การกำกับดูแลกิจการที่ดี
นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)
1. วัตถุประสงค์
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีวัตถุประสงค์เพื่อเป็นกรอบในการกำกับดูแลการคุ้มครองและ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของบริษัท และสนับสนุนกลยุทธ์ของบริษัท ในการบริหารจัดการข้อมูลส่วนบุคคล เพื่อสร้างผลลัพธ์ที่ดีต่อธุรกิจ โดยกำหนดหลักเกณฑ์สำหรับการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งอยู่ในความควบคุมดูแลของบริษัท ได้แก่ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย ตลอดจนการป้องกันและเยียวยาความเสียหายจากการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ส่วนบุคคล ให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสอดคล้องกับมาตรฐานสากล
2. ขอบเขตของนโยบาย
นโยบายฉบับนี้ใช้บังคับกับบุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท รวมถึงแต่ไม่จำกัดเพียง ตัวแทนประกันชีวิตและที่ปรึกษาทางการเงิน นายหน้า พันธมิตร คู่ค้า ผู้ให้บริการภายนอก ฯลฯ ทั้งนี้ บุคคลดังกล่าวต้องศึกษา ทำความเข้าใจนโยบายฉบับนี้และถือปฏิบัติอย่างเคร่งครัด ผู้ที่ฝ่าฝืนอาจได้รับโทษตามระเบียบของบริษัท และ/หรืออาจต้องรับโทษตามที่กฎหมายกำหนดไว้ รวมถึงการสิ้นสุดความสัมพันธ์ทางธุรกิจ
3. วันที่มีผลบังคับใช้
นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่คณะกรรมการบริษัทอนุมัติ
4. ความถี่ในการทบทวนและการแก้ไขปรับปรุงนโยบาย
นโยบายฉบับนี้จะต้องได้รับการทบทวนอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
5. ผู้รับผิดชอบนโยบาย
คณะกรรมการกำกับดูแลข้อมูลส่วนบุคคล (PDPGAC) เป็นผู้รับผิดชอบบริหารจัดการนโยบายฉบับนี้
6. คำนิยาม
“บริษัท” หมายถึง บริษัท กรุงเทพประกันชีวิต จํากัด (มหาชน)
“บริษัทย่อย” หมายถึง บริษัทที่บริษัทถือหุ้นไม่ว่าทางตรงหรือทางอ้อมเกินกว่าร้อยละ 50 ของจำนวน หุ้นทั้งหมดที่มีสิทธิ์ออกเสียง
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคลมีสองประเภท ได้แก่ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลสามารถระบุตัวตนบุคคลนั้นได้ เช่น ลูกค้า พนักงาน กรรมการ ตัวแทนประกันชีวิตและที่ปรึกษาทางการเงิน เป็นต้น
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่ออก ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ
“การละเมิดข้อมูลส่วนบุคคล” หมายถึง การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการทำลาย สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
7. หลักการทั่วไป
บริษัทตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ในสภาวะการเปลี่ยนแปลงอย่างรวดเร็วในด้านเทคโนโลยีและการเปลี่ยนผ่านสู่สังคมดิจิทัล บริษัทมุ่งมั่นและให้ความสำคัญกับการปกป้องดูแลข้อมูลส่วนบุคคล และป้องกันการละเมิดข้อมูลส่วนบุคคล ซึ่งอยู่ในความควบคุมดูแลของบริษัท คณะกรรมการบริษัทจึงเห็นสมควรกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ฉบับนี้ขึ้น
8. นโยบาย
8.1 หลักการพื้นฐานในการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบริษัท
บริษัทดำเนินการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล สอดคล้องกับหลักการพื้นฐานการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Principles) ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับมาตรฐานสากล กรณีที่ไม่มีกำหนดรายละเอียดไว้เป็นการเฉพาะภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือในนโยบายฉบับนี้ บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลภายใต้หลักการพื้นฐาน ดังต่อไปนี้
| 8.1.1 | บริษัทดำเนินการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ที่บริษัทสามารถกระทำได้โดยชอบด้วยกฎหมายด้วยความซื่อสัตย์ โปร่งใส และสามารถตรวจสอบได้ (Lawfulness Fairness and Transparency) |
| 8.1.2 | บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่กำหนดไว้แล้วเท่านั้น ซึ่งเป็นวัตถุประสงค์ที่ ชอบด้วยกฎหมาย และได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบก่อน หรือในขณะมีการประมวลผลข้อมูลส่วนบุคคล (Purpose Limitation) |
| 8.1.3 | เมื่อบริษัทดำเนินการเก็บข้อมูลส่วนบุคคล บริษัทจะเก็บข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นและเกี่ยวข้อง เพื่อให้บรรลุวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้อย่างเหมาะสม (Data Minimization) |
| 8.1.4 | บริษัทมีกระบวนการที่เหมาะสมในการทำให้ข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของบริษัทถูกต้อง เป็นปัจจุบัน มีความสมบูรณ์พร้อมใช้ และไม่ก่อให้เกิดความเข้าใจผิด (Accuracy) |
| 8.1.5 | บริษัทเก็บรักษาข้อมูลส่วนบุคคลภายใต้ระยะเวลาที่สอดคล้องกับวัตถุประสงค์ที่กำหนดไว้ และ/หรือสอดคล้องกับวัตถุประสงค์ที่กฎหมายกำหนด (Storage Limitation) |
| 8.1.6 | บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม ทั้งมาตรการเชิงองค์กร มาตรการเชิงเทคนิค และมาตรการเชิงกายภาพ (Security) |
| 8.1.7 | บริษัทมีมาตรการในการกำกับดูแลให้บุคลากรภายในองค์กรดำเนินการคุ้มครองข้อมูลส่วนบุคคลภายใต้หลักการพื้นฐานดังกล่าว (Accountability) |
8.2 การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล
บริษัทกำหนดกรอบการดำเนินงานในการจัดการข้อมูลส่วนบุคคล ที่ครอบคลุม การเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การประเมินความเสี่ยงและผลกระทบในการใช้ข้อมูลส่วนบุคคล การใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล การใช้บริการบุคคลภายนอก การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และ การจัดการเหตุละเมิด ฯลฯ โดยคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญเป็นไปตามมาตรฐานสากลและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
8.3 การอบรมและสร้างความตระหนักรู้
บริษัทจัดให้มีการสื่อสารอบรมและการสร้างความตระหนักรู้ เพื่อให้บุคลากรขององค์กรและผู้ที่เกี่ยวข้อง มีความเข้าใจต่อหลักการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
8.4 การติดตาม การประเมินผล และการตรวจสอบ
บริษัทมีการกำกับดูแล ติดตาม ตรวจสอบ และประเมินผลการปฏิบัติงานภายใต้นโยบายนี้อย่างเหมาะสม เพื่อให้มีมาตรฐานการควบคุมภายในและการให้บริการที่ดี เป็นไปตามกฎเกณฑ์ และกฎหมายที่เกี่ยวข้อง
9. บทลงโทษ
การฝ่าฝืนการปฏิบัติตามนโยบายฉบับนี้เป็นการฝ่าฝืนข้อกำหนดที่สำคัญของบริษัท และ/หรือ จรรยาบรรณสำหรับบุคคลขององค์กร ผู้ที่ฝ่าฝืนอาจได้รับโทษตามระเบียบของบริษัทและ/หรืออาจต้องรับโทษตามที่กฎหมายกำหนดไว้ รวมถึงการสิ้นสุดความสัมพันธ์ทางธุรกิจ
สงวนลิขสิทธิ์ พ.ศ.2569 บริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน)
