บริษัท ทีธทอล์ค จำกัด
1. บทนำ
บริษัท ทีธทอล์ค จำกัด ซึ่งประกอบธุรกิจคลินิกทันตกรรมหลายสาขา และมีสำนักงานใหญ่เป็นผู้บริหารจัดการ (ซึ่ง ต่อไปนี้จะเรียกรวมว่า “บริษัท”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล เพื่อให้ สามารถเชื่อมั่นได้ว่าบริษัทมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผย ข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูล ส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ ถูกจัดทำขึ้น เพื่อกำหนดรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคล ซึ่งดำเนินการโดยบริษัทรวมถึงพนักงาน ทันตแพทย์บุคลากรทางการแพทย์ และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของบริษัท โดยมีเนื้อหาสาระดังต่อไปนี้
2. ขอบเขตการบังคับใช้นโยบาย
นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับบริษัทในปัจจุบันและที่อาจมีใน อนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัท ทั้งในส่วนของสำนักงานใหญ่และคลินิกสาขา ต่าง ๆ พนักงานตามสัญญา ทันตแพทย์บุคลากรทางการแพทย์หน่วยธุรกิจ หรือหน่วยงานรูปแบบอื่นที่ ดำเนินการโดยบริษัท และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือ ในนามของบริษัท (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์บริการ และการรักษาพยาบาล ต่าง ๆ เช่น คลินิกทันตกรรม เว็บไซต์ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุม ดูแลโดยบริษัท (รวมเรียกว่า “บริการ”)
บุคคลซึ่ง มีความสัมพันธ์กับบริษัท ตามความในวรรคข้างต้น รวมถึง
1. คนไข้ผู้รับบริการ และผู้เข้ารับการปรึกษาทางทันตกรรม
2. พนักงาน ทันตแพทย์บุคลากรทางการแพทย์ผู้ปฏิบัติงาน และลูกจ้าง
3. คู่ค้า ผู้ให้บริการ และผู้รับเหมาซึ่งเป็นบุคคลธรรมดา
4. กรรมการ ผู้รับมอบอำนาจ ผู้แทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบ เดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัท
5. ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัท
6. ผู้เข้าชมหรือใช้งานเว็บไซต์ระบบ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัท
7. บุคคลอื่นที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของพนักงาน ผู้ค้ำ ประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น
นอกจากนโยบายฉบับนี้แล้ว บริษัทอาจกำหนดให้มีคำประกาศนโยบายความเป็นส่วนตัว (“ประกาศ”) สำหรับผลิตภัณฑ์บริการ หรือการรักษาพยาบาลของบริษัท เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วย กฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วน บุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในผลิตภัณฑ์หรือบริการนั้นเป็นการเฉพาะเจาะจง
ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและ นโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น
3. โครงสร้างองค์กรและการไหลของข้อมูล
บริษัท ทีธทอล์ค จำกัด ประกอบด้วยสำนักงานใหญ่และคลินิกทันตกรรมหลายสาขา โดยสำนักงาน ใหญ่มีบทบาทในการบริหารจัดการ กำกับดูแล และกำหนดนโยบายการดำเนินงาน รวมถึงนโยบาย การคุ้มครองข้อมูลส่วนบุคคลสำหรับทุกสาขา ข้อมูลส่วนบุคคลของเจ้าของข้อมูลอาจถูกประมวลผล และเข้าถึงได้โดยสำนักงานใหญ่และคลินิกสาขาที่เกี่ยวข้อง เพื่อวัตถุประสงค์ในการให้บริการ การ รักษาพยาบาล การบริหารจัดการ และการปฏิบัติตามกฎหมาย
การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลระหว่างสำนักงานใหญ่และคลินิกสาขาจะดำเนินการเท่าที่ จำเป็นและเป็นไปตามวัตถุประสงค์ที่ระบุไว้ในนโยบายนี้ โดยบริษัทจะใช้มาตรการที่เหมาะสมเพื่อ รักษาความปลอดภัยของข้อมูลส่วนบุคคลตลอดกระบวนการไหลของข้อมูลภายในองค์กร
4. คำ จำ กัดความ
| คำศัพท์ | คำนิยาม |
| ข้อมูลส่วน บุคคล | ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ |
| ข้อมูลส่วน บุคคลอ่อน ไหว | ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติเผ่าพันธุ์ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ อาชญากรรม ข้อมูลสุขภาพ (รวมถึงประวัติการรักษาทางทันตกรรม ภาพถ่ายใน ช่องปาก ภาพเอกซเรย์ประวัติการแพ้ยา และโรคประจำตัว) ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลประกาศกำหนด |
| การ ประมวล ผลข้อมูล ส่วนบุคคล | การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัด ระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น |
| เจ้าของ ข้อมูลส่วน บุคคล | บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ บริษัท เก็บรวบรวมใช้หรือเปิดเผย |
| ผู้ควบคุม ข้อมูลส่วน บุคคล | บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคล |
| ผู้ประมวล ผลข้อมูล ส่วนบุคคล | บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล |
4. แหล่งที่มาของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
บริษัทเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้ ทั้งจาก สำนักงานใหญ่และคลินิกสาขาต่าง ๆ ของบริษัท
1. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการ ต่าง ๆ เช่น ขั้นตอนการลงทะเบียนผู้ป่วยใหม่ การทำประวัติการนัดหมาย การสมัครงาน การลงนามในสัญญา เอกสารการทำแบบสำรวจ หรือการใช้งานผลิตภัณฑ์บริการ หรือช่องทางให้
บริการอื่นที่ควบคุมดูแลโดยบริษัท หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัท ณ คลินิกสาขา หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยบริษัท เป็นต้น
2. ข้อมูลที่บริษัทเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ผลิตภัณฑ์หรือ บริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ผลิตภัณฑ์ หรือบริการของบริษัทด้วยการใช้คุกกี้ (Cookies) กี้ หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูล ส่วนบุคคล เป็นต้น
3. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่ง ข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของ ข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัท เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงาน ของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่บริษัทมีหน้าที่ตามพันธกิจในการดำเนิน การจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้ บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการ แลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญา โรงพยาบาล หรือบริษัทประกันภัยได้
ทั้งทั้นี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของบริษัท อาจเป็นผลให้บริษัทไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
5. การเก็บรวบรวมข้อมูลส่วนบุคคล
โดยบริษัทจะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วน บุคคลก่อนยกเว้นในกรณีดังต่อไปนี้
1. เพื่อปฏิบัติตามสัญญา กรณีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการหรือปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลและบริษัท
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ โดยเฉพาะอย่างยิ่งในกรณีฉุกเฉิน ทางการแพทย์หรือทันตกรรม
3. เพื่อปฏิบัติตามกฎหมาย เช่น กฎหมายสถานพยาบาล กฎหมายวิชาชีพทันตกรรม กฎหมายภาษี อากร เป็นต้น
4. เพื่อผลประโยชน์อันชอบโดยกฎหมายของบริษัท กรณีมีความจำเป็นเพื่อประโยชน์อันชอบธรรมใน การดำเนินงานของบริษัท โดยบริษัทจะพิจารณาถึงสิทธิของเจ้าของข้อมูลเป็นสำคัญ เช่น เพื่อป้องกันการฉ้อโกง การรักษาความปลอดภัยในระบบเครือข่าย การปกป้องสิทธิเสรีภาพและ ประโยชน์ของเจ้าของข้อมูล เป็นต้น
5. เพื่อการศึกษาวิจัยหรือสถิติกรณีที่มีการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อ ประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
6. เพื่อปฏิบัติภารกิจของรัฐกรณีมีความจำเป็นต่อการปฏิบัติภารกิจเพื่อประโยชน์สาธารณะหรือการปฏิบัติหน้าที่ตามอำนาจรัฐที่บริษัทได้รับมอบหมาย
6. ประเภทของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
ในการเก็บรวบรวม และเก็บรักษาข้อมูลส่วนบุคคล บริษัทจะใช้วิธีการที่ชอบด้วยกฎหมายและจำกัด เพียงเท่าที่จำเป็นตามวัตถุประสงค์การดำเนินงานของบริษัท อันประกอบด้วย
| ประเภทข้อมูลส่วนบุคคล | รายละเอียดและตัวอย่าง |
| ข้อมูลเฉพาะตัวบุคคล | ข้อมูลระบุชื่อเรียกหรือข้อมูลจากที่ระบุข้อมูลเฉพาะตัว เช่น ชื่อ – นามสกุล วันเดือนปีเกิด อายุสัญชาติเลขประจำตัวประชาชน เป็นต้น |
| ข้อมูลสำหรับการติดต่อ | ข้อมูลสำหรับการติดต่อ เช่น ที่อยู่หมายเลขโทรศัพท์อีเมล ชื่อผู้ ใช้งานในสังคมออนไลน์ เป็นต้น |
| ข้อมูลเอกสารทางราชการ | ข้อมูลเอกสารราชการ เช่น สำเนาบัตรประชาชน สำเนาทะเบียน บ้าน สำเนาหนังสือเดินทาง เป็นต้น |
| ข้อมูลทางการเงิน | ข้อมูลทางการเงิน เช่น สำเนาหน้าบัญชีธนาคาร ข้อมูลบัตรเครดิต ประวัติการชำระเงิน เป็นต้น |
| ข้อมูลที่ได้จากเก็บรวบรวม ของบริษัท หรือระบบ อัตโนมัติจากอุปกรณ์ต่าง ๆ ของบริษัท | ข้อมูลที่ได้จากเก็บรวบรวมของบริษัท หรือระบบอัตโนมัติจาก อุปกรณ์ต่าง ๆ ของบริษัท เช่น หมายเลข IP Address, Cookie, พฤติกรรมการใช้บริการ, ภาพถ่าย เป็นต้น |
| ข้อมูลส่วนบุคคลที่มีความ ละเอียดอ่อน | ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น เชื้อชาติข้อมูลศาสนา ข้อมูลความพิการ ประวัติอาชญากรรม ข้อมูลชีวภาพ ข้อมูลเกี่ยว กับสุขภาพ ประวัติการรักษาทางทันตกรรม ภาพถ่ายในช่องปาก ภาพเอกซเรย์ประวัติการแพ้ยา เป็นต้น |
7. คุกกี้
บริษัท เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความ ดูแลของบริษัท เช่น www.teethtalk-clinic.com หรือบนอุปกรณ์อื่นตามแต่บริการที่ใช้งาน ทั้งทั้นี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัท และเพื่อให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของบริษัท และข้อมูลเหล่านี้จะถูกนำ ไปเพื่อปรับปรุงเว็บไซต์
บริษัทอาจใช้บริการวิเคราะห์เว็บไซต์ของบุคคลภายนอก เช่น Google Analytics เพื่อช่วยในการ วิเคราะห์และปรับปรุงประสิทธิภาพของเว็บไซต์และบริการ โดยข้อมูลที่ถูกเก็บรวบรวมผ่านคุกกี้และเทคโนโลยีที่คล้ายคลึงกันอาจรวมถึง IP Address, พฤติกรรมการใช้งาน และข้อมูลทางสถิติอื่น ๆ ที่ไม่ ระบุตัวตน ซึ่งข้อมูลเหล่านี้จะถูกประมวลผลตามนโยบายความเป็นส่วนตัวของผู้ให้บริการนั้น ๆ
8. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของ ผลิตภัณฑ์บริการ
หรือกิจกรรม ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลกับบริษัท หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ต่อไปนี้เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของบริษัทเป็นการทั่วไป
1. เพื่อเข้าทำสัญญาหรือปฏิบัติหน้าที่ตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลหรือปฏิบัติหน้าที่ตามสัญญาระหว่างบริษัทกับบุคคลภายนอกเพื่อประโยชน์ของเจ้าของข้อมูล เช่น การนัดหมาย การรักษาทางทันตกรรม การชำระค่าบริการ การเบิกจ่ายประกัน หรือการจัดส่งเอกสารที่เกี่ยวข้อง กับการรักษา
2. เพื่อติดต่อสอบถามเจ้าของข้อมูล เช่น การตอบข้อซักถาม การให้ข้อมูลเกี่ยวกับการรักษา หรือการ แจ้งเตือนการนัดหมาย
3. เพื่อพัฒนาและปรับปรุงสินค้า ผลิตภัณฑ์และบริการของบริษัทให้ตอบสนองต่อความต้องการของ เจ้าของข้อมูลมากยิ่งขึ้นรวมถึงการวิเคราะห์ข้อมูลเพื่อปรับปรุงคุณภาพการรักษาและบริการ
4. เพื่อให้ข้อมูลและนำสินค้าผลิตภัณฑ์การบริการ หรือประชาสัมพันธ์ทางการตลาดตามที่เจ้าของข้อมูลได้ให้ความยินยอม หรือเพื่อประโยชน์อันชอบด้วยกฎหมายของบริษัท
5. เพื่อสำรวจความพึงพอใจวิเคราะห์การทำวิจัยและจัดทำข้อมูลสถิติเพื่อใช้ทางการตลาด หรือการพัฒนาและปรับปรุงการดำเนินกิจการของบริษัท ตามที่เจ้าของข้อมูลได้ให้ความยินยอมกับ ทางบริษัท
6. เพื่อประโยชน์ในการบริหารจัดการงานหรือดำเนินงานภายในของบริษัทที่จำเป็นภายใต้ประโยชน์ โดยชอบด้วยกฎหมาย เช่น การบริหารจัดการบุคลากรการบริหารความเสี่ยง การตรวจสอบ ภายใน และการบริหารจัดการข้อมูลระหว่างสำนักงานใหญ่และคลินิกสาขาเพื่อประสิทธิภาพใน การให้บริการ
7. เพื่อตรวจสอบ สอบทาน และรักษาความปลอดภัยบริเวณอาคารหรือสถานที่ของบริษัท เช่น การใช้ กล้องวงจรปิด (CCTV) เพื่อความปลอดภัยของผู้ป่วย พนักงาน และทรัพย์สินของบริษัท
8. เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินงานของบริษัท หรือการดำเนินการตามคำสั่งของ หน่วยงานภาครัฐที่มีอำนาจตามกฎหมาย เช่น การส่งข้อมูลตามคำสั่งศาล หรือการปฏิบัติตาม กฎหมายสถานพยาบาล
9. เพื่อดำเนินการทางบัญชีและการเงิน เช่น การตรวจสอบบัญชีการแจ้งและเรียกเก็บหนี้ การใช้ สิทธิสวัสดิการต่าง ๆ ภาษี และหลักฐานการดำเนินธุรกรรมต่าง ๆ ที่กฎหมายกำหนด
10. เพื่อประโยชน์อันชอบด้วยกฎหมายของบริษัท เช่น การบันทึกภาพถ่ายกล้อง CCTV
11. เพื่อใช้ในการสอบสวนและปฏิบัติตามกฎหมาย ข้อบังคับ ระเบียบ หรือหน้าที่ตามกฎหมายของบริษัท
12. ใช้ข้อมูลในการยืนยันตัวตนลูกค้า
13. วัตถุประสงค์อื่น ๆ ที่ได้รับคำยินยอมชัดแจ้งจากเจ้าของข้อมูล
9. การส่งต่อและเปิดเผยข้อมูลส่วนบุคคล
บริษัทจะไม่เปิดเผยและส่งต่อข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก เว้นแต่ได้รับคำยินยอมชัดแจ้ง จากเจ้าของข้อมูลหรือเป็นไปตามกรณีดังต่อไปนี้
1. บริษัทอาจต้องเปิดเผยหรือแบ่งปันข้อมูลเฉพาะเท่าที่จำเป็นแก่คู่ค้า ผู้ให้บริการ หรือหน่วยงาน ภายนอกโดยบริษัทจะจัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด เช่น บริษัทประกันภัย โรงพยาบาล หรือหน่วยงานที่เกี่ยวข้องกับการส่งต่อข้อมูลเพื่อการรักษาพยาบาล หรือการเบิกจ่าย
2. บริษัทอาจเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคลให้แก่สำนักงานใหญ่และคลินิกสาขาในเครือ เพื่อวัตถุประสงค์ในการบริหารจัดการ การให้บริการ และการรักษาพยาบาล โดยจะเป็นการประมวล ผลข้อมูลภายใต้วัตถุประสงค์ที่ระบุในนโยบายฉบับนี้เท่านั้น
3. กฎหมายหรือกระบวนการทางกฎหมายบังคับให้เปิดเผยข้อมูล หรือเปิดเผยต่อเจ้าพนักงาน เจ้า หน้าที่รัฐ หรือหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือคำขอที่ชอบด้วยกฎหมาย
10. การถ่ายโอนหรือส่งต่อข้อมูลไปยังต่างประเทศ
บริษัทอาจจะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยจะทำให้แน่ใจว่าประเทศปลายทางหรือหน่วยงานปลายทางมีมาตรฐานและนโยบายในการคุ้มครองความเป็นส่วนตัวที่เพียงพอ หรือดำเนิน การตามที่กฎหมายกำหนด เพื่อให้ข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างเหมาะสม
11. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ใน การเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศ หรือตามกฎหมายที่ เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว บริษัทจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ในรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคล อย่างไรก็ดีในกรณีที่มีข้อพิพาทการใช้สิทธิหรือ ความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัทขอสงวนสิทธิในการเก็บรักษาข้อมูลต่อไปจนกว่าข้อ พิพาทนั้นจะได้มีคำวินิจฉัยหรือคำพิพากษาถึงที่สุด
12. การปกป้องข้อมูลส่วนบุคคล
บริษัทจะใช้มาตรการทางเทคนิค และการบริหารจัดการที่เหมาะสมเพียงพอเพื่อป้องกันและรักษาความ ปลอดภัยของข้อมูลส่วนบุคคล ทั้งในส่วนของสำนักงานใหญ่และคลินิกสาขา โดยมีการเข้ารหัสสำหรับ
การส่งข้อมูลผ่านเครือข่ายอินเทอร์เน็ตน็ และควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้เกี่ยวข้อง ทั้ง ในส่วนของข้อมูลที่จัดเก็บในรูปแบบเอกสารและอิเล็กทรอนิกส์
นอกจากนี้ บริษัทจะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไปและปรับปรุง มาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ รวมถึงบริษัทจะจัดให้ มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เป็นประจำเพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา
13. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของบริษัทอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลอื่น ซึ่งเว็บไซต์หรือบริการดัง กล่าวอาจมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างจากนโยบายนี้ ทั้งนี้ บริษัทไม่มีความ เกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดัง กล่าวและไม่สามารถรับผิดชอบต่อนโยบายหรือความเสียหายที่เกิดขึ้นจากเว็บไซต์ภายนอกนั้น
14. บทบาท หน้าที่ และความรับผิดชอบ
บริษัทจัดให้มีระบบการตรวจสอบระบบสารสนเทศโดยผู้เชี่ยวชาญภายนอกที่เป็นอิสระ
| บทบาท | หน้าที่และความรับผิดชอบ |
| คณะกรรมการบริษัท | กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการ ควบคุมภายในที่เกี่ยวข้องของบริษัท เพื่อให้เกิดการปฏิบัติตาม กฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท กำกับดูแลและสนับสนุนให้บริษัทดำเนินการคุ้มครองข้อมูลส่วน บุคคลให้มีประสิทธิภาพและสอดคล้องกับกฎหมาย |
| ผู้บริหาร | ติดตามควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงานของบริษัท |
| เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล (DPO) | รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการ บริหารทราบอย่างสม่ำเสมอและจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของบริษัทให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอให้คำแนะนำ พนักงานของบริษัทเกี่ยวกับการปฏิบัติตามกฎหมายและ นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ตรวจสอบการดำเนินงานของหน่วยงานในบริษัทให้เป็นไปตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท |
| คณะทำงานคุ้มครอง ข้อมูลส่วนบุคคล (Privacy Committee) | จัดทำและทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนว ปฏิบัติ (Guidelines) เพื่อให้การดำเนินงานของบริษัทสอดคล้องกับ กฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ให้คำแนะนำ แก่บริษัทรวมทั้งกรรมการผู้ถือหุ้น พนักงาน ลูกจ้าง บุคลากร หรือผู้รับจ้างของบริษัทฯ เกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตรวจสอบการดำเนินงานของบริษัท รวมทั้งพนักงาน ลูกจ้าง หรือ ผู้รับจ้างของบริษัทเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ส่วนบุคคล ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลด้านข้อมูลส่วนบุคคล และในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล |
| บทบาท | หน้าที่และความรับผิดชอบ |
| พนักงานของบริษัท | ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตาม กฎหมาย และนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัทให้ผู้บังคับบัญชาทราบ |
15. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บริษัทได้แต่งตั้งจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับ และให้คำแนะนำ ใน การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562
16. สิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562
บริษัทจะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลใช้สิทธิของตนในฐานะเจ้าของ ข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด รวมถึงจะดำเนินการบันทึกและประเมินผลการตอบสนองต่อ คำขอใช้สิทธิของเจ้าของข้อมูล โดยเจ้าของข้อมูลสามารถขอใช้สิทธิได้ต่าง ๆ ที่กฎหมายกำหนด และ ตามที่ระบุไว้ในประกาศฉบับนี้ได้ดังต่อไปนี้
1. สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
2. สิทธิในการขอแก้ไขข้อมูลดังกล่าวให้เป็นปัจจุบันและถูกต้อง
3. สิทธิในการขอรับข้อมูลส่วนบุคคลในรูปแบบที่สามารถโอนย้ายได้
4. สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล
5. สิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคล
6. สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล
7. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
17. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของบริษัท (สำหรับพนักงานหรือผู้ปฏิบัติงานของบริษัท) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งทั้นี้ ตามลักษณะและความสัมพันธ์ต่อบริษัท และอาจได้รับ โทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
18. การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล
ในกรณีที่พบว่า บริษัทมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิร้องเรียน ไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว บริษัทขอให้เจ้าของข้อมูลติดต่อมายังบริษัท เพื่อให้บริษัทมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลในโอกาสแรก
19. การดำเนินการกรณีที่มีข้อมูลส่วนบุคคลรั่วไหล
บริษัทให้ความสำคัญอย่างยิ่งยวดต่อความปลอดภัยของข้อมูลส่วนบุคคล และมีนโยบายที่ชัดเจนใน การจัดการกรณีที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
การตรวจสอบและประเมินเหตุการณ์บริษัทจะดำเนินการตรวจสอบเหตุการณ์ที่ทันทีที่ได้รับ รายงาน หรือมีข้อบ่งชี้ว่ามีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงทำการประเมินผลกระทบของ เหตุการณ์ รวมถึงชนิดของข้อมูลที่รั่วไหล ปริมาณ ผู้ที่อาจได้รับผลกระทบ และความร้ายแรงของ ผลกระทบ
การแจ้งหน่วยงานกำ กับดูแลหากพบว่าการรั่วไหลของข้อมูลอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลบริษัทจะดำเนินการแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง นับจากที่ตรวจพบเหตุการณ์
การแจ้งเจ้าของข้อมูลหากการรั่วไหลมีแนวโน้มก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลบริษัทจะแจ้งให้เจ้าของข้อมูลทราบโดยเร็วที่สุด พร้อมคำอธิบายเกี่ยวกับเหตุการณ์ ผลกระทบ และมาตรการที่ดำเนินการเพื่อบรรเทาความเสียหาย
มาตรการบรรเทาและป้องกันดำเนินมาตรการทางเทคนิคหรือมาตรการทางปฏิบัติเพื่อลดความ เสียหายจากเหตุการณ์ เช่น ปิดการเข้าถึงระบบที่เกี่ยวข้อง เปลี่ยนรหัสผ่าน หรือระงับการใช้งาน ชั่วคราว ทบทวนและปรับปรุงมาตรการรักษาความปลอดภัยของระบบสารสนเทศ รวมถึงระบบ พนักงานเพื่อป้องกันเหตุการณ์ในอนาคต
การเก็บบันทึกและการสอบสวนภายในบันทึกเหตุการณ์โดยละเอียด รวมถึงสาเหตุผลกระทบ และการดำเนินการแก้ไข จัดให้มีการสอบสวนภายในเพื่อหาสาเหตุและความบกพร่อง พร้อมเสนอ แนะแนวทางป้องกันซ้ำ
20. การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้ เจ้าของข้อมูลทราบผ่านช่องทางที่เหมาะสม เช่น เว็บไซต์ของบริษัท โดยวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่อย่างไรก็ดีบริษัทขอแนะนำ ให้เจ้าของข้อมูลโปรดตรวจสอบเพื่อรับทราบนโยบาย ฉบับใหม่อย่างสม่ำเสมอ ผ่านช่องทางเฉพาะกิจกรรมที่บริษัทดำเนินการ โดยเฉพาะก่อนที่เจ้าของ ข้อมูลจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่บริษัทการเข้าใช้งานผลิตภัณฑ์หรือบริการของบริษัท ภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบความข้อตกลงในนโยบายใหม่แล้ว ทั้งทั้นี้ โปรดหยุดการเข้าใช้งานหากเจ้าของข้อมูลไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้และโปรดติดต่อมายังบริษัท เพื่อชี้แจงข้อเท็จจริงต่อไป
21. การติดต่อสอบถามหรือใช้สิทธิ
ช่องทางการติดต่อสำหรับสอบถามกรณีที่มีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของบริษัท หรือเกี่ยวกับนโยบายนี้ หรือเจ้าของข้อมูลต้องการ ใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ที่
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ชื่อ: บริษัท ทีธทอล์ค จำกัด สถานที่ติดต่อ: 2991/64-65 ถ. ลาดพร้าว แขวงคลองจั่น เขตบางกะปิ กรุงเทพมหานคร 10240 โทรศัพท์: 095-836-6929 อีเมล: Nuttapat.Le@teethtalkclinic.com
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) สถานที่ติดต่อ: 2991/64-65 ถ. ลาดพร้าว แขวงคลองจั่น เขตบางกะปิ กรุงเทพมหานคร 10240 โทรศัพท์: 095-836-6929 อีเมล: Nuttapat.Le@teethtalkclinic.com
ประกาศ ณ วันที่ 15/6/2569
