นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
ปรับปรุงล่าสุดเมื่อเดือน กันยายน 2563
บริษัท โตโยต้า ลีสซิ่ง จำกัด (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการ การละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและเหมาะสม
นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมถึงบุคคลใด ๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัทฯ ซึ่งจะต้องปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และตามกรอบที่กฎหมายกำหนด
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“นโยบายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Policy) หมายความว่า นโยบาย ที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดไว้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผล” หมายความว่า การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น
บทบาท | หน้าที่ความรับผิดชอบ |
---|---|
ผู้ควบคุมข้อมูลส่วนบุคคล |
|
ผู้ประมวลผลข้อมูลส่วนบุคคล |
|
บทบาท | หน้าที่ความรับผิดชอบ |
---|---|
ผู้บริหาร |
|
พนักงาน และลูกจ้าง |
|
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล |
|
บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้
การใช้และการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 5.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้
บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้
เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าว บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
ในกรณีที่บริษัทฯ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะต้องเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย
นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถการใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้
อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย
บริษัทฯ จะจัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อมายังบริษัทฯ เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้นได้ ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้างหรือ ผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศที่ออกตามพระราชบัญญัติดังกล่าว
บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ
ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมาย
บริษัทฯ จะจัดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือเมื่อเกิดเหตุการณ์เปลี่ยนแปลงที่มีผลกระทบต่อนโยบายอย่างมีนัยสำคัญ
รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล
รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
Latest update on September 2020
Toyota Leasing (Thailand) Company Limited (“the Company”) is committed to strengthen personal data protection in accordance with the Personal Data Protection Act B.E. 2562 and therefore introduces this Personal Data Protection Data Policy to ensure the Company’s compliance with laws and international standards on personal data protection. In addition, the Company has established rules for the protection of personal data of data subjects and has implemented effective and appropriate measures for addressing any violations of the rights of data subjects.
The scope of enforcement and application of the Personal Data Protection Policy prepared in accordance with the Personal Data Protection Act B.E. 2562 covers all processing of personal data performed by the Company, as well as any person who comes into contact with personal data because it is related to the Company's operations and must therefore comply with this Personal Data Protection Policy and the legal framework.
With respect to personal data collected prior to the introduction of the Personal Data Protection Act B.E. 2562, the Company is enabled to continue collecting and using the personal data for the initial purposes. Any disclosures and acts other than the collection and use of personal data must be in compliance with the Personal Data Protection Act B.E. 2562.
“Personal Data Protection Policy” means the policy that the Company has established to make the data subject aware of the Company’s processing of data and a number of relevant issues as stipulated by the Personal Data Protection Act B.E. 2562.
“Personal data” means any information relating to an identifiable person, either directly or indirectly, but excluding the information of a deceased person in particular.
“Sensitive data” means personal information relating to race, ethnicity, political opinion, belief, religion or philosophy, sexual orientation, criminal record, health information, disability, labour union information, genetic data, biological data, or any other data which may impact the data subject in a similar manner, as stipulated in the Personal Data Protection Committee’s announcements.
“Processing” means the collection, use, or disclosure of personal data.
“Data subject” means an individual who is the owner of personal data.
“Data Controller” means another person or juristic person with power and duties to make a decision regarding the collection, use or disclosure of personal data.
“Data Processor” means a person or juristic person who processes, collects, uses or discloses personal data in accordance with an order of or on behalf of the Data Controller. The person or the juristic person engaging in those procedures is not the Data Controller.
“Cookies” means small, temporary files collecting personal data that it is necessary to install on the computer of the data subject only for convenience and facilitation of communication while gaining access to a website.
Roles | Responsibilities |
---|---|
Data controller |
|
Data processor |
|
Role | Responsibilities |
---|---|
Management |
|
Officers and employees |
|
Data protection officer |
|
The Company’s collection of personal data (such as specific personal information, information related to personal life or personal interests, financial information, sensitive personal information) is to be based on the following sources and principles:
The use and disclosure of personal data by the Company shall be in compliance with the purposes and principles stated in Section 5.2 Principles of personal data collection. The Company may disclose personal data to agencies or third parties with the consent of the data subjects only to the extent that it is necessary to do so, unless such disclosure is permitted by law. Personal data may be disclosed to third parties, organisations or government agencies as follows:
The duration for which the Company stores personal data will be either one of the following:
At the end of such period, the Company shall delete, destroy, or anonymize the personal data.
When the Company transmits or transfers personal data to another country, it shall take steps to ensure that the destination country has sufficient personal data protection standards.
However, in cases where that the destination country does not have sufficient personal data protection standards, the transmission or transfer of such personal information must comply with exceptions specified in the Company’s rules that are not in violation of the law.
This policy is established to assure data subjects that they can exercise the following rights available to them under the Personal Data Protection Act, B.E.2562 (2019).
However, the Company may refuse the exercise of the above rights by the data subjects, provided that the rejection is in accordance with the Company’s rules that are not in violation of the law.
The Company shall provide a channel through which data subjects can contact the Company to make requests to exercise the above rights. In the event that the Company rejects a request, it shall notify the data subjects of the reason for the rejection.
The Data Subject has the right to file a complaint in case where the Data Controller or the Data Processor, including its employees or service providers violates the Personal Data Protection Act B.E. 2562, or notifications issued in accordance with the Act.
The Company has established appropriate personal data security measures to prevent the loss of, unauthorized and unlawful access to, and the use, modification, correction or disclosure of personal data in accordance with the Company's policies and procedures for information security.
In case where the Company has engaged an agency or a third party to perform work related to the collection, use or disclosure of personal data of the data subjects, it shall require the agency or the third party to keep the personal data confidential and secure, and to prevent the collection, use or disclosure of such personal data for any purposes other than specified in the scope of engagement or for any unlawful purposes.
The Company shall review and update this policy at least once a year, or when any change with a significant impact on the policy occurs.
Details of Data Controller
Details of Data Protection Officer