นโยบายความเป็นส่วนตัว (Privacy Policy)

1บทนำและวัตถุประสงค์

กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) ประกอบด้วย บริษัท แอดวานซ์ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอร์ซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์ แอดมินิสเตรชั่น จำกัด บริษัท แอดวานซ์ เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด และบริษัท แอดวานซ์ ไอเซอร์วิส จำกัด ดำเนินธุรกิจในฐานะผู้ให้บริการบริหารจัดการระบบเทคโนโลยีสารสนเทศแบบครบวงจร (IT Outsourcing Services) และบริการที่ปรึกษาด้านเทคโนโลยีสารสนเทศให้ลูกค้าองค์กร

ในการดำเนินธุรกิจดังกล่าว กลุ่มบริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงาน ลูกค้า คู่ค้า และบุคคลที่เกี่ยวข้อง กลุ่มบริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองสิทธิ์ข้อมูลส่วนบุคคล และมุ่งมั่นในการบริหารจัดการข้อมูล ดังกล่าวด้วยความรับผิดชอบ โปร่งใส และเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด

นโยบายฉบับนี้จัดทำขึ้นเพื่อ:

คุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
กำหนดแนวปฏิบัติการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงานบริการบริหารจัดการระบบสารสนเทศ (IT Outsourcing Services) อย่างถูกต้องตามกฎหมาย
สร้างความเชื่อมั่นให้ลูกค้าและคู่ค้าว่าข้อมูลถูกจัดการอย่างปลอดภัยและโปร่งใส
กำหนดสิทธิ์และความรับผิดชอบของพนักงานทุกฝ่ายในการจัดการข้อมูลส่วนบุคคล

2ขอบเขตการบังคับใช้

นโยบายนี้มีผลบังคับใช้กับพนักงานทุกฝ่ายในกลุ่มบริษัท ASC Group

พนักงานประจำ พนักงานสัญญาจ้าง พนักงานชั่วคราวและนักศึกษาฝึกงาน – ทุกระดับและทุกตำแหน่ง รวมถึงฝ่ายสรรหา (Recruit) และฝ่ายดูแลสวัสดิการพนักงาน (HR)
ผู้บริหาร กรรมการ และที่ปรึกษาของบริษัท
บุคคลภายนอก ผู้รับเหมา (Vendor/Contractor) ที่เข้าถึงข้อมูลหรือระบบของบริษัท
พนักงานที่ปฏิบัติงาน ณ สถานที่ลูกค้า (On-site) ในฐานะตัวแทนของ ASC Group

3ประเภทข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม

3.1 ข้อมูลส่วนบุคคลทั่วไป

ข้อมูลที่สามารถระบุตัวตนของท่านได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น:

ข้อมูลประจำตัว: ชื่อ-นามสกุล วันเดือนปีเกิด เลขบัตรประชาชน หมายเลขพาสปอร์ต
ข้อมูลติดต่อ: ที่อยู่ เบอร์โทรศัพท์ อีเมล Line ID
ข้อมูลการทำงาน: ตำแหน่ง แผนก ประวัติการทำงาน เงินเดือน
ข้อมูลทางเทคนิค: IP Address, User Account, Log การเข้าใช้ระบบ, Device ID
ข้อมูลลูกค้า (ที่พนักงานเข้าถึงในฐานะ IT Outsource): ชื่อ ติดต่อ ข้อมูลระบบ

3.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data – มาตรา 26)

ข้อมูลต่อไปนี้ต้องได้รับความยินยอมโดยชัดแจ้งเป็นรายครั้ง:

ประเภท	ตัวอย่างในธุรกิจ IT Outsource
เชื้อชาติ / ชาติพันธุ์	ข้อมูลในระบบ HR ของบริษัทหรือลูกค้า
ความคิดเห็นทางการเมือง	ข้อมูลที่อาจปรากฏใน Log หรือระบบสื่อสาร
ความเชื่อทางศาสนา / ปรัชญา	ข้อมูลวันหยุด ระบบ Leave Management (HRM Leave)
พฤติกรรมทางเพศ	ห้ามเก็บรวบรวมหรือประมวลผลโดยเด็ดขาด
ประวัติอาชญากรรม	ใช้ได้ไม่เกิน 6 เดือนหลังสิ้นวัตถุประสงค์
ข้อมูลสุขภาพ / ความพิการ	ระบบ HR, ประกันสุขภาพ, ใบรับรองแพทย์
ข้อมูลชีวภาพ (Biometric)	ระบบสแกนนิ้ว/ใบหน้าเพื่อควบคุมการเข้าออก
ข้อมูลพันธุกรรม	ห้ามเก็บรวบรวมโดยเด็ดขาด

4ฐานกฎหมายในการประมวลผลข้อมูล

บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานกฎหมาย 7 ฐาน ตาม PDPA มาตรา 24 และ 26:

ข้อ	ฐานกฎหมาย	ตัวอย่างการใช้ในธุรกิจ IT Outsource
4.1	Consent (ความยินยอม)	การใช้ระบบ AI วิเคราะห์พฤติกรรม, การใช้ Biometric, การส่งข้อมูลให้บุคคลที่สาม – ต้องขอความยินยอมก่อนทุกครั้ง ถอนได้ทุกเมื่อ
4.2	Contract (สัญญา)	การประมวลผลข้อมูลพนักงานเพื่อจ่ายเงินเดือน, การดูแลระบบ IT ให้ลูกค้าตามสัญญา Service Agreement
4.3	Legal Obligation (กฎหมาย)	การส่งข้อมูลภาษีให้กรมสรรพากร, ประกันสังคม, การเก็บ Log ตาม PDPA, พ.ร.บ. คอมพิวเตอร์
4.4	Vital Interest (ชีวิตและความปลอดภัย)	การเปิดเผยข้อมูลสุขภาพกรณีฉุกเฉิน, การแจ้งเหตุ Data Breach ที่อาจกระทบชีวิต
4.5	Public Task (ภารกิจของรัฐ)	การให้ข้อมูลตามคำสั่งศาล, หน่วยงานกำกับดูแลเช่น ETDA, ธนาคารแห่งประเทศไทย
4.6	Legitimate Interest (ประโยชน์โดยชอบ)	การวิเคราะห์ Security Log, ระบบ AI ตรวจจับภัยคุกคาม, การปรับปรุงประสิทธิภาพ IT Service – ต้องไม่กระทบสิทธิ์ผู้เจ้าเกินสมควร
4.7	Research/Statistics (วิจัย/สถิติ)	การวิเคราะห์สถิติ Incident, รายงาน SLA Performance, การปรับปรุงระบบ AI – ใช้เฉพาะ Anonymized data

5วัตถุประสงค์การเก็บรวบรวม ใช้ เปิดเผยข้อมูล

บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้น ภายใต้ฐานกฎหมายที่ระบุไว้ข้างต้น:

การบริหารจัดการพนักงาน: จ่ายเงินเดือน ประกันสุขภาพ การฝึกอบรม การประเมินผล
การบริการจัดหาพนักงาน: คัดกรองและประเมินประวัติผู้สมัครงาน (Resume) ให้สอดคล้องกับความต้องการและคุณสมบัติที่ลูกค้ากำหนด
การให้บริการ: Software Development
การรักษาความมั่นคงปลอดภัยในเครือข่าย: ตรวจสอบ Log ป้องกันการโจมตี ตอบสนองต่อ Incident
การปฏิบัติตามสัญญาลูกค้า: ดูแลระบบ IT ตาม SLA ที่ตกลงกับลูกค้าองค์กร
การพัฒนาและปรับปรุงระบบ AI: วิเคราะห์ประสิทธิภาพ ปรับปรุง Model (ใช้เฉพาะข้อมูล Anonymized)
การปฏิบัติตามกฎหมาย: รายงานต่อหน่วยงานกำกับดูแล เก็บบันทึกตามที่กำหนด

6การใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน

บริษัทนำระบบ AI มาใช้เพื่อเพิ่มประสิทธิภาพการให้บริการ IT Outsource – ภายใต้หลักการ Human-in-the-loop และ PDPA มาตรา 24 AI ใช้เป็นเครื่องมือช่วยตัดสิน ไม่ใช่ผู้ตัดสินใจแทนมนุษย์ | ผลลัพธ์ทุกอย่างต้องผ่านการตรวจสอบและอนุมัติโดยพนักงานที่รับผิดชอบเสมอ

6.1 ระบบ AI ที่นำมาใช้ในธุรกิจ IT Outsource

ระบบ AI	วัตถุประสงค์	ข้อมูลที่ AI ประมวลผล
Security AI (SIEM/SOAR)	ตรวจจับภัยคุกคาม, วิเคราะห์ Anomaly ใน Log, แจ้งเตือน Incident	Network Log, System Event Log, Access Log – ไม่ระบุตัวตนผู้ใช้
Monitoring AI	ตรวจสอบประสิทธิภาพระบบ, แจ้งเตือนต่อ Downtime, วิเคราะห์ Capacity	Performance Metrics, System Health Data, Alert Log
AI Code Assistant	ช่วย Developer ตรวจสอบ Code, แนะนำ Best Practice, หา Bug	Source Code ที่ไม่มีข้อมูลส่วนบุคคล, Comment, Documentation
AI Report Generator	สรุปรายงาน SLA, วิเคราะห์แนวโน้ม, สร้าง Dashboard อัตโนมัติ	Aggregated Performance Data, Anonymized Statistics เท่านั้น
Recruit AI (ฝ่ายสรรหา)	คัดกรอง Resume เบื้องต้น, จัดลำดับผู้สมัคร, วิเคราะห์ความเหมาะสม	ข้อมูลผู้สมัครที่ได้รับ Consent ก่อนเสมอ – ไม่รวมข้อมูลอ่อนไหว
HR AI (ฝ่ายสวัสดิการพนักงาน)	วิเคราะห์การใช้สวัสดิการ, แจ้งเตือนวันหมดอายุประกัน, สรุปรายงาน Leave	ข้อมูลพนักงานภายใน (ชื่อ วันลา สวัสดิการ) – ไม่รวมข้อมูลสุขภาพโดยตรง

6.2 หลักการใช้งาน AI ที่พนักงานทุกฝ่ายต้องปฏิบัติ

ตรวจสอบความถูกต้องของผลลัพธ์จาก AI ทุกครั้งก่อนนำไปใช้ – ห้ามส่งต่อหรือนำไปใช้โดยไม่ตรวจสอบ
ห้ามป้อนข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานเข้าระบบ AI สาธารณะ (ChatGPT, Gemini, Copilot, Claude, หรือ AI อื่น ๆ บน Personal Account) โดยเด็ดขาด
ใช้เฉพาะเครื่องมือ AI ที่บริษัทอนุมัติและติดตั้งให้เท่านั้น – ดูรายการ Approved Tools ที่ฝ่าย IT
ข้อมูลของลูกค้า (Client Data) ถือเป็นข้อมูลลับสูงสุด ห้ามนำเข้า AI ใด ๆ นอกจากที่ระบุในสัญญา Data Processing Agreement กับลูกค้า
รายงาน AI Error หรือผลลัพธ์ที่เกิดข้อผิดพลาดต่อหัวหน้างานและฝ่าย IT ทันที

6.3 ข้อห้ามในการใช้งาน AI

⚠ ห้ามนำข้อมูลต่อไปนี้เข้าระบบ AI ทุกกรณี – ฝ่าฝืนถือเป็นความผิดวินัยและอาจมีโทษตามกฎหมาย

ข้อมูลอ่อนไหวของพนักงานหรือลูกค้า: ศาสนา สุขภาพ ชีวภาพ เชื้อชาติ ประวัติอาชญากรรม
ข้อมูลลับทางธุรกิจของลูกค้า (Confidential Client Data) แม้จะมี DPA และ NDA รองรับ
Credential ทุกประเภท: Password, API Key, Token, Certificate, Connection String
ข้อมูลทางการเงิน: หมายเลขบัญชีธนาคาร บัตรเครดิต ข้อมูลงบการเงิน
Source Code ที่มีข้อมูลส่วนบุคคลอยู่ หรือ Code ของระบบ Production ลูกค้า
ข้อมูลที่อยู่ภายใต้ข้อตกลง NDA กับลูกค้าหรือคู่ค้า

7ระยะเวลาเก็บรักษาข้อมูล

ประเภทข้อมูล	ระยะเวลา	การดำเนินการหลังครบกำหนด
ข้อมูลพนักงาน (ระหว่างจ้างงาน)	ตลอดระยะเวลาจ้างงาน	ลบหรือ Anonymize ภายใน 90 วันหลังพ้นสภาพ
ข้อมูลพนักงานหลังพ้นสภาพ	ไม่น้อยกว่า 2 ปี (สูงสุด 10 ปีตามกฎหมายแพ่ง)	ลบหรือทำให้ไม่สามารถระบุตัวตนได้
ข้อมูลประวัติอาชญากรรม	ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์	ลบและทำลายอย่างถาวรทันที
Security Log / Audit Log	1 ปี (ตาม พ.ร.บ. คอมพิวเตอร์)	Archive หรือลบตามนโยบาย Log Management
ข้อมูลลูกค้า (Client Data)	ตามที่ระบุใน Service Agreement / DPA	ส่งคืนหรือลบตามคำสั่งลูกค้าหลังสิ้นสัญญา
AI Training Data (Anonymized)	ตามวงจรชีวิต AI Model (สูงสุด 3 ปี)	ลบพร้อมกับการลบระวาง Model
ข้อมูลผู้สมัครงาน – ไม่ผ่านการคัดเลือก	1 ปีนับจากวันสมัคร	ลบออกจากระบบทั้งหมดโดยอัตโนมัติ รวมถึงระบบ AI
ข้อมูลผู้สมัครงาน – ผ่านการคัดเลือก / บรรจุเป็นพนักงาน	ต่อเนื่องไปจนพ้นสถานะพนักงาน ไม่เกิน 10 ปีหลังพ้นสภาพ	ประมวลผลตามนโยบายข้อมูลพนักงาน
ข้อมูลนักศึกษาฝึกงาน (ระหว่างฝึกงาน)	ตลอดระยะเวลาฝึกงาน	ลบหรือ Anonymize ภายใน 30 วันหลังสิ้นสุดการฝึกงาน
ข้อมูลนักศึกษาฝึกงาน (หลังสิ้นสุด)	2 ปีนับจากวันสิ้นสุดการฝึกงาน	ลบถาวร แต่เก็บไว้กรณีบรรจุเป็นพนักงาน (ต่อเนื่องไปจนพ้นสถานะพนักงาน)

8การเก็บรักษาและมาตรการความมั่นคงปลอดภัย (CIA Triad)

บริษัทจัดการข้อมูลส่วนบุคคลตามมาตรการ CIA Triad ตาม PDPA มาตรา 37:

Confidentiality (ความลับ) การรักษาความลับ – เฉพาะผู้มีสิทธิ์เข้าถึง

Role-Based Access Control (RBAC) ทุกระบบ
Multi-Factor Authentication (MFA)
เข้ารหัสข้อมูลระหว่างส่ง (TLS 1.3) และเก็บ (AES-256)
Audit Log บันทึกการเข้าถึงข้อมูลทุกครั้ง
VPN สำหรับการทำงานระยะไกล (Remote Work)

Integrity (ความถูกต้อง) ความถูกต้องและสมบูรณ์ – ป้องกันการแก้ไขโดยไม่ได้รับอนุญาต

Digital Signature และ Checksum ตรวจสอบความสมบูรณ์
Version Control และ Change Management
บันทึก Audit Trail ทุกการแก้ไขข้อมูล
การ Backup ข้อมูลอัตโนมัติและตรวจสอบความสมบูรณ์
AI Output Validation ก่อนนำไปใช้งาน

Availability (ความพร้อมใช้) ความพร้อมใช้งาน – ข้อมูลและระบบพร้อมใช้เมื่อต้องการ

Backup อัตโนมัติทุก 24 ชั่วโมง
Disaster Recovery Plan (RTO ≤ 4 ชั่วโมง)
High Availability สำหรับระบบสำคัญ (99.9% SLA)
การทดสอบ DR ปีละ 2 ครั้ง
แจ้งเตือนอัตโนมัติเมื่อระบบขัดข้อง

9การเปิดเผยข้อมูลส่วนบุคคล

บริษัทเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่แจ้งไว้ และต่อบุคคลต่อไปนี้เท่านั้น:

บริษัทในเครือข่าย ASC Group – ตามความจำเป็นในการให้บริการ
ลูกค้าองค์กร (Client) – เฉพาะข้อมูลที่เกี่ยวกับพนักงานที่มอบหมาย ภายใต้ NDA/DPA
ผู้ให้บริการ Cloud และ AI Platform – ที่มีสัญญา Data Processing Agreement (DPA) รองรับ
หน่วยงานราชการ – ตามคำสั่งศาลหรือกฎหมายเท่านั้น
ห้ามเปิดเผยข้อมูลลูกค้าต่อบุคคลที่สามโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร

10สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูล (พนักงาน, ลูกค้า, บุคคลที่เกี่ยวข้อง) มีสิทธิ์ 8 ประการ:

ข้อ	สิทธิ์	รายละเอียด
10.1	Right to be Informed (รับทราบ)	ได้รับแจ้งวัตถุประสงค์การเก็บรวบรวมและการนำไปใช้ใน AI ทุกครั้ง
10.2	Right of Access (เข้าถึง)	ขอดูข้อมูลส่วนบุคคลและผลการประมวลผลโดย AI ของตนเองได้
10.3	Right to Rectification (แก้ไข)	ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วนได้
10.4	Right to Erasure (ลบ)	ขอให้ลบข้อมูลได้เมื่อหมดความจำเป็น หรือเมื่อถอนความยินยอม
10.5	Right to Restriction (ระงับ)	ขอให้หยุดประมวลผลข้อมูลชั่วคราวระหว่างกระบวนการร้องเรียน
10.6	Right to Portability (โอนย้าย)	ขอรับข้อมูลในรูปแบบดิจิทัลที่อ่านด้วยเครื่อง (CSV, JSON)
10.7	Right to Object (คัดค้าน)	คัดค้านการนำข้อมูลเข้าระบบ AI หรือการประมวลผลที่ใช้ Legitimate Interest
10.8	Right to Withdraw (ถอนยินยอม)	ถอนความยินยอมได้ทุกเมื่อ ไม่กระทบสิทธิ์ที่เคยได้รับ – ติดต่อ [email protected]

11ความรับผิดชอบของพนักงาน

พนักงานทุกฝ่ายมีหน้าที่รับผิดชอบดังนี้:

ปฏิบัติตามนโยบายนี้และนโยบายที่เกี่ยวข้องอย่างเคร่งครัด
ไม่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้อื่นนอกวัตถุประสงค์ที่กำหนด
ไม่นำข้อมูลลูกค้าออกนอกระบบของบริษัทโดยไม่ได้รับอนุญาต
รายงานเหตุการณ์ Data Breach หรือสงสัยว่าข้อมูลรั่วไหลต่อ PDPA Officer ภายใน 1 ชั่วโมง
ผ่านการอบรม PDPA และนโยบาย AI ก่อนเริ่มงาน และทบทวนทุกปี
ใช้เฉพาะอุปกรณ์และระบบที่บริษัทอนุมัติในการเข้าถึงข้อมูลส่วนบุคคล
ล็อกหน้าจอคอมพิวเตอร์เมื่อออกจากที่นั่งทำงาน (Unattended Screen Policy)

12บทลงโทษการฝ่าฝืนนโยบาย

โทษทางวินัย (ภายในบริษัท)

ระดับ 1 – ตักเตือนด้วยวาจา: ใช้ AI โดยไม่ตรวจสอบผลลัพธ์, ลืมล็อกหน้าจอ
ระดับ 2 – หนังสือเตือน: นำข้อมูลส่วนบุคคลเข้า AI สาธารณะโดยประมาท, เข้าถึงข้อมูลเกินสิทธิ์
ระดับ 3 – ลงโทษ / ไล่ออก: เจตนาฝ่าฝืน, นำข้อมูลลูกค้ารั่วไหล, ใช้ข้อมูลเพื่อประโยชน์ส่วนตัว

โทษตามกฎหมาย PDPA (มาตรา 82–90)

โทษทางปกครอง: ปรับสูงสุด 5,000,000 บาท ต่อกรรม (คณะกรรมการ PDPA)
โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าเสียหายเชิงลงโทษสูงสุด 2 เท่า
โทษทางอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1,000,000 บาท (กรณีเจตนา)
ความรับผิดต่อลูกค้า: ค่าปรับตาม SLA + ค่าเสียหายตามสัญญา IT Outsource

13การเปลี่ยนแปลงและทบทวนนโยบาย

บริษัทจะทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญ เช่น กฎหมาย PDPA, การเพิ่มระบบ AI ใหม่, หรือเหตุการณ์ Data Breach การเปลี่ยนแปลงจะแจ้งให้พนักงานทุกฝ่ายทราบล่วงหน้าไม่น้อยกว่า 30 วัน

14ข้อมูลติดต่อ PDPA Officer

กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) — Data Controller

ที่อยู่

เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120

โทรศัพท์

02-679-1940-3
02-677-4072-3 ต่อ 511

PDPA Officer Email

[email protected]

ระยะเวลาตอบกลับ

ภายใน 30 วันนับจากวันรับคำขอ (เร่งด่วน: ภายใน 72 ชั่วโมง)

Data Breach Hotline

แจ้งฝ่าย IT ทันที และส่งอีเมล [email protected] ภายใน 1 ชั่วโมง

อ้างอิงกฎหมาย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

นโยบายคุ้มครองข้อมูลส่วนบุคคล