นโยบายการคุ้มครองข้อมูลส่วนบุคคล

1. ความสำคัญ

บริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) และบริษัทย่อย (เรียกรวมกันว่า “บริษัท”) เคารพและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของบุคลากร ลูกค้า คู่ค้าธุรกิจ และพันธมิตรทางธุรกิจเป็นอย่างยิ่ง และมุ่งมั่นจะปกป้องข้อมูลส่วนบุคคลจากการถูกนำไปใช้ในทางที่ผิด รวมทั้งเก็บรักษาข้อมูลดังกล่าวให้ปลอดภัยตามกฎหมายและมาตรฐานสากล

2. วัตถุประสงค์

2.1 เพื่อให้การทำธุรกรรมกับบริษัท มีความมั่นคงปลอดภัย น่าเชื่อถือ มีการคุ้มครองข้อมูลส่วนบุคคลของบุคลากร ลูกค้า คู่ค้าธุรกิจ และพันธมิตรทางธุรกิจทั้งหมด

2.2 เพื่อป้องกันความเสียหายที่เกิดจากการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยทุจริตหรือนำไปใช้ในทางที่ผิด

3. ขอบเขตของนโยบาย

นโยบายฉบับนี้ มีผลใช้บังคับกับบริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) และบริษัทย่อย รวมถึงมูลนิธิ หรือกองทุนของบริษัทที่จัดตั้งขึ้นแล้วหรืออาจจัดตั้งขึ้นในอนาคต โดยจะมีการทบทวนนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือกรณีมีเหตุอันสมควร

4. หลักการ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดมาตรฐาน ข้อปฎิบัติ และหน้าที่ ที่บริษัทจะต้องยึดถือเมื่อมีการจัดการหรือประมวลผลข้อมูลส่วนบุคคล หลักเกณฑ์หล่านี้มีผลบังคับใช้กับข้อมูลส่วนบุคคลทั้งหมดทั้งที่เกี่ยวกับลูกค้า พนักงาน รวมถึงผู้มีส่วนได้เสียที่เกี่ยวข้องกับบริษัท

เพื่อให้เป็นไปตามข้อปฎิบัติและหน้าที่ต่าง ๆ บริษัทจะต้องประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับหลักการต่อไปนี้:

  1. ประมวลผลข้อมูลส่วนบุคคลอย่างตรงไปตรงมาและถูกต้องตามกฎหมาย
  2. ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยเสมอ
  3. ข้อมูลส่วนบุคคลที่บริษัทประมวลผลนั้นจะต้องเหมาะสม เกี่ยวข้อง และไม่มากเกินความจำเป็น
  4. ข้อมูลส่วนบุคคลจะต้องถูกต้องและเป็นปัจจุบัน
  5. ห้ามเก็บข้อมูลส่วนบุคคลไว้นานเกินความจำเป็น
  6. ประมวลผลข้อมูลให้สอดคล้องกับสิทธิของบุคคลในการเข้าถึงข้อมูลและการขอแก้ไขข้อมูล
  7. ข้อมูลส่วนบุคคลจะต้องปลอดภัย
  8. ข้อมูลส่วนบุคคลจะต้องไม่ถูกส่งต่อไปยังประเทศอื่นที่มีมาตรฐานการคุ้มครองข้อมูลไม่เพียงพอ เว้นแต่ได้รับความยินยอม หรือเป็นเป็นไปตามที่กฎหมายกำหนด
  9. ข้อมูลส่วนบุคคลจะต้องถูกใช้อย่างถูกต้องและไม่ทำให้เกิดความเสียหายแก่เจ้าของข้อมูล

บริษัทมีมาตรฐาน แนวทางปฎิบัติ และกระบวนการต่างๆ ที่สนับสนุนการปฏิบัติตามนโยบายนี้ หัวข้อย่อยด้านล่างนี้เป็นการสรุปความสำคัญของการคุ้มครองข้อมูลในแง่มุมต่างๆ ที่บริษัทต้องคำนึงถึงเสมอเมื่อประมวลผลข้อมูลส่วนบุคคล

4.1 ความโปร่งใส

บริษัทแจ้งให้เจ้าของข้อมูลส่วนบุคคลทุกคนทราบถึงการใช้ข้อมูลส่วนบุคคลผ่านประกาศความเป็นส่วนตัว (Privacy Notice) ซึ่งแสดงอยู่บนเว็บไซต์ของบริษัท (ทั้งในส่วนของลูกค้า พนักงาน และผู้ที่เกี่ยวข้อง) รวมถึงแสดงผ่านช่องทางการสื่อสารอื่น ๆ รายละเอียดการใช้ข้อมูลส่วนบุคคลทั้งหมดจะแสดงอยู่ในประกาศเหล่านี้ ทั้งนี้บริษัทจะเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยทั่วไป ประกาศความเป็นส่วนตัวจะประกอบไปด้วยหัวข้อดังต่อไปนี้

4.1.1 กลุ่มลูกค้าหรือแหล่งที่มาของข้อมูลส่วนบุคคล โดยทั่วไปบริษัทจะเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจรวมถึงลูกค้า ผู้ผลิต พนักงาน ผู้สมัครงาน และบุคคลภายนอกอื่น ๆ

4.1.2 วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล

4.1.3 ประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล์ และเลขไอพี

4.1.4 ระยะเวลาที่มีการจัดเก็บข้อมูลส่วนบุคคล

4.1.5 สิทธิของเจ้าของข้อมูลส่วนบุคคล

4.1.6 วิธีการให้หรือถอนความยินยอม

4.1.7 มาตรการป้องกันและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้

4.1.8 ข้อมูลการติดต่อหน่วยงานคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยต่อการใช้ข้อมูลส่วนบุคคลของบริษัท หรือมีความประสงค์จะใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

4.1.9 บุคคลหรือนิติบุคคลภายนอกที่อาจเข้าถึงข้อมูลส่วนบุคคล

4.1.10 นโยบายคุกกี้ ในกรณีที่บริษัทดำเนินการเก็บข้อมูลส่วนบุคคลผ่านเว็ปไซต์หรือ แอปพลิเคชัน

4.2 การใช้ข้อมูลส่วนบุคคล

เมื่อมีการใช้งานข้อมูลส่วนบุคคลที่อาจก่อให้เกิดความเสี่ยงสูงต่อลูกค้าหรือพนักงานของบริษัท การดำเนินการนั้นจะต้องผ่านกระบวนการกำกับดูแลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ซึ่งอาจรวมถึงการประเมินผลกระทบด้านความเป็นส่วนตัว (Data Protection Impact Assessment) ด้วย ทั้งนี้เพื่อบันทึกการตัดสินใจของบริษัทเมื่อต้องสร้างความสมดุลที่เหมาะสมระหว่างผลประโยชน์ของบริษัทกับสิทธิความเป็นส่วนตัวของลูกค้าหรือพนักงาน

4.3 การตลาด

ลูกค้ามีสิทธิเลือกว่าจะรับสื่อการตลาดจากบริษัทหรือไม่ เมื่อใดก็ตามที่ลูกค้าให้ข้อมูลส่วนบุคคลแก่บริษัทเพื่อวัตถุประสงค์ทางการตลาด จะมีการสอบถามว่าลูกค้าต้องการรับสื่อการตลาดหรือไม่ สื่อการตลาดจะถูกส่งให้เฉพาะลูกค้าที่ตกลงรับเท่านั้น ลูกค้าสามารถเปลี่ยนแปลงความต้องการในการรับสื่อการตลาดได้ทุกเมื่อ ซึ่งบริษัทจะต้องปฏิบัติตามความต้องการนี้อย่างเคร่งครัด

4.4 สิทธิของเจ้าของข้อมูล

เมื่อบริษัทได้รับคำร้องจากบุคคลใดอันเกี่ยวข้องกับสิทธิความเป็นส่วนตัว บริษัทจะต้องดำเนินการตามการร้องขอภายใต้กรอบของกฎหมาย และสอดคล้องกับกระบวนการที่กำหนด

สิทธิของเจ้าของข้อมูลส่วนบุคคล ได้แก่

4.4.1 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึง หรือร้องขอสำเนาข้อมูลส่วนบุคคล

4.4.2 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการสอบถามถึงวิธีการในการได้มาของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมิได้ให้ความยินยอม

4.4.3 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

4.4.4 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล หรือให้ทำข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลนิรนาม ตามกระบวนการและวิธีการที่กฎหมายกำหนด

4.4.5 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องขอให้โอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น

4.4.6 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

4.4.7 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

4.4.8 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนการให้ความยินยอมที่ได้ให้ไว้กับบริษัท

4.4.9 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนหากการประมวลผลข้อมูลส่วนบุคคลนั้นก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของตน

4.5 การเก็บรักษาและการทำลายข้อมูลส่วนบุคคล

บริษัทไม่เก็บข้อมูลส่วนบุคคลไว้นานเกินกว่าความจำเป็นตามเหตุผล แต่ละหน่วยงานจะต้องกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลที่ตนเองถือครองอย่างเหมาะสมและทำให้เป็นปัจจุบันอย่างสม่ำเสมอ ข้อมูลส่วนบุคคลทั้งหมดควรถูกลบออกอย่างเป็นระเบียบและปลอดภัยตามระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลที่กำหนดไว้

แต่ละหน่วยงานมีหน้าที่รับผิดชอบในการพิจารณาระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล โดยระยะเวลาดังกล่าวนั้นต้องเป็นไปตามความเหมาะสมและความจำเป็น รวมทั้งมีข้อกำหนดที่ชัดเจนเสมอในการเก็บรักษาข้อมูลส่วนบุคคล

เพื่อเป็นการป้องกันการรั่วไหลของข้อมูลส่วนบุคคล บริษัทจะลบ หรือทำลายข้อมูลส่วนบุคคลอย่างปลอดภัยในกรณีดังต่อไปนี้:

  1. เมื่อไม่มีความจำเป็นที่จะต้องเก็บข้อมูลส่วนบุคคลนั้นอีกต่อไป
  2. เมื่อการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้บรรลุวัตถุประสงค์
  3. กรณีที่เจ้าของข้อมูลส่วนบุคคลแสดงเจตนาคัดค้านการเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคล
  4. เมื่อเจ้าของข้อมูลส่วนบุคคลแสดงเจตนาถอนความยินยอมในการเก็บ ใช้ หรือประมวลผลข้อมูลส่วนบุคคล
  5. เมื่อสิ้นสุดระยะเวลาตามที่ตกลงกันตามวัตถุประสงค์ของการเก็บ เว้นแต่หากมีกรณีที่ต้องปฏิบัติตามกฎหมายที่เกี่ยวข้อง

ทั้งนี้บริษัทสามารถพิจารณาจัดเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นไว้เพื่อวัตถุประสงค์อื่นที่เกี่ยวข้องได้ ตามที่กฎหมายกำหนดหรือให้สิทธิไว้

4.6 การเก็บข้อมูลเท่าที่จำเป็นและการทำข้อมูลให้เป็นนิรนาม

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์และทำให้ไม่สามารถระบุตัวตนได้เมื่อสามารถดำเนินการได้

4.7 ความปลอดภัยของข้อมูล

เมื่อประมวลผลและถ่ายโอนข้อมูลส่วนบุคคล บริษัทจะปฏิบัติตามมาตรการป้องกันและการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเคร่งครัด

4.8 การเปิดเผยและการถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก

เมื่อต้องทำงานร่วมกับบุคคลภายนอกในโครงการที่อาจเกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคล บริษัทจะจัดให้มีการทำสัญญาที่เหมาะสมซึ่งกำหนดให้บุคคลภายนอกต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก่อนที่จะเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลภายนอก ทุกคนควรตระหนักว่าการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือไม่เป็นไปตามกฎหมายนั้นอาจจะเป็นความผิดทางอาญาได้

4.9 การตรวจสอบภายใน

เพื่อให้มั่นใจว่าบริษัทดำเนินการตามกฎหมายและนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล บริษัทจะดำเนินการตรวจสอบทั้งภายในและภายนอกอย่างเหมาะสม โดยมีวัตถุประสงค์เพื่อประเมินและตรวจสอบความถูกต้อง ความปลอดภัย และการปฎิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท รวมถึงการปฏิบัติตามกฎหมายที่เกี่ยวข้อง

การตรวจสอบทั้งภายในและภายนอกหรือบุคคลที่สามที่เกี่ยวข้องนั้นจะดำเนินการโดยฝ่ายที่ได้รับมอบหมายตามมาตรการของบริษัท เพื่อประเมินความเสี่ยงและประสิทธิภาพของการปฏิบัติตามนโยบาย ผลการตรวจสอบนั้นจะถูกนำมาวิเคราะห์และใช้เป็นข้อมูลเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลของบริษัทนั้นเป็นไปตามกฎหมายและนโยบายที่เกี่ยวข้อง รวมถึงพัฒนาการปกป้องข้อมูลส่วนบุคคลในบริษัทอย่างต่อเนื่อง เพื่อให้มั่นใจว่าบริษัทได้ปฏิบัติตามข้อกำหนดและกฎหมายที่เกี่ยวข้องในทุก ๆ ด้าน

5. หน้าที่และความรับผิดชอบ

5.1 คณะกรรมการ

5.1.1 พิจารณาอนุมัตินโยบายการคุ้มครองข้อมูลส่วนบุคคล

5.1.2 กำกับดูแลให้การดำเนินธุรกิจของบริษัท เป็นไปตามกฎหมาย จรรยาบรรณธุรกิจ ข้อบังคับ นโยบาย แนวปฏิบัติและมาตรการที่เกี่ยวข้อง ตลอดจนส่งเสริมให้เกิดการนำนโยบายไปปฏิบัติอย่างมีประสิทธิภาพ

5.2 ผู้บริหาร

5.2.1 กำหนดให้มีกฎระเบียบ แนวปฏิบัติ และมาตรการในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เหมาะสมกับบริบทของบริษัท โดยให้สอดคล้องกับนโยบาย กฎหมายที่เกี่ยวข้อง และมาตรฐานสากล

5.2.2 ทบทวนนโยบายและอนุมัติการแก้ไขนโยบาย แนวปฏิบัติ และมาตรการที่เกี่ยวข้องประจำปี ในกรณีที่มีการแก้ไขนโยบายฉบับนี้ในสาระสำคัญ ให้นำเสนอต่อคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติ

5.2.3 จัดให้มีโครงสร้างองค์กรที่มีผู้รับผิดชอบและบทบาทหน้าที่ที่เหมาะสม เพื่อดูแลการดำเนินงานให้เป็นไปตามนโยบายและแนวปฏิบัติที่เกี่ยวข้อง

5.2.4 จัดให้มีระบบการคัดเลือกบุคคลหรือนิติบุคคลที่มีระบบการคุ้มครองข้อมูลที่ได้มาตรฐานและสอดคล้องตามกฎหมาย ในกรณีที่บริษัทได้ทำการว่าจ้างบุคคลหรือนิติบุคคลอื่นให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลแทน

5.2.5 กำกับดูแลให้มีการปฏิบัติตามนโยบาย แนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนพัฒนาปรับปรุงวิธีการปฏิบัติให้มีประสิทธิภาพ รวมทั้งให้มีการรายงานผลอย่างสม่ำเสมอ

5.2.6 สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยจัดหาเครื่องมือและอุปกรณ์ที่เพียงพอ รวมถึงอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคล เพื่อให้สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ

5.2.7 สื่อสารนโยบายและแนวปฏิบัติเพื่อสร้างการตระหนักรู้ให้กับผู้บริหารและพนักงานทุกระดับ

5.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

5.3.1 ควบคุม และตรวจสอบการดำเนินการของบริษัทให้ถูกต้องตามที่กฎหมายกำหนด รวมถึงการจัดกิจกรรมสร้างความตระหนักรู้ ตลอดจนการฝึกอบรมที่เกี่ยวข้องกับการดำเนินงานด้านข้อมูลส่วนบุคคล

5.3.2 ให้คำปรึกษาและแนะนำแก่คณะกรรมการ ผู้บริหาร และพนักงาน ในการปฏิบัติตามกฎหมายให้ถูกต้อง

5.3.3 เป็นศูนย์กลางในการติดต่อเรื่องข้อมูลส่วนบุคคล การปกป้องสิทธิของเจ้าของข้อมูล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

5.3.4 รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

5.4 พนักงาน

5.4.1 ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง เรียนรู้ทำความเข้าใจและปฏิบัติตาม กฎหมาย จรรยาบรรณธุรกิจ ข้อบังคับ นโยบาย แนวปฏิบัติ และมาตรการต่าง ๆ ของบริษัทอย่างเคร่งครัด

5.4.2 แจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทันที เมื่อพบการรั่วไหลหรือการละเมิดของข้อมูลส่วนบุคคล

5.4.3 หากพบเห็นการกระทำที่อาจเข้าข่ายเป็นการฝ่าฝืนนโยบายฉบับนี้ ให้แจ้งผ่านช่องทางการแจ้งเบาะแสและข้อร้องเรียนของบริษัท

6. การฝึกอบรม

บริษัทจัดให้มีการสื่อสารและถ่ายทอดนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลผ่านการฝึกอบรม การประชุม หรือกิจกรรมในรูปแบบต่าง ๆ ที่เหมาะสมให้แก่บุคลากรของบริษัท รวมถึงให้มีการประเมินประสิทธิผลหลังการฝึกอบรมตามความเหมาะสม

7. การแจ้งเบาะแส

ร้องเรียนหรือแจ้งเบาะแสเมื่อพบเห็นการกระทำที่เชื่อได้ว่าเป็นการละเมิดนโยบายและแนวปฏิบัติที่เกี่ยวข้อง โดยปฏิบัติตามแนวทางของนโยบายและแนวปฏิบัติด้านการแจ้งเบาะแส ทั้งนี้ผู้ร้องเรียนหรือผู้แจ้งเบาะแสจะได้รับความคุ้มครองและข้อมูลจะถูกเก็บไว้เป็นความลับ โดยไม่มีผลต่อตำแหน่งงาน ทั้งในระหว่างดำเนินการสอบสวนและหลังเสร็จสิ้นกระบวนการ

8. การขอคำแนะนำ

ในกรณีที่มีข้อสงสัยว่าการกระทำนั้นอาจฝ่าฝืนกฎหมาย ระเบียบ นโยบายและแนวปฏิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สามารถขอคำแนะนำจากผู้บังคับบัญชา หน่วยงานหรือบุคคลากรที่รับผิดชอบ หน่วยงานกำกับการปฎิบัติตามกฎเกณฑ์ หน่วยงานกฎหมาย หรือ หน่วยงานทรัพยากรบุคคลก่อนดำเนินการใด ๆ

9. บทลงโทษ

หากบุคคลากรของบริษัท ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบาย แนวปฏิบัติ หรือมาตรการต่าง ๆ ไม่ว่าทางตรงหรือทางอ้อมจะถูกพิจารณาโทษทางวินัยตามระเบียบข้อบังคับการทำงานของบริษัท

10. กฎหมาย ข้อกำหนด และมาตรฐานที่เกี่ยวข้อง

นโยบายฉบับนี้ จัดทำขึ้นโดยอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2564 เป็นต้นไป ทั้งนี้ หากกฎหมายฉบับดังกล่าวมีการเปลี่ยนแปลง หรือการตีความกฎหมายมีการเปลี่ยนแปลงไปจากเดิมและอาจมีผลย้อนหลัง รวมถึงกรณีที่มีการออกกฎระเบียบ ประกาศ คำสั่ง หลักเกณฑ์ และข้อปฏิบัติภายใต้พระราชบัญญัตินี้ บริษัทจะพิจารณาถึงผลกระทบของการเปลี่ยนแปลงดังกล่าวข้างต้น เพื่อทบทวนและปรับปรุงนโยบายฉบับนี้ให้เหมาะสมและสอดคล้องกับกฎหมาย และ/หรือ การตีความกฎหมายที่เปลี่ยนแปลงไป จากนั้นให้นำเสนอต่อผู้บริหารหรือคณะกรรมการของบริษัทเพื่อพิจารณาอนุมัติก่อนประกาศใช้