นโยบายคุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection Policy — รวมถึงการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน

1. บทนำและวัตถุประสงค์

กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) ประกอบด้วย บริษัท แอดวานซ์ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอร์ซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์แอดมินิสเตรชั่น จำกัด บริษัท แอดวานซ์เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด และบริษัท แอดวานซ์ ไอเซอร์วิส จำกัด ดำเนินธุรกิจในฐานะผู้ให้บริการบริหารจัดการระบบเทคโนโลยีสารสนเทศแบบครบวงจร (IT Outsourcing Services) และบริการที่ปรึกษาด้านเทคโนโลยีสารสนเทศแก่ลูกค้าองค์กร

ในการดำเนินธุรกิจดังกล่าว กลุ่มบริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงาน คู่ค้า และบุคคลที่เกี่ยวข้อง กลุ่มบริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองสิทธิในข้อมูลส่วนบุคคล และมุ่งมั่นในการบริหารจัดการข้อมูลดังกล่าวด้วยความรับผิดชอบ โปร่งใส และเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด

นโยบายฉบับนี้กำหนดขึ้นเพื่อ:

  • คุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
  • กำหนดแนวปฏิบัติการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงานบริการบริหารจัดการระบบสารสนเทศ (IT Outsourcing Services) อย่างถูกต้องตามกฎหมาย
  • สร้างความเชื่อมั่นให้ลูกค้าและคู่ค้าว่าข้อมูลถูกจัดการอย่างปลอดภัยและโปร่งใส
  • กำหนดสิทธิ์และความรับผิดชอบของพนักงานทุกท่านในการจัดการข้อมูลส่วนบุคคล

2. ขอบเขตการบังคับใช้

นโยบายนี้มีผลบังคับใช้กับพนักงานทุกท่านในกลุ่มบริษัท ASC Group

  • พนักงานประจำ พนักงานสัญญาจ้าง พนักงานชั่วคราวและนักศึกษาฝึกงาน — ทุกระดับและทุกตำแหน่ง รวมถึงฝ่ายสรรหา (Recruit) และฝ่ายดูแลสวัสดิการพนักงาน (HR)
  • ผู้บริหาร กรรมการ และที่ปรึกษาของบริษัท
  • บุคคลภายนอก ผู้รับเหมา (Vendor/Contractor) ที่เข้าถึงข้อมูลหรือระบบของบริษัท
  • พนักงานที่ปฏิบัติงาน ณ สถานที่ลูกค้า (On-site) ในฐานะตัวแทนของ ASC Group

3. ประเภทข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

3.1 ข้อมูลส่วนบุคคลทั่วไป
ข้อมูลที่สามารถระบุตัวตนได้ไม่ว่าทางตรงหรือทางอ้อม เช่น:

  • ข้อมูลประจำตัว: ชื่อ-นามสกุล วันเดือนปีเกิด เลขบัตรประชาชน หมายเลขพาสปอร์ต
  • ข้อมูลติดต่อ: ที่อยู่ เบอร์โทรศัพท์ อีเมล Line ID
  • ข้อมูลการทำงาน: ตำแหน่ง แผนก ประวัติการทำงาน เงินเดือน
  • ข้อมูลทางเทคนิค: IP Address, User Account, Log การเข้าใช้ระบบ, Device ID
  • ข้อมูลลูกค้า (ที่พนักงานเข้าถึงในฐานะ IT Outsource): ชื่อ ติดต่อ ข้อมูลระบบ

3.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data — มาตรา 26)
ข้อมูลต่อไปนี้ต้องได้รับความยินยอมโดยชัดแจ้งก่อนทุกครั้ง:

ประเภท ตัวอย่างในบริบท IT Outsource
เชื้อชาติ / ชาติพันธุ์ข้อมูลในระบบ HR ของบริษัทหรือลูกค้า
ความคิดเห็นทางการเมืองข้อมูลที่อาจปรากฏใน Log หรือระบบสื่อสาร
ความเชื่อทางศาสนา / ปรัชญาข้อมูลวันหยุด ระบบ Leave Management (HRM Leave)
พฤติกรรมทางเพศห้ามเก็บรวบรวมหรือประมวลผลโดยเด็ดขาด
ประวัติอาชญากรรมเก็บได้ไม่เกิน 6 เดือนหลังสิ้นวัตถุประสงค์
ข้อมูลสุขภาพ / ความพิการระบบ HR, ประกันสุขภาพ, ใบรับรองแพทย์
ข้อมูลชีวภาพ (Biometric)ระบบสแกนนิ้ว/ใบหน้าเพื่อควบคุมการเข้าออก
ข้อมูลพันธุกรรมห้ามเก็บรวบรวมโดยเด็ดขาด

4. ฐานกฎหมายในการประมวลผลข้อมูล

บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานกฎหมาย 7 ฐาน ตาม PDPA มาตรา 24 และ 26:

ข้อ ฐานกฎหมาย ตัวอย่างการใช้ในธุรกิจ IT Outsource
3.1Consent (ความยินยอม)การใช้ระบบ AI วิเคราะห์พฤติกรรม, การเก็บ Biometric, การส่งข้อมูลให้บุคคลที่สาม — ต้องขอยินยอมก่อนทุกครั้ง ถอนได้ทุกเมื่อ
3.2Contract (สัญญา)การประมวลผลข้อมูลพนักงานเพื่อจ่ายเงินเดือน, การดูแลระบบ IT ให้ลูกค้าตามสัญญา Service Agreement
3.3Legal Obligation (กฎหมาย)การส่งข้อมูลภาษีให้กรมสรรพากร, ประกันสังคม, การเก็บ Log ตาม PDPA, พ.ร.บ. คอมพิวเตอร์
3.4Vital Interest (ชีวิต)การแชร์ข้อมูลสุขภาพกรณีฉุกเฉิน, การแจ้งเหตุ Data Breach ที่อาจกระทบชีวิต
3.5Public Task (ภารกิจของรัฐ)การให้ข้อมูลตามคำสั่งศาล, หน่วยงานกำกับดูแลเช่น ETDA, ธนาคารแห่งประเทศไทย
3.6Legitimate Interest (ประโยชน์โดยชอบ)การวิเคราะห์ Security Log, ระบบ AI ตรวจจับภัยคุกคาม, การปรับปรุงประสิทธิภาพ IT Service — ต้องไม่กระทบสิทธิ์ผู้ใช้เกินสมควร
3.7Research/Statistics (วิจัย/สถิติ)การวิเคราะห์สถิติ Incident, รายงาน SLA Performance, การปรับปรุงระบบ AI – ใช้เฉพาะ Anonymized data

5. วัตถุประสงค์การเก็บรวบรวม ใช้ เปิดเผยข้อมูล

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ต่อไปนี้:

  • การบริหารจัดการพนักงาน: จ่ายเงินเดือน ประกันสุขภาพ การฝึกอบรม การประเมินผล
  • การบริการจัดหาพนักงาน: คัดสรรและประเมินประวัติผู้สมัครงาน (Resume) ให้สอดคล้องกับความต้องการและคุณสมบัติที่ลูกค้ากำหนด
  • การให้บริการ: Software Development
  • การรักษาความมั่นคงปลอดภัยไซเบอร์: ตรวจสอบ Log ป้องกันการโจมตี ตอบสนองต่อ Incident
  • การปฏิบัติตามสัญญาลูกค้า: ดูแลระบบ IT ตาม SLA ที่ตกลงกับลูกค้าองค์กร
  • การพัฒนาและปรับปรุงระบบ AI: วิเคราะห์ประสิทธิภาพ ปรับปรุง Model (ใช้ข้อมูล Anonymized)
  • การปฏิบัติตามกฎหมาย: รายงานต่อหน่วยงานกำกับ เก็บบันทึกตามข้อกำหนด

6. การใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน

บริษัทนำระบบ AI มาใช้เพื่อเพิ่มประสิทธิภาพการให้บริการ IT Outsource — ภายใต้หลักการ Human-in-the-loop และ PDPA มาตรา 24
AI เป็นเครื่องมือช่วยตัดสินใจ ไม่ใช่ผู้ตัดสินใจแทนมนุษย์ | ผลลัพธ์ทุกอย่างต้องผ่านการตรวจสอบและอนุมัติโดยพนักงานก่อนเสมอ

6.1 ระบบ AI ที่นำมาใช้ในธุรกิจ IT Outsource

ระบบ AI วัตถุประสงค์ ข้อมูลที่ AI ประมวลผล
Security AI (SIEM/SOAR)ตรวจจับภัยคุกคาม, วิเคราะห์ Anomaly ใน Log, แจ้งเตือน IncidentNetwork Log, System Event Log, Access Log — ไม่ระบุตัวตนผู้ใช้
Monitoring AIตรวจสอบประสิทธิภาพระบบ, แจ้งเตือนก่อน Downtime, วิเคราะห์ CapacityPerformance Metrics, System Health Data, Alert Log
AI Code Assistantช่วย Developer ตรวจสอบ Code, แนะนำ Best Practice, ค้นหา BugSource Code ที่ไม่มีข้อมูลส่วนบุคคล, Comment, Documentation
AI Report Generatorสรุปรายงาน SLA, วิเคราะห์แนวโน้ม, สร้าง Dashboard อัตโนมัติAggregated Performance Data, Anonymized Statistics เท่านั้น
Recruit AI (ฝ่ายสรรหา)คัดกรอง Resume เบื้องต้น, จัดลำดับผู้สมัคร, วิเคราะห์ความเหมาะสมข้อมูลผู้สมัครที่ได้รับ Consent ก่อนเสมอ — ไม่รวมข้อมูลอ่อนไหว
HR AI (ฝ่ายสวัสดิการพนักงาน)วิเคราะห์การใช้สวัสดิการ, แจ้งเตือนวันหมดอายุประกัน, สรุปรายงาน Leaveข้อมูลพนักงานภายใน (ชื่อ วันลา สวัสดิการ) — ไม่รวมข้อมูลสุขภาพโดยตรง

6.2 หลักการใช้งาน AI ที่พนักงานทุกท่านต้องปฏิบัติ

  • ตรวจสอบความถูกต้องของผลลัพธ์จาก AI ทุกครั้งก่อนนำไปใช้งาน — ห้ามส่งต่อหรือนำไปใช้โดยไม่ตรวจสอบ
  • ห้ามป้อนข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานเข้าระบบ AI สาธารณะ (ChatGPT, Gemini, Copilot, Claude, หรือ AI อื่น ๆ บน Personal Account) โดยเด็ดขาด
  • ใช้เฉพาะเครื่องมือ AI ที่บริษัทอนุมัติและติดตั้งให้เท่านั้น — ดูรายการ Approved Tools ที่ฝ่าย IT
  • ข้อมูลของลูกค้า (Client Data) ถือเป็นความลับสูงสุด ห้ามนำเข้า AI ใด ๆ นอกจากที่ระบุในสัญญา Data Processing Agreement กับลูกค้า
  • รายงาน AI Error หรือผลลัพธ์ที่ผิดปกติต่อหัวหน้างานและฝ่าย IT ทันที

6.3 ข้อห้ามในการใช้งาน AI

⚠ ห้ามนำข้อมูลต่อไปนี้เข้าระบบ AI ทุกกรณี — ฝ่าฝืนถือเป็นความผิดทางวินัยและอาจมีโทษตามกฎหมาย

  • ข้อมูลอ่อนไหวของพนักงานหรือลูกค้า: ศาสนา สุขภาพ ชีวภาพ เชื้อชาติ ประวัติอาชญากรรม
  • ข้อมูลลับทางธุรกิจของลูกค้า (Confidential Client Data) เว้นแต่มี DPA และ NDA รองรับ
  • Credential ทุกประเภท: Password, API Key, Token, Certificate, Connection String
  • ข้อมูลทางการเงิน: หมายเลขบัญชีธนาคาร บัตรเครดิต ข้อมูลงบการเงิน
  • Source Code ที่มีข้อมูลส่วนบุคคลฝังอยู่ หรือ Code ของระบบ Production ลูกค้า
  • ข้อมูลที่อยู่ภายใต้ข้อตกลง NDA กับลูกค้าหรือคู่ค้า

7. ระยะเวลาเก็บรักษาข้อมูล

ประเภทข้อมูล ระยะเวลา การดำเนินการหลังครบกำหนด
ข้อมูลพนักงาน (ระหว่างจ้างงาน)ตลอดระยะการจ้างงานลบหรือ Anonymize ภายใน 90 วันหลังพ้นสภาพ
ข้อมูลพนักงานหลังพ้นสภาพไม่น้อยกว่า 2 ปี (สูงสุด 10 ปีตามกฎหมายแพ่ง)ลบหรือทำให้ไม่สามารถระบุตัวตนได้
ข้อมูลประวัติอาชญากรรมไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์ลบและทำลายถาวรทันที
Security Log / Audit Log1 ปี (ตาม พ.ร.บ. คอมพิวเตอร์)Archive หรือลบตามนโยบาย Log Management
ข้อมูลลูกค้า (Client Data)ตามที่ระบุใน Service Agreement / DPAส่งคืนหรือลบตามคำสั่งลูกค้าหลังสิ้นสัญญา
AI Training Data (Anonymized)ตามวงจรชีวิต AI Model (สูงสุด 3 ปี)ลบพร้อมกับการปลดระวาง Model
ข้อมูลผู้สมัครงาน — ไม่ผ่านการคัดเลือก1 ปีนับจากวันสมัครลบจากระบบทั้งหมดโดยอัตโนมัติ รวมถึงระบบ AI
ข้อมูลผู้สมัครงาน — ผ่านการคัดเลือกโอนสู่แฟ้มพนักงาน ไม่เกิน 10 ปีหลังพ้นสภาพประมวลผลต่อตามนโยบายข้อมูลพนักงาน
ข้อมูลนักศึกษาฝึกงาน (ระหว่างฝึกงาน)ตลอดระยะฝึกงานลบหรือ Anonymize ภายใน 30 วันหลังสิ้นสุดการฝึกงาน
ข้อมูลนักศึกษาฝึกงาน (หลังสิ้นสุด)2 ปีนับจากวันสิ้นสุดการฝึกงานลบถาวร เว้นแต่บรรจุเป็นพนักงาน (โอนสู่แฟ้มพนักงาน)

8. การเก็บรักษาและมาตรการความมั่นคงปลอดภัย (CIA Triad)

บริษัทจัดการข้อมูลส่วนบุคคลตามมาตรฐาน CIA Triad ตาม PDPA มาตรา 37:

Confidentiality (ความลับ) — การรักษาความลับ เฉพาะผู้มีสิทธิ์เข้าถึง

  • Role-Based Access Control (RBAC) ทุกระบบ
  • Multi-Factor Authentication (MFA)
  • เข้ารหัสข้อมูลในระหว่างส่ง (TLS 1.3) และเก็บ (AES-256)
  • Audit Log บันทึกการเข้าถึงข้อมูลทุกครั้ง
  • VPN สำหรับการทำงานจากระยะไกล (Remote Work)

Integrity (ความถูกต้อง) — ความถูกต้องและสมบูรณ์ ป้องกันการแก้ไขโดยไม่ได้รับอนุญาต

  • Digital Signature และ Checksum ตรวจสอบความสมบูรณ์
  • Version Control และ Change Management
  • บันทึก Audit Trail ทุกการแก้ไขข้อมูล
  • การ Backup ข้อมูลอัตโนมัติและตรวจสอบความสมบูรณ์
  • AI Output Validation ก่อนนำไปใช้งาน

Availability (ความพร้อมใช้) — ข้อมูลและระบบพร้อมใช้งานเมื่อต้องการ

  • Backup อัตโนมัติทุก 24 ชั่วโมง
  • Disaster Recovery Plan (RTO ≤ 4 ชั่วโมง)
  • High Availability สำหรับระบบสำคัญ (99.9% SLA)
  • การทดสอบ DR ปีละ 2 ครั้ง
  • แจ้งเตือนอัตโนมัติเมื่อระบบขัดข้อง

9. การเปิดเผยข้อมูลส่วนบุคคล

บริษัทเปิดเผยข้อมูลส่วนบุคคลเฉพาะตามวัตถุประสงค์ที่แจ้งไว้ และต่อบุคคลต่อไปนี้เท่านั้น:

  • บริษัทในเครือของ ASC Group — ตามความจำเป็นในการให้บริการ
  • ลูกค้าองค์กร (Client) — เฉพาะข้อมูลที่เกี่ยวข้องกับงานที่มอบหมาย ภายใต้ NDA/DPA
  • ผู้ให้บริการ Cloud และ AI Platform — ที่มีสัญญา Data Processing Agreement (DPA) รองรับ
  • หน่วยงานราชการ — ตามคำสั่งศาลหรือกฎหมายเท่านั้น
  • ห้ามเปิดเผยข้อมูลลูกค้าต่อบุคคลที่สามโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร

10. สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูล (พนักงาน, ลูกค้า, บุคคลที่เกี่ยวข้อง) มีสิทธิ์ 8 ประการ:

ข้อ สิทธิ์ รายละเอียด
8.1Right to be Informed (รับทราบ)ได้รับแจ้งวัตถุประสงค์การเก็บข้อมูลและการนำไปใช้กับ AI ก่อนทุกครั้ง
8.2Right of Access (เข้าถึง)ขอดูข้อมูลส่วนบุคคลและผลการประมวลผลโดย AI ของตนเองได้
8.3Right to Rectification (แก้ไข)ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วนได้
8.4Right to Erasure (ลบ)ขอให้ลบข้อมูลได้เมื่อหมดความจำเป็น หรือเมื่อถอนความยินยอม
8.5Right to Restriction (ระงับ)ขอให้หยุดประมวลผลข้อมูลชั่วคราวระหว่างตรวจสอบข้อร้องเรียน
8.6Right to Portability (โอนย้าย)ขอรับข้อมูลในรูปแบบดิจิทัลที่อ่านได้โดยเครื่อง (CSV, JSON)
8.7Right to Object (คัดค้าน)คัดค้านการนำข้อมูลเข้าระบบ AI หรือการประมวลผลที่ใช้ฐาน Legitimate Interest
8.8Right to Withdraw (ถอนยินยอม)ถอนความยินยอมได้ทุกเมื่อ ไม่กระทบสิทธิ์ที่เคยได้รับ — แจ้ง [email protected]

11. ความรับผิดชอบของพนักงาน

พนักงานทุกท่านมีหน้าที่รับผิดชอบดังนี้:

  • ปฏิบัติตามนโยบายนี้และนโยบายที่เกี่ยวข้องอย่างเคร่งครัด
  • ไม่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่กำหนด
  • ไม่นำข้อมูลลูกค้าออกนอกระบบของบริษัท เว้นแต่ได้รับอนุญาต
  • รายงานเหตุการณ์ Data Breach หรือสงสัยว่าข้อมูลรั่วไหลต่อ PDPA Officer ภายใน 1 ชั่วโมง
  • ผ่านการอบรม PDPA และนโยบาย AI ก่อนเริ่มงาน และทบทวนทุกปี
  • ใช้เฉพาะอุปกรณ์และระบบที่บริษัทอนุมัติในการเข้าถึงข้อมูลส่วนบุคคล
  • ล็อกหน้าจอทันทีเมื่อออกจากพื้นที่ทำงาน (Unattended Screen Policy)

12. บทลงโทษการฝ่าฝืนนโยบาย

โทษทางวินัย (ภายในบริษัท)

  • ระดับ 1 — ตักเตือนด้วยวาจา: ใช้ AI โดยไม่ตรวจสอบผลลัพธ์, ลืมล็อกหน้าจอ
  • ระดับ 2 — หนังสือเตือน: นำข้อมูลส่วนบุคคลเข้า AI สาธารณะโดยประมาท, เข้าถึงข้อมูลเกินสิทธิ์
  • ระดับ 3 — พักงาน / ปลดออก: จงใจฝ่าฝืน, นำข้อมูลลูกค้ารั่วไหล, ใช้ข้อมูลเพื่อประโยชน์ส่วนตัว

โทษตามกฎหมาย PDPA (มาตรา 82–90)

  • โทษทางปกครอง: ปรับสูงสุด 5,000,000 บาท ต่อกรรม (คณะกรรมการ PDPA)
  • โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าเสียหายเชิงลงโทษสูงสุด 2 เท่า
  • โทษทางอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1,000,000 บาท (กรณีเจตนา)
  • ความรับผิดต่อลูกค้า: ค่าปรับตาม SLA + ค่าเสียหายตามสัญญา IT Outsource

13. การเปลี่ยนแปลงและทบทวนนโยบาย

บริษัทจะทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญ เช่น กฎหมาย PDPA, การเพิ่มระบบ AI ใหม่, หรือเหตุการณ์ Data Breach การเปลี่ยนแปลงจะแจ้งพนักงานทุกท่านล่วงหน้าไม่น้อยกว่า 30 วัน

14. ข้อมูลติดต่อ PDPA Officer

Data Controllerกลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group)
ที่อยู่เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120
โทรศัพท์02-679-1940-3, 02-677-4072-3 กด 511
PDPA Officer Email[email protected]
ระยะเวลาตอบกลับภายใน 30 วันนับจากวันรับคำขอ (เร่งด่วน: ภายใน 72 ชั่วโมง)
Data Breach Hotlineแจ้งฝ่าย IT ทันที และแจ้ง [email protected] ภายใน 1 ชั่วโมง
line_bubble