บริษัท เยอรมัน ออโต้ จำกัด (“บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้บุคลากรและบุคคลที่เกี่ยวข้องของบริษัททราบและเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจึงได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ขึ้นเพื่อกำหนดแนวทางในการปฏิบัติงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมีรายละเอียด ดังนี้

1. วัตถุประสงค์

          1.1 เพื่อกำหนดบทบาทหน้าที่ของหน่วยงาน ผู้บริหาร พนักงาน บุคลากร ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

          1.2 เพื่อกำหนดแนวทางในการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

          1.3 เพื่อสร้างความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลต่อบุคลากร ลูกค้า พันธมิตรทางการค้า ตลอดจนบุคคลอื่น ๆ ซึ่งมีส่วนได้เสียหรือเกี่ยวข้องกับข้อมูลส่วนบุคคล

2. ขอบเขตการบังคับใช้

          นโยบายฉบับนี้ ใช้บังคับกับบริษัท กรรมการ ผู้บริหาร พนักงาน บุคลากรของบริษัท และบุคคลภายนอกทุกคนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในนามของบริษัท

3. คำนิยาม

4. การประมวลผลข้อมูลส่วนบุคคล

          บริษัทจะประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และ/หรือ ฐานะผู้ประมวลผลข้อมูลส่วนบุคคลอย่างมีความรับผิดชอบ ดังนี้

          4.1 บริษัทประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย เป็นธรรม โปร่งใส

          4.2 บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่จำกัดและชอบด้วยกฎหมาย

          4.3 บริษัทประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นและเกี่ยวข้องกับวัตถุประสงค์ที่เกี่ยวข้องเท่านั้น

          4.4 บริษัทประมวลผลข้อมูลส่วนบุคคลที่ถูกต้อง เป็นปัจจุบัน และไม่เข้าใจผิด

          4.5 บริษัทประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลเท่านั้น

          4.6 บริษัทประมวลผลข้อมูลส่วนบุคคลโดยมีมาตรการรักษาความมั่นคงปลอดภัยตามที่กฎหมายกำหนด

          4.7 บริษัทจะดำเนินการด้านต่าง ๆ อย่างมีความรับผิดชอบให้สอดคล้องตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

5. การจัดการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

          5.1  บริษัทจัดให้มีโครงสร้างองค์กรสำหรับการคุ้มครองและกำกับดูแลข้อมูลส่วนบุคคล โดยมีการรายงานและความรับผิดชอบที่ชัดเจน

          5.2 บริษัทจัดทำนโยบายและแนวทางการปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ให้บุคลากรเข้าใจในบทบาทและหน้าที่ความรับผิดชอบของตนเองเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

          5.3 บริษัทสร้างความตระหนักรู้ การฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมีการติดตามและประเมินผลเกี่ยวกับการฝึกอบรม

          5.4 บริษัทจัดทำเอกสารประกาศความเป็นส่วนตัว โดยมีเนื้อหาและรายละเอียดสำคัญตามข้อกำหนดของกฎหมาย โดยมีช่องทางการสื่อสารที่เหมาะสม โปร่งใส และมีประสิทธิภาพ

          5.5 บริษัทแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ช่องทางการใช้สิทธิ ตลอดจนกระบวนการตอบสนองคำขอใช้สิทธิ

          5.6 บริษัทจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่มีรายละเอียดสำคัญตามข้อกำหนดของกฎหมาย และสอดคล้องตามฐานทางกฎหมาย

          5.7 บริษัทมีการจัดทำข้อตกลงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือปฏิบัติตามที่กฎหมายกำหนดในกรณีที่มีการแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคล หรือส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ โดยเป็นไปตามข้อกำหนดของกฎหมาย

          5.8 บริษัทจัดให้มีการจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และหากมีความจำเป็น บริษัทจะดำเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติม

          5.9 บริษัทจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยซึ่งครอบคลุมข้อมูลส่วนบุคคลทุกรูปแบบ ตามมาตรฐานที่ยอมรับและข้อกำหนดของกฎหมาย

          5.10 บริษัทดำเนินการจัดให้มีมาตรการการจัดการเหตุละเมิดข้อมูลส่วนบุคคล

6. บทบาทหน้าที่และความรับผิดชอบ

          ผู้บริหารและกรรมการมีหน้าที่และความรับผิดชอบในการติดตามควบคุมให้ฝ่ายงานต่าง ๆ ปฏิบัติตามนโยบายฉบับนี้ อีกทั้งส่งเสริมความตระหนักรู้ให้กับพนักงานของบริษัท เพื่อทำให้การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการปฏิบัติงานของบริษัท

          นอกจากนี้ ผู้บริหารและกรรมการจะกำหนดกระบวนการติดตามผลการปฏิบัติตามกฎหมาย การทบทวนแนวทางการทำงานให้สอดคล้องตามกฎหมาย

          คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่และความรับผิดชอบในการให้คำแนะนำ ตรวจสอบ กำกับดูแล เพื่อให้การจัดการข้อมูลส่วนบุคคลเป็นไปตามกฎหมาย และรายงานผลให้กับผู้บริหารและกรรมการทราบ

          พนักงานของบริษัทมีหน้าที่และความรับผิดชอบในการปฏิบัติให้สอดคล้องกับนโยบาย กระบวนการทำงาน และกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนการแจ้งเหตุการณ์ผิดปกติเกี่ยวกับกระบวนการคุ้มครองข้อมูลส่วนบุคคลให้แก่ผู้บังคับบัญชาทราบ 

7. ข้อกำหนดเพิ่มเติม

          นอกเหนือจากอำนาจหน้าที่ตามข้อ 6. และกำหนดของกฎหมายแล้ว คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีอำนาจในการออกมาตรการ แนวทาง คู่มือ คำแนะนำเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้แก่บริษัทเพิ่มเติม

8. บทกำหนดโทษ

          ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และ/หรือ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ผู้นั้นอาจถูกดำเนินการทางวินัยของบริษัท

          ทั้งนี้ หากการกระทำดังกล่าวก่อให้เกิดความเสียหายแก่บริษัท และ/หรือ บุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

9. วิธีการติดต่อบริษัท

          หากคุณมีข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการประมวลผลข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามประกาศความเป็นส่วนตัวนี้ คุณสามารถติดต่อเราหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของเราได้ ดังนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

อีเมล :  dpo@bmw-germanauto.com

สถานที่ติดต่อ :  441 ถนนเทพรัตน แขวงบางนาเหนือเขตบางนา กรุงเทพฯ 10260

10. การแก้ไขเปลี่ยนแปลงนโยบาย

          บริษัทจะทำการทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ และหากมีการแก้ไข เปลี่ยนแปลง บริษัทจะประกาศให้ทราบภายใน 30 วันนับแต่วันที่มีการแก้ไขเปลี่ยนแปลง