ประกาศการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า

ประกาศบริษัท
เรื่อง ประกาศการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บัตรกรุงไทย จำกัด (มหาชน)

1. ขอบเขตและวัตถุประสงค์ของประกาศนี้

บริษัท บัตรกรุงไทย จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า (“ท่าน”)  ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงได้จัดทำประกาศฉบับนี้ขึ้นเพื่ออธิบายวิธีการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล หรือดำเนินการใดๆ ต่อข้อมูลส่วนบุคคลของท่าน ตลอดจนการแจ้งสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่ท่าน

2. คำนิยาม

เว้นแต่จะมีการระบุเป็นการเฉพาะเจาะจง ให้คำหรือข้อความมีความหมาย ดังนี้

3. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทอาจได้รับข้อมูลส่วนบุคคลของท่านผ่านช่องทาง ดังต่อไปนี้

3.1 บริษัทได้รับข้อมูลส่วนบุคคลจากท่านโดยตรง โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากการดำเนินการต่างๆ เช่น การสมัครและ/หรือการใช้ผลิตภัณฑ์ทางการเงินและ/หรือบริการของบริษัท การติดต่อสอบถามข้อมูล การแจ้งเปลี่ยนแปลงข้อมูล การเข้าร่วมกิจกรรมส่งเสริมการตลาด ผ่านช่องทางการให้บริการ และ/หรือช่องทางการติดต่อต่างๆ ของบริษัท เช่น จุดให้บริการ KTC Touch เว็บไซต์ แอปพลิเคชัน ผู้แนะนำผลิตภัณฑ์ทางการเงินอิสระ สื่อสังคมออนไลน์ของบริษัท อีเมล ศูนย์บริการสมาชิก ข้อความสั้น (SMS) โทรศัพท์ แบบสอบถาม การประชุม การอบรมสัมมนา งานอีเว้นท์ นามบัตร เป็นต้น

3.2 บริษัทได้รับหรือเข้าถึงข้อมูลส่วนบุคคลของท่านจากแหล่งอื่น เช่น ข้อมูลจากบริษัทในกลุ่มธุรกิจทางการเงินของบริษัท ร้านค้าที่รับบัตร ธนาคารหรือสถาบันการเงินอื่น พันธมิตรทางธุรกิจ บริษัทที่ออกผลิตภัณฑ์ทางการเงินร่วมกับบริษัท แพลตฟอร์มออนไลน์ของบุคคลภายนอก บริษัทข้อมูลเครดิต แหล่งข้อมูลสาธารณะ หน่วยงานรัฐ และ/หรือบุคคลอื่นใดที่มีสิทธิเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บริษัทโดยชอบด้วยกฎหมาย เป็นต้น

4. ข้อมูลส่วนบุคคลของท่านที่บริษัทเก็บรวบรวม ใช้ และ/หรือเปิดเผย

4.1 ข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน ไม่ว่าในรูปแบบเอกสาร หรืออิเล็กทรอนิกส์ เช่น

• ข้อมูลส่วนบุคคลที่ท่านได้ให้แก่บริษัทในขั้นตอนการสมัครใช้ผลิตภัณฑ์ทางการเงินและ/หรือบริการของบริษัท เช่น ใบสมัคร ระบบการรับสมัคร เอกสารแสดงตน (เช่น สำเนาบัตรประจำตัวประชาชน สำเนาหนังสือเดินทาง) เอกสารประกอบการสมัคร (เช่น ข้อมูลที่ทำงาน เอกสารแสดงรายได้ สำเนาใบแจ้งยอดบัญชีธนาคาร สำเนาบัญชีธนาคาร ข้อมูลและเอกสารความเป็นเจ้าของหลักประกัน) ข้อมูลติดต่อ (เช่น เบอร์โทรศัพท์ ที่อยู่ อีเมล) รวมถึงข้อมูลส่วนบุคคลที่ท่านแจ้งเปลี่ยนแปลงหรือให้เพิ่มเติมในภายหลัง กรณีลูกค้านิติบุคคล อาจรวมถึง ข้อมูลกรรมการ ผู้ถือหุ้น ผู้มีอำนาจกระทำการแทน ตัวแทน และ/หรือผู้ประสานงาน
• ข้อมูลทางการเงินและข้อมูลการทำธุรกรรมต่างๆ เช่น ข้อมูลเครดิต หมายเลขบัตรเครดิต/บัตรเดบิต หมายเลขสินเชื่อ ข้อมูลพร้อมเพย์ วงเงินสินเชื่อ ข้อมูลหรือเอกสารความเป็นเจ้าของหลักประกัน ประวัติการชำระหนี้
• ข้อมูลที่เกี่ยวข้องกับกรมธรรม์ประกันภัย เช่น หมายเลขกรมธรรม์ ประเภทผลิตภัณฑ์ที่เลือก การชำระเบี้ยประกันภัย ข้อมูลผู้รับผลประโยชน์ ประวัติการชำระค่าเบี้ยประกันภัย เป็นต้น
• ข้อมูลทางเทคนิค อุปกรณ์หรือเครื่องมือ เช่น ชื่อบัญชีเข้าใช้งานสำหรับการติดต่อทางอิเล็กทรอนิกส์ หรือสื่อสังคมออนไลน์ ข้อมูลการใช้งานแอปพลิเคชัน หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address หรือ Mac Address) คุกกี้ ข้อมูลการเข้าสู่ระบบ สถานที่ตั้ง (Location Data) ข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ หรือข้อมูลอื่นๆ จากการใช้งานบนเว็บไซต์ หรือแอปพลิเคชัน หรือระบบปฏิบัติการที่ท่านเข้าใช้บริการ
• ข้อมูลอื่น ๆ เช่น ข้อมูลการร้องเรียน คำขอใช้บริการ หรือสิทธิต่าง ๆ บันทึกการสื่อสาร หรือการโต้ตอบระหว่างลูกค้ากับบริษัท คลิปบันทึกเสียง ข้อมูลการลงทะเบียนเข้าร่วมกิจกรรมต่าง ๆ กับบริษัท ภาพถ่าย ภาพเคลื่อนไหว ภาพจากกล้องวงจรปิด ข้อมูลการเข้าออกอาคาร/สถานที่ ข้อมูลคำสั่งศาล ที่ถูกเผยแพร่ผ่านราชกิจจานุเบกษา หรือหน่วยงานราชการ และข้อมูลที่เกี่ยวกับการปฏิบัติตามกฎหมายของบริษัท เช่น คำสั่งเรียกพยานเอกสารหรือพยานวัตถุ คำสั่งพิทักษ์ทรัพย์ เป็นต้น
• ข้อมูลที่บริษัทได้รับจากการที่ท่านมีส่วนร่วมกับกิจกรรมทางการตลาดของบริษัทและ/หรือที่บริษัทร่วมจัดให้มีขึ้น

4.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)
บริษัทอาจเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ของท่าน ไม่ว่าในรูปแบบเอกสาร หรืออิเล็กทรอนิกส์ เช่น 

• ข้อมูลศาสนา ข้อมูลเชื้อชาติ ตามที่ปรากฏบนหน้าบัตรประจำตัวประชาชนของท่าน เพื่อใช้ในการพิสูจน์และยืนยันตัวตนในการสมัครและ/หรือการใช้ผลิตภัณฑ์ทางการเงิน และ/หรือบริการอื่นใดของบริษัท
• ข้อมูลชีวมาตร (Biometric) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ เพื่อใช้ในการพิสูจน์และยืนยันตัวตนในการสมัครและ/หรือการใช้บริการผลิตภัณฑ์ทางการเงินและ/หรือบริการอื่นใดของบริษัท
• ข้อมูลความพิการ ข้อมูลทางการแพทย์ และ/หรือข้อมูลสุขภาพ เพื่อใช้เป็นข้อมูลในการสมัครใช้ผลิตภัณฑ์ทางการเงิน และ/หรือการใช้บริการอื่นใดกับบริษัท เช่น การพิจารณารับประกันภัยของบริษัทผู้รับประกันภัย

ทั้งนี้ บริษัทจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ของท่านเพียงเท่าที่จำเป็น เพื่อบรรลุวัตถุประสงค์ตามที่ระบุข้างต้น และเมื่อได้รับความยินยอมโดยชัดแจ้งจากท่าน และ/หรือในกรณีที่บริษัทมีความจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย และ/หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของท่าน และ/หรือเพื่อวัตถุประสงค์อื่นใดตามที่กฎหมายอนุญาตให้ทำได้

4.3 ข้อมูลส่วนบุคคลของบุคคลที่สาม
กรณีที่ท่านมีความจำเป็นต้องให้ข้อมูลส่วนบุคคล และ/หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ของบุคคลที่สาม เช่น ข้อมูลของคู่สมรส บุคคลในครอบครัว ผู้ติดต่อฉุกเฉิน ผู้เอาประกัน ผู้รับผลประโยชน์ หรือบุคคลอื่นใด ให้แก่บริษัทในการเก็บรวบรวม ใช้ และ/หรือเปิดเผย เพื่อประโยชน์ในการพิจารณาการสมัครและ/หรือใช้ผลิตภัณฑ์และ/หรือบริการของบริษัท การติดต่อ การดำเนินการตามกฎหมายและ/หรือกฎเกณฑ์ของหน่วยงานที่มีอำนาจในการกำกับดูแลบริษัท ท่านรับรองว่าเจ้าของข้อมูลส่วนบุคคลดังกล่าวได้รับทราบเกี่ยวกับประกาศฉบับนี้ รวมถึงได้รับความยินยอมจากบุคคลดังกล่าวตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดเรียบร้อยแล้ว รวมถึง รับรองว่าจะตรวจสอบความถูกต้องและครบถ้วนสมบูรณ์ของข้อมูลส่วนบุคคลที่ท่านให้ไว้แก่บริษัท และจะแจ้งให้บริษัททราบเมื่อมีการเปลี่ยนแปลงข้อมูลส่วนบุคคลที่ได้ให้ไว้ดังกล่าว

4.4 ข้อมูลส่วนบุคคลของผู้เยาว์ หรือผู้เสมือนไร้ความสามารถ
บริษัทจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ หรือผู้เสมือนไร้ความสามารถ เมื่อบริษัทได้รับความยินยอมจากผู้ใช้อำนาจปกครอง หรือผู้พิทักษ์ หรือในกรณีบริษัทสามารถอาศัยฐานทางกฎหมายอื่นโดยไม่ต้องอาศัยความยินยอมเท่านั้น หากบริษัททราบว่าได้มีการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ หรือผู้เสมือนไร้ความสามารถ โดยปราศจากความยินยอมของผู้ใช้อำนาจปกครอง หรือผู้พิทักษ์ บริษัทจะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลนั้น

5. วัตถุประสงค์และฐานในการประมวลผลข้อมูลส่วนบุคคล

บริษัทจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น โดยอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของท่านตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้บรรลุวัตถุประสงค์ต่างๆ ตามที่ระบุด้านล่างนี้ โดยบริษัทอาจอาศัยฐานใดฐานหนึ่งหรือหลายฐานประกอบกันในการประมวลผลข้อมูลส่วนบุคคลของท่าน

5.1 ฐานการปฏิบัติตามสัญญา ซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญา เพื่อดำเนินการตามวัตถุประสงค์ เช่น

• การลงทะเบียน และ/หรือสมัครใช้บริการผลิตภัณฑ์ทางการเงิน และ/หรือบริการต่างๆ เช่น การพิจารณาตรวจสอบคุณสมบัติและแจ้งผลการอนุมัติ การพิสูจน์และยืนยันตัวตน การตรวจสอบความถูกต้องของข้อมูลหรือเอกสาร 
• การให้บริการผลิตภัณฑ์ทางการเงิน และ/หรือบริการอื่นใดแก่ท่าน รวมถึงการพัฒนาและการจัดการผลิตภัณฑ์และ/หรือบริการดังกล่าว เช่น การออกแบบผลิตภัณฑ์ทางการเงินและ/หรือบริการ การมอบสิทธิประโยชน์ของผลิตภัณฑ์ การส่งมอบ/โอนเงินกู้ การรับชำระเงิน การออกใบเสร็จรับเงิน การแจ้งเตือนชำระหนี้หรือต่ออายุผลิตภัณฑ์ รวมถึง การบริหารความเสี่ยง การติดตามหนี้และการบังคับการปฏิบัติตามสัญญา ภาระผูกพัน สิทธิตามกฎหมาย การสืบทรัพย์และยึดทรัพย์ การเข้าครอบครองทรัพย์สิน การนำทรัพย์สินออกประมูลหรือขายทอดตลาด หรือกิจกรรมอื่นใดในทำนองเดียวกัน
• การตรวจสอบข้อมูลของกรรมการ ผู้มีอำนาจกระทำการแทน ตัวแทน รวมถึงผู้ประสานงานของลูกค้านิติบุคคล
• การมอบสิทธิประโยชน์และ/หรือของรางวัล ตามรายการส่งเสริมการขายที่ท่านตกลงเข้าร่วมกับบริษัท
• การดำเนินการอื่นใดที่เป็นไปตามคำขอของท่านและ/หรือสัญญาที่ท่านมีอยู่กับบริษัท

โดยหากท่านไม่ให้ข้อมูลดังกล่าวอาจทำให้บริษัทไม่สามารถดำเนินการตามคำขอ สัญญา และ/หรือการให้บริการผลิตภัณฑ์ทางการเงินและ/หรือบริการอื่นใดแก่ท่านได้อย่างสมบูรณ์

5.2 ฐานการปฏิบัติตามกฎหมาย เพื่อดำเนินการตามวัตถุประสงค์ เช่น

• การปฏิบัติตามกฎหมาย ระเบียบ กฎเกณฑ์ ประกาศ ข้อบังคับ และ/หรือข้อปฏิบัติใดๆ ที่เกี่ยวข้องกับการประกอบธุรกิจของบริษัท เช่น กฎหมายธุรกิจสถาบันการเงิน กฎหมายหลักทรัพย์และตลาดหลักทรัพย์ กฎหมายประกันชีวิต กฎหมายประกันวินาศภัย กฎหมายคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย กฎหมายระบบการชำระเงิน กฎหมายควบคุมการแลกเปลี่ยนเงิน กฎหมายภาษีอากร กฎหมายป้องกันและปราบปรามการฟอกเงิน กฎหมายการป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง กฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ กฎหมายทวงถามหนี้ กฎหมายคุ้มครองผู้บริโภค เป็นต้น
• การปฏิบัติตามคำสั่งศาล คำสั่งของหน่วยงานรัฐ หน่วยงานที่มีอำนาจกำกับดูแลบริษัท เจ้าพนักงานของรัฐที่มีอำนาจตามกฎหมาย เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานคณะกรรมการปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เป็นต้น

ทั้งนี้ ให้รวมถึงกฎหมาย ระเบียบ กฎเกณฑ์ ประกาศ ข้อบังคับ และ/หรือข้อปฏิบัติใดๆ ที่ออกตามกฎหมายดังกล่าว ทั้งที่ใช้บังคับอยู่แล้วในขณะนี้ ที่จะแก้ไขเพิ่มเติม และ/หรือที่จะมีขึ้นต่อไปในอนาคต

5.3 ฐานประโยชน์โดยชอบด้วยกฎหมายของบริษัท และ/หรือของบุคคลอื่นหรือนิติบุคคลอื่น  เพื่อดำเนินการตามวัตถุประสงค์ เช่น

• การดูแลรักษาระบบความปลอดภัยอาคารหรือสถานที่ของบริษัท เช่น การตรวจสอบและยืนยันตัวตนก่อนเข้าสถานที่ การบันทึกภาพการเข้า-ออกสถานที่ของบริษัทด้วยกล้องวงจรปิด CCTV เป็นต้น
• การวิเคราะห์ วิจัย เพื่อปรับปรุงและ/หรือพัฒนาผลิตภัณฑ์หรือการให้บริการของบริษัท
• การรับรองความถูกต้องของการให้บริการ การสำรวจและประเมินความพึงพอใจการใช้ผลิตภัณฑ์ทางการเงินและ/หรือบริการเพื่อปรับปรุงและ/หรือพัฒนาผลิตภัณฑ์หรือการให้บริการของบริษัท เช่น การบันทึกภาพ/เสียงสนทนาของท่าน การสัมภาษณ์ การกรอกแบบสอบถาม เป็นต้น
• การบริหารจัดการความสัมพันธ์ลูกค้า และ/หรือการจัดการข้อร้องเรียนต่างๆ
• การนำเสนอผลิตภัณฑ์ทางการเงิน และ/หรือสิทธิประโยชน์ ซึ่งบริษัทเห็นว่าอาจเป็นประโยชน์และ/หรือตรงกับความต้องการของท่าน
• การบันทึกภาพบรรยากาศหรือวิดีโอการอบรม สัมมนา ออกบูธหรือกิจกรรมอื่นใด ที่บริษัทเป็นผู้จัดหรือผู้สนับสนุน เพื่อใช้ในการจัดทำสื่อไม่ว่ารูปแบบใด และเผยแพร่ประชาสัมพันธ์ผ่านช่องทางต่างๆ ของบริษัท เช่น เว็บไซต์ สื่อโซเชียลมีเดีย และอีเมลภายในสำหรับพนักงานของบริษัท
• การบริหารความเสี่ยง การตรวจสอบ และ/หรือการบริหารจัดการภายในองค์กร รวมถึง การส่งต่อไปยังบริษัทในกลุ่มธุรกิจทางการเงินของบริษัทเพื่อการดำเนินการดังกล่าว
• การควบคุม ป้องกัน บรรเทา หรือถ่ายโอนความเสี่ยงที่อาจเกิดจากการกระทำทุจริต ภัยคุกคามทางไซเบอร์ การผิดนัดชำระหนี้หรือผิดสัญญา การทำผิดกฎหมายต่างๆ (เช่น การป้องกันและปราบปรามการฟอกเงิน การสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง ความผิดเกี่ยวกับทรัพย์ ชีวิต ร่างกาย เสรีภาพ หรือชื่อเสียง เป็นต้น) ซึ่งรวมถึง การแบ่งปันข้อมูลส่วนบุคคลเพื่อยกระดับมาตรฐานการทำงานของบริษัทในกลุ่มธุรกิจทางการเงินในการควบคุม ป้องกัน บรรเทา หรือโอนถ่ายความเสี่ยงข้างต้น         

5.4 ฐานความยินยอม  เพื่อดำเนินการตามวัตถุประสงค์ เช่น

• การเสนอขายสินค้า การเสนอสิทธิประโยชน์ การส่งเสริมการขาย หรือการเสนอบริการใดๆ ของบริษัทในกลุ่มธุรกิจการเงินของบริษัท หรือของบริษัทพันธมิตร ที่ไม่ใกล้เคียงกับบริการหรือไม่เกี่ยวเนื่องกับผลิตภัณฑ์ที่บริษัทมีอยู่ รวมถึงการใช้และ/หรือเปิดเผยข้อมูลของท่าน เพื่อการวิจัย จัดทำข้อมูลทางสถิติ วิเคราะห์ข้อมูล เพื่อใช้สำหรับวัตถุประสงค์ดังกล่าว

ในกรณีอื่นใดที่บริษัทไม่สามารถอาศัยฐานทางกฎหมายอื่นๆ ในการประมวลผลข้อมูลส่วนบุคคลของท่าน หรือในกรณีที่บริษัทมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของท่านด้วยวัตถุประสงค์อื่นที่ไม่เกี่ยวข้องกับวัตถุประสงค์เดิม บริษัทจะขอความยินยอมจากท่านตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดก่อนดำเนินการดังกล่าวเป็นคราวๆ ไป  ทั้งนี้ หากการไม่ให้ความยินยอม หรือการถอนความยินยอมอาจมีผลกระทบต่อท่านในเรื่องใด บริษัทจะแจ้งให้ท่านทราบถึงผลกระทบจากการไม่ให้ความยินยอมหรือถอนความยินยอมนั้นด้วย และการถอนความยินยอมจะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมไปแล้วโดยชอบด้วยกฎหมาย

6. การเปิดเผยข้อมูลส่วนบุคคล

บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอกเท่าที่จำเป็นเพื่อการประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญา หรือตามที่บริษัทสามารถอ้างฐานทางกฎหมายอื่น หรือตามที่ได้รับความยินยอมจากท่าน โดยบริษัทอาจส่งข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายนอก ดังต่อไปนี้

• ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทน ผู้รับจ้าง หรือผู้ให้บริการภายนอกที่เกี่ยวข้องกับการให้บริการผลิตภัณฑ์ทางการเงิน และ/หรือบริการของบริษัท เช่น ผู้ให้บริการ ชี้ช่อง ชักชวน เสนอขาย รวมถึงส่งมอบผลิตภัณฑ์ทางการเงินให้แก่ท่าน ผู้ให้บริการจัดการประชุม ผู้ให้บริการด้านการวิจัย ผู้ให้บริการทำแบบสอบถาม ผู้ให้บริการ Cloud Computing ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการติดตามทวงถามหนี้ ผู้ให้บริการช่องทางการรับชำระเงิน ผู้ทำหน้าที่ประสานงานในการเดินทางเพื่อการสัมมนา ผู้ให้บริการติดตั้งร้านค้ารับบัตร เป็นต้น
• กลุ่มธุรกิจทางการเงินของบริษัท สถาบันการเงิน บริษัทประกันภัย คู่ค้า พันธมิตรธุรกิจที่ออกผลิตภัณฑ์และ/หรือจัดรายการส่งเสริมการขายร่วมกับบริษัท  ร้านค้าผู้รับบัตร ธนาคารของร้านค้ารับบัตร
• บริษัทประกันภัย ตัวแทน/นายหน้าประกันภัย ได้แก่ บมจ. ไทยประกันชีวิต, บมจ. พรูเด็นเชียลประกันชีวิต (ประเทศไทย), บจก. เอไอเอ, บมจ. ซิกน่าประกันภัย, บมจ. ทิพยประกันภัย, บมจ. ชับบ์สามัคคีประกันภัย, บมจ. ชับบ์ ไลฟ์ แอสชัวรันซ์ ,บมจ. กรุงไทยพานิชประกันภัย, บมจ. อลิอันซ์ อยุธยาประกันชีวิต, บจก. ฮักส์ อินชัวรันซ์ และบริษัทประกันภัย ตัวแทน/นายหน้าประกันภัยอื่นที่บริษัทจะแจ้งเพิ่มเติมในอนาคต
• หน่วยงานกำกับดูแล และ/หรือหน่วยงานของรัฐ เช่น ศาล ธนาคารแห่งประเทศไทย  สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย บริษัทข้อมูลเครดิตแห่งชาติ จำกัด สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานป้องกันและปราบปรามการฟอกเงิน กรมสรรพากร สำนักงานป้องกันและปราบปรามการทุจริตแห่งชาติ กรมบังคับคดี กระทรวงยุติธรรม สำนักงานตำรวจแห่งชาติ รวมถึงหน่วยงานอื่นใดที่บริษัทจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อความจำเป็นในการปฏิบัติตามกฎหมาย และ/หรือคำสั่งของหน่วยงานรัฐ
• ที่ปรึกษา ผู้เชี่ยวชาญ และ/หรือผู้ตรวจสอบ เช่น ผู้สอบบัญชี ผู้ตรวจสอบภายใน/ภายนอก ที่ปรึกษาภาษี ที่ปรึกษากฎหมาย บริษัทจัดอันดับความน่าเชื่อถือ เป็นต้น
• หน่วยงาน หรือองค์กรที่บริษัทเป็นสมาชิก เช่น บริษัท ข้อมูลเครดิต จำกัด บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด ผู้ให้บริการเครือข่ายบัตร เป็นต้น
• นิติบุคคลหรือบุคคลอื่นใดที่เป็นคู่สัญญาหรือมีนิติสัมพันธ์กับบริษัท รวมถึงบุคคลอื่นใดที่มีอำนาจในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน

ทั้งนี้ บริษัทอาจส่ง หรือโอนข้อมูลของท่านไปยังต่างประเทศ เพื่อให้เป็นไปตามสัญญาระหว่างบริษัทกับท่าน หรือกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน หรือเพื่อให้เป็นไปตามข้อกำหนดทางกฎหมาย หรือเพื่อวัตถุประสงค์อื่นใดที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลอนุญาตให้ทำได้ โดยประเทศปลายทางที่รับข้อมูลต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด หรือได้รับการวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือหน่วยงานหรือองค์กรที่รับข้อมูลต้องได้รับการตรวจสอบและรับรองจากสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม ทั้งนี้ เว้นแต่ได้รับความยินยอมจากท่านโดยชัดแจ้ง

7. การใช้งานคุกกี้ และ/หรือเทคโนโลยีที่มีลักษณะใกล้เคียงกัน

บริษัทอาจเก็บรวบรวม และใช้คุกกี้ และ/หรือเทคโนโลยีที่มีลักษณะใกล้เคียงกัน เมื่อท่านมีการเข้าใช้งานเว็บไซต์ และ/หรือแอปพลิเคชันของบริษัท เพื่อให้ท่านสามารถให้บริการเว็บไซต์และ/หรือแอปพลิเคชันของบริษัทได้ รวมถึงเพื่อให้บริษัทสามารถจดจำการใช้งาน ความชื่นชอบ รวมถึง วิเคราะห์ความสนใจของท่านเพื่อปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์ และ/หรือแอปพลิเคชันให้ตอบสนองความต้องการและการใช้งานของท่าน โดยท่านสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “ประกาศการใช้คุกกี้” https://www.ktc.co.th/cookie-notice

8. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เท่าที่จำเป็นตามวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้ในประกาศฉบับนี้ และ/หรือเพื่อการปฏิบัติตามภาระหน้าที่ทางกฎหมายและกฎข้อบังคับต่างๆ รวมถึงการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้อง หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายที่ใช้บังคับ ดังต่อไปนี้

• กรณีที่ท่านที่ได้รับการอนุมัติเป็นสมาชิกผลิตภัณฑ์ทางการเงินของบริษัท บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ตลอดระยะเวลาที่เป็นสมาชิกและต่อไปอีกไม่เกิน 10  ปีนับจากวันที่สิ้นสุดการเป็นสมาชิกของท่าน
• กรณีท่านไม่ได้รับการอนุมัติเป็นสมาชิกผลิตภัณฑ์ทางการเงินของบริษัท บริษัทจะเก็บรักษาข้อมูลส่วนบุคคล ของท่านไว้ เป็นระยะเวลาไม่เกิน 3 ปีนับจากวันที่ไม่ได้รับอนุมัติ

9. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ในฐานะที่ท่านเป็นเจ้าของข้อมูลส่วนบุคคล ท่านมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในการดำเนินการ ดังต่อไปนี้

9.1 สิทธิในการเพิกถอนความยินยอม : ท่านมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท

9.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล : ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของท่านและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ท่าน รวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ท่านไม่ได้ให้ความยินยอมต่อบริษัทให้แก่ท่าน ได้

9.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง : ท่านมีสิทธิในการขอให้บริษัทดำเนินการแก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง เป็นปัจจุบัน และ/หรือเพิ่มเติมข้อมูลให้สมบูรณ์ และ/หรือไม่ก่อให้เกิดความเข้าใจผิด

9.4 สิทธิในการลบข้อมูลส่วนบุคคล : ท่านมีสิทธิในการขอให้บริษัททำการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวตน ด้วยเหตุตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ได้

9.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล : ท่านมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ได้

9.6 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล : ท่านมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของท่านที่ท่านให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่น หรือ ตัวท่านเองด้วยเหตุตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ได้

9.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล : ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านด้วยเหตุตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ได้

ท่านสามารถยื่นคำร้องขอให้บริษัทดำเนินการตามสิทธิข้างต้นได้ ผ่านช่องทางติดต่อที่ระบุในประกาศฉบับนี้ โดยจะต้องกระทำเป็นลายลักษณ์อักษรตามรูปแบบที่บริษัทกำหนด และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการตามคำขอหรือชี้แจงถึงผลกระทบที่จะเกิดขึ้นจากการดำเนินการตามคำขอของท่าน ภายใน 30 วันหรือไม่เกินตามระยะเวลาที่กฎหมายกำหนด อย่างไรก็ตาม บริษัทอาจปฏิเสธที่จะดำเนินการตามคำขอของท่านในกรณีที่มีกฎหมายให้อนุญาตไว้ รวมถึงบริษัทอาจคิดค่าใช้จ่ายที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่ท่านร้องขอได้
ในกรณีที่ท่านพบว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้

10. มาตรการคุ้มครองข้อมูลส่วนบุคคล

บริษัทมีการจัดการคุ้มครองข้อมูลส่วนบุคคลตาม “มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ (ISO/IEC 27001:2022)” และ “มาตรฐานการจัดการข้อมูลส่วนบุคคล (ISO/IEC 27701:2019)”

11. การเปลี่ยนแปลงประกาศการคุ้มครองข้อมูลส่วนบุคคล

บริษัทอาจมีการพิจารณาทบทวนประกาศฉบับนี้ เพื่อให้สอดคล้องกับแนวปฏิบัติ กฎหมาย และข้อบังคับที่เกี่ยวข้อง  ทั้งนี้ หากมีการเปลี่ยนแปลง บริษัทจะแจ้งให้ท่านทราบผ่านเว็บไซต์ของบริษัท https://www.ktc.co.th/pdpa และ/หรือช่องทางอื่นใดตามความเหมาะสมต่อไป

12. ช่องทางการติดต่อบริษัท

ในกรณีที่ท่านประสงค์จะใช้สิทธิของเจ้าของข้อมูลตามประกาศฉบับนี้ หรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท สามารถติดต่อได้ที่ :

ศูนย์บริการสมาชิก: โทรศัพท์  02  123 5000 
สถานที่ติดต่อ: บริษัท บัตรกรุงไทย จำกัด (มหาชน) เลขที่ 591 อาคารสมัชชาวาณิช 2 ชั้น 14 ถนนสุขุมวิท 33 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ  10110     
Email address: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DataProtectionOfficer@ktc.co.th

หากท่านพบว่าการประมวลผลข้อมูลส่วนบุคคลของลูกค้าไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านสามารถร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ประกาศฉบับนี้มีผลบังคับใช้ตั้งแต่ วันที่ 10 พฤศจิกายน 2568 เป็นต้นไป