ถุงมือผู้หญิงลด 20%
เอาท์เล็ตผู้ชาย - ลดสูงสุด 50%
สินค้าผู้หญิงลดสูงสุด 50%
รับส่วนลด 10% สำหรับคำสั่งซื้อแรกของคุณเมื่อสมัครรับจดหมายข่าวของเรา
Dents Dents
ค้นหา
เข้าสู่ระบบ
ค้นหา
ค้นหา
กระเป๋าของฉัน
กระเป๋าของฉัน
กระเป๋าของฉัน
ค้นหา
Close

คำนำ

นโยบายการคุ้มครองข้อมูลขององค์กรของเรากำหนดข้อกำหนดที่เข้มงวดสำหรับการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับลูกค้า, ผู้มีโอกาสเป็นลูกค้า, คู่ค้าทางธุรกิจ และพนักงาน มันสอดคล้องกับข้อกำหนดของ European Data Protection Directive (GDPR) และรับประกันการปฏิบัติตามหลักการของกฎหมายคุ้มครองข้อมูลระดับชาติและนานาชาติ

นโยบายนี้กำหนดมาตรฐานการคุ้มครองข้อมูลและความปลอดภัยที่ใช้บังคับสำหรับบริษัทของเราและควบคุมการแบ่งปันข้อมูลระหว่างบริษัทในกลุ่มของเรา เราได้กำหนดเจ็ดหลักการคุ้มครองข้อมูล – รวมถึงความโปร่งใส, การประหยัดข้อมูล และความปลอดภัยของข้อมูล – เป็นแนวทางของเรา

ผู้จัดการและพนักงานของเรามีหน้าที่ต้องปฏิบัติตามนโยบายและเคารพกฎหมายคุ้มครองข้อมูลท้องถิ่นของตน

ในฐานะผู้รับผิดชอบด้านการคุ้มครองข้อมูลขององค์กร หน้าที่ของฉันคือการรับประกันว่ากฎและหลักการของการคุ้มครองข้อมูลที่ Dents ได้รับการปฏิบัติตาม

Robert Yentob

ประธาน

23/5/18

สารบัญ

I. วัตถุประสงค์ของนโยบายการคุ้มครองข้อมูล

II. ขอบเขตของนโยบายการคุ้มครองข้อมูล

III. การใช้กฎหมายระดับชาติ

IV. หลักการสำหรับการประมวลผลข้อมูลส่วนบุคคล

1. ความเป็นธรรมและความถูกต้องตามกฎหมาย

2. การจำกัดเพื่อวัตถุประสงค์เฉพาะ

3. ความโปร่งใส

4. การลดข้อมูลและการประหยัดข้อมูล

5. การลบข้อมูล

6. ความถูกต้องของข้อเท็จจริง; ข้อมูลที่ทันสมัย

7. ความลับและความปลอดภัยของข้อมูล

V. ความน่าเชื่อถือของการประมวลผลข้อมูล

1. ข้อมูลลูกค้าและพันธมิตร

1.1 การประมวลผลข้อมูลสำหรับความสัมพันธ์ตามสัญญา

1.2 การประมวลผลข้อมูลเพื่อวัตถุประสงค์ทางโฆษณา

1.3 ความยินยอมในการประมวลผลข้อมูล

1.4 การประมวลผลข้อมูลตามการอนุญาตทางกฎหมาย

1.5 การประมวลผลข้อมูลตามผลประโยชน์ที่ชอบด้วยกฎหมาย

1.6 การประมวลผลข้อมูลที่มีความอ่อนไหวสูง

1.7 การตัดสินใจอัตโนมัติรายบุคคล

1.8 ข้อมูลผู้ใช้และอินเทอร์เน็ต

2. ข้อมูลพนักงาน

2.1 การประมวลผลข้อมูลสำหรับความสัมพันธ์การจ้างงาน

2.2 การประมวลผลข้อมูลตามการอนุญาตทางกฎหมาย

2.3 ความยินยอมในการประมวลผลข้อมูล

2.4 การประมวลผลข้อมูลตามผลประโยชน์ที่ชอบด้วยกฎหมาย

2.5 การประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง

2.6 การตัดสินใจอัตโนมัติ

2.7 โทรคมนาคมและอินเทอร์เน็ต

VI. การส่งข้อมูลส่วนบุคคล

VII. การประมวลผลข้อมูลตามสัญญา

VIII. สิทธิของเจ้าของข้อมูล

IX. ความลับของการประมวลผล

X. ความปลอดภัยในการประมวลผล

XI. การควบคุมการคุ้มครองข้อมูล

XII. เหตุการณ์การคุ้มครองข้อมูล

XIII. ความรับผิดชอบและบทลงโทษ

  1. I. วัตถุประสงค์ของนโยบายการคุ้มครองข้อมูล

ในฐานะส่วนหนึ่งของความรับผิดชอบต่อสังคม กลุ่ม Dewhurst Dent (กลุ่ม) มุ่งมั่นที่จะปฏิบัติตามกฎหมายคุ้มครองข้อมูล นโยบายการคุ้มครองข้อมูลนี้ใช้ทั่วโลกกับกลุ่ม และอิงตามหลักการพื้นฐานที่ได้รับการยอมรับทั่วโลกเกี่ยวกับการคุ้มครองข้อมูล การรับประกันการคุ้มครองข้อมูลเป็นรากฐานของความสัมพันธ์ทางธุรกิจที่น่าเชื่อถือและชื่อเสียงของบริษัททั้งหมดในกลุ่มในฐานะนายจ้างที่น่าสนใจ

นโยบายการคุ้มครองข้อมูลจัดเตรียมหนึ่งในเงื่อนไขกรอบงานที่จำเป็นสำหรับการส่งข้อมูลข้ามพรมแดน

การส่งข้อมูลระหว่างบริษัทในกลุ่ม เพื่อให้มั่นใจในระดับการคุ้มครองข้อมูลที่เหมาะสม

ที่กำหนดโดย GDPR และกฎหมายระดับชาติสำหรับการส่งข้อมูลข้ามพรมแดน รวมถึงในประเทศที่ยังไม่มีการคุ้มครองข้อมูลที่เพียงพอ

  1. II. ขอบเขตของนโยบายการคุ้มครองข้อมูล

นโยบายการคุ้มครองข้อมูลนี้ใช้กับบริษัทและแผนกทั้งหมดของกลุ่มบริษัท ได้แก่ Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) และ Hersil Fabrics

นโยบายการคุ้มครองข้อมูลครอบคลุมถึงการประมวลผลข้อมูลส่วนบุคคลทั้งหมด

  1. III. การใช้กฎหมายระดับชาติ

นโยบายการคุ้มครองข้อมูลนี้ประกอบด้วยหลักการความเป็นส่วนตัวข้อมูลที่ได้รับการยอมรับในระดับสากล

โดยไม่แทนที่กฎหมายระดับชาติที่มีอยู่ นโยบายนี้เป็นการเสริมกฎหมายความเป็นส่วนตัวข้อมูลระดับชาติ

กฎหมายของประเทศที่เกี่ยวข้องจะมีความสำคัญเหนือกว่าในกรณีที่ขัดแย้งกับนโยบายคุ้มครองข้อมูลนี้

นโยบาย หรือมีข้อกำหนดที่เข้มงวดกว่านโยบายนี้ เนื้อหาของนโยบายคุ้มครองข้อมูลนี้

ต้องปฏิบัติตามแม้ในกรณีที่ไม่มีบทบัญญัติกฎหมายของประเทศที่สอดคล้องกัน การรายงาน

ต้องปฏิบัติตามข้อกำหนดสำหรับการประมวลผลข้อมูลภายใต้กฎหมายของประเทศ

แต่ละบริษัทในกลุ่มมีความรับผิดชอบในการปฏิบัติตามนโยบายคุ้มครองข้อมูลนี้และข้อผูกพันทางกฎหมาย พนักงานทุกคนต้องอ่าน เข้าใจ และปฏิบัติตามนโยบายนี้และนโยบายที่เกี่ยวข้องเมื่อประมวลผลข้อมูลส่วนบุคคล และการละเมิดใดๆ อาจนำไปสู่การดำเนินการทางวินัย

  1. IV. หลักการสำหรับการประมวลผลข้อมูลส่วนบุคคล

1. ความเป็นธรรมและความถูกต้องตามกฎหมาย

เมื่อมีการประมวลผลข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลต้องได้รับการคุ้มครอง

ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมและประมวลผลอย่างถูกกฎหมายและเป็นธรรม กฎหมายคุ้มครองข้อมูลอนุญาตให้ประมวลผลเพื่อวัตถุประสงค์เฉพาะซึ่งระบุไว้ในนโยบายนี้ เจ้าของข้อมูลจะได้รับแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลซึ่งสามารถพบได้ในประกาศความเป็นส่วนตัวของพนักงานของบริษัท

2. จำกัดเฉพาะวัตถุประสงค์ที่เฉพาะเจาะจง ชัดเจน และชอบธรรม

ข้อมูลส่วนบุคคลสามารถประมวลผลได้เฉพาะเพื่อวัตถุประสงค์ที่ระบุชัดเจน ถูกต้องตามกฎหมาย และชอบธรรมเท่านั้น และจะไม่ถูกประมวลผลในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เหล่านั้น การเปลี่ยนแปลงวัตถุประสงค์ในภายหลังทำได้ในขอบเขตจำกัดและต้องมีเหตุผลสนับสนุน


3. ความโปร่งใส

เจ้าของข้อมูลต้องได้รับแจ้งว่าข้อมูลของเขา/เธอถูกจัดการอย่างไร [พนักงานจะได้รับประกาศความเป็นส่วนตัวแจ้งให้ทราบว่าข้อมูลของพวกเขาถูกประมวลผลอย่างไร] ข้อมูลจะต้องกระชับ โปร่งใส เข้าถึงได้ง่าย และใช้ภาษาที่ชัดเจนและเข้าใจง่าย

โดยทั่วไป ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมโดยตรงจากบุคคลที่เกี่ยวข้อง เมื่อมีการเก็บข้อมูล เจ้าของข้อมูลต้องรับรู้หรือได้รับแจ้งเกี่ยวกับ:

» ตัวตนของผู้ควบคุมข้อมูล

» วัตถุประสงค์ของการประมวลผลข้อมูล

» บุคคลที่สามหรือประเภทของบุคคลที่สามที่อาจได้รับการส่งข้อมูล

ข้อมูลส่วนบุคคลอาจถูกเก็บรวบรวมโดยทางอ้อม (เช่น จากบุคคลที่สามหรือแหล่งข้อมูลที่เปิดเผยต่อสาธารณะ) เจ้าของข้อมูลจะได้รับแจ้งข้อมูลข้างต้นโดยเร็วที่สุดหลังจากเก็บรวบรวม/ได้รับข้อมูล

4. การลดข้อมูลและการประหยัดข้อมูล

ข้อมูลส่วนบุคคลต้องมีความเพียงพอ สอดคล้อง และจำกัดเฉพาะสิ่งที่จำเป็นเท่านั้นในความสัมพันธ์กับวัตถุประสงค์ที่มีการประมวลผล ก่อนการประมวลผลข้อมูลส่วนบุคคล คุณต้องกำหนดว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจำเป็นหรือไม่และในระดับใดเพื่อให้บรรลุวัตถุประสงค์ที่ดำเนินการ

เมื่อวัตถุประสงค์อนุญาตและเมื่อค่าใช้จ่ายที่เกี่ยวข้องสอดคล้องกับเป้าหมายที่ต้องการ ข้อมูลที่ไม่ระบุตัวตนหรือข้อมูลสถิติต้องถูกใช้ ข้อมูลส่วนบุคคลไม่สามารถเก็บล่วงหน้าและจัดเก็บเพื่อวัตถุประสงค์ในอนาคตที่อาจเกิดขึ้นได้ เว้นแต่จะเป็นไปตามที่กฎหมายของประเทศกำหนดหรืออนุญาต

5. การลบข้อมูล

เมื่อข้อมูลส่วนบุคคลไม่จำเป็นอีกต่อไป จะถูกลบตามแนวทางและนโยบายการเก็บรักษาข้อมูลของบริษัท เจ้าของข้อมูลจะได้รับแจ้งระยะเวลาที่ข้อมูลถูกเก็บรักษาและวิธีการกำหนดระยะเวลานั้นในนโยบายความเป็นส่วนตัว

ต้องกำหนดให้บุคคลภายนอกลบข้อมูลที่ไม่จำเป็นอีกต่อไปในกรณีที่เกี่ยวข้อง

6. ความถูกต้องของข้อเท็จจริง; ข้อมูลที่ทันสมัย

ข้อมูลส่วนบุคคลที่เก็บไว้ต้องถูกต้อง และ – หากจำเป็น – ต้องได้รับการปรับปรุงให้ทันสมัย ต้องดำเนินการที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์จะถูกลบ แก้ไข เสริม หรือปรับปรุง

7. ความลับและความปลอดภัยของข้อมูล

ข้อมูลส่วนบุคคลอยู่ภายใต้ความลับ ต้องได้รับการปฏิบัติอย่างเป็นความลับในระดับบุคคลและได้รับการรักษาความปลอดภัยด้วยมาตรการองค์กรและเทคนิคที่เหมาะสมเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การประมวลผลหรือการแจกจ่ายที่ผิดกฎหมาย รวมถึงการสูญหาย ความเสียหาย การแก้ไข หรือการทำลายโดยไม่ตั้งใจ เรามีมาตรการคุ้มครองที่เหมาะสมกับขนาด ขอบเขต ทรัพยากร และความเสี่ยงที่ระบุไว้ ซึ่งจะได้รับการประเมินและทดสอบเป็นประจำ เราได้จัดทำขั้นตอนเพื่อจัดการกับเหตุการณ์ที่สงสัยว่าจะเป็นการละเมิดข้อมูลส่วนบุคคลและจะแจ้งให้เจ้าของข้อมูลหรือหน่วยงานกำกับดูแลที่เกี่ยวข้องทราบเมื่อกฎหมายกำหนดให้ต้องทำเช่นนั้น

ข้อมูลส่วนบุคคลจะถูกโอนให้กับผู้ให้บริการภายนอกที่ตกลงปฏิบัติตามนโยบายและขั้นตอนที่เรากำหนด และตกลงที่จะดำเนินมาตรการที่เหมาะสมเพื่อรักษาความปลอดภัยของข้อมูล ข้อมูลส่วนบุคคลจะไม่ถูกโอนไปยังประเทศอื่นโดยไม่มีการคุ้มครองที่เหมาะสม

  1. V. ความน่าเชื่อถือของการประมวลผลข้อมูล

การเก็บรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลได้รับอนุญาตเฉพาะภายใต้ฐานทางกฎหมายดังต่อไปนี้เท่านั้น

หนึ่งในฐานทางกฎหมายเหล่านี้ก็จำเป็นเช่นกันหากวัตถุประสงค์ของการเก็บรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลจะถูกเปลี่ยนแปลงจากวัตถุประสงค์เดิม

1. ข้อมูลลูกค้าและพันธมิตร

1.1 การประมวลผลข้อมูลสำหรับความสัมพันธ์ตามสัญญา

ข้อมูลส่วนบุคคลของผู้มีโอกาสเป็นลูกค้า ลูกค้า และพันธมิตรที่เกี่ยวข้องสามารถถูกประมวลผลเพื่อจัดตั้ง ดำเนินการ และยุติสัญญา ซึ่งรวมถึงบริการให้คำปรึกษาสำหรับพันธมิตรภายใต้สัญญาหากเกี่ยวข้องกับวัตถุประสงค์ของสัญญา ก่อนทำสัญญา – ในช่วงเริ่มต้นของสัญญา – ข้อมูลส่วนบุคคลสามารถถูกประมวลผลเพื่อเตรียมข้อเสนอหรือคำสั่งซื้อ หรือเพื่อตอบสนองคำขออื่น ๆ ของผู้มีโอกาสเป็นลูกค้าที่เกี่ยวข้องกับการทำสัญญา ผู้มีโอกาสเป็นลูกค้าสามารถถูกติดต่อในระหว่างกระบวนการเตรียมสัญญาโดยใช้ข้อมูลที่พวกเขาได้ให้ไว้ ข้อจำกัดใด ๆ ที่ผู้มีโอกาสเป็นลูกค้าร้องขอต้องได้รับการปฏิบัติตาม

1.2 การประมวลผลข้อมูลเพื่อวัตถุประสงค์ทางโฆษณา

หากเจ้าของข้อมูลติดต่อบริษัทในกลุ่มเพื่อขอข้อมูล (เช่น ขอรับเอกสารข้อมูลเกี่ยวกับผลิตภัณฑ์) การประมวลผลข้อมูลเพื่อให้เป็นไปตามคำขอนี้ได้รับอนุญาต

มาตรการความภักดีของลูกค้าหรือการโฆษณาต้องปฏิบัติตามข้อกำหนดทางกฎหมายเพิ่มเติม ข้อมูลส่วนบุคคลสามารถถูกประมวลผลเพื่อวัตถุประสงค์ในการโฆษณาหรือการวิจัยตลาดและความคิดเห็น ตราบใดที่สอดคล้องกับวัตถุประสงค์ที่เก็บข้อมูลเดิม เจ้าของข้อมูลต้องได้รับแจ้งเกี่ยวกับการใช้ข้อมูลของเขา/เธอเพื่อวัตถุประสงค์ในการโฆษณา หากข้อมูลถูกเก็บรวบรวมเพื่อวัตถุประสงค์ในการโฆษณาเท่านั้น การเปิดเผยจากเจ้าของข้อมูลเป็นไปโดยสมัครใจ เจ้าของข้อมูลจะได้รับแจ้งว่าการให้ข้อมูลเพื่อวัตถุประสงค์นี้เป็นไปโดยสมัครใจ เมื่อสื่อสารกับเจ้าของข้อมูล ต้องได้รับความยินยอมจากเขา/เธอในการประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการโฆษณา เมื่อให้ความยินยอม เจ้าของข้อมูลควรได้รับทางเลือกในรูปแบบการติดต่อที่มีอยู่ เช่น จดหมายปกติ อีเมล และโทรศัพท์ (ความยินยอม ดู V.1.3) หากเจ้าของข้อมูลปฏิเสธการใช้ข้อมูลของเขา/เธอเพื่อวัตถุประสงค์ในการโฆษณา ข้อมูลนั้นจะไม่สามารถใช้เพื่อวัตถุประสงค์เหล่านี้ได้อีกต่อไปและต้องถูกบล็อกไม่ให้ใช้เพื่อวัตถุประสงค์เหล่านี้ ต้องปฏิบัติตามข้อจำกัดอื่น ๆ จากประเทศเฉพาะเกี่ยวกับการใช้ข้อมูลเพื่อวัตถุประสงค์ในการโฆษณาอย่างเคร่งครัดด้วย

1.3 ความยินยอมในการประมวลผลข้อมูล

ข้อมูลสามารถถูกประมวลผลได้หลังจากได้รับความยินยอมจากเจ้าของข้อมูล ก่อนให้ความยินยอม เจ้าของข้อมูลต้องได้รับข้อมูลตามข้อ IV.3. ของนโยบายคุ้มครองข้อมูลนี้ การแสดงความยินยอมต้องได้รับเป็นลายลักษณ์อักษรหรือทางอิเล็กทรอนิกส์เพื่อวัตถุประสงค์ในการบันทึก ในบางกรณี เช่น การสนทนาทางโทรศัพท์ สามารถให้ความยินยอมด้วยวาจาได้ การให้ความยินยอมต้องมีการบันทึกไว้

1.4 การประมวลผลข้อมูลตามการอนุญาตทางกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลยังได้รับอนุญาตหากกฎหมายของประเทศร้องขอ กำหนด หรืออนุญาตให้ทำได้ ประเภทและขอบเขตของการประมวลผลข้อมูลต้องจำเป็นสำหรับกิจกรรมการประมวลผลข้อมูลที่ได้รับอนุญาตตามกฎหมาย และต้องเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

1.5 การประมวลผลข้อมูลตามผลประโยชน์ที่ชอบด้วยกฎหมาย

ข้อมูลส่วนบุคคลยังสามารถถูกประมวลผลได้หากจำเป็นสำหรับผลประโยชน์ที่ชอบด้วยกฎหมายของกลุ่ม ผลประโยชน์ที่ชอบด้วยกฎหมายโดยทั่วไปจะเป็นลักษณะทางกฎหมาย (เช่น การเก็บเงินค้างชำระ) หรือเชิงพาณิชย์ (เช่น การหลีกเลี่ยงการละเมิดสัญญา) ข้อมูลส่วนบุคคลไม่สามารถถูกประมวลผลเพื่อวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายได้หากในกรณีเฉพาะมีหลักฐานว่าผลประโยชน์ของเจ้าของข้อมูลควรได้รับการคุ้มครอง และสิ่งนี้มีความสำคัญมากกว่า ก่อนที่จะประมวลผลข้อมูล จำเป็นต้องพิจารณาว่ามีผลประโยชน์ที่ควรได้รับการคุ้มครองหรือไม่

1.6 การประมวลผลข้อมูลที่มีความอ่อนไหวสูง

ข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูงสามารถถูกประมวลผลได้ก็ต่อเมื่อกฎหมายกำหนดหรือเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดเจน ข้อมูลนี้ยังสามารถถูกประมวลผลได้หากเป็นข้อบังคับสำหรับการยืนยัน ใช้สิทธิ หรือปกป้องสิทธิทางกฎหมายเกี่ยวกับเจ้าของข้อมูล หากมีแผนที่จะประมวลผลข้อมูลที่มีความอ่อนไหวสูง ต้องแจ้งให้ประธานหรือ CEO ของบริษัทที่เกี่ยวข้อง (ซึ่งเป็นเจ้าหน้าที่คุ้มครองข้อมูล) ทราบล่วงหน้า

1.7 การตัดสินใจอัตโนมัติรายบุคคล

การประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติที่ใช้ประเมินแง่มุมบางอย่าง (เช่น ความน่าเชื่อถือทางการเงิน) ไม่สามารถเป็นฐานเดียวสำหรับการตัดสินใจที่มีผลทางกฎหมายในทางลบหรืออาจทำให้เจ้าของข้อมูลได้รับผลกระทบอย่างมีนัยสำคัญ เจ้าของข้อมูลต้องได้รับแจ้งข้อเท็จจริงและผลลัพธ์ของการตัดสินใจอัตโนมัติรายบุคคลและมีโอกาสตอบกลับ เพื่อหลีกเลี่ยงการตัดสินใจผิดพลาด ต้องมีการทดสอบและตรวจสอบความสมเหตุสมผลโดยพนักงาน

1.8 ข้อมูลผู้ใช้และอินเทอร์เน็ต

หากมีการรวบรวม ประมวลผล และใช้ข้อมูลส่วนบุคคลบนเว็บไซต์หรือในแอปพลิเคชัน เจ้าของข้อมูลต้องได้รับแจ้งเรื่องนี้ในนโยบายความเป็นส่วนตัว และถ้ามี ให้ข้อมูลเกี่ยวกับคุกกี้ด้วย นโยบายความเป็นส่วนตัวและข้อมูลคุกกี้ต้องถูกรวมไว้ในลักษณะที่ง่ายต่อการระบุ เข้าถึงได้โดยตรง และพร้อมใช้งานอย่างต่อเนื่องสำหรับเจ้าของข้อมูล หากมีการสร้างโปรไฟล์การใช้งาน (tracking) เพื่อประเมินการใช้เว็บไซต์และแอป เจ้าของข้อมูลต้องได้รับแจ้งตามนั้นในนโยบายความเป็นส่วนตัว การติดตามส่วนบุคคลสามารถทำได้เฉพาะเมื่อได้รับอนุญาตตามกฎหมายระดับชาติหรือได้รับความยินยอมจากเจ้าของข้อมูล หากการติดตามใช้ชื่อแฝง เจ้าของข้อมูลควรได้รับโอกาสในการเลือกไม่เข้าร่วมในนโยบายความเป็นส่วนตัว หากเว็บไซต์หรือแอปสามารถเข้าถึงข้อมูลส่วนบุคคลในพื้นที่ที่จำกัดเฉพาะผู้ใช้ที่ลงทะเบียน การระบุตัวตนและการยืนยันตัวตนของเจ้าของข้อมูลต้องมีการปกป้องที่เพียงพอในระหว่างการเข้าถึง

2. ข้อมูลพนักงาน

2.1 การประมวลผลข้อมูลสำหรับความสัมพันธ์การจ้างงาน

ในความสัมพันธ์การจ้างงาน ข้อมูลส่วนบุคคลสามารถถูกประมวลผลได้หากจำเป็นเพื่อปฏิบัติตามสัญญาจ้างงาน รวมถึงการเริ่มต้น ดำเนินการ และยุติการจ้างงาน เมื่อเริ่มต้นความสัมพันธ์การจ้างงาน ข้อมูลส่วนบุคคลของผู้สมัครสามารถถูกประมวลผลได้ หากผู้สมัครถูกปฏิเสธ ข้อมูลของเขา/เธอจะต้องถูกลบภายใน 6 เดือน เว้นแต่ผู้สมัครจะยินยอมให้เก็บไว้ในแฟ้มสำหรับกระบวนการคัดเลือกในอนาคต

ในความสัมพันธ์การจ้างงานที่มีอยู่ การประมวลผลข้อมูลอาจจำเป็นเพื่อวัตถุประสงค์ในการปฏิบัติตามสัญญาจ้างงาน แต่ก็อาจมีฐานทางกฎหมายอื่นสำหรับการประมวลผลดังกล่าวตามที่ระบุไว้ด้านล่าง หากจำเป็นในระหว่างกระบวนการสมัครงานที่จะรวบรวมข้อมูลเกี่ยวกับผู้สมัครจากบุคคลที่สาม จะต้องปฏิบัติตามข้อกำหนดของกฎหมายระดับชาติที่เกี่ยวข้อง ในกรณีที่สงสัย จะต้องได้รับความยินยอมจากเจ้าของข้อมูล อาจมีฐานทางกฎหมายทางเลือกในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับความสัมพันธ์การจ้างงาน ซึ่งอาจรวมถึงข้อกำหนดทางกฎหมาย ความยินยอมของพนักงาน หรือผลประโยชน์ชอบธรรมของบริษัท

2.2 การประมวลผลข้อมูลตามข้อผูกพันทางกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลของพนักงานยังได้รับอนุญาตหากกฎหมายของประเทศร้องขอ กำหนด หรืออนุญาตให้ทำเช่นนั้น ประเภทและขอบเขตของการประมวลผลข้อมูลต้องจำเป็นสำหรับกิจกรรมการประมวลผลข้อมูลที่ได้รับอนุญาตตามกฎหมาย และต้องเป็นไปตามบทบัญญัติทางกฎหมายที่เกี่ยวข้อง

2.3 ความยินยอมในการประมวลผลข้อมูล

ข้อมูลพนักงานสามารถถูกประมวลผลได้เมื่อได้รับความยินยอมจากบุคคลที่เกี่ยวข้อง การแถลงความยินยอมต้องถูกยื่นโดยสมัครใจ ความยินยอมที่ไม่ได้สมัครใจถือเป็นโมฆะ การแถลงความยินยอมต้องได้รับเป็นลายลักษณ์อักษรหรือทางอิเล็กทรอนิกส์เพื่อวัตถุประสงค์ในการจัดทำเอกสาร ในบางกรณี ความยินยอมอาจให้เป็นวาจา ซึ่งในกรณีนั้นต้องมีการบันทึกอย่างถูกต้อง

พนักงานยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของตนหากพวกเขาแสดงความเห็นชอบอย่างชัดเจนไม่ว่าจะโดยคำแถลงหรือการกระทำเชิงบวกต่อการประมวลผล หากความยินยอมถูกให้ในเอกสารที่เกี่ยวข้องกับเรื่องอื่น ความยินยอมต้องถูกแยกออกจากเรื่องอื่นเหล่านั้น พนักงานต้องสามารถถอนความยินยอมได้ง่ายในทุกเวลา

เว้นแต่จะมีฐานทางกฎหมายอื่นสำหรับการประมวลผล จำเป็นต้องได้รับความยินยอมอย่างชัดแจ้งสำหรับการประมวลผลข้อมูลประเภทพิเศษ (ดูข้อ 2.5 ด้านล่าง) โดยปกติบริษัทจะอาศัยฐานทางกฎหมายอื่นและจะไม่ต้องการความยินยอมอย่างชัดแจ้งในการประมวลผลข้อมูลประเภทพิเศษ

2.4 การประมวลผลข้อมูลตามผลประโยชน์ที่ชอบด้วยกฎหมาย

ข้อมูลส่วนบุคคลยังสามารถถูกประมวลผลได้หากจำเป็นเพื่อวัตถุประสงค์ของผลประโยชน์ที่ชอบด้วยกฎหมายของกลุ่มบริษัทหรือบุคคลที่สาม ผลประโยชน์ที่ชอบด้วยกฎหมายโดยทั่วไปมีลักษณะทางกฎหมาย (เช่น การยื่นฟ้อง การบังคับใช้ หรือการป้องกันคดีความทางกฎหมาย), ทางการเงิน (เช่น การประเมินมูลค่าบริษัท) หรืออื่นๆ (เช่น จำเป็นต้องปกป้องผลประโยชน์ที่สำคัญของบุคคลนั้นหรือบุคคลอื่น หรือจำเป็นสำหรับการปฏิบัติหน้าที่ที่ดำเนินการในความสนใจสาธารณะ)

ข้อมูลส่วนบุคคลอาจไม่ถูกประมวลผลโดยอิงตามผลประโยชน์ที่ชอบด้วยกฎหมาย หากในกรณีเฉพาะ ผลประโยชน์เหล่านั้นถูกลบล้างโดยผลประโยชน์หรือสิทธิและเสรีภาพพื้นฐานของเจ้าของข้อมูลซึ่งต้องการการคุ้มครองข้อมูลส่วนบุคคล ผลประโยชน์ที่ชอบด้วยกฎหมายที่อ้างอิงจะถูกระบุไว้ในประกาศความเป็นส่วนตัวที่ใช้บังคับ นอกจากนี้ ต้องพิจารณาข้อกำหนดเพิ่มเติมภายใต้กฎหมายของประเทศ (เช่น สิทธิในการร่วมตัดสินใจสำหรับตัวแทนพนักงานและสิทธิในการรับข้อมูลของเจ้าของข้อมูล)

2.5 การประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนสูงสามารถประมวลผลได้เฉพาะภายใต้เงื่อนไขบางประการ ข้อมูลที่มีความละเอียดอ่อนสูงคือข้อมูลเกี่ยวกับเชื้อชาติและเชื้อสายทางชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา การเป็นสมาชิกสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลไบโอเมตริก ข้อมูลสุขภาพ และข้อมูลเกี่ยวกับชีวิตทางเพศและรสนิยมทางเพศของบุคคลที่เกี่ยวข้อง ภายใต้กฎหมายของประเทศ ข้อมูลประเภทอื่นอาจถือเป็นข้อมูลที่มีความละเอียดอ่อนสูงหรือเนื้อหาของประเภทข้อมูลอาจถูกกำหนดแตกต่างกัน นอกจากนี้ ข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิดทางอาญามักจะประมวลผลได้เฉพาะภายใต้ข้อกำหนดพิเศษตามกฎหมายของประเทศ การประมวลผลต้องได้รับอนุญาตหรือกำหนดไว้อย่างชัดเจนตามกฎหมายของประเทศ นอกจากนี้ การประมวลผลอาจได้รับอนุญาตหากจำเป็นสำหรับหน่วยงานที่รับผิดชอบในการปฏิบัติหน้าที่และสิทธิในด้านกฎหมายแรงงาน พนักงานยังสามารถให้ความยินยอมชัดแจ้งในการประมวลผลได้ หากมีแผนที่จะประมวลผลข้อมูลที่มีความละเอียดอ่อนสูง ต้องแจ้งผู้จัดการคุ้มครองข้อมูลล่วงหน้า

ข้อมูลที่มีความละเอียดอ่อนสูงสามารถประมวลผลได้ในสถานการณ์ดังต่อไปนี้:

  • ด้วยความยินยอมชัดแจ้งจากบุคคลที่เกี่ยวข้อง
  • เมื่อการประมวลผลจำเป็นสำหรับการปฏิบัติหรือใช้สิทธิหรือหน้าที่ที่กฎหมายกำหนดแก่ผู้ควบคุมข้อมูลหรือบุคคลที่เกี่ยวข้องในเรื่องการจ้างงาน ประกันสังคม หรือการคุ้มครองสังคม และนายจ้างมีเอกสารนโยบายที่เหมาะสมและมาตรการคุ้มครองเพิ่มเติม
  • เมื่อการประมวลผลจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของบุคคลนั้นหรือบุคคลอื่น และบุคคลนั้นไม่สามารถให้ความยินยอมได้
  • เมื่อการประมวลผลเกี่ยวข้องกับข้อมูลส่วนบุคคลที่บุคคลนั้นได้เปิดเผยต่อสาธารณะ
  • เมื่อการประมวลผลจำเป็นสำหรับการจัดตั้ง ใช้สิทธิ หรือปกป้องข้อเรียกร้องทางกฎหมาย
  • เมื่อการประมวลผลจำเป็นด้วยเหตุผลของผลประโยชน์สาธารณะที่สำคัญ โดยมีเอกสารนโยบายที่เหมาะสมและมาตรการคุ้มครองเพิ่มเติมจากนายจ้าง ซึ่งอาจรวมถึงการประมวลผลข้อมูลเพื่อส่งเสริมความเท่าเทียมในการปฏิบัติ
  • เมื่อการประมวลผลจำเป็นสำหรับการประเมินความสามารถในการทำงานของบุคคลหรือเป็นไปตามการติดต่อกับผู้เชี่ยวชาญด้านสุขภาพ และอยู่ภายใต้การคุ้มครองความลับ

2.6 การตัดสินใจอัตโนมัติ

หากข้อมูลส่วนบุคคลถูกประมวลผลโดยอัตโนมัติเป็นส่วนหนึ่งของความสัมพันธ์ในการจ้างงาน และมีการประเมินรายละเอียดส่วนบุคคลเฉพาะ (เช่น เป็นส่วนหนึ่งของการคัดเลือกบุคลากรหรือการประเมินโปรไฟล์ทักษะ) การประมวลผลอัตโนมัตินี้ไม่สามารถเป็นพื้นฐานเดียวสำหรับการตัดสินใจที่อาจมีผลลบหรือผลกระทบอย่างมีนัยสำคัญต่อพนักงานที่ได้รับผลกระทบ เพื่อหลีกเลี่ยงการตัดสินใจผิดพลาด กระบวนการอัตโนมัติต้องมั่นใจว่ามนุษย์ประเมินเนื้อหาของสถานการณ์ และการประเมินนี้เป็นพื้นฐานสำหรับการตัดสินใจ บุคคลที่เกี่ยวข้องต้องได้รับแจ้งข้อเท็จจริงและผลลัพธ์ของการประมวลผลอัตโนมัติและความเป็นไปได้ในการตอบกลับ บริษัทไม่มีแผนที่จะใช้การตัดสินใจอัตโนมัติแต่จะแจ้งพนักงานเป็นลายลักษณ์อักษรหากตำแหน่งเปลี่ยนแปลง

2.7 โทรคมนาคมและอินเทอร์เน็ต

อุปกรณ์โทรศัพท์ ที่อยู่อีเมล อินทราเน็ตและอินเทอร์เน็ต รวมถึงเครือข่ายสังคมภายใน จัดหาโดยบริษัทเพื่อใช้ในงานที่เกี่ยวข้องกับงานเป็นหลัก พวกเขาเป็นเครื่องมือและทรัพยากรของบริษัท สามารถใช้ได้ภายในกฎหมายที่บังคับใช้และนโยบายภายในบริษัท ในกรณีที่ได้รับอนุญาตให้ใช้เพื่อวัตถุประสงค์ส่วนตัว ต้องปฏิบัติตามกฎหมายความลับของการสื่อสารโทรคมนาคมและกฎหมายโทรคมนาคมแห่งชาติที่เกี่ยวข้องหากใช้บังคับ จะไม่มีการตรวจสอบทั่วไปของการสื่อสารทางโทรศัพท์และอีเมลหรือการใช้อินทราเน็ต/อินเทอร์เน็ต เพื่อป้องกันการโจมตีโครงสร้างพื้นฐานไอทีหรือผู้ใช้แต่ละราย สามารถดำเนินมาตรการป้องกันสำหรับการเชื่อมต่อกับเครือข่ายของบริษัทในกลุ่มที่บล็อกเนื้อหาที่เป็นอันตรายทางเทคนิคหรือวิเคราะห์รูปแบบการโจมตีได้ ด้วยเหตุผลด้านความปลอดภัย การใช้เครื่องโทรศัพท์ ที่อยู่อีเมล อินทราเน็ต/อินเทอร์เน็ต และเครือข่ายสังคมภายในสามารถถูกบันทึกไว้เป็นระยะเวลาชั่วคราว การประเมินข้อมูลนี้จากบุคคลเฉพาะสามารถทำได้เฉพาะในกรณีที่สงสัยว่ามีการละเมิดกฎหมายหรือนโยบายของกลุ่ม ต้องปฏิบัติตามกฎหมายแห่งชาติที่เกี่ยวข้องในลักษณะเดียวกับข้อบังคับของกลุ่ม

  1. VI. การส่งข้อมูลส่วนบุคคล

การส่งข้อมูลส่วนบุคคลไปยังผู้รับนอกหรือภายในกลุ่มต้องเป็นไปตามข้อกำหนดการอนุญาตสำหรับการประมวลผลข้อมูลส่วนบุคคลภายใต้ส่วนที่ V ข้อมูลส่วนบุคคลจะไม่ถูกแบ่งปันกับบุคคลที่สาม เว้นแต่จะมีการวางมาตรการป้องกันและข้อตกลงทางสัญญาบางประการ ผู้รับข้อมูลต้องถูกกำหนดให้ใช้ข้อมูลเฉพาะเพื่อวัตถุประสงค์ที่กำหนดและเป็นไปตามคำแนะนำของเรา

ในกรณีที่มีการส่งข้อมูลไปยังผู้รับนอกกลุ่มไปยังประเทศที่สาม รวมถึงประเทศนอกสหภาพยุโรป เราจะรับประกันว่ามีระดับการปกป้องที่เพียงพอในประเทศนั้นเพื่อปกป้องข้อมูลส่วนบุคคลเทียบเท่ากับระดับการปกป้องที่ระบุไว้ในนโยบายคุ้มครองข้อมูลนี้ หากข้อมูลถูกส่งโดยบุคคลที่สามไปยังบริษัทในกลุ่ม จะต้องมั่นใจได้ว่าข้อมูลจะถูกใช้เพื่อวัตถุประสงค์ที่ตั้งไว้

  1. VII. การประมวลผลข้อมูลตามสัญญา

การประมวลผลข้อมูลในนามหมายถึงการว่าจ้างผู้ให้บริการเพื่อประมวลผลข้อมูลส่วนบุคคล โดยไม่

ได้รับมอบหมายความรับผิดชอบสำหรับกระบวนการทางธุรกิจที่เกี่ยวข้อง ในกรณีเหล่านี้ จะมีข้อตกลง

เกี่ยวกับการประมวลผลข้อมูลในนามต้องทำสัญญากับผู้ให้บริการภายนอกและระหว่างบริษัทต่างๆ

ภายในกลุ่ม ลูกค้ายังคงรับผิดชอบเต็มที่ต่อการปฏิบัติการประมวลผลข้อมูลที่ถูกต้อง ผู้ให้บริการสามารถประมวลผลข้อมูลส่วนบุคคลได้เฉพาะตามคำสั่งจากลูกค้าเท่านั้น เมื่อออกคำสั่ง ต้องปฏิบัติตามข้อกำหนดต่อไปนี้; แผนกที่ออกคำสั่งต้องมั่นใจว่าข้อกำหนดเหล่านั้นได้รับการปฏิบัติ

  1. ต้องเลือกผู้ให้บริการโดยพิจารณาจากความสามารถในการครอบคลุมมาตรการป้องกันทางเทคนิคและองค์กรที่จำเป็น
  2. คำสั่งต้องทำเป็นลายลักษณ์อักษร คำแนะนำเกี่ยวกับการประมวลผลข้อมูลและความรับผิดชอบของลูกค้าและผู้ให้บริการต้องถูกบันทึกไว้
  3. ต้องพิจารณามาตรฐานสัญญาสำหรับการปกป้องข้อมูลที่จัดทำโดยผู้จัดการการปกป้องข้อมูล
  4. ก่อนเริ่มการประมวลผลข้อมูล ลูกค้าต้องมั่นใจว่าผู้ให้บริการจะปฏิบัติตามหน้าที่ ผู้ให้บริการสามารถบันทึกการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลใน

โดยเฉพาะอย่างยิ่งโดยการแสดงใบรับรองที่เหมาะสม ขึ้นอยู่กับความเสี่ยงของการประมวลผลข้อมูล การตรวจสอบต้องทำซ้ำเป็นประจำในระหว่างระยะเวลาของสัญญา

  1. ใช้เฉพาะพนักงานและบุคคลอื่นที่มีหน้าที่รักษาความลับเกี่ยวกับข้อมูลเท่านั้น
  2. ปฏิบัติตามข้อผูกพันด้านความปลอดภัยที่เทียบเท่ากับที่กำหนดให้นายจ้างภายใต้ GDPR
  3. แจ้งให้นายจ้างทราบถึงการละเมิดใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่นายจ้างได้แบ่งปัน
  4. จ้างผู้ประมวลผลย่อยได้เฉพาะเมื่อได้รับอนุญาตล่วงหน้าจากนายจ้างเท่านั้น
    1. ในกรณีการประมวลผลข้อมูลตามสัญญาข้ามพรมแดน ต้องปฏิบัติตามข้อกำหนดระดับชาติที่เกี่ยวข้องสำหรับการเปิดเผยข้อมูลส่วนบุคคลไปต่างประเทศ โดยเฉพาะข้อมูลส่วนบุคคลจากเขตเศรษฐกิจยุโรปสามารถประมวลผลในประเทศที่สามได้ก็ต่อเมื่อผู้ให้บริการสามารถพิสูจน์ได้ว่ามีมาตรฐานการปกป้องข้อมูลเทียบเท่ากับนโยบายการปกป้องข้อมูลนี้ เครื่องมือที่เหมาะสมอาจเป็น:
      1. ข้อตกลงเกี่ยวกับข้อกำหนดมาตรฐานของสหภาพยุโรปสำหรับสัญญาการประมวลผลข้อมูลในประเทศที่สามกับผู้ให้บริการและผู้รับจ้างย่อยใดๆ
      2. การมีส่วนร่วมของผู้ให้บริการในระบบการรับรองที่ได้รับการรับรองโดยสหภาพยุโรปสำหรับการให้ระดับการปกป้องข้อมูลที่เพียงพอ
      3. การรับทราบกฎระเบียบบริษัทที่ผูกพันของผู้ให้บริการเพื่อสร้างระดับการปกป้องข้อมูลที่เหมาะสมโดยหน่วยงานกำกับดูแลที่รับผิดชอบด้านการปกป้องข้อมูล

  1. VIII. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลทุกคนมีสิทธิดังต่อไปนี้;

  1. เจ้าของข้อมูลอาจขอข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเขา/เธอที่ถูกเก็บไว้ วิธีการเก็บข้อมูล และวัตถุประสงค์ หากมีสิทธิ์เพิ่มเติมในการ

ดูเอกสารของนายจ้าง (เช่น แฟ้มบุคลากร) สำหรับความสัมพันธ์การจ้างงานภายใต้

กฎหมายแรงงานที่เกี่ยวข้องจะยังคงไม่ถูกกระทบ

  1. หากข้อมูลส่วนบุคคลถูกส่งต่อไปยังบุคคลที่สาม ต้องแจ้งข้อมูลเกี่ยวกับตัวตน

ของผู้รับหรือประเภทของผู้รับ

  1. หากข้อมูลส่วนบุคคลไม่ถูกต้องหรือไม่สมบูรณ์ เจ้าของข้อมูลสามารถขอให้แก้ไขได้

หรือเพิ่มเติม

  1. เจ้าของข้อมูลสามารถคัดค้านการประมวลผลข้อมูลของเขาหรือเธอเพื่อวัตถุประสงค์ในการโฆษณาหรือการวิจัยตลาด/ความคิดเห็น ข้อมูลต้องถูกบล็อกจากการใช้งานประเภทนี้
  2. เจ้าของข้อมูลอาจขอลบข้อมูลของเขา/เธอหากการประมวลผลข้อมูลดังกล่าวไม่มีฐานทางกฎหมาย หรือหากฐานทางกฎหมายสิ้นสุดลง ข้อนี้ใช้กับกรณีที่วัตถุประสงค์เบื้องหลังการประมวลผลข้อมูลหมดอายุหรือไม่สามารถใช้ได้ด้วยเหตุผลอื่น ๆ ต้องปฏิบัติตามระยะเวลาการเก็บรักษาที่มีอยู่และผลประโยชน์ที่ขัดแย้งกันซึ่งควรได้รับการคุ้มครอง
  3. โดยทั่วไปเจ้าของข้อมูลมีสิทธิ์คัดค้านการประมวลผลข้อมูลของตนเมื่อเราอาศัยผลประโยชน์ที่ชอบด้วยกฎหมาย (หรือของบุคคลที่สาม) สำหรับการประมวลผล และมีบางสิ่งเกี่ยวกับสถานการณ์เฉพาะของเจ้าของข้อมูลที่ทำให้เขา/เธอต้องการคัดค้านการประมวลผลในพื้นฐานนี้ ต้องพิจารณาเรื่องนี้หากการปกป้องผลประโยชน์ของเขา/เธอมีความสำคัญมากกว่าผลประโยชน์ของผู้ควบคุมข้อมูลเนื่องจากสถานการณ์ส่วนตัวเฉพาะนี้ ข้อนี้ไม่ใช้บังคับหากมีบทบัญญัติตามกฎหมายที่กำหนดให้ต้องประมวลผลข้อมูล หรือหากการประมวลผลจำเป็นสำหรับการจัดตั้ง ใช้สิทธิ หรือป้องกันข้อเรียกร้องทางกฎหมาย
  4. เจ้าของข้อมูลสามารถขอจำกัดการประมวลผลข้อมูลส่วนบุคคลของตน ซึ่งช่วยให้เจ้าของข้อมูลขอระงับการประมวลผลข้อมูลส่วนบุคคล เช่น หากต้องการให้นายจ้างตรวจสอบความถูกต้องหรือเหตุผลในการประมวลผลข้อมูล
  5. เจ้าของข้อมูลสามารถขอให้โอนข้อมูลส่วนบุคคลของตนไปยังฝ่ายอื่นในบางกรณี

  1. IX. ความลับของการประมวลผล

ข้อมูลส่วนบุคคลอยู่ภายใต้ความลับ การเก็บรวบรวม การประมวลผล หรือการใช้ข้อมูลดังกล่าวโดยพนักงานโดยไม่ได้รับอนุญาตเป็นสิ่งต้องห้าม การประมวลผลข้อมูลใด ๆ ที่พนักงานดำเนินการโดยไม่ได้รับอนุญาตให้ทำในฐานะหน้าที่ที่ชอบด้วยกฎหมายของเขา/เธอถือเป็นการกระทำที่ไม่ได้รับอนุญาต หลักการ “จำเป็นต้องรู้” มีผลบังคับใช้ พนักงานอาจเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะในขอบเขตและประเภทของงานที่เหมาะสมเท่านั้น ซึ่งต้องมีการแยกแยะและแบ่งแยกอย่างรอบคอบ รวมถึงการกำหนดบทบาทและความรับผิดชอบ พนักงานถูกห้ามใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ส่วนตัวหรือเชิงพาณิชย์ เปิดเผยข้อมูลแก่บุคคลที่ไม่ได้รับอนุญาต หรือทำให้ข้อมูลพร้อมใช้งานในทางอื่น ผู้บังคับบัญชาต้องแจ้งให้พนักงานทราบตั้งแต่เริ่มต้นของความสัมพันธ์การจ้างงานเกี่ยวกับภาระหน้าที่ในการปกป้องความลับของข้อมูล ภาระหน้าที่นี้จะยังคงมีผลบังคับใช้แม้หลังจากการจ้างงานสิ้นสุดลงแล้ว

  1. X. ความปลอดภัยในการประมวลผล

ข้อมูลส่วนบุคคลต้องได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตและการประมวลผลหรือการเปิดเผยที่ผิดกฎหมาย รวมถึงการสูญหาย การแก้ไข หรือการทำลายโดยไม่ตั้งใจ ซึ่งใช้ได้ไม่ว่าจะเป็นการประมวลผลข้อมูลในรูปแบบอิเล็กทรอนิกส์หรือในรูปแบบกระดาษ ก่อนการนำวิธีการประมวลผลข้อมูลใหม่มาใช้ โดยเฉพาะระบบ IT ใหม่ ต้องกำหนดและดำเนินมาตรการทางเทคนิคและองค์กรเพื่อปกป้องข้อมูลส่วนบุคคล มาตรการเหล่านี้ต้องอิงตามเทคโนโลยีที่ทันสมัย ความเสี่ยงของการประมวลผล และความจำเป็นในการปกป้องข้อมูล (ซึ่งกำหนดโดยกระบวนการจัดประเภทข้อมูล) โดยเฉพาะอย่างยิ่ง แผนกที่รับผิดชอบสามารถปรึกษากับผู้จัดการการคุ้มครองข้อมูลของตนได้

  1. XI. การควบคุมการคุ้มครองข้อมูล

การปฏิบัติตามนโยบายการคุ้มครองข้อมูลและกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ กฎหมายได้รับการตรวจสอบอย่างสม่ำเสมอ. ผลการตรวจสอบการคุ้มครองข้อมูลต้องรายงานต่อผู้จัดการการคุ้มครองข้อมูล

  1. XII. เหตุการณ์การคุ้มครองข้อมูล

พนักงานทุกคนต้องแจ้งหัวหน้าหรือผู้จัดการการคุ้มครองข้อมูลทันทีเกี่ยวกับกรณีการละเมิดนโยบายการคุ้มครองข้อมูลนี้หรือข้อบังคับอื่น ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (เหตุการณ์การคุ้มครองข้อมูล) ผู้จัดการที่รับผิดชอบฟังก์ชันหรือหน่วยงานต้องแจ้งผู้จัดการการคุ้มครองข้อมูลที่รับผิดชอบทันทีเกี่ยวกับเหตุการณ์การคุ้มครองข้อมูล

ในกรณีของ

» การส่งข้อมูลส่วนบุคคลไปยังบุคคลที่สามอย่างไม่เหมาะสม

» การเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลที่สามอย่างไม่เหมาะสม หรือ

» การสูญหายของข้อมูลส่วนบุคคล

ต้องจัดทำรายงานบริษัทที่จำเป็น (การจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูล)

ทันทีเพื่อให้สามารถปฏิบัติตามหน้าที่รายงานภายใต้กฎหมายของประเทศได้

  1. XIII. ความรับผิดชอบและบทลงโทษ

หน่วยงานบริหารของบริษัทในกลุ่มมีความรับผิดชอบในการประมวลผลข้อมูลในขอบเขตความรับผิดชอบของตน ดังนั้นจึงจำเป็นต้องมั่นใจว่าข้อกำหนดทางกฎหมาย และข้อกำหนดที่ระบุไว้ในนโยบายการคุ้มครองข้อมูล ได้รับการปฏิบัติตาม (เช่น หน้าที่รายงานตามกฎหมายของประเทศ) เจ้าหน้าที่ฝ่ายบริหารมีหน้าที่รับผิดชอบในการรับรองว่ามีมาตรการด้านองค์กร ทรัพยากรบุคคล และเทคนิคที่เหมาะสมเพื่อให้การประมวลผลข้อมูลใด ๆ ดำเนินไปตามข้อกำหนดการคุ้มครองข้อมูล การปฏิบัติตามข้อกำหนดเหล่านี้เป็นความรับผิดชอบของพนักงานที่เกี่ยวข้อง หากหน่วยงานราชการดำเนินการตรวจสอบการคุ้มครองข้อมูล ผู้จัดการการคุ้มครองข้อมูลต้องได้รับแจ้งทันที การประมวลผลข้อมูลส่วนบุคคลอย่างไม่เหมาะสม หรือการละเมิดกฎหมายคุ้มครองข้อมูลอื่น ๆ อาจถูกดำเนินคดีทางอาญาในหลายประเทศและส่งผลให้เกิดการเรียกร้องค่าชดเชยความเสียหาย การละเมิดที่พนักงานแต่ละคนรับผิดชอบอาจนำไปสู่การลงโทษตามกฎหมายแรงงาน