วัตถุประสงค์
- เพื่อแสดงให้เห็นถึงความมุ่งมั่นของ บสย. ในการกำกับดูแลข้อมูลส่วนบุคคลอันเนื่องจากการประกอบกิจการของ บสย. ซึ่งมีความเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล รวมถึงข้อมูลส่วนบุคคลตามฎหมาย
ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น การจ้างบุคลากร และการจัดอบรมสัมมนา เป็นต้น
- เพื่อให้บุคลากรของ บสย. ตระหนักถึงความสำคัญและปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงระเบียบและแนวปฏิบัติอื่นๆ ที่เกี่ยวข้องอย่างเคร่งครัด และเป็นไปตามมาตรฐานที่กฎหมายกำหนด
การประมวลผลข้อมูลส่วนบุคคล
บสย. จัดเก็บรวบรวมข้อมูลส่วนบุคคล โดยมีขอบเขตและวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และจำเป็นแก่การให้บริการตามวัตถุประสงค์ในการดำเนินงานตามพระราชบัญญัติบรรษัทประกันสินเชื่ออุตสาหกรรมขนาดย่อม พ.ศ. 2534 และที่แก้ไขเพิ่มเติม รวมทั้งประกาศและกฎกระทรวงที่เกี่ยวข้อง ในกรณีอื่น บสย. จะขอความยินยอมจากเจ้าของข้อมูลก่อนทำการจัดเก็บรวบรวมข้อมูลส่วนบุคคล หากภายหลัง บสย. มีการเปลี่ยนแปลงวัตถุประสงค์ในการจัดเก็บรวบรวมข้อมูลส่วนบุคคล บสย. จะขอความยินยอมหรือแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบไม่น้อยกว่า 30 วัน ตามช่องทางที่เหมาะสม
ทั้งนี้ บสย. จะจัดเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวไว้ด้วยมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามนโยบายและแนวปฏิบัติการจัดชั้นความลับของ บสย. เว้นแต่เป็นกรณีที่กฎหมายกำหนด หรือในกรณีอื่นตามที่กำหนดไว้ไว้นโยบายนี้
-
การแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคล
บสย. จะแจ้งรายละเอียดการจัดเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคล ตามฐานการประมวลผลโดยชอบด้วยกฎหมาย เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย ภารกิจของรัฐ และการศึกษาวิจัย เป็นต้น ต่อเจ้าของข้อมูลก่อนหรือขณะประมวลผลข้อมูล เว้นแต่การแจ้งข้อมูลกรณีที่ได้รับข้อมูลมาจากแหล่งอื่นตามนโยบายนี้ ให้ดำเนินการภายใน 30 วันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคล
- วัตถุประสงค์การประมวลผลข้อมูล ตามฐานการประมวลผลข้อมูลที่กำหนดไว้ทุกกรณี และการประมวลผลข้อมูลที่ได้รับความยินยอมจากเจ้าของข้อมูลตามนโยบายนี้
- แจ้งกำหนดระยะเวลาการเก็บรวบรวมข้อมูลตามที่กำหนดไว้ในประกาศ
- ประเภทของบุคคลที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผย
- ข้อมูลเกี่ยวกับ บสย. สถานที่ติดต่อ วิธีการติดต่อ และบุคคลที่เป็นตัวแทนของ บสย. ที่มอบหมายให้ติดต่อ รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- สิทธิของเจ้าของข้อมูลตามที่กำหนดไว้ในนโยบายนี้
ทั้งนี้ ช่องทาง รูปแบบ และรายละเอียดการแจ้งวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่ง ให้เป็นไปตามที่กำหนดไว้ในประกาศ เรื่อง การแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
ในกรณีที่ บสย. มีการประมวลผลข้อมูลส่วนบุคคลที่ไม่เป็นไปตามวัตถุประสงค์ตามที่ได้แจ้งไว้ตามวรรคหนึ่ง หรือที่นอกเหนือจากความยินยอมใดๆ ที่ได้ให้ไว้แก่ บสย. ตามที่กำหนดไว้ จะต้องดำเนินการให้มีการแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลดังกล่าวทุกครั้ง
-
ข้อจำกัดในการใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล
บสย. จะกำกับดูแลพนักงานและผู้ปฏิบัติงานของ บสย. มิให้ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลภายนอก เว้นแต่
- เป็นการปฏิบัติตามกฎหมาย ซึ่ง บสย. จำเป็นต้องประมวลผลข้อมูลส่วนบุคคลตามหน้าที่ที่ต้องปฏิบัติตามกฎหมาย โดยรวมถึงการประมวลผลข้อมูลเพื่อการติดตามตรวจสอบหรือเพื่อการส่งข้อมูลตามกฎหมายของหน่วยงานราชการและหน่วยงานกำกับดูแล เช่น ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน และศาล เป็นต้น
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น ซึ่งเป็นข้อมูลอันเนื่องจากการประกอบกิจการของ บสย. และรวมถึงการประมวลผลข้อมูลส่วนบุคคลด้วยการว่าจ้างผู้ให้บริการภายนอกเพื่อการพัฒนาระบบสารสนเทศต่างๆ ทั้งนี้ ผู้ให้บริการภายนอกดังกล่าวจะลงนามข้อตกลงการรักษาความลับของ บสย. และปฏิบัติตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของ บสย.
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ บสย. ที่เกี่ยวข้องกับการประกอบกิจการของ บสย. เช่น การให้บริการค้ำประกันสินเชื่อ การจ้างบุคลากร เป็นต้น
- เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล และการขอความยินยอมไม่สามารถดำเนินการได้ในเวลานั้น
- ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อการประมวลผลข้อมูลในบางกรณี เช่น การขอความยินยอมเพื่อตอบแบบสอบถามหรือแบบสำรวจความคิดเห็น เป็นต้น
-
มาตรการรักษาความมั่นคงปลอดภัยและคุณภาพของข้อมูล
- บสย. ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล จึงกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม และสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาตหรือโดยไม่ชอบด้วยกฎหมาย ซึ่งเป็นไปตามนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของ บสย.
- ข้อมูลส่วนบุคคลที่ บสย. ได้รับมา เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน หนังสือเดินทาง ที่อยู่ หมายเลขโทรศัพท์ ข้อมูลทางการเงิน เป็นต้น ซึ่งสามารถบ่งบอกตัวบุคคลของเจ้าของข้อมูลได้ และเป็นข้อมูลส่วนบุคคลที่มีความถูกต้อง บสย. จะนำไปใช้ตามวัตถุประสงค์ของการดำเนินกิจการของ บสย. และปฏิบัติตามนโยบายและแนวปฏิบัติการจัดชั้นความลับของ บสย.
-
การละเมิดข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ บสย. จะดำเนินการตรวจสอบเหตุการณ์ทั้งหลายที่เกี่ยวกับการละเมิดการคุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการตามมาตรการที่เหมาะสม บรรเทาผลกระทบ และป้องกันเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต
ในกรณีที่สมควรตามสภาพและความร้ายแรงของเหตุการณ์ที่เกิดขึ้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
-
การเปิดเผยการดำเนินการที่เกี่ยวกับข้อมูลส่วนบุคคล
บสย. จะเปิดเผยการดำเนินการที่เกี่ยวกับข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ของ บสย.
www.tcg.or.th
สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
-
สิทธิในการเพิกถอนความยินยอม
การใช้สิทธิของเจ้าของข้อมูลกรณีที่เจ้าของข้อมูลเพิกถอนความยินยอมที่ได้ให้ไว้ตามที่ระบุไว้ในนโยบายนี้ จะต้องเพิกถอนความยินยอมทุกกรณี และจะต้องดำเนินการแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอม ณ ขณะที่แจ้งผลการขอเพิกถอนความยินยอม
-
สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้ บสย. เปิดเผยถึงการได้มาซึ่งข้อมูลของตน โดย บสย. อาจใช้สิทธิปฏิเสธคำร้องขอดังกล่าวได้ หากเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
-
สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลมีสิทธิที่จะร้องขอให้ บสย. แก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลได้ เพื่อให้ข้อมูลส่วนบุคคลของตนนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
-
สิทธิในการโอนถ่ายข้อมูล
ในกรณีที่ระบบของ บสย. รองรับ เจ้าของข้อมูลมีสิทธิที่จะรับข้อมูลส่วนบุคคลของตน ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ โดยเครื่องมืออุปกรณ์อัตโนมัติ หรือขอให้โอนโดยอัตโนมัติได้ ทั้งนี้ บสย. อาจปฏิเสธคำร้องขอของเจ้าของข้อมูลได้ ในกรณีที่ข้อมูลส่วนบุคคลดังกล่าวจัดเก็บไว้เพื่อความจำเป็นในการปฏิบัติตามกฎหมาย หรือการปฏิบัติตามคำร้องขอของเจ้าของข้อมูล อาจส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น
-
สิทธิในการขอลบข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของตน เป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เฉพาะกรณีหนึ่งกรณีใดดังต่อไปนี้เท่านั้น
- เมื่อหมดความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์
- เมื่อเจ้าของข้อมูลถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตามนโยบายนี้
- เมื่อเจ้าของข้อมูลคัดค้านการประมวลผลข้อมูลกรณีที่เจ้าของข้อมูลใช้สิทธิคัดค้านการประมวลผลข้อมูลตามนโยบายนี้ และไม่มีเหตุปฏิเสธ หรือ
- เมื่อข้อมูลส่วนบุคคลได้ถูกประมวลผลข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลข้อมูล หรือความยินยอมตามนโยบายนี้
-
สิทธิในการระงับใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้ บสย. ระงับการใช้ข้อมูลส่วนบุคคลได้ดังนี้
- เมื่อ บสย. อยู่ระหว่างการตรวจสอบข้อมูล ตามที่เจ้าของข้อมูลใช้สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตามนโยบายนี้
- เมื่อเป็นข้อมูลที่ต้องลบหรือทำลายตามนโยบายนี้ และเจ้าของข้อมูลขอให้ระงับการใช้ข้อมูลแทน
- เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ แต่เจ้าของข้อมูลขอให้ บสย. เก็บรักษาข้อมูลไว้ก่อน เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เมื่อ บสย. อยู่ในระหว่างการพิสูจน์การเก็บรวมรวมข้อมูลส่วนบุคคล ตามข้อยกเว้นจากคำขอคัดค้านของเจ้าของข้อมูลตามนโยบายนี้ หรืออยู่ระหว่างตรวจสอบการประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
-
สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้ ในกรณีดังต่อไปนี้
- เป็นข้อมูลที่ บสย. ได้มีการเก็บรวมรวมข้อมูลดังกล่าว จากความจำเป็นในการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ บสย. หรือจากการปฏิบัติหน้าที่ของ บสย. ตามคำสั่งของรัฐ หรือจากความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ บสย.
บสย. อาจปฏิเสธคำร้องขอตาม (1) ได้ หากพิจารณาเห็นว่า การคัดค้านการประมวลผลข้อมูลส่วนบุคคลดังกล่าว จะส่งผลให้ไม่เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด หรือเป็นกรณีที่เกี่ยวข้องกับการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เป็นกรณีที่ บสย. ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาด
- เป็นกรณีที่ บสย. ประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยในด้านต่าง ๆ ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ซึ่งรวมถึงทางสถิติ
ทั้งนี้ ในการใช้สิทธิของเจ้าของข้อมูล บสย. อาจปฏิเสธคำขอในกรณีที่ บสย. ได้ปฏิบัติตามพันธกิจหรือตามที่กฎหมายกำหนด หรือข้อมูลดังกล่าวถูกทำให้ไม่ปรากฏชื่อหรือบ่งบอกลักษณะที่ทำให้สามารถระบุถึงตัวเจ้าของข้อมูลส่วนบุคคลได้ ซึ่งกรณีปฏิเสธดังกล่าว บสย. จะจัดทำบันทึกคำชี้แจงให้เจ้าของข้อมูลทราบด้วย
เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ บสย. เพื่อยื่นคำร้องขอตามสิทธิข้างต้น โดยไม่เสียค่าใช้จ่ายใดๆ ได้ตามช่องทางการติดต่อดังต่อไปนี้
- บรรษัทประกันสินเชื่ออุตสาหกรรมขนาดย่อม อาคารชาญอิสสระทาวเวอร์ 2 ชั้น 16-18
เลขที่ 2922/243 ถนนเพชรบุรีตัดใหม่ แขวงบางกะปิ
เขตห้วยขวาง กรุงเทพมหานคร 10310
- โทรศัพท์ 0-2890-9988
- โทรสาร 0-2890-9900 , 0-2890-9800
- อีเมล์ info@tcg.or.th
- เว็บไซต์ www.tcg.or.th
การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บสย. จัดเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล และตามข้อกำหนดทางกฎหมาย ซึ่งระบุไว้ในภาคผนวกของนโยบายนี้
การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บสย. กำหนดให้มีการทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างน้อยปีละ 1 ครั้ง เพื่อให้นโยบายฯ มีความสอดคล้อง ถูกต้องตามกฎหมาย และเพื่อให้เกิดผลในทางปฏิบัติที่ดียิ่งขึ้น
นโยบายคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ได้รับอนุมัติโดยมติของคณะกรรมการบรรษัทประกันสินเชื่ออุตสาหกรรมขนาดย่อม ในการประชุมครั้งที่ 6/2563 เมื่อวันที่ 25 พฤษภาคม 2563
โดยให้มีผลใช้บังคับตั้งแต่วันที่ 25 พฤษภาคม 2563 เป็นต้นไป