นโยบายระยะเวลาการเก็บข้อมูลส่วนบุคคล
นโยบายระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy)
1. วัตถุประสงค์
1.1 เพื่อใช้เป็นแนวทางปฏิบัติที่ชัดเจนในเรื่องกำหนดระยะเวลาการเก็บข้อมูลส่วนบุคคล เพื่อให้ผู้เกี่ยวข้องยึดถือปฏิบัติในแนวทางเดียวกัน
1.2 เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และป้องกันการกระทำของพนักงานที่ไม่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2. ขอบเขต
ใช้เป็นนโยบายบริษัทใน เรื่อง ระยะเวลาการเก็บข้อมูลส่วนบุคคล สำหรับ บริษัท พีรพัฒน์ เทคโนโลยี จำกัด (มหาชน) และบริษัทย่อย
3. คำจำกัดความ
ระยะเวลาการเก็บข้อมูล (Data Retention) หมายถึง การกระทำโดยการกำหนดระยะเวลาการเก็บรักษาข้อมูล โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลและลดโอกาสการละเมิดหรือรั่วไหลของข้อมูล โดยคำนึงถึงหลักการเก็บข้อมูลอย่างจำกัด (Storage Limitation) ซึ่งมีแนวทางของการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังนี้
- จัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับวัตถุประสงค์ และมีระยะเวลาการเก็บรักษาเท่าที่จำเป็นตามวัตถุประสงค์
- เมื่อหมดความจำเป็นของการเก็บรักษาตามวัตถุประสงค์แล้ว ควรดำเนินการลบหรือทำลายตามระเบียบที่กำหนดไว้
- ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ขึ้นอยู่กับบัญญัติของกฎหมายที่บังคับใช้/ระเบียบ/มาตรฐาน/บรรทัดฐานการจัดเก็บและรักษาข้อมูลที่กำหนดไว้ของแต่ละประเภทงาน
4. หน้าที่และความรับผิดชอบ
4.1 ผู้ควบคุมข้อมูล
- จัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับวัตถุประสงค์ และมีระยะเวลาการเก็บรักษาเท่าที่จำเป็นตามวัตถุประสงค์
- ควบคุมให้ผู้เกี่ยวข้อง ปฏิบัติตามนโยบายหรือระเบียบปฏิบัติงานที่เกี่ยวข้องอย่างเคร่งครัด
4.2 ผู้จัดเก็บข้อมูล
- จัดเก็บข้อมูลฯ ให้สอดคล้องกับวัตถุประสงค์ และมีระยะเวลาการเก็บรักษาเท่าที่จำเป็นตามวัตถุประสงค์
4.3 กรรมการคุ้มครองข้อมูลส่วนบุคคล
- ทบทวนสอบทานระเบียบปฏิบัติงานเรื่องกำหนดระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy) อย่างน้อยปีละ 1 ครั้ง
5. การเก็บรักษาข้อมูลส่วนบุคคล
ผู้ควบคุมทำการเก็บรักษาข้อมูลส่วนบุคคลของท่าน ดังนี้
5.1 ข้อมูลส่วนบุคคลที่บริษัทจัดเก็บจะอยู่ในลักษณะของ Hard Copy, Soft Copy
5.2 ข้อมูลส่วนบุคคลจะถูกจัดเก็บไว้ในเครื่องมืออุปกรณ์ของบริษัท ได้แก่ คอมพิวเตอร์ โทรศัพท์มือถือ ของทางบริษัท รวมถึงมีการเก็บข้อมูลในบนระบบคอมพิวเตอร์ ซึ่งได้แก่ ตั้งเซิฟเวอร์ด้วยตนเอง และระบบ Cloud
6. ระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Period)
ลำดับ | ประเภท / รายการข้อมูลส่วนบุคคล | ระยะเวลาประมวลผล |
1 | ข้อมูลที่บ่งชี้ตัวตน อาทิ ชื่อ อายุ สัญชาติ วันเกิด อายุ | 10 ปี นับแต่วันที่เลิกสัญญา |
2 | ข้อมูลช่องทางการติดต่อ อาทิ ที่อยู่ สถานที่ติดต่อ เบอร์โทร อีเมล | 10 ปี นับแต่วันที่เลิกสัญญา |
3 | ข้อมูลบัญชี อาทิ รายละเอียดการชำระเงิน และบัญชีธนาคาร | 10 ปี นับแต่วันที่เลิกสัญญา |
4 | ข้อมูลทางธุรกรรม อาทิ ประวัติการรับบริการต่างๆ ประวัติการซื้อขาย | 10 ปี นับแต่วันที่เลิกสัญญา |
5 | ข้อมูลส่วนตัว อาทิ ชื่อบัญชีผู้ใช้ รหัสผ่าน การสั่งซื้อ ความสนใจของท่านที่มีต่อบริการต่างๆของผู้ให้บริการ | 10 ปี นับแต่วันที่เลิกสัญญา |
6 | ข้อมูลทางเทคนิค อาทิ Google Analytics หมายเลขระบุตำแหน่งคอมพิวเตอร์ (IP Address) ข้อมูลการเข้าระบบ ข้อมูลการใช้งาน และ การตั้งค่า (log) | 10 ปี นับแต่วันที่เลิกสัญญา |
7 | ข้อมูลทางการตลาด อาทิ ความพึงพอใจของท่านต่อบริการที่ได้รับ และความเห็นต่อการให้บริการของบุคลากร | 10 ปี นับแต่วันที่เลิกสัญญา |
7. บทลงโทษ
พนักงานผู้ละเมิดระเบียบปฏิบัติงานของบริษัทฯ ฉบับนี้ ถือเป็นการกระทำที่ผิดวินัยของบริษัทฯ โดยเข้าสู่กระบวนการพิจารณาความผิดตามระเบียบของบริษัทฯ
8. การทบทวน
กำหนดให้กรรมการคุ้มครองข้อมูลส่วนบุคคล ทบทวนนโยบายกำหนดระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy) อย่างน้อยปีละ 1 ครั้ง และรายงานให้คณะกรรมการบริหารของบริษัทรับทราบด้วย
(นายวีระพงค์ ลือสกุล)
ประธานเจ้าหน้าที่บริหาร