1. บริษัทจะดําเนินการเพียงเท่าที่จําเป็นในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
2. บริษัทจะเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลโดยต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บข้อมูลส่วนบุคคล และเท่าที่จําเป็นตามกรอบวัตถุประสงค์ของความยินยอมของเจ้าของข้อมูลส่วนบุคคล

   เว้นแต่ เพื่อการปฏิบัติตามหน้าที่ หรือให้บริการที่เกี่ยวข้องกับสัญญาประกันภัย หรือคําขอเข้าทําสัญญาประกันภัย การเรียกร้องค่าสินไหมทดแทน การปฏิบัติหน้าที่ตามกฎหมาย หรือกรณีอื่นที่กฎหมายกำหนดให้กระทําได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

3. กรณีบริษัทจัดเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง บริษัทจะกระทําภายใต้กฎหมายข้อมูลส่วนบุคคล
4. บริษัทจะไม่เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมลูส่วนบุคุคล เว้นแต่กฎหมายข้อมูลส่วนบุคคลได้อนุญาต หรือยกเว้นไว้เป็นการเฉพาะเท่านั้น
5. บริษัทจะทำให้ข้อมูลส่วนบุคคลของท่าน ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
6. บริษัทจะดําเนินการจัดให้มีการบันทึกรายงานข้อมูลส่วนบุคคลภายใต้นโยบายนี้ และตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกําหนด และบริษัทจะได้จัดให้มีข้อตกลงระหว่างบริษัทกับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อควบคุมและติดตามการดําเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกําหนด
7. บริษัทจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ดังนี้
   
   
   1. เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอํานาจหรือโดยมิชอบด้วยกฎหมาย
   2. เพื่อป้องกันมิให้บุคคล หรือนิติบุคคลอื่น ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบด้วยกฎหมาย
8. เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังนี้
   
   
   1. มีสิทธิให้ความยินยอม การถอนความยินยอม การเข้าถึงข้อมูลส่วนบุคคล
   2. มีสิทธิคัดค้าน จํากัดสิทธิของการเก็บรักษา ใช้ และเปิดเผยข้อมูลส่วนบุคคล
   3. มีสิทธิขอให้แก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน
   4. มีสิทธิขอให้ระงับการเก็บรักษา ใช้ เปิดเผยข้อมูลส่วนบุคคลของตน
   5. มีสิทธิขอให้ทําลายหรือทำให้ข้อมูลไม่สามารถระบุเจ้าของข้อมูลส่วนบุคคลได้
   6. มีสิทธิขอให้โอน และหรือคัดลอกข้อมูลส่วนบุคคลของตน
   7. มีสิทธิอื่นใดภายใต้กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลกำหนด
9. บริษัทจัดทําระบบการตรวจสอบข้อมูลส่วนบุคคล เพื่อดําเนินการลบ หรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ

บริษัทจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และนโยบายฉบับนี้ ตามที่ได้แจ้งไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น

หากบริษัทจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น บริษัทจะดําเนินการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ไม่เกิน 30 วันนับแต่วันที่บริษัทจัดเก็บของข้อมูลส่วนบุคคลส่วนบุคคลจากแหล่งอื่น

บริษัทจะแจ้งรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยรายละเอียด ดังต่อไปนี้

1. แจ้งวัตถุประสงค์การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น เพื่อการปฏิบัติตามกฎหมาย หรือสัญญา หรือเพื่อเข้าทําสัญญา รวมทั้งแจ้งผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบหากบริษัทไม่ได้รับข้อมูลส่วนบุคคลของท่าน
2. แจ้งสิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กําหนดไว้ในกฎหมายว่าด้วยคุ้มครองส่วนบุคคล
3. แจ้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรฐานทางกฎหมายที่เกี่ยวข้อง
4. แจ้งหน่วยงานซึ่งข้อมูลส่วนบุคคลของท่านอาจจะถูกเปิดเผย
5. แจ้งวิธีการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

1. ฐานความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มีหลักเกณฑ์ ดังนี้
   
   ก. การขอความยินยอมจะกระทําก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล และ ชัดแจ้งเป็นหนังสือ หรือผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมได้ ข. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลต้องกระทำโดยปราศจากเงื่อนไขที่ไม่จําเป็น และอิสระ สําหรับการเข้าทําสัญญาและหรือการให้บริการ ค. แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ใช้ภาษาที่อ่านง่าย หรือไม่ก่อให้เกิดความเข้าใจผิดในวัตถุประสงค์ หรือตามแบบที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกําหนด (หากมี)
   
   1. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ยังไม่บรรลุนิติภาวะ มีหลักเกณฑ์การขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ดังนี้
      
      ก. สำหรับผู้เยาว์ที่อายุเกิน 10 ปีไม่ถึง 20 ปีบริบูรณ์ สามารถให้ความยินยอมได้โดยลำพัง หากผลิตภัณฑ์ดังกล่าวเป็นประโยชน์ต่อผู้เยาว์ แต่ทั้งนี้ บริษัทอาจขอความยินยอมจากผู้แทนโดยชอบธรรมหรือผู้ใช้อำนาจปกครองด้วยก็ได้ ข. สำหรับผู้เยาว์ที่อายุไม่เกิน 10 ปี ไม่สามารถให้ความยินยอมได้โดยลำพัง ต้องได้รับความผู้แทนโดยชอบธรรมหรือผู้ใช้อำนาจปกครองเท่านั้น
   2. กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถหรือเสมือนไร้ความสามารถ ให้ความยินยอมผ่านทางผู้อนุบาล หรือผู้พิทักษ์แทน แล้วแต่กรณี
2. ฐานความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กรณียกเว้นการขอความยินยอม สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มีหลักเกณฑ์ดังนี้
   
   1. กรณียกเว้นการขอความยินยอม สำหรับข้อมูลส่วนบุคคลทั่วไป ดังนี้
      
      1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ โดยจัดให้มีมาตรการเพื่อคุ้มครองสิทธิและเสรีภาพของ เจ้าของข้อมูลส่วนบุคคล
      2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
      3. เพื่อความจําเป็นในการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือ ตามคําขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทําสัญญา
      4. เพื่อความจําเป็นเพื่อการปฏิบัติหน้าที่ในการดําเนินภารกิจของรัฐ และเพื่อการเป็น การปฏิบัติตามกฎหมาย
      5. เพื่อความจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท เว้นแต่ประโยชน์
   ดังกล่าวมีความสําคัญน้อยกว่าสิทธิขึ้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
   
   
   
   2. กรณียกเว้นการขอความยินยอม สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหว ดังนี้
      
      1. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูล ส่วนบุคคลไม่สามารถให้ความยินยอมได้ไม่ว่าด้วยเหตุใด
      2. เพื่อดําเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากําไรที่มีวัตถประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่ำเสมอ
      3. เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
      4. เพื่อความจําเป็นในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
      5. เพื่อความจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลวัตถุประสงค์เกี่ยวกับ
         (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทํางาน ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้าน สังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบ และการ ให้บริการด้านสังคมสงเคราะห์ เป็นต้น (ข) เพื่อประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก โรคติดต่ออันตราย หรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่เหมาะสม และเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของ เจ้าของข้อมูลส่วนบุคคล (ค) เพื่อการคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครอง ผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วน บุคคล เป็นสิ่งจําเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วน บุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล (ง) เพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นทั้งนี้ต้องกระทําเพื่อขอให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่ จําเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกําหนด (จ) ประโยชน์สาธารณะที่สําคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

หากบริษัทจะโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศดังกล่าวนั้น ต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด

ยกเว้นเป็นการโอนข้อมูลส่วนบุคคล ในกรณีดังต่อไปนี้

1. เป็นการปฏิบัติตามกฎหมาย
2. ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือ องค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
3. เป็นการจําเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อ ใช้ในการดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทําสัญญานั้น
4. เป็นตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคล หรือนิติบุคคลอื่นเพื่อประโยชน์ ของเจ้าของข้อมลูส่วนบุคคล
5. เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่น เมื่อเจ้าของข้อมลูส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
6. เป็นการจําเป็นเพื่อการดําเนินภารกิจเพื่อประโยชน์สาธารณะที่สําคัญ

หากมีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทาง ให้บริษัทเสนอต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นผู้วินิจฉัย

สิทธิเจ้าของข้อมูลส่วนบุคคล มีดังนี้

1. เจ้าของข้อมูลส่วนบุคลมีสิทธิขอให้ลบ หรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ดังนี้
   1. กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
   2. กรณีที่เป็นการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษา วิจัยทางวิทยาศาสตร์ หรือสถิติ เว้นแต่ เป็นการจําเป็นเพื่อประโยชน์สาธารณะของบริษัท
   ยกเว้นกรณีเก็บรวบรวมข้อมูลส่วนบุคคลได้ ดังนี้
   1. เป็นการจําเป็นเพื่อการปฏิบัติหน้าที่ในการดําเนินภารกิจเพื่อประโยชน์สาธารณะ ของบริษัท หรือปฏิบัติหน้าที่ในการใช้อํานาจรัฐที่ได้มอบให้แก่บริษัท
   2. เป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท เว้นแต่ บริษัท พิสูจน์ให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สําคัญยิ่งกว่า หรือเพื่อก่อตั้งสิทธิ เรียกร้องตามกฎหมาย
2. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง ขอรับข้อมูล และหรือสําเนาข้อมูลส่วนบุคคลของตนเอง ซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
3. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอถอนความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้ เว้นแต่มีข้อจํากัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

   เกณฑ์การพิจารณาสิทธิ ดังนี้

   กรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามข้อ 1 ) (1.1) บริษัทจะปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันที เมื่อได้รับแจ้งการคัดค้าน และไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้

   กรณีที่บริษัทไม่มีสามารถดำเนินการตามที่ท่านร้องขอได้ เนื่องด้วยเหตุผลทางกฎหมายตามข้อ 1) (1.2) 2) และ3) บริษัทบันทึกปฏิเสธการคัดด้านด้วยเหตุผล

4. 1) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง ดังนี้
   1. เมื่อข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
   2. เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบริษัทไม่มีอํานาจ ตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
   
   

   ยกเว้นกรณีลบ หรือทําลายข้อมูลส่วนบุคคลได้ ดังนี้

   1. เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
   2. เพื่อการปฏิบัติตามเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
5. เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัททำการระงับการใช้ข้อมูลส่วนบุคคล ดังนี้
   1. เมื่อเจ้าของข้อมูลส่วนบุคคล ขอให้บริษัทจัดทําข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ซึ่งอยู่ระหว่างการตรวจสอบ
   2. เมื่อเจ้าของข้อมูลส่วนบุคคล ขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลแทน การลบ หรือทําลายข้อมูลส่วนบุคคล อันเนื่องจากมาจากได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผย โดยไม่ชอบด้วยกฎหมาย
   3. เมื่อเจ้าของข้อมูลส่วนบุคคลเห็นว่าข้อมูลส่วนบุคคลที่หมดความจําเป็น ในการเก็บรักษาไว้ตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
   4. เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอ และบริษัทอยู่ระหว่างการพิสูจน์ เพื่อปฏิเสธการคัดค้านด้วยเหตุของการที่เก็บรวบรวมข้อมูลส่วนบุคคลนั้นได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม
6. เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ขอให้บริษัทดําเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยหากมีการปฏิเสธตามคําขอ บริษัทจะบันทึกเหตุแห่งการปฏิเสธพร้อมเหตุผลไว้

กรณีบริษัทมีการใช้บริการบุคคลภายนอก บริษัทจะปฏิบัติตามนโยบายการใช้บริการบุคคลภายนอก เพื่อสนับสนุนการดําเนินธุรกิจและการบริการลูกค้าของบริษัทอย่างมีประสิทธิภาพสูงสุด

หลักการใช้บริการบุคคลภายนอกต่อการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล

1. บริษัทจะเลือกใช้บริการบุคคลภายนอก โดยปฏิบัติตามนโยบายการใช้บริการบุคคลภายนอกของบริษัท เพื่อป้องกันมิให้มีเกิดผลประโยชน์ทับซ้อน
2. บริษัทจัดให้มีการบริหารความเสี่ยงที่เกิดจากการใช้บริการบุคคลภายนอกเป็นลายลักษณ์อักษร และสอดคล้องกับนโยบายการบริหารความเสี่ยงโดยรวมของบริษัท
3. บริษัทเข้าทําสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)กับบุคคลภายนอก ตามหลักเกณฑ์และเงื่อนไขที่กําหนดในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท

1. บริษัทได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ
2. บริษัทจะทบทวนมาตรการรักษาความมั่นคงปลอดภัยตามความเหมาะสม เมื่อพบว่าสถานการณ์เปลี่ยนแปลงไปและเพื่อเพิ่มประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
3. บริษัทจัดให้มีระบบการตรวจสอบ เพื่อดําเนินการลบ หรือทําลายข้อมูลส่วนบุคคล เมื่อพ้นกําหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บ รวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ

บริษัทจัดให้มีการทำสัญญา และหรือข้อตกลงเพื่อให้การประมวลผลข้อมูลส่วนบุคคล และทบทวนสัญญาและหรือข้อตกลงเพื่อการประมวลผลข้อมูลส่วนบุคคลระหว่างบริษัทกับคู่สัญญา เพื่อการกำหนดขอบเขตการใช้ข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นหลักประกันภัยการคุ้มครองสิทธิและหน้าที่ของเจ้าของข้อมูลส่วนบุคคล

บริษัทมีการสร้างวัฒนธรรมการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร ดังนี้

1. บริษัทมีการสื่อสารและอบรมความรู้แก่พนักงานให้เข้าใจ สิทธิ หน้าที่ บทกำหนดโทษ หากมีการใช้ข้อมูลส่วนบุคคลโดยมิชอบด้วยกฎหมาย เพื่อให้พนักงานมีความรู้เพียงพอต่อการปฏิบัติงานและทราบถึงสิทธิของตนเองในฐานะเจ้าของข้อมูลส่วนบุคคล
2. บริษัทมีการจัดทำคู่มือการปฏิบัติงานตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของบริษัท แต่ให้แต่ละฝ่ายนำไปปฏิบัติ
3. บริษัทจะจัดให้มีการ ทบทวนความรู้ความเข้าใจทุกครั้ง เมื่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมายลำดับรองมีการแก้ไขหรือเพิ่มเติม ฯลฯ
4. บริษัทจัดให้มีหน่วยงานการรับเรื่องร้องเรียนข้อมูลส่วนบุคคลภายในบริษัท เพื่อประสานงานกับเจ้าของข้อมูลส่วนบุคคลและฝ่ายต่างๆภายในบริษัท เพื่อติดตามเรื่องและดำเนินการคู่มือการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
5. บริษัทจัดให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับ ดูแล ติดตาม ตรวจสอบ และประเมินผลการปฏิบัติงานภายใต้นโยบายฉบับนี้ เพื่อนำมาปรับปรุงและพัฒนาการแก้ไขปัญหาการคุ้มครองข้อมูลส่วนบุคคล และจัดทำแผนรองรับรองการดำเนินธุรกิจอย่างต่อเนื่อง เพื่อรองรับสถานการณ์ฉุกเฉินเมื่อพบการละเมิดข้อมูลส่วนบุคคลอย่างร้ายแรง

บริษัทให้ความสำคัญกับการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลในระดับสูงสุด และให้ทุกฝ่ายที่เกี่ยวข้องปฏิบัติตามนโยบายอย่างเคร่งครัด กรณีพนักงานหรือคู่สัญญาของบริษัทกระทำโดยจงใจหรือประมาทเลินเล่อละเมิดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ท่านต้องรับผิดทางอาญาเป็นการส่วนตัวและส่วนทางแพ่งด้วย ทั้งนี้ เมื่อบริษัทชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูลส่วนบุคคลแล้ว หากความเสียหายเกิดจากพนักงานหรือคู่สัญญา บริษัทขอสงวนสิทธิในการไล่เบี้ยผู้ทำละเมิด

กรณีบริษัทมีการแก้ไข เปลี่ยนแปลง หรือเพิ่มเติมนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บริษัทจะมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบตามช่องทางการสื่อสาร เช่น website : www.bui.co.th หรือ Facebook รวมถึงผ่านช่องทางตัวแทน/นายหน้า เป็นต้น