รู้จักเรา

การกำกับดูแลกิจการที่ดี

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)
บริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน)

บทนำ

บริษัท กรุงเทพประกันชีวิต จำกัด (มหาชน) และบริษัทย่อย “บริษัท” ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ในสภาวะการเปลี่ยนแปลงอย่างรวดเร็วในด้านเทคโนโลยีและการเปลี่ยนผ่านสู่สังคมดิจิทัล บริษัทมุ่งมั่นและให้ความสำคัญกับการปกป้องดูแลข้อมูลส่วนบุคคล และป้องกันการละเมิดข้อมูลส่วนบุคคล ซึ่งอยู่ในความควบคุมดูแลของบริษัท คณะกรรมการบริษัทจึงเห็นสมควรกำหนด นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ฉบับนี้ขึ้น

วัตถุประสงค์

นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีวัตถุประสงค์เพื่อเป็นกรอบในการกำกับดูแล การคุ้มครอง และการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของบริษัท และสนับสนุนกลยุทธ์ของบริษัท ในการบริหารจัดการข้อมูลส่วนบุคคล เพื่อสร้างผลลัพธ์ที่ดีต่อธุรกิจ โดยกำหนดหลักเกณฑ์สำหรับการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งอยู่ในความควบคุมดูแลของบริษัท ได้แก่ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย ตลอดจนการป้องกันและเยียวยาความเสียหายจากการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสอดคล้องกับมาตรฐานสากล

ขอบเขต

นโยบายฉบับนี้ใช้บังคับกับบุคลากรของบริษัท และบุคคลที่มีความเกี่ยวข้องกับบริษัท รวมถึงแต่ไม่จำกัดเพียง ตัวแทนประกันชีวิตและที่ปรึกษาทางการเงิน นายหน้า พันธมิตร คู่ค้า ผู้ให้บริการภายนอก ฯลฯ ทั้งนี้ บุคคลดังกล่าวต้องศึกษา ทำความเข้าใจนโยบายฉบับนี้และถือปฏิบัติอย่างเคร่งครัด ผู้ที่ฝ่าฝืนอาจได้รับโทษตามระเบียบของบริษัท และ/หรือ อาจต้องรับโทษตามที่กฎหมายกำหนดไว้ รวมถึงการสิ้นสุดความสัมพันธ์ทางธุรกิจ

คำนิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลส่วนบุคคลมีสองประเภท ได้แก่ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลสามารถระบุตัวตนบุคคลนั้นได้ เช่น ลูกค้า พนักงาน กรรมการ ตัวแทนประกันชีวิตและที่ปรึกษาทางการเงิน เป็นต้น

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่ออก ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ

“การละเมิดข้อมูลส่วนบุคคล” หมายถึง การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการทำลาย สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

ข้อกำหนดของนโยบาย

  1. หลักการพื้นฐานในการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบริษัท

    บริษัทดำเนินการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล สอดคล้องกับหลักการพื้นฐานการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Principles) ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับมาตรฐานสากล กรณีที่ไม่มีกำหนดรายละเอียดไว้เป็นการเฉพาะภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือในนโยบายฉบับนี้ บริษัทจะดำเนินการประมวลผลข้อมูลส่วนบุคคลภายใต้หลักการพื้นฐาน ดังต่อไปนี้

    1. บริษัทดำเนินการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ภายใต้วัตถุประสงค์ที่บริษัทสามารถกระทำได้โดยชอบด้วยกฎหมายด้วยความซื่อสัตย์ โปร่งใส และสามารถตรวจสอบได้ (Lawfulness Fairness and Transparency)
    2. บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่กำหนดไว้แล้วเท่านั้น ซึ่งเป็นวัตถุประสงค์ที่ชอบด้วยกฎหมาย และได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบก่อน หรือในขณะมีการประมวลผลข้อมูลส่วนบุคคล (Purpose Limitation)
    3. เมื่อบริษัทดำเนินการเก็บข้อมูลส่วนบุคคล บริษัทเก็บข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นและเกี่ยวข้อง เพื่อให้บรรลุวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้อย่างเหมาะสม (Data Minimization)
    4. บริษัทมีกระบวนการที่เหมาะสมในการทำให้ข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของบริษัทถูกต้อง เป็นปัจจุบัน มีความสมบูรณ์พร้อมใช้ และไม่ก่อให้เกิดความเข้าใจผิด (Accuracy)
    5. บริษัทเก็บรักษาข้อมูลส่วนบุคคลภายใต้ระยะเวลาที่สอดคล้องกับวัตถุประสงค์ที่กำหนดไว้ และ/หรือสอดคล้องกับวัตถุประสงค์ที่กฎหมายกำหนด (Storage Limitation)
    6. บริษัทมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม ทั้งมาตรการเชิงองค์กร มาตรการเชิงเทคนิค และมาตรการเชิงกายภาพ (Security)
  2. การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล

    บริษัทกำหนดกรอบการดำเนินงานในการจัดการข้อมูลส่วนบุคคล ที่ครอบคลุม การเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การประเมินความเสี่ยงและผลกระทบในการใช้ข้อมูลส่วนบุคคล การใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล การใช้บริการบุคคลภายนอก การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการจัดการเหตุละเมิด ฯลฯ โดยคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญเป็นไปตามมาตรฐานสากลและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  3. การอบรมและการสร้างความตระหนักรู้

    บริษัทจัดให้มีการสื่อสารอบรม และการสร้างความตระหนักรู้ เพื่อให้บุคลากรขององค์กร และผู้ที่เกี่ยวข้องมีความเข้าใจต่อหลักการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  4. การติดตาม การประเมินผล และการตรวจสอบ

    บริษัทมีการกำกับดูแล ติดตาม ตรวจสอบ และประเมินผลการปฏิบัติงานภายใต้นโยบายนี้อย่างเหมาะสม เพื่อให้มีมาตรฐานการควบคุมภายในและการให้บริการที่ดี เป็นไปตามกฎเกณฑ์ และกฎหมายที่เกี่ยวข้อง

การทบทวนนโยบาย

บริษัททบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีสาระสำคัญ

 

 

ทบทวนล่าสุดตามมติคณะกรรมการบริษัท ครั้งที่ 1/2567 เมื่อวันที่ 21 กุมภาพันธ์ 2567