นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัท แทนเจอรีน จำกัด

ส่วนที่ 1 ข้อมูลทั่วไปเกี่ยวกับแทนเจอรีน

1. แทนเจอรีนให้บริการอะไรบ้าง

บริษัท แทนเจอรีน จำกัด (แทนเจอรีน) จัดตั้งขึ้นเมื่อปี พ.ศ. 2546 เป็นบริษัทในเครือของ บริษัท ยิบอินซอย จำกัด ได้ประกอบธุรกิจให้บริการที่ปรึกษา พัฒนา ออกแบบ วางระบบคอมพิวเตอร์และเครือข่าย และระบบความปลอดภัยบนสารสนเทศ เพื่อมุ่งสู่จุดหมายเป็น “ที่ปรึกษาที่มีความเข้าใจธุรกิจของลูกค้า” โดยนำเทคโนโลยีมาปรับใช้ให้เกิดประโยชน์สูงสุด เพื่อเพิ่มศักยภาพการแข่งขันให้แก่ลูกค้า
โดยที่ แทนเจอรีนได้รับรางวัลต่าง ๆ มากมาย จากบริษัทคู่ค้าทางธุรกิจมาอย่างต่อเนื่อง อาทิ Google, Cisco, Dell Technologies และ VMware

2. บริการของแทนเจอรีน

2.1 บริการ Google Cloud แทนเจอรีนได้รับความไว้วางใจจาก Google ให้เป็นคู่ค้าระดับ Premier Partner เป็นบริษัทแรกในประเทศไทยในการให้บริการ Google Cloud ซึ่งได้แก่บริการต่างๆ ดังนี้

• Google Workspace
• Maps Platform
• Big Data Analytics
• Apigee
• Cloud Infrastructure
• MapTIST
• บริการเสริมอื่นๆ เช่น Tangerine Log Manager และ Tangerine Message Recall

2.2 บริการติดตั้งและให้การสนับสนุนแก่ลูกค้าทางด้านผลิตภัณฑ์สำหรับองค์กร อาทิ เช่น Cisco, Dell Technologies และ VMware

2.3 Application Development บริการออกแบบและพัฒนาซอฟต์แวร์ภายในองค์กรให้รองรับกับเทคโนโลยีใหม่ๆ และ การเติบโตของธุรกิจ ในช่องทางดิจิทัล

2.4 Cyber Security Solutions บริการให้คำปรึกษาและออกแบบ Solutions ทางด้านการรักษาความปลอดภัยเพื่อให้องค์กรพร้อมรับมือกับการถูกโจมตีทาง Cyber

2.5 IoT บริการให้คำปรึกษาและออกแบบ Solutions ทางด้าน IoT เพื่อนำเทคโนโลยีมาปรับใช้เพื่อสร้างโอกาสใหม่ทางธุรกิจ

ส่วนที่ 2 หลักการคุ้มครองข้อมูลส่วนบุคคล

แทนเจอรีนได้ประกอบธุรกิจให้บริการที่ปรึกษา พัฒนา ออกแบบ วางระบบคอมพิวเตอร์และเครือข่าย และระบบความปลอดภัยบนสารสนเทศ เพื่อมุ่งสู่จุดหมายเป็นที่ปรึกษาที่มีความเข้าใจธุรกิจของลูกค้า แทนเจอรีนมีความภาคภูมิใจที่จะกล่าวว่า บริการของแทนเจอรีน ได้แก่ บริการ Google Cloud มีความน่าเชื่อถือและมีความปลอดภัยในระดับสากลเพราะได้รับการตรวจประเมินและรับรองโดยผู้ตรวจสอบอิสระในระดับสากลครอบคลุมในทุกมิติ รวมทั้งบริการติดตั้งและให้การสนับสนุนสำหรับ Solutions และ บริการต่างๆซึ่งแทนเจอรีนได้ให้ความสำคัญต่อการกำหนดมาตรการเพื่อการคุ้มครองข้อมูลส่วนบุคคลและรักษาความมั่นคงปลอดภัยซึ่งถือเป็นหลักเกณฑ์ที่แทนเจอรีนให้ความสำคัญต่อการดูแลลูกค้าหรือผู้ใช้บริการของแทนเจอรีนเป็นอย่างยิ่ง อีกทั้งเป็นการแสดงความพร้อมของแทนเจอรีน ในการปฏิบัติตามผลการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ด้วย

1. หลักพื้นฐานสำคัญเพื่อคุ้มครอง Privacy และ Information Security

แทนเจอรีนได้ให้บริการที่เป็นบริการโครงสร้างพื้นฐานที่เกี่ยวข้องกับการวางระบบสารสนเทศที่ต้องมีความปลอดภัยในระดับสากล ในการให้บริการจึงต้องวางอยู่บนหลักพื้นฐานสำคัญเพื่อคุ้มครองความเป็นส่วนตัวสำหรับข้อมูลส่วนบุคคล (Privacy) และความมั่นคงปลอดภัย (Information Security) 3 ประการ ดังนี้

1.1 Confidentiality การรักษาความลับ

1.2 Integrity การรักษาความถูกต้องครบถ้วน

1.3 Availability สภาพพร้อมใช้งาน

2. การตรวจประเมิน และการรับรองตามมาตรฐานสากล

2.1 บริการ Google Cloud ผ่านการตรวจประเมิน และผ่านการรับรองตามมาตรฐานสากล

บริการ Google Cloud วางอยู่บนหลักการของการให้ความสำคัญต่อหลัก Confidentiality, หลัก Integrity, และหลัก Availability โดยเป็นบริการที่ได้รับการประเมินและผ่านการรับรองโดยผู้ตรวจสอบอิสระเพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการว่า ระบบที่ให้บริการนั้น มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคล และการดูแลความมั่นคงปลอดภัยตามมาตรฐานสากล อันได้แก่มาตรฐานดังต่อไปนี้

• ISO/IEC 27001 (Information Security Management Systems: ISMS)
• ISO/IEC 27017
(Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
• ISO/IEC 27018
(Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII)
in public clouds acting as PII processors)
• PCI DSS (Payment Card Industry (PCI)
• Data Security Standards (DSS))
• SOC 1 (Security Operation Center)
• SOC 2 (Security Operation Center)
• SOC 3 (Security Operation Center)
• CSA Star
• California Consumer Privacy Act (CCPA)
• GDPR (General Data Protection Regulation)

2.2 ส่วนบริการอื่นๆ ของแทนเจอรีนนอกเหนือจากบริการ Google Cloud ที่กำหนดไว้ในข้อ 2.1 นั้น แทนเจอรีนได้ให้ความสำคัญอย่างยิ่งต่อการกำหนดมาตรการเพื่อคุ้มครองข้อมูลส่วนบุคคล และ รักษาความมั่นคงปลอดภัยเอาไว้ด้วยเช่นกัน

3. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (The Personal Data Protection Act B.E.2562: PDPA) มีเจตนารมณ์เพื่อคุ้มครองข้อมูลส่วนบุคคล จึงได้กำหนดหลักการสำคัญ เอาไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

3.1    การกำหนดความหมายของข้อมูลส่วนบุคคลว่าหมายถึงอะไรบ้าง และมีกี่ประเภท

3.2    การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การใช้ การเปิดเผย หรือการโอนข้อมูลส่วนบุคคล โดยหลักการต้องอยู่ภายใต้วัตถุประสงค์ และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะมีกฎหมายกำหนดเอาไว้เป็นอย่างอื่น

3.3   สิทธิของเจ้าของข้อมูลส่วนบุคคล ในการเข้าถึง (access) และปรับปรุงแก้ไข (update) รวมทั้งลบ (delete) ข้อมูลส่วนบุคคล

3.4   หน้าที่ของผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลส่วนบุคคล

4. ข้อมูลส่วนบุคคล คืออะไร

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ และไม่รวมถึงข้อมูลสำหรับใช้ติดต่อในทางธุรกิจ เช่น ชื่อที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท   เป็นต้น

4.1 ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้โดยตรง เช่น ชื่อ ที่อยู่ เลขบัตรประจำตัวประชาชน เลขหนังสือเดินทาง เลขประกันสังคม เป็นต้น
ข้อมูลชีวภาพ ซึ่งเป็นข้อมูลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวกับการนำลักษณะเด่นทางกายภาพหรือพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกันบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า (face recognition) ข้อมูลจำลองม่านตา (iris) ข้อมูลจำลองลายนิ้วมือ (finger print) เป็นต้น

4.2 ข้อมูลที่อาจระบุตัวบุคคลนั้นได้ทางอ้อม
ข้อมูลที่สามารถเชื่อมโยงกันได้ เช่น ข้อมูลสองชุดที่อยู่ในระบบเดียวกันหรือต่างระบบกันแต่เอาใช้ประกอบกันแล้วสามารถเชื่อมโยงระบุไปยังตัวบุคคลนั้นได้

5. ข้อมูลส่วนบุคคลมีกี่ประเภท

ข้อมูลส่วนบุคคลแบ่งออกได้เป็น 2 ประเภท คือ
5.1 ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้โดยตรง และอาจระบุตัวบุคคลนั้น ได้โดยอ้อม
5.2 ข้อมูลส่วนบุคคลที่อ่อนไหว หรือกระทบต่อความรู้สึก (sensitive data) เช่น เชื้อชาติ เผ่าพันธ์ ความคิดเห็นทางการเมือง ศาสนา ข้อมูลพันธุกรรม หรือข้อมูลชีวภาพ เป็นต้น

6. การเก็บรวมรวบข้อมูลส่วนบุคคล

ซึ่งต้องดำเนินการโดยความยินยอมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะมีกฎหมายกำหนดข้อยกเว้นเอาไว้เป็นอย่างอื่น

7. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคล

ต้องเป็นไปตามวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอม เว้นแต่จะมีกฎหมายกำหนดเอาไว้เป็นอย่างอื่น

8. การประมวลผลข้อมูลส่วนบุคคล

ซึ่งหมายถึงการดำเนินการใดๆ ในการใช้วิธีการโดยอัตโนมัติในการเก็บรวบรวม ใช้ เปิดเผย แก้ไข และให้ได้รายงานสรุปผลการดำเนินการ รวมทั้งการส่งหรือโอนข้อมูลส่วนบุคคล

9. การใช้มาตรการความมั่นคงปลอดภัย

เพื่อปกป้องข้อมูลส่วนบุคคลจากการเปิดเผยโดยมิชอบหรือเพื่อมิให้มีการรั่วไหลของข้อมูล

10. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

หรือนอกราชอาณาจักร ซึ่งต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน เว้นแต่จะเป็นการดำเนินการตามที่กฎหมายกำหนด

11. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้น ระบุถึงโดยตรง หรืออาจระบุถึงโดยทางอ้อม เช่น รหัสผ่าน ซึ่งต้องใช้ร่วมกับข้อมูลอีกชุด คือ ชื่อ สกุลของเจ้าของข้อมูลส่วนบุคคลดังกล่าว จึงจะรู้ได้ว่า เจ้าของข้อมูลส่วนบุคคลนั้น เป็นใคร

12. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) 

คือ บุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการดำเนินการกับข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และมีหน้าที่ในการดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิเพื่อเข้าถึงข้อมูลส่วนบุคคล และปรับปรุงแก้ไขข้อมูลให้ถูกต้อง หรือให้เป็นปัจจุบัน รวมทั้งการลบข้อมูลส่วนบุคคล

13. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล

ส่วนที่ 3 การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล