นโยบายและระเบียบปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน 10 อัตรา
คุณสมบัติผู้สมัครงาน
วัตถุประสงค์ : เพื่อให้ข้อมูลส่วนบุคคลของพนักงานได้รับการเก็บรักษาอย่างถูกต้อง ปลอดภัย และใช้งานโดยสุจริต และเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯจึงกำหนดนโยบายและระเบียบปฏิบัติให้ผู้เก็บ ควบคุม ผู้ใช้ข้อมูลและพนักงานที่เกี่ยวข้องปฏิบัติตามอย่างเคร่งครัดดังต่อไปนี้
1. นโยบายการเก็บ รักษา ใช้ ข้อมูลส่วนบุคคลของพนักงาน
1.1 บริษัทฯให้ความเคารพสิทธิส่วนบุคคลของพนักงานอย่างสูงสุด
1.2 บริษัทฯจะขอข้อมูลส่วนบุคคลของพนักงานเท่าที่จำเป็นในการบริหาร หรือตามที่กฏหมาย หรือตามที่องค์กร หน่วยงาน ที่เกี่ยวข้อง กำหนดเท่านั้น
1.3 บริษัทฯ จัดให้มีการเก็บ รักษา ใช้ข้อมูลส่วนบุคคลอย่างรัดกุม ผู้ไม่เกี่ยวข้องเข้าถึงข้อมูลได้ยาก ปกปิดเป็นความลับ
1.4 บริษัทฯ กำหนดหน้าที่ของผู้เก็บข้อมูล ผู้ประมวลผลข้อมูล ผู้รักษา ผู้ใช้ ผู้อนุมัติการใช้ รวมถึงขั้นตอนการตรวจสอบให้ชัดเจน เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของพนักงานได้รับการเก็บรักษาอย่างปลอดภัยและใช้งานโดยสุจริต
1.5 พนักงานเจ้าของข้อมูลส่วนบุคคลทุกคน มีสิทธิในการขอดู ตรวจสอบ เข้าถึงข้อมูลนั้นได้ง่าย ตลอดเวลาที่มีการเก็บรักษา รวมถึงมีหน้าที่แจ้งข้อมูลเพิ่มเติมในกรณีที่มีการเปลี่ยนแปลงข้อมูลส่วนบุคคล หรือนำส่งข้อมูลในกรณีที่บริษัทฯ หรือ หน่วยงานที่เกี่ยวข้องร้องขอเพิ่มเติม
1.6 พนักงานที่เป็นชาวต่างชาติ ต่างด้าว จะเก็บรักษา และใช้ข้อมูลเช่นเดียวกับพนักงานคนไทย
1.7 กรณีที่บุคคลหรือหน่วยงานภายนอก ต้องการทราบข้อมูลใด ๆ ของพนักงาน ให้ทำเป็นหนังสือระบุเหตุผลความจำเป็นที่ต้องการมาให้ผู้ควบคุมข้อมูลพิจารณาอนุมัติก่อน ห้ามเปิดเผยหรือให้โดยไม่ได้รับอนุมัติ
1.8 ในกรณีที่หน่วยงานราชการขอข้อมูลของพนักงาน ให้แจ้งผู้ควบคุมข้อมูลส่วนบุคคลพิจารณา / ทบทวนก่อนส่งให้ ยกเว้นการส่งให้ตามรอบปกติที่กฏหมายกำหนด เช่น ประกันสังคม สรรพากร คุ้มครองแรงงาน ให้ส่งได้เลยและบันทึกการส่งไว้เพื่อการตรวจสอบ
1.9 การส่งข้อมูลส่วนบุคคลของพนักงานไปยังต่างประเทศ ให้กรรมการผู้จัดการเป็นผู้อนุมัติและดำเนินการตามที่กฏหมายกำหนดอย่างเคร่งครัด
1.10 ข้อมูลส่วนบุคคลของพนักงานที่บริษัทฯเก็บ รักษาไว้นี้ บริษัทฯจะรักษาเสมือนหนึ่งเป็นทรัพย์สินของบริษัทฯเอง ห้ามมิให้ผู้ใดทำการละเมิด เปิดเผย เข้าถึง นำไปหาประโยชน์ส่วนตัว หรือทำลาย ข้อมูลนี้โดยไม่ได้รับอนุมัติจากผู้ที่บริษัทฯมอบหมาย ผู้ฝ่าฝืนจะถูกพิจารณาลงโทษในอัตราสูงสุดและหรือดำเนินคดีถึงที่สุด รวมถึงต้องชดใช้ความเสียหายที่เกิดขึ้นเต็มจำนวนตามอัตราที่กฏหมายกำหนด
1.11 การเก็บ รักษา ใช้ ตรวจสอบ ทบทวน อนุมัติ หรือ ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลตามนโยบายนี้ ให้ทำเป็นความลับ เท่าที่จำเป็น โดยสุจริต และให้ถือว่าข้อมูลลับส่วนบุคคลของพนักงานนี้เป็นข้อมูลลับในระดับสูงสุด
2. รายการข้อมูลส่วนบุคคลของพนักงานที่จำเป็นในการบริหารงาน
เพื่อเป็นการบริหารงานใด ๆ ของบริษัทฯที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงานเป็นไปอย่างมีประสิทธิภาพ ทันเหตุการณ์และโดยสุจริต บริษัทฯ มีสิทธิที่จะขอข้อมูลส่วนบุคคลใด ๆ ของพนักงานเพิ่มเติมได้ตลอดเวลาที่จ้างงาน
2.1 ข้อมูลส่วนบุคคลใด ๆ ในใบสมัครงาน และเอกสารประกอบการสมัครงานที่บริษัทฯกำหนด ถือเป็นข้อมูลที่จำเป็นที่บริษัทฯต้องรู้เพื่อจัดการงานให้ทำตามความรู้ ความสามารถ ประสบการณ์และเหมาะสมกับคุณสมบัติส่วนตัวของแต่ละคน รายการข้อมูลส่วนบุคคลและเหตุผลที่จำเป็น ให้เป็นไปตามเอกสารที่บริษัทฯกำหนด
2.2 ข้อมูลส่วนบุคคลที่บริษัทฯมีสิทธิขอเพิ่มเติมขณะทำงาน เช่น
2.2.1 สถานภาพการสมรส รายชื่อคู่สมรส บุตร เพื่อจัดสวัสดิการให้เพิ่มเติม หรือเพื่อคำนวณลดหย่อนภาษี
2.2.2 ใบรับรองแพทย์ ผลการตรวจสุขภาพ หรือ เอกสาร ยา เวชภัณฑ์ อุปกรณ์อื่นใด ที่เกี่ยวข้องกับการตรวจรักษาอาการเจ็บป่วย ทั้งนี้บริษัทฯจะใช้โดยสุจริตเฉพาะกรณีที่
ก. เพื่อช่วยเหลือ การรักษาที่ถูกต้อง รวดเร็ว
ข. เพื่อพิจารณาจัดงาน เปลี่ยนงานให้เหมาะสมกับสุขภาพ
ค. เพื่อป้องกันการระบาดไปสู่เพื่อนร่วมงาน หรือสาธารณะ
2.2.3 แผนที่ รูปถ่าย หรือ ข้อมูลอื่นเกี่ยวกับที่พักอาศัย เพื่อพิจารณาไปเยี่ยมอาการป่วย เยี่ยมคลอด หรือช่วยเหลือความเดือดร้อนอื่น รวมถึงเพื่อสร้างความสัมพันธ์อันดีกับครอบครัวของพนักงาน
2.2.4 ทะเบียนรถยนต์ รถจักรยานยนต์ เพื่อการอนุญาตเข้า-ออกพื้นที่ของบริษัท หรือ การจัดที่จอดให้ปลอดภัยและเพียงพอ
2.2.5 ข้อมูลส่วนบุคคลอื่นใด ที่บริษัทฯพิจารณาเห็นความจำเป็นในทางการบริหาร หรือตามที่กฏหมายกำหนดให้บริษัทเก็บรวบรวมที่จะมีต่อไปในอนาคต
3. ผู้ควบคุมข้อมูลและผู้มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน
เพื่อให้การเก็บ รักษา การใช้ การควบคุม ตรวจสอบข้อมูลส่วนบุคคลของพนักงาน เป็นไปตามนโยบาย และข้อกำหนดของกฏหมายที่เกี่ยวข้อง บริษัทฯจึงกำหนดหน้าที่และความรับผิดชอบของพนักงานที่เกี่ยวข้องดังต่อไปนี้
3.1 กรรมการผู้จัดการ หรือผู้รับมอบอำนาจ มีหน้าที่ดังต่อไปนี้
3.1.1 แต่งตั้งผู้ควบคุมข้อมูลส่วนบุคคล ผู้ใช้ข้อมูล ประมวลผล การรักษาข้อมูลให้เป็นปัจจุบัน เป็นความลับและสอดคล้องกับกฏหมายที่กำหนด
3.1.2 เป็นผู้ทบทวน / อนุมัติการใช้ การควบคุมข้อมูลส่วนบุคคลในส่วนที่เกินจากอำนาจของผู้ควบคุมข้อมูลส่วนบุคคล หรือการส่งข้อมูลพนักงานไปให้หน่วยงานภายนอก หรือต่างประเทศที่เกี่ยวข้อง
3.1.3 จัดให้มีการทบทวนการเก็บ การรักษา การใช้ข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าการควบคุมข้อมูลส่วนบุคคลของพนักงานเป็นไปตามนโยบายและกฏหมายกำหนด
3.2 ผู้จัดการฝ่ายทรัพยากรมนุษย์ มีหน้าที่ดังต่อไปนี้
3.2.1 เป็นผู้ควบคุมการใช้ข้อมูลส่วนบุคคลของพนักงานทุกคนภายในขอบเขตและตามความจำเป็นในการบริหารงาน และเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนด
3.2.2 จัดทำรายละเอียดเกี่ยวกับข้อมูลของพนักงานที่จะเก็บ รักษาและควบคุมข้อมูลส่วนบุคคลที่จำเป็นต้องใช้งาน พร้อมเหตุผลความจำเป็นในการใช้
3.2.3 กำหนดวิธีและสถานที่เก็บข้อมูลที่ปลอดภัย
ก. การเก็บเอกสาร ตู้เก็บเอกสารต้องมีกุญแจเปิด-ปิด เฉพาะคนที่เกี่ยวข้องเท่านั้น
ข. การเก็บคอมพิวเตอร์ หรือ ระบบสารสนเทศ ต้องมีรหัส (Password) เฉพาะคนที่เก็บรักษาเท่านั้น
ค. การเข้าใช้ข้อมูล ให้เพิ่มเติมได้ แต่จะลบ จะเปลี่ยนแปลง จะนำออกเองโดยพลการไม่ได้ ต้องได้รับอนุมัติจากผู้ควบคุมข้อมูล
3.2.4 จัดประชุมให้ความรู้ ประชาสัมพันธ์ ให้พนักงานเข้าใจเหตุผล ความจำเป็นที่ต้องมีนโยบาย ระเบียบปฏิบัตินี้ รวมถึงให้รู้สิทธิและหน้าที่ตามนโยบายนี้
3.2.5 เป็นผู้พิจารณาอนุมัติการเปลี่ยน การขอใช้ข้อมูลส่วนบุคคลของพนักงานที่จำเป็นในงานของบริษัทฯ หรือที่เป็นประโยชน์ต่อเจ้าของข้อมูล
3.2.6 เป็นผู้เก็บกุญแจสำรอง หรือรับรู้ Password เข้าระบบคอมพิวเตอร์ของผู้เก็บ ผู้ใช้ข้อมูลเพื่อใช้ในกรณีเร่งด่วน ฉุกเฉิน
3.2.7 หากพบเหตุผิดปกติในการเก็บ รักษา การใช้ข้อมูลผิดไปจากนโยบายหรือผิดไปจากที่กฏหมายกำหนด ให้ระงับ ยับยั้งเหตุผิดปกตินั้นทันทีและรายงานให้กรรมการผู้จัดการทราบเพื่อแก้ไข ป้องกันได้ทันเหตุการณ์
3.2.8 ทบทวน ตรวจสอบการเก็บข้อมูลส่วนบุคคลอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของพนักงานได้รับการเก็บรักษา ใช้ตรงตามนโยบาย หรือ กฏหมายกำหนด
3.2.9 จัดทำรายงานข้อมูลส่วนบุคคลตามที่กฏหมายกำหนด พร้อมรับการตรวจสอบและหรือส่งให้หน่วยงานที่กฏหมายกำหนด
3.2.10 บันทึกการใช้ การเก็บรักษาข้อมูลไว้เพื่อการตรวจสอบเพื่อให้มั่นใจว่าปฏิบัติถูกต้องตามนโยบายนี้
3.3 พนักงานที่ทำหน้าที่รับสมัครงาน เป็นผู้เก็บ ประมวลผลข้อมูล บันทึก รักษา และใช้ข้อมูลส่วนบุคคลที่เกี่ยวกับการสมัครงาน
3.3.1 ข้อมูลของผู้สมัครงาน ที่รับเข้าทำงาน ให้เก็บไว้ตลอดเวลาและไม่น้อยกว่า 2 ปีหลังจากที่พ้นสภาพการเป็นพนักงาน หรือจนกว่าคดีจะสิ้นสุด (ถ้ามี)
3.3.2 ข้อมูลของผู้สมัครงานที่ไม่รับเข้าทำงาน ให้เก็บรักษาไม่น้อยกว่า 3 เดือน
3.3.3 วิธีการทำลายข้อมูล ให้ใช้วิธีย่อย หรือวิธีการอื่นที่มั่นใจว่าไม่มีบุคคลอื่นล่วงรู้ในข้อมูลนั้น
3.3.4 เก็บกุญแจ หรือ Password ที่เกี่ยวข้องกับการเก็บข้อมูล
3.3.5 บันทึกการใช้ การเปลี่ยนแปลง เก็บ รักษาข้อมูลไว้เพื่อการตรวจสอบเพื่อมั่นใจว่าปฏิบัติถูกต้องตามนโยบายนี้
3.4 พนักงานที่จ่ายค่าจ้าง เงินเดือน สวัสดิการ
3.4.1 เป็นผู้ประมวลผลข้อมูล ใช้ เก็บ รักษาข้อมูลส่วนบุคคลที่เกี่ยวกับค่าจ้าง สวัสดิการ ประกันสังคม ภาษีเงินได้ของพนักงานแต่ละคน
3.4.2 เป็นผู้มีสิทธิขอเอกสารข้อมูลส่วนบุคคลเพิ่มเติม เพื่อคำนวณภาษีประจำปี หรือเพื่อจัดสวัสดิการเพิ่มเติมระหว่างปี
3.4.3 เป็นผู้ออกหนังสือรับรองค่าจ้าง หรือ ข้อมูลอื่น ที่เจ้าของข้อมูลร้องขอ
3.4.4 เก็บรักษาข้อมูลเกี่ยวกับค่าจ้างไว้ตลอดเวลาตามที่สรรพากรกำหนด
3.4.5 เก็บกุญแจ หรือ Password ที่เกี่ยวข้องกับการเก็บข้อมูล
3.4.6 บันทึกการใช้ การเก็บรักษาข้อมูลไว้เพื่อการตรวจสอบ เพื่อให้มั่นใจว่าปฏิบัติถูกต้องตามนโยบายนี้
3.5 เจ้าหน้าที่ความปลอดภัยในการทำงาน
3.5.1 เก็บข้อมูลการเจ็บป่วยของพนักงานไว้เป็นความลับ
3.5.2 ประสานงานกับแพทย์หรือหน่วยงานที่เกี่ยวข้องเพื่อการรักษาหรือทำตามกฏหมายกำหนด
3.6 ผู้จัดการฝ่ายสารสนเทศ หรือผู้เชี่ยวชาญเฉพาะด้าน ให้คำแนะนำวิธีการเก็บข้อมูลส่วนบุคคลลงในระบบสารสนเทศอย่างเป็นความลับ ให้มั่นใจว่าข้อมูลอยู่ครบ ไม่ถูกลบ ไม่ถูกละเมิด ไม่ถูกทำลาย สามารถตรวจสอบชื่อคนใช้ วัน เวลา ที่มีการใช้ได้ รวมถึงกำหนด กำกับ ตรวจสอบ ให้พนักงานสารสนเทศ (IT) หรือผู้เกี่ยวข้องในการทำหน้าที่ เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ลงในระบบสารสนเทศ อย่างเป็นความลับ
3.7 พนักงานสารสนเทศ ประมวลผลข้อมูล กำหนด Password ในการเก็บ รักษาข้อมูลอย่างเป็นความลับป้องการการละเมิด การทำลาย เพื่อให้มั่นใจว่าปฏิบัติถูกต้องตามนโยบายนี้
4. การเข้าถึง การตรวจสอบ และการแจ้งเพิ่มเติม ข้อมูลส่วนบุคคลของพนักงาน
พนักงานที่เป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทฯ เก็บ รักษาไว้ มีสิทธิและหน้าที่ดังต่อไปนี้
4.1 มีสิทธิขอตรวจสอบการเก็บรักษา การใช้ข้อมูลของตนเองได้ทุกวันในเวลาทำงาน โดยแจ้งความประสงค์ได้ที่ผู้ควบคุมข้อมูลส่วนบุคคล (ผู้จัดการฝ่ายทรัพยากรมนุษย์) เพื่อดำเนินการให้
4.2 มีสิทธิขอรับการรับรอง หรือใช้ข้อมูลส่วนบุคคลเฉพาะของตนเองเท่านั้น โดยแจ้งความประสงค์ต่อผู้ควบคุมข้อมูลส่วนบุคคล (ผู้จัดการฝ่ายทรัพยากรมนุษย์) เพื่อดำเนินการให้
4.3 มีหน้าที่จัดส่งเอกสาร หรือข้อมูลส่วนบุคคลใด ๆ ที่บริษัทร้องขอภายในเวลาที่บริษัทฯ กำหนด
4.4 มีหน้าที่แจ้งข้อมูลส่วนบุคคลใด ๆ ที่มีการเปลี่ยนแปลง เช่น การเปลี่ยนชื่อ นามสกุล การย้ายที่อยู่ สถานภาพการสมรส การมีบุตร ให้บริษัททราบภายใน 7 วัน
4.5 มีหน้าที่แจ้งข้อมูลส่วนบุคคลที่มีนัยสำคัญ เช่น อาการป่วยติดเชื้อ โรคระบาด โรคทางจิตเวช ยาเสพติด การก่อประวัติอาชญากรรม หรือ การทำผิดกฏหมายใด ที่มีผลต่อสุขภาพ
4.6 ความปลอดภัยต่อชีวิต ทรัพย์สิน หรือ ต่อความสงบเรียบร้อยในการทำงานร่วมกัน โดยแจ้งผู้จัดการต้นสังกัด หรือ ผู้จัดการฝ่ายทรัพยากรมนุษย์ทันที เพื่อพิจารณาแก้ไข ป้องกัน ช่วยเหลือได้ทันเหตุการณ์
5. บทลงโทษผู้ฝ่าฝืนระเบียบปฏิบัตินี้และหรือละเมิดสิทธิส่วนบุคคลของพนักงาน
5.1 พนักงานผู้ใดเปิดเผย ใช้ ละเมิด ข้อมูลส่วนบุคคลของพนักงานอื่น หรือนำไปใช้ประโยชน์ส่วนตัว โดยไม่ได้รับอนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคล (ผู้จัดการฝ่ายทรัพยากรมนุษย์) หรือกรรมการผู้จัดการ หรือ จากเจ้าของข้อมูล บริษัทฯ ถือว่าผู้นั้นทุจริตต่อหน้าที่ จงใจทำให้บริษัทเสียหาย ละเมิดสิทธิส่วนบุคคล ทำให้บุคคลอื่นเสียหาย ถือว่าเป็นความผิดร้ายแรง อาจลงโทษถึงขั้นเลิกจ้างโดยไม่จ่ายค่าชดเชยใด ๆ
5.2 พนักงานที่บริษัทฯมอบหมายให้มีหน้าที่ควบคุมข้อมูล เก็บ รักษา ประมวลผล ใช้ข้อมูล ถือเป็นพนักงานเจ้าหน้าที่ หากกระทำความผิดเสียเอง จะถูกพิจารณาลงโทษในอัตราสูงกว่าพนักงานทั่วไป
5.3 พนักงานที่ไม่นำส่งข้อมูลส่วนบุคคลที่บริษัทฯร้องขอ หรือ ใช้ข้อมูลเท็จ ถือว่าเป็นการทุจริตต่อหน้าที่ จงใจทำให้บริษัทฯเสียหาย บริษัทฯจะลงโทษทางวินัยตามที่เห็นสมควร
5.4 พนักงานผู้ใด ละเมิด ไม่ปฏิบัติตามนโยบาย ระเบียบปฏิบัตินี้ หากเกิดความเสียหายใด ๆ พนักงานผู้นั้นต้องชดใช้ความเสียหายด้วยตนเองเต็มจำนวนตามที่กฏหมายกำหนด
บริษัทฯ จึงขอให้พนักงานทุกคนศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติข้างต้นอย่างเคร่งครัด เพื่อใช้ข้อมูลส่วนบุคคลของพนักงานมีการเก็บ รักษา ใช้อย่างปลอดภัยตลอดเวลาที่ทำงานร่วมกันตลอดไป
ให้มีผลตั้งแต่วันที่ 1 กรกฎาคม 2565 เป็นต้นไป
ประกาศ ณ วันที่ 14 ธันวาคม 2565
( นายทาดาชิ เซซากิ )
กรรมการผู้จัดการ