นโยบายการใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ทางการตลาด

นโยบายการใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ทางการตลาด

1. นโยบายนี้คืออะไรและใช้บังคับกับใคร

   1. นโยบายการใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ทางการตลาด (“นโยบาย”) นี้จัดทำขึ้นโดยบริษัท อินสไปเรชั่น เทคโนโลยี จำกัด (“บริษัท ฯ”) เพื่ออธิบายว่า (1) เมื่อใดที่บริษัท ฯ จะต้องขอความยินยอมในการติดต่อลูกค้าหรือบุคคลที่อาจเป็นลูกค้าเพื่อทำการตลาดทางตรง และ (2) วิธีการในการขอความยินยอม บริหารจัดการ และถอนความยินยอม ทั้งนี้ ท่านควรพิจารณาปรับใช้นโยบายนี้ประกอบกับนโยบาย กระบวนการ และ/หรือคำสั่งอื่นๆ ของบริษัท ฯ ในการคุ้มครองข้อมูลส่วนบุคคล โดยนโยบายนี้ ถือเป็นส่วนหนึ่งของกรอบในการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคลของบริษัท ฯ
   2. นโยบายนี้ใช้บังคับแก่พนักงาน ลูกจ้าง ผู้ดำรงตำแหน่งเป็นคณะกรรมการต่าง ๆ ในบริษัท ฯ กรรมการผู้จัดการ รองกรรมการผู้จัดการ ผู้ช่วยกรรมการผู้จัดการ และ/หรือ บุคคลอื่นใดที่ดำรงตำแหน่งเชิงบริหารของบริษัท ฯ ผู้ฝึกงาน ที่ปรึกษา และผู้รับจ้างอิสระ หรือบุคคลภายนอกที่บริษัท ฯ ว่าจ้างให้ทำหน้าที่ใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการตลาดทางตรง และ/หรือ ส่งและจัดการเกี่ยวกับการสื่อสารเพื่อการตลาดทางตรง
   3. หัวหน้าฝ่าย / ผู้จัดการฝ่าย หรือเทียบเท่า มีหน้าที่รับผิดชอบในการนำนโยบายนี้ไปใช้ปฏิบัติในส่วนงานของตน และดำเนินการให้พนักงานและบุคคลอื่นที่ปฏิบัติหน้าที่อยู่ภายในส่วนงานของตน หรือเพื่อส่วนงานของตนต้องปฏิบัติตามเนื้อหารายละเอียดของนโยบายนี้ด้วย หัวหน้าฝ่าย / ผู้จัดการฝ่าย หรือเทียบเท่า มีหน้าที่สื่อสารเกี่ยวกับนโยบายนี้ให้พนักงานและบุคคลอื่นที่ปฏิบัติหน้าที่อยู่ภายในส่วนงานของตน หรือเพื่อส่วนงานของตนรับทราบ และดูแลให้สมาชิกในส่วนงานแต่ละคนให้ได้รับการฝึกอบรมที่เหมาะสมเพื่อให้สามารถนำนโยบายนี้ไปใช้ปฏิบัติได้
   4. พนักงานทุกคนมีหน้าที่รับผิดชอบในการบันทึกความยินยอมที่สมบูรณ์ตามที่กำหนด และในกรณีที่มีผู้ร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคล หรือการสื่อสารเพื่อการตลาดทางตรง พนักงานมีหน้าที่ในการรายงานเรื่องร้องเรียนที่ได้รับดังกล่าวไปยังสายงานศูนย์ลูกค้าสัมพันธ์ หมายเลขโทรศัพท์ : 0 2194 1511, E-mail : [email protected]

2. การตลาดทางตรงคืออะไร

   1. การตลาดทางตรงหมายความรวมถึงการโฆษณาหรือการสื่อสารทางการตลาด ไม่ว่าจะมีวัตถุประสงค์เพื่อเสนอขายสินค้า ผลิตภัณฑ์หรือบริการของบริษัท ฯ หรือเพื่อส่งเสริมการขายให้แก่บริษัท ฯ โดยเป็นการสื่อสารโดยตรง แก่บุคคลเฉพาะราย (การทำการตลาดระหว่างธุรกิจและลูกค้า (Business-to-Customer Marketing)) หรือแก่คู่ค้าทางธุรกิจ (การทำการตลาดระหว่างธุรกิจกับธุรกิจ (Business-to-Business Marketing)) ซึ่งรวมถึง อีเมล การโทรศัพท์ ข้อความสื่อสาร (SMS) ข้อความแจ้งเตือนผ่านแอปพลิเคชัน (Notification Message) จดหมาย การส่งแผ่นพับ ข้อความส่วนตัวในสื่อสังคมออนไลน์ เป็นต้น และ ยังรวมถึงการโทรศัพท์เพื่อทำการวิจัยตลาด (เว้นแต่เป็นการโทรศัพท์เพียงเพื่อวัตถุประสงค์ทางด้านการวิจัยทางการตลาดสำหรับบริษัท ฯ โดยไม่มีการเสนอขายผลิตภัณฑ์หรือบริการ เช่น เพื่อตัดสินใจในเรื่องนโยบายทางการค้าหรือนโยบายสาธารณะ)
   2. หากท่านมีข้อสงสัยว่าการสื่อสารบางประเภทนั้นอาจเป็นการทำการตลาดทางตรง (ซึ่งจะมีผลให้การสื่อสารดังกล่าวต้องเป็นไปตามนโยบายนี้) หรือไม่ กรุณาติดต่อสายงานศูนย์ลูกค้าสัมพันธ์ หมายเลขโทรศัพท์ : 0 2194 1511, E-mail : [email protected]
   3. หลักเกณฑ์ทั่วไปคือ การสื่อสารเพื่อการตลาดทางอิเล็กทรอนิกส์ซึ่งเป็นการสื่อสารทางตรง (เช่น อีเมล ข้อความสื่อสาร (SMS) สื่อสังคมออนไลน์ แอปพลิเคชันต่าง ๆ ฯลฯ) นั้น ควรได้รับความยินยอมจากผู้รับการสื่อสารก่อน และควรเปิดโอกาสให้เจ้าของข้อมูลแจ้งความประสงค์ยกเลิกการรับข้อมูล (opt-out) ได้โดยง่าย / หรือมีการใช้ปุ่มเลิกรับการติดต่อ (unsubscribe button) เว้นแต่สามารถอาศัยข้อยกเว้นตามกฎหมายข้ออื่นได้ เช่น ประโยชน์โดยชอบด้วยกฎหมาย หลักเกณฑ์เกี่ยวกับการขอความยินยอมเพื่อทำการตลาดทางตรงและข้อยกเว้นนั้นปรากฏอยู่ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พระราชบัญญัติฯ”) และพระราชบัญญัติการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

3. เมื่อใดที่บริษัท ฯ ควรอาศัยความยินยอมในการทำการตลาดทางตรง

   1. เนื้อหาในส่วนนี้อธิบายหลักเกณฑ์เกี่ยวกับความยินยอมที่ใช้กับการทำการตลาดทางตรงในรูปแบบ / ประเภทต่าง ๆ และเนื้อหาข้อ 4 ที่ปรากฎอยู่ด้านล่างจะขยายความเนื้อหาในส่วนนี้ โดยเป็นการกำหนดหลักเกณฑ์ในการขอความยินยอมที่ชอบด้วยกฎหมาย
   2. การตลาดทางตรงบางประเภทต้องให้เจ้าของข้อมูลแจ้งความประสงค์ในการรับข้อมูล (opt-in) ก่อนล่วงหน้า (เช่น ให้ความยินยอม) ในขณะเดียวกัน การแจ้งความประสงค์ในการยกเลิกการรับข้อมูล (opt-out) (ได้แก่ การให้สิทธิเลือกที่จะยกเลิกการรับข้อมูล หรือ Unsubscribe Option) นั้น เป็นมาตรการที่เพียงพอสำหรับการทำการตลาดทางตรงประเภทอื่น (กล่าวคือ ไม่จำเป็นต้องขอความยินยอมก่อนล่วงหน้า อย่างไรก็ตาม ผู้รับการติดต่อสื่อสาร ต้องสามารถยกเลิกการติดต่อสื่อสารเพื่อการตลาด หรือต้องสามารถใช้สิทธิในการคัดค้านได้ โดยเป็นการอาศัย ฐานประโยชน์โดยชอบด้วยกฎหมาย)
   3. ความยินยอมในการทำการตลาดทางตรงเป็นเรื่องที่มีความซับซ้อน ดังนั้น จึงแนะนำให้ต้องขอความยินยอมในการรับข้อมูล (opt-in) ในการทำการตลาดทางตรงสำหรับการตลาดทางอิเล็กทรอนิกส์ เช่น ทางอีเมล กล่องข้อความสำหรับคลิก (Click-Box) โดยเฉพาะอย่างยิ่งการทำการตลาดทางตรงในการเสนอขายสินค้าและบริการอื่นเพิ่มเติมจากสินค้าและบริการหลัก (Cross-Sale) สำหรับผลิตภัณฑ์และการบริการอื่น ๆ ของบริษัท ฯ หรือของบุคคลอื่น ซึ่งเกินขอบเขตที่ลูกค้าสามารถคาดหมายได้ หรือการทำการตลาดทางตรงต่อลูกค้ากลุ่มเป้าหมาย (lead) ซึ่งข้อมูลส่วนบุคคลถูกเก็บรวบรวมมาจากแหล่งอื่น หรือมีลักษณะเป็นการติดตามพฤติกรรม (behavioral tracking) หากมี ข้อสงสัย โปรดติดต่อ สายงานศูนย์ลูกค้าสัมพันธ์ หมายเลขโทรศัพท์ : 0 2194 1511, E-mail : [email protected]
   4. ไม่ว่าในกรณีใด ผู้รับการติดต่อสื่อสารเพื่อทำการตลาดทางตรงในรูปแบบใดก็ตามมีสิทธิดังต่อไปนี้
      1. สิทธิในการถอนความยินยอมของตนที่ได้เคยให้ความยินยอมได้ทุกเมื่อ
      2. สิทธิในการแจ้งความประสงค์ในการยกเลิกการรับข้อมูล (Opt-out) (โดยกำหนดให้บริษัท ฯ หยุดติดต่อสื่อสารเพื่อทำการตลาดทางตรง) ได้ทุกเมื่อ หรือใช้สิทธิในการคัดค้านในกรณีที่การทำการตลาดทางตรงนั้นบริษัท ฯ ไม่มีหน้าที่ต้องขอให้ลูกค้าให้ความยินยอม (opt-in) หากบริษัท ฯ ทำการตลาดทางตรงโดยอาศัยเหตุผลทางกฎหมายอย่างอื่นนอกจากการขอความยินยอม (เช่น เป็นการจำเป็นเพื่อประโยชน์ โดยชอบด้วยกฎหมาย เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เป็นต้น)
   5. การโทรศัพท์

      การโทรศัพท์ไปยังหมายเลขโทรศัพท์ของผู้รับการติดต่อเพื่อทำการตลาดนั้น สามารถทำได้เฉพาะกรณีดังต่อไปนี้เท่านั้น

      1. ผู้รับการติดต่อได้ให้ความยินยอมในการรับการติดต่อทางโทรศัพท์ หรือได้ให้หมายเลขโทรศัพท์ไว้เพื่อวัตถุประสงค์ตามที่ลูกค้า / ผู้ที่อาจเป็นลูกค้าร้องขอโดยตรงจากบริษัท ฯ (เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา)
      2. ผู้รับการติดต่อเป็นลูกค้าปัจจุบันและได้ซื้อผลิตภัณฑ์หรือการบริการมาเป็นระยะเวลาไม่เกิน 2 ปี และ การโทรศัพท์เพื่อทำการตลาดนั้นเกี่ยวข้องกับผลิตภัณฑ์หรือการบริการที่คล้ายคลึงกัน
      3. ผู้รับการติดต่อได้ติดต่อบริษัท ฯ เพื่อปรึกษาหรือขอรับข้อมูลเกี่ยวกับผลิตภัณฑ์หรือการบริการ และการโทรศัพท์เพื่อทำการตลาดนั้นเกี่ยวข้องกับเรื่องดังกล่าว
   6. อีเมล การส่งข้อความ และการสื่อสารอย่างอื่นทางอิเล็กทรอนิกส์
      1. หลักเกณฑ์ทั่วไปกำหนดให้ต้องขอความยินยอมเป็นกรณีเฉพาะ (opt-in) ก่อนล่วงหน้า เมื่อมีการสื่อสารเพื่อทำการตลาดทางตรงทางอิเล็กทรอนิกส์ทุกรูปแบบ
      2. มีข้อยกเว้นในกรณีที่ไม่ต้องได้รับการแจ้งความประสงค์ในการให้ความยินยอม (opt-in) จากลูกค้า / บุคคลที่อาจเป็นลูกค้าที่เคยได้ให้รายละเอียดเกี่ยวกับการติดต่อไว้ในระหว่างที่มีการขาย (หรือการเจรจาต่อรองในการขาย) ผลิตภัณฑ์หรือการบริการของบริษัท ฯ โดยมีเงื่อนไขดังนี้
         1. บริษัท ฯ ทำการตลาดเฉพาะผลิตภัณฑ์หรือบริการที่คล้ายคลึงกันนั้นให้แก่ลูกค้ารายดังกล่าว / บุคคล ที่อาจเป็นลูกค้า ความคล้ายคลึงเช่นว่านี้ต้องประเมินเป็นรายกรณี ขึ้นอยู่กับบริบทและความคาดหวังของลูกค้า / บุคคลที่อาจเป็นลูกค้า และ
         2. ลูกค้า / บุคคลที่อาจเป็นลูกค้าได้รับโอกาสให้ opt-out จากการทำการตลาดเช่นว่านั้น ไม่ว่าในขณะที่มีการขาย (หรือการเจรจาต่อรองในการขาย) และในการติดต่อสื่อสารเพื่อทำการตลาดทุกครั้งภายหลังจากนั้น
      3. ทั้งนี้ หลักเกณฑ์ข้างต้น (ทั้งการเลือกรับ (opt-in) และเลือกไม่รับ (opt-out)) ไม่ใช้บังคับกับการทำการตลาดระหว่างธุรกิจกับธุรกิจ (กล่าวคือ กรณีที่บริษัท ฯ ส่งข้อความที่ใช้ในการทำการตลาดให้แก่ลูกค้าที่เป็นองค์กร) เช่น ท่านอาจส่งข้อความในการทำการตลาดให้แก่ลูกค้าองค์กรตามที่อยู่อีเมลขององค์กร (ที่อยู่อีเมลส่วนกลาง / กล่องข้อความอีเมลส่วนกลาง) รวมถึงกรณีที่การติดต่อสื่อสารทางอิเล็กทรอนิกส์ เช่น ทางอีเมลนั้นเป็นการติดต่อสื่อสารถึงบุคคลซึ่งเป็นผู้แทนอยู่ภายในองค์กรซึ่งได้รับข้อความในนามขององค์กร อย่างไรก็ตาม ผู้รับการติดต่อควรสามารถได้รับสิทธิที่จะเลือกไม่รับ (opt-out) การติดต่อสื่อสาร ได้ทุกเมื่อ หรือมีช่องทางให้บุคคลนั้นใช้สิทธิในการคัดค้านการทำการตลาดแบบตรงนั้น
      4. อย่างไรก็ตาม หลักเกณฑ์เกี่ยวกับการเลือกรับ (opt-in) และการเลือกไม่รับ (opt-out) การติดต่อสื่อสารนั้นใช้กับกรณีที่เป็นผู้ประกอบธุรกิจรายเดียว (sole trader) (กล่าวคือ กรณีที่บริษัท ฯ ส่งข้อความในการทำการตลาดให้แก่บุคคลธรรมดาซึ่งมิใช่ลูกค้า (เช่น พันธมิตรทางธุรกิจซึ่งเป็นบุคคลธรรมดา) ในกรณีเช่นว่านี้ บริษัท ฯ ต้องขอความยินยอมจากบุคคลดังกล่าวก่อนส่งข้อความในการทำการตลาดระหว่างธุรกิจกับธุรกิจให้แก่บุคคลดังกล่าว

4. การขอความยินยอมต้องดำเนินการอย่างไรเพื่อให้ความยินยอมมีความสมบูรณ์

   1. โปรดพิจารณารายการดังต่อไปนี้ เพื่อตรวจสอบว่าบริษัท ฯ ต้องดำเนินการอย่างใดบ้างในการขอความยินยอม
      1. บริษัท ฯ ได้ตรวจสอบแล้วว่า กฎหมายกำหนดให้ต้องขอความยินยอม หรือเป็นฐานทางกฎหมายที่มีความเหมาะสมมากที่สุดในการทำการตลาดทางตรง
      2. บริษัท ฯ ใช้ภาษาในการสื่อสารมีความชัดเจนและเข้าใจได้ง่ายในการแจ้งให้บุคคลทราบรายละเอียดเกี่ยวกับการทำการตลาดทางตรงที่บุคคลดังกล่าวให้ความยินยอมนั้น
      3. คำขอความยินยอมนั้นนำเสนอด้วยความชัดเจน และแยกส่วนออกจากข้อความอื่นอย่างเด่นชัด ไม่ปะปนหรือแฝงอยู่ในข้อความส่วนอื่น ๆ
      4. บริษัท ฯ ได้ขอให้บุคคลเลือกที่จะรับข้อมูลข่าวสารทางการตลาดด้วยตัวเอง (opt-in) โดยชัดแจ้ง และมิได้ใช้กล่องข้อความซึ่งได้ทำเครื่องหมายไว้ก่อนล่วงหน้าแล้ว (pre-ticked box) หรือมิถือว่าบุคคลได้ให้ความยินยอมแล้ว (เช่น ระบุว่า หากบุคคลนิ่งเฉยหรือไม่ดำเนินการอย่างใดจะถือว่าได้ให้ความยินยอม) การที่บุคคลทำเครื่องหมายที่กล่องข้อความซึ่งระบุว่า “ข้าพเจ้า/ท่านยินยอมที่จะ ...” หรือข้อความอื่นที่มีลักษณะคล้ายคลึงกันนั้น บุคคลดังกล่าวจะสามารถกระทำการเพื่อยืนยันได้อย่างชัดแจ้งที่จะยินยอมให้มีการทำการตลาดทางตรง (และกระบวนการอื่นที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคล) หรือใช้แบบฟอร์มอนุมัติโดยบริษัท ฯ

      ตัวอย่าง - ท่านยินยอมให้ บริษัท ฯ เก็บรวบรวม ใช้ข้อมูลส่วนบุคคลของท่าน เพื่อการวิเคราะห์ข้อมูลส่วนบุคคลของท่าน ประชาสัมพันธ์ ให้ข้อมูล และ/หรือแนะนำเกี่ยวกับผลิตภัณฑ์ / บริการ และสิทธิประโยชน์พิเศษของ บริษัท ฯ กับท่าน ที่อาจอยู่นอกเหนือความคาดหมายของท่าน

   2. บริษัท ฯ ต้องระบุให้ชัดเจนว่าเหตุใดบริษัท ฯ จึงต้องการข้อมูลส่วนบุคคล และจะนำข้อมูลส่วนบุคคลที่ได้ไปใช้ในการใด ข้อมูลเช่นว่านี้ ลูกค้า / บุคคลที่อาจเป็นลูกค้าต้องรับทราบตั้งแต่เริ่มมีการเก็บรวบรวมข้อมูลส่วนบุคคล หลังจากที่บริษัท ฯ ได้รับข้อมูลส่วนบุคคลมาแล้ว บริษัท ฯ ไม่อาจเปลี่ยนแปลงรายละเอียดการใช้ข้อมูลส่วนบุคคลได้โดยไม่ขอความยินยอมใหม่อีกครั้งหนึ่ง นอกจากนี้ บริษัท ฯ ไม่ควรเก็บรวบรวมข้อมูลส่วนบุคคล “เผื่อไว้” สำหรับกรณีที่บริษัท ฯ อาจต้องใช้ข้อมูลส่วนบุคคลนั้นเพื่อวัตถุประสงค์ใดในอนาคต โดยบริษัท ฯ ยังไม่ทราบและสามารถแจ้งรายละเอียดเกี่ยวกับวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลให้แก่ลูกค้า / บุคคลที่อาจเป็นลูกค้าได้โดยชัดแจ้ง บริษัท ฯ ทำได้เพียงแค่เก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุดเท่าที่บริษัท ฯ จำเป็นต้องใช้ตามวัตถุประสงค์ที่บริษัท ฯ ได้แจ้งแก่ลูกค้า / บุคคลที่อาจเป็นลูกค้า
   3. บริษัท ฯ ไม่ควรขอความยินยอมในสถานการณ์ที่ผู้ให้ความยินยอมไม่สามารถให้ความยินยอมได้โดยอิสระ การให้ความยินยอมนั้น ผู้ให้ความยินยอมต้องมีอิสระในการให้ความยินยอม โดยการให้ความยินยอม ต้องเกิดจากการที่บุคคลตัดสินใจที่จะให้ความยินยอมนั้นอย่างแท้จริงเช่น คำขอความยินยอมนั้นต้องแยกออกเป็นคนละส่วนจากการยอมรับข้อตกลงและเงื่อนไขของบริษัท ฯ หรือการเข้าถึงสินค้าหรือ การบริการของบริษัท ฯ (กล่าวคือ ห้ามมิให้ขอความยินยอมให้ทำการตลาดทางตรงในลักษณะเป็นเงื่อนไขการยอมรับข้อตกลงและเงื่อนไขในการใช้ผลิตภัณฑ์หรือการบริการของบริษัท ฯ) นอกจากนี้ การให้ความยินยอมอย่างเป็นอิสระยังหมายความว่าจะต้องไม่มีผลในทางลบต่อบุคคลหากว่าบุคคลไม่ให้ความยินยอม
   4. บริษัท ฯ ได้ระบุลิงก์เชื่อมต่อไปยังนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ สำหรับบุคคลภายนอก สำหรับข้อมูลเพิ่มเติม
   5. หากบริษัท ฯ ให้บริการออนไลน์โดยตรงแก่ผู้เยาว์ (อายุต่ำกว่า 20 ปี) บริษัท ฯ จะขอความยินยอมเฉพาะเมื่อบริษัท ฯ มีมาตรการในการตรวจสอบอายุและมาตรการขอความยินยอมจากผู้แทนโดยชอบธรรมของผู้เยาว์ นโยบายนี้มิได้ระบุรายละเอียดเกี่ยวกับหลักเกณฑ์ทั้งหมดในการทำการตลาดสำหรับผู้เยาว์ไว้ หากต้องการทำการตลาดกับผู้เยาว์ ควรขอคำแนะนำเพิ่มเติมก่อนทำการตลาด

5. บริษัท ฯ บันทึกและบริหารจัดการความยินยอมอย่างไร รวมถึงในกรณีที่ลูกค้าถอนความยินยอม

   1. การบันทึกความยินยอม

      โปรดพิจารณารายการดังต่อไปนี้ เพื่อตรวจสอบว่าการบันทึกความยินยอมต้องดำเนินการอย่างไรบ้าง

      1. บริษัท ฯ บันทึกเวลาและวิธีการที่ได้รับความยินยอม

         ตัวอย่าง -เมื่อลูกค้า / บุคคลที่อาจเป็นลูกค้าทำเครื่องหมายแสดงว่าลูกค้า / บุคคลที่อาจเป็นลูกค้าให้ความยินยอมทางออนไลน์แล้วเสร็จ บริษัท ฯ จะบันทึกวันที่และเวลา (Timestamp) และบันทึกว่าวิธีการขอความยินยอมคือการทำเครื่องหมายแสดงการให้ความยินยอมทางออนไลน์ หากลูกค้า / บุคคลที่อาจเป็นลูกค้ากรอกข้อความในเอกสารแบบฟอร์มแสดงการให้ความยินยอมซึ่งมีกล่องข้อความให้ทำเครื่องหมาย บริษัท ฯ จะบันทึกเวลาที่ลูกค้า / บุคคลที่อาจเป็นลูกค้าให้ความยินยอมเสร็จสิ้นและบันทึกว่าวิธีการขอความยินยอมคือการทำเครื่องหมายในแบบฟอร์มกระดาษ

      2. บริษัท ฯ บันทึกข้อมูลว่าได้แจ้งให้บุคคลทราบในเรื่องใดบ้างในขณะที่ให้ความยินยอม

         ตัวอย่าง บริษัท ฯ บันทึกข้อความที่แสดงว่า “ข้าพเจ้ายินยอมให้.....” หรือ “ข้าพเจ้าขอรับสิทธิประโยชน์...” ซึ่งเป็นข้อความที่ได้แจ้งให้แก่ลูกค้า / บุคคลที่อาจเป็นลูกค้าในขณะที่บุคคลดังกล่าวทำเครื่องหมายเพื่อให้ความยินยอม

         ข้อควรพิจารณา: บริษัท ฯ มีภาระพิสูจน์ว่าลูกค้า / บุคคลที่อาจเป็นลูกค้านั้นได้ให้ความยินยอมแล้ว

      3. เมื่อการทำการตลาดสิ้นสุดลง บริษัท ฯ จะไม่เก็บหลักฐานการให้ความยินยอมไว้นานเกินกว่าที่จำเป็น
   2. การบริหารจัดการเกี่ยวกับความยินยอม (และการถอนความยินยอม)

      รายการดังต่อไปนี้กำหนดหลักเกณฑ์เพื่อให้ท่านพิจารณาว่าต้องดำเนินการอย่างใดบ้างเพื่อบริหารจัดการเกี่ยวกับความยินยอมซึ่งเป็นการบริหารจัดการอย่างต่อเนื่อง รวมทั้งในกรณีที่ลูกค้า / บุคคลที่อาจเป็นลูกค้าถอนความยินยอมมิให้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอีกต่อไป

      1. บริษัท ฯ ควรทบทวนความยินยอมที่ได้รับอย่างสม่ำเสมอเพื่อตรวจสอบว่าความสัมพันธ์ระหว่างบริษัท ฯ และเจ้าของข้อมูลส่วนบุคคล กิจกรรมการประมวลผลข้อมูลส่วนบุคคล และวัตถุประสงค์ในการประมวลผลนั้นเปลี่ยนแปลงไปหรือไม่
      2. บริษัท ฯ ต้องอำนวยความสะดวกให้บุคคลสามารถถอนความยินยอมได้ทุกเมื่อ โดยให้สามารถถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม และแจ้งให้ลูกค้า / บุคคลที่อาจเป็นลูกค้าทราบอย่างชัดเจนถึงวิธีการถอนความยินยอม โดยหลักเกณฑ์ทั่วไปนั้นกำหนดให้ลูกค้า / บุคคลที่อาจเป็นลูกค้า ควร opt-out ได้โดยใช้อินเทอร์เฟซเดียวกับที่ใช้เมื่อ opt-in (เช่น แอปพลิเคชัน เว็บไซต์ เป็นต้น) บริษัท ฯ ควรให้ลูกค้า / บุคคลที่อาจเป็นลูกค้าสามารถ opt-out ได้โดยง่ายโดยใช้ช่องทางการสื่อสารเดียวกันกับช่องทางที่ใช้ในการสื่อสารกับลูกค้า / บุคคลที่อาจเป็นลูกค้า
      3. บริษัท ฯ ต้องดำเนินการโดยไม่ชักช้าเมื่อมีคำร้องขอถอนความยินยอม กล่าวคือ ทันทีที่บริษัท ฯ จะสามารถดำเนินการได้โดยใช้ระบบงานของบริษัท ฯ หากระบบงานทำให้เกิดความล่าช้า บริษัท ฯ ต้องอธิบายปัญหาดังกล่าวต่อลูกค้า / บุคคลผู้ที่จะเป็นลูกค้าในขณะที่ลูกค้าขอถอนความยินยอม บริษัท ฯ แจ้งบุคคลภายนอกที่เกี่ยวข้องในการทำการตลาด (เช่น ผู้ให้บริการภายนอกที่ส่งข้อความสื่อสารทางการตลาด) โดยเร็วที่สุดที่จะสามารถดำเนินการได้หลังจากที่ลูกค้า / บุคคลที่อาจเป็นลูกค้าถอนความยินยอม บริษัท ฯ ต้องหยุดทำการตลาด และหากไม่มีฐานทางกฎหมายอื่นใดให้บริษัท ฯ สามารถใช้ข้อมูลส่วนบุคคลต่อไปได้ บริษัท ฯ จะต้องลบหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
      4. บริษัท ฯ ต้องไม่ดำเนินการใด ๆ ที่ไม่พึงประสงค์หรือเป็นการให้โทษแก่บุคคลผู้ที่ต้องการถอนความยินยอม และดำเนินการใด ๆ เพื่อกีดกันบุคคลไม่ให้ถอนความยินยอม
   3. นอกจากนี้ ควรดำเนินการตามขั้นตอนดังต่อไปนี้ก่อนที่จะมีการสื่อสารเพื่อทำการตลาดกับบุคคลผู้ที่อาจเป็นลูกค้าแต่ละราย ในกรณีที่มีการซื้อรายชื่อกลุ่มลูกค้าเป้าหมายในการทำการตลาด (Marketing List)

6. การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลที่ได้จากบุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาด

   1. ในกรณีที่ท่านเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งข้อมูลอื่น (เช่น มิได้เก็บรวบรวมข้อมูลส่วนบุคคลโดยตรง จากเจ้าของข้อมูล) ท่านมีหน้าที่แจ้งให้ผู้เป็นเจ้าของข้อมูลทราบรายละเอียดตามที่กำหนดในมาตรา 23 แห่งพระราชบัญญัติฯ (เช่น แจ้งโดยใช้นโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ สำหรับบุคคลภายนอก) โดยไม่ชักช้า ภายในสามสิบวันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีข้อยกเว้นอื่นตามกฎหมาย (มาตรา 25 แห่งพระราชบัญญัติฯ) หากท่านมีแผนที่จะใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมดังกล่าวเพื่อติดต่อสื่อสารกับเจ้าของข้อมูล ท่านควรส่งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ สำหรับบุคคลภายนอก ให้แก่เจ้าของข้อมูลดังกล่าวในคราวแรกที่มีการติดต่อสื่อสาร โดยวิธีปฏิบัติที่ดีที่สุดคือขอความยินยอมจากบุคคลโดยตรงเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคล และ ส่งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ ให้แก่บุคคลดังกล่าวภายในสามสิบวันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
7. การโฆษณาออนไลน์โดยเจาะจงตัวบุคคล
   1. การโฆษณาออนไลน์โดยเจาะจงตัวบุคคล คือการใช้ข้อมูลส่วนบุคคลที่ได้จากการทำกิจกรรมออนไลน์เพื่อทำการโฆษณาออนไลน์ที่ตอบสนองความสนใจเฉพาะในแต่ละบุคคล
   2. คุกกี้คือไฟล์ข้อมูลขนาดเล็กซึ่งเครื่องแม่ข่ายได้ติดตั้งไว้ในคอมพิวเตอร์ของแต่ละบุคคล (และเชื่อมโยงกับเบราว์เซอร์ของบุคคลนั้น) โดยคุกกี้จะส่งข้อมูลเกี่ยวกับเว็บไซต์ที่บุคคลเข้าเยี่ยมชมกลับไปยังเครื่องแม่ข่าย ซึ่งโดยทั่วไปแล้ว ข้อมูลที่มีการเก็บรวบรวมนั้น ได้แก่ รายละเอียดเกี่ยวกับเว็บไซต์และหน้าเว็บเพจที่บุคคลนั้นเข้าเยี่ยมชม ระยะเวลาที่เข้าชมเว็บไซต์หรือหน้าเว็บเพจดังกล่าว วันที่และเวลาที่เข้าชม และบุคคลดังกล่าวได้อ่านโฆษณาที่ปรากฏหรือไม่
   3. บริษัท ฯ อาจใช้เทคโนโลยีในการติดตามข้อมูลเช่นว่านี้กับอุปกรณ์ของลูกค้า / บุคคลที่อาจเป็นลูกค้า เมื่อลูกค้า / บุคคลที่อาจเป็นลูกค้าเข้าเยี่ยมชมเว็บไซต์ หรือบริษัท ฯ อาจทำสัญญากับบุคคลภายนอกซึ่งเป็นผู้ให้บริการด้านโฆษณา โดยบุคคลภายนอกดังกล่าวนั้นอาจเผยแพร่ข้อมูลโฆษณาเกี่ยวกับผลิตภัณฑ์ของบริษัท ฯ บนเว็บไซต์อื่น เนื่องจากการโฆษณาประเภทนี้มีศักยภาพในการเก็บรวบรวมข้อมูลส่วนบุคคล และสามารถนำไปใช้เพื่อจัดทำประวัติของบุคคล ดังนั้น จึงจำเป็นอย่างยิ่งที่บริษัท ฯ จะต้องดำเนินการดังต่อไปนี้
      1. ว่าจ้างเฉพาะผู้ให้บริการที่มีความน่าเชื่อถือ มีมาตรการในการคุ้มครองข้อมูลและความเป็นส่วนตัว
      2. ทำความเข้าใจมาตรการต่าง ๆ ของผู้ให้บริการดังกล่าวในการคุ้มครองข้อมูลส่วนบุคคล
      3. ว่าจ้างเฉพาะผู้ให้บริการที่กำหนดให้มีกลไกการจัดการที่เหมาะสม เพื่อให้บุคคลสามารถให้ความยินยอมและถอนความยินยอมในเรื่องคุกกี้ (รวมทั้งเทคโนโลยีอื่นใด) ที่ใช้เพื่อรับสื่อโฆษณาที่กำหนดเฉพาะบุคคลได้
      4. ตรวจสอบให้แน่ใจว่าผู้เผยแพร่ข้อมูลจากภายนอกซึ่งติดตั้งคุกกี้ของบริษัทมีนโยบายความเป็นส่วนตัว/คุกกี้ ที่เหมาะสมซึ่งอธิบายเกี่ยวกับคุกกี้ของบุคคลภายนอกดังกล่าวและได้รับความยินยอมจากผู้ใช้ปลายทางผู้ใช้ปลายทาง (ในกรณีที่จำเป็น)

8. การเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอกซึ่งให้บริการด้านการตลาด

   1. เมื่อมีการว่าจ้างให้ผู้ให้บริการภายนอกเป็นผู้เก็บรวบรวม ใช้ข้อมูลส่วนบุคคลในนามของบริษัท ฯ เพื่อให้การบริการด้านการตลาดนั้น บริษัท ฯ ควรดำเนินการดังต่อไปนี้
      1. ตรวจสอบข้อมูลเกี่ยวกับผู้ให้บริการภายนอกก่อนการว่าจ้าง เพื่อให้แน่ใจว่าผู้ให้บริการภายนอกดังกล่าวสามารถปฏิบัติตามข้อกำหนดของบริษัท ฯ ในเรื่องการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้
      2. เข้าทำสัญญาเป็นลายลักษณ์อักษรกับผู้ให้บริการภายนอก โดยระบุข้อตกลงและเงื่อนไขที่เกี่ยวกับการเก็บรวบรวม ใช้ข้อมูลส่วนบุคคลไว้ในสัญญา โปรดใช้ แบบฟอร์มสัญญาการประมวลผลข้อมูลส่วนบุคคล (สัญญาที่ผู้ควบคุมข้อมูลส่วนบุคคลทำกับผู้ประมวลผลข้อมูลส่วนบุคคล) หรือ แบบฟอร์มสัญญาการโอนข้อมูลส่วนบุคคล (สัญญาที่ผู้ควบคุมข้อมูลส่วนบุคคลทำกับผู้ควบคุมข้อมูลส่วนบุคคล) ตามความเหมาะสม
      3. ติดตามตรวจสอบว่าผู้ให้บริการภายนอกยังคงปฏิบัติหน้าที่ตามสัญญาอย่างต่อเนื่อง และในกรณีที่ ผู้ให้บริการภายนอกไม่ปฏิบัติตาม ต้องกำหนดให้มีการแก้ไขการไม่ปฏิบัติตามนั้นทันที หรือบอกเลิกสัญญาว่าจ้าง (ในกรณีที่จำเป็น) และ
      4. กำหนดให้มีกลไกในการโอนข้อมูลระหว่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับหากผู้ให้บริการภายนอกอยู่นอกประเทศไทย
   2. เปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอกเท่าที่จำเป็นเพื่อการให้บริการแก่บริษัท ฯ
   3. หากผู้ให้บริการภายนอกจะเก็บรวบรวมข้อมูลส่วนบุคคลในนามของบริษัท ฯ (เช่น ผู้ให้บริการภายนอกมีปฏิสัมพันธ์กับลูกค้าเองโดยตรง) บริษัท ฯ ต้องกำหนดหน้าที่ให้ผู้ให้บริการภายนอกในลักษณะที่สอดคล้องกับหน้าที่ของบริษัท ฯ เช่น กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ต้องแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ ให้แก่ลูกค้า และ ขอความยินยอมจากลูกค้าในนามของบริษัท ฯ (ในกรณีที่จำเป็น) หากผู้ให้บริการภายนอกมีศูนย์บริการข้อมูลลูกค้าที่มีการขอความยินยอมเกี่ยวกับการทำการตลาด บริษัท ฯ ต้องกำหนดให้ความยินยอมที่บุคลากรของผู้ให้บริการภายนอกขอในนามบริษัท ฯ นั้น เป็นไปตามข้อกำหนดในนโยบายนี้ด้วย
   4. หากผู้ให้บริการภายนอกสื่อสารเพื่อทำการตลาดในนามของบริษัท ฯ บริษัท ฯ ต้องกำหนดหน้าที่ให้ผู้ให้บริการภายนอกในลักษณะที่สอดคล้องกับหน้าที่ของบริษัท ฯ เช่น กำหนดให้ระบุว่าบริษัท ฯ เป็นผู้ทำการสื่อสารดังกล่าว และเสนอให้บุคคลผู้รับการสื่อสารเพื่อทำการตลาดนั้นมีสิทธิที่จะ opt-out ได้ ทั้งนี้ ไม่มีข้อบังคับที่กำหนดให้ต้องระบุรายละเอียดของผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่ขอความยินยอม อย่างไรก็ตาม ต้องเปิดเผยข้อมูลในเรื่องดังกล่าวในนโยบายคุ้มครองข้อมูลส่วนบุคคล (ซึ่งต้องส่งให้แก่เจ้าของข้อมูลส่วนบุคคลที่บริษัท ฯ เก็บรวบรวม ใช้ข้อมูลโดยไม่ต้องคำนึงว่าการประมวลผลนั้นอาศัยความยินยอมของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม)
   5. ห้ามมิให้ผู้ให้บริการภายนอกใช้ข้อมูลส่วนบุคคลในการทำการตลาดในนามตนเอง หรือเปิดเผยข้อมูลส่วนบุคคลนั้นให้บุคคลอื่นใด (เช่น ให้แก่ลูกค้ารายอื่นของตน)
   6. หากผู้ควบคุมข้อมูลส่วนบุคคล และ/หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นบุคคลภายนอกอยู่นอกประเทศไทย จะถือว่าเป็นการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ซึ่งจะสามารถกระทำได้ก็ต่อเมื่อมีฐานทางกฎหมาย ที่เหมาะสม ท่านควรปรึกษาสายงานกฎหมาย เพื่อขอรับคำแนะนำในการดำเนินการให้มีฐานทางกฎหมาย ที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ในกรณีที่มีการขอความยินยอมให้โอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ควรขอความยินยอมดังกล่าวแยกต่างหากจากความยินยอมในกรณีอื่น

9. ข้อมูลสาธารณะ

   1. บริษัท ฯ อาจใช้ข้อมูลจากแหล่งข้อมูลสาธารณะเพื่อวัตถุประสงค์ต่าง ๆ หากเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้ตามสมควรว่า ข้อมูลส่วนบุคคลที่ตนเองเปิดเผยต่อสาธารณะจะถูกนำไปใช้เพื่อวัตถุประสงค์นั้น ๆ (เช่น หากบุคคลเปิดเผยข้อมูลส่วนบุคคลของตนในโพรไฟล์ LinkedIn สามารถนำข้อมูลในโพรไฟล์นั้นไปใช้ เพื่อวัตถุประสงค์ในทางธุรกิจก่อนที่จะพบบุคคลดังกล่าวได้ ทั้งนี้ หากบุคคลดังกล่าวเปิดเผยข้อมูลเกี่ยวกับกิจกรรมใดๆ ที่เป็นเรื่องส่วนบุคคล โดยปกติแล้วไม่ควรนำข้อมูลดังกล่าวไปใช้ในทางธุรกิจ)
   2. การเก็บรวบรวมข้อมูลจากแหล่งข้อมูลสาธารณะ ให้ปฏิบัติตามหลักเกณฑ์ดังต่อไปนี้
      1. ควรเปิดเผยนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ สำหรับบุคคลภายนอกให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ (หรือแสดงเป็นลิงก์เชื่อมต่อไปยังนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท ฯ สำหรับบุคคลภายนอกดังกล่าว)
      2. ไม่ควรเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เว้นแต่มีความชัดเจนว่าบุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลนั้นได้เปิดเผยข้อมูลดังกล่าวต่อสาธารณชน หรือบุคคลนั้นได้ให้ความยินยอม โดยชัดแจ้งแล้ว
      3. การเก็บรวบรวมข้อมูลส่วนบุคคลควรจำกัดเฉพาะที่จำเป็นต่อวัตถุประสงค์โดยชอบด้วยกฎหมาย และเก็บรักษาไว้เป็นระยะเวลาตราบเท่าที่จำเป็นและข้อมูลนั้นยังเป็นปัจจุบัน ควรลบข้อมูลนั้นหากไม่ต้องการใช้ข้อมูลนั้นแล้วหรือข้อมูลนั้นไม่เป็นปัจจุบัน

10. คำถามและการให้ความช่วยเหลือ

    หากท่านมีคำถามหรือข้อสงสัยเกี่ยวกับการปฏิบัติตามนโยบายนี้ โปรดส่งคำถามไปยังสายงานศูนย์ลูกค้าสัมพันธ์ หมายเลขโทรศัพท์ : 0 2194 1511, E-mail : [email protected]