นโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย)

บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย) ในฐานะสถาบันเพื่อการศึกษา ส่งเสริม พัฒนาความรู้ การประกันชีวิต และการประกันวินาศภัย ทั้งในรูปแบบออนไลน์และออฟไลน์ ซึ่งอาจจัดขึ้น ณ สถานที่ฝึกอบรมของบริษัท หรือ สถานที่ของผู้ว่าจ้างการฝึกอบรม ขอประกาศแจ้งให้ท่านทราบถึง นโยบายคุ้มครองข้อมูลส่วนบุคคล ซึ่งสถาบันให้ความสำคัญและคำนึงถึงความปลอดภัยในการเก็บรวบรวม ใช้ เปิดเผย และรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ฝึกอบรม รวมถึงข้อมูลส่วนบุคคลภายใต้สัญญาว่าจ้างหรือสัญญาให้บริการระหว่างสถาบันกับผู้ว่าจ้าง ผู้ให้บริการ หรือคู่ค้าและพันธมิตรทางธุรกิจ

บริษัทได้ระบุสาระสำคัญในการเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล ระยะเวลาในการเก็บ การส่งหรือโอนข้อมูลออกไป มาตรการรักษาความปลอดภัยในข้อมูล ตลอดจนสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหากท่านเจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามประกาศแจ้งนโยบายฉบับนี้ ท่านสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ตามข้อมูลการติดต่อท้ายประกาศฉบับนี้

คำจำกัดความ

“สถาบัน” หมายถึง บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย)

กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎกระทรวง ประกาศ ระเบียบ แนวปฏิบัติ หรือข้อแนะนำที่ออกตามความแห่งพระราชบัญญัติดังกล่าว

ข้อมูลส่วนบุคคล” หรือ “Personal Data” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ-นามสกุล หมายเลขบัตรประจำตัวประชาชน หมายเลขบัตรเครดิต เลขบัญชีธนาคาร อีเมล หมายเลขโทรศัพท์ วันเกิดและสถานที่เกิด รูปภาพใบหน้า น้ำหนัก ส่วนสูง เป็นต้น

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน” หรือ “Sensitive Data” หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลชีวมิติ(Biometric) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะที่จะทำให้เกิดการเลือกปฏิบัติหรือมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล ในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดในนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้”

ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “Data Controller” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล” หรือ “Data Processor” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (ตัวอย่างของผู้ประมวลผลข้อมูลส่วนบุคคล เช่น คู่สัญญาที่รับจ้างจัดทำระบบการฝึกอบรมแบบออนไลน์หรือ E-Learning วิทยากร รับจ้างจัดทำบัญชี ตรวจสอบบัญชี ทำการตลาด ทำเว็บไซต์ จัดทำระบบ IT และเครื่องมือบริหารจัดการข้อมูลทาง IT สำนักงานทนายความ ที่ปรึกษากฎหมาย เป็นต้น)

กิจกรรมการประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการหรือชุดการดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยวิธีการส่งต่อ เผยแพร่ หรือกระทำการอื่นใดซึ่งทำให้เกิดความพร้อมการใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย หรือการเข้าถึงเข้าดูข้อมูล ซึ่งมีความเกี่ยวข้องกับข้อมูลส่วนบุคคล

“ผู้เข้าอบรม” หมายถึง บุคคลธรรมดาซึ่งเข้ารับการฝึกอบรมหรือสัมมนา ไม่ว่าจะในรูปแบบออนไลน์หรือ ออฟไลน์ หรือ E-learning หรือ เข้าอบรมแบบ Face to face และไม่ว่าจะในสถานที่ที่สถาบันจัดอบรมหรือ ในสถานที่ที่ผู้ว่าจ้างจัดไว้

“บริษัทผู้ว่าจ้างฝึกอบรม”  หมายถึง นิติบุคคลใดๆที่ว่าจ้างให้สถาบัน ดำเนินการจัดฝึกอบรม สัมมนา ให้กับบุคลากรของนิติบุคคลนั้นๆ ไม่ว่าจะในรูปแบบออนไลน์หรือ ออฟไลน์ หรือ E-learning หรือ เข้าอบรมแบบ Face to face และไม่ว่าจะในสถานที่ที่สถาบันจัดอบรมหรือ ในสถานที่ที่ผู้ว่าจ้างจัดไว้

คู่ค้า” หรือ “ผู้ให้บริการ” หรือ “Vendor” หรือ “Service Provider” หมายถึง คู่สัญญาของสถาบันซึ่งได้ทำนิติกรรมสัญญาต่อกัน ในลักษณะที่คู่ค้า หรือผู้ให้บริการรับจ้างดำเนินการหรือให้บริการอย่างหนึ่งอย่างใดต่อสถาบัน (อาจรวมถึงการพัฒนาระบบอิเล็กทรอนิกส์ ซอฟแวร์ แอปพลิเคชั่นเพื่อรองรับการบริหารจัดการข้อมูล การฝึกอบรมในรูปแบบต่างๆ การขายสินค้า/ผลิตภัณฑ์ ซึ่งอาจมีการให้บริการบำรุงรักษาหรือดูแลระบบหรือสินค้าหลังการขาย) โดยการปฏิบัติตามสัญญามีกระบวนการที่คู่สัญญาต้องเข้าถึงข้อมูลส่วนบุคคล รับ ส่ง หรือทั้งรับและส่ง ซึ่งข้อมูลส่วนบุคคลให้แก่กัน

คปภ.” หมายถึง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

พันธมิตรทางธุรกิจ” หมายถึง บุคคลหรือนิติบุคคลที่มีความสัมพันธ์กับสถาบันในลักษณะคู่สัญญาหรือที่มีข้อตกลงกับสถาบันเกี่ยวกับความร่วมมือหรือการพึ่งพาอาศัยในการทำธุรกิจซึ่งกันและกันกับสถาบัน

บุคคลที่สาม” หมายถึง บุคคลหรือนิติบุคคลภายนอก ซึ่งสถาบันไม่มีสัญญาหรือความผูกพันทางกฎหมายโดยตรง แต่เป็นบุคคลหรือนิติบุคคลฝ่ายที่คู่ค้า ผู้ให้บริการ พันธมิตรทางธุรกิจ ได้ว่าจ้างช่วง หรือได้ร่วมกันดำเนินการอย่างหนึ่งอย่างใด เพื่อรองรับการปฏิบัติตามสัญญา ให้บริการ หรือดำเนินกิจกรรมการประมวลผลใด ๆ ที่เกี่ยวข้องกับสถาบัน

“ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง” หมายถึง เมื่อมีกรณีที่สถาบัน ปฏิบัติหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลผู้ว่าจ้าง  และสถาบันได้จัดจ้างหรือใช้บริการ ผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่น เพื่อประโยชน์ในการให้บริการแก่ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ว่าจ้างสถาบัน ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง อาจเป็นฝ่ายที่สถาบันเป็นผู้ว่าจ้าง หรือ เป็นพันธมิตรทางธุรกิจของสถาบันก็ได้ 

 

  1. ประเภทข้อมูลส่วนบุคคลตามมาตรา 24 และวัตถุประสงค์ในการเก็บรวบรวม

ตาราง 1

ข้อมูลส่วนบุคคล

วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูลส่วนบุคคล

ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล

ข้อมูลชื่อ-นามสกุล

เพื่อสมัครเข้าฝึกอบรม/สอบ เพื่อระบุตัวตนเมื่อรับบริการ

มาตรา 24 (3) และ (6)

หมายเลขบัตรประจำตัวประชาชน

เพื่อสมัครเข้าฝึกอบรม/สอบ เพื่อระบุตัวตนเมื่อรับบริการ

มาตรา 24 (3) และ (6)

ที่อยู่ (บ้านเลขที่ ถนน เขต แขวง จังหวัด รหัสไปรษณีย์)

เพื่อติดต่อกรณีส่งเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ

มาตรา 24 (3)

หมายเลขโทรศัพท์

เพื่อติดต่อ แจ้งข้อมูลเกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (5)

อีเมล์

เพื่อติดต่อ แจ้งข้อมูล หรือส่งไฟล์เอกสาร เกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (5)

Line Application Account ID

เพื่อติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (5)

Facebook/Messenger Account (Social Network Service)

เพื่อติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (5)

ข้อมูลบทสนทนาผ่าน Social Network Services

เพื่อเป็นหลักฐานในการติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (5)

User name / Password ในการเข้าระบบการฝึกอบรมของสถาบัน

เพื่อใช้อนุญาตให้เข้าอบรม/สอบ ตามการสมัครใช้บริการ และตรวจทาน/ตรวจสอบการฝึกอบรม/สอบของเจ้าของข้อมูลส่วนบุคคล

มาตรา 24(3) และ (5)

ข้อมูลสถานที่ทำงาน (บริษัทประกันภัยที่เป็นผู้ว่าจ้าง)

เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ และเพื่อติดต่อกรณีส่งเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ

มาตรา 24(3) และ (6)

หมายเลขใบอนุญาตนายหน้า/ตัวแทนประกันภัย

เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ

มาตรา 24(3) และ (6)

สำเนาบัตรประจำตัวประชาชน

เพื่อยืนยันและระบุตัวตนผู้สมัครอบรม/สอบ

มาตรา 24(3) และ (6)

เอกสารราชการกรณีเปลี่ยนแปลงชื่อ-นามสกุล

เพื่อยืนยันและระบุตัวตนผู้สมัครอบรม/สอบ

มาตรา 24(3) และ (6)

วุฒิการศึกษาและใบรับรองวุฒิการศึกษา

เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ

มาตรา 24(3) และ (6)

สำเนาใบอนุญาตที่เกี่ยวข้องกับการดำเนินการทางวิชาชีพด้านประกันภัย

เพื่อยืนยันคุณสมบัติและระบุตัวตน ผู้สมัครอบรม/สอบ

มาตรา 24(3) และ (6)

ข้อมูลเกี่ยวกับธุรกรรมการชำระเงินค่าบริการและ/หรือค่าธรรมเนียม

เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ

มาตรา 24(3)

ข้อมูลบัญชีธนาคารที่ใช้ชำระค่าบริการและ/หรือค่าธรรมเนียม

เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ

มาตรา 24(3)

ข้อมูลหมายเลขบัตรเครดิตที่ใช้ชำระค่าบริการและ/หรือค่าธรรมเนียม

เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ

มาตรา 24(3)

หลักฐานการชำระค่าบริการและ/หรือค่าธรรมเนียม

เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ

มาตรา 24(3)

ข้อมูลประวัติการฝึกอบรมตามเงื่อนไขที่ คปภ.กำหนด

เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ ตามที่หน่วยงานกำกับดูแลกำหนด

มาตรา 24(3) และ (6)

ข้อมูลประวัติการฝึกอบรมที่เคยเข้าอบรมกับสถาบัน

เพื่อใช้อ้างอิงและแสดงหลักฐานกรณีมีข้อกำหนดในการเก็บระยะเวลาการฝึกอบรมในหลักสูตรต่างๆ

มาตรา 24(5)

ภาพถ่าย(ผ่านกล้องจากอุปกรณ์ Smart devices หรือ คอมพิวเตอร์/โน็ตบุ๊ค)

เพื่อใช้เป็นหลักฐานในการยืนยันการเข้าอบรม/สอบ

มาตรา 24(3) และ (5)

ภาพถ่ายหรือภาพสแกนบัตรประจำตัวประชาชน

เพื่อใช้เป็นหลักฐานในการยืนยันตัวตนของผู้สมัครอบรม/สอบ

มาตรา 24(3)

ภาพถ่ายหรือภาพสแกนจากบัตรประจำตัวพนักงาน

เพื่อใช้เป็นหลักฐานในการยืนยันตัวตนของผู้สมัครอบรม/สอบ

มาตรา 24(3)

ภาพถ่ายขณะฝึกอบรมหรือสัมมนา

เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ

เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ

มาตรา 24(3) และ (5)

(มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์)

ภาพเคลื่อนไหว(คลิปวิดีโอ) ขณะฝึกอบรมหรือสัมมนา

เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ

เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ

มาตรา 24(3) และ (5)

(มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์)

ไฟล์เสียงที่บันทึกขณะสนทนากับสถาบันทางโทรศัพท์

เพื่อเป็นหลักฐานในการตอบข้อซักถามหรือยืนยัน แก้ไข เปลี่ยนแปลงข้อมูลที่มีผลต่อการอบรมหรือสอบ ของเจ้าของข้อมูลส่วนบุคคล

มาตรา 24(3) และ (5)

 

ไฟล์เสียงที่บันทึกขณะฝึกอบรมหรือสัมมนา

เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ

เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ

มาตรา 24(3) และ (5)

(มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์)

สำเนาใบรับรองหรือใบรับรองอิเล็กทรอนิกส์การฝึกอบรมที่จัดหรือดำเนินการโดยสถาบัน

เพื่อเป็นหลักฐานในการรับรองว่า เจ้าของข้อมูลส่วนบุคคล ได้เข้าอบรมหรือผ่านการสอบแล้ว

มาตรา 24(3) และ (6)

 

ข้อมูลทางเทคนิคในการระบุตัวตน อาทิ หมายเลขระบุตำแหน่งคอมพิวเตอร์ (IP Address)

เพื่อใช้บันทึกประกอบการเก็บพฤติกรรมการเข้าใช้เวปไซต์หรือระบบสารสนเทศ เพื่อนำไปพัฒนาการให้บริการหรือจัดทำเวปไซต์หรือระบบสารสนเทศของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 24 (5)

(กรณีที่พิจารณาว่าเป็นข้อมูลที่มีความละเอียดอ่อน ได้มีการขอความยินยอมขณะเก็บรวบรวมข้อมูลไว้)

ผลการสอบ ผลการประเมิน หรือผลลัพธ์ใดๆที่ได้รับจากการฝึกอบรมของผู้เข้าอบรม

เพื่อเป็นหลักฐานในการรับรองว่า เจ้าของข้อมูลส่วนบุคคล ได้เข้าอบรมหรือผ่านการสอบแล้ว และเพื่อจัดส่งให้แก่หน่วยงานกำกับดูแล (คปภ.) กรณีที่เป็นการสอบเพื่อต่อใบอนุญาตประกอบวิชาชีพด้านประกันภัย

มาตรา 24(3) และ (6)

 

ข้อมูลการลงทะเบียนสมัครเข้าอบรมกับสถาบัน

เพื่อเป็นข้อมูลในการเข้าใช้บริการของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 24(3)

ภาพที่เก็บบันทึกได้จากกล้องวงจรปิดบริเวณอาคารสำนักงานของสถาบันและสถานที่จัดฝึกอบรมของสถาบัน

เพื่อรักษาความปลอดภัยในสถานที่ของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 24(2)

 

ภาพถ่ายหรือภาพเคลื่อนไหวของบุคคลที่บันทึกได้ในกิจกรรมหรือบูธหรือการจัดงานอีเว้นท์ต่าง ๆ ของสถาบัน

เพื่อประชาสัมพันธ์และเสนอบริการของบริษัทต่อสาธารณะและกลุ่มลูกค้า

มาตรา 24 (5)

หนังสือรับรองการจดทะเบียนบริษัท กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล

เพื่อประกอบการพิจารณาทำสัญญาทางธุรกิจ สัญญาจ้าง/รับจ้าง และเพื่อเป็นหลักฐานในการจัดทำสัญญา

มาตรา 24(3)

บัญชีผู้ถือหุ้น (บอจ.5) กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล

เพื่อประกอบการพิจารณาทำสัญญาหรือข้อตกลงทางธุรกิจ สัญญาจ้าง/รับจ้าง และเพื่อเป็นหลักฐานในการจัดทำสัญญาหรือข้อตกลงทางธุรกิจ

มาตรา 24(3)

สำเนาบัตรประจำตัวประชาชนกรรมการผู้มีอำนาจลงนาม กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล

เป็นเอกสารสำคัญประกอบการลงนามในสัญญาหรือข้อตกลงทางธุรกิจกับผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 24(3)

สำเนาบัตรประจำตัวประชาชนผู้รับมอบอำนาจ กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล

เป็นเอกสารสำคัญประกอบการลงนามในสัญญาหรือข้อตกลงทางธุรกิจกับผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 24(3)

 

  1. ประเภทข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 และวัตถุประสงค์ในการเก็บรวบรวม

ตาราง 2

ข้อมูลส่วนบุคคล

วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูลส่วนบุคคล

ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล

ข้อมูลพฤติกรรมการใช้เว็บไซต์โปรแกรมอิเล็กทรอนิกส์อื่นๆ  (เช่น โปรแกรมคุกกี้ โปรแกรมพิกเซล)

เพื่อพัฒนาการให้บริการและเก็บข้อมูลเพื่อออกแบบและพัฒนาเวปไซต์ ระบบสารสนเทศหรือสื่อที่เป็นช่องทางการติดต่อ เข้าถึง ระหว่างเจ้าของข้อมูลกับบุคคลภายนอก หรือลูกค้าหรือผู้สนใจเข้าเยี่ยมชมข้อมูลของสถาบัน

มีการขอความยินยอมข้อมูลนี้ โดยชัดแจ้ง ขณะเก็บรวบรวมข้อมูล)

ข้อมูลชีวมิติ:  Biometric (Face Recognition, Finger print scan)

เพื่อยืนยันตัวตนของเจ้าของข้อมูลสำหรับการเข้าระบบการอบรมหรือการสอบแบบ Online หรือ E-learning

มาตรา 26(4)

มีการขอความยินยอมข้อมูลนี้ โดยชัดแจ้ง ขณะเก็บรวบรวมข้อมูล)

ข้อมูลการร้องเรียนเกี่ยวกับปัญหาการให้บริการ และข้อเท็จจริงที่โต้แย้ง (กรณีมีการระบุพฤติกรรมหรือข้อมูลที่มีความละเอียดอ่อน)

เพื่อรักษาผลประโยชน์ของเจ้าของข้อมูลส่วนบุคคล และเพื่อปรับปรุงพัฒนาระบบหรือการให้บริการของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 26(4)

 

  1. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

ตาราง 3

ประเภทข้อมูลส่วนบุคคล

ระยะเวลาในการเก็บรักษา

ข้อมูลผู้เข้าอบรม (ข้อมูลการสมัครเข้าอบรม ข้อมูลการลงทะเบียนเข้าอบรม ข้อมูลผลการสอบ/ประเมิน)

5 ปี (หลักสูตรวิชาชีพประกันวินาศภัย (NL) เก็บข้อมูลตลอดไป)

ข้อมูลผลการตรวจเชื้อโควิด หรือ ใบรับรองผลการตรวจเชื้อโควิด

 3 เดือน

ข้อมูลชีวมิติ

1 ปี

ข้อมูล เอกสารหลักฐาน ที่เป็นข้อมูลส่วนบุคคลที่ใช้ประกอบนิติกรรมสัญญาของคู่ค้า ผู้ให้บริการ พันธมิตรทางธุรกิจ

10 ปี

ข้อมูลพฤติกรรมการใช้เว็บไซต์ (ด้วยโปรแกรมคุกกี้)

3 เดือน

ข้อมูลการรับชำระเงิน

5 ปี

ข้อมูลภาพที่เก็บบันทึกได้จากกล้องวงจรปิด

30 วัน

ข้อมูลการร้องเรียนเกี่ยวกับปัญหาการให้บริการ และข้อเท็จจริงที่โต้แย้ง

1 ปีนับแต่วันที่เรื่องดำเนินการสอบสวนข้อเท็จจริง เสร็จสิ้น

 

  1. หลักการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (การขอความยินยอมสำหรับวัตถุประสงค์ที่ไม่เข้าข้อยกเว้นตามกฎหมาย)

            (1) การขอความยินยอมการเก็บรวบรวมข้อมูลที่ไม่เข้าข้อยกเว้นตามกฎหมาย

            สถาบันมีการใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้เพื่อวัตถุประสงค์อื่นที่ไม่เข้าข้อยกเว้นตามกฎหมายในมาตรา 24 และมาตรา 26 ได้แก่

                   (1.1) วัตถุประสงค์เพื่อนำส่งข่าวสาร แนะนำหลักสูตรการฝึกอบรมต่างๆ เสนอโปรโมชั่น รายการส่งเสริมการขาย แคมเปญใหม่ ๆ และประชาสัมพันธ์คอร์สการอบรมของสถาบันสำหรับผู้ที่เคยเข้าอบรมและลูกค้าบริษัทผู้ว่าจ้างฝึกอบรม            (สำหรับข้อมูลส่วนบุคคลตามมาตรา 24)

                   (1.2) วัตถุประสงค์เพื่อให้พันธมิตรทางธุรกิจหรือคู่ค้า เสนอหลักสูตรการฝึกอบรมต่างๆและโปรโมชั่น รายการส่งเสริมการขายและแคมเปญใหม่ ๆ ที่ร่วมกับสถาบันแก่ผู้ที่เคยเข้าอบรมและลูกค้าบริษัทผู้ว่าจ้างฝึกอบรม (สำหรับข้อมูลส่วนบุคคลตามมาตรา 24)

                   (1.3) วัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายต่อสุขภาพของผู้เข้าอบรม (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)

                   (1.4) วัตถุประสงค์เพื่อบันทึกเป็นข้อมูลประกอบการฝึกอบรม กรณีมีการเลื่อนหรือเปลี่ยนแปลงกำหนดการในการฝึกอบรมของผู้อบรม (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)

                   (1.5) วัตถุประสงค์เพื่อเป็นหลักฐานประกอบการขอเลื่อนการเข้าสอบตามหลักสูตรต่างๆของสถาบัน (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)

                   (1.6) เพื่อวัตถุประสงค์ในการใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ

                   (1.7) (กรณีข้อมูลชีวมิติ) เพื่อยืนยันตัวตนของเจ้าของข้อมูลสำหรับการเข้าระบบการอบรมหรือการสอบแบบ Online หรือ E-learning

            (2) การขอความยินยอมกรณีข้อมูลที่เก็บไว้ก่อนกฎหมายบังคับใช้

            สถาบันได้แจ้งข้อมูลการบังคับใช้กฎหมาย และวัตถุประสงค์ที่สถาบันได้เก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่เคยเข้าอบรมและผู้เข้าอบรมในปัจจุบันตลอดจนคู่ค้า ผู้ให้บริการและพันธมิตรทางธุรกิจบนหน้าเว็บไซต์ของสถาบัน รวมถึงช่องทางบริการเครือข่ายสังคมของสถาบัน (Social Network Service) (ถ้ามี) เพื่อให้ทราบถึงการใช้สิทธิ ดังต่อไปนี้ (ข้อความที่แจ้งจะขึ้นอยู่กับความเหมาะสมและข้อจำกัดของช่องทางในการแจ้ง)

  • ข้อมูลส่วนบุคคลของผู้ที่เคยเข้าอบรมและผู้เข้าอบรมในปัจจุบันตลอดจนคู่ค้า ผู้ให้บริการและพันธมิตรทางธุรกิจ ที่สถาบันได้เก็บรวบรวมก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้ สถาบันจะเก็บรวบรวม ใช้ เปิดเผย ตามวัตถุประสงค์เดิม(เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้)
  • หากเจ้าของข้อมูลส่วนบุคคล ประสงค์จะใช้สิทธิในการเพิกถอน ระงับหรือคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล สามารถติดต่อหรือแจ้งเรื่องต่อสถาบัน ผ่านช่องทางที่ระบุไว้ในข้อความส่วนท้ายของประกาศนโยบายนี้ ที่ หรือช่องทางบริการเครือข่ายสังคมของสถาบัน (Social Network Service) (ถ้ามี)

    

  1. การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล

            สถาบันมีโอกาสได้รับข้อมูลส่วนบุคคลจากแหล่งอื่นซึ่งมิใช่ตัวเจ้าของข้อมูลส่วนบุคคลนั้น ในกรณีที่สถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล โดยได้รับมอบหมายจากบริษัทผู้ว่าจ้าง(ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล) ให้จัดฝึกอบรมให้แก่บุคลากร โดยจะได้รับข้อมูลต่อไปนี้              

 

     ตาราง 4

ประเภทข้อมูลส่วนบุคคล

ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูจากแหล่งอื่นตามมาตรา 25

หมายเหตุ

ข้อมูลคำนำหน้าชื่อและชื่อ-นามสกุล (ผู้เข้ารับการอบรม)

มาตรา 24 (3)

มาตรา 25 กำหนดเงื่อนไขในการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นไว้ 2 ข้อ ได้แก่

(1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกิน30 (สามสิบวัน) นับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล

ส่วนบุคคล

(2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26

หมายเลขบัตรประจำตัวประชาชน

มาตรา 24 (3) และ (6)

เอกสารราชการกรณีเปลี่ยนชื่อ-นามสกุล

มาตรา 24 (3) และ (6)

ที่อยู่ (บ้านเลขที่ ถนน เขต แขวง จังหวัด รหัสไปรษณีย์)

มาตรา 24 (3) และ (5)

หมายเลขโทรศัพท์

มาตรา 24 (3) และ (5)

อีเมล์

มาตรา 24 (3) และ (5)

Line Application Account ID

มาตรา 24 (3) และ (5)

หมายเลขประจำตัวพนักงาน

มาตรา 24 (3) และ (5)

User name / Password ในการเข้าระบบการฝึกอบรมของสถาบัน

มาตรา 24 (3) และ (5)

ข้อมูลสถานที่ทำงาน (บริษัทประกันภัยที่เป็นผู้ว่าจ้าง) และส่วนงาน/แผนก

มาตรา 24 (3) และ (6)

หมายเลขใบอนุญาตนายหน้า/ตัวแทนประกันภัย

มาตรา 24 (3) และ (6)

สำเนาบัตรประจำตัวประชาชน

มาตรา 24 (3) และ (6)

สำเนาใบอนุญาตที่เกี่ยวข้องกับการดำเนินการทางวิชาชีพด้านประกันภัย

มาตรา 24 (3) และ (6)

วันเดือนปีเกิด

มาตรา 24 (3) และ (6)

วุฒิการศึกษา และเอกสารรับรองวุฒิการศึกษา

มาตรา 24 (3) และ (6)

           

หมายเหตุ   หากมีกรณีที่สถาบันได้รับข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยไม่เข้าข้อยกเว้นตามกฎหมายในมาตรา 24 และ มาตรา 26 สถาบันจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 (สามสิบ) วันนับจากวันที่ได้รับข้อมูลนั้น

  1. การประมวลผลข้อมูลส่วนบุคคล

6.1 กิจกรรมการประมวลผลข้อมูลส่วนบุคคล

สถาบันมีการดำเนินการประมวลผลข้อมูลเองและมีการส่งข้อมูลให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการ ดังต่อไปนี้

ตาราง 5

กิจกรรมการประมวลผล

ผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล

(Service Provider/Vendor/Outsource)

การตรวจสอบข้อมูลหมายเลขบัตรประจำตัวประชาชนของผู้เข้าอบรม

สถาบัน

การตรวจสอบคุณสมบัติของผู้สมัครเข้าอบรมในหลักสูตรต่างๆ

สถาบัน

การตรวจสอบเพื่อระบุตัวตนผู้เข้าอบรม ในขั้นตอนการลงทะเบียนเข้าอบรม

สถาบัน

การคำนวณหรือการประเมิน ระยะเวลาในการอบรมตามเกณฑ์ และผลการสอบ

สถาบัน

การรวบรวมข้อมูลผู้เข้ารับการอบรมในแต่ละหลักสูตร

สถาบัน, วิทยากร

การแจ้งข้อมูลเกี่ยวกับวันและเวลาการอบรมในแต่ละหลักสูตร

สถาบัน

การดำเนินการจัดอบรมให้แก่ผู้เข้าอบรม ซึ่งมีการสื่อสารผ่านช่องทางออนไลน์ หรือแบบ Onsite หรือ E-learning

สถาบัน,  ผู้ให้บริการภายนอก

การส่งข่าวสาร แคมเปญ แจ้งการจัดฝึกอบรมเพื่อขอรับ ต่อ และสอบใบอนุญาต หรือ ข้อเสนอทางการตลาดเกี่ยวกับการจัดอบรมในหลักสูตรอื่นๆให้แก่ผู้เข้าอบรม หรือผู้ที่เคยเข้าอบรม  

สถาบัน

การบันทึกภาพและเสียงในการฝึกอบรม

สถาบัน

การแจ้งหรือประกาศข้อมูลผู้มีสิทธิเข้าอบรมในหลักสูตรต่างๆ

สถาบัน

การแจ้งหรือประกาศผลผู้ผ่านการสอบหรือผ่านการฝึกอบรม

สถาบัน

จัดเก็บและใช้ข้อมูลส่วนบุคคลของผู้ฝึกอบรม เพื่อวิเคราะห์ความสนใจของผู้ฝึกอบรม เพื่อปรับปรุงหลักสูตรหรือการฝึกอบรมให้ตรงกับความสนใจของผู้ฝึกอบรมมากขึ้น

สถาบัน

การใช้ข้อมูลเพื่อจัดทำสถิติสำหรับบริหารความเสี่ยงภายในองค์กร

สถาบัน

การใช้ข้อมูลลูกค้าเพื่อการตรวจสอบภายใน

ผู้ตรวจสอบภายนอก (บริษัทผู้ตรวจสอบบัญชี)

การเก็บข้อมูลส่วนบุคคลของลูกค้า ในระบบอิเล็กทรอนิกส์ต่าง ๆ เพื่อรองรับการปฏิบัติงานภายใน

สถาบัน

การเก็บรวบรวมข้อมูลการใช้เว็บไซต์ และบริการเครือข่ายสังคมออนไลน์ (Social Network Service) เช่น Line Application

ผู้ให้บริการ

การเก็บบันทึกข้อมูลเพื่อความปลอดภัย เช่น การบันทึกภาพจากกล้องวงจรปิด (CCTV)

ผู้ให้บริการ

 

6.2 การเปิดเผย โอน(ส่ง) ข้อมูลออกไปภายนอกองค์กร

จากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามตาราง 5 และเพื่อประโยชน์ในการบริหารกิจการของสถาบัน ทำให้สถาบันจำเป็นต้องส่งข้อมูลส่วนบุคคลของผู้เข้าอบรมให้แก่บุคคลหรือนิติบุคคลภายนอก ได้แก่

– หน่วยงานของรัฐ (คปภ.) กรณีที่สถาบันมีหน้าที่เปิดเผยหรือส่งข้อมูลผู้สอบผ่านหลักสูตรตามกฎหมาย เช่น คปภ.

– บริษัทผู้ว่าจ้าง ในกรณีที่สถาบันได้รับการว่าจ้างให้ฝึกอบรมหลักสูตรต่างๆให้แก่บุคลากรของบริษัทผู้ว่าจ้าง

– ผู้ให้บริการระบบ E-learning กรณีที่มีการอบรมแบบ E-learning ซึ่งสถาบันได้เช่าใช้ หรือ ว่าจ้างให้ผู้ให้บริการระบบดังกล่าวบริหารจัดการ การเรียนในระบบ E-learning สำหรับหลักสูตรประกันภัย

– ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง ที่สถาบันได้ว่าจ้างหรือเป็นพันธมิตรร่วมกัน เพื่อประโยชน์ในการให้บริการฝึกอบรม ทดสอบ ให้แก่ลูกค้าหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ว่าจ้างสถาบัน

– ผู้ให้บริการที่ให้บริการด้านการพัฒนาระบบอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ ซึ่งเป็นระบบงานภายในซึ่งเกี่ยวข้องกับการเก็บบันทึกและการบริหารจัดการข้อมูลของผู้เข้าอบรม (ถ้ามี)

– คู่ค้า/Vendor/Outsource Agent/พันธมิตรทางธุรกิจ ที่มีสัญญาหรือข้อตกลงระหว่างกันในการว่าจ้างให้ดำเนินการอย่างหนึ่งอย่างใดที่สถาบันจำเป็นต้องส่งข้อมูลส่วนบุคคลของผู้เข้าอบรม เพื่อให้คู่ค้า/Vendor/Outsource Agent/พันธมิตรทางธุรกิจดำเนินการตามหน้าที่หรือพันธกิจตามสัญญาหรือข้อตกลงนั้น

– วิทยากร

– ผู้ตรวจสอบบัญชี ที่ปรึกษา สำนักงานทนายความ ผู้ตรวจสอบภายใน ซึ่งต้องใช้ข้อมูลส่วนบุคคลในการปฏิบัติงานให้แก่สถาบัน 

6.3 การส่ง (โอน) ข้อมูลออกไปยังต่างประเทศ

            สถาบันมีการนำส่งข้อมูลส่วนบุคคลของผู้เข้าอบรม คู่ค้า หรือผู้ให้บริการไปยังต่างประเทศ  ANZIIF (AUSTRALIA) หลักสูตรประกันวินาศภัย

  1. ฐานะของสถาบันตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

            สถาบันเป็นผู้ควบคุมข้อมูลส่วนบุคคล ในฐานะที่สถาบัน เป็นผู้จัดหลักสูตรการฝึกอบรมให้แก่บุคคลทั่วไป หรือผู้ที่มีคุณสมบัติในการสอบเพื่อได้รับอนุญาต หรือต่ออายุการได้รับอนุญาตเป็นนายหน้า/ตัวแทนประกันภัย  สถาบันมีการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคลของผู้เข้าอบรม เพื่อประโยชน์ทางธุรกิจและเพื่อการดำเนินการทางการตลาดของสถาบัน และประโยชน์ในการแจ้งข้อเสนอหรือโฆษณาบริการฝึกอบรมที่สถาบันจัดทำขึ้นร่วมกันพันธมิตรทางธุรกิจหรือคู่ค้า  

            สถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่สถาบันได้รับการว่าจ้าง จากบริษัทผู้ว่าจ้าง ให้ดำเนินการจัดฝึกอบรมให้พนักงานหรือบุคลากรของบริษัทผู้ว่าจ้าง สถาบันทำหน้าที่เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามขอบเขตที่ได้รับมอบหมายภายใต้สัญญาว่าจ้างหรือตามคำสั่งของบริษัทผู้ว่าจ้างซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล  

  1. หลักการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลกับพันธมิตรทางธุรกิจหรือคู่ค้า

            8.1 การปฏิบัติกรณีสถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

 สถาบันมีการกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลของตนเอง และปฏิบัติตามนโยบายที่

เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (รวมถึงมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติต่าง ๆ ที่เกี่ยวข้อง) และสถาบันคาดหวังว่าผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นคู่สัญญากับสถาบันจะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สถาบันปฏิบัติ ทั้งนี้ สถาบันได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลของสถาบัน และมีการจัดทำบันทึกรายการกิจกรรมการประมวลผลตามหลักเกณฑ์ที่กฎหมายกำหนด

8.2 การกำกับดูแลพันธมิตรทางธุรกิจ/คู่ค้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลให้แก่สถาบัน

สถาบันได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้พันธมิตรทางธุรกิจ/คู่ค้า

ผู้ให้บริการ ทราบถึงมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน และสถาบันจัดให้ผู้ประมวลผลข้อมูลส่วนบุคคลที่สถาบันมอบหมายให้ดำเนินการ ลงนามในข้อตกลงผู้ประมวลผล (Data Processing Agreement)  เพื่อกำหนดความรับผิดชอบ และมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้ดำเนินการประมวลผลตามขอบเขตแห่งสัญญาหรือข้อตกลงในการว่าจ้าง ซึ่งสถาบันคาดหวังว่า พันธมิตรทางธุรกิจ/คู่ค้าจะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สถาบันปฏิบัติ

  1. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

สถาบันจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ดังต่อไปนี้

  1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย กล่าวคือ มีการกำหนดอำนาจในการเข้าถึงข้อมูลส่วนบุคคลในระบบต่าง ๆ โดยพิจารณาถึงความจำเป็นในการใช้ข้อมูลของแต่ละส่วนงาน
  2. การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล สถาบันมีการกำหนดระดับ/ชั้นในการเข้าถึงข้อมูลส่วนบุคคล (การกำหนดชั้นความลับในการเข้าถึงเพื่อดู แก้ไข และเปลี่ยนแปลงข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์)
  3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว กล่าวคือ สถาบันได้กำหนดวิธีการเข้าถึงของบุคลากรในส่วนงานที่เกี่ยวข้อง เช่น การกำหนดให้ใช้ User ID หรืออนุมัติสิทธิการเข้าถึงด้วยรหัสประจำตัวพนักงานโดยฝ่าย IT
  4. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล กล่าวคือ การป้องกันมิให้บุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลใช้อุปกรณ์หรือกระบวนการใดในการนำข้อมูลออกจากระบบ หรือยักยอกข้อมูล หรือลักข้อมูลด้วยอุปกรณ์อย่างหนึ่งอย่างใดได้
  5. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กล่าวคือ เมื่อมีการกำหนดสิทธิการเข้าถึง แก้ไข เปลี่ยนแปลง ลบ ข้อมูลส่วนบุคคลในระบบ สถาบันได้จัดให้มีโปรแกรมในการติดตามและตรวจสอบย้อนหลังถึงการทำกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในระบบได้ สามารถติดตามร่องรอยการเข้าถึงและดำเนินการอย่างหนึ่งอย่างใดกับข้อมูลในระบบได้

 

  1. การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่อสถาบันแล้ว เจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิขอให้บริษัทดำเนินการดังต่อไปนี้

  1. สิทธิในการขอถอนความยินยอม

เมื่อได้ให้ความยินยอมแล้ว เจ้าของข้อมูลส่วนบุคคลจะเพิกถอนการยินยอมให้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิห้ามเพิกถอนตามกฎหมายหรือตามสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

ทั้งนี้ การเพิกถอนการยินยอมไม่กระทบต่อการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ และสถาบันจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบที่อาจเกิดขึ้นเมื่อมีการถอนความยินยอม

  1. สิทธิในการเข้าถึงและขอสำเนาข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของสถาบันและมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม

  1. สิทธิในการขอรับข้อมูลและขอให้ส่งต่อ/โอนข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนจากสถาบันได้ ในกรณีที่สถาบันจัดให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่อ่าน/ใช้งานโดยทั่วไปได้และเปิดเผยได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบอัตโนมัติข้างต้นไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น เมื่อกระทำได้ด้วยวิธีการอัตโนมัติและเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนที่สถาบันส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้

อนึ่ง การใช้สิทธิข้อนี้ เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมโดยชัดแจ้งในการขอให้สถาบันส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ซึ่งไม่อยู่ในหลักการตามนโยบายของสถาบัน

  1. สิทธิในการคัดค้านการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลของตน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะคัดค้านมิให้สถาบันเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่เป็นการดำเนินการที่สถาบันต้องปฏิบัติตามกฎหมายและเป็นกรณีการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อเป็นพยานหลักฐานสำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสถาบันกับลูกค้าหรือเจ้าของข้อมูลส่วนบุคคลภายในอายุความแห่งกฎหมาย

  1. สิทธิในการขอให้ลบ/ทำลายหรือทำให้ข้อมูลนั้นไม่เป็นข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ หากว่าข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ที่เคยได้แจ้งไว้ หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ เปิดเผย และสถาบันไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลนั้นอีกต่อไป หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านการเก็บรวบรวมใช้เปิดเผยข้อมูลนั้น และสถาบันไม่สามารถปฏิเสธคำคัดค้านนั้นได้ หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม/ใช้/เปิดเผยโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ สถาบันอาจคัดค้านการใช้สิทธินี้ ถ้าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นกรณีที่สถาบันดำเนินการเพื่อปฏิบัติตามกฎหมาย หรือเพื่อเป็นพยานหลักฐานสำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสถาบันกับเจ้าของข้อมูลส่วนบุคคลภายในอายุความแห่งกฎหมาย

  1. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอให้สถาบันระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีที่อยู่ระหว่างการตรวจสอบ เมื่อเจ้าของข้อมูลส่วนบุคคลขอให้สถาบันดำเนินการให้ข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และสถาบันยังไม่ดำเนินการทำให้เจ้าของข้อมูลส่วนบุคคลร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ หรือเมื่อข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่ต้องลบ ทำลาย เนื่องจากสถาบันเก็บรวบรวม/ใช้/เปิดเผยโดยไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ ทำลาย หรือเมื่อข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ แต่เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเมื่อสถาบันอยู่ระหว่างการตรวจสอบข้อพิสูจน์ กรณีปฏิเสธคำคัดค้านของเจ้าของข้อมูลส่วนบุคคล เรื่องการคัดค้านในการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล

  1. สิทธิในการขอให้ดำเนินการให้ข้อมูลถูกต้องและเป็นปัจจุบัน

เจ้าของข้อมูลส่วนบุคคลใช้สิทธิร้องขอให้สถาบันดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิดได้       

  1. สิทธิในการยื่นเรื่องร้องเรียน

            เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เชื่อว่า สถาบันได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้อยู่

การเก็บค่าธรรมเนียมในการดำเนินการตามสิทธิ

ทั้งนี้ ในกรณีที่ไม่ขัดต่อกฎหมายที่เกี่ยวข้อง สถาบันอาจมีการเรียกเก็บค่าธรรมเนียมในอัตราที่สมเหตุสมผลสำหรับการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล และสถาบันขอสงวนสิทธิ์ในการขอหลักฐานยืนยันการแสดงตนของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตาม สถาบันอาจปฏิเสธที่จะดำเนินการตามคำขอที่มีลักษณะเป็นการร้องขอซ้ำ ๆ หรือที่ไม่มีเหตุผลสมควร หรือต้องใช้ความพยายามทางเทคนิคที่เกินกว่าภาระหน้าที่ตามกฎหมาย หรือไม่สามารถปฏิบัติได้อย่างแน่แท้ 

การคัดค้านหรือปฏิเสธการใช้สิทธิ

  • สถาบันอาจคัดค้านหรือปฏิเสธการใช้สิทธิของท่าน หากข้อมูลส่วนบุคคลที่ท่านขอให้สถาบันดำเนินการ เป็นข้อมูลส่วนบุคคลที่สถาบัน เก็บ รวบรวม ใช้ หรือเปิดเผย โดยมีวัตถุประสงค์เพื่อ
  • ปฏิบัติตามกฎหมายที่สถาบัน มีหน้าที่ต้องปฏิบัติตามอย่างเคร่งครัด
  • เป็นการจำเป็นเพื่อให้เกิดสิทธิเรียกร้องตามกฎหมาย หรือเป็นการปฏิบัติตาม หรือใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นเพื่อต่อสู้สิทธิเรียกร้อง

 

กรณีที่ท่านมีข้อสงสัยหรือประสงค์จะใช้สิทธิเจ้าของข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถติดต่อได้ที่

 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถาบันประกันภัยไทย   

บริษัท กฎหมายและธุรกิจ อินเตอร์ คอนซัลแตนท์ จำกัด

399/48 ซอยทองหล่อ 21 ถนนสุขุมวิท เขตวัฒนา กรุงเทพฯ 10110

โทร. 02-185-1895 (ฝ่ายประสานงาน DPO)    E-mail : dpo@tiins.com