นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย)
บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย) ในฐานะสถาบันเพื่อการศึกษา ส่งเสริม พัฒนาความรู้ การประกันชีวิต และการประกันวินาศภัย ทั้งในรูปแบบออนไลน์และออฟไลน์ ซึ่งอาจจัดขึ้น ณ สถานที่ฝึกอบรมของบริษัท หรือ สถานที่ของผู้ว่าจ้างการฝึกอบรม ขอประกาศแจ้งให้ท่านทราบถึง นโยบายคุ้มครองข้อมูลส่วนบุคคล ซึ่งสถาบันให้ความสำคัญและคำนึงถึงความปลอดภัยในการเก็บรวบรวม ใช้ เปิดเผย และรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ฝึกอบรม รวมถึงข้อมูลส่วนบุคคลภายใต้สัญญาว่าจ้างหรือสัญญาให้บริการระหว่างสถาบันกับผู้ว่าจ้าง ผู้ให้บริการ หรือคู่ค้าและพันธมิตรทางธุรกิจ
บริษัทได้ระบุสาระสำคัญในการเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล ระยะเวลาในการเก็บ การส่งหรือโอนข้อมูลออกไป มาตรการรักษาความปลอดภัยในข้อมูล ตลอดจนสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหากท่านเจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามประกาศแจ้งนโยบายฉบับนี้ ท่านสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ตามข้อมูลการติดต่อท้ายประกาศฉบับนี้
คำจำกัดความ
“สถาบัน” หมายถึง บริษัท ที.ไอ.ไอ. จำกัด (สถาบันประกันภัยไทย)
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎกระทรวง ประกาศ ระเบียบ แนวปฏิบัติ หรือข้อแนะนำที่ออกตามความแห่งพระราชบัญญัติดังกล่าว
“ข้อมูลส่วนบุคคล” หรือ “Personal Data” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ-นามสกุล หมายเลขบัตรประจำตัวประชาชน หมายเลขบัตรเครดิต เลขบัญชีธนาคาร อีเมล หมายเลขโทรศัพท์ วันเกิดและสถานที่เกิด รูปภาพใบหน้า น้ำหนัก ส่วนสูง เป็นต้น
“ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน” หรือ “Sensitive Data” หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลชีวมิติ(Biometric) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะที่จะทำให้เกิดการเลือกปฏิบัติหรือมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล ในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดในนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้”
“ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “Data Controller” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หรือ “Data Processor” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (ตัวอย่างของผู้ประมวลผลข้อมูลส่วนบุคคล เช่น คู่สัญญาที่รับจ้างจัดทำระบบการฝึกอบรมแบบออนไลน์หรือ E-Learning วิทยากร รับจ้างจัดทำบัญชี ตรวจสอบบัญชี ทำการตลาด ทำเว็บไซต์ จัดทำระบบ IT และเครื่องมือบริหารจัดการข้อมูลทาง IT สำนักงานทนายความ ที่ปรึกษากฎหมาย เป็นต้น)
“กิจกรรมการประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการหรือชุดการดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยวิธีการส่งต่อ เผยแพร่ หรือกระทำการอื่นใดซึ่งทำให้เกิดความพร้อมการใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย หรือการเข้าถึงเข้าดูข้อมูล ซึ่งมีความเกี่ยวข้องกับข้อมูลส่วนบุคคล
“ผู้เข้าอบรม” หมายถึง บุคคลธรรมดาซึ่งเข้ารับการฝึกอบรมหรือสัมมนา ไม่ว่าจะในรูปแบบออนไลน์หรือ ออฟไลน์ หรือ E-learning หรือ เข้าอบรมแบบ Face to face และไม่ว่าจะในสถานที่ที่สถาบันจัดอบรมหรือ ในสถานที่ที่ผู้ว่าจ้างจัดไว้
“บริษัทผู้ว่าจ้างฝึกอบรม” หมายถึง นิติบุคคลใดๆที่ว่าจ้างให้สถาบัน ดำเนินการจัดฝึกอบรม สัมมนา ให้กับบุคลากรของนิติบุคคลนั้นๆ ไม่ว่าจะในรูปแบบออนไลน์หรือ ออฟไลน์ หรือ E-learning หรือ เข้าอบรมแบบ Face to face และไม่ว่าจะในสถานที่ที่สถาบันจัดอบรมหรือ ในสถานที่ที่ผู้ว่าจ้างจัดไว้
“คู่ค้า” หรือ “ผู้ให้บริการ” หรือ “Vendor” หรือ “Service Provider” หมายถึง คู่สัญญาของสถาบันซึ่งได้ทำนิติกรรมสัญญาต่อกัน ในลักษณะที่คู่ค้า หรือผู้ให้บริการรับจ้างดำเนินการหรือให้บริการอย่างหนึ่งอย่างใดต่อสถาบัน (อาจรวมถึงการพัฒนาระบบอิเล็กทรอนิกส์ ซอฟแวร์ แอปพลิเคชั่นเพื่อรองรับการบริหารจัดการข้อมูล การฝึกอบรมในรูปแบบต่างๆ การขายสินค้า/ผลิตภัณฑ์ ซึ่งอาจมีการให้บริการบำรุงรักษาหรือดูแลระบบหรือสินค้าหลังการขาย) โดยการปฏิบัติตามสัญญามีกระบวนการที่คู่สัญญาต้องเข้าถึงข้อมูลส่วนบุคคล รับ ส่ง หรือทั้งรับและส่ง ซึ่งข้อมูลส่วนบุคคลให้แก่กัน
“คปภ.” หมายถึง สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)
“พันธมิตรทางธุรกิจ” หมายถึง บุคคลหรือนิติบุคคลที่มีความสัมพันธ์กับสถาบันในลักษณะคู่สัญญาหรือที่มีข้อตกลงกับสถาบันเกี่ยวกับความร่วมมือหรือการพึ่งพาอาศัยในการทำธุรกิจซึ่งกันและกันกับสถาบัน
“บุคคลที่สาม” หมายถึง บุคคลหรือนิติบุคคลภายนอก ซึ่งสถาบันไม่มีสัญญาหรือความผูกพันทางกฎหมายโดยตรง แต่เป็นบุคคลหรือนิติบุคคลฝ่ายที่คู่ค้า ผู้ให้บริการ พันธมิตรทางธุรกิจ ได้ว่าจ้างช่วง หรือได้ร่วมกันดำเนินการอย่างหนึ่งอย่างใด เพื่อรองรับการปฏิบัติตามสัญญา ให้บริการ หรือดำเนินกิจกรรมการประมวลผลใด ๆ ที่เกี่ยวข้องกับสถาบัน
“ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง” หมายถึง เมื่อมีกรณีที่สถาบัน ปฏิบัติหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลผู้ว่าจ้าง และสถาบันได้จัดจ้างหรือใช้บริการ ผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่น เพื่อประโยชน์ในการให้บริการแก่ ผู้ควบคุมข้อมูลส่วนบุคคลผู้ว่าจ้างสถาบัน ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง อาจเป็นฝ่ายที่สถาบันเป็นผู้ว่าจ้าง หรือ เป็นพันธมิตรทางธุรกิจของสถาบันก็ได้
- ประเภทข้อมูลส่วนบุคคลตามมาตรา 24 และวัตถุประสงค์ในการเก็บรวบรวม
ตาราง 1
ข้อมูลส่วนบุคคล | วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูลส่วนบุคคล | ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล |
ข้อมูลชื่อ-นามสกุล | เพื่อสมัครเข้าฝึกอบรม/สอบ เพื่อระบุตัวตนเมื่อรับบริการ | มาตรา 24 (3) และ (6) |
หมายเลขบัตรประจำตัวประชาชน | เพื่อสมัครเข้าฝึกอบรม/สอบ เพื่อระบุตัวตนเมื่อรับบริการ | มาตรา 24 (3) และ (6) |
ที่อยู่ (บ้านเลขที่ ถนน เขต แขวง จังหวัด รหัสไปรษณีย์) | เพื่อติดต่อกรณีส่งเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ | มาตรา 24 (3) |
หมายเลขโทรศัพท์ | เพื่อติดต่อ แจ้งข้อมูลเกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (5) |
อีเมล์ | เพื่อติดต่อ แจ้งข้อมูล หรือส่งไฟล์เอกสาร เกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (5) |
Line Application Account ID | เพื่อติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (5) |
Facebook/Messenger Account (Social Network Service) | เพื่อติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (5) |
ข้อมูลบทสนทนาผ่าน Social Network Services | เพื่อเป็นหลักฐานในการติดต่อ ตอบข้อสอบถาม ส่งไฟล์/ภาพเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (5) |
User name / Password ในการเข้าระบบการฝึกอบรมของสถาบัน | เพื่อใช้อนุญาตให้เข้าอบรม/สอบ ตามการสมัครใช้บริการ และตรวจทาน/ตรวจสอบการฝึกอบรม/สอบของเจ้าของข้อมูลส่วนบุคคล | มาตรา 24(3) และ (5) |
ข้อมูลสถานที่ทำงาน (บริษัทประกันภัยที่เป็นผู้ว่าจ้าง) | เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ และเพื่อติดต่อกรณีส่งเอกสารหรือหลักฐานเกี่ยวกับการอบรม/สอบ | มาตรา 24(3) และ (6) |
หมายเลขใบอนุญาตนายหน้า/ตัวแทนประกันภัย | เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ | มาตรา 24(3) และ (6) |
สำเนาบัตรประจำตัวประชาชน | เพื่อยืนยันและระบุตัวตนผู้สมัครอบรม/สอบ | มาตรา 24(3) และ (6) |
เอกสารราชการกรณีเปลี่ยนแปลงชื่อ-นามสกุล | เพื่อยืนยันและระบุตัวตนผู้สมัครอบรม/สอบ | มาตรา 24(3) และ (6) |
วุฒิการศึกษาและใบรับรองวุฒิการศึกษา | เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ | มาตรา 24(3) และ (6) |
สำเนาใบอนุญาตที่เกี่ยวข้องกับการดำเนินการทางวิชาชีพด้านประกันภัย | เพื่อยืนยันคุณสมบัติและระบุตัวตน ผู้สมัครอบรม/สอบ | มาตรา 24(3) และ (6) |
ข้อมูลเกี่ยวกับธุรกรรมการชำระเงินค่าบริการและ/หรือค่าธรรมเนียม | เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ | มาตรา 24(3) |
ข้อมูลบัญชีธนาคารที่ใช้ชำระค่าบริการและ/หรือค่าธรรมเนียม | เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ | มาตรา 24(3) |
ข้อมูลหมายเลขบัตรเครดิตที่ใช้ชำระค่าบริการและ/หรือค่าธรรมเนียม | เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ | มาตรา 24(3) |
หลักฐานการชำระค่าบริการและ/หรือค่าธรรมเนียม | เพื่อเป็นหลักฐานในการปฏิบัติตามสัญญาให้บริการ | มาตรา 24(3) |
ข้อมูลประวัติการฝึกอบรมตามเงื่อนไขที่ คปภ.กำหนด | เพื่อยืนยันคุณสมบัติผู้สมัครอบรม/สอบ ตามที่หน่วยงานกำกับดูแลกำหนด | มาตรา 24(3) และ (6) |
ข้อมูลประวัติการฝึกอบรมที่เคยเข้าอบรมกับสถาบัน | เพื่อใช้อ้างอิงและแสดงหลักฐานกรณีมีข้อกำหนดในการเก็บระยะเวลาการฝึกอบรมในหลักสูตรต่างๆ | มาตรา 24(5) |
ภาพถ่าย(ผ่านกล้องจากอุปกรณ์ Smart devices หรือ คอมพิวเตอร์/โน็ตบุ๊ค) | เพื่อใช้เป็นหลักฐานในการยืนยันการเข้าอบรม/สอบ | มาตรา 24(3) และ (5) |
ภาพถ่ายหรือภาพสแกนบัตรประจำตัวประชาชน | เพื่อใช้เป็นหลักฐานในการยืนยันตัวตนของผู้สมัครอบรม/สอบ | มาตรา 24(3) |
ภาพถ่ายหรือภาพสแกนจากบัตรประจำตัวพนักงาน | เพื่อใช้เป็นหลักฐานในการยืนยันตัวตนของผู้สมัครอบรม/สอบ | มาตรา 24(3) |
ภาพถ่ายขณะฝึกอบรมหรือสัมมนา | เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ | มาตรา 24(3) และ (5) (มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์) |
ภาพเคลื่อนไหว(คลิปวิดีโอ) ขณะฝึกอบรมหรือสัมมนา | เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ | มาตรา 24(3) และ (5) (มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์) |
ไฟล์เสียงที่บันทึกขณะสนทนากับสถาบันทางโทรศัพท์ | เพื่อเป็นหลักฐานในการตอบข้อซักถามหรือยืนยัน แก้ไข เปลี่ยนแปลงข้อมูลที่มีผลต่อการอบรมหรือสอบ ของเจ้าของข้อมูลส่วนบุคคล | มาตรา 24(3) และ (5)
|
ไฟล์เสียงที่บันทึกขณะฝึกอบรมหรือสัมมนา | เพื่อใช้เป็นหลักฐานในการยืนยันว่ามีการอบรมหรือ/สอบ เพื่อใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ | มาตรา 24(3) และ (5) (มีการขอความยินยอมกรณีมีการสัมภาษณ์หรือถ่ายวิดีโอ/คลิปภาพและเสียงเพื่อวัตถุประสงค์ในการประชาสัมพันธ์) |
สำเนาใบรับรองหรือใบรับรองอิเล็กทรอนิกส์การฝึกอบรมที่จัดหรือดำเนินการโดยสถาบัน | เพื่อเป็นหลักฐานในการรับรองว่า เจ้าของข้อมูลส่วนบุคคล ได้เข้าอบรมหรือผ่านการสอบแล้ว | มาตรา 24(3) และ (6)
|
ข้อมูลทางเทคนิคในการระบุตัวตน อาทิ หมายเลขระบุตำแหน่งคอมพิวเตอร์ (IP Address) | เพื่อใช้บันทึกประกอบการเก็บพฤติกรรมการเข้าใช้เวปไซต์หรือระบบสารสนเทศ เพื่อนำไปพัฒนาการให้บริการหรือจัดทำเวปไซต์หรือระบบสารสนเทศของผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 24 (5) (กรณีที่พิจารณาว่าเป็นข้อมูลที่มีความละเอียดอ่อน ได้มีการขอความยินยอมขณะเก็บรวบรวมข้อมูลไว้) |
ผลการสอบ ผลการประเมิน หรือผลลัพธ์ใดๆที่ได้รับจากการฝึกอบรมของผู้เข้าอบรม | เพื่อเป็นหลักฐานในการรับรองว่า เจ้าของข้อมูลส่วนบุคคล ได้เข้าอบรมหรือผ่านการสอบแล้ว และเพื่อจัดส่งให้แก่หน่วยงานกำกับดูแล (คปภ.) กรณีที่เป็นการสอบเพื่อต่อใบอนุญาตประกอบวิชาชีพด้านประกันภัย | มาตรา 24(3) และ (6)
|
ข้อมูลการลงทะเบียนสมัครเข้าอบรมกับสถาบัน | เพื่อเป็นข้อมูลในการเข้าใช้บริการของผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 24(3) |
ภาพที่เก็บบันทึกได้จากกล้องวงจรปิดบริเวณอาคารสำนักงานของสถาบันและสถานที่จัดฝึกอบรมของสถาบัน | เพื่อรักษาความปลอดภัยในสถานที่ของผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 24(2)
|
ภาพถ่ายหรือภาพเคลื่อนไหวของบุคคลที่บันทึกได้ในกิจกรรมหรือบูธหรือการจัดงานอีเว้นท์ต่าง ๆ ของสถาบัน | เพื่อประชาสัมพันธ์และเสนอบริการของบริษัทต่อสาธารณะและกลุ่มลูกค้า | มาตรา 24 (5) |
หนังสือรับรองการจดทะเบียนบริษัท กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล | เพื่อประกอบการพิจารณาทำสัญญาทางธุรกิจ สัญญาจ้าง/รับจ้าง และเพื่อเป็นหลักฐานในการจัดทำสัญญา | มาตรา 24(3) |
บัญชีผู้ถือหุ้น (บอจ.5) กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล | เพื่อประกอบการพิจารณาทำสัญญาหรือข้อตกลงทางธุรกิจ สัญญาจ้าง/รับจ้าง และเพื่อเป็นหลักฐานในการจัดทำสัญญาหรือข้อตกลงทางธุรกิจ | มาตรา 24(3) |
สำเนาบัตรประจำตัวประชาชนกรรมการผู้มีอำนาจลงนาม กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล | เป็นเอกสารสำคัญประกอบการลงนามในสัญญาหรือข้อตกลงทางธุรกิจกับผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 24(3) |
สำเนาบัตรประจำตัวประชาชนผู้รับมอบอำนาจ กรณีคู่ค้า/พันธมิตรทางธุรกิจ/ผู้ให้บริการ นิติบุคคล | เป็นเอกสารสำคัญประกอบการลงนามในสัญญาหรือข้อตกลงทางธุรกิจกับผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 24(3) |
- ประเภทข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 และวัตถุประสงค์ในการเก็บรวบรวม
ตาราง 2
ข้อมูลส่วนบุคคล | วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูลส่วนบุคคล | ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล |
ข้อมูลพฤติกรรมการใช้เว็บไซต์โปรแกรมอิเล็กทรอนิกส์อื่นๆ (เช่น โปรแกรมคุกกี้ โปรแกรมพิกเซล) | เพื่อพัฒนาการให้บริการและเก็บข้อมูลเพื่อออกแบบและพัฒนาเวปไซต์ ระบบสารสนเทศหรือสื่อที่เป็นช่องทางการติดต่อ เข้าถึง ระหว่างเจ้าของข้อมูลกับบุคคลภายนอก หรือลูกค้าหรือผู้สนใจเข้าเยี่ยมชมข้อมูลของสถาบัน | มีการขอความยินยอมข้อมูลนี้ โดยชัดแจ้ง ขณะเก็บรวบรวมข้อมูล) |
ข้อมูลชีวมิติ: Biometric (Face Recognition, Finger print scan) | เพื่อยืนยันตัวตนของเจ้าของข้อมูลสำหรับการเข้าระบบการอบรมหรือการสอบแบบ Online หรือ E-learning | มาตรา 26(4) มีการขอความยินยอมข้อมูลนี้ โดยชัดแจ้ง ขณะเก็บรวบรวมข้อมูล) |
ข้อมูลการร้องเรียนเกี่ยวกับปัญหาการให้บริการ และข้อเท็จจริงที่โต้แย้ง (กรณีมีการระบุพฤติกรรมหรือข้อมูลที่มีความละเอียดอ่อน) | เพื่อรักษาผลประโยชน์ของเจ้าของข้อมูลส่วนบุคคล และเพื่อปรับปรุงพัฒนาระบบหรือการให้บริการของผู้ควบคุมข้อมูลส่วนบุคคล | มาตรา 26(4) |
- ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
ตาราง 3
ประเภทข้อมูลส่วนบุคคล | ระยะเวลาในการเก็บรักษา |
ข้อมูลผู้เข้าอบรม (ข้อมูลการสมัครเข้าอบรม ข้อมูลการลงทะเบียนเข้าอบรม ข้อมูลผลการสอบ/ประเมิน) โดยแยกเป็นหลักสูตรอบรมดังนี้ – การสอบตัวแทนนายหน้าประกันภัย – หลักสูตรขอรับและขอต่อใบอนุญาตตัวแทนนายหน้าประกันภัยครั้งที่ 1-2 (คปภ.) – หลักสูตรขอต่ออายุใบอนุญาตตัวแทนนายหน้าประกันภัยครั้งที่ 3 และ 4 เป็นต้นไป (คปภ.) – หลักสูตรพิเศษอบรมด้านประกันภัยของบริษัท – หลักสูตรวิชาชีพประกันภัย NL |
2 ปี 1 ปี
5 ปี
1 ปี เก็บข้อมูลทะเบียนตลอดไป |
ข้อมูลผลการตรวจเชื้อโควิด หรือ ใบรับรองผลการตรวจเชื้อโควิด | 3 เดือน |
ข้อมูลชีวมิติ | 1 ปี |
ข้อมูล เอกสารหลักฐาน ที่เป็นข้อมูลส่วนบุคคลที่ใช้ประกอบนิติกรรมสัญญาของคู่ค้า ผู้ให้บริการ พันธมิตรทางธุรกิจ | 10 ปี |
ข้อมูลพฤติกรรมการใช้เว็บไซต์ (ด้วยโปรแกรมคุกกี้) | 3 เดือน |
ข้อมูลการรับชำระเงิน | 5 ปี |
ข้อมูลภาพที่เก็บบันทึกได้จากกล้องวงจรปิด | 30 วัน |
ข้อมูลการร้องเรียนเกี่ยวกับปัญหาการให้บริการ และข้อเท็จจริงที่โต้แย้ง | 1 ปีนับแต่วันที่เรื่องดำเนินการสอบสวนข้อเท็จจริง เสร็จสิ้น |
- หลักการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (การขอความยินยอมสำหรับวัตถุประสงค์ที่ไม่เข้าข้อยกเว้นตามกฎหมาย)
(1) การขอความยินยอมการเก็บรวบรวมข้อมูลที่ไม่เข้าข้อยกเว้นตามกฎหมาย
สถาบันมีการใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้เพื่อวัตถุประสงค์อื่นที่ไม่เข้าข้อยกเว้นตามกฎหมายในมาตรา 24 และมาตรา 26 ได้แก่
(1.1) วัตถุประสงค์เพื่อนำส่งข่าวสาร แนะนำหลักสูตรการฝึกอบรมต่างๆ เสนอโปรโมชั่น รายการส่งเสริมการขาย แคมเปญใหม่ ๆ และประชาสัมพันธ์คอร์สการอบรมของสถาบันสำหรับผู้ที่เคยเข้าอบรมและลูกค้าบริษัทผู้ว่าจ้างฝึกอบรม (สำหรับข้อมูลส่วนบุคคลตามมาตรา 24)
(1.2) วัตถุประสงค์เพื่อให้พันธมิตรทางธุรกิจหรือคู่ค้า เสนอหลักสูตรการฝึกอบรมต่างๆและโปรโมชั่น รายการส่งเสริมการขายและแคมเปญใหม่ ๆ ที่ร่วมกับสถาบันแก่ผู้ที่เคยเข้าอบรมและลูกค้าบริษัทผู้ว่าจ้างฝึกอบรม (สำหรับข้อมูลส่วนบุคคลตามมาตรา 24)
(1.3) วัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายต่อสุขภาพของผู้เข้าอบรม (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)
(1.4) วัตถุประสงค์เพื่อบันทึกเป็นข้อมูลประกอบการฝึกอบรม กรณีมีการเลื่อนหรือเปลี่ยนแปลงกำหนดการในการฝึกอบรมของผู้อบรม (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)
(1.5) วัตถุประสงค์เพื่อเป็นหลักฐานประกอบการขอเลื่อนการเข้าสอบตามหลักสูตรต่างๆของสถาบัน (สำหรับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26)
(1.6) เพื่อวัตถุประสงค์ในการใช้ประชาสัมพันธ์ โดยอาจนำไปจัดทำเป็นสื่อประชาสัมพันธ์ของผู้ควบคุมข้อมูลส่วนบุคคลในรูปแบบต่างๆ
(1.7) (กรณีข้อมูลชีวมิติ) เพื่อยืนยันตัวตนของเจ้าของข้อมูลสำหรับการเข้าระบบการอบรมหรือการสอบแบบ Online หรือ E-learning
(2) การขอความยินยอมกรณีข้อมูลที่เก็บไว้ก่อนกฎหมายบังคับใช้
สถาบันได้แจ้งข้อมูลการบังคับใช้กฎหมาย และวัตถุประสงค์ที่สถาบันได้เก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่เคยเข้าอบรมและผู้เข้าอบรมในปัจจุบันตลอดจนคู่ค้า ผู้ให้บริการและพันธมิตรทางธุรกิจบนหน้าเว็บไซต์ของสถาบัน รวมถึงช่องทางบริการเครือข่ายสังคมของสถาบัน (Social Network Service) (ถ้ามี) เพื่อให้ทราบถึงการใช้สิทธิ ดังต่อไปนี้ (ข้อความที่แจ้งจะขึ้นอยู่กับความเหมาะสมและข้อจำกัดของช่องทางในการแจ้ง)
- ข้อมูลส่วนบุคคลของผู้ที่เคยเข้าอบรมและผู้เข้าอบรมในปัจจุบันตลอดจนคู่ค้า ผู้ให้บริการและพันธมิตรทางธุรกิจ ที่สถาบันได้เก็บรวบรวมก่อนวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้ สถาบันจะเก็บรวบรวม ใช้ เปิดเผย ตามวัตถุประสงค์เดิม(เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้)
- หากเจ้าของข้อมูลส่วนบุคคล ประสงค์จะใช้สิทธิในการเพิกถอน ระงับหรือคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล สามารถติดต่อหรือแจ้งเรื่องต่อสถาบัน ผ่านช่องทางที่ระบุไว้ในข้อความส่วนท้ายของประกาศนโยบายนี้ ที่ หรือช่องทางบริการเครือข่ายสังคมของสถาบัน (Social Network Service) (ถ้ามี)
- การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล
สถาบันมีโอกาสได้รับข้อมูลส่วนบุคคลจากแหล่งอื่นซึ่งมิใช่ตัวเจ้าของข้อมูลส่วนบุคคลนั้น ในกรณีที่สถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล โดยได้รับมอบหมายจากบริษัทผู้ว่าจ้าง(ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล) ให้จัดฝึกอบรมให้แก่บุคลากร โดยจะได้รับข้อมูลต่อไปนี้
ตาราง 4
ประเภทข้อมูลส่วนบุคคล | ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลจากแหล่งอื่นตามมาตรา 25 | หมายเหตุ |
ข้อมูลคำนำหน้าชื่อและชื่อ-นามสกุล (ผู้เข้ารับการอบรม) | มาตรา 24 (3) | มาตรา 25 กำหนดเงื่อนไขในการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นไว้ 2 ข้อ ได้แก่ (1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกิน30 (สามสิบวัน) นับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบุคคล (2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 |
หมายเลขบัตรประจำตัวประชาชน | มาตรา 24 (3) และ (6) | |
เอกสารราชการกรณีเปลี่ยนชื่อ-นามสกุล | มาตรา 24 (3) และ (6) | |
ที่อยู่ (บ้านเลขที่ ถนน เขต แขวง จังหวัด รหัสไปรษณีย์) | มาตรา 24 (3) และ (5) | |
หมายเลขโทรศัพท์ | มาตรา 24 (3) และ (5) | |
อีเมล์ | มาตรา 24 (3) และ (5) | |
Line Application Account ID | มาตรา 24 (3) และ (5) | |
หมายเลขประจำตัวพนักงาน | มาตรา 24 (3) และ (5) | |
User name / Password ในการเข้าระบบการฝึกอบรมของสถาบัน | มาตรา 24 (3) และ (5) | |
ข้อมูลสถานที่ทำงาน (บริษัทประกันภัยที่เป็นผู้ว่าจ้าง) และส่วนงาน/แผนก | มาตรา 24 (3) และ (6) | |
หมายเลขใบอนุญาตนายหน้า/ตัวแทนประกันภัย | มาตรา 24 (3) และ (6) | |
สำเนาบัตรประจำตัวประชาชน | มาตรา 24 (3) และ (6) | |
สำเนาใบอนุญาตที่เกี่ยวข้องกับการดำเนินการทางวิชาชีพด้านประกันภัย | มาตรา 24 (3) และ (6) | |
วันเดือนปีเกิด | มาตรา 24 (3) และ (6) | |
วุฒิการศึกษา และเอกสารรับรองวุฒิการศึกษา | มาตรา 24 (3) และ (6) |
หมายเหตุ หากมีกรณีที่สถาบันได้รับข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยไม่เข้าข้อยกเว้นตามกฎหมายในมาตรา 24 และ มาตรา 26 สถาบันจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 (สามสิบ) วันนับจากวันที่ได้รับข้อมูลนั้น
- การประมวลผลข้อมูลส่วนบุคคล
6.1 กิจกรรมการประมวลผลข้อมูลส่วนบุคคล
สถาบันมีการดำเนินการประมวลผลข้อมูลเองและมีการส่งข้อมูลให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการ ดังต่อไปนี้
ตาราง 5
กิจกรรมการประมวลผล | ผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล |
ผู้ประมวลผลข้อมูลส่วนบุคคล (Service Provider/Vendor/Outsource) | |
การตรวจสอบข้อมูลหมายเลขบัตรประจำตัวประชาชนของผู้เข้าอบรม | สถาบัน |
การตรวจสอบคุณสมบัติของผู้สมัครเข้าอบรมในหลักสูตรต่างๆ | สถาบัน |
การตรวจสอบเพื่อระบุตัวตนผู้เข้าอบรม ในขั้นตอนการลงทะเบียนเข้าอบรม | สถาบัน |
การคำนวณหรือการประเมิน ระยะเวลาในการอบรมตามเกณฑ์ และผลการสอบ | สถาบัน |
การรวบรวมข้อมูลผู้เข้ารับการอบรมในแต่ละหลักสูตร | สถาบัน, วิทยากร |
การแจ้งข้อมูลเกี่ยวกับวันและเวลาการอบรมในแต่ละหลักสูตร | สถาบัน |
การดำเนินการจัดอบรมให้แก่ผู้เข้าอบรม ซึ่งมีการสื่อสารผ่านช่องทางออนไลน์ หรือแบบ Onsite หรือ E-learning | สถาบัน, ผู้ให้บริการภายนอก |
การส่งข่าวสาร แคมเปญ แจ้งการจัดฝึกอบรมเพื่อขอรับ ต่อ และสอบใบอนุญาต หรือ ข้อเสนอทางการตลาดเกี่ยวกับการจัดอบรมในหลักสูตรอื่นๆให้แก่ผู้เข้าอบรม หรือผู้ที่เคยเข้าอบรม | สถาบัน |
การบันทึกภาพและเสียงในการฝึกอบรม | สถาบัน |
การแจ้งหรือประกาศข้อมูลผู้มีสิทธิเข้าอบรมในหลักสูตรต่างๆ | สถาบัน |
การแจ้งหรือประกาศผลผู้ผ่านการสอบหรือผ่านการฝึกอบรม | สถาบัน |
จัดเก็บและใช้ข้อมูลส่วนบุคคลของผู้ฝึกอบรม เพื่อวิเคราะห์ความสนใจของผู้ฝึกอบรม เพื่อปรับปรุงหลักสูตรหรือการฝึกอบรมให้ตรงกับความสนใจของผู้ฝึกอบรมมากขึ้น | สถาบัน |
การใช้ข้อมูลเพื่อจัดทำสถิติสำหรับบริหารความเสี่ยงภายในองค์กร | สถาบัน |
การใช้ข้อมูลลูกค้าเพื่อการตรวจสอบภายใน | ผู้ตรวจสอบภายนอก (บริษัทผู้ตรวจสอบบัญชี) |
การเก็บข้อมูลส่วนบุคคลของลูกค้า ในระบบอิเล็กทรอนิกส์ต่าง ๆ เพื่อรองรับการปฏิบัติงานภายใน | สถาบัน |
การเก็บรวบรวมข้อมูลการใช้เว็บไซต์ และบริการเครือข่ายสังคมออนไลน์ (Social Network Service) เช่น Line Application | ผู้ให้บริการ |
การเก็บบันทึกข้อมูลเพื่อความปลอดภัย เช่น การบันทึกภาพจากกล้องวงจรปิด (CCTV) | ผู้ให้บริการ |
6.2 การเปิดเผย โอน(ส่ง) ข้อมูลออกไปภายนอกองค์กร
จากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามตาราง 5 และเพื่อประโยชน์ในการบริหารกิจการของสถาบัน ทำให้สถาบันจำเป็นต้องส่งข้อมูลส่วนบุคคลของผู้เข้าอบรมให้แก่บุคคลหรือนิติบุคคลภายนอก ได้แก่
– หน่วยงานของรัฐ (คปภ.) กรณีที่สถาบันมีหน้าที่เปิดเผยหรือส่งข้อมูลผู้สอบผ่านหลักสูตรตามกฎหมาย เช่น คปภ.
– บริษัทผู้ว่าจ้าง ในกรณีที่สถาบันได้รับการว่าจ้างให้ฝึกอบรมหลักสูตรต่างๆให้แก่บุคลากรของบริษัทผู้ว่าจ้าง
– ผู้ให้บริการระบบ E-learning กรณีที่มีการอบรมแบบ E-learning ซึ่งสถาบันได้เช่าใช้ หรือ ว่าจ้างให้ผู้ให้บริการระบบดังกล่าวบริหารจัดการ การเรียนในระบบ E-learning สำหรับหลักสูตรประกันภัย
– ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง ที่สถาบันได้ว่าจ้างหรือเป็นพันธมิตรร่วมกัน เพื่อประโยชน์ในการให้บริการฝึกอบรม ทดสอบ ให้แก่ลูกค้าหรือผู้ควบคุมข้อมูลส่วนบุคคลที่ว่าจ้างสถาบัน
– ผู้ให้บริการที่ให้บริการด้านการพัฒนาระบบอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ ซึ่งเป็นระบบงานภายในซึ่งเกี่ยวข้องกับการเก็บบันทึกและการบริหารจัดการข้อมูลของผู้เข้าอบรม (ถ้ามี)
– คู่ค้า/Vendor/Outsource Agent/พันธมิตรทางธุรกิจ ที่มีสัญญาหรือข้อตกลงระหว่างกันในการว่าจ้างให้ดำเนินการอย่างหนึ่งอย่างใดที่สถาบันจำเป็นต้องส่งข้อมูลส่วนบุคคลของผู้เข้าอบรม เพื่อให้คู่ค้า/Vendor/Outsource Agent/พันธมิตรทางธุรกิจดำเนินการตามหน้าที่หรือพันธกิจตามสัญญาหรือข้อตกลงนั้น
– วิทยากร
– ผู้ตรวจสอบบัญชี ที่ปรึกษา สำนักงานทนายความ ผู้ตรวจสอบภายใน ซึ่งต้องใช้ข้อมูลส่วนบุคคลในการปฏิบัติงานให้แก่สถาบัน
6.3 การส่ง (โอน) ข้อมูลออกไปยังต่างประเทศ
สถาบันมีการนำส่งข้อมูลส่วนบุคคลของผู้เข้าอบรม คู่ค้า หรือผู้ให้บริการไปยังต่างประเทศ ANZIIF (AUSTRALIA) หลักสูตรประกันวินาศภัย
- ฐานะของสถาบันตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
สถาบันเป็นผู้ควบคุมข้อมูลส่วนบุคคล ในฐานะที่สถาบัน เป็นผู้จัดหลักสูตรการฝึกอบรมให้แก่บุคคลทั่วไป หรือผู้ที่มีคุณสมบัติในการสอบเพื่อได้รับอนุญาต หรือต่ออายุการได้รับอนุญาตเป็นนายหน้า/ตัวแทนประกันภัย สถาบันมีการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคลของผู้เข้าอบรม เพื่อประโยชน์ทางธุรกิจและเพื่อการดำเนินการทางการตลาดของสถาบัน และประโยชน์ในการแจ้งข้อเสนอหรือโฆษณาบริการฝึกอบรมที่สถาบันจัดทำขึ้นร่วมกันพันธมิตรทางธุรกิจหรือคู่ค้า
สถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่สถาบันได้รับการว่าจ้าง จากบริษัทผู้ว่าจ้าง ให้ดำเนินการจัดฝึกอบรมให้พนักงานหรือบุคลากรของบริษัทผู้ว่าจ้าง สถาบันทำหน้าที่เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามขอบเขตที่ได้รับมอบหมายภายใต้สัญญาว่าจ้างหรือตามคำสั่งของบริษัทผู้ว่าจ้างซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล
- หลักการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลกับพันธมิตรทางธุรกิจหรือคู่ค้า
8.1 การปฏิบัติกรณีสถาบันเป็นผู้ประมวลผลข้อมูลส่วนบุคคล
สถาบันมีการกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลของตนเอง และปฏิบัติตามนโยบายที่
เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (รวมถึงมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติต่าง ๆ ที่เกี่ยวข้อง) และสถาบันคาดหวังว่าผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นคู่สัญญากับสถาบันจะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สถาบันปฏิบัติ ทั้งนี้ สถาบันได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลของสถาบัน และมีการจัดทำบันทึกรายการกิจกรรมการประมวลผลตามหลักเกณฑ์ที่กฎหมายกำหนด
8.2 การกำกับดูแลพันธมิตรทางธุรกิจ/คู่ค้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลให้แก่สถาบัน
สถาบันได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้พันธมิตรทางธุรกิจ/คู่ค้า
ผู้ให้บริการ ทราบถึงมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน และสถาบันจัดให้ผู้ประมวลผลข้อมูลส่วนบุคคลที่สถาบันมอบหมายให้ดำเนินการ ลงนามในข้อตกลงผู้ประมวลผล (Data Processing Agreement) เพื่อกำหนดความรับผิดชอบ และมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้ดำเนินการประมวลผลตามขอบเขตแห่งสัญญาหรือข้อตกลงในการว่าจ้าง ซึ่งสถาบันคาดหวังว่า พันธมิตรทางธุรกิจ/คู่ค้าจะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สถาบันปฏิบัติ
- มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สถาบันจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ดังต่อไปนี้
- การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย กล่าวคือ มีการกำหนดอำนาจในการเข้าถึงข้อมูลส่วนบุคคลในระบบต่าง ๆ โดยพิจารณาถึงความจำเป็นในการใช้ข้อมูลของแต่ละส่วนงาน
- การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล สถาบันมีการกำหนดระดับ/ชั้นในการเข้าถึงข้อมูลส่วนบุคคล (การกำหนดชั้นความลับในการเข้าถึงเพื่อดู แก้ไข และเปลี่ยนแปลงข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์)
- การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว กล่าวคือ สถาบันได้กำหนดวิธีการเข้าถึงของบุคลากรในส่วนงานที่เกี่ยวข้อง เช่น การกำหนดให้ใช้ User ID หรืออนุมัติสิทธิการเข้าถึงด้วยรหัสประจำตัวพนักงานโดยฝ่าย IT
- การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล กล่าวคือ การป้องกันมิให้บุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคลใช้อุปกรณ์หรือกระบวนการใดในการนำข้อมูลออกจากระบบ หรือยักยอกข้อมูล หรือลักข้อมูลด้วยอุปกรณ์อย่างหนึ่งอย่างใดได้
- การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กล่าวคือ เมื่อมีการกำหนดสิทธิการเข้าถึง แก้ไข เปลี่ยนแปลง ลบ ข้อมูลส่วนบุคคลในระบบ สถาบันได้จัดให้มีโปรแกรมในการติดตามและตรวจสอบย้อนหลังถึงการทำกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในระบบได้ สามารถติดตามร่องรอยการเข้าถึงและดำเนินการอย่างหนึ่งอย่างใดกับข้อมูลในระบบได้
- การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่อสถาบันแล้ว เจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิขอให้บริษัทดำเนินการดังต่อไปนี้
- สิทธิในการขอถอนความยินยอม
เมื่อได้ให้ความยินยอมแล้ว เจ้าของข้อมูลส่วนบุคคลจะเพิกถอนการยินยอมให้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิห้ามเพิกถอนตามกฎหมายหรือตามสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ การเพิกถอนการยินยอมไม่กระทบต่อการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ และสถาบันจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบที่อาจเกิดขึ้นเมื่อมีการถอนความยินยอม
- สิทธิในการเข้าถึงและขอสำเนาข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของสถาบันและมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม
- สิทธิในการขอรับข้อมูลและขอให้ส่งต่อ/โอนข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนจากสถาบันได้ ในกรณีที่สถาบันจัดให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่อ่าน/ใช้งานโดยทั่วไปได้และเปิดเผยได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบอัตโนมัติข้างต้นไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น เมื่อกระทำได้ด้วยวิธีการอัตโนมัติและเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนที่สถาบันส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
อนึ่ง การใช้สิทธิข้อนี้ เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมโดยชัดแจ้งในการขอให้สถาบันส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ซึ่งไม่อยู่ในหลักการตามนโยบายของสถาบัน
- สิทธิในการคัดค้านการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลของตน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะคัดค้านมิให้สถาบันเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่เป็นการดำเนินการที่สถาบันต้องปฏิบัติตามกฎหมายและเป็นกรณีการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อเป็นพยานหลักฐานสำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสถาบันกับลูกค้าหรือเจ้าของข้อมูลส่วนบุคคลภายในอายุความแห่งกฎหมาย
- สิทธิในการขอให้ลบ/ทำลายหรือทำให้ข้อมูลนั้นไม่เป็นข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ หากว่าข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ที่เคยได้แจ้งไว้ หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ เปิดเผย และสถาบันไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลนั้นอีกต่อไป หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านการเก็บรวบรวมใช้เปิดเผยข้อมูลนั้น และสถาบันไม่สามารถปฏิเสธคำคัดค้านนั้นได้ หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม/ใช้/เปิดเผยโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ สถาบันอาจคัดค้านการใช้สิทธินี้ ถ้าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นกรณีที่สถาบันดำเนินการเพื่อปฏิบัติตามกฎหมาย หรือเพื่อเป็นพยานหลักฐานสำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสถาบันกับเจ้าของข้อมูลส่วนบุคคลภายในอายุความแห่งกฎหมาย
- สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอให้สถาบันระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีที่อยู่ระหว่างการตรวจสอบ เมื่อเจ้าของข้อมูลส่วนบุคคลขอให้สถาบันดำเนินการให้ข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และสถาบันยังไม่ดำเนินการทำให้เจ้าของข้อมูลส่วนบุคคลร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ หรือเมื่อข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่ต้องลบ ทำลาย เนื่องจากสถาบันเก็บรวบรวม/ใช้/เปิดเผยโดยไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทนการลบ ทำลาย หรือเมื่อข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ แต่เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมาย หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเมื่อสถาบันอยู่ระหว่างการตรวจสอบข้อพิสูจน์ กรณีปฏิเสธคำคัดค้านของเจ้าของข้อมูลส่วนบุคคล เรื่องการคัดค้านในการเก็บรวบรวม/ใช้/เปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการขอให้ดำเนินการให้ข้อมูลถูกต้องและเป็นปัจจุบัน
เจ้าของข้อมูลส่วนบุคคลใช้สิทธิร้องขอให้สถาบันดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิดได้
- สิทธิในการยื่นเรื่องร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เชื่อว่า สถาบันได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้อยู่
การเก็บค่าธรรมเนียมในการดำเนินการตามสิทธิ
ทั้งนี้ ในกรณีที่ไม่ขัดต่อกฎหมายที่เกี่ยวข้อง สถาบันอาจมีการเรียกเก็บค่าธรรมเนียมในอัตราที่สมเหตุสมผลสำหรับการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล และสถาบันขอสงวนสิทธิ์ในการขอหลักฐานยืนยันการแสดงตนของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ตาม สถาบันอาจปฏิเสธที่จะดำเนินการตามคำขอที่มีลักษณะเป็นการร้องขอซ้ำ ๆ หรือที่ไม่มีเหตุผลสมควร หรือต้องใช้ความพยายามทางเทคนิคที่เกินกว่าภาระหน้าที่ตามกฎหมาย หรือไม่สามารถปฏิบัติได้อย่างแน่แท้
การคัดค้านหรือปฏิเสธการใช้สิทธิ
- สถาบันอาจคัดค้านหรือปฏิเสธการใช้สิทธิของท่าน หากข้อมูลส่วนบุคคลที่ท่านขอให้สถาบันดำเนินการ เป็นข้อมูลส่วนบุคคลที่สถาบัน เก็บ รวบรวม ใช้ หรือเปิดเผย โดยมีวัตถุประสงค์เพื่อ
- ปฏิบัติตามกฎหมายที่สถาบัน มีหน้าที่ต้องปฏิบัติตามอย่างเคร่งครัด
- เป็นการจำเป็นเพื่อให้เกิดสิทธิเรียกร้องตามกฎหมาย หรือเป็นการปฏิบัติตาม หรือใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นเพื่อต่อสู้สิทธิเรียกร้อง
กรณีที่ท่านมีข้อสงสัยหรือประสงค์จะใช้สิทธิเจ้าของข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถติดต่อได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถาบันประกันภัยไทย
บริษัท กฎหมายและธุรกิจ อินเตอร์ คอนซัลแตนท์ จำกัด
399/48 ซอยทองหล่อ 21 ถนนสุขุมวิท เขตวัฒนา กรุงเทพฯ 10110
โทร. 02-185-1895 (ฝ่ายประสานงาน DPO) E-mail : dpo@tiins.com