หนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)
บทนำ
บริษัท การบินไทย จำกัด (มหาชน) (“บริษัท”) ซึ่งหมายความรวมถึง บริษัทย่อย ได้แก่ บริษัท ไทยสมายล์แอร์เวย์ จำกัด บริษัท ไทยไฟลท์เทรนนิ่ง จำกัด บริษัท ไทย-อะมาดิอุส เซาท์อีสต์เอเชีย จำกัด บริษัท ทัวร์เอื้องหลวง จำกัด และบริษัท วิงสแปน เซอร์วิสเซส จำกัด มุ่งมั่นให้บริการด้วยคุณภาพ เพื่อตอบสนองความคาดหวังของท่าน และบริษัทให้ความสำคัญอย่างยิ่งในการคุ้มครองข้อมูลส่วนบุคคลของท่าน และการปฏิบัติตามกฎหมายและกฎเกณฑ์ที่เกี่ยวข้อง โดยบริษัทได้จัดทำหนังสือฉบับนี้ เพื่อแจ้งให้ท่านทราบถึงการคุ้มครองข้อมูลส่วนบุคคล และสิทธิในฐานะที่ท่านเป็นเจ้าของข้อมูลส่วนบุคคล
บริษัท ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ( Personal Data Protection Act (PDPA) ) (“พระราชบัญญัติฯ”) กฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และกฎหมายที่เกี่ยวข้อง (รวมกันเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับ”)
บริษัทขอแจ้งต่อท่านในฐานะเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็น (1) บุคคลที่ได้ติดต่อกับบริษัทไม่ว่าจะเป็น เคยเป็น หรืออาจเป็นลูกค้าของบริษัทต่อไป หรือ (2) พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น กรรมการ ผู้ติดต่อ ตัวแทน หรือบุคคลที่เกี่ยวข้องกับนิติบุคคล บุคคลตามข้อ (1) ข้างต้น คณะบุคคล ที่ได้ติดต่อกับบริษัท ไม่ว่าจะเป็น เคยเป็น หรืออาจเป็นลูกค้าของบริษัทต่อไป ให้ทราบถึงการคุ้มครองข้อมูลส่วนบุคคลของท่านที่บริษัทได้รับหรือจะได้รับจากการประกอบธุรกิจและการให้บริการผ่านช่องทางต่างๆ เช่น เว็บไซต์ โทรศัพท์ ช่องทางอิเล็กทรอนิกส์ แอปพลิเคชัน สื่อสังคมออนไลน์หรือแหล่งอื่นๆ เพื่อให้ท่านมั่นใจว่าบริษัทจะดูแลรักษาข้อมูลส่วนบุคคลของท่าน และจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เฉพาะในกรณีที่บริษัทเห็นว่าจำเป็น ถูกต้อง และเหมาะสมเท่านั้น พร้อมทั้งแจ้งให้ท่านทราบถึงสิทธิในฐานะที่ท่านเป็นเจ้าของข้อมูลส่วนบุคคลตามรายละเอียดที่ปรากฏในหนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
1. ข้อมูลส่วนบุคคลของท่านที่บริษัทจะเก็บรวบรวม ใช้ และเปิดเผย ประกอบด้วย
1.1 ข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม
(1) ข้อมูลส่วนตัว ได้แก่ ชื่อ-นามสกุล เพศ วันเดือนปีเกิด อายุ รายละเอียดการติดต่อ ข้อมูลบนหรือในเอกสารต่างๆ เช่น บัตรประจำตัวประชาชน หนังสือเดินทาง ใบสำคัญถิ่นที่อยู่ ใบสำคัญประจำตัวคนต่างด้าว ใบอนุญาตทำงาน บัตรประกันสังคม ใบอนุญาตขับขี่รถยนต์ คู่มือจดทะเบียนรถยนต์ หรือทะเบียนบ้าน ลายมือชื่อ เลขประจำตัวผู้เสียภาษีอากร ข้อมูลเกี่ยวกับสมาชิกในครอบครัว รูปถ่ายใบหน้า ประวัติการศึกษา อาชีพ สถานภาพ
(2) ข้อมูลเพื่อการติดต่อ ได้แก่ ที่อยู่ตามทะเบียนบ้าน ที่อยู่เพื่อการจัดส่งเอกสารต่างๆ ที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ (Email Address) หมายเลขโทรศัพท์บ้าน หมายเลขโทรศัพท์มือถือ หมายเลขโทรสาร ชื่อหรือบัญชีสำหรับการใช้งานผ่านแอปพลิเคชันหรือช่องทางดิจิทัล เช่น ไลน์ กูเกิล เฟซบุ๊ก ยูทูป อินสตาแกรม หรือทวิตเตอร์ ข้อมูลผู้ติดต่อที่ให้แก่บริษัท
(3) ข้อมูลทางการเงินและการทำธุรกรรมกับบริษัท ได้แก่ หมายเลขบัญชีเงินฝาก หมายเลขบัตรเครดิต หมายเลขบัตรเดบิต ประเภทบัตรเครดิตและบัตรเดบิต ข้อมูลที่เกิดจากการวิเคราะห์ข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับการชำระหรือรับชำระเงิน ข้อมูลอื่นใดที่เกี่ยวข้องกับการใช้หรือขอใช้บริการกับบริษัท
(4) ข้อมูลเกี่ยวกับการติดต่อกับบริษัท ได้แก่ ข้อมูลที่บริษัทได้รับผ่านสาขา โทรศัพท์ ช่องทางอิเล็กทรอนิกส์หรือดิจิทัล สื่อสังคมออนไลน์ ข้อมูลจากกล้องวงจรปิด (CCTV) และการให้บริการนอกสถานที่ ซึ่งข้อมูลดังกล่าว อาจปรากฏหรือบันทึกในรูปแบบของลายลักษณ์อักษร เทปบันทึกเสียงหรือบันทึกการทำรายการ ภาพถ่าย หรือภาพเคลื่อนไหว
(5) ข้อมูลเทคนิคทางเทคโนโลยีสารสนเทศ ได้แก่ หมายเลขประจำเครื่องคอมพิวเตอร์ หรืออินเทอร์เน็ต โพรโทคอล (IP Address) ที่อยู่ Media Access Control (MAC) หมายเลขรหัสที่ติดอยู่กับอุปกรณ์ที่เชื่อมต่อกับ เน็ตเวิร์ก และเครือข่าย (MAC Address) ล็อก (Log) รหัสอุปกรณ์ (Device ID) ข้อมูลการเชื่อมต่อผ่านช่องทางเชื่อมต่อของแอปพลิเคชัน (API) คุกกี้ (Cookies) ประเภทและเวอร์ชันของปลั๊กอิน เบราว์เซอร์ ระบบปฏิบัติการ และแพลตฟอร์ม ระบบอินเทอร์เน็ตหรือเครือข่ายโทรศัพท์มือถือ ข้อมูลการตั้งค่าในอุปกรณ์ และข้อมูลทางเทคนิคอื่นๆ จากการใช้งานบนแพลตฟอร์ม แอปพลิเคชัน และระบบปฏิบัติการของบริษัท
(6) ข้อมูลการใช้งาน ได้แก่ ชื่อหรือรหัสสำหรับการใช้บริการ (Username) รหัสผ่านสำหรับการใช้บริการ (Password) ข้อมูลเกี่ยวกับการค้นหา สถิติการเข้าดู เมนูที่ใช้งาน ระยะเวลาการใช้งานบนเว็บไซต์ แพลตฟอร์ม แอปพลิเคชัน รายการโปรด ข้อมูลถามตอบ ข้อมูลจราจรคอมพิวเตอร์ (Log File) ข้อมูลการสื่อสารกับบริษัท ข้อเสนอแนะ
(7) ข้อมูลเกี่ยวกับพฤติกรรม ได้แก่ ข้อมูลเกี่ยวกับความสนใจหรือความชื่นชอบส่วนตัว ลักษณะการใช้งานหรือบริการต่างๆ
(8) ข้อมูลเกี่ยวกับการปฏิบัติงาน ได้แก่ วันที่เริ่มงาน หน่วยงานที่สังกัด ปีที่ทำงาน ตำแหน่ง ประวัติการดำรงตำแหน่งงาน การรับรองและการอ้างอิงการจ้างงาน หมายเลขประจำตัวพนักงาน เงินเดือนค่าจ้างและสวัสดิการ ประวัติการปรับเงินเดือน บันทึกการปฏิบัติงานและข้อมูลทางด้านวินัยพนักงาน วันที่เลิกจ้าง ประเภทของการเลิกจ้าง การบันทึกเวลาทำงาน และประวัติการลา หมายเลขบัญชีธนาคาร รายละเอียดการติดต่อในกรณีฉุกเฉิน รายละเอียดผู้รับผลประโยชน์ประกันชีวิตของพนักงาน (ถ้ามี) ข้อมูลประวัติการศึกษา และผลการเรียน ข้อมูลการเรียนรู้และการพัฒนา ข้อมูลรูปภาพ ประวัติการทำงาน ผลประโยชน์อื่นที่มิใช่ค่าตอบแทนจากการทำงาน ข้อมูลเกี่ยวข้องกับการทำประกัน ข้อมูลเกี่ยวกับบุคคลในครอบครัว บันทึกการประชุมและความเห็น
(9) ข้อมูลบันทึกทางการแพทย์ ได้แก่ บันทึกอาการเจ็บป่วย รายงานทางการแพทย์
(10) ข้อมูลบันทึกการให้คะแนนและการวัดผลการทดสอบต่างๆ
1.2 ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว ซึ่งบริษัทต้องได้รับความยินยอมจากท่านก่อน จึงจะเก็บรวบรวมได้ ได้แก่ ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองลายนิ้วมือ ข้อมูลจำลองม่านตา และอัตลักษณ์ ทางเสียง) ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือข้อมูลอื่นใดตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ในบางกรณีการให้ข้อมูลส่วนบุคคลนั้นมีความจำเป็นเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา ดังนั้นการที่ท่านไม่ให้ข้อมูลอาจส่งผลให้บริษัทไม่สามารถปฏิบัติตามกฎหมายหรือหน้าที่ตามสัญญาที่บริษัทมีกับท่านได้
2. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน
บริษัทจะดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านตามหลักเกณฑ์ที่กำหนดไว้ในกฎหมาย กล่าวคือ (1) ความจำเป็นตามสัญญาหรือคำขอที่ท่านทำไว้แก่บริษัทเพื่อให้เป็นไปตามสัญญาหรือคำขอที่ท่านทำไว้แก่บริษัท (2) หน้าที่ตามกฎหมาย ซึ่งบริษัทต้องปฏิบัติตามที่กฎหมายกำหนด (3) ประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือบุคคลหรือนิติบุคคลอื่น (4) ความจำเป็นในการป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (5) ความจำเป็นเพื่อประโยชน์สาธารณะ ภารกิจเพื่อประโยชน์สาธารณะ หรือการใช้สิทธิของภาครัฐ หรือ (6) ความยินยอมจากท่านในกรณีที่ไม่ต้องด้วยหลักเกณฑ์ตามที่ระบุใน (1) ถึง (5) ทั้งนี้ โดยมีวัตถุประสงค์อย่างหนึ่งอย่างใด ดังต่อไปนี้
2.1 เพื่อการติดต่อ สื่อสาร หรือให้ข้อมูลที่เกี่ยวข้องหรือเกี่ยวเนื่องกับผลิตภัณฑ์หรือบริการที่ท่านใช้หรือจะใช้กับบริษัท
2.2 เพื่อการดำเนินการให้เป็นไปตามข้อตกลงที่ระบุไว้ในคำขอของท่านหรือสัญญาที่ท่านได้ทำไว้กับบริษัทหรือที่เกี่ยวเนื่องกับสัญญาหรือคำขอที่ท่านทำไว้กับบริษัท เช่น การรับส่งเอกสาร และการทวงถามหนี้ รวมถึงเพื่อให้เป็นไปตามสัญญาที่ทำขึ้นระหว่างบริษัทกับบุคคลอื่นที่จำเป็นและเกี่ยวข้องกับการให้บริการแก่ท่าน
2.3 เพื่อการบริหารความสัมพันธ์ระหว่างท่านกับบริษัท และจัดทำรายละเอียดหรือประวัติการใช้บริการของท่านสำหรับการให้บริการในครั้งต่อๆ ไปแก่ท่าน
2.4 เพื่อการบริหารจัดการข้อมูลของลูกค้าที่เป็นนิติบุคคลซึ่งอาจมีข้อมูลส่วนบุคคลของท่านด้วย
2.5 เพื่อการปฏิบัติตามกฎหมาย และกฎเกณฑ์ต่างๆ ที่เกี่ยวข้อง
2.6 เพื่อการดำเนินการใดๆ ตามที่หน่วยงานที่ทำหน้าที่กำกับดูแลบริษัทกำหนด ร้องขอ หรือแนะนำให้ปฏิบัติตาม
2.7 เพื่อการจัดการและบริหารงานภายในของบริษัท เช่น การกำกับดูแล ปรับปรุง และตรวจสอบการดำเนินงานภายในของบริษัท