นโยบายการคุ้มครองข้อมูลส่วนบุคคล (PDPA Compliance Policy)

บริษัท พร้อม แคปปิตอล จำกัด
1. วัตถุประสงค์

นโยบายนี้จัดทำขึ้นเพื่อเป็นกรอบแนวทางในการบริหารจัดการข้อมูลส่วนบุคคลของลูกค้า พนักงาน คู่ค้า และบุคคลที่เกี่ยวข้องกับบริษัท Prompt Capital Co., Ltd. อย่างถูกต้องตามกฎหมาย โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และหลักเกณฑ์จากหน่วยงานกำกับดูแล เช่น ธนาคารแห่งประเทศไทย (ธปท.) เพื่อให้เกิดความมั่นใจว่าบริษัทดำเนินการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลอย่างปลอดภัย มีประสิทธิภาพ และเคารพในสิทธิของเจ้าของข้อมูล

นโยบายนี้มีวัตถุประสงค์หลักดังต่อไปนี้:

  • เพื่อกำหนดแนวทางปฏิบัติที่ชัดเจนในการเก็บรวบรวม ใช้ เปิดเผย และเก็บรักษาข้อมูลส่วนบุคคลอย่างเหมาะสม
  • เพื่อสร้างมาตรการควบคุมความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ลดความเสี่ยงจากการละเมิดข้อมูล หรือการถูกเข้าถึงโดยไม่ได้รับอนุญาต
  • เพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย และกฎหมายที่เกี่ยวข้องจากหน่วยงานกำกับดูแล เช่น ธปท. และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
  • เพื่อกำหนดบทบาท หน้าที่ และความรับผิดชอบของพนักงานและผู้มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างชัดเจน
  • เพื่อเสริมสร้างวัฒนธรรมองค์กรที่เคารพสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล และสนับสนุนการดำเนินธุรกิจอย่างมีจริยธรรมและยั่งยืน
  • เพื่อรองรับการตรวจสอบจากหน่วยงานกำกับดูแล และสร้างความเชื่อมั่นให้กับลูกค้าและคู่ค้าทางธุรกิจว่าบริษัทดำเนินการตามหลักธรรมาภิบาล

2. ขอบเขตของนโยบาย

นโยบายนี้ครอบคลุมการบริหารจัดการข้อมูลส่วนบุคคลทั้งหมดที่บริษัท Prompt Capital Co., Ltd. ได้รับหรือถือครอง ทั้งในรูปแบบเอกสารและระบบอิเล็กทรอนิกส์ รวมถึงช่องทางอื่นใดที่บริษัทใช้ในการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคล โดยมีขอบเขตดังต่อไปนี้:

2.1 ประเภทของเจ้าของข้อมูลส่วนบุคคล
นโยบายนี้ครอบคลุมข้อมูลส่วนบุคคลของบุคคลภายนอกและบุคคลภายในองค์กรทุกกลุ่ม เช่น:

  • ลูกค้าบุคคลธรรมดา และลูกค้ารายย่อย
  • ลูกค้าธุรกิจ หรือนิติบุคคล (รวมถึงกรรมการ/ผู้มีอำนาจลงนาม/ผู้ถือหุ้น)
  • คู่ค้า/ผู้ให้บริการภายนอก (Third-party service providers)
  • พนักงาน ผู้สมัครงาน อดีตพนักงาน และบุคคลในครอบครัวของพนักงาน (ถ้ามีข้อมูล)
  • ผู้ถือหุ้น และกรรมการบริษัท
  • ผู้ติดต่อทั่วไป หรือบุคคลอื่นที่ติดต่อกับบริษัทไม่ว่าในลักษณะใด

2.2 ประเภทของข้อมูลส่วนบุคคลที่อยู่ภายใต้นโยบาย

นโยบายนี้ครอบคลุมถึงข้อมูลส่วนบุคคลตามที่ระบุในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่:

  • ข้อมูลระบุตัวบุคคล เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, วันเดือนปีเกิด, เพศ, ที่อยู่, เบอร์โทรศัพท์, อีเมล
  • ข้อมูลทางการเงิน เช่น หมายเลขบัญชี, รายการเดินบัญชี, แหล่งรายได้
  • ข้อมูลด้านอาชีพและการศึกษา
  • ข้อมูลจากเอกสารราชการ เช่น บัตรประชาชน, หนังสือเดินทาง, ใบขับขี่ ฯลฯ
  • ข้อมูลที่สามารถใช้ระบุตัวบุคคลได้ทางอ้อม
  • ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ ความพิการ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง (หากมีการเก็บ)

2.3 หน่วยงานและบุคลากรที่ต้องปฏิบัติตามนโยบาย

  • พนักงานทุกระดับ และเจ้าหน้าที่ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ เปิดเผย หรือจัดเก็บข้อมูลส่วนบุคคล
  • ผู้บริหารและกรรมการบริษัท
  • ผู้ให้บริการภายนอกที่บริษัทมอบหมายให้ดำเนินการแทน (Outsource หรือ Data Processor)

2.4 ช่องทางที่เกี่ยวข้องกับการประมวลผลข้อมูล

  • ระบบงานสินเชื่อและการให้บริการทางการเงิน
  • ระบบรับสมัครงานและจัดการทรัพยากรบุคคล
  • ระบบบัญชี การเงิน และการจัดซื้อ
  • เว็บไซต์ แอปพลิเคชัน หรือช่องทางการสื่อสารดิจิทัลของบริษัท
  • เอกสารและแบบฟอร์มที่ใช้ภายในองค์กร

นโยบายนี้จะถูกนำมาใช้บังคับและปรับใช้กับทุกกระบวนการภายในองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคล และถือเป็นแนวทางบังคับให้บุคลากรและผู้มีหน้าที่เกี่ยวข้องต้องปฏิบัติตามโดยเคร่งครัด

3. คำจำกัดความ

เพื่อความเข้าใจที่ชัดเจนและเป็นไปในทิศทางเดียวกัน นโยบายฉบับนี้ขอให้คำจำกัดความของคำศัพท์ที่สำคัญไว้ดังนี้:

3.1 ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งสามารถใช้ระบุตัวบุคคลนั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน หมายเลขโทรศัพท์ ที่อยู่ อีเมล ข้อมูลทางการเงิน หรือภาพถ่ายที่สามารถระบุบุคคลได้

3.2 ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data)

หมายถึง ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด เช่น ข้อมูลเชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลชีวภาพ หรือข้อมูลทางพันธุกรรม

3.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject)

หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผย เช่น ลูกค้า พนักงาน คู่ค้า หรือบุคคลอื่นที่เกี่ยวข้อง

3.4 การประมวลผลข้อมูลส่วนบุคคล (Processing of Personal Data)

หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดเก็บ ใช้ เปิดเผย แก้ไข ลบ หรือทำลายข้อมูล

3.5 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัท Prompt Capital Co., Ltd.

3.6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล เช่น บริษัทที่รับจ้างประมวลผลข้อมูลแทน

3.7 การยินยอม (Consent)

หมายถึง การที่เจ้าของข้อมูลส่วนบุคคลแสดงเจตนาโดยชัดแจ้งและสมัครใจ อนุญาตให้บริษัทสามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลได้ตามวัตถุประสงค์ที่แจ้งไว้

3.8 การละเมิดข้อมูลส่วนบุคคล (Personal Data Breach)

หมายถึง เหตุการณ์ที่ทำให้ข้อมูลส่วนบุคคลถูกเข้าถึง เปิดเผย เปลี่ยนแปลง หรือลบทิ้งโดยไม่ได้รับอนุญาต ซึ่งอาจก่อให้เกิดความเสียหายแก่เจ้าของข้อมูล

3.9 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

หมายถึง บุคคลที่ได้รับแต่งตั้งให้มีหน้าที่กำกับ ดูแล ให้คำปรึกษา และประสานงานเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร

4. ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

บริษัท Prompt Capital Co., Ltd. มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากลูกค้า พนักงาน คู่ค้า และบุคคลอื่นที่เกี่ยวข้อง เพื่อใช้ในการให้บริการ การบริหารจัดการภายใน และการปฏิบัติตามกฎหมายที่เกี่ยวข้อง โดยประเภทของข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวม ได้แก่:

4.1 ข้อมูลระบุตัวบุคคล

  • ชื่อ–นามสกุล (ทั้งภาษาไทยและภาษาอังกฤษ)
  • เลขประจำตัวประชาชน / เลขหนังสือเดินทาง / เลขประจำตัวคนต่างด้าว
  • วันเดือนปีเกิด อายุ เพศ สถานภาพสมรส
  • ลายมือชื่อ (ลายเซ็น) ทั้งในรูปแบบลายมือหรืออิเล็กทรอนิกส์
  • รูปถ่าย / ภาพจากกล้องวงจรปิด (CCTV)

4.2 ข้อมูลการติดต่อ

  • ที่อยู่ปัจจุบันและที่อยู่ตามทะเบียนบ้าน
  • หมายเลขโทรศัพท์ (บ้าน/มือถือ), อีเมล, ช่องทางสื่อสารอื่น ๆ (Line ID, Facebook ฯลฯ)

4.3 ข้อมูลทางการเงิน

  • รายได้ประจำ, แหล่งที่มาของรายได้, อาชีพ/สถานะการจ้างงาน
  • รายการเดินบัญชีธนาคาร (Statement)
  • ข้อมูลบัญชีธนาคาร, เลขบัญชี, ธนาคารที่ใช้บริการ
  • ข้อมูลการใช้บริการสินเชื่อ เช่น วงเงินคงค้าง ยอดหนี้ และประวัติการชำระ

4.4 ข้อมูลด้านการให้บริการสินเชื่อ

  • ประวัติการขอสินเชื่อ, วัตถุประสงค์ในการขอสินเชื่อ
  • ข้อมูลเกี่ยวกับหลักประกัน (ถ้ามี)
  • ข้อมูลจากเครดิตบูโร (Credit Bureau)
  • ประวัติการติดตามหนี้ การปรับโครงสร้างหนี้ ฯลฯ

4.5 ข้อมูลการใช้งานระบบอิเล็กทรอนิกส์

  • บันทึกการเข้าใช้งานระบบของบริษัท (Log file)
  • IP Address, Cookie ID, Device ID, Location data
  • การใช้งานเว็บไซต์ แอปพลิเคชัน หรือบริการดิจิทัลของบริษัท

4.6 ข้อมูลทางกฎหมายและการดำเนินคดี (หากเกี่ยวข้อง)

  • เอกสารหรือข้อมูลที่เกี่ยวข้องกับกระบวนการทางกฎหมาย เช่น หมายศาล หนังสือทวงถาม ฯลฯ

4.7 ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data) (ในกรณีจำเป็นตามกฎหมายเท่านั้น)

  • ข้อมูลสุขภาพ (เช่น กรณีจำเป็นในการประเมินความสามารถในการชำระหนี้)
  • ข้อมูลทางชีวภาพ (Biometric data) เช่น ลายนิ้วมือ ใบหน้า
  • ข้อมูลอื่น ๆ ตามที่กฎหมายกำหนด เช่น ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา (ซึ่งบริษัทจะเก็บก็ต่อเมื่อได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล เว้นแต่มีข้อยกเว้นตามกฎหมาย)

5. วิธีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล

บริษัท Prompt Capital Co., Ltd. ดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลด้วยความระมัดระวัง โปร่งใส และจำกัดเฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ที่ชอบด้วยกฎหมาย โดยจะดำเนินการตามหลักเกณฑ์ที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางของธนาคารแห่งประเทศไทย ดังนี้:

5.1 วิธีการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยตรงจากเจ้าของข้อมูล หรือจากแหล่งอื่นที่เชื่อถือได้ในกรณีที่ได้รับความยินยอมหรือเป็นไปตามกฎหมาย ได้แก่:

  • การกรอกแบบฟอร์มสมัครใช้บริการ (ออนไลน์/ออฟไลน์)
  • การติดต่อสอบถามผ่านช่องทางบริการลูกค้า เช่น Call Center, Website, Line
  • การใช้บริการระบบออนไลน์หรือ Mobile Application ของบริษัท
  • การแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก เช่น เครดิตบูโร หน่วยงานรัฐ หรือพันธมิตรทางธุรกิจ (ภายใต้ขอบเขตที่กฎหมายอนุญาต)

5.2 วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล

บริษัทจะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่จำเป็นและชอบด้วยกฎหมายเท่านั้น เช่น:

  • การพิจารณาอนุมัติสินเชื่อและให้บริการทางการเงิน
  • การบริหารจัดการความเสี่ยงและความสามารถในการชำระหนี้ของลูกค้า
  • การจัดทำสัญญา เอกสาร หรือติดต่อสื่อสารที่เกี่ยวข้องกับบริการของบริษัท
  • การวิเคราะห์พฤติกรรมลูกค้า เพื่อปรับปรุงคุณภาพการบริการ
  • การปฏิบัติตามกฎหมายและข้อกำหนดของหน่วยงานกำกับ เช่น ธปท. ปปง. สคบ. ฯลฯ
  • การป้องกันหรือระงับการกระทำผิดกฎหมาย เช่น การทุจริต ฟอกเงิน หรือการฉ้อโกง

5.3 การเปิดเผยข้อมูลส่วนบุคคล

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกในกรณีจำเป็น โดยอยู่ภายใต้หลักการความปลอดภัยและความลับของข้อมูล ดังนี้:

  • เปิดเผยต่อหน่วยงานราชการหรือผู้มีอำนาจตามกฎหมาย เช่น ธนาคารแห่งประเทศไทย (ธปท.), สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.), สำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) เป็นต้น
  • เปิดเผยต่อพันธมิตรธุรกิจ เช่น บริษัทประกันภัย เครดิตบูโร ผู้ให้บริการเทคโนโลยี และบริษัทจัดส่งเอกสาร ภายใต้ข้อตกลงการรักษาความลับ
  • เปิดเผยต่อบริษัทรับติดตามหนี้ (กรณีมีการว่าจ้างภายนอก) ภายใต้สัญญาการรักษาความลับ (Confidentiality Agreement)
  • ไม่เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เว้นแต่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล

5.4 การเก็บรวบรวม ใช้ และเปิดเผยโดยไม่ต้องขอความยินยอม

บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมในบางกรณีที่กฎหมายอนุญาต เช่น:

  • เพื่อปฏิบัติตามกฎหมาย
  • เพื่อประโยชน์สาธารณะ
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หากไม่ละเมิดสิทธิของเจ้าของข้อมูล

6. การเก็บรักษาข้อมูลและระยะเวลา

บริษัท Prompt Capital Co., Ltd. ให้ความสำคัญอย่างยิ่งกับการเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัย ถูกต้อง และครบถ้วน โดยมีแนวทางและมาตรการที่ชัดเจนในการจัดเก็บและกำหนดระยะเวลาการจัดเก็บ ดังต่อไปนี้:

6.1 มาตรการในการเก็บรักษาข้อมูล

  • สถานที่จัดเก็บ: ข้อมูลส่วนบุคคลจะถูกจัดเก็บทั้งในรูปแบบเอกสาร (Hard Copy) และรูปแบบอิเล็กทรอนิกส์ (Digital) ในสถานที่หรือระบบที่มีความปลอดภัยสูง เช่น ศูนย์ข้อมูล (Data Center) หรือระบบคลาวด์ที่มีมาตรฐาน ISO/IEC 27001
  • ระบบควบคุมการเข้าถึง: บริษัทมีระบบกำหนดสิทธิ์การเข้าถึงข้อมูล (Access Control) เพื่อให้แน่ใจว่ามีเพียงผู้มีอำนาจเท่านั้นที่สามารถเข้าถึงข้อมูลได้
  • การเข้ารหัสข้อมูล (Data Encryption): สำหรับข้อมูลสำคัญ บริษัทดำเนินการเข้ารหัสทั้งขณะจัดเก็บ (Data at Rest) และขณะส่งผ่าน (Data in Transit)
  • การสำรองข้อมูล (Backup): บริษัทมีการสำรองข้อมูลอย่างสม่ำเสมอเพื่อป้องกันการสูญหายของข้อมูลจากเหตุสุดวิสัย เช่น ไฟไหม้ ไวรัสคอมพิวเตอร์ หรือภัยพิบัติ

6.2 ระยะเวลาในการจัดเก็บข้อมูล

  • บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้ ไม่เกินความจำเป็น และเป็นระยะเวลา ตามที่กฎหมายกำหนด หรือ ตามวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูล
  • โดยทั่วไป บริษัทจะจัดเก็บข้อมูลส่วนบุคคลไว้เป็นระยะเวลา ไม่เกิน 10 ปี นับจากวันที่สิ้นสุดความสัมพันธ์ทางธุรกิจ เช่น วันที่ชำระหนี้ครบถ้วน หรือวันที่ยกเลิกสัญญา
  • สำหรับกรณีเฉพาะที่กฎหมายกำหนดให้เก็บรักษานานกว่า เช่น การสอบสวนทางกฎหมาย หรือการรายงานต่อธนาคารแห่งประเทศไทย หรือสำนักงาน ปปง. บริษัทจะปฏิบัติตามระยะเวลาที่กำหนดไว้ในกฎหมาย

6.3 การลบหรือทำลายข้อมูลส่วนบุคคล

  • เมื่อพ้นระยะเวลาการจัดเก็บ หรือเมื่อไม่มีความจำเป็นต้องใช้ข้อมูลอีกต่อไป บริษัทจะดำเนินการ ลบหรือทำลายข้อมูลส่วนบุคคลอย่างปลอดภัย โดยใช้วิธีที่ไม่สามารถกู้คืนได้ เช่น:
  • การทำลายเอกสารด้วยเครื่องทำลายเอกสารมาตรฐาน
  • การลบข้อมูลในระบบด้วยวิธีการล้างถาวร (Secure Deletion / Wipe) หรือใช้เทคนิคการเขียนทับข้อมูล

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

บริษัท Prompt Capital Co., Ltd. ให้ความเคารพและให้ความสำคัญกับสิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และข้อกำหนดของธนาคารแห่งประเทศไทย (ธปท.) โดยเจ้าของข้อมูลมีสิทธิต่าง ๆ ดังต่อไปนี้:

7.1 สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of Access)

เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลส่วนบุคคลของตนที่บริษัทเก็บรวบรวมไว้ รวมถึงสามารถขอรับสำเนาข้อมูล และขอทราบแหล่งที่มาของข้อมูลได้ เว้นแต่บริษัทมีสิทธิ์ตามกฎหมายในการปฏิเสธคำขอดังกล่าว

7.2 สิทธิในการขอแก้ไขข้อมูล (Right to Rectification)

เจ้าของข้อมูลมีสิทธิขอให้บริษัทแก้ไขข้อมูลที่ไม่ถูกต้อง ไม่ครบถ้วน หรือทำให้เป็นปัจจุบัน เพื่อให้ข้อมูลมีความถูกต้องและสะท้อนความเป็นจริง

7.3 สิทธิในการขอให้ลบหรือทำลายข้อมูล (Right to Erasure)

เจ้าของข้อมูลสามารถร้องขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ ในกรณีที่ข้อมูลไม่จำเป็นต่อวัตถุประสงค์อีกต่อไป หรือเมื่อถอนความยินยอม เว้นแต่มีเหตุจำเป็นทางกฎหมายหรือเพื่อการใช้สิทธิเรียกร้องตามกฎหมาย

7.4 สิทธิในการจำกัดการประมวลผลข้อมูล (Right to Restriction of Processing)

เจ้าของข้อมูลสามารถร้องขอให้บริษัทระงับการประมวลผลข้อมูลชั่วคราว เช่น ระหว่างการตรวจสอบความถูกต้องของข้อมูล หรือระหว่างรอการพิจารณาคำคัดค้านการประมวลผล

7.5 สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object)

เจ้าของข้อมูลมีสิทธิในการคัดค้านการประมวลผลข้อมูลในกรณีที่เกี่ยวข้องกับการตลาด การจัดทำโปรไฟล์ หรือการประมวลผลเพื่อประโยชน์สาธารณะ หรือประโยชน์โดยชอบด้วยกฎหมายของบริษัท

7.6 สิทธิในการถอนความยินยอม (Right to Withdraw Consent)

เจ้าของข้อมูลมีสิทธิถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ไว้กับบริษัทได้ทุกเมื่อ โดยการถอนความยินยอมจะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลที่ได้ดำเนินไปก่อนหน้านั้น

7.7 สิทธิในการยื่นเรื่องร้องเรียน (Right to Lodge a Complaint)

เจ้าของข้อมูลมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเห็นว่าบริษัทหรือพนักงานของบริษัทละเมิดหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

8. การประมวลผลข้อมูลโดยบุคคลภายนอก

บริษัท Prompt Capital Co., Ltd. อาจจำเป็นต้องเปิดเผยหรือให้บุคคลภายนอกประมวลผลข้อมูลส่วนบุคคลในนามของบริษัท เพื่อการให้บริการหรือดำเนินการที่เกี่ยวข้องกับวัตถุประสงค์ทางธุรกิจ โดยการดำเนินการดังกล่าวจะอยู่ภายใต้หลักเกณฑ์และมาตรการควบคุมที่เข้มงวดตามกฎหมาย และข้อกำหนดของธนาคารแห่งประเทศไทย (ธปท.) ดังรายละเอียดต่อไปนี้:

8.1 ประเภทของบุคคลภายนอกที่เกี่ยวข้อง

  • ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ เช่น ผู้พัฒนาและดูแลระบบ IT หรือ Cloud Service Provider
  • บริษัท Outsource ที่ให้บริการสนับสนุน เช่น การติดตามหนี้ การจัดส่งเอกสาร หรือ Call Center
  • พันธมิตรทางธุรกิจ เช่น บริษัทประกันภัย บริษัทเครดิตบูโร หรือผู้ให้บริการทางการเงินอื่น
  • ที่ปรึกษาทางกฎหมาย หรือหน่วยงานบังคับใช้กฎหมายตามคำสั่งศาล

8.2 เงื่อนไขในการว่าจ้างบุคคลภายนอก

บริษัทจะดำเนินการประเมินความเหมาะสมและความปลอดภัยของผู้ให้บริการภายนอก โดยต้องมีสัญญาว่าด้วยการประมวลผลข้อมูล (Data Processing Agreement) ที่ระบุเงื่อนไขอย่างชัดเจน เช่น:

  • วัตถุประสงค์ของการใช้ข้อมูล
  • ขอบเขตการเข้าถึงและการประมวลผล
  • ระยะเวลาในการจัดเก็บข้อมูล
  • มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
  • ข้อกำหนดให้ผู้ให้บริการปฏิบัติตาม PDPA และข้อกำหนดของ ธปท.

8.3 การควบคุมและตรวจสอบ

  • บริษัทจะมีระบบการควบคุมและติดตามการดำเนินงานของผู้ให้บริการบุคคลภายนอกอย่างสม่ำเสมอ
  • มีการตรวจสอบและประเมินความเสี่ยงจากการใช้บริการภายนอก โดยฝ่ายตรวจสอบภายใน
  • หากพบว่าผู้ให้บริการไม่ปฏิบัติตามข้อกำหนด บริษัทมีสิทธิยกเลิกสัญญาและรายงานต่อหน่วยงานที่เกี่ยวข้อง

8.4 ข้อห้ามในการใช้ข้อมูล

ผู้ให้บริการภายนอกจะไม่มีสิทธิใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับไปเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่กำหนดในสัญญาโดยเด็ดขาด

8.5 ความรับผิดชอบร่วม

แม้บริษัทจะมอบหมายให้บุคคลภายนอกเป็นผู้ประมวลผลข้อมูล แต่บริษัทยังคงมีหน้าที่และความรับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

9. การรักษาความมั่นคงปลอดภัยของข้อมูล

บริษัท Prompt Capital Co., Ltd. ตระหนักถึงความสำคัญในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งในรูปแบบข้อมูลอิเล็กทรอนิกส์และเอกสารทางกายภาพ เพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือทำลายข้อมูลโดยไม่ได้รับอนุญาต รวมถึงเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และข้อกำหนดของธนาคารแห่งประเทศไทย (ธปท.) โดยบริษัทได้กำหนดแนวทางการรักษาความมั่นคงปลอดภัยไว้ดังนี้:

9.1 มาตรการด้านเทคนิค (Technical Security Measures)

  • ใช้ระบบรักษาความปลอดภัยของเครือข่าย เช่น Firewall, Intrusion Detection System (IDS), และระบบป้องกันมัลแวร์
  • การเข้ารหัสข้อมูล (Data Encryption) ทั้งในขณะจัดเก็บ (at rest) และขณะส่งผ่าน (in transit)
  • การควบคุมการเข้าถึงข้อมูลผ่านระบบ Authentication เช่น รหัสผ่าน 2 ชั้น (Two-Factor Authentication)
  • จำกัดสิทธิ์การเข้าถึงข้อมูลเฉพาะบุคลากรที่มีความจำเป็น (Role-based Access Control)
  • การสำรองข้อมูล (Backup) และระบบกู้คืนข้อมูล (Disaster Recovery) อย่างสม่ำเสมอ
  • การบันทึกและติดตามการใช้งานระบบ (Log Monitoring & Audit Trail)

9.2 มาตรการด้านองค์กร (Organizational Security Measures)

  • กำหนดนโยบายและแนวปฏิบัติด้านความปลอดภัยของข้อมูลไว้เป็นลายลักษณ์อักษร และสื่อสารให้พนักงานทราบ
  • แบ่งระดับการเข้าถึงข้อมูลตามบทบาทหน้าที่งาน (Information Classification)
  • กำหนดผู้รับผิดชอบด้านความปลอดภัยของข้อมูล (เช่น DPO, IT Security Officer)
  • จัดให้มีการฝึกอบรมพนักงานเป็นประจำเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยของข้อมูล

9.3 มาตรการด้านกายภาพ (Physical Security Measures)

  • ควบคุมการเข้าถึงพื้นที่ทำงานหรือห้องเก็บเอกสารด้วยระบบบัตรผ่าน หรือระบบสแกนลายนิ้วมือ
  • เก็บเอกสารที่มีข้อมูลส่วนบุคคลไว้ในตู้ที่มีการล็อก และอนุญาตเฉพาะผู้มีสิทธิ์เข้าถึง
  • ทำลายเอกสารที่ไม่ใช้แล้วโดยวิธีที่เหมาะสม เช่น การทำลายด้วยเครื่องทำลายเอกสาร (Shredder)

9.4 การบริหารจัดการเหตุการณ์ด้านความปลอดภัย (Incident Management)

  • จัดให้มีระบบแจ้งเตือนเหตุการณ์ที่อาจเป็นการละเมิดข้อมูล (Data Breach Notification)
  • มีแผนตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย (Incident Response Plan) และทีมผู้รับผิดชอบเฉพาะกิจ
  • หากเกิดเหตุการณ์การละเมิดข้อมูล บริษัทจะดำเนินการตรวจสอบ วิเคราะห์ แจ้งเตือนเจ้าของข้อมูล และรายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด

9.5 การทบทวนและปรับปรุงมาตรการ

  • บริษัทจะประเมินและปรับปรุงมาตรการด้านความมั่นคงปลอดภัยของข้อมูลอย่างสม่ำเสมอ
  • ดำเนินการตรวจสอบความเพียงพอของมาตรการโดยฝ่าย IT และฝ่ายตรวจสอบภายในอย่างน้อยปีละ 1 ครั้ง

10. การแจ้งเหตุละเมิดข้อมูล

บริษัท Prompt Capital Co., Ltd. ให้ความสำคัญสูงสุดกับความปลอดภัยของข้อมูลส่วนบุคคล และตระหนักว่าการละเมิดข้อมูล (Data Breach) อาจส่งผลกระทบต่อสิทธิ เสรีภาพ และความเป็นส่วนตัวของเจ้าของข้อมูล รวมถึงก่อให้เกิดความเสียหายต่อชื่อเสียงและความน่าเชื่อถือของบริษัท ดังนั้น บริษัทจึงกำหนดแนวทางในการจัดการและแจ้งเหตุละเมิดข้อมูลไว้อย่างชัดเจน ดังนี้:

10.1 การตรวจจับเหตุการณ์การละเมิดข้อมูล

  • บริษัทจัดให้มีระบบตรวจจับเหตุการณ์ผิดปกติที่อาจเป็นการละเมิดข้อมูล เช่น การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การส่งออกข้อมูลจำนวนมาก หรือการสูญหายของอุปกรณ์ที่เก็บข้อมูล
  • พนักงานทุกคนมีหน้าที่ต้องแจ้งให้ DPO หรือเจ้าหน้าที่ผู้รับผิดชอบทราบทันที เมื่อพบหรือสงสัยว่ามีการละเมิดข้อมูลเกิดขึ้น

10.2 การประเมินความรุนแรงของเหตุการณ์

  • บริษัทจะจัดตั้งทีมเฉพาะกิจ (Incident Response Team) เพื่อประเมินเหตุการณ์ว่าเข้าข่ายเป็น “การละเมิดข้อมูลส่วนบุคคล” ตามที่กฎหมายกำหนดหรือไม่
  • พิจารณาว่าเหตุการณ์ที่เกิดขึ้นส่งผลกระทบต่อเจ้าของข้อมูลในลักษณะที่อาจก่อให้เกิดความเสียหาย เช่น การโจรกรรมข้อมูล การรั่วไหลสู่สาธารณะ หรือการใช้ข้อมูลโดยไม่ได้รับความยินยอม

10.3 การแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

  • หากพบว่าเหตุการณ์เข้าข่ายเป็นการละเมิดข้อมูล บริษัทมีหน้าที่ แจ้งเหตุการณ์ไปยัง สคส. ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ
  • รายงานที่ส่งจะต้องระบุรายละเอียดของเหตุการณ์ ลักษณะของข้อมูลที่ได้รับผลกระทบ ผลกระทบที่อาจเกิดขึ้น และแนวทางการแก้ไข

10.4 การแจ้งเจ้าของข้อมูล

  • หากการละเมิดข้อมูลอาจส่งผลกระทบในทางลบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล บริษัทจะต้องแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า
  • การแจ้งจะระบุข้อมูลเหตุการณ์ในลักษณะที่เข้าใจง่าย พร้อมทั้งเสนอแนวทางการป้องกันผลกระทบในเบื้องต้น เช่น การเปลี่ยนรหัสผ่าน การอายัดบัญชี ฯลฯ

10.5 การบันทึกและเก็บรักษาข้อมูล

  • บริษัทจะจัดทำบันทึกเหตุการณ์การละเมิดข้อมูลทุกกรณี ไม่ว่าจะมีการแจ้ง สคส. หรือไม่
  • รายละเอียดที่เก็บไว้ ได้แก่ วันที่ เวลา รายละเอียดของเหตุการณ์ ผู้รับผิดชอบ การแก้ไขปัญหา และการป้องกันซ้ำ

10.6 การป้องกันเหตุการณ์ซ้ำ

  • หลังเหตุการณ์ บริษัทจะประเมินหาสาเหตุของความล้มเหลวในระบบและดำเนินการแก้ไข
  • ทบทวนมาตรการความปลอดภัย และจัดอบรมพนักงานเพิ่มเติมหากจำเป็น

11. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

บริษัท Prompt Capital Co., Ltd. ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัดตามบทบัญญัติแห่งกฎหมาย และเพื่อให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ โปร่งใส และตรวจสอบได้ บริษัทจึงกำหนดให้มีการแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) โดยมีรายละเอียดดังนี้:

11.1 คุณสมบัติของ DPO

  • มีความรู้ ความเข้าใจในกฎหมายและหลักการคุ้มครองข้อมูลส่วนบุคคล
  • มีความรู้พื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศ การจัดการความเสี่ยง และระบบความปลอดภัยของข้อมูล
  • มีความเป็นอิสระในการปฏิบัติหน้าที่ และสามารถรายงานตรงต่อคณะกรรมการหรือผู้บริหารระดับสูง

11.2 บทบาทและหน้าที่ของ DPO

  • ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลส่วนบุคคล (บริษัท) และพนักงานเกี่ยวกับการปฏิบัติตามกฎหมาย PDPA และนโยบายของบริษัท
  • ตรวจสอบและติดตาม การดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลให้สอดคล้องกับนโยบาย PDPA และมาตรฐานที่เกี่ยวข้อง
  • ทำหน้าที่เป็นจุดติดต่อ ระหว่างบริษัทกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงเจ้าของข้อมูลในกรณีที่มีข้อร้องเรียนหรือเหตุละเมิดข้อมูล
  • ประเมินความเสี่ยง และเสนอแนวทางการจัดการด้านความปลอดภัยของข้อมูลส่วนบุคคล
  • จัดทำรายงาน สรุปผลการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเสนอต่อผู้บริหารระดับสูง และเสนอแนะแนวทางปรับปรุงอย่างเหมาะสม

11.3 โครงสร้างการกำกับดูแล

  • DPO ของบริษัทจะอยู่ภายใต้การดูแลของ กรรมการผู้จัดการ หรือ คณะกรรมการความเสี่ยง เพื่อให้มีความอิสระในการทำงาน
  • บริษัทจะสนับสนุนทรัพยากรที่เพียงพอให้กับ DPO ในการปฏิบัติงาน เช่น งบประมาณ อุปกรณ์ และสิทธิ์ในการเข้าถึงข้อมูลที่จำเป็น

11.4 การฝึกอบรมและพัฒนา

  • บริษัทจะจัดให้มี การฝึกอบรมอย่างต่อเนื่อง เพื่อให้ DPO มีความรู้ทันสมัยตามกฎหมายและแนวทางปฏิบัติที่เปลี่ยนแปลงไป
  • ส่งเสริมให้ DPO เข้าร่วมเครือข่ายวิชาชีพหรือกิจกรรมที่เกี่ยวข้อง เพื่อแลกเปลี่ยนความรู้และประสบการณ์

11.5 การประเมินผลการปฏิบัติงาน

  • บริษัทจะมีการประเมินผลการปฏิบัติงานของ DPO อย่างสม่ำเสมอ โดยเน้นประสิทธิภาพในการควบคุมความเสี่ยงและการส่งเสริมวัฒนธรรมการคุ้มครองข้อมูลส่วนบุคคลในองค์กร

12. การควบคุมภายในและการตรวจสอบ

บริษัท Prompt Capital Co., Ltd. กำหนดให้มีระบบควบคุมภายในที่มีประสิทธิภาพ เพื่อให้แน่ใจว่าการจัดเก็บ การใช้ และการเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางของธนาคารแห่งประเทศไทย (ธปท.) โดยระบบควบคุมภายในและการตรวจสอบประกอบด้วยประเด็นหลักดังต่อไปนี้:

12.1 ระบบควบคุมภายใน

  • มีการกำหนด กระบวนการทำงานและบทบาทหน้าที่ที่ชัดเจน ของแต่ละฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น ฝ่ายขาย ฝ่ายสินเชื่อ ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายกฎหมาย และฝ่ายกำกับความเสี่ยง
  • บริษัทมีการใช้ เครื่องมือและระบบสารสนเทศ ที่รองรับการควบคุมการเข้าถึงข้อมูล (Access Control) โดยมีการกำหนดสิทธิ์ตามบทบาทหน้าที่ และมีระบบตรวจสอบการเข้าถึงย้อนหลัง (Audit Trail)
  • มีการกำหนดขั้นตอน การอนุมัติและการตรวจสอบเอกสาร ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลก่อนการนำไปใช้งานหรือเปิดเผย
  • มีการใช้ การเข้ารหัสข้อมูล (Encryption) และมาตรการด้านความปลอดภัยทางเทคนิคอื่น ๆ เช่น Firewall, Anti-malware, ระบบสำรองข้อมูล เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

12.2 การตรวจสอบภายใน

  • บริษัทมอบหมายให้ ฝ่ายตรวจสอบภายใน ทำหน้าที่ตรวจสอบความถูกต้องและความเหมาะสมของการดำเนินการตามนโยบาย PDPA อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์สำคัญที่เกี่ยวข้องกับการละเมิดข้อมูล
  • การตรวจสอบจะครอบคลุมการปฏิบัติตามกระบวนการ KYC/CDD, การจัดเก็บข้อมูล, การให้ความยินยอม, การดำเนินการกับผู้ประมวลผลข้อมูลภายนอก และการจัดการเหตุละเมิดข้อมูล
  • จัดทำ รายงานการตรวจสอบ เสนอต่อผู้บริหารระดับสูงและคณะกรรมการความเสี่ยง พร้อมข้อเสนอแนะในการปรับปรุง
  • ผลการตรวจสอบจะนำมาใช้ในการวางแผนพัฒนาระบบและปรับปรุงกระบวนการภายใน เพื่อให้แน่ใจว่าบริษัทสามารถปฏิบัติตามกฎหมายและข้อกำหนดได้อย่างยั่งยืน

12.3 การติดตามความเสี่ยงและการปรับปรุง

  • บริษัทจะมีการประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นประจำ และปรับปรุงมาตรการควบคุมภายในให้สอดคล้องกับความเสี่ยงที่เปลี่ยนแปลงไป
  • ในกรณีที่มีเหตุการณ์ละเมิดข้อมูลหรือข้อบกพร่องในการควบคุม บริษัทจะดำเนินการสอบสวน วิเคราะห์สาเหตุ และกำหนดแผนแก้ไขอย่างเป็นระบบ รวมถึงการแจ้งเหตุละเมิดต่อ DPO และหน่วยงานกำกับ

13. การฝึกอบรมและสร้างความตระหนักรู้

บริษัท Prompt Capital Co., Ltd. ตระหนักถึงความสำคัญของการสร้างความรู้ความเข้าใจในเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานทุกระดับ เพื่อให้สามารถปฏิบัติงานได้อย่างถูกต้องตามกฎหมายและระเบียบภายในบริษัท โดยมีแนวทางดังต่อไปนี้:

13.1 การจัดหลักสูตรฝึกอบรม

  • บริษัทจะดำเนินการจัด หลักสูตรฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคล ให้แก่พนักงานทุกคนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งในส่วนของพนักงานใหม่และพนักงานเดิม
  • เนื้อหาการฝึกอบรมจะครอบคลุมถึง:
    • ความรู้เบื้องต้นเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และข้อกำหนดของธนาคารแห่งประเทศไทย
    • บทบาท หน้าที่ และความรับผิดชอบของพนักงาน
    • วิธีการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลอย่างถูกต้อง
    • แนวทางปฏิบัติเมื่อลูกค้าใช้สิทธิของเจ้าของข้อมูล
    • มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
    • การจัดการเมื่อเกิดเหตุละเมิดข้อมูล (Data Breach)
  • การฝึกอบรมจะดำเนินการ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงกฎหมาย หรือมีเหตุการณ์ที่ต้องการเร่งรัดให้พนักงานรับทราบแนวทางปฏิบัติ

13.2 การประเมินผลและทบทวนความเข้าใจ

  • พนักงานที่เข้ารับการอบรมจะต้องทำแบบทดสอบความเข้าใจ และต้องผ่านเกณฑ์ประเมินที่บริษัทกำหนด
  • บริษัทจะเก็บ ประวัติการฝึกอบรมและผลการทดสอบ ไว้เป็นหลักฐาน เพื่อประกอบการตรวจสอบภายในและการรายงานต่อหน่วยงานกำกับดูแล

13.3 การสื่อสารและสร้างความตระหนักรู้ต่อเนื่อง

  • บริษัทจะมีการ เผยแพร่ข่าวสารและแนวทางปฏิบัติที่เกี่ยวข้องกับ PDPA อย่างต่อเนื่อง ผ่านช่องทางต่าง ๆ เช่น Intranet, Email, ป้ายประชาสัมพันธ์ และการประชุมทีม
  • มีการจัดกิจกรรมรณรงค์ หรือ PDPA Awareness Campaign เป็นระยะ เพื่อสร้างวัฒนธรรมองค์กรที่ให้ความสำคัญกับข้อมูลส่วนบุคคล
  • ฝ่ายกำกับดูแล PDPA (DPO หรือเจ้าหน้าที่ที่รับผิดชอบ) จะเป็นผู้สนับสนุนการเรียนรู้ ตอบข้อซักถาม และให้คำแนะนำแก่พนักงานในแต่ละหน่วยงาน

13.4 ความรับผิดชอบของผู้บริหาร

  • ผู้บริหารระดับสูงมีหน้าที่สนับสนุนและส่งเสริมให้เกิดการฝึกอบรมและสร้างความตระหนักรู้ด้าน PDPA อย่างจริงจัง
  • ต้องติดตามผลการดำเนินงานด้านการอบรม และรายงานให้คณะกรรมการบริษัทรับทราบอย่างสม่ำเสมอ

14. การทบทวนนโยบาย

บริษัท Prompt Capital Co., Ltd. กำหนดให้มีการทบทวนและปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้แน่ใจว่านโยบายดังกล่าวยังคงเหมาะสม มีประสิทธิภาพ และเป็นไปตามกฎหมายที่เกี่ยวข้อง ตลอดจนแนวปฏิบัติของธนาคารแห่งประเทศไทยและหน่วยงานกำกับอื่น ๆ โดยมีรายละเอียดดังนี้:

14.1 ความถี่ในการทบทวน

  • บริษัทจะดำเนินการ ทบทวนและปรับปรุงนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือ
  • เมื่อมีเหตุจำเป็น เช่น:
    • มีการแก้ไขหรือออกกฎหมายใหม่ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
    • มีแนวปฏิบัติใหม่จากหน่วยงานกำกับ เช่น ธนาคารแห่งประเทศไทย (ธปท.) หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
    • มีเหตุการณ์การละเมิดข้อมูล หรือผลการตรวจสอบภายในที่แสดงให้เห็นว่านโยบายเดิมมีข้อบกพร่องหรือไม่เพียงพอ
    • มีการเปลี่ยนแปลงกระบวนการดำเนินงานหรือเทคโนโลยีที่อาจมีผลกระทบต่อการจัดการข้อมูลส่วนบุคคล

14.2 ผู้รับผิดชอบในการทบทวน

  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นผู้รับผิดชอบหลักในการตรวจสอบความเหมาะสมของนโยบายและเสนอแนะการปรับปรุงที่จำเป็น
  • DPO จะต้องประสานงานกับหน่วยงานต่าง ๆ ที่เกี่ยวข้อง เช่น ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายตรวจสอบภายใน และฝ่ายบริหารความเสี่ยง

14.3 กระบวนการอนุมัติ

  • ร่างนโยบายที่ได้รับการปรับปรุงจะต้อง เสนอผ่านผู้บริหารระดับสูง และนำเสนอ คณะกรรมการบริษัทเพื่อพิจารณาและอนุมัติ
  • เมื่อได้รับอนุมัติแล้ว จะต้อง เผยแพร่เวอร์ชันใหม่ให้พนักงานรับทราบอย่างเป็นทางการ พร้อมจัดเก็บเป็นเอกสารควบคุมเวอร์ชัน

14.4 การบันทึกการทบทวน

  • บริษัทจะจัดทำ บันทึกการทบทวนและประวัติการแก้ไขนโยบาย ไว้อย่างเป็นระบบ เพื่อใช้ในการอ้างอิงและตรวจสอบย้อนหลัง
  • เอกสารนโยบายแต่ละเวอร์ชันจะต้องระบุวันที่มีผลบังคับใช้ และวันที่สิ้นสุดของเวอร์ชันก่อนหน้าอย่างชัดเจน

14.5 การสื่อสารนโยบายที่ปรับปรุงแล้ว

  • หลังการปรับปรุง บริษัทจะจัดให้มีการ สื่อสารและอบรมพนักงานเกี่ยวกับการเปลี่ยนแปลงของนโยบาย เพื่อให้สามารถปฏิบัติงานได้อย่างถูกต้องตามแนวทางใหม่

15. การปฏิบัติตามกฎหมายและข้อกำหนด

บริษัท Prompt Capital Co., Ltd. มีความมุ่งมั่นในการดำเนินธุรกิจอย่างถูกต้องตามกฎหมายและข้อบังคับที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลทั้งในระดับประเทศและแนวปฏิบัติสากล โดยกำหนดให้การดำเนินงานภายในองค์กรสอดคล้องกับกรอบกฎหมายหลัก ดังนี้:

15.1 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

บริษัทให้ความสำคัญกับการปฏิบัติตามกฎหมาย PDPA ซึ่งเป็นกฎหมายหลักในการกำกับดูแลการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลอย่างเหมาะสม โดยเฉพาะในประเด็นสำคัญ เช่น:

  • การขอความยินยอมจากเจ้าของข้อมูล (Data Subject Consent)
  • สิทธิของเจ้าของข้อมูลตามกฎหมาย
  • การแจ้งเหตุละเมิดข้อมูล (Data Breach Notification)
  • การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

15.2 ข้อกำหนดของธนาคารแห่งประเทศไทย (ธปท.)

ในฐานะผู้ประกอบธุรกิจสินเชื่อภายใต้การกำกับ บริษัทต้องปฏิบัติตามหลักเกณฑ์ที่ ธปท. กำหนดไว้อย่างเคร่งครัด รวมถึงแนวทางปฏิบัติด้านการคุ้มครองข้อมูลลูกค้า และแนวทางในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ซึ่งเกี่ยวข้องกับความปลอดภัยของข้อมูล

15.3 กฎหมายอื่นที่เกี่ยวข้อง

บริษัทดำเนินการให้สอดคล้องกับกฎหมายและข้อบังคับอื่น ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ได้แก่:

  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560
  • พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
  • พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 (เกี่ยวกับการตรวจสอบลูกค้าร่วมกับ AML/CFT Policy)

15.4 การควบคุมตามมาตรฐานสากล

บริษัทมีแนวปฏิบัติในการออกแบบและบริหารจัดการระบบการคุ้มครองข้อมูลให้สอดคล้องกับแนวทางมาตรฐานสากล เช่น ISO/IEC 27001 (Information Security Management System) และแนวทางของ GDPR (General Data Protection Regulation) เท่าที่เหมาะสม

15.5 การติดตามการเปลี่ยนแปลงกฎหมาย

บริษัทกำหนดให้ฝ่ายกฎหมาย และเจ้าหน้าที่ DPO มีหน้าที่ในการติดตามความเปลี่ยนแปลงของกฎหมาย ระเบียบ และข้อบังคับที่เกี่ยวข้อง เพื่อให้แน่ใจว่าแนวนโยบายและแนวปฏิบัติของบริษัทมีการปรับปรุงให้ทันสมัยอยู่เสมอ

16. การจัดเก็บเอกสารและบันทึกการประมวลผล

บริษัท Prompt Capital Co., Ltd. กำหนดให้มีการจัดเก็บเอกสารและบันทึกการประมวลผลข้อมูลส่วนบุคคลไว้อย่างเป็นระบบ เพื่อให้สามารถตรวจสอบย้อนหลังได้ และเป็นไปตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และข้อกำหนดของธนาคารแห่งประเทศไทย

16.1 การจัดเก็บเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

บริษัทจัดเก็บเอกสารที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลไว้เป็นหลักฐานอย่างปลอดภัย ได้แก่:

  • แบบฟอร์มหนังสือยินยอมจากเจ้าของข้อมูล (Consent Form)
  • บันทึกผลการยืนยันตัวตน (KYC/CDD)
  • ข้อมูลและเอกสารประกอบการสมัครใช้บริการ
  • รายงานการแจ้งเหตุละเมิดข้อมูล (ถ้ามี)
  • เอกสารการปฏิเสธหรือถอนความยินยอม
  • รายงานการทบทวนหรือปรับปรุงข้อมูลของเจ้าของข้อมูล

เอกสารเหล่านี้จะถูกจัดเก็บทั้งในรูปแบบเอกสารกระดาษและเอกสารอิเล็กทรอนิกส์ ภายใต้ระบบควบคุมการเข้าถึงที่เหมาะสม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

16.2 การบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities – ROPA)

บริษัทกำหนดให้มีการจัดทำ บันทึกกิจกรรมการประมวลผลข้อมูล ตามที่กฎหมายกำหนด ซึ่งครอบคลุมถึง:

  • วัตถุประสงค์ของการประมวลผลข้อมูล
  • ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล
  • ประเภทของเจ้าของข้อมูล
  • บุคคลหรือหน่วยงานภายนอกที่ข้อมูลถูกเปิดเผยให้ (ถ้ามี)
  • ระยะเวลาการจัดเก็บข้อมูล
  • มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
  • การโอนข้อมูลไปต่างประเทศ (ถ้ามี)

ข้อมูลใน ROPA ต้องสามารถเข้าถึงได้โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และเจ้าหน้าที่ผู้มีอำนาจตามกฎหมาย เช่น สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือธนาคารแห่งประเทศไทย

16.3 ระยะเวลาในการจัดเก็บ

บริษัทจะจัดเก็บเอกสารและบันทึกการประมวลผลไว้เป็นระยะเวลา ไม่น้อยกว่า 5 ปี นับจากวันที่เลิกการประมวลผล หรือสิ้นสุดความสัมพันธ์ทางธุรกิจกับเจ้าของข้อมูล เว้นแต่กฎหมายจะกำหนดให้ต้องเก็บไว้นานกว่านั้น

16.4 การตรวจสอบและเข้าถึง

การเข้าถึงเอกสารและบันทึกการประมวลผลจะกระทำได้เฉพาะผู้มีอำนาจหรือเจ้าหน้าที่ที่เกี่ยวข้อง และจะต้องได้รับการอนุมัติจากผู้บริหารหรือเจ้าหน้าที่ DPO เพื่อป้องกันการเข้าถึงโดยมิชอบ

17. การลงโทษหรือบทกำหนดโทษภายใน

บริษัท Prompt Capital Co., Ltd. ให้ความสำคัญอย่างยิ่งต่อการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้อง โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และข้อกำหนดของธนาคารแห่งประเทศไทย การละเมิดนโยบายหรือไม่ปฏิบัติตามข้อกำหนดที่ระบุไว้อาจส่งผลกระทบต่อสิทธิของเจ้าของข้อมูล และก่อให้เกิดความเสียหายทางกฎหมายและชื่อเสียงต่อบริษัท ดังนั้น บริษัทจึงกำหนดบทลงโทษภายในไว้เพื่อเป็นมาตรการควบคุมและป้องปราม ดังนี้:

17.1 กรณีที่เข้าข่ายการกระทำผิด

บุคลากรของบริษัทที่กระทำการใด ๆ ดังต่อไปนี้ ถือว่าเป็นการละเมิดนโยบายและอาจถูกพิจารณาลงโทษทางวินัย:

  • เข้าถึง ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลโดยไม่มีอำนาจ
  • ไม่ปฏิบัติตามขั้นตอนที่กำหนดไว้ในนโยบาย PDPA เช่น การขอความยินยอม การแจ้งวัตถุประสงค์ หรือการแจ้งสิทธิ
  • ไม่รายงานเหตุละเมิดข้อมูล (Data Breach) ที่ตนทราบให้แก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ละเลยหรือเพิกเฉยต่อมาตรการด้านความมั่นคงปลอดภัยของข้อมูล
  • ขัดขวางหรือปิดบังข้อมูลในการตรวจสอบหรือสอบสวนเกี่ยวกับการละเมิดนโยบาย

17.2 บทกำหนดโทษภายใน

บทลงโทษจะพิจารณาตามความรุนแรงของการละเมิด โดยแบ่งเป็น 3 ระดับหลัก ดังนี้:

  • ระดับเบา: ตักเตือนด้วยวาจาหรือหนังสือ
  • ระดับกลาง: พักงานชั่วคราวโดยไม่รับค่าตอบแทน
  • ระดับรุนแรง: เลิกจ้างโดยไม่จ่ายค่าชดเชย (กรณีฝ่าฝืนร้ายแรงหรือเจตนาก่อให้เกิดความเสียหาย)

ทั้งนี้ การพิจารณาบทลงโทษจะกระทำโดยคณะกรรมการด้านวินัย หรือคณะกรรมการบริหารของบริษัทตามลำดับอำนาจ และพิจารณาจากพฤติการณ์ ความร้ายแรง ความเสียหายที่เกิดขึ้น และประวัติการกระทำผิด

17.3 ความรับผิดทางแพ่งและอาญา

หากการกระทำละเมิดของพนักงานเป็นการกระทำที่เข้าข่ายผิดกฎหมาย บริษัทขอสงวนสิทธิ์ในการดำเนินการตามกฎหมายต่อผู้กระทำผิดนั้น รวมถึงเรียกร้องค่าเสียหาย หรือส่งเรื่องให้หน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องดำเนินการ

17.4 การแจ้งผลการดำเนินการ

ผลของการดำเนินการทางวินัยหรือบทลงโทษจะถูกจัดเก็บเป็นส่วนหนึ่งของประวัติการทำงานของพนักงาน และอาจมีผลต่อการประเมินผล การพิจารณาเลื่อนขั้น หรือการต่อสัญญาในอนาคต

18. การอ้างอิงกฎหมายหรือข้อกำหนดที่เกี่ยวข้อง

เพื่อให้การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท Prompt Capital Co., Ltd. เป็นไปอย่างถูกต้อง ครอบคลุม และสอดคล้องกับกฎหมายและข้อกำหนดของหน่วยงานกำกับดูแล บริษัทได้ยึดถือหลักเกณฑ์และข้อกำหนดที่เกี่ยวข้องจากแหล่งต่อไปนี้ในการจัดทำนโยบายและแนวทางปฏิบัติ:

18.1 กฎหมายภายในประเทศ

  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)


    กฎหมายหลักที่ใช้ควบคุมการเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคล รวมถึงการกำหนดสิทธิของเจ้าของข้อมูล การแจ้งเหตุละเมิดข้อมูล และการแต่งตั้งเจ้าหน้าที่ DPO
  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560
    ใช้ควบคุมการเข้าถึงหรือเปิดเผยข้อมูลโดยมิชอบ และกำหนดบทลงโทษสำหรับการกระทำผิดเกี่ยวกับระบบสารสนเทศ
  • พระราชบัญญัติการทวงถามหนี้ พ.ศ. 2558
    ใช้ควบคุมพฤติกรรมการติดต่อกับเจ้าของข้อมูลในกรณีที่เกี่ยวข้องกับการติดตามหนี้ ซึ่งอาจเกี่ยวเนื่องกับการใช้ข้อมูลส่วนบุคคล
  • กฎหมายแรงงาน และระเบียบการจ้างงาน
    ที่เกี่ยวข้องกับการใช้และเก็บรักษาข้อมูลพนักงาน รวมถึงข้อมูลด้านสวัสดิการและผลประโยชน์

18.2 ข้อกำหนดจากหน่วยงานกำกับดูแล

  • ธนาคารแห่งประเทศไทย (ธปท.)
    • แนวทางการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูล (IT Risk)
    • แนวปฏิบัติด้านการคุ้มครองผู้บริโภคทางการเงิน (Market Conduct)
    • ประกาศ/คำสั่งเกี่ยวกับการกำกับดูแลข้อมูลลูกค้าของสถาบันการเงิน
  • สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
    แนวทางและคำแนะนำที่ออกโดยหน่วยงานกลางในการตีความกฎหมาย PDPA เช่น มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูล, แนวทางการแจ้งเหตุละเมิดข้อมูล และการประมวลผลโดยบุคคลภายนอก
  • สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.)
    สำหรับกรณีที่เกี่ยวข้องกับข้อมูลลูกค้าในกระบวนการ KYC/CDD และ AML/CFT ที่อาจนำไปสู่การแลกเปลี่ยนข้อมูลเพื่อการตรวจสอบธุรกรรมต้องสงสัย

18.3 มาตรฐานสากลที่เกี่ยวข้อง (หากมีการประยุกต์ใช้)

  • General Data Protection Regulation (GDPR) ของสหภาพยุโรป
    ใช้เป็นแนวทางอ้างอิงในการกำหนดสิทธิของเจ้าของข้อมูลและการจัดการข้อมูลในระบบดิจิทัล
  • ISO/IEC 27001:2013
    มาตรฐานสากลสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูล (Information Security Management System: ISMS) ซึ่งสามารถประยุกต์ใช้ร่วมกับนโยบาย PDPA ได้