ยนแปลงนโยบายฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลฯ และตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้องกำหนด             โดยบริษัทฯ จะแจ้งให้ท่านทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใดๆ พร้อมกับประกาศฯ ฉบับปรับปรุงผ่าน www.taokaenoi.co.th หรือช่องทางอื่นที่บริษัทฯ จะแจ้งให้ทราบ ทั้งนี้ บริษัทฯ ขอแนะนำให้ท่านตรวจสอบการเปลี่ยนแปลงประกาศฯ ฉบับนี้เป็นระยะ

      ให้ประกาศฯ ฉบับนี้มีผลใช้บังคับตั้งแต่วันที่ 16 พฤศจิกายน 2564

    • นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้สมัครงาน
    • บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)

      บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน) และบริษัทในเครือ1 ( “บริษัทฯ”) บริษัทฯ ได้ตระหนักถึงความสำคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ”) บริษัทฯ จึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) สำหรับผู้สมัครงาน (“นโยบายฯ”) ฉบับนี้ขึ้นซึ่งเป็นส่วนขยายจาก “นโยบายคุ้มครองข้อมูลส่วนบุคคลตามประกาศที่ 102/2564” เพื่อแจ้งรายละเอียดการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้สมัครงาน  เพื่อให้ผู้สมัครงานเกิดความมั่นใจว่าข้อมูลต่างๆของผู้สมัครงาน ตลอดจนข้อมูลของผู้ที่เกี่ยวข้องหรือผู้ที่มีความสัมพันธ์กับผู้สมัครงาน (“เจ้าของข้อมูลส่วนบุคคลฯ”) ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นข้อมูลที่บริษัทฯ ให้ความสำคัญเป็นอย่างสูงโดยมีการคุ้มครองและบริหารจัดการข้อมูลส่วนบุคคลด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมอย่างดีที่สุด ดังนั้น บริษัทฯ ขอแนะนำให้ผู้สมัครงานอ่านและทำความเข้าใจถึงข้อกำหนดต่างๆ ภายใต้นโยบายฯ โดยมีรายละเอียดดังต่อไปนี้

      คำนิยาม

      1. ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ เป็นต้น
      2. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อมและเป็นข้อมูลที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
      3. ผู้สมัครงาน หมายถึง ผู้สมัครงานรายเดือน รายวัน Outsource และนักศึกษาฝึกงาน ที่สมัครงานกับทางบริษัทฯ ไม่ว่าจะเป็นการมาสมัครที่บริษัทฯ หรือการยื่นเอกสารสมัครผ่านทางออนไลน์
      4. ประมวลผล หมายถึง เก็บรวบรวม ใช้ เปิดเผย โอน ส่ง หรือแลกเปลี่ยน ข้อมูลส่วนบุคคล 

      ข้อมูลที่มีการประมวลผล

      1. ข้อมูลตามที่กำหนดไว้ในใบสมัคร ดังนี้

      (1) ข้อมูลส่วนบุคคลตามใบสมัคร ประกอบด้วย ชื่อ-สกุล วัน/เดือน/ปีเกิด สัญชาติ เชื้อชาติ ศาสนา น้ำหนัก ส่วนสูง เบอร์โทรศัพท์เคลื่อนที่ E-mail รหัสบัตรประชาชน หมู่เลือด ที่อยู่ตามทะเบียนบ้าน ที่อยู่ปัจจุบัน รหัสไปรษณีย์ เบอร์ติดต่อ เป็นต้น 

      (2) ประวัติการทำงานที่ผ่านมา ประกอบด้วย ระยะเวลาการทำงาน บริษัท ตำแหน่งงาน ลักษณะงาน รายได้ สาเหตุการออกจากงาน

      (3) ประวัติการศึกษา ประกอบด้วย ระดับการศึกษา สถาบันการศึกษา วุฒิการศึกษา วิชาเอก เกรดเฉลี่ย ระยะเวลาที่ศึกษา

      (4) ความสามารถทางด้านภาษา

      (5) ความรู้ความสามารถที่เกี่ยวกับงาน / ประวัติการอบรม

      (6) รายละเอียดเกี่ยวกับครอบครัว ประกอบด้วย สถานภาพการสมรส ชื่อ-สกุลคู่สมรส เบอร์ติดต่อ อาชีพ ตำแหน่ง สถานที่ทำงาน จำนวนบุตร

      (7) ข้อมูลอื่นๆ ประกอบด้วย สิ่งที่สนใจ งานอดิเรก ประวัติอาชญากรรม ประวัติการถูกเลิกจ้าง ประวัติโรคร้ายแรง โรคติดต่อ โรคประจำตัว ประวัติการผ่าตัด การเกณฑ์ทหาร เหตุผลที่สนใจในการสมัครงาน

      (8) ข้อมูลผู้ติดต่อกรณีฉุกเฉิน ประกอบด้วย ชื่อ-สกุล ที่อยู่ เบอร์ติดต่อ

      (9) บุคคลอ้างอิงที่ไม่ใช่ญาติ ซึ่งทราบประวัติของผู้สมัครงาน ประกอบด้วย ชื่อ-สกุล ตำแหน่ง สถานที่ทำงาน เบอร์ติดต่อ

      (10) ความสามารถในการขับขี่ยานพาหนะ

      (11) รูปถ่าย และภาพเคลื่อนไหว 

      1. ข้อมูลจากการทำแบบทดสอบข้อมูลเกี่ยวกับลักษณะของผู้สมัครงาน เช่น นิสัย พฤติกรรม ทัศนคติ ความถนัด ทักษะ ภาวะความเป็นผู้นำ ความสามารถในการทำงานร่วมกับผู้อื่น ความฉลาดทางอารมณ์ ซึ่งอาจได้มาจากการสังเกตและวิเคราะห์ของบริษัทฯ ในระหว่างที่ผู้สมัครงานเข้าร่วมกิจกรรมกับบริษัทฯ
      2. ข้อมูลที่จำเป็นสำหรับการรายงานหน่วยงานที่กำกับดูแล เช่น กระทรวงแรงงาน กรมสวัสดิการและคุ้มครองแรงงาน เป็นต้น
      3. ข้อมูลที่รวบรวมจากผู้สมัครงาน เช่น ข้อมูลที่ผู้สมัครงานระบุหรือให้ไว้แก่บริษัทฯ การแนะนำตัวแบบออนไลน์ Video Content  การสัมภาษณ์งานแบบออนไลน์ Video Conference Recording ข้อมูลที่ผู้สมัครงานแจ้งแก่บริษัทฯ ในระหว่างการสัมภาษณ์งาน ข้อมูลของผู้สมัครงานจากการทำแบบทดสอบต่างๆ ข้อมูลผู้สมัครงานให้ไว้ในการเข้าร่วมกิจกรรมกับบริษัทฯ 
      4. ข้อมูลที่ผู้สมัครงานเลือกจะแบ่งปันและเปิดเผยผ่านระบบแอปพลิเคชัน เครื่องมือ แบบสอบถาม และบริการต่างๆ ของ  บริษัทฯ
      5. เอกสารที่สามารถใช้เพื่อระบุตัวตนของผู้สมัครงาน เช่น สำเนาเอกสารที่หน่วยงานขอรัฐออกให้ เช่น บัตรประจำตัวประชาชน ทะเบียนบ้าน ใบอนุญาตขับรถ หนังสือเดินทาง VISA Work Permit และสำเนาเอกสารที่หน่วยงานของรัฐหรือเอกชนออกให้ เช่น ประกาศนียบัตร ปริญญาบัตร ใบแสดงผลการเรียน เป็นต้น
      6. ข้อมูลอื่นๆ ที่จำเป็นต่อการสรรหาและคัดเลือกพนักงานหรือนักศึกษาฝึกงาน การปฏิบัติตามสัญญาการฝึกงาน การดูแลสิทธิประโยชน์สวัสดิการ การวิเคราะห์และการบริหารงานของบริษัทฯ และการปฏิบัติตามกฎหมายต่างๆ 
      7. สำหรับผู้ฝึกงาน มีการเก็บรวบรวมข้อมูลเพิ่มเติม เช่น

      (1) ข้อมูลเกี่ยวกับบิดามารดาหรือผู้ปกครอง เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์หรือหมายเลขโทรศัพท์เคลื่อนที่

      (2) บัญชีธนาคารเพื่อใช้ในการจ่ายค่าเบี้ยเลี้ยงฝึกงาน (ถ้ามี)

      (3) ลักษณะของผู้ฝึกงานและข้อมูลจากการฝึกงาน เช่น นิสัย พฤติกรรม ทัศนคติ ความถนัด ทักษะ ภาวะความเป็นผู้นำ ความสามารถในการทำงานร่วมกับผู้อื่น ความฉลาดทางอารมณ์ ความมีวินัย หรือลักษณะอื่น ๆ รวมถึง การบันทึกเวลาเข้าออกงาน และระยะเวลาในการปฏิบัติงาน เพื่อประเมินผลการฝึกงาน เป็นต้น

      (4) ข้อมูลอื่น ๆ เช่น รายละเอียดของผู้แนะนำ 

      1. กรณีที่ผู้สมัครงานได้รับคัดเลือกให้เป็นพนักงาน บริษัทฯ จะมีการเก็บข้อมูลส่วนบุคคลเพิ่มตามที่กำหนดไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับพนักงาน
      1. กรณีที่บริษัทฯ เก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของบุคคลอ้างอิง ผู้ติดต่อฉุกเฉิน ครอบครัว ซึ่งผู้สมัครงานได้ส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวมาให้บริษัทฯ เพื่อการดำเนินการอันเกี่ยวข้องกับวัตถุประสงค์ เช่น ชื่อ นามสกุล ตำแหน่งงาน  ข้อมูลติดต่อ  ฯลฯ  โดยบริษัทฯ ไม่ต้องขอความยินยอมจากบุคคลดังกล่าว เว้นแต่เป็นกรณีข้อมูลส่วนบุคคลที่อ่อนไหว โดยบริษัทฯ แจ้งให้บุคคลดังกล่าวทราบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลภายใต้นโยบายฯ นี้ด้วย  

      วัตถุประสงค์ในการประมวลผลและส่งข้อมูลส่วนบุคคล

      บริษัทฯ มีความจำเป็นในการประมวลผลและส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ จึงจัดทำนโยบายฯ เพื่อแจ้งให้ทราบเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ ในการประมวลผลและส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ในกระบวนการสรรหา รวมถึงกระบวนพิจารณาการจ้างงาน รวมทั้งเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากเป็นกรณีที่กฎหมายกำหนดให้การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใดต้องได้รับความยินยอมจากเจ้าของข้อมูล   บริษัทฯ จะขอความยินยอมโดยชัดแจ้ง  ตามเอกสารแนบท้ายนโยบายฯ ฉบับนี้ และหากเป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถประมวลผลข้อมูลส่วนบุคลลของเจ้าของข้อมูลโดยไม่ต้องอาศัยความยินยอม ถือว่าบริษัทฯ ได้แจ้งรายละเอียดการประมวลผลให้เจ้าของข้อมูลทราบแล้วภายใต้นโยบายฯ ฉบับนี้ 

      บริษัทฯ จะดำเนินการประมวลผลข้อมูลของเจ้าของข้อมูลส่วนบุคคลฯ โดยมีวัตถุประสงค์ที่ชอบด้วยกฎหมาย โปร่งใส และเป็นธรรม ภายใต้ฐานการประมวลผลข้อมูลส่วนบุคคลตามความจำเป็น เพื่อประเมินความเหมาะสมของผู้สมัครงานต่อตำแหน่งงาน และเพื่อตรวจสอบความถูกต้องของข้อมูลที่ผู้สมัครงานให้ไว้กับบริษัทฯ ดังต่อไปนี้

      1. เพื่อดำเนินการพิจารณาคัดเลือกผู้สมัครงานในขั้นตอนต่างๆ และอาจจะพิจารณาตำแหน่งที่เหมาะสมอื่นๆ ในบริษัทฯ เพื่อเพิ่มโอกาสการจ้างงานให้แก่ผู้สมัครงาน
      2. เพื่อดำเนินการตรวจสอบประวัติและคุณสมบัติของผู้สมัครงานก่อนการจ้างงานภายใต้ขอบเขตของกฎหมาย รวมถึงประวัติอาชญากรรม ประวัติสุขภาพ และตรวจสอบข้อมูลเพิ่มเติมจากบุคคลอ้างอิงที่ผู้สมัครงานระบุ
      3. เพื่อประโยชน์ในการบริหารจัดการภายในองค์กรเกี่ยวกับกระบวนการสรรหาพนักงาน เช่น การส่งข้อมูลผู้สมัครงาน หรือ รายงานการสัมภาษณ์งานให้แก่บุคคลที่มีอำนาจใจการพิจารณาการจ้างงาน
      4. เพื่อให้สามารถปฏิบัติตามกฎหมายต่างๆ เช่น กฎหมายควบคุมโรคติดต่อ เป็นต้น
      5. เพื่อการรักษาความปลอดภัยภายในบริเวณอาคารหรือสถานที่ของบริษัท เช่น การบันทึกภาพ หรือ กล้องวงจรปิด
      6. เพื่อป้องกัน หรือระงับอันตรายที่อาจมีต่อชีวิต ร่างกาย หรือสุขภาพของผู้สมัครงานในกรณีฉุกเฉิน

      การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น

      ในการดำเนินการตามวัตถุประสงค์ที่ระบุไว้ในนโยบายความเป็นส่วนตัวฉบับนี้ บริษัทฯ อาจเปิดเผยข้อมูลส่วนตัวของผู้สมัครงานให้แก่บุคคลภายนอก ได้แก่

      1. หน่วยงานราชการ หน่วยงานกำกับดูแล หรือหน่วยงานอื่นตามที่กฎหมายกำหนด รวมถึงเจ้าพนักงานซึ่งใช้อำนาจตามกฎหมาย เช่น ศาล ตำรวจ เป็นต้น
      2. โรงพยาบาลต่างๆ กรณีตรวจประวัติสุขภาพของผู้สมัครงาน

      มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

      บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมายซึ่งสอดคล้องกับนโยบายฯ และวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ

      ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการประมวลผลและส่งข้อมูลส่วนบุคคลของผู้สมัครงาน บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปประมวลผลและส่งเพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ

      ระยะเวลาการเก็บข้อมูล

      ข้อมูลส่วนบุคคลของผู้สมัครงาน ระบบจะจัดเก็บข้อมูลเป็นเวลา 3 ปีหลังจากการสัมภาษณ์สิ้นสุด และไม่ผ่านการคัดเลือกเป็นพนักงาน อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลฯ ของผู้สมัครงานเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อสิทธิเรียกร้องทางกฎหมายของบริษัทฯ หากผ่านการสัมภาษณ์ และได้รับการคัดเลือกระบบจะดำเนินการลบข้อมูลหลังจากการบันทึกข้อมูลเข้าสู่ระบบพนักงานของบริษัทฯ

      สิทธิของเจ้าของข้อมูลส่วนบุคคลฯ

      นโยบายฯ นี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลฯ มั่นใจว่าสามารถใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ได้ ดังต่อไปนี้

      1. สิทธิในการเพิกถอนความยินยอมในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งข้อมูลส่วนบุคคล 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการเพิกถอนความยินยอมในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ อยู่กับบริษัทฯ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ และขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลฯ ไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลฯ ได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการขอให้บริษัทฯ ทำการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลฯ กำหนด

      1. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด
      2. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ที่เจ้าของข้อมูลส่วนบุคคลฯ ให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลฯ เองด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด
      3. สิทธิในการคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผย การประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการคัดค้าน การเก็บ รวบรวม ใช้ หรือเปิดเผย การประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลฯ ได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

       

      วิธีการติดต่อบริษัทฯ

      บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลฯ สามารถติดต่อมายังบริษัทฯ ผ่านช่องทางการติดต่อที่ระบุไว้ในนโยบายฯ ฉบับนี้ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลฯ ทราบ

      บริษัทฯ ได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office :DPO) เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากเจ้าของข้อมูลส่วนบุคคลฯ มีความประสงค์จะขอใช้สิทธิต่างๆ  ของนโยบายฯ ฉบับนี้ เจ้าของข้อมูลส่วนบุคคลฯ สามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้

      เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO)

      อีเมล: DPO@taokaenoi.co.th 

      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120 

      การเปลี่ยนแปลงนโยบายฯ ฉบับนี้

      บริษัทฯ อาจทำการเปลี่ยนแปลงนโยบายฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลฯ  และตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หรือกฎหมายอื่นที่เกี่ยวข้องกำหนด โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลฯ ทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใดๆ พร้อมกับประกาศฯ ฉบับปรับปรุงผ่าน www.taokaenoi.co.th หรือช่องทางอื่นที่บริษัทฯ จะแจ้งให้ทราบ ทั้งนี้ บริษัทฯ ขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลฯ ตรวจสอบการเปลี่ยนแปลงประกาศฯ เป็นระยะๆ

      ให้ประกาศฯ ฉบับนี้มีผลใช้บังคับตั้งแต่วันที่ 16 พฤศจิกายน 2564

    • นโยบายคุ้มครองข้อมูลส่วนบุคคล สำหรับบุคคลภายนอก
    • บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน)

      บริษัท เถ้าแก่น้อย ฟู๊ดแอนด์มาร์เก็ตติ้ง จำกัด (มหาชน) และบริษัทในเครือ1 ( “บริษัทฯ”) บริษัทฯ ได้ตระหนักถึงความสำคัญในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง และให้หมายความรวมถึงกฎหมายฉบับแก้ไขเพิ่มเติมใดๆ ในอนาคต (“กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ”) บริษัทฯ จึงจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) สำหรับบุคคลจากภายนอกที่มาติดต่อกับบริษัทฯ (“นโยบายฯ”) ฉบับนี้ขึ้น ซึ่งเป็นส่วนขยายจาก “นโยบายคุ้มครองข้อมูลส่วนบุคคลตามประกาศที่ 102/2564” เพื่อแจ้งรายละเอียดการคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคคลภายนอก เพื่อให้บุคคลภายนอกเกิดความมั่นในว่าข้อมูลต่างๆของบุคคลภายนอกตลอดจนข้อมูลของผู้ที่เกี่ยวข้องของผู้ที่มีความสัมพันธ์กับบุคคลภายนอก (“เจ้าของข้อมูลส่วนบุคคลฯ”) ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นข้อมูลที่บริษัทฯ ให้ความสำคัญเป็นอย่างสูงโดยมีการคุ้มครองและบริหารจัดการข้อมูลส่วนบุคคลด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมอย่างดีที่สุด ดังนั้น บริษัทฯ ขอแนะนำให้บุคคลภายนอกอ่านและทำความเข้าใจถึงข้อกำหนดต่างๆ ภายใต้นโยบายฯ โดยมีรายละเอียดดังต่อไปนี้

      คำนิยาม

      1. ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ เป็นต้น
      2. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อมและเป็นข้อมูลที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
      3. บุคคลภายนอก หมายถึง บุคคลภายนอกที่ไม่ใช่พนักงานของบริษัทฯ หรือไม่ได้มีความเกี่ยวข้องทางสัญญาจ้างงานกับบริษัทฯ เช่น ผู้รับเหมา Supplier หรือบุคคลอื่นๆ ที่เข้ามาติดต่อหรือเข้ามาเพื่อดำเนินการใดๆ ภายในบริษัทฯ
      4. ประมวลผล หมายถึง เก็บรวบรวม ใช้ เปิดเผย โอน ส่ง หรือแลกเปลี่ยน ข้อมูลส่วนบุคคล

      ข้อมูลที่มีการประมวลผล

      1. ข้อมูลจากเอกสารของเจ้าหน้าที่รักษาความปลอดภัย ประกอบด้วย ชื่อ-สกุล ทะเบียนรถ บริษัทของบุคคลภายนอก วัน/เดือน/ปี ที่มาติดต่อ เวลาเข้า-ออก และเหตุผลการมาติดต่อ
      2. ข้อมูลจากเครื่องเสียบบัตรประชาชน ประกอบด้วย หมายเลขบัตรประชาชน ชื่อ-สกุล เพศ สัญชาติ และที่อยู่ตามบัตรประชาชน ทั้งนี้ยังรวมถึงข้อมูลภาพถ่าย และข้อมูลการบันทึก ภาพเคลื่อนไหว

      วัตถุประสงค์ในการประมวลผลและส่งข้อมูลส่วนบุคคล

      บริษัทฯ มีความจำเป็นในการ ประมวลผล และส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ จึงจัดทำนโยบายฯ เพื่อแจ้งให้ทราบเกี่ยวกับแนวทางการปฏิบัติของบริษัทฯ ในการประมวลผลส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ เพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากเป็นกรณีที่กฎหมายกำหนดให้การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใดต้องได้รับความยินยอมจากเจ้าของข้อมูล บริษัทฯ จะขอความยินยอมโดยชัดแจ้ง  ตามเอกสารแนบท้ายนโยบายฯ ฉบับนี้ และหากเป็นกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถประมวลผลข้อมูลส่วนบุคลลของเจ้าของข้อมูลโดยไม่ต้องอาศัยความยินยอม ถือว่าบริษัทฯ ได้แจ้งรายละเอียดการประมวลผลให้เจ้าของข้อมูลทราบแล้วภายใต้นโยบายฯ ฉบับนี้

      บริษัทฯ จะดำเนินการเก็บข้อมูลของบุคคลภายนอกโดยมีวัตถุประสงค์ที่ชอบด้วยกฎหมาย โปร่งใส และเป็นธรรม ภายใต้ฐานการประมวลผลข้อมูลส่วนบุคคลตามความจำเป็น เพื่อวัตถุประสงค์ดังต่อไปนี้

      1. เพื่อเป็นการยืนยันตัวตนของบุคคลภายนอกที่เข้ามาติดต่อกับบริษัทฯ
      2. เพื่อเป็นฐานข้อมูลในการให้บริการ และกรณีเกิดข้อร้องเรียน
      3. เพื่อให้สามารถปฏิบัติตามกฎหมายต่างๆ เช่น กฎหมายความปลอดภัย อาชีวอนามัย กฎหมายควบคุมการประกอบอาชีพและโรคจากสิ่งแวดล้อม และกฎหมายควบคุมโรคติดต่อ เป็นต้น
      4. เพื่อการรักษาความปลอดภัยภายในบริเวณอาคารหรือสถานที่ของบริษัทฯ เช่น การบันทึกภาพ หรือ กล้องวงจรปิด

      การเปิดเผยข้อมูลส่วนบุคคลให้บุคคลอื่น

      ในการเปิดเผยข้อมูลของบุคคลภายนอกให้กับบุคคลอื่น บริษัทฯ มีมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผย และเพื่อเป็นการปฏิบัติตามมาตรฐานและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด โดยบริษัทฯ จะทำให้แน่ใจว่าผู้รับข้อมูล หรือองค์กรปลายทางนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เป็นไปตามที่กฎหมายกำหนด

      มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

      บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ

      ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการประมวลผลและส่งข้อมูลส่วนบุคคลของบุคคลภายนอก บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปประมวลผลและส่งเพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ

      ระยะเวลาการเก็บข้อมูล

      ข้อมูลส่วนบุคคลของบุคคลภายนอก ระบบจะจัดเก็บข้อมูลเป็นระยะเวลา 3 ปี หลังครบกำหนดระยะเวลา จะมีกระบวนการในการทำลายข้อมูลที่มีการเก็บทั้งหมด อย่างไรก็ดี บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลฯ ของบุคคลภายนอกเป็นระยะเวลาเกินกว่าระยะเวลาดังกล่าวหากกฎหมายอนุญาตหรือการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวจำเป็นต่อสิทธิเรียกร้องทางกฎหมายของบริษัทฯ

      สิทธิของเจ้าของข้อมูลส่วนบุคคลฯ

      นโยบายฯ นี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลฯ มั่นใจว่าสามารถใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ได้ ดังต่อไปนี้

      1. สิทธิในการเพิกถอนความยินยอมในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งข้อมูลส่วนบุคคล 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการเพิกถอนความยินยอมในการเก็บ รวบรวม ประมวลผล ใช้ เปิดเผย ส่งข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ อยู่กับบริษัทฯ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ และขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลฯ ไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลฯ ได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      1. สิทธิในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ 

      เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการขอให้บริษัทฯ ทำการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลฯ กำหนด

      1. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด
      2. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ที่เจ้าของข้อมูลส่วนบุคคลฯ ให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลฯ เองด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด
      3. สิทธิในการคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผย การประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลฯ มีสิทธิในการคัดค้าน การเก็บ รวบรวม ใช้ หรือเปิดเผย การประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฯ ด้วยเหตุบางประการได้ ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

      อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลฯ ได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

       

      วิธีการติดต่อบริษัทฯ

      บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลฯ สามารถติดต่อมายังบริษัทฯ ผ่านช่องทางการติดต่อที่ระบุไว้ในนโยบายฯ ฉบับนี้ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิ์ข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลฯ ทราบ

      บริษัทฯ ได้มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office :DPO) เป็นผู้ประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หากเจ้าของข้อมูลส่วนบุคคลฯ มีความประสงค์จะขอใช้สิทธิต่างๆ  ของนโยบายฯ ฉบับนี้ เจ้าของข้อมูลส่วนบุคคลฯ สามารถติดต่อบริษัทฯ ผ่านช่องทาง ดังนี้

      เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO)

      อีเมล: DPO@taokaenoi.co.th 

      สถานที่ติดต่อ: 337 ถนนบอนด์สตรีท ตำบลบางพูด อำเภอปากเกร็ด จังหวัดนนทบุรี รหัสไปรษณีย์ 11120 

      การเปลี่ยนแปลงนโยบายฯ ฉบับนี้

      บริษัทฯ อาจทำการเปลี่ยนแปลงนโยบายฯ ฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับการเปลี่ยนแปลงใดๆ ที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลฯ  และตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ หรือกฎหมายอื่นที่เกี่ยวข้องกำหนด โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลฯ ทราบถึงการแก้ไขเปลี่ยนแปลงประกาศฯ ที่สำคัญใดๆ พร้อมกับประกาศฯ ฉบับปรับปรุงผ่าน www.taokaenoi.co.th หรือช่องทางอื่นที่บริษัทฯ จะแจ้งให้ทราบ ทั้งนี้ บริษัทฯ ขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลฯ ตรวจสอบการเปลี่ยนแปลงประกาศฯ เป็นระยะๆ

      ให้ประกาศฯ ฉบับนี้มีผลใช้บังคับตั้งแต่วันที่ 16 พฤศจิกายน 2564

    • IT Policy
    • นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ

      INFORMATION  TECHNOLOGY SECURITY POLICY

      นโยบายและแนวปฏิบัติในการรักษาความมั่งคงปลอดภัยเทคโนโลยีสารสนเทศ

      บทนำ

      บริษัท เถ้าแก่น้อย ฟู๊ดเเอนด์มาร์เก็ตติ้ง จำกัด (มหาชน) และบริษัทในเครือ ได้จัดทำประกาศฉบับนี้ขึ้น เพื่อเป็นนโยบายและแนวทางปฏิบัติในการรักษาความมั่งคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ โดยตระหนักถึงความสำคัญการจัดการ เก็บรักษา และดูแลข้อมูลบนระบบเทคโนโลยีสารสนเทศโดยให้มีความสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562, พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 รวมทั้ง ประกาศที่เกี่ยวข้องของบริษัทฯ โดยประกาศฉบับนี้บังคับใช้กับบุคคลที่มีปฏิสัมพันธ์กับบริการระบบเทคโนโลยีสารสนเทศต่างๆ ของบริษัท เถ้าแก่น้อย ฟู๊ดเเอนด์มาร์เก็ตติ้ง จำกัด(มหาชน) และบริษัทในเครือทั้งหมด

      คำนิยาม

       

      1. “บริษัทฯ” หมายถึง บริษัท เถ้าแก่น้อย ฟู๊ดเเอนด์มาร์เก็ตติ้ง จำกัด (มหาชน) และบริษัทในเครือประกอบด้วย 4  บริษัท ดังนี้ 

      บริษัท เถ้าแก่น้อย เรสเตอรองท์ แอนด์ แฟรนไซส์ จำกัด  “TKNRF”

      Taokaenoi USA Inc. “TKNUS”

      บริษัท เอ็นซีพี เทรดดิ้ง แอนด์ ซัพพลาย จำกัด “NCP”

      บริษัท เถ้าแก่น้อย แคร์ๆ จำกัด “TKNC

      1. “โปรแกรมประยุกต์” หมายถึง โปรแกรม หรือชุดคำสั่ง ที่ใช้บันทึกข้อมูล, ประมวนผลข้อมูลต่างๆ ในบริษัทฯ หรือควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่และอุปกรณ์ต่อพ่วงต่างๆ
      2. “VPN (Virtual Private Network)” หมายถึง ระบบสร้างการเชื่อมต่อระหว่างเครือข่ายหนึ่งไปยังอีกระบบหนึ่งซึ่งเดิมไม่สามารถเชื่อมต่อได้ ให้เสมือนเป็นระบบเดียวกันสามารถใช้งานทรัพยากรภายใต้ข้อกำหนดและการอนุญาตให้เข้าถึงข้อมูลที่มีความปลอดภัย
      3. “Mac Address” หมายถึง หมายเลขรหัสที่มีตัวเลขฐานสิบหก จะไม่ซ้ำกันที่ติดอยู่กับอุปกรณ์ที่เชื่อมต่อกับเน็ตเวิร์คและเครือข่าย
      4. “User ID” หมายถึง  รหัสผู้ใช้งาน ที่ใช้สำหรับเข้าใช้งานระบบ
      5. “Authentication” หมายถึง การยืนยันตัวตนในขณะที่เรากำลังใช้งานระบบใดๆ บนระบบอินเตอร์เน็ตของบริษัทฯ ซึ่งต้องมีการยืนยันตัวตนก่อนที่จะเข้าใช้งานได้ โดยใช้ User ID และ Password
      6. “Authorization” หมายถึง การลงชื่อเข้าสู่ระบบโดยขั้นตอนแรกต้องผ่านการ ยืนยันตัวตนเพื่อทำการพิสูจน์ตัวตนก่อน เมื่อทำการยืนยันตัวตนเรียบร้อยแล้ว จะทำการตรวจสอบว่ามีสิทธิ์ในการใช้งานในส่วนใดได้บ้างตามที่กำหนด
      7. “Disaster Recovery Site (DR Site)” หมายถึง พื้นที่สำรองสำหรับแก้ไขปัญหาระบบสารสนเทศ ที่เกิดขึ้นจากภัยพิบัติต่างๆ ให้สามารถทำงานได้อย่างต่อเนื่อง
      8. “การสำรองข้อมูล” หมายถึง เป็นการคัดลอกแฟ้มข้อมูลเพื่อทำสำเนา เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้น หากข้อมูลเกิดการเสียหายหรือสูญหาย จะสามารถนำข้อมูลที่สำรองไว้มาใช้งานได้ทันที
      9. “MAS” หมายถึง ระบบเว็บแอพพลิเคชั่นและแอพพลิเคชั่นของบริษัทฯ ที่ใช้ในการจัดการระบบงานภายใน หรือข้อมูลต่างๆ เป็นต้น
      10. “อุปกรณ์พิสูจน์อัตลักษณ์” หมายถึง ข้อมูลทางชีวภาพ ไม่ว่าจะเป็นลักษณะเฉพาะทางกายภาพหรือพฤติกรรม มาใช้ในการตรวจสิทธิหรือแสดงตน เช่น ลายนิ้วมือ ฝ่ามือ เสียง ม่านตา เรตินา ใบหน้า ดีเอ็นเอ ลายลงนาม เป็นต้น
      11. “สื่อบันทึกข้อมูล” หมายถึง สื่อบันทึกข้อมูลใดๆ ที่ใช้วิธีการทางอิเล็กทรอนิกส์
      12. “ระบบปฏิบัติการ” หมายถึง โปรแกรมประยุกต์ระบบ (Systems software) ที่ทำหน้าที่ควบคุมการทำงานของฮาร์ดแวร์ทั้งหมด รวมทั้งการปฏิบัติงานของโปรแกรมด้วย เพื่อให้โปรแกรมและฮาร์ดแวร์ต่างๆ ทำงานประสานกันแนวทางปฏิบัติ
      13. “เครื่องเซิร์ฟเวอร์” หมายถึง เครื่องหลักที่มีการแชร์ข้อมูลให้เครื่องอื่นๆ ที่เข้ามาใช้งานผ่านเครื่องตัวเอง เช่น การแชร์ Printer, การแชร์ไฟล์งานต่างๆ เป็นต้น
      14. “เว็บบราวเซอร์” หมายถึง โปรแกรมคอมพิวเตอร์ที่ใช้งานเพื่อดูข้อมูลและโต้ตอบกับข้อมูลสารสนเทศที่จัดเก็บในเว็บแอพพลิเคชั่น
      15. “Database” หมายถึง กลุ่มของข้อมูลที่ถูกเก็บรวบรวมไว้ โดยมีความสัมพันธ์ซึ่งกันและกัน โดยไม่ได้บังคับว่าข้อมูลทั้งหมดนี้จะต้องเก็บไว้ในแฟ้มข้อมูลเดียวกันหรือแยกเก็บหลาย ๆ แฟ้มข้อมูล
      16. “SSL” (Secure Socket Layer Protocols) หมายถึง เกณฑ์วิธีการส่งข้อมูล ที่ถูกใช้เป็นมาตรฐานในการเพิ่มความปลอดภัย ในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตโดยการเข้ารหัส
      17. “เว็บเซิร์ฟเวอร์ (Web Server)” หมายถึง เครื่องคอมพิวเตอร์ที่ให้บริการเว็บเพจ เมื่อผู้ใช้งานร้องขอเว็บเพจผ่านเว็บบราวเซอร์เรียกใช้โดยการระบุตำแหน่งของเว็บเพจ (URL) เว็บเซิร์ฟเวอร์จะส่งเว็บเพจที่ค้นหาได้กลับไปแสดงผลผ่านเว็บบราวเซอร์ของผู้ใช้งาน
      18. “กุญแจรหัส (Key)” หมายถึง ชุดตัวอักษรที่ซับซ้อนและยากต่อการคาดเดา ใช้สำหรับเข้ารหัสและถอดรหัส
      19. “อุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่” หมายถึง อุปกรณ์อิเล็กทรอนิกส์ที่มีหน่วยประมวลผล หน่วยความจำ หรือมีหน่วยเชื่อมต่อกับอุปกรณ์อื่นๆ เช่น คอมพิวเตอร์ โน๊ตบุ๊ค แล็ปท็อป โทรศัพท์มือถือ สมาร์ทโฟน แท็บเล็ต เป็นต้น
      20. “ล็อก (Log)” หมายถึง ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ แสดงถึงแหล่งกำเนิด, ต้นทาง, ปลายทาง, เส้นทาง, เวลา, วันที่, ปริมาณ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ 
      21. “AD Online” หมายถึง ฟังก์ชั่นการร้องข้อ, เพิ่มเติม และจัดการสิทธิการเข้าถึงของผู้ใช้งานบริษัทฯ ภายใต้ระบบ MAS 
      22. “IP Address” หมายถึง ป้ายตัวเลขที่กำหนดให้กับอุปกรณ์แต่ละเครื่องที่เชื่อมต่อกับเครือข่ายคอมพิวเตอร์ ที่ใช้โปรโตคอลอินเทอร์เน็ตเพื่อการติดต่อสื่อสาร IP Address ทำหน้าที่สองหน้าที่หลัก คือ เชื่อมต่อเครือข่าย และ บอกตำแหน่งที่อยู่
      23. “Job Order” หมายถึง คำร้องขอความต้องการเพิ่มเติม เช่น ขอสิทธิ์การใช้งานระบบ MAS , ขอระบบงานใหม่  , ขอดูข้อมูลกล้องวงจรปิดย้อนหลัง  เป็นต้น
      24. “บันทึกภาพ” หมายถึง ภาพถ่าย ที่มีความสามารถในการบันทึกภาพจากสิ่งที่ส่องอยู่
      25. “PRD” หมายถึง ระบบปฏิบัติการที่ใช้ในการดำเนินงานของระบบต่างๆ ภายในบริษัทฯ
      26. “QAS” หมายถึง ระบบปฏิบัติการจำลองที่ใช้สำหรับทดสอบระบบ ก่อนนำขึ้นบนระบบ PRD
      27. “PR” หมายถึง Purchase Requisition หรือ ใบขอซื้อ เป็นเอกสารภายในบริษัทฯ สำหรับการขออนุมัติการซื้อ หากได้รับการพิจารณาอนุมัติ  ใบขอซื้อจะส่งให้ฝ่ายจัดซื้อเพื่อออกใบสั่งซื้อ เป็นลำดับถัดไป   
      28. “Cost Center” หมายถึง ข้อมูลใช้อ้างอิงถึงหน่วยงาน, ฝ่าย หรือแผนก เพื่อการควบคุมต้นทุนและงบประมาณค่าใช้จ่าย
      29. “อุปกรณ์สารสนเทศ” หมายถึง เครื่องคอมพิวเตอร์ตั้งโต๊ะ (Computer PC), เครื่องคอมพิวเตอร์พกพา (Notebook), แท๊บเล็ต (Tablet), เครื่องถ่ายเอกสาร,  อุปกรณ์เก็บข้อมูลแบบพกพา เป็นต้น
      30. “โปรแกรมยูทิลิตี้” หมายถึง โปรแกรมประเภทหนึ่งที่ทำงานบนระบบปฏิบัติการ คุณสมบัติการใช้งานนั้นค่อนข้างหลากหลาย ส่วนมากใช้เพื่อบำรุงรักษาและเพิ่มประสิทธิภาพการทำงานของคอมพิวเตอร์ ช่วยสนับสนุน เพิ่ม หรือขยายขีดความสามารถของโปรแกรมที่ใช้งานให้มีประสิทธิภาพมากขึ้น

      คำนิยามผู้รับผิดชอบ

      1. “ผู้ใช้งาน” หมายถึง ผู้ที่สามารถเข้าถึงระบบงาน เพื่อทำให้เกิดการดำเนินการ หรือเพื่อใช้งานให้เกิดประโยชน์ต่างๆ
      2. “ผู้ดูแลระบบ” หมายถึง บุคคลซึ่งทำหน้าที่ออกแบบ, ติดตั้ง, ดูแลและจัดการระบบคอมพิวเตอร์ และระบบเครือข่าย ทั้ง ฮาร์ดแวร์, ระบบปฏิบัติการ และโปรแกรมประยุกต์ของบริษัทฯ
      3. “ผู้บังคับบัญชา” หมายถึง ผู้มีอำนาจเหนือ และมีหน้าที่ควบคุมดูแลผู้ใต้บังคับบัญชาในการปฏิบัติงานในสายงานนั้นๆ 
      4. “ผู้บริหารสายงานสารสนเทศ” หมายถึง ผู้ซึ่งดำรงตำแหน่งในระดับผู้จัดการฝ่ายขึ้นไป ของสายงานสารสนเทศ
      5. “หน่วยงานอื่นที่เกี่ยวข้อง” หมายถึง  สายงาน, ฝ่าย หรือแผนก ที่มีความเกี่ยวข้องและได้รับผลกระทบจากระบบงานใดระบบงานหนึ่งร่วมกัน

      แนวทาง

      1. จัดให้มีนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศที่มีนโยบาย แนวทางปฏิบัติข้อกำหนด และขั้นตอนปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศเป็นลายลักษณ์อักษร โดยสอดคล้องตามกฎหมายหลักการมาตรฐานสากลของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
      2. จัดให้ข้อมูลสารสนเทศ ระบบสารสนเทศ อุปกรณ์เทคโนโลยีสารสนเทศ สถานที่และสิ่งแวดล้อมที่เกี่ยวข้องกับสารสนเทศการพัฒนาและบำรุงรักษาระบบสารสนเทศ และสิ่งใดๆ ที่เกี่ยวข้องกับสารสนเทศ มีการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมและเพียงพอ และมีการควบคุมการเข้าถึงที่กำหนดอย่างชัดเจนตามหลักการของความต้องการในการใช้งานที่เหมาะสมและมั่นคงปลอดภัย
      3. จัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ โดยมีแนวทางที่สอดคล้องกับการบริหารความเสี่ยงของบริษัทฯ
      4. จัดให้มีระบบสำรองข้อมูล ระบบกู้คืนข้อมูล และระบบสำรองที่ใช้ทดแทนระบบสารสนเทศหลักในกรณีฉุกเฉิน โดยระบบสำรองต้องอยู่ในสภาพพร้อมใช้ และมีการจัดทำแผนเตรียมความพร้อมกรณีฉุกเฉิน
      5. จัดให้มีการตรวจสอบ และดำเนินการแก้ไข เมื่อมีเหตุการณ์ที่ละเมิดความมั่นคงปลอดภัยเกิดขึ้น พร้อมทั้งดำเนินการป้องกันไม่ให้เกิดซ้ำ และให้รายงานและทำบันทึกไว้อย่างชัดเจน
      6. จัดให้ผู้ใช้งานได้รับความรู้เรื่องนโยบาย แนวทางปฏิบัติ มาตรฐาน และระเบียบเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยผู้ใช้งานจะต้องยึดถือและปฏิบัติตามอย่างเคร่งครัด

      นโยบายการเข้าถึงหรือควบคุมการใช้งานระบบเทคโนโลยีสารสนเทศ

      การควบคุมการเข้าถึงหรือการใช้งานระบบเทคโนโลยีสารสนเทศ (Access Control)

      แนวทางปฏิบัติ

      1. การควบคุมการเข้าถึงหรือการใช้งานระบบเทคโนโลยีสารสนเทศ
        1. ต้องกำหนดให้มีขั้นตอนสำหรับการลงทะเบียนต่างๆ เพื่อให้มีสิทธิ์และควบคุมสิทธิ์ในการเข้าถึงสารสนเทศและระบบสารสนเทสของบริษัทฯตามความจำเป็น รวมถึงขั้นตอนการยกเลิก สิทธิ์การใช้งาน เช่น เมื่อลาออกหรือเปลี่ยนแปลงตำแหน่ง เป็นต้น รวมถึงต้องมีกระบวนการ จัดการรหัสผ่านสำหรับผู้ใช้งาน เพื่อควบคุมการจัดสรรรหัสผ่านให้แก่ผู้ใช้งานตามความ เหมาะสมหรือที่เกี่ยวข้องกับงานที่ได้รับมอบหมาย
        2. การเข้าถึงระบบสารสนเทศและสารสนเทศของบริษัทฯจะกระทำได้เมื่อได้รับอนุมัติโดยหัวหน้าหน่วยงานและหัวหน้าส่วนงานเทคโนโลยีสารสนเทศ สามารถใช้ได้เฉพาะที่เกี่ยวข้องกับงานในหน้าที่ของบุคคลนั้น และต้องถูกจำกัดการเข้าถึง ให้เฉพาะผู้ที่ได้รับอนุญาต หรือผู้ที่มีความจำเป็นต้องใช้ข้อมูลนั้น และต้องได้รับความยินยอมจากเจ้าของข้อมูล
        3. การเข้าถึงระบบสารสนเทศใดๆต้องได้รับการพิสูจน์ตัวตนทุกครั้งเมื่อเข้าถึงระบบสารสนเทศและสารสนเทศของบริษัทฯ
        4. พนักงานต้องมีวิธีป้องกันไม่ให้ผู้ไม่มีสิทธิ์สามารถเข้าถึงอุปกรณ์สารสนเทศที่ไม่มีพนักงาน ดูแล เช่น แจ้งหัวหน้าหน่วยงาน หรือเจ้าหน้าที่รักษาความปลอดภัยทุกคร้้งที่พบเห็นรวมถึงมีนโยบายเพื่อควบคุมไม่ให้มีการปล่อยให้ทรัพย์สินสารสนเทศที่สำคัญ เช่น เอกสาร สื่อบันทึก ข้อมูล อยู่ในสถานที่ที่ไม่ปลอดภัย หรือพบเห็นได้ง่าย
        5. มีกำหนดการยืนยันตัวตน ประกอบด้วย
          1. การแสดงตัวตน (Identification)
          2. การยืนยันตัวตน (Authentication)
          3. การกำหนดสิทธิ์ (Authorization)
          4. การบันทึกการใช้งาน (Accountability)
        6. มีกำหนดช่องทางการเข้าถึงระบบสารสนเทศ ประกอบด้วย
          1. ระบบเครือข่ายภายในองค์กร
          2. ระบบเครือข่ายภายนอกองค์กร
          3. เข้าถึงโดยผ่านระบบที่จัดไว้ให้ เช่น VPN
      2. การบริหารจัดการสิทธิ์การใช้งานระบบและรหัสผ่าน การบริหารรหัสผ่าน
        1. กําหนด ชื่อผู้ใช้ (Username) ระบบสารสนเทศเฉพาะบุคคลไม่ซ้ํากัน 
        2. สายงานสารสนเทศกับหน่วยงานต่างๆ ของบริษัทฯจะทบทวนสิทธิการเข้าถึงระบบสารสนเทศของผู้ใช้งานอย่างน้อย ปีละ 1 ครั้ง หรือเมื่อจำเป็น
        3. ผู้ใช้งานต้องเป็นผู้รับผิดชอบในการดูแลรักษาบัญชีผู้ใช้งานและรหัสผ่านของตนให้มีความมั่นคงปลอดภัย และถือเป็นความลับ
        4. กำหนดให้มีการเปลี่ยนแปลงรหัสผ่านทุก 90 วัน โดยสามารถปรับเปลี่ยนขยายได้เมื่อมีความจำเป็น หรือมีเหตุฉุกเฉิน
        5. กําหนดให้รหัสผ่าน (Password) ต้องมีมากกว่าหรือเท่ากับ 8 ตัวอักษร โดยจะต้องมีการผสมกันระหว่าง ตัวอักษรที่เป็นตัวพิมพ์ปกติ ตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์พิเศษ
        6. ในกรณีที่ลืมรหัสผ่าน หรือสงสัยว่ารหัสผ่าน (Password) ถูกผู้อื่นทราบ ให้รีบทําการเปลี่ยนแปลงรหัสผ่าน ทันที หรือแจ้งให้สายงานสารสนเทศทราบ เพื่อทําการเปลี่ยนรหัสผ่าน (Password) ทั้งหมดที่เกี่ยวข้อง
      3. การควบคุมการเข้าใช้งานระบบจากภายนอก
        1. กำหนดมาตรการเพื่อป้องกันภัยคุกคามต่าง ๆ ทางเครือข่าย และกำหนดสิทธิ์ ผู้ใช้งานผ่านเครือข่ายโดยอนุญาตเฉพาะผู้ที่มีสิทธิ์เท่านั้น
        2. ต้องจำกัดการเชื่อมต่อจากภายนอกเข้าสู่ระบบเครือข่ายภายใน เช่น การเข้าถึงเครือ ข่ายจากระยะไกลผ่านทางอินเตอร์เน็ต รวมถึงไม่ติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ใดๆ ที่เกี่ยวข้องกับการให้บริการเครือข่าย โดยไม่ได้รับอนุญาต
      4. การบริการจัดการการให้บริการของหน่วยงานภายนอก
        1. ต้องมีการจัดทำข้อตกลงเพื่อควบคุมการให้บริการโดยหน่วยงานภายนอก เช่นมีการยอมรับ นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบริษัทฯ และขอบเขต รายละเอียด ระดับการให้บริการ ต้องได้รับการตรวจสอบจากฝ่ายกฎหมายของบริษัทฯ รวมถึง สัญญาในการไม่เปิดเผยข้อมูลของบริษัทฯ เป็นต้น
        2. หน่วยงานภายนอกหรือบุคคลภายนอกอื่นๆ ที่ได้รับอนุญาตในการเข้าถึง ระบบสารสนเทศ ของบริษัทฯต้องยอมรับและปฏิบัติตามนโยบายในการรักษาความมั่นคงปลอดภัยด้าน สารสนเทศของบริษัทฯ
        3. กรณีที่บุคคลภายนอกนำอุปกรณ์ที่ใช้งานมาลงทะเบียนกับสายงานสารสนเทศโดยจะมีการเก็บข้อมูลการขอใช้สิทธิ์ สำหรับบุคคลภายนอก ประกอบด้วย ชื่อ, นามสกุล, บัตรประจำตัวประชาชน/หนังสือเดินทางของชาวต่างชาติ และ Mac Address ของอุปกรณ์ที่จะใช้งานอินเตอร์เน็ต รวมไปถึงการเข้าใช้งานข้อมูลบนระบบเครือข่าย ทางบริษัทฯ จะดำเนินการเก็บข้อมูลไว้เป็นเป็นระยะเวลาไม่ต่ำกว่า 90 วัน แต่ไม่เกิน 1 ปี เพื่อใช้สำหรับการตรวจสอบย้อนหลัง

      การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม

      แนวทางปฏิบัติ

      1. การบริหารจัดการทางกายภาพ (Physical security management)
        1. กําหนดระดับความสําคัญของพื้นที่ปฏิบัติงานของสายงานสารสนเทศ
        2. มีระบบป้องกัน ให้ครอบคลุมพื้นที่ที่มีระบบเทคโนโลยีสารสนเทศอยู่ภายใน หรือบริเวณที่มีความสําคัญ
      2. การควบคุมการเข้า-ออก (Physical entry Controls)
        1. สร้างความตระหนักให้ผู้ที่มาเยือนจากภายนอกเข้าใจในกฎเกณฑ์หรือข้อกําหนดต่างๆ ที่ต้องปฏิบัติแต่ละส่วนของพื้นที่ภายในบริษัทฯ
        2. มีการควบคุมการเข้าถึงพื้นที่ ที่มีข้อมูลสําคัญจัดเก็บหรือประมวลผลอยู่
        3. มีการพิสูจน์ยืนยันตัวตน เพื่อควบคุมการเข้า-ออกในพื้นที่หรือบริเวณที่มี ความสําคัญ
        4. มีการทบทวน หรือยกเลิกสิทธิการเข้าถึงพื้นที่หรือบริเวณที่มีความสําคัญอย่างสม่ําเสมอ
      3. การจัดวางและการป้องกันอุปกรณ์ (Equipment setting and protection)
        1. แยกประเภทความสําคัญของอุปกรณ์ ให้เก็บแต่ละส่วนพื้นที่ที่เหมาะสม มั่นคง
        2. มีการตรวจสอบ สอดส่อง และดูแลสภาพแวดล้อมภายในบริเวณหรือพื้นที่ที่มีระบบเทคโนโลยีสารสนเทศติดตั้งอยู่ เพื่อป้องกันความเสียหายต่ออุปกรณ์
      4. ระบบและอุปกรณ์สนับสนุนการทํางาน (Supporting utilities)
        1. มีระบบสนับสนุนการทํางานของระบบเทคโนโลยีสารสนเทศของบริษัทฯ ที่เพียงพอต่อความต้องการใช้งาน เพื่อให้อุปกรณ์พร้อมใช้งานอยู่เสมอ โดยให้มีระบบสนับสนุนกระแสไฟฟ้า และระบบปรับอากาศ เป็นต้น
        2. มีการตรวจสอบหรือทดสอบระบบสนับสนุนตาม ข้อ 4.1 อย่างสม่ําเสมอ
      5. การบํารุงรักษาอุปกรณ์ (Equipment maintenance)
        1. กำหนดให้มีการบำรุงรักษาอุปกรณ์อย่างน้อยปีละ 1 ครั้ง บันทึกกิจกรรม, ปัญหาข้อบกพร่องการบํารุงรักษาอุปกรณ์สําหรับการให้บริการทุกครั้ง เพื่อใช้ในการตรวจสอบ, ประเมิน และปรับปรุง
        2. ควบคุมการส่งอุปกรณ์ออกไปซ่อมแซมนอกสถานที่เพื่อป้องกันการสูญหาย หรือการเข้าถึงข้อมูลโดย ไม่ได้รับอนุญาต
        3. จัดให้มีการอนุมัติสิทธิการเข้าถึงอุปกรณ์ที่มีข้อมูลสําคัญของผู้รับจ้างที่มาทําการบํารุงรักษาอุปกรณ์ เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
      6. หากนำอุปกรณ์สารสนเทศออกนอกพื้นที่บริษัทฯ จะต้องได้รับการอนุญาตจากผู้บังคับบัญชาของหน่วยงานต้นสังกัดก่อน พร้อมทั้งมีการบันทึกข้อมูล
      7. มีการกำหนดมาตรการการใช้อุปกรณ์สารสนเทศนอกสถานที่ เพื่อปลอดภัยของสินทรัพย์ เพื่อป้องกันความเสี่ยงจากการนําสินทรัพย์ของบริษัทฯ
      8. มีมาตรการหรือเทคนิคในการลบหรือเขียนข้อมูลทับบนข้อมูลที่มีความสําคัญในสินทรัพย์สําหรับจัดเก็บ ข้อมูลก่อนที่จะอนุญาตให้ผู้อื่นนำสินทรัพย์นั้นไปใช้งานต่อ เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลสําคัญนั้นได้

      นโยบายการบริหารจัดการระบบสารสนเทศให้อยู่ในสภาพพร้อมใช้งาน

      การบริหารจัดการระบบสารสนเทศให้อยู่ในสภาพพร้อมใช้งาน ต้องมีแผนการปรับปรุงและพัฒนา การดำเนินการให้มีประสิทธิภาพมากยิ่งขึ้น ดังนี้

      1. จัดให้มีการวางแผนการล่วงหน้าในกรณีที่มีเหตุการณ์อันตรายเกิดขึ้น (Plan) จากจุดที่สำคัญของบริษัทฯ ที่กล่าวว่า ระบบสารสนเทศที่ส่งผลกระทบต่อธุรกิจ สายงานสารสนเทศต้องรักษาระบบให้สามารถให้บริการได้ตลอดเวลา พร้อมทั้งมีแผนรองรับในกรณีการเคลื่อนย้ายข้อมูลเพื่อนำไปใช้งานที่ DR Site
      2. จัดให้มีการลงมือ และการควบคุมการดำเนินการตามแผนที่วางไว้ (DC) เครื่องแม่ข่ายสำรอง เพื่อเตรียมพร้อมสำหรับการถ่ายโอนงานไปยัง DR Site เมื่อจำเป็น
      3. จัดให้มีการตรวจสอบและทบทวน (Check) เมื่อมีการโอนย้ายข้อมูลระหว่างเครื่องแม่ข่าย เพื่อให้ทราบว่าระบบทำงานต่อเนื่อง ข้อมูลสมบูรณ์ หรือไม่สูญหาย
      4. จัดให้มีการปรับปรุงแผนการอย่างต่อเนื่อง (Act) ตามความเปลี่ยนแปลงของระบบงาน หรือความต้องการที่เปลี่ยนแปลงไปของบริษัทฯ

      การบริหารจัดการด้านการสื่อสารและการดําเนินงานของเครือข่ายสารสนเทศ (Communications and operations management)

      แนวทางปฏิบัติ

      1. ขั้นตอนการปฏิบัติงานที่เป็นข้อมูลความรู้เพื่อการสื่อสาร
        1. มีการจัดทําคู่มือการปฏิบัติงานระบบเทคโนโลยีสารสนเทศ เพื่อให้มีความเข้าใจรายละเอียดการปฏิบัติงานในส่วนต่างๆ ของระบบเทคโนโลยีสารสนเทศ
        2. มีการแจกจ่ายและควบคุมดูแลให้มีการปฏิบัติงานตามแนวทางที่กําหนดในคู่มือการปฏิบัติงาน
        3. มีการทบทวนปรับปรุงคู่มือการปฏิบัติงานให้เหมาะสมอยู่เสมอ
      2. ควบคุมการเปลี่ยนแปลง ปรับปรุง หรือแก้ไขระบบเทคโนโลยีสารสนเทศ (Change management) ต้องมีการและกําหนดผู้รับผิดชอบ และผู้มีอํานาจในการควบคุมการเปลี่ยนแปลง ปรับปรุง หรือแก้ไขระบบเทคโนโลยี สารสนเทศของบริษัทฯ
      3. การแบ่งหน้าที่ความรับผิดชอบ (Segregation of duties)
        1. มีการกําหนดแบ่งแยกหน้าที่ความรับผิดชอบในการปฏิบัติงานของแต่ละบุคคลไว้อย่างชัดเจนโดยมิให้มีการกําหนดหน้าที่ที่สําคัญไว้ที่บุคคลเพียงคนเดียว
        2. ให้ผู้บังคับบัญชามีการควบคุมดูแลอย่างใกล้ชิด สําหรับงานที่มีความเสี่ยงต่อการเกิดความเสียหาย
        3. ให้มีการจัดเก็บหลักฐานการปฏิบัติงานที่สามารถใช้ตรวจสอบได้ในภายหลัง
      4. การแยกระบบสําหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน (Separation of development, test, and operational facilities)
        1. ให้กําหนดมาตรการแยกเครื่องคอมพิวเตอร์ของระบบงาน สําหรับการพัฒนา การทดสอบ และการให้บริการออกจากกันตามความจําเป็น เพื่อป้องกันผลกระทบจากการทํางาน
        2. กําหนดมาตรการควบคุมการถ่ายโอนระบบงานจากเครื่องที่ใช้สําหรับการพัฒนา ไปสู่เครื่องที่ใช้สําหรับการให้บริการ
        3. กําหนดให้มีการแยกบัญชีผู้ใช้งานออกจากกัน สําหรับระบบงานที่ใช้ในการพัฒนาทดสอบ และใช้ระบบงานจริง

      การบริหารจัดการการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย

      แนวทางปฏิบัติ

      1. การควบคุมการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย
        1. กําหนดให้ผู้ใช้งานเครื่องแม่ข่ายต้องมีสิทธิ์เข้าถึงแบ่งแยกออกจากผู้ใช้งานทั่วไป พร้อมทั้งมีระบบตรวจสอบสิทธิ์อย่างเคร่งครัด
        2. กําหนดให้มีชื่อผู้ใช้ และรหัสผ่าน ต้องปฏิบัติให้สอดคล้องกับการบริหารจัดการสิทธิ์การใช้งานระบบและรหัสผ่าน การบริหารรหัสผ่าน
        3. กำหนดให้เครื่องคอมพิวเตอร์ที่เชื่อมต่อลงชื่อเข้าใช้เครื่องแม่ข่ายต้องมีระบบการล็อคหน้าจอเมื่อไม่มีการใช้งาน และเมื่อต้องการกลับเข้าใช้งานต้องลงชื่อเข้าใช้ใหม่ 
      2. การควบคุมการติดตั้งโปรแกรมประยุกต์ลงไปยังระบบเครื่องคอมพิวเตอร์แม่ข่าย
        1. มีการควบคุมการเปลี่ยนแปลงต่อระบบงานของบริษัทฯ เพื่อป้องกันความเสียหายอาจเกิดขึ้นต่อระบบนั้นๆ 
        2. ต้องมีการตรวจสอบและประเมินผลกระทบก่อนการติดตั้งหรือปรับปรุงโปรแกรมประยุกต์ของระบบ
        3. ต้องมีการประเมินระบบความต้องการ และจุดประสงค์การดำเนินการอย่างครบถ้วน เพียงพอ ก่อนดําเนินการติดตั้งหรือปรับปรุงบนเครื่องแม่ข่าย
        4. ต้องมีการประเมินและการทดสอบด้านความมั่นคงปลอดภัยของระบบอย่างครบถ้วน ก่อนดําเนินการ ติดตั้งหรือปรับปรุงบนเครื่องแม่ข่าย
      3. ให้มีการทบทวนการทํางานของระบบงานภายหลังจากที่เปลี่ยนแปลงระบบปฏิบัติการ และโปรแกรมประยุกต์
        1. ต้องมีการแจ้งให้ผู้ที่เกี่ยวข้องกับระบบได้รับทราบเกี่ยวกับการเปลี่ยนแปลงระบบปฏิบัติการเพื่อให้ดําเนินการทดสอบและทบทวนก่อนที่จะดําเนินการเปลี่ยนแปลง ระบบปฏิบัติการ และโปรแกรมประยุกต์
        2. ต้องมีการกำหนดแผนงานการดำเนินการเปลี่ยนแปลงระบบปฏิบัติการและโปรแกรมประยุกต์ของระบบ 
      4. การพัฒนาโปรแกรมประยุกต์โดยผู้รับจ้างภายนอก
        1. ต้องมีการกำหนดแผนงานการควบคุมโครงการพัฒนาโปรแกรมประยุกต์โดยผู้รับจ้างให้บริการจากภายนอก
        2. มีการกําหนดเรื่องการสงวนสิทธิ์ที่จะตรวจสอบด้านคุณภาพและความถูกต้องของโปรแกรมประยุกต์ที่จะมีการพัฒนาโดยผู้ให้บริการภายนอก โดยระบุไว้ในสัญญาจ้างที่ทํากับผู้ให้บริการภายนอกนั้น
      5. การเฝ้าดูและตรวจสอบ
        1. ต้องดําเนินการเก็บ Log ของเหตุการณ์ที่เกิดขึ้นกับระบบต้องเก็บไว้เป็นเวลา 90 วัน พร้อมทั้งมีความปลอดภัยและพร้อมใช้งาน
        2. ต้องมีการประเมินความเสี่ยงอย่างน้อยปีละ 1 ครั้ง

      การใช้งานเครื่องคอมพิวเตอร์ส่วนบุคคล (Use of Personal Computer)

      แนวทางปฏิบัติ

      1. การปฏิบัติทั่วไป
        1. อุปกรณ์สารสนเทศที่เป็นทรัพยสินของบริษัทฯ ไม่อนุญาตให้ใช้เพื่อประโยชน์ส่วนบุคคล
        2. โปรแกรมที่ได้ติดตั้งลงบนเครื่องคอมพิวเตอร์ของบริษัทฯ ต้องเป็นโปรแกรมที่บริษัทฯได้ซื้อลิขสิทธิมา อย่างถูกต้องตามกฎหมาย
        3. ห้ามผู้ใช้งานคัดลอกโปรแกรมต่างๆ ของบริษัทฯ และนําไปติดตั้งบนเครื่องคอมพิวเตอร์ส่วนตัวหรือแก้ไข หรือนําไปให้ผู้อื่นใช้งานโดยผิดกฎหมาย
        4. ไม่อนุญาตให้ ผู้ใช้งาน ทําการติดตั้งและแก้ไขเปลี่ยนแปลงโปรแกรม โปรแกรมยูทิลิตี้ ในเครื่อง คอมพิวเตอร์ส่วนบุคคลของบริษัทฯ เว้นแต่ได้รับคําปรึกษาหรือคําแนะนําจากผู้ดูแลระบบ
        5. ผู้ใช้งาน มีหน้าที่และรับผิดชอบต่อการดูแลรักษาความปลอดภัยของเครื่องคอมพิวเตอร์
        6. ปิดเครื่องคอมพิวเตอร์ส่วนบุคคลที่ตนเองครอบครองใช้งานอยู่เมื่อใช้งานประจําวันเสร็จสิ้น
        7. ห้ามนําเครื่องคอมพิวเตอร์ส่วนตัวที่เจ้าหน้าที่เป็นเจ้าของมาใช้กับระบบเครือข่ายของบริษัทฯ ยกเว้นจะ ได้รับการพิจารณาอนุมัติจากผู้จัดการสายงานสารสนเทศ ก่อนการใช้งาน
        8. การตั้งชื่อเครื่องคอมพิวเตอร์ (Computer name) ส่วนบุคคลจะต้องกําหนดโดยผู้ดูแลระบบเท่านั้น โดยผู้ใช้งานห้ามทำการเปลี่ยนแปลง
        9. ห้ามมิให้ผู้ใช้งานทำการเคลื่อนย้ายเครื่องคอมพิวเตอร์จากจุดเชื่อมต่อเครือข่ายเดิมไปยังจุดเชื่อมต่อเครือข่ายใหม่ภายใน บริษัทฯ 
        10. ห้ามมิให้ผู้ใช้งานทำการนำเครื่องคอมพิวเตอร์ออกไปซ่อมที่ศูนย์บริการภายนอก หากพบปัญหาในการใช้งานให้ดำเนินการตามข้อ “การซ่อมแซมแก้ไขอุปกรณ์สารสนเทศเมื่อชำรุด”
        11. ห้ามดัดแปลงแก้ไขส่วนประกอบต่างๆ ของเครื่องคอมพิวเตอร์ส่วนบุคคลของบริษัทฯทุกเครื่อง หากพบปัญหาในการใช้งานให้ดำเนินการตามข้อ “การซ่อมแซมแก้ไขอุปกรณ์สารสนเทศเมื่อชำรุด”
        12. เครื่องคอมพิวเตอร์ทุกเครื่องต้องได้รับการติดตั้งโปรแกรมตรวจสอบและกําจัดไวรัส ด้วยโปรแกรมป้องกันไวรัสของบริษัทฯเท่านั้น
        13. ผู้ใช้งานไม่ควรสร้าง Short-cut หรือปุ่มกดง่าย บน Desktop ที่เชื่อมต่อไปยังข้อมูลสําคัญของบริษัทฯ
        14. ผู้ใช้งานมีหน้าที่และความรับผิดชอบต่อการดูแลรักษาความปลอดภัยของเครื่องคอมพิวเตอร์โดยต้องปฏิบัติตามนี้
          1. ไม่นําอาหารหรือเครื่องดื่มอยู่ใกล้บริเวณเครื่องคอมพิวเตอร์
          2. ไม่วางสื่อแม่เหล็กไว้ใกล้หน้าจอเครื่องคอมพิวเตอร์หรือ Disk Drive
        15. ห้ามผู้ใช้งานทําการปรับแต่งการตั้งค่าเวลาของเครื่องคอมพิวเตอร์ส่วนบุคคลของบริษัทฯ ทุกเครื่อง และต้องดูแลมิให้เครื่องที่ถือครอบครองถูกแก้ไขการตั้งค่าเวลา ในกรณีที่ค่าเวลาของเครื่องคอมพิวเตอร์ส่วนบุคคลถูกแก้ไข เจ้าของเครื่องจะปฏิเสธความรับผิดชอบไม่ได้ และเมื่อรู้ว่าเครื่องมีการแก้ไข การตั้งค่าเวลาต้องแจ้งให้สายงานสารสนเทศทราบทันที
        16. ต้องทําการล้างข้อมูลในเครื่องคอมพิวเตอร์ทุกครั้งที่มีการเปลี่ยนเครื่องคอมพิวเตอร์ให้กับเจ้าของเครื่อง รายใหม่ พร้อมทั้งต้องทําการปลด Password สําหรับการเข้าใช้เครื่องคอมพิวเตอร์ (ระบบปฏิบัติการ) และ ต้องทําการแจ้งการเปลี่ยนแปลงแก่ผู้ดูแลการใช้งานเครื่องคอมพิวเตอร์ทุกครั้ง
      2. ความปลอดภัยทางด้านกายภาพ
        1. ผู้ใช้งาน มีหน้าที่รับผิดชอบในการป้องกันการสูญหาย โดยการล็อคเครื่องขณะที่ไม่ได้ใช้งาน ไม่วางเครื่อง ทิ้งไว้ในที่สาธารณะ หรือในบริเวณที่มีความเสี่ยงต่อการสูญหาย
        2. ผู้ใช้งาน ไม่ควรเก็บหรือใช้งานเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ในสถานที่ที่มีความร้อน ความชื้น ฝุ่นละอองสูงและต้องระวังป้องกันการตกกระทบ
        3. ไม่ควรนำเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่พกพาในกระเป๋าเดินทาง ที่เสี่ยงต่อการถูกกดทับโดยไม่ได้ตั้งใจจากการมีของหนักทับบนเครื่อง หรืออาจเกิดจากการเคลื่อนย้ายไม่ถูกวิธีได้ 
        4. ในกรณีที่ต้องการเคลื่อนย้ายเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ควรใส่กระเป๋าสําหรับเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ เพื่อป้องกันอันตรายที่เกิดจากการกระทบกระเทือน 
        5. หลีกเลี่ยงการใช้ของแข็งกดสัมผัสหน้าจอ LCD ให้เป็นรอยขีดข่วน หรือทําให้จอ LCD ของเครื่อง คอมพิวเตอร์และสื่อสารเคลื่อนที่แตกเสียหายได้
        6. ไม่วางของทับบนหน้าจอและแป้นพิมพ์
        7. การเช็ดทําความสะอาดหน้าจอภาพควรเช็ดอย่างเบามือที่สุด และควรเช็ดไปในแนวทางเดียวกันห้ามเช็ด แบบหมุนวน เพราะจะทําให้หน้าที่มีรอยขีดข่วนได้
        8. การเคลื่อนย้ายเครื่องคอมพิวเตอร์ ขณะที่เครื่องเปิดอยู่ให้ทําการยกจากฐานภายใต้แป้นพิมพ์ ห้ามย้ายเครื่องโดยการ ดึงหน้าจอภาพขึ้น
        9. ไม่เคลื่อนย้ายเครื่องในขณะที่ฮาร์ดดิสก์กําลังทํางาน
        10. ไม่ใช้หรือวางเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ใกล้สิ่งที่เป็นของเหลว
        11. ไม่ใช้หรือวางเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ในสภาพแวดล้อมที่มีอุณหภูมิสูงกว่า 35 องศาเซลเซียส
        12. ไม่ควรวางเครื่องคอมพิวเตอร์และสื่อสารเคลื่อนที่ไว้ใกล้อุปกรณ์ที่มีสนามแม่เหล็กไฟฟ้าแรงสูงในระยะใกล้
        13. ไม่ควรติดตั้งหรือวางคอมพิวเตอร์แบบพกพาในที่ที่มีการสั่นสะเทือน
      3. การเข้าใช้เครื่องคอมพิวเตอร์ (ระบบปฏิบัติการ) และ รหัสผ่าน
        1. ผู้ใช้งาน ต้องกําหนดรหัสผ่านให้มีคุณภาพดีตามที่ระบุไว้ในเอกสาร “การบริหารจัดการสิทธิ์การใช้งานระบบและรหัสผ่าน การบริหารรหัสผ่าน”
        2. ผู้ใช้งานต้องทําการ Logout ออกจากระบบทันทีเมื่อเลิกใช้งานหรือไม่อยู่ที่หน้าจอเป็นเวลานาน
        3. ผู้ใช้งาน ต้องไม่อนุญาตให้ผู้อื่นใช้ชื่อผู้ใช้ (User name) และรหัสผ่าน (Password) ของตน ในการเข้าใช้ เครื่องคอมพิวเตอร์ร่วมกัน

      การจัดการอุปกรณ์พิสูจน์อัตลักษณ์

      แนวทางปฏิบัติ

      1. กำหนดสิทธิ์ระดับเจ้าหน้าที่ในการเข้าถึงข้อมูลบนอุปกรณ์พิสูจน์อัตลักษณ์เฉพาะบุคคลที่รับอนุญาตเท่านั้น
      2. ห้ามมิให้เปิดเผยข้อมูลภายในอุปกรณ์พิสูจน์อัตลักษณ์ของบริษัทฯ ที่ไม่เข้าหลักเกณฑ์การเปิดเผย ประกาศอย่างเป็นทางการ
      3. ห้ามมิให้เคลื่อนย้ายอุปกรณ์พิสูจน์อัตลักษณ์โดยไม่ได้รับความเห็นชอบจากผู้ดูแล
      4. กำหนดให้มีผู้มีหน้าที่รับผิดชอบต่อการดูแลรักษา และตั้งค่าอุปกรณ์พิสูจน์อัตลักษณ์

      การใช้งานอินเทอร์เน็ต (Use of the Internet)

      แนวทางปฏิบัติ

      1. หากต้องการใช้งานระบบอินเตอร์เน็ต ให้ดำเนินการตามที่ระบุไว้ใน การขอใช้สิทธิ์ในระบบเครือข่ายของบริษัทฯ  “การควบคุมการเข้าถึงหรือการใช้งานระบบเทคโนโลยีสารสนเทศ” 
        1. ต้องมีกําหนดเส้นทางการเชื่อมต่อระบบเข้าใช้งานอินเทอร์เน็ตบนระบบรักษาความปลอดภัยทางคอมพิวเตอร์ เพื่อให้เกิดความปลอดภัยในการใช้งานอินเตอร์เน็ต
      2. เครือข่ายอินเทอร์เน็ตของบริษัทฯ ต้องไม่ถูกใช้งานเพื่อหาประโยชน์ในเชิงธุรกิจส่วนตัว และทําการเข้าเว็บไซต์ที่ไม่เหมาะสม
      3. มีการกําหนดสิทธิ์ในการเข้าถึงแหล่งข้อมูลตามหน้าที่ความรับผิดชอบความปลอดภัยทางข้อมูลของบริษัทฯ โดยผ่านความเห็นชอบจากผู้มีสิทธอนุมัติของหน่วยงานต้นสังกัด
      4. ห้ามมิให้เปิดเผยข้อมูลสําคัญเกี่ยวกับงานของบริษัทฯ ที่ไม่เข้าหลักเกณฑ์การเปิดเผย ประกาศอย่างเป็นทางการ ผ่านทางอินเทอร์เน็ต
      5. มีมาตราการการตรวจสอบความถูกต้อง และความน่าเชื่อถือของข้อมูลที่อยู่บนอินเทอร์เน็ต ก่อนนําข้อมูลไปใช้งาน
      6. ข้อมูลการเชื่อมต่ออินเตอร์เน็ต จะต้องส่งค่าไปจัดเก็บที่อุปกรณ์จัดเก็บข้อมูล จราจรทางคอมพิวเตอร์ โดยจะต้องจัดเก็บข้อมูลจราจรไม่น้อยกว่า 90 วัน

      การใช้งานจดหมายอิเล็กทรอนิกส์ และพื้นที่จัดเก็บข้อมูลออไลน์ (Use of Electronic Mail and Storage Online)

      แนวทางปฏิบัติ

      1. หากต้องการใช้งานระบบจดหมายอิเล็กทรอนิกส์ ให้ดำเนินการตามที่ระบุไว้ใน “การขอใช้สิทธิ์ในระบบเครือข่ายของบริษัทฯ” “การควบคุมการเข้าถึงหรือการใช้งานระบบเทคโนโลยีสารสนเทศ”
      2. ผู้ใช้งานรายใหม่จะต้องทําการเปลี่ยนรหัสผ่าน (Password) โดยทันที เมื่อได้รับรหัสผ่าน (Default Password) ในการผ่านเข้าสู่ระบบจดหมายอิเล็กทรอนิกส์ในครั้งแรก โดยต้องกําหนดรหัสผ่านให้มีคุณภาพดี ตามที่ระบุไว้ใน “การบริหารจัดการสิทธิ์การใช้งานระบบและรหัสผ่าน”
      3. ให้ใช้ระบบจดหมายอิเล็กทรอนิกส์ หรือพื้นที่จัดเก็บข้อมูลออนไลน์ของบริษัทฯ เท่านั้น ในการติดต่อหรือรับ-ส่งข้อมูลหรือแชร์ข้อมูลกับหน่วยงานภายนอก ทั้งราชการ และเอกชน
      4. การรับ-ส่งข้อมูลของบริษัทฯ ที่เป็นความลับ ห้ามรับ-ส่งผ่านทางระบบจดหมายอิเล็กทรอนิกส์ หรือการแชร์ข้อมูล
      5. ผู้ใช้งานควรตรวจสอบชื่อบัญชีอีเมลของผู้รับ และผู้ส่ง ให้ละเอียดถี่ถ้วนก่อนทำการส่งอีเมลหรือแชร์ข้อมูลทุกครั้ง เพื่อป้องกันการรับ หรือให้ข้อมูลที่สำคัญของทางบริษัทฯ
      6. ห้ามผู้ใช้งานตั้งค่าการใช้โปรแกรมช่วยจํารหัสผ่านส่วนบุคคลอัตโนมัติ (Save Password) ของระบบ จดหมายอิเล็กทรอนิกส์
      7. ผู้ใช้งานควรมีการเปลี่ยนรหัสผ่านอย่างเคร่งครัด โดยเปลี่ยนรหัสผ่านทุก 3-6 เดือน
      8. ผู้ใช้งาน ต้องไม่ใช้จดหมายอิเล็กทรอนิกส์ หรือพื้นที่จัดเก็บข้อมูลออนไลน์ที่ส่งผลให้เกิดความเสียหายต่อบริษัทฯ หรือละเมิดสิทธิสร้าง ความรําคาญต่อผู้อื่น ผิดกฎหมาย ละเมิดศีลธรรม ส่งต่อข้อความที่กล่าวร้าย ทําให้เสื่อมเสีย ข้อความที่หยาบคาย ลามก ข่มขู่ ก่อกวน หรือสร้างความเสียหายให้กับผู้อื่น รวมถึงไม่แสวงหาประโยชน์ หรืออนุญาตให้ผู้อื่นแสวงหาผลประโยชน์ในเชิงธุรกิจจากการใช้จดหมายอิเล็กทรอนิกส์ผ่านระบบเครือข่าย ของบริษัทฯ
      9. หลังจากการใช้งานระบบจดหมายอิเล็กทรอนิกส์เสร็จสิ้น ให้ทําการออกจากระบบ (Log out) ทุกครั้ง เพื่อป้องกันบุคคลอื่นเข้าใช้งานจดหมายอิเล็กทรอนิกส์พื้นที่จัดเก็บข้อมูลออนไลน์
      10. ผู้ใช้งาน ควรทําการตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกส์ก่อนทําการเปิด เพื่อทําการ ตรวจสอบไฟล์โดยใช้โปรแกรมป้องกันไวรัส เป็นการป้องกันในการเปิดฟล์ที่เป็น Executable file
      11. ผู้ใช้งาน ห้ามเปิดหรือส่งต่อจดหมายอิเล็กทรอนิกส์ รวมถึงข้อมูลที่ถูกแชร์มาจากผู้ส่งที่ไม่มั่นใจด้านความปลอดภัยของข้อมูล
      12. ผู้ใช้งาน ควรตรวจสอบพื้นที่จัดเก็บจดหมายอิเล็กทรอนิกส์ของตนเองทุกวัน และควรจัดเก็บแฟ้มข้อมูล และจดหมายอิเล็กทรอนิกส์ของตนให้เหลือจํานวนน้อยที่สุด
      13. ผู้ใช้งาน ควรลบจดหมายอิเล็กทรอนิกส์ หรือข้อมูลในพื้นที่ที่จัดเก็บออนไลน์ที่ไม่ต้องการ ออกจากระบบเพื่อลดปริมาณการใช้เนื้อที่ระบบจดหมายอิเล็กทรอนิกส์
      14. ผู้ใช้งานต้องไม่ส่งหรือส่งต่อจดหมายอิเล็กทรอนิกส์ที่มีข้อมูลคอมพิวเตอร์ โดยรู้อยู่แล้วว่าเป็น ข้อมูลคอมพิวเตอร์ประเภทดังต่อไปนี้
        1. ข้อมูลคอมพิวเตอร์อันเป็นเท็จ
        2. ข้อมูลคอมพิวเตอร์อันเป็นเท็จ ที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศ หรือ ก่อให้เกิดความตื่นตระหนกแก่ประชาชน
        3. ข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิด เกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา
        4. ข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามกอนาจาร
      15. ผู้ใช้งานต้องไม่ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์หรือพื้นที่จัดเก็บข้อมูลออนไลน์ ของผู้อื่นเพื่ออ่าน รับส่ง ข้อความยกเว้น แต่จะได้รับการยินยอมจากเจ้าของผู้ใช้งาน และให้ถือว่าเจ้าของจดหมายอิเล็กทรอนิกส์เป็นผู้รับผิดชอบต่อการใช้งานต่างๆ ในจดหมายอิเล็กทรอนิกส์ของตน
      16. ผู้ใช้งาน ต้องไม่ใช้ข้อความที่ไม่สุภาพหรือรับส่งจดหมายอิเล็กทรอนิกส์ หรือแชร์ข้อมูลที่ไม่เหมาะสม ข้อมูลอันอาจทําให้ เสียชื่อเสียงของบริษัทฯ ทําให้เกิดความแตกแยกระหว่าง บริษัทฯ ผ่านทางจดหมายอิเล็กทรอนิกส์
      17. ข้อมูลจดหมายอิเล็กทรอนิกส์ หรือข้อมูลในพื้นที่จัดเก็บที่ถูกลบ จะถูกจัดเก็บในถังขยะ (Trash) 30 วัน
      18. กรณีที่ข้อมูลถูกลบออกจากถังขยะ (Trash) ทั้งลบด้วยตัวผู้ใช้งานเอง หรือเกิน 30 วัน ข้อมูลนั้นจะถูกลบถาวร โดยไม่สามารถกู้คืนได้

      นโยบายการบริหารจัดการด้านข้อมูลของระบบสารสนเทศ

      แนวทางปฏิบัติ

      1. การสร้างและการรวบรวมข้อมูล
        1. ข้อมูลบนระบบ
          1. การสร้างและการรวบรวมข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัย และปฏิบัติตามแนวปฏิบัติที่ชัดเจนในการการปกป้องข้อมูล และมีความมั่นคงปลอดภัย พร้อมทั้งมีการกำหนดเป็นแนวปฏิบัติเพื่อให้เกิดแบบแผน
          2. การสร้างและการรวบรวมข้อมูลที่มีแหล่งกำหนดข้อมูลจากภายนอกองค์กร ต้องมีแนวทางการขอความยินยอมจากแหละข้อมูลให้มีความชัดเจน
          3. ต้องมีการจัดให้มีคำอธิบายชุดข้อมูล บัญชีข้อมูลที่มีความถูกต้องครบถ้วน และเป็นปัจจุบัน พร้อมทั้งมีการกำหนดเป็นแนวปฏิบัติ หรือมีมาตราฐานรองรับการจัดทำ
          4. ต้องมีการจัดชั้นความลับของข้อมูล และมีการกำหนดแนวทางปฏิบัติให้เป็นมาตรฐานการจัดชั้นความลับของข้อมูล
      2. การจัดเก็บ และการทำลายข้อมูล
        1. การจัดเก็บ และการทำลายข้อมูล ต้องดำเนินการโดยผู้ที่มีสิทธิ์เกียวกับข้อมูลนั้นๆ เท่านั้น
        2. การจัดเก็บ และการทำลายข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัย และมีการกำหนดแนวทางการปฏิบัติให้เกิดเป็นมาตราฐานการดำเนินการที่ชัดเจน
        3. การจัดเก็บข้อมูล ต้องจัดเก็บลงในสื่อบันทึกข้อมูล ตามมาตรฐานสถาปัตยกรรมข้อมูล
        4. การจัดเก็บข้อมูล ต้องมีการจัดประเภทข้อมูลให้เหมาะสมกับ การใช้งาน กฏหมาย และช่วงเวลาการจัดเก็บ โดยแบ่งช่วงเวลการจัดเก็บออกเป็น 3 ปี, 5 ปี และ 10 ปี
        5. ข้อมูลที่พ้นระยะเวลาการจัดเก็บที่กำหนดไว้ในแต่ระบบ ต้องไม่สามารถอ้างอิง หรือนำข้อมูลมาใช้ในรูปแบบเดิมได้อีก
        6. การสำรองข้อมูล ต้องดำเนินการให้ถูกต้อง ครบถ้วน มั่นคงปลอดภัย และเป็นปัจจุบัน โดยต้องมีมาตรฐานการสำรองข้อมูลที่ทำให้มั่นใจได้ว่าข้อมูลจะไม่สูญหาย
        7. การทำลายข้อมูล ต้องเป็นการดำเนินการกับข้อมูลที่ไม่ต้องการนำกลับมาใช้งานอีกต่อไป โดยให้เป็นไปตามมาตราฐาน และบทบัญญัติต่างๆ ที่เกียวข้อง
        8. กำหนดให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวตนได้เพื่อการใช้ประโยชน์ด้านอื่น เช่น การวิเคราะห์ทางสถิติ การปรับปรุงประสิทธิภาพการทำงาน หรือประโยชน์สาธารณะที่สำคัญ
      3. การเข้ารหัสข้อมูล
        1. ประเมินความเสี่ยงเพื่อระบุระดับความสำคัญ และการเข้าถึงข้อมูลแต่ละส่วนให้เหมาะสม สำหรับข้อมูลที่จำเป็นต้องป้องกัน
        2. กำหนดหลักการสำหรับการป้องกันข้อมูลโดยใช้การเข้ารหัสข้อมูล  
        3. จัดเก็บบัญชีผู้ใช้งานและรหัสผ่าน ของระบบสารสนเทศลงในฐานข้อมูล ต้องเข้ารหัสในส่วนของรหัสผ่านก่อนบันทึกลงในฐานข้อมูลทุกครั้ง
        4. เชื่อมต่อผ่านโพรโทคอล SSL สำหรับระบบสารสนเทศแบบเว็บแอพพลิเคชั่น (Web Application) เพื่อเป็นการเข้ารหัสข้อมูลที่ส่งระหว่างเว็บบราวเซอร์ (Web Browser) และเว็บเซิร์ฟเวอร์ (Web Server)
      4. กำหนดวิธีการในการบริหารจัดการและการใช้งานกุญแจรหัส (Key) 

      สำหรับการเข้ารหัสข้อมูล ดังนี้วิธีการป้องกันกุญแจรหัสที่ใช้สำหรับการเข้ารหัสข้อมูล

      1. วิธีการกู้คืนข้อมูลที่ถูกเข้ารหัสไว้ในกรณีที่กุญแจรหัสเกิดการสูญหาย หรือถูกทำให้เสียหาย
      2. กำหนดบทบาทและผู้มีหน้าที่รับผิดชอบที่เกี่ยวข้องกับการเข้ารหัสข้อมูล ประกอบด้วย ผู้ทำหน้าที่ควบคุมและดูแลกุญแจรหัส, ผู้สร้างกุญแจรหัส, ผู้ทำหน้าที่ทำลาย, ผู้ใช้งาน และผู้ทำหน้าที่จัดการกรณีกุญแจรหัสเกิดการสูญหาย

      นโยบายการสํารองและกู้คืนข้อมูล และการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ

      แนวทางปฏิบัติ

      1. กําหนดให้ใช้แนวทางปฏิบัติในการจัดทํานโยบายการสํารอง และกู้คืนข้อมูล ดังต่อไปนี้
        1. มีการจัดทําบัญชีระบบเครือข่าย และระบบสารสนเทศ พร้อมทั้งกําหนดระบบสารสนเทศที่ต้องทําระบบสํารอง และกำหนดแผนเตรียมพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ 1 ครั้ง
        2. กําหนดให้มีการสํารองข้อมูลของระบบสารสนเทศ และกําหนดความถี่ในการสํารองข้อมูล หากระบบใดที่ มีการเปลี่ยนแปลงบ่อย ควรกําหนดให้มีความถี่ในการสํารองข้อมูลมากขึ้น มีวิธีการเบื้องต้น ดังนี้
          1. มีการกําหนดประเภทของข้อมูลที่ต้องการสํารอง และความถี่ในการสํารอง ที่เหมาะสม
            1. Web และ  Service servers : สำรองข้อมูลเผยแพร่บนเว็บไซต์ 1 ครั้งต่อเดือน
            2. Database servers : สำรองข้อมูลในฐานข้อมูลของระบบที่สำคัญ 1 ครั้งต่อสัปดาห์
            3. Firewall server : สำรองข้อมูล Rule ของ Firewall 1 ครั้งต่อเดือน
            4. ระบบอื่นๆ : สำรองข้อมูลบนเครื่องเซิร์ฟเวอร์อื่นๆ เช่น ระบบงานต่างๆ 1 ครั้งต่อเดือน
          2. กําหนดรูปแบบการสํารองข้อมูลให้เหมาะสมกับข้อมูลที่ทําการสํารอง
          3. กำหนดให้มีระบบการเก็บข้อมูลที่เกี่ยวข้องกับกิจกรรมการสํารองข้อมูล ได้แก่ ผู้ดําเนินการ วัน/เวลา ขนาดข้อมูลที่ สํารอง สําเร็จไม่สําเร็จ เป็นต้น
          4. จัดเก็บข้อมูลที่สํารองคลละสถานที่กับข้อมูลต้นฉบับ ต้องมีความมั่งคงปลอดภัย และพร้อมนำข้อมูลมาทดสอบใช้งานได้ทุกเวลา
          5. มีการจัดทําแผนและขั้นตอนปฏิบัติสําหรับการกู้คืนข้อมูลที่เสียหายจากข้อมูลที่ได้สํารองระบบต่างๆ
          6. ตรวจสอบ และทดสอบประสิทธิภาพและประสิทธิผลของขั้นตอนปฏิบัติในการกู้คืนข้อมูลอย่างสม่ําเสมอ
        3. กําหนดผู้รับผิดชอบในการสํารองข้อมูล
        4. กําหนดประเภทของระบบงาน ที่ความจําเป็นต้องสํารองข้อมูล อย่างน้อย ต้องประกอบด้วย ข้อมูลในระบบ ข้อมูลของระบบงาน และข้อมูลสําหรับตัวระบบ
        5. กําหนดความถี่ในการสํารองข้อมูล ขึ้นอยู่กับความสําคัญของระบบงาน และข้อมูล
        6. กําหนดขั้นตอนการจัดทําสํารองข้อมูล และการกู้คืนข้อมูลอย่างถูกต้อง 
        7. จัดเก็บข้อมูลที่สํารองคลละสถานที่กับข้อมูลต้นฉบับ ต้องมีความมั่งคงปลอดภัย
        8. ต้องมีการทดสอบกู้คืนข้อมูลที่สํารอง อย่างน้อยปีละ 1 ครั้ง รวมทั้งดําเนินการทดสอบว่าระบบงานสามารถกู้ข้อมูลกลับมาได้อย่างสมบูรณ์
        9. จัดทําแผนเตรียมความพร้อมกรณีเกิดเหตุฉุกเฉินให้สามารถกู้คืนระบบกลับคืนได้ภายในระยะที่กําหนด
        10. กำหนดให้มีระบบการเก็บข้อมูลที่เกี่ยวข้องการสํารองข้อมูล และการกู้ข้อมูลของทุกระบบและมีการตรวจสอบความถูกต้องสม่ำเสมอ
      2. กำหนดแผนการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความ พร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ ตามแนวทางต่อไปนี้
        1. จัดทําแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดําเนินการได้ โดยมีรายละเอียดอย่างน้อย ดังนี้
          1. กําหนดหน้าที่ และความรับผิดชอบของผู้ที่เกี่ยวข้องทั้งหมด
          2. มีการประเมินความเสี่ยงสําหรับระบบที่มีความสําคัญเหล่านั้น และกําหนด มาตรการ เพื่อลด ความเสี่ยงเหล่านั้น ได้แก่ ไฟดับเป็นระยะเวลานาน ไฟไหม้ แผ่นดินไหว น้ําท่วม การชุมนุม ประท้วง โรคระบาด การโจมดีทางไซเบอร์ ทําให้ไม่สามารถเข้ามาใช้ระบบงานได้ เป็นต้น
          3. การกําหนดขั้นตอนปฏิบัติในการกู้คืนระบบสารสนเทศ
          4. การกําหนดขั้นตอนปฏิบัติในการสํารองข้อมูล และทดสอบกู้คืนข้อมูลที่สํารอง
          5. กําหนดช่องทางในการติดต่อกับ บุคคลภายใน หน่วยงานที่เกียวข้อง และผู้ให้บริการภายนอก เมื่อเกิดเหตุจําเป็นที่จะต้องติดต่อ
          6. การสร้างความตระหนัก หรือให้ความรู้แก่เจ้าหน้าที่ผู้ที่เกี่ยวข้องกับขั้นตอนการปฏิบัติ หรือสิ่งที่ต้องทําเมื่อเกิดเหตุเร่งด่วน เป็นต้น
        2. กำหนดให้มีการทบทวนเพื่อปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่าง เหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ อย่างน้อยปีละ 1 ครั้ง
      3. กําหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่งดูแลรับผิดชอบระบบสารสนเทศ ระบบสํารอง และจัดทําแผนการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ
      4. กำหนดการทำ Disaster Recovery Site ตามความจำเป็น และความสำคัญของระบบงาน มีรูปแบบเบื้องต้น ดังนี้
        1. Hot Site หมายถึง สามารถทำงานได้ทันทีโดยที่อุปกรณ์ในสถานที่หลักและสถานที่สำรอง ทำงานควบคู่กันไป เมื่อเกิดเหตุอุบัติภัยขึ้นสามารถที่จะดำเนินงานตามปกติได้ทันที
        2. Warm Site หมายถึง สามารถทำงานได้ต่อเมื่อ เมื่อเกิดเหตุอุบัติภัยขึ้นจะต้องทำการ ติดตั้งอุปกรณ์ต่างๆ ก่อนจึงจะสามารถดำเนินงานได้ตามปกติ
        3. Cold Site หมายถึง เมื่อเกิดเหตุอุบัติภัยขึ้น จึงทำการซื้อหรือเช่าอุปกรณ์ต่างๆใหม่ เช่น เครื่องเซิร์ฟเวอร์ และจะต้องทำการติดตั้งระบบสารสนเทศใหม่ทั้งหมด ใช้เวลานานพอสมควรในการขึ้นระบบสารสนเทศ
        4. Standby site หมายถึง จัดการสรรหาสถานที่ ยังมิได้ดำเนินการใดๆ ทั้งสิ้น
        5. Nothing หมายถึง ไม่มีการดำเนินการทำระบบสำรองใดๆ 
      5. พนักงานที่เกี่ยวข้องกับแผนการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ ต้องเข้ารับการอบรม หรือสร้างความตระหนักเพื่อให้รู้หรือทราบ วิธีปฏิบัติในกรณีที่เกิดเหตุฉุกเฉินในกรณีต่างๆ
      6. กำหนดให้มีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสํารอง และระบบแผนการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ อย่างน้อยปีละ 1 ครั้ง
      7. มีการทบทวนระบบสารสนเทศ ระบบสํารอง และระบบแผนการจัดการภัยพิบัติที่มีผลต่อระบบสารสนเทศ ที่เพียงพอต่อสภาพ ความเสี่ยงที่ยอมรับได้ของแต่ละส่วนงาน อย่างน้อยปีละ 1 ครั้ง

      นโยบายความมั่นคงปลอดภัยของ Firewall

      แนวทางปฏิบัติ

      1. สายงานสารสนเทศ มีหน้าที่ในการบริหารจัดการ การติดตั้ง และกําหนดค่าของไฟร์วอลล์ (Firewall) ทั้งหมด
      2. การกําหนดค่าเริ่มต้นพื้นฐานของทุกเครือข่าย และอินเตอร์เน็ตต้องเป็นค่า การปฏิเสธเสมอ
      3. ต้องมีการยืนยันตัวตนก่อนการใช้งานระบบเครือข่าย และระบบอินเตอร์เน็ต
      4. การเข้าถึงตัวอุปกรณ์ไฟร์วอลล์ จะต้องสามารถเข้าถึงได้เฉพาะผู้ที่ได้รับมอบหมายให้ดูแลจัดการเท่านั้น
      5. ข้อมูลจราจรทางคอมพิวเตอร์ที่เข้าออกอุปกรณ์ไฟร์วอลล์ จะต้องส่งค่าไปจัดเก็บที่อุปกรณ์จัดเก็บข้อมูล จราจรทางคอมพิวเตอร์ โดยจะต้องจัดเก็บข้อมูลจราจรไม่น้อยกว่า 90 วัน
      6. กําหนดนโยบายในการให้บริการอินเทอร์เน็ตกับเครื่องคอมพิวเตอร์ลูกข่ายจะเปิดพอร์ตการเชื่อมต่อ พื้นฐานของโปรแกรมประยุกค์ ที่สายงานสารสนเทศอนุญาตให้ใช้งาน ซึ่งหากมีความจําเป็นที่จะใช้งานพอร์ตการเชื่อมต่อ นอกเหนือที่กําหนด จะต้องได้พิจารณาการใช้งานพอร์ตการเชื่อมต่อที่จำเป็นเท่านั้น
      7. กำหนดให้มีมีการสํารองข้อมูลการกําหนดค่าต่างๆ ของอุปกรณ์ไฟร์วอลล์สม่ำเสมอ
      8. เครื่องแม่ข่ายที่ให้บริการระบบงานสารสนเทศต่างๆ จะต้องไม่อนุญาตให้มีการเชื่อมต่อเพื่อ ใช้งานอินเทอร์เน็ต เว้นแต่มีความจําเป็น โดยจะต้องกําหนดเป็นกรณีไป
      9. ผู้ดูแลระบบมีสิทธิที่จะระงับหรือบล็อกการใช้งานของอุปกรณ์ที่มีพฤติกรรมการใช้งานที่มีความเสี่ยงต่อความปลอดภัย จนกว่าจะได้รับการแก้ไข
      10. มีการเก็บข้อมูลการเชื่อมต่อในลักษณะของการ Remote Login จากภายนอกมายังเครื่องแม่ข่าย หรืออุปกรณ์เครือข่ายภายใน
      11. ผู้ละเมิดนโยบายด้านความปลอดภัยของไฟร์วอลล์ จะถูกระงับการใช้งานระบบสารสนเทศ

      นโยบายการตรวจสอบและประเมินความเสี่ยง

      แนวทางปฏิบัติ

      1. การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ หรือสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิดได้ที่อาจเกิดขึ้นกับระบบสารสนเทศอย่างน้อยปีละ 1 ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระดับความเสี่ยงและระดับความมั่นคงปลอดภัยสารสนเทศโดยมีแนวทางในตรวจสอบและประเมินความเสี่ยงที่ต้องคำนึงถึง ดังนี้
        1. จัดลำดับความสำคัญของความเสี่ยง
        2. ค้นหาวิธีการดำเนินการเพื่อลดความเสี่ยง
        3. ศึกษาข้อดีข้อเสียของวิธีการดำเนินการเพื่อลดความเสี่ยง
        4. สรุปผลข้อเสนอแนะและแนวทางแก้ไขเพื่อลดความเสี่ยงที่ตรวจสอบได้
        5. มีมาตรการในการตรวจประเมินระบบสารสนเทศอย่างน้อย ดังนี้
          1. กำหนดให้ผู้ตรวจสอบสามารถเข้าถึงข้อมูลที่จำเป็นต้องตรวจสอบโดยการให้สิทธิ์แบบอ่านได้อย่างเดียว
          2. กรณีที่จำเป็นต้องเข้าถึงข้อมูลในแบบอื่นๆ ให้สร้างสำเนาข้อมูลนั้นๆ เพื่อให้ผู้ตรวจสอบใช้งาน รวมทั้งต้องทำลายหรือลบทันทีมีการตรวจสอบเสร็จหรือต้องจัดเก็บไว้โดยมีการป้องกันเป็นอย่างดี
          3. กำหนดให้มีการระบุและจัดสรรทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย
          4. กำหนดให้มีการเฝ้าระวัง การเข้าถึงระบบโดยผู้ตรวจสอบ รวมทั้งบันทึกข้อมูลล็อกแสดงการเข้าถึงนั้นซึ่งรวมถึงวันและเวลาที่เข้าถึงระบบงานที่สำคัญๆ
          5. ในกรณีที่มีเครื่องมือสำหรับการตรวจประเมินระบบสารสนเทศกำหนดให้แยกการติดตั้งเครื่องมือที่ใช้ในการตรวจสอบออกจากระบบให้บริการจริงหรือระบบที่ใช้ในการพัฒนาและมีการจัดเก็บป้องกันเครื่องมือนั้นจากการเข้าถึงโดยไม่ได้รับอนุญาต
      2. ความเสี่ยงที่อาจเป็นอันตรายต่อระบบสารสนเทศจากการติดตามตรวจสอบความเสี่ยงต่างๆ รวมถึงเหตุการณ์ด้านความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศสามารถแยกเป็นภัยต่างๆ ดังนี้
        1. เกิดจากบุคคล (Human Error) เกิดจากขาดความรู้ความเข้าใจในเครื่องมืออุปกรณ์และระบบสารสนเทศเบื้องต้น เพื่อลดปัญหาความเสี่ยงที่จะเกิดขึ้นกับระบบสารสนเทศมีแผนการรับมือเบื้องต้น ต้องมีการจัดหลักสูตรอบรมผู้เกียวข้องให้มีความรู้ความเข้าใจระบบสารสนเทศเบื้องต้นเพื่อลดความเสี่ยงด้าน Human error
        2. เกิดจาก Cybersecurity  ที่สร้างความเสียหาย ให้แก่ระบบคอมพิวเตอร์ หรือระบบเครือข่าย และก่อให้เกิดความเสียหายให้แก่ระบบเทคโนโลยีสารสนเทศถึงขั้นทำให้ระบบเครือข่ายคอมพิวเตอร์ใช้งานไม่สามารถใช้งานได้
          1. มีการติดตั้งอุปกรณ์ทำหน้าที่ในการกำหนดสิทธิ์การเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่ายและป้องกันการบุกรุก
          2. กำหนดให้มีการตรวจสอบไวรัส และพฤกติกรรมที่เข้ามาในระบบเครือข่ายต้องมีการตรวจสอบได้ว่าเข้ามาทำความเสียหายกับระบบสารสนเทศ
          3. เมื่อเกิดความเสียหายจากการโจมตีเจ้าหน้าที่ หรือพนักงานที่ได้รับการแต่งตั้งต้องมีการติดต่อสานงานทั้งภายในและภายนอกองค์กรที่จำเป็น เพื่อสร้างความเข้าใจ, รับมือแก้ไข และปรับปรุงระบบให้มีความมั่นคงและปลอดภัยมากยิ่งขึ้น
          4. กรณีความเสียหายมีผลกระทบต่อบุคคลที่สามารถต้องมีมาตราการเยี่ยวยาให้เหมาะสมผลกระทบที่บุคคลที่สามได้รับ
        3. เกิดจากไฟไหม้หรือระบบไฟฟ้าจัดเป็นภัยร้ายแรงที่ทำความเสียหายให้แก่ระบบสารสนเทศได้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ ดังนี้
          1. กำหนดให้มีระบบสนับสนุนระบบไฟฟ้า และระบบจุดการอุณหภูมิที่เหมาะสม กับการทำงานของอุปกรณ์ พร้อมทั้งมีการตรวจสอบระบบอย่างสม่ำเสมอ
          2. ต้องมีระบบตรวจสอบสถานะต่างๆ ภายในห้องเซิฟเวอร์ เช่น ตรวจสอบอุณหภูมิ, ก๊าซ  และควัน เป็นต้น เพื่อให้ทรานถึงสถานการณ์ต่างๆ ที่เกิดขึ้นภายในห้องเซิฟเวอร์
        4. เกิดจากภัยธรรมชาติ และโรคระบาด ด้กำหนดแนวทางปฏิบัติเพื่อเตรียมรับสถานการณ์ ดังนี้
          1. กำหนดให้มีการประเมินสถานการณ์ตามข้อมูล ข่าวสาร ซึ่งสถานการณ์แวดล้อมหรือเหตุการณ์อาจจะส่งผลกระทบต่อการใช้งานระบบสารสนเทศ พร้อมทั้งมีการวางแผนรับมือ เพื่อให้เกิดแนวทางปฏิบัติเมื่อสถานการณ์แวดล้อมหรือเหตการณ์ส่งผลกระทบ
          2. กำหนดให้มีการดูแลข้อมูลระบบงาน และระบบสำรองข้อมูลต้องมีลำดับความสำคัญสำหรับการจัดเก็บ และมีการแยกเก็บข้อมูลระหว่างกันให้ปลอดภัยและมันคง
          3. กำหนดให้มีการสนับสนุนการเข้าถึง และการใช้ข้อมูลระบบสารสนเทศเมือมีผลกระทบสถานการณ์แวดล้อมหรือเหตการณ์ที่เกิดขึ้นสังคม
          4. กำหนดให้มีการตรวจสอบ ประเมินระบบ และแผนรับมืออย่างสม่ำเสมอ เพื่อสร้างความรู้ความเข้าใจ และปรับปรุงแผนให้เหมาะสมกับสถานการณ์ที่เปลี่ยนไป

      แนวทางปฏิบัติการดำเนินการงานระบบสารสนเทศ (MIS Services Process)

      1. การขอใช้สิทธิ์ในระบบเครือข่ายของบริษัทฯ แบ่งออกได้เป็น 3 ประเภท
        1. การขอใช้สิทธิ์ในระบบเครือข่ายสำหรับพนักงานใหม่  มีวิธีดำเนินการดังนี้
          1. ผู้ใช้งาน หรือเจ้าหน้าที่สายงานทรัพยากรบุคคล เข้าไปดำเนินการสร้างรายการขอใช้สิทธิ์ในระบบ MAS/AD Online ในส่วนของสร้างรายการขอใช้สิทธิ์ และเลือกสิทธิ์ทั่วไป โดยต้องระบุข้อมูลต่างๆ ของผู้ขอใช้สิทธิ์ ได้แก่ รหัสพนักงาน, ชื่อนามสกุล, ฝ่าย, แผนก และตำแหน่ง และจะต้องดำเนินการก่อนพนักงานใหม่จะเริ่มงาน 3 วัน
          2. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติของพนักงานใหม่ เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          3. ผู้ดูแลระบบเข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          4. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 1 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          5. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 2 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          6. ผู้ดูแลระบบดำเนินการกำหนดสิทธิ์ และเพิ่มสิทธิ์ในระบบเครือข่าย โดยกำหนดสิทธิ์ตามรายการที่ถูกอนุมัติ
        2. การขอใช้สิทธิ์ในระบบเครือข่ายเพิ่มเติมสำหรับพนักงาน  มีวิธีดำเนินการดังนี้
          1. ผู้ใช้งาน เข้าไปดำเนินการสร้างรายการขอใช้สิทธิ์เพิ่มเติมในระบบ MAS/AD Online ในส่วนของขอใช้สิทธิ์เพิ่มเติม โดยต้องระบุข้อมูลต่างๆ ของผู้ขอใช้สิทธิ์เพิ่มเติม ได้แก่ รหัสพนักงาน, ชื่อนามสกุล, ฝ่าย, แผนก และตำแหน่ง
          2. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติของผู้ใช้งานที่ดำเนินรายการ เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          3. ผู้ดูแลระบบเข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          4. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 1 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          5. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 2 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          6. ผู้ดูแลระบบดำเนินการกำหนดสิทธิ์ และเพิ่มสิทธิ์ในระบบเครือข่าย โดยกำหนดสิทธิ์ตามรายการที่ถูกอนุมัติ
        3. การขอใช้สิทธิ์ในระบบเครือข่ายสำหรับบุคคลภายนอก  มีวิธีดำเนินการดังนี้
          1. ผู้ใช้งานที่เชิญบุคคลภายนอกเข้ามาที่บริษัทฯ เข้าไปดำเนินการสร้างรายการขอใช้สิทธิ์ในระบบ MAS/AD Online ในส่วนของสร้างรายการขอใช้สิทธิ์ และเลือกสิทธิ์ชั่วคราว โดยต้องระบุข้อมูลต่างๆ ของผู้ขอใช้สิทธิ์ ได้แก่ ชื่อบริษัทฯ/หน่วยงาน, บัตรประจำตัวประชาชน/บัตรประจำตัวคนต่างชาติ, ชื่อนามสกุล และระยะการใช้งาน
          2. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติของผู้ใช้งานที่ดำเนินรายการ เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          3. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 1 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          4. ผู้บริหารสายงานสารสนเทศ ลำดับที่ 2 เข้าไปพิจารณารายการขอใช้สิทธิ์บนระบบ MAS/AD Online ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที และกรณีข้อมูลไม่ครบถ้วนสามารถส่งรายการกลับไปยังผู้ใช้งาน
          5. ผู้ดูแลระบบดำเนินการกำหนดสิทธิ์ และเพิ่มสิทธิ์ในระบบเครือข่าย โดยกำหนดสิทธิ์ตามรายการที่ถูกอนุมัติ
      2. การซ่อมแซมแก้ไขอุปกรณ์สารสนเทศเมื่อชำรุด
        1. ผู้ใช้งานที่มีความต้องการขอให้ผู้ดูแลระบบตรวจสอบปัญหาการใช้งานต่างๆ สามารถดำเนินการได้ที่ระบบ MAS/MIS Service  โดยต้องระบุข้อมูลต่างๆ เช่น ชื่อนามสกุล, ตำแหน่งงาน, เบอร์โทรศัพท์, รายละเอียดปัญหา หรือแนบไฟล์ เป็นต้น
        2. ผู้ดูแลระบบดำเนินการตรวจสอบรายการแจ้งซ่อมบนระบบ MAS/MIS Service ในส่วนของระบบแจ้งซ่อมไอที ตามลำดับการแจ้งซ่อม โดยมีระยะเวลาในการดำเนินงานหลังจากรับงานให้เสร็จสิ้นภายใน 3 วันทำการ ยกเว้นบางกรณีที่อาจจะมีระยะเวลาการดำเนินงานที่มากกว่ารายการแจ้งซ่อมทั่วไป เช่น รออะไหล่, ส่งเครม, ติดต่อซัพภายนอก หรือรอผู้ใช้งานสะดวกให้ดำเนินการ เป็นต้น
        3. กรณีการส่งซ่อมภายนอก
          1. ผู้ดูแลระบบจะดำเนินการตรวจสอบประกันของอุปกรณ์ก่อนทำการส่งซ่อมภายนอก กรณีที่หมดประกัน ผู้ดูแลระบบจะทำการติดต่อบริษัทฯหรือร้านภายนอกอย่างน้อย 2 ร้าน เพื่อขอใบเสนอราคาเปรียบเทียบค่าใช้จ่ายในการส่งซ่อม
          2. ผู้ดูแลระบบจะดำเนินการสรุปราคาการส่งซ่อมภายนอกให้ผู้บริหารสายงานสารสนเทศพิจารณา
          3. กรณีผู้บริหารสายงานสารสนเทศอนุมัติการส่งซ่อมภายนอก
            1. กรณีค่าใช้จ่ายเกิน 3,000 บาท ผู้ดูแลระบบดำเนินการเปิด PR เพื่อเบิกค่าใช้จ่ายในการส่งซ่อม โดยอ้างอิง Cost Center บนระบบ SAP แล้วให้ผู้บริหารสายงานสารสนเทศลงนามกำกับลงใน PR และส่งให้สายงานจัดซื้อดำเนินการตามขั้นตอนการดำเนินงานเรื่องการจัดซื้อ
            2. กรณีค่าใช้จ่ายไม่เกิน 3,000 บาท ผู้ดูแลระบบจะดำเนินการแจ้งผู้ใช้งานให้ทำเบิกเงินสดย่อย โดยค่าใช้จ่ายในการส่งซ่อมจะลง Cost Center  ของสายงานที่ถือครองอุปกรณ์
            3. เมื่อได้รับอุปกรณ์สารสนเทศคืนจากการส่งซ่อม ผู้ดูแลระบบจะทำการตรวจสอบอุปกรณ์ เพื่อส่งคืนผู้ใช้งาน ภายใน 3 วันทำการ
          4. กรณีผู้บริหารสายงานสารสนเทศ พิจารณาไม่อนุมัติการส่งซ่อมภายนอก
            1. ผู้ดูแลระบบดำเนินการแจ้งผู้ใช้งานบนระบบ MAS/MIS Service ในส่วนของระบบแจ้งซ่อมไอที ที่ได้ทำการแจ้งซ่อมมา ว่าไม่ได้รับการอนุมัติ และผู้ดูแลระบบจะทำการปิดงานทันที โดยสรุปรายละเอียดของอุปกรณ์ที่ชำรุด และสาเหตุที่ไม่ได้รับการอนุมัติ
      3. การร้องขอสิทธิ์เพิ่มเติมในระบบเอ็นเตอร์ไพรส์แอพพลิเคชั่น
        1. ผู้ใช้งานที่มีความต้องการขอสิทธิ์ หรือแก้ไขระบบเอ็นเตอร์ไพรส์แอพพลิเคชั่น ในการใช้งานเพิ่มเติม โดยต้องระบุ ชื่อนามสกุล, ตำแหน่งงาน, ฝ่าย, แผนก, และ User ID เป็นต้น  เพื่อเป็นการระบุตัวตนของผู้ใช้งาน รวมทั้งระบุสิทธิ์เดิมหรือข้อมูลระบบเดิม และระบุสิทธิ์ใหม่หรือข้อมูลระบบใหม่ ที่ต้องการร้องขอเพิ่มเติม โดยดำเนินการร้องขอสิทธิ์ที่ระบบ MAS/Change Request โดยระบุระบบที่ต้องการร้องขอสิทธิ์
        2. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติลำดับที่ 1 ของผู้ใช้งานระบบ ต้องพิจารณาอนุมัติสิทธิ์ที่ผู้ร้องขอดำเนินการไว้ผ่านระบบ MAS/Change Request ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือหากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        3. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติลำดับที่ 2 ของผู้ใช้งานระบบ ต้องพิจารณาอนุมัติสิทธิ์ที่ผู้ร้องขอดำเนินการไว้ผ่านระบบ MAS/Change Request ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือหากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        4. ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติลำดับที่ 3 ของผู้ใช้งานระบบ ต้องพิจารณาอนุมัติสิทธิ์ที่ผู้ร้องขอดำเนินการไว้ผ่านระบบ MAS/Change Request ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือหากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        5. ผู้ดูแลระบบพิจารณาคำร้องขอดังกล่าวว่ามีผลกระทบอย่างไรต่อกระบวนการทำงาน และพิจารณาคำร้องขอดังกล่าวซึ่งต้องได้รับอนุมัติจากหน่วยงานอื่นหรือไม่ในการพิจารณาคำร้องขอสิทธิ์  หากมีผลกระทบกับหน่วยงานอื่น ผู้ดูแลระบบจะระบุหน่วยงานอื่นเพื่อร่วมพิจารณาแก้ไขเปลี่ยนแปลงระบบหรือสิทธิ์ตามที่ผู้ใช้งานร้องขอ
        6. ในกรณีมีหน่วยงานอื่นที่เกี่ยวข้องพิจารณาอนุมัติคำร้องขอดังกล่าวบนระบบ MAS/Change Request ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        7. ผู้บริหารตามสายงานพิจารณาคำร้องขอดังกล่าวตามความเหมาะสม โดยพิจารณาอนุมัติคำร้องขอดังกล่าวในระบบ MAS/Change Request หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        8. ผู้ดูแลระบบ ดำเนินการตามคำร้องที่ได้รับการอนุมัติ บนระบบปฏิบัติการจำลอง QAS และบันทึกข้อมูลในระบบ MAS/Change Request เมื่อดำเนินการเสร็จสิ้น
        9. ผู้บริหารสายงานสารสนเทศที่ได้รับมอบหมายพิจารณาตรวจสอบคำร้องขอบนระบบปฏิบัติการจำลอง QAS  และพิจารณารายการบนระบบ MAS/Change Request
        10. ผู้ใช้งานดำเนินการตรวจสอบบนระบบปฏิบัติการจำลอง QAS และบันทึกผลการทดสอบบนระบบ MAS/Change Request หากทดสอบตามคำร้องขอดังกล่าวแล้วไม่เป็นตามคำร้องขอ ผู้ใช้งานต้องส่งเรื่องกลับไปยังผู้ดูแลระบบต่อไป
        11. ผู้ดูแลระบบจะทำการเตรียมข้อมูลตามคำร้องในระบบเพื่อขึ้นระบบที่ใช้งานจริง(Production Environment) และทำการบันทึกผลบนระบบ MAS/Change Request
        12. ผู้บริหารสายงานสารสนเทศที่ได้รับมอบหมาย พิจารณาตรวจสอบความถูกต้องของผู้ดูแลระบบตามคำร้องดังกล่าว และดำเนินการในระบบ PRD ร่วมทั้งทำการบันทึกผลบนระบบ MAS/Change Request
        13. ผู้ใช้งานดำเนินการตรวจสอบบนระบบที่ใช้งานจริง PRD และบันทึกผลการทดสอบบนระบบ MAS/Change Request หากทดสอบตามคำร้องขอดังกล่าวแล้วไม่เป็นตามคำร้องขอ ผู้ใช้งานต้องส่งเรื่องกลับไปยังผู้ดูแลระบบต่อไป
        14. รายการคำร้องขอที่เกิดขึ้นบนระบบ MAS/Change Request มีการเก็บข้อมูล 3 ปี
      4. การควบคุม และการจัดการอุปกรณ์กล้องวงจรปิด
        1. ติดตั้งป้ายแจ้งให้รับทราบว่ามีการบันทึกภาพบริเวณที่มีติดตั้งอุปกรณ์กล้องวงจรปิด
        2. ผู้ใช้งานต้องกรอกชื่อผู้ใช้งาน และรหัสผ่าน ก่อนเข้าถึงข้อมูลกล้องวงจรปิดที่มีการบันทึกไว้ทุกครั้ง
        3. ผู้ดูแลระบบต้องจัดให้มีระบบความปลอดภัยเพื่อจำกัดการเข้าถึงข้อมูลกล้องวงจรปิดเฉพาะผู้ที่มีสิทธิ์เท่านั้น
        4. จัดให้มีการแบ่งประเภทสิทธิ์การเข้าใช้งานอุปกรณ์กล้องวงจรปิด 3 ประเภท ดังนี้
          1. สิทธิ์การจัดการอุปกรณ์กล้องวงจรปิด
          2. สิทธิ์การเข้าดูภาพกล้องวงจรปิด เฉพาะ ณ เวลานั้น
          3. สิทธิ์การเข้าดูข้อมูลกล้องวงจรปิดย้อนหลัง และนำข้อมูลออกจากอุปกรณ์เครื่องบันทึกกล้องวงจรปิด
        5. การเปิดเผยข้อมูลต่อบุคคลที่สาม โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลของผู้ที่ถูกบันทึกข้อมูลต่อบุคคลที่สาม ในกรณีที่มีความจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลนั้นเพื่อวัตถุประสงค์ตามที่ระบุข้างต้น
        6. กรณีสนับสนุนการร้องขอข้อมูลจากหน่วยงานบังคับใช้กฎหมาย ต้องมีเอกสารบันทึกประจำวันหรือเอกสารที่เกี่ยวข้องกับคดี เพื่อขอเข้าถึงหรือคัดลอกข้อมูลกล้องวงจรปิด
        7. จัดเก็บอุปกรณ์เครื่องบันทึกกล้องวงจรปิดให้มีความเหมาะสม และมีการจำกัดการเข้าถึงตัวอุปกรณ์เครื่องบันทึกกล้องวงจรปิด
        8. การเก็บรักษาข้อมูลส่วนบุคคลของอุปกรณ์เครื่องบันทึกกล้องวงจรปิด แบ่งการเก็บออกเป็น  2 รูปแบบ ดังนี้
          1. บริษัท เถ้าแก่น้อย ฟู๊ดเเอนด์มาร์เก็ตติ้ง จำกัด(มหาชน)  บันทึกข้อมูลเป็นระยะเวลาอย่างน้อย 90 วัน แต่ไม่เกิน 120 วัน
          2. บริษัทในเครือ  บันทึกข้อมูลเป็นระยะเวลา 14 วัน แต่ไม่เกิน  30 วัน
          3. ผู้ใช้งานที่ต้องการดูบันทึกย้อนหลังหรือต้องการไฟล์วีดีโอ ต้องทำ Job Order ส่งให้ผู้ดูแลระบบ
      5. การร้องขอสิทธิ์เพิ่มเติมในระบบ   Job order
        1. ผู้ใช้งานที่มีความต้องการขอสิทธิ์ หรือขอความต้องการเพิ่มเติม เช่น ขอสิทธิ์การใช้งานระบบ MAS , ขอระบบงานใหม่  , ขอดูข้อมูลกล้องวงจรปิดย้อนหลัง ผู้บังคับบัญชาที่มีสิทธิ์อนุมัติตามหน่วยงาน ของผู้ใช้งาน ต้องพิจารณาอนุมัติสิทธิ์ที่ผู้ร้องขอดำเนินการไว้ผ่านระบบ Job order  ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือหากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        2. ผู้ดูแลระบบพิจารณาคำร้องขอดังกล่าวว่ามีผลกระทบอย่างไร และพิจารณาคำร้องขอดังกล่าวซึ่งต้องได้รับอนุมัติจากหน่วยงานอื่นที่เกี่ยวข้อง  ผู้ดูแลระบบจะระบุหน่วยงานอื่นเพื่อร่วมพิจารณาแก้ไขเปลี่ยนแปลงระบบหรือสิทธิ์ตามที่ผู้ใช้งานร้องขอ
        3. ในกรณีมีหน่วยงานอื่นที่เกี่ยวข้องพิจารณาอนุมัติคำร้องขอดังกล่าวบนระบบระบบ Job order ซึ่งต้องระบุเหตุผลในการอนุมัติ หรือไม่อนุมัติ หากไม่อนุมัติเอกสารจะถือเป็นการจบการดำเนินการทันที
        4. ผู้ดูแลระบบ ดำเนินการตามคำร้องที่ได้รับการอนุมัติและบันทึกข้อมูลในระบบ Job order  เมื่อดำเนินการเสร็จสิ้น
        5. ผู้ใช้งานดำเนินการตรวจสอบบนระบบที่ใช้งาน  PRD และบันทึกผลการทดสอบบนระบบ Job order  หากทดสอบตามคำร้องขอดังกล่าวแล้วไม่เป็นตามคำร้องขอ ผู้ใช้งานต้องส่งเรื่องกลับไปยังผู้ดูแลระบบต่อไป

      บทลงโทษ

      ผู้ใช้งานคนใดฝ่าฝืนนโยบายและแนวปฏิบัติฉบับนี้ บริษัทฯจะพิจารณาลงโทษทางวินัยตามระเบียบ บริหารงานบุคคล รวมทั้งอาจมีความรับผิดทั้งทางแพ่ง และทางอาญา

      การทบทวนนโยบาย

      ผู้บริหารสายงานสารสนเทศ ต้องดําเนินการทบทวนนโยบายฉบับนี้เป็นประจํา อย่างน้อยปีละ 1 ครั้ง และต้องเสนอให้ คณะอนุกรรมการบริหารความเสี่ยง และคณะกรรมการบริหารอนุมัติ หากมีการเปลี่ยนแปลง

    • นโยบายการใช้คุกกี้
    • บริษัท เถ้าแก่น้อย ฟู๊ดเเอนด์มาร์เก็ตติ้ง จำกัด(มหาชน) และบริษัทในเครือมีการใช้คุกกี้หรือเทคโนโลยีอื่นใดที่มีลักษณะใกล้เคียงกัน (“คุกกี้”) บนเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทเพื่อช่วยให้คุณได้รับประสบการณ์ที่ดีจากการใช้บริการ และช่วยให้บริษัทสามารถพัฒนาคุณภาพของบริการให้ตอบสนองต่อความต้องการของคุณมากยิ่งขึ้น​

       

      คุกกี้คืออะไร?

      คุกกี้ คือ ไฟล์ข้อมูลขนาดเล็กที่ถูกดาวน์โหลดไปยังเว็บเบราว์เซอร์ อุปกรณ์คอมพิวเตอร์ อุปกรณ์เชื่อมต่ออินเตอร์เน็ต เช่น สมาร์ทโฟน หรือแท็บเล็ตของคุณ เพื่อทำหน้าที่บันทึกข้อมูลและการตั้งค่าต่างๆ เช่น สถานะการเข้าใช้งานในปัจจุบันของคุณ ข้อมูลการตั้งค่าภาษา ข้อมูลเกี่ยวกับประวัติการเข้าใช้งานบนเว็บไซต์และ/หรือแอปพลิเคชันที่คุณชื่นชอบ เพื่อให้คุณสามารถใช้บริการที่มีการใช้คุกกี้หรือเทคโนโลยีอื่นใดที่มีลักษณะใกล้เคียงกันได้อย่างต่อเนื่อง ​

       

      ประโยชน์ของคุกกี้

      คุกกี้ช่วยให้บริษัททราบว่าคุณเข้าชมส่วนใดในเว็บไซต์หรือแอปพลิเคชันของบริษัทเพื่อที่บริษัทจะสามารถมอบประสบการณ์การใช้บริการที่ดีขึ้นและตรงกับความต้องการของคุณและช่วยให้คุณสามารถใช้บริการเว็บไซต์หรือแอปพลิเคชันของบริษัทได้อย่างต่อเนื่อง นอกจากนี้ การบันทึกการตั้งค่าแรกของบริการด้วยคุกกี้จะช่วยให้คุณเข้าถึงบริการด้วยค่าที่ตั้งไว้ทุกครั้งที่ใช้งาน ยกเว้นในกรณีที่คุกกี้ถูกลบซึ่งจะทำให้การตั้งค่าทุกอย่างจะกลับไปที่ค่าเริ่มต้น

       

      ประเภทของคุกกี้ที่ใช้​

      ประเภทของคุกกี้ที่บริษัทใช้รวมถึงแต่ไม่จำกัดเฉพาะรายการต่อไปนี้

       

      ประเภทของคุ้กกี้ รายละเอียด ตัวอย่าง
      คุกกี้ประเภทจำเป็นถาวร
      (Strictly Necessary cookies)
      คุกกี้ประเภทนี้จำเป็นสำหรับการทำงานของเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทเพื่อช่วยให้คุณสามารถเข้าถึงข้อมูลและใช้เว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้อย่างปลอดภัย จึงไม่สามารถปิดการใช้คุกกี้ประเภทนี้ได้ • SessionID
      • Load Balancing
      • User ID
      • Security
      คุกกี้ประเภทการวิเคราะห์ และวัดผลการทำงาน
      (Analytic/Performance cookie)
      คุกกี้ประเภทนี้ช่วยให้บริษัทสามารถวิเคราะห์หรือวัดผลการทำงาน เพื่อให้บริษัทเข้าใจถึงความสนใจของคุณ เช่น การประมวลผลจำนวนผู้เยี่ยมชมเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทพฤติกรรมการเยี่ยมชมเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทจำนวนหน้าที่คุณเข้าใช้งาน โดยบริษัทจะใช้ข้อมูลดังกล่าวในการปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทให้ตอบสนองตามความต้องการและการใช้งานของคุณให้ดียิ่งขึ้น • Google Analytics
      • Adobe
      คุกกี้ประเภทการโฆษณา
      (advertising cookies)
      คุกกี้ประเภทนี้จะถูกบันทึกบนอุปกรณ์ของคุณเพื่อเก็บข้อมูลการเข้าใช้งานและลิงก์ที่คุณติดตามหรือเยี่ยมชม เพื่อให้เข้าใจความต้องการของคุณและใช้ในการ นำเสนอสิทธิประโยชน์ ประชาสัมพันธ์ โฆษณา ให้เหมาะสมกับความสนใจของคุณมากที่สุด • Adobe Audience Manager
      • Adobe Target
      • Google Analytics
      • Facebook Pixels
      • Facebook API
      คุกกี้ประเภทการทำงาน
      (Functional cookies)
      คุกกี้ประเภทนี้จะช่วยให้บริษัท“จดจำ” คุณระหว่างการเยี่ยมชมและตั้งค่าเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทตามลักษณะการใช้งานให้สอดคล้องกับสิ่งที่คุณเลือกเพื่ออำนวยความสะดวกเมื่อคุณกลับเข้ามาใช้เว็บไซต์และ/หรือแอปพลิเคชันของบริษัทในครั้งถัดไป เช่น การจดจำชื่อผู้ใช้งานของคุณ การปรับขนาดตัวอักษร ภาษาและส่วนอื่นๆ บนหน้าเว็บไซต์และ/หรือแอปพลิเคชันของบริษัท • Google Analytics
      • SessionID

       

      ในกรณีที่มีการเชื่อมโยงกับแพลตฟอร์มของบุคคลที่สาม เช่น เครือข่ายการโฆษณา สื่อสังคมออนไลน์ ผู้ให้บริการเว็บไซต์ภายนอกอื่นๆ เป็นต้น คุกกี้บางประเภทอาจมีการจัดการโดยบุคคลที่สาม จึงแนะนำให้คุณศึกษาและทำความเข้าใจนโยบายการใช้คุกกี้และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุคคลที่สามด้วย

       

      การตั้งค่าและการปฏิเสธคุกกี้

      คุณสามารถเลือกปฏิเสธการทำงานของคุกกี้ได้ตามความต้องการของคุณ โดยการตั้งค่าเบราว์เซอร์หรือการตั้งค่าความเป็นส่วนตัวของคุณ เพื่อระงับการเก็บรวบรวมข้อมูลโดยคุกกี้ในอนาคต อย่างไรก็ตาม หากคุณตั้งค่าเบราว์เซอร์หรือค่าความเป็นส่วนตัวของคุณด้วยการปฏิเสธการทำงานของคุกกี้ทั้งหมด คุณอาจไม่สามารถใช้งานฟังก์ชั่นบางอย่างหรือทั้งหมดบนเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้อย่างมีประสิทธิภาพ ทั้งนี้ คุณสามารถสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับคุกกี้ได้จาก aboutcookies.org และศึกษาวิธีจัดการความเป็นส่วนตัวจากเว็บเบราว์เซอร์ของผู้ใช้งาน

       

      การเปลี่ยนแปลงนโยบาย

      นโยบายการใช้คุกกี้นี้อาจมีการปรับปรุงแก้ไขหรือเปลี่ยนแปลงตามความเหมาะสมเพื่อให้เป็นไปตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง บริษัทจึงขอแนะนำให้คุณตรวจสอบเพื่อให้แน่ใจว่าคุณเข้าใจการเปลี่ยนแปลงนโยบายดังกล่าว ทั้งนี้ คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคุณ สิทธิต่างๆ รวมถึงรายละเอียดเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลได้จากนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทบนเว็บไซต์ (https://www.taokaenoi.co.th/policy.php)  

    เถ้าแก่น้อย

    หน้าอื่นที่เกี่ยวข้อง

    ผลิตภัณฑ์เถ้าแก่น้อย

    ผลิตภัณฑ์เถ้าแก่น้อย


    โปรโมชั่น

    โปรโมชั่น


    ข่าวสารและกิจกรรม

    ข่าวสารและกิจกรรม