ประกาศบริษัท ไนท์ คอนซัลแทนท์ เวิลด์ ไวด์ จำกัด
ฉบับที่ ๕/๒๕๖๕
เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคลด้านการตลาด
บริษัท ไนท์ คอนซัลแทนท์ เวิลด์ ไวด์ จำกัด
_________________________
- นโยบายนี้คืออะไรและใช้บังคับกับใคร
1.1 นโยบายการใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ทางการตลาด (“นโยบาย”) นี้จัดทำขึ้นบริษัท ไนท์ คอนซัลแทนท์ เวิลด์ ไวด์ จำกัด (“บริษัท” หรือ “ของบริษัท”) เพื่ออธิบายว่า (1) เมื่อใดที่บริษัทจะต้องขอความยินยอมในการติดต่อลูกค้าหรือบุคคลที่อาจเป็นลูกค้าเพื่อทาการตลาดทางตรง และ (2) วิธีการในการขอความยินยอม บริหารจัดการ และถอนความยินยอม ทั้งนี้ ท่านควรพิจารณาปรับใช้นโยบายนี้ประกอบกับนโยบาย กระบวนการ และ/หรือคำสั่งอื่นๆ ของบริษัทในการคุ้มครองข้อมูลส่วนบุคคล โดยนโยบายนี้ ถือเป็นส่วนหนึ่งของกรอบในการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคลของบริษัท
1.2 นโยบายนี้ใช้บังคับแก่พนักงาน ลูกจ้าง ผู้ดำรงตำแหน่งเป็นคณะกรรมการต่าง ๆ ในบริษัท กรรมการผู้จัดการ ผู้อำนวยการ ผู้ช่วยผู้อำนวยการ และ/หรือ บุคคลอื่นใดที่ดำรงตำแหน่งเชิงบริหารของบริษัท ผู้ฝึกงาน ที่ปรึกษา และผู้รับจ้างอิสระ หรือบุคคลภายนอกที่บริษัทว่าจ้างให้ทาหน้าที่ใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการตลาดทางตรง และ/หรือ ส่งและจัดการเกี่ยวกับการสื่อสารเพื่อการตลาดทางตรง
1.3 หัวหน้าแผนก / ผู้จัดการสาขา หรือเทียบเท่า มีหน้าที่รับผิดชอบในการนานโยบายนี้ไปใช้ปฏิบัติในส่วนงานของตน และดาเนินการให้พนักงานและบุคคลอื่นที่ปฏิบัติหน้าที่อยู่ภายในส่วนงานของตน หรือเพื่อส่วนงานของตนต้องปฏิบัติตามเนื้อหารายละเอียดของนโยบายนี้ด้วย หัวหน้าแผนก / ผู้จัดการสาขา หรือเทียบเท่า มีหน้าที่สื่อสารเกี่ยวกับนโยบายนี้ให้พนักงานและบุคคลอื่นที่ปฏิบัติหน้าที่อยู่ภายในส่วนงานของตน หรือเพื่อส่วนงานของตนรับทราบ และดูแลให้สมาชิกในส่วนงานแต่ละคนให้ได้รับการฝึกอบรมที่เหมาะสมเพื่อให้สามารถนานโยบายนี้ไปใช้ปฏิบัติได้
1.4 พนักงานทุกคนมีหน้าที่รับผิดชอบในการบันทึกความยินยอมที่สมบูรณ์ตามที่กาหนด และในกรณีที่มีผู้ร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคล หรือการสื่อสารเพื่อการตลาดทางตรง พนักงานมีหน้าที่ในการรายงานเรื่องร้องเรียนที่ได้รับดังกล่าวไปยังสายงานกฎหมาย
- การตลาดทางตรงคืออะไร
2.1 การตลาดทางตรงหมายความรวมถึงการโฆษณาหรือการสื่อสารทางการตลาด ไม่ว่าจะมีวัตถุประสงค์เพื่อบริการของบริษัท หรือเพื่อส่งเสริมบริการของบริษัท โดยเป็นการสื่อสารโดยตรง แก่บุคคลเฉพาะราย ซึ่งรวมถึง อีเมล การโทรศัพท์ ข้อความสื่อสาร (SMS) ข้อความส่วนตัวในสื่อสังคมออนไลน์ เป็นต้น และ ยังรวมถึงการโทรศัพท์เพื่อทาการวิจัยตลาด
2.2 หลักเกณฑ์ทั่วไปคือ การสื่อสารเพื่อการตลาดทางอิเล็กทรอนิกส์ซึ่งเป็นการสื่อสารทางตรง (เช่น อีเมล ข้อความสื่อสาร (SMS) สื่อสังคมออนไลน์ แอปพลิเคชันต่างๆ ฯลฯ) นั้น ควรได้รับความยินยอมจากผู้รับการสื่อสารก่อน และควรเปิดโอกาสให้เจ้าของข้อมูลแจ้งความประสงค์ยกเลิกการรับข้อมูลได้โดยง่าย / หรือมีการใช้ปุ่มเลิกรับการติดต่อ เว้นแต่สามารถอาศัยข้อยกเว้นตามกฎหมายข้ออื่นได้ เช่น ประโยชน์โดยชอบด้วยกฎหมาย หลักเกณฑ์เกี่ยวกับการขอความยินยอมเพื่อทาการตลาดทางตรงและข้อยกเว้นนั้นปรากฏอยู่ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- เมื่อใดที่บริษัทควรอาศัยความยินยอมในการทำ
การตลาดทางตรง
3.1 เนื้อหาในส่วนนี้อธิบายหลักเกณฑ์เกี่ยวกับความยินยอมที่ใช้กับการทาการตลาดทางตรงในรูปแบบ / ประเภทต่างๆ และเนื้อหาข้อ 4 ที่ปรากฎอยู่ด้านล่างจะขยายความเนื้อหาในส่วนนี้ โดยเป็นการกาหนดหลักเกณฑ์ในการขอความยินยอมที่ชอบด้วยกฎหมาย
3.2 การตลาดทางตรงบางประเภทต้องให้เจ้าของข้อมูลแจ้งความประสงค์ในการรับข้อมูลก่อนล่วงหน้า (เช่น ให้ความยินยอม) ในขณะเดียวกัน การแจ้งความประสงค์ในการยกเลิกการรับข้อมูล (ได้แก่ การให้สิทธิเลือกที่จะยกเลิกการรับข้อมูล) นั้น เป็นมาตรการที่เพียงพอสำหรับการทำการตลาดทางตรงประเภทอื่น (กล่าวคือ ไม่จำเป็นต้องขอความยินยอมก่อนล่วงหน้า อย่างไรก็ตาม ผู้รับการติดต่อสื่อสาร ต้องสามารถยกเลิกการติดต่อสื่อสารเพื่อการตลาด หรือต้องสามารถใช้สิทธิในการคัดค้านได้ โดยเป็นการอาศัย ฐานประโยชน์โดยชอบด้วยกฎหมาย)
3.3 ความยินยอมในการทำการตลาดทางตรงเป็นเรื่องที่มีความซับซ้อน ดังนั้น จึงแนะนำให้ต้องขอความยินยอมในการรับข้อมูลในการทำการตลาดทางตรงสำหรับการตลาดทางอิเล็กทรอนิกส์ เช่น ทางอีเมล กล่องข้อความสำหรับคลิก โดยเฉพาะอย่างยิ่งการทำการตลาดทางตรงในการเสนอบริการอื่นเพิ่มเติมจากบริการหลัก
3.4 ไม่ว่าในกรณีใด ผู้รับการติดต่อสื่อสารเพื่อทำการตลาดทางตรงในรูปแบบใดก็ตามมีสิทธิดังต่อไปนี้
- สิทธิในการถอนความยินยอมของตนที่ได้เคยให้ความยินยอมได้ทุกเมื่อ
- สิทธิในการแจ้งความประสงค์ในการยกเลิกการรับข้อมูล (โดยกำหนดให้บริษัทหยุดติดต่อสื่อสารเพื่อทำการตลาดทางตรง) ได้ทุกเมื่อ หรือใช้สิทธิในการคัดค้านในกรณีที่การทาการตลาดทางตรงนั้น บริษัทไม่มีหน้าที่ต้องขอให้ลูกค้าให้ความยินยอม หากบริษัททำการตลาดทางตรงโดยอาศัยเหตุผลทางกฎหมายอย่างอื่นนอกจากการขอความยินยอม (เช่น เป็นการจำเป็นเพื่อประโยชน์ โดยชอบด้วยกฎหมาย เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เป็นต้น)
3.5 การโทรศัพท์ไปยังหมายเลขโทรศัพท์ของผู้รับการติดต่อเพื่อทำการตลาดนั้น สามารถทำได้เฉพาะกรณีดังต่อไปนี้เท่านั้น
ก. ผู้รับการติดต่อได้ให้ความยินยอมในการรับการติดต่อทางโทรศัพท์ หรือได้ให้หมายเลขโทรศัพท์ไว้เพื่อวัตถุประสงค์ตามที่ลูกค้า / ผู้ที่อาจเป็นลูกค้าร้องขอโดยตรงจากบริษัท (เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา)
ข. ผู้รับการติดต่อเป็นลูกค้าปัจจุบันและได้ใช้บริการมาเป็นระยะเวลาไม่เกิน 2 ปี และ การโทรศัพท์เพื่อทำการตลาดนั้นเกี่ยวข้องกับการบริการที่คล้ายคลึงกัน
ค. ผู้รับการติดต่อได้ติดต่อบริษัทเพื่อปรึกษาหรือขอรับข้อมูลเกี่ยวการบริการ และการโทรศัพท์เพื่อทำการตลาดนั้นเกี่ยวข้องกับเรื่องดังกล่าว
3.6 อีเมล การส่งข้อความ และการสื่อสารอย่างอื่นทางอิเล็กทรอนิกส์
ก. หลักเกณฑ์ทั่วไปกำหนดให้ต้องขอความยินยอมเป็นกรณีเฉพาะก่อนล่วงหน้า เมื่อมีการสื่อสารเพื่อทำการตลาดทางตรงทางอิเล็กทรอนิกส์ทุกรูปแบบ
ข. มีข้อยกเว้นในกรณีที่ไม่ต้องได้รับการแจ้งความประสงค์ในการให้ความยินยอมจากลูกค้า / บุคคลที่อาจเป็นลูกค้าที่เคยได้ให้รายละเอียดเกี่ยวกับการติดต่อไว้ในระหว่างที่มีการให้บริการของบริษัท โดยมีเงื่อนไขดังนี้
- บริษัททำการตลาดเฉพาะบริการที่คล้ายคลึงกันนั้นให้แก่ลูกค้ารายดังกล่าว / บุคคล ที่อาจเป็นลูกค้า ความคล้ายคลึงเช่นว่านี้ต้องประเมินเป็นรายกรณี ขึ้นอยู่กับบริบทและความคาดหวังของลูกค้า / บุคคลที่อาจเป็นลูกค้า
- ลูกค้า / บุคคลที่อาจเป็นลูกค้าได้รับโอกาสให้ทำการตลาด เช่นว่านั้น ไม่ว่าในขณะที่มีการเสนอบริการ และในการติดต่อสื่อสารเพื่อทำการตลาดทุกครั้งภายหลังจากนั้น
ค. ทั้งนี้ หลักเกณฑ์ข้างต้น (ทั้งการเลือกรับ และเลือกไม่รับ) ไม่ใช้บังคับกับการทำการตลาดระหว่างธุรกิจกับธุรกิจ เช่น ท่านอาจส่งข้อความในการทำการตลาดให้แก่ลูกค้าองค์กรตามที่อยู่อีเมลขององค์กร (ที่อยู่อีเมลส่วนกลาง / กล่องข้อความอีเมลส่วนกลาง) รวมถึงกรณีที่การติดต่อสื่อสารทางอิเล็กทรอนิกส์ เช่น ทางอีเมลนั้นเป็นการติดต่อสื่อสารถึงบุคคลซึ่งเป็นผู้แทนอยู่ภายในองค์กรซึ่งได้รับข้อความในนามขององค์กร อย่างไรก็ตาม ผู้รับการติดต่อควรสามารถได้รับสิทธิที่จะเลือกไม่รับ การติดต่อสื่อสาร ได้ทุกเมื่อ หรือมีช่องทางให้บุคคลนั้นใช้สิทธิในการคัดค้านการทาการตลาดแบบตรงนั้น
ง. อย่างไรก็ตาม หลักเกณฑ์เกี่ยวกับการเลือกรับ และการเลือกไม่รับ การติดต่อสื่อสารนั้นใช้กับกรณีที่เป็นผู้ประกอบธุรกิจรายเดียว (กล่าวคือ กรณีที่บริษัทส่งข้อความในการทำการตลาดให้แก่บุคคลธรรมดาซึ่งมิใช่ลูกค้า (เช่น พันธมิตรทางธุรกิจซึ่งเป็นบุคคลธรรมดา) ในกรณีเช่นว่านี้ บริษัทต้องขอความยินยอมจากบุคคลดังกล่าวก่อนส่งข้อความในการทำการตลาดระหว่างธุรกิจกับธุรกิจให้แก่บุคคลดังกล่าว
- การขอความยินยอมต้องดำเนินการอย่างไรเพื่อให้ความยินยอมมีความสมบูรณ์
4.1 โปรดพิจารณารายการดังต่อไปนี้ เพื่อตรวจสอบว่าบริษัทต้องดำเนินการอย่างใดบ้างในการขอความยินยอม
ก. บริษัทได้ตรวจสอบแล้วว่า กฎหมายกาหนดให้ต้องขอความยินยอม หรือเป็นฐานทางกฎหมายที่มีความเหมาะสมมากที่สุดในการทำการตลาดทางตรง
ข. บริษัทใช้ภาษาในการสื่อสารมีความชัดเจนและเข้าใจได้ง่ายในการแจ้งให้บุคคลทราบรายละเอียดเกี่ยวกับการทำการตลาดทางตรงที่บุคคลดังกล่าวให้ความยินยอมนั้น
ค. คำขอความยินยอมนั้นนำเสนอด้วยความชัดเจน และแยกส่วนออกจากข้อความอื่นอย่างเด่นชัด ไม่ปะปนหรือแฝงอยู่ในข้อความส่วนอื่นๆ
ง. บริษัทได้ขอให้บุคคลเลือกที่จะรับข้อมูลข่าวสารทางการตลาดด้วยตัวเองโดยชัดแจ้ง และมิได้ใช้กล่องข้อความซึ่งได้ทำเครื่องหมายไว้ก่อนล่วงหน้าแล้ว หรือมิถือว่าบุคคลได้ให้ความยินยอมแล้ว (เช่น ระบุว่า หากบุคคลนิ่งเฉยหรือไม่ดาเนินการอย่างใดจะถือว่าได้ให้ความยินยอม) การที่บุคคลทำเครื่องหมายที่กล่องข้อความซึ่งระบุว่า “ข้าพเจ้า/ท่านยินยอมที่จะ …” หรือข้อความอื่นที่มีลักษณะคล้ายคลึงกันนั้น บุคคลดังกล่าวจะสามารถกระทำการเพื่อยืนยันได้อย่างชัดแจ้งที่จะยินยอมให้มีการทำการตลาดทางตรง (และกระบวนการอื่นที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล) หรือใช้แบบฟอร์มอนุมัติโดยบริษัท
จ. บริษัทต้องระบุให้ชัดเจนว่าเหตุใดบริษัทจึงต้องการข้อมูลส่วนบุคคล และจะนำข้อมูลส่วนบุคคลที่ได้ไปใช้ในการใด ข้อมูลเช่นว่านี้ ลูกค้า / บุคคลที่อาจเป็นลูกค้าต้องรับทราบตั้งแต่เริ่มมีการเก็บรวบรวมข้อมูลส่วนบุคคล หลังจากที่บริษัทได้รับข้อมูลส่วนบุคคลมาแล้ว บริษัทไม่อาจเปลี่ยนแปลงรายละเอียดการใช้ข้อมูลส่วนบุคคลได้โดยไม่ขอความยินยอมใหม่อีกครั้งหนึ่ง นอกจากนี้ บริษัทไม่ควรเก็บรวบรวมข้อมูลส่วนบุคคล “เผื่อไว้” สำหรับกรณีที่บริษัทอาจต้องใช้ข้อมูลส่วนบุคคลนั้นเพื่อวัตถุประสงค์ใดในอนาคต โดยบริษัทยังไม่ทราบและสามารถแจ้งรายละเอียดเกี่ยวกับวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลให้แก่ลูกค้า / บุคคลที่อาจเป็นลูกค้าได้โดยชัดแจ้ง บริษัททำได้เพียงแค่เก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุดเท่าที่บริษัทจำเป็นต้องใช้ตามวัตถุประสงค์ที่บริษัทได้แจ้งแก่ลูกค้า / บุคคลที่อาจเป็นลูกค้า
ฉ. บริษัทไม่ควรขอความยินยอมในสถานการณ์ที่ผู้ให้ความยินยอมไม่สามารถให้ความยินยอมได้โดยอิสระ การให้ความยินยอมนั้น ผู้ให้ความยินยอมต้องมีอิสระในการให้ความยินยอม โดยการให้ความยินยอม ต้องเกิดจากการที่บุคคลตัดสินใจที่จะให้ความยินยอมนั้นอย่างแท้จริงเช่น คำขอความยินยอมนั้นต้องแยกออกเป็นคนละส่วนจากการยอมรับข้อตกลงและเงื่อนไขของบริษัท หรือการบริการของบริษัท นอกจากนี้ การให้ความยินยอมอย่างเป็นอิสระยังหมายความว่าจะต้องไม่มีผลในทางลบต่อบุคคลหากว่าบุคคลไม่ให้ความยินยอม
ช. การขอความยินยอมนั้น บริษัทต้องแจ้งให้ลูกค้าทราบสิทธิในการถอนความยินยอมเมื่อใดก็ได้
- บริษัทบันทึกและบริหารจัดการความยินยอมอย่างไร รวมถึงในกรณีที่ลูกค้าถอนความยินยอม
5.1 การบันทึกความยินยอม
โปรดพิจารณารายการดังต่อไปนี้ เพื่อตรวจสอบว่าการบันทึกความยินยอมต้องดาเนินการอย่างไรบ้าง
- บริษัทบันทึกเวลาและวิธีการที่ได้รับความยินยอม
- บริษัทบันทึกข้อมูลว่าได้แจ้งให้บุคคลทราบในเรื่องใดบ้างในขณะที่ให้ความยินยอม
- เมื่อการทำการตลาดสิ้นสุดลง บริษัทจะไม่เก็บหลักฐานการให้ความยินยอมไว้นานเกินกว่าที่จำเป็น
5.2 การบริหารจัดการเกี่ยวกับความยินยอม (และการถอนความยินยอม)
รายการดังต่อไปนี้กาหนดหลักเกณฑ์เพื่อให้ท่านพิจารณาว่าต้องดาเนินการอย่างใดบ้างเพื่อบริหารจัดการเกี่ยวกับความยินยอมซึ่งเป็นการบริหารจัดการอย่างต่อเนื่อง รวมทั้งในกรณีที่ลูกค้า / บุคคลที่อาจเป็นลูกค้าถอนความยินยอมมิให้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอีกต่อไป
ก. บริษัทควรทบทวนความยินยอมที่ได้รับอย่างสม่ำเสมอเพื่อตรวจสอบว่าความสัมพันธ์ระหว่างบริษัทและเจ้าของข้อมูลส่วนบุคคล กิจกรรมการประมวลผลข้อมูลส่วนบุคคล และวัตถุประสงค์ในการประมวลผลนั้นเปลี่ยนแปลงไปหรือไม่
ข. บริษัทมีกระบวนการต่างๆ เพื่อขอความยินยอมใหม่ในช่วงเวลาต่างๆ ตามความเหมาะสม รวมทั้งการขอความยินยอมของผู้แทนโดยชอบธรรมในกรณีที่บุคคลเป็นผู้เยาว์ ทั้งนี้ บริษัทจะสามารถอาศัยความยินยอมได้นานเพียงใดนั้น ขึ้นอยู่กับบริบท ขอบเขตที่เคยได้ให้ความยินยอมไว้แต่เดิม และความคาดหมายของบุคคล หากความยินยอมที่เคยได้รับนั้นไม่สามารถใช้ได้อีกต่อไป ธนาคารจะต้องขอความยินยอมใหม่ในกรณีที่สมควร หรือจะยุติการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล
ค. ธุรกิจต้องอำนวยความสะดวกให้บุคคลสามารถถอนความยินยอมได้ทุกเมื่อ โดยให้สามารถถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม และแจ้งให้ลูกค้า / บุคคลที่อาจเป็นลูกค้าทราบอย่างชัดเจนถึงวิธีการถอนความยินยอม โดยหลักเกณฑ์ทั่วไปนั้นกาหนดให้ลูกค้า / บุคคลที่อาจเป็นลูกค้า ได้โดยง่ายโดยใช้ช่องทางการสื่อสารเดียวกันกับช่องทางที่ใช้ในการสื่อสารกับลูกค้า / บุคคลที่อาจเป็นลูกค้า เช่น
- อีเมล: ให้ระบุลิงก์ “ยกเลิกการรับข้อมูลข่าวสาร” ไว้ที่ตอนท้ายของอีเมล
- ข้อความสื่อสาร (SMS): ผู้ใช้ควรสามารถพิมพ์ข้อความ “หยุดส่ง / STOP” และส่งไปยังหมายเลขปลายทาง (ค่าใช้จ่ายที่เกิดขึ้นควรมีแค่ค่าส่งข้อความเท่านั้น)
- โทรศัพท์: พนักงานศูนย์บริการข้อมูลลูกค้า (Call Center) ควรได้รับการฝึกอบรมให้สามารถบันทึกคำขอไม่รับข้อมูลข่าวสารที่เกิดขึ้นในระหว่างที่คุยโทรศัพท์
- สื่อสังคมออนไลน์: ผู้ใช้ต้องสามารถยกเลิกการรับข้อมูลข่าวสาร / unsubscribe ได้โดยส่งข้อความตอบ หรือต้องแจ้งวิธีการยกเลิกการรับข้อมูลข่าวสาร / unsubscribe (เช่น ขอยกเลิกทางอีเมล)
ง. บริษัทต้องดำเนินการโดยไม่ชักช้าเมื่อมีคำร้องขอถอนความยินยอม กล่าวคือ ทันทีที่บริษัทจะสามารถดำเนินการได้โดยใช้ระบบงานของบริษัท หากระบบงานทำให้เกิดความล่าช้า บริษัทต้องอธิบายปัญหาดังกล่าวต่อลูกค้า / บุคคลผู้ที่จะเป็นลูกค้าในขณะที่ลูกค้าขอถอนความยินยอม บริษัทแจ้งบุคคลภายนอกที่เกี่ยวข้องในการทำการตลาด (เช่น ผู้ให้บริการภายนอกที่ส่งข้อความสื่อสารทางการตลาด) โดยเร็วที่สุดที่จะสามารถดาเนินการได้หลังจากที่ลูกค้า / บุคคลที่อาจเป็นลูกค้าถอนความยินยอม บริษัทต้องหยุดทำการตลาด และหากไม่มีฐานทางกฎหมายอื่นใดให้บริษัทสามารถใช้ข้อมูลส่วนบุคคลต่อไปได้ บริษัทจะต้องลบหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
จ. บริษัทต้องไม่ดำเนินการใดๆ ที่ไม่พึงประสงค์หรือเป็นการให้โทษแก่บุคคลผู้ที่ต้องการถอนความยินยอม และดำเนินการใดๆ เพื่อกีดกันบุคคลไม่ให้ถอนความยินยอม
- การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลที่ได้จากบุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาด
6.1 ในกรณีที่ท่านเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งข้อมูลอื่น (เช่น มิได้เก็บรวบรวมข้อมูลส่วนบุคคลโดยตรง จากเจ้าของข้อมูล) ท่านมีหน้าที่แจ้งให้ผู้เป็นเจ้าของข้อมูลทราบรายละเอียดตามที่กาหนดในมาตรา 23 แห่งพระราชบัญญัติฯ โดยไม่ชักช้า ภายใน 30 วันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีข้อยกเว้นอื่นตามกฎหมาย (มาตรา 25 แห่งพระราชบัญญัติฯ) หากท่านมีแผนที่จะใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมดังกล่าวเพื่อติดต่อสื่อสารกับเจ้าของข้อมูล ท่านควรส่งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทสำหรับบุคคลภายนอก ให้แก่เจ้าของข้อมูลดังกล่าวในคราวแรกที่มีการติดต่อสื่อสาร โดยวิธีปฏิบัติที่ดีที่สุดคือขอความยินยอมจากบุคคลโดยตรงเพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล และ ส่งนโยบายคุ้มครองข้อมูลส่วนบุคคลของธนาคารให้แก่บุคคลดังกล่าวภายใน 30 วันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว
6.2 หากท่านได้รับข้อมูลส่วนบุคคลจากบุคคลภายนอก เช่น ได้รับข้อมูลจากพันธมิตรทางธุรกิจของบริษัท การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล รวมถึงการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดที่กำหนดนั้นอาจทำได้ยากในทางปฏิบัติ เนื่องจากบริษัทไม่ได้เป็นผู้ติดต่อกับเจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจึงควรกำหนดให้มีข้อสัญญาที่เหมาะสมระหว่างบริษัทและบุคคลภายนอกผู้ให้ข้อมูลส่วนบุคคลด้วย เพื่อเป็นการช่วยเสริมมาตรการในการแสดงถึงความพยายามในการปฏิบัติตามข้อกาหนดของกฎหมาย
6.3 โดยเฉพาะอย่างยิ่ง ท่านควรดาเนินการดังต่อไปนี้เกี่ยวกับสัญญากับบุคคลภายนอก
- ขอให้มีคำรับประกันโดยละเอียดเพื่อแสดงว่าได้ขอความยินยอมในการใช้ข้อมูลส่วนบุคคลแล้วโดยชอบตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดที่ใช้บังคับ
- คำรับประกันดังกล่าวต้องมีข้อตกลงเกี่ยวกับการรับผิดชดใช้ค่าเสียหายที่เพียงพอด้วย
- กำหนดให้บุคคลภายนอกมีหน้าที่จัดหาข้อมูลเฉพาะบางประการให้แก่บุคคลในขณะที่มีการเก็บรวบรวมข้อมูลด้วย (เช่น การแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล)
6.4 ท่านควรตรวจสอบประเด็นดังต่อไปนี้กับบุคคลภายนอก
- เจ้าของข้อมูลส่วนบุคคลนั้นได้รับแจ้งหรือไม่ว่าข้อมูลส่วนบุคคลของตนจะถูกนำไปเปิดเผยให้แก่บุคคลภายนอก รวมถึงบริษัท
- เจ้าของข้อมูลส่วนบุคคลนั้นได้รับแจ้งหรือไม่ว่าบุคคลภายนอกที่ได้รับข้อมูลส่วนบุคคลจะใช้ข้อมูล ส่วนบุคคลด้วยวิธีการที่บริษัทกำหนด
- เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมให้นำข้อมูลส่วนบุคคลของตนไปให้แก่บุคคลภายนอกรวมถึงบริษัทหรือไม่ ในกรณีที่ต้องได้รับความยินยอม
- ได้รับความยินยอมเมื่อใด (ระบุวันและเวลา) และความยินยอมที่ได้รับมานั้นเป็นปัจจุบัน และยังคงมีผล ใช้บังคับได้อย่างสมบูรณ์หรือไม่
- บุคคลผู้ให้ความยินยอมเช่นว่านั้นได้ถอนความยินยอมหลังจากท่านได้รับข้อมูลของบุคคลดังกล่าวหรือไม่ ท่านต้องตรวจสอบให้แน่ใจว่าบุคคลภายนอกแจ้งให้ท่านทราบในเรื่องนี้
6.5 หากท่านสามารถดาเนินการตรวจสอบสถานะบุคคลที่อาจเป็นลูกค้าได้ มีการตรวจสอบข้อมูลอย่างเพียงพอ และยืนยันได้ว่าบุคคลที่อาจเป็นลูกค้าได้รับข้อมูลอย่างละเอียดเพียงพอจากบุคคลภายนอก และได้ให้ความยินยอมอย่างถูกต้องที่จะรับการติดต่อสื่อสารด้านการตลาดจากบริษัท ท่านจึงจะสามารถติดต่อลูกค้าได้
6.6 กรณีที่ท่านติดต่อบุคคลที่อาจเป็นลูกค้าโดยใช้รายชื่อผู้ติดต่อที่ท่านได้รับมาเป็นครั้งแรก ให้แจ้งข้อมูลตามที่พระราชบัญญัติฯ กำหนดให้แก่บุคคลที่อาจเป็นลูกค้าดังกล่าวด้วย (กล่าวคือ การแจ้งนโยบายคุ้มครองข้อมูล ส่วนบุคคลของธนาคาร สำหรับบุคคลภายนอก)
- การโฆษณาออนไลน์โดยเจาะจงตัวบุคคล
7.1 การโฆษณาออนไลน์โดยเจาะจงตัวบุคคล คือการใช้ข้อมูลส่วนบุคคลที่ได้จากการทำกิจกรรมออนไลน์เพื่อทาการโฆษณาออนไลน์ที่ตอบสนองความสนใจเฉพาะในแต่ละบุคคล
7.2 คุกกี้คือไฟล์ข้อมูลขนาดเล็กซึ่งเซิร์ฟเวอร์ติดตั้งไว้ในคอมพิวเตอร์ของแต่ละบุคคล (และเชื่อมโยงกับเบราว์เซอร์ของบุคคลนั้น) โดยคุกกี้จะส่งข้อมูลเกี่ยวกับเว็บไซต์ที่บุคคลเข้าเยี่ยมชมกลับไปยังเซิร์ฟเวอร์ ซึ่งโดยทั่วไปแล้ว ข้อมูลที่มีการเก็บรวบรวมนั้น ได้แก่ รายละเอียดเกี่ยวกับเว็บไซต์และหน้าเว็บเพจที่บุคคลนั้นเข้าเยี่ยมชม ระยะเวลาที่เข้าชมเว็บไซต์หรือหน้าเว็บเพจดังกล่าว วันที่และเวลาที่เข้าชม และบุคคลดังกล่าวได้อ่านโฆษณาที่ปรากฏหรือไม่
7.3 บริษัทอาจใช้เทคโนโลยีในการติดตามข้อมูลเช่นว่านี้กับอุปกรณ์ของลูกค้า / บุคคลที่อาจเป็นลูกค้า เมื่อลูกค้า / บุคคลที่อาจเป็นลูกค้าเข้าเยี่ยมชมเว็บไซต์ หรือบริษัทอาจทำสัญญากับบุคคลภายนอกซึ่งเป็นผู้ให้บริการด้านโฆษณา โดยบุคคลภายนอกดังกล่าวนั้นอาจเผยแพร่ข้อมูลโฆษณาเกี่ยวกับบริการของบริษัทบนเว็บไซต์อื่น เนื่องจากการโฆษณาประเภทนี้มีศักยภาพในการเก็บรวบรวมข้อมูลส่วนบุคคล และสามารถนาไปใช้เพื่อจัดทาประวัติของบุคคล ดังนั้น จึงจำเป็นอย่างยิ่งที่ธนาคารจะต้องดำเนินการดังต่อไปนี้
1) ว่าจ้างเฉพาะผู้ให้บริการที่มีความน่าเชื่อถือ มีมาตรการในการคุ้มครองข้อมูลและความเป็นส่วนตัว
2) ทำความเข้าใจมาตรการต่างๆ ของผู้ให้บริการดังกล่าวในการคุ้มครองข้อมูลส่วนบุคคล
3) ว่าจ้างเฉพาะผู้ให้บริการที่กำหนดให้มีกลไกการจัดการที่เหมาะสม เพื่อให้บุคคลสามารถให้ความยินยอมและถอนความยินยอมในเรื่องคุกกี้ (รวมทั้งเทคโนโลยีอื่นใด) ที่ใช้เพื่อรับสื่อโฆษณาที่กำหนดเฉพาะบุคคลได้
4) ตรวจสอบให้แน่ใจว่าผู้เผยแพร่ข้อมูลจากภายนอกซึ่งติดตั้งคุกกี้ของบริษัทมีนโยบายความเป็นส่วนตัว/คุกกี้ ที่เหมาะสมซึ่งอธิบายเกี่ยวกับคุกกี้ของบุคคลภายนอกดังกล่าวและได้รับความยินยอมจากผู้ใช้ปลายทางผู้ใช้ปลายทาง (ในกรณีที่จาเป็น)
- การเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอกซึ่งให้บริการด้านการตลาด
8.1 เมื่อมีการว่าจ้างให้ผู้ให้บริการภายนอกเป็นผู้เก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลในนามของบริษัทเพื่อให้การบริการด้านการตลาดนั้น บริษัทควรดำเนินการดังต่อไปนี้
1) ตรวจสอบข้อมูลเกี่ยวกับผู้ให้บริการภายนอกก่อนการว่าจ้าง เพื่อให้แน่ใจว่าผู้ให้บริการภายนอกดังกล่าวสามารถปฏิบัติตามข้อกาหนดของบริษัทในเรื่องการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้
2) เข้าทำสัญญาเป็นลายลักษณ์อักษรกับผู้ให้บริการภายนอก โดยระบุข้อตกลงและเงื่อนไขที่เกี่ยวกับการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลไว้ในสัญญา โปรดใช้ แบบฟอร์มสัญญาการประมวลผลข้อมูลส่วนบุคคล หรือ แบบฟอร์มสัญญาการโอนข้อมูลส่วนบุคคลความเหมาะสม
3) ติดตามตรวจสอบว่าผู้ให้บริการภายนอกยังคงปฏิบัติหน้าที่ตามสัญญาอย่างต่อเนื่อง และในกรณีที่ ผู้ให้บริการภายนอกไม่ปฏิบัติตาม ต้องกาหนดให้มีการแก้ไขการไม่ปฏิบัติตามนั้นทันที หรือบอกเลิกสัญญาว่าจ้าง (ในกรณีที่จำเป็น)
4) กำหนดให้มีกลไกในการโอนข้อมูลระหว่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับหากผู้ให้บริการภายนอกอยู่นอกประเทศไทย
8.2 เปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอกเท่าที่จาเป็นเพื่อการให้บริการแก่บริษัท
8.3 หากผู้ให้บริการภายนอกจะเก็บรวบรวมข้อมูลส่วนบุคคลในนามของบริษัท (เช่น ผู้ให้บริการภายนอกมีปฏิสัมพันธ์กับลูกค้าเองโดยตรง) บริษัทต้องกำหนดหน้าที่ให้ผู้ให้บริการภายนอกในลักษณะที่สอดคล้องกับหน้าที่ของบริษัทเช่น กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ต้องแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้แก่ลูกค้า และ ขอความยินยอมจากลูกค้าในนามของบริษัท (ในกรณีที่จาเป็น) หากผู้ให้บริการภายนอกมีศูนย์บริการข้อมูลลูกค้า ที่มีการขอความยินยอมเกี่ยวกับการทาการตลาด ธนาคารต้องกำหนดให้ความยินยอมที่บุคลากรของผู้ให้บริการภายนอกขอในนามบริษัทนั้น เป็นไปตามข้อกาหนดในนโยบายนี้ด้วย
8.4 หากผู้ให้บริการภายนอกสื่อสารเพื่อทำการตลาดในนามของบริษัท บริษัทต้องกาหนดหน้าที่ให้ผู้ให้บริการภายนอกในลักษณะที่สอดคล้องกับหน้าที่ของบริษัท เช่น กำหนดให้ระบุว่าบริษัทเป็นผู้ทำการสื่อสารดังกล่าว ทั้งนี้ ไม่มีข้อบังคับที่กาหนดให้ต้องระบุรายละเอียดของผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่ขอความยินยอม อย่างไรก็ตาม ต้องเปิดเผยข้อมูลในเรื่องดังกล่าวในนโยบายคุ้มครองข้อมูลส่วนบุคคล
8.5 ห้ามมิให้ผู้ให้บริการภายนอกใช้ข้อมูลส่วนบุคคลในการทำการตลาดในนามตนเอง หรือเปิดเผยข้อมูลส่วนบุคคลนั้นให้บุคคลอื่นใด (เช่น ให้แก่ลูกค้ารายอื่นของตน)
- ข้อมูลสาธารณะ
9.1 บริษัทอาจใช้ข้อมูลจากแหล่งข้อมูลสาธารณะเพื่อวัตถุประสงค์ต่างๆ หากเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้ตามสมควรว่า ข้อมูลส่วนบุคคลที่ตนเองเปิดเผยต่อสาธารณะจะถูกนาไปใช้เพื่อวัตถุประสงค์นั้นๆ
9.2 การเก็บรวบรวมข้อมูลจากแหล่งข้อมูลสาธารณะ ให้ปฏิบัติตามหลักเกณฑ์ดังต่อไปนี้
1) ควรเปิดเผยนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท สำหรับบุคคลภายนอกให้แก่เจ้าของข้อมูล ส่วนบุคคลทราบ
2) ไม่ควรเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เว้นแต่มีความชัดเจนว่าบุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลนั้นได้เปิดเผยข้อมูลดังกล่าวต่อสาธารณชน หรือบุคคลนั้นได้ให้ความยินยอม โดยชัดแจ้งแล้ว
3) การเก็บรวบรวมข้อมูลส่วนบุคคลควรจำกัดเฉพาะที่จำเป็นต่อวัตถุประสงค์โดยชอบด้วยกฎหมาย และเก็บรักษาไว้เป็นระยะเวลาตราบเท่าที่จำเป็นและข้อมูลนั้นยังเป็นปัจจุบัน ควรลบข้อมูลนั้นหากไม่ต้องการใช้ข้อมูลนั้นแล้วหรือข้อมูลนั้นไม่เป็นปัจจุบัน
10.การทำการตลาดตามที่มีการร้องขอ (Solicited Marketing) การสร้างรายชื่อผู้ติดต่อ (Lead Generation) และการใช้รายชื่อกลุ่มเป้าหมายในการทำการตลาด (Marketing List)
หากบุคคลมีการร้องขอข้อมูลเกี่ยวกับการบริการใดเป็นการเฉพาะ เช่น กรณีที่ลูกค้า หรือบุคคลที่อาจเป็นลูกค้ายื่นคำขอออนไลน์เพื่อขอรับข้อมูลเกี่ยวกับการบริการใดเป็นการเฉพาะ ท่านสามารถให้ข้อมูลแก่ลูกค้า หรือบุคคล ที่อาจเป็นลูกค้าตามที่มีการร้องขอเกี่ยวกับบริการได้ กรณีดังกล่าวถือเป็น “การทำการตลาดตามที่มีการร้องขอ” อย่างไรก็ตาม หากท่านต้องการติดต่อสื่อสารกับลูกค้า หรือบุคคลที่อาจเป็นลูกค้านั้นอีกเพื่อวัตถุประสงค์ ทางการตลาดโดยที่มิได้มีคำขอเป็นกรณีเฉพาะจากลูกค้าหรือบุคคลที่อาจเป็นลูกค้า การทำการตลาดในกรณีเช่นว่านี้ถือเป็น “การทำการตลาดโดยที่มิได้มีการร้องขอ”
ท่านอาจใช้รายชื่อผู้ติดต่อเพื่อการทำการตลาดโดยอาศัยข้อมูลที่ได้รับจากลูกค้า หรือบุคคลที่อาจเป็นลูกค้าได้โดยชอบ ด้วยกฎหมาย เช่น รายละเอียดเกี่ยวกับลูกค้าเก่า บุคคลที่ส่งอีเมลเข้ามาเพื่อขอข้อมูลเกี่ยวกับบริการเฉพาะอย่าง หรือบุคคลที่เคยลงทะเบียนในเว็บไซต์ หรือลงชื่อเป็นสมาชิกเพื่อขอรับข้อมูลจากแหล่งดังกล่าว อย่างไรก็ตาม ท่านควรตรวจสอบว่าได้ปฏิบัติตามพระราชบัญญัติฯ หรือไม่ และหมั่นทบทวนขั้นตอนต่างๆ ที่เหมาะสมตามที่นโยบายนี้กำหนด
หากท่านได้ซื้อรายชื่อกลุ่มเป้าหมายในการทำการตลาดจากบุคคลภายนอกอื่น ต้องตรวจสอบให้แน่ใจว่าบุคคลภายนอกอื่นนั้นได้รับความยินยอมมาก่อนแล้ว อย่างไรก็ตาม ท่านต้องกำหนดให้ระบุชื่อบริษัทไว้ในคำขอความยินยอมที่บุคคลภายนอกนั้นจัดเตรียมด้วย การระบุเพียงประเภทผู้รับข้อมูลยังไม่ถือว่าเพียงพอ เนื่องจากคำขอความยินยอมในลักษณะดังกล่าวไม่ถือว่าทำให้ธนาคารได้รับความยินยอมอย่างสมบูรณ์ตามที่ผู้ให้ความยินยอมได้รับแจ้งข้อมูลในเรื่องที่ตนได้ให้ความยินยอม ท่านต้องเก็บบันทึกข้อมูลเพื่อแสดงว่าบุคคลได้ให้ความยินยอมในเรื่องใด รวมทั้งสิ่งที่ได้แจ้งแก่บุคคลผู้ให้ความยินยอม ตลอดจนเวลาและวิธีการที่บุคคลนั้นได้ให้ความยินยอมด้วย
นอกจากนี้ หากท่านซื้อข้อมูลส่วนบุคคลจากบุคคลภายนอกอื่น ให้ส่งนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท สำหรับบุคคลภายนอกให้แก่เจ้าของข้อมูลเพื่อแจ้งให้เจ้าของข้อมูลทราบวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ตลอดจนรายละเอียดอื่นใดตามที่พระราชบัญญัติฯ กำหนด โดยท่านต้องตรวจสอบว่าได้รับความยินยอมมาอย่างไร เมื่อใด ใครเป็นผู้ให้ความยินยอม ตลอดจนได้แจ้งข้อมูลใดบ้างให้แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ห้ามมิให้อาศัยความยินยอมที่ได้รับมาโดยอ้อมโดยปราศจากการตรวจสอบว่าความยินยอมนั้นมาได้รับมาโดยชอบหรือไม่ โปรดพิจารณารายละเอียดเกี่ยวกับการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลที่ได้จากบุคคลภายนอกเพื่อวัตถุประสงค์ทางการตลาด
11.รายละเอียดการติดต่อบริษัท
หากท่านมีคาถามหรือข้อสงสัยเกี่ยวกับการปฏิบัติตามนโยบายนี้ฉบับนี้ โปรดติดต่อบริษัทหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท ที่
บริษัท ไนท์ คอนซัลแทนท์ เวิลด์ ไวด์ จำกัด
- ที่อยู่ 29/1 อาคารปิยะเพลสหลังสวน ห้องเลขที่ 8E ชั้นที่ 8 ซอยหลังสวน แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- เจ้าหน้าที่ฝ่ายทรัพยากรมนุษย์
- ที่อยู่ 29/1 อาคารปิยะเพลสหลังสวน ห้องเลขที่ 8E ชั้นที่ 8 ซอยหลังสวน แขวงลุมพินี เขตปทุมวัน กรุงเทพมหานคร 10330
- E–Mail : pdpa@gmail.com
- หมายเลขโทรศัพท์ : 02-046-0778
โดยมติที่ประชุม คณะกรรมการบริหารบริษัท ครั้งที่ 1/2565 วันที่ 1 พฤษภาคม 2565
ทั้งนี้มีผลบังคับใช้ตั้งแต่วันที่ 15 พฤษภาคม 2565 เป็นต้นไป