Personal Data Protection Policy
Veranda Resort Public Company Limited and its Subsidiaries
With awareness of the importance of personal data protection, Veranda Resort Public Company Limited and its subsidiaries (collectively referred to as the “Company”) hereby formulate the Personal Data Protection Policy (the “Policy”) in order to establish the purposes of the collection, the use, and the disclosure of personal data, the protection of personal data, the period of retention, as well as the rights of data subjects, so that the data subjects are aware of the personal data protection policy of the Company.
“Personal data” means any information that can be used to identify a natural person (“data subject”), whether directly or indirectly, but shall not include, in particular, any information regarding deceased persons.
“Sensitive data” means any information that is intrinsically personal of any individual that is sensitive and may be subject to discrimination. For example, race, political opinions, beliefs, religion, philosophy,
information of health or disability or any similar data which may affect the data subject.
“Data controller” means a person or a juristic person who has the power and duty to make decisions regarding the collection, use, or disclosure of personal data.
“Data processor” means a person or a juristic person who is engaged in the collection, use, or disclosure of personal data under the instruction of a data controller.
The person or juristic person who is engaged in the above-mentioned activities is not considered a data controller.
The Company shall collect personal data in accordance with the purposes, scope, and procedures that are lawful. The personal data shall be collected to the extent that it is necessary for the operations under the purposes of the Company only. In this regard, the Company shall procure that the data subjects are aware of and obtain the consent of the data subject by electronic means or any other procedure specified by the Company. In the case that the Company collects sensitive data of a data subject, the Company shall obtain the express consent of the data subject before collecting sensitive data, with the exception of the collection of personal data and sensitive data that falls under the exemption under the Personal Data Protection Act B.E. 2562 (2019) or as prescribed by law.
The Company shall collect or use personal data of data subjects for the purposes specified in this Policy. and shall not use the personal data for any other purposes, unless consent has been granted by the data subject or as required by law as follows:
- In the interest of the operations and the provision of services of the Company;
- For improvement of the service quality and the enhancement of efficiency;
- In order for the Company to be able to perform obligations under agreements;
- In order to update the personal data;
- In order to prevent severe damage to health and life;
- For the legitimate interest of the Company and other persons, provided that such collection of personal data shall not be beyond the scope that the data subject may reasonably foresee, and that the rights of the data subject shall not be prejudiced; and
- In order to comply with the laws or regulations relating to the operations of the Company.
The Company shall not disclose any personal data of a data subject to any person without the consent from the data subject, and shall disclosure personal data in accordance with the purposes for which the Company has informed the data subject. Notwithstanding the foregoing, in the interest of the operations of the Company and the provision of services to the data subject, the Company may be required to disclose the personal data of the data subject to its subsidiaries, the internal auditor, the auditor, or other person or juristic person as prescribed by law.
The Company shall establish measures in safeguarding the security of the personal data that is in compliance with the applicable laws, regulations, criteria, and guidelines on the personal data protection for the employees of the Company and all concerned parties. In addition, the Company shall encourage and promote the employees to acquire knowledge and be aware of their duties and responsibilities in the collection, the retention, the use, the updating, and the disclosure of personal data. The Company shall adopt appropriate security measures to prevent any unauthorized access or breach of personal data, or any adjustment or destruction of personal data. In this regard, the employees of the Company shall comply with the Policy as specified by the Company in order for the Company be able to properly and efficiently comply with the Policy and the law on the personal data protection.
The Company may outsource the management of personal data to its third-party service providers, which includes a data processor. The Company shall appoint a service provider who has confirmed that it has the capability to properly manage personal data only, and the Company shall disclose personal data to the service provider in accordance with the scope of work and the provision of services, and shall enter into an agreement with the service provider in writing or in a similar means to ensure that the service provider shall properly manage personal data.
The Company shall retain personal data for a period that is necessary in the interest of the operations or provision of services to the data subjects, or the period required by the relevant law.
The data subjects of personal data shall have the following rights:
- Right to withdraw consent: The data subject has the right to withdraw consent for the processing of personal data that he or she has given to the Company, provided that any withdrawal of consent shall not affect the use, collection, or the disclosure of personal data to which the data subject has given his or her consent.
- Right to access personal data: The data subject has the right to access his or her personal data and to make copies of his or her personal data throughout the period his or her personal data is retained by the Company.
- Right to personal data portability: The data subject has the right to transfer his or her personal data given to the Company to other data controllers when such transfer is made possible by an automatic means or in accordance with the procedures specified by the Company.
- Right to object to the processing of personal data: The data subject has the right to object to the processing of his or her personal data by the Company
- Right to erase, destroy or suspend any use of personal data: The data subject has the right to request the Company to erase, destroy, or suspend any use of his or her personal data retained by the Company, or to request the Company to undertake any act rendering that the data cannot be used to identify the data subject provided that such undertaking is not against the law.
- Right to rectification: The data subject has the right to request the Company to rectify and update his or her personal data retained by the Company.
The data subject can request the Company to exercise the rights stated above by submitting a request for exercising the rights to the Company in writing or via an electronic mail in the form specified by the Company to the “Contact Channel” set out below. The Company shall consider the request and inform the data subject of the results of consideration within 30 days from receipt of the request. Notwithstanding the foregoing, the Company may decline the right of the data subject if it is required by law.
The Company may amend or revise this Policy from time to time as it deems necessary in order to ensure that the Policy is in compliance with the law. Any amendment or revision to the Policy will be published on the Company’s website or any other channel that it deems appropriate.
Contact: Data Protection Officer
Name: Ms.Pinitporn Pooyadaow
Address: Veranda Resort Public Company Limited
555 Rasa Building, Unit 2701-2704, 27th Floor,
Phaholyothin Road, Chatuchak Subdistrict,
Chatuchak District, Bangkok 10900
Telephone: 0-2513-3003
Email: dpo@verandaresort.com
นโยบายคุ้มครองข้อมูลส่วนบุคคล
บริษัท วีรันดา รีสอร์ท จำกัด (มหาชน) และบริษัทย่อย
บริษัท วีรันดา รีสอร์ท จำกัด (มหาชน) และบริษัทย่อย (ซึ่งจะเรียกรวมกันว่า “บริษัท”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่ออธิบายถึงวัตถุประสงค์ของการเก็บรวบรวม การใช้ และการเปิดเผย การคุ้มครองข้อมูลส่วนบุคคล ระยะเวลาการจัดเก็บ รวมถึงสิทธิต่างๆของเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลที่อ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความอ่อนไหวและอาจสุ่มเสี่ยงต่อการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลสุขภาพ ความพิการ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
บริษัทจะจัดเก็บรวบรวมข้อมูลส่วนบุคคลโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมาย โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของบริษัทเท่านั้น ทั้งนี้บริษัทจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมทางอิเล็กทรอนิกส์ หรือตามแบบวิธีการของบริษัท กรณีที่บริษัทจัดเก็บข้อมูลที่อ่อนไหวของเจ้าของข้อมูล บริษัทจะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนทำการเก็บรวบรวม เว้นแต่การเก็บข้อมูลส่วนบุคคลและข้อมูลที่อ่อนไหวจะเข้าข้อยกเว้นตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้
บริษัทจะทำการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อวัตถุประสงค์ตามที่ระบุไว้ในนโยบายนี้ และจะไม่ใช้ข้อมูลเพื่อวัตถุประสงค์อื่นใด เว้นแต่ได้รับความยินยอมจากลูกค้าหรือตามที่กฎหมายกำหนด ดังนี้
- เพื่อประโยชน์ในการดำเนินงานและการให้บริการของบริษัท
- เพื่อปรับปรุงคุณภาพการบริการให้มีประสิทธิภาพมากยิ่งขึ้น
- เพื่อให้บริษัทสามารถปฏิบัติตามภาระผูกพันตามสัญญา
- เพื่อปรับปรุงข้อมูลส่วนบุคคลให้มีความเป็นปัจจุบัน
- เพื่อป้องกันอันตรายร้ายแรงอันอาจเกิดต่อสุขภาพและชีวิต
- เพื่อประโยชน์อันชอบธรรมของบริษัทและบุคคลอื่น โดยไม่เกินขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายได้อย่างสมเหตุสมผล และไม่กระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูล
- เพื่อการปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องกับการดำเนินงานของบริษัท
บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้บุคคลใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของบริษัทและการให้บริการแก่เจ้าของข้อมูล บริษัทอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่ บริษัทย่อย ผู้ตรวจสอบภายใน ผู้สอบบัญชี บุคคลหรือนิติบุคคลอื่นตามที่กฎหมายกำหนด
บริษัทจะกำหนดมาตรการต่างๆ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของบริษัทและบุคคลอื่นที่เกี่ยวข้อง รวมถึงการส่งเสริมและสนับสนุนให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ การดูแลข้อมูลส่วนบุคคลให้มีความถูกต้องเป็นปัจจุบัน และการเปิดเผยข้อมูลส่วนบุคคล บริษัทจะใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันการเข้าถึงหรือการรั่วไหลของข้อมูล การปรับเปลี่ยนหรือการทำลายข้อมูลส่วนโดยไม่ได้รับอนุญาต โดยพนักงานของบริษัทต้องปฏิบัติตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามที่บริษัทกำหนดไว้ เพื่อให้บริษัทสามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ
บริษัทอาจมอบการจัดการข้อมูลส่วนบุคคลแก่ผู้ให้บริการภายนอกของบริษัท ซึ่งรวมถึงผู้ประมวลผลข้อมูลส่วนบุคคล โดยบริษัทจะเลือกผู้ให้บริการที่ได้รับการยืนยันว่ามีความสามารถในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมเท่านั้น โดยบริษัทจะเปิดเผยข้อมูลส่วนบุคคลแก่ผู้ให้บริการดังกล่าวตามขอบเขตการใช้งานและการให้บริการ และกำหนดให้ทำสัญญาเป็นลายลักษณ์อักษรหรือวิธีการที่คล้ายกันเพื่อให้มั่นใจว่าผู้ให้บริการได้มีการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม
บริษัทจะจัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาที่จำเป็นเพื่อประโยชน์ในการดำเนินงานหรือการให้บริการกับเจ้าของข้อมูลส่วนบุคคล หรือตามระยะเวลาที่กฎหมายที่เกี่ยวข้องกำหนด
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
- สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมกับบริษัทได้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการ ใช้ เก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลและขอทำสำเนาข้อมูลส่วนบุคคล ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับบริษัท
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลที่ให้ไว้กับบริษัทไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และเป็นไปตามขั้นตอนที่บริษัทกำหนด
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของบริษัท
- สิทธิในการลบ ทำลาย หรือระงับการใช้ เจ้าของข้อมูลมีสิทธิร้องขอให้บริษัท ลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลที่บริษัทเก็บรักษาไว้ หรือให้บริษัทดำเนินการให้ข้อมูลดังกล่าวกลายเป็นข้อมูลที่ไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้ หากการดำเนินการดังกล่าวไม่ขัดต่อกฎหมาย
- สิทธิในการแก้ไข เจ้าของข้อมูลมีสิทธิร้องขอให้บริษัทดำเนินการแก้ไขให้ข้อมูลส่วนบุคคลที่บริษัทจัดเก็บให้เป็นข้อมูลที่ถูกต้องและเป็นปัจจุบัน
เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อบริษัทเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่บริษัทกำหนด ผ่าน “ช่องทางการติดต่อของบริษัท” ด้านล่าง โดยบริษัทจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องของเจ้าของข้อมูลภายใน 30 วันนับแต่วันที่ได้รับคำร้อง ดังกล่าว ทั้งนี้ บริษัทอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้
บริษัทอาจปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวตามความจำเป็นเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย โดยบริษัทจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบผ่านทางเว็บไซต์ของบริษัท หรือช่องทางอื่นที่เห็นว่าเหมาะสมต่อไป
ติดต่อ: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ชื่อ: นางสาวพินิจพร ภูยาดาว
ที่อยู่: บริษัท วีรันดา รีสอร์ท จำกัด (มหาชน) 555 อาคารรสาทาวเวอร์ ยูนิต 2701-2704 ชั้นที่ 27 ถนนพหลโยธิน แขวงจตุจักร เขตจตุจักร กรุงเทพมหานคร 10900
โทรศัพท์: 0-2513-3003
อีเมล: dpo@verandaresort.com