นโยบายการคุ้มครองความเป็นส่วนตัว

ความเป็นส่วนตัวของคุณเป็นสิ่งสำคัญยิ่งสำหรับเรา นโยบายของ เมดีซ คอสเมซูติคอล คือการเคารพในความเป็นส่วนตัวของคุณ ข้อมูลส่วนตัวของคุณซึ่งเราอาจเก็บรวบรวมในขณะที่คุณมาใช้บริการ หรือเข้าเว็บไซต์ของเรา เมดีซ คอสเมซูติคอล จึงมีมาตรการในการเก็บรักษาข้อมูลเหล่านี้เป็นความลับ และนำมาใช้เฉพาะเท่าที่จำเป็นต่อการให้บริการ เพื่อให้คุณเข้าใจวิธีที่เราเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคุณ เราจึงได้ระบุนโยบายการคุ้มครองความเป็นส่วนตัวนี้ไว้ในข้อความด้านล่าง


1. นโยบายการคุ้มครองความเป็นส่วนตัว

    1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัท (ผู้ควบคุมข้อมูลส่วนบุคคล) จะกระทำไม่ได้ หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อน หรือในขณะนั้น
    2. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล บริษัทต้องขอความยินยอมจากเจ้าของข้อมูลก่อน รวมทั้งกรณีถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอื่นใดตามพระราชบัญญัตินี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ บริษัทต้องดำเนินการโดยให้มีผู้ใช้อำนาจปกครองกระทำการแทนผู้เยาว์ด้วย
    3. เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้
    4. บริษัททำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลฯ ตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูล ฯ ไว้ก่อน หรือในขณะที่เก็บรวบรวม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลฯ ที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทำมิได้ เว้นแต่
      1. ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลฯ ทราบ และได้รับความยินยอมก่อนการเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
      2. บทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมายอื่นบัญญัติให้กระทำได้
    5. บริษัทจะแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer ; DPO)” เป็นผู้ให้คำแนะนำและตรวจสอบการดำเนินงาน เกี่ยวกับการเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนเป็นผู้ประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2. นโยบายการเก็บรวบรวมข้อมูลส่วนบุคคล

    1. การเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทเก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
    2. บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังนี้
      1. วัตถุประสงค์ การนำข้อมูลไปใช้หรือเปิดเผย รวมถึงวัตถุประสงค์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 24 ที่ให้อำนาจเก็บรวบรวมได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล
      2. แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลต้องให้ข้อมูล เพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบ กรณีที่เป็นไปได้จากการไม่ให้ข้อมูล
      3. แจ้งระยะเวลาในการเก็บรวบรวม ในกรณีที่ไม่สามารถกำหนดเวลาได้ชัดเจน ให้กำหนดเวลาที่อาจคาดหมาย ภายใต้มาตรฐานของการรวบรวม
      4. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
      5. ข้อมูลเกี่ยวกับบริษัท สถานที่ติดต่อ วิธีการติดต่อ ในกรณีที่มีตัวแทนหรือพนักงานเจ้าหน้าที่คุ้มครองข้อมูลให้แจ้งข้อมูล สถานที่ติดต่อ วิธีการติดต่อของตัวแทนหรือพนักงานเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นด้วย
      6. ต้องบอกสิทธิของเจ้าของข้อมูล (มีรายละเอียดตาม ข้อ 4. นโยบายการรักษาสิทธิของเจ้าของข้อมูล)
    3. บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมในกรณีดังต่อไปนี้
      1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
      2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
      3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
      4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
      5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท
      6. เป็นการปฏิบัติตามนโยบายของบริษัท
    4. บริษัทจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล
    5. บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ความพิการ ข้อมูลสหภาพแรงงาน หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

3. นโยบายการใช้หรือเปิดเผยข้อมูลส่วนบุคคล

    1. บริษัทจะไม่ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลฯ ที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาตรา 24 หรือมาตรา 26
    2. ในกรณีที่บริษัท ส่งหรือโอนข้อมูลส่วนบุคคล ไปยังต่างประเทศ ประเทศปลายทาง หรือองค์กรระหว่างประเทศที่รับข้อมูลฯ นั้น ต้องมีมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลฯ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
    3. การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอก บริษัทอาจทำการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกเท่าที่จำเป็นเพื่อให้เป็นไปตามวัตถุประสงค์ที่ระบุไว้ในนโยบายนี้ โดยบริษัทจะส่งข้อมูลส่วนบุคคลไปยังบุคคลดังต่อไปนี้
      1. ตัวแทนบริษัทในเครือ หรือบริษัทที่เกี่ยวข้องที่ตั้งอยู่ภายในประเทศไทย หรือในต่างประเทศ
      2. ตัวแทน และผู้รับจ้าง หรือผู้ให้บริการซึ่งเป็นบุคคลภายนอก ทั้งนี้ เพื่อให้บุคคลเหล่านี้ให้บริการแก่บริษัทและเจ้าของข้อมูลส่วนบุคคล (เช่น ผู้ให้บริการเกี่ยวกับการขนส่งสินค้า, ผู้ให้บริการเก็บรักษาและคลังสินค้า, ผู้ให้บริการด้านโลจิสติกส์, ผู้ให้บริการจัดทำและจัดส่งเอกสาร เช่น แค็ตตาล็อก (catalogue) หรือ การ์ดอวยพรวันเกิด เป็นต้น, ที่ปรึกษาหรือผู้เชี่ยวชาญ, แพทย์เฉพาะทางของโรงพยาบาล/คลินิก ซึ่งจะดูแลและรักษาเจ้าของข้อมูล, ผู้ให้บริการด้านโทรคมนาคม, ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ, ผู้ให้บริการด้านการตลาดและการส่งเสริมการขาย เป็นต้น) ทั้งนี้ บุคคลภายนอกที่บริษัทจะเปิดเผยข้อมูลส่วนบุคคลให้นั้น บริษัทจะมีมาตรการที่เหมาะสมเพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลจะได้รับความคุ้มครองและปลอดภัย เช่น การตกลงทำสัญญาที่มีเงื่อนไขให้บุคคลภายนอกมีสิทธิใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเท่าที่กำหนดไว้ในสัญญาเท่านั้น, การตกลงให้ทำสัญญารักษาความลับทางการค้า (Non-Disclosure Agreement) เพื่อรักษาความลับของข้อมูลส่วนที่ได้รับเพื่อดำเนินธุรกิจ เป็นต้น

4. นโยบายการรักษาสิทธิและดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

    1. เจ้าของข้อมูลส่วนบุคคล จะถอนความยินยอมเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม บริษัทจะรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยให้ความคุ้มครองข้อมูล และคำนึงถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล และจะแจ้งให้เจ้าของข้อมูลฯ ทราบถึงผลกระทบจากการถอนความยินยอมนั้น
    2. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลฯ ที่ตนไม่ได้ให้ความยินยอม บริษัทต้องปฏิบัติตามคำขอ จะปฏิเสธคำขอได้เฉพาะกรณีที่เป็นการปฏิเสธตามกฎหมาย หรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลฯ นั้นจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
    3. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัทได้ ในกรณีที่บริษัทได้ทำให้ข้อมูลฯ นั้น อยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลฯ ได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิดังนี้
      1. สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล ซึ่งอยู่ในความรับผิดชอบของบริษัท
      2. สิทธิในการขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นได้
      3. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคลเมื่อใดก็ได้
      4. สิทธิในการขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
      5. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้เป็นการชั่วคราวได้
      6. สิทธิในการขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
      7. สิทธิที่จะร้องเรียนต่อบริษัท หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากเจ้าของข้อมูลส่วนบุคคลเห็นว่าสิทธิใด ๆ ได้ถูกบริษัทละเมิดเป็นเหตุทำให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
      8. สิทธิที่จะขอให้บริษัทเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูล ในกรณีที่ไม่ได้ให้ความยินยอมไว้
      9. ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีความประสงค์จะใช้สิทธิตามที่กล่าวข้างต้น เจ้าของข้อมูลส่วนบุคคลจะต้องทำเป็นลายลักษณ์อักษร และบริษัทจะใช้ความพยายามอย่างดีที่สุดที่จะดำเนินการภายในระยะเวลาที่เหมาะสม และไม่เกินกว่าระยะเวลาตามที่กฎหมายกำหนด
    4. ข้อมูลส่วนบุคคลตามข้อ 4.3 ต้องเป็นข้อมูลฯ ที่เจ้าของข้อมูลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยตามหลักเกณฑ์แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24
    5. การใช้สิทธิของเจ้าของข้อมูลตามข้อ 4.3 จะใช้กับการส่งหรือโอนข้อมูลฯ ของผู้ควบคุมข้อมูลส่วนบุคคล (บริษัท) ซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายไม่ได้ หรือการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น ทั้งนี้ ในกรณีที่บริษัทปฏิเสธคำขอด้วยเหตุผลดังกล่าว บริษัทจะบันทึกการปฏิเสธคำขอ พร้อมด้วยเหตุผลไว้ในรายการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 39
    6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลฯ ที่เกี่ยวกับตนเมื่อใดก็ได้
    7. เจ้าของข้อมูลฯ มีสิทธิขอให้บริษัทดำเนินการลบหรือทำลายหรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

5. นโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล การทำลายข้อมูลตามระยะเวลาที่กำหนด และการปฏิบัติต่อข้อมูลที่มีอยู่ก่อนพระราชบัญญัติ

    1. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
      1. บริษัทได้มีการจัดเก็บข้อมูลส่วนบุคคลไว้ในระบบสารสนเทศ รวมทั้งมีการจัดเก็บเอกสารต้นฉบับไว้ในที่ปลอดภัย มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
      2. มีการตั้งบัญชีการเบิกใช้เอกสาร โดยให้มีการขออนุญาตจากผู้บังคับบัญชา (ประธานสายงาน/ผู้จัดการฝ่าย) ก่อนใช้ข้อมูลหรือเอกสาร ซึ่งแต่ละฝ่ายจะมีคู่มือการปฏิบัติงานเกี่ยวกับเรื่องการขอใช้เอกสาร การจัดเก็บเอกสารกำหนดไว้เป็นขั้นตอนให้กับพนักงานทุกคนอย่างชัดเจน.
      3. มีการตรวจสอบระบบสารสนเทศ มีการสำรองข้อมูลไว้ในเครือข่าย ซึ่งพนักงานมีหน้าที่เก็บรักษาสื่อข้อมูลสำรอง (Backup Media) ไว้ในสถานที่ที่เหมาะสม ไม่เสี่ยงต่อการรั่วไหลของข้อมูลและทดสอบการกู้คืนข้อมูลที่สำรองไว้อย่างสม่ำเสมอ ทั้งนี้ บริษัทได้กำหนดมาตรการสำรองข้อมูลและกู้คืนไว้ในนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยและเทคโนโลยีฯ แล้ว
      4. มีการลบข้อมูลทุกครั้งที่มีการเปลี่ยนเครื่องคอมพิวเตอร์และอุปกรณ์สื่อสารเคลื่อนที่ให้กับพนักงานใหม่ พร้อมทั้งปลด Password ในการเข้าใช้เครื่องคอมพิวเตอร์ และนำข้อมูลเดิมสำรองไว้ในระบบ นอกจากนี้ เครื่องคอมพิวเตอร์ทุกเครื่องมีการติดตั้งโปรแกรมป้องกันไวรัส เพื่อป้องกันการถูกขโมยข้อมูล และมีการตรวจสอบและประเมินความเสี่ยงด้านความปลอดภัยข้อมูลในทุกไตรมาส
      5. เมื่อมีเหตุละเมิดข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่บริษัทแต่งตั้งไว้ จะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะกระทบกับสิทธิเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะกระทบต่อสิทธิเสรีภาพของบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องแจ้งเหตุให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาด้วย.
      6. มาตรการเยียวยากรณีเกิดการละเมิดข้อมูลส่วนบุคคล ให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
      7. บริษัทมีการจัดทำมาตรการบริหารความเสี่ยง เพื่อควบคุมดูแลข้อมูลส่วนบุคคลให้ปลอดภัยและเป็นไปตามมาตรฐาน ซึ่งมีการกำหนดความเสี่ยงไว้ตามรายงานบริหารความเสี่ยง ที่ได้รายงานให้ที่ประชุมคณะกรรมการบริหาร และคณะกรรมการบริษัทรับทราบในทุกไตรมาส โดยได้มีการจัดทำความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Risk) เพิ่มในรายงานบริหารความเสี่ยง โดยมีรายละเอียดเบื้องต้น ดังนี้
        • ความเสี่ยงที่ 1 การประเมินความเสี่ยงด้านข้อมูลส่วนบุคคล
        • ความเสี่ยงที่ 2 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
        • ความเสี่ยงที่ 3 การเฝ้าระวังการปฏิบัติงาน
        • ความเสี่ยงที่ 4 การป้องกันไม่ให้ข้อมูลรั่วไหล และการรายงานกรณีละเมิด
        • ความเสี่ยงที่ 5 การส่งหรือโอนข้อมูล
        • ความเสี่ยงที่ 6 การดำเนินการตามสิทธิเรียกร้องของเจ้าของข้อมูล
        • บริษัทจัดให้มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล มีการกำหนดผู้ใช้งาน จำกัดสิทธิ ในการเข้าถึงข้อมูล และระมัดระวังการใช้ หรือเปิดเผยข้อมูลที่อ่อนไหวมากเป็นพิเศษ เช่น ศาสนา ความพิการ เป็นต้น มีมาตรการป้องกันข้อมูลรั่วไหลเป็นอย่างดี รวมทั้งจัดให้มีมาตรการเยียวยากรณีที่ข้อมูลถูกละเมิด การส่งหรือโอนข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งต้นทางและปลายทาง (ในประเทศ/ต่างประเทศ) นอกจากนี้ เรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคลที่ต้องปฏิบัติตามให้ถูกต้องตามกฎหมาย ทั้งนี้ รายละเอียดความเสี่ยงด้านข้อมูลส่วนบุคคล มีในรายงานการบริหารความเสี่ยงทุกไตรมาส
    2. การทำลายข้อมูลตามระยะเวลาที่กำหนด
      1. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา โดยข้อมูลส่วนบุคคลของลูกค้าที่เก็บรวบรวมในระบบอิเล็กทรอนิกส์ และข้อมูลเอกสารสำคัญต่าง ๆ ในการทำสัญญาการขอใช้บริการเช่าซื้อ และอื่น ๆ ที่เกี่ยวข้อง จะถูกจัดเก็บไว้ตามอายุสัญญาเช่าซื้อ และมีการปิดบัญชีครบถ้วนแล้ว อาจต้องเก็บข้อมูลทางบัญชีบางอย่างต่อไปอีก 5 ปี บริษัทจะทำลายเอกสารสัญญาและข้อมูลบางส่วนที่ไม่จำเป็นต้องเก็บรวบรวมเป็นสถิติในทางบัญชีหรือการบริหารงาน โดยมีเครื่องทำลายเอกสารข้อมูลส่วนบุคคล เช่น สำเนาบัตรประชาชน และข้อมูลอื่นที่ระบุตัวตน เป็นต้น
      2. ในกรณีที่ลูกค้าผิดสัญญา มีการดำเนินคดีตามกฎหมาย และ/หรือมีการบังคับคดี บริษัทจะเก็บข้อมูลเอกสาร และฐานข้อมูลสำคัญไว้ในระบบเพื่อใช้ในการดำเนินคดี จนกว่าคดีจะถึงที่สุด และมีการชำระหนี้ครบถ้วน จึงจะทำลายเอกสารที่เป็นข้อมูลส่วนบุคคลนั้นได้
      3. ข้อมูลทางบัญชีและเอกสารภาษี บริษัทจะเก็บไว้เป็นระยะเวลาไม่น้อยกว่า 5 ปี ทั้งนี้ เป็นไปตามพระราชบัญญัติการบัญชี พ.ศ.2543
      4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่บริษัทแต่งตั้งขึ้น มีหน้าที่ในการตรวจสอบให้แต่ละฝ่ายมีการทำลายข้อมูล เอกสารตามระยะเวลาที่กำหนดไว้ หรือตามเวลาที่เหมาะสม
      5. การลบหรือทำลายตามคำร้องขอของเจ้าของข้อมูล รายละเอียดตามข้อ 4.7 การขอให้ลบข้อมูลส่วนบุคคล

        การร้องขอการเข้าถึงของเจ้าของข้อมูลส่วนบุคคลตามนโยบายการรักษาสิทธิ และดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ตามข้อ 4.3.9 ของนโยบายข้างต้น เจ้าของข้อมูลสามารถยื่นคำร้องขอในรูปแบบอีเมล, โทรศัพท์, พูดคุยโดยตรง (การยื่นเพื่อร้องขอข้อมูลทางพูดคุยโดยตรง เจ้าหน้าที่จะขอให้ผู้ขอข้อมูลใช้สิทธิเป็นลายลักษณ์อักษร เพื่อให้บริษัทฯ สามารถดำเนินการตามสิทธิที่ร้องขอได้อย่างถูกต้อง และใช้เป็นหลักฐานตามที่กฎหมายกำหนด) หรือเป็นลายลักษณ์อักษรได้ทุกช่องทาง มายัง;

        • ที่อยู่บริษัท : บริษัท เมดีซ คอสเมซูติคอล จำกัด, เลขที่ 28/9 หมู่ 8 ถนนพุทธมณฑลสาย 4 ตำบลกระทุ่มล้ม อำเภอสามพราน จังหวัดนครปฐม 73220
        • เบอร์โทรศัพท์ : 091 599 9999
        • อีเมล : info@medezegroup.com