เอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคลของบริษัทสำหรับบุคคลภายนอก (“เอกสารแจ้งฯ”) ได้ถูกจัดทำขึ้นเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและทำความเข้าใจถึงวัตถุประสงค์และวิธีการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล และ/หรือการโอนข้อมูลส่วนบุคคลไปต่างประเทศ รวมถึงสิทธิต่าง ๆ ในฐานะเจ้าของข้อมูลส่วนบุคคล เป็นต้น โดยมีรายละเอียดดังต่อไปนี้
คำนิยาม
“ข้อมูลส่วนบุคคล” (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ “บริษัท” หมายถึง บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน) หรือ ปตท.สผ. และบริษัทย่อยของ ปตท.สผ.
“ข้อมูลส่วนบุคคลอ่อนไหว” (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม และเป็นข้อมูลส่วนบุคคลที่กฎหมายจัดประเภทเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” (Data Processing) หมายถึง การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง
ขอบเขตการบังคับใช้
กลุ่มลูกค้าของบริษัท ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของลูกค้าที่เป็นนิติบุคคลของบริษัท เอกสารแจ้งฯ ฉบับนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลภายนอกที่บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ ของกลุ่มบุคคลดังต่อไปนี้
โดยรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของแต่ละกลุ่มบุคคลนั้นจะมีการระบุอย่างละเอียดในแต่ละหัวข้อต่อไป
การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
บริษัทอาจเปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลหรือหน่วยงานภายนอกที่ตั้งอยู่ใน ต่างประเทศ ซึ่งอาจรวมถึงในกรณีที่พื้นที่จัดเก็บข้อมูลที่ตั้งอยู่นอกประเทศไทย ในบางกรณี ประเทศปลายทางซึ่งข้อมูลส่วนบุคคลของท่านถูกส่งหรือโอนออกไปอาจมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่เทียบเท่ามาตรฐานของประเทศไทย ในกรณีดังกล่าว บริษัทจะดำเนินการตามขั้นตอนและใช้มาตรการต่าง ๆ เพื่อให้มั่นใจว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปในระดับที่เพียงพอ และบุคคลหรือหน่วยงานที่รับโอนข้อมูลส่วนบุคคลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม หรือการโอนเป็นไปตามที่กฎหมายกำหนด โดยอาศัยความยินยอมจากท่าน หรือเป็นไปตามข้อยกเว้นตามที่กฎหมายกำหนด
มาตรการรักษาความมั่นคงปลอดภัย
เพื่อคุ้มครองข้อมูลส่วนบุคคลของท่านจากการถูกทำลาย การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข หรือการเปิดเผยโดยอุบัติเหตุ หรือโดยไม่ชอบด้วยกฎหมาย หรือโดยไม่ได้รับอนุญาต บริษัทใช้มาตรการทางเทคนิค กายภาพและการบริหารจัดการที่เหมาะสม ซึ่งครอบคลุมถึงการเข้าถึงหรือควบคุมการเข้าถึงข้อมูลส่วนบุคคล เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคลตามข้อกำหนดขั้นต่ำที่กฎหมายกำหนด ซึ่งรวมถึงการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและการใช้งานอุปกรณ์สำหรับจัดเก็บและประมวลผลข้อมูลส่วนบุคคล ที่ปลอดภัยและเหมาะสมกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล บริษัทยังได้กำหนดสิทธิในการเข้าถึงข้อมูลของผู้ใช้งาน บริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อจำกัดการเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตแล้ว ทั้งยังมีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ บริษัทยังได้วางมาตรการสำหรับการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลอีกด้วย
การเก็บรักษาและระยะเวลาในการเก็บข้อมูลส่วนบุคคล
บริษัททำการเก็บรักษาข้อมูลส่วนบุคคลของท่าน ดังนี้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางอีเมลตามแบบฟอร์มที่บริษัทกำหนดไว้ ซึ่งรายละเอียดเกี่ยวกับการร้องขอใช้สิทธิรวมถึงช่องการติดต่อปรากฏอยู่บน “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” ซึ่งประกาศอยู่บนเว็บไซต์ของบริษัท https://www.pttep.com
โดยบริษัทจะดำเนินการพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องขอดังกล่าว หรือตามที่กฎหมายกำหนด ทั้งนี้ บริษัทอาจปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ในกรณีที่มีกฎหมายกำหนดไว้
การทบทวนและเปลี่ยนแปลงเอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะทำการทบทวนเอกสารแจ้งฯ ฉบับนี้ทุก ๆ 3 ปี เว้นแต่กฎหมายหรือการดำเนินงานของบริษัทมีการเปลี่ยนแปลงอย่างมีนัยยะสำคัญ โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงในส่วนที่เป็นสาระสำคัญให้ท่านทราบก่อนวันที่การเปลี่ยนแปลงดังกล่าวจะมีผลใช้บังคับ และอาจขอความยินยอมอีกครั้งสำหรับกรณีที่ต้องได้รับความยินยอมตามกฎหมาย
ช่องทางการติดต่อบริษัท
ฝ่ายบรรษัทภิบาล การปฏิบัติตามกฎเกณฑ์ การควบคุมภายใน และการกำกับดูแลบริษัทย่อย
บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน)
555/1 ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ อาคารเอ ชั้นที่ 6, 19-36 ถนนวิภาวดีรังสิต
แขวงจตุจักร เขตจตุจักร กรุงเทพฯ 10900
โทรศัพท์ : 66 (0) 2537-4000
อีเมล : Complianceteam@pttep.com
วันที่มีผลใช้บังคับ : 1 ตุลาคม 2564