1. ขอบเขตและวัตถุประสงค์ของประกาศนี้
บริษัท บัตรกรุงไทย จำกัด (มหาชน) (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บริษัทจึงได้จัดทำประกาศฉบับนี้ขึ้นซึ่งคลอบคลุมถึงกลุ่มเจ้าของข้อมูลส่วนบุคคลตามคำนิยาม โดยมีวัตถุประสงค์เพื่ออธิบายวิธีการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับการให้บริการหรือทำนิติกรรมสัญญากับบริษัท โปรดอ่านเอกสารฉบับนี้เพื่อรับทราบและทำความเข้าใจในวัตถุประสงค์ที่บริษัทได้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามประกาศนี้
คำนิยาม | ความหมาย |
ข้อมูลส่วนบุคคล | หมายความว่า ข้อมูลเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลซึ่งทำให้สามารถระบุตัวตนได้ไม่ว่าทางตรงหรือทางอ้อม โดยไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม ข้อมูลนิติบุคคล หรือข้อมูลที่ได้ผ่านกระบวนการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ |
เจ้าของข้อมูลส่วนบุคคล | หมายความว่า บุคคลธรรมดาที่มีการติดต่อ หรือทำธุรกรรมต่างๆ กับบริษัท เช่น ตัวแทนขายผลิตภัณฑ์ทางการเงิน คู่ค้า พันธมิตร เจ้าหนี้ ผู้ให้บริการงานสนับสนุน ผู้ถือหลักทรัพย์ ภาครัฐ กรรมการบริษัท เป็นต้น โดยไม่รวมถึง ผู้สมัครใช้ผลิตภัณฑ์ทางการเงิน ซึ่งหมายถึง ลูกค้าหรือร้านค้าสมาชิก และพนักงานของบริษัทซึ่งมีประกาศการคุ้มครองข้อมูลส่วนบุคคลแยกต่างหากจากประกาศฉบับนี้ |
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) | หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนดซึ่งบริษัทจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่อเมื่อบริษัทได้รับความยินยอมโดยชัดแจ้งจากท่าน หรือในกรณีที่บริษัทมีความจำเป็นตามกรณีที่กฎหมายอนุญาต ทั้งนี้ บริษัทอาจต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลข้อมูลชีวภาพ (Biometric) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา ข้อมูลอัตลักษณ์เสียง เพื่อวัตถุประสงค์ในการพิสูจน์และยืนยันตัวตนของผู้ใช้บริการที่ขอสมัคร และ/หรือทำธุรกรรมผ่านช่องทางต่างๆ |
การประมวลผลข้อมูลส่วนบุคคล | หมายความว่า การดำเนินการใดๆของบริษัทต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลรวมถึง การเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล และการลบข้อมูลส่วนบุคคล |
2. ช่องทางในการได้มาซึ่งข้อมูลส่วนบุคคลเพื่อการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าผ่านช่องทางดังต่อไปนี้
2.1 ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทโดยตรง หรือมีอยู่กับบริษัททั้งที่เกิดจากการติดต่อ การทำสัญญา การให้ และ/หรือการใช้บริการ การลงทุนในหลักทรัพย์ของบริษัท การเข้าร่วมกิจกรรมผ่านช่องทางการให้บริการ และ/หรือช่องทางการติดต่อต่าง ๆ ของบริษัท อาทิเช่น เว็บไซต์ แอปพลิเคชัน สื่อสังคมออนไลน์ของบริษัท อีเมลล์ การปิดสมุดทะเบียนผู้ลงทุน ศูนย์บริการสมาชิก ข้อความสั้น (SMS) โทรศัพท์ แบบสอบถาม การประชุม การอบรมสัมมนา งานอีเว้นท์ นามบัตร เป็นต้น
2.2 ข้อมูลส่วนบุคคลที่บริษัทได้รับ หรือเข้าถึงได้จากแหล่งอื่น เช่น บริษัทในกลุ่มธุรกิจทางการเงินของบริษัท ร้านค้ารับบัตร ธนาคาร หรือสถาบันการเงินอื่น นายทะเบียนหลักทรัพย์ ศูนย์รับฝากหลักทรัพย์ ผู้จัดจำหน่ายหลักทรัพย์ พันธมิตรทางธุรกิจ บริษัทที่ออกผลิตภัณฑ์ร่วมกับบริษัท แพลตฟอร์มออนไลน์ของบุคคลภายนอก บริษัทข้อมูลเครดิต แหล่งข้อมูลสาธารณะ ผู้มีอำนาจ หรือมีสิทธิตามกฎหมาย บุคล หรือหน่วยงานอื่นใดที่บริษัทมีนิติสัมพันธ์ด้วย เป็นต้น
3. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผย
ในการประมวลผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามวัตถุประสงค์ บริษัทจำเป็นที่จะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามแต่กรณี เพื่อให้สามารถใช้บริการ และ/หรือทำธุรกรรม รวมถึง การติดต่อกับบริษัทได้ โดยข้อมูลดังกล่าว รวมถึง
3.1 ข้อมูลส่วนบุคคล เช่น
- ข้อมูลส่วนบุคคลและเอกสารแสดงตนที่ใช้ในการทำนิติกรรมสัญญา หรือธุรกรรมกับบริษัท หรือมีความเกี่ยวข้องในการทำนิติกรรมสัญญา หรือธุรกรรมกับบริษัท เช่น ชื่อ นามสกุล ที่อยู่ ปัจจุบันหมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน ลายมือชื่อ เลขประจำตัวผู้เสียภาษีอากร ข้อมูลอื่นประกอบการทำนิติกรรมสัญญา หรือธุรกรรมกับบริษัท เป็นต้น
- ข้อมูลทางเทคนิค อุปกรณ์ หรือเครื่องมือ เช่น ชื่อหรือบัญชีเข้าใช้งานสำหรับการติดต่อทางอิเล็กทรอนิกส์ หรือสื่อสังคมออนไลน์ ข้อมูลการใช้งานแอปพลิเคชัน หมายเลขประจำเครื่องคอมพิวเตอร์ (IP Address หรือ Mac Address) คุกกี้ ข้อมูลการเข้าสู่ระบบ สถานที่ตั้ง (Location Data) ข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ หรือข้อมูลอื่น ๆ จากการใช้งานบนเว็บไซต์ หรือแอปพลิเคชัน หรือระบบปฏิบัติการ
- ข้อมูลอื่น ๆ เช่น ข้อมูลการร้องเรียน คำขอใช้บริการ หรือสิทธิต่าง ๆ บันทึกการสื่อสาร หรือการโต้ตอบระหว่างลูกค้ากับบริษัท คลิปบันทึกเสียง ข้อมูลการลงทะเบียนเข้าร่วมกิจกรรมต่างๆ ของบริษัท ข้อมูลการเป็นผู้ถือหลักทรัพย์ของบริษัท ภาพถ่าย ภาพเคลื่อนไหว ภาพจากกล้องวงจรปิด ข้อมูลการเข้าออกอาคาร/สถานที่ ข้อมูลคำสั่งศาล หรือราชกิจจานุเบกษา หรือหน่วยงานราชการ ที่เกี่ยวกับการปฏิบัติตามกฎหมายของบริษัท เช่น คำสั่งเรียกพยานเอกสารหรือพยานวัตถุ คำสั่งพิทักษ์ทรัพย์ เป็นต้น
3.2 ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data)
บริษัทอาจจำเป็นต้องใช้ข้อมูลที่ละเอียดอ่อนเพื่อประกอบการให้บริการที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่
เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ หรืออาจประมวลผลข้อมูลที่ละเอียดอ่อนเพื่อประโยชน์ในการให้บริการ
บริษัทอาจประมวลผลข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ในรูปแบบที่เป็นเอกสาร และ/หรือรูปภาพ และ/หรือรูปแบบอิเล็กทรอนิกส์
4. เหตุใดบริษัทต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อการดำเนินการทั้งหลายตามวัตถุประสงค์ของบริษัทที่เกี่ยวข้องกับการให้บริการ หรือการใช้บริการ นอกจากนี้ บริษัทอาจส่งข้อมูลส่วนบุคคลของท่านให้หน่วยงาน หรือบุคคลภายนอกดำเนินการในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” โดยดำเนินการในนามของบริษัท บริษัทประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุผล (ฐานในการประมวลผลข้อมูล) ซึ่งอาจจะอาศัยเหตุผลใดเหตุผลหนึ่ง หรือหลายเหตุผล ประกอบกันก็ได้ ดังนี้
4.1 เพราะบริษัทมีหน้าที่ปฏิบัติตามสัญญา : ประมวลผลตามฐานสัญญา (Contract)
เพื่อให้บริษัทสามารถปฏิบัติตามสัญญา หรือทำธุรกรรมได้ตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาอยู่กับบริษัท เช่น
(1) การสมัครเป็นผู้แนะนำผลิตภัณฑ์ทางการเงิน การจ่ายค่าตอบแทน การทำนิติกรรมสัญญา หรือการทำธุรกรรมกับบริษัทเพื่อการเป็นพันธมิตรทางธุรกิจ หรือคู่ค้ากับบริษัท การออกใบเสร็จรับเงิน เป็นต้น
(2) ดำเนินการอื่นใดเพื่อวัตถุประสงค์ในการให้บริการตามสัญญา เช่น รับเรื่องร้องเรียน บริหารความเสี่ยง
เป็นต้น
(3) การจัดประชุมสามัญประจำปีผู้ถือหุ้น การจัดประชุมผู้ถือหุ้นกู้ รวมถึง การดำเนินการต่างๆ เพื่อประโยชน์ต่อผู้ถือหุ้น หรือผู้ถือหุ้นกู้ เช่น การจ่ายเงินปันผล การดำเนินการตามข้อกำหนดสิทธิ เป็นต้น
4.2 เพราะบริษัทมีความจำเป็นต้องดำเนินการตามประโยชน์โดยชอบด้วยกฎหมายของบริษัท : ประมวลผลตามฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interests)
บริษัทอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปใช้ในการประมวลผล เพื่อการจัดการ การตรวจสอบและการจัดทำรายงานภายในของบริษัท การดูแลรักษาระบบเพื่อการรักษามาตรฐานการให้บริการ รวมไปถึงการจัดการความเสี่ยงของบริษัท และการดำเนินการตามปกติภายในของบริษัท อันเป็นประโยชน์โดยชอบด้วยกฎหมาย เช่น
(1) การบันทึกเสียงสนทนาผ่านช่องทางศูนย์บริการสมาชิกเพื่อปรับปรุงคุณภาพการให้บริการ การรับรอง
ความถูกต้องของการให้ และ/หรือ ใช้บริการ เป็นต้น
(2) การแลกบัตรก่อนเข้าสถานที่ทำงาน หรือการบันทึกภาพกล้องวงจรปิด (CCTV)
(3) การรักษาความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล เช่น การจัดการข้อร้องเรียน การประเมินความพึงพอใจจาก
การใช้บริการ
(4) การบริหารความเสี่ยงองค์กร การตรวจสอบ การบริหารจัดการภายในองค์กร
(5) การควบคุม ป้องกัน บรรเทา หรือโอนถ่ายความเสี่ยงที่อาจเกิดจากการกระทำทุจริต ภัยคุกคามทางไซเบอร์
การผิดนัดชำระหนี้หรือผิดสัญญา การทำผิดกฎหมายต่างๆ (เช่น การป้องกันและปราบปรามการฟอกเงิน การสนับสนุนทางการเงินแก่การก่อการร้ายและแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง ความผิดเกี่ยวกับทรัพย์ ชีวิต ร่างกาย เสรีภาพ หรือชื่อเสียง เป็นต้น) ซึ่งรวมถึง การแบ่งปันข้อมูลส่วนบุคคลเพื่อยกระดับมาตรฐานการทำงานของบริษัทในกลุ่มธุรกิจทางการเงินในการควบคุม ป้องกัน บรรเทา หรือโอนถ่ายความเสี่ยงข้างต้น
(6) การเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของกรรมการ ผู้มีอำนาจกระทำการแทน ตัวแทนของนิติ
บุคคล
(7) การติดต่อ การบันทึกภาพ การบันทึกเสียงอันเกิดจากการจัดประชุม อบรม สันทนาการ หรือการออกบูธ
4.3 เพราะบริษัทมีความจำเป็นต้องปฏิบัติตามกฎหมาย : ประมวลผลตามฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
บริษัทอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปประมวลผลเพื่อการปฏิบัติตามกฎหมายของหน่วยงาน ที่กำกับดูแลการประกอบธุรกิจของบริษัท เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ตลาดหลักทรัพย์แห่งประเทศไทย สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานคณะกรรมการปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น รวมทั้ง กฎหมายที่ควบคุมการทำธุรกรรม เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พ.ร.บ. ป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 หรือ กฎหมายอื่นที่บริษัทต้องอยู่ภายใต้บังคับกำหนดให้ส่งข้อมูลทั้งในประเทศไทยและต่างประเทศ รวมถึงประกาศและระเบียบที่ออกตามกฎหมายดังกล่าว เช่น ประมวลวิธีพิจารณาความแพ่งที่ให้อำนาจศาลสั่งให้คู่ความส่งเอกสารหรือข้อมูลในการพิจารณาคดี เป็นต้น
4.4 เพราะบริษัทได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล: ประมวลผลตามความยินยอม (Consent)
บริษัทจะขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคคลจากเจ้าของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น ในบางกรณีบริษัทอาจพิจารณาว่าสามารถประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์อื่นที่เกี่ยวข้องและไม่ขัด หรือนอกเหนือไปจากวัตถุประสงค์เดิม แต่ในกรณีที่บริษัทจำเป็นต้องประมวลผลข้อมูลด้วยวัตถุประสงค์อื่นที่ไม่เกี่ยวข้องกับวัตถุประสงค์เดิม บริษัทจะขอความยินยอมใหม่เพื่อการใช้ข้อมูลตามวัตถุประสงค์ใหม่นั้น
หากเจ้าของข้อมูลส่วนบุคคลประสงค์จะถอนความยินยอมในการประมวลผลดังกล่าว สามารถติดต่อบริษัทและแจ้งความประสงค์ได้ตามข้อ 11 ทั้งนี้ การถอนความยินยอมอาจส่งผลกระทบต่อการปฏิบัติตามวัตถุประสงค์ ดังนั้น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลจึงควรศึกษา หรือสอบถามถึงผลกระทบก่อนเพิกถอนความยินยอม
5. การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก
บริษัทอาจทำการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกเท่าที่จำเป็นเพื่อการประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญาหรือตามกฎหมาย หรือตามที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยบริษัทอาจส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังบุคคลภายนอก ดังต่อไปนี้
(1) ตัวแทน และผู้รับจ้าง หรือผู้ให้บริการซึ่งเป็นบุคคลภายนอก ทั้งนี้ เพื่อให้บุคคล และ/หรือ นิติบุคคลเหล่านี้ให้บริการแก่บริษัท และเจ้าของข้อมูลส่วนบุคคล เช่น กลุ่มธุรกิจทางการเงิน ธนาคาร หรือสถาบันการเงิน คู่ค้า ที่ปรึกษา ผู้เชี่ยวชาญและผู้ให้บริการด้านต่าง ๆ เช่น ผู้สอบบัญชี ผู้ตรวจสอบภายใน/ภายนอก ที่ปรึกษาภาษี บริษัทจัดอันดับความน่าเชื่อถือ บริษัทที่ให้บริการด้านงานวิจัย ผู้ให้บริการด้านเทคโนโลยีสารสนเทศและการสื่อสาร ผู้ให้บริการ Cloud Computing ผู้ให้บริการสื่อสังคมออนไลน์ บริษัทผู้ทำหน้าที่ประสานงานในการเดินทางเพื่อการสัมมนา ผู้ทำหน้าที่จัดประชุม ศูนย์รับฝากหลักทรัพย์ ผู้ทำหน้าที่ที่เกี่ยวข้องกับการออกและเสนอขายหลักทรัพย์ เป็นต้น
(2) หน่วยงานกำกับดูแล หน่วยงานของรัฐบาล หรือหน่วยงานที่มีหน้าที่กำกับดูแล เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานเศรษฐกิจกระทรวงการคลัง สำนักงานป้องกันและปราบปรามการฟอกเงิน กรมสรรพากร สำนักงานป้องกันและปราบปรามการทุจริตแห่งชาติ กรมบังคับคดี กระทรวงยุติธรรม สำนักงานตำรวจแห่งชาติ บุคคลใดๆก็ตามที่บริษัทต้องเปิดเผยข้อมูลเท่าที่กฎหมายหรือกฎระเบียบที่เกี่ยวข้องกำหนด หรือในกรณีเฉพาะอื่นๆ เช่น เป็นไปตามคำสั่งศาล
(3) เพื่อการก่อตั้งสิทธิเรียกร้องตามสัญญาหรือตามกฎหมายของบริษัท หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(4) บริษัทอาจส่งหรือโอนข้อมูลของลูกค้าไปยังต่างประเทศ ทั้งนี้ เพื่อให้เป็นไปตามสัญญาระหว่างบริษัทกับบุคคล หรือนิติบุคคลอื่นเพื่อประโยชน์ของลูกค้า หรือเพื่อให้เป็นไปตามข้อกำหนดทางกฎหมาย โดยประเทศปลายทางที่รับข้อมูลต้องได้รับการวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือหน่วยงาน หรือองค์กรที่รับข้อมูลต้องได้รับการตรวจสอบและรับรองจากสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม
6.การใช้งานคุกกี้ และ/หรือ เทคโนโลยีที่มีลักษณะใกล้เคียงกัน
ภายใต้การได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง บริษัทอาจเก็บรวบรวม และใช้งานคุกกี้ และ/หรือเทคโนโลยีที่มีลักษณะใกล้เคียงกัน เมื่อท่านมีการเข้าใช้งานเว็บไซต์ หรือแอปพลิเคชันของบริษัท เพื่อช่วยให้บริษัทสามารถจดจำการใช้งาน ความชื่นชอบ รวมถึง วิเคราะห์ความสนใจของท่านเพื่อปรับปรุงและพัฒนาประสิทธิภาพการทำงานของเว็บไซต์ หรือแอปพลิเคชันของบริษัทให้ตอบสนองความต้องการและการใช้งานของท่าน โดยท่านสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “ประกาศการใช้คุกกี้” https://www.ktc.co.th/cookie-notice
7. สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในข้อมูลส่วนบุคคลโดยเจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิต่าง ๆ ได้ภายใต้ข้อกำหนดของกฎหมาย และประกาศที่กำหนดไว้ในขณะนี้ หรือที่จะมีการแก้ไขเพิ่มเติมในอนาคต ดังต่อไปนี้
(1) สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) โดยได้รับการแจ้งเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล วิธีการเก็บรวบรวม บุคคลที่จะได้รับข้อมูล เหตุผลและระยะเวลาที่จัดเก็บข้อมูลส่วนบุคคล
(2) สิทธิในการเข้าถึง (Right of Access) โดยสามารถขอรับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของบริษัท และตรวจสอบว่าบริษัทได้ประมวลผลข้อมูลตามกฎหมาย หรือไม่
(3) สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) บริษัทได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่าน หรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และประมวลผลด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคลอื่นได้ด้วยวิธีการอัตโนมัติ หรือขอรับข้อมูลส่วนบุคคลที่บริษัทส่งหรือโอนไปยังบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
(4) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลส่วนบุคคลสามารถคัดค้านในกรณีที่บริษัทประมวลผลข้อมูลของเจ้าของข้อมูลส่วนบุคคล
(5) สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to erasure Right to be forgotten) เจ้าของข้อมูลส่วนบุคคลสามารถขอให้ลบข้อมูล หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคล
(6) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลสามารถขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อบริษัทอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลขอให้แก้ไขข้อมูลส่วนบุคคล หรือเมื่อบริษัทอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคำขอใช้สิทธิในการคัดค้านของเจ้าของข้อมูลส่วนบุคคล
(7) สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right of rectification) เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันได้ หากเจ้าของข้อมูลพบว่าข้อมูลของเจ้าของข้อมูลส่วนบุคคลไม่ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะยื่นคำขอใช้สิทธิต่อบริษัท บางกรณีบริษัทอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามเหตุผลที่จะได้แจ้งให้ทราบต่อไป โดยเจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากเจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับเหตุผลที่บริษัทชี้แจง การร้องขอใดๆ เพื่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กล่าวข้างต้น จะต้องกระทำเป็นลายลักษณ์อักษร หรือวิธีการตามที่บริษัทกำหนด และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการหรือชี้แจงภายใน 30 วัน หรือไม่เกินตามระยะเวลาที่กฎหมายกำหนด โดยบริษัทจะปฏิบัติตามข้อกำหนดทางกฎหมาย ที่เกี่ยวข้องกับสิทธิของเจ้าของข้อมูลส่วนบุคคลในฐานะเจ้าของข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลขอให้บริษัท ลบ ทำลาย กำจัดการประมวลผลข้อมูลส่วนบุคคล ระงับการใช้ชั่วคราว แปลงข้อมูลส่วนบุคคลในรูปแบบข้อมูลที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้ หรือถอนความยินยอม อาจทำให้เกิดข้อจำกัดกับบริษัทในการทำธุรกรรม หรือให้บริการแก่เจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ การใช้สิทธิดังกล่าวข้างต้น บริษัทขอสงวนสิทธิในการคิดค่าใช้จ่ายที่เกี่ยวข้องและจำเป็นต่อการเข้าดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
8. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
ตามหลักการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านเป็น ระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์การเก็บรวบรวมข้อมูลตามกฎหมาย ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมไว้ตลอดระยะเวลาที่เป็นคู่สัญญา หรือผู้ทำธุรกรรมกับบริษัท และอีกไม่เกิน 10 ปีนับจากวันที่สิ้นสุดระยะเวลาการเป็นคู่สัญญาหรือผู้ทำธุรกรรม หรือตามที่กฎหมายกำหนด
9. วิธีการที่บริษัทใช้ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
บริษัทมีการจัดการคุ้มครองข้อมูลส่วนบุคคลตาม “มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสําหรับสารสนเทศ (ISO/IEC 27001:2013)”และ “มาตรฐานการจัดการข้อมูลส่วนบุคคล (ISO/IEC 27701:2019)”
10. การแก้ไขเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจมีการพิจารณาทบทวนประกาศการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ โดยหากมีการเปลี่ยนแปลง บริษัทจะแจ้งให้ทราบบนเว็บไซต์ของบริษัทฯ และตามช่องทางที่จะได้แจ้งให้ทราบตามความเหมาะสมต่อไป
11. วิธีการติดต่อบริษัท
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสงค์จะใช้สิทธิหรือถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทสามารถติดต่อได้ที่
ศูนย์บริการสมาชิก : โทรศัพท์ 02 123 5000
สถานที่ติดต่อ : บริษัทบัตรกรุงไทย จำกัด (มหาชน) เลขที่ 591 อาคารสมัชชาวาณิช 2 ชั้น 14 ถนนสุขุมวิท 33 แขวงคลองตันเหนือ เขตวัฒนา กรุงเทพฯ 10110
Email address เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DataProtectionOfficer@ktc.co.th
หากเจ้าของข้อมูลส่วนบุคคลเห็นว่าการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ประกาศฉบับนี้มีผลบังคับใช้ตั้งแต่ วันที่ 10 พฤศจิกายน 2565 เป็นต้นไป