นโยบายคุ้มครองข้อมูลส่วนบุคคล
(DATA PRIVACY POLICY)

บริษัทฯ หมายถึง บริษัท นิภา เทคโนโลยี จำกัด

ผู้ใช้บริการ/ลูกค้า หมายถึง บุคคลหรือนิติบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ที่เข้าใช้บริการต่าง ๆ ของ บริษัท นิภา เทคโนโลยี จำกัด

ผู้มีอำนาจอนุมัติ หมายถึง ผู้ที่ได้รับมอบหมายจากบริษัทฯ ให้มีอำนาจในการอนุมัติใด ๆ ภายใต้ขอบเขตอำนาจที่ได้รับจากบริษัทฯ

ผู้ดูแลระบบงาน หมายถึง หน่วยงานหรือผู้ที่ได้รับมอบหมายจากเจ้าของระบบงาน หรือเจ้าของข้อมูลส่วนบุคคล ให้ทำหน้าที่รับผิดชอบดูแลระบบงานหนึ่ง ๆ

เจ้าของระบบงาน หมายถึง ผู้บริหารของฝ่ายงานทางธุรกิจ หรือผู้บริหาร ที่มีหน้าที่และความรับผิดชอบต่อระบบงานหนึ่ง ๆ

ผู้บริหารและพนักงาน หมายถึง ผู้บริหาร ผู้จัดการ เจ้าหน้าที่ พนักงาน พนักงานชั่วคราว และบุคคลใด ๆ ที่ได้รับการจ้างงาน หรือรับจ้างทำงานตามสัญญา บริษัท นิภา เทคโนโลยี จำกัด

เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลซึ่งสามารถถูกระบุตัวตนได้โดยข้อมูลส่วนบุคคลนั้น ๆ ไม่ว่าโดยทางตรง หรือทางอ้อม มีความหมายในลักษณะเป็นบุคคลที่ข้อมูลนั้นชี้บ่งไปถึง ไม่ใช่เป็นเจ้าของในลักษณะทรัพยสิทธิ หรือเป็นคนสร้างข้อมูลนั้นขึ้นมา

ผู้เยาว์ หมายถึง บุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์ ยกเว้นบุคคลธรรมดาที่มีอายุยังไม่ครบยี่สิบปีบริบูรณ์แต่ได้ทำการสมรสตามกฎหมายอันมีผลให้เป็นผู้บรรลุนิติภาวะตามบทบัญญัติแห่งกฎหมาย

คนไร้ความสามารถ หมายถึง บุคคลที่มีการพิการ หรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือเหตุอื่นใดทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่เสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งศาลได้สั่งให้เป็นคนเสมือนไร้ความสามารถ และอยู่ในความดูแลของผู้พิทักษ์ที่ศาลแต่งตั้ง

ผู้พิทักษ์ หมายถึง ผู้มีหน้าที่ดูแล “คนเสมือนไร้ความสามารถ” โดยพนักงานอัยการร้องขอต่อศาล และศาลได้ตัดสินให้เป็น “ผู้พิทักษ์” ให้ทำการดูแล “คนเสมือนไร้ความสามารถ”

**ผู้ควบคุมข้อมูลส่วนบุคคล **หมายถึง ผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูล หมายถึง ผู้ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

การประมวลผลข้อมูล หมายถึง การดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบจัดโครงสร้างเก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

แอปพลิเคชัน หมายถึง โปรแกรม หรือชุดคำสั่งที่ใช้ควบคุมการทำงานของคอมพิวเตอร์เคลื่อนที่และอุปกรณ์ต่อพ่วงต่าง ๆ เพื่อให้ทำงานตามคำสั่ง และตอบสนองความต้องการของผู้ใช้ โดยแอปพลิเคชัน (Application) ต้องมีสิ่งที่เรียกว่า ส่วนติดต่อกับผู้ใช้ (User Interface หรือ UI) เพื่อเป็นตัวกลางการใช้งานต่าง ๆ

IP Address หมายถึง สัญลักษณ์เชิงหมายเลขที่กำหนดให้แก่อุปกรณ์แต่ละชนิด เช่นคอมพิวเตอร์ หรือเครื่องพิมพ์ ที่มีส่วนร่วมอยู่ในเครือข่ายคอมพิวเตอร์หนึ่ง ๆ ที่ใช้อินเทอร์เน็ตโพรโทคอลในการสื่อสาร

คุกกี้ (Cookie) หมายถึง ข้อมูลขนาดเล็กที่เว็บไซต์ของบริษัทฯ ส่งไปยังคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ที่เชื่อมต่ออินเทอร์เน็ต เพื่อเก็บข้อมูลส่วนบุคคล โดยคุกกี้จะถูกส่งกลับไปที่เว็บไซต์ต้นทางในแต่ละครั้งที่กลับเข้ามาดูที่เว็บไซต์ดังกล่าว

สำนักงาน หมายถึง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2.1 คณะกรรมการบริษัท มีหน้าที่กำกับดูแลให้มีการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและกฎเกณฑ์ทางราชการ และแต่งตั้งหรือปรับเปลี่ยนคณะทำงานการจัดการข้อมูลส่วนบุคคลเพื่อสนับสนุนการดำเนินงานของคณะกรรมการฯ

2.2 คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) ได้รับมอบหมายจากคณะกรรมการบริษัทฯ ให้กำกับดูแลการดำเนินงานของคณะทำงานการจัดการข้อมูลส่วนบุคคล กำหนดแนวทางการจัดทำและทบทวนนโยบายรวมถึงกรอบการดำเนินงานด้านการจัดการข้อมูลส่วนบุคคล

2.3 ผู้บริหารระดับสูง มีหน้าที่จัดการและควบคุมการปฏิบัติงานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายและกฎเกณฑ์ทางการ รวมถึงจัดให้มีการรักษาความปลอดภัยของข้อมูลที่มีประสิทธิผล

2.4 พนักงาน มีหน้าที่ปฏิบัติตามนโยบายฉบับนี้ ระเบียบปฏิบัติ และคำสั่งของบริษัทฯ รวมถึงกฎหมายและกฎเกณฑ์ทางการต่าง ๆ ที่เกี่ยวข้องโดยเคร่งครัด

3.1 การป้องกันข้อมูลส่วนบุคคลตามนโยบายฉบับนี้ครอบคลุมข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดา

3.2 บริษัทฯ กำหนดให้ DPO มีหน้าที่ดำเนินการทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือ เมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการปฏิบัติงานตามนโยบายฉบับนี้ และการเปลี่ยนแปลงใด ๆ บริษัทฯ จะประกาศให้ทราบผ่านเว็บไซต์ของบริษัทฯ ที่ www.nipa.cloud

3.3 บริษัทฯ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่บริษัทฯ ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้หรือมีฐานที่ชอบด้วยกฎหมายรองรับ ดังนี้

• เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
• เป็นการปฏิบัติตามกฎหมาย
• เป็นการจำเป็นภายใต้ประโยชน์โดยชอบด้วยกฎหมาย โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุผล
• เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะ
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
• เพื่อการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

3.4 บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบตามที่กฎหมายกำหนด

3.5 บริษัทฯ ลบ ทำลายข้อมูลส่วนบุคคลหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอหรือตามที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม เว้นแต่มีเหตุโดยชอบด้วยกฎหมายหรือกฎเกณฑ์ทางราชการ ที่ทำให้บริษัทฯ ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป

3.6 บริษัทฯ มีการดูแลข้อมูลส่วนบุคคลอย่างปลอดภัย รวมถึงคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลและการรักษาความลับของข้อมูลส่วนบุคคล

4.1 การขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ต้องดำเนินการอย่างชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ การขอความยินยอมด้วยวิธีอื่นจะต้องมีหลักฐานที่น่าเชื่อถือได้ว่าเจ้าของข้อมูลส่วนบุคคลได้แสดงเจตนาให้ความยินยอม

4.2 เจ้าของข้อมูลส่วนบุคคลต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ และคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

4.3 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

4.4 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจการทำการแทนคนไร้ความสามารถ

4.5 กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

4.6 กรณีเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจตามข้อ 4.3, 4.4, 4.5 ต้องการถอนความยินยอมที่เคยให้ไว้ ให้ดำเนินการตามที่เจ้าของข้อมูลส่วนบุคคลขอโดยง่ายเช่นเดียวกับการให้ความยินยอม และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ให้แจ้งถึงผลกระทบจากการถอนความยินยอมนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ

4.7 บริษัทฯ ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ จะทำไม่ได้เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบโดยได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว

5.1 การเก็บรวบรวมข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์เพื่อนำข้อมูลส่วนบุคคลมาใช้ในการดำเนินงานของบริษัทฯ ในด้านต่าง ๆ ภายใต้ข้อกำหนดของกฎหมายหรือกฎเกณฑ์ทางการ

5.2 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดดังต่อไปนี้

• วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
• ความจำเป็นที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือเพื่อเข้าทำสัญญา และผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
• ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
• ประเภทของบุคคลหรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูลส่วนบุคคล รวมถึงรายชื่อของบุคคลหรือหน่วยงานดังกล่าว (ตามแต่กรณี)
• สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
• ข้อมูลเกี่ยวกับบริษัทฯ และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ

5.3 ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องถูกต้องครบถ้วนตามข้อเท็จจริงที่ได้รับแจ้งจากเจ้าของข้อมูลส่วนบุคคล หากข้อมูลมีการเปลี่ยนแปลง ให้ดำเนินการแก้ไขให้ถูกต้องและเป็นปัจจุบัน

5.4 การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว ให้ดำเนินการขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยต้องขออนุมัติจากผู้มีอำนาจอนุมัติ

5.5 การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบภายใน 30 วันนับแต่เก็บรวบรวมข้อมูลส่วนบุคคล โดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ โดยขออนุมัติจากผู้มีอำนาจอนุมัติ

5.6 การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องมีการบันทึกรายละเอียดวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาเก็บรักษาข้อมูล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่น ๆ ตามที่กฎหมายกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลหรือสำนักงานตรวจสอบได้

6.1 พนักงานของบริษัทฯ สามารถเข้าถึงหรือใช้ข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อการปฏิบัติงานและตามสิทธิที่บริษัทฯ กำหนด หากพนักงานของบริษัทฯ มีความจำเป็นในการปฏิบัติงานที่ต้องเข้าถึงข้อมูลส่วนบุคคลเกินกว่าสิทธิที่บริษัทฯ กำหนด ต้องดำเนินการขออนุมัติจากผู้มีอำนาจ

6.2 พนักงานของบริษัทฯ ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมเท่านั้น เว้นแต่มีฐานที่ชอบด้วยกฎหมายรองรับ

6.3 ผู้ดูแลระบบงานและเจ้าของระบบงานต้องอนุญาตให้พนักงานของบริษัทฯ เข้าถึงข้อมูลส่วนบุคคลได้เฉพาะพนักงานของบริษัทฯ ที่มีสิทธิตามที่กำหนด หรือได้รับการอนุมัติจากผู้มีอำนาจอนุมัติ

บริษัทฯ มีการจัดเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกระบวนการต่อไปนี้

7.1 ข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

7.2 ข้อมูลส่วนบุคคลจากบุคคลที่สาม เช่น ตัวแทน ร้านค้า หรือบริษัทที่ให้การบริการจัดเก็บรวบรวมข้อมูล คู่ค้า พันธมิตร เป็นต้น

7.3 ข้อมูลส่วนบุคคลที่ได้รับจากการเข้าเยี่ยมชมเว็บไซต์ เช่น ชื่อของผู้ให้บริการอินเทอร์เน็ต และที่อยู่ไอพี (IP Address) ผ่านการเข้าใช้อินเทอร์เน็ต วันที่และเวลาของการเข้าเยี่ยมชมเว็บไซต์ หน้าเพจที่เข้าเยี่ยมชมขณะเข้าเว็บไซต์ และที่อยู่ของเว็บไซต์ ซึ่งเชื่อมโยงโดยตรงกับเว็บไซต์ของบริษัทฯ

7.4 ข้อมูลส่วนบุคคลที่ได้รับจากข้อมูลสาธารณะ (Public Records) และที่ไม่ใช่สาธารณะ (Non-Public Records) ที่บริษัทฯ มีสิทธิเก็บรวบรวมได้ตามกฎหมาย

7.5 ข้อมูลส่วนบุคคลที่ได้รับจากหน่วยงานภาครัฐ หน่วยงานกำกับดูแลที่ใช้อำนาจตามกฎหมาย

8.1 การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกหรือหน่วยงานภายนอกบริษัทฯ ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางราชการ

บริษัทฯ จะเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม และ/หรือ หน่วยงานหรือองค์กรภายนอก เฉพาะกรณีดังต่อไปนี้

8.1.1 บุคคลที่ได้รับมอบหมายให้ทำหน้าที่เป็นตัวกลาง เช่น บริษัทขนส่ง บริษัทจัดเก็บเอกสาร บริษัทผู้พัฒนาระบบสารสนเทศที่ใช้ในการดำเนินกิจกรรมต่าง ๆ ของบริษัทฯ

8.1.2 พันธมิตร คู่ค้า และ/หรือ ผู้ให้บริการภายนอก เพื่อให้บริการเกี่ยวกับสิทธิประโยชน์และบริการต่าง ๆ แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงการพัฒนาและปรับปรุงผลิตภัณฑ์หรือบริการของบริษัทฯ เช่น การวิเคราะห์ข้อมูล การประมวลผลข้อมูล การให้บริการด้าน IT และโครงสร้างพื้นฐานที่เกี่ยวข้อง การพัฒนาแพลตฟอร์มบริการลูกค้า การส่งอีเมลและ SMS การปรับปรุงเว็บไซต์และแอปพลิเคชัน การสำรวจความพึงพอใจ การวิจัย และการบริหารความสัมพันธ์ลูกค้า โดยในกรณีที่เป็นนิติบุคคล จะต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล

8.1.3 หน่วยงานของรัฐ รัฐบาล หรือหน่วยงานตามกฎหมาย เพื่อปฏิบัติตามกฎหมาย คำสั่ง คำขอ หรือประสานงานกับหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับข้อกฎหมาย
8.2 การรับข้อมูลส่วนบุคคลจากบุคคลหรือหน่วยงานภายนอกบริษัทฯ ต้องมั่นใจว่าข้อมูลส่วนบุคคลที่ได้รับนั้นมีฐานที่ชอบด้วยกฎหมายรองรับ และต้องได้รับอนุมัติจากคณะกรรมการกำกับการจัดการข้อมูล เว้นแต่เป็นการปฏิบัติตามกฎหมายหรือกฎเกณฑ์ทางราชการ

บริษัทฯ จะเก็บรวบรวมข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับบริษัทฯ โดยตรง หรือข้อมูลส่วนบุคคลที่บริษัทฯ ได้รับจากการให้บริการหรือการดำเนินงานของบริษัทฯ ผ่านทุกช่องทาง ซึ่งรวมถึงช่องทางดังต่อไปนี้

8.2.1 ข้อมูลส่วนบุคคลที่ได้รับเมื่อเจ้าของข้อมูลส่วนบุคคลลงทะเบียน หรือกรอกแบบฟอร์มเพื่อเข้าร่วมกิจกรรมต่าง ๆ ของบริษัทฯ หรือใช้บริการของบริษัทฯ เช่น ชื่อ นามสกุล หมายเลขบัตรประชาชน หมายเลขโทรศัพท์ วันเดือนปีเกิด ที่อยู่ อีเมล เป็นต้น

8.2.2 ข้อมูลจากการสมัครสมาชิกหรือการเข้าร่วมกิจกรรม ข้อมูลการสร้างบัญชีผู้ใช้งาน (Account) ที่มีรายละเอียดข้อมูลส่วนบุคคลเพื่อใช้ในการเข้าถึงบริการของบริษัทฯ ผ่านช่องทางต่าง ๆ เช่น เว็บไซต์ของบริษัทฯ บริการ Web Application รวมถึงข้อมูลส่วนบุคคลที่ให้ไว้สำหรับการสมัครเข้าร่วมกิจกรรม และ/หรือ การติดต่อบริษัทฯ ผ่านเว็บไซต์หรือช่องทางอื่นที่บริษัทฯ กำหนด

8.2.3 ข้อมูลจากการสำรวจ หรือข้อมูลเกี่ยวกับการเข้าร่วมกิจกรรม เช่น ความพึงพอใจ ความสนใจ พฤติกรรมผู้บริโภค เป็นต้น

8.2.4 ข้อมูลเกี่ยวกับธุรกรรมกับบริษัทฯ หรือบุคคลอื่น เช่น ข้อมูลการสมัครเป็นตัวแทน ข้อมูลการประมูล รวมถึงเลขที่บัญชีธนาคาร หรือข้อมูลเกี่ยวกับธุรกรรมตามประเภทของธุรกรรมของเจ้าของข้อมูลส่วนบุคคล

8.2.5 ข้อมูลจากเว็บไซต์ของบริษัทฯ เว็บไซต์อื่น หรือแอปพลิเคชันของบริษัทฯ หรือที่ดำเนินการโดยบริษัทฯ การใช้งานสื่อสังคมออนไลน์ และการโต้ตอบกับโฆษณาออนไลน์ของบริษัทฯ เช่น เวอร์ชันและประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดเว็บไซต์ ประเภทของอุปกรณ์ที่ใช้เข้าถึงบริการ เช่น คอมพิวเตอร์ส่วนบุคคล โน้ตบุ๊ก หรือสมาร์ตโฟน ระบบปฏิบัติการ ข้อมูลแพลตฟอร์ม IP Address ข้อมูลตำแหน่งที่ตั้ง รวมถึงข้อมูลเกี่ยวกับบริการและผลิตภัณฑ์ที่เจ้าของข้อมูลส่วนบุคคลเข้าเยี่ยมชมหรือค้นหา

8.2.6 ข้อมูลจากบันทึกการติดต่อระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทฯ ซึ่งจัดเก็บในรูปแบบข้อความ การประเมินความพึงพอใจ งานวิจัยและสถิติ การบันทึกบทสนทนา การบันทึกภาพจากกล้องวงจรปิด (CCTV) เมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อบริษัทฯ เช่น การติดต่อศูนย์บริการลูกค้า รวมถึงข้อมูลจากสื่อการติดต่อ เช่น SMS Social Media แอปพลิเคชัน หรืออีเมล เป็นต้น

8.2.7 ข้อมูลโปรไฟล์สื่อสังคมออนไลน์ เมื่อใช้ข้อมูลการเข้าสู่ระบบของสื่อสังคมออนไลน์ เช่น Facebook Twitter และ Line เพื่อเชื่อมต่อหรือเข้าใช้บริการของบริษัทฯ เช่น Social Media Account ID ความสนใจ (Interests) รายการที่ชอบ (Likes) และรายชื่อเพื่อนของเจ้าของข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถควบคุมการจัดเก็บข้อมูลส่วนตัวผ่านการตั้งค่าบัญชีสื่อสังคมออนไลน์ที่ผู้ให้บริการกำหนดไว้
8.3 กรณีที่บริษัทฯ มอบหมายให้บุคคลหรือหน่วยงานภายนอกบริษัทฯ ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทนบริษัทฯ จะต้องดำเนินการโดยผู้ประมวลผลข้อมูลส่วนบุคคลที่มีมาตรฐานการรักษาความปลอดภัยที่เหมาะสมและเทียบเท่ามาตรฐานของบริษัทฯ ตามนโยบายด้านความมั่นคงปลอดภัยของผู้ให้บริการภายนอก รวมถึงต้องมีข้อตกลงร่วมกันในการควบคุมการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย โดยกำหนดวัตถุประสงค์หรือคำสั่งในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดมาตรการป้องกันไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ โดยไม่ได้รับอนุญาตจากบริษัทฯ

ในกรณีที่บริษัทฯ มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ ต้องกำหนดมาตรฐานในสัญญาและ/หรือ ข้อตกลงกับคู่สัญญาหรือหน่วยงานทางธุรกิจ ให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติตามกฎหมายที่เกี่ยวข้อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองอย่างปลอดภัย เช่น

9.1 กรณีที่บริษัทฯ มีความจำเป็นต้องจัดเก็บ และ/หรือ โอนข้อมูลส่วนบุคคลเข้าสู่ฐานข้อมูลในต่างประเทศ

9.2 กรณีการใช้บริการ Cloud Computing บริษัทฯ จะพิจารณาองค์กรที่มีมาตรฐานความปลอดภัยระดับสากล และมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบเข้ารหัส (Encryption) หรือวิธีการอื่นที่ไม่สามารถระบุตัวบุคคลได้ เป็นต้น

นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายชื่อบุคคลที่สามที่บริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้ได้จากเว็บไซต์ของบริษัทฯ ที่ www.nipa.cloud ทั้งนี้ รายชื่อบุคคลที่สามดังกล่าวอาจมีการเปลี่ยนแปลง เพิ่มเติม หรือลดลงได้ โดยบริษัทฯ จะดำเนินการปรับปรุงข้อมูลให้เป็นปัจจุบันอยู่เสมอ

เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีความมั่นใจในการบริหารจัดการด้านความมั่นคงปลอดภัยและการรักษาความลับ บริษัทฯ ยึดถือนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ รวมถึงปฏิบัติตามมาตรฐานสากลและการบริหารความต่อเนื่องทางธุรกิจให้เป็นไปตามกฎหมาย

บริษัทฯ ได้กำหนดมาตรการในการปกป้องข้อมูลส่วนบุคคล โดยจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้เฉพาะบุคคลที่ได้รับมอบหมายและมีความจำเป็นต้องใช้ข้อมูลดังกล่าวในการนำเสนอผลิตภัณฑ์และบริการของบริษัทฯ เช่น พนักงานของบริษัทฯ ที่ได้รับสิทธิในการเข้าถึงข้อมูลส่วนบุคคล โดยพนักงานดังกล่าวจะต้องปฏิบัติตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ และมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลอย่างเคร่งครัด ทั้งนี้ บริษัทฯ ได้จัดให้มีมาตรการรักษาความปลอดภัยทั้งในเชิงกายภาพและเชิงอิเล็กทรอนิกส์ให้เป็นไปตามมาตรฐานที่กฎหมายกำหนด

ในกรณีที่บริษัทฯ ทำสัญญาหรือข้อตกลงกับบุคคลภายนอก บริษัทฯ จะกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและการรักษาความลับ เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่บริษัทฯ ครอบครองจะได้รับความปลอดภัยอย่างเหมาะสม

บริษัทฯ ต้องจัดให้มีการจัดเก็บและบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยต้องจัดเก็บทั้งกรณีที่บริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล และกรณีที่บริษัทฯ เป็นผู้ประมวลผลข้อมูลส่วนบุคคลแทนผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น เพื่อให้เป็นไปตามกฎหมาย

รายการบันทึกการประมวลผลข้อมูลส่วนบุคคลอย่างน้อยต้องประกอบด้วย ประเภทของเจ้าของข้อมูลส่วนบุคคล ประเภทและรายละเอียดของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม หรือใช้ วัตถุประสงค์ตามกฎหมายของการประมวลผลข้อมูล ระยะเวลาการเก็บรักษา การเปิดเผยข้อมูลส่วนบุคคล และรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่บริษัทฯ ใช้ ทั้งนี้ รายการบันทึกการประมวลผลข้อมูลส่วนบุคคลต้องถูกต้อง ครบถ้วน และเป็นปัจจุบัน

เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้

• สิทธิในการขอรับรู้ถึงการมีอยู่ ลักษณะ และวัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคลของบริษัทฯ
• สิทธิในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตน ซึ่งบริษัทฯ จะจัดให้มีกระบวนการที่เหมาะสมในการยืนยันตัวตนก่อน
• สิทธิในการขอให้แก้ไข เปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
• สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
• สิทธิในการขอให้ระงับการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการชั่วคราว
• สิทธิในการขอให้ดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
• สิทธิในการขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตน ในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการไม่ได้ให้ความยินยอมในการรวบรวมหรือจัดเก็บ
• สิทธิในการถอนความยินยอมที่เคยให้แก่บริษัทฯ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

ทั้งนี้ บริษัทฯ ได้กำหนดช่องทางการติดต่อเพื่อใช้สิทธิของท่านตามรายละเอียด ข้อที่ 20 โดยบริษัทฯ จะดำเนินการและพิจารณาตามที่ท่านร้องขอภายในระยะเวลา 30 วัน นับตั้งแต่วันที่ได้รับคำร้อง อย่างไรก็ตามบริษัทฯ สามารถปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด หรือตามสัญญาที่ทำไว้กับบริษัทฯ กรณีที่จะทำให้เจ้าของข้อมูลส่วนบุคคลเสียสิทธิประโยชน์ต่าง ๆ

อนึ่ง การลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านอยู่ในรูปแบบที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลสามารถทำได้ภายใต้ข้อกำหนดของกฎหมายและสัญญาที่ทำไว้กับบริษัทฯ เท่านั้น ทั้งนี้ การใช้สิทธิดังกล่าวอาจจะส่งผลต่อกรณีการปฏิบัติตามสัญญาที่ทำไว้กับบริษัทฯ หรือกรณีการให้บริการอื่น ๆ เนื่องจากจะไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ จึงอาจเกิดข้อจำกัดในการให้บริการในบางส่วนที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล และอาจทำให้เจ้าของข้อมูลส่วนบุคคลนั้นไม่ได้รับสิทธิประโยชน์การบริการ และข่าวสารจากบริษัทฯ ต่อไป

บริษัทฯ ต้องจัดให้มีมาตรการเชิงรุกและป้องกันในการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลโดยเริ่มตั้งแต่การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งในการออกแบบและพัฒนาระบบ ในโครงสร้างพื้นฐานของระบบสารสนเทศ รวมถึงการเปลี่ยนแปลงที่กระทบต่อการประมวลผลข้อมูลส่วนบุคคล โดยต้องกำหนดให้มาตรการคุ้มครองข้อมูลส่วนบุคคลเป็นมาตรฐานตั้งต้นเพื่อให้มั่นใจว่าการคุ้มครองข้อมูลส่วนบุคคลถูกผนวกเข้าเป็นส่วนหนึ่งของเทคโนโลยีและกระบวนการด้านการดำเนินธุรกิจในทุกขั้นตอน

บริษัทฯ จัดให้มีมาตรฐานปฏิบัติงาน เพื่อให้สามารถจัดการเหตุการณ์ผิดปกติที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทฯ ดูแลอยู่ได้อย่างมีประสิทธิภาพและทันการณ์ ตามวิธีการปฏิบัติเกี่ยวกับการตอบสนองต่อเหตุการณ์ซึ่งส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคลหรือเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure)

บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลตราบเท่าที่จำเป็น โดยคำนึงถึงวัตถุประสงค์และความจำเป็นที่บริษัทฯ จะต้องดำเนินการจัดเก็บรวบรวมและประมวลผล ซึ่งรวมไปถึงการปฏิบัติตามข้อกำหนดของกฎหมายที่ใช้บังคับ บริษัทฯ จะจัดเก็บข้อมูลส่วนบุคคลไว้หลังระยะเวลาที่เจ้าของข้อมูลไม่มีปฏิสัมพันธ์กับบริษัทฯ ระยะเวลาหนึ่ง และสอดคล้องตามระยะเวลาและอายุความของกฎหมายที่เกี่ยวข้อง โดยบริษัทฯ จะจัดเก็บไว้ในสถานที่จัดเก็บที่เหมาะสมตามประเภทของข้อมูลส่วนบุคคล ทั้งนี้บริษัทฯ อาจจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไปแม้จะพ้นกำหนดอายุความตามกฎหมายแล้วก็ตาม เช่น กรณีอยู่ระหว่างการดำเนินคดีตามกฎหมาย เป็นต้น

นอกจากวัตถุประสงค์ดังกล่าวข้างต้นและภายใต้ข้อกำหนดของกฎหมาย บริษัทฯ จะใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การจัดส่งเอกสารเกี่ยวกับโปรโมชั่นต่าง ๆ ทางไปรษณีย์ อีเมล และด้วยวิธีการอื่นใด รวมถึงการดำเนินการด้านการตลาดแบบตรง เพื่อเพิ่มสิทธิประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากการเป็นลูกค้าของบริษัทฯ ผ่านการแนะนำผลิตภัณฑ์และบริการที่เกี่ยวข้อง

ท่านสามารถเลือกที่จะไม่รับการสื่อสารเพื่อวัตถุประสงค์ทางการตลาดจากบริษัทฯ ยกเว้นการติดต่อสื่อสารที่เกี่ยวข้องกับเจ้าของข้อมูล และ/หรือ บริการที่บริษัทฯ ได้ให้แก่ท่าน เช่น ใบเสร็จรับเงิน เป็นต้น

บริษัทฯ จะใช้คุกกี้ในการเก็บรวบรวมข้อมูลการใช้งานของเจ้าของข้อมูลส่วนบุคคล เพื่อเก็บข้อมูลและรวบรวมสถิติ วิจัย วิเคราะห์แนวโน้ม ตลอดจนนำมาปรับปรุง และควบคุมการทำงานของเว็บไซต์ และ/หรือ แอปพลิเคชัน ทั้งนี้การเก็บคุกกี้นั้นเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้

เว็บไซต์ของบริษัทฯ จะมีการเชื่อมต่อไปยังเว็บไซต์ของบุคคลที่สามซึ่งเว็บไซต์เหล่านั้นอาจมีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากของบริษัทฯ ขอให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายข้อมูลส่วนบุคคลของเว็บไซต์นั้น ๆ เพื่อเข้าใจถึงรายละเอียดการคุ้มครองข้อมูลส่วนบุคคล และเพื่อตัดสินใจในการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ จะไม่รับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์ของบุคคลที่สาม

บริษัทฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบการดำเนินการที่เกี่ยวกับการเก็บ รวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ นโยบาย ระเบียบ ประกาศ คำสั่ง ของบริษัทฯ รวมทั้งประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล

หากท่านมีคำถามหรือข้อสงสัย เกี่ยวกับถ้อยแถลงนโยบายความเป็นส่วนตัวนี้ หรือการจัดการดูแลข้อมูลของท่าน ท่านสามารถติดต่อมายัง

หากท่านมีข้อสงสัยเกี่ยวกับนโยบายความเป็นส่วนตัวของบริษัทฯ ข้อมูลที่ทางบริษัทฯ เก็บรวบรวม หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างใดอย่างหนึ่งตามข้อ 12. ท่านสามารถติดต่อมายัง

ชื่อบริษัทฯ บริษัท นิภา เทคโนโลยี จำกัด

ที่อยู่: 72 อาคาร โทรคมนาคม บางรัก ชั้น 4 ห้อง 401-402 แขวงบางรัก เขตบางรัก กรุงเทพมหานคร 10500

เว็บไซต์ของบริษัทฯ: www.nipa.cloud

ศูนย์บริการลูกค้าทางโทรศัพท์ของบริษัทฯ (Call Center): 02 639 7744

อีเมล: dpo@nipa.cloud

หากท่านต้องการรายงานเรื่องร้องเรียน หรือหากท่านรู้สึกว่าบริษัทฯ ไม่ตอบข้อกังวลของท่านในลักษณะที่น่าพึงพอใจ ท่านสามารถติดต่อและ/หรือร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตามรายละเอียดด้านล่าง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

e-mail: pdpc@mdes.go.th

โทร: 0-2142-1033