บริษัท อินโนเทค ลาบอราทอรี่ เซอร์วิส จำกัด (“บริษัท”) ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล และในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทมีหน้าที่ตามกฎหมายในการแจ้งเอกสารฉบับนี้ให้ท่านทราบถึงเหตุผลและวิธีการที่บริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน รวมถึงแจ้งให้ท่านทราบสิทธิของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล
1. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลส่วนบุคคลของคนที่มีชีวิตอยู่ที่สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม “ข้อมูลส่วนบุคคลที่อ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด “ประมวลผล” หมายถึง เก็บรวบรวม ใช้ หรือเปิดเผย “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่มีอํานาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
2. ข้อมูลส่วนบุคคลที่บริษัท เก็บรวบรวมจากท่าน
ข้อมูลส่วนบุคคลของท่านที่บริษัทเก็บรวบรวม สามารถจำแนกเป็นประเภทดังต่อไปนี้
|
1. ข้อมูลระบุตัวตน (Personal data) |
เช่น ชื่อ นามสกุล เลขที่บัตรประชาชน ID รูปถ่ายใบหน้า เพศ วันเดือนปีเกิด หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่น ๆ |
|
2. ข้อมูลสำหรับการติดต่อ (Contact data) |
ที่อยู่ เบอร์โทรศัพท์ |
|
3. ข้อมูลการเงิน (Financial data) |
เช่น ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเดบิต รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน ข้อมูลใบเสร็จ ข้อมูลใบราคา |
|
4. ข้อมูลสถิติ (Statistical data) |
เช่น ข้อมูลที่ไม่ระบุตัวตน จำนวนผู้ป่วย และจำนวนการเข้าชมเว็บไซต์ |
|
5. ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) |
เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ การตั้งค่าเรื่องเขตเวลา |
|
6. ข้อมูลผ่านแอพพลิเคชั่น (Application data) |
เช่น ข้อมูลระบุตัวตน ข้อมูลสำหรับการติดต่อ ข้อมูลสถิติ |
|
7. ข้อมูลด้านสุขภาพ (Health data) |
เช่น รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ ผลการทดสอบ จากห้องทดลอง การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยา และ แพ้ยา ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์ ข้อมูล Feedbackและผลการรักษา |
3. แหล่งที่มาของข้อมูลส่วนบุคคล
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งที่มาดังต่อไปนี้
3.1) ข้อมูลส่วนบุคคลที่ได้โดยตรงจากท่านไม่ว่าจะด้วยตนเอง หรือผ่านช่องทางออนไลน์ ได้แก่
● การที่ท่านติดต่อกับบริษัทเพื่อสอบถามข้อมูลเรื่องการให้บริการของบริษัท
● การที่ท่านเป็นผู้รับบริการหรือเป็นคู่สัญญากับบริษัท
● การที่ท่านเข้าร่วมกิจกรรมส่งเสริมการขายของบริษัท
3.2) ข้อมูลส่วนบุคคลที่ได้รับโดยทางอ้อม ได้แก่
การที่บริษัทได้รับมอบหมายจากบุคคลหรือหน่วยงานอื่นให้ดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลในฐานะที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ของบุคคลหรือหน่วยงานนั้น โดยบริษัทจะไม่ใช้ข้อมูลส่วนบุคคลนอกเหนือไปจากวัตถุประสงค์ที่บริษัทได้รับมอบหมาย
4. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
บริษัทประมวลผลข้อมูลส่วนบุคคลของท่านภายใต้ขอบเขตที่กำหนดไว้โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเก็บรวบรวมข้อมูลเพียงเท่าที่จำเป็นสำหรับการดำเนินการดังกล่าว โดยบริษัท ได้สรุปการใช้ข้อมูลส่วนบุคคลของท่าน พร้อมทั้งอธิบายฐานการประมวลผลข้อมูลส่วนบุคคลที่ชอบด้วยกฎหมาย (Lawful Basis of Processing) ดังนี้
|
ลำดับที่ |
วัตถุประสงค์ |
ประเภทข้อมูล |
ฐานการประมวลผลที่ชอบด้วยกฎหมาย |
|
1 |
ให้บริการตรวจวิเคราะห์ทางการแพทย์ (Laboratory Service) และบริการ |
- ข้อมูลระบุตัวตน - ข้อมูลสำหรับการติดต่อ - ข้อมูลด้านสุขภาพ - ข้อมูลการเงิน - ข้อมูลสถิติ |
1.เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาให้บริการกับท่านในฐานะที่ท่านเป็นคู่สัญญากับบริษัท (ม.24(3)) |
|
2 |
รวบรวมสถิติของลูกค้าเพื่อพัฒนา |
- ข้อมูลสถิติ |
รวบรวมสถิติของลูกค้าเพื่อพัฒนาคุณภาพการให้บริการของบริษัท โดยไม่มีการใช้ข้อมูลบ่งชี้ตัวตนของเจ้าของข้อมูล และบริษัทจะรักษาความลับของข้อมูลดังกล่าวของท่านอย่างเคร่งครัด |
|
3 |
เพื่อบริหารจัดการเว็บไซต์ของบริษัท |
- ข้อมูลสถิติ - ข้อมูลจากการเข้าใช้เว็บไซต์ - ข้อมูลด้านเทคนิค |
เพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท (LegitimateInterest) ในการวิเคราะห์ข้อมูลสถิติ โดยไม่ใช้ข้อมูลส่วนบุคคลที่ระบุตัวตนได้เพื่อพัฒนาและเพิ่มประสิทธิภาพในการให้บริการ (ม.24(5)) |
|
4 |
เพื่อบริหารจัดการเว็บไซต์ของบริษัท |
- ข้อมูลระบุตัวตน - ข้อมูลสำหรับการติดต่อ - ข้อมูลสถิติ |
บริษัทจะขอความยินยอมจากท่านในการให้นำข้อมูลส่วนบุคคลไปเปิดเผย |
|
5 |
เพื่อเปิดเผยข้อมูลให้ผู้ที่ส่งท่านมาตรวจ |
- ข้อมูลระบุตัวตน - ข้อมูลการติดต่อ - ข้อมูลด้านสุขภาพ |
บริษัทจะขอความยินยอมจากท่านในการให้นำข้อมูลส่วนบุคคลไปเปิดเผย |
นอกจากวัตถุประสงค์ที่ระบุข้างต้นแล้ว บริษัท จะไม่นำข้อมูลส่วนบุคคลของท่านไปใช้เพื่อวัตถุประสงค์อื่น ยกเว้นในกรณีที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนุญาต เช่น
● เพื่อป้องกันระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
● เพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สารธารณะของบริษัท
● เพื่อการปฏิบัติตามกฎหมายของบริษัท
● เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
● เพื่อความจำเป็นในการปฏิบัติตามกฎหมายด้านการคุ้มครองแรงงาน การให้สวัสดิการรักษาพยาบาล การประกันสังคม
● เพื่อประโยชน์ด้านสาธารณสุข หรือการคุ้มครองทางสังคมอื่นใดโดยบริษัท จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
5. การเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคล
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้บุคคลภายนอก ยกเว้นเป็นกรณีที่กฎหมายอนุญาตเพื่อความจำเป็นในการปฏิบัติงาน ซึ่งทำให้บริษัท อาจเปิดเผยข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
5.1) เปิดเผยข้อมูลส่วนบุคคลให้หน่วยงานราชการ หน่วยงานผู้มีอำนาจหรือบุคคลใดๆ เมื่อมีกฎหมายกำหนดหรือให้อำนาจ รวมถึงการปฏิบัติตามคำสั่งศาล
5.2) การเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือนิติบุคคลที่บริษัท จำเป็นต้องปฏิบัติตามสัญญาเพื่อผลประโยชน์ของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล โดยบริษัท กำหนดให้บุคคลหรือนิติบุคคลเหล่านี้ต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ซึ่งบุคคลหรือนิติบุคคลในข้อนี้ได้แก่
● บุคลากรหรือบริษัทที่เชี่ยวชาญด้านการแพทย์/บริการการแพทย์
● ผู้ประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการปฏิบัติงานของบริษัท เช่น ผู้รับจ้าง หรือผู้ให้บริการตรวจทางห้องปฏิบัติการ การจัดทำข้อมูล การโทรคมนาคม ระบบคอมพิวเตอร์ การชำระเงิน หรือการให้บริการด้านเทคโนโลยี (Technology Outsource)
บริษัทกำหนดให้บุคคลหรือนิติบุคคลภายนอกที่บริษัทเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคลของท่านให้ไปข้างต้นต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด และใช้ข้อมูลส่วนบุคคลของท่านได้เฉพาะตามวัตถุประสงค์ที่ได้กำหนดไว้ระหว่างบริษัทและบุคคลหรือนิติบุคคลภายนอกนั้น เพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และป้องกันการใช้ข้อมูลส่วนบุคคลของท่านนอกเหนือจากวัตถุประสงค์ที่ได้ตกลงกันไว้
5.3) บริษัทอาจเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ โดยบริษัท ได้เข้าทำสัญญากับบุคคลดังกล่าวด้วยความระมัดระวังและพิจารณาถึงระบบรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลที่ผู้ให้บริการระบบ Cloud Computing นั้นให้กับการคุ้มครองข้อมูลส่วนบุคคล
6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
6.1) บริษัทเก็บข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาที่จำเป็นเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการ และเป็นไปตามระยะเวลาที่กำหนดโดยมาตรฐานทางบัญชี มาตรฐานทางกฎหมาย และกฎระเบียบอื่นที่เกี่ยวข้อง
6.2) ในการกำหนดระยะเวลาในการเก็บรักษาข้อมูล บริษัทจะพิจารณาถึงจำนวน ลักษณะการใช้งาน วัตถุประสงค์ในการให้บริการ ความอ่อนไหวของข้อมูลส่วนบุคคล และความเสี่ยงที่อาจเกิดขึ้นจากการใช้ข้อมูลส่วนบุคคลโดยมิชอบ และระยะเวลาที่กำหนดโดยกฎหมายที่เกี่ยวข้อง
6.3) ในกรณีที่บริษัทต้องปฏิบัติตามกฎหมาย ปฏิบัติตามคำสั่งศาล หรือต้องก่อตั้งสิทธิเรียกร้องตามกฎหมายเพื่อเข้ากระบวนการระงับข้อพิพาทใดๆ บริษัท อาจจัดเก็บข้อมูลส่วนบุคคลได้ตามระยะเวลาของอายุความตามกฎหมาย หรือจนกว่าข้อพิพาทนั้นจะถึงที่สุดแล้วแต่กรณี
7. มาตรการในการเก็บรักษาและประมวลผลข้อมูลส่วนบุคคล
7.1) บริษัทจะจัดการเก็บรักษาข้อมูลส่วนบุคคลด้วยมาตรการไม่น้อยกว่าระดับที่กฎหมายกำหนด และด้วยระบบที่เหมาะสม เพื่อป้องกันและรักษาความปลอดภัยข้อมูลส่วนบุคคลนั้น เช่น ใช้โปรโตคอลความปลอดภัย (Secure Sockets Layer: SSL) ปกป้องด้วยไฟร์วอลล์ รหัสผ่าน และมาตรการทางเทคนิคอื่นๆ สำหรับการเข้ารหัสข้อมูลผ่านทางอินเตอร์เน็ต และจัดเก็บในสถานที่ที่มีระบบป้องกันการเข้าถึงที่จำกัดบุคคลที่สามารถเข้าถึงได้สำหรับข้อมูลส่วนบุคคลที่อยู่ในรูปแบบเอกสาร
7.2) บริษัทจำกัดการเข้าถึงข้อมูลส่วนบุคคลที่อาจจะเข้าถึงได้โดยพนักงาน ตัวแทน คู่ค้า หรือบุคคลภายนอก การเข้าถึงข้อมูลส่วนบุคคลของบุคคลภายนอกจะสามารถทำได้ตามเท่าที่กำหนดไว้หรือตามคำสั่ง ซึ่งบุคคลภายนอกจะต้องมีหน้าที่ในการรักษาความลับและคุ้มครองข้อมูลส่วนบุคคล
7.3) บริษัทจัดให้มีวิธีการทางเทคโนโลยีเพื่อป้องกันไม่ให้มีการเข้าสู่ระบบคอมพิวเตอร์ที่ไม่ได้รับอนุญาต
7.4) บริษัทมีระบบตรวจสอบเพื่อจัดการทำลายข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นในการดำเนินการของบริษัท
7.5) ในกรณีที่เป็นข้อมูลส่วนบุคคลที่อ่อนไหวบริษัท จะจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล อิเล็กทรอนิกส์ในด้านการเข้าถึงและควบคุมการใช้งาน มีระบบการใช้งานและระบบสำรองพร้อมทั้งแผนสำหรับกรณีฉุกเฉิน และมีการตรวจสอบประเมินความเสี่ยงของระบบอย่างสม่ำเสมอ
8. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ในฐานะเจ้าของข้อมูลส่วนบุคคล ท่านมีสิทธิร้องขอให้บริษัทดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่านตามขอบเขตที่กฎหมายอนุญาตให้กระทำได้ ดังนี้
1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): ท่านมีสิทธิในการเพิกถอนความ ยินยอมในการประมวลผลข้อมูลสวนบุคคลที่ท่านได้ให้ความยินยอมกับบริษัทได้ ตลอดระยะเวลาที่ ข้อมูลส่วนบุคคลของท่านอยู่กับบริษัท
2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): ท่านมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของ ท่านและขอให้บริษัททำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วน บุคคลที่ท่านไม่ได้ให้ความยินยอมต่อบริษัทให้แก่ท่านได้
3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): ท่านมีสิทธิในการขอให้บริษัท แก้ไขข้อมูลที่ไม่ถูกต้อง หรือ เพิ่มเติมข้อมูลที่ไม่สมบูรณ์
4) สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): ท่านมีสิทธิในการขอให้บริษัททำการลบข้อมูลของท่าน ด้วยเหตุบางประการได้
5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): ท่านมีสิทธิในการระงับ การใช้ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้
6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): ท่านมีสิทธิในการโอนย้าย ข้อมูลส่วนบุคคลของท่านที่ท่านให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลรายอื่น หรือ ตัวท่านเองด้วยเหตุบาง ประการได้
7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): ท่านมีสิทธิในการคัดค้านการประมวลผล ข้อมูลส่วนบุคคลของท่านด้วยเหตุบางประการได้
ท่านสามารถติดต่อมายัง คุณอุบลวรรณ นนทพันธุ์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้น ได้ที่
Email : info@innotechlab.co.th
บริษัท อินโนเทค ลาบอราทอรี่ เซอร์วิส จำกัด
ที่อยู่ เลขที่ 697 ถ.ศรีนครินทร์ แขวงพัฒนาการ
เขตสวนหลวง กรุงเทพฯ 10250
โทรศัพท์ : 0 2320 5132-5
9. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัทอาจทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลในอนาคต เพื่อพัฒนาให้เกิดการคุ้มครองข้อมูลส่วนบุคคลที่ดีขึ้น โดยบริษัทจะแจ้งให้ท่านทราบทุกครั้งที่มีการเปลี่ยนแปลงนโยบายดังกล่าว
10. ช่องทางการติดต่อ
ท่านสามารถติดต่อผู้ควบคุมข้อมูล สอบถามหรือใช้สิทธิใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ได้ที่
Email : info@innotechlab.co.th
บริษัท อินโนเทค ลาบอราทอรี่ เซอร์วิส จำกัด
ที่อยู่ เลขที่ 697 ถ.ศรีนครินทร์ แขวงพัฒนาการ
เขตสวนหลวง กรุงเทพฯ 10250
โทรศัพท์ : 0 2320 5132-5