การคุ้มครองข้อมูลส่วนบุคคลสำหรับการบริหารทรัพยากรบุคคล

บทนำ

เนื่องด้วยธนาคารทหารไทยธนชาต จำกัด (มหาชน) (“ธนาคาร”) และบริษัทในกลุ่มธุรกิจของธนาคารได้เล็งเห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้

1. ข้อมูลส่วนบุคคลจะต้องถูกประมวลผลโดยชอบด้วยกฎหมาย มีความเป็นธรรมและโปร่งใส จะต้องไม่นำไปประมวลผลต่อในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ที่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลหรือขัดต่อกฎหมายหรือกฎเกณฑ์ของทางการ
2. เก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่จำเป็น (Data Minimization) เกี่ยวข้องกับวัตถุประสงค์ที่ระบุไว้อย่างชัดเจน (Purpose Limitation) ไม่ขัดต่อกฎหมาย เป็นธรรมและโปร่งใส (Lawfulness, Fairness and Transparency)
   ทั้งนี้ หน่วยงานทรัพยากรบุคคลยังสามารถประมวลผลข้อมูลส่วนบุคคลที่ธนาคารได้ เก็บรวบรวมก่อนวันที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยอ้างอิงการขออนุญาตและวัตถุประสงค์การใช้ที่มีแต่เดิมอย่างเคร่งครัดและหากมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่ ให้ดำเนินการขอความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง
3. ข้อมูลส่วนบุคคลควรมีคุณภาพ คือ มีความถูกต้อง (Accurate) สมบูรณ์ (Complete) และเป็นปัจจุบัน (Up-to-Date) หากพบข้อมูลใดไม่มีคุณภาพจะต้องดำเนินการปรับปรุงแก้ไขโดยไม่ล่าช้า
4. ข้อมูลส่วนบุคคลจะต้องไม่เก็บเกินความจำเป็นและต้องเก็บในระยะเวลาที่เหมาะสม (Storage Limitation) หรือตามที่กฎหมายกำหนด เพื่อป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลและอาจสร้าง ความเสียหายให้กับเจ้าของข้อมูลส่วนบุคคลและธนาคารในอนาคต
5. ในการประมวลผลข้อมูลส่วนบุคคลจะต้องมีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคล และข้อมูลส่วนบุคคลจะต้องมีความสมบูรณ์ ถูกต้อง โดยจัดให้มีมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ที่มีความเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
6. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายและกฎหมายลำดับรองที่เกี่ยวข้อง

ทั้งนี้ เพื่อให้การบริหารงานทรัพยากรบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงาน หรือผู้ที่เกี่ยวข้องกับงานบริหารทรัพยากรบุคคลอื่น ๆ เช่น บุคคลธรรมดาที่ธนาคารว่าจ้างมาเป็นที่ปรึกษาประจำอยู่ในหน่วยงานต่าง ๆ ภายในธนาคาร เป็นต้น มีความสอดคล้องกับหลักการดังกล่าวข้างต้น หน่วยงานทรัพยากรบุคคลจึงกำหนดให้มีมาตรฐานป้องกันและลดความเสี่ยงที่มีผลกระทบต่อข้อมูลส่วนบุคคลอันอาจสร้างความเสียหายในระดับบุคคลหรือองค์กรได้

 

วัตถุประสงค์

1. เพื่อให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้รับความคุ้มครองและปราศจาก การล่วงละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
2. เพื่อให้สามารถบริหารจัดการข้อมูลอย่างเป็นระบบ และหาวิธีการป้องกันข้อมูลประเภท ต่าง ๆ ไม่ให้รั่วไหลได้อย่างเหมาะสมและดีที่สุด
3. เพื่อให้สามารถแยกประเภทของข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงานหรือบุคคลภายนอกตามการจัดชั้นของข้อมูล (Data Classification) เพื่อกำหนดมาตรการป้องกันข้อมูลรั่วไหลและทำการบริหารจัดการข้อมูลอย่างเป็นระบบ ให้เข้าถึงง่าย สะดวก และรวดเร็วในการเข้าถึงข้อมูลนั้น ๆ

 

ขอบเขต

เอกสารฉบับนี้ครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงานกับธนาคาร และบริษัทในกลุ่มธุรกิจของธนาคาร โดยวิธีการทางอิเล็กทรอนิกส์และในระบบการจัดเก็บเอกสารที่เป็นเอกสารต้นฉบับและสำเนาที่เข้าถึงได้อย่างเป็นระบบ ซึ่งข้อมูลดังกล่าวธนาคารนำมาเพื่อใช้ในการบริหารทรัพยากรบุคคล สวัสดิการ การอบรมให้ความรู้ และเพื่อปฏิบัติตามที่กฎหมายกำหนด

 

คำจำกัดความ

ธนาคาร หมายถึง ธนาคารทหารไทยธนชาต จำกัด (มหาชน) และบริษัทในกลุ่มธุรกิจของธนาคาร

พนักงาน หมายถึง บุคคลผู้ซึ่งตกลงทำงานให้กับธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคาร โดยได้รับค่าจ้างเป็นค่าตอบแทนในการทำงานตามสัญญาจ้าง ให้หมายความรวมถึงพนักงานสัญญาจ้างและบุคคลภายนอก (Outsource) ด้วย

อดีตพนักงาน หมายถึง บุคคลผู้ซึ่งพ้นสภาพจากการเป็นพนักงานของธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคารแล้วไม่ว่าด้วยเหตุใด ๆ ก็ตาม

ผู้สมัครงาน หมายถึง บุคคลผู้สนใจและแจ้งความประสงค์เข้ารับการคัดเลือกเป็นพนักงานของธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคารตามตำแหน่งงานที่เปิดรับสมัครและยังไม่ได้ลงนามสัญญาจ้าง หรือลงนามสัญญาจ้างแต่ไม่ได้เริ่มงานตามที่ได้ตกลง

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลประเภทที่ระบุไว้ในข้อ 2 ของเอกสารฉบับนี้

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ประมวลผล หมายถึง การดำเนินการหรือชุดการดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การจัดเก็บ รวบรวม การบันทึก การจัดระบบ จัดโครงสร้าง การอัปเดตหรือการแก้ไข การดึงข้อมูล การใช้ การเปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำใด ๆ เพื่อให้พร้อมใช้งาน การใช้ การรวม การบล็อก การลบ หรือ การทำลายข้อมูลซึ่งครอบคลุมรูปแบบกระดาษและอิเล็กทรอนิกส์

 

หลักเกณฑ์

ประเภทของข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน และผู้สมัครงานกับธนาคาร

1. ข้อมูลส่วนบุคคลทั่วไป
   • • รูปถ่าย
   • • ชื่อ-นามสกุล
   • • ข้อมูล/สำเนาเอกสารการเปลี่ยนชื่อ-นามสกุล (ถ้ามี)
   • • ชื่อ-นามสกุลของคู่สมรส บุตร บิดามารดา พี่น้อง
   • • สัญชาติ
   • • วัน เดือน ปีเกิด
   • • เลขที่บัตรประจำตัวประชาชน หรือเลขที่หนังสือเดินทาง (พาสปอร์ต)
   • • ที่อยู่อาศัยตามสำเนาบัตรประชาชน หรือที่อยู่อาศัยปัจจุบัน
   • • เบอร์โทรศัพท์ หรืออีเมลส่วนตัว
   • • วุฒิการศึกษา หรือผลการศึกษา (Transcript)
   • • ประสบการณ์การทำงาน หรือประวัติการทำงาน (CV)
   • • ค่าจ้างและค่าตอบแทน
   • • ชื่อและเลขที่บัญชีธนาคาร
   • • ข้อมูลผู้รับผลประโยชน์กรณีพนักงานเสียชีวิต
2. ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว
   • • ศาสนา และกรุ๊ปเลือดที่ปรากฎอยู่ในสำเนาบัตรประจำตัวประชาชน
   • • ประวัติการตรวจสุขภาพก่อนเข้าทำงาน และประวัติการรักษาพยาบาล
   • • ประวัติอาชญากรรม
   • • ข้อมูลสถานะเครดิต
   • • ข้อมูลประเภทความพิการ
3. วัตถุประสงค์ของการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล
   • 3.1 เพื่อปฏิบัติตามข้อกำหนดของระเบียบธนาคารแห่งประเทศไทย เรื่อง การว่าจ้างของผู้บริหารของสถาบันการเงิน ตามพระราชบัญญัติธุรกิจสถาบันการเงิน
   • 3.2 เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการจ้างแรงงานและการบริหารจัดการสวัสดิการ เช่น กฎหมายคุ้มครองแรงงานเพื่อจัดทำทะเบียนลูกจ้าง กฎหมายความปลอดภัย การขึ้นทะเบียนประกันสังคมและการนำส่งเงินประกันสังคม การจ่ายเงินและนำส่งเข้ากองทุนสำรองเลี้ยงชีพ การนำส่งประวัติการอบรมให้กับกรมพัฒนาฝีมือแรงงาน การทำบัญชีและรายงานการนำส่งเงิน หักภาษีเงินได้บุคคลธรรมดา
   • 3.3 เพื่อให้ธนาคารนำมาประกอบการพิจารณาเรื่องคุณสมบัติของพนักงานเพื่อให้ตรงกับตำแหน่ง หน้าที่และความรับผิดชอบ รวมถึงการหลีกเลี่ยงความเสี่ยงที่จะเกิดขึ้นและก่อให้เกิดความเสียหายต่อธนาคาร โดยธนาคารได้กำหนดเรื่องดังกล่าวขึ้นเป็นระเบียบข้อบังคับในการทำงาน หรือระเบียบปฏิบัติภายในแล้วแต่กรณี
   • 3.4 เพื่อให้ธนาคารนำมาประกอบเป็นหลักฐานในการจ่ายผลประโยชน์และค่าตอบแทนให้กับพนักงาน
   • 3.5 เพื่อเป็นหลักฐานในการตรวจสอบตามหลักการตรวจสอบและการบัญชี
   • 3.6 เพื่อเป็นหลักฐานกรณีจำเป็นต้องดำเนินคดีกรณีมีข้อพิพาทแรงงาน
   • 3.7 เพื่อประโยชน์ในการบริหารงานบุคคลต่าง ๆ ภายใต้ขอบเขตตามสัญญาจ้างแรงงาน
4. ฐานกฎหมายที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคล
   • 4.1 ธนาคารมีหลักการเก็บข้อมูลส่วนบุคคล ดังนี้
     • (1) ข้อมูลส่วนบุคคลทั่วไปของพนักงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานสัญญาจ้างแรงงาน และการปฏิบัติตามกฎหมายที่เกี่ยวข้องกำหนด
     • (2) ข้อมูลส่วนบุคคลทั่วไปของผู้สมัครงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานความยินยอมจากผู้สมัครงาน
     • (3) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของพนักงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานความยินยอมจากพนักงานเป็นการเฉพาะในแต่ละกรณี
   • 4.2 ธนาคารมีวิธีการจัดเก็บข้อมูล หรือเอกสารข้อมูลส่วนบุคคล ที่เป็นมาตรฐาน มีระบบการควบคุม และสามารถตรวจสอบการเข้าถึงฐานข้อมูลได้ โดยมีวิธีการจัดเก็บดังนี้
     • (1) เอกสารข้อมูลส่วนบุคคล จะจัดเก็บไว้ในแฟ้มประวัติของพนักงานแต่ละราย เพื่อใช้ยืนยันตัวตนของพนักงาน ประกอบการบริหารงานบุคคลตามสัญญาจ้าง และ/หรือปฏิบัติตามที่กฎหมายกำหนด
     • (2) ข้อมูลส่วนบุคคล จะบันทึกลงในระบบสารสนเทศทรัพยากรบุคคล (HCM) เพื่อใช้สำหรับประกอบการบริหารงานบุคคลตามสัญญาจ้างและ/หรือปฏิบัติตามที่กฎหมายกำหนด โดยธนาคารได้กำหนดวิธีการเข้าถึงข้อมูล การใช้ข้อมูล และการขอข้อมูลระหว่างหน่วยงานภายในธนาคาร ดังนี้
       • การกำหนดสิทธิเข้าถึงข้อมูล
         หัวหน้างานจะเป็นผู้พิจารณาสิทธิการเข้าถึงข้อมูลของพนักงานตามหน้าที่ความรับผิดชอบ และแจ้งคำขอสิทธิเข้าถึงข้อมูลมายังหน่วยงานสารสนเทศทรัพยากรบุคคล (HCM) บริหารผลตอบแทนและสิทธิประโยชน์ เพื่อพิจารณาอนุมัติและดำเนินการ
       • การขอข้อมูลจากหน่วยงานภายในธนาคาร
         ให้หน่วยงานผู้ขอข้อมูลกรอกข้อมูลคำขอลงในแบบฟอร์มที่ธนาคารกำหนด HR Data Request Form และ Data Subject Right Request Form (DSR Request Form) พร้อมระบุเหตุผลความจำเป็นประกอบคำขอ โดยต้องได้รับอนุมัติจากผู้มีอำนาจตามที่ธนาคารกำหนด

       ทั้งนี้ การดำเนินการดังกล่าวข้างต้น ให้หัวหน้าบริหารผลตอบแทนและสิทธิประโยชน์ เป็นผู้พิจารณาและวินิจฉัยตามความเหมาะสมและสอดคล้องกับระเบียบของธนาคาร

   • 4.3 การเปิดเผยข้อมูลส่วนบุคคล ธนาคารอาจเปิดเผยข้อมูลส่วนบุคคลกับบุคคล/หน่วยงานที่เกี่ยวข้อง ดังนี้
     • (1) บริษัทในกลุ่มธุรกิจของธนาคาร
     • (2) ผู้รับจ้างที่เป็นคู่สัญญากับธนาคาร ตลอดจนพนักงานหรือที่ปรึกษาของผู้รับจ้างดังกล่าว เช่น การว่าจ้างพัฒนาโปรแกรมเกี่ยวกับงานทรัพยากรบุคคล การว่าจ้างโรงพยาบาลให้บริการตรวจสุขภาพประจำปีพนักงาน หรือตรวจสุขภาพก่อนเข้างาน บริษัทประกันภัยที่รับประกันสุขภาพตามสิทธิในสวัสดิการที่พนักงานได้รับจากธนาคาร ผู้รับจ้างออกบัตรสติ๊กเกอร์จอดรถ บริษัทจัดการที่บริหารเงินกองทุนสำรองเลี้ยงชีพ ผู้ว่าจ้างตรวจสอบภายนอก เป็นต้น
     • (3) หน่วยงานราชการที่เกี่ยวข้อง เช่น สำนักงานประกันสังคม กระทรวงแรงงานและสวัสดิการสังคม กรมสรรพากร สำนักงานตำรวจแห่งชาติ ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ศาลในกรณีที่ฟ้องร้องธนาคารและพนักงานเป็นจำเลยร่วมกัน เป็นต้น
   • 4.4 ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
     • (1) เอกสารข้อมูลส่วนบุคคลของพนักงาน ธนาคารจะไม่จัดเก็บเอกสารข้อมูลส่วนบุคคลของพนักงานไว้เกินกว่าความจำเป็นของธนาคาร โดยจะมีการทำลายเอกสารข้อมูลส่วนบุคคลตามระยะเวลาที่กำหนดไว้ในคู่มือปฏิบัติงานOP-056-V.3-TH เรื่อง การฝาก เบิก คืน เอกสารธนาคาร เพื่อรอทำลาย หรือการฝากทำลายเอกสาร
       
       ทั้งนี้ ยกเว้นอดีตพนักงานที่มีประวัติโทษทางวินัย อดีตพนักงานที่ธนาคารเลิกจ้าง รวมถึงอดีตพนักงานที่ขอเกษียณอายุก่อนกำหนด และได้รับเงินชดเชยจากธนาคาร ซึ่งธนาคารจะเก็บข้อมูลไว้เพื่อสงวนสิทธิ์ในการพิจารณารับกลับเข้ามาทำงานกับธนาคาร
     • (2) ข้อมูลส่วนบุคคลของพนักงาน ธนาคารจะจัดเก็บข้อมูลส่วนบุคคลในระบบสารสนเทศทรัพยากรบุคคล (HCM) เพื่อใช้สำหรับประกอบการบริหารงานบุคคลโดยใช้ฐานความชอบด้วยกฎหมาย มีการกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและกำหนดการเข้าถึงข้อมูลส่วนบุคคล รวมถึงการนำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างเคร่งครัดเพื่อไม่ให้เกิดความเสี่ยงกรณีข้อมูลรั่วไหลได้ ทั้งนี้ ธนาคารจะทำลายข้อมูลส่วนบุคคลอดีตพนักงานเมื่อเกินกำหนด 10 ปี ยกเว้นอดีตพนักงาน ที่มีประวัติโทษทางวินัย อดีตพนักงานที่ธนาคารเลิกจ้าง รวมถึงอดีตพนักงานที่ขอเกษียณอายุก่อนกำหนด และได้รับเงินชดเชยจากธนาคาร ซึ่งธนาคารจะจัดเก็บข้อมูลเพื่อสงวนสิทธิ์ในการพิจารณารับกลับเข้ามาทำงานกับธนาคาร
     • (3) เอกสารข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลของผู้สมัครงาน ธนาคารจะไม่จัดเก็บข้อมูลส่วนบุคคลไว้เกินกว่าความจำเป็นของธนาคาร โดยจะมีการทำลายเอกสารข้อมูลส่วนบุคคลดังกล่าวเมื่อครบกำหนดระยะเวลา 2 ปี นับแต่วันที่ได้รับข้อมูล
   • 4.5 การคุ้มครองข้อมูลส่วนบุคคล
     ธนาคารได้กำหนดนโยบาย ระเบียบ และมาตรฐานในการคุ้มครองข้อมูลของพนักงานเช่นเดียวกับการดูแลข้อมูลส่วนบุคคลของลูกค้า อาทิ มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้ผู้ไม่มีอำนาจเข้าถึงข้อมูลส่วนบุคคล ทำการแก้ไข เปลี่ยนแปลง ทำให้สูญหายหรือนำข้อมูลไปใช้และเปิดเผยผิดวัตถุประสงค์หรือผิดกฎหมาย โดยธนาคารได้มีการปรับปรุงนโยบาย ระเบียบและมาตรฐานขั้นต่ำดังกล่าวเป็นประจำทุกปี หรือปรับปรุงเมื่อมีการเปลี่ยนแปลงของกฎหมายที่เกี่ยวข้องหรือนโยบายของธนาคารอย่างมีนัยสำคัญ
     
     นอกจากนี้ ธนาคารยังกำหนดให้คู่สัญญาของธนาคารหรือบุคคลภายนอก (3rd party) มีหน้าที่ต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในด้านมาตรการป้องกันการละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล การป้องกันข้อมูลรั่วไหล รวมถึงรักษาความลับข้อมูลของพนักงาน ผู้สมัครงานและบุคคลอื่นใดที่อยู่ภายใต้การกำกับดูแลของหน่วยงานทรัพยากรบุคคลให้มีมาตรฐานเดียวกันหรือสูงกว่าโดยอ้างอิงมาตรการรักษาความมั่นคงปลอดภัยสากล เช่น ISO27001, NIST เป็นต้น และกำหนดให้มีกระบวนการรับเรื่องร้องเรียนกรณีข้อมูลรั่วไหล การขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะต้องทำงานประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office/DPO) และทีมกำกับกฎหมายข้อมูลส่วนบุคคล (PDPA Compliance) ในการบริหารจัดการเรื่องข้อร้องเรียนและจัดทำรายงานข้อมูลรั่วไหลต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคลในกรณีเป็นความเสี่ยงสูง เป็นต้น ซึ่งกระบวนการนี้จะต้องมีกำกับจากคู่สัญญาที่ทำหน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และพันธมิตรทางการเงิน (Business Partner) ที่จะต้องลงนามสัญญาประมวลผลข้อมูล (Data Processing Agreement – DPA) และ Controller to Controller Agreement/ data sharing agreement แล้วแต่กรณี
   • 4.6 สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงานกับธนาคาร พนักงานและอดีตพนักงานบริษัทในกลุ่มธุรกิจของธนาคาร สามารถอ้างอิงนโยบายความเป็นส่วนตัวสำหรับพนักงานได้ที่ www.intranet.ttb และสำหรับผู้สมัครงานได้ที่ https://www.ttbbank.com/th/policy/candidate
     • (1) สิทธิขอเพิกถอนความยินยอม (Right to withdraw consent)
       พนักงานและผู้สมัครงานมีสิทธิขอเพิกถอนความยินยอมที่ให้ธนาคารจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูล เว้นแต่มีกรณีจำเป็นบางประการที่จะไม่สามารถเพิกถอนความยินยอมได้ เช่น มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือมีสัญญาที่ให้ประโยชน์แก่พนักงานอยู่จากการที่พนักงานมีบริการและ/หรือผลิตภัณฑ์ และ/หรือมีภาระหนี้หรือภาระผูกพันอยู่กับธนาคาร
       
       อย่างไรก็ดี กรณีที่เป็นพนักงานขอเพิกถอนความยินยอมดังกล่าวอาจส่งผลกระทบต่อพนักงานจากการปฏิบัติตามภาระหน้าที่ของธนาคารตามสัญญาจ้าง และ/หรือกฎหมายที่เกี่ยวข้อง ดังนั้น เพื่อประโยชน์ของพนักงาน จึงควรสอบถามถึงผลกระทบจากธนาคารก่อนเพิกถอนความยินยอม โดยธนาคารจะพิจารณาเป็นกรณี ๆ ไป
       
       แม้จะมีการเพิกถอนความยินยอมดังกล่าว หรือพนักงานพ้นสภาพการเป็นพนักงานไปแล้ว ธนาคารอาจมีความจำเป็นต้องเก็บข้อมูลของพนักงานต่อไปตามที่กฎหมายกำหนด หรือต้องเก็บไว้เพื่อวัตถุประสงค์ในการพิสูจน์การตรวจสอบทั้งของพนักงานเองและของธนาคาร เช่น กรณีทุจริต การกระทำผิดวินัย หรือเกิดข้อพิพาทภายในอายุความตามที่กฎหมายกำหนด เป็นต้น
     • (2) สิทธิขอทราบข้อมูลส่วนบุคคล (Right to access)
       มีสิทธิขอทราบและขอรับสำเนาข้อมูลส่วนบุคคลของพนักงาน ซึ่งอยู่ในความรับผิดชอบของธนาคาร หรือขอให้ธนาคารเปิดเผยการได้มาซึ่งข้อมูลที่พนักงานไม่ได้ให้ความยินยอม ทั้งนี้ ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
     • (3) สิทธิขอถ่ายโอนข้อมูลส่วนบุคคล (Right to data portability)
       มีสิทธิขอรับข้อมูลในกรณีที่ธนาคารได้ทำให้ข้อมูลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิดังนี้
       • ขอให้ธนาคารส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
       • ขอรับข้อมูลที่ธนาคารส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่สภาพทางเทคนิคไม่สามารถทำได้
     • (4) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
       มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยที่เกี่ยวกับพนักงาน ในกรณีดังนี้
       
       • กรณีที่เป็นข้อมูลที่เก็บรวบรวมได้ด้วยเหตุจำเป็น เพื่อการดำเนินภารกิจตามสัญญาจ้าง (Contract) อันเป็นประโยชน์อันชอบด้วยกฎหมาย (Legitimate Interest) ของธนาคารหรือของบุคคลอื่น ซึ่งเหตุจำเป็นดังกล่าวเป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมจากพนักงานตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่ กรณีเป็นไปโดยผลของการบังคับใช้กฎหมายที่สำคัญยิ่งกว่า หรือเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
       • กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เป็นต้น
     • (5) สิทธิขอให้ลบข้อมูลส่วนบุคคล (Right to be forgotten/erasure)
       มีสิทธิขอให้ธนาคารลบหรือทำลาย ระงับการใช้ชั่วคราว หรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลว่าเป็นพนักงานหรือผู้สมัครงานได้ (Depersonalization) โดยพนักงานจะใช้สิทธิในข้อนี้ได้เฉพาะกรณีที่ธนาคารไม่ปฏิบัติตามหลักเกณฑ์แห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือได้รับความเห็นชอบจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
       
       นอกจากการขอให้ระงับการใช้ข้อมูลชั่วคราวตามกรณีข้างต้น พนักงานอาจขอให้ระงับการใช้ข้อมูลชั่วคราว ในกรณี ดังนี้
       • เมื่อธนาคารอยู่ระหว่างการตรวจสอบตามที่พนักงานร้องขอให้แก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
       • เมื่อพ้นกำหนดระยะเวลาการเก็บข้อมูลตามวัตถุประสงค์ในการเก็บรวบรวม แต่พนักงานมีความจำเป็นต้องขอให้เก็บไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
       • เมื่อธนาคารอยู่ระหว่างการพิสูจน์หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของพนักงาน
     • (6) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (Right to rectification)
       มีสิทธิร้องขอให้ธนาคารดำเนินการให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
     • (7) สิทธิร้องเรียน (Right to complain)
       มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีธนาคาร หรือผู้ประมวลผลข้อมูล รวมทั้งลูกจ้าง หรือผู้รับจ้างของธนาคาร หรือผู้ประมวลผลส่วนบุคคล ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎกระทรวง หรือประกาศที่ออกตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
     • (8) สิทธิคัดค้านผลการวิเคราะห์ด้วยระบบอัตโนมัติ (Right to object to automated decision making)
       มีสิทธิร้องขอให้ธนาคารทำการทบทวนผลการวิเคราะห์ด้วยระบบอัตโนมัติ โดยให้ใช้พนักงานของธนาคารดำเนินการแทนระบบอัตโนมัติ
       
       สิทธิดังกล่าวข้างต้นขึ้นอยู่กับปัจจัยต่าง ๆ ที่เกี่ยวข้องที่ธนาคารอาจไม่สามารถดำเนินการตามคำร้องขอได้ หากธนาคารมีเหตุจำเป็นอย่างอื่น เช่น ขัดต่อกฎหมายอื่น ต้องปฏิบัติตามคำสั่งศาล หรือเพื่อประโยชน์สาธารณะ เป็นต้น โดยอำนาจในการตัดสินใจพิจารณาการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลนั้นจะต้องได้รับการเห็นชอบจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ dpo@ttbbank.com ร่วมกับเจ้าของข้อมูล (DO)
5. ขั้นตอนการขอใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล ในกรณีที่พนักงานมีความประสงค์ขอใช้สิทธิอย่างใดอย่างหนึ่ง หรือมีข้อสงสัยเกี่ยวกับข้อมูล ส่วนบุคคลของตนเองเบื้องต้น สามารถติดต่อสอบถามได้ผ่านช่องทาง ดังต่อไปนี้
   • (1) อีเมล : EmployeeRelations@ttbbank.com
   • (2) โทรศัพท์ : 02-299-1740 กด 2