Политика защиты данных
Компания Chaithanin Company Limited и ее аффилированные лица собирают, используют и раскрывают персональные данные клиентов, партнеров, сотрудников, соискателей, персонала и любых других лиц, связанных с Chaithanin Company Limited. Компания уважает и признает важность Закона о защите персональных данных B.E. 2562 (2019 г.) и поэтому разработала настоящую Политику защиты данных для обеспечения руководящих принципов, правил, управления и надлежащих мер по обработке персональных данных. Настоящая политика обязательна для всех сотрудников Chaithanin Company Limited, чтобы гарантировать, что любые полученные персональные данные используются в соответствии с правилами и Законом о защите персональных данных. Подробности приведены ниже:
Раздел 1: Определения
| “Компания” | означает Chaithanin Company Limited и ее аффилированные лица, включая Marina Golden Bay Victoria Co., Ltd., Marina Golden Bay Elia Co., Ltd., Marina Golden Bay Geneva Co., Ltd., The Sunlight Residence 9 Co., Ltd., Global Top Group Co., Ltd., и другие компании, находящиеся под контролем Chaithanin Company Limited |
| “Персональные данные” | означает любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу, прямо или косвенно, за исключением данных об умерших лицах. |
| “Конфиденциальные персональные данные” | означает персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, сексуальное поведение, судимости, информацию о состоянии здоровья, инвалидности, информацию о членстве в профсоюзах, генетические данные, биометрические данные или любую другую информацию, которая может существенно повлиять на субъекта данных, как это заявлено Комитетом по защите персональных данных. |
| “Контроллер данных” | означает физическое или юридическое лицо, которое имеет полномочия принимать решения относительно сбора, использования или раскрытия персональных данных. |
| “Обработчик данных” | означает физическое или юридическое лицо, которое обрабатывает персональные данные по указанию или от имени контроллера данных. |
| “Субъект данных” | означает физическое лицо, к которому относятся персональные данные. |
| “Обработка данных” | означает любую операцию, связанную со сбором, использованием и раскрытием персональных данных. |
| “Совет” | означает Совет директоров Chaithanin Company Limited |
| “Руководство” | означает руководство Chaithanin Company Limited |
| “Сотрудники” | означает сотрудников уровня ниже руководящего состава Chaithanin Company Limited |
| “Уведомление о конфиденциальности” | означает уведомление на веб-сайте, информирующее пользователей веб-сайта о целях, методах сбора, обработки и хранения персональных данных веб-сайтом. |
| “Файлы cookie” | означает уникальные файлы, создаваемые веб-сайтами и сохраняемые на компьютере или устройстве связи пользователя, которые хранят персональные данные, информацию об использовании и различные настройки пользователя для улучшения его работы с веб-сайтом. |
Раздел 2: Цели и сбор персональных данных
2.1 Компания, как контроллер данных в соответствии с Законом о защите персональных данных, будет собирать и/или использовать персональные данные в законных и справедливых целях, информируя субъектов данных о таких целях для ведения бизнеса и соблюдения любых применимых законов.
2.2 Компания, как контроллер данных в соответствии с Законом о защите персональных данных, будет собирать и/или использовать персональные данные только в том объеме, который необходим для операций в рамках определенных целей обработки персональных данных. Если компания будет осуществлять какую-либо деятельность за рамками указанных целей, она проинформирует об этом субъектов данных и при необходимости получит их согласие.
2.3 При сборе или использовании персональных данных компания предварительно получает согласие субъекта данных, за исключением случаев исключений, предусмотренных Законом о защите персональных данных, когда такое согласие не требуется.
2.4 Компания не будет собирать конфиденциальные персональные данные, такие как расовая, этническая принадлежность, политические взгляды, религиозные или философские убеждения, сексуальное поведение, судимости, информация о состоянии здоровья, инвалидности, информация о профсоюзах, генетические или биометрические данные, за исключением случаев получения явного согласия от субъекта данных или когда применяются исключения в соответствии с Законом о защите персональных данных. Компания будет собирать и использовать такие персональные данные с осторожностью и в соответствии с надлежащими стандартами безопасности.
Раздел 3. Раскрытие персональных данных
3.1 Компания может раскрывать персональные данные физическим лицам, государственным органам, регулирующим органам, организациям и внешним юридическим лицам, имеющим договоры с компанией, или в рамках правовой базы, разрешенной законом.
3.2 Компания может раскрывать персональные данные своим аффилированным лицам в интересах деятельности компании и в интересах субъекта данных при соблюдении надлежащих мер безопасности.
Раздел 4. Обработка персональных данных третьими лицами
Компании может потребоваться отправить или передать персональные данные сторонним физическим или юридическим лицам для обработки. Компания будет управлять отправкой или передачей персональных данных в соответствии с законом и будет принимать необходимые и надлежащие меры для защиты персональных данных в соответствии со стандартами конфиденциальности. Это включает маскирование данных перед отправкой персональных данных, отправку только необходимых данных и наличие соглашений о конфиденциальности или Соглашений об обработке данных с такими получателями данных.
Раздел 5. Отправка или передача персональных данных за границу
Компании может потребоваться отправить или передать персональные данные компаниям своей сети, расположенным за рубежом, или другим получателям данных в рамках своей обычной коммерческой деятельности. Это включает отправку или передачу персональных данных для хранения на серверах или в облаках в различных странах. Компания рассмотрит и гарантирует, что страна назначения имеет адекватные стандарты защиты персональных данных.
В случаях, когда страна назначения не имеет адекватных стандартов, компания будет управлять отправкой или передачей персональных данных в соответствии с законом и будет применять необходимые и надлежащие меры защиты данных, соответствующие стандартам конфиденциальности, за исключением случаев, предусмотренных Законом о защите персональных данных. Если в стране назначения действуют неадекватные стандарты, передача персональных данных за границу все равно может быть осуществлена, если она подпадает под такие исключения, как соблюдение закона, согласие субъекта данных, необходимость для исполнения договора, защита от опасности для жизни, или если это необходимо для соблюдения общественных интересов.
Раздел 6. Срок хранения персональных данных
Компания будет хранить персональные данные в течение периода, необходимого для бизнес-операций в соответствии с целями, или в течение всего срока, необходимого для достижения этих целей. Может возникнуть необходимость хранить данные по истечении этого периода, если это требуется или разрешено законом, например, для соблюдения законов о борьбе с отмыванием денег или для целей проверки и расследования в случае потенциальных споров в течение установленного законом срока давности, который составляет не более 10 лет.
Компания удалит или уничтожит персональные данные или обезличит их, когда они больше не будут нужны или по истечении указанного периода.
Раздел 7. Меры безопасности
7.1 Компания примет соответствующие меры безопасности для защиты персональных данных, включая технические меры (например, защита паролем, шифрование (Secure Sockets Layer/SSL), системы безопасности сетевых устройств) и организационные меры (например, установление политик информационной безопасности, меры по обеспечению конфиденциальности, контроль доступа, оценка и управление рисками, руководящие принципы и правила). Эти меры будут строго соблюдаться и регулярно пересматриваться или по мере развития технологий для обеспечения эффективной безопасности и предотвращения несанкционированного доступа, использования, изменения, модификации, раскрытия или уничтожения персональных данных.
7.2 Все сотрудники и персонал компании несут ответственность за соблюдение Закона о защите персональных данных, отдавая приоритет безопасности персональных данных и воздерживаясь от использования информации, полученной в ходе работы, в других целях или для причинения ущерба компании.
7.3 Для предотвращения несанкционированного или незаконного использования или раскрытия персональных данных компания примет следующие меры:
7.3.1 Оценка перед передачей данных
(a) Проверить полномочия и правовую основу, используемую физическим или юридическим лицом, запрашивающим персональные данные.
(b) Узнать о цели использования данных, чтобы оценить уровень детализации, требуемый для копии данных (чтобы определить необходимый уровень детализации данных).
7.3.2 Предоставление данных
(a) Подготовить новые данные из необработанных данных с уровнем детализации, необходимым для предполагаемой цели.
(b) Запросить предоставление данных и записать имя запрашивающего, контактную информацию, дату предоставления, законные основания для доступа к персональным данным и предполагаемую цель использования.
(c) Проинформировать физическое или юридическое лицо о том, что при получении данных они также должны соблюдать обязательства контроллера данных в отношении запрошенного набора данных в соответствии с заявленным объемом и целью использования.
7.3.3 После предоставления данных
(a) Периодически контролировать использование, чтобы записывать последний статус использования данных. Если данные больше не нужны для первоначальной цели, уведомить физическое или юридическое лицо о необходимости стереть или уничтожить данные.
(b) Установить методы поддержания данных в актуальном состоянии для пользователей, например, с использованием компьютерных программ для автоматической синхронизации и обновления исходных данных и данных назначения.
Раздел 8. Утечка персональных данных
В случае утечки персональных данных компания уведомит Комитет по защите персональных данных в течение 72 часов с момента, когда ей стало известно об утечке. Если утечка представляет высокий риск для прав и свобод субъекта данных, компания незамедлительно проинформирует субъекта данных об утечке и принятых мерах по устранению последствий.
Раздел 9. Права субъекта данных
Права субъекта данных являются законными правами. Субъект данных может осуществлять различные права в соответствии с положениями закона. Компания будет выполнять запросы субъектов данных без промедления. Если компании необходимо отклонить запрос, компания проинформирует субъекта данных о причине отказа.
9.1 Право на отзыв согласия: Если субъект данных дал согласие компании на сбор, использование и/или раскрытие персональных данных (независимо от того, было ли согласие дано до или после даты вступления в силу Закона о защите персональных данных), субъект данных имеет право отозвать согласие в любое время, пока персональные данные хранятся в компании, если только такое право не ограничено законом или выгодным контрактом. Компания проинформирует субъекта данных о возможных последствиях отзыва согласия.
9.2 Право на доступ к персональным данным: Субъект данных имеет право на доступ или запрос копии своих персональных данных, находящихся под ответственностью компании, включая запрос к компании о раскрытии того, как такие персональные данные были получены без согласия субъекта данных. Компания оставляет за собой право отказать в удовлетворении запроса, если это соответствует закону или постановлению суда, или если предоставление доступа или предоставление копии повлияет на права и свободы других лиц.
9.3 Право на переносимость данных: Субъект данных имеет право на получение персональных данных, если компания обработала такие данные в формате, читаемом или пригодном для использования автоматическими инструментами или устройствами, и если персональные данные могут быть использованы или раскрыты автоматически. Субъект данных также имеет право потребовать от компании отправить или передать персональные данные в таком формате другому контроллеру данных, если это технически возможно, и имеет право напрямую получать персональные данные, которые компания отправляет или передает другому контроллеру данных, если это не является технически невозможным.
Вышеупомянутые персональные данные должны быть данными, на сбор, использование и/или раскрытие которых компанией субъект данных дал согласие, или данными, которые компания должна собирать, использовать и/или раскрывать для исполнения договора, или другими персональными данными, как указано в законе.
9.4 Право на возражение против сбора, использования и раскрытия персональных данных: Субъект данных имеет право в любое время возразить против сбора, использования и/или раскрытия персональных данных, если такие данные были собраны в рамках исключения из требований о согласии, либо в целях прямого маркетинга, либо в целях научных или статистических исследований. Компания может отклонить запрос, если это необходимо для выполнения задач в общественных интересах, или если компания продемонстрирует убедительные законные основания, или для обоснования, осуществления или защиты законных требований.
9.5 Право на удаление или уничтожение данных: Субъект данных имеет право потребовать удаления или уничтожения персональных данных или обезличивания данных, если субъект данных считает, что персональные данные были собраны, использованы и/или раскрыты незаконно, или если компании больше не нужно хранить их для целей, указанных в настоящей политике, или если субъект данных воспользовался своим правом на отзыв согласия или возражение, как указано выше.
9.6 Право на ограничение обработки: Субъект данных имеет право потребовать временного ограничения обработки персональных данных, пока компания рассматривает запрос на исправление или возражение, или в других случаях, когда компании не нужно хранить данные и она должна удалить или уничтожить их в соответствии с законом.
9.7 Право на исправление: Субъект данных имеет право потребовать исправления персональных данных для обеспечения их точности, полноты и того, чтобы они не вводили в заблуждение.
Раздел 10. Положения о штрафах
Любое ответственное лицо, которое пренебрегает, упускает, не приказывает или не выполняет, либо приказывает или совершает любое действие в рамках своих обязанностей, которое нарушает эту политику и практику в отношении персональных данных, что приводит к правонарушениям и/или ущербу или репутационному вреду, подвергается дисциплинарному взыскашению в соответствии с правилами компании. Компания не потерпит никаких правонарушений, совершенных ответственным лицом(лицами), и они будут подвергнуты строгим дисциплинарным мерам, включая возможное увольнение без выходного пособия. Кроме того, они будут нести ответственность за компенсацию фактического ущерба, причиненного компании, в течение 30 дней после письменного уведомления от компании. Ответственное лицо(лица) также понесет юридическое наказание в соответствии с совершенными правонарушениями. Если такие правонарушения причинят ущерб компании и/или любому другому лицу, компания может рассмотреть возможность дальнейших судебных исков.
Раздел 11. Пересмотр политики
Chaithanin Company Limited будет пересматривать настоящую политику не реже двух раз в год или в случае внесения поправок в законодательство.
Настоящая политика вступает в силу с 15 января 2023 года.
Объявлено 1 декабря 2022 года