นโยบายการคุ้มครองข้อมูล

1. บทนำ

ในการดำเนินธุรกิจในปัจจุบัน บริษัท สเต็ดเล่อร์  (ประเทศไทย) จำกัด  มีการใช้ประโยชน์จากข้อมูลที่หลากหลายของบุคคลที่ระบุตัวตนได้รวมถึงข้อมูลเกี่ยวกับ

• พนักงานปัจจุบัน อดีตและอนาคต
• ลูกค้า
• คู่ค้า
• ผู้ใช้เว็บไซต์
• สมาชิก
• ผู้มีส่วนได้ส่วนเสียอื่น ๆ

ในการรวบรวมและใช้ข้อมูลเหล่านี้ จะต้องอยู่ภายใต้ข้อกำหนดของกฎหมายหลายประการที่ควบคุมวิธีการดำเนินกิจกรรมดังกล่าวและมาตรการป้องกันที่จะต้องมีขึ้นเพื่อปกป้องข้อมูลดังกล่าววัตถุประสงค์ของนโยบายนี้คือเพื่อระบุข้อกำหนดของกฎหมายที่เกี่ยวข้องและอธิบายขั้นตอนที่ บริษัทฯ จะต้องดำเนินการเพื่อให้แน่ใจว่าได้ปฏิบัติให้เป็นไปตามที่กฎหมายกำหนด

วิธีการควบคุมนี้ใช้กับระบบ บุคคล และกระบวนการทั้งหมดที่ประกอบเป็นระบบข้อมูลขององค์กร รวมถึงคณะกรรมการ กรรมการ พนักงาน คู่ค้าและบุคคลภายนอกอื่น ๆ ที่สามารถเข้าถึงระบบของ บริษัทฯ ได้

เอกสารดังต่อไปนี้มีความเกี่ยวข้องกับวิธีปฏิบัติงานนี้:

• กระบวนการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
• วิธีปฏิบัติงานการวิเคราะห์ข้อมูลส่วนบุคคล
• วิธีปฏิบัติงานการประเมินการใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย
• วิธีปฏิบัติงานการตอบสนองต่อเหตุการณ์เกี่ยวกับความปลอดภัยของข้อมูล
• หน้าที่และความรับผิดชอบตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• นโยบายการเก็บรักษาและคุ้มครองรายการบันทึกที่เกี่ยวกับข้อมูลส่วนบุคคล

2. นโยบายการคุ้มครองข้อมูล

2.1 กฎหมายคุ้มครองข้อมูลส่วนบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นหนึ่งในกฎหมายที่สำคัญที่สุดที่มีผลต่อวิธีการของ บริษัทฯ ในการดำเนินกิจกรรมการประมวลผลข้อมูล องค์กรอาจถูกปรับเป็นเงินจำนวนมากได้หากมีการละเมิดเกิดขึ้นภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้รับการออกแบบมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของบุคคลที่อยู่ในราชอาณาจักร

โดยนโยบายของบริษัทฯ ต้องทำเพื่อให้แน่ใจว่าการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ๆ ที่เกี่ยวข้องมีความชัดเจนและสามารถพิสูจน์ได้ตลอดเวลา
 

2.2 คำนิยาม

มีคำนิยามหลายรายการที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล และคงจะไม่เหมาะสมที่จะคัดลอกคำนิยามทั้งหมดมาที่นี่ แต่อย่างไรก็ตาม คำนิยามพื้นฐานที่สุดที่เกี่ยวข้องกับนโยบายนี้มีรายการดังนี้:

2.2.1   ข้อมูลส่วนบุคคล หมายถึง “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”

2.2.2   ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง “บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”

2.2.3   ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง “บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล”
 

2.3 หลักการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

มีหลักการพื้นฐานหลายประการที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดดังต่อไปนี้:

2.3.1 ส่วนที่ 1 การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ต้องปฏิบัติดังนี้:

1. ประมวลผลโดยชอบตามกฎหมาย เป็นธรรม และโปร่งใสต่อเจ้าของข้อมูล
   (“ความชอบด้วยกฎหมาย ความยุติธรรม และความโปร่งใส”) เก็บรวบรวมเพื่อวัตถุประสงค์ที่ระบุชัดเจนและถูกต้องตามกฎหมาย และไม่ประมวลผลเพิ่มเติมในเรื่องที่ขัดกับวัตถุประสงค์เหล่านั้น อาจประมวลผลเพิ่มเติมได้หาก กระทำเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ตามมาตรา 24(1) โดยจะต้องไม่ขัดกับวัตถุประสงค์เริ่มแรกด้วย ("การจำกัดวัตถุประสงค์")
2. จำกัดเฉพาะข้อมูลที่เกี่ยวข้องและจำเป็นที่ต้องใช้เพื่อวัตถุประสงค์ในการประมวลผล (“การจำกัดข้อมูลเฉพาะที่จำเป็น”);
3. ทำให้ถูกต้องและเป็นปัจจุบันอยู่เสมอ ทุกขั้นตอนจะต้องดำเนินการอย่างสมเหตุสมผลเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะถูกลบหรือได้รับแก้ไขโดยไม่ชักช้า โดยคำนึงถึงวัตถุประสงค์ในการประมวลผลนั้น ("ความถูกต้อง")
4. จัดเก็บไว้ในรูปแบบที่อนุญาตให้ระบุตัวตนของเจ้าของข้อมูลได้ไม่นานเกินความจำเป็นสำหรับวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้น ข้อมูลส่วนบุคคลอาจถูกจัดเก็บเป็นระยะเวลานานได้ตราบเท่าที่เป็นไปเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามมาตรา 24(1) (“การจำกัดการจัดเก็บ”);
5. ประมวลผลในลักษณะที่รับประกันความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมถึงการป้องกันการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และป้องกันการสูญเสีย การถูกทำลายหรือความเสียหายจากอุบัติเหตุโดยใช้มาตรการทางเทคนิคหรือมาตรการเชิงบริหารจัดการที่เหมาะสม ("ความสมบูรณ์และการรักษาความลับ")
    

2.3.2   ส่วนที่ 2 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องรับผิดชอบและสามารถแสดงให้เห็นถึงการปฏิบัติให้เป็นไปตามส่วนที่ 1 ได้ (“ความรับผิดชอบ”)

2.3.3   การปฏิบัติให้เป็นไปตามหลักการที่เกี่ยวกับคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ มีการตรวจสอบให้แน่ใจว่าได้ปฏิบัติให้สอดคล้องกับหลักการทั้งหมด เหล่านี้ ทั้งในการประมวลผลที่ปฏิบัติอยู่ในปัจจุบัน และในการเริ่มต้นวิธีการประมวลผลแบบใหม่ เช่น ระบบไอทีใหม่ เป็นต้น
 

2.4 สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยประกอบไปด้วย:

1. สิทธิที่จะได้รับการแจ้งให้ทราบ
2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
3. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
4. สิทธิในการลบข้อมูลส่วนบุคคล
5. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล
6. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
7. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

แต่ละสิทธิเหล่านี้ควรได้รับการสนับสนุนโดยวิธีปฏิบัติที่เหมาะสมของ บริษัทฯโดยจะต้องดำเนินการภายในช่วงระยะเวลาตามที่กฎหมายกำหนดและตามแนวทางปฏิบัติที่ดี

ช่วงระยะเวลาดังกล่าวมีรายละเอียดตามตารางด้านล่าง ดังนี้

2.5 ฐานในการประมวลผลตามกฎหมาย

มีทางเลือกอื่นอีก 6 วิธีในการใช้เป็นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลแต่ละกรณี ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยนโยบายของ บริษัทฯ จะเป็นสิ่งที่กำหนดฐานที่เหมาะสมสำหรับใช้การประมวลผลและจัดทำเป็นเอกสารตามข้อกำหนด ซึ่งตัวเลือกต่างๆ จะอธิบายโดยย่อดังต่อไปนี้

2.5.1   ฐานความยินยอม

เว้นแต่จะมีความจำเป็นด้วยเหตุผลที่อนุญาตในกฎหมายคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ จะได้รับความยินยอมอย่างชัดแจ้งจากผู้ที่เป็นเจ้าของข้อมูล ในการรวบรวมและประมวลผลข้อมูลเสมอ ในกรณีของผู้เยาว์ที่ยังไม่บรรลุนิติภาวะตามกฎหมาย จะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย ทั้งนี้ จะต้องให้รายละเอียดเกี่ยวกับการใช้ข้อมูลส่วนบุคคลที่โปร่งใสแก่เจ้าของข้อมูลในเวลาที่ได้รับความยินยอม และจะต้องมีการอธิบายสิทธิเกี่ยวกับข้อมูลของพวกเขาด้วย เช่น สิทธิในการเพิกถอนความยินยอม โดยข้อมูลนี้จะต้องให้ในรูปแบบที่สามารถเข้าถึงได้ เขียนด้วยภาษาที่ชัดเจนและไม่เสียค่าใช้จ่าย

หากไม่ได้รับข้อมูลส่วนบุคคลโดยตรงจากเจ้าของข้อมูล ข้อมูลเหล่านี้จะต้องแจ้งไปยังเจ้าของข้อมูลภายในระยะเวลาที่เหมาะสมหลังจากได้รับข้อมูลและไม่เกินภายใน 1 เดือน

2.5.2   ฐานการปฏิบัติตามสัญญา

ในกรณีที่ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมและประมวลผลกระทำเพื่อให้เป็นไปตามสัญญาที่มีอยู่กับเจ้าของข้อมูล กรณีนี้จึ’ไม่จำเป็นต้องได้รับความยินยอมอย่างชัดแจ้ง โดยส่วนใหญ่ มักจะเป็นกรณีที่ไม่สามารถทำสัญญาได้หากไม่มีข้อมูลส่วนบุคคลดังกล่าว เช่น ไม่สามารถทำการจัดส่งได้หากไม่มีที่อยู่จัดส่ง เป็นต้น

2.5.3   ฐานหน้าที่ตามกฎหมาย

หากจำเป็นต้องเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายก็ไม่จำเป็นต้องได้รับความยินยอมอย่างชัดเจน กรณีนี้อาจเป็นกรณีของข้อมูลบางอย่างที่เกี่ยวข้องกับการจ้างงานและการจัดเก็บภาษี หรือเรื่องอื่นที่ภาครัฐกำหนด เป็นต้น

2.5.4.   ฐานประโยชน์สำคัญต่อชีวิต

ในกรณีที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อปกป้องประโยชน์ที่สำคัญต่อชีวิต เพื่อป้องกันหรือระงับอันตรายต่อชีวิต  ร่างกาย  หรือสุขภาพของเจ้าของข้อมูลหรือของบุคคลอื่น ข้อมูลนี้อาจถูกใช้เป็นฐานทางกฎหมายในการประมวลผลได้  บริษัทฯ จะเก็บรักษาเอกสารหลักฐานเมื่อใดก็ตามที่มีการใช้เหตุผลนี้เป็นฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล ตัวอย่างเช่น อาจใช้ในแง่มุมของการรักษาโดยเฉพาะในภาครัฐ

2.5.5   ฐานการดำเนินภารกิจเพื่อประโยชน์สาธารณะ

ในกรณีที่ บริษัทฯ ต้องปฏิบัติงานที่เชื่อว่าเป็นเพื่อประโยชน์สาธารณะหรือเป็นส่วนหนึ่งของหน้าที่ของภาครัฐ กรณีนี้จึงไม่ต้องขอความยินยอมจากเจ้าของข้อมูล การประเมินผลประโยชน์สาธารณะหรือหน้าที่ของภาครัฐควรจะจัดทำเป็นเอกสารและเก็บไว้เป็นหลักฐานเมื่อจำเป็น

2.5.6   ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interests)

หากการประมวลผลข้อมูลส่วนบุคคลในแต่ละกรณีเป็นไปเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ และได้รับการตัดสินว่าไม่กระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างมีนัยสำคัญ อาจกำหนดให้เป็นเหตุผลที่ชอบด้วยกฎหมายสำหรับการประมวลผลได้ และควรมีการบันทึกเหตุผลเอาไว้ด้วยเช่นกัน
 

2.6 หลักความเป็นส่วนตัวโดยการออกแบบ(Privacy by design)

บริษัทฯ ได้นำหลักการของ Privacy by design มาใช้ โดยจะทำให้มั่นใจว่าได้มีการระบุและวางแผนสำหรับระบบใหม่หรือระบบเดิมที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญทั้งหมดที่ ได้รวบรวมหรือประมวลผลข้อมูลส่วนบุคคล โดยจะขึ้นอยู่กับการพิจารณาถึงปัญหาความเป็นส่วนตัวต่างๆ รวมถึงการดำเนินการประเมินผลกระทบของการคุ้มครองข้อมูลอย่างน้อยหนึ่งการประเมินขึ้นไป

ประเมินผลกระทบของการคุ้มครองข้อมูลจะรวมถึง:

• การพิจารณาว่าข้อมูลส่วนบุคคลจะถูกประมวลผลอย่างไรและเพื่อวัตถุประสงค์ใด
• การประเมินว่าการประมวลผลข้อมูลส่วนบุคคลที่เสนอมีทั้งความจำเป็นและได้สัดส่วนกับวัตถุประสงค์หรือไม่
• การประเมินความเสี่ยงที่อาจเกิดต่อบุคคลในการประมวลผลข้อมูลส่วนบุคคล
• การควบคุมใดที่จำเป็นเพื่อจัดการกับความเสี่ยงที่กำหนดและแสดงให้เห็นถึงการปฏิบัติตามกฎหมาย

การพิจารณาในการใช้เทคนิคต่างๆ เช่น การจำกัดข้อมูลเฉพาะที่จำเป็น และการใช้ข้อมูลแฝง อาจกระทำได้ตามความเหมาะสม
 

2.7 สัญญาที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

บริษัทฯ จะดำเนินการ ทำให้แน่ใจว่าความสัมพันธ์ทั้งหมดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลนั้นอยู่ภายใต้สัญญาที่เป็นเอกสารระบุรวมถึงรายละเอียดและข้อกำหนดเฉพาะที่กฎหมายข้อมูลส่วนบุคคลกำหนด สำหรับข้อมูลเพิ่มเติม โปรดดู “นโยบายข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล”
 

2.8 การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

การถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศควรได้รับการตรวจสอบอย่างรอบคอบก่อนที่จะมีการถ่ายโอนเพื่อให้แน่ใจว่าข้อมูลเหล่านั้นอยู่ในขอบเขตที่กฎหมายข้อมูลส่วนบุคคลกำหนด โดยประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ขึ้นอยู่กับคำวินิจฉัยของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่ได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน นโยบายดังกล่าวจะต้องได้รับการตรวจสอบและรับรองจากสำนักงานฯ
 

2.9 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ ได้กำหนดบทบาทของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ภายใต้กฎหมายข้อมูลส่วนบุคคล โดยมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล เป้นลายลักษณ์อักษร ตามหนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ของบริษัทฯและได้ประกาศให้ทราบโดยทั่วกัน
 

2.10 การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

นโยบายของ บริษัทฯ มีความยุติธรรมและได้สัดส่วนเมื่อพิจารณาถึงการดำเนินการที่จะต้องกระทำเพื่อแจ้งให้ผู้ได้รับผลกระทบทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล ตามกฎหมายข้อมูลส่วนบุคคลนั้น เมื่อทราบว่ามีการละเมิดเกิดขึ้นซึ่งอาจส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล หน่วยงานกำกับดูแลที่เกี่ยวข้องจะต้องได้รับแจ้งภายใน 72 ชั่วโมง สิ่งเหล่านี้จะมีการจัดการตามวิธีปฏิบัติการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูลซึ่งได้กำหนดขั้นตอนโดยรวมในการจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูลไว้ภายใต้กฎหมายข้อมูลส่วนบุคคล คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจกำหนดค่าปรับภายใต้วงเงินสูงสุดที่กฎหมายกำหนด

2.11 การระบุถึงการปฏิบัติให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

มีการดำเนินการต่อไปนี้เพื่อให้แน่ใจว่า บริษัทฯ ได้ปฏิบัติตามหน้าที่และรับผิดชอบตามหลักการของกฎหมายข้อมูลส่วนบุคคลอยู่ตลอดเวลา:

• ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลจะต้องชัดเจนและไม่คลุมเครือ
• เจ้าหน้าที่คุ้มครองข้อมูลได้รับการแต่งตั้งโดยให้มีความรับผิดชอบเฉพาะสำหรับการคุ้มครองข้อมูลในองค์กร (ถ้าจำเป็น)
• พนักงานทุกคนที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลเข้าใจถึงความรับผิดชอบของตนในการปฏิบัติตามแนวปฏิบัติด้านการคุ้มครองข้อมูลที่ดี
• มีการฝึกอบรมด้านการคุ้มครองข้อมูลแก่พนักงานทุกคน
• ปฏิบัติตามหลักเกณฑ์เกี่ยวกับความยินยอม
• มีช่องทางสำหรับเจ้าของข้อมูลที่ต้องการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตน และการร้องขอดังกล่าวจะได้รับการจัดการอย่างมีประสิทธิภาพ
• มีการทบทวนวิธีปฏิบัติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นประจำ
• หลักการ Privacy by design ถูกนำมาใช้สำหรับระบบและกระบวนการใหม่หรือของเดิมที่มีการเปลี่ยนแปลงทั้งหมด
• มีการบันทึกเอกสารเกี่ยวกิจกรรมการประมวลผลดังต่อไปนี้:
  • ชื่อองค์กรและรายละเอียดที่เกี่ยวข้อง
  • วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
  • หมวดหมู่ของเจ้าของข้อมูลและข้อมูลส่วนบุคคลที่ประมวลผล
  • ประเภทของผู้รับข้อมูลส่วนบุคคล
  • ข้อตกลงและกลไกในการถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศรวมถึงราย
  • ละเอียดของการควบคุมดังกล่าว
  • กำหนดระยะการเก็บรักษาข้อมูลส่วนบุคคล
  • มีการควบคุมทางเทคนิคและทางการบริหารจัดการที่เกี่ยวข้อง

การดำเนินการเหล่านี้ควรได้รับการตรวจสอบเป็นประจำโดยเป็นส่วนหนึ่งของกระบวนการจัดการที่เกี่ยวข้องกับการคุ้มครอง

ข้อมูล