เอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคคลภายนอก

เอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคลของบริษัทสำหรับบุคคลภายนอก (“เอกสารแจ้งฯ”) ได้ถูกจัดทำขึ้นเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและทำความเข้าใจถึงวัตถุประสงค์และวิธีการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล และ/หรือการโอนข้อมูลส่วนบุคคลไปต่างประเทศ รวมถึงสิทธิต่าง ๆ ในฐานะเจ้าของข้อมูลส่วนบุคคล เป็นต้น โดยมีรายละเอียดดังต่อไปนี้

คำนิยาม

“ข้อมูลส่วนบุคคล” (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ “บริษัท” หมายถึง บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน) หรือ ปตท.สผ. และบริษัทย่อยของ ปตท.สผ.

“ข้อมูลส่วนบุคคลอ่อนไหว” (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม และเป็นข้อมูลส่วนบุคคลที่กฎหมายจัดประเภทเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

“การประมวลผลข้อมูลส่วนบุคคล” (Data Processing) หมายถึง การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง

ขอบเขตการบังคับใช้

กลุ่มลูกค้าของบริษัท ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของลูกค้าที่เป็นนิติบุคคลของบริษัท เอกสารแจ้งฯ ฉบับนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลภายนอกที่บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ ของกลุ่มบุคคลดังต่อไปนี้

1. กลุ่มลูกค้าของบริษัท ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของลูกค้าที่เป็นนิติบุคคลของบริษัท
2. กลุ่มผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญา ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของ
   1. บุคคลธรรมดา ซึ่งเป็นผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาของบริษัทในอดีต ปัจจุบัน และอาจเป็นผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาของบริษัทในอนาคต
   2. พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาที่เป็นนิติบุคคลของบริษัท
3. กลุ่มผู้ร่วมทุน (Partners) พันธมิตรทางธุรกิจ (Business Alliances) รวมถึงบริษัทในกลุ่ม ปตท. ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของร่วมทุน พันธมิตรทางธุรกิจ รวมถึงบริษัทในกลุ่ม ปตท.
4. กลุ่มผู้มาติดต่อ บุคคลภายนอกที่เข้ามาบริเวณพื้นที่ปฏิบัติงานของบริษัท และบุคคลที่เข้าใช้เว็บไซต์หรือ Application ของบริษัท
5. กลุ่มผู้มีส่วนได้เสีย (Stakeholders) ได้แก่ กลุ่มกรรมการและอดีตกรรมการของบริษัท ผู้ถือหุ้น นักลงทุน นักวิเคราะห์ สื่อมวลชน ผู้นำชุมชน ผู้เข้าร่วมกิจกรรมเพื่อสังคมรวมถึงกิจกรรมต่าง ๆ ของบริษัท
6. กลุ่มผู้สมัครงานและฝึกงาน รวมถึงบุคคลที่กลุ่มนี้อ้างอิงถึงหรือให้ข้อมูลกับบริษัท
7. กลุ่มบุคคลภายนอกอื่น เช่น ผู้กำกับดูแล (Regulators) หน่วยงานราชการ หน่วยงานของรัฐ เป็นต้น

โดยรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของแต่ละกลุ่มบุคคลนั้นจะมีการระบุอย่างละเอียดในแต่ละหัวข้อต่อไป

การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

บริษัทอาจเปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลหรือหน่วยงานภายนอกที่ตั้งอยู่ใน ต่างประเทศ ซึ่งอาจรวมถึงในกรณีที่พื้นที่จัดเก็บข้อมูลที่ตั้งอยู่นอกประเทศไทย ในบางกรณี ประเทศปลายทางซึ่งข้อมูลส่วนบุคคลของท่านถูกส่งหรือโอนออกไปอาจมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่เทียบเท่ามาตรฐานของประเทศไทย ในกรณีดังกล่าว บริษัทจะดำเนินการตามขั้นตอนและใช้มาตรการต่าง ๆ เพื่อให้มั่นใจว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปในระดับที่เพียงพอ และบุคคลหรือหน่วยงานที่รับโอนข้อมูลส่วนบุคคลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม หรือการโอนเป็นไปตามที่กฎหมายกำหนด โดยอาศัยความยินยอมจากท่าน หรือเป็นไปตามข้อยกเว้นตามที่กฎหมายกำหนด

มาตรการรักษาความมั่นคงปลอดภัย

เพื่อคุ้มครองข้อมูลส่วนบุคคลของท่านจากการถูกทำลาย การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข หรือการเปิดเผยโดยอุบัติเหตุ หรือโดยไม่ชอบด้วยกฎหมาย หรือโดยไม่ได้รับอนุญาต บริษัทใช้มาตรการทางเทคนิค กายภาพและการบริหารจัดการที่เหมาะสม ซึ่งครอบคลุมถึงการเข้าถึงหรือควบคุมการเข้าถึงข้อมูลส่วนบุคคล เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคลตามข้อกำหนดขั้นต่ำที่กฎหมายกำหนด ซึ่งรวมถึงการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและการใช้งานอุปกรณ์สำหรับจัดเก็บและประมวลผลข้อมูลส่วนบุคคล ที่ปลอดภัยและเหมาะสมกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล บริษัทยังได้กำหนดสิทธิในการเข้าถึงข้อมูลของผู้ใช้งาน บริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อจำกัดการเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตแล้ว ทั้งยังมีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ บริษัทยังได้วางมาตรการสำหรับการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลอีกด้วย

การเก็บรักษาและระยะเวลาในการเก็บข้อมูลส่วนบุคคล 

บริษัททำการเก็บรักษาข้อมูลส่วนบุคคลของท่าน ดังนี้

1. บริษัทจัดเก็บข้อมูลส่วนบุคคลของท่านทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์ในพื้นที่จัดเก็บของบริษัท เช่น บนแชร์ไดร์ฟ (Shared Drive) ระบบคลาวด์ (Cloud) ของบริษัท และในห้องเก็บเอกสารที่มีการกําหนดสิทธิของผู้เข้าถึงข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย อย่างไรก็ดี บริษัทได้กำหนดระยะเวลาจัดเก็บข้อมูลส่วนบุคคลไว้อย่างชัดเจน
2. บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านตราบเท่าที่จำเป็นเพื่อให้บริษัทสามารถบรรลุวัตถุประสงค์ตามที่ได้ระบุไว้ในเอกสารแจ้งฯ ฉบับนี้ เว้นแต่ในกรณีที่บริษัทต้องเก็บข้อมูลส่วนบุคคลของท่านไว้นานกว่าที่กำหนด (เช่น กรณีที่เกิดข้อพิพาทขึ้น) หรือในกรณีที่บริษัทยังคงมีสิทธิหรือสามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของท่านได้ หรือเมื่อกฎหมายกำหนดหรืออนุญาตให้บริษัทเก็บรักษาข้อมูลส่วนบุคคลไว้นานกว่านั้นได้
3. เมื่อพ้นระยะเวลาจัดเก็บ หรือบริษัทไม่มีความจำเป็นใดในการเก็บรักษาข้อมูลส่วนบุคคลของท่านแล้ว บริษัทจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นให้แล้วเสร็จภายใน 90 วันนับแต่วันสิ้นสุดระยะเวลาดังกล่าว

สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้

1. สิทธิในการเพิกถอนความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม ตามขอบเขตที่กฎหมายกำหนด
3. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4. สิทธิในการลบข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
5. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
6. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
7. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
8. สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางอีเมลตามแบบฟอร์มที่บริษัทกำหนดไว้ ซึ่งรายละเอียดเกี่ยวกับการร้องขอใช้สิทธิรวมถึงช่องการติดต่อปรากฏอยู่บน “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งประกาศอยู่บนเว็บไซต์ของบริษัท https://www.pttep.com
โดยบริษัทจะดำเนินการพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องขอดังกล่าว หรือตามที่กฎหมายกำหนด ทั้งนี้ บริษัทอาจปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ในกรณีที่มีกฎหมายกำหนดไว้

การทบทวนและเปลี่ยนแปลงเอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะทำการทบทวนเอกสารแจ้งฯ ฉบับนี้ทุก ๆ 3 ปี เว้นแต่กฎหมายหรือการดำเนินงานของบริษัทมีการเปลี่ยนแปลงอย่างมีนัยยะสำคัญ โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงในส่วนที่เป็นสาระสำคัญให้ท่านทราบก่อนวันที่การเปลี่ยนแปลงดังกล่าวจะมีผลใช้บังคับ และอาจขอความยินยอมอีกครั้งสำหรับกรณีที่ต้องได้รับความยินยอมตามกฎหมาย

ช่องทางการติดต่อบริษัท

ฝ่ายบรรษัทภิบาล การปฏิบัติตามกฎเกณฑ์ การควบคุมภายใน และการกำกับดูแลบริษัทย่อย
บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน)
555/1 ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ อาคารเอ ชั้นที่ 6, 19-36 ถนนวิภาวดีรังสิต
แขวงจตุจักร เขตจตุจักร กรุงเทพฯ 10900
โทรศัพท์ : 66 (0) 2537-4000
อีเมล : Complianceteam@pttep.com 
วันที่มีผลใช้บังคับ : 1 ตุลาคม 2564