นโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าผู้ใช้บริการ
บริษัท เดอะคลีนิกค์ คลินิกเวชกรรม จำกัด (มหาชน) (“บริษัท“) เล็งเห็นถึงความสำคัญของความเป็นส่วนตัวของลูกค้าผู้ใช้บริการ บริษัทจึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าผู้ใช้บริการฉบับนี้ (“นโยบายคุ้มครองข้อมูลส่วนบุคคล“) เพื่อกำหนดหลักเกณฑ์อันเป็นรูปธรรมในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าผู้มาใช้บริการของบริษัท และเพื่อให้การปฏิบัติต่อข้อมูลส่วนบุคคลของลูกค้าเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (และที่อาจมีการแก้ไขเพิ่มเติมในอนาคต)
นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะมีผลใช้บังคับกับข้อมูลส่วนบุคคล (ตามที่นิยามไว้ในข้อ 1 ข้างล่างนี้) ของลูกค้าบุคคลธรรมดาของบริษัท หรือพนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ผู้ถือหุ้น บุคคลผู้มีอำนาจ กรรมการ ผู้ติดต่อ ตัวแทน และบุคคลธรรมดาอื่น ๆ ที่เกี่ยวข้องกับลูกค้านิติบุคคลของบริษัท ทั้งที่เป็นลูกค้าเป้าหมาย (ผู้ที่อาจเป็นลูกค้าในอนาคต) ลูกค้าปัจจุบัน และลูกค้าในอดีต โดยนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะอธิบายถึงวิธีการที่บริษัทเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศ
1. ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับลูกค้าซึ่งระบุถึงตัวลูกค้าหรือทำให้สามารถระบุตัวลูกค้าได้ ตามที่ระบุไว้ข้างล่างนี้ ซึ่งเป็นข้อมูลที่สำคัญและมีความจำเป็นต่อบริษัทเพื่อที่จะให้บริการแก่ลูกค้า โดยบริษัทอาจเก็บรวบรวมข้อมูลของลูกค้าด้วยวิธีการต่าง ๆ เช่น เก็บรวบรวมจากลูกค้าโดยตรง หรือจากแหล่งอื่น ๆ โดยอ้อม (เช่น สื่อสังคม แพลตฟอร์มออนไลน์ของบุคคลภายนอก หรือแหล่งข้อมูลสาธารณะอื่น ๆ) และผ่านบริษัทในเครือ ผู้ให้บริการ พันธมิตรทางธุรกิจ หน่วยงานราชการทางการ หรือบุคคลภายนอกอื่น ๆ ซึ่งประเภทของข้อมูลที่บริษัทมีความจำเป็นต้องเก็บรวบรวมนี้จะขึ้นอยู่กับความสัมพันธ์ของลูกค้ากับบริษัท และบริการหรือผลิตภัณฑ์ที่ลูกค้าต้องการจากบริษัท ข้อมูลส่วนบุคคลของลูกค้าซึ่งบริษัทจะเก็บรวมรวม ใช้ เปิดเผย และ/หรือโอนให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศ รวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลประเภทดังต่อไปนี้
1) ข้อมูลส่วนตัว เช่น คำนำหน้าชื่อ ชื่อ เพศ อายุ ส่วนสูง น้ำหนัก อาชีพ ตำแหน่งงาน รายได้ สถานที่ทำงาน ตำแหน่ง การศึกษา สัญชาติ วันเกิด สถานภาพทางการสมรส ข้อมูลบนเอกสารที่ออกโดยหน่วยราชการ (เช่น บัตรประจำตัวประชาชน ทะเบียนบ้าน หนังสือเดินทาง ใบอนุญาตขับขี่รถยนต์ เป็นต้น) ลายมือชื่อ การบันทึกเสียง การบันทึกการสนทนาทางโทรศัพท์ รูปถ่าย การบันทึกภาพและวิดีโอจากกล้องวงจรปิด ทะเบียนบ้าน และข้อมูลประจำตัวอื่น ๆ
2) ข้อมูลเพื่อการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรศัพท์เคลื่อนที่ หมายเลขโทรสาร ที่อยู่จดหมายอิเล็กทรอนิกส์ (อีเมล) และชื่อบัญชีหรือรหัสประจำตัวสำหรับการติดต่อสื่อสารทางอิเล็กทรอนิกส์อื่น ๆ ข้อมูลส่วนบุคคลของญาติหรือบุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน
3) ข้อมูลการเข้ารับบริการ เช่น ข้อมูลการนัดหมายแพทย์ ความต้องการเกี่ยวกับห้องพัก อาหาร และบริการเสริมอื่น ๆ ข้อมูลการตอบสนองต่อผลการรักษาและ/หรือการใช้บริการ (Feedback) ที่ลูกค้าให้ไว้แก่บริษัท
4) ข้อมูลบัญชีและข้อมูลทางการเงิน เช่น ข้อมูลบัตรเครดิตหรือบัตรเดบิต หมายเลขบัญชีและประเภทของบัญชี ข้อมูลพร้อมเพย์ ทรัพย์สิน รายได้และค่าใช้จ่าย ตลอดจนข้อมูลการชำระเงิน และข้อมูลการสมัครใช้บริการและผลิตภัณฑ์
5) ข้อมูลการทำธุรกรรม เช่น ประเภทของผลิตภัณฑ์และ/หรือบริการ ราคาและปริมาณ หมายเลขคำสั่งซื้อ เงื่อนไข (ถ้ามี) ประวัติการใช้บริการ ยอดคงเหลือ ประวัติการชำระเงิน ประวัติการทำธุรกรรมที่เกี่ยวข้องของลูกค้า
6) ข้อมูลทางเทคนิค เช่น เลขที่อยู่ไอพีหรืออินเทอร์เน็ตโพรโทคอล (IP address) เว็บบีคอน (web beacon) ล็อก (Log) ไอดีอุปกรณ์ (Device ID) รุ่นอุปกรณ์และประเภทของอุปกรณ์ เครือข่าย ข้อมูลการเชื่อมต่อ ข้อมูลการเข้าถึง ข้อมูลการเข้าใช้งานแบบ single sign-on (SSO) การเข้าสู่ระบบ (Login log) เวลาที่เข้าถึง ระยะเวลาที่ใช้บนหน้าเพจหรือเวปไซต์ของบริษัท คุกกี้ ข้อมูลการเข้าสู่ระบบ ประวัติการค้นหา ข้อมูลการเรียกดู ประเภทและเวอร์ชั่นของเบราว์เซอร์ การตั้งค่าเขตเวลา (Time zone setting) และสถานที่ตั้ง ประเภทและเวอร์ชั่นของปลั๊กอินเบราว์เซอร์ ระบบปฏิบัติการและแพลตฟอร์ม และเทคโนโลยีอื่น ๆ บนอุปกรณ์ที่ลูกค้าใช้ในการเข้าถึงแพลตฟอร์มการให้บริการของบริษัท
7) ข้อมูลการใช้งาน เช่น ข้อมูลเกี่ยวกับการใช้งานของลูกค้าบนเว็บไซต์ แพลตฟอร์ม การใช้ผลิตภัณฑ์และบริการ และ
8) ข้อมูลการสมัครรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด เช่น ลงทะเบียนเพื่อเข้าร่วมสัมมนา
“ข้อมูลที่ละเอียดอ่อน”หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมจึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ ซึ่งบริษัทจะเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลที่ละเอียดอ่อนไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ก็ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากลูกค้า หรือต่อเมื่อกฎหมายอนุญาตให้กระทำได้
ข้อมูลที่ละเอียดอ่อนของลูกค้าซึ่งบริษัทจะเก็บรวมรวม ใช้ เปิดเผย และ/หรือโอนให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศ ได้แก่
1) ข้อมูลสุขภาพ เช่น ข้อมูลการรักษาพยาบาล ประวัติการเข้ารับบริการ ข้อมูลที่เกี่ยวข้องกับการใช้ยาและการแพ้ยา การตอบสนองต่อการรักษา โรคประจำตัว หมู่โลหิต เป็นต้น
2) ข้อมูลชีวภาพ เช่น ใบหน้า ม่านตา ลายนิ้วมือ ภาพถ่ายประกอบการรักษา ภาพถ่ายก่อนและหลังการรักษา
3) ข้อมูลที่ละเอียดอ่อนอื่น ๆ ซึ่งแสดงอยู่ในเอกสารประจำตัว เช่น เชื้อชาติและศาสนา
2. วัตถุประสงค์ของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล
ในการให้บริการแก่ลูกค้านั้น บริษัทมีความจำเป็นต้องเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) เพื่อใช้ในการดำเนินกิจการของบริษัท การให้บริการทางการแพทย์แก่ลูกค้า การติดต่อสื่อสาร การก่อตั้งหรือปฏิบัติตามสิทธิเรียกร้องตามกฎหมาย และการติดต่อกับหน่วยงานภายนอก เพื่อปฏิบัติตามภาระหน้าที่ของบริษัทในฐานะผู้ให้บริการ เพื่อประโยชน์ในการดำเนินธุรกิจ เพื่อให้เป็นไปตามกฎหมาย และ/หรือเพื่อประโยชน์โดยชอบของบริษัทและ/หรือของลูกค้า ซึ่งบริษัทจะปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้โดยเคร่งครัด
บริษัทจะร้องขอข้อมูลของลูกค้าเพียงเท่าที่จำเป็นและกฎหมายอนุญาตเท่านั้น ทั้งนี้ หากบริษัทไม่สามารถทำการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ตามที่ระบุในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ไม่ว่าด้วยเหตุใด บริษัทอาจจะไม่สามารถปฏิบัติตามสัญญาที่ทำกับลูกค้าได้ และในบางกรณีบริษัทอาจจะไม่สามารถให้บริการแก่ลูกค้าได้อีกต่อไป
บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนของลูกค้าให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศ เพื่อวัตถุประสงค์ดังต่อไปนี้
2.1. วัตถุประสงค์ที่บริษัทสามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลของลูกค้าได้โดยอาศัยหลักเกณฑ์หรือฐานทางกฎหมาย โดยไม่จำเป็นต้องได้รับความยินยอมจากลูกค้า
ในกรณีดังต่อไปนี้ บริษัทอาจเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศได้โดยไม่ต้องขอรับความยินยอมจากลูกค้า
1. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญากับลูกค้า หรือเพื่อดำเนินการตามคำขอของลูกค้าก่อนการเข้าทำสัญญา
2. เป็นการปฏิบัติหน้าที่ตามกฎหมายของบริษัท
3. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทและของบุคคลภายนอก โดยความจำเป็นดังกล่าวจะต้องสมดุลกับประโยชน์และสิทธิและเสรีภาพขั้นพื้นฐานที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
4. เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
5. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
อย่างไรก็ตาม บริษัทจะอาศัยหลักเกณฑ์หรือฐานทางกฎหมายใน (1) ถึง (5) ข้างต้น เพื่อการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอกหรือโอนให้แก่ผู้รับในต่างประเทศ เพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น
1. การติดต่อกับลูกค้าเพื่อการเข้าใช้บริการและ/หรือเข้าทำนิติกรรมกับบริษัท
2. การให้บริการทางการแพทย์และบริการอื่นที่เกี่ยวข้อง ตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า เช่น
- จัดหาบริการ หรือส่งมอบบริการ และการเข้าถึงบริการของลูกค้า ไม่ว่าช่องทางใด
- นัดหมายแพทย์ และการแจ้งเตือนการนัดหมายแพทย์
- การเสนอความช่วยเหลือจากบริษัท และแนะนำรายละเอียดการให้บริการของบริษัท
- การประสานงานและส่งต่อข้อมูลให้กับสถานพยาบาลอื่นซึ่งมีความจำเป็นต้องรับลูกค้าเพื่อเข้ารักษาต่อ
- การยืนยันตัวตนของลูกค้าเพื่อเข้ารับการบริการจากบริษัท
- วัตถุประสงค์ทางบัญชีหรือทางการเงิน เช่น การตรวจสอบการชำระเงินผ่านบัตรเครดิต การเรียกเก็บเงินและการตรวจสอบความถูกต้อง การขอคืนเงิน
- การรักษาความปลอดภัยขณะใช้บริการหรือพักรักษาหลังการเข้ารับบริการ
- ปฏิบัติตามกฎหมาย ข้อกำหนด ระเบียบ ข้อบังคับ หรือการร้องขอใด ๆ จากหน่วยราชการที่เกี่ยวข้อง เช่น การปฏิบัติตามหมายเรียกพยาน หรือคำสั่งศาล หรือการร้องขออื่น ๆ ที่ถูกต้องและสอดคล้องกับบทบัญญัติของกฎหมาย
- วัตถุประสงค์อื่น ๆ ที่สนับสนุนการดำเนินการตามวัตถุประสงค์ข้างต้น
3. การบริหารความสัมพันธ์ระหว่างลูกค้ากับบริษัท และการบริหารจัดการบัญชีที่ลูกค้ามีอยู่กับบริษัท
4. การดำเนินการตามคำสั่งของลูกค้า หรือการตอบข้อซักถามหรือความคิดเห็นของลูกค้า และการแก้ไขเรื่องร้องเรียนของลูกค้า
5. การยืนยันตัวบุคคล การตรวจสอบและคัดกรองอื่น ๆ และการติดตามตรวจสอบอย่างต่อเนื่องที่อาจจำเป็นตามกฎหมายที่ใช้บังคับ
6. การปฏิบัติตามกฎหมาย กฎระเบียบ กฎเกณฑ์ แนวทาง คำสั่ง คำแนะนำ และการร้องขอจากหน่วยงานของรัฐ หน่วยงานภาษีอากร หน่วยงานบังคับใช้กฎหมาย หน่วยงานกำกับดูแล หรือหน่วยงานอื่น ๆ (ไม่ว่าในประเทศหรือต่างประเทศ)
7. การจัดการโครงสร้างพื้นฐานของบริษัท การควบคุมภายใน การตรวจสอบ การดำเนินธุรกิจ และการปฏิบัติตามนโยบายและขั้นตอนของบริษัทที่อาจจำเป็นโดยกฎหมายและกฎระเบียบที่ใช้บังคับ รวมถึงกฎหมายและกฎระเบียบที่เกี่ยวข้องกับการควบคุมความเสี่ยง การรักษาความปลอดภัย การตรวจสอบ การเงินและการบัญชี ระบบต่าง ๆ และความต่อเนื่องทางธุรกิจ
8. การจัดการหรือการสอบสวนเรื่องร้องเรียน ข้อเรียกร้อง หรือข้อพิพาทใด ๆ
9. การบังคับสิทธิตามกฎหมายหรือตามสัญญาของบริษัท รวมถึงแต่ไม่จำกัดเพียง การติดตามทวงถามจำนวนเงินใด ๆ ทั้งหมดที่ติดค้างต่อบริษัท
10. การตรวจสอบทางบัญชีการเงินที่จะดำเนินการโดยผู้สอบบัญชี หรือการรับบริการด้านกฎหมายจากที่ปรึกษากฎหมาย
2.2. วัตถุประสงค์ที่บริษัทจำเป็นต้องได้รับความยินยอมจากลูกค้าก่อนการประมวลผลข้อมูลส่วนบุคคล
บริษัทอาจประมวลผลข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์ดังต่อไปนี้เมื่อได้รับความยินยอมจากลูกค้า
1) การติดต่อสื่อสารทางการตลาด การเสนอข้อเสนอพิเศษ เอกสารส่งเสริมการขายที่เกี่ยวกับผลิตภัณฑ์และบริการของบริษัท บริษัทในเครือและบริษัทย่อยของบริษัท และบุคคลภายนอกซึ่งบริษัทไม่สามารถอาศัยหลักเกณฑ์หรือฐานทางกฎหมายอื่น
2) การพัฒนาบริการและนำเสนอผลิตภัณฑ์ใหม่ และการให้ข้อมูลที่เป็นปัจจุบันแก่ลูกค้าเกี่ยวกับบริการและผลิตภัณฑ์ของบริษัทเป็นครั้งคราว
3) การทำวิจัย การวางแผนและการวิเคราะห์ทางสถิติ เพื่อวัตถุประสงค์ในการพัฒนาบริการและผลิตภัณฑ์ของบริษัท
4) การจัดโครงการหรือกิจกรรมส่งเสริมการขาย การประชุม การสัมมนา และการเยี่ยมชมบริษัท
ลูกค้ามีสิทธิที่จะถอนความยินยอมของลูกค้า ณ เวลาใดก็ได้ โดยลูกค้าสามารถติดต่อ แผนกลูกค้าสัมพันธ์ อีเมลล์ Customer@thekliniquedemo.e-travel.co.th เพื่อถอนความยินยอม ทั้งนี้การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการเก็บรวบรวม การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนของลูกค้าตามความยินยอมของลูกค้าก่อนที่จะขอถอนความยินยอมหรือการเก็บรวบรวม การใช้ การเปิดเผย และการโอนข้อมูลที่ละเอียดไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ที่บริษัทมีสิทธิดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า
2.3. วัตถุประสงค์การใช้ข้อมูลที่ละเอียดอ่อน
ลูกค้ามีสิทธิที่จะถอนความยินยอมของลูกค้า ณ เวลาใดก็ได้ โดยลูกค้าสามารถติดต่อ แผนกลูกค้าสัมพันธ์ อีเมลล์ Customer@thekliniquedemo.e-travel.co.th เพื่อถอนความยินยอม ทั้งนี้การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการเก็บรวบรวม การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนของลูกค้าตามความยินยอมของลูกค้าก่อนที่จะขอถอนความยินยอมหรือการเก็บรวบรวม การใช้ การเปิดเผย และการโอนข้อมูลที่ละเอียดไปยังบุคคลภายนอกหรือโอนไปยังผู้รับในต่างประเทศ (ถ้ามี) ที่บริษัทมีสิทธิดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า
1) ข้อมูลสุขภาพ เช่น ข้อมูลการรักษาพยาบาล ประวัติการเข้ารับบริการ ข้อมูลที่เกี่ยวข้องกับการใช้ยาและการแพ้ยา การตอบสนองต่อการรักษา โรคประจำตัว หมู่โลหิต เป็นต้น เพื่อการให้บริการทางการแพทย์แก่ลูกค้าตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า
2) ข้อมูลชีวมาตร (ได้แก่ [ระบบจดจำใบหน้า ลายนิ้วมือ]) เพื่อ [การสมัครใช้บริการ และการยืนยันและพิสูจน์ตัวบุคคล]
3) ศาสนาเพื่อการอำนวยความสะดวกในการเข้าใช้บริการของลูกค้า
4) ข้อมูลที่ละเอียดอ่อนซึ่งแสดงอยู่ในเอกสารประจำตัว (เช่น เชื้อชาติและศาสนา) เพื่อการยืนยันและพิสูจน์ตัวบุคคล และเพื่อการให้บริการทางการแพทย์แก่ลูกค้าตามสัญญาหรือข้อตกลงทางการค้าระหว่างบริษัทและลูกค้า
3.บุคคลภายนอกที่บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้า
บริษัทอาจเปิดเผยและ/หรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอก (รวมถึงบุคลากรและตัวแทนของบุคคลภายนอก) ภายในประเทศไทยหรือนอกประเทศไทยดังต่อไปนี้ ซึ่งประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการให้บริการทางการแพทย์แก่ลูกค้าหรือเพื่อวัตถุประสงค์อื่น ๆ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โดยลูกค้าสามารถอ่านนโยบายคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกเหล่านั้นเพื่อศึกษาข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่บุคคลภายนอกดังกล่าวประมวลผลข้อมูลส่วนบุคคลของลูกค้าได้
1) กลุ่มบริษัท ข้อมูลส่วนบุคคลของลูกค้าอาจถูกเข้าถึงหรือเปิดเผยให้แก่นิติบุคคลอื่น ๆ ภายในกลุ่มบริษัท ซึ่งรวมถึงกรรมการ ผู้บริหาร พนักงาน เจ้าหน้าที่ หรือบุคคลอื่นใดที่เกี่ยวข้องกับนิติบุคคลดังกล่าว เพื่อการให้บริการทางการแพทย์แก่ลูกค้า การวิเคราะห์ข้อมูล การรายงานผลการดำเนินงานของบริษัท การบริหารความเสี่ยงหรือการตรวจสอบภายในของกลุ่มบริษัท
2) ผู้ให้บริการของบริษัท บริษัทอาจใช้บริการของบุคคล นิติบุคคล ตัวแทน หรือผู้รับจ้างเพื่อการให้บริการต่าง ๆ ในนามของบริษัท หรือเพื่อช่วยเหลือและสนับสนุนในการจัดหาผลิตภัณฑ์และบริการให้แก่ลูกค้า บริษัทอาจเปิดเผยข้อมูลส่วนบุคคลของลูกค้ากับผู้ให้บริการเหล่านี้ รวมถึงแต่ไม่จำกัดเพียง (ก) ผู้ให้บริการเทคโนโลยีสารสนเทศ (ข) ตัวแทนการวิจัย (ค) ผู้ให้บริการการวิเคราะห์ และ/หรือห้องปฏิบัติการ (ง) ตัวแทนการสำรวจ (จ) ตัวแทนด้านการตลาด สื่อโฆษณาและการติดต่อสื่อสาร (ฉ) ผู้ให้บริการชำระเงิน และ (ช) ผู้ให้บริการด้านธุรการและการดำเนินงาน
ในการให้บริการต่าง ๆ ข้างต้น ผู้ให้บริการอาจมีความจำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของลูกค้า แต่อย่างไรก็ตาม บริษัทจะให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการของบริษัทเพียงเท่าที่จำเป็นสำหรับการให้บริการโดยผู้ให้บริการดังกล่าวเท่านั้น และบริษัทจะดำเนินการให้เป็นที่มั่นใจว่าผู้ให้บริการทุกรายที่บริษัททำงานด้วยจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้อย่างปลอดภัยและจะไม่ใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อการให้บริการแก่บริษัทเท่านั้น
3) พันธมิตรทางธุรกิจของบริษัท บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่พันธมิตรทางธุรกิจของบริษัทซึ่งมีส่วนในการให้บริการทางการแพทย์แก่ลูกค้า หรือเกี่ยวข้องในการจัดหาผลิตภัณฑ์หรือบริการประเภทใดที่ลูกค้าได้รับจากบริษัท เช่น พันธมิตรธุรกิจร่วม (co-brand partners) คู่สัญญา(market counterparties) ผู้ออกผลิตภัณฑ์ร่วม โดยบริษัทจะดำเนินการให้เป็นที่มั่นใจว่าพันธมิตรทางธุรกิจทุกรายที่บริษัททำงานด้วยจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าไว้อย่างปลอดภัยและจะไม่ใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นใดนอกจากเพื่อการให้บริการแก่ลูกค้าเท่านั้น
4) บุคคลภายนอกตามที่กฎหมายอนุญาต ในบางกรณี บริษัทอาจจะจำเป็นที่จะต้องเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้ากับบุคคลภายนอก เพื่อปฏิบัติตามภาระหน้าที่ตามกฎหมายหรือกฎระเบียบ ซึ่งรวมถึง การปฏิบัติตามคำสั่งของหน่วยงานที่บังคับใช้กฎหมาย ศาล หน่วยงานกำกับดูแล หน่วยงานรัฐ หรือบุคคลภายนอกอื่น ๆ ตามที่กฎหมายกำหนด
5) ที่ปรึกษาวิชาชีพ บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่ที่ปรึกษาวิชาชีพของบริษัทที่เกี่ยวกับบริการด้านการตรวจสอบ กฎหมาย การบัญชี และภาษีอากร ซึ่งช่วยในการประกอบธุรกิจหรือจัดการเกี่ยวกับข้อเรียกร้องทางกฎหมาย
6) บุคคลภายนอกที่เกี่ยวข้องกับการโอนธุรกิจ บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่พันธมิตรทางธุรกิจ ผู้ลงทุน ผู้ถือหุ้นรายสำคัญ ผู้รับโอนสิทธิ บุคคลที่อาจเป็นผู้รับโอนสิทธิ ผู้รับโอนหรือบุคคลที่อาจเป็นผู้รับโอนของบริษัท ในกรณีที่มีการฟื้นฟูกิจการ การปรับโครงสร้างกิจการ การควบรวมกิจการ การเข้าซื้อกิจการ การขาย การซื้อ กิจการร่วมค้า การโอน การเลิกกิจการ หรือเหตุการณ์ใดในทำนองเดียวกันที่เกี่ยวข้องกับการโอนหรือการจำหน่ายจ่ายโอนธุรกิจ สินทรัพย์ หรือหุ้นทั้งหมดหรือส่วนใด ๆ ของบริษัท ถ้ามีเหตุการณ์ใด ๆ ดังกล่าวข้างต้นเกิดขึ้น ผู้รับข้อมูลจะปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า
4.ข้อกำหนดเกี่ยวกับการโอนข้อมูลส่วนบุคคลของลูกค้าไปยังผู้รับในต่างประเทศ
บริษัทอาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของลูกค้าให้แก่บุคคลภายนอก หรือเครื่องแม่ข่าย (Server) ที่ตั้งอยู่ในต่างประเทศซึ่งประเทศปลายทางอาจมี หรืออาจไม่มีมาตรฐานการคุ้มครองข้อมูลในลักษณะเดียวกันกับประเทศไทย โดยบริษัทจะดำเนินการตามขั้นตอนและมาตรการต่าง ๆ เพื่อทำให้ลูกค้ามั่นใจได้ว่าการโอนข้อมูลส่วนบุคคลของลูกค้าจะโอนอย่างปลอดภัยและบุคคลที่รับโอนข้อมูลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และการโอนข้อมูลนั้นชอบด้วยกฎหมาย
5. การเชื่อมโยงไปยังเว็บไซต์บุคคลที่สาม
เว็บไซต์ของบริษัทอาจมีลิงก์เชื่อมไปยังเว็บไซต์บุคคลภายนอก หากลูกค้าได้เข้าถึงเว็บไซต์ตามลิงก์ดังกล่าว นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะไม่ครอบคลุมไปถึงการใช้ข้อมูลส่วนบุคคลของลูกค้าในเว็บไซต์ของบุคคลภายนอก ดังนั้น การที่บุคคลภายนอกซึ่งเป็นผู้ควบคุมดูแลเว็บไซต์ดังกล่าวประมวลผลข้อมูลส่วนบุคคลของลูกค้าจึงอยู่นอกเหนือการควบคุมของบริษัท ซึ่งบริษัทจะไม่มีส่วนเกี่ยวข้องและความรับผิดใด ๆ จากการกระทำของบุคคลภายนอกดังกล่าว
6. การเก็บรักษาข้อมูลส่วนบุคคลของลูกค้า
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าในระยะเวลาเท่าที่จำเป็นอย่างสมเหตุสมผล เพื่อให้บรรลุตามวัตถุประสงค์ที่บริษัทได้รับข้อมูลส่วนบุคคลนั้นมาตามที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และเพื่อปฏิบัติตามภาระหน้าที่ทางกฎหมายและกฎข้อบังคับต่าง ๆ อย่างไรก็ตาม บริษัทอาจเก็บข้อมูลส่วนบุคคลของลูกค้านานขึ้นหากจำเป็นตามกฎหมายที่ใช้บังคับ
เมื่อพ้นระยะเวลาดังกล่าวแล้ว หากลูกค้าไม่แสดงความยินยอมให้บริษัททำการประมวลผลข้อมูลส่วนบุคคลต่อไป บริษัทจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นตามขั้นตอนการทำลายข้อมูลของบริษัทโดยจะดำเนินการให้เสร็จโดยไม่ชักช้า
บริษัทจะใช้มาตรการทางเทคนิค และการบริหารจัดการที่เหมาะสมเพื่อป้องกันและรักษาความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าที่บริษัทเก็บรวบรวม เช่น ใช้โปรโตคอลความปลอดภัย (Secure Sockets Layer: SSL) สำหรับการเข้ารหัสข้อมูลผ่านทางอินเตอร์เน็ต และบริษัทจะจำกัดการเข้าถึงข้อมูลของลูกค้าไม่ว่าจะเป็นการจัดเก็บในรูปแบบข้อมูลอิเล็กทรอนิกส์หรือในรูปแบบเอกสารให้สามารถเข้าถึงได้เฉพาะบุคลากรที่มีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่านั้น โดยจะจัดเก็บในสถานที่ที่มีระบบป้องกันการเข้าถึงตามมาตรฐานความปลอดภัยที่เหมาะสม
7. ข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ
โดยทั่วไป การให้บริการทางการแพทย์ของบริษัท (รวมถึงกระบวนการสรรหาบุคลากรเพื่อการให้บริการ) ไม่ได้มีเป้าหมายที่ผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ และบริษัทไม่ประสงค์ที่จะเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ หากผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ ประสงค์จะเข้ารับบริการทางการแพทย์จากบริษัท บุคคลดังกล่าวต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้พิทักษ์ หรือผู้อนุบาลของบุคคลดังกล่าวก่อนที่จะติดต่อกับบริษัทหรือให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่บริษัท เว้นแต่บริษัทจะสามารถอาศัยหลักเกณฑ์หรือฐานทางกฎหมายอื่นในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่เป็นผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ ได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า
8. ข้อมูลที่สำคัญอื่น ๆ เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า
1) คุกกี้และวิธีการใช้คุกกี้ หากลูกค้าเยี่ยมชมเว็บไซต์ของบริษัท บริษัทจะเก็บรวบรวมข้อมูลบางประการโดยอัตโนมัติจากลูกค้าโดยการใช้คุกกี้ ซึ่งคุกกี้คือเทคโนโลยีการติดตามประเภทหนึ่งซึ่งนำมาใช้ในการวิเคราะห์กระแสความนิยม (trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของบริษัท หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการอินเตอร์เน็ตเบราว์เซอร์ส่วนใหญ่จะให้ลูกค้าควบคุมได้ว่าจะยอมรับคุกกี้หรือไม่ หากลูกค้าปฏิเสธการติดตามโดยคุกกี้ ความสามารถของลูกค้าในการใช้งานเว็บไซต์อาจถูกจำกัดลงไม่ว่าทั้งหมดหรือบางส่วน
2) ข้อมูลส่วนบุคคลที่เกี่ยวกับบุคคลภายนอก หากลูกค้าให้ข้อมูลส่วนบุคคลของบุคคลที่สามใด ๆ (เช่น คู่สมรสและบุตรของลูกค้า ผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน การส่งต่อในกรณีการรักษาเร่งด่วน) ลูกค้าต้องดำเนินการเพื่อให้มั่นใจได้ว่าลูกค้ามีอำนาจที่จะให้ข้อมูลส่วนบุคคลดังกล่าว และมีอำนาจอนุญาตให้บริษัทใช้ข้อมูลส่วนบุคคลดังกล่าวตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้ อีกทั้งลูกค้าต้องรับผิดชอบในการแจ้งให้บุคคลที่สามเหล่านั้นทราบถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และขอรับความยินยอมจากบุคคลที่สามที่เกี่ยวข้อง (หากจำเป็น) เว้นแต่ลูกค้าจะสามารถอาศัยหลักเกณฑ์หรือฐานทางกฎหมายอื่นในการเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่สามดังกล่าวได้โดยไม่ต้องได้รับความยินยอม
9. สิทธิในข้อมูลส่วนบุคคลของลูกค้า
ภายใต้บทบัญญัติแห่งกฎหมายและข้อยกเว้นตามกฎหมายที่เกี่ยวข้อง ลูกค้าอาจมีสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าตามที่ระบุไว้ดังต่อไปนี้
1) การเข้าถึง : ลูกค้าอาจมีสิทธิในการขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลที่บริษัทประมวลผลเกี่ยวกับลูกค้า
2) การโอนย้ายข้อมูล : ลูกค้าอาจมีสิทธิขอรับข้อมูลส่วนบุคคลที่บริษัทมีเกี่ยวกับลูกค้าในรูปแบบที่มีการจัดระเบียบแล้วและสามารถอ่านได้ในรูปแบบอิเล็กทรอนิกส์ และเพื่อส่งหรือโอนข้อมูลดังกล่าวให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่น
3) การคัดค้าน : ในบางกรณี ลูกค้าอาจมีสิทธิคัดค้านวิธีการที่บริษัทประมวลผลข้อมูลส่วนบุคคลของลูกค้าในบางกิจกรรมซึ่งระบุในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
4) การลบหรือทำลายข้อมูล : ลูกค้าอาจมีสิทธิขอให้บริษัทดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของลูกค้าที่บริษัทประมวลผลเกี่ยวกับลูกค้า เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล เช่น หากข้อมูลนั้นไม่จำเป็นสำหรับวัตถุประสงค์ในการประมวลผลข้อมูลอีกต่อไป
5) การจำกัด : ลูกค้าอาจมีสิทธิจำกัดการประมวลผลข้อมูลส่วนบุคคลของลูกค้า หากลูกค้าเชื่อว่าข้อมูลนั้นไม่ถูกต้อง หรือการประมวลผลของบริษัทไม่ชอบด้วยกฎหมาย หรือบริษัทไม่จำเป็นต้องประมวลผลข้อมูลนั้นเพื่อวัตถุประสงค์อย่างหนึ่งอย่างใดอีกต่อไป
6) การแก้ไขให้ถูกต้อง : ลูกค้าอาจมีสิทธิขอให้มีการดำเนินการแก้ไขข้อมูลส่วนบุคคลที่ไม่สมบูรณ์ ไม่ถูกต้อง ก่อให้เกิดความเข้าใจผิด หรือไม่เป็นปัจจุบัน
7) การถอนความยินยอม : ลูกค้าอาจมีสิทธิที่จะถอนความยินยอมที่ลูกค้าได้ให้แก่บริษัทเพื่อการประมวลผลข้อมูลส่วนบุคคลของลูกค้า เว้นแต่มีข้อจำกัดเกี่ยวกับสิทธิที่จะถอนความยินยอมตามที่กฎหมายกำหนด หรือมีสัญญาที่ให้ประโยชน์แก่ลูกค้า
8) การยื่นเรื่องร้องเรียน : ลูกค้าอาจมีสิทธิยื่นเรื่องร้องเรียนให้แก่หน่วยงานที่มีอำนาจในกรณีที่ลูกค้าเชื่อว่าบริษัททำการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยไม่ชอบด้วยกฎหมายหรือไม่สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้
10. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
บริษัทอาจเปลี่ยนแปลงหรือปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นครั้งคราว บริษัทขอให้ลูกค้าอ่านนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างละเอียดรอบคอบ และตรวจสอบการเปลี่ยนแปลงใด ๆ ที่อาจเกิดขึ้นตามข้อกำหนดของนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ที่ www.theklinique.com เป็นระยะ ๆ โดยบริษัทจะแจ้งเตือนให้ลูกค้าทราบหรือขอความยินยอมจากลูกค้าอีกครั้งหากมีการเปลี่ยนแปลงที่มีนัยสำคัญในนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
11. รายละเอียดการติดต่อบริษัท
หากลูกค้ามีความประสงค์ที่จะใช้สิทธิของลูกค้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า หรือหากลูกค้ามีข้อสงสัยหรือเรื่องร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โปรดติดต่อบริษัทหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท ที่
บริษัท เดอะคลีนิกค์ คลินิกเวชกรรม จำกัด (มหาชน)
- 296-299 อาคารชาญอิสสระทาวเวอร์ 2 ชั้นที่ 27 ถนนเพชรบุรีตัดใหม่ แขวงบางกะปิ เขตห้วยขวาง กรุงเทพมหานคร 10310
- pdpa@thekliniquedemo.e-travel.co.th
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ผู้จัดการสาขา/รักษาการผู้จัดการสาขา และผู้จัดการฝ่ายขายประจำสาขา
- 296-299 อาคารชาญอิสสระทาวเวอร์ 2 ชั้นที่ 27 ถนนเพชรบุรีตัดใหม่ แขวงบางกะปิ เขตห้วยขวาง กรุงเทพมหานคร 10310
- pdpa@thekliniquedemo.e-travel.co.th