ขอบเขตและวัตถุประสงค์ของประกาศนี้
บริษัท บัตรกรุงไทย จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงได้จัดทำประกาศฉบับนี้ขึ้นซึ่งคลอบคลุมถึงกลุ่มลูกค้าตามคำนิยาม โดยมีวัตถุประสงค์เพื่ออธิบายวิธีการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในส่วนที่เกี่ยวกับการให้บริการใด ๆ ของบริษัทในเรื่องผลิตภัณฑ์ทางการเงิน โปรดอ่านเอกสารฉบับนี้เพื่อรับทราบและทำความเข้าใจในวัตถุประสงค์ที่บริษัทได้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าตามประกาศนี้
คำนิยาม | ความหมาย |
ข้อมูลส่วนบุคคล | หมายความว่า ข้อมูลเกี่ยวกับลูกค้าซึ่งทำให้สามารถระบุตัวลูกค้าได้ไม่ว่าทางตรง หรือทางอ้อม โดยไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม ข้อมูลนิติบุคคล หรือข้อมูลที่ได้ผ่านกระบวนการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวลูกค้าที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ |
ลูกค้า | หมายความว่า |
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) | หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนดซึ่งบริษัทจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่อเมื่อบริษัทได้รับความยินยอมโดยชัดแจ้งจากลูกค้า หรือในกรณีที่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาต ทั้งนี้ บริษัทอาจต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลข้อมูลชีวภาพ (Biometric) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา ข้อมูลอัตลักษณ์เสียง เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนของผู้ใช้บริการที่ขอสมัคร และ/หรือทำธุรกรรมผ่านช่องทางต่าง ๆ |
การประมวลผลข้อมูลส่วนบุคคล | หมายความว่า การดำเนินการใดๆของบริษัทต่อข้อมูลส่วนบุคคลของลูกค้ารวมถึง การเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล และการลบข้อมูลส่วนบุคคล |
ผลิตภัณฑ์ทางการเงิน | หมายความว่า ผลิตภัณฑ์ทางการเงินของบริษัท อาทิ บัตรเครดิต KTC สินเชื่อบัตรกดเงินสด KTC PROUD สินเชื่อ KTC พี่เบิ้ม รวมทั้ง บริการร้านค้ารับบัตร เช่น บริการเครื่องรับบัตรอัตโนมัติ (EDC) บริการ KTC Gateway เป็นต้น |
ช่องทางในการได้มาซึ่งข้อมูลส่วนบุคคลเพื่อการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าผ่านช่องทางดังต่อไปนี้
2.1 ข้อมูลส่วนบุคคลที่ลูกค้าให้ไว้กับบริษัทโดยตรง หรือมีอยู่กับบริษัททั้งที่เกิดจากการใช้ผลิตภัณฑ์ทางการเงิน และ/หรือบริการ การติดต่อ การเข้าร่วมกิจกรรม ผ่านช่องทางการให้บริการ และ/หรือ ช่องทางการติดต่อต่าง ๆ ของบริษัท อาทิเช่น จุดให้บริการ KTC Touch เว็บไซต์ แอปพลิเคชัน ผู้แนะนำผลิตภัณฑ์ทางการเงินอิสระ สื่อสังคมออนไลน์ของบริษัท อีเมลล์ กิจกรรมส่งเสริมการตลาด ศูนย์บริการสมาชิก ข้อความสั้น (SMS) โทรศัพท์ แบบสอบถาม การประชุม การอบรมสัมมนา งานอีเว้นท์ นามบัตร เป็นต้น
2.2 ข้อมูลส่วนบุคคลที่บริษัทได้รับหรือเข้าถึงได้จากแหล่งอื่น เช่น บริษัทในกลุ่มธุรกิจทางการเงินของบริษัท ร้านค้ารับบัตร ธนาคารหรือสถาบันการเงินอื่น พันธมิตรทางธุรกิจ บริษัทที่ออกผลิตภัณฑ์ร่วมกับบริษัท แพลตฟอร์มออนไลน์ของบุคคลภายนอก บริษัทข้อมูลเครดิต แหล่งข้อมูลสาธารณะ ผู้มีอำนาจหรือมีสิทธิตามกฎหมาย บุคล หรือหน่วยงานอื่นใดที่บริษัทมีนิติสัมพันธ์ด้วย เป็นต้น
ข้อมูลส่วนบุคคลของลูกค้าที่บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผย
เพื่อให้ลูกค้าสามารถใช้บริการและ/หรือทำธุรกรรมเกี่ยวกับผลิตภัณฑ์ทางการเงิน รวมถึงติดต่อ เรียกดูข้อมูล หรือขอรับบริการต่าง ๆ กับบริษัทได้ บริษัทจำเป็นที่จะต้องประมวลผลข้อมูลส่วนบุคคลของลูกค้า โดยข้อมูลดังกล่าว รวมถึง
3.1 ข้อมูลส่วนบุคคล เช่น
- ข้อมูลส่วนบุคคลที่ได้ระบุในใบสมัคร เอกสารแสดงตน เอกสารประกอบการสมัคร รวมทั้งที่ลูกค้าได้ให้เพิ่มเติมไว้ในภายหลัง เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ สำเนาบัตรประจำตัวประชาชน สำเนาหนังสือเดินทาง อีเมลล์ เป็นต้น
- ข้อมูลการทำธุรกรรมต่าง ๆ ข้อมูลเครดิต หมายเลขบัตรเครดิต/บัตรเดบิต หนังสือรับรองเงินเดือน วงเงินสินเชื่อ ข้อมูลหรือเอกสารความเป็นเจ้าของหลักประกัน ประวัติการชำระหนี้
- ข้อมูลทางเทคนิค อุปกรณ์หรือเครื่องมือ เช่น ชื่อหรือบัญชีเข้าใช้งานสำหรับการติดต่อทางอิเล็กทรอนิกส์ หรือสื่อสังคมออนไลน์ ข้อมูลการใช้งานแอปพลิเคชัน หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address หรือ Mac Address) คุกกี้ ข้อมูลการเข้าสู่ระบบ สถานที่ตั้ง (Location Data) ข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ หรือข้อมูลอื่นๆ จากการใช้งานบนเว็บไซต์ หรือแอปพลิเคชัน หรือระบบปฏิบัติการ
- ข้อมูลอื่น ๆ เช่น ข้อมูลการร้องเรียน คำขอใช้บริการ หรือสิทธิต่าง ๆ บันทึกการสื่อสาร หรือการโต้ตอบระหว่างลูกค้ากับบริษัท คลิปบันทึกเสียง ข้อมูลการลงทะเบียนเข้าร่วมกิจกรรมต่าง ๆ ของบริษัท ภาพถ่าย ภาพเคลื่อนไหว ภาพจากกล้องวงจรปิด ข้อมูลการเข้าออกอาคาร/สถานที่ ข้อมูลคำสั่งศาล หรือราชกิจจานุเบกษา หรือหน่วยงานราชการ ที่เกี่ยวกับการปฏิบัติตามกฎหมายของบริษัท เช่น คำสั่งเรียกพยานเอกสารหรือพยานวัตถุ คำสั่งพิทักษ์ทรัพย์ เป็นต้น
3.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) บริษัทอาจจำเป็นต้องใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อประกอบการให้บริการที่เกิดจากการใช้เทคนิค หรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ หรืออาจประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อประโยชน์ในการให้บริการ
บริษัทอาจประมวลผลข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของลูกค้าได้ในรูปแบบที่เป็นเอกสาร และ/หรือรูปภาพ และ/หรือรูปแบบอิเล็กทรอนิกส์ และ/หรือรูปแบบอื่นใด
4. เหตุใดบริษัทต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า
บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการดำเนินการทั้งหลายตามวัตถุประสงค์ของบริษัทที่เกี่ยวข้องกับการให้บริการทางการเงิน นอกจากนี้ บริษัทอาจส่งข้อมูลส่วนบุคคลของท่านให้หน่วยงาน หรือบุคคลภายนอกดำเนินการในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” โดยดำเนินการในนามของบริษัทบริษัทประมวลผลข้อมูลส่วนบุคคลของลูกค้าด้วยเหตุผล (ฐานในการประมวลผลข้อมูล) ซึ่งอาจจะอาศัยเหตุผลใดเหตุผลหนึ่งหรือหลายเหตุผล ประกอบกันก็ได้ ดังนี้
4.1 เพราะบริษัทมีหน้าที่ปฏิบัติตามสัญญา : ประมวลผลตามฐานสัญญา (Contract)
เพื่อให้ลูกค้าสามารถใช้ผลิตภัณฑ์ทางการเงินของบริษัทได้ตามที่ลูกค้าซึ่งเป็นคู่สัญญาอยู่กับบริษัท หรือตามคำขอของลูกค้าทั้งก่อน หรือขณะใช้ผลิตภัณฑ์ทางการเงินของบริษัท เช่น
(1) การสมัครใช้บริการผลิตภัณฑ์ทางการเงิน การวิเคราะห์ ทบทวน และแจ้งผลการอนุมัติ ให้บริการข้อมูล/ปรับปรุงข้อมูลส่วนบุคคล/ข้อมูลทางบัญชี บริการที่เกี่ยวกับลูกค้าสัมพันธ์ ประมวลผลเพื่อพัฒนาบริการ/ ผลิตภัณฑ์ มอบสิทธิประโยชน์ ส่งมอบ/โอนเงินกู้ รับชำระเงิน ออกใบเสร็จรับเงิน แจ้งเตือนชำระหนี้หรือต่ออายุผลิตภัณฑ์
(2) ดำเนินการอื่นใดเพื่อวัตถุประสงค์ในการให้บริการตามสัญญา เช่น รับเรื่องร้องเรียน ติดตามทวงถามหนี้ ประนอมหนี้ บริหารความเสี่ยง
(3) บริษัทจะนำข้อมูลดังกล่าวไปประมวลผลโดยบริษัทและ/หรือประมวลผลด้วยการทำงานร่วมกันกับบุคคลภายนอก เช่น การติดตามทวงถามหนี้ การจัดรายการส่งเสริมการขาย หรือการติดตั้งเครื่องรับบัตร เป็นต้น
4.2 เพราะบริษัทมีความจำเป็นต้องดำเนินการตามประโยชน์โดยชอบด้วยกฎหมายของบริษัท : ประมวลผลตามฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interests)
บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ในการประมวลผลเพื่อการจัดการ การตรวจสอบและการจัดทำรายงานภายในของบริษัท การดูแลรักษาระบบเพื่อการรักษามาตรฐานและพัฒนาการให้บริการ รวมไปถึงการจัดการความเสี่ยงของบริษัท และการดำเนินการตามปกติภายในของบริษัท อันเป็นประโยชน์โดยชอบด้วยกฎหมาย เช่น
(1) การบันทึกเสียงสนทนาผ่านช่องทางศูนย์บริการสมาชิกเพื่อปรับปรุงคุณภาพการให้บริการ การรับรอง ความถูกต้องของการให้บริการ เป็นต้น รวมถึง การแลกบัตรก่อนเข้าสถานที่ทำงาน หรือการบันทึกภาพกล้อง วงจรปิด (CCTV)
(2) การรักษาความสัมพันธ์กับลูกค้า หรือการแจ้งไม่ประสงค์ได้รับการติดต่อจากบริษัท เช่น การจัดการข้อ ร้องเรียน การประเมินความพึงพอใจจากการใช้บริการ การแจ้งเตือนหรือนำเสนอผลิตภัณฑ์ทางการเงิน ประเภทเดียวกันกับที่ลูกค้ามีอยู่กับบริษัทซึ่งเป็นประโยชน์กับลูกค้า
(3) การบริหารความเสี่ยงองค์กร การตรวจสอบ การบริหารจัดการภายในองค์กร รวมถึง การส่งต่อไปยังบริษัท ในเครือกิจการเดียวกันเพื่อการดำเนินการดังกล่าว
(4) การควบคุม ป้องกัน บรรเทา หรือโอนถ่ายความเสี่ยงที่อาจเกิดจากการกระทำทุจริต ภัยคุกคามทางไซเบอร์ การผิดนัดชำระหนี้หรือผิดสัญญา การทำผิดกฎหมายต่าง ๆ (เช่น การป้องกันและปราบปรามการฟอกเงิน การ สนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง ความผิดเกี่ยวกับทรัพย์ ชีวิต ร่างกาย เสรีภาพ หรือชื่อเสียง เป็นต้น) ซึ่งรวมถึง การแบ่งปันข้อมูลส่วนบุคคลเพื่อยกระดับมาตรฐานการ ทำงานของบริษัทในกลุ่มธุรกิจทางการเงินในการควบคุม ป้องกัน บรรเทา หรือโอนถ่ายความเสี่ยงข้างต้น
(5) การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของกรรมการ ผู้มีอำนาจกระทำการแทน ตัวแทน รวมถึง ผู้ประสานงานของลูกค้านิติบุคคล
(6) การติดต่อ การบันทึกภาพ การบันทึกเสียงอันเกิดจากการจัดประชุม อบรม สันทนาการ หรือการออกบูธ
(7) การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ศาลมีคำสั่งพิทักษ์ทรัพย์
4.3 เพราะบริษัทมีความจำเป็นต้องปฏิบัติตามกฎหมาย : ประมวลผลตามฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
บริษัทอาจนำข้อมูลส่วนบุคคลของลูกค้าไปประมวลผลเพื่อการปฏิบัติตามกฎหมายของหน่วยงาน ที่กำกับดูแลการประกอบธุรกิจของบริษัท เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานคณะกรรมการปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น รวมทั้ง กฎหมายที่ควบคุมการทำธุรกรรมในตลาดทุน เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พ.ร.บ. ป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พ.ร.บ. การทวงถามหนี้ พ.ศ.2558 กฎหมายอื่นที่บริษัทต้องอยู่ภายใต้บังคับกำหนดให้ส่งข้อมูลทั้งในประเทศไทยและต่างประเทศ รวมถึงประกาศและระเบียบที่ออกตามกฎหมายดังกล่าว เช่น ประมวลวิธีพิจารณาความแพ่ง ที่ให้อำนาจศาลสั่งให้คู่ความส่งเอกสารหรือข้อมูลในการพิจารณาคดี เป็นต้น
4.4 เพราะบริษัทได้รับความยินยอมจากลูกค้า : ประมวลผลตามความยินยอม (Consent)
บริษัทจะขอความยินยอมจากลูกค้าในการประมวลผลข้อมูลส่วนบุคคล รวมถึงข้อมูลชีวภาพ ข้อมูลความพิการของลูกค้าเพื่อวัตถุประสงค์ทางการตลาด การส่งเสริมการขาย หรือการเสนอสิทธิประโยชน์ การเสนอขายสินค้า หรือบริการใด ๆ หรือเพื่อการสถิติ ศึกษา วิเคราะห์ วิจัย ประเมินผลข้อมูล การยืนยันตัวตนในการทำธุรกรรม หรือเพื่อวัตถุประสงค์ใด ๆ ที่ไม่ต้องห้ามตามกฎหมาย
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าจะเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น ในบางกรณีบริษัทอาจพิจารณาว่าสามารถประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามวัตถุประสงค์อื่นที่เกี่ยวข้องและไม่ขัด หรือนอกเหนือไปจากวัตถุประสงค์เดิม แต่ในกรณีที่บริษัทจำเป็นต้องประมวลผลข้อมูลด้วยวัตถุประสงค์อื่นที่ไม่เกี่ยวข้องกับวัตถุประสงค์เดิม บริษัทจะขอความยินยอมใหม่เพื่อการใช้ข้อมูลตามวัตถุประสงค์ใหม่นั้น
หากลูกค้าประสงค์จะถอนความยินยอมในการประมวลผลดังกล่าว สามารถติดต่อบริษัทและแจ้งความประสงค์ได้ตามข้อ 11 ทั้งนี้ การถอนความยินยอมอาจส่งผลกระทบต่อลูกค้าในการใช้ผลิตภัณฑ์ และ/หรือบริการทางการเงิน เช่น ไม่ได้รับการแจ้งสิทธิประโยชน์ โปรโมชั่นหรือข้อเสนอใหม่ ๆ ไม่ได้รับผลิตภัณฑ์หรือบริการที่ดียิ่งขึ้นและสอดคล้องกับความต้องการของลูกค้า หรือไม่ได้รับข้อมูลข่าวสารอันเป็นประโยชน์แก่ลูกค้า เป็นต้น ดังนั้น เพื่อประโยชน์ของลูกค้าจึงควรศึกษา หรือสอบถามถึงผลกระทบก่อนเพิกถอนความยินยอม
5. การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก
บริษัทอาจทำการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอกเท่าที่จำเป็นเพื่อการประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญาหรือตามกฎหมาย หรือตามที่ได้รับความยินยอมจากลูกค้า โดยบริษัทอาจส่งข้อมูลส่วนบุคคลของลูกค้า ไปยังบุคคลภายนอก ดังต่อไปนี้
(1) ตัวแทน และผู้รับจ้าง หรือผู้ให้บริการซึ่งเป็นบุคคลภายนอก ทั้งนี้ เพื่อให้บุคคล และ/หรือ นิติบุคคลเหล่านี้ให้บริการแก่บริษัทและลูกค้า เช่น กลุ่มธุรกิจทางการเงิน สถาบันการเงิน คู่ค้า พันธมิตรธุรกิจที่ออกผลิตภัณฑ์ร่วมกัน ผู้ที่ทำหน้าที่ติดตามทวงถามหนี้ การติดตั้งร้านค้ารับบัตร การจัดรายการส่งเสริมการขาย ธนาคารของร้านค้าผู้รับบัตร ผู้ให้บริการ Cloud Computing ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการช่องทางการรับชำระเงิน และบุคคลภายนอกอื่น ๆ ที่บริษัทร่วมงานด้วยในการให้บริการอันเกี่ยวข้องกับผลิตภัณฑ์ทางการเงินและการให้บริการของบริษัท เป็นต้น
(2) ในกรณีที่ลูกค้ามีบัตรหลักและบัตรเสริม หรือกู้ร่วม หรือมีการค้ำประกัน และ/หรือทำธุรกรรมทางการเงินอื่นใดที่มีผู้เกี่ยวข้องในตั้งแต่ 2 คนขึ้นไป บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลทั้งของลูกค้ากับผู้ที่ทำธุรกรรมร่วมกับลูกค้า
(3) หน่วยงานกำกับดูแล หน่วยงานของรัฐบาล หรือหน่วยงานที่มีหน้าที่กำกับดูแล เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ บริษัทข้อมูลเครดิตแห่งชาติ จำกัด สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานป้องกันและปราบปรามการฟอกเงิน กรมสรรพากร สำนักงานป้องกันและปราบปรามการทุจริตแห่งชาติ กรมบังคับคดี กระทรวงยุติธรรม สำนักงานตำรวจแห่งชาติ บุคคลใด ๆ ก็ตามที่บริษัทต้องเปิดเผยข้อมูลเท่าที่กฎหมาย หรือกฎระเบียบที่เกี่ยวข้องกำหนด หรือในกรณีเฉพาะอื่น ๆ เช่น เป็นไปตามคำสั่งศาล
(4) ที่ปรึกษา หรือผู้เชี่ยวชาญ เช่น ผู้สอบบัญชี ผู้ตรวจสอบภายใน/ภายนอก ที่ปรึกษาภาษี บริษัทจัดอันดับความน่าเชื่อถือ ผู้ทำหน้าที่ประสานงานในการเดินทางเพื่อการสัมมนา ผู้ทำหน้าที่จัดประชุม บริษัทที่ให้บริการด้านการวิจัย เป็นต้น
(5) หน่วยงาน หรือองค์กรที่บริษัทเป็นสมาชิก เช่น บริษัท ข้อมูลเครดิต จำกัด บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด ผู้ให้บริการเครือข่ายบัตร เป็นต้น
(6) เพื่อการก่อตั้งสิทธิเรียกร้องตามสัญญา หรือตามกฎหมายของบริษัท หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(7) บริษัทอาจส่ง หรือโอนข้อมูลของลูกค้าไปยังต่างประเทศ ทั้งนี้ เพื่อให้เป็นไปตามสัญญาระหว่างบริษัทกับบุคคล หรือนิติบุคคลอื่นเพื่อประโยชน์ของลูกค้า หรือเพื่อให้เป็นไปตามข้อกำหนดทางกฎหมาย โดยประเทศปลายทางที่รับข้อมูลต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม หรือได้รับการวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือหน่วยงานหรือองค์กรที่รับข้อมูลต้องได้รับการตรวจสอบและรับรองจากสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม
(8) บริษัทประกันภัย ตัวแทน/นายหน้าประกันภัย ได้แก่ บมจ. ไทยประกันชีวิต, บมจ. พรูเด็นเชียลประกันชีวิต (ประเทศไทย), บจก. เอไอเอ, บมจ. ซิกน่าประกันภัย, บมจ. ทิพยประกันภัย, บมจ. ชับบ์สามัคคีประกันภัย, บมจ. กรุงไทยพานิชประกันภัย, บมจ. อลิอันซ์ อยุธยาประกันชีวิต, บจก. ฮักส์ อินชัวรันซ์ และบริษัทประกันภัย ตัวแทน/นายหน้าประกันภัยอื่นที่บริษัทจะแจ้งเพิ่มเติมในอนาคต
6. การใช้งานคุกกี้ และ/หรือ เทคโนโลยีที่มีลักษณะใกล้เคียงกัน
ภายใต้การได้รับความยินยอมจากลูกค้าโดยชัดแจ้ง บริษัทอาจเก็บรวบรวม และใช้งานคุกกี้ และ/หรือเทคโนโลยีที่มีลักษณะใกล้เคียงกัน เมื่อลูกค้ามีการเข้าใช้งานเว็บไซต์ หรือแอปพลิเคชันของบริษัท เพื่อช่วยให้บริษัทสามารถจดจำการใช้งาน ความชื่นชอบ รวมถึง วิเคราะห์ความสนใจของลูกค้าเพื่อปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์ หรือแอปพลิเคชันของบริษัทให้ตอบสนองความต้องการและการใช้งานของลูกค้า โดยลูกค้าสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “ประกาศการใช้คุกกี้” https://www.ktc.co.th/cookie-notice
7. สิทธิในข้อมูลส่วนบุคคลของลูกค้า
ลูกค้ามีสิทธิในข้อมูลส่วนบุคคลของลูกค้าโดยลูกค้าสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และประกาศที่กำหนดไว้ในขณะนี้ หรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ดังต่อไปนี้
(1) สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) โดยได้รับการแจ้งเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล วิธีการเก็บรวบรวม บุคคลที่จะได้รับข้อมูล เหตุผลและระยะเวลาที่จัดเก็บข้อมูลส่วนบุคคล
(2) สิทธิในการเข้าถึง (Right of Access) โดยสามารถขอรับสำเนาข้อมูลส่วนบุคคลของลูกค้าที่อยู่ในความรับผิดชอบของบริษัท และตรวจสอบว่าบริษัทได้ประมวลผลข้อมูลตามกฎหมายหรือไม่
(3) สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) บริษัทได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และประมวลผลด้วยวิธีการอัตโนมัติ ลูกค้าสามารถขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคลอื่นได้ด้วยวิธีการอัตโนมัติ หรือขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนไปยังบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
(4) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object) ลูกค้าสามารถคัดค้านในกรณีที่บริษัทประมวลผลข้อมูลของลูกค้า
(5) สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure Right to be forgotten) ลูกค้าสามารถขอให้ลบข้อมูล หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนลูกค้า
(6) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing) ลูกค้าสามารถขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อบริษัทอยู่ในระหว่างการตรวจสอบตามที่ลูกค้าขอให้แก้ไขข้อมูลส่วนบุคคล หรือเมื่อบริษัทอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคำขอใช้สิทธิในการคัดค้านของลูกค้า
(7) สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right of rectification) ลูกค้าสามารถขอแก้ไขข้อมูลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันได้ หากลูกค้าพบว่าข้อมูลของลูกค้าไม่ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
ทั้งนี้ ลูกค้ามีสิทธิที่จะยื่นคำขอใช้สิทธิต่อบริษัท บางกรณีบริษัทอาจปฏิเสธการใช้สิทธิของลูกค้าตามเหตุผลที่จะได้แจ้งให้ทราบต่อไป โดยลูกค้าสามารถร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากลูกค้าไม่เห็นด้วยกับเหตุผลที่บริษัทชี้แจง การร้องขอใด ๆ เพื่อการใช้สิทธิของเจ้าของข้อมูลส่นบุคคลตามที่กล่าวข้างต้น จะต้องกระทำเป็นลายลักษณ์อักษร หรือวิธีการตามที่บริษัทกำหนด และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการ หรือชี้แจงภายใน 30 วัน หรือไม่เกินตามระยะเวลาที่กฎหมายกำหนด โดยบริษัทจะปฏิบัติตามข้อกำหนดทางกฎหมาย ที่เกี่ยวข้องกับสิทธิของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคล
ในกรณีที่ลูกค้าขอให้บริษัท ลบ ทำลาย กำจัดการประมวลผลข้อมูลส่วนบุคคล ระงับการใช้ชั่วคราว แปลงข้อมูลส่วนบุคคลในรูปแบบข้อมูลที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้ หรือถอนความยินยอม อาจทำให้เกิดข้อจำกัดกับบริษัทในการทำธุรกรรมหรือให้บริการแก่ลูกค้าได้ ทั้งนี้ การใช้สิทธิดังกล่าวข้างต้น บริษัทขอสงวนสิทธิในการคิดค่าใช้จ่ายที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่ลูกค้าร้องขอ
8. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
ตามหลักการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์การเก็บรวบรวมข้อมูลตามกฎหมาย ดังต่อไปนี้
1) ข้อมูลส่วนบุคคลของลูกค้า จะถูกเก็บรวบรวมไว้ตลอดระยะเวลาที่ลูกค้าเป็นสมาชิกผลิตภัณฑ์ทางการเงิน และอีกไม่เกิน 10 ปีนับจากวันที่สิ้นสุดระยะเวลาการเป็นสมาชิกของลูกค้า
2) กรณีไม่ได้รับการอนุมัติเป็นสมาชิกผลิตภัณฑ์ทางการเงิน บริษัทจะเก็บข้อมูลส่วนบุคคล ข้อมูลใด ๆ ของลูกค้าที่ไม่ได้รับการอนุมัติดังกล่าว เป็นระยะเวลาไม่เกิน 1 ปีนับจากวันที่ไม่ได้รับอนุมัติ
3) ในกรณีที่พ้นระยะเวลาจัดเก็บ ทางบริษัทจะทำการลบหรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้
9. วิธีการที่บริษัทใช้ในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
บริษัทมีการจัดการคุ้มครองข้อมูลส่วนบุคคลตาม “มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ (ISO/IEC 27001:2013)” และ “มาตรฐานการจัดการข้อมูลส่วนบุคคล (ISO/IEC 27701:2019)”
10. การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจมีการพิจารณาทบทวนประกาศการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าได้ โดยหากมีการเปลี่ยนแปลง บริษัทจะแจ้งให้ทราบบนเว็บไซต์ของบริษัท https://www.ktc.co.th/pdpa และตามช่องทางที่จะได้แจ้งให้ทราบตามความเหมาะสมต่อไป
11. วิธีการติดต่อบริษัท
ในกรณีที่ลูกค้าประสงค์จะใช้สิทธิ หรือถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกค้า หรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท สามารถติดต่อได้ที่ :
ศูนย์บริการสมาชิก : โทรศัพท์ 02 123 5000
สถานที่ติดต่อ : บริษัทบัตรกรุงไทย จำกัด (มหาชน) เลขที่ 591 อาคารสมัชชาวาณิช 2 ชั้น 14 ถนนสุขุมวิท 33 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110
Email address เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DataProtectionOfficer@ktc.co.th
หากลูกค้าเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของลูกค้าไม่เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ลูกค้ามีสิทธิที่จะร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ประกาศฉบับนี้มีผลบังคับใช้ตั้งแต่ วันที่ 10 พฤศจิกายน 2565 เป็นต้นไป