- ความสำคัญ และวัตถุประสงค์
บุญรอดบริวเวอรี่เคารพ และให้ความสำคัญในการคุ้มครองสิทธิความเป็นส่วนตัวของลูกค้า คู่ค้าธุรกิจ พันธมิตรทางธุรกิจ พนักงานของบุญรอดบริวเวอรี่ และบุคคลต่างๆ ที่เกี่ยวข้องกับบุญรอดบริวเวอรี่ เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับการคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการบริษัท บุญรอดบริวเวอรี่ จำกัด จึงอนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้บุญรอดบริวเวอรี่มีหลักเกณฑ์ กลไก มาตรการกำกับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจน ถูกต้อง และเหมาะสม - ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับบุญรอดบริวเวอรี่ พนักงานของบุญรอดบริวเวอรี่ และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของบุญรอดบริวเวอรี่ - คำนิยาม
- การประมวลผล (Processing) หมายถึง การดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคล หรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลง ปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
- ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม เช่น ชื่อ นามสกุล รูปภาพ อีเมล เบอร์โทรศัพท์ IP Address
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดา หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
- บุญรอดบริวเวอรี่ หมายถึง บริษัท บุญรอดบริวเวอรี่ จำกัด และบริษัทซึ่งบริษัท บุญรอดบริวเวอรี่ จำกัด ถือหุ้นไม่ว่าโดยทางตรง หรือทางอ้อม
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
- บุญรอดบริวเวอรี่จะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการ และมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
- กำหนดให้มีโครงสร้างองค์กร (Organizational Structure) รวมทั้งกำหนดบทบาท ภารกิจ และความรับผิดชอบของหน่วยงาน และผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกำกับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยมีบทบาท และหน้าที่ตามที่กำหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- บุญรอดบริวเวอรี่จะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อย่างต่อเนื่อง
- บุญรอดบริวเวอรี่จะดำเนินการฝึกอบรมพนักงานของบุญรอดบริวเวอรี่อย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าพนักงานที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- บุญรอดบริวเวอรี่จะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการ และมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
- บุญรอดบริวเวอรี่จะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้ การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่ อีกทั้งบุญรอดบริวเวอรี่จะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ
- บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการ และการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่โดยจะจัดให้มีนโยบายการจัดเก็บข้อมูลส่วนบุคคล (Personal Data Retention Policy)
- บุญรอดบริวเวอรี่จะจัดทำ และรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สำหรับบันทึกรายการ และกิจกรรมต่างๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับกฏหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการ หรือกิจกรรมที่เกี่ยวข้อง
- บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์ การเก็บรวบรวม และรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) สอดคล้องกับกฎหมาย และจะจัดให้มีขั้นตอนปฏิบัติการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent Management Procedure) รวมทั้งจัดให้มีมาตรการดูแล และตรวจสอบในเรื่องดังกล่าว
- บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการทำข้อตกลง หรือสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล (Outsourcing Policy for Personal Data Processing) เพื่อให้มั่นใจได้ว่าการประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล เป็นไปโดยถูกต้องตามกฎหมาย และสอดคล้องกับแนวทางการดำเนินธุรกิจของ บุญรอดบริวเวอรี่
- บุญรอดบริวเวอรี่จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- ในกรณีที่บุญรอดบริวเวอรี่ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล บุญรอดบริวเวอรี่จะจัดทำข้อตกลงกับผู้ที่รับ หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกำหนดสิทธิ และหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ หรือกรณีที่บุญรอดบริวเวอรี่ส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุญรอดบริวเวอรี่จะปฏิบัติให้สอดคล้องกับกฎหมาย โดยจะจัดให้มีนโยบายการเปิดเผยข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานในต่างประเทศ (Third Parties/Cross Border Data Transfer Policy)
- บุญรอดบริวเวอรี่จะจัดให้มีนโยบายการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy) ซึ่งจะทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดำเนินธุรกิจของบุญรอดบริวเวอรี่
- บุญรอดบริวเวอรี่จะประเมินความเสี่ยง และจัดทำมาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
- บุญรอดบริวเวอรี่จะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่กฎหมายกำหนด รวมทั้งจะดำเนินการบันทึก และประเมินผลการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติต่อคำขอของเจ้าของข้อมูลส่วนบุคคล (Data Subject Request Procedure) เพื่อให้มั่นใจได้ว่าคำขอใช้สิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคลจะได้รับการปฏิบัติอย่างถูกต้องตามกฎหมาย
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
- บุญรอดบริวเวอรี่จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล และการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
- บุญรอดบริวเวอรี่จะจัดให้มีขั้นตอนปฏิบัติในการตอบสนองต่อเหตุการณ์ซึ่งส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อให้สามารถระบุ และจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
- บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงเจ้าพนักงานของรัฐ ผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่บุญรอดบริวเวอรี่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล: ด้านการกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
- บุญรอดบริวเวอรี่จะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ
- บุญรอดบริวเวอรี่จะจัดให้มีการทบทวน และปรับปรุงนโยบาย (Policy) มาตรฐานปฏิบัติงาน(Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมาย และสถานการณ์ในแต่ละช่วงเวลา
- บทบาท หน้าที่ และความรับผิดชอบ
- คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของบุญรอดบริวเวอรี่ เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- กำกับดูแล และสนับสนุนให้บุญรอดบริวเวอรี่ดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
- คณะกรรมการกำกับการจัดการข้อมูล (Data Governance) คณะกรรมการกำกับการจัดการข้อมูลที่คณะกรรมการบริษัทแต่งตั้งขึ้นมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้อง รวมถึงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
- ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ บุญรอดบริวเวอรี่ และรายงานผลการประเมินดังกล่าวให้คณะกรรมการบริษัททราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการ และมีแนวทางการบริหารความเสี่ยงที่เหมาะสม
- กำหนด และทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดำเนินงานของบุญรอดบริวเวอรี่สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- เสนอรายชื่อบุคคลให้กรรมการผู้จัดการใหญ่แต่งตั้งเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ตนดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบุญรอดบริวเวอรี่
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
- รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการกำกับการจัดการข้อมูลทราบอย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ทันสมัย และสอดคล้องกับกฎหมายอยู่เสมอ
- ให้คำแนะนำพนักงาน และหน่วยงานต่างๆ ของบุญรอดบริวเวอรี่เกี่ยวกับการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- ตรวจสอบการดำเนินงานของหน่วยงานของบุญรอดบริวเวอรี่ ให้เป็นไปตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่
- พนักงานของบุญรอดบริวเวอรี่ มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
- รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ให้ผู้บังคับบัญชาทราบ
- คณะกรรมการบริษัท มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่อาจมีความผิด และถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกำหนด
นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบุญรอดบริวเวอรี่ฉบับนี้ มีผลใช้บังคับตั้งแต่วันประกาศเป็นต้นไป
ประกาศ ณ วันที่ 19 เดือน พฤศจิกายน พ.ศ.2563
นายจุตินันท์ ภิรมย์ภักดี
กรรมการผู้จัดการใหญ่