นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(Privacy Policy)

บริษัท ควอลิตี้เฮ้าส์ จำกัด (มหาชน)

2563

บทนำ

บริษัท ควอลิตี้ เฮ้าส์ จำกัด (มหาชน) (“บริษัท”) ได้เล็งเห็นถึงความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างมากและปฏิบัติตามกฎหมายและกฎเกณฑ์ที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พรบ. คุ้มครองข้อมูลส่วนบุคคล”) บริษัทได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) เพื่อส่งเสริมและสนับสนุนการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว โดยเฉพาะอย่างยิ่งเพื่อสิทธิประโยชน์ของลูกค้าทุกท่าน และกำหนดขอบเขตของนโยบายเหล่านั้น เพื่อมิให้ขัดแย้งกับหลักของกฎหมายและกฎเกณฑ์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลใด ๆ ถือว่าได้รับความยินยอมจากท่านแล้ว หรือเป็นการประมวลผลภายใต้ฐานที่กฎหมายอนุญาตให้ดำเนินการได้

หากท่านมีคำถามหรือข้อสงสัยประการใดเกี่ยวกับนโยบายนี้รวมถึง ขอบเขตการบังคับใช้ของนโยบายนี้ โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ของบริษัท เพื่อสอบถามเพิ่มเติม

วัตถุประสงค์ของนโยบาย

นโยบายฉบับนี้จัดทำเพื่อคุ้มครองข้อมูลส่วนบุคคลของลูกค้า พนักงาน คู่ค้า ที่บริษัทได้ เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ตามพรบ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งนโยบายฉบับนี้ได้กล่าวถึงหน้าที่ความรับผิดชอบของบริษัทและพนักงานของบริษัทที่มีต่อลูกค้า และ สิทธิของลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคล

คำศัพท์

ข้อมูลส่วนบุคคล (Personal Data)	หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคล: ข้อมูลแสดงตัวตน (identity data): หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ที่ทำให้ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล ได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด เพศ เลขบัตรประจำตัวประชาชน หมายเลขใบขับขี่ หมายเลขหนังสือเดินทาง สถานภาพการสมรส เป็นต้น ข้อมูลติดต่อลูกค้า (contact data): เช่น ที่อยู่ อีเมล หมายเลขโทรศัพท์ ข้อมูลอ่อนไหว (sensitive data): ข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว เช่น ข้อมูลเชื้อชาติ ความเชื่อ ศาสนา ข้อมูลเกี่ยวกับสุขภาพ และ ข้อมูลชีวมิติ (biometric data) รวมถึงข้อมูลประวัติอาชญากรรม เป็นต้น ข้อมูลทางการเงิน (financial and transaction data): หมายเลขบัญชี หมายเลขบัตรเครดิต และ หมายเลขบัตรเดบิต ข้อมูลรายได้ต่อเดือน ข้อมูลมูลการชำระเงิน เป็นต้น ข้อมูลทางเทคนิคและการใช้งาน (technical and usage data): หมายเลข IP Address ข้อมูลการเข้าสู่ระบบข้อมูลการค้นหา (website browsing) จากการใช้ข้อมูล Cookie ID ประเภทอุปกรณ์การตั้งค่า แพลตฟอร์มและเทคโนโลยีอื่น ๆ ที่ใช้ในการเข้าถึงเว็บไซต์ของควอลิตี้ เฮ้าส์ ข้อมูลโปรไฟล์ (profile data): ชื่อผู้ใช้และรหัสผ่านการสั่งซื้อ ความสนใจ ความชอบ งบประมาณ เหตุผลในการเลือกซื้อที่อยู่อาศัย และข้อมูลความเห็นจากการตอบแบบสำรวจ ข้อมูลการตลาดและการสื่อสาร (marketing and communication data): การตั้งค่าของเจ้าของข้อมูลส่วนบุคคล ในการรับข้อมูลการตลาดจากบริษัทและบุคคลที่สาม (third party) รวมถึงข้อมูลการติดต่อกับบริษัท เช่น เทปบันทึกกรณีที่ลูกค้าเข้ามาติดต่อทาง contact center หรือผ่านทางช่องทาง social media อื่น ๆ เป็นต้น ข้อมูลส่วนบุคคลนั้นไม่รวมถึง: ข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ ก่อนการเก็บรวบรวมของบริษัท ข้อมูลของผู้ถึงแก่กรรม ข้อมูลติดต่อทางธุรกิจ เช่นหมายเลขโทรศัพท์ หรือที่อยู่ของนิติบุคคล ข้อมูลนิรนาม (ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้)
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)	หมายถึง บริษัท ควอลิตี้ เฮ้าส์ จำกัด (มหาชน)
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)	หมายถึง บุคคลหรือนิติบุคคลอื่นใดซึ่งไม่รวมถึงพนักงานของบริษัท ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท
เจ้าของข้อมูลส่วนบุคคล (Data Subject)	หมายถึง บุคคลใด ๆ ที่เป็นเจ้าของข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office)	หมายถึง บุคลากรที่ทำหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
บุคคล (Person)	หมายถึง บุคคลธรรมดาซึ่งไม่รวมถึงผู้ถึงแก่กรรม
พนักงาน	หมายถึง พนักงานของบริษัท ควอลิตี้ เฮ้าส์ จำกัด (มหาชน)
คู่ค้า	หมายถึง ผู้ขายสินค้า, ผู้ให้บริการแก่บริษัท ผู้เสนอขายที่ดิน

ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้มีผลการบังคับใช้ต่อการเก็บรวบรวม ใช้ และการเปิดเผย ข้อมูลส่วนบุคคล ในทุกกิจกรรมของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และนโยบายนี้มีผลบังคับแก่ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งบริษัทได้ส่งข้อมูลส่วนบุคคลดังกล่าวเพื่อการประมวลผล

การปรับปรุงและแก้ไขนโยบาย

บริษัทจะมีการทบทวนและปรับปรุงนโยบายนี้ อย่างน้อยทุก ๆ สิบสอง (12) เดือน และ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจมีการออกแนวทาง หรือ กำหนดแนวทางปฏิบัติเกี่ยวกับนโยบายนี้เพิ่มเติมเป็นครั้งคราว โดย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะทบทวนนโยบายและแนวทางปฏิบัติ เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

โครงสร้างองค์กรเพื่อการกำกับดูแลนโยบาย(Governance Structure)

โครงสร้างการกำกับดูแลนโยบายและแนวทางปฏิบัติของบริษัท เพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

การแต่งตั้งคณะกรรมการชุดย่อยการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการ ทำหน้าที่เป็นผู้ให้แนวทางในเรื่องการคุ้มครองข้อมูลส่วนบุคคลของบริษัทและช่วยประสานงาน และให้คำปรึกษาเพื่อแก้ไขปัญหาที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ในทุกฝ่ายขององค์กร ตามที่ได้รับเรื่องร้อง
การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

บริษัทอยู่ระหว่างพิจารณาความเหมาะสมในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บทบาทหน้าที่ และความรับผิดชอบของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บทบาทของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลคือ
1. หน้าที่ให้คำปรึกษา
  1. ให้ความรู้ และ ให้คำแนะนำในเรื่องภาระหน้าที่คุ้มครองข้อมูลส่วนบุคคลแก่ ผู้ควบคุม หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงพนักงานที่เกี่ยวข้อง
  2. ให้คำแนะนำเกี่ยวกับการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment : DPIA)
  3. ประสานงานและให้คำแนะนำเกี่ยวกับโครงการ คุ้มครองข้อมูลส่วนบุคคลในองค์กร เช่น การฝึกอบรม การจัดทำแบบฟอร์ม หรือเอกสารที่เกี่ยวข้อง
  4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถมีส่วนร่วมและให้คำแนะนำในการประเมินประสิทธิภาพของการรักษาความปลอดภัย เมื่อมีการเปลี่ยนแปลงทางเทคโนโลยี
2. หน้าที่ในการตรวจสอบ และติดตามการปฏิบัติตามระเบียบข้อบังคับ
  1. ติดตามการปฏิบัติตามขององค์กรและบุคลากรที่เกี่ยวข้อง ในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล หน้าที่นี้อาจรวมถึงการตรวจสอบ กิจกรรมการให้ความรู้ ตลอดจนการฝึกอบรมพนักงานที่เกี่ยวข้องในการดำเนินการ
3. หน้าที่ติดต่อประสานงาน
  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทำหน้าที่เป็นผู้ติดต่อประสานงาน เพื่อให้ความร่วมมือกับหน่วยงานกำกับดูแล ในเรื่องที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
  2. ตอบคำถามและรับเรื่องร้องเรียน หรือคำร้องต่างๆ หากมีคำถาม หรือ คำร้องที่เกี่ยวข้องกับการดูแล และดำเนินการใดๆ ของบริษัทเกี่ยวกับข้อมูลส่วนบุคคล
  3. ตอบคำถามรับเรื่อง และดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล หากมีการยื่นขอใช้สิทธิ
  4. ปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การตอบรับหรือพิจารณาการร้องขอใช้สิทธิ หรือการยื่นข้อร้องเรียน
4. หน้าที่การรักษาความลับของข้อมูลส่วนบุคคล
  1. รับรองการเป็นความลับ (Confidentiality) ของข้อมูลส่วนบุคคลภายใต้การควบคุมของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในระยะเวลาการปฏิบัติงาน

การประมวลผลข้อมูลส่วนบุคคล(Processing of Personal Data)

การเก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่เกี่ยวข้องกับวัตถุประสงค์ (Purpose Limitation/ Data Minimization)

บริษัทสามารถ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้เฉพาะที่เกี่ยวข้องกับวัตถุประสงค์ที่ระบุไว้อย่างชัดเจน และจะต้องไม่นำไปประมวลผลต่อในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์เหล่านั้น ทั้งนี้ วัตถุประสงค์ดังกล่าว ต้องมีความเหมาะสมกับสถานการณ์ที่ข้อมูลส่วนบุคคล ถูก เก็บรวบรวม ใช้ หรือเปิดเผย โดยบริษัทได้มีการแจ้งต่อเจ้าของข้อมูลส่วนบุคคล ในประกาศความเป็นส่วนตัว (Privacy Notice) ผ่านทางเว็บไซต์ของบริษัท ซึ่งได้ระบุถึงวัตถุประสงค์ทั้งหมดที่เกี่ยวข้องกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท โดยต้องมีการขอความยินยอมของเจ้าของข้อมูลเพิ่มเติมหากมีวัตถุประสงค์อื่นใดเพิ่มเติมจากที่ระบุในประกาศความเป็นส่วนตัว

บริษัทจะทำการเก็บรวบรวม เฉพาะข้อมูลส่วนบุคคล เท่าที่จำเป็น สำหรับวัตถุประสงค์ที่ระบุไว้ และเพื่อวัตถุประสงค์ในการสื่อสารกับเจ้าของข้อมูลส่วนบุคคลเท่านั้น ทั้งนี้บริษัทจะไม่ทำการประมวลผลข้อมูลอ่อนไหวทุกประเภท

การแจ้งเตือน (Notification)

บริษัทจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ก่อนหรือขณะที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ๆ เว้นแต่กรณีที่เป็นไปตามข้อยกเว้นซึ่งระบุไว้ในนโยบายนี้

ทั้งนี้ ในประกาศความเป็นส่วนตัวบริษัทจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียด ดังต่อไปนี้:

การปฏิบัติตามข้อกฎหมายของบริษัทต่อพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลส่วนบุคคล

ประกาศความเป็นส่วนตัวอาจถูกส่งไปยังเจ้าของข้อมูลส่วนบุคคล หรือประกาศบนเว็บไซต์ทางการของบริษัทโดยเจ้าของข้อมูลส่วนบุคคลต้องได้รับแจ้งถึงจุดประสงค์ที่ข้อมูลส่วนบุคคล ถูกเก็บรวบรวม ใช้ หรือเปิดเผย โดยบริษัทไม่จำเป็นต้องขอความยินยอมสำหรับการใช้ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมไว้ ก่อนวันที่ 1 มิถุนายน 2564 หากการประมวลผลข้อมูลส่วนบุคคลนั้น เป็นเพียงเพื่อวัตถุประสงค์ที่ได้ทำเพื่อให้เป็นไปตามข้อกำหนดและเงื่อนไขการขายสินค้าและ/หรือการให้บริการของบริษัทเท่านั้น อย่างไรก็ตามหากบริษัทต้องการประมวลผลข้อมูลส่วนบุคคลนั้นเพื่อวัตถุประสงค์ที่แตกต่างออกไป จะทำได้เมื่อได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือเป็นไปตามฐานกฎหมายที่ระบุไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย กฎ ระเบียบ ที่เกี่ยวข้องเท่านั้นโดย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ต้องทบทวน ประสิทธิภาพ เนื้อหาของประกาศความเป็นส่วนตัว และ วิธีการแจ้งเตือน อย่างน้อยทุก 12 เดือน

ความยินยอม (Consent)

บริษัทจะไม่ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สำหรับกิจกรรมการประมวลผลบางประเภทหากเจ้าของข้อมูลส่วนบุคคลนั้นไม่ให้ความยินยอม เช่นการตลาดทางตรง (direct marketing) เป็นต้น ยกเว้นในกรณีที่บริษัทสามารถทำได้ตามที่พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมายอื่น ๆ อนุญาต เมื่อบริษัทได้รับข้อมูลส่วนบุคคลจากบุคคลที่สาม (third party) ข้อมูลส่วนบุคคลที่ได้รับมานั้น นำมาใช้ได้หากบุคคลที่สาม ได้รับความยินยอมอย่างชัดแจ้ง (เช่นระบุว่าบริษัทเป็นผู้รับข้อมูล) จากเจ้าของข้อมูลส่วนบุคคล หากบุคคลที่สาม ไม่ได้รับคำยินยอมอย่างชัดแจ้งบริษัทจะต้องทำการแจ้ง และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลภายใน 30 วันหลังจากที่บริษัทได้รับข้อมูลส่วนบุคคลจากบุคคลที่สาม

ความยินยอมที่มีผลตามกฎหมายไม่สามารถได้มาโดยวิธีการ:

กำหนดให้เป็นเงื่อนไขของเพื่อรับผลิตภัณฑ์หรือบริการ
การให้ข้อมูลที่เป็นเท็จ หรือจากการปฏิบัติที่ทำให้เกิดการเข้าใจผิด

รูปแบบการขอความยินยอม

การขอความยินยอมจะอยู่ในรูปแบบ ที่ชัดเจน เป็นลายลักษณ์อักษร เช่น การทำเป็นช่องเช็ค (Check box) ให้เจ้าข้อมูลส่วนบุคคลกด/เขียนเอง รูปแบบของการขอความยินยอม จะต้องขออย่างชัดเจนไม่คลุมเครือ โดยที่เจ้าของข้อมูลส่วนบุคคลจะสามารถเลือกได้อย่างชัดเจนว่าจะให้ความยินยอมสำหรับจุดประสงค์ใดบ้าง โดยสามารถขอได้ในช่องทางเช่น อีเมล SMS หรือ เว็บไซต์ เป็นต้น เพื่อการประมวลผลในวัตถุประสงค์ด้านการตลาดแบบตรง (direct and personalized marketing) บริษัทจำเป็นจะต้องได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูล

การบันทึกความยินยอม

ความยินยอมที่มีการบันทึกไว้จะต้องชัดเจนไม่คลุมเครือ เป็นลายลักษณ์อักษร โดยระบบของบริษัทต้องมีการบันทึก การได้รับความยินยอมของเจ้าของข้อมูลส่วนบุคคล และการถอนความยินยอมเมื่อเจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิ

สิทธิของเจ้าของข้อมูลส่วนบุคคล(Data Subject Rights)

สิทธิในการถอนความยินยอม (Right to withdraw)

เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเพิกถอนความยินยอมที่ได้ให้ไว้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเมื่อใดก็ได้ และบริษัทต้องหยุดกิจกรรมการประมวลผลข้อมูลดังกล่าวโดยเร็ว

ทั้งนี้ หากบริษัทไม่ สามารถทำการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปภายใต้ฐานกฎหมายอื่นๆ บริษัทจะต้องทำการลบข้อมูลส่วนบุคคลนั้น ๆ ออกด้วย

สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ( Right to object the collection, use, or disclosure)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลของตนเมื่อใดก็ได้ เมื่อเข้าเงื่อนไขดังต่อไปนี้

เมื่อเป็นกรณีที่ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมได้โดยไม่ต้องขอความยินยอม เฉพาะในกรณีดังนี้
1. เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
2. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
ในกรณีดังกล่าว เมื่อเจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านการประมวลผลข้อมูลของบริษัท บริษัทสามารถปฏิเสธคำร้องขอดังกล่าวได้หากสามารถพิสูจน์ได้ว่าการประมวลผลข้อมูลนั้นแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า หรือการประมวลผลนั้นสำคัญกว่าผลประโยชน์ สิทธิและเสรีภาพของเจ้าของข้อมูล หรือการประมวลข้อมูลส่วนบุคคลนั้น ทำเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
กรณีที่บริษัททำการประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ที่เกี่ยวข้องกับการตลาดแบบตรง (Direct marketing) ในกรณีนี้บริษัทจะไม่สามารถปฏิเสธคำร้องขอในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้ และต้องยุติการประมวลผลดังกล่าว เมื่อได้รับการร้องขอจากเจ้าของข้อมูลส่วนบุคคล
กรณีที่เป็นการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ บริษัทสามารถปฏิเสธคำร้องขอได้หาก เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะ

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผลข้อมูลส่วนบุคคล และบริษัทไม่มีเหตุแห่งการปฏิเสธดังกล่าวข้างต้น ถือว่าบริษัทไม่มีข้อยกเว้นในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลนั้นได้อีกต่อไป รวมถึงไม่มีข้อยกเว้นในการใช้สิทธิห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น บริษัทจะทำการลบหรือทำลายข้อมูลหรือปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้าน

สิทธิในการลบข้อมูลส่วนบุคคล (Right to deletion)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอลบข้อมูลส่วนบุคคลของตน บริษัทจะต้องดำเนินการลบข้อมูลส่วนบุคคล หากมีเหตุดังต่อไปนี้

ข้อมูลส่วนบุคคลดังกล่าวไม่มีความจำเป็นสำหรับวัตถุประสงค์ในการเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคลอีกต่อไป
เจ้าของข้อมูลส่วนบุคคล ทำการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและบริษัท ไม่มีอำนาจตามกฎหมายที่จะทำการประมวลผลได้
เจ้าของข้อมูลส่วนบุคคลคัดค้านการประมวลผลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
เจ้าของข้อมูลส่วนบุคคล คัดค้านการประมวลผลข้อมูล (นอกเหนือจากที่เกี่ยวข้องกับการคัดค้านการประมวลผลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง) และบริษัทไม่มีเหตุแห่งการอ้างการประมวลผลโดยประโยชน์อันชอบธรรม
เป็นการประมวลผลข้อมูลส่วนบุคคลอันมิชอบด้วยกฎหมาย

หากเกิดเหตุข้างต้น บริษัทจะต้องทำการลบหรือทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้อีก โดยไม่ล่าช้า และหากบริษัทมีการเปิดเผยข้อมูลส่วนบุคคลแก่สาธารณะ บริษัทจะต้องทำการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่นให้ทราบถึงการใช้สิทธิในการลบของเจ้าของข้อมูลส่วนบุคคล เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลนั้นทำการลบข้อมูลส่วนบุคคลนั้นด้วย

อย่างไรก็ตามบริษัทสามารถปฏิเสธคำร้องขอได้ หากพิสูจน์ได้ว่าการประมวลผลข้อมูลนั้นมีความจำเป็นดังต่อไปนี้

บริษัทแสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
เพื่อวัตถุประสงค์เกี่ยวกับการใช้เสรีภาพในการแสดงความคิดเห็น
เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท

สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing)

เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคลของตน เมื่อเข้าเงื่อนไขดังต่อไปนี้

เมื่อเจ้าของข้อมูลส่วนบุคคลห้ามมิให้ประมวลข้อมูลของตนและเหตุผลนั้นมีความจำเป็นมากกว่าผลประโยชน์อันชอบธรรมของบริษัท
การประมวลผลไม่จำเป็นอีกต่อไป แต่การเก็บรักษาข้อมูลส่วนบุคคลยังคงมีความจำเป็นเพื่อการใช้สิทธิเรียกร้องทางกฎหมาย
เป็นการประมวลผลข้อมูลส่วนบุคคลอันมิชอบด้วยกฎหมาย แต่เจ้าของข้อมูลส่วนบุคคลนั้นต้องการห้ามมิให้มีการประมวลผลโดยแทนการลบหรือทำลายข้อมูลส่วนบุคคลของตน

สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to portability)

เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวข้องจากบริษัทรวมทั้งมีสิทธิขอให้บริษัททำการส่งหรือโอนข้อมูลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นได้ หรือ ขอรับข้อมูลที่บริษัทส่งหรือโอนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง

สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right to access)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับการยืนยันจากผู้ควบคุมข้อมูลส่วนบุคคล ว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้น กำลังถูกประมวลผลหรือไม่อย่างไร โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องเพื่อขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ที่ผู้ควบคุมข้อมูลส่วนบุคคลครอบครองไว้อันได้แก่

คำรับรองที่ผู้ควบคุมข้อมูลส่วนบุคคลทำการประมวลผลข้อมูลส่วนบุคคลนั้น
สำเนาของข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคลนั้น
วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ซึ่งบุคคลมีสิทธิที่จะทราบถึงฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของตน
ประเภทของข้อมูลส่วนบุคคล
ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลส่วนบุคคลอาจถูกทำการเปิดเผย โดยเฉพาะผู้รับข้อมูลในต่างประเทศหรือองค์กรระหว่างประเทศ ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะได้รับแจ้งถึงมาตรการในการรักษาความปลอดภัยของข้อมูล ว่ามีความเพียงพอและเหมาะสมหรือไม่
ระยะเวลาที่ในจัดเก็บข้อมูลส่วนบุคคล หรือ เกณฑ์ในการกำหนดระยะเวลาในการจัดเก็บข้อมูล
การมีอยู่ของสิทธิโดยชอบธรรมของเจ้าของข้อมูล อันได้แก่ สิทธิในการแก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง สิทธิในการขอให้ลบข้อมูล สิทธิในการห้ามหรือคัดค้านการประมวลผลข้อมูล
สิทธิในการยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแล
แหล่งที่มาของข้อมูลส่วนบุคคล (กรณีได้รับมาจากแหล่งอื่น)
รายละเอียดที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติและโปรไฟล์ลิ่ง (profiling) รวมถึง ตรรกะเหตุผลที่ใช้ และผลที่คาดว่าจะเกิดขึ้นจากการประมวลผลด้วยวิธีการดังกล่าว

สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to correction)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลแก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้องและเป็นปัจจุบัน อันได้แก่

กรณีที่ข้อมูลไม่สมบูรณ์ คือการที่ข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคลมีอยู่นั้นถูกต้องแต่ได้รับข้อมูลมาไม่ครบถ้วน ไม่เพียงพอต่อการนำไปประมวลผลตามวัตถุประสงค์
กรณีที่ข้อมูลไม่ถูกต้อง

ทั้งสองกรณี บริษัทจะต้องดำเนินการแก้ไขทันที รวมถึงจัดให้มีรายละเอียดประกอบการแก้ไขข้อมูล (supplementary statement) เพื่อเป็นหลักฐานเกี่ยวกับข้อมูลส่วนบุคคลที่ไม่สมบูรณ์หรือไม่ถูกต้องดังกล่าว ตามที่เจ้าของข้อมูลร้องขอ

ทั้งนี้ ในระหว่างการดำเนินการแก้ไขนั้นผู้ควบคุมข้อมูลส่วนบุคคลควรระงับการประมวลผลชั่วคราว เพื่อตรวจสอบข้อมูลให้ถูกต้องก่อนการประมวลผลอีกครั้ง เพื่อป้องกันผลกระทบจากการประมวลผลข้อมูลที่ไม่ถูกต้อง

นอกจากนี้ ผู้ควบคุมข้อมูลต้องแจ้งผู้ที่ข้อมูลส่วนบุคคลดังกล่าวถูกเปิดเผยให้ทราบ ถึงการแก้ไขข้อมูลส่วนบุคคลดังกล่าว

ฐานกฎหมาย (Lawful Basis)

บริษัทสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อการประมวลผลนั้นมีฐานกฎหมายรองรับ โดยข้อมูลส่วนบุคคลจะถูกเปิดเผยให้แก่บุคคล หรือองค์กรใดๆ ภายนอกบริษัทได้ ภายใต้ฐานที่กฎหมายอนุญาต ดังต่อไปนี้:

ฐานสัญญา
ฐานการปฏิบัติหน้าที่ตามกฎหมาย
ฐานประโยชน์อันชอบธรรม
การประมวลผลบนฐานประโยชน์อันชอบธรรม (Legitimate Interest) กล่าวคือ การประมวลผลในกรณีที่บริษัท มีเหตุผลหรือวัตถุประสงค์ทางธุรกิจหรือการค้าที่มีความจำเป็นต้อง เก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้:
1. การประมวลผลข้อมูล เพื่อการบริหารจัดการภายใน รวมถึงการเปิดเผยข้อมูลในกลุ่มธุรกิจเดียวกันเพื่อยกระดับมาตรฐานในการทำงานของบริษัท ซึ่งการเปิดเผยข้อมูลดังกล่าวจะเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
2. เพื่อความปลอดภัย และป้องกันการกระทำที่ผิดกฎหมาย ซึ่งอาจรวมถึงการถ่ายภาพและการเฝ้าระวังผ่านกล้อง CCTV ภายในพื้นที่โครงการ หรืออาคารสำนักงาน
3. เพื่อการรักษาความสัมพันธ์กับลูกค้า เช่นการจัดการข้อร้องเรียน และการเสนอผลประโยชน์โดยไม่มีวัตถุประสงค์ทางการตลาด

กล่าวโดยสรุป บริษัทจะไม่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่จะมีฐานทางกฎหมายอื่น ๆ ที่รองรับและอนุญาต

ตารางแสดงตัวอย่างของกิจกรรมการประมวลผล และฐานกฎหมายที่ใช้

วัตถุประสงค์ของกิจกรรมการประมวลผล (Purpose)	ฐานกฎหมาย (Legal Basis)
การจัดหาผลิตภัณฑ์และการให้บริการ (Provision of Products and Services)
เพื่อส่งมอบผลิตภัณฑ์หรือบริการให้เจ้าของข้อมูลส่วนบุคคล	ฐานสัญญา
เพื่อการจัดการความสัมพันธ์ขององค์กรกับเจ้าของข้อมูลส่วนบุคคล หรือ ธุรกิจของเจ้าของข้อมูลส่วนบุคคล	ฐานประโยชน์อันชอบธรรม
เพื่อการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล (โดยอาจมีตรวจสอบ หรือบันทึกการสื่อสาร ระหว่างการโทร)	ฐานประโยชน์อันชอบธรรม
เพื่อศึกษาพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลในการใช้ผลิตภัณฑ์หรือบริการจากควอลิตี้เฮ้าส์ และจากองค์กรอื่น ๆ	ฐานความยินยอม
เพื่อสื่อสารกับเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับผลิตภัณฑ์และบริการของบริษัท	ฐานความยินยอม
เพื่อจดบันทึกและอัปเดตรายชื่อผู้ติดต่อ	ฐานประโยชน์อันชอบธรรม
การให้บริการลูกค้า (Customer Support)
เพื่อจัดการการชำระเงินของลูกค้า	ฐานสัญญา
เพื่อปรับปรุงประสิทธิภาพและการทำงานของเว็บไซต์ (คุกกี้เว็บไซต์)	ฐานความยินยอม
เพื่อปรับปรุงการให้บริการและผลิตภัณฑ์ (การรับเรื่องร้องเรียนและการจัดการคำขอ)	ฐานสัญญา
กิจกรรมทางการตลาด (Marketing Activities)
เพื่อการดำเนินงานในเรื่อง targeted advertising	ฐานความยินยอม
เพื่อปรับแต่งข้อความทางการตลาดที่ส่งไปยังเจ้าของข้อมูลส่วนบุคคล (personalized marketing)	ฐานความยินยอม
เพื่อให้ข้อมูลเกี่ยวกับคู่ค้าของบริษัท หรือ บริษัทในเครือ	ฐานความยินยอม
เพื่อให้พันธมิตรของบริษัท และ บริษัท ในเครือส่งข้อมูลเกี่ยวกับผลิตภัณฑ์หรือบริการ ที่เจ้าของข้อมูลส่วนบุคคลอาจสนใจ	ฐานความยินยอม
เพื่อการใช้คุกกี้ของบุคคลที่สาม ในการแนะนำข้อเสนอเจ้าของข้อมูลส่วนบุคคลอาจมีความสนใจ	ฐานความยินยอม
ในการสื่อสารกับเจ้าของข้อมูลส่วนบุคคล รวมถึงทางอีเมล, ไปรษณีย์, โทรศัพท์, ข้อความ, สื่อสังคมออนไลน์, แอพพลิเคชั่นมือถือ, โพสต์ หรือโดยพนักงานเอง	ฐานความยินยอม
การโอนย้ายข้อมูลส่วนบุคคลไปยังบุคคลที่คสามเพื่อการทำการตลาดขององค์กรนั้น ๆ (Sharing Data Subjects’ Personal Data to Third Parties for Their Marketing)
เพื่อให้พันธมิตรทางธุรกิจของบริษัท และ บริษัท ในเครือสามารถเสนอข้อมูลผลิตภัณฑ์และบริการแก่เจ้าของข้อมูลส่วนบุคคลได้	ฐานความยินยอม
การพัฒนาทางธุรกิจ (Business Improvement)
เพื่อพัฒนาวิธีการใหม่ในการตอบสนองต่อความต้องการของลูกค้าและเพื่อขยายธุรกิจของบริษัท	ฐานความยินยอม
เพื่อทดสอบ วิจัย วิเคราะห์ และพัฒนาผลิตภัณฑ์ใหม่	ฐานประโยชน์อันชอบธรรม
เพื่อทำความเข้าใจและวิเคราะห์ความต้องการและความพึงพอใจของเจ้าของข้อมูลส่วนบุคคล เพื่อการปกป้องข้อมูลส่วนบุคคล	ฐานประโยชน์อันชอบธรรม
เพื่อพัฒนาผลิตภัณฑ์และบริการใหม่	ฐานประโยชน์อันชอบธรรม
เพื่อระบุปัญหาเกี่ยวกับผลิตภัณฑ์และบริการที่มีอยู่แล้ว	ฐานประโยชน์อันชอบธรรม
เพื่อวางแผนการปรับปรุงผลิตภัณฑ์และบริการที่มีอยู่แล้ว	ฐานประโยชน์อันชอบธรรม
เพื่อพัฒนาประสิทธิภาพทางธุรกิจ	ฐานประโยชน์อันชอบธรรม
เพื่อการวิเคราะห์ข้อมูลเจ้าของข้อมูลส่วนบุคคล รวมถึงการให้คะแนนลูกค้า (Customers Grading)	ฐานประโยชน์อันชอบธรรม
เพื่อการจัดการคำขอ หรือเรื่องร้องเรียนของเจ้าของข้อมูลส่วนบุคคล	ฐานประโยชน์อันชอบธรรม
เพื่อการทำรายงานสถิติหรือการวิจัยตลาด	ฐานประโยชน์อันชอบธรรม
เพื่อการตรวจสอบภายใน (Internal Audit) และการรายงานผล	ฐานหน้าที่ตามกฎหมาย
เพื่อการจัดทำการสำรวจหรือสอบถามเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับผลิตภัณฑ์และบริการ	ฐานประโยชน์อันชอบธรรม
การปฏิบัติตามข้อกฎหมาย (Fulfillment of Our Legal Obligations)
เพื่อส่งรายงานไปยังหน่วยงานรัฐที่เกี่ยวข้อง	ฐานหน้าที่ตามกฎหมาย
เพื่อให้แนวทางการปฏิบัติขององค์กรสอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้อง	ฐานหน้าที่ตามกฎหมาย
ความปลอดภัยและการบริหารความเสี่ยง (Security and Risk Management)
เพื่อการป้องกันอาชญากรรมและจัดการความปลอดภัยของสถานที่ ยกตัวอย่างเช่น อาจมีการใช้โทรทัศน์วงจรปิด (CCTV) ในบริเวณรอบ ๆ โครงการ ซึ่งอาจมีการรวบรวมภาพถ่ายวิดีโอหรือเทปบันทึกเสียงของเจ้าของข้อมูลส่วนบุคคล และบุคคลหรือธุรกิจที่เกี่ยวข้อง	ฐานประโยชน์อันชอบธรรม

ความถูกต้อง (Accuracy)

บริษัทจะต้องมีมาตรการที่พอเพียง เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ถูก เก็บรวบรวม ใช้ หรือ เปิดเผยในนามของบริษัทนั้นถูกต้องและครบถ้วน โดยเฉพาะอย่างยิ่ง หากข้อมูลส่วนบุคคลมีแนวโน้มที่จะถูกใช้ในการตัดสินใจที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลโดยบริษัทหรือโดยองค์กรอื่น โดยก่อนดำเนินการดังกล่าว บริษัทต้องพิจารณาดังต่อไปนี้:

ลักษณะของข้อมูลส่วนบุคคล และความสำคัญของข้อมูลต่อเจ้าของข้อมูลส่วนบุคคล
วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ความน่าเชื่อถือของข้อมูลส่วนบุคคล
ความเป็นปัจจุบันของข้อมูลส่วนบุคคล
ผลกระทบที่อาจเกิดขึ้นหากข้อมูลส่วนบุคคลไม่ถูกต้อง หรือไม่สมบูรณ์

เพื่อการทบทวนความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล บริษัทต้องมีมาตรการ หรือ แนวทางการปฏิบัติดังต่อไปนี้:

บันทึกข้อมูลส่วนบุคคลที่เก็บรวบรวมอย่างถูกต้อง (ไม่ว่าจะเก็บรวบรวมโดยตรงหรือโดยอ้อม)
รวบรวมข้อมูลทุกส่วนที่เกี่ยวข้องของข้อมูลส่วนบุคคล เพื่อความสมบูรณ์
พิจารณา และตรวจสอบว่าข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยมีความถูกต้องและครบถ้วน
พิจารณาความจำเป็นในการทำให้ข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผย มีความเป็นปัจจุบัน

การเก็บรักษา และ ระยะเวลาการจัดเก็บ (Storage and Retention)

บริษัทจะยุติการเก็บรักษาเอกสารที่มีข้อมูลส่วนบุคคล ไม่ว่าจะในรูปแบบกระดาษ หรืออิเล็กทรอนิกส์ ทันทีที่หากพบว่า:

ความสัมพันธ์ทางธุรกิจของควอลิตี้เฮ้าส์ กับเจ้าของข้อมูลส่วนบุคคลสิ้นสุดลง และวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลนั้นสำเร็จเสร็จสิ้น
การเก็บรักษาข้อมูลส่วนบุคคลนั้น ๆ ไม่มีความจำเป็นสำหรับวัตถุประสงค์ทางกฎหมายหรือทางธุรกิจอีกต่อไป

บริษัท มีการบันทึกประวัติของการเก็บรักษาและการทำลายข้อมูลส่วนบุคคล และมีการกำหนดระยะเวลาการเก็บรักษาที่ชัดเจน ซึ่งระยะเวลาในการเก็บรักษานั้นอยู่ภายใต้กฎหมายและข้อบังคับที่เกี่ยวข้อง หรือเก็บรักษาตามความจำเป็นตามวัตถุประสงค์ทางกฎหมายหรือธุรกิจ

การหยุดการเก็บรักษาสามารถอยู่ในรูปแบบของ:

การทำลายเอกสาร
การทำให้ข้อมูลไม่สามารถระบุถึงตัวบุคคลได้ (Anonymization)

พนักงานทุกคนของบริษัทมีหน้าที่ และ ความรับผิดชอบ ในการตรวจสอบความเรียบร้อยและใช้วิธีการที่เหมาะสม เพื่อกำจัดเอกสารที่มีข้อมูลส่วนบุคคล โดยพนักงานสามารถหาข้อมูลเพิ่มเติมได้ในนโยบายและคู่มือการเก็บรักษา และทำลายข้อมูลส่วนบุคคล (Retention and Deletion policy)

การเก็บรักษาข้อมูลส่วนบุคคลเป็นความลับ (Confidentiality and Integrity)

มาตรการในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล(Security Measures for Personal Data)

บริษัทมีมาตรการการรักษาความปลอดภัยที่เหมาะสม ซึ่งรวมถึงมาตรการในด้านการบริหารจัดการ (Organizational Measure) และมาตรการเชิงเทคนิค (Technical Measure) เพื่อป้องกันการปลอมแปลงข้อความ รวมทั้ง การเก็บรวบรวม การใช้งาน การเข้าถึง หรือการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต บริษัทได้กำหนดวิธีการจัดการกับเหตุการณ์การละเมิดข้อมูลส่วนบุคคล และต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบตามข้อกำหนดทางกฎหมาย

การจัดการเรื่องร้องเรียน (Complaint Management Handling)

การร้องเรียน หรือข้อกล่าวหาในการละเมิดข้อมูลส่วนบุคคล สามารถดำเนินการผ่านอีเมล DPO@qh.co.th โดยข้อร้องเรียนทั้งหมดจะต้องถูกส่งต่อไปยัง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำการตรวจสอบและให้คำแนะนำเกี่ยวกับการแก้ไข หรือ การตอบสนองที่เหมาะสม ข้อร้องเรียนที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับจากช่องทางใดก็ตาม จะต้องมีการสืบสวนและส่งต่อไปยังหน่วยงานที่เกี่ยวข้อง โดยข้อร้องเรียนทั้งหมดจะต้องได้รับการแก้ไขภายในระยะเวลาที่เหมาะสม เว้นแต่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีความจำเป็นต้องขยายระยะเวลาดังกล่าวออกไป

การร้องเรียนที่ไม่มีความเกี่ยวข้องกับการการละเมิดข้อมูลส่วนบุคคล ที่ได้รับแจ้งผ่านอีเมลของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องเก็บรักษาบันทึก ของประวัติการร้องเรียน หรือ เหตุการณ์การละเมิดข้อมูลส่วนบุคคลทั้งหมด และรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หาก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเห็นว่ามีการละเมิดข้อมูลส่วนบุคคลอันอาจส่งผลกระทบต่อชื่อเสียง หรือการเงิน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งเหตุดังกล่าวไปยังคณะกรรมการย่อยคุ้มครองข้อมูลส่วนบุคคลของบริษัท เพื่อให้คณะกรรมการประเมินและตัดสินใจเกี่ยวกับการดำเนินการรายงานต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล หรือดำเนินการแจ้งเตือนไปยังเจ้าของข้อมูลส่วนบุคคลต่อไป

การแจ้งถึงเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล(Personal Data Breach Notification)

บริษัท จะต้องประกาศเหตุการณ์การละเมิดข้อมูลส่วนบุคคล โดยไม่ชักช้าและไม่เกิน 72 ชั่วโมงหลังจากที่ได้รับแจ้งถึงเหตุการณ์การละเมิดดังกล่าว เว้นแต่การละเมิดข้อมูลส่วนบุคคลนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลธรรมดา

ในกรณีที่มีความเป็นไปได้ที่การละเมิดดังกล่าวจะส่งผลให้เกิดความเสี่ยงหรือผลกระทบต่อสิทธิและเสรีภาพของบุคคลธรรมดา บริษัทจะต้องแจ้งการละเมิดข้อมูลและแนวทางการเยียวยาไปยังเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยไม่ชักช้า ทั้งนี้วิธีการแจ้งเตือนนั้นจะต้องเป็นไปตามมาตรฐานและวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ