Personal Data Protection Policy

1. สิทธิเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิเพิกถอนความยินยอมซึ่งได้เคยให้ไว้กับบริษัทผ่านหนังสือขอความยินยอม ไม่ว่าจะเป็นการเพิกถอนความยินยอมบางส่วนหรือทั้งหมด และสามารถกระทำได้ตลอดระยะเวลาที่บริษัทเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ บริษัทจะต้องแจ้งถึงผลกระทบให้เจ้าของข้อมูลส่วนบุคคลทราบเมื่อมีการเพิกถอนด้วย (ถ้ามี) อย่างไรก็ดี การเพิกถอนความยินยอมจะไม่กระทบถึงการใด ๆ ที่บริษัทได้กระทำไปแล้วก่อนหน้าอันเนื่องมาจากการได้รับความยินยอมโดยชอบด้วยกฎหมายจากเจ้าของข้อมูลส่วนบุคคล

เหตุในการปฏิเสธ: เป็นกรณีที่มีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือเป็นกรณีข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

2. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของบริษัท หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

เหตุในการปฏิเสธ: บริษัทอาจปฏิเสธคำขอบังคับตามสิทธินี้ได้ในกรณีต่อไปนี้เท่านั้น:

- เป็นการทำตามกฎหมายหรือคำสั่งศาล หรือ

- เมื่อบริษัทเห็นว่าจะส่งผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลอื่น

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: กรณีบริษัทไม่อาจปฏิเสธได้ บริษัทจะต้องดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลภายใน 30 วัน นับแต่วันที่ได้รับคำขอ

3. สิทธิร้องขอรับและขอให้โอนหรือส่งข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัท หรือขอให้บริษัทส่งหรือโอนข้อมูลไปให้แก่บุคคลหรือองค์กรอื่นในรูปแบบที่สามารถอ่านได้หรือใช้งานได้โดยทั่วไป รวมถึงมีสิทธิขอรับข้อมูลส่วนบุคคลของตนเองที่บริษัทหรือบุคคลหรือองค์กรอื่นที่ได้รับโอนไปเก็บรวบรวมไว้ การร้องขอนี้จะใช้ได้ในกรณีที่บริษัทได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับความยินยอมหรือเพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนทำสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับบริษัทเท่านั้น

เหตุการปฏิเสธ: บริษัทสามารถปฎิเสธคำร้องขอได้หากข้อมูลส่วนบุคคลดังกล่าวนั้นถูกใช้เพื่อประโยชน์สาธารณะหรือเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการใช้สิทธินั้นเป็นการละเมิดสิทธิและเสรีภาพของบุคคลอื่น เช่น กรณีที่ข้อมูลดังกล่าวมีข้อมูลที่เป็นความลับทางการค้า หรือข้อมูลทรัพย์สินทางปัญญาเป็นส่วนหนึ่ง

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทได้ในกรณีต่อไปนี้:

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า และในกรณีที่บริษัทไม่มีเหตุแห่งการปฏิเสธ บริษัทจะดำเนินการแยกส่วนข้อมูลส่วนบุคคลข้างต้นออกจากข้อมูลอื่นในทันทีนับแต่เมื่อเจ้าของข้อมูลส่วนบุคคลแจ้งการคัดค้านให้ทราบ

5. สิทธิร้องขอให้ลบข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ หรือทำให้เป็นข้อมูลที่ไม่สามารถนำกลับมาใช้ได้ เมื่อ:

เหตุปฏิเสธคำขอ: บริษัทมีสิทธิปฏิเสธคำขอได้ในกรณีที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีต่อไปนี้



ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลได้ เมื่อ:





ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจขอให้บริษัทดำเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

ทั้งนี้หากมีเหตุแห่งการปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามสิทธิข้างต้น บริษัทจะต้องทำการบันทึกการปฏิเสธคำขอพร้อมเหตุผลไว้ในบันทึกรายการของบริษัทต่อไป

ระยะเวลาการตอบสนอง: โดยไม่ชักช้า

8. สิทธิการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญซึ่งได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อเห็นว่าบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบริษัทหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล


1. ตำแหน่งประธานบริษัทและคณะกรรมการบริหาร
มีหน้าที่กำกับดูแลกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้





2. ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัท
มีหน้าที่ให้คำแนะนำและตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคลทั้งหมดของบริษัท ดังนี้







3. ตำแหน่งระดับผู้จัดการฝ่าย/ผู้ช่วยผู้จัดการฝ่ายขึ้นไป
มีหน้าที่กำกับดูแลการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในแผนกของตนซึ่งอาจมีลักษณะที่แตกต่างกันไปตามแต่ละแผนก โดยอาจแบ่งหน้าที่ได้ดังนี้








4. ตำแหน่งระดับพนักงาน/หัวหน้างานขึ้นไป
มีหน้าที่ปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเคร่งครัด โดยเฉพาะในส่วนที่เป็นขั้นตอนในระดับการปฏิบัติการ ดังนี้



หรือ การบันทึกข้อมูล ต่าง ๆ เป็นต้น


5. ผู้รับจ้างและผู้ให้บริการซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท มีหน้าที่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและนโบบายนี้อย่างเคร่งครัด นอกจากนี้ยังต้องอยู่ภายใต้บังคับของสัญญาประมวลผลข้อมูลส่วนบุคคลที่ทำไว้กับบริษัท (ถ้ามี) โดยมีหน้าที่ดังนี้








เพื่อให้เป็นไปตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 39 บริษัทจะทำการบันทึกการใช้และเปิดเผยข้อมูลที่ได้เก็บรวบรวม โดยมีรายการดังต่อไปนี้






ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบได้ และสามารถบังคับตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลแจ้งหรือร้องขอแก่บริษัท


บริษัทสามารถโอนหรือส่งข้อมูลส่วนบุคคลไปยังต่างประเทศในกรณีดังต่อไปนี้

1. ประเทศปลายทางได้ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

2. กรณีประเทศปลายทางมีมาตรฐานไม่เพียงพอ การโอนข้อมูลส่วนบุคคลจะต้องเข้าข้อยกเว้นตามกฎหมาย อันได้แก่







3. กรณีที่เป็นการส่งหรือโอนข้อมูลระหว่างบุคคลหรือนิติบุคคลต่างประเทศซึ่งอยู่ในเครือกิจการเดียวกัน บริษัทอาจส่งหรือโอนข้อมูลส่วนบุคคลระหว่างกัน โดยไม่ต้องดำเนินการตามที่กำหนดไว้ข้างต้น โดยบริษัทจะต้องจัดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับการส่งหรือโอนข้อมูลระหว่างกันในเครือธุรกิจเดียวกัน ที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ในปัจจุบันบริษัทยังไม่มีนโยบายการส่งข้อมูลส่วนบุคคลระหว่างกันสำหรับบริษัทในเครือ)






หมายเหตุ: นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ได้รับการแก้ไขเปลี่ยนแปลงครั้งล่าสุดเมื่อวันที่ [1 มิถุนายน 2565]


กรณีมีข้อสงสัยหรือคำถามเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือกรณีมีความประสงค์จะแจ้งเหตุแห่งการละเมิดข้อมูลส่วนบุคคล โปรดติดต่อ:

[ฝ่ายกำกับดูแลกิจการ]
[038 109360-7 ต่อ 362]
[อีเมล cg@tbkk.co.th]

General Personal Data: the collection can only be carried out if one or more of the seven legal bases has been met as follows:

1.1 Consent from the Data Subject (Consent Basis)

In case that the Personal Data cannot be collected by means of any other legal basis as specified in Clause 1.2-1.7 of this Policy, the Company needs to request for the explicit consent from the Data Subject before or while collecting their Personal Data. The absence of a response or inaction is not regarded as consent from the Data Subject. Such consent must be made in a written statement, or via electronic means which can either be in a form and with a content created by the Company (Letter of Consent) or stipulated by law (if any). Except where such request for consent cannot be made, in such case, the Data Subject may provide his or her consent verbally, in which case the Company must record the said consent in writing with details of the method and date of the consent. Notwithstanding, the Data Subject may withdraw his or her consent at any time, unless there is a law or contract advantageous to the Data Subject which restricts the Data Subject’s right to withdrawal.

Nonetheless, the Company shall always be aware that the Company can only request for the Data Subject’s consent provided that the Data Subject can give consent independently and voluntarily.

Remark: In the case that the Company shall request for consent from a minor, incompetent or quasi-incompetent person, the Company must obtain consent from the holder of parental responsibility, the custodian or curator who has the power to act on behalf of such Data Subject subsequently. If the minor is above the age of ten years, they may give their own consent in the case where they can act solely by themselves.

1.2 For preparing historical documents or the archives for public interest, or for the purpose relating to research or statistics (Archives/Research/Statistics Basis)

The Company may collect Personal Data to achieve the purpose relating to the preparation of historical documents or the archives for public interest, or for the purpose relating to research or statistics, in which suitable measures to safeguard the Data Subject’s rights and freedoms are put in place as required by law.

1.3 For preventing or suppressing danger to a person’s life, body or health (Vital Interest Basis)
In some cases, the Company may need to collect Personal Data to prevent or suppress danger to a person’s life, body or health, which is not only limited to the Data Subject. For example, it is necessary for the Company to collect Personal Data in an emergency accident involving the Data Subject, which in this case, the Company does not need to obtain consent to collect the Data Subject’s Personal Data.

1.4 For performance of contract between the Company and the Data Subject, or to proceed with the Data Subject’s request prior to entering into a contract with the Company (Contract Basis)

In case the Company needs to collect Personal Data for the performance of a contract to which the Data Subject is a party of, or in order to take steps at the request of the Data Subject prior to entering into a contract, the Company does not need to obtain consent to collect the Data Subject’s Personal Data.

1.5 For performing duties in the public interest (Public Interest Basis)

In case the Company needs to collect Personal Data for performing duties in the public interest by the Data Controller, or the exercising of official authority vested in the Data Controller, the Company does not need to obtain consent to collect the Data Subject’s Personal Data.

1.6 For legitimate interests (Legitimate Interest Basis)

The Company may collect Personal Data from the Data Subject without requesting for his or her consent if it is necessary for the legitimate interests of the Company or any third parties other than the Data Subject. For example, legitimate interests in the business operation of the Company and/or third parties, legitimate interests in securing and protecting property and people within the Company’s premises, legitimate interests in organizational management of the Company and so forth.

However, the Company need to be careful when collecting Personal Data relying on this legal basis – Except where such interests are overridden by the fundamental rights of the Data Subject, or may significantly impact on the rights and fundamental freedoms of the Data Subject, in such case, the Company must not collect Personal Data through relying on Legitimate Interest and is required to request for the Data Subject’s consent if the Company intends to continue collecting his or her Personal Data.

The following guidelines is provided for implementing the legitimate interest basis. The Company must assess whether the collection of any Personal Data is in accordance with the following criteria in all respects:






1.7 For complying with the laws enforced on the Company (Legal Duty Basis)

In case the law stipulates that the Company is required to collect, use or disclose Personal Data, the Company does not need to request for consent from the Data Subject. This may include processing Personal Data in accordance with court orders or government officials, for example storing employee data to comply with labor protection laws, storing accounting documents for a period specified by the law, etc.

2. In case of Sensitive Personal Data, the Company may collect, use or disclose such Sensitive Personal Data only when the Data Subject has given his or her explicit consent (please see guidelines and methods in Clause 1.1), except where the law provides that:





Details of the type, purpose and legal basis for the collection of Personal Data of the Company will be in the Privacy Notice for different types of Data Subjects.

3. Guidance in collecting of Personal Data

The Personal Data must be collected, solely, to the extent where it is necessary to achieve the objectives as specified by the Company. The Company is required to consider on the request and select the collected data deemed necessary for the use, and erase or destroy the data received without necessity, especially Sensitive Personal Data. This is for the purpose of reducing the risks in unlawfully collecting, using and disclosing the Personal Data of the Company.

In the case where the Company has received more Personal Data than is necessary, the Company shall determine a method to solely collect Personal Data necessary to achieve the objectives of such Personal Data collection. For example, if the Company uses Personal Data to identify its business partner or their representative from a copy of the identification card, whereby typically the Company only requires general Personal Data for the identification of such person (i.e. name and photo). Hence, in case where the Sensitive Personal Data is contained in the identification card (i.e. religious), the Company should employ a method to prevent such Personal Data from appearing on the copy of the identification card when in the Company’s possession. This may include erasing unnecessary data received in the identification card, leaving only the necessary Personal Data for identification only.


When Personal Data is collected, used or disclosed, the Company will create and provide a Privacy Notice for various types of Data Subjects to provide details of Personal Data processing, definitions, Personal Data which the Company collects, objectives of collecting Personal Data, legal basis of such collection, retention period or expected duration, type of persons or organizations Personal Data may be disclosed to, contact details of the Company, rights of the Data Subject and other relevant details, so that the Data Subject knows and understand, and consider providing their consent in the event that the collection of the Personal Data is not within the other legal basis which the Personal Data can be collected without consent.

The Company must inform or deliver the Privacy Notice to the Data Subject before or while collecting their Personal Data; except where the Company collects, uses or discloses the Personal Data prior to having this Policy, and it is still necessary for the Company to continue to collect, use or disclose that data, in which case, the Company must inform or deliver the Privacy Notice to the Data Subject without delay.


In general, the Company is required to collect Personal Data from the Data Subject directly. However, if the Company have obtained the Personal Data from other sources from a source other than the Data Subject, the Company is required to inform the Data Subject of the collection along with the Privacy Notice without delay but shall not exceed 30 days upon the date of such collection, and obtain a consent from the Data Subject in the case of collecting Personal Data from the legal basis. Notwithstanding, except in case the Company is required to use the Personal Data to contact the Data Subject, the Company can inform the Data Subject upon the first communication with the Data Subject. In the case the Company discloses Personal Data, the Company is required to inform the Data Subject prior to the first disclosure.

However, in some cases the Company may not have to inform the Personal Data collection and Privacy Notice to the Data Subject if the Company can prove that such notice is not possible, or will obstruct the use or disclosure of the Personal Data, or the Data Subject is already aware of such detailed information. For example, the Data Subject has received the Privacy Notice for other business transactions with the Company and intends to carry out the same transaction with the Company again.

In addition, if the Company hires the Data Processor to collect, use or disclose Personal Data on behalf of and by order of the Company, the Company may assign the Data Processor to provide privacy notices on its behalf whereby the Company is required to ensure that the Data Processor complies with the obligations as stated in this Policy and it shall be deemed that the Company has provided the details of collection, use and disclosure of Personal Data in compliance with the PDPA as the Data Controller.


The Company shall be aware that the Data Subject has the right to take any action regarding his/her Personal Data in the Company’s possession as stipulated by the Personal Data Protection Laws. Thus, the Company is required to provide a Data Subject Request Form to facilitate the Data Subject in notifying his/her intention to exercise his/her rights.

However, in the event the Company has the necessity to reject the Data Subject’s request, the Company is required to notify the Data Subject of such rejection in writing and record the reasons of such rejection in writing.

1. Right to withdraw consent. The Data Subject may withdraw some or all of his or her consent, which was previously given to the Company through the Consent Letter, at any time throughout the period that personal data is retained with the Company. The Company must inform the Data Subject of such effects upon the withdrawal of consent (if any). Notwithstanding, the withdrawal of consent shall not affect the processing of Personal Data by the Company that the Data Subject has already given consent prior to the withdrawal.

Reason for denial: Restrictions on the right to withdraw consent includes legal compliance or contract performance which is beneficial towards the Data Subject.

Response time: Without delay.

2. Right to request access to and obtain a copy of the Personal Data. The Data Subject is entitled to request access to and obtain a copy of the Personal Data related to him or her which is in responsibility of the Company, or to request the disclosure of the acquisition of the Personal Data obtained without his or her consent.

Reason for denial: The Company may reject the Data Subject’s request only in the following cases:
- To comply with a legal obligation or court order; or
- The Company considers that the Data Subject’s request will affect the fundamental rights and freedoms of other persons.

However, in the event of refusing the Data Subject’s request of his or her Personal Data rights as stated above, the Company shall keep a record of such denial together with reasons in the record.

Response time: Where such requests cannot be denied, the Company must comply with the request of the Data Subject within 30 days of receiving the request.

3. The right to request to receive and send or transfer of Personal Data. The Data Subject has the right to request his or her Personal Data from the Company, or to request the Company to send or transfer the Personal Data to another person or organization in a format which is readable or commonly used. This includes the right to receive his or her Personal Data which are transferred and maintained by other companies, personnel or organizations. This request can only be used if the Personal Data has been collected, used or disclosed with consent, or for contract performance, or for requesting to enter into a contract between the Data Subject and the Company.

Reason for denial: The Company can refuse the Data Subject’s request in sending or transferring Personal Data which is used for the performance of a task carried out in the public interest, or for compliance with the law, or such exercise of rights shall violate the rights and freedoms of others. For example, the integral part of the information contains trade secrets or intellectual property information attached to the personal data.

However, in the event of denying the Data Subject’s request of his or her Personal Data rights as stated above, the Company shall keep a record of such denial together with reasons in the record.

Response time: Without delay.

4. The right to object the collection, use, or disclosure of the Personal Data. The Data Subject has the right to object to the collection, use or disclosure of their Personal Data by the Company in the following circumstances:

(1) Collection, use or disclosure of such Personal Data is carried out for the performance of a task necessary for legitimate interests, or carried out in the public interest, including complying with orders of government officials.

Reason for denial (for No. 4(1)): The Company can demonstrate that there is a more compelling legitimate ground than the interests, rights, or freedom of the Data Subject, or the data collection, use or disclosure is carried out for the establishment, compliance or exercise of legal claims, or defense of legal claims.

However, in the event of denying the Data Subject’s request of his or her Personal Data rights as stated above, the Company shall keep a record of such denial together with reasons in the record.

(2) For the purpose of direct marketing, the Data Subject can object without any conditions.
(3) For the purpose of scientific, historical or statistic research, unless it is necessary for performance of a task carried out for the public interest.
Response time: Without delay. In the case the Company does not have a reason for the denial of such request, the Company shall immediately proceed to separate the Personal Data out from other data immediately upon the notification of the Data Subject’s objection.

5. The right to erase the Personal Data. The Data Subject has the right to request the Company to erase or destroy the Personal Data, or anonymize the Personal Data to become anonymous data which cannot identify the Data Subject or cannot be further reused, where either of the following grounds applies:





Reason for denial: The Company is entitled to reject the request in case of collection, use, or disclosure of Personal Data in the following cases:






In case of the Company has disclosed the Personal Data to the public or transferred to other Data Controllers, and the Data Subject has requested for his or her Personal Data to be erased, destroyed, or anonymized, the Company shall proceed to have such Personal Data erased or destroyed, or anonymized. In addition, the Company shall inform other Data Controllers to proceed in the same manner.

Response time: Without delay.

6. Right to restrict the use of the Personal Data. The Data Subject may request the Company to restrict the use of the Personal Data in certain circumstances:





Response time: Without delay.

7. Right to rectification. The Data Subject may request the Company to ensure that their Personal Data remains accurate, up-to-date, complete, and not misleading.

However, in the event of denying the Data Subject’s request of his or her Personal Data rights as stated above, the Company must state the reasons for denial of such request in its register

Response time: Without delay.

8. Right to lodge complaint. The Data Subject has the right to lodge a complaint to the expert committee as appointed by the Personal Data Protection Committee in the event that where he or she believes that the Company or the Data Processor, including the employees or the service providers of the Company or the Data Processor violates or fail to comply with the PDPA.


All staffs and personnel, including all employees and person hired by the Company are responsible for complying with the laws and this Personal Data Protection Policy and must keep Personal Data strictly confidential and must not use Personal Data received during working as an employee for any inappropriate, personal interest or illegal purposes. The duties of the personnel may be divided by rank of position as follows:

1. The managing director and upper management level

Shall be responsible for overseeing all the Company’s process to protect Personal Data as follows:






2. Data Protection Officer (DPO) or Persons Responsible for the Personal Data Protection of the Company

Shall be responsible for advising and reviewing all of the Company’s Personal Data protection processes as follows:








3. Department manager level

Shall be responsible for supervising the collection, use or disclosure of Personal Data within their department, which may have different characteristics in each department. The responsibilities include the following:









4. Staff / Supervisor above level

Shall act strictly in accordance with the laws and this Policy to protect Personal Data, in particular the following steps:






5. Contractors and service providers who are the Data Processor of the Company Shall act strictly in accordance with the laws and policies to protect Personal Data and will be bind under the Data Processing Agreement with the Company (if any). Such responsibilities include:




Violations of the law and this Personal Data Protection Policy by employees may result in disciplinary action, and any violation of the law or this Policy by the contractor or service provider which is the Data Processor of the Company may also be regarded as a breach of contract with the Company. If such violation or non-compliance results in damage to the Company, the Company reserves the right to terminate the employment or agreement. In addition, there may be criminal penalties, fines and imprisonment for the Company’s representative who breaches or fails to comply with the law. Thus, employees and related parties should review and strictly adhere to this Policy and the law regarding Personal Data protection.


To ensure the efficiency and standard of the safety system as required by laws, the company has, therefore, established three measures including 1) Organizational measures 2) Technical measures 3) Physical measures, in order to prevent any loss, unauthorized access, use, alteration, or disclosure of Personal Data and to ensure the appropriate information security related to confidentiality, integrity and availability whereby it is also stipulated in “Personal Data Protection Measures”


For the purpose of complying with the Personal Data Protection Act, Section 39, the Company must arrange a record of usage and disclosure of collected data which shall consist of, at the very least:








The Company may send or transfer Personal Data to foreign countries under the following circumstances:
1. The destination country or international organization that receives such Personal data has adequate data protection standards.
2. In the event the Personal Data protection standard of a destination country or international organization is inadequate, the transfer of Personal Data must be carried out in accordance with the following:







3. The Company may send or transfer Personal Data to another person or juristic person who is in a foreign country and is in the same group/affiliated companies without having to perform the prior actions listed above. Notwithstanding, the Company has to put in place Personal Data protection policy regarding sending or transferring Personal Data within the group/affiliated companies, and such policy has been reviewed and certified by the Office of the Personal Data Protection Committee (no policy on data portability has been established among the group/affiliated company at present).

Currently, the Personal Data Protection Committee has not yet established a list of countries with sufficient standards nor adopted certification policies for sending or transferring the data within the group/affiliated companies. However, the Company is entitled to send or transfer Personal Data to foreign countries or international organizations if the Company has appropriate security measures of Personal Data which enable the enforcement of the rights exercised by the Data Subjects, including having effective legal remedies in accordance with the standards prescribed by the law. Notwithstanding, as the laws have not prescribed such measure, the Company is able to proceed on the sending or transferring of Personal Data to be in accordance with Clause 2 until the laws in this regard are hereby promulgated to effectively implement.


In the event of a personal data breach incurred within the Company is likely to result to the rights and freedoms of the Data Subject, employees and personnel shall liaise and coordinate as necessary to ensure that the personal data breach is handled and complied with all relevant laws. The Corporate Governance is required to notify the PDPC of the personal data breach without delay and, where feasible, within 72 hours after having become aware of it. In case the personal data breach is likely to result in a high risk to the rights and freedoms of the Data Subject, the company is required to notify data subject of the breach incident and the remedial measures without undue delay.


This Personal Data Protection Policy may be amended from time to time in order to comply with applicable laws and the appropriateness of business.

Note: This Personal Data Protection Policy was last revised on [1st June 2022]
Any question regarding personal data protection or in the event that you would like to report a violation of Personal Data, please contact details provided below:
[Corporate Governance]

[038 109360-7 Ext. 362]

[Email cg@tbkk.co.th]