บริษัท ผลิตไฟฟ้าราชบุรี จำกัด (“บริษัท”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และมีจุดมุ่งหมายที่จะให้มีการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวม ใช้ เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย และมีความชัดเจนในการนำไปปฏิบัติได้อย่าง มีประสิทธิภาพ สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงฉบับแก้ไขเพิ่มเติม กฎ ระเบียบ ประกาศ หรือคำสั่งที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) ทำให้เกิดความน่าเชื่อถือและเพื่อเป็นการป้องกันผลกระทบต่อบุคลากรในทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท กรรมการผู้จัดการจึงเห็นสมควรกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทขึ้น โดยมีสาระสำคัญดังต่อไปนี้

1. กรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัท ต้องปฏิบัติตามกฎหมาย นโยบาย ระเบียบ ข้อกำหนด คู่มือ หรือแนวปฏิบัติใด ๆ ของบริษัท ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล อย่างเคร่งครัด

2. กรรมการและผู้บริหารในทุกหน่วยงาน ต้องส่งเสริมให้พนักงานของบริษัท ตระหนักและเข้าใจถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

3. บริษัทกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DATA PROTECTION OFFICER หรือ DPO) เพื่อทำหน้าที่ให้คำแนะนำ คำปรึกษา และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงทำหน้าที่ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยผู้บริหารของบริษัทต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(DATA PROTECTION OFFICER หรือ DPO) โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย
ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ได้อย่างเหมาะสม

4. การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมาย เพื่อการประมวลผลข้อมูลส่วนบุคคลของบริษัทเท่านั้น

5. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง และต้องแจ้งรายละเอียดที่จำเป็นให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

6. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามวัตถุประสงค์ที่ได้ แจ้งไว้ต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูล เว้นแต่กฎหมายจะกำหนดไว้ เป็นอย่างอื่น และต้องไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือได้รับการยกเว้นตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

7. ทุกหน่วยงานในบริษัท ต้องจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (DATA INVENTORY) ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถตรวจสอบได้ โดยบริษัทต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (DATA INVENTORY) ดังกล่าวมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ

8. ทุกหน่วยงานในบริษัทต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลที่เพียงพอเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูล ส่วนบุคคลที่อยู่ในความครอบครองของบริษัทโดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าวอย่างสม่ำเสมอ หรือเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มั่นใจได้ว่า บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

9. ทุกหน่วยงานในบริษัทต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเมื่อมีการเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นการเก็บรักษา
ตามวัตถุประสงค์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

10. กรณีที่หน่วยงานในบริษัทจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามบริษัท ต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่บริษัทเปิดเผยหรือโอนไปให้โดยมิชอบหรือเกินขอบเขตที่กำหนด

11. การเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานหรือบุคคลภายนอก เมื่อมีการขอเข้าถึงหรือขอให้เปิดเผยข้อมูลส่วนบุคคลที่อยู่ในครอบครองของบริษัท เช่น หน่วยงานของรัฐ หน่วยงานกำกับดูแลหรือเจ้าพนักงานซึ่งใช้อำนาจตามกฎหมาย เป็นต้น บริษัทจะต้องมั่นใจว่าการเปิดเผยดังกล่าวได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้ หรือเป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เป็นต้น แล้วแต่กรณีทั้งนี้ บริษัทจะต้องจัดทำบันทึกรายการการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย

12. กรณีที่บริษัทจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ จะต้องมั่นใจว่าประเทศปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

13. หน่วยงานที่เกี่ยวข้องในบริษัท ต้องดำเนินการใด ๆ เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงจัดให้มีระบบการตรวจสอบการดำเนินการดังกล่าว เพื่อให้มั่นใจว่าบริษัทมีการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสมโดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ในกรณีที่มีการปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ต้องมีการจัดทำบันทึกรายการการปฏิเสธ คำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมเหตุผลไว้ด้วย

14. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DATA PROTECTION OFFICER หรือ DPO) ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล บริษัทจะต้องแจ้งเหตุการละเมิดนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยาโดยไม่ชักช้า

15. ทุกหน่วยงานในบริษัทต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DATA PROTECTION OFFICER หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการชี้แจงข้อเท็จจริงเพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DATA PROTECTION OFFICER หรือ DPO) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บังคับใช้กับบุคลากรในทุกระดับของบริษัท รวมถึงกรรมการและผู้บริหารของบริษัท โดยทุกคนต้องเข้าใจและปฏิบัติตามนโยบายฉบับนี้ อีกทั้งผู้บริหารในทุกระดับต้องเป็นแบบอย่างที่ดี สนับสนุน และผลักดันให้เกิดการปฏิบัติอย่างจริงจังทั่วทั้งองค์กร โดยมีรายละเอียดประกาศความเป็นส่วนตัว แบบขอความยินยอม และสัญญาอื่น ๆ แนบท้ายประกาศนี้