การคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคคลภายนอก
เอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคลของบริษัทสำหรับบุคคลภายนอก (“เอกสารแจ้งฯ”) ได้ถูกจัดทำขึ้นเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและทำความเข้าใจถึงวัตถุประสงค์และวิธีการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล และ/หรือการโอนข้อมูลส่วนบุคคลไปต่างประเทศ รวมถึงสิทธิต่าง ๆ ในฐานะเจ้าของข้อมูลส่วนบุคคล เป็นต้น โดยมีรายละเอียดดังต่อไปนี้
คำนิยาม
“ข้อมูลส่วนบุคคล” (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ “บริษัท” หมายถึง บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน) หรือ ปตท.สผ. และบริษัทย่อยของ ปตท.สผ.
“ข้อมูลส่วนบุคคลอ่อนไหว” (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม และเป็นข้อมูลส่วนบุคคลที่กฎหมายจัดประเภทเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” (Data Processing) หมายถึง การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง
ขอบเขตการบังคับใช้
กลุ่มลูกค้าของบริษัท ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของลูกค้าที่เป็นนิติบุคคลของบริษัท เอกสารแจ้งฯ ฉบับนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลภายนอกที่บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ ของกลุ่มบุคคลดังต่อไปนี้
- กลุ่มลูกค้าของบริษัท – ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของลูกค้าที่เป็นนิติบุคคลของบริษัท
- กลุ่มผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญา ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของ
- 2.1 บุคคลธรรมดา ซึ่งเป็นผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาของบริษัทในอดีต ปัจจุบัน และอาจเป็นผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาของบริษัทในอนาคต
- 2.2 พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของผู้ค้าหรือคู่ค้า ผู้ให้บริการภายนอก คู่สัญญาที่เป็นนิติบุคคลของบริษัท
- กลุ่มผู้ร่วมทุน (Partners) พันธมิตรทางธุรกิจ (Business Alliances) รวมถึงบริษัทในกลุ่ม ปตท. – ซึ่งครอบคลุมเฉพาะข้อมูลส่วนบุคคลของพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ และบุคคลธรรมดาอื่นที่กระทำในนามของร่วมทุน พันธมิตรทางธุรกิจ รวมถึงบริษัทในกลุ่ม ปตท.
- กลุ่มผู้มาติดต่อ บุคคลภายนอกที่เข้ามาบริเวณพื้นที่ปฏิบัติงานของบริษัท และบุคคลที่เข้าใช้เว็บไซต์หรือ Application ของบริษัท
- กลุ่มผู้มีส่วนได้เสีย (Stakeholders) ได้แก่ กลุ่มกรรมการและอดีตกรรมการของบริษัท ผู้ถือหุ้น นักลงทุน นักวิเคราะห์ สื่อมวลชน ผู้นำชุมชน ผู้เข้าร่วมกิจกรรมเพื่อสังคมรวมถึงกิจกรรมต่าง ๆ ของบริษัท
- กลุ่มผู้สมัครงานและฝึกงาน; รวมถึงบุคคลที่กลุ่มนี้อ้างอิงถึงหรือให้ข้อมูลกับบริษัท
- กลุ่มบุคคลภายนอกอื่น เช่น ผู้กำกับดูแล (Regulators) หน่วยงานราชการ หน่วยงานของรัฐ เป็นต้น
โดยรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของแต่ละกลุ่มบุคคลนั้นจะมีการระบุอย่างละเอียดในแต่ละหัวข้อต่อไป
การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
บริษัทอาจเปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลหรือหน่วยงานภายนอกที่ตั้งอยู่ใน ต่างประเทศ ซึ่งอาจรวมถึงในกรณีที่พื้นที่จัดเก็บข้อมูลที่ตั้งอยู่นอกประเทศไทย ในบางกรณี ประเทศปลายทางซึ่งข้อมูลส่วนบุคคลของท่านถูกส่งหรือโอนออกไปอาจมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่เทียบเท่ามาตรฐานของประเทศไทย ในกรณีดังกล่าว บริษัทจะดำเนินการตามขั้นตอนและใช้มาตรการต่าง ๆ เพื่อให้มั่นใจว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปในระดับที่เพียงพอ และบุคคลหรือหน่วยงานที่รับโอนข้อมูลส่วนบุคคลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม หรือการโอนเป็นไปตามที่กฎหมายกำหนด โดยอาศัยความยินยอมจากท่าน หรือเป็นไปตามข้อยกเว้นตามที่กฎหมายกำหนด .
มาตรการรักษาความมั่นคงปลอดภัย
เพื่อคุ้มครองข้อมูลส่วนบุคคลของท่านจากการถูกทำลาย การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข หรือการเปิดเผยโดยอุบัติเหตุ หรือโดยไม่ชอบด้วยกฎหมาย หรือโดยไม่ได้รับอนุญาต บริษัทใช้มาตรการทางเทคนิค กายภาพและการบริหารจัดการที่เหมาะสม ซึ่งครอบคลุมถึงการเข้าถึงหรือควบคุมการเข้าถึงข้อมูลส่วนบุคคล เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคลตามข้อกำหนดขั้นต่ำที่กฎหมายกำหนด ซึ่งรวมถึงการควบคุมการเข้าถึงข้อมูลส่วนบุคคลและการใช้งานอุปกรณ์สำหรับจัดเก็บและประมวลผลข้อมูลส่วนบุคคล ที่ปลอดภัยและเหมาะสมกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล บริษัทยังได้กำหนดสิทธิในการเข้าถึงข้อมูลของผู้ใช้งาน บริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อจำกัดการเข้าถึงเฉพาะผู้ที่ได้รับอนุญาตแล้ว ทั้งยังมีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ บริษัทยังได้วางมาตรการสำหรับการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลอีกด้วย
การเก็บรักษาและระยะเวลาในการเก็บข้อมูลส่วนบุคคล
บริษัททำการเก็บรักษาข้อมูลส่วนบุคคลของท่าน ดังนี้
- บริษัทจัดเก็บข้อมูลส่วนบุคคลของท่านทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์ในพื้นที่จัดเก็บของบริษัท เช่น บนแชร์ไดร์ฟ (Shared Drive) ระบบคลาวด์ (Cloud) ของบริษัท และในห้องเก็บเอกสารที่มีการกําหนดสิทธิของผู้เข้าถึงข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย อย่างไรก็ดี บริษัทได้กำหนดระยะเวลาจัดเก็บข้อมูลส่วนบุคคลไว้อย่างชัดเจน
- บริษัทจะจัดเก็บข้อมูลส่วนบุคคลของท่านตราบเท่าที่จำเป็นเพื่อให้บริษัทสามารถบรรลุวัตถุประสงค์ตามที่ได้ระบุไว้ในเอกสารแจ้งฯ ฉบับนี้ เว้นแต่ในกรณีที่บริษัทต้องเก็บข้อมูลส่วนบุคคลของท่านไว้นานกว่าที่กำหนด (เช่น กรณีที่เกิดข้อพิพาทขึ้น) หรือในกรณีที่บริษัทยังคงมีสิทธิหรือสามารถอ้างฐานในการประมวลผลข้อมูลส่วนบุคคลของท่านได้ หรือเมื่อกฎหมายกำหนดหรืออนุญาตให้บริษัทเก็บรักษาข้อมูลส่วนบุคคลไว้นานกว่านั้นได้
- เมื่อพ้นระยะเวลาจัดเก็บ หรือบริษัทไม่มีความจำเป็นใดในการเก็บรักษาข้อมูลส่วนบุคคลของท่านแล้ว บริษัทจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นให้แล้วเสร็จภายใน 90 วันนับแต่วันสิ้นสุดระยะเวลาดังกล่าว
สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
- สิทธิในการเพิกถอนความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม ตามขอบเขตที่กฎหมายกำหนด
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- สิทธิในการลบข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
- สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ในบางกรณีตามที่กฎหมายกำหนด
- สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางอีเมลตามแบบฟอร์มที่บริษัทกำหนดไว้ ซึ่งรายละเอียดเกี่ยวกับการร้องขอใช้สิทธิรวมถึงช่องการติดต่อปรากฏอยู่บน "นโยบายการคุ้มครองข้อมูลส่วนบุคคล" ซึ่งประกาศอยู่บนเว็บไซต์ของบริษัท https://www.pttep.com โดยบริษัทจะดำเนินการพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องขอดังกล่าว หรือตามที่กฎหมายกำหนด ทั้งนี้ บริษัทอาจปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ในกรณีที่มีกฎหมายกำหนดไว้
การทบทวนและเปลี่ยนแปลงเอกสารแจ้งการคุ้มครองข้อมูลส่วนบุคคล
บริษัทจะทำการทบทวนเอกสารแจ้งฯ ฉบับนี้ทุก ๆ 3 ปี เว้นแต่กฎหมายหรือการดำเนินงานของบริษัทมีการเปลี่ยนแปลงอย่างมีนัยยะสำคัญ โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงในส่วนที่เป็นสาระสำคัญให้ท่านทราบก่อนวันที่การเปลี่ยนแปลงดังกล่าวจะมีผลใช้บังคับ และอาจขอความยินยอมอีกครั้งสำหรับกรณีที่ต้องได้รับความยินยอมตามกฎหมาย
ช่องทางการติดต่อบริษัท
ฝ่ายบรรษัทภิบาล การปฏิบัติตามกฎเกณฑ์ การควบคุมภายใน และการกำกับดูแลบริษัทย่อย
บริษัท ปตท.สำรวจและผลิตปิโตรเลียม จำกัด (มหาชน)
555/1 ศูนย์เอนเนอร์ยี่คอมเพล็กซ์ อาคารเอ ชั้นที่ 6, 19-36 ถนนวิภาวดีรังสิต
แขวงจตุจักร เขตจตุจักร กรุงเทพฯ 10900
โทรศัพท์ : 66 (0) 2537-4000
อีเมล : Complianceteam@pttep.com
วันที่มีผลใช้บังคับ : 1 ตุลาคม 2564