1. หลักการและเหตุผล
ด้วยความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารได้พัฒนาไปอย่างรวดเร็ว ทำให้การเข้าถึงการเก็บรวมรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเสียหายต่อเจ้าของข้อมูล ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป

บริษัทได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ( Privacy Right) ที่ต้องได้รับความคุ้มครองตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน(Universal Declaration of Human Rights) ซึ่งบุคคลใดจะถูกแทรกแซงตามอำเภอใจในความเป็นส่วนตัวครอบครัว ที่อยู่อาศัย หรือการสื่อสาร หรือถูกลบหลู่เกียรติยศและชื่อเสียงไม่ได้ ทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมาย ต่อการแทรกแซงสิทธิหรือการลบหลู่ดังกล่าวนั้น รวมถึงเพื่อสนับสนุนและเคารพการปกป้องสิทธิมนุษยชนตามที่ประกาศใช้ในระดับสากล ตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UNGlobal Compact) รวมถึงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทจึงได้ประกาศนโยบายเพื่อเป็นหลักในการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy)

2. วัตถุประสงค์
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จัดทำขึ้นโดยมีวัตถุประสงค์ ดังต่อไปนี้
2.1 เพื่อคุ้มครองข้อมูลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาในการทำธุรกรรม และ/หรือใช้บริการ หรือมีส่วนได้ส่วนเสีย หรือที่มีส่วนเกี่ยวข้องกับบริษัท ได้แก่แต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้
ก. ลูกค้า
ข. พนักงาน
ค. ผู้ถือหุ้น
ง. นักลงทุน เจ้าหนี้ ลูกหนี้
จ. คู่ค้า พันธมิตรทางธุรกิจ
ฉ. บุคคลที่บริษัทได้ว่าจ้างให้ดำเนินงานตามวัตถุประสงค์ของบริษัท เช่น ที่ปรึกษาด้านวิชาชีพผู้ให้บริการด้านระบบเทคโนโลยีสารสนเทศ เป็นต้น
ช. บุคคลที่เข้าชมเว็บไซต์ หรือแอปพลิเคชั่นของบริษัท
ซ. บุคคลที่เข้ามาติดต่อหรือใช้บริการในโรงงาน คลังสินค้า สำนักงาน อาคารหรือสถานที่ใดของบริษัท
ฌ. ครอบครัวพนักงาน ผู้รับผลประโยชน์ตามกรมธรรม์ประกันชีวิต ประกันวินาศภัยที่บริษัทได้จัดทำให้
ญ. บุคคลที่ถูกอ้างอิง เช่น บุคคลที่ถูกอ้างอิงในการสมัครงาน การเสนอขายสินค้าและการบริการกับบริษัท เป็นต้น

2.2 เพื่อกำหนดบทบาทหน้าที่ ของหน่วยงาน ผู้บริหาร พนักงาน ซึ่งมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.3 เพื่อกำหนดขั้นตอนหรือมาตรการรักษาความปลอดภัยในการคุ้มครองข้อมูลส่วนบุคคล
2.4 เพื่อกำหนดแนวทางการปฏิบัติงานของพนักงานซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล
2.5 เพื่อสร้างความเชื่อมั่นในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ต่อเจ้าของข้อมูลส่วนบุคคล
2.6 เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ภายใต้ฐานทางกฎหมาย และมีการประมวลผลข้อมูลตามวัตถุประสงค์ที่กำหนดไว้เท่านั้น โดยจะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมไว้ต่อบุคคลภายนอก เว้นแต่อยู่ภายใต้ขอบเขตของกฎหมายที่สามารถดำเนินการได้

3. ขอบเขตการใช้
ให้ประกาศฉบับนี้ มีผลบังคับใช้กับคณะกรรมการ กรรมการ ผู้บริหาร และพนักงานทุกระดับของบริษัท อลูคอนจำกัด (มหาชน) รวมถึง คู่ค้า ผู้ให้บริการ และผู้มีส่วนได้ส่วนเสียกับบริษัท โดยใช้บังคับกับทุกกิจกรรมและการดำเนินงานของบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

4. คำนิยาม
"บริษัท" หมายความว่า บริษัท อลูคอน จำกัด(มหาชน)
"ข้อมูลส่วนบุคคล" หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
"ข้อมูลส่วนบุคคลที่มีความอ่อนไหว" หมายความว่า ข้อมูลส่วนบุคคลที่มีความเสี่ยงอาจถูกนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม (Sensitive Data) ในที่นี้หมายถึง เชื้อชาติศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรืออื่นๆ ตามที่กฎหมายกำหนด
"เจ้าของข้อมูลส่วนบุคคล" หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เป็นต้นว่าลูกค้า คู่ค้า ผู้ใช้บริการ และพนักงาน
"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายความว่า บุคคล หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในที่นี้หมายถึง บริษัทหน่วยงาน พนักงานที่รับผิดชอบในข้อมูลส่วนบุคคลนั้น
"ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายความว่า บุคคล หรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ในที่นี้หมายถึง คู่ค้า บุคคลหรือบริษัทภายนอก ที่บริษัทได้ว่าจ้าง
"บุคคล" หมายความว่า บุคคลธรรมดา
"บุคคลผู้หย่อนความสามารถ" หมายความว่า บุคคลซึ่งเป็นผู้เยาว์ เป็นคนไร้ความสามารถหรือเสมือนไร้ความสามารถ ตามประมวลกฎหมายแพ่งและพาณิชย์
"เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" (Data Protection Officer: DPO) หมายความว่า บุคคลซึ่งบริษัทแต่งตั้งให้ทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
"ผู้ประสานงานข้อมูลส่วนบุคคล" (Data Protection Coordinator: DPC) หมายความว่า บุคคลซึ่งถูกกำหนด หรือได้รับมอบหมายตามนโยบายฉบับนี้ ให้เป็นผู้ประสานงานข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

5. การคุ้มครองข้อมูลส่วนบุคคล
5.1 การเก็บรวมรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลให้กระทำได้ภายใต้วัตถุประสงค์และเท่าที่จำเป็นตามกรอบวัตถุประสงค์หรือเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ในการรวบรวม พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูล ถึงรายละเอียดดังต่อไปนี้
1) วัตถุประสงค์ของการเก็บรวบรวม
2) ระยะเวลาในการเก็บรวบรวมไว้
3) ประเภทของบุคคลหรือหน่วยงานซึ่งอาจมีการเปิดเผยข้อมูลส่วนบุคคล
4) ข้อมูลหรือช่องทางการติดต่อกับบริษัท
5) สิทธิของเจ้าของข้อมูลส่วนบุคคล
6) แจ้งผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลตามที่กำหนด หรือเพื่อเข้าทำหรือปฏิบัติตามสัญญา ทั้งนี้ เว้นแต่ในกรณีดังต่อไปนี้ ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(ก) เพื่อประโยชน์สาธารณะ การศึกษาวิจัย การสถิติ หรือการปฏิบัติตามกฎหมาย
(ข) เป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล
(ค) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(ง) เป็นการจำเป็นตามหน้าที่ในการดำเนินการเพื่อประโยชน์สาธารณะหรือในการปฏิบัติหน้าที่ตามที่ได้รับมอบหมายจากภาครัฐ หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญมากกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
5.2 การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้หย่อนความสามารถ
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ เพื่อดำเนินการตามวัตถุประสงค์ใดๆ ซึ่งผู้เยาว์ไม่อาจดำเนินคดีเองได้โดยลำพัง ตามที่ประมวลตามกฎหมายแพ่งและพาณิชย์กำหนดไว้ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง หรือผู้ทำการแทนผู้เยาว์ด้วย เว้นแต่กรณีผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง หรือผู้การแทนผู้เยาว์เท่านั้น
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลเป็นบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้อนุบาล หรือจากผู้พิทักษ์ หรือบุคคลผู้ทำการแทนเท่านั้น
5.3 การรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
บริษัทจะไม่เก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เว้นแต่มีความจำเป็นต้องเก็บรวบรวมโดยต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ยกเว้นในกรณีที่กฎหมายกำหนดให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม
5.4 การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล
การใช้และ/หรือการเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามวัตถุประสงค์ที่แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะทำการเก็บรวบรวม หรือเป็นการจำเป็นเพื่อประโยชน์ที่มีความเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการเก็บรวบรวมส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กฎหมายกำหนดให้ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
บุคคลหรือนิติบุคคลอื่น ซึ่งได้รับข้อมูลส่วนบุคคลจากการที่เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้เปิดเผยข้อมูลส่วนบุคคล ต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ตกลงยินยอมให้ไว้กับบริษัทและตามที่บุคคลหรือนิติบุคคลนั้นได้แจ้งไว้กับบริษัทเท่านั้น

6. คุณภาพของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ต้องถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจ
ผิด และต้องดำเนินการจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถร้องขอ หรือแก้ไขข้อมูลส่วน
บุคคลของตัวเองได้

7. บทบาทหน้าที่และความรับผิดชอบ
บริษัทกำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทอย่างเคร่งครัด โดยกำหนดให้บุคคลหรือหน่วยงานดังต่อไปนี้ ทำหน้าที่กำกับและตรวจสอบให้การดำเนินงานของบริษัทนั้นถูกต้อง เป็นไปตามนโยบายและกฎหมายว่าด้วยความคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้
7.1 ผู้ควบคุมข้อมูลส่วนบุคคล
7.1.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยขอข้อมูลส่วนบุคคลที่เหมาะสม และทบทวนมาตรการอย่างสม่ำเสมอเพื่อให้มาตรการดังกล่าวมีประสิทธิภาพ ทันต่อเทคโนโลยีที่เปลี่ยนแปลงไป
7.1.2 กำหนดขอบเขตการจัดการกับข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายกำหนด
7.1.3 จัดให้มีระบบตรวจสอบการจัดเก็บข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด
7.1.4 บันทึกรายการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
7.1.5 จัดทำข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล นิติบุคคลหรือบุคคลภายนอกอื่นใด หากมีการเปิดเผยข้อมูลส่วนบุคคลให้แก้ผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้ว่าจ้าง นิติบุคคลหรือบุคคลภายนอกอื่นใด โดยผู้ประมวลผลข้อมูล นิติบุคคล หรือบุคคลภายนอกดังกล่าว ต้องมีมาตรการรักษาความปลอดภัยในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามนโยบายฉบับนี้ และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
7.2 ผู้ประมวลผลข้อมูลส่วนบุคคล
7.2.1 ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล
7.2.2 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
7.2.3 จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
7.3เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(Data Protection Officer)
7.3.1 จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ครบถ้วนและถูกต้องตามที่กฎหมายกำหนด
7.3.2 ให้คำแนะนำในด้านต่างๆ ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้บริหาร พนักงาน และคู่ค้าของบริษัท
7.3.3 ตรวจตราการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
7.3.4 กำกับดูแลหน่วยงานต่างๆของบริษัท และคู่ค้าของบริษัทให้ดำเนินงานตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
7.3.5 รายงานการปฏิบัติหน่วยงานต่างๆ ของบริษัท และคู่ค้าของบริษัทต่อคณะเจ้าหน้าที่บริหาร
7.3.6 ประสานจัดการเรื่องร้องเรียนหรือการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการติดต่อหรือร้องขอจากข้อมูลเจ้าของส่วนบุคคล
7.3.7 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวมรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท และคู่ค้าของบริษัท
7.3.8 แจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้
7.4 สำนักกฎหมาย กลุ่มธุรกิจฯ
7.4.1 ให้คำปรึกษา แนะนำ และให้ความเห็นเกี่ยวกับการดำเนินงานให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.4.2 ตรวจสอบ/จัดทำเอกสาร สัญญาที่เกี่ยวข้องให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.5 คณะทำงาน Risk Management
7.5.1 ค้นหาและระบุความเสี่ยงในกิจกรรมหรือการดำเนินของหน่วยงานต่างๆ ของบริษัทที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
7.5.2 ประเมินความเสี่ยงโดยการกำหนดระดับความเสี่ยงของแต่ละกิจกรรมหรือการดำเนินงาน และระบุความเสี่ยงคงเหลือที่ยอมรับได้ (Risk Appetite)
7.5.3 ติดตามให้แต่ละหน่วยงานดำเนินงานให้อยู่ในความเสี่ยงคงเหลือที่ยอมรับได้
7.5.4 ทบทวนระดับความเสี่ยงของกิจกรรมหรือการดำเนินงานของแต่ละหน่วยงานทุกปี
7.5.5 จัดทำรายงานและมีการรายงานความเสี่ยงต่อคณะทำงานบริหารความเสี่ยงและคณะกรรมการบริหารความเสี่ยง
7.6 หน่วยงานตรวจสอบภายใน/ผู้ตรวจสอบภายนอก
7.6.1 ตรวจสอบการทำงานของผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.2 หน่วยงานตรวจสอบภายในสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงความปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7.6.3 จัดให้มีการสอบทานเอกสาร กระบวนการ และประเมินประสิทธิภาพในการรักษาความมั่นคงความปลอดภัยของระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยผู้ตรวจสอบภายนอกเป็นประจำทุกปี
7.6.4 รายงานผลการตรวจสอบต่อคณะกรรมการตรวจสอบของบริษัท

8. การรักษาความมั่นคงปลอดภัย
เพื่อประโยชน์ในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล บริษัทได้มีมาตรการ ดังนี้
8.1 กำหนดสิทธิในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคล รวมถึงการแสดงหรือยืนยันตัวบุคคล ผู้เข้าถึงหรือใช้ข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความปลอดภัย รวมถึงกระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักาความปลอดภัยดังกล่าว ทั้งนี้ เป็นไปตามนโยบายรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ (Information Technology Security Policy) ของบริษัทอย่างเคร่งครัด
8.2 ในการส่ง การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ รวมถึงการนำข้อมูลส่วนบุคคลไปเก็บบนฐานข้อมูลในระบบอื่นใด ซึ่งให้ผู้บริการรับโอนข้อมูลหรือบริการเก็บรักษาข้อมูลอยู่ต่างประเทศ ประเทศปลายทางที่เก็บรักษาข้อมูลต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือดีกว่ามาตรการตามนโยบายนี้
8.3 ในกรณีที่มีการฝ่าฝืนมาตรการการรักษาความปลอดภัยของบริษัท จนเป็นเหตุให้ละเมิดข้อมูลส่วนบุคคล บริษัทจะดำเนินการตามนโยบายการละเมิดและข้อมูลที่รั่วไหล (Data Breach Handling Policy) และตามที่กฎหมายกำหนด หากการละเมิดนั้นมีความเสี่ยงที่จะกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะดำเนินการแจ้งเหตุการละเมิด พร้อมทั้งแนวทางการเยียวยาให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ทั้งนี้บริษัทจะไม่รับผิดชอบในกรณีความเสียหายใดๆ อันเกิดจากการที่เจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่นใดซึ่งได้รับความยินยอมจากเจ้าของข้อมูลสวนบุคคล จงใจ หรือประมาทเลินเล่อ หรือเพิกเฉยต่อมาตรการรักษาความปลอดภัยจนเป็นเหตุให้ข้อมูลส่วนบุคคลถูกใช้ หรือเปิดเผยต่อบุคคลที่สาม หรือบุคคลอื่นใด

9. สิทธิเจ้าของข้อมูลส่วนบุคคล
ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลยังคงใช้ได้จนกว่าเจ้าของข้อมูลส่วนบุคคลจะเพิกถอนความยินยอมเป็นลายลักษณ์อักษร โดยเจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใช้หรือเปิดข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการดำเนินกิจกรรมใด โดยส่งคำขอของเจ้าของข้อมูลส่วนบุคคลแจ้งให้บริษัททราบเป็นลายลักษณ์อักษรตามระบุไว้ในข้อ 10 นี้
นอกจากนั้น เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอตามกฎหมาย ดังต่อไปนี้
· สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)
· สิทธิในการขอให้โอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability)
· สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)
· สิทธิในการคัดค้านการประมวลผล (Right to Object) ขอให้ลบหรือทำลาย (Right to Erasure) และระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
· สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)
· สิทธิในการได้รับแจ้ง (Right to be Informed)
แต่ทั้งนี้ สิทธิของเจ้าของข้อมูลส่วนบุคคล จะต้องไม่กระทบต่อสิทธิเสรีภาพของบุคคลอื่น อันเป็นการปฏิบัติหน้าที่เพื่อสาธารณะประโยชน์หรือตามกฎหมาย หรือเพื่อการศึกษาวิจัย ทั้งนี้ เป็นไปตามบทบัญญัติของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

10. การร้องเรียน การแจ้งเบาะแส
กรณีพบเหตุอันควรสงสัยหรือเชื่อว่ามีการละเมิดการเก็บรวบรวมใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลประสงค์ที่จะร้องเรียนหรือใช้สิทธิเจ้าของข้อมูลส่วนบุคคลตามนโยบายฉบับบนี้ หรือตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทตามข้อมูลติดต่อด้านล่างนี้
นายปิติพงศ์ อาชามงคล (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)
บริษัท อลูคอน จำกัด(มหาชน)
เลขที่ 500 หมู่ 1 ซอยศิริคาม ถนนสุขุมวิท 72 ตำบลสำโรงเหนือ อำเภอเมืองสมุทรปราการ จังหวัดสมุทรปราการ 10270
Email Address : This email address is being protected from spambots. You need JavaScript enabled to view it.
เบอร์โทรศัพท์ : 02-3980147 ต่อ 381

11. การฝึกอบรม
บริษัทจัดให้มีการฝึกอบรมและประเมินผลเกี่ยวกับการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้กับผู้บริหารและพนักงานทุกระดับ ในการนี้ ผู้ประสานงานข้อมูลส่วนบุคคล (Data Protection Coordinator : DPC) ต้องเข้าร่วมฝึกอบรมและกำหนดให้พนักงานในสังกัดของตนซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลต้องเข้าร่วมฝึกอบรมอย่างเคร่งครัด

12. การทบทวนนโยบาย
บริษัทกำหนดการทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือกรณีที่กฎหมายมีการเปลี่ยนแปลงแก้ไข

13. การฝ่าฝืน
บริษัทจะไม่ยอมประนีประนอมในเรื่องการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หรือผู้ที่มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน ที่เกี่ยวข้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลละเลยหรือละเว้นไม่สั่งการ หรือไม่ดำเนินการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน จนทำให้เกิดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลโดยผิดวัตถุประสงค์ การละเมิดต่อเจ้าของข้อมูลส่วนบุคคล อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล และ/หรือตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด พนักงานผู้นั้นต้องรับโทษทางวินัยตามระเบียบบริษัท และหากการกระทำผิดดังกล่าวของพนักงานและ/หรือบุคคลใดก่อให้เกิดความเสียหายแก่บริษัทและ/หรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป