นโยบายการคุ้มครองข้อมูล

1. วัตถุประสงค์

นโยบายฉบับนี้กำหนดหลักการ มาตรการ และความรับผิดชอบที่ Optimum International Holding Group (“กลุ่มฯ” “เรา”) ปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคลในการดำเนินธุรกิจทั่วโลก ครอบคลุมบริษัทย่อยในธุรกิจน้ำมันและก๊าซ ทองคำและอัญมณี เครื่องสำอาง อาหารและการเกษตร และการลงทุน นโยบายนี้ใช้กับกรรมการ พนักงาน คู่สัญญา และผู้ประมวลผลภายนอกทุกคน

2. ขอบเขต
  • พื้นที่: ทุกประเทศที่กลุ่มฯ ดำเนินการหรือเก็บข้อมูล
  • กฎหมายที่ครอบคลุม: GDPR (EU/สหราชอาณาจักร) กฎหมายคุ้มครองข้อมูล UAE PDPL และ PDPA ไทย พ.ศ. 2562 รวมถึงกฎหมายท้องถิ่นอื่น ๆ
  • ข้อมูล: ข้อมูลลูกค้า ผู้ใช้ พนักงาน คู่สัญญา ซัพพลายเออร์ และผู้เยี่ยมชมเว็บไซต์ ทั้งรูปแบบอิเล็กทรอนิกส์และเอกสาร
3. คำนิยาม

คำ

ความหมาย

ข้อมูลส่วนบุคคล

ข้อมูลเกี่ยวข้องกับบุคคลที่ระบุตัวได้หรืออาจระบุตัวได้

ข้อมูลอ่อนไหว

ข้อมูลสุขภาพ ชาติพันธุ์ ไบโอเมตริก ฯลฯ

การประมวลผล

การดำเนินการใด ๆ กับข้อมูล (เก็บ ใช้ เปิดเผย ลบ ฯลฯ)

ผู้ควบคุมข้อมูล

หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการประมวลผล

ผู้ประมวลผล

ผู้ประมวลผลข้อมูลแทนผู้ควบคุม (เช่น ผู้ให้บริการคลาวด์)

DPO

เจ้าหน้าที่คุ้มครองข้อมูล ทำหน้าที่กำกับดูแลและติดต่อหน่วยงานกำกับ

เจ้าของข้อมูล

บุคคลซึ่งข้อมูลส่วนบุคคลเกี่ยวข้องด้วย

4. หลักการคุ้มครองข้อมูล

เรายึดหลัก 7 ข้อของ GDPR/PDPL/PDPA:

  1. ชอบด้วยกฎหมาย เป็นธรรม โปร่งใส 2) จำกัดวัตถุประสงค์ 3) ลดปริมาณข้อมูล 4) ความถูกต้อง 5) จำกัดระยะเวลาการเก็บ 6) ความปลอดภัยและความลับ 7) ความรับผิดชอบ
5. บทบาทและความรับผิดชอบ

บทบาท

หน้าที่

คณะกรรมการ

อนุมัตินโยบาย จัดสรรทรัพยากร ส่งเสริมวัฒนธรรมคุ้มครองข้อมูล

DPO

ให้คำแนะนำ ตรวจติดตาม จัดฝึกอบรม ทำ DPIA ประสานงานหน่วยงานรัฐ

ผู้บริหารหน่วยธุรกิจ

ดำเนินมาตรการในพื้นที่ตน และรับผิดชอบการปฏิบัติตามกฎหมายท้องถิ่น

IT & Security

ดำเนินมาตรการเทคนิค (เข้ารหัส MFA สำรองข้อมูล ฯลฯ)

HR

ใส่ข้อคุ้มครองข้อมูลในสัญญา ตอบสนองสิทธิพนักงาน

พนักงาน/คู่สัญญา

ปฏิบัติตามนโยบาย ผ่านการอบรม รายงานเหตุการณ์ทันที

ผู้ประมวลผลภายนอก

ปฏิบัติตามเงื่อนไขสัญญาเรื่องความปลอดภัย ความลับ และการแจ้งเหตุ

6. ฐานกฎหมายในการประมวลผล
  • ความจำเป็นตาม สัญญา
  • หน้าที่ตามกฎหมาย
  • ผลประโยชน์โดยชอบธรรม (หลังประเมินผลกระทบ)
  • ความยินยอม (ชัดเจนและเพิกถอนได้)
  • ประโยชน์สำคัญต่อชีวิต หรือ ประโยชน์สาธารณะ

ข้อมูลอ่อนไหวต้องมีเงื่อนไขเพิ่มเติม (เช่น ความยินยอมอย่างชัดแจ้ง)

7. สิทธิของเจ้าของข้อมูล

เราอำนวยความสะดวกในการใช้สิทธิ: ขอเข้าถึง แก้ไข ลบ จำกัดการประมวลผล ขอถ่ายโอน คัดค้าน และถอนความยินยอม ภายใน 30 วัน

8. การคุ้มครองโดยการออกแบบและค่าเริ่มต้น
  • ทำ DPIA สำหรับโครงการเสี่ยงสูง
  • ใช้การตั้งค่าที่เน้นความเป็นส่วนตัวโดยเริ่มต้น
  • ใช้การนามแฝงหรือทำข้อมูลไม่ระบุตัวตนเมื่อทำได้
9. มาตรการความปลอดภัยของข้อมูล
  • มาตรการเทคนิค: Firewall, Encryption, MFA, Pen‑Test
  • มาตรการองค์กร: RBAC, Clean‑Desk, ตรวจสอบซัพพลายเออร์
  • การเฝ้าระวังและบันทึก: SIEM, Log ≥ 12 เดือน
  • สำรองข้อมูลเข้ารหัสทุกวัน ทดสอบ DR ทุกไตรมาส
10. การโอนข้อมูลข้ามพรมแดน

ใช้องค์กรข้อตกลงมาตรฐาน SCC/BCR หรือสัญญาที่สอดคล้อง PDPL/PDPA เมื่อโอนข้อมูลออกนอกเขตที่มีความคุ้มครองเพียงพอ

11. การจัดการผู้ให้บริการภายนอก
  • ประเมินความปลอดภัยและความเป็นส่วนตัวก่อนจ้าง
  • ทำสัญญาประมวลผลข้อมูล (แจ้งเหตุ ≤ 72 ชม.)
  • ทบทวนทะเบียนซัพพลายเออร์ทุกปี
12. การตอบสนองเหตุละเมิดข้อมูล
  1. แจ้ง DPO ภายใน 2 ชั่วโมง
  2. ประเมินความรุนแรง ควบคุม และกู้คืน
  3. แจ้งหน่วยงานรัฐภายใน 72 ชั่วโมง (ถ้ากฎหมายกำหนด)
  4. แจ้งเจ้าของข้อมูลถ้าความเสี่ยงสูง
  5. สรุปบทเรียนและปรับปรุง
13. การเก็บรักษาและทำลายข้อมูล
  • เก็บข้อมูลเท่าที่จำเป็น ตามตารางกำหนด
  • ทำลายอย่างปลอดภัย (Shred/Crypto‑wipe/Anonymise)
14. การฝึกอบรมและสร้างความตระหนัก
  • อบรมภาคบังคับภายใน 30 วันแรก และรีเฟรชทุกปี (ผ่าน ≥ 80 %)
  • จำลอง Phishing ทุกไตรมาส รายงานผลต่อคณะกรรมการ
15. การจัดเก็บบันทึกและการตรวจสอบ
  • จัดทำ RoPA ตาม GDPR/PDPL/PDPA
  • ตรวจสอบภายในทุกปี และภายนอกทุก 3 ปี
16. การไม่ปฏิบัติตามและบทลงโทษ

การละเมิดนโยบายอาจนำไปสู่การลงโทษทางวินัยถึงขั้นเลิกจ้างหรือดำเนินคดี

17. การทบทวนนโยบาย

ทบทวนปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญ กำหนดทบทวนครั้งถัดไป: ไตรมาส3/2026

18. ช่องทางติดต่อ

เจ้าหน้าที่คุ้มครองข้อมูล (DPO)

  • อีเมล: info@optimum‑ihg.ae