กลุ่มบริษัท ไทยซัมมิท ฮาร์เนส (“บริษัทฯ”) ตระหนักและให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวของพนักงาน ลูกค้า คู่ค้า ผู้รับเหมา ผู้มาติดต่อ ผู้สมัครงาน ตลอดจนผู้มีส่วนได้เสียทุกฝ่าย โดยถือเป็นส่วนหนึ่งของหลักธรรมาภิบาลองค์กร การบริหารความเสี่ยง การกำกับดูแลกิจการที่ดี และการดำเนินธุรกิจอย่างยั่งยืนตามหลักสิทธิมนุษยชน กฎหมาย และมาตรฐานสากล
บริษัทฯ มุ่งมั่นดำเนินการเก็บรวบรวม ใช้ เปิดเผย จัดเก็บ โอน และประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้อง โปร่งใส เป็นธรรม ปลอดภัย และสามารถตรวจสอบได้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“PDPA”) รวมถึงหลักเกณฑ์สากลที่เกี่ยวข้อง เช่น GDPR, ISO/IEC 27701 และแนวปฏิบัติด้าน ESG และ Human Rights Compliance
เพื่อให้การดำเนินงานของบริษัทฯ เป็นไปอย่างมีประสิทธิภาพ โปร่งใส และได้รับความไว้วางใจจากผู้มีส่วนได้เสียทุกฝ่าย บริษัทฯ จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัว ดังต่อไปนี้
1. วัตถุประสงค์
1.1 เพื่อกำหนดมาตรฐาน แนวทาง และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ให้สอดคล้องกับกฎหมาย
และมาตรฐานสากล
1.2 เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
1.3 เพื่อกำหนดบทบาท หน้าที่ และความรับผิดชอบของผู้บริหาร พนักงาน และผู้เกี่ยวข้องในการบริหารจัดการข้อมูลส่วน
บุคคล
1.4 เพื่อส่งเสริมการกำกับดูแลข้อมูล (Data Governance) และการบริหารความมั่นคงปลอดภัยสารสนเทศ
1.5 เพื่อสนับสนุนการดำเนินธุรกิจอย่างยั่งยืนตามหลัก ESG และ Human Rights
2. ขอบเขตการบังคับใช้
นโยบายฉบับนี้ใช้บังคับกับ:
• บริษัท ไทยซัมมิท ฮาร์เนส จำกัด (มหาชน)
• บริษัทในเครือ
• กรรมการ ผู้บริหาร พนักงาน
• พนักงานชั่วคราว พนักงานรับเหมา
• ที่ปรึกษา นักศึกษาฝึกงาน
• ผู้ให้บริการภายนอก (Third Party)
• ผู้ประมวลผลข้อมูลส่วนบุคคล
• บุคคลหรือหน่วยงานใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทฯ
ครอบคลุมการประมวลผลข้อมูลทั้งในรูปแบบ:
• เอกสาร
• ระบบอิเล็กทรอนิกส์
• ระบบ Cloud
• ระบบสารสนเทศ
• กล้องวงจรปิด (CCTV)
• อุปกรณ์สื่อสารและระบบดิจิทัลทุกประเภท
3. คำจำกัดความ
“ข้อมูลส่วนบุคคล”
ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น:
• ชื่อ-นามสกุล
• เลขบัตรประชาชน
• หมายเลขโทรศัพท์
• อีเมล
• รูปถ่าย
• ข้อมูลตำแหน่งที่ตั้ง
• IP Address
• ข้อมูลการจ้างงาน
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว”
ข้อมูลที่กฎหมายกำหนดให้ต้องได้รับการคุ้มครองเป็นพิเศษ เช่น:
• เชื้อชาติ
• ศาสนา
• ข้อมูลสุขภาพ
• ข้อมูลชีวภาพ (Biometric)
• ประวัติอาชญากรรม
• ข้อมูลสหภาพแรงงาน
“ผู้ควบคุมข้อมูลส่วนบุคคล”
บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล”
บุคคลหรือนิติบุคคลที่ดำเนินการประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล”
บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)”
ผู้ที่ได้รับมอบหมายให้กำกับ ดูแล ตรวจสอบ และให้คำแนะนำเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
4. หลักการคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ จะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักการดังต่อไปนี้:
4.1 ความถูกต้องตามกฎหมาย ความเป็นธรรม และความโปร่งใส
4.2 การเก็บรวบรวมข้อมูลตามวัตถุประสงค์ที่ชัดเจนและจำกัดเท่าที่จำเป็น
4.3 การใช้ข้อมูลตามวัตถุประสงค์ที่กำหนดไว้เท่านั้น
4.4 การรักษาความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล
4.5 การกำหนดระยะเวลาการเก็บรักษาข้อมูลอย่างเหมาะสม
4.6 การรักษาความมั่นคงปลอดภัยของข้อมูล
4.7 ความรับผิดชอบและสามารถตรวจสอบได้ (Accountability)
5. ฐานกฎหมายในการประมวลผลข้อมูล
บริษัทฯ จะประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานกฎหมายที่เหมาะสม เช่น:
• การปฏิบัติตามสัญญา
• การปฏิบัติตามกฎหมาย
• ความยินยอม
• ประโยชน์โดยชอบด้วยกฎหมาย
• การป้องกันอันตรายต่อชีวิต
• ประโยชน์สาธารณะ
6. การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
บริษัทฯ จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์ทางธุรกิจ เช่น:
• การบริหารทรัพยากรบุคคล
• การบริหารค่าจ้างและสวัสดิการ
• การบริหารลูกค้าและคู่ค้า
• การบริหารความปลอดภัย
• การบริหารระบบ IT และ Cybersecurity
• การปฏิบัติตามกฎหมาย
• การตรวจสอบภายในและการบริหารความเสี่ยง
บริษัทฯ จะไม่เปิดเผยข้อมูลแก่บุคคลภายนอก เว้นแต่:
• ได้รับความยินยอม
• เป็นไปตามกฎหมาย
• เป็นคำสั่งของหน่วยงานรัฐหรือศาล
• จำเป็นต่อการดำเนินธุรกิจภายใต้การคุ้มครองที่เหมาะสม
7. การคุ้มครองข้อมูลส่วนบุคคลของพนักงาน
บริษัทฯ จะดำเนินการคุ้มครองข้อมูลส่วนบุคคลของพนักงานตลอดวงจรการจ้างงาน ตั้งแต่:
• การสมัครงาน
• การสัมภาษณ์
• การจ้างงาน
• การประเมินผล
• การพัฒนาและฝึกอบรม
• การบริหารผลตอบแทน
• การดำเนินการทางวินัย
• การสิ้นสุดสภาพการจ้าง
• ตัวอย่างข้อมูล:
• ข้อมูลประวัติพนักงาน
• ข้อมูลสุขภาพ
• ข้อมูลเงินเดือน
• ข้อมูลบัญชีธนาคาร
• ข้อมูลประกันสังคม
8. การใช้ CCTV และ Workplace Monitoring
บริษัทฯ อาจใช้ระบบ CCTV หรือระบบติดตามเพื่อ:
• รักษาความปลอดภัย
• ป้องกันอุบัติเหตุ
• ป้องกันการทุจริต
• ปกป้องทรัพย์สินของบริษัทฯ
• ตรวจสอบการกระทำผิดกฎหมาย
บริษัทฯ จะดำเนินการภายใต้หลักความจำเป็น ความเหมาะสม และเคารพสิทธิความเป็นส่วนตัวของบุคคล
9. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
บริษัทฯ กำหนดมาตรการด้าน:
• Administrative Control
• Technical Control
• Physical Control
เช่น:
• การกำหนดสิทธิการเข้าถึงข้อมูล
• Password Control
• Encryption
• Firewall
• Antivirus
• Backup
• Log Monitoring
• Data Classification
• Secure Disposal
10. การส่งหรือโอนข้อมูลไปต่างประเทศ
บริษัทฯ อาจมีการส่งหรือโอนข้อมูลไปยังต่างประเทศภายใต้:
• มาตรฐานการคุ้มครองข้อมูลที่เพียงพอ
• สัญญาคุ้มครองข้อมูล
• มาตรการตาม PDPA และ GDPR
11. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิ:
• ขอเข้าถึงข้อมูล
• ขอรับสำเนา
• ขอแก้ไขข้อมูล
• ขอถอนความยินยอม
• ขอคัดค้าน
• ขอระงับการใช้
• ขอให้ลบข้อมูล
• ขอให้โอนย้ายข้อมูล
• ร้องเรียนต่อหน่วยงานกำกับดูแล
12. การจัดการเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach)
บริษัทฯ กำหนดให้มี:
• Incident Response Procedure
• Data Breach Reporting
• Root Cause Analysis
• Corrective & Preventive Action (CAPA)
กรณีเกิดเหตุละเมิดข้อมูล บริษัทฯ จะ:
• ประเมินผลกระทบ
• ควบคุมความเสียหาย
• แจ้งหน่วยงานกำกับดูแลตามกฎหมาย
• แจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง
13. การบริหารผู้ประมวลผลข้อมูลภายนอก
บริษัทฯ จะคัดเลือกและควบคุมผู้ให้บริการภายนอกอย่างเหมาะสม โดยกำหนด:
• Data Processing Agreement (DPA)
• Confidentiality Requirement
• Security Assessment
• Vendor Compliance Review
14. การเก็บรักษาและทำลายข้อมูล
บริษัทฯ จะเก็บรักษาข้อมูลตาม:
• ระยะเวลาที่จำเป็น
• ข้อกำหนดตามกฎหมาย
• วัตถุประสงค์ทางธุรกิจ
เมื่อพ้นระยะเวลา บริษัทฯ จะดำเนินการ:
• ลบ
• ทำลาย
• ทำให้ไม่สามารถระบุตัวบุคคลได้
อย่างปลอดภัยและตรวจสอบได้
15. การอบรมและสร้างความตระหนัก
บริษัทฯ จะจัดให้มี:
• PDPA Training
• Cybersecurity Awareness
• Privacy Awareness Campaign
• Internal Communication
อย่างต่อเนื่องให้แก่พนักงานและผู้เกี่ยวข้อง
16. การตรวจสอบและติดตามผล
บริษัทฯ จะดำเนินการ:
• Internal Audit
• Compliance Monitoring
• Risk Assessment
• KPI Monitoring
• Management Review
ตัวอย่าง KPI:
• จำนวน Incident ด้านข้อมูลส่วนบุคคล
• อัตราการผ่านการอบรม PDPA
• ระยะเวลาการตอบสนองต่อ Data Subject Request
• ผลการตรวจประเมินภายใน
17. บทลงโทษกรณีฝ่าฝืนนโยบาย
ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายนี้ อาจได้รับ:
• การดำเนินการทางวินัย
• การเลิกจ้าง
• การดำเนินคดีทางแพ่ง
• การดำเนินคดีทางอาญา
• การเรียกค่าเสียหาย
ตามกฎหมายและระเบียบบริษัทฯ
18. การทบทวนและปรับปรุงนโยบาย
บริษัทฯ จะทบทวนและปรับปรุงนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อ:
• มีกฎหมายใหม่
• มีการเปลี่ยนแปลงทางธุรกิจ
• เกิดเหตุด้าน Cybersecurity หรือ Data Breach
• มีข้อกำหนดจากลูกค้า คู่ค้า หรือมาตรฐานสากลเพิ่มเติม
19. ช่องทางการติดต่อ
หากพนักงานหรือเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยหรือปัญหาใดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ในฐานะ “เจ้าของข้อมูล” สามารถติดต่อ “ผู้ควบคุมข้อมูล” หรือ “เจ้าหน้าที่คุ้มครองข้อมูล” ได้ที่
• “บริษัท ไทยซัมมิท ฮาร์เนส จำกัด (มหาชน) ” ตั้งอยู่ ; 202 หมู่ 3 ต.ทุ่งสุขลา อ.ศรีราชา จ.ชลบุรี 20230
โทรศัพท์ 038-490760-7
• “บริษัท ไทยซัมมิท เคเบิ้ล แอนด์ พาร์ท จำกัด” ตั้งอยู่ ; 500/89 หมู่ 3 ต.ตาสิทธิ์ อ.ปลวกแดง จ.ระยอง 21140
โทรศัพท์ 038- 659750-58
• “บริษัท ไทยซัมมิท คอมโพเน้นท์ จำกัด” ตั้งอยู่ ;149 หมู่ที่ 17 ถนนบางนา-ตราด ต.บางเสาธง อ.บางเสาธง
จ.สุมทรปราการ 10570 โทรศัพท์ (0) 2705-2291-5
จึงประกาศมาเพื่อทราบและยึดถือปฏิบัติโดยทั่วกัน
ประกาศ ณ วันที่ 22 พฤษภาคม 2569
.............................................................
( นายจุติณัฏฐ์ สิริมังคลกิตติ )
ผู้อำนวยการสายธุรกิจ Wiring Harness
