สหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด ได้รับการจดทะเบียนตามพระราชบัญญัติสหกรณ์ เป็นสหกรณ์ที่มีวัตถุประสงค์เพื่อส่งเสริมให้สมาชิกซึ่งเป็นพนักงานบริษัท การบินไทย จำกัด(มหาชน) รู้จักการออมทรัพย์ และให้กู้ยืมเมื่อเกิดความจำเป็นหรือเพื่อก่อให้เกิดประโยชน์งอกเงย ตามหลักการช่วยตนเอง และช่วยเหลือซึ่งกันและกัน โดยนอกจากจะมุ่งเน้นถึงการบริหารจัดการเพื่อนำมาซึ่งประโยชน์สูงสุดของสมาชิกแล้ว สหกรณ์ฯ ยังตระหนักถึงการคุ้มครองสิทธิและเสรีภาพส่วนบุคคล ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดนโยบายและหลักเกณฑ์ภายในต่างๆ เพื่อสอดคล้องรองรับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
คำจำกัดความ
“สหกรณ์” หมายถึง สหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด
“สมาชิก” หมายถึง สมาชิกของสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และ กฎกระทรวง ประกาศ ระเบียบ แนวปฏิบัติหรือข้อแนะนำที่ออกตามความแห่งพระราชบัญญัติดังกล่าว
“ข้อมูลส่วนบุคคล หรือ Personal Data” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน เลขที่บัตรเครดิต เลขบัญชีธนาคาร อีเมล หมายเลขโทรศัพท์ วันเกิดและสถานที่เกิด รูปภาพใบหน้า น้ำหนัก ส่วนสูง
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหวหรือ Sensitive Data” หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรมข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะที่จะทำให้เกิดการเลือกปฏิบัติหรือมีความเสี่ยงสูงที่จะกระทบต่อสิทธิ เสรีภาพของบุคคล ในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (ตัวอย่างของผู้ประมวลผลข้อมูลส่วนบุคคล เช่น คู่สัญญาที่รับจ้างทำเพย์โรล, รับจ้างทำบัญชี, รับจ้างตรวจสอบบัญชี, รับจ้างทำการตลาด, รับจ้างทำเว็บไซต์, รับจ้างจัดทำระบบเทคโนโลยีสารสนเทศและเครื่องมือบริหารจัดการข้อมูลทาง IT, สำนักงานทนายความและที่ปรึกษากฎหมายเป็นต้น)
“กิจกรรมการประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยวิธีการส่งต่อ เผยแพร่ หรือกระทำการอื่นใดซึ่งทำให้เกิดความพร้อมการใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
“คู่ค้าหรือผู้ให้บริการ หรือ Service Provider หรือ Vendor” หมายถึง คู่สัญญาของสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด ซึ่งได้ทำนิติกรรมสัญญาต่อกัน ในลักษณะที่คู่ค้าผู้ให้บริการ รับจ้างดำเนินการหรือให้บริการอย่างหนึ่งอย่างใด ต่อสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด (อาจรวมถึงการรับจ้างจัดทำระบบปฏิบัติการ การขายสินค้า/ผลิตภัณฑ์ที่มีการให้บริการหลังการขาย) โดยการปฏิบัติตามสัญญา มีกระบวนการที่คู่สัญญาต้อง เข้าถึงข้อมูลส่วนบุคคล หรือ รับ หรือ ส่ง หรือทั้งรับและส่ง ข้อมูลส่วนบุคคลให้แก่กัน
1. ประเภทข้อมูลส่วนบุคคลตามมาตรา 24 และวัตถุประสงค์ในการเก็บรวบรวม
ตาราง 1
|
ข้อมูล |
วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูล |
ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลฯ |
|
ข้อมูลชื่อ-นามสกุล ของสมาชิก |
ระบุตัวตนสมาชิก และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
ข้อมูลชื่อ-นามสกุล ของคู่สมรสสมาชิก |
ระบุตัวตนของสมาชิก (กรณีสมาชิกประเภท ข) และกรณีสัญญากู้ยืม |
ม.24(3) และ (6) |
|
หมายเลขบัตรประชาชนสมาชิก |
ระบุตัวตนคู่สัญญา และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
หมายเลขบัตรประชาชน ผู้ค้ำประกัน |
ความรับผิดตามสัญญากรณีสมาชิกกู้ยืมประเภทมีบุคคลค้ำประกัน |
ม.24(3) |
|
ข้อมูลชื่อ-นามสุกล บุคคลที่ติดต่อในกรณีฉุกเฉินของสมาชิก |
ติดตามหรือติดต่อกรณีที่เกี่ยวข้องกับกิจสำคัญตามเงื่อนไขการเป็นสมาชิกหรือสัญญากู้ยืมของสมาชิก หมายเหตุ หากมีกรณีที่สมาชิกระบุข้อมูลของบุคคลอื่น สมาชิกจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลนั้นทราบว่าได้ให้ข้อมูลไว้แก่สหกรณ์ ภายใน 30 วัน นับแต่วันที่ได้กรอกข้อมูล |
ม.24(3) และ (5) |
|
ข้อมูลผู้ถือหุ้น กรณีสมาชิกนิติบุคคล |
ระบุตัวตนคู่สัญญา และ การแสดงตนตามกฎหมาย ปปง. (กรณีสัญญาการจัดซื้อจัดจ้าง) |
ม.24(3) และ (6) |
|
ข้อมูลที่อยู่/ที่อยู่ปัจจุบัน/ที่ส่งเอกสาร ของสมาชิก |
ระบุตัวตนคู่สัญญา และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
ข้อมูลที่อยู่/ที่อยู่ปัจจุบัน/ที่ส่งเอกสาร ของผู้ค้ำประกัน |
ติดตามและแจ้งความรับผิดกรณีสมาชิกไม่ปฏิบัติตามสัญญากู้ยืม |
ม.24(3) และ (5) |
|
ข้อมูลเบอร์โทร / ข้อมูลติดต่อของสมาชิกทั้งขณะสมัครสมาชิกและกรณีที่มีการเปลี่ยนแปลงในภายหลัง |
ติดต่อการจัดส่งเอกสารต่างๆภายใต้กิจกรรมการเป็นสมาชิก และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
ข้อมูลเบอร์โทร / ข้อมูลติดต่อ ผู้ค้ำประกัน |
ติดตามและแจ้งความรับผิดกรณีสมาชิกผิดสัญญากู้ยืม |
ม.24(3) |
|
ข้อมูลอาชีพ/สถานที่ทำงานของสมาชิก |
ระบุตัวตนคู่สัญญา, ตรวจสอบคุณสมบัติในการเข้าเป็นสมาชิก และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
ข้อมูลอาชีพ/สถานที่ทำงาน ผู้ค้ำประกัน |
ติดตามและแจ้งความรับผิดกรณีสมาชิกไม่ปฏิบัติตามสัญญา และตรวจสอบเพื่อประเมินคุณสมบัติ (ความเสี่ยง)ในการเข้าทำสัญญากู้ยืมของสมาชิก |
ม.24(3) |
|
*ข้อมูลเครือญาติและคู่สมรส (ชื่อ-นามสกุล) ของสมาชิก |
เพื่อรับผลปะโยชน์กรณีสมาชิกเสียชีวิตหรือได้รับสิทธิ/สวัสดิการต่างๆสำหรับครอบครัวสมาชิก หมายเหตุ หากมีกรณีที่สมาชิกระบุข้อมูลของบุคคลอื่น สมาชิกจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลนั้นทราบว่าได้ให้ข้อมูลไว้แก่สหกรณ์ ภายใน 30 วัน นับแต่วันที่ได้กรอกข้อมูล |
ม.24(3) และ (5) |
|
*ข้อมูลเครือญาติและคู่สมรส (ชื่อ-นามสกุล) ของผู้ค้ำประกัน |
ติดตามทรัพย์กรณีสมาชิกผู้กู้ยืมไม่ปฏิบัติตามสัญญา หมายเหตุ หากมีกรณีที่สมาชิกระบุข้อมูลของบุคคลอื่น สมาชิกจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลนั้นทราบว่าได้ให้ข้อมูลไว้แก่สหกรณ์ ภายใน 30 วัน นับแต่วันที่ได้กรอกข้อมูล |
ม.24(3) และ (5) |
|
ข้อมูลรายได้/เงินเดือนของสมาชิก |
กำหนดฐานจำนวนหุ้นและวิเคราะห์ความเสี่ยงในการเข้าทำสัญญากู้ยืม |
ม.24(3) |
|
ข้อมูลรายได้/เงินเดือนของผู้ค้ำประกัน |
ข้อมูลประกอบการวิเคราะห์ความเสี่ยงในการเข้าทำสัญญากู้ยืม |
ม.24(3) |
|
*ข้อมูลสุขภาพของสมาชิก (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
ข้อมูลประกอบการพิจารณาคุณสมบัติในการสมัครกองทุนฌาปนกิจ และ/หรือ การพิจารณาให้ทุนที่เกี่ยวข้องกับการช่วยเหลือด้านสุขภาพ และ/หรือ การเข้าร่วมกิจกรรม สันทนาการ การสัมมนา หรือกิจกรรมอื่นๆ ของสหกรณ์ |
มาตรา 26 (1) และ (4) |
|
ลายมือชื่อของสมาชิก |
ระบุตัวตนสมาชิก และ การแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
ลายมือชื่อของผู้ค้ำประกัน |
ระบุตัวตนผู้รับผิดร่วมกับคู่สัญญา กรณีสมาชิกทำสัญญากู้ยืม |
ม.24(3) |
|
ภาพถ่ายของสมาชิก |
พิสูจน์ทราบตัวตนของสมาชิก ในขั้นตอนการแสดงตนตามกฎหมาย ปปง. |
ม.24(6) |
|
ภาพถ่ายบุตร หรือ บิดามารดา หรือคู่สมรส ของสมาชิก |
พิสูจน์ทราบตัวตนของบุตร บิดามารดา หรือคู่สมรส กรณีรับสิทธิหรือผลประโยชน์ของสมาชิก หมายเหตุ หากมีกรณีที่สมาชิกระบุข้อมูลของบุคคลอื่น สมาชิกจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลนั้นทราบว่าได้ให้ข้อมูลไว้แก่สหกรณ์ ภายใน 30 วัน นับแต่วันที่ได้กรอกข้อมูล |
ม.24(3) |
|
การระบุผลการตรวจสอบบุคคลที่ถูกกำหนดและผู้ที่ถูกยึด/อายัดทรัพย์สิน (กฎหมายป้องกันและปราบปรามการฟอกเงิน) |
ผลการตรวจสอบเพื่อวิเคราะห์ความเสี่ยงในการรับเข้าเป็นสมาชิก และประเมินความเสี่ยงในกระบวนการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับสมาชิกตามกฎหมาย ปปง. |
ม.24 (6) |
|
สำเนาบัตรประจำตัวประชาชนสมาชิก |
หลักฐานประกอบการเข้าเป็นสมาชิกและทำสัญญากู้ยืม รวมถึงเปิดบัญชีเงินฝากต่างๆ และการแสดงตนตามกฎหมาย ปปง. |
ม.24(3) และ (6) |
|
สำเนาบัตรประจำตัวประชาชน ผู้ค้ำประกัน |
หลักฐานประกอบการเข้าทำสัญญากู้ยืมของสมาชิก |
ม.24(3) |
|
บัญชีผู้ถือหุ้น (บอจ.5) และผู้รับประโยชน์ที่แท้จริง กรณีคู่ค้านิติบุคคล |
หลักฐานประกอบการเสนอราคาหรือเข้าทำสัญญาจัดซื้อจัดจ้าง |
ม.24(3) |
|
สำเนาทะเบียนบ้านสมาชิกและบุคคลในครอบครัว |
หลักฐานประกอบการเข้าทำสัญญากู้ยืม และการยืนยันคุณสมบัติสมาชิกกรณีคนในครอบครัวเป็นสมาชิกกองทุนฌาปนกิจและกรณีการขอทุนอื่นๆ |
ม.24(3) และ (5) |
|
สำเนาทะเบียนบ้าน ผู้ค้ำประกัน |
หลักฐานประกอบการเข้าทำสัญญากู้ยืมของสมาชิก |
ม.24(3) |
|
ใบรับรองเงินเดือนหรือสลิปเงินเดือน |
หลักฐานประกอบคุณสมบัติในการเป็นสมาชิก และพิจารณาเกี่ยวกับวงเงินการถือหุ้น และสิทธิการกู้ยืมต่างๆ |
ม.24(3) |
|
สำเนาทะเบียนสมรส |
หลักฐานประกอบการเข้าทำสัญญากู้ยืมของสมาชิก และกรณีขอทุนอื่นๆ รวมถึงยืนยันสถานะเพื่อขอรับสิทธิแทนสมาชิกในบางกรณี |
ม.24(3) และ (5) |
|
สำเนาบัตรประจำตัวประชาชน คู่สมรสและทะเบียนบ้านคู่สมรส |
หลักฐานประกอบการเข้าทำสัญญากู้ยืมของสมาชิก และกรณีขอทุนอื่นๆ รวมถึงยืนยันสถานะเพื่อขอรับสิทธิแทนสมาชิกในบางกรณี |
ม.24(3)และ (5) |
|
หนังสือรับรองการจดทะเบียนบริษัท, ภาพถ่ายร้านค้า ของคู่ค้านิติบุคคล |
หลักฐานประกอบการยื่นเสนอราคาหรือทำสัญญาจัดซื้อจัดจ้างกับสหกรณ์ |
ม.24(3) |
|
*ใบรับรองการตรวจสุขภาพ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
หลักฐานประกอบการยื่นขอทุนซึ่งเป็นสิทธิหรือสวัสดิการสำหรับสมาชิก และ ครอบครัวของสมาชิก |
มาตรา 26 (4) |
|
เอกสารราชการเกี่ยวกับกรรมสิทธิ์ในทรัพย์สิน/อสังหาริมทรัพย์ของผู้สมาชิก |
หลักฐานประกอบการขอเข้าทำสัญญากู้ยืมแบบมีทรัพย์สินค้ำประกัน จำนอง |
ม.24(3) |
|
ข้อมูลผู้รับประโยชน์ตามใบแสดงเจตนา หรือผู้รับประโยชน์ของสมาชิก |
เพื่อรับสิทธิและทรัพย์สินจากสหกรณ์กรณีที่สมาชิกเสียชีวิตหรือได้รับอุบัติเหตุ ตามเอกสารแสดงเจตนา หมายเหตุ หากมีกรณีที่สมาชิกระบุข้อมูลของบุคคลอื่น สมาชิกจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลนั้นทราบว่าได้ให้ข้อมูลไว้แก่สหกรณ์ ภายใน 30 วัน นับแต่วันที่ได้กรอกข้อมูล |
ม.24(3) |
|
*ข้อมูลโรคประจำตัวหรือโรคร้ายแรง (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
ม.26(4) |
|
*ข้อมูลการรักษาโรคประจำตัวหรือโรคร้ายแรง (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
ม.26(4) |
|
หมายเลขบัญชีเงินฝากสหกรณ์ |
การปฏิบัติตามสัญญารับฝากเงิน/ออมเงินของสมาชิก |
ม.24(3) |
|
User name, Password หรือ หมายเลข/รหัสอุปกรณ์ Devices |
การปฏิบัติตามสัญญารับฝากเงิน/ออมเงิน และเป็นช่องทางในการทำธุรกรรมผ่านApplication Online ตามสัญญาดังกล่าวของสมาชิก |
ม.24(3) |
|
ภาพวีดิโอ/ภาพถ่าย ที่เก็บจาก CCTV |
เพื่อรักษาความปลอดภัยในชีวิตและทรัพย์สินของบุคคลในสถานที่/สำนักงาน |
ม.24(2) และ (5) |
|
ภาพถ่ายหรือภาพเคลื่อนไหวของบุคคลที่บันทึกได้ในกิจกรรมหรือบูธหรือการจัดงานอีเว้นท์ต่างๆ ของบริษัท |
เพื่อประชาสัมพันธ์ และเสนอบริการของบริษัทต่อสาธารณะและกลุ่มสมาชิก |
ม.24(5) |
|
ข้อมูลชื่อ/นามสกุล และหมายเลขติดต่อของผู้มาติดต่อชั่วคราว |
เพื่อรักษาความปลอดภัยในชีวิตและทรัพย์สินของบุคคลในสถานที่/สำนักงาน |
ม.24(2) และ (5) |
2. ประเภทข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 และวัตถุประสงค์ในการเก็บรวบรวม
ตาราง 2
|
ข้อมูล |
วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูล |
ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลฯ |
|
*ข้อมูลสุขภาพของสมาชิก (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
ข้อมูลประกอบการพิจารณาคุณสมบัติในการสมัครกองทุนฌาปนกิจ และ/หรือ การพิจารณาให้ทุนที่เกี่ยวข้องกับการช่วยเหลือด้านสุขภาพ และ/หรือ การเข้าร่วมกิจกรรม สันทนาการ การสัมมนา หรือกิจกรรมอื่นๆ ของสหกรณ์ |
มาตรา 26 (4) |
|
*ใบรับรองการตรวจสุขภาพ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
หลักฐานประกอบการยื่นขอทุนซึ่งเป็นสิทธิหรือสวัสดิการสำหรับสมาชิก และ ครอบครัวของสมาชิก |
|
|
*ข้อมูลโรคประจำตัวหรือโรคร้ายแรง (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
|
|
*ข้อมูลการรักษาโรคประจำตัวหรือโรคร้ายแรง (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
|
|
ข้อมูล Biometric (ชีวมิติ) |
เพื่อเข้าใช้ระบบการทำธุรกรรมผ่าน Application Online ตามสัญญาการรับฝากเงิน/เปิดบัญชีออมเงินกับสหกรณ์ |
ขอความยินยอม |
3. ประเภทข้อมูลส่วนบุคคลที่เป็นของผู้เยาว์ ผู้เสมือนไร้ความสามารถ หรือ ผู้ไร้ความสามารถ มีและวัตถุประสงค์ในการเก็บรวบรวม
ตาราง 3
|
ข้อมูล |
วัตถุประสงค์/ความจำเป็นในการใช้ข้อมูล |
ฐานกฎหมายในการเก็บรวบรวม ใช้ ข้อมูลฯ |
|
*ข้อมูลสุขภาพของผู้เยาว์ ผู้เสมือนไร้ความสามารถ หรือผู้ไร้ความสามารถ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
ข้อมูลประกอบการพิจารณาคุณสมบัติในการสมัครกองทุนฌาปนกิจ และ/หรือ การพิจารณาให้ทุนที่เกี่ยวข้องกับการช่วยเหลือด้านสุขภาพ และ/หรือ การเข้าร่วมกิจกรรม สันทนาการ การสัมมนา หรือกิจกรรมอื่นๆ ของสหกรณ์ |
มาตรา 26 (4) |
|
*ใบรับรองการตรวจสุขภาพของผู้เยาว์ ผู้เสมือนไร้ความสามารถ หรือผู้ไร้ความสามารถ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
หลักฐานประกอบการยื่นขอทุนซึ่งเป็นสิทธิหรือสวัสดิการสำหรับสมาชิก และ ครอบครัวของสมาชิก |
|
|
*ข้อมูลโรคประจำตัวหรือโรคร้ายแรงของผู้เยาว์ ผู้เสมือนไร้ความสามารถ หรือผู้ไร้ความสามารถ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
|
|
*ข้อมูลการรักษาโรคประจำตัวหรือโรคร้ายแรง ของผู้เยาว์ ผู้เสมือนไร้ความสามารถ หรือผู้ไร้ความสามารถ (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26) |
วิเคราะห์ความเสี่ยงในการยื่นขอเป็นสมาชิกกองทุนฌาปนกิจ และ/หรือ ใช้ยื่นประกอบการขอทุนช่วยเหลือด้านสุขภาพของสมาชิกและครอบครัว |
|
|
*ข้อมูลผลการศึกษา ค่าคะแนนการสอบ สถานศึกษา ระดับชั้นการศึกษาของผู้เยาว์ (บุตรของสมาชิก) |
หลักฐานประกอบการยื่นขอทุนซึ่งเป็นสิทธิหรือสวัสดิการสำหรับสมาชิกที่มีบุตรที่กำลังศึกษาอยู่ |
4. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
ตาราง 4
|
ประเภทข้อมูลส่วนบุคคล |
ระยะเวลาในการเก็บรักษา |
|
การเก็บรักษาข้อมูลส่วนบุคคลประเภท ข้อมูลสมาชิกและเอกสารหลักฐานประกอบการยื่นสมัครสมาชิก และสำเนาข้อมูล |
10 ปี นับแต่วันที่สิ้นสมาชิกภาพ |
|
การเก็บรักษาข้อมูลส่วนบุคคลประเภท ข้อมูลที่ใช้เพื่อวัตถุประสงค์ในการยื่นขอทุนสวัสดิการสำหรับสมาชิกต่างๆ |
2 ปี นับแต่วันที่เก็บรวบรวมข้อมูล |
|
การเก็บรักษาข้อมูลหลักฐานการชำระเงิน เอกสารที่เกี่ยวกับการจัดซื้อจัดจ้าง (P/O, Invoice, Receipt) และเอกสารประกอบการเบิกจ่ายต่างๆ |
5 ปี นับแต่วันที่เก็บรวบรวมข้อมูล |
|
การเก็บรักษาข้อมูลส่วนบุคคลที่มีความอ่อนไหว ตามมาตรา 26 |
10 ปีนับแต่วันที่เก็บรวบรวมข้อมูล
|
|
การเก็บรักษาข้อมูลส่วนบุคคลและเอกสารหลักฐานเกี่ยวกับบัญชีเงินฝากประเภทต่างๆ |
10 ปี นับแต่วันที่ปิดบัญชี
|
|
การเก็บรักษาข้อมูลส่วนบุคคลและเอกสารหลักฐาน สัญญากู้ยืมประเภทต่างๆ |
10 ปี นับแต่วันที่สัญญาสิ้นสุดลง หรือ วันที่การบังคับคดีเสร็จสิ้น |
|
การเก็บรักษาข้อมูลส่วนบุคคล และเอกสารหลักฐานการเบิกจ่าย ตามสวัสดิการสำหรับสมาชิก |
20 ปี นับแต่วันที่สิ้นสมาชิกภาพเก็บรวบรวมข้อมูล |
|
การเก็บรักษาข้อมูลส่วนบุคคล และเอกสารหลักฐานการเป็นสมาชิกกองทุนฌาปนกิจ |
20 ปี นับแต่วันที่สิ้นสมาชิกภาพ |
5. การประมวลผลข้อมูลส่วนบุคคล
5.1 กิจกรรมการประมวลผลข้อมูลส่วนบุคคล
สหกรณ์มีการดำเนินการประมวลผลข้อมูลเอง และอาจมีการส่งข้อมูลให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ดำเนินการ ดังต่อไปนี้
ตาราง 5
|
กิจกรรมการประมวลผล |
ผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล |
|
|
สหกรณ์ |
ผู้ประมวลผลข้อมูลส่วนบุคคล (Service Provider/Vendor/Outsource) |
|
|
การบันทึกข้อมูลสมาชิกเข้าระบบลงทะเบียนสมาชิก |
ฝ่ายทะเบียนและสวัสดิการสมาชิก |
|
|
การรับข้อมูลส่วนบุคคลประเภทเอกสารใบสมัครและเอกสารหลักฐานต่างๆ |
ฝ่ายประชาสัมพันธ์ |
|
|
การบันทึกข้อมูลสมาชิกขอสินเชื่อ/อนุมัติสินเชื่อ |
ฝ่ายปฏิบัติการสินเชื่อ |
|
|
การนำข้อมูลเข้าสู่ Platform/Applicationของสหกรณ์สำหรับสมาชิกเข้าดูข้อมูล |
ฝ่ายสารสนเทศ |
|
|
การบันทึกข้อมูลการเปิดบัญชีเงินฝาก และรายการฝาก-ถอนต่างๆของสมาชิก |
ฝ่ายบริหารการเงิน |
|
|
การบริหารจัดการข้อมูลบัญชีเงินฝากของสมาชิกสหกรณ์ ข้อมูลเกี่ยวกับจำนวนหุ้นสหกรณ์ ข้อมูลคำสั่งโอนเงิน และข้อมูลการเบิกถอนเงินสดผ่าน Application Online ของสมาชิกสหกรณ์ และใช้เครือข่ายเบิกถอนเงินสดกับเครื่อง ATM ของธนาคารกรุงไทย |
ฝ่ายสารสนเทศ |
ธนาคารกรุงไทย Service Providers |
|
การดำเนินการกับข้อมูลผู้รับจ้างในการจัดซื้อจัดจ้างของสหกรณ์ |
ฝ่ายบริหารทั่วไป |
|
|
การติดต่อ ติดตาม ทวงถามชำระหนี้กรณีสมาชิกไม่ชำระหนี้ตามสัญญา และฟ้องเรียกร้องสิทธิตามสัญญา |
ฝ่ายเร่งรัดหนี้ |
สำนักงานทนายความ |
|
การตรวจสอบและกลั่นกรองสัญญาหรือนิติกรรมของสหกรณ์ กับคู่สัญญา (ที่อาจมีข้อมูลส่วนบุคคลรวมอยู่ด้วย) |
ฝ่ายนิติกร |
|
|
การนำข้อมูลสมาชิกและผู้สมัครเข้ากองทุนฌาปนกิจ รวมถึงการตรวจสอบการใช้สิทธิตามหลักเกณฑ์กองทุนฌาปนกิจ |
ฝ่ายงานสมาคมฌาปนกิจสงเคราะห์ |
|
|
การบันทึกข้อมูลการประชุมคณะกรรมการและคณะอนุกรรมการต่างๆ การให้ข้อเท็จจริง และจัดทำรายงานการประชุม ซึ่งมีข้อมูลส่วนบุคคลรวมอยู่ด้วย |
ฝ่ายประชุม |
|
|
การจัดสัมมนา และการจัดประชุมคณะกรรมการ สมาชิกสหกรณ์ การจัดสรรการอบรมคณะกรรมการ การจัดกิจกรรมของสหกรณ์ที่เผยแพร่ภายนอก |
ฝ่ายเลขานุการ |
|
|
การเบิกจ่าย และ การรับเงิน สำหรับสมาชิก ผู้รับจ้าง การจ่ายเงินสวัสดิการต่างๆ เอกสารการเรียกเก็บเงิน การจ่ายเงินต่างๆ (ซึ่งมีข้อมูลส่วนบุคคลของผู้รับเงินรวมอยู่ด้วย) |
ฝ่ายการเงิน |
|
|
การตรวจสอบเอกสารการเงินและการจัดทำงบประมาณ |
ฝ่ายบัญชี |
|
|
การตรวจสอบภายใน (Internal Audit) ซึ่งการเข้าถึงข้อมูลส่วนบุคคลของสมาชิก |
ฝ่ายบัญชี |
ผู้ตรวจสอบบัญชีรับอนุญาต ผู้ตรวจสอบกิจการ ผู้ตรวจสอบภายใน |
|
การจัดเก็บข้อมูลส่วนบุคคลในระบบปฏิบัติการ IT หลักของสหกรณ์ การถ่ายโอนข้อมูล การสำรองข้อมูล การส่ง-รับข้อมูลจากระบบเฉพาะงานต่างๆ กับ ระบบข้อมูลของบริษัท การบินไทย จำกัด(มหาชน) |
ฝ่ายสารสนเทศ |
บริษัท การบินไทย จำกัด(มหาชน)
|
|
การกลั่นกรองข้อมูลสมาชิกผู้ยื่นขอรับทุนสวัสดิการต่างๆ (ทุนเรียนดี, ทุนส่งเสริมการศึกษา, ทุนช่วยเหลือสมาชิกรับภาระค้ำประกัน, ทุนกำลังใจเพื่อน้อง |
ฝ่ายบริหารทั่วไป และ คณะกรรมการสหกรณ์ที่มีอำนาจหน้าที่พิจารณาอนุมัติทุน |
|
|
การประกาศข้อมูลผู้ได้รับทุน |
ฝ่ายบริหารงานทั่วไป, ฝ่ายเลขานุการ |
|
5.2 การเปิดเผย (ส่ง) ข้อมูลออกไปภายนอกองค์กร
จากกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตามตาราง 5และเพื่อประโยชน์ในการบริหารกิจการของสหกรณ์ ทำให้สหกรณ์จำเป็นหรืออาจต้องส่งข้อมูลส่วนบุคคลให้แก่บุคคลหรือนิติบุคคลภายนอก ได้แก่
- การเปิดเผยข้อมูลสมาชิกให้แก่หน่วยงานกำกับดูแล(หน่วยงานของรัฐ: กรมส่งเสริมสหกรณ์ กรมตรวจบัญชีสหกรณ์)
- อาจมีการเปิดเผยเกี่ยวกับข้อมูลสมาชิกเพื่อความร่วมมือกันของสหกรณ์ภายในพื้นที่ตามนโยบายชุมนุมสหกรณ์ออมทรัพย์
- การรายงานธุรกรรมเงินสดและธุรกรรมที่มีเหตุอันควรสงสัย (ถ้ามี) ต่อสำนักงานป้องกันและปราบปรามการฟอกเงิน
- บริษัทพัฒนาระบบปฏิบัติการ/Software หรือService Providers ที่ให้บริการด้านการพัฒนาระบบอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ ซึ่งเป็นระบบงานภายในซึ่งเกี่ยวข้องกับการเก็บบันทึก บริหารจัดการข้อมูลของสมาชิกสหกรณ์
- กรณีที่หน่วยงานของรัฐที่มีอำนาจหน้าที่ ขอตรวจสอบหรือขอให้ส่งข้อมูลส่วนบุคคลประกอบการปฏิบัติตามกฎหมาย เช่น หน่วยงานบังคับใช้กฎหมายที่มีอำนาจสืบสวนการกระทำความผิด เป็นต้น
- ผู้ตรวจสอบบัญชี, ผู้ตรวจสอบกิจการ, ที่ปรึกษา, สำนักงานทนายความ ผู้ตรวจสอบภายใน ซึ่งต้องใช้ข้อมูลส่วนบุคคลในการปฏิบัติงานให้แก่สหกรณ์
- บริษัท การบินไทย จำกัด (มหาชน) ซึ่งเป็นบริษัทผู้ว่าจ้างสมาชิกหลักของสหกรณ์ทั้งหมด เนื่องจาก สหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด รองรับสมาชิกหลักที่เป็นพนักงานการบินไทย ดังนั้น ในการดำเนินการหักชำระค่าหุ้น ชำระเงินออมหรือเงินฝากประจำ รวมถึงหักชำระหนี้ตามสัญญากู้ยืมต่างๆ ของสมาชิก สหกรณ์จะต้องส่งข้อมูลจำนวนเงินที่ต้องชำระ หักจากเงินเดือนของพนักงานที่บริษัท การบินไทยฯ จะต้องจ่ายให้กับพนักงานซึ่งเป็นสมาชิกสหกรณ์ จึงจำเป็นต้องการส่งข้อมูลเรียกเก็บเงินที่สมาชิกจะต้องจ่ายในแต่ละเดือนให้แก่บริษัท การบินไทยฯ
- สมาคมฌาปนกิจสงเคราะห์ (ของสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด) ซึ่งเป็นนิติบุคคลแยกต่างหากจากสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด และบริษัท การบินไทย จำกัด(มหาชน) โดยรองรับสมาชิกเฉพาะที่เป็นสมาชิกสหกรณ์ออมทรัพย์พนักงานการบินไทย จำกัด ที่เป็นพนักงานการบินไทยและบุคคลในครอบครัวของพนักงานดังกล่าวเท่านั้น โดยมีการเชื่อมฐานข้อมูลทะเบียนสมาชิกสหกรณ์บางส่วนแก่สมาคมฌาปนกิจสงเคราะห์ เนื่องจาก ฐานข้อมูลสมาชิกกลุ่มหลักเป็นกลุ่มบุคคลเดียวกัน และเปรียบเสมือนบริษัทในเครือที่มีการใช้ข้อมูลร่วมกัน
- การเปิดเผยข้อมูลโดยการแจ้งประกาศเป็นการทั่วไป ผ่านเว็บไซต์ และติดประกาศบริเวณภายในสหกรณ์และบริษัท การบินไทย จำกัด(มหาชน) กรณีบุตรสมาชิก ได้รับทุนเรียนดี รวมถึงจัดกิจกรรมมอบทุนการศึกษาสำหรับบุตรสมาชิกที่มีผลการเรียนดี
5.3 การส่ง (โอน) ข้อมูลออกไปยังต่างประเทศ
สหกรณ์ไม่มีการส่งข้อมูลสมาชิกหรือข้อมูลส่วนบุคคลไปยังต่างประเทศ
6. ฐานะของสหกรณ์ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
สหกรณ์เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ในฐานะที่สหกรณ์ดำเนินกิจการสหกรณ์ออมทรัพย์ โดยเก็บรวบรวมข้อมูลสมาชิก เพื่อวัตถุประสงค์ในการทำธุรกรรมออมเงิน กู้ยืมเงิน และช่วยเหลือหรือมอบสวัสดิการให้แก่สมาชิกทั้งหลาย
7. หลักการกำกับดูแล “ผู้ประมวลผลข้อมูลส่วนบุคคล” และคู่ค้า/พันธมิตรทางธุรกิจที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลแต่อาจมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลได้
7.1 การกำกับดูแล “ผู้ประมวลผลข้อมูลส่วนบุคคล”
- สหกรณ์ได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทราบถึงมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของสหกรณ์ และสหกรณ์คาดหวังว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” จะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สหกรณ์ปฏิบัติ
- สหกรณ์จัดให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ลงนาม ข้อตกลงตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของ “ผู้ประมวลผล” จะต้องอยู่ภายในขอบเขตการปฏิบัติตามสัญญาว่าจ้างหรือจัดซื้อจัดจ้าง อันเป็นหลักการกำหนดหน้าที่ในการดำเนินการกับข้อมูลเท่านั้น และข้อตกลงการประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement จะได้กำหนดหน้าที่ของ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตามมาตรา 40 และ 41 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
7.2 การกำกับดูแลคู่ค้า/พันธมิตรทางธุรกิจที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล แต่อาจมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลได้
- สหกรณ์ได้มีการประกาศแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ “พันธมิตรทางธุรกิจ” ทราบถึงมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของสหกรณ์ และสหกรณ์คาดหวังว่า “พันธมิตรทางธุรกิจ” จะมีมาตรฐานในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่ามาตรฐานที่สหกรณ์ปฏิบัติ
- สหกรณ์ได้แจ้งให้ “พันธมิตรทางธุรกิจ” ทราบถึง โอกาสที่ตนอาจมีสถานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ในกิจกรรมที่เกี่ยวข้องกับสหกรณ์ หากมีการรับข้อมูลส่วนบุคคลจากสหกรณ์ หรือ มีการส่งข้อมูลส่วนบุคคลซึ่งอาจเก็บรวบรวมเพื่อให้สหกรณ์ดำเนินการอย่างหนึ่งอย่างใด ซึ่งอาจทำให้ต้องลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคลต่อกันก็ได้
- ผู้ประมวลผลข้อมูลส่วนบุคคลที่สหกรณ์มิได้มีสัญญาว่าจ้าง แต่เป็นพันธมิตรที่สามารถรับ-ส่ง หรือ เข้าถึงข้อมูลสมาชิกของสหกรณ์ได้ ไม่ว่าจะเป็นข้อมูลส่วนใดส่วนหนึ่ง หรือข้อมูลทั้งหมด ซึ่งสหกรณ์จัดให้ลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ได้แก่ สมาคมฌาปนกิจสงเคราะห์ (ของสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด) และ บริษัท การบินไทย จำกัด(มหาชน)
8. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
8.1 รูปแบบ/โครงสร้างระบบการเก็บรักษาข้อมูลส่วนบุคคลของสหกรณ์
สหกรณ์มีการเก็บข้อมูลส่วนบุคคลทั้งในรูปแบบข้อมูลที่เป็นเอกสาร (กระดาษ) และข้อมูลอิเล็กทรอนิกส์ (IT) ในระบบปฏิบัติการต่างๆ ดังนี้
การเก็บข้อมูลเอกสาร (กระดาษ)
เนื่องจากสหกรณ์มีการใช้แบบฟอร์มเอกสาร สำหรับสมาชิกในการยื่นคำขอ หรือ สมัครขอกู้ยืม ขอทุน และสวัสดิการอื่นๆ ที่สหกรณ์จัดขึ้นอย่างสม่ำเสมอ ข้อมูลตั้งต้นจึงเป็นข้อมูลที่สมาชิกกรอกลงในแบบฟอร์มเอกสารและเอกสารแนบซึ่งเป็นหลักฐานประกอบแบบฟอร์มนั้นๆ โดยในการเก็บเอกสารซึ่งมีข้อมูลส่วนบุคคลรวมอยู่ด้วยนี้ ส่วนงานที่เกี่ยวข้องจะเป็นผู้รับผิดชอบในการเก็บเอกสารแบบฟอร์มและเอกสารหลักฐานแนบเอง ซึ่งส่วนใหญ่จะเก็บไว้ที่สำนักงานใหญ่ หรือ หากมีจำนวนมากก็อาจแบ่งไปเก็บในคลังเอกสารของสหกรณ์ที่สำนักงานสาขาอื่น (อาคารเก็บเอกสารสาขากิ่งแก้ว จะเป็นศูนย์เก็บรักษาเอกสารข้อมูลส่วนบุคคลแห่งใหม่ ซึ่งมีระบบการเบิกจ่ายเอกสารและมีเจ้าหน้าที่กำกับดูแลอย่างเคร่งครัด) อย่างไรก็ดี สหกรณ์มีแผนการดำเนินงานให้ส่วนงานต่างๆ Scan เก็บในรูปแบบ E-document ให้ครบถ้วนทั้งหมดในอนาคตด้วย เนื่องจากป้องกันกรณีเอกสารต้นฉบับสูญหายหรือเสื่อมสลาย
การเก็บข้อมูลอิเล็กทรอนิกส์ (ระบบ IT)
สหกรณ์มีการพัฒนาระบบการบันทึกข้อมูลสมาชิก ตามการใช้ข้อมูลของส่วนงานต่างๆ หลากหลาย Functions แต่ในทุก Functions จะสามารถดึงข้อมูลจาก ระบบหลัก (Core System) ไปใช้ได้ โดยเมื่อสมาชิกมีการสมัครเข้ามา ฝ่ายทะเบียนสมาชิก จะคีย์ข้อมูลบันทึกลงในระบบทะเบียนสมาชิก และระบบจะส่งข้อมูลเข้าไปเก็บไว้ใน Core System ของสหกรณ์ ต่อมาเมื่อสมาชิกดำเนินกิจกรรมอื่นๆ กับสหกรณ์ เช่น ขอสินเชื่อ เปิดบัญชีเงินฝากเงินออม ลงทะเบียนรับสวัสดิการพิเศษต่างๆ ตลอดจนสมัครกองทุนฌาปนกิจสงเคราะห์ ส่วนงานที่รับผิดชอบในงานต่างๆ นี้ ก็สามารถดึงข้อมูลสมาชิกรายนั้นๆ จาก Core System ไปใช้ประกอบการคีย์ข้อมูลของส่วนงานตนเพิ่มเติมเข้าไปในระบบ Functions เฉพาะของส่วนงานตนได้
นอกจากนี้ สหกรณ์มีระบบ Function สำหรับเก็บข้อมูลประเภทไฟล์ภาพหรือไฟล์สแกนโดยเฉพาะ เรียกว่า
E-document ซึ่งทุกส่วนงานสามารถแสกนเอกสารข้อมูลส่วนบุคคลเก็บไว้ในระบบนี้ได้ โดยระบบจะแยกสำหรับแต่ละแผนกในการจัดเก็บและสืบค้นข้อมูลเพื่อเรียกดู
ทั้งนี้ ระบบ Functions ต่างๆ ส่วนมากเป็นระบบที่สหกรณ์พัฒนาขึ้นเอง แต่ก็มีบางโปรแกรมที่สหกรณ์จัดซื้อเป็นโปรแกรมสำเร็จรูป หรือจัดจ้างให้ Service Provider ภายนอกเข้ามาพัฒนาและMA เป็นประจำ
8.2 สหกรณ์จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สหกรณ์จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) ดังต่อไปนี้
1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยกล่าวคือ มีการกำหนดอำนาจในการเข้าถึงข้อมูลส่วนบุคคลในระบบต่างๆ โดยพิจารณาถึงความจำเป็นในการใช้ข้อมูลของแต่ละส่วนงาน
2. การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล สหกรณ์มีการกำหนดระดับ/ชั้น ในการเข้าถึงข้อมูลส่วนบุคคล (การกำหนดชั้นความลับในการเข้าถึงเพื่อดู แก้ไข เปลี่ยนแปลง ข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์)
3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว กล่าวคือ สหกรณ์ได้กำหนดวิธีการเข้าถึงของบุคลากรในส่วนงานที่เกี่ยวข้อง เช่น การกำหนดให้ใช้ USER ID หรือ อนุมัติสิทธิการเข้าถึงด้วยรหัสประจำตัวพนักงาน โดยฝ่าย IT
4. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล กล่าวคือ การป้องกันมิให้บุคลากรที่สามารถเข้าถึงข้อมูลส่วนบุคคล ใช้อุปกรณ์หรือกระบวนการใดในการนำข้อมูลออกจากระบบหรือยักยอกข้อมูล หรือลักข้อมูลด้วยอุปกรณ์อย่างหนึ่งอย่างใดได้
5. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล กล่าวคือ เมื่อมีการกำหนดสิทธิการเข้าถึง แก้ไข เปลี่ยนแปลง ลบ ข้อมูลส่วนบุคคลในระบบ สหกรณ์ได้จัดให้มีโปรแกรมในการติดตาม ตรวจสอบย้อนหลังถึงการทำกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในระบบได้ สามารถติดตามร่องรอยการเข้าถึงและดำเนินการอย่างหนึ่งอย่างใดกับข้อมูลในระบบได้
9. การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลฯได้ให้ความยินยอมในการเก็บรวบรวม ใช้ ประมวลผลหรือเปิดเผยข้อมูลส่วนบุคคลต่อสหกรณ์ แล้ว เจ้าของข้อมูลย่อมมีสิทธิขอให้สหกรณ์ดำเนินการดังต่อไปนี้
เมื่อได้ให้ความยินยอมแล้ว เจ้าของข้อมูลฯ จะเพิกถอนการยินยอมให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิห้ามเพิกถอนตามกฎหมายหรือตามสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลฯ
ทั้งนี้ การเพิกถอนการยินยอม ไม่กระทบต่อการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล ซึ่งได้กระทำระหว่างที่ได้ให้ความยินยอมโดยชอบและสหกรณ์จะต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่อาจเกิดขึ้นเมื่อมีการถอนความยินยอม
เจ้าของข้อมูลฯ มีสิทธิที่จะเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่สหกรณ์รับผิดชอบอยู่และมีสิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม
เจ้าของข้อมูลฯ มีสิทธิขอรับข้อมูลส่วนบุคคลของตนจากสหกรณ์ได้ ในกรณีที่สหกรณ์จัดให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่อ่าน/ใช้งานทั่วไปและเปิดเผยได้อัตโนมัติด้วยเครื่องมือหรืออุปกรณ์และเจ้าของข้อมูลฯ มีสิทธิขอให้สหกรณ์ ส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบอัตโนมัติข้างต้น ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น เมื่อกระทำได้ด้วยวิธีการอัตโนมัติและเจ้าของข้อมูลฯ มีสิทธิขอรับข้อมูลส่วนบุคคลของตนที่สหกรณ์ส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
อนึ่ง การใช้สิทธิข้อนี้ เจ้าของข้อมูลฯต้องให้ความยินยอมโดยชัดแจ้งในการขอให้สหกรณ์ ส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ซึ่งไม่อยู่ในหลักการตามนโยบายของสหกรณ์
เจ้าของข้อมูลส่วนบุคคล มีสิทธิที่จะคัดค้านมิให้สหกรณ์ เก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่เป็นการดำเนินการที่สหกรณ์ ต้องปฏิบัติตามกฎหมายและเป็นกรณี การเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อเก็บเป็นพยานหลักฐาน สำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสหกรณ์ กับสมาชิกภายในอายุความแห่งกฎหมาย
เจ้าของข้อมูลฯ มีสิทธิขอให้สหกรณ์ ดำเนินการลบ ทำลาย หรือ ทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลฯได้ หากว่าข้อมูลส่วนบุคคลนั้น หมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ที่เคยได้แจ้งไว้ หรือดำเนินการลบ ทำลาย หรือ ทำให้ข้อมูลส่วนบุคคลนั้น ไม่สามารถระบุตัวตนของเจ้าของข้อมูลฯได้ เมื่อเจ้าของข้อมูลฯถอนความยินยอมในการเก็บ รวบรวม ใช้ เปิดเผย และสหกรณ์ไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้เปิดเผยข้อมูลส่วนบุคคลนั้นอีกต่อไป หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เมื่อเจ้าของข้อมูลใช้สิทธิคัดค้านการเก็บรวบรวมใช้เปิดเผยข้อมูลนั้น และสหกรณ์ไม่สามารถปฏิเสธคำคัดค้านนั้นได้ หรือดำเนินการลบ ทำลาย หรือทำให้ข้อมูลนั้น เมื่อข้อมูลส่วนบุคคลได้ถูก เก็บรวบรวมใช้เปิดเผยโดยไม่ชอบด้วยกฎหมาย ทั้งนี้สหกรณ์ อาจคัดค้านการใช้สิทธินี้ ถ้าการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เป็นกรณีที่สหกรณ์ดำเนินการเพื่อปฏิบัติตามกฎหมาย หรือเป็นกรณีเพื่อเก็บเป็นพยานหลักฐานสำหรับการดำเนินคดีที่อาจเกิดขึ้นระหว่างสหกรณ์ กับเจ้าของข้อมูลฯภายในอายุความแห่งกฎหมาย
เจ้าของข้อมูลฯ มีสิทธิที่จะขอให้สหกรณ์ ระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีที่อยู่ระหว่างการตรวจสอบ เมื่อเจ้าของข้อมูลฯขอให้สหกรณ์ดำเนินการให้ข้อมูลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิด และสหกรณ์ ยังไม่ดำเนินการ ทำให้เจ้าของข้อมูลฯร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ หรือเมื่อข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่ต้องลบ ทำลาย เนื่องจากสหกรณ์ เก็บรวบรวม/ใช้/เปิดเผย โดยไม่ชอบด้วยกฎหมาย แต่เจ้าของข้อมูลฯ ขอให้ระงับการใช้แทนการลบ ทำลาย หรือเมื่อข้อมูลส่วนบุคคลนั้น หมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ แต่เจ้าของข้อมูลฯ จำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย ปฏิบัติตามหรือเป็นการใช้สิทธิเรียกร้องตามกฎหมาย หรือ การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเมื่อสหกรณ์ อยู่ระหว่างการตรวจสอบข้อพิสูจน์ กรณีปฏิเสธคำคัดค้านของเจ้าของข้อมูลฯ เรื่องการคัดค้านในการเก็บรวบรวม/ใช้/เปิดเผย ข้อมูลส่วนบุคคล
เจ้าของข้อมูลฯ ใช้สิทธิร้องขอให้สหกรณ์ ดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิดได้
เจ้าของข้อมูลฯ มีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เชื่อว่า สหกรณ์ได้ดำเนินการ เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้อยู่
การเก็บค่าธรรมเนียมในการดำเนินการตามสิทธิ
ทั้งนี้ ในกรณีที่ไม่ขัดต่อกฎหมายที่เกี่ยวข้อง สหกรณ์อาจมีการเรียกเก็บค่าธรรมเนียมในอัตราที่สมเหตุสมผลสำหรับการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล และสหกรณ์ขอสงวนสิทธิ์ในการขอหลักฐานยืนยันการแสดงตนของเจ้าของข้อมูล อย่างไรก็ตาม สหกรณ์อาจปฏิเสธที่จะดำเนินการตามคำขอที่มีลักษณะเป็นการร้องขอซ้ำ ๆหรือที่ไม่มีเหตุผลสมควรหรือต้องใช้ความพยายามทางเทคนิคที่เกินกว่าภาระหน้าที่ตามกฎหมายหรือไม่สามารถปฏิบัติได้อย่างแน่แท้
การคัดค้านหรือปฏิเสธการใช้สิทธิ
× ปฏิบัติตามกฎหมายที่บริษัทฯมีหน้าที่ต้องปฏิบัติตามอย่างเคร่งครัด
× เป็นการจำเป็นเพื่อให้เกิดสิทธิเรียกร้องตามกฎหมาย หรือเป็นการปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นเพื่อต่อสู้สิทธิเรียกร้อง
ข้อมูลสหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด
สถานที่ติดต่อ: สหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด
ที่ตั้งสำนักงาน ....................................................................................................................
ที่ตั้งสำนักงานสาขา...............................................................................................................................
ที่ตั้งสำนักงานสาขา ...............................................................................................................................
หมายเลขโทรศัพท์: ....................................................... E-mail ……………………………………………….
ข้อมูลเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กรณีประสงค์จะใช้สิทธิเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อได้ที่
ส่วนงานเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (แนะนำให้ใส่ข้อมูลช่องทางที่สหกรณ์จะรับเรื่องไว้ก่อน)
ฝ่ายประชาสัมพันธ์ หรือ ส่วนงาน DPO โดยตรง
สหกรณ์ออมทรัพย์พนักงานบริษัทการบินไทย จำกัด
ที่ตั้งสำนักงาน ....................................................................................................................
หมายเลขโทรศัพท์ DPO : ....................................................... E-mail (DPO) ………………………….