ประกาศการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บัตรกรุงไทย จำกัด (มหาชน)

1. ขอบเขตและวัตถุประสงค์ของประกาศนี้

บริษัท บัตรกรุงไทย จำกัด (มหาชน) ("บริษัท") ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงได้จัดทำประกาศฉบับนี้ขึ้นซึ่งคลอบคลุมถึงกลุ่มลูกค้าตามคำนิยาม โดยมีวัตถุประสงค์เพื่ออธิบายวิธีการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ในส่วนที่เกี่ยวกับการให้บริการใด ๆ ของบริษัทในเรื่องผลิตภัณฑ์ทางการเงิน โปรดอ่านเอกสารฉบับนี้เพื่อรับทราบและทำความเข้าใจในวัตถุประสงค์ที่บริษัทได้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าตามประกาศนี้

2.ช่องทางในการได้มาซึ่งข้อมูลส่วนบุคคลเพื่อการเก็บรวบรวมข้อมูลส่วนบุคคล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าผ่านช่องทางดังต่อไปนี้

2.1 ข้อมูลส่วนบุคคลที่ลูกค้าให้ไว้กับบริษัทโดยตรง หรือมีอยู่กับบริษัททั้งที่เกิดจากการใช้ผลิตภัณฑ์ทางการเงิน และ/หรือบริการ การติดต่อ การเข้าร่วมกิจกรรม ผ่านช่องทางการให้บริการ และ/หรือ ช่องทางการติดต่อต่าง ๆ ของบริษัท อาทิเช่น จุดให้บริการ KTC Touch เว็บไซต์ แอปพลิเคชัน ผู้แนะนำผลิตภัณฑ์ทางการเงินอิสระ สื่อสังคมออนไลน์ของบริษัท อีเมลล์ กิจกรรมส่งเสริมการตลาด ศูนย์บริการสมาชิก ข้อความสั้น (SMS) โทรศัพท์ แบบสอบถาม การประชุม การอบรมสัมมนา งานอีเว้นท์ นามบัตร เป็นต้น

2.2 ข้อมูลส่วนบุคคลที่บริษัทได้รับหรือเข้าถึงได้จากแหล่งอื่น เช่น บริษัทในกลุ่มธุรกิจทางการเงินของบริษัท ร้านค้ารับบัตร ธนาคารหรือสถาบันการเงินอื่น พันธมิตรทางธุรกิจ บริษัทที่ออกผลิตภัณฑ์ร่วมกับบริษัท แพลตฟอร์มออนไลน์ของบุคคลภายนอก บริษัทข้อมูลเครดิต แหล่งข้อมูลสาธารณะ ผู้มีอำนาจหรือมีสิทธิตามกฎหมาย บุคล หรือหน่วยงานอื่นใดที่บริษัทมีนิติสัมพันธ์ด้วย เป็นต้น

3.ข้อมูลส่วนบุคคลของลูกค้าที่บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผย

เพื่อให้ลูกค้าสามารถใช้บริการและ/หรือทำธุรกรรมเกี่ยวกับผลิตภัณฑ์ทางการเงิน รวมถึงติดต่อ เรียกดูข้อมูล หรือขอรับบริการต่าง ๆ กับบริษัทได้ บริษัทจำเป็นที่จะต้องประมวลผลข้อมูลส่วนบุคคลของลูกค้า โดยข้อมูลดังกล่าว รวมถึง

3.1 ข้อมูลส่วนบุคคล เช่น

• ข้อมูลส่วนบุคคลที่ได้ระบุในใบสมัคร เอกสารแสดงตน เอกสารประกอบการสมัคร รวมทั้งที่ลูกค้าได้ให้เพิ่มเติมไว้ในภายหลัง เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ สำเนาบัตรประจำตัวประชาชน สำเนาหนังสือเดินทาง อีเมลล์ เป็นต้น
• ข้อมูลการทำธุรกรรมต่าง ๆ ข้อมูลเครดิต หมายเลขบัตรเครดิต/บัตรเดบิต หนังสือรับรองเงินเดือน วงเงินสินเชื่อ ข้อมูลหรือเอกสารความเป็นเจ้าของหลักประกัน ประวัติการชำระหนี้
• ข้อมูลทางเทคนิค อุปกรณ์หรือเครื่องมือ เช่น ชื่อหรือบัญชีเข้าใช้งานสำหรับการติดต่อทางอิเล็กทรอนิกส์ หรือสื่อสังคมออนไลน์ ข้อมูลการใช้งานแอปพลิเคชัน หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address หรือ Mac Address) คุกกี้ ข้อมูลการเข้าสู่ระบบ สถานที่ตั้ง (Location Data) ข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ หรือข้อมูลอื่นๆ จากการใช้งานบนเว็บไซต์ หรือแอปพลิเคชัน หรือระบบปฏิบัติการ
• ข้อมูลอื่น ๆ เช่น ข้อมูลการร้องเรียน คำขอใช้บริการ หรือสิทธิต่าง ๆ บันทึกการสื่อสาร หรือการโต้ตอบระหว่างลูกค้ากับบริษัท คลิปบันทึกเสียง ข้อมูลการลงทะเบียนเข้าร่วมกิจกรรมต่าง ๆ ของบริษัท ภาพถ่าย ภาพเคลื่อนไหว ภาพจากกล้องวงจรปิด ข้อมูลการเข้าออกอาคาร/สถานที่ ข้อมูลคำสั่งศาล หรือราชกิจจานุเบกษา หรือหน่วยงานราชการ ที่เกี่ยวกับการปฏิบัติตามกฎหมายของบริษัท เช่น คำสั่งเรียกพยานเอกสารหรือพยานวัตถุ คำสั่งพิทักษ์ทรัพย์ เป็นต้น

3.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) บริษัทอาจจำเป็นต้องใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อประกอบการให้บริการที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ หรืออาจประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อประโยชน์ในการให้บริการบริษัทอาจประมวลผลข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของลูกค้าได้ในรูปแบบที่เป็นเอกสาร และ/หรือรูปภาพ และ/หรือรูปแบบอิเล็กทรอนิกส์ และ/หรือรูปแบบอื่นใด

4.เหตุใดบริษัทต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า

บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการดำเนินการทั้งหลายตามวัตถุประสงค์ของบริษัทที่เกี่ยวข้องกับการให้บริการทางการเงิน นอกจากนี้ บริษัทอาจส่งข้อมูลส่วนบุคคลของท่านให้หน่วยงาน หรือบุคคลภายนอกดำเนินการในฐานะ "ผู้ประมวลผลข้อมูลส่วนบุคคล" โดยดำเนินการในนามของบริษัทบริษัทประมวลผลข้อมูลส่วนบุคคลของลูกค้าด้วยเหตุผล (ฐานในการประมวลผลข้อมูล) ซึ่งอาจจะอาศัยเหตุผลใดเหตุผลหนึ่งหรือหลายเหตุผล ประกอบกันก็ได้ ดังนี้

4.1 เพราะบริษัทมีหน้าที่ปฏิบัติตามสัญญา : ประมวลผลตามฐานสัญญา (Contract)

เพื่อให้ลูกค้าสามารถใช้ผลิตภัณฑ์ทางการเงินของบริษัทได้ตามที่ลูกค้าซึ่งเป็นคู่สัญญาอยู่กับบริษัท หรือตามคำขอของลูกค้าทั้งก่อน หรือขณะใช้ผลิตภัณฑ์ทางการเงินของบริษัท เช่น

• การสมัครใช้บริการผลิตภัณฑ์ทางการเงิน การวิเคราะห์ ทบทวน และแจ้งผลการอนุมัติ ให้บริการข้อมูล/ปรับปรุงข้อมูลส่วนบุคคล/ข้อมูลทางบัญชี บริการที่เกี่ยวกับลูกค้าสัมพันธ์ ประมวลผลเพื่อพัฒนาบริการ/ ผลิตภัณฑ์ มอบสิทธิประโยชน์ ส่งมอบ/โอนเงินกู้ รับชำระเงิน ออกใบเสร็จรับเงิน แจ้งเตือนชำระหนี้หรือต่ออายุผลิตภัณฑ์
• ดำเนินการอื่นใดเพื่อวัตถุประสงค์ในการให้บริการตามสัญญา เช่น รับเรื่องร้องเรียน ติดตามทวงถามหนี้ ประนอมหนี้ บริหารความเสี่ยง
• บริษัทจะนำข้อมูลดังกล่าวไปประมวลผลโดยบริษัทและ/หรือประมวลผลด้วยการทำงานร่วมกันกับบุคคลภายนอก เช่น การติดตามทวงถามหนี้ การจัดรายการส่งเสริมการขาย หรือการติดตั้งเครื่องรับบัตร เป็นต้น

4.2 เพราะบริษัทมีความจำเป็นต้องดำเนินการตามประโยชน์โดยชอบด้วยกฎหมายของบริษัท : ประมวลผลตามฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interests)

บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ในการประมวลผลเพื่อการจัดการ การตรวจสอบและการจัดทำรายงานภายในของบริษัท การดูแลรักษาระบบเพื่อการรักษามาตรฐานและพัฒนาการให้บริการ รวมไปถึงการจัดการความเสี่ยงของบริษัท และการดำเนินการตามปกติภายในของบริษัท อันเป็นประโยชน์โดยชอบด้วยกฎหมาย เช่น

4.3 เพราะบริษัทมีความจำเป็นต้องปฏิบัติตามกฎหมาย : ประมวลผลตามฐานการปฏิบัติตามกฎหมาย (Legal Obligation)

บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้าไปประมวลผลเพื่อการปฏิบัติตามกฎหมายของหน่วยงาน ที่กำกับดูแลการประกอบธุรกิจของบริษัท เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานคณะกรรมการปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

4.4 เพราะบริษัทได้รับความยินยอมจากลูกค้า : ประมวลผลตามความยินยอม (Consent)

บริษัทจะขอความยินยอมจากลูกค้าในการประมวลผลข้อมูลส่วนบุคคล รวมถึงข้อมูลชีวภาพ ข้อมูลความพิการของลูกค้าเพื่อวัตถุประสงค์ทางการตลาด การส่งเสริมการขาย หรือการเสนอสิทธิประโยชน์ การเสนอขายสินค้า หรือบริการใด ๆ หรือเพื่อการสถิติ ศึกษา วิเคราะห์ วิจัย ประเมินผลข้อมูล การยืนยันตัวตนในการทำธุรกรรม หรือเพื่อวัตถุประสงค์ใด ๆ ที่ไม่ต้องห้ามตามกฎหมาย

5.การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก

บริษัทอาจทำการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอกเท่าที่จำเป็นเพื่อการประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญาหรือตามกฎหมาย หรือตามที่ได้รับความยินยอมจากลูกค้า โดยบริษัทอาจส่งข้อมูลส่วนบุคคลของลูกค้า ไปยังบุคคลภายนอก ดังต่อไปนี้

6.การใช้งานคุกกี้ และ/หรือ เทคโนโลยีที่มีลักษณะใกล้เคียงกัน

ภายใต้การได้รับความยินยอมจากลูกค้าโดยชัดแจ้ง บริษัทอาจเก็บรวบรวม และใช้งานคุกกี้ และ/หรือเทคโนโลยีที่มีลักษณะใกล้เคียงกัน เมื่อลูกค้ามีการเข้าใช้งานเว็บไซต์ หรือแอปพลิเคชันของบริษัท เพื่อช่วยให้บริษัทสามารถจดจำการใช้งาน ความชื่นชอบ รวมถึง วิเคราะห์ความสนใจของลูกค้าเพื่อปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์ หรือแอปพลิเคชันของบริษัทให้ตอบสนองความต้องการและการใช้งานของลูกค้า โดยลูกค้าสามารถศึกษารายละเอียดเพิ่มเติมได้จาก "ประกาศการใช้คุกกี้" https://www.ktc.co.th/cookie-notice

7.สิทธิในข้อมูลส่วนบุคคลของลูกค้า

ลูกค้ามีสิทธิในข้อมูลส่วนบุคคลของลูกค้าโดยลูกค้าสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และประกาศที่กำหนดไว้ในขณะนี้ หรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ดังต่อไปนี้

• สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) โดยได้รับการแจ้งเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล วิธีการเก็บรวบรวม บุคคลที่จะได้รับข้อมูล เหตุผลและระยะเวลาที่จัดเก็บข้อมูลส่วนบุคคล
• สิทธิในการเข้าถึง (Right of Access) โดยสามารถขอรับสำเนาข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในความรับผิดชอบของบริษัท และตรวจสอบว่าบริษัทได้ประมวลผลข้อมูลตามกฎหมายหรือไม่
• สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) บริษัทได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และประมวลผลด้วยวิธีการอัตโนมัติ ลูกค้าสามารถขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคลอื่นได้ด้วยวิธีการอัตโนมัติ หรือขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนไปยังบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object) ลูกค้าสามารถคัดค้านในกรณีที่บริษัทประมวลผลข้อมูลของลูกค้า
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure Right to be forgotten) ลูกค้าสามารถขอให้ลบข้อมูล หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนลูกค้า
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing) ลูกค้าสามารถขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อบริษัทอยู่ในระหว่างการตรวจสอบตามที่ลูกค้าขอให้แก้ไขข้อมูลส่วนบุคคล หรือเมื่อบริษัทอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคำขอใช้สิทธิในการคัดค้านของลูกค้า
• สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right of rectification) ลูกค้าสามารถขอแก้ไขข้อมูลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันได้ หากลูกค้าพบว่าข้อมูลของลูกค้าไม่ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน

ทั้งนี้ ลูกค้ามีสิทธิที่จะยื่นคำขอใช้สิทธิต่อบริษัท บางกรณีบริษัทอาจปฏิเสธการใช้สิทธิของลูกค้าตามเหตุผลที่จะได้แจ้งให้ทราบต่อไป โดยลูกค้าสามารถร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากลูกค้าไม่เห็นด้วยกับเหตุผลที่บริษัทชี้แจง การร้องขอใด ๆ เพื่อการใช้สิทธิของเจ้าของข้อมูลส่นบุคคลตามที่กล่าวข้างต้น จะต้องกระทำเป็นลายลักษณ์อักษร หรือวิธีการตามที่บริษัทกำหนด และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการ หรือชี้แจงภายใน 30 วัน หรือไม่เกินตามระยะเวลาที่กฎหมายกำหนด โดยบริษัทจะปฏิบัติตามข้อกำหนดทางกฎหมาย ที่เกี่ยวข้องกับสิทธิของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคล

ในกรณีที่ลูกค้าขอให้บริษัท ลบ ทำลาย กำจัดการประมวลผลข้อมูลส่วนบุคคล ระงับการใช้ชั่วคราว แปลงข้อมูลส่วนบุคคลในรูปแบบข้อมูลที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้ หรือถอนความยินยอม อาจทำให้เกิดข้อจำกัดกับบริษัทในการทำธุรกรรมหรือให้บริการแก่ลูกค้าได้ ทั้งนี้ การใช้สิทธิดังกล่าวข้างต้น บริษัทขอสงวนสิทธิในการคิดค่าใช้จ่ายที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่ลูกค้าร้องขอ

8.ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล

ตามหลักการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์การเก็บรวบรวมข้อมูลตามกฎหมาย ดังต่อไปนี้

• ข้อมูลส่วนบุคคลของลูกค้า จะถูกเก็บรวบรวมไว้ตลอดระยะเวลาที่ลูกค้าเป็นสมาชิกผลิตภัณฑ์ทางการเงิน และอีกไม่เกิน 10 ปีนับจากวันที่สิ้นสุดระยะเวลาการเป็นสมาชิกของลูกค้า
• กรณีไม่ได้รับการอนุมัติเป็นสมาชิกผลิตภัณฑ์ทางการเงิน บริษัทจะเก็บข้อมูลส่วนบุคคล ข้อมูลใด ๆ ของลูกค้าที่ไม่ได้รับการอนุมัติดังกล่าว เป็นระยะเวลาไม่เกิน 1 ปีนับจากวันที่ไม่ได้รับอนุมัติ
• ในกรณีที่พ้นระยะเวลาจัดเก็บ ทางบริษัทจะทำการลบหรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้

9.วิธีการที่บริษัทใช้ในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า

บริษัทมีการจัดการคุ้มครองข้อมูลส่วนบุคคลตาม "มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ (ISO/IEC 27001:2013)" และ "มาตรฐานการจัดการข้อมูลส่วนบุคคล (ISO/IEC 27701:2019)"

10.การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจมีการพิจารณาทบทวนประกาศการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าได้ โดยหากมีการเปลี่ยนแปลง บริษัทจะแจ้งให้ทราบบนเว็บไซต์ของบริษัท https://www.ktc.co.th/pdpa และตามช่องทางที่จะได้แจ้งให้ทราบตามความเหมาะสมต่อไป

11.วิธีการติดต่อบริษัท

ในกรณีที่ลูกค้าประสงค์จะใช้สิทธิ หรือถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า หรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท สามารถติดต่อได้ที่ :

สถานที่ติดต่อ : บริษัทบัตรกรุงไทย จำกัด (มหาชน) เลขที่ 591 อาคารสมัชชาวาณิช 2 ชั้น 14 ถนนสุขุมวิท 33 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110

02 123 5000

DataProtectionOfficer@ktc.co.th (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)

หากลูกค้าเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของลูกค้าไม่เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ลูกค้ามีสิทธิที่จะร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ประกาศฉบับนี้มีผลบังคับใช้ตั้งแต่ วันที่ 10 พฤศจิกายน 2565 เป็นต้นไป