บริษัท ล็อกซเล่ย์ อีโวลูชั่น เทคโนโลยี จำกัด (“บริษัทฯ” หรือ “เรา”) เคารพสิทธิความเป็นส่วนตัวและให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลของท่าน เราจะเก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเพียงเท่าที่จำเป็นในการดำเนินการตามวัตถุประสงค์ที่เราได้ระบุไว้ในประกาศความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคลฉบับนี้ (“ประกาศความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคล”) เท่านั้น และจะปฏิบัติตามหลักเกณฑ์และมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่กฎหมายกำหนดอย่างเคร่งครัด

บริษัทตระหนักและให้ความสำคัญกับการเก็บรวบรวมและรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการทุกท่านไว้เป็นความลับ อย่างไรก็ตาม เนื่องจากในการดำเนินงานและให้บริการบริษัทแก่ผู้ใช้บริการ บริษัทมีความจำเป็นที่จะต้องใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ บริษัทจึงมีหน้าที่ที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (ในบางกรณี) โดยบริษัทขอยืนยันว่า

• บริษัทจะใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างถูกต้อง และภายใต้ขอบเขตที่กฎหมายกำหนดอย่างถูกต้องตามกฎหมาย
• บริษัทสนับสนุนให้มีการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ
• บริษัทมีระบบรักษาความปลอดภัยและการเก็บรักษาข้อมูลส่วนบุคคลที่คุ้มครองและให้ความปลอดภัยกับความลับของข้อมูลส่วนบุคคลตามมาตรฐานที่กฎหมายกำหนด
• บริษัทจะจัดทำระบบและใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลโดยคำนึงถึงความเป็นส่วนตัวของผู้ใช้บริการ

ด้วยเหตุดังกล่าว บริษัทจึงได้จัดทำนโยบายการจัดการข้อมูลส่วนบุคคลฉบับนี้เพื่ออธิบายถึงวิธีการและแนวทางการดำเนินการที่บริษัทจะปฏิบัติต่อข้อมูลส่วนบุคคลของผู้ใช้บริการ อาทิ การใช้ การรวบรวม การจัดเก็บ การเปิดเผย การรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิต่างๆ ของผู้ใช้บริการ ดังนั้น เพื่อประโยชน์ของผู้ใช้บริการทุกท่าน บริษัทจึงขอแนะนำให้ผู้ใช้บริการทำความเข้าใจนโยบายการจัดการข้อมูลส่วนบุคคลของบริษัทอย่างละเอียด ดังต่อไปนี้

1. คำนิยาม

หากมิได้ระบุไว้เป็นอย่างอื่นในนโยบายฉบับนี้ ให้ถ้อยคำต่อไปนี้ให้มีความหมายตามที่ระบุไว้ข้างท้ายนี้

1. “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือฉบับอื่นที่อาจมีการแก้ไขในภายหลัง รวมถึงพระราชกฤษฎีกา กฎกระทรวง ประกาศ คำสั่ง และกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
2. “การให้บริการ” หมายถึง การซื้อ การขาย การรับจ้าง การให้บริการ หรือการดำเนินการอื่นใดจากการดำเนินธุรกิจของบริษัทแก่ผู้ใช้บริการ
3. “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใดๆ ที่เกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวตนบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อมรวมทั้งข้อมูลทุกประเภทที่สามารถบ่งชี้ตัวตน อาทิเช่น ชื่อ หมายเลขประจำตัวบัตรประชาชน ข้อมูลสถานที่อยู่ ข้อมูลออนไลน์ ข้อมูลเอกลักษณ์ทางกายภาพ ทางจิตใจ ทางสังคม เศรษฐกิจ หรือวัฒนธรรม ที่สามารถระบุตัวตนได้
4. “บริษัท” หมายถึง บริษัท ล็อกซเล่ย์ อีโวลูชั่น เทคโนโลยี จำกัด บริษัทย่อย และบริษัทอื่นๆ ที่มีการควบคุมและบริหารจัดการโดยผู้ถือหุ้นของ บริษัท ล็อกซเล่ย์ อีโวลูชั่น เทคโนโลยี จำกัด
5. “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
6. “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
7. “ผู้ใช้บริการ” หมายถึง บุคคลหรือนิติบุคคลซึ่งได้รับการให้บริการจากบริษัทไม่ว่าในรูปแบบใดๆ รวมถึงตัวแทน พนักงาน ลูกจ้าง ผู้บริหาร หรือผู้แทนของผู้ใช้บริการ

2. แนวทางการดำเนินการของบริษัท

เนื่องจากในการดำเนินการของบริษัทนั้น บริษัทมีความจำเป็นที่จะต้องใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ บริษัทจึงมีหน้าที่ที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (ในบางกรณี) โดยบริษัทขอรับรองและรับประกันดังต่อไปนี้

1. บริษัทจะใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการภายใต้ขอบเขตที่กฎหมายกำหนด
2. บริษัทมีระบบรักษาความปลอดภัยและคุ้มครองการเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการตามมาตรฐานที่กฎหมายกำหนด
3. บริษัทจะดำเนินการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคล โดยคำนึงถึงความเป็นส่วนตัวของผู้ใช้บริการเป็นสำคัญ

3. ขอบเขตการบังคับใช้นโยบายการจัดการข้อมูลส่วนบุคคล

เพื่อคุ้มครองข้อมูลส่วนบุคคลและรักษาความเป็นส่วนตัวของผู้ใช้บริการ ให้นโยบายการจัดการข้อมูลส่วนบุคคลนี้มีผลบังคับใช้กับการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลทั้งหมดของผู้ใช้บริการจากธุรกรรมและการให้บริการทุกประเภทระหว่างผู้ใช้บริการกับบริษัท

4. หลักการในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล

บริษัทจะดำเนินการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลภายใต้หลัก 6 ประการดังต่อไปนี้

หลักการคุ้มครองข้อมูลส่วนบุคคล	บริบทการดำเนินการของบริษัท
ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส	บริษัทได้ใช้ รวบรวม จัดเก็บ เปิดเผยและประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการตามที่บริษัทได้รับความยินยอมจากผู้ใช้บริการ หรือตามที่เงื่อนไขหรือข้อกำหนดในสัญญาระหว่างบริษัทกับผู้ใช้บริการ ข้อมูลดังกล่าวจะจัดเก็บในรูปแบบกระดาษและสื่ออิเล็กทรอนิกส์ตามลักษณะและวัตถุประสงค์ของงานตามความยินยอมหรือสัญญา โดยการใช้ รวบรวม จัดเก็บและเปิดเผยจะอยู่ภายใต้วัตถุประสงค์ที่กฎหมายกำหนดและตามวัตถุประสงค์การใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลที่ได้แจ้งแก่ผู้ใช้บริการ ในขณะที่บริษัทจะทำการเก็บรวบรวมข้อมูลดังกล่าว
วัตถุประสงค์การจัดเก็บ	บริษัทจะใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้เก็บรวบรวมมาหรือตามอำนาจหน้าที่ตามกฎหมายหรือตามขอบเขตหน้าที่การงานตามที่ระบุไว้เท่านั้น
การเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น	บริษัทจะใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นที่เกี่ยวข้องกับวัตถุประสงค์ที่กำหนดไว้เท่านั้น เว้นแต่กฎหมายระบุให้ดำเนินการเพิ่มเติม หรือใช้ รวบรวม จัดเก็บและเปิดเผยเพื่อป้องกันผลประโยชน์ได้เสียโดยชอบธรรมของบริษัท
ความถูกต้องของข้อมูล	บริษัทจะดำเนินการตรวจสอบให้ข้อมูลส่วนบุคคลมีความถูกต้อง ทันสมัย และสามารถแก้ไขข้อผิดพลาดได้โดยเร็ว
การจำกัดเวลาการเก็บข้อมูล	บริษัทจะเก็บข้อมูลส่วนบุคคลไว้ไม่เกินระยะเวลาเท่าที่จำเป็นหรือระยะเวลาตามกฎหมายสำหรับวัตถุประสงค์ที่บริษัทกำหนด เว้นแต่กรณีที่กฎหมายกำหนดให้จัดเก็บเพิ่มเติมหรือเพื่อป้องกันผลประโยชน์ได้เสียโดยชอบธรรมของบริษัท
ความสมบูรณ์และการรักษาความลับ	บริษัทจะใช้มาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐานสำหรับข้อมูลที่บริษัทจัดเก็บ เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลที่อยู่ในความควบคุมของบริษัทถูกเข้าถึงโดยไม่ชอบ สูญหาย หรือถูกทำลายโดยบุคคลภายนอกหรือถูกใช้โดยไม่ชอบด้วยกฎหมาย

5. หลักเกณฑ์ทางกฎหมายสำหรับการใช้ รวบรวม จัดเก็บและเปิดเผย – ข้อมูลส่วนบุคคล

บริษัทจะไม่ใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการโดยไม่ได้รับความยินยอมจากผู้ใช้บริการ เว้นแต่กรณีที่เป็นการกระทำตามกฎหมายที่เกี่ยวข้อง หรือเพื่อปฏิบัติตามสัญญา หรือมีกฎหมายหรือสิทธิโดยชอบด้วยกฎหมายให้สามารถดำเนินการได้ ซึ่งหลักเกณฑ์ทางกฎหมายที่บริษัทจะใช้เพื่อรองรับการใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลในกรณีดังกล่าว มีรายละเอียดดังต่อไปนี้

หลักเกณฑ์ทางกฎหมาย	ตัวอย่างสำหรับกรณีของบริษัท
เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา	ใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อใช้ปฏิบัติตามสัญญา หรือข้อกำหนดหรือเงื่อนไขใดๆ ที่กำหนดในสัญญา หรือแนวทางในการปฏิบัติตามสัญญาของบริษัท
เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล	การเปิดเผยข้อมูลข้อมูลแก่หน่วยงานรัฐที่มีอำนาจเมื่อมีคำสั่งศาล หรือคำสั่งที่ชอบด้วยกฎหมายของหน่วยงานรัฐ
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ของบริษัทและบริษัทย่อยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล	การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการผ่านระบบโทรทัศน์วงจรปิดของบริษัทและประมวลผลข้อมูลดังกล่าวเพื่อตรวจสอบและรักษาความปลอดภัย รวมถึงพัฒนาระบบรักษาความปลอดภัยของบริษัท การบันทึกภาพหรือข้อมูลส่วนบุคคลในการใช้บริการของบริษัทซึ่งเป็นโดยปกติธุระโดยทั่วไป หรือเพื่อป้องกันรักษาความปลอดภัยในการรักษาข้อมูลความลับของบริษัท

6. หลักเกณฑ์ทางกฎหมายสำหรับการใช้ รวบรวม จัดเก็บและเปิดเผย – ข้อมูลที่มีความอ่อนไหว (Sensitive Data)

บริษัทจะไม่ใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลที่มีความอ่อนไหว (Sensitive Data) ของผู้ใช้บริการ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากผู้ใช้บริการ เว้นแต่กรณีที่บริษัทมีฐานทางกฎหมายรองรับให้สามารถดำเนินการได้ตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น

หลักเกณฑ์ทางกฎหมาย	ตัวอย่างสำหรับกรณีของบริษัท
เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม	การเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น ข้อมูลสุขภาพ หมู่เลือด หรือความเชื่อทางศาสนาแก่เจ้าหน้าที่พยาบาลหรือโรงพยาบาลเพื่อการรักษาชีวิต ร่างกาย หรือสุขภาพของผู้ใช้บริการ ในกรณีที่เกิดอุบัติเหตุแก่ผู้ใช้บริการ และผู้ใช้บริการไม่มีสติไม่สามารถให้ความยินยอมได้
เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล	การเปิดเผยชื่อ นามสกุล และรูปภาพของผู้ใช้บริการ ซึ่งผู้ใช้บริการได้เผยแพร่ผ่านทางเว็บไซต์ด้วยความยินยอมของผู้ใช้บริการ
เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง	การเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น ชื่อ นามสกุล เพศ ข้อมูลสุขภาพ หมู่เลือด หรือความเชื่อทางศาสนา แก่เจ้าหน้าที่หรือหน่วยงานสาธารณสุขในกรณีที่เกิดการระบาดของโรคติดต่อในบริเวณที่ตั้งของบริษัท หรือเกี่ยวข้องกับบริษัท
เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น	การใช้ข้อมูลส่วนบุคคลเพื่อวิเคราะห์วิจัย เพื่อพัฒนา บริการทางวิทยาศาสตร์เพื่อประโยชน์ส่วนรวม เช่น การประมวลผลข้อมูลผ่านปัญญาประดิษฐ์ (AI) เป็นต้น

7. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

การใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลจะกระทำโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการ ด้วยวิธีการใดๆ ซึ่งอาจเป็นรูปแบบเอกสาร หรือวิธีการทางอิเล็กทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของบริษัท หรือเป็นไปเพื่อประโยชน์ในการดำเนินกิจการของบริษัทเท่านั้น
ทั้งนี้ ผู้ใช้บริการได้รับทราบและให้ความยินยอมแก่บริษัทในการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการด้วยวิธีการให้ความยินยอมทางเอกสาร ทางอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดตามที่บริษัทกำหนด เพื่อใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลตามวัตถุประสงค์ที่บริษัทกำหนด นอกจากนี้ ผู้ใช้บริการได้ให้ความยินยอมแก่บริษัทในการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลที่มีความอ่อนไหว (Sensitive Data) อาทิเช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันในกรณีที่ข้อมูลที่มีความอ่อนไหว (Sensitive Data) ดังกล่าวมีความจำเป็นต่อการให้บริการแก่ผู้ใช้บริการ

ทั้งนี้ บริษัทอาจใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการโดยไม่จำเป็นต้องขอความยินยอมในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ในกรณีดังต่อไปนี้

1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท
6. เป็นการปฏิบัติตามกฎหมายของบริษัท เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน ประมวลกฎหมายแพ่งและอาญา ประมวลกฎหมายวิธีพิจารณาความแพ่งและอาญา เป็นต้น
7. เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของผู้ใช้บริการ
8. เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
9. เพื่อประโยชน์ของผู้ใช้บริการ และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น

8. วัตถุประสงค์ในการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อประโยชน์ให้บริการแก่ผู้ใช้บริการ รวมถึงให้บริการอื่นที่ผู้ใช้บริการสนใจ หรือเพื่อประโยชน์ในการจัดทำฐานข้อมูลและใช้ข้อมูลเพื่อเสนอสิทธิประโยชน์ตามความสนใจของผู้ใช้บริการ หรือเพื่อประโยชน์ในการวิเคราะห์และนำเสนอบริการหรือผลิตภัณฑ์ใดๆ ของบริษัท และ/หรือบุคคลที่เป็นผู้จำหน่าย เป็นตัวแทน หรือมีความเกี่ยวข้องกับบริษัท และ/หรือเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่ใช้บังคับกับบริษัท ทั้งที่ประกาศบังคับใช้แล้วหรืออาจประกาศบังคับใช้ในอนาคต และ/หรือประโยชน์อื่นใดในการประกอบธุรกิจและดำเนินธุรกิจของบริษัท

ทั้งนี้ ผู้ใช้บริการได้ให้ความยินยอมแก่บริษัทในการส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทย่อย พันธมิตรทางธุรกิจ ผู้ประมวลผลข้อมูลที่ได้รับมอบหมายจากบริษัท และ/หรือบุคคล/บริษัทอื่นใดที่มีความสัมพันธ์ทางกฎหมายหรือธุรกิจกับบริษัท โดยผู้ใช้บริการยินยอมให้บริษัท ส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่บุคคลหรือบริษัทอื่น ทั้งในประเทศและต่างประเทศ ได้

9. ข้อจำกัดในการใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะใช้และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการได้ ตามความยินยอมของผู้ใช้บริการโดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการเก็บรวบรวมและจัดเก็บข้อมูลของบริษัท และวัตถุประสงค์ที่บริษัทกำหนดเท่านั้น ในการนี้ บริษัทจะกำกับดูแลพนักงาน เจ้าหน้าที่หรือผู้ปฏิบัติงานของบริษัทมิให้ใช้และ/หรือเปิดเผย ข้อมูลส่วนบุคคลของผู้ใช้บริการนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลหรือเปิดเผยต่อบุคคลภายนอก เว้นแต่

1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท
6. เป็นการปฏิบัติตามกฎหมายของบริษัท เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน ประมวลกฎหมายแพ่งและอาญา ประมวลกฎหมายวิธีพิจารณาความแพ่งและอาญา เป็นต้น
7. เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของผู้ใช้บริการ
8. เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
9. เพื่อประโยชน์ของผู้ใช้บริการ และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น

ทั้งนี้ บริษัทอาจใช้บริการของผู้ให้บริการอื่นซึ่งเป็นบุคคลภายนอกเพื่อให้ดำเนินการเก็บรวบรวม เก็บรักษา ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งผู้ให้บริการนั้นจะต้องมีมาตรการรักษาความมั่นคงปลอดภัย โดยห้ามดำเนินการเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการนอกเหนือจากที่บริษัทกำหนด

นอกจากนี้ บริษัทอาจใช้ขั้นตอนการตัดสินใจอัตโนมัติที่จะประมวลผลข้อมูลของผู้ใช้บริการผ่านระบบคอมพิวเตอร์ในบางกรณี ทั้งนี้ ผู้ใช้บริการอาจสอบถามรายละเอียดเพิ่มเติมโดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท

10. ผู้รับข้อมูลส่วนบุคคลของผู้ใช้บริการ

บริษัทตระหนักถึงความสำคัญในการทำให้มั่นใจถึงการป้องกันข้อมูลส่วนบุคคลที่เพียงพอ บริษัทพยายามที่จะจำกัดการเข้าถึงข้อมูลส่วนบุคคลให้แก่บุคคลที่มีความจำเป็นที่จะต้องเข้าถึงข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ตามความยินยอมที่ผู้ใช้บริการได้ให้ไว้แก่บริษัท หรือเพื่อปฏิบัติหน้าที่ตามสัญญาของบริษัท

ผู้บริหาร พนักงาน เจ้าหน้าที่ ของบริษัท รวมทั้งบุคคลภายนอกที่มีสัญญาให้บริการแก่บริษัทเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลข้างต้นและคู่สัญญาอื่นๆ ที่กระทำในนามบริษัทจะเป็นผู้ได้รับและประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ

บริษัทจะเปิดเผยและแบ่งปันข้อมูลกับผู้ให้บริการเหล่านั้นเท่าที่จำเป็นเพื่อประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการแก่ผู้ใช้บริการและเพื่อปกป้องส่วนได้เสียของบริษัทเท่านั้น และบริษัทตกลงที่จะป้องกันข้อมูลส่วนบุคคลของผู้ใช้บริการจากการใช้ การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาต ผู้ใช้บริการอาจติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสำหรับข้อมูลเพิ่มเติมเกี่ยวกับประเภทของผู้ให้บริการที่บริษัทจะมีการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการให้ทราบ

ทั้งนี้ ผู้ใช้บริการได้ให้ความยินยอมแก่บริษัทในการส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทย่อย พันธมิตรทางธุรกิจ ผู้ประมวลผลข้อมูลที่ได้รับมอบหมายจากบริษัท และ/หรือบุคคล/บริษัทอื่นใดที่มีความสัมพันธ์ทางกฎหมายหรือธุรกิจกับบริษัท โดยผู้ใช้บริการยินยอมให้บริษัท ส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่บุคคลหรือบริษัทอื่นทั้งในประเทศและต่างประเทศได้ เพื่อวัตถุประสงค์ในการดำเนินการกิจการของบริษัท หรือเพื่อการปฏิบัติตามนโยบายหรือประกาศที่บริษัทจะกำหนดเป็นกรณีๆ ไป หรือเพื่อปกป้องประโยชน์ได้เสียหรือสิทธิโดยชอบด้วยกฎหมายของบริษัท

11. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Transfer to Third Country)

บริษัทอาจโอนข้อมูลส่วนบุคคลของผู้ใช้บริการไปยังต่างประเทศเพื่อวัตถุประสงค์ในการดำเนินกิจการของบริษัทเท่าที่จำเป็น ทั้งนี้ ผู้ใช้บริการตกลงให้บริษัทส่งข้อมูลส่วนบุคคลของผู้ใช้บริการออกนอกประเทศไทยไปยังบุคคลหรือหน่วยงานที่อยู่ในประเทศอื่น หรือภายใต้เขตอำนาจกฎหมายของประเทศอื่น ไม่ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศนั้นอาจถึงเกณฑ์หรือไม่ถึงเกณฑ์มาตรฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ทั้งนี้ บริษัทจะปฏิบัติตามขั้นตอนที่เหมาะสมในการคุ้มครองรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการในระดับเดียวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

12. ระยะเวลาการเก็บข้อมูล (Data Retention)

บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการไม่เกินระยะเวลาเท่าที่จำเป็นหรือระยะเวลาตามกฎหมายสำหรับวัตถุประสงค์ที่บริษัทกำหนดเท่านั้น ผู้ใช้บริการสามารถตรวจสอบข้อมูลเกี่ยวกับระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท

13. สิทธิของผู้ใช้บริการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มีสิทธิตามกฎหมายดังต่อไปนี้

สิทธิ	คำอธิบาย
สิทธิในการเข้าถึงข้อมูล	ผู้ใช้บริการมีสิทธิที่จะตรวจสอบว่าบริษัทได้ดำเนินการใดกับข้อมูลส่วนบุคคลของผู้ใช้บริการที่บริษัทได้เก็บรวบรวมเอาไว้ รวมถึงมีสิทธิที่จะขอรับสำเนาข้อมูลดังกล่าวจากบริษัท
สิทธิในการแก้ไขข้อมูลให้ถูกต้อง	บริษัทจะใช้ความพยายามอย่างดีที่สุดเพื่อให้ข้อมูลส่วนบุคคลของผู้ใช้บริการที่บริษัทเก็บรวบรวมมีความถูกต้อง สมบูรณ์ และเป็นปัจจุบัน อย่างไรก็ตาม ผู้ใช้บริการสามารถขอให้บริษัทแก้ไขข้อมูลของผู้ใช้บริการได้ หากผู้ใช้บริการเห็นว่าข้อมูลที่อยู่ในความครอบครองของบริษัทไม่ถูกต้อง และบริษัทจะทำการตรวจสอบและแก้ไขข้อมูลดังกล่าวให้ถูกต้องต่อไป
สิทธิในการขอให้ลบหรือทำลายข้อมูล	ผู้ใช้บริการมีสิทธิที่จะขอให้บริษัททำการลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของผู้ใช้บริการที่อยู่ในความครอบครองของบริษัทเป็นข้อมูลที่ไม่สามารถระบุตัวตนของผู้ใช้บริการได้ เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อบริษัท ทั้งนี้ เมื่อบริษัทได้รับคำขอจากผู้ใช้บริการ บริษัทจะทำการตรวจสอบคำขอและดำเนินการลบ ทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนโดยเร็ว ทั้งนี้ ภายใต้หลักเกณฑ์และมาตรการที่กฎหมายกำหนด
สิทธิในการระงับการใช้ข้อมูล	ผู้ใช้บริการมีสิทธิที่จะขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการได้ เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อบริษัท
สิทธิในการขอให้โอนหรือส่งข้อมูล	ผู้ใช้บริการมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของผู้ใช้บริการในรูปแบบอิเล็กทรอนิกส์ได้ ในกรณีที่บริษัทได้ดำเนินการให้ข้อมูลส่วนบุคคลของผู้ใช้บริการอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมถึงขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปให้บุคคลภายนอก เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อบริษัท
สิทธิในการคัดค้าน	ผู้ใช้บริการมีสิทธิที่จะคัดค้านการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ ในกรณีที่พบว่ามีการใช้ รวบรวม จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อบริษัท
สิทธิในการขอให้ระงับการประมวลผลโดยระบบอัตโนมัติหรือ Artificial Intelligence (AI)	ผู้ใช้บริการมีสิทธิที่จะคัดค้านหรือขอให้ระงับมิให้บริษัทประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการโดยระบบอัตโนมัติหรือ Artificial Intelligence (AI) ได้

ทั้งนี้ การที่ผู้ใช้บริการไม่ยินยอมให้บริษัทใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ใช้บริการให้บริษัทดำเนินการลบข้อมูลส่วนบุคคลของผู้ใช้บริการ อาจส่งผลให้ผู้ใช้บริการไม่สามารถรับบริการจากบริษัท หรืออาจทำให้บริษัทไม่สามารถให้บริการแก่ผู้ใช้บริการได้อย่างมีประสิทธิภาพ

บริษัทขอสงวนสิทธิในการปฏิเสธคำขอของผู้ใช้บริการ ในกรณีที่มีกฎหมายกำหนดให้สามารถกระทำได้หรือตามคำสั่งของหน่วยงานของรัฐซึ่งมีอำนาจ คำสั่งศาล หรือในกรณีที่การดำเนินการตามคำขอจะก่อให้เกิดผลกระทบและความเสียหายต่อบริษัท

ในกรณีที่มีการร้องขอให้ลบข้อมูลส่วนบุคคลของผู้ใช้บริการจากระบบนั้น บริษัทจะใช้ความพยายามอย่างดีที่สุดในการดำเนินการลบข้อมูลของผู้ใช้บริการออกจากระบบ อย่างไรก็ตาม ผู้ใช้บริการตกลงรับทราบว่าบริษัทอาจยังคงบันทึกหรือทำสำเนาข้อมูลดังกล่าวไว้ที่เซิร์ฟเวอร์ หรือระบบสำรองของบริษัท เพื่อสำรองข้อมูลในกรณีที่เกิดความผิดพลาด บกพร่องหรือขัดข้องแก่ระบบของบริษัท รวมถึงเพื่อเก็บเป็นพยานหลักฐาน หรือเพื่อปฏิบัติหน้าที่ตามกฎหมายต่อไป

ทั้งนี้ การใช้สิทธิของผู้ใช้บริการจะต้องอยู่ภายใต้ข้อกำหนด ประกาศ และระเบียบที่บริษัทกำหนด ซึ่งจะเป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัทและหลักเกณฑ์อื่นๆ ที่บริษัทกำหนด โดยในการใช้สิทธิข้างต้น ผู้ใช้บริการจะต้องส่งคำร้องเป็นลายลักษณ์อักษรมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทตามรายละเอียดที่กำหนดในข้อ 16. ของประกาศฉบับนี้

14. การเพิกถอนความยินยอม

หากผู้ใช้บริการไม่ประสงค์ให้บริษัทเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการอีกต่อไป ผู้ใช้บริการสามารถเพิกถอนความยินยอมได้โดยการทำคำร้องแจ้งมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท

ทั้งนี้ การเพิกถอนความยินยอมข้อมูลส่วนบุคคลดังกล่าว จะต้องอยู่ภายใต้เงื่อนไข ข้อกำหนด ประกาศ หรือระเบียบที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท และหลักเกณฑ์อื่นๆ ที่บริษัทกำหนด

15. การแจ้งการละเมิดข้อมูลส่วนบุคคล

ในกรณีที่ผู้ใช้บริการทราบถึงการกระทำที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล บริษัทขอความอนุเคราะห์ผู้ใช้บริการกรุณาแจ้งการละเมิดข้อมูลส่วนบุคคลดังกล่าวมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท ตามรายละเอียดที่กำหนดในข้อ 16. ของประกาศฉบับนี้ภายใน 24 ชั่วโมงนับแต่เกิดเหตุการณ์ขึ้น เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล และการป้องกันแก้ไขของบริษัทจากการละเมิดดังกล่าวให้แก่ผู้ใช้บริการ

16. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

หากผู้ใช้บริการประสงค์จะใช้สิทธิตามที่กำหนดในข้อ 13. หรือแจ้งการละเมิดข้อมูลส่วนบุคคล หรือมีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โปรดติดต่อเราที่อีเมล info@cloudsecasia.com

17. การรักษาความปลอดภัยของข้อมูล

บริษัทมีนโยบายและโปรแกรมรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศที่ได้มาตรฐานสากล เพื่อรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการ และป้องกันการสูญหาย ทำลาย เข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการโดยมิชอบที่พนักงานของบริษัทต้องปฏิบัติตามอย่างเคร่งครัด รวมถึงมีการให้ความรู้และสร้างจิตสำนึกในความสำคัญของข้อมูลส่วนบุคคลและการรับผิดชอบด้านการดูแลรักษาความปลอดภัยของข้อมูลดังกล่าว  อย่างไรก็ตาม บริษัทไม่อาจรับรองได้ว่าจะไม่มีความบกพร่องหรือความผิดพลาดใดๆ เกิดขึ้นจากการดำเนินการตามนโยบายดังกล่าว ดังนั้น บริษัทจึงขอสงวนสิทธิที่จะปฏิเสธความรับผิดในความเสียหายหรือสูญหายใดๆ ที่เกิดขึ้นในทุกกรณี

18. การปรับปรุงนโยบายการจัดการข้อมูลส่วนบุคคล

เพื่อประโยชน์และประสิทธิภาพสูงสุดในการให้บริการแก่ผู้ใช้บริการ บริษัทอาจมีความจำเป็นต้องปรับปรุงหรือแก้ไขนโยบายการจัดการข้อมูลส่วนบุคคลนี้ โดยไม่ได้แจ้งให้ผู้ใช้บริการทราบล่วงหน้า ดังนั้น บริษัทจึงขอให้ผู้ใช้บริการหมั่นตรวจสอบนโยบายการจัดการข้อมูลส่วนบุคคลนี้อย่างสม่ำเสมอ

19. ข้อมูลเพิ่มเติม

ผู้ใช้บริการสามารถติดต่อสอบถามเกี่ยวกับนโยบายฉบับนี้หรือการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้ใช้บริการได้ที่อีเมล letcare@loxley.co.th ตามรายละเอียดที่กำหนดในข้อ 16. ของประกาศฉบับนี้

The Company is aware of the importance of the collection and keeping the confidentiality of User Personal Data. However, in order to operate the business and provide services to User, it is necessary for the Company to use, collect, store, and disclose User Personal Data. Therefore, the Company, has duty to comply with the PDPA as Data Controller and Data Processor (in some cases). The Company hereby confirms that:

• the Company shall duly and lawfully use, collect, store, and disclose User Personal Data within the scope of law;
• the Company supports the protection of User Personal Data;
• the Company has security and storage system to protect and safeguard the confidentiality of Personal Data in accordance with applicable legal standard; and
• the Company shall create a system that take User’s privacy into consideration when using, collecting, storing, and disclosing any information.

Consequently, the Company has prepared this privacy policy to explain how the Company will treat User Personal Data, such as, use, collection, storage, disclosure, and protection of Personal Data, including User’s rights. For your own benefits, the Company suggests that User thoroughly read and comprehend the following privacy policy as follows:

1. Definition

Unless specified otherwise herein, the following words shall have the meaning as provided herebelow:

1. “PDPA” means the Personal Data Protection Act of 2019 (B.E. 2562) or any amendment thereafter, including any royal decrees, ministerial regulations, notifications, orders, and other laws related to Personal Data protection;
2. “Service” means a purchase, sale, hire, service, or any other action provided by the Company to User;
3. “Personal Data” means any data relating to a person, which can identify such person directly or indirectly, including all identifiable information, such as, name, identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, mental, social, economic, or cultural identity of that person;
4. “Company” means Loxley Evolution Technology Co., Ltd. Subsidiaries, and other companies which controlled and managed by shareholder of Loxley Evolution Technology Co., Ltd.
5. “Data Controller” means a person or juristic person who has power and duties to make decisions regarding the collection, use or disclosure of Personal Data;
6. “Data Processor” means a person or juristic person who acts in respect of the collection, use, or disclosure of Personal Data as per an order or on behalf of Data Controller. In this regard, the said person or juristic person shall not be deemed as Data Controller; and
7. “User” means a person or juristic person who receives Service in any form from the Company, including its agents, staffs, employees, executives, or representatives. 

2. Data management policy

In order to operate the business, it is necessary for the Company to use, collect, store, and disclose User Personal Data. The Company, therefore, has duty to comply with the PDPA as Data Controller and Data Processor (in some cases). In this regard, the Company represents and warrants that:

1. the Company shall use, collect, store, and disclose User Personal Data within the scope of law;
2. the Company has security and storage system to protect and safeguard User Personal Data in accordance with applicable legal standard; and
3. the Company shall take User’s privacy into consideration when using, collecting, storing, and disclosing any Personal Data.

3. Scope of privacy policy

To protect User Personal Data and privacy, this privacy policy shall apply to all use, collection, storage, or disclosure of User Personal Data from all transaction and Services between User and the Company.

4. Personal Data collection and processing principles

The Company shall collect and process Personal Data under six principles as follows:

Personal Data protection principles	Context for the Company’s operation
Lawfulness, Fairness and Transparency	The Company shall use, collect, store, disclose, and process User Personal Data in accordance with the consent given by User, or as specified in the terms and conditions of the agreement between the Company and User. The said data will be stored in paper and electronic form according to its nature and purpose as consented or contractually agreed. The use, collection, storage, and disclosure of Personal Data will be for the purposes of using, collecting, storing, and disclosing Personal Data as stipulated by law and the purposes which the Company has notified User when collecting such information.
Purpose Limitation	The Company shall only use, collect, store, and disclose Personal Data for the purposes for which it was collected, or according to the legal authority or obligation, or the specified scope of work.
Data Minimization	The Company shall limit the use, collection, storage, and disclosure of Personal Data to the extent necessary as per the specified purposes, unless stated by law to additionally operate, use, collect, store, and disclose the data to protect the legitimate interest of the Company.
Accuracy	The Company shall verify and keep Personal Data accurate and up-to-date, including correcting any inaccuracy without delay.
Storage Limitation	The Company shall limit the storage period of Personal Data to the extent necessary or as required by law for the purposes specified by the Company, unless stipulated by law to extend the storage or to protect the legitimate interest of the Company.
Integrity and Confidentiality	The Company shall use appropriate security measures suitable for data collected by the Company to protect against unauthorized access, loss, or destruction by third party, or unlawful use.

5. Legal basis for the use, collection, storage, and disclosure of Personal Data

The Company shall not use, collect, store, and disclose User Personal Data without User’s consent, unless it is for compliance with applicable law, or the performance of a contract, or the Company is permitted by law or legitimate right to proceed with the said use, collection, storage, and disclosure of Personal Data. The Company applies the following legal basis for the aforesaid use, collection, storage, and disclosure of Personal Data:

Legal basis	Example of the Company’s use, collection, storage, and disclosure of Personal Data
Necessary for performance of a contract	The use, collection, storage, and disclosure of User Personal Data for performance of a contract, or any terms or conditions stipulated in a contract, or the Company’s guidelines for performance of a contract.
Necessary for performance of the Company’s task carried out in public interest as a Data Controller in the exercise of official authority vested in the Company as a Data Controller	The disclosure of Personal Data to competent government authorities according to the court order or lawful orders of government authorities.
Necessary for the purposes of legitimate interests pursued by the Company and Subsidiaries as a Data Controller, except where such interests are overridden by the fundamental rights of the data subject which require protection of Personal Data	The collection of User Personal Data via the Company’s closed-circuit television (CCTV) system and processing of such data for security purposes, including for the development of the security system of the Company. The recording of image or Personal Data from regular use of the Company’s services, or to protect the security of the confidentiality of the Company.

6. Legal basis for the use, collection, storage, and disclosure of sensitive Personal Data

The Company shall not use, collect, store, and disclose User’s sensitive Personal Data, such as, data in respect of racial or ethnic origin, political opinions, cult, religious or philosophical beliefs, sexual behavior, criminal record, health information, disabilities, labor union information, heredity information, biological information, without User’s consent, unless the Company has a legal basis to support its operations as specified in the PDPA, for example:

Legal basis	Example of the Company’s use, collection, storage, and disclosure of sensitive Personal Data
To protect the vital interests, life, and health of the data subject where the data subject is for whatever reason incapable of giving consent	The disclosure of User Personal Data, such as, health information, blood group, or religious beliefs, to medical staff or hospital to protect the vital interests, life, and health of User in the event that User has an accident and User is unconscious and unable to give consent.
It is the data which are manifestly made public by the data subject	The disclosure of User’s name, surname, and photo, which disseminated by the Company through website with User’s consent.
Necessary to comply with legal obligation to achieve the objectives relating to preventive or occupational medicine, assessment of working performance of employee	The disclosure of User Personal Data, such as, name, surname, gender, health information, blood group, or religious beliefs, to officer or public health authorities in the event of an outbreak of contagious disease in the vicinity of or related to the Company.
Necessary to comply with legal obligation to achieve the objectives relating to public interest, or scientific, historic, or statistics study, or other public interest	The use of Personal Data to analyze, research, or develop scientific services for common interest, such as, data processing by artificial intelligence (AI), etc.

7. Limitation of Personal Data collection

The Company shall use, collect, store, or disclose Personal Data under lawful and fair purposes, scopes, and means. The Company shall limit its collection of Personal Data to the extent necessary for the provision of the Service. The Company may collect Personal Data from any physical or electronic means, in whatever form, according to the purposes of the Company or for the benefit of the Company’s business operation only.

User acknowledges and renders consent to the Company’s use, collection, storage, or disclosure of User Personal Data in accordance with the purposes specified by the Company via physical, electronic, or any other means designated by the Company. In addition, in the event that the processing of sensitive Personal Data (such as, data in respect of racial or ethnic origin, political opinions, cult, religious or philosophical beliefs, sexual behavior, criminal record, health information, disabilities, labor union information, heredity information, biological information or any other information which affects the data subject in the same manner) is necessary for the provision of the Service to User, User has also consented to the Company’s use, collection, storage, or disclosure of such sensitive Personal Data.

The Company may use, collect, store, or disclose User Personal Data without requesting consent from User during the collection of Personal Data in the following events:

1. to achieve purposes in the making of history documents or annals for public interest, or relating to the study, research or statistics for which the appropriate protection standard is established;
2. to protect vital interests, life, and health of persons;
3. necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the data subject prior to entering into a contract;
4. necessary for the performance of a task carried out in public interest;
5. necessary for the purposes of the legitimate interests pursued by the Company or by a person or juristic person that is not the Company;
6. to comply with legal obligation to which the data controller is subject, such as, the PDPA, the Electronic Transaction Act of 2001 (B.E. 2544), the Telecommunications Business Act of 2001 (B.E. 2544), the Anti-Money Laundering Act of 1999 (B.E. 2542), the Civil and Commercial Code, the Penal Code, the Civil Procedure Code, the Penal Procedure Code, and etc.;
7. necessary to protect vital interests, life, and health of User;
8. for the benefit of the investigation by investigators or court trials; or
9. for the interest of User where User is incapable of giving consent at the relevant time.

8. Purposes of the use, collection, storage, or disclosure of Personal Data

The Company collects, stores, and uses User Personal Data to provide the Service to User, including providing other services which User is interested in, or to create database, or to provide privilege based on User’s preferences, or to perform data analysis in order to offer goods or services of the Company and/or distributor, agent, or other related person thereof, and/or any other purposes not prohibited by law, and/or to comply with any laws or regulations applicable to the Company, whether currently in effect or may be enforced in the future, and/or for any purposes beneficial to the Company’s business operation.

User renders consent for the Company’s sending, transferring, and/or disclosing of Personal Data to Subsidiaries, business alliance, Data Processor assigned by the Company, and/or any other person/company who has legal or business relationship with the Company, including consenting the Company to send, transfer and/or disclose User Personal Data to other person/company, both domestically and internationally.

9. Restriction of use and disclosure of Personal Data

The Company shall only use and disclose User Personal Data with the consent of User according to the purposes of data collection and storage of the Company and purposes specified by the Company. In this regard, the Company shall supervise its employees, officers, or operating staffs from using and/or disclosing User Personal Data in any way other than the purposes of its collection or disclosure to any third party, except:

1. to achieve purposes in the making of history documents or annals for public interest, or relating to the study, research or statistics for which the appropriate protection standard is established;
2. to protect vital interests, life, and health of persons;
3. necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the data subject prior to entering into a contract;
4. necessary for the performance of a task carried out in public interest;
5. necessary for the purposes of the legitimate interests pursued by the Company or by a person or juristic person that is not the Company;
6. to comply with a legal obligation to which the data controller is subject, such as, the PDPA, the Electronic Transaction Act of 2001 (B.E. 2544), the Telecommunications Business Act of 2001 (B.E. 2544), the Anti-Money Laundering Act of 1999 (B.E. 2542), the Civil and Commercial Code, the Penal Code, the Civil Procedure Code, the Penal Procedure Code, and etc.;
7. necessary to protect vital interests, life, and health of User;
8. for the benefit of the investigation by investigators or court trials; and
9. for the interest of User where User is incapable of giving consent at the relevant time.

The Company may use third party service providers to collect, store, use, process, or disclose Personal Data. The said service provider must have security measures which prohibit the collection, use, processing, or disclosure of Personal Data other than those specified by the Company.

In addition, the Company may use automated decision-making process to process User Personal Data through a computer system in some cases. User may inquire more details with respect to this matter by contacting the Data Protection Officer.

10. Recipient of User Personal Data

The Company is aware of the importance of ensuring sufficient protection of Personal Data. In this regard, the Company tries to restrict the access of Personal Data only to those who are required to access such data for the performance of their obligations in accordance with User’s given consent or for the performance of a contract by the Company.

The executives, employees, and staffs of the Company, including third party who have contractual obligation to provide services to the Company involving Personal Data processing service and other contracting parties who act on behalf of the Company, will receive and process Personal Data of User. The Company shall only disclose and share information to such service providers only as necessary for the provision of the Service to User and to protect the Company’s interests. The Company shall protect User Personal Data from unauthorized access or disclosure. For more details regarding type of service providers to which User Personal Data will be disclosed to by the Company, please contact the Data Protection Officer.

User renders consent for the sending, transferring and/or disclosing of Personal Data to Subsidiaries, business alliance, Data Processor assigned by the Company, and/or any other person/company who has legal or business relationship with the Company, including consenting the Company to send, transfer and/or disclose User Personal Data to other person/company, both domestically and internationally, for the purpose of the Company’s business operations, or for compliance with policy or notification as the Company may stipulate on a case by case basis, or for protection of legitimate interests and legitimate rights of the Company.

11. Transfer of Personal Data to third country

The Company may transfer User Personal Data to third country for the purpose of the Company’s business operations as necessary. User agrees and renders consent for the Company’s transfer of User Personal Data to person or entity in third country or under the jurisdiction of other countries, regardless of whether Personal Data protection law of such country may or may not reach the protection standard of Thailand’s Personal Data protection law. In any event, the Company shall comply with appropriate measure to protect the security of User Personal Data at the same level of protection as Thailand’s Personal Data protection law.

12. Data retention

The Company shall only retain User Personal Data for as long as necessary or as regulated by law for the purposes specified by the Company. For more information regarding the Company’s Personal Data retention period, please contact the Data Protection Officer.

13. User’s right under the PDPA

As a data subject under the PDPA, User is entitled to the following legal rights:

Right	Details
Right to access	User has the right to examine as to how the Company processes User Personal Data retained by the Company, including the right to access to and request a copy of the said Personal Data from the Company.
Right to rectification	The Company shall use its best efforts to ensure that User Personal Data retained by the Company is accurate, complete, and up-to-date. However, if User finds that any of User Personal Data in the Company’s possession is inaccurate, User can request the Company to correct such inaccuracy and the Company will verify and correct such information, accordingly.
Right to erasure	User has the right to request the Company to erase or destroy, or cause User Personal Data in the Company’s possession to be unidentifiable, unless such request is contrary to the law or may impact or cause damage to the Company. Upon receiving User’s request, the Company shall verify the request and proceed with the deletion, destroy, or making unidentifiable data without delay, subject to the criteria and measures specified by law.
Right to restrict processing	User has the right to request the Company to stop using User Personal Data, unless such request is contrary to the law or may impact or cause damage to the Company.
Right to data portability	User has the right to request for User Personal Data in electronic form in the event that the Company makes such Personal Data available in a structured, commonly used and automated machine-readable format which can use or disclose the said Personal Data by automatic method, as well as requesting the Company to transmit or transfer such Personal Data in the said format to third party, unless such request is contrary to the law or may impact or cause damage to the Company.
Right to object	User has the right to object the use, collection, storage, or disclosure of User Personal Data in the event that User finds any use, collection, storage, or disclosure of Personal Data for other purposes, unless such objection is contrary to the law or may impact or cause damage to the Company.
Right to object automated decision-making	User has the right to object or suspend the Company from processing User Personal Data though automated decision-making process or Artificial Intelligence (AI).

In the event that User refuses to give consent for the Company’s processing of User Personal Data or requests the Company to erase User Personal Data, the Company may be unable to provide service to User, effectively. Therefore, User may not be able to obtain the Services from the Company.

The Company reserves the right to reject User’s request in the event that it is permitted by law, or there is an order of competent government authorities or the court, or User’s request is contrary to the law or may impact or cause damage to the Company.

If there is a request to erase User Personal Data from the system, the Company shall use its best efforts to erase User Personal Data from the system. However, User agrees and acknowledges that the Company may retain records or make copies of such data in the Company’s server or back-up system to back up data in case of errors, defects, or malfunctions to the Company’s system, including retaining them as evidences or for the performance of legal obligation.

User’s exercise of rights shall be subject to the rules, notifications, and regulations prescribed by the Company, which shall be in line with the criteria of the PDPA, including the Company’s privacy policy and other criteria specified by the Company. User can exercise the above data subject’s right by sending written request to the Data Protection Officer as detailed in clause 16 of this privacy policy.

14. Consent withdrawal

User is entitled to withdraw consent for the Company’s collection, use, processing, or disclosure of User Personal Data by notifying the Data Protection Officer in writing.

The said consent withdrawal is subject to the conditions, rules, notifications, or regulations provided in the PDPA, as well as the Company’s privacy policy and other criteria specified by the Company.

15. Notification of breach of Personal Data

In the event of any violation of Personal Data, please notify the Data Protection Officer as detailed in clause 16 of this privacy policy within 24 hours from the occurrence of such event in order to protect Personal Data and to prevent and remedy the said violation for User.

16. Data Protection Officer

For the exercise of rights specified in clause 13, or report of Personal Data breach, or any inquiries regarding the collection, use, or disclosure of Personal Data of the Company, please contact us : letcare@loxley.co.th

17. Data security

The Company has policies and programs on information technology security protection that meet international standards to protect the confidentiality and security of User Personal Data and to prevent loss or unauthorized destruction, access, or disclosure of User Personal Data, that must be strictly complied by the Company’s employees. The Company also educates and raises awareness of the importance of Personal Data and the responsibility for the security of such information. However, the Company makes no representations or warranties that the implementation of the said policy will be free of any defects or errors. The Company, therefore, reserves the right to discharge all liabilities for any damage or loss occurred to User.

18. Privacy policy update

For the benefit and efficiency in providing the Service to User, the Company reserves the right to update or revise this privacy policy without notifying User in advance. Consequently, the Company requests User to review this privacy policy, regularly.

19. Additional information

For more information regarding this privacy policy or any operation related to User Personal Data, please contact the Data Protection Officer as detailed in clause 16 of this privacy policy.