นโยบายความเป็นส่วนตัว (PRIVACY POLICY)

บริษัท ลอคบอกซ์ กรุ๊ป จำกัด (“บริษัท”) รวมถึงบริษัทย่อย (ตามที่ได้ให้คำนิยามไว้ข้างล่าง) ตระหนักถึงความสำคัญของการรักษาข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และบุคลากรที่เกี่ยวข้องกับบริษัท ซึ่งเป็นข้อมูลที่สำคัญต่อการดำเนินงานและแสดงถึงความน่าเชื่อถือของบริษัท ทั้งนี้ บริษัทมีความมุ่งมั่นในการดำเนินธุรกิจอย่างยั่งยืนบนพื้นฐานของความรับผิดชอบต่อการบริหารจัดการข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ที่เกี่ยวข้อง และพร้อมที่จะปฏิบัติตามกฎหมายและกฎระเบียบต่าง ๆ ที่เกี่ยวข้อง เพื่อรักษาความปลอดภัยและความเป็นส่วนตัวในข้อมูลส่วนบุคคลของลูกค้าของบริษัท ในทุกช่องทางการขาย กรรมการและพนักงานของบริษัทคู่ค้าและคู่ค้าซึ่งเป็นบุคคลธรรมดา รวมไปถึงบุคลากรของบริษัท ผู้มาติดต่อกับบริษัท รวมถึงผู้เข้าร่วมในกิจกรรมส่งเสริมการขายหรือกิจกรรมเพื่อสังคมต่าง ๆ ของบริษัท บริษัทจึงได้จัดทำและประกาศใช้แนวนโยบายนี้ขึ้น เพื่อให้เป็นไปตามหลักการกำกับดูแลกิจการที่ดีในการดำเนินธุรกิจของบริษัท และเพื่ออธิบายถึงวิธีการที่บริษัทเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน ซึ่งนโยบายความเป็นส่วนตัวฉบับนี้ ได้ผ่านการตรวจสอบจากผู้ตรวจสอบภายในบริษัทและที่ปรึกษากฎหมายภายนอกบริษัท โดยบริษัทให้ความสำคัญกับการเคารพในสิทธิความเป็นส่วนตัวของท่าน และเพื่อให้ท่านได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยมีวัตถุประสงค์ ดังนี้

เพื่อให้การทำธุรกรรมกับบริษัทและกลุ่มบริษัทมีความมั่นคงปลอดภัย น่าเชื่อถือ และสร้างความมั่นใจให้แก่เจ้าของข้อมูลส่วนบุคคล
เพื่อป้องกันความเสียหายที่เกิดจากการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์โดยทุจริต หรือนำไปใช้ในทางที่ไม่ถูกต้องตามกฎหมาย
เพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ขอบเขต

นโยบายฉบับนี้ใช้บังคับกับบริษัท โดยบริษัทย่อยของบริษัทสามารถนำนโยบายฉบับนี้ไปปรับใช้ให้เข้ากับบริบททางธุรกิจและกระบวนการบริหารภายในของแต่ละบริษัทบนพื้นฐานของภูมิสังคมของแต่ละประเทศให้มีความสอดคล้องกัน

นิยาม

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึง พระราชกฤษฎีกา กฎกระทรวง ประกาศ ระเบียบ ข้อบังคับ หรือแนวปฏิบัติ (Guideline) ใด ๆ ที่ออกภายใต้พระบัญญัติดังกล่าว

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใด ๆ เกี่ยวกับบุคคลใดซึ่งสามารถใช้ระบุตัวตนของบุคคลดังกล่าวได้ แต่ไม่รวมถึงข้อมูลส่วนบุคคลซึ่งถูกทำให้ไม่สามารถระบุตัวตนของบุคคลที่เป็นเจ้าของข้อมูลได้ (anonymous data) เช่น ชื่อ-นามสกุล, หมายเลขบัตรประชาชน, ที่อยู่, หมายเลขโทรศัพท์, อีเมล (email address) ข้อมูลบัตรเครดิต ภาพถ่ายของท่าน, เชื้อชาติ, สัญชาติ, ศาสนา, วันเดือนปีเกิด, ข้อมูลเกี่ยวกับการซื้อสินค้าและบริการ, ข้อมูลการชำระเงิน เป็นต้น
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หมายความรวมถึง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ, ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม ข้อมูลชีวภาพ, หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ประมวลผล หมายถึง เก็บรวบรวม ใช้ หรือเปิดเผย
กลุ่มบริษัท หมายถึง บริษัทและบริษัทย่อย
บริษัทย่อย หมายถึง บริษัทซึ่งบริษัท
(1) ถือหุ้นที่มีสิทธิออกเสียงเกินกว่าร้อยละ 50 ของจำนวนสิทธิออกเสียงทั้งหมดของบริษัทนั้น ไม่ว่าโดยตรงหรือโดยอ้อม และ/หรือ
(2) มีอำนาจควบคุมคะแนนเสียงส่วนใหญ่ในที่ประชุมผู้ถือหุ้นของบริษัทนั้น ไม่ว่าโดยตรงหรือโดยอ้อม และ/หรือ
(3) มีอำนาจควบคุมการแต่งตั้งหรือถอดถอนกรรมการตั้งแต่กึ่งหนึ่งของกรรมการทั้งหมดไม่ว่าโดยตรงหรือโดยอ้อม
บุคลากร หมายถึง กรรมการ ผู้บริหาร และพนักงาน รวมถึงที่ปรึกษา ผู้ตรวจบัญชี
กรรมการ หมายถึง กรรมการของบริษัท และ/หรือบริษัทย่อย
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมายถึง กลุ่มบุคคลที่ได้รับการแต่งตั้งจากบริษัทให้มีหน้าที่ในการติดตาม ตรวจสอบ และให้คำแนะนำการประมวลผลข้อมูลของบริษัท เพื่อให้สอดคล้องตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
ผู้บริหารระดับสูง หมายถึง ประธานคณะผู้บริหาร กรรมการผู้จัดการ รองกรรมการผู้จัดการ ผู้บริหารสูงสุดของแต่ละกลุ่มธุรกิจ (Business Unit) และหน่วยงานสนับสนุน (Support Unit) ของบริษัทและ/หรือบริษัทย่อย
พนักงาน หมายถึง ผู้บริหารและพนักงานที่ได้รับค่าจ้างเป็นรายเดือนและรายวันของบริษัท หรือบริษัทย่อย ไม่ว่าจะเป็นการว่าจ้างประจำหรือชั่วคราว หรือการว่าจ้างด้วยสัญญาพิเศษ
ท่าน หมายถึง ลูกค้า ผู้ใช้บริการ คู่ค้า พนักงาน ผู้รับจ้างของบริษัท ไม่ว่าจะเป็นการติดต่อผ่านสำนักงานใหญ่ สาขา หรือผ่านสื่อออนไลน์ทุกช่องทางของบริษัท

การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

บริษัทจะเก็บรวบรวมข้อมูลต่างๆ ซึ่งท่านได้ให้ไว้กับบริษัท อันได้แก่ ชื่อ-นามสกุล, หมายเลขบัตรประชาชน, ที่อยู่, หมายเลขโทรศัพท์, อีเมล (email address) ภาพถ่ายของท่าน, เชื้อชาติ, สัญชาติ, ศาสนา, วันเดือนปีเกิด, ข้อมูลเกี่ยวกับการซื้อสินค้าและบริการ, ข้อมูลการชำระเงิน โดยทางตรงหรือเกิดจากการใช้บริการหรือการติดต่อสื่อสารกับบริษัท ทั้งในรูปแบบเอกสารหรือข้อมูลจราจรทางคอมพิวเตอร์ ข้อมูลที่บริษัทจัดเก็บจะดำเนินการให้ได้มาด้วยวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และเหมาะสม และการจัดเก็บเพียงเท่าที่จำเป็นสำหรับการดำเนินงานของบริษัท ซึ่งบริษัทจะแจ้งให้ท่านทราบถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน รวมถึงผลกระทบของการไม่ให้ข้อมูล และบริษัทจะขอความยินยอมจากท่านก่อนเก็บรวบรวม เว้นแต่การเก็บรวบรวมนั้นสามารถดำเนินการได้ตามที่กฎหมายกำหนด ในกรณีที่บริษัทมีความจำเป็นที่จะต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน บริษัทจะดำเนินการให้ได้รับความยินยอมโดยชัดแจ้งจากท่านก่อนเก็บรวบรวม เว้นแต่การเก็บรวบรวมนั้นสามารถดำเนินการได้ตามที่กฎหมายกำหนด บริษัทจะเก็บรักษาข้อมูลของท่านไว้เป็นระยะเวลาตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลนั้นๆ ซึ่งบริษัทจะได้แจ้งให้ท่านทราบก่อนการซื้อสินค้า ใช้บริการ ติดต่อสื่อสาร หรือเข้าทำสัญญาในแต่ละเรื่อง และหากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะแจ้งให้ท่านทราบ ซึ่งบริษัทจะเปิดเผยไว้บนเว็บไซต์ของบริษัท

บทบาทหน้าที่และความรับผิดชอบของบุคลากรของบริษัท

โดยที่บุคลากรของบริษัททุกคนมีหน้าที่ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นโยบายความเป็นส่วนตัว และนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัย บุคลากรแต่ละคนจึงมีหน้าที่และความรับผิดชอบดังต่อไปนี้

คณะกรรมการบริษัท

กำกับดูแล ส่งเสริม และสนับสนุน ให้ให้กลุ่มบริษัทมีการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการบริหารของบริษัท

กำกับดูแล ส่งเสริมและสนับสนุนให้บริษัทมีกระบวนการปฏิบัติงานเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
สนับสนุนการทำงานของหน่วยธุรกิจ (Business Unit) และหน่วยงานสนับสนุน (Support Unit) หรือบุคลากรที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการบริษัทย่อย

กำกับดูแล ส่งเสริมและสนับสนุนให้บริษัทที่ตนเป็นกรรมการ มีกระบวนการปฏิบัติงานเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
สนับสนุนการทำงานของหน่วยธุรกิจ (Business Unit) และหน่วยงานสนับสนุน (Support Unit) หรือบุคลากรที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

กำหนดนโยบายและการแผนดำเนินการ และนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย
ให้คำปรึกษาและแนะนำคณะกรรมการ ผู้บริหารระดับสูง และพนักงานของกลุ่มบริษัท ในการปฏิบัติให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ติดตาม ตรวจสอบ และกำกับดูแลการดำเนินงานของกลุ่มบริษัท รวมถึงบุคลากรของกลุ่มบริษัท เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เป็นศูนย์กลางในการติดต่อเรื่องข้อมูลส่วนบุคคล การปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับหน่วยงานของรัฐ
รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และ/หรือตามนโยบายฉบับนี้
สร้างและส่งเสริมความตระหนักรู้ในเรื่องที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
แต่งตั้งและกำหนดหน้าที่ของบุคลากรตามที่กฎหมายกำหนด

ผู้บริหารระดับสูง

จัดให้มีระเบียบปฏิบัติและมาตรการในการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและตามมาตรฐานสากลซึ่งเป็นที่ยอมรับ ทั้งในกรณีที่หน่วยงานที่ตนดูแลรับผิดชอบเป็นผู้ประมวลผลเองหรือกรณีว่าจ้างบุคคลภายนอกให้ดำเนินการแทน
กำกับดูแลให้มีโครงสร้างและผู้รับผิดชอบในการดำเนินงานให้เป็นไปตามนโยบายนี้
กำกับดูแลให้มีการปฏิบัติตามนโยบาย แนวปฏิบัติ และระเบียบปฏิบัติ ตลอดจนพัฒนาปรับปรุงวิธีการปฏิบัติให้มีประสิทธิภาพ รวมทั้งให้มีการรายงานผลอย่างสม่ำเสมอ

หน่วยธุรกิจ (Business Unit) และหน่วยงานสนับสนุน (Support Unit) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และดำเนินการตามนโยบาย ระเบียบปฏิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของกลุ่มบริษัท
กำหนดระเบียบปฎิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของตน

พนักงาน

ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และตามนโยบาย ตลอดจนระเบียบปฏิบัติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
แจ้งผู้บังคับบัญชา และ/หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทันที เมื่อพบการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคล
เมื่อพบเห็นการกระทำที่อาจเข้าข่ายเป็นการกระทำที่ฝ่าฝืนนโยบายฉบับนี้ ให้แจ้งเรื่องการฝ่าฝืนดังกล่าวผ่านช่องทางตามนโยบายการแจ้งเบาะแสของบริษัท และ/หรือบริษัทย่อย

บทกำหนดโทษ

ผู้มีหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลย หรือละเว้นไม่สั่งการหรือไม่ดำเนินการ หรือสั่งการ หรือดำเนินการอย่างใดอย่างหนึ่งในหน้าที่ของตน อันเป็นการฝ่าฝืนนโยบายและแนวปฏิบัติเกี่ยวกับเรื่องข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความผิดตามกฎหมายหรือความเสียหายขึ้น ผู้นั้นต้องรับโทษทางวินัยตามระเบียบของบริษัท โดยบริษัทจะไม่ประนีประนอมให้กับความผิดใดๆ ที่ผู้มีหน้าที่รับผิดชอบได้กระทำขึ้น และผู้นั้นต้องรับโทษทางกฎหมายตามความผิดที่เกิดขึ้น ทั้งนี้ หากความผิดดังกล่าวก่อให้เกิดความเสียหายแก่บริษัทหรือบุคคลอื่นใด บริษัทอาจพิจารณาดำเนินคดีตามกฎหมายเพิ่มเติมต่อไป

การใช้ข้อมูลส่วนบุคคล

บริษัทจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งให้ทราบหรือตามสัญญา หรือเฉพาะที่เกี่ยวเนื่องกับการติดต่อสื่อสาร หรือติดต่อทางธุรกิจกับท่าน หรือได้รับความยินยอมจากท่านแล้ว หรือเป็นกรณีที่บริษัทสามารถใช้ข้อมูลส่วนบุคคลของท่านโดยไม่ต้องได้รับความยินยอมจากท่านในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลอนุญาตให้ทำได้เท่านั้น และบริษัทจะดูแลไม่ให้ผู้ปฏิบัติงานของบริษัทเปิดเผย แสดง หรือทำให้ข้อมูลส่วนบุคคลของท่านปรากฎในลักษณะอื่นนอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งให้ทราบหรือที่ได้รับความยินยอมจากท่าน หรือสามารถดำเนินการได้ตามที่กฎหมายกำหนด

ข้อมูลส่วนบุคคลของท่าน อาจถูกนำไปใช้ในการศึกษา วิจัย หรือการจัดทำสถิติ เพื่อการพัฒนา ปรับปรุงคุณภาพการให้บริการ การส่งเสริมด้านการตลาด การให้ข้อมูลและ/หรือ รายการอัพเดทเกี่ยวกับสินค้าตามวัตถุประสงค์ในการดำเนินงานของบริษัท และเพื่อให้ท่านได้รับประโยชน์และความพึงพอใจสูงสุด

การเปิดเผยข้อมูลแก่บุคคลที่สาม

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลใดของท่านโดยปราศจากความยินยอมของท่านหรือนอกเหนือไปจากกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลอนุญาตให้ทำได้ อย่างไรก็ตาม เพื่อประโยชน์ในการให้บริการแก่ท่าน บริษัทอาจจะมีการส่งต่อ โอน และ/หรือเปิดเผย ข้อมูลส่วนบุคคลของท่าน แก่บริษัทที่อยู่ใน “กลุ่มบริษัท” ผู้สอบบัญชี หรือพันธมิตรทางธุรกิจ หรือบุคคลอื่นใดที่บริษัทเป็นคู่สัญญาไม่ว่าในประเทศหรือต่างประเทศ เฉพาะเพื่อการตามที่ท่านได้ให้ความยินยอมหรือเพื่อปฏิบัติตามสัญญา หรือเพื่อการอันเกี่ยวเนื่องกับการให้บริการแก่ท่าน หรือเพื่อการใดตามที่สามารถดำเนินการได้ตามกฎหมาย ในกรณีที่ผู้รับโอนข้อมูลส่วนบุคคลอยู่ในประเทศที่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลไม่เพียงพอตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด บริษัทจะจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในรูปแบบที่เหมาะสมแล้วแต่กรณี

บริษัทเคารพสิทธิในการความเป็นส่วนตัว อันมาจากข้อมูลส่วนบุคคลของท่าน ข้อมูลของท่านที่บริษัทได้รับตามหลักการข้างต้น จะถูกนำไปใช้หรือเปิดเผยตามวัตถุประสงค์ที่ได้แจ้งให้ท่านทราบ หรือตามที่กฎหมายกำหนด ทั้งนี้ บริษัทจะใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวของท่าน ตามวัตถุประสงค์ที่ได้รับความยินยอมโดยชัดแจ้งจากท่านหรือตามที่กฎหมายกำหนด เท่านั้น

การรักษาความปลอดภัยของข้อมูล

บริษัทตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของท่าน บริษัทจึงกำหนดให้มีนโยบายการรักษาความปลอดภัย และระบบการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้มีกลไกและเทคนิคที่เหมาะสม เพื่อป้องกันการเข้าถึง เปลี่ยนแปลง แก้ไข ลบ ทำลาย หรือนำไปใช้ เปิดเผย โดยไม่มีสิทธิ หรือโดยไม่ชอบด้วยกฎหมาย บริษัทจะจัดให้มีมาตรการทางเทคนิคในระบบข้อมูล IT ซึ่งใช้ในการประมวลผลข้อมูลส่วนบุคคล เพื่อให้การใช้งานอุปกรณ์ประมวลผลข้อมูลที่ใช้จัดการข้อมูลส่วนบุคคลมีความถูกต้องแม่นยำและทำงานโดยรักษาไว้ซึ่งความปลอดภัยอยู่เสมอ รวมถึงจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่จำเป็นต้องลบตามกฎหมาย และจัดการทรัพยากรบุคคลของบริษัทโดยกำหนดมาตรการจัดการการฝึกอบรมเพื่อเรียนรู้และใช้งานระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและการประมวลผลข้อมูลส่วนบุคคลนั้น รวมถึงข้อปฏิบัติที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่าบุคลากรของบริษัทปฏิบัติงานโดยมีความเข้าใจและตระหนักถึงความรับผิดชอบในการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล และส่งเสริมพัฒนาบุคลากรที่ดูแลระบบ IT ให้มีความเชี่ยวชาญ และทันต่อภัยคุกคามทางไซเบอร์ใหม่ๆ โดยบริษัทจะจัดให้มีการประเมินผลและตรวจสอบการปฏิบัติตามนโยบายความเป็นส่วนตัว (Privacy Policy) ของบริษัท และตามกฎหมายต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นระยะ เพื่อประเมินสถานะและความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลว่ายังคงเหมาะสมหรือไม่เพื่อประเมินและลดความเสี่ยงในการเกิดเหตุการณ์ซึ่งอาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งนี้ การรับส่งข้อมูลทางอินเตอร์เน็ตยังคงมีข้อจำกัดในการดูแลรักษาความปลอดภัย แม้บริษัทจะได้จัดให้มีมาตรการความปลอดภัยของข้อมูลอย่างเข้มงวดแล้วก็ตาม แต่บริษัทไม่อาจรับประกันความปลอดภัยของข้อมูลที่ท่านเปิดเผยผ่านช่องทางออนไลน์ได้ ดังนั้น บริษัทจึงขอสงวนสิทธิ์ที่จะปฏิเสธความรับผิดชอบต่อความเสียหายหรือสูญหายที่อาจเกิดขึ้น ไม่ว่าจะโดยตรง หรือโดยอ้อม จากการเข้าถึงข้อมูลส่วนบุคคลที่ท่านให้ไว้กับบริษัทโดยมิได้รับอนุญาต (Unauthorized Access)

อย่างไรก็ตามเพื่อความปลอดภัยของข้อมูลส่วนบุคคลของท่าน ท่านควรปฏิบัติตามข้อกำหนดและเงื่อนไขการให้บริการที่บริษัทกำหนดในทุกช่องทางการให้บริการของบริษัท สำหรับการรับส่งข้อมูลการชำระเงินด้วยบัตรเครดิตทางอินเตอร์เน็ต บริษัทเชื่อมต่อระบบกับธนาคารผ่านระบบที่มีการรักษาความปลอดภัยขั้นสูงตามมาตรฐานสากล ทั้งนี้ข้อมูลบัตรเครดิตของท่านถูกจัดเก็บไว้ที่ธนาคารเพียงแห่งเดียวเท่านั้น

ความมีส่วนร่วมหรือสิทธิในการเข้าถึง และ/หรือ แก้ไขข้อมูลส่วนบุคคล

ท่านมีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่านได้ โดยแจ้งคำร้องผ่านช่องทางการติดต่อของบริษัท เช่น Call Center, สาขา หรือ เว็บไซต์ของบริษัท โดยบริษัทจะดำเนินการแจ้งถึงความมีอยู่ และรายละเอียดของข้อมูลส่วนบุคคลดังกล่าว แก่ท่าน หากท่านเห็นว่า ข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง หรือไม่เป็นปัจจุบัน ท่านสามารถแจ้งแก้ไข เปลี่ยนแปลงข้อมูลส่วนบุคคลของท่านได้ รวมถึงท่านมีสิทธิขอให้บริษัทเคลื่อนย้ายข้อมูลส่วนบุคคลของท่าน คัดค้านการประมวลผล ขอให้ระงับการใช้ หรือดำเนินการลบข้อมูลส่วนบุคคลของท่านได้ เว้นแต่กรณีที่บริษัทอาจมีสิทธิปฏิเสธหรือจำกัดสิทธิของเจ้าของข้อมูลได้ตามที่กฎหมายคุ้มครองส่วนบุคคลกำหนด โดยบริษัทจะพยายามตอบกลับคำขอที่โดยชอบด้วยกฎหมายของท่านภายในเวลา 30 วัน แต่ในบางกรณีอาจใช้เวลามากกว่า 30 วัน หากคำขอของท่านมีความซับซ้อน หรือท่านยื่นคำขอหลายคำขอ ในกรณีนี้ บริษัทจะแจ้งท่านและคอยรายงานความคืบหน้าของกรณีให้ท่านทราบ

ทั้งนี้ ในกรณีที่ท่านไม่ยินยอมให้บริษัทใช้ข้อมูลส่วนบุคคลของท่าน หรือให้บริษัทลบข้อมูลของท่านออกจากระบบ บริษัทขอเรียนให้ทราบว่าท่านอาจจะไม่สามารถใช้บริการบางอย่างของบริษัทได้ หรืออาจทำให้ท่านไม่ได้รับข้อมูลข่าวสาร หรือไม่ได้รับความสะดวกในการรับบริการ

การเปลี่ยนแปลงนโยบายความเป็นส่วนตัว

บริษัทอาจมีการปรับปรุงเปลี่ยนแปลงนโยบายความเป็นส่วนตัวนี้ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของบริษัท และข้อเสนอแนะ/ความคิดเห็นจากท่าน ซึ่งบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบบนเว็บไซต์ของบริษัท หรืออาจส่งประกาศแจ้งให้ท่านทราบโดยตรง

ทั้งนี้ ท่านสามารถดูรายละเอียดเพิ่มเติมในส่วนของข้อมูลส่วนบุคคลที่บริษัทนำมาประมวลผล วัตถุประสงค์ในการใช้ประมวลผล กรณีที่ท่านต้องให้ข้อมูลส่วนบุคคลแก่บริษัทและผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล ประเภทของบุคคลหรือหน่วยงานที่อาจได้รับข้อมูลส่วนบุคคลนั้น ข้อมูลเกี่ยวกับบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล การโอนข้อมูลส่วนบุคคลดังกล่าวไปต่างประเทศ รวมถึงเหตุผลและวิธีการในการประมวลผลข้อมูลส่วนบุคคลเหล่านั้น ได้ที่ www.lockbox-th.com/privacy-notice หรือติดต่อที่ service@lockbox-th.com

PRIVACY POLICY

Lockbox Group Company Limited (the “Company”) and the company’s subsidiary (its definition given below) concern on the importance of personal data protection of customer, trading partner and personnel related to the Company in which such data is important to business operation and representing the Company’s creditability. In this regard, the Company aims to sustainably operate its business based on responsibility on personal data management and privacy of related person and ready to comply with relevant laws and regulations in order to secure the safety and privacy of personal data of the Company’s customers in all selling channels, director and employee of partner company and trading partner who is a natural person as well as the Company’s personnel, contact person and any person who participates in sales promotion and social service activities of the Company. The Company, therefore, creates and announces this policy in order to abide by principle of good corporate governance for the Company’s business operation and to explain how the Company collects, uses and discloses your personal data in which this policy has been verified by internal and external audits (legal consultant). The Company gives priority to your privacy right and for you to acknowledge the Company’s personal data protection policy with the objectives as follows:

In order for transaction made between the Company and the Company Group to be secured, safe, reliable and making confidence to the owner of personal data;
In order to prevent damage occurring from taking any personal data for seeking fraudulent benefit or using for illegal way;
To comply with personal data protection law.

Scope

This policy shall govern the Company provided that the Company’s subsidiaries are entitled to take and adapt this policy suitable for its business context and internal management process based on geosocial of each country to be consistent.

Definition

Personal Data Protection Law means the Personal Data Protection Act B.E. 2562 (A.D. 2019) including Royal Decree, ministerial regulations, announcement, rules, regulations or any guideline issued under such Act.
Personal Data means any information relating to a person, which enables the identification of such person but not including the personal information which unable to identify such person (anonymous data) e.g. name-last name, identification number, address, telephone number, email address, credit card information, your photograph, race, nationality, religion, date of birth, purchasing goods and service information and payment information etc.
Sensitive Personal Data means any personal information relating to race, origin, political opinion, the belief in doctrine, religion or philosophy, sexual behavior, criminal background, health data, disability, labor union information, genetic information, biometric data or any information which similarly affects the information owner as indicated by Personal Data Protection Committee
Processor means collect, use or disclose
Company Group means the Company and its subsidiaries
Subsidiaries means the company which the Company
(1) Holds shares having voting right more than 50% of all voting right of that company either direct or indirect and/or
(2) Has controlling power on majority votes in the shareholders’ meeting of that company either direct or indirect and/or
(3) Has controlling power on the appointment or withdraw a director from half of all directors either direct or indirect

Personnelmeans director, executive and employee including consultant External Auditor
Directormeans director of the Company and/or its subsidiaries
Personal Data Protection Committeemeans a group of persons appointed by the Company having responsibility to monitor, examine and suggest on the Company’s data processing in order to comply with personal data protection law
Chief Executivemeans chief executive officer, managing director, deputy managing director, chief executive of each business unit and support unit of the Company and/or it subsidiaries
Employeemeans executive and employee who receive their salary in monthly and daily basis, either permanent or temporally or special contract
Youmeans customer, service user, trading partner, employee, contractor of the Company, either contact via principle office, branch office or online media channels of the Company.

Personal Data Limit Collection

The Company will collect information e.g. name-last name, identification number, address, telephone number, email address, your photograph, race, nationality, religion, date of birth, purchasing goods and service information and payment information etc. Which you have directly given to the Company or arise from service provided or communication with the Company both in document form and computing traffic information. The collected information will be obtained legally, fairly and appropriately by the Company and will be limited only for the necessary of the Company’s business operation in which the Company will inform you the purpose of collection of your personal data as well as the effect of not providing data. The Company will request your consent prior to your data collection unless such collection can be conducted as imposed by law. If the Company is in need to collect sensitive personal data from you, the Company will explicitly request your consent prior to data collection except such collection can be conducted as imposed by law. The Company will keep your data for a time period to be in line with the purpose of that data collection provided that the Company will notify you before purchasing goods, receiving service or entering into each contract. If there is any change in personal data collection purpose later on, the Company will notify you in which the Company will publish such on the Company’s website.

Roles and Responsibilities of the Company’s Personnel

Whereas, all personnel of the Company have responsibility to comply with personal data protection law, privacy policy and security policy and guideline, each person shall have duty and responsibility as follows:

The Board of Directors of the Company

Supervise, promote and support the Company Group to provide protection on personal data to be consistent with personal data protection law

Executive Committee

Supervise, promote and support the Company to have operational process to be consistent with personal data protection law
Support the operation of business unit and the support unit or personnel related to personal data protection

The Board of Directors of Subsidiaries

Supervise, promote and support the company where you are a director to have operational process to be consistent with personal data protection law
Support the operation of business unit and the support unit or personnel related to personal data protection

Personal Data Protection Committee

Specify policy and action plan and personal data protection policy to be consistent with the laws
Give advice and suggestion to the board of directors, executives and employees of the Group of Company in order for them to take action in consistent with personal data protection law
Monitor, examine and supervise the Company Group’s operation together with the Company Group’s personnel with regard to personal data process in order to be consistent with personal data protection law
Act as a communication center with regard to personal data, right to the protection of personal data’s owner as well as coordinate and give a cooperation to government agency
Keep personal data which you have known or obtained due to legal performance under personal data protection law and/or this policy as a secret
Establish and promote an awareness on personal data protection
Appoint and specify responsibility of personnel as required by law

Executive

Provide regulations and measures on personal data process to be consistent with personal data protection law and accepted international standard if the data is processed by the agency under your responsibility or by the third party
Supervise and arrange structure and responsible person in order to carry on the work to be consistent with this policy
Supervise the compliance of policy, guideline and regulation as well as develop and improve the practice to be efficient and regularly provide the report

Business Unit and Support Unit Related to Personal Data

Comply with personal data protection law and carry on the policy and regulation related to the Company Group’s personal data protection
Specify regulations related to personal data protection in their own unit

Employee

Comply with personal data protection law and policy as well as regulation related to personal data protection
Inform your commander and/or personal data protection committee if there is any leakage or infringement in personal data
If there is any action considered as the violation of this policy, such must be informed in compliance with the Company and/or its subsidiaries’ tracking policy

Penalty

If the responsible person ignores or omits to give an order or to carry on any work or order or take any action which violates the policy and guideline with regard to personal data resulting in an occurrence of offence or damage, such person must receive disciplinary punishment according to the Company’s rules. In this regard, the Company will not compromise with any offence taken by the responsible person and such person shall be liable for such offence. However, if such offence causes any damage to the Company or any person, the Company may further consider to take any legal action.

Use of Personal Data

The Company will use your personal data for the purpose notified or under the contract or only related to communication or business transaction with you or after having received your consent or in case of the Company entitled to use your personal data without obtaining your prior consent if the personal data protection law permitting to do so. The Company will supervise its operator not to disclose, present or make your personal data appearing in any form other than the purpose notified or having received your consent or permitted by law.

Your personal data may be used for education, research or statistic in order to develop, improve service quality, marketing promotion, provide information and/or update products in accordance with the Company’s objectives and for your highest benefit and satisfaction.

Disclosure of Personal Data to Third Party

The Company will not disclose any of your personal data without your prior consent or other than permitted by personal data protection law. However, for the benefit of your service, the Company may send, transfer and/or disclose your personal data to the companies which are in the “Company Group”, auditor or business alliance or any person who is a party to a contract of the Company, either in domestic or overseas, and only to be in line with your consent or for execution of contract or relating to your service or any matter permitted by law. In case the personal data receiver is in the country where the personal data protection standard is not adequate as prescribed by the Personal Data Protection Committee, the Company will provide suitable personal data protection standard which is in accordance with personal data protection law as the case may be.

The Company respects right of privacy arising from your personal data. Your information received by the Company under the principle mentioned above will be used or disclosed in accordance with the purpose notified to you or as imposed by law. In this regard, the Company will use or disclose your sensitive personal data in accordance with the purpose in which you explicitly consent or as imposed by law.

Data Security

The Company concerns on the importance of your personal data security. The Company, therefore, stipulates security policy and security system with respect to personal data to have appropriate mechanism and technique in order to prevent the illegal or eligible access, change, amendment, deletion, destruction or use, disclose. In this regard, the Company will provide technical measures on IT system which is used to process personal data in order for the correct and accurate use of data processing equipment on personal data and maintain its security as well as will provide examination system to delete or destroy personal data when its storage period is expired or the deletion is required by law. The Company will manage its human resource by specifying training measures on how to learn and use the system relating to personal data and personal data processing together with principles with respect to personal data processing and personal data security in order to ensure that the Company’s personnel performs work with their understanding and awareness on the responsibility of using personal data of the data owner and promote and develop its personnel who supervises IT system to have skill and in time on new cyber attack. The Company will evaluate and examine, from time to time, the compliance of the Company’s privacy policy and other laws relating to personal data protection in order to assess the status and security of personal data whether it is appropriate or not in order to evaluate and reduce risk on the occurrence of any event which may affect the personal data security. The data transmission via internet is still limit in security. Even though the Company strictly provides security measures with regard to data, the Company is unable to guarantee the security of your disclosed data via online channel. Therefore, the Company reserves the right to deny the responsibility against damage or loss occurring, either directly or indirectly, from the unauthorized access of your given personal data.

However, for the safety of your personal data, you should comply with the provisions and conditions with respect to the service provided as specified by the Company in all servicing channels. For credit card payment data transmission via internet, the Company will connect its system with the bank through the highest security system with international standard. In this regard, your credit card information will be kept at the bank only.

Participation or Right of the Access and/or Change of Personal Data

You are entitled to access to your personal data by notifying your request via the Company’s contact center e.g. call center, branch or website. The Company will inform you the existence and details of your personal data. If you find that your personal data is incorrect or not up to date, you are able to change and amend your personal data as well as entitled to request the Company to remove your personal data, object in data processing, requesting for stop using or delete your personal data unless the Company may have the right to reject or limit data owner’s right as specified by the personal data protection law. The Company will try to respond your legal request within 30 days. However, in some cases, it may take longer than 30 days if such request is complicate or you submit too many requests. In such case, the Company will inform you and keep you updated your case.

In this regard, if you disagree for the Company to use your personal data or desire to delete your data from the system, the Company would like to inform you that you may not use some services of the Company or you may not receive some information or news or be inconvenient in receiving some service.

The Amendment of Personal Data Policy

The Company may improve and amend this personal data policy in order to be consistent with the change of service, the Company’s business operation and your suggestion/opinion in which the Company will announce such change on the Company’s website or send you the announcement directly for your acknowledgment

However, you can see further details on personal data which will be taken for processing, the purpose of processing, the case that you have to provide your personal data to the Company and the possible effect if you do not provide such personal data, personal data storage period, type of person or organization that may receive such personal data, data relating to the Company as the personal data controller, your right as the personal data owner, the transfer of such personal data to overseas as well as the reason and method on personal data processing at www.lockbox-th.com/privacy-notice or contact at service@lockbox-th.com