นโยบายการเก็บรักษาและทำลายข้อมูลส่วนบุคคล

นโยบายการเก็บรักษาและทำลายข้อมูลส่วนบุคคล

(Data Retention and Disposal Policy)


1.คำนิยาม

 

คำศัพท์ ความหมาย
องค์กร บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ จำกัด
ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ชื่อเล่น     ที่อยู่ หมายเลขโทรศัพท์     เลขบัตรประจำตัวประชาชน  เลขหนังสือเดินทาง   เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี     เลขบัญชีธนาคาร   เลขบัตรเครดิต   ที่อยู่อีเมล (email address)   ทะเบียนรถยนต์   IP Address   ,  Cookies  ,   Log File   เป็นต้น
การประมวลผลข้อมูลส่วนบุคคล (Processing of Personal Data) การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล (อันจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะใดลักษณะหนึ่งได้) เช่น การจัดเก็บ รวบรวม การบันทึก การจัดระบบ จัดโครงสร้าง  การปรับปรุงหรือการแก้ไขข้อมูล การดึงข้อมูล การให้คำปรึกษาที่ต้องใช้ข้อมูลในการให้คำปรึกษา การใช้ข้อมูล การเปิดเผยด้วยการส่งต่อ การเผยแพร่ หรือ การกระทำใด ๆ เพื่อให้ข้อมูลสามารถเข้าถึงหรือใช้งานได้ การรวมข้อมูลเข้าด้วยกัน การดำเนินการเพื่อให้ข้อมูลสอดคล้องกัน การจำกัดการใช้งาน การลบ หรือการทำลายข้อมูล
เจ้าของข้อมูลส่วนบุคคล (Data Subject) บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล และให้หมายรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ รวมตลอดทั้งผู้ที่ถือว่าเป็นเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วน บุคคล (Data Controller) บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บุคคลหรือองค์กรใดที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือองค์กรใดที่ประมวลผลข้อมูลส่วนบุคคลตามค าสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
กำรจัดทำขอมูลนิรนาม (Anonymization) กระบวนการที่ทำให้ความเสี่ยงในการระบุตัวตนของเจ้าของข้อมูลนั้นน้อยมากจนแทบไม่ต้องให้ความสำคัญกับความเสี่ยง (Negligible Risk)

 

2.หลักการและเหตุผล

 

    ปัจจุบันเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562   ประกาศใช้งาน บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ จำกัด  เห็นถึงความสำคัญของข้อมูลส่วนบุคคลที่ จัดเก็บ รวมรวม    และมีการใช้งาน    ซึ่งจะต้องปฏิบัติให้สอดคล้องกับกฎหมายดังกล่าว    ในการดูแลรักษาความมั่นคงปลอดภัยและดำเนินการต่าง ๆ   ให้สอดคล้องกับข้อกำหนดของกฎหมาย จึงจำเป็นต้อง   จัดเก็บ   รวบรวม   เปิดเผย    และใช้งาน   ข้อมูลส่วนบุคคลที่ นำมาประมวลผล   เพื่อประเมินช่องว่างสถานภาพที่เป็นอยู่เทียบกับข้อกำหนด ความต้องการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  และความมั่นคงปลอดภัยของระบบสารสนเทศที่จัดเก็บข้อมูลส่วนบุคคล รวมทั้งการจัดทำ ปรับปรุง นโยบายและแนวปฏิบัติหรือหลักเกณฑ์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามที่กฎหมายกำหนด และสร้างความเชื่อมั่นต่อเจ้าของข้อมูลส่วนบุคคลที่ มีการนำข้อมูลส่วนบุคคลมาประมวลผล

 

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562   มาตรา 23  วรรค 3 ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ทั้งนี้ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจนให้กำหนระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม และมาตรา 37 วรรค 3 ระบุว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา จึงทำให้มีความจำเป็นในการกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล และขั้นตอนการลบทำลายข้อมูลส่วนบุคคล

 

3.วัตถุประสงค์

 

      เอกสารฉบับนี้มีวัตถุประสงค์เพื่อใช้ในการกำหนดขั้นตอนกระบวนการปฏิบัติการเก็บรักษาข้อมูลส่วนบุคคลและกระบวนการทำลายข้อมูลส่วนบุคคลเมื่อครบกำหนดการเก็บรักษาและไม่มีการนำข้อมูลกลับมาประมวลผล หรือ เมื่อเจ้าของข้อมูลมีการร้องขอให้ทำลายข้อมูล
 

 

4.ขอบเขต

 

เอกสารฉบับนี้ประกอบไปด้วยการเก็บรักษาข้อมูลส่วนบุคคลและการลบทำลายข้อมูลส่วนบุคคล โดยเอกสารฉบับนี้จะถูกนำไปใช้เมื่อมีสถานการณ์การจัดเก็บรักษาข้อมูลส่วนบุคคล และลบทำลายข้อมูลเมื่อสิ้นสุดระยะเวลาการเก็บรักษา

 

การเก็บรักษาข้อมูส่วนบุคคลประกอบไปด้วยระยะเวลาในการเก็บรักษาข้อมูล และสื่อที่ใช้เก็บข้อมูลโดยแยกตามประเภทของข้อมูล

 

การลบทำลายข้อมูลส่วนบุคคลประกอบไปด้วย ขั้นตอนการปฏิบัติการทำลายข้อมูล และในการลบทำลายข้อมูล
 

 

5.การกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

 

                ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 23 วรรค 3 ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ทั้งนี้ในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม จึงทำให้ต้องกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

 

 

 

 

6.การทำข้อมูลนิรนาม (Anonymization)

 

การทำลายข้อมูลส่วนบุคคลแบ่งออกเป็น 2 วิธีดังนี้
 1. ทำลายสื่อที่ใช้เก็บบันทึกข้อมูลส่วนบุคคล
 2. การจัดทำข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม (Anonymization)

 

                การจัดทำข้อมูลนิรนามคือกระบวนการที่ทำให้ความเสี่ยงในการระบุตัวตนของเจ้าของข้อมูลนั้นน้อยมากจนแทบไม่ต้องให้ความสำคัญกับความเสี่ยง (negligible risk) โดยวิธีที่ได้รับความนิยมในการทำข้อมูลนิรนามมีดังนี้

 

– [Scrambling] การผสมข้อมูล  เป็นการสลับลำดับของตัวอักษรในข้อมูลด้วยกฎเกณฑ์หนึ่ง ๆ เช่น กำหนดกฎเกณฑ์ว่าให้สลับตัวอักษรตัวแรกกับตัวที่สามของทุกช่องข้อมูล ยกตัวอย่างเช่น 012345 กลายเป็น 210345 เป็นต้น
 
– [Masking] การปิดทับข้อมูล การเปลี่ยนส่วนใดส่วนหนึ่งของข้อมูล เช่น ข้อมูลหมายเลขโทรศัพท์ 0123456789 แสดงเป็น ######6789
 
– [Blurring or Noising] การลดความชัดเจนของข้อมูลลง เป็นการใช้ข้อมูลโดยประมาณแทนที่ข้อมูลดั้งเดิม เพื่อลดความเฉพาะเจาะจงของข้อมูลลง วิธีดังกล่าวนั้นทวีความนิยมมากขึ้นในภาครัฐ ภาคเอกชนทั่วโลก เช่น มีชุดข้อมูลเป็นสีรถและทะเบียนรถอาจจะลดข้อมูลเหลือสีรถ
 
– [Pseudonymization]    การแฝงข้อมูล เป็นวิธีการในการแทนที่สิ่งที่ระบุตัวตนของเจ้าของข้อมูลโดยตรง   เช่น ชื่อ ที่อยู่ หรือ รหัสประจำตัวต่าง ๆ ด้วยชื่อหรือรหัสที่สร้างขึ้นมา
 

– [De-identification]    การขจัดตัวตน คือการลบข้อมูลในส่วนที่จะทำให้มีการระบุตัวตนใหม่เป็นการป้องกันการย้อนรอยเพื่อระบุตัวตน (re-identification) โดยพิจารณาถึงตัวข้อมูลเป็นหลัก ซึ่งหมายรวมถึงการแฝงข้อมูลด้วย เช่น มีชุดข้อมูล ชื่อ  นายจอห์น  อีเมล์   john@example.com    เบอร์โทร 0987654321    แสดงเป็น นาย A อีเมล – เบอร์โทร
 

 

7.การลบทำลายข้อมูลส่วนบุคคล
7.1 ขั้นตอนการลบทำลายข้อมูลส่วนบุคคล

 

        7.1.1 หลักเกณฑ์ในการเริ่มต้นกระบวนการ

 

             1.1.2 เมื่อครบกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

 

             1.1.2 เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอให้มีการทำลายข้อมูลส่วนบุคคล

 

        7.1.2 ขั้นตอนการปฏิบัติงาน

 

             1.2.1 คณะทำงานข้อมูลส่วนบุคคลขออนุญาตทำลายข้อมูลส่วนบุคคลที่ครบกำหนดหรือเจ้าของข้อมูลส่วนบุคคลมีการร้องขอให้ทำลายอย่างเป็นลายลักอักษรพร้อมทั้งระบุเหตุผลการทำลายและวิธีการที่จะใช้ในการทำลายข้อมูลส่วนบุคคล

 

             1.2.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทำการพิจารณา และอนุมัติในการทำลายข้อมูล

 

                       • กรณีให้ทำลาย ให้ดำเนินการต่อในข้อ 7.2.3

 

                       • กรณีที่ไม่ให้ทำลายให้สิ้นสุดกระบวนการ

 

             1.2.3 คณะทำงานข้อมูลส่วนบุคคลดำเนินการทำลายข้อมูลส่วนบุคคลตามแนวทางในการ  ทำลายข้อมูลส่วนบุคคล

 

             1.2.4 คณะทำงานข้อมูลส่วนบุคคลบันทึกหลักฐานการทำลายข้อมูลส่วนบุคคล

 

             1.2.5 คณะทำงานข้อมูลส่วนบุคคลแจ้งผลการทำลายข้อมูลส่วนบุคคลกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
 
7.2 การลบทำลายข้อมูลส่วนบุคคล

 

 

ประเภทสื่อที่ใช้เก็บ การทำลายบันทึกข้อมูล Anonymization
เอกสาร

ใช้เครื่องย่อยเอกสาร

เผาทำลาย

Masking
เอกสารอิเล็กทรอนิกส์ ลบออกจากไดรฟ์เครือข่ายและล้างถังรีไซเคิลเป็นประจำ
CD , DVD ใช้เครื่องทำลาย CD/DVD หรือ หักทำลายเป็นส่วน ๆ อย่างน้อย 4 ส่วน
Thumb drive ถอดแยกชิ้นส่วน และทำลายแผงวงจรภายในจนไม่สามารถประกอบใช้งานได้ • Masking • Scrambling • Blurring or noising • Pseudonymization • De-identification เช่น การลบข้อมูล หรือเขียนข้อมูลทับด้วยวิธีเปลี่ยนโครงสร้างของไฟล์      
ประเภทสื่อที่ใช้เก็บ การทำลายบันทึกข้อมูล Anonymization
Harddisk ประเภทจานหมุน ทำให้แผ่นเก็บข้อมูลภายในเป็นรอยขีดข่วนร้ายแรง (ทุบ เจาะ บดขยี้) หรือ ใช้เครื่องทำลายแบบ Degaussing • Masking • Scrambling • Blurring or noising • Pseudonymization • De-identification เช่น การลบข้อมูล หรือเขียนข้อมูลทับด้วยวิธีเปลี่ยนโครงสร้างของไฟล์
Harddisk ประเภท SSD ถอดแยกชิ้นส่วน และทำลายแผงวงจรภายในจนไม่สามารถประกอบใช้งานได้(ทุบ เจาะ บดขยี้) หรือ ใช้เครื่องทำลายแบบ Degaussing • Masking • Scrambling • Blurring or noising • Pseudonymization • De-identification เช่น การลบข้อมูล หรือเขียนข้อมูลทับด้วยวิธีเปลี่ยนโครงสร้างของไฟล์

 

  • การจ้างผู้ให้บริการภายนอกในการทำลายข้อมูลส่วนบุคคล

 

กรณีองค์กรมีการจ้างผู้ให้บริการภายนอกในการทำลายข้อมูลส่วนบุคคล     ต้องมีการกำกับ  และ ควบคุมกระบวนการระหว่างการทำลาย และเก็บรวบรวมหลักฐานการทำลายข้อมูลส่วนบุคคลจากผู้ให้บริการภายนอก
 

 

8.ช่องทางการติดต่อ

 

กรณีมีข้อสงสัยหรือต้องการสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน โปรดติดต่อบริษัทฯ ได้ตามช่องทางดังต่อไปนี้
   8.1สถานที่ติดต่อ บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ จำกัด 

 

        เลขที่ 71/1 หมู่ 7  ถ.ตลิ่งชัน – สุพรรณบุรี ต.ละหาร อ.บางบัวทอง จ.นนทบุรี 11110

 

        โทรศัพท์ 02-918-2645   (ติดต่อได้ในเวลาทำการจันทร์ – เสาร์ ตั้งแต่ 08:00น. – 17:00น.)

 

    8.2เจ้าหน้าที่ผู้ดูแลคุ้มครองข้อมูลส่วนบุคคล  : อีเมล dpo-jrm@martonthailand.com

 

        โทรศัพท์ 02-918-2645  (ติดต่อได้ในเวลาทำการจันทร์ – เสาร์ ตั้งแต่ 08:00น. – 17:00น.)
 
 

 


       ประกาศนโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่  01 พฤศจิกายน  2567  เป็นต้นไป     

 

เข้าสู่ระบบ

ลงทะเบียนสำเร็จ !

ขอบคุณสำหรับการลงทะเบียนรับประกันสินค้า

เงื่อนไขการสมัครสมาชิก Marton

เงื่อนไขการสมัครเป็นสมาชิก

ข้าพเจ้ารับทราบว่าสถานภาพการเป็นสมาชิก MARTON ONLINE มีอายุ 1 ปี นับจากเดือนที่สมัคร หากข้าพเจ้ามีประสงค์จะรักษา สถานภาพการเป็นสมาชิก MARTON ONLINE  ข้าพเจ้าจะต้องมียอดขายในระบบ 10,000 บาทขึ้นไป (หรือเงื่อนไขเป็นไปตามที่บริษัทกำหนด) ทั้งนี้ ข้าพเจ้าตกลงยินยอมให้ บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ  จำกัด เป็นผู้มีอำนาจพิจารณาและอนุมัติการสมัครตามใบสมัครของข้าพเจ้าแต่เพียงผู้เดียว 

หลักเกณฑ์การสมัคร

  • ผู้สมัครจะต้องมีอายุ 20 ปี บริบูรณ์ขึ้นไป
  • ให้ถือว่าสามี-ภรรยาเป็นหุ้นส่วนเดียวกัน ไม่สามารถสมัครต่างสายงานกันได้

เรียน บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ  จำกัด (ต่อจากนี้จะเรียกว่า “บริษัทฯ”)

  • ข้าพเจ้ายอมรับว่าการสมัครครั้งนี้จะสมบูรณ์ต่อเมื่อบริษัทฯ ได้รับเอกสาร ภาพถ่าย สำเนาบัตรประชาชน หรือบัตรที่ทางราชการออกให้ ของข้าพเจ้า ทั้งนี้ข้าพเจ้ารับทราบว่าบริษัทฯ เป็นผู้มีอำนาจแต่เพียงผู้เดียวในการพิจารณาอนุมัติหรือปฏิเสธการสมัครของข้าพเจ้า
  • ข้าพเจ้าทราบว่าบริษัทฯ ไม่มีการบังคับให้ซื้อสินค้าใดๆ นับแต่วันสมัครใหม่ ตลอดจนสิ้นอายุสถานภาพ
  • ข้าพเจ้าทราบว่าสินค้า แบรนด์ MARTON เป็นสินค้าที่รับประกันความพึงพอใจ และมีการรับประกันสินค้า 6 เดือน (เงื่อนไขเป็นไปตามที่บริษัทกำหนด)
  • บริษัทฯ สงวนสิทธิ์ในการเปลี่ยนแปลงเงื่อนไข ระงับ ยกเลิก หรือเพิกถอนการเป็นสมาชิกได้โดยไม่ต้องแจ้งให้ข้าพเจ้าทราบล่วงหน้า
  • เพื่อความสะดวกในการจัดเก็บเอกสาร ข้าพเจ้ายินยอมให้บริษัทฯ จัดเก็บหรือบันทึกไว้ในระบบอิเล็กทรอนิกส์หรือคอมพิวเตอร์ และข้าพเจ้ายอมรับว่าข้อมูลที่ได้จัดเก็บในระบบดังกล่าวเป็นการคัดสำเนาจากต้นฉบับที่ถูกต้อง

       ข้าพเจ้า สมาชิกระบบร้านค้า MARTON ONLINE เข้าใจเป็นอย่างดีว่าข้อมูลส่วนตัวของข้าพเจ้าที่ให้ไว้ต่อ บริษัท เจ อาร์ เอ็ม เจริญมิตร กรุ๊ฟ  จำกัด จะได้รับการคุ้มครองอย่างเหมาะสม ปกป้องสิทธิ ตลอดจนการดำเนินการใช้สิทธิข้อมูลส่วนตัวของข้าพเจ้า ทั้งนี้เพื่อนำไปใช้ประโยชน์ในการประมวลผลตามเงื่อนไขที่กำหนดไว้ ระเบียบปฏิบิติสมาชิกระบบร้านค้า MARTON ONLINE อันเป็นสัญญาระหว่างข้าพเจ้ากับบริษัทฯ รวมทั้งบุคคลอื่นที่เกี่ยวข้องในสายงานหรือองค์กรทางธุรกิจในระบบขายตลาดแบบตรง ข้าพเจ้าขอแสดงเจตจำนงให้ความยินยอมแก่บริษัทฯ ในการ เก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลของข้าพเจ้าในการควบคุม หรือผู้ประมวลผล เพื่อประกอบกิจการหรือธุรกิจร่วมกันตลอดไป ตลอดระยะเวลาที่ข้าพเจ้ายังคงดำรงสถานภาพสมาชิก ระบบร้านค้า MARTON ONLINE และให้มีผลต่อไปนับแต่วันที่สิ้นสุดสถานภาพสมาชิกของข้าพเจ้า

  • ข้าพเจ้าได้อ่าน เข้าใจ รายละเอียดในใบสมัครนี้โดยชอบแล้วและตกลงตามข้อกำหนดข้างต้นทุกประการ