隐私政策

数据隐私政策 Ubis (Asia) Public Company Limited 和 Ubis Primatech Company Limited。.

Ubis (Asia) Public Company Limited.和 Ubis Primatech Company Limited.(以下简称 “公司 ”或 “我们 ”或 “我们”)认识到保护公司员工或求职者的个人数据(数据隐私)的重要性,认为这是法律规定的一项基本权利。本政策规定了建立制度的规则,并严格控制和监督数据主体的个人数据安全和数据处理,包括以透明的方式收集、使用或披露个人数据,并遵守政府机构规定的标准。本隐私声明的目的是告知数据主体我们对您的个人数据所采取的做法,如收集、使用、披露以及数据主体的任何权利等。因此,本政策适用于本公司与个人数据有关的所有活动。.

1.定义

在本政策中、,

“公司 ”指 Ubis (Asia) Public Company Limited 和 Ubis Primatech Company Limited;;

“人 ”指自然人;;

“个人资料 ”系指与某人有关的、能够直接或间接识别该人身份的任何信息,但不包括特别是已故人员的信息;;

“敏感数据 ”是指任何可能导致不公平歧视的个人数据,在本政策中指种族、宗教信 仰、性行为、犯罪记录、健康数据、残疾、基因数据、生物识别数据或法律规定的任何 数据;;

“无行为能力人 ”指未成年人、无行为能力人或受泰国《民法典》和《商法典》管辖的准无行为能力人;;

“数据保护官 ”指公司根据《个人保护法》(B.E. 25622562)任命的数据保护官;;

“资料当事人 ”是指公司人员、职员、雇员、求职者或任何相关人员、客户、服务使用者、网站访问者、公司移动应用程序访问者(包括公司行政人员)以及与公司有法律关系的任何自然人,以下简称 “资料当事人”;;

“网站 ”是指属于公司或服务提供商(视情况而定)的公司网站;;

“申请 ”指公司提供的任何申请,以及此后更改、更新、升级或补充的申请;;

“资料控制者 ”是指有权或有责任就个人资料作出决定、直接或间接从资料当事人或资料当事人的服务提供者处获得资料或履行与资料当事人的合同义务的公司;;

“数据处理者 ”是指根据数据控制者或其代表下达的指令收集、使用或披露个人数据的个人或法人,但该个人或法人并非数据控制者;;

“收集 ”是指获取个人数据;;

“数据处理 ”是指对个人数据采取行动的任何行为,无论是否采用自动方法,例如收集、记录、组织、存储、使用、披露、更改或任何其他导致个人数据可用性、汇编或销毁的行为。.

2.目标

本政策旨在根据以下目标保护与本公司进行交易、使用服务或有利益关系的数据当事人的个人数据:

2.1.明确涉及个人数据的组织、管理人员和工作人员的角色和职责。.

2.2.依法确定保护个人数据的程序、安全措施或其他措施。.

2.3.制定与数据处理或与个人数据有关的其他操作相关的人员的绩效准则。.

2.4.为个人、客户、合作伙伴、服务用户以及与个人数据有关或涉及个人数据的其他人员建立对个人数据安全的信心。.

3.收集个人资料

个人数据的收集、使用或披露应符合法律规定的个人数据保护原则,即

(1) 个人数据的收集、使用或披露应合法、公平和透明

(2) 個人資料的收集、使用或披露須符合本公司指定的目的,本公司不得在其中規定的有限目的下使用或披露個人資料。

(3) 所收集、使用或披露的个人资料应充分、相关并符合收集、使用和披露的目的 (资料减量化)

(4) 收集、使用或披露的个人资料应准确无误并在必要时及时更新(准确性)

(5) 在必要时收集、使用或披露个人资料(存储限制),以及,

(6) 个人资料的收集、使用或披露应采取适当的安全措施(完整性和保密性),但个人资料的收集、使用或披露应根据目的进行,且仅在有限目的下为必要时进行,或为与收集目的相关的直接利益而进行,并在收集个人资料之前或之时通知资料当事人,包括以下详情:

3.1 公司收集个人资料的目的是

  1. (1) 用于提供服务、改进服务和销售质量、开展营销活动、教育、数据分析,以及提高公司服务质量和效率
  2. (2) 為資料當事人的利益提供特權,以符合資料當事人的利益
  3. (3) 用于人事活动的采购,以及,
  4. (4) 出于法律义务,如果新的目标发生变化,公司将立即通知资料当事人。.

3.2 本公司會收集個人資料,例如名、姓、地址、出生日期、性別、教育背景、電話號碼、電郵地址、身份証號碼、信用卡或扣帳卡資料、銀行帳戶號碼或其他有關銀行或付款的資料、IP號碼、服務號碼、Cookies、MAC地址、服務帳戶、服務使用資料、資料當事人與本公司之間的通訊記錄,以及使用本公司服務時可能出現的任何其他資料等。個人資料會根據資料處理的需要及適用法律保留一段時間。在上述期限届满后,或本公司无权保留,或本公司无法主张处理个人数据的合法基础,本公司将通过适当和合法的方式销毁这些个人数据。.

3.3 如果数据当事人为了遵守法律或合同,或为了签订合同而必须提供个人数据,公司也会通知数据当事人不提供个人数据的重大影响。.

3.4 公司可能会向个人或实体披露所收集的个人数据,如法律规定的数据披露、安全、提供服务等。但只能在必要时披露。.

3.5 公司将在资料当事人自愿或明确表示同意的情况下,通过以下方法之一直接收集资料当事人的个人资料:

  1. 3.5.1 服务申请表或在行使权利时对提交申请的处理。.
  2. 3.5.2 问卷调查或电子邮件通信。.
  3. 3.5.3 通过公司网站或公司移动应用程序。.
  4. 3.5.4 短信
  5. 3.5.5 公司提供的数据当事人与公司之间的其他沟通渠道。.

3.6 公司规定了 Cookies 政策。.

3.7 本公司收集的某些个人数据可能属于敏感数据,本公司将要求获得明确同意,例如种族、宗教信仰、健康数据、犯罪记录、工会等。公司将在必要时收集这些数据,并遵守法律法规。在征得同意时,公司将在收集、使用和披露个人数据之前或之时要求数据主体同意;除非,

  1. 3.7.1 为实现教育、研究或统计目的,保护主体数据的权利和自由;;
  2. 3.7.2 为防止或制止对资料当事人或其他人的生命、身体或健康造成危险;;
  3. 3.7.3 履行合同或在签订合同前应数据当事人的要求采取措施;;
  4. 3.7.4 为公共利益执行任务或行使官方权力;;
  5. 3.7.5 出于高于公司所有业务的合法利益;;
  6. 3.7.6 遵守法院判决或法律要求,如《传染病法》、《计算机犯罪法》、《网络安全法》、《反洗钱法》等;;
  7. 3.7.7 这被视为法律上的公共信息。.

3.8 如資料當事人提供任何第三者(即配偶、家人或朋友等)的個人資料予本公司,例如可指定為緊急聯絡地址,資料當事人須證明及保證資料當事人已同意本政策所載有關收集、使用及披露該等個人資料的規定。.

3.9 如果公司以基本同意或明确同意为由收集、使用或披露个人资料,则必须以书面形式或通过电子系统明确表示同意,除非无法通过此类方式表示同意。在征得同意时,公司应告知收集、使用或披露个人数据的目的,并且必须以易于访问和理解的形式或声明将该请求与其他内容明确分开,包括使用毫无疑问能够理解的简单语言,并且不得在此类目的上欺骗或误导数据主体。.

在取得資料當事人的同意時,本公司會考慮資料當事人在沒有非必要條件或與訂立合約或提供服務無關的情況下給予同意、訂立合約或由本公司提供任何服務的獨立性。此外,除非法律或合同对撤销同意的权利有限制,否则数据主体可随时通过任何便利方式撤销对本公司的同意。尽管撤销同意并不影响之前收集、使用或披露经合法同意的个人数据,但如果撤销同意对数据主体造成影响,公司将相应通知数据主体撤销同意的影响。.

在收集、使用或披露未成年人(根据《民法和商法典》第 27 条规定为未成年的已婚人士或已达到法定年龄的人士)、无行为能力人、准无行为能力人的个人数据时,或在这些人撤销同意时,公司将根据个人数据保护法进行处理。.

4.个人资料的使用和披露

个人资料的使用或披露应符合收集目的或与收集目的相关的直接利益所需的目的。只有在必要和法律要求的情况下,本公司才可向任何个人、机构或任何第三方披露资料当事人的个人资料,如劳动保护和福利部、法律执行部、学生贷款基金、技术犯罪制止处或安全机构等。.

5.处理个人数据的目的

公司根据以下目标和法律基本原则处理个人数据:

5.1.根据合同处理数据,例如,

  1. 5.1.1 当客户、合同方和服务使用者就服务或与本公司签订合同事宜与本公司联系时,有必要要求本公司对这些人的个人数据进行处理,以便提供服务、签订合同、与这些人沟通、跟进和通知合同履行情况。.
  2. 5.1.2 在公司招聘或通过任何渠道进行与公司有关的交易时,员工必须向公司提供其个人资料, 以便公司进行甄选、批准雇用、计算雇用合同规定的应享权利、付款到期日、工资、与员工沟 通、通知已变更的福利和权利、回答询问和其他变更通知。.

5.2.在征得同意的基础上处理数据,例如:,
公司可能会使用客户、合同方和服务用户的个人数据进行处理,以便与这些人签订合同。公司可能需要处理身份证件上的敏感数据(如宗教信仰),以便识别个人身份,并在个人生病或需要紧急援助时为其提供帮助,包括在人寿保险方面为工作人员提供便利。但是,未经客户、合同方、服务使用者和工作人员的同意,公司不会处理这些个人数据。.
此外,如果客户、合同方、服务用户和工作人员希望撤销对数据处理的同意,客户、合同方、服务用户和工作人员可联系公司要求撤销同意。.

5.3.因資料控制者的基本合法利益而處理資料,例如,本公司處理客戶、合約方及服務使用者的個人資料,是為了業務管理及關係管理,包括但不限於根據內部記錄、內部管理、審計、報告、提交或存檔要求、資料處理或其他相關或類似的活動而發出發票。然而,本公司可處理個人資料作本公司的管理及內部匯報、維持工作及服務水平、稅務及風險管理、審計、提交或存檔資料、資料處理或其他相關或類似的活動。.

5.4.根据法律规定的基本义务处理数据时,公司可能会使用客户、合同方和服务用户的个人数据,以便根据法律规定的义务和/或内部流程、欺诈侦查、法律或其他监管调查,在遵守适用法律或法律机构命令的情况下进行处理。.
此外,公司可能会根据有关就业和业务运营的法律处理员工的个人数据,如《劳动保护法》(B.E. 2540)、《学生贷款基金法》(B.E. 2560)、《泰国公积金法》(B.E. 2530)等,以及任何其他要求披露个人数据的法律。.

6.个人资料证券

为了确保个人数据的保密性、完整性和可用性,公司已制定并实施了以下措施来维护个人数据的安全:

6.1 严格按照公司提供的信息安全政策,提供与访问、使用、披露和处理个人数据相关的验证措施、确定权利(授权)并记录所有活动(会计)。.

6.2 如果公司将个人数据发送或传输到其他国家,或将个人数据保留到位于其他国家的其他数据库,则应提供充分的个人数据保护措施或相当于本政策规定的措施,除非法律要求或数据主体同意。.

6.3 如果违反本公司的安全措施并导致个人数据受到侵犯或向公众泄露个人数据,本公司将立即通知数据主体,包括通知对此类侵犯或泄露造成的损害进行补救;前提是本公司的故障会影响数据主体的权利和自由。然而,对于因使用或向第三方披露个人资料而造成的任何损害,包括但不限于资料当事人未注销系统或资料当事人或其他人未经资料当事人同意而采取的任何行动,本公司概不负责。.

6.4 公司为所有有义务访问客户、合同方、服务用户和员工个人数据的人员制定了相关规定。可以访问这些个人数据的人员只能是履行其职责所需的知情人员,如人力资源部门的人员或监督和管理公司与各方之间合同的人员等。.

6.5 公司对计算机系统的效率进行审查和评估,以有效维护个人资料。.

7.角色和职责

公司要求与个人数据相关的人员或机构严格按照公司的个人数据保护政策和惯例收集、使用或披露个人数据,并对此予以关注和负责,指定以下人员或机构负责监督和检查公司的活动是否正确、合法地遵守个人数据保护政策和法律。.

7.1 董事会 应负责

  1. 7.1.1 制定保护个人数据和隐私的政策和做法。.
  2. 7.1.2 监督政策的具体实施。.

7.2 各级管理人员 应负责

  1. 7.2.1 根据政策、惯例、法律和国际标准,为各公司提供适当收集个人数据的规章制度。.
  2. 7.2.2 安排责任人,如机构或人员,负责按照规定监督操作。.
  3. 7.2.3 如果公司雇用自然人或法人进行数据处理,则应提供标准化的数据保护系统进行筛查。.
  4. 7.2.4 监督政策、指导方针和条例的执行情况,制定和改进政策、指导方针和条例的执 行,提高执行效率,并确保提供执行这些政策、指导方针和程序的绩效报告。.

7.3 被指定为个人资料收集者、使用者或披露者的部门或个人 应负责

  1. 7.3.1 根据个人数据保护规定和法律要求,操作和控制个人数据的处理,包括通知、征求同意、收集、使用或披露个人数据。.
  2. 7.3.2 实施和控制适当的安全措施,防止丢失、访问、使用、篡改或未经授权披露个人数据,或按照《个人数据保护条例》的规定滥用个人数据,包括通知数据控制者注意个人数据泄露事件。.
  3. 7.3.3 操作和控制个人数据在保留期过后的删除或销毁,或与收集目的无关或超出收集目的 必要性或数据当事人要求的删除或销毁。.
  4. 7.3.4 检查和控制个人数据的准确性和时效性。.
  5. 7.3.5 当出现任何侵犯个人数据的情况时,立即通知 PDPA 工作组。.
  6. 7.3.6 控制数据记录并向相关负责人报告。.
  7. 7.3.7 评估由其负责的个人数据的风险,管理并实施降低风险的措施。.

7.4 PDPA 工作组 应负责

  1. 7.4.1 向数据控制者或数据处理者(包括雇员)提供有关遵守《个人数据保护法》的建议。.
  2. 7.4.2 审查数据控制者或数据处理者依法收集、使用或披露个人数据的操作。.
  3. 7.4.3 在出现与数据控制者数据处理者收集、使用或披露个人数据有关的问题时,与个人数据保护委员会办公室进行协调与合作。.
  4. 7.4.4 对在履行职责过程中感知或获取的个人数据保密。.

7.5 数据保护官 应负责

  1. 7.5.1 在与保护个人数据有关的各个领域为公司管理人员、员工和业务伙伴提供建议。.
  2. 7.5.2 监督和监测数据控制者和数据处理者的运作。.
  3. 7.5.3 如果在收集、使用或披露公司、客户、合作伙伴或任何其他相关人员的个人数据方面出现问题,与个人数据保护委员会办公室进行协调与合作。.

8.资料当事人的权利

公司根据个人数据保护法,为数据主体或有权代表其行事的人行使数据主体的权利提供渠道和便利,数据主体有权行使以下权利:

8.1 有权访问并要求获得由公司负责的个人资料副本,以及要求披露未获得资料当事人同意而获取的个人资料。.

8.2 通过要求获得公司收集的个人数据来实现数据可移植性的权利;前提是这些个人数据是可读的,或者是一般或自动设备常用的,并且也可以自动使用或打开,包括要求将个人数据直接发送或传输给另一个数据控制者的权利,除非由于技术条件而无法这样做。.

8.3 反对收集、使用或披露个人资料的权利。.

8.4 删除、销毁或取消识别数据当事人个人数据的权利。.

8.5 限制个人数据处理的权利。.

8.6 修改权:要求公司修改个人资料,使其完整、准确、及时且不具误导性。.

在不违反适用法律的前提下,公司可拒绝数据主体或其授权人行使数据主体权利。.

9.改进、审查或修正数据保护政策 - 人力资源

公司可随时更新、审查或修订本政策的全部或部分内容,以便与法律、授权机构的规则和规定以及公司的运营保持一致;但前提是,本政策必须经过修订。.

10.隐私政策的执行

本政策适用于公司收集、使用和/或披露的所有个人资料,资料当事人有权要求公司收集和使用这些个人资料(如有),以及目前收集的和将来进一步收集的任何个人资料,以便按照本政策所述的范围和目标使用或披露给其他人。.

11.雇用数据处理人员

公司制定了与作为个人数据处理者的第三方或法人签订个人数据处理合同的指导原则,具体如下:

11.1 在雇用数据处理者之前,公司必须评估服务提供者的系统和个人数据保护措施。如果服务提供商没有安全系统或该系统不足以签订合同,则数据处理者应要求服务提供商遵守公司指定的规定或公告。.

11.2 必须明确规定雇用合同的目的、保留方法、通知数据主体、使用、传输、转移数据以及处置或删除数据。.

11.3 双方必须根据法律或公司规定签署数据处理协议 (DPA)。.

11.4 雇用数据处理人员后,公司应根据雇用目的控制其处理工作,并根据相关准则控制其运作。.

11.5 当数据保留期到期时,公司应监督和控制服务提供商处理该个人数据,并根据公司规定或商定的规则和条例删除、销毁或去标识化数据(匿名数据)。.

12.培训

公司认识到培训的重要性,培训旨在对行政人员和所有员工进行教育,提高他们对遵守个人数据保护规定的认识。所有主管也有义务指派其部门中与个人数据相关的人员严格参加培训,并进行评估和跟踪,以确保这些人员能够按照个人数据保护法律的要求,完整、准确地履行职责。.

13.其他网站的隐私声明

本隐私政策仅适用于本公司的服务和本公司网站的使用,如果客户、合同方、服务用户和人员点击其他网站(即使是通过本公司网站),本政策和本公司的条款和条件对该客户、合同方、服务用户和人员不具有约束力。为此,客户、合同方、服务用户和人员应自行建议并遵守该网站上的隐私政策。本公司不會因該網站的內容或運作而承擔任何責任。.

14.个人责任

公司指定与个人数据相关的个人或机构。该人员或机构必须严格按照本隐私政策注意收集、使用或披露个人数据的重要性和责任。任何故意或疏忽的命令或履行其职责的行为均被视为违反本政策和我们的个人数据保护惯例;前提是,和/或发生任何损害,该人员将根据公司的规章制度受到处罚,此外还将受到针对此类违法行为规定的法律处罚。然而,如果此类违法行为对公司和/或任何其他人造成损害,公司可能会考虑采取进一步的法律行动。.

15.联系我们

如果有合理的理由怀疑或认为存在任何侵犯个人数据的行为、投诉或根据本政策或《个人数据保护法》(B.E. 2562)行使数据主体权利,您可以通过以下方式与公司联系:

个人数据保护法》工作组组长
电话 : (+66)2-683-0008
传真 : (+66)2-294-2013
电子邮件 : DPO@ubisasia.com