นโยบายความเป็นส่วนตัว (Privacy Policy)

ว่าด้วยการคุ้มครองและการจัดการข้อมูลส่วนบุคคล ของบริษัท แกสโตร เน็ทเวิร์ค / V Medical Clinic

1 บทนำ

บริษัท แกสโตร เน็ทเวิร์ค หรือ V Medical Clinic ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล และการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และโดยที่การดำเนินงานของสำนักงานต้องมีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล สำนักงานจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ต้องมีหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

บริษัทฯ จึงได้มีการจัดทำนโยบายความเป็นส่วนตัวนี้ขึ้น ("นโยบาย") เพื่อกำหนดแนวทางและหลักปฏิบัติในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ

2 ขอบเขต

นโยบายนี้มีผลบังคับใช้กับผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลตลอดวงจรชีวิตข้อมูลของบริษัทฯ เช่น:

⚠️ หมายเหตุ: บริษัทฯ มุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนด หากมีผู้ที่ปฏิบัติฝ่าฝืน บริษัทฯ จะพิจารณาดำเนินมาตรการที่จำเป็น

3 วัตถุประสงค์

  1. เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ เป็นไปตามข้อกำหนดของกฎหมาย
  2. เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทฯ มีการเก็บรวบรวมและประมวลผล ให้กับพนักงานและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคล
  3. เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่สำนักงานมีการเก็บรวบรวมไว้จะได้รับการปกป้องดูแลและนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมาย

4 คำนิยาม

🔹 กฎหมายคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง

🔹 ข้อมูลส่วนบุคคล (Personal Data)

ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อ นามสกุล ชื่อเล่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ ทะเบียนรถยนต์ รวมถึงข้อมูลทางชีวมิติ (Biometric) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น

🔹 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

🔹 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

🔹 เจ้าของข้อมูล (Data Subject)

บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น

🔹 การประมวลผล (Processing)

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

🔹 พนักงาน

ผู้บริหาร พนักงาน ลูกจ้าง ผู้ที่ทำงานหรือปฏิบัติงานให้กับสำนักงานด้วยมีข้อตกลงของสัญญา หรือได้รับการแต่งตั้งตามกฎหมาย

5 หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญดังต่อไปนี้:

1️⃣ ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness and Transparency)

การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล

2️⃣ การจำกัดวัตถุประสงค์ (Purpose Limitation)

การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่บริษัทฯ กำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และจะไม่มีการประมวลผลข้อมูลไปในทางที่ไม่สอดคล้อง

3️⃣ การจำกัดข้อมูล (Data Minimization)

การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็น ต่อวัตถุประสงค์ของการประมวลผล

4️⃣ ความถูกต้องของข้อมูล (Accuracy)

การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น

5️⃣ การจำกัดระยะเวลาการจัดเก็บ (Storage Limitation)

การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็น เว้นแต่กรณีมีกฎหมายกำหนดให้สำนักงานมีหน้าที่จัดเก็บนานกว่านั้น

6️⃣ ความมั่นคงและความเป็นส่วนตัว (Integrity and Confidentiality)

การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัย รวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิและป้องกันการสูญหายโดยอุบัติเหตุ

6 การปฏิบัติให้สอดคล้องตามหลักการสำคัญ

บริษัทฯ ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด

มาตรการและแนวทางการดำเนินงาน:

  1. โครงสร้างองค์กร: กำหนดผู้รับผิดชอบและหน้าที่ความรับผิดชอบในการควบคุมดูแลข้อมูลส่วนบุคคล
  2. แนวปฏิบัติ: กำหนดแนวปฏิบัติและหน้าที่ความรับผิดชอบของพนักงานเกี่ยวกับการคุ้มครองข้อมูล
  3. การฝึกอบรม: มีการอบรมให้ความรู้ สร้างความตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  4. ประกาศความเป็นส่วนตัว: แจ้งผู้ใช้บริการเกี่ยวกับการประมวลผลข้อมูล ผ่านทาง Privacy Notice และ Cookie Policy
  5. ความยินยอม: ขอความยินยอมที่ชัดแจ้ง ใช้ถ้อยคำชัดเจน และเข้าใจได้
  6. การรับร้องเรียน: กำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน
  7. การสอบสวน: มีกระบวนการในการตรวจสอบและจัดทำรายงานกรณีเหตุละเมิดข้อมูล
  8. บันทึกข้อมูล: บันทึกตามมาตรา 39 เพื่อให้เจ้าของข้อมูลและหน่วยงานราชการตรวจสอบได้
  9. ตารางการจัดเก็บ: จัดทำตารางการจัดเก็บข้อมูล (Retention Schedule)
  10. ข้อตกลงการประมวลผล: จัดทำข้อตกลงหรือสัญญากับบุคคลภายนอก
  11. มาตรการการโอนข้อมูล: กำหนดมาตรการสำหรับการส่งหรือโอนข้อมูลไปนอกบริษัทฯ

7 หลักการในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่ดำเนินการโดยบริษัทฯ จะเป็นไปโดยชอบด้วยกฎหมายเมื่อเป็นไปตามเงื่อนไขอย่างน้อยข้อใดข้อหนึ่ง:

  1. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเพื่อการดำเนินการตามคำขอก่อนเข้าทำสัญญา
  2. เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  3. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
  4. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลหรือบุคคลอื่น
  5. เพื่อการจัดทำเอกสารประวัติศาสตร์ หรือการศึกษาวิจัยหรือสถิติ
  6. เป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
  7. เจ้าของข้อมูลได้ให้ความยินยอมแล้ว

8 สิทธิของเจ้าของข้อมูล

บริษัทฯ ตระหนักดีว่าเจ้าของข้อมูลมีสิทธิตามกฎหมาย ดังนี้:

📋 สิทธิในการได้รับแจ้ง

บริษัทฯ จะแจ้ง "ประกาศความเป็นส่วนตัว (Privacy Notice)" ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผล รวมถึง "ประกาศการใช้คุกกี้ (Cookie Policy)"

❌ สิทธิในการเพิกถอนความยินยอม

เจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้บริษัทฯ ไว้ได้ทุกเมื่อ

👁️ สิทธิในการเข้าถึงข้อมูล

เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูล

✏️ สิทธิในการแก้ไขข้อมูล

เจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้

🗑️ สิทธิในการลบข้อมูล

เจ้าของข้อมูลสามารถขอให้บริษัทฯ ลบ ทำลาย หรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

🔄 สิทธิในการโอนข้อมูล

เจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลหรือขอให้มีการโอนถ่ายข้อมูลไปยังผู้ควบคุมข้อมูลอื่น

⏸️ สิทธิในการระงับการใช้ข้อมูล

เจ้าของข้อมูลสามารถขอให้บริษัทฯ ระงับการใช้ข้อมูลส่วนบุคคลได้

🚫 สิทธิในการคัดค้านการประมวลผลข้อมูล

เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้

📧 วิธีการขอใช้สิทธิ

กรณีที่เจ้าของข้อมูลต้องการดำเนินการตามสิทธิข้างต้น สามารถแจ้งขอใช้สิทธิได้ที่:

อีเมล: vmedicalclinic@gmail.com

รายละเอียดวิธีการขอใช้สิทธิเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ของบริษัทฯ

ℹ️ หมายเหตุ: ในบางกรณี บริษัทฯ อาจปฏิเสธคำขอหากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล

9 นโยบาย แนวปฏิบัติและคู่มืออื่นที่เกี่ยวข้อง

นโยบายนี้เป็นส่วนหนึ่งของระบบการบริหารจัดการข้อมูลส่วนบุคคลของบริษัทฯ โดยเกี่ยวข้องกับเอกสารต่อไปนี้:

  1. นโยบายธรรมาภิบาลข้อมูล
  2. ขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการข้อมูล
  3. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
  4. แนวทางและขั้นตอนการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูล

10 การทบทวนและปรับปรุงนโยบาย

บริษัทฯ จะมีการทบทวนนโยบายนี้ให้เป็นปัจจุบันเสมออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง

จุดประสงค์ของการทบทวนคือ:

การประกาศปรับปรุงจะแจ้งให้ทราบบนเว็บไซต์บริษัทฯ และช่องทางการสื่อสารอื่น ๆ ที่เหมาะสม

📌 อัปเดตล่าสุด: นโยบายนี้มีผลบังคับใช้ตั้งแต่วันที่ 9 มิถุนายน 2567 เป็นต้นไป

📞 สำหรับข้อมูลเพิ่มเติม

V Medical Clinic / บริษัท แกสโตร เน็ทเวิร์ค

📧 อีเมล: vmedicalclinic@gmail.com

💬 ติดต่อ: ผ่านทางเว็บไซต์

ขอบคุณที่ให้ความสำคัญกับนโยบายความเป็นส่วนตัวของบริษัทฯ