นโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าผู้ใช้บริการ
บริษัท ริช พาติโน่ จำกัด (“บริษัท“) เล็งเห็นถึงความสำคัญของความเป็นส่วนตัวของลูกค้าผู้ใช้บริการ บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าผู้ใช้บริการฉบับนี้ (“นโยบายคุ้มครองข้อมูลส่วนบุคคล“) เพื่อกำหนดหลักเกณฑ์อันเป็นรูปธรรมในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าผู้มาใช้บริการของบริษัท และเพื่อให้การปฏิบัติต่อข้อมูลส่วนบุคคลของลูกค้าเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (และที่อาจมีการแก้ไขเพิ่มเติมในอนาคต)
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะมีผลใช้บังคับกับข้อมูลส่วนบุคคล (ตามที่นิยามไว้ในข้อ 1 ข้างล่างนี้) ของลูกค้าบุคคลธรรมดาของบริษัท หรือพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น บุคคลผู้มีอำนาจ กรรมการ ผู้ติดต่อ ตัวแทน และบุคคลธรรมดาอื่น ๆ ที่เกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะอธิบายถึงวิธีการที่บริษัทเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอก
1. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับลูกค้าซึ่งระบุถึงตัวลูกค้าหรือทำให้สามารถระบุตัวลูกค้าได้ ตามที่ระบุไว้ข้างล่างนี้ ซึ่งเป็นข้อมูลที่สำคัญและมีความจำเป็นต่อบริษัทเพื่อที่จะให้บริการแก่ลูกค้า โดยบริษัทอาจเก็บรวบรวมข้อมูลของลูกค้าด้วยวิธีการต่าง ๆ เช่น เก็บรวบรวมจากลูกค้าโดยตรง หรือจากแหล่งอื่น ๆ โดยอ้อม (เช่น สื่อสังคม แพลตฟอร์มออนไลน์ของบุคคลภายนอก หรือแหล่งข้อมูลสาธารณะอื่น ๆ) และผ่านบริษัทในเครือ ผู้ให้บริการ พันธมิตรทางธุรกิจ หน่วยงานราชการทางการ หรือบุคคลภายนอกอื่น ๆ ซึ่งประเภทของข้อมูลที่บริษัทมีความจำเป็นต้องเก็บรวบรวมนี้จะขึ้นอยู่กับความสัมพันธ์ของลูกค้ากับบริษัท และบริการหรือผลิตภัณฑ์ที่ลูกค้าต้องการจากบริษัท
ข้อมูลส่วนบุคคลของลูกค้าซึ่งบริษัทจะเก็บรวมรวม ใช้ เปิดเผย และ/หรือโอนให้แก่บุคคลภายนอก รวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลประเภทดังต่อไปนี้
1. ข้อมูลส่วนตัว เช่น คำนำหน้าชื่อ ชื่อ เพศ อายุ ส่วนสูง น้ำหนัก อาชีพ ตำแหน่งงาน รายได้ สถานที่ทำงาน ตำแหน่ง การศึกษา สัญชาติ วันเกิด สถานภาพทางการสมรส ข้อมูลบนเอกสารที่ออกโดยหน่วยราชการ (เช่น บัตรประจำตัวประชาชน ทะเบียนบ้าน หนังสือเดินทาง ใบอนุญาตขับขี่รถยนต์ เป็นต้น) ลายมือชื่อ การบันทึกเสียง การบันทึกการสนทนาทางโทรศัพท์ รูปถ่าย การบันทึกภาพและวิดีโอจากกล้องวงจรปิด ทะเบียนบ้าน และข้อมูลประจำตัวอื่น ๆ
2. ข้อมูลเพื่อการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรศัพท์เคลื่อนที่ หมายเลขโทรสาร ที่อยู่จดหมายอิเล็กทรอนิกส์ (อีเมล์) และชื่อบัญชีหรือรหัสประจำตัวสำหรับการติดต่อสื่อสารทางอิเล็กทรอนิกส์อื่น ๆ ข้อมูลส่วนบุคคลของญาติหรือบุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน
3. ข้อมูลการเข้ารับบริการ เช่น ข้อมูลการนัดหมายแพทย์ ความต้องการเกี่ยวกับห้องพัก อาหาร และบริการเสริมอื่น ๆ ข้อมูลการตอบสนองต่อผลการรักษาและ/หรือการใช้บริการ (Feedback) ที่ลูกค้าให้ไว้แก่บริษัท
4. ข้อมูลบัญชีและข้อมูลทางการเงิน เช่น ข้อมูลบัตรเครดิตหรือบัตรเดบิต หมายเลขบัญชีและประเภทของบัญชี ข้อมูลพร้อมเพย์ ทรัพย์สิน รายได้และค่าใช้จ่าย ตลอดจนข้อมูลการชำระเงิน และข้อมูลการสมัครใช้บริการและผลิตภัณฑ์
5. ข้อมูลการทำธุรกรรม เช่น ประเภทของผลิตภัณฑ์และ/หรือบริการ ราคาและปริมาณ หมายเลขคำสั่งซื้อ เงื่อนไข (ถ้ามี) ประวัติการใช้บริการ ยอดคงเหลือ ประวัติการชำระเงิน ประวัติการทำธุรกรรมที่เกี่ยวข้องของลูกค้า
6. ข้อมูลทางเทคนิค เช่น เลขที่อยู่ไอพีหรืออินเทอร์เน็ตโปรโตคอล (IP address) เว็บบีคอน (web beacon) ล็อก (Log) ไอดีอุปกรณ์ (Device ID) รุ่นอุปกรณ์และประเภทของอุปกรณ์ เครือข่าย ข้อมูลการเชื่อมต่อ ข้อมูลการเข้าถึง ข้อมูลการเข้าใช้งานแบบ single sign-on (SSO) การเข้าสู่ระบบ (Login log) เวลาที่เข้าถึง ระยะเวลาที่ใช้บนหน้าเพจหรือเว็บไซต์ของบริษัท คุกกี้ ข้อมูลการเข้าสู่ระบบ ประวัติการค้นหา ข้อมูลการเรียกดู ประเภทและเวอร์ชั่นของบราวเซอร์ การตั้งค่าเขตเวลา (Time zone setting) และสถานที่ตั้ง ประเภทและเวอร์ชั่นของปลั๊กอินบราวเซอร์ ระบบปฏิบัติการและแพลตฟอร์ม และเทคโนโลยีอื่น ๆ บนอุปกรณ์ที่ลูกค้าใช้ในการเข้าถึงแพลตฟอร์มการให้บริการของบริษัท
7. ข้อมูลการใช้งาน เช่น ข้อมูลเกี่ยวกับการใช้งานของลูกค้าบนเว็บไซต์ แพลตฟอร์ม การใช้ผลิตภัณฑ์และบริการ และ
8. ข้อมูลการสมัครรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด เช่น ลงทะเบียนเพื่อเข้าร่วมสัมมนา
“ข้อมูลที่ละเอียดอ่อน” หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมจึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ ซึ่งบริษัทจะเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลที่ละเอียดอ่อนไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากลูกค้า หรือต่อเมื่อกฎหมายอนุญาตให้กระทำได้
ข้อมูลที่ละเอียดอ่อนของลูกค้าซึ่งบริษัทจะเก็บรวมรวม ใช้ เปิดเผย และ/หรือโอนให้แก่บุคคลภายนอก ได้แก่
1. ข้อมูลสุขภาพ เช่น ข้อมูลการรักษาพยาบาล ประวัติการเข้ารับบริการ ข้อมูลที่เกี่ยวข้องกับการใช้ยาและการแพ้ยา การตอบสนองต่อการรักษา โรคประจำตัว หมู่โลหิต เป็นต้น
2. ข้อมูลชีวภาพ เช่น ใบหน้า ม่านตา ลายนิ้วมือ ภาพถ่ายประกอบการรักษา ภาพถ่ายก่อนและหลังการรักษา
3. ข้อมูลที่ละเอียดอ่อนอื่น ๆ ซึ่งแสดงอยู่ในเอกสารประจำตัว เช่น เชื้อชาติและศาสน
2.วัตถุประสงค์ของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล
ในการให้บริการแก่ลูกค้านั้น บริษัทมีความจำเป็นต้องเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลและ/หรือข้อมูลที่ละเอียดอ่อน เพื่อใช้ในการดำเนินกิจการของบริษัท การให้บริการทางการแพทย์แก่ลูกค้า การติดต่อสื่อสาร การโทรนัดหมาย การก่อตั้งหรือปฏิบัติตามสิทธิเรียกร้องตามกฎหมาย เพื่อปฏิบัติตามภาระหน้าที่ของบริษัทในฐานะผู้ให้บริการ เพื่อประโยชน์ในการดำเนินธุรกิจ เพื่อให้เป็นไปตามกฎหมาย และ/หรือเพื่อประโยชน์โดยชอบของบริษัทและ/หรือของลูกค้า ซึ่งบริษัทจะปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้โดยเคร่งครัด บริษัทจะร้องขอข้อมูลของลูกค้าเพียงเท่าที่จำเป็นและกฎหมายอนุญาตเท่านั้น ทั้งนี้ หากบริษัทไม่สามารถทำการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลของลูกค้า ตามที่ระบุในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ไม่ว่าด้วยเหตุใด บริษัทอาจจะไม่สามารถปฏิบัติตามสัญญาที่ทำกับลูกค้าได้ และในบางกรณีบริษัทอาจจะไม่สามารถให้บริการแก่ลูกค้าได้อีกต่อไป
ในกรณีที่ลูกค้าได้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่บริษัท (เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ของคู่สมรส บุคคลภายนอกที่สามารถติดต่อได้ในกรณีฉุกเฉิน และ/หรือบุคคลอื่นที่เกี่ยวข้อง) ขอรับรองว่าลูกค้ามีอำนาจที่จะให้ข้อมูลส่วนบุคคลดังกล่าว และอนุญาตให้บริษัทใช้ข้อมูลส่วนบุคคลดังกล่าวตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ อีกทั้งลูกค้าจะรับผิดชอบในการแจ้งให้บุคคลภายนอกเหล่านั้นทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือขอรับความยินยอมจากบุคคลภายนอกที่เกี่ยวข้อง หากจำเป็นบริษัทอาจเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลและ/หรือข้อมูลที่ละเอียดอ่อนของลูกค้า เพื่อวัตถุประสงค์ดังต่อไปนี้
2.1. วัตถุประสงค์ที่บริษัทสามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลของลูกค้าได้โดยอาศัยหลักเกณฑ์หรือฐานทางกฎหมาย โดยไม่จำเป็นต้องได้รับความยินยอมจากลูกค้า
ในกรณีดังต่อไปนี้ บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าโดยไม่ต้องขอรับความยินยอมจากลูกค้า
1. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญากับลูกค้า หรือเพื่อดำเนินการตามคำขอของลูกค้าก่อนการเข้าทำสัญญา
2. เป็นการปฏิบัติหน้าที่ตามกฎหมายของบริษัท
3. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทและของบุคคลภายนอก โดยความจำเป็นดังกล่าวจะต้องสมดุลกับประโยชน์และสิทธิและเสรีภาพขั้นพื้นฐานที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
4. เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
5. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
อย่างไรก็ตาม บริษัทจะอาศัยหลักเกณฑ์หรือฐานทางกฎหมายใน (1) ถึง (5) ข้างต้น เพื่อการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอก เพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น
1. การติดต่อกับลูกค้าเพื่อการเข้าใช้บริการและ/หรือเข้าทำนิติกรรมกับบริษัท
2. การให้บริการทางการแพทย์และบริการอื่นที่เกี่ยวข้อง ตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า เช่น
– จัดหาบริการ หรือส่งมอบบริการ และการเข้าถึงบริการของลูกค้า ไม่ว่าช่องทางใด
– นัดหมายแพทย์ และการแจ้งเตือนการนัดหมายแพทย์
– การเสนอความช่วยเหลือจากบริษัท และแนะนำรายละเอียดการให้บริการของบริษัท
– การประสานงานและส่งต่อข้อมูลให้กับสถานพยาบาลอื่นซึ่งมีความจำเป็นต้องรับลูกค้าเพื่อเข้ารักษาต่อ
– การยืนยันตัวตนของลูกค้าเพื่อเข้ารับการบริการจากบริษัท
– วัตถุประสงค์ทางบัญชีหรือทางการเงิน เช่น การตรวจสอบการชำระเงินผ่านบัตรเครดิต การเรียกเก็บเงินและการตรวจสอบความถูกต้อง การขอคืนเงิน
– การรักษาความปลอดภัยขณะใช้บริการหรือพักรักษาหลังการเข้ารับบริการ
– ปฏิบัติตามกฎหมาย ข้อกำหนด ระเบียบ ข้อบังคับ หรือการร้องขอใด ๆ จากหน่วยราชการที่เกี่ยวข้อง เช่น การปฏิบัติตามหมายเรียกพยาน หรือคำสั่งศาล หรือการร้องขออื่น ๆ ที่ถูกต้องและสอดคล้องกับบทบัญญัติของกฎหมาย
– วัตถุประสงค์อื่น ๆ ที่สนับสนุนการดำเนินการตามวัตถุประสงค์ข้างต้น
3. การบริหารความสัมพันธ์ระหว่างลูกค้ากับบริษัท และการบริหารจัดการบัญชีที่ลูกค้ามีอยู่กับบริษัท
4. การดำเนินการตามคำสั่งของลูกค้า หรือการตอบข้อซักถามหรือความคิดเห็นของลูกค้า และการแก้ไขเรื่องร้องเรียนของลูกค้า
5. การยืนยันตัวบุคคล การตรวจสอบและคัดกรองอื่น ๆ และการติดตามตรวจสอบอย่างต่อเนื่องที่อาจจำเป็นตามกฎหมายที่ใช้บังคับ
6. การปฏิบัติตามกฎหมาย กฎระเบียบ กฎเกณฑ์ แนวทาง คำสั่ง คำแนะนำ และการร้องขอจากหน่วยงานของรัฐ หน่วยงานภาษีอากร หน่วยงานบังคับใช้กฎหมาย หน่วยงานกำกับดูแล หรือหน่วยงานอื่น ๆ (ไม่ว่าในประเทศหรือต่างประเทศ)
7. การจัดการโครงสร้างพื้นฐานของบริษัท การควบคุมภายใน การตรวจสอบ การดำเนินธุรกิจ และการปฏิบัติตามนโยบายและขั้นตอนของบริษัทที่อาจจำเป็นโดยกฎหมายและกฎระเบียบที่ใช้บังคับ รวมถึงกฎหมายและกฎระเบียบที่เกี่ยวข้องกับการควบคุมความเสี่ยง การรักษาความปลอดภัย การตรวจสอบ การเงินและการบัญชี ระบบต่าง ๆ และความต่อเนื่องทางธุรกิจ
8. การจัดการหรือการสอบสวนเรื่องร้องเรียน ข้อเรียกร้อง หรือข้อพิพาทใด ๆ
9. การบังคับสิทธิตามกฎหมายหรือตามสัญญาของบริษัท รวมถึงแต่ไม่จำกัดเพียง การติดตามทวงถามจำนวนเงินใด ๆ ทั้งหมดที่ติดค้างต่อบริษัท
10. การตรวจสอบทางบัญชีการเงินที่จะดำเนินการโดยผู้สอบบัญชี หรือการรับบริการด้านกฎหมายจากที่ปรึกษากฎหมาย
2.2. วัตถุประสงค์ที่บริษัทจำเป็นต้องได้รับความยินยอมจากลูกค้าก่อนการประมวลผลข้อมูลส่วนบุคคล
บริษัทอาจประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์ดังต่อไปนี้เมื่อได้รับความยินยอมจากลูกค้า
1. การติดต่อสื่อสารทางการตลาด การเสนอข้อเสนอพิเศษ เอกสารส่งเสริมการขายที่เกี่ยวกับผลิตภัณฑ์และบริการของบริษัท บริษัทในเครือและบริษัทย่อยของบริษัท
2. การพัฒนาการให้บริการและนำเสนอโปรแกรมใหม่ และการให้ข้อมูลที่เป็นปัจจุบันแก่ลูกค้าเกี่ยวกับบริการและผลิตภัณฑ์ของบริษัทเป็นครั้งคราว
3. การทำวิจัย การวางแผนและการวิเคราะห์ทางสถิติ เพื่อวัตถุประสงค์ในการพัฒนาบริการและผลิตภัณฑ์ของคลินิก
4. การจัดโครงการหรือกิจกรรมส่งเสริมการขาย การประชุม การสัมมนา และการเยี่ยมชมคลินิก
ลูกค้ามีสิทธิที่จะถอนความยินยอมของลูกค้า ณ เวลาใดก็ได้ โดยลูกค้าสามารถติดต่อ แผนกลูกค้าสัมพันธ์ อีเมล์ pdpa@granedathailand.com เพื่อถอนความยินยอม ทั้งนี้การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการเก็บรวบรวม การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนของลูกค้าตามความยินยอมของลูกค้าก่อนที่จะขอถอนความยินยอมหรือการเก็บรวบรวม การใช้ การเปิดเผย และการโอนข้อมูลที่ละเอียดไปยังบุคคลภายนอก ที่บริษัทมีสิทธิดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า
2.3. วัตถุประสงค์การใช้ข้อมูลที่ละเอียดอ่อน
บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลที่ละเอียดอ่อนของลูกค้า เพื่อวัตถุประสงค์ดังต่อไปนี้
1. ข้อมูลสุขภาพ เช่น ข้อมูลการรักษาพยาบาล ประวัติการเข้ารับบริการ ข้อมูลที่เกี่ยวข้องกับการใช้ยาและการแพ้ยา การตอบสนองต่อการรักษา โรคประจำตัว หมู่โลหิต เป็นต้น เพื่อการให้บริการทางการแพทย์แก่ลูกค้าตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า
2. ข้อมูลชีวมาตร (ได้แก่ [ระบบจดจำใบหน้า ม่านตา ลายนิ้วมือ]) เพื่อ [การสมัครใช้บริการ และการยืนยันและพิสูจน์ตัวบุคคล]
3. ศาสนาเพื่อการอำนวยความสะดวกในการเข้าใช้บริการของลูกค้า
4. ข้อมูลที่ละเอียดอ่อนซึ่งแสดงอยู่ในเอกสารประจำตัว (เช่น เชื้อชาติและศาสนา) เพื่อการยืนยันและพิสูจน์ตัวบุคคล และเพื่อการให้บริการทางการแพทย์แก่ลูกค้าตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า
3.บุคคลภายนอกที่บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้า
บริษัทอาจเปิดเผยและ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอก (รวมถึงบุคลากรและตัวแทนของบุคคลภายนอก) ดังต่อไปนี้ ซึ่งประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการให้บริการทางการแพทย์แก่ลูกค้าหรือเพื่อวัตถุประสงค์อื่น ๆ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โดยลูกค้าสามารถอ่านนโยบายคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกเหล่านั้นเพื่อศึกษาข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่บุคคลภายนอกดังกล่าวประมวลผลข้อมูลส่วนบุคคลของลูกค้าได้
1. กลุ่มบริษัท
ข้อมูลส่วนบุคคลของลูกค้าอาจถูกเข้าถึงหรือเปิดเผยให้แก่นิติบุคคลอื่น ๆ ภายในกลุ่มบริษัท
ซึ่งรวมถึงกรรมการ ผู้บริหาร พนักงาน เจ้าหน้าที่ หรือบุคคลอื่นใดที่เกี่ยวข้องกับนิติบุคคลดังกล่าว เพื่อการให้บริการทางการแพทย์แก่ลูกค้า การวิเคราะห์ข้อมูล การรายงานผลการดำเนินงานของบริษัท การบริหารความเสี่ยงหรือการตรวจสอบภายในของกลุ่มบริษัท
2. ผู้ให้บริการของบริษัท
บริษัทอาจใช้บริการของบุคคล นิติบุคคล ตัวแทน หรือผู้รับจ้างเพื่อการให้บริการต่าง ๆ ในนามของบริษัท หรือเพื่อช่วยเหลือและสนับสนุนในการจัดหาผลิตภัณฑ์และบริการให้แก่ลูกค้า บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของลูกค้ากับผู้ให้บริการเหล่านี้ รวมถึงแต่ไม่จำกัดเพียง (ก) ผู้ให้บริการเทคโนโลยีสารสนเทศ
(ข) ตัวแทนการวิจัย (ค) ผู้ให้บริการการวิเคราะห์ และ/หรือห้องปฏิบัติการ (ง) ตัวแทนการสำรวจ (จ) ตัวแทนด้านการตลาด สื่อโฆษณาและการติดต่อสื่อสาร (ฉ) ผู้ให้บริการชำระเงิน และ (ช) ผู้ให้บริการด้านธุรการและการดำเนินงาน
ในการให้บริการต่าง ๆ ข้างต้น ผู้ให้บริการอาจมีความจำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของลูกค้า แต่อย่างไรก็ตาม บริษัทจะให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการของบริษัทเพียงเท่าที่จำเป็นสำหรับการให้บริการโดยผู้ให้บริการดังกล่าวเท่านั้น และบริษัทจะดำเนินการให้เป็นที่มั่นใจว่าผู้ให้บริการทุกรายที่บริษัททำงานด้วยจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้อย่างปลอดภัยและจะไม่ใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อการให้บริการแก่บริษัทเท่านั้น
3. พันธมิตรทางธุรกิจของบริษัท
บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่พันธมิตรทางธุรกิจของบริษัทซึ่งมีส่วนในการให้บริการทางการแพทย์แก่ลูกค้า หรือเกี่ยวข้องในการจัดหาผลิตภัณฑ์หรือบริการประเภทใดที่ลูกค้าได้รับจากบริษัท เช่น พันธมิตรธุรกิจร่วม (co-brand partners) คู่สัญญา(market counterparties) ผู้ออกผลิตภัณฑ์ร่วม โดยบริษัทจะดำเนินการให้เป็นที่มั่นใจว่าพันธมิตรทางธุรกิจทุกรายที่บริษัททำงานด้วยจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้อย่างปลอดภัยและจะไม่ใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อการให้บริการแก่ลูกค้าเท่านั้น
4. บุคคลภายนอกตามที่กฎหมายอนุญาต
ในบางกรณี บริษัทอาจจะจำเป็นที่จะต้องเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้ากับบุคคลภายนอก เพื่อปฏิบัติตามภาระหน้าที่ตามกฎหมายหรือกฎระเบียบ ซึ่งรวมถึง การปฏิบัติตามคำสั่งของหน่วยงานที่บังคับใช้กฎหมาย ศาล หน่วยงานกำกับดูแล หน่วยงานรัฐ หรือบุคคลภายนอกอื่น ๆ ตามที่กฎหมายกำหนด
5. ที่ปรึกษาวิชาชีพ
บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ที่ปรึกษาวิชาชีพของบริษัทที่เกี่ยวกับบริการด้านการตรวจสอบ กฎหมาย การบัญชี และภาษีอากร ซึ่งช่วยในการประกอบธุรกิจหรือจัดการเกี่ยวกับข้อเรียกร้องทางกฎหมาย
6. บุคคลภายนอกที่เกี่ยวข้องกับการโอนธุรกิจ
บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่พันธมิตรทางธุรกิจ ผู้ลงทุน ผู้ถือหุ้นรายสำคัญ ผู้รับโอนสิทธิ บุคคลที่อาจเป็นผู้รับโอนสิทธิ ผู้รับโอนหรือบุคคลที่อาจเป็นผู้รับโอนของบริษัท ในกรณีที่มีการฟื้นฟูกิจการ การปรับโครงสร้างกิจการ การควบรวมกิจการ การเข้าซื้อกิจการ การขาย การซื้อ กิจการร่วมค้า การโอน การเลิกกิจการ หรือเหตุการณ์ใดในทำนองเดียวกันที่เกี่ยวข้องกับการโอนหรือการจำหน่ายจ่ายโอนธุรกิจ สินทรัพย์ หรือหุ้นทั้งหมดหรือส่วนใด ๆ ของบริษัท ถ้ามีเหตุการณ์ใด ๆ ดังกล่าวข้างต้นเกิดขึ้น ผู้รับข้อมูลจะปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า
4. การเชื่อมโยงไปยังเว็บไซต์บุคคลที่สาม
เว็บไซต์ของบริษัทอาจมีลิงค์เชื่อมไปยังเว็บไซต์บุคคลภายนอก หากลูกค้าได้เข้าถึงเว็บไซต์ตามลิงค์ดังกล่าว นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะไม่ครอบคลุมไปถึงการใช้ข้อมูลส่วนบุคคลของลูกค้าในเว็บไซต์ของบุคคลภายนอก ดังนั้น การที่บุคคลภายนอกซึ่งเป็นผู้ควบคุมดูแลเว็บไซต์ดังกล่าวประมวลผลข้อมูลส่วนบุคคลของลูกค้าจึงอยู่นอกเหนือการควบคุมของบริษัท ซึ่งบริษัทจะไม่มีส่วนเกี่ยวข้องและความรับผิดใด ๆ จากการกระทำของบุคคลภายนอกดังกล่าว
5. การเก็บรักษาข้อมูลส่วนบุคคลของลูกค้า
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าในระยะเวลาเท่าที่จำเป็นอย่างสมเหตุสมผล เพื่อให้บรรลุตามวัตถุประสงค์ที่บริษัทได้รับข้อมูลส่วนบุคคลนั้นมาตามที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และเพื่อปฏิบัติตามภาระหน้าที่ทางกฎหมายและกฎข้อบังคับต่าง ๆ อย่างไรก็ตาม บริษัทอาจเก็บข้อมูลส่วนบุคคลของลูกค้านานขึ้นหากจำเป็นตามกฎหมายที่ใช้บังคับ
เมื่อพ้นระยะเวลาดังกล่าวแล้ว หากลูกค้าไม่แสดงความยินยอมให้บริษัททำการประมวลผลข้อมูลส่วนบุคคลต่อไป บริษัทจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นตามขั้นตอนการทำลายข้อมูลของบริษัทโดยจะดำเนินการให้เสร็จโดยไม่ชักช้า
บริษัทจะใช้มาตรการทางเทคนิค และการบริหารจัดการที่เหมาะสมเพื่อป้องกันและรักษาความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าที่บริษัทเก็บรวบรวม เช่น ใช้โปรโตคอลความปลอดภัย (Secure Sockets Layer: SSL) สำหรับการเข้ารหัสข้อมูลผ่านทางอินเตอร์เน็ต และบริษัทจะจำกัดการเข้าถึงข้อมูลของลูกค้าไม่ว่าจะเป็นการจัดเก็บในรูปแบบข้อมูลอิเล็กทรอนิกส์หรือในรูปแบบเอกสารให้สามารถเข้าถึงได้เฉพาะบุคลากรที่มีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่านั้น โดยจะจัดเก็บในสถานที่ที่มีระบบป้องกันการเข้าถึงตามมาตรฐานความปลอดภัยที่เหมาะสม
6. ข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ
โดยทั่วไป การให้บริการทางการแพทย์ของบริษัท (รวมถึงกระบวนการสรรหาบุคลากรเพื่อการให้บริการ) ไม่ได้มีเป้าหมายที่ผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ และบริษัทไม่ประสงค์ที่จะเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ หากผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ ประสงค์จะเข้ารับบริการทางการแพทย์จากบริษัท บุคคลดังกล่าวต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้พิทักษ์ หรือผู้อนุบาลของบุคคลดังกล่าวก่อนที่จะติดต่อกับบริษัทหรือให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่บริษัท เว้นแต่บริษัทจะสามารถอาศัยหลักเกณฑ์หรือฐานทางกฎหมายอื่นในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่เป็นผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ ได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า
7. ข้อมูลที่สำคัญอื่น ๆ เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า
1. คุกกี้และวิธีการใช้คุกกี้
หากลูกค้าเยี่ยมชมเว็บไซต์ของบริษัท บริษัทจะเก็บรวบรวมข้อมูลบางประการโดยอัตโนมัติจากลูกค้าโดยการใช้คุกกี้ ซึ่งคุกกี้คือเทคโนโลยีการติดตามประเภทหนึ่งซึ่งนำมาใช้ในการวิเคราะห์กระแสความนิยม (trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของบริษัท หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ
อินเตอร์เน็ตบราวเซอร์ส่วนใหญ่จะให้ลูกค้าควบคุมได้ว่าจะยอมรับคุกกี้หรือไม่ หากลูกค้าปฏิเสธการติดตามโดยคุกกี้ ความสามารถของลูกค้าในการใช้งานเว็บไซต์อาจถูกจำกัดลงไม่ว่าทั้งหมดหรือบางส่วน
2. ข้อมูลส่วนบุคคลที่เกี่ยวกับบุคคลภายนอก
หากลูกค้าให้ข้อมูลส่วนบุคคลของบุคคลที่สามใด ๆ (เช่น คู่สมรสและบุตรของลูกค้า ผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน การส่งต่อในกรณีการรักษาเร่งด่วน) ลูกค้าต้องดำเนินการเพื่อให้มั่นใจได้ว่าลูกค้ามีอำนาจที่จะให้ข้อมูลส่วนบุคคลดังกล่าว และมีอำนาจอนุญาตให้บริษัทใช้ข้อมูลส่วนบุคคลดังกล่าวตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ อีกทั้งลูกค้าต้องรับผิดชอบในการแจ้งให้บุคคลที่สามเหล่านั้นทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และขอรับความยินยอมจากบุคคลที่สามที่เกี่ยวข้อง (หากจำเป็น) เว้นแต่ลูกค้าจะสามารถอาศัยหลักเกณฑ์หรือฐานทางกฎหมายอื่นในการเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่สามดังกล่าวได้โดยไม่ต้องได้รับความยินยอม
8. สิทธิในข้อมูลส่วนบุคคลของลูกค้า
ภายใต้บทบัญญัติแห่งกฎหมายและข้อยกเว้นตามกฎหมายที่เกี่ยวข้อง ลูกค้าอาจมีสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าตามที่ระบุไว้ดังต่อไปนี้
1. การเข้าถึง : ลูกค้าอาจมีสิทธิในการขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลที่บริษัทประมวลผลเกี่ยวกับลูกค้า
2. การโอนย้ายข้อมูล: ลูกค้าอาจมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทมีเกี่ยวกับลูกค้าในรูปแบบที่มีการจัดระเบียบแล้วและสามารถอ่านได้ในรูปแบบอิเล็กทรอนิกส์ และเพื่อส่งหรือโอนข้อมูลดังกล่าวให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่น
3. การคัดค้าน : ในบางกรณี ลูกค้าอาจมีสิทธิคัดค้านวิธีการที่บริษัทประมวลผลข้อมูลส่วนบุคคลของลูกค้าในบางกิจกรรมซึ่งระบุในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
4. การลบหรือทำลายข้อมูล : ลูกค้าอาจมีสิทธิขอให้บริษัทดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของลูกค้าที่บริษัทประมวลผลเกี่ยวกับลูกค้า เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล เช่น หากข้อมูลนั้นไม่จำเป็นสำหรับวัตถุประสงค์ในการประมวลผลข้อมูลอีกต่อไป
5. การจำกัด : ลูกค้าอาจมีสิทธิจำกัดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า หากลูกค้าเชื่อว่าข้อมูลนั้นไม่ถูกต้อง หรือการประมวลผลของบริษัทไม่ชอบด้วยกฎหมาย หรือบริษัทไม่จำเป็นต้องประมวลผลข้อมูลนั้นเพื่อวัตถุประสงค์อย่างหนึ่งอย่างใดอีกต่อไป
6. การแก้ไขให้ถูกต้อง : ลูกค้าอาจมีสิทธิขอให้มีการดำเนินการแก้ไขข้อมูลส่วนบุคคลที่ไม่สมบูรณ์ ไม่ถูกต้อง ก่อให้เกิดความเข้าใจผิด หรือไม่เป็นปัจจุบัน
7. การถอนความยินยอม : ลูกค้าอาจมีสิทธิที่จะถอนความยินยอมที่ลูกค้าได้ให้แก่บริษัทเพื่อการประมวลผลข้อมูลส่วนบุคคลของลูกค้า เว้นแต่มีข้อจำกัดเกี่ยวกับสิทธิที่จะถอนความยินยอมตามที่กฎหมายกำหนด หรือมีสัญญาที่ให้ประโยชน์แก่ลูกค้า
8. การยื่นเรื่องร้องเรียน: ลูกค้าอาจมีสิทธิยื่นเรื่องร้องเรียนให้แก่หน่วยงานที่มีอำนาจในกรณีที่ลูกค้าเชื่อว่าบริษัททำการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยไม่ชอบด้วยกฎหมายหรือไม่สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้
9. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
บริษัทอาจเปลี่ยนแปลงหรือปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นครั้งคราว บริษัทขอให้ลูกค้าอ่านนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างละเอียดรอบคอบ และตรวจสอบการเปลี่ยนแปลงใด ๆ ที่อาจเกิดขึ้นตามข้อกำหนดของนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ที่ www.granedathailand.com เป็นระยะ ๆ โดยบริษัทจะแจ้งเตือนให้ลูกค้าทราบหรือขอความยินยอมจากลูกค้าอีกครั้งหากมีการเปลี่ยนแปลงที่มีนัยสำคัญในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
10. รายละเอียดการติดต่อบริษัท
หากลูกค้ามีความประสงค์ที่จะใช้สิทธิของลูกค้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า หรือหากลูกค้ามีข้อสงสัยหรือเรื่องร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โปรดติดต่อบริษัท
หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท
• บริษัท ริชพาติโน่ จำกัด (สำนักงานใหญ่)
o 23/73-75 ชั้นที่ 2-3 ซอยศูนย์วิจัย ถนนพระราม 9 แขวงบางกะปิ เขตห้วยขวาง กรุงเทพฯ 10310
o pdpa@granedathailand.com
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
o ผู้จัดการฝ่ายขายประจำสาขา
o 23/73-75 ชั้นที่ 2-3 ซอยศูนย์วิจัย ถนนพระราม 9 แขวงบางกะปิ เขตห้วยขวาง กรุงเทพฯ 10310
o pdpa@granedathailand.com