เซนเตอร์ พอยต์ ภายใต้บริษัท ควอลิตี้เฮ้าส์ จำกัด (มหาชน) (“เรา”) มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของท่าน โดยในเนื้อหาของเอกสารฉบับนี้ เราจะทำให้ท่านแน่ใจว่าข้อมูลส่วนบุคคลของท่านได้รับการจัดการที่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) หรือกฎหมายอื่นที่เกี่ยวข้อง
1. นิยาม
ข้อความ หรือ คําใด ๆ ที่ใช้ในประกาศความเป็นส่วนตัวฉบับนี้ ให้มีความหมายตามที่ระบุไว้ดังต่อไปนี้ :
- ข้อมูลส่วนบุคคล (Personal Data): กำหนดให้ความหมายเป็นไปตามหัวข้อ 2 “ประเภทของข้อมูลส่วนบุคคลที่เราเก็บรวบรวม”
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): หมายถึง บุคคลหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): หมายถึง บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล (Data Subject): หมายถึง บุคคลใด ๆ ที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนถึงบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
- บุคคล (Person): หมายถึง บุคคลธรรมดา
- คู่ค้าทางธุรกิจ (Business Partners): หมายถึง บุคคลหรือนิติบุคคล ที่เราควบคุม หรือถูกควบคุมโดยเรา หรือเป็นบริษัทภายใต้เครือของเรา หรือถูกบริหารโดยเรา ซึ่งรวมถึงนิติบุคคลใด ๆ ที่เราเปิดเผย โอน ส่งต่อ หรือได้รับข้อมูลส่วนบุคคลของคู่ค้านั้น ๆ ยกตัวอย่างเช่น บริษัทที่ปรึกษาและบริษัทที่ปรึกษาทางกฎหมาย บริษัทผู้ให้บริการการตลาดทางโทรศัพท์ พันธมิตรทางธุรกิจ ธนาคาร บริษัทตัวแทน บริษัทจัดหางาน ผู้ให้บริการภายนอก (เช่น ซัพพลายเออร์ ผู้ขาย หรือเอาต์ซอร์ซ) และ/หรือหน่วยงานรัฐ หรือหน่วยงานกำกับดูแลที่เกี่ยวข้อง
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer (DPO)): เจ้าหน้าที่หรือคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของเรา
2. ประเภทของข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
ข้อมูลส่วนบุคคล หมายถึงข้อมูลเกี่ยวกับบุคคลที่สามารถใช้ระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ ไม่ว่าจะโดยทางตรงหรือทางอ้อม อย่างไรก็ตามข้อมูลส่วนบุคคลนั้นไม่รวมถึงข้อมูลของผู้เสียชีวิตและข้อมูลที่ไม่ระบุตัวตน (anonymous data)
ข้อมูลส่วนบุคคลรวมถึง:
- ข้อมูลตัวตน (Identity Data): ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถใช้เพื่อระบุตัวตนบุคคลที่เฉพาะเจาะจง ไม่ว่าจะด้วยวิธีทางตรงหรือทางอ้อมเช่น ชื่อ นามสกุล วัน/เดือน/ปีเกิด เพศ หมายเลขบัตรประชาชน หมายเลขใบขับขี่ หมายเลขหนังสือเดินทาง และสถานภาพการสมรส
- ข้อมูลติดต่อ (Contact Data): เช่น ข้อมูลอีเมล หรือหมายเลขโทรศัพท์
- ข้อมูลอ่อนไหว (Sensitive Data): เช่น ข้อมูลชาติพันธุ์ ความเชื่อ ศาสนา ข้อมูลสุขภาพ (รวมถึงข้อมูลการแพ้อาหารและข้อมูลการแพ้ทั่วไป) และ ข้อมูลชีวภาพ (biometrics data) รวมถึงข้อมูลประวัติอาชญากรรม โดยในกรณีที่เราได้รับข้อมูลอ่อนไหวโดยไม่ได้ตั้งใจ และไม่มีความประสงค์ที่จะเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลดังกล่าว และข้อมูลดังกล่าวไม่ได้มีไว้เพื่อใช้อำนวยความสะดวกให้ท่านในการเข้าพักที่โรงแรมของเรา เราจะไม่ประมวลผลข้อมูลอ่อนไหวของท่าน
- ข้อมูลทางการเงิน และข้อมูลการทำธุรกรรม (Financial and Transactional Data): เช่น หมายเลขบัญชีธนาคาร หมายเลขบัตรเครดิตและหมายเลขบัตรเดบิต รายได้ต่อเดือน และข้อมูลการชำระเงิน
- ข้อมูลทางเทคนิค และข้อมูลการใช้งาน (Technical and Usage Data): เช่น ข้อมูล IP Address ข้อมูลการเข้าสู่ระบบ ข้อมูลการท่องเว็บไซต์ คุกกี้ ID ประเภทอุปกรณ์ที่ใช้ในการเข้าถึง แพลตฟอร์ม และเทคโนโลยีอื่น ๆ ที่ใช้ในการเข้าถึงเว็บไซต์
- ข้อมูลโปรไฟล์ (Profile Data): เช่น ชื่อผู้เข้าใช้และรหัสผ่าน ประวัติการซื้อ ความสนใจ ความชอบ และข้อมูลจากการตอบแบบสำรวจ
- ข้อมูลการตลาด และข้อมูลการสื่อสาร (Marketing and Communication Data): การตั้งค่าของเจ้าของข้อมูลส่วนบุคคลในการรับข้อมูลการตลาดจากเราและจากบุคคลที่สาม ข้อมูลนี้รวมถึงข้อมูลการติดต่อกับเราเช่น เทปบันทึกกรณีที่ลูกค้าเข้ามาติดต่อทางคอลเซนเตอร์ หรือผ่านทางช่องทาง Social Media อื่น ๆ เป็นต้น
ข้อมูลส่วนบุคคลนั้นไม่รวมถึง:
- ข้อมูลส่วนบุคคลที่ถูกเปิดเผยต่อสาธารณะ ณ ขั้นตอนการเก็บรวบรวมข้อมูลส่วนบุคคล
- ข้อมูลการติดต่อทางธุรกิจ เช่นหมายเลขโทรศัพท์ของบริษัท หรือที่อยู่ของบริษัท
- ข้อมูลที่ไม่ระบุตัวตน (anonymous data)
- ข้อมูลของผู้เสียชีวิต
นอกจากนั้น เราได้เก็บ รวบรวม ใช้ และเปิดเผย ข้อมูลโดยรวม เช่น ข้อมูลเชิงสถิติ หรือข้อมูลประชากร ทั้งนี้ข้อมูลโดยรวมนั้นอาจได้มาจากข้อมูลส่วนบุคคลของท่าน อย่างไรก็ตาม ข้อมูลดังกล่าวไม่นับว่าเป็นข้อมูลส่วนบุคคล เนื่องจากเป็นข้อมูลที่ไม่สามารถใช้เพื่อระบุตัวตนของท่านได้ ตัวอย่างเช่น เราอาจใช้ข้อมูลบางส่วนของท่านโดยทำให้ข้อมูลเป็นข้อมูลนิรนาม (anonymous data) เพื่อคำนวณอัตราของผู้ที่เข้าถึงเว็บไซต์ หรือทำข้อมูลเชิงสถิติต่าง ๆ อย่างไรก็ตามหากข้อมูลสามารถกลับมาใช้เพื่อระบุตัวตนได้ เราจะถือว่าข้อมูลดังกล่าวนั้นเป็นข้อมูลส่วนบุคคลและจะปฏิบัติตามประกาศความเป็นส่วนตัวนี้
3. ลิงค์บุคคลที่สาม (Third-party Links)
เว็บไซต์ของเราอาจนำท่านไปยังเว็บไซต์ของบุคลที่สาม ซึ่งกิจกรรมนี้อาจส่งผลให้เว็บไซต์ของบุคคลที่สามนั้น สามารถเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลของท่านได้ และเราไม่สามารถรับผิดชอบต่อกิจกรรมประมวลผลข้อมูลใด ๆ ที่เกิดขึ้นบนเว็บไซต์อื่น ดังนั้นเราสนับสนุนให้ท่านอ่านประกาศความเป็นส่วนตัวของทุกเว็บไซต์ที่ท่านเยี่ยมชมเพื่อประโยชน์ในเรื่องความเป็นส่วนตัวของตัวท่านเอง
4. ฐานกฎหมาย (Legal Basis)
เราจะประมวลผลข้อมูลส่วนบุคคลของท่านตามฐานกฎหมายดังต่อไปนี้:
- ฐานความยินยอม (Consent): เราประมวลผลข้อมูลส่วนบุคคลบนฐานความยินยอม ในกรณีที่ท่านได้ให้ความยินยอมอย่างชัดแจ้งแก่เรา เราจะประมวลผลข้อมูลส่วนบุคคลของท่านในขอบเขตของวัตถุประสงค์ที่เราได้แจ้งท่านไว้
- ฐานสัญญา (Contract): เราประมวลผลข้อมูลส่วนบุคคลบนฐานสัญญา เราใช้ฐานกฎหมายนี้เมื่อกิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้นจำเป็นในการปฏิบัติตามสัญญาที่เรามีไว้กับท่าน หรือเพื่อใช้ในการปฏิบัติตามคำขอของท่านก่อนที่การเข้าทำสัญญา ยกตัวอย่างเช่น การประมวลผลข้อมูลส่วนบุคคลจำเป็นต่อการจัดหาผลิตภัณฑ์และการให้บริการของเราตลอดจนจำเป็นต่อกระบวนการภายในเพื่อการบรรลุวัตถุประสงค์ตามสัญญา
- ฐานการปฏิบัติตามกฎหมาย (Legal Obligation): เราประมวลผลข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามกฎหมาย เช่นการป้องกันและตรวจจับธุรกรรมที่ผิดปกติ ที่อาจเกี่ยวข้องกับกิจกรรมที่ผิดกฎหมาย ยกตัวอย่างเช่น เรามีหน้าที่ทางกฎหมายในการรายงานข้อมูลส่วนบุคคลของท่านต่อกรมสรรพากรหรือหน่วยงานอื่น ๆ ของรัฐตามที่กฎหมายกำหนด
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest): เราประมวลผลข้อมูลส่วนบุคคลหากมีสถานการณ์ฉุกเฉินที่จำเป็นต้องมีการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest): เราประมวลผลข้อมูลส่วนบุคคลภายใต้ความจำเป็นในการดำเนินการเพื่อผลประโยชน์ที่ชอบด้วยกฎหมายของเรา บุคคล หรือนิติบุคคลอื่น ซึ่งไม่ได้ลบล้างผลประโยชน์ของท่านหรือสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
อย่างไรก็ตาม หากท่านไม่ให้ข้อมูลส่วนบุคคลแก่เรา อาจส่งผลให้ท่านไม่ได้รับความสะดวกในการดำเนินการ และอาจเป็นการไม่ปฏิบัติตามสัญญาระหว่างเรา รวมถึงอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายบางประการซึ่งอาจทำให้ท่านได้รับบทลงโทษ
5. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
เราเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านในฐานะลูกค้าของเรา เพื่อวัตถุประสงค์ดังต่อไปนี้
- เพื่อจัดการจัดหา ปรับปรุง และพัฒนาผลิตภัณฑ์และบริการ
- เพื่อดำเนินการตามสัญญากับคู่ค้าทางธุรกิจของเรา
- เพื่อปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง
- เพื่อให้ผลประโยชน์อื่นใด ตามที่ท่านได้ให้ความยินยอมไว้
- เพื่อการจัดให้มีกิจกรรมทางการตลาดและการสื่อสาร เช่นกิจกรรมการส่งเสริมการขาย การเลือกไม่รับข่าวสารการตลาด หรือ การจัดการคุกกี้ของเว็บไซต์
- เพื่อให้เป็นไปตามวัตถุประสงค์ของการจัดซื้อจัดจ้าง การตรวจสอบคุณภาพผลิตภัณฑ์ และการประเมินประสิทธิภาพของบริการ/ผลิตภัณฑ์
- ในกรณีที่เราต้องการประมวลผลข้อมูลอ่อนไหวนอกเหนือจากเพื่ออำนวยความสะดวกในการเข้าพักที่โรงแรมของท่าน เราทำให้แน่ใจว่าเราได้รับความยินยอมอย่างชัดแจ้งจากท่านก่อนหรือระหว่างการเก็บรวบรวมข้อมูลดังกล่าว
อย่างไรก็ตามการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะเป็นไปตามฐานกฎหมาย เราอาจประมวลผลข้อมูลส่วนบุคคลของท่านบนฐานกฎหมายที่แตกต่างกัน ทั้งนี้ขึ้นอยู่กับวัตถุประสงค์ของการประมวลผลข้อมูล
6. การเปิดเผยข้อมูลส่วนบุคคล
เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านแก่หน่วยงานรัฐ หน่วยงานกำกับดูแล หรือพันธมิตรทางธุรกิจของเราตามวัตถุประสงค์ที่ระบุไว้ในข้อ 5“ วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล” เพื่อปฏิบัติตามกฎหมาย
7. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
เราจะไม่โอนข้อมูลส่วนบุคคลออกนอกราชอาณาจักรไทย เว้นแต่ว่าข้อมูลส่วนบุคคลที่ถูกโอนไปยังประเทศปลายทางนั้นได้รับการคุ้มครองภายใต้มาตรฐานเดียวกัน และ/หรือ สูงกว่าเมื่อเปรียบเทียบกับประกาศความเป็นส่วนตัวฉบับนี้ ในกรณีที่เรามีความจำเป็นที่จะต้องโอนหรือเปิดเผยข้อมูลส่วนบุคคลไปยังต่างประเทศ เราจะจัดทำสัญญาเรื่องการคุ้มครองข้อมูลส่วนบุคคล กับบริษัทคู่สัญญาในประเทศนั้น ๆ
8. มาตรการการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
เราจัดหมวดหมู่ให้ข้อมูลส่วนบุคคลของท่านให้อยู่ในส่วนข้อมูลที่เป็นความลับ และได้บังคับใช้มาตรการรักษาความปลอดภัยต่าง ๆ เพื่อรับผิดชอบในการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของท่าน
9. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
บริษัทจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาเท่าที่จำเป็นในการบรรลุวัตถุประสงค์ที่บริษัทรวบรวมไว้ กรณีที่ลูกค้าสิ้นสุดความสัมพันธ์ทางธุรกิจกับบริษัทไปแล้ว บริษัทจะทำการเก็บรักษาข้อมูลของท่านไว้ตามนโยบายการรักษาข้อมูลส่วนบุคคลของบริษัท ซึ่งเป็นกำหนดระยะเวลาอย่างน้อย 10 ปี เพื่อการตรวจสอบการให้สินค้าหรือบริการแก่ท่าน และเพื่อวัตถุประสงค์ทางกฎหมาย และเมื่อสิ้นสุดระยะเวลาในการเก็บรักษาแล้ว บริษัทจะทำลายข้อมูลส่วนบุคคลดังกล่าว
10. สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ท่านควรทราบ โดยท่านสามารถยื่นคำร้องใช้สิทธิตามช่องทางการติดต่อที่เราได้ให้ไว้ในหัวข้อ “11.ติดต่อเรา” บริษัทจะดำเนินการตามคำร้องขอของท่านโดยเร็วที่สุดไม่เกิน 30 วัน หรือมากกว่า ขึ้นอยู่กับปริมาณและความซับซ้อนของคำร้องขอ
- สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent): ท่านมีสิทธิในการเพิกถอนความยินยอมที่ได้ให้ไว้เพื่อการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมลส่วนบุคคลของท่านเมื่อใดก็ได้ และเราจะหยุดกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของท่านให้เร็วที่สุด และหากเราไม่มีฐานกฎหมายอื่นที่ทำให้เราสามารถประมวลผลข้อมูลส่วนบุคคลของท่านได้ เราจะดำเนินการลบข้อมูลของท่าน
- สิทธิในการเข้าถึง (Right to Access): ท่านมีสิทธิในการขอเข้าถึงและรับสำเนาของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับท่านภายใต้ความรับผิดชอบของเรา หรือขอให้เปิดเผยการได้มาของข้อมูลส่วนบุคคลที่เราได้รับมาโดยไม่ได้รับความยินยอมจากท่าน เมื่อเราได้รับคำขอแล้วเราจะดำเนินการให้เป็นไปตามประกาศความเป็นส่วนตัวนี้ภายใน 30 วัน หรือมากว่า ขึ้นอยู่กับปริมาณและความซับซ้อนของคำร้องขอ
- สิทธิในการแก้ไขข้อมูล (Right to Rectification): ท่านมีสิทธิที่จะขอให้มีการแก้ไข และเปลี่ยนแปลงข้อมูลส่วนบุคคลของท่านเพื่อให้แน่ใจว่าข้อมูลนั้นถูกต้อง เป็นปัจจุบัน และครบถ้วนสมบูรณ์
- สิทธิในการโอนย้ายข้อมูล (Right to Data Portability): ท่านมีสิทธิในการขอให้เราโอน หรือส่งข้อมูลส่วนบุคคลของท่านไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยใช้วิธีการส่งผ่านอัตโนมัติ นอกจากนั้นท่านสามารถร้องขอข้อมูลส่วนบุคคลของท่านโดยตรงจากเรา ในรูปแบบที่เราใช้ส่งหรือถ่ายโอนไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ยกเว้นในกรณีที่ไม่สามารถทำได้ในทางเทคนิค
- สิทธิในการขอให้ลบข้อมูล (Right to Erasure): ท่านมีสิทธิขอให้เราลบทำลาย หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลนิรนาม หากรูปการณ์เป็นไปตามกรณีที่ระบุไว้ด้านล่างนี้
- ข้อมูลส่วนบุคคลไม่จำเป็นสำหรับวัตถุประสงค์ในการเก็บรวบรวมอีกต่อไป
- ท่านได้เพิกถอนความยินยอมที่ให้ไว้ในการประมวลผลข้อมูลส่วนบุคคล และเราไม่มีฐานทางกฎหมายในการเก็บรักษาหรือประมวลผลข้อมูลส่วนบุคคลนั้นอีกต่อไป
- ท่านได้คัดค้านการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดแบบตรง (direct marketing)
- การประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ผิดกฎหมาย
- สิทธิในการห้ามมิให้ประมวลผลข้อมูล (Right to Restriction of Processing): ท่านมีสิทธิในการห้ามมิให้มีการประมวลผลข้อมูลส่วนบุคคล หากรูปการณ์เป็นไปตามกรณีที่ระบุไว้ด้านล่างนี้
- ไม่มีความจำเป็นของการประมวลผลข้อมูลส่วนบุคคลนั้น หากแต่เราสามารถแสดงให้เห็นว่าเรามีฐานของประโยชน์อันชอบธรรมอยู่
- การประมวลผลข้อมูลส่วนบุคคลนั้นไม่ชอบด้วยกฎหมาย แต่ท่านต้องการจำกัดกิจกรรมการประมวลผลแทนการลบทำลาย
- ข้อมูลส่วนบุคคลอยู่ระหว่างการตรวจสอบเรื่องความครบถ้วนสมบูรณ์และความถูกต้องตามคำขอของท่าน
- การประมวลผลข้อมูลส่วนบุคคลดำเนินการเพื่อการก่อตั้งสิทธิทางกฎหมาย เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อใช้สิทธิ/ป้องกันการเรียกร้องทางกฎหมาย
- สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object): ท่านมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล หากรูปการณ์เป็นไปตามกรณีที่ระบุไว้ด้านล่างนี้
- ข้อมูลส่วนบุคคลกำลังถูกประมวลผลเพื่อวัตถุประสงค์ทางการตลาดแบบตรง
- ข้อมูลส่วนบุคคลถูกประมวลผลเพื่อวัตถุประสงค์ในการวิจัย ทั้งในด้านวิทยาศาสตร์ประวัติศาสตร์ หรือสถิติ เว้นแต่ว่ากิจกรรมการประมวลผลนั้นจำเป็นต่อการปฏิบัติงานเพื่อสาธารณะประโยชน์
- ข้อมูลส่วนบุคคลนั้นถูกเก็บรวบรวมตามความจำเป็นของเราในการปฏิบัติงานเพื่อภารกิจรัฐ หรือเพื่อเหตุผลอื่น ๆ ที่ชอบด้วยกฎหมาย เว้นแต่ว่าเราจะสามารถแสดงให้เห็นถึงเหตุผลที่ชอบด้วยกฎหมายที่สูงกว่า หรือกิจกรรมการประมวลผลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องทางกฎหมายหรือการปฏิบัติตามกฎหมาย
- สิทธิในการร้องเรียน (Right to Lodge a Complaint): ท่านมีสิทธิยื่นเรื่องร้องเรียนต่อหน่วยงานของรัฐ ในกรณีที่ท่านพบว่าเรา ลูกจ้างหรือ ผู้รับจ้างของเรา กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล
11. ติดต่อเรา
หากท่านต้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือมีคำถามหรือร้องเรียนใด ๆ ท่านสามารถติดต่อ :
- บริษัท ควอลิตี้เฮ้าส์ จำกัด (มหาชน)
- อาคาร คิวเฮาส์ ลุมพินี ชั้น 7, 1 ถนนสาทรใต้ เขตทุ่งมหาเมฆ แขวงสาทร กรุงเทพฯ 10120
- อีเมล : dpo@centrepoint.com
Centre Point, a subsidiary of Quality Houses Public Company Limited (“We,” “Us,” “Our”) has a measure to protecting your Personal Data. We shall ensure you that your Personal Data is handled in accordance with the Personal Data Protection Act B.E. 2562 (2019) in Thailand (“Thai PDPA”) and other applicable laws.
1. Definitions
Terms and Definitions used in this Privacy Notice are set out in the details as below:
- Personal Data: means as specified in clause 2 “Types of Personal Data Collected”.
- Data Controller: means a natural or legal person who has powers and duties to make decision regarding the collection, storage, usage and disclosure of Personal Data.
- Data Processor: means a natural or legal person who proceeds the collection, storage, usage or disclosure of Personal Data according to the order or on behalf of Data Controller; however, such natural or legal person who proceeds such activities is not Data Controller.
- Data Subject: means any individual person who can be identified, directly or indirectly, via Personal Data.
- Person: means a natural person.
- Business Partners: means a natural or legal person who directly or indirectly controls us, is controlled by us, owns us, is owned by us, manages us, is managed by us; including any legal entities whom we discloses, transfers, or receives Personal Data, for example, consulting and law firms, telemarketing companies, co-brand partners, correspondent banks, recruitment agencies, business alliances, external service providers (suppliers, vendors, outsources) and/or government affairs or regulators in order to comply with applicable laws.
- DPO: Data Protection Officer.
2. Types of Personal Data Collected
Personal data refers to information about an individual from which that person can be identified whether by either a direct or an indirect means. However, Personal Data does not include information of deceased person and anonymous data.
Personal Data includes:
- Identity Data: data about individuals which can be used to identify specific individual, whether by a direct or an indirect means such as name, surname, date/ month/ year of birth, gender, ID number, driving license number, passport number and marital status.
- Contact Data: such as email address and phone number.
- Sensitive Data: such as ethnicity, beliefs, religion, health information (including food and general allergies) and biometric data, including criminal history data. In the event that we have unintentionally received it and has no intention to collect such data, and the data is not intended to be used to facilitate your stays at our hotels, We will not process your sensitive data.
- Financial and Transactional Data: such as bank account number, credit card number and debit card number, monthly income and payment information.
- Technical and Usage Data: such as IP Address, login information, website browsing information, cookie ID, device types, platforms, and other technologies used to access the our websites.
- Profile Data: such as username and password, purchase history, interests, likes and information from survey responses.
- Marketing and Communication Data: such as your preferences in receiving marketing materials from us, and from third party. These also include contact information you have with us, such as tape record when contact is made via contact center or from other social media channels.
Personal Data excludes:
- Personal Data which is publicly available at the point of collection.
- Business contact information such as business phone number and business address.
- Anonymous data.
- Deceased Person.
We also collect, store, use, and disclose aggregated data, such as statistical, and demographic information. The aggregated data may be derived from your Personal Data; however, the data is not considered as Personal Data since it cannot be used to identify a specific individual. For example, we may use some of your information after the process of anonymization in order to create statistical information of people who make a reservation through our website. We are aware that the data used must not be able to revert to identifiable information. If the data is then able to be used to identify a specific individual, we will consider it as Personal Data and processed in accordance with this Privacy Notice.
3. Third-party Links
Our website may lead you to a third-party website when you access the website. Such action may allow other websites to collect, store, use, or disclose your Personal Data. We are not responsible for any processing activities of Personal Data occurred on other websites. Hence, we encourage you to read the privacy notice of every websites you visit, for the interests of your data privacy.
4. Legal Basis
We will process your Personal Data under following legal basis:
- Consent: We process Personal Data based on consensual basis. In the event that you have provided us explicit consent to us, we will process your Personal Data within the scope of the purpose we have informed you.
- Contract: We process Personal Data under the contractual basis. We use this legal basis when the processing of Personal Data is necessary to fulfill the contract for which you are a part of, or to use in fulfilling your request prior to entering into the contract. For example, processing your Personal Data is crucial to our ability to provide products and services as well as internal processes in achieving contractual objectives.
- Legal Obligation: We process personal data in accordance with legal compliance, such as the prevention and detection of irregular transactions which may involve with illegal activities. For example, we have legal obligation to report your personal data to the Revenue Department or other government affairs as required by law.
- Vital Interest: We process personal data under the necessity emergency medical situation to protect your life and death or another natural person.
- Legitimate Interest: We process Personal Data under the necessity to take steps for our legitimate interests or other individual or juristic person which are not overriding your interests or your fundamental rights and freedoms.
However, if you do not provide Personal Data to us, it may affect your inconveniences and may not be in compliance with our contract. Furthermore, it may affect certain legal compliance which can result in penalties.
5. Purpose of Personal Data Processing
As our customers, we collect, store, use, or disclose your Personal Data, for the following purposes;
- To manage, provide, improve and develop products and services.
- To carry out the contract with our Business Partners.
- To comply with relevant laws and regulations.
- To provide any other benefits that you have given consent for.
- To provide the following marketing & communication activities such as promotion, opting out from marketing materials, cookies.
- To meet the purpose of procurement, product quality inspection and services/products performance assessment.
- In the event that we wish to process sensitive data other than to facilitate your stays at our hotels, we have to acquire your explicit consent before or during the collection of such data.
However, the collection, storage, usage, or disclosure of Personal Data will be processed on legal basis. We may process your Personal Data on different legal basis, depending on the purpose of data processing.
6. Personal Data Disclosure
We may disclose your Personal Data to government agencies and our Business Partners for the purposes stated in clause 5 “Purpose of Personal Data Processing” and government affairs or regulators in order to comply with the law.
7. Cross Boarder Transfer of Personal Data
We will not transfer personal data outside Thailand unless the personal data is protected with the same or higher standard of protection under this Notice. In the event that we have necessity to send or disclose customers’ personal data internationally, we will create personal data protection agreement or contract with the contracting partner in that country.
8. Data Security
We classify your Personal Data as confidential information and apply various security measures to be responsible for maintaining the confidentiality and safety of customer Personal Data in accordance to the agreements.
9. Data Retention
We will retain your personal data for as long as necessary to achieve the purposes for which we have collected it for. If you have ended your business relationship with us, we will retain your personal data in accordance with our Privacy Policy, for a period of 10 years, or as required by law, in order to ensure the provision of products or services to you, and for legal purposes. However, at the end of the said period, we will destroy your personal data.
10. Data Subject Rights
You have rights under the Personal Data Protection law that you should be aware of. You can make a request by using the contact channel provided in the section “11. Contact Us.” We will process your request as soon as possible, which may take up to 30 days or more, depending on the volume and complexity of the request.
- Right to Withdraw Consent: You have the right to withdraw your consent on which the collection, storage, usage, or disclosure is based on at any time. As a result, we will stop the processing of your information as soon as possible and if we do not have other lawful basis which allow us to process your Personal Data, we will then delete your information.
- Right to Access: You have the right to request access and to obtain a copy of your Personal Data related to you under our responsibility or to request disclosure of the acquisition of the Personal Data obtained without your consent. Once we have received the request, will proceed to comply within 30 days or more, depending on the volume and complexity of the request.
- Right to Rectification: You have the right to request correction and rectification on your Personal Data to ensure that the data is correct, up-to-date, and complete.
- Right to Data Portability: You have the right to request us to send or transmit your Personal Data to another Data Controller by the transmission that can be done with automatic means. You also have the right to receive directly your Personal Data in the format that we send or transfer to another Data Controller, except where it is not technically feasible.
- Right to Erasure: You have the right to request us to erase, destroy, or anonymized your Personal Data in the cases stated below:
- Personal Data is no longer necessary for the purpose in which it is collected for.
- You withdraw consent in processing Personal Data and we have no legal ground for further retaining or processing activity.
- You object processing of Personal Data for direct marketing purposes.
- Processing of Personal Data is unlawful.
- Right to Restriction of Processing: You have the right to restrict the processing of Personal Data if the stated conditions are met:
- Processing of Personal Data is no longer necessary but we can demonstrate that there is a compelling legitimate ground.
- Processing of Personal Data is unlawful but you want to restrict the processing activity instead of deletion.
- Personal Data is under review for completeness and accuracy upon your request.
- Processing of Personal Data is carried out for the establishment, compliance, or exercise /defense of legal claims.
- Right to Object: You have the right to object the processing of Personal Data if the stated conditions are met:
- Personal Data is being processed for direct marketing purposes.
- Personal Data is being processed for research purposes either in the field of science, history, or statistics, unless it is necessary to performance of a task carried out for reasons of public interest.
- Personal Data is collected for our necessity to carry out public tasks or for other legitimate ground. Unless we are able to demonstrate higher legitimate grounds, or the processing activity is to establish legal claims or compliance.
- Right to Lodge a Complaint: You have the right to submit complaint to the relevant government agencies in the event that our employees, vendors, contractors violate or fail to comply with the personal data protection requirements.
11. Contact Us
If you wish to exercise data subject rights or if you have any question or complaint, you can contact us via:
- Quality Houses Public Company Limited
- Q House Lumpini Building, 7th Floor, 1 South Sathon Road, Thungmahamek, Sathon, Bangkok 10120
- Email : dpo@centrepoint.com