นโยบายการคุ้มครองข้อมูลส่วนบุคคล

  1. ความสำคัญ และวัตถุประสงค์
    บุญรอดบริวเวอรี่เคารพ และให้ความสำคัญในการคุ้มครองสิทธิความเป็นส่วนตัวของลูกค้า คู่ค้าธุรกิจ พันธมิตรทางธุรกิจ พนักงานของบุญรอดบริวเวอรี่ และบุคคลต่างๆ ที่เกี่ยวข้องกับบุญรอดบริวเวอรี่ เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับการคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการบริษัท บุญรอดบริวเวอรี่ จำกัด จึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้บุญรอดบริวเวอรี่มีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจน ถูกต้อง และเหมาะสม
  2. ขอบเขตการบังคับใช้
    นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับบุญรอดบริวเวอรี่ พนักงานของบุญรอดบริวเวอรี่ และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของบุญรอดบริวเวอรี่
  3. คำนิยาม
    1. การประมวลผล (Processing) หมายถึง การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคล หรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลง ปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
    2. ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม เช่น ชื่อ นามสกุล รูปภาพ อีเมล เบอร์โทรศัพท์ IP Address
    3. เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม
    4. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
    5. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
    6. บุญรอดบริวเวอรี่ หมายถึง บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทซึ่งบริษัท บุญรอดบริวเวอรี่ จำกัด ถือหุ้นไม่ว่าโดยทางตรง หรือทางอ้อม
  4. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
    1. บุญรอดบริวเวอรี่จะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการ และมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
      1. กำหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกำหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงาน และผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกำกับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
      2. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยมีบทบาท และหน้าที่ตามที่กำหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
    2. บุญรอดบริวเวอรี่จะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
    3. บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อย่างต่อเนื่อง
    4. บุญรอดบริวเวอรี่จะดำเนินการฝึกอบรมพนักงานของบุญรอดบริวเวอรี่อย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าพนักงานที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
  5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
    1. บุญรอดบริวเวอรี่จะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่ อีกทั้งบุญรอดบริวเวอรี่จะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
    2. บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการ และการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่โดยจะจัดให้มีนโยบายการจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention Policy)
    3. บุญรอดบริวเวอรี่จะจัดทำ และรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สำหรับบันทึกรายการ และกิจกรรมต่างๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฏหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการ หรือกิจกรรมที่เกี่ยวข้อง
    4. บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์ การเก็บรวบรวม และรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) สอดคล้องกับกฎหมาย และจะจัดให้มีขั้นตอนปฏิบัติการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent Management Procedure) รวมทั้งจัดให้มีมาตรการดูแล และตรวจสอบในเรื่องดังกล่าว
    5. บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการทำข้อตกลง หรือสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล (Outsourcing Policy for Personal Data Processing) เพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล เป็นไปโดยถูกต้องตามกฎหมาย และสอดคล้องกับแนวทางการดำเนินธุรกิจของ บุญรอดบริวเวอรี่
    6. บุญรอดบริวเวอรี่จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
    7. ในกรณีที่บุญรอดบริวเวอรี่ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บุญรอดบริวเวอรี่จะจัดทำข้อตกลงกับผู้ที่รับ หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิ และหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ หรือกรณีที่บุญรอดบริวเวอรี่ส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุญรอดบริวเวอรี่จะปฏิบัติให้สอดคล้องกับกฎหมาย โดยจะจัดให้มีนโยบายการเปิดเผยข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานในต่างประเทศ (Third Parties/Cross Border Data Transfer Policy)
    8. บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy) ซึ่งจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่
    9. บุญรอดบริวเวอรี่จะประเมินความเสี่ยง และจัดทำมาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
  6. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
    1. บุญรอดบริวเวอรี่จะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกำหนด รวมทั้งจะดำเนินการบันทึก และประเมินผลการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
    2. บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติต่อคำขอของเจ้าของข้อมูลส่วนบุคคล (Data Subject Request Procedure) เพื่อให้มั่นใจได้ว่าคำขอใช้สิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคลจะได้รับการปฏิบัติอย่างถูกต้องตามกฎหมาย
  7. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
    1. บุญรอดบริวเวอรี่จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
    2. บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติในการตอบสนองต่อเหตุการณ์ซึ่งส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อให้สามารถระบุ และจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
    3. บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่บุญรอดบริวเวอรี่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย
  8. นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
    1. บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ
    2. บุญรอดบริวเวอรี่จะจัดให้มีการทบทวน และปรับปรุงนโยบาย (Policy) มาตรฐานปฏิบัติงาน(Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมาย และสถานการณ์ในแต่ละช่วงเวลา
  9. บทบาท หน้าที่ และความรับผิดชอบ
    1. คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
      1. กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบุญรอดบริวเวอรี่ เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
      2. กำกับดูแล และสนับสนุนให้บุญรอดบริวเวอรี่ดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
    2. คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) คณะกรรมการกำกับการจัดการข้อมูลที่คณะกรรมการบริษัทแต่งตั้งขึ้นมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
      1. จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
      2. ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บุญรอดบริวเวอรี่ และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการ และมีแนวทางการบริหารความเสี่ยงที่เหมาะสม
      3. กำหนด และทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดำเนินงานของบุญรอดบริวเวอรี่สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
      4. เสนอรายชื่อบุคคลให้กรรมการผู้จัดการใหญ่แต่งตั้งเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
    3. ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ตนดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบุญรอดบริวเวอรี่
    4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
      1. รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการกำกับการจัดการข้อมูลทราบอย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ
      2. ให้คำแนะนำพนักงาน และหน่วยงานต่างๆ ของบุญรอดบริวเวอรี่เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
      3. ตรวจสอบการดำเนินงานของหน่วยงานของบุญรอดบริวเวอรี่ ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
    5. พนักงานของบุญรอดบริวเวอรี่ มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
      1. ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
      2. รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ผู้บังคับบัญชาทราบ
  10. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อาจมีความผิด และถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกำหนด
    นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ฉบับนี้ มีผลใช้บังคับตั้งแต่วันประกาศเป็นต้นไป

ประกาศ ณ วันที่ 19 เดือน พฤศจิกายน พ.ศ.2563
นายจุตินันท์ ภิรมย์ภักดี
กรรมการผู้จัดการใหญ่

Scroll to Top