บริษัท นอร์ทเทิร์น บางกอกโมโนเรล จำกัด (“บริษัทฯ” “เรา” หรือ “NBM”) ผู้รับสัมปทานรถไฟฟ้ามหานคร (MRT) สายสีชมพู และบริษัท ระบบขนส่งมวลชนกรุงเทพ จำกัด (มหาชน) (“บริษัทฯ” “เรา” หรือ “BTS”) ผู้รับจ้างเดินรถไฟฟ้ามหานคร (MRT) สายสีชมพู ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทฯ จะปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยเมื่อมีการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (ตามนิยามที่ระบุด้านล่าง)

     ในการประกอบธุรกิจโครงสร้างพื้นฐานและระบบขนส่งมวลชนของบริษัทฯ นั้น บริษัทฯ ไม่ได้มีความมุ่งหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลแต่อย่างใด อย่างไรก็ดี บริษัทฯ อาจต้องเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าผู้ใช้ผลิตภัณฑ์และบริการของบริษัทฯ (เช่น ผู้โดยสารรถไฟฟ้า) ทั้งที่เป็น ลูกค้าในอดีต ลูกค้าปัจจุบัน และผู้ที่อาจเป็นลูกค้าในอนาคต รวมไปถึงบุคคลธรรมดาใด ๆ ที่บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลมา (เช่น ผู้ร้องเรียน หรือบุคคลที่ติดต่อในกรณีฉุกเฉิน บุคคลที่เกี่ยวข้องกับโครงการความรับผิดชอบต่อสังคมและสิ่งแวดล้อมขององค์กร (CSR) ผู้ถือหุ้นและผู้ถือหลักทรัพย์) เพื่อวัตถุประสงค์บางประการที่เกี่ยวเนื่องกับการประกอบธุรกิจของบริษัทฯ หรือบริษัทในกลุ่ม BTS (“บริษัทในกลุ่ม BTS”)

     นโยบายความเป็นส่วนตัวฉบับนี้ (“นโยบายความเป็นส่วนตัว”) ใช้กับการประกอบธุรกิจของบริษัทฯ ณ สถานีรถไฟฟ้า หรือผ่านช่องทางเว็บไซต์ โทรศัพท์ ศูนย์บริการข้อมูลลูกค้า (call center) ช่องทางไปรษณีย์ ช่องทางสื่อสังคมออนไลน์ ช่องทางติดต่อออนไลน์ ตลอดจนช่องทางอื่น ๆ ของบริษัทฯ ที่ได้รับข้อมูลส่วนบุคคลจากท่าน

     บริษัทฯ อาจเปลี่ยนแปลง และ/หรือปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว โดยบริษัทฯ จะแจ้งท่านเพิ่มเติมหากมีการปรับปรุงที่สำคัญ บริษัทฯ จะระบุวันที่นโยบายความเป็นส่วนตัวของเราได้มีการปรับปรุงครั้งล่าสุดไว้ทางด้านบนของนโยบายความเป็นส่วนตัว ทั้งนี้ บริษัทฯ สนับสนุนให้ท่านอ่านนโยบายความเป็นส่วนตัวนี้อย่างระมัดระวัง และตรวจสอบนโยบายความเป็นส่วนตัวอย่างสม่ำเสมอเพื่อทบทวนการเปลี่ยนแปลงใด ๆ ที่บริษัทฯ อาจดำเนินการตามข้อกำหนดในนโยบายความเป็นส่วนตัวฉบับนี้

     เพื่อวัตถุประสงค์ของนโยบายความเป็นส่วนตัวฉบับนี้ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อม ตามที่ระบุด้านล่างนี้

     โดยบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลทั้งทางตรงและทางอ้อมจากแหล่งข้อมูลอื่น ๆ เช่น บริษัทในกลุ่ม BTS พันธมิตรทางธุรกิจหรือผู้ให้บริการของบริษัทฯ บุคคลภายนอกอื่น ๆ (เช่น บุคคลอ้างอิง ผู้ร้องเรียน) แหล่งข้อมูลสาธารณะ (เช่น สื่อสังคมออนไลน์) และเว็บไซต์ของบุคคลภายนอก หรือหน่วยงานรัฐที่เกี่ยวข้อง ทั้งนี้ ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมนั้นขึ้นอยู่กับความสัมพันธ์ของท่านที่มีกับบริษัทฯ หรือบริษัทในกลุ่ม BTS และบริการหรือผลิตภัณฑ์ที่ท่านมีความประสงค์จะได้รับจากบริษัทฯ หรือบริษัทในกลุ่ม BTS โดยตัวอย่างข้อมูลส่วนบุคคลที่บริษัทฯ อาจเก็บรวบรวมมีดังต่อไปนี้

1.1 ข้อมูลส่วนตัว

     เช่น ชื่อ-นามสกุล อายุ วันเดือนปีเกิด ข้อมูลระบุตัวตนที่ออกโดยหน่วยงานราชการ หน่วยงานเอกชน หรือองค์กรอื่น ๆ (เช่น บัตรประจำตัวประชาชน หนังสือเดินทาง ใบขับขี่ ทะเบียนบ้าน ใบอนุญาตทำงาน บัตรประจำตัวพนักงาน บัตรนักเรียน/นักศึกษา นามบัตร เอกสารประจำตัวอื่น ๆ) ลายมือชื่อ ภาพถ่าย เสียงบันทึก ข้อมูลจากกล้องโทรทัศน์วงจรปิด บันทึกจากกล้องโทรทัศน์วงจรปิด หมายเลขทะเบียนรถ และ/หรือ รายละเอียดสำหรับหญิงตั้งครรภ์ (เช่น โรงพยาบาลที่ฝากครรภ์ กรุ๊ปเลือด) ทั้งนี้ ข้อมูลส่วนตัวให้หมายรวมถึง “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” ดังอธิบายไว้ในนโยบายฉบับนี้
โปรดดูรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลจากกล้องโทรทัศน์วงจรปิดของบริษัทฯ ได้ใน “นโยบายความเป็นส่วนตัวสำหรับการใช้กล้องโทรทัศน์วงจรปิด” ได้ที่ https://www.nbm.co.th/pdpa/cctv/

1.2 ข้อมูลการติดต่อ

     เช่น ที่อยู่ทางไปรษณีย์ ที่อยู่ตามทะเบียนบ้าน ที่อยู่ตามบัตรประจำตัวประชาชน ที่อยู่ของสถานที่ทำงาน หมายเลขโทรศัพท์ หมายเลขโทรสาร ที่อยู่อีเมล บัญชีผู้ใช้ไลน์ หรือบัญชีเฟซบุ๊ค และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับช่องทางสื่อสังคมออนไลน์

1.3. ข้อมูลที่เกี่ยวกับการอุบัติเหตุ เหตุฉุกเฉิน และการแจ้งหรือรายงานเหตุดังกล่าว

     เเช่น รายละเอียดการร้องเรียน/การแจ้งเหตุและข้อเสนอแนะ (เช่น วันที่และเวลาใช้บริการ สถานีที่ใช้บริการ หมายเลขบัตรโดยสารรถไฟฟ้า หมายเลขขบวนรถไฟฟ้า รายละเอียด ข้อมูลบัตรที่ผู้โดยสารรถไฟฟ้าแจ้ง) รายละเอียดการเกิดเหตุ ได้แก่ วันและเวลาเกิดเหตุ วันที่รายงาน สถานีที่เกิดเหตุ ความเสียหายที่พบ รายละเอียดเกี่ยวกับบุคคล และ/หรือพาหนะที่ประสบเหตุ (เช่น ลักษณะยานยนต์ หมายเลขทะเบียนรถ) ข้อมูลประกัน รายละเอียดการลงบันทึกประจําวัน/แจ้งความที่สถานีตํารวจ สถานภาพของคู่กรณีหลังเกิดเหตุ ข้อมูลการดำเนินคดี รายละเอียดของทรัพย์สินที่สูญหาย/พบ และรายละเอียดอื่น ๆ ตามแต่ละเรื่องร้องเรียน ลักษณะของความเสียหาย บาดเจ็บ สูญเสีย ตลอดจนรายละเอียดอื่นใดที่สามารถอธิบายหรือระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม

1.4. ข้อมูลทางเทคนิค

     เช่น เลขที่อยู่ไอพีหรืออินเทอร์เน็ตโพรโทคอล (IP address) เว็บบีคอน (web beacon) ล็อก (Log) ข้อมูลการเข้าใช้งานแบบ single sign-on (SSO) การเข้าสู่ระบบ (Login log) คุกกี้

1.5. ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

     เช่น ข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามที่ปรากฏในเอกสารระบุตัวตน (เช่น ศาสนา) ข้อมูลสุขภาพ (เช่น โรคประจำตัว โรค อายุครรภ์) ข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามรายละเอียดที่ร้องเรียน/ การแจ้งเหตุ และตามคดี (เช่น ศาสนา ข้อมูลสุขภาพ ความพิการ หรือประวัติอาชญากรรมซึ่งอาจปรากฎตามรายละเอียดการลงบันทึกประจําวัน/แจ้งความที่สถานีตํารวจหรือรายละเอียดรายงานประจําวันพร้อมใบสําเนาหลักฐานบันทึกรายงานประจําวัน) (“ข้อมูลส่วนบุคคลที่ละเอียดอ่อน”)

     บริษัทฯ ไม่มีเจตนาที่จะเก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน อย่างไรก็ดี ในกรณีที่บริษัทฯ มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน บริษัทฯ จะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนบนฐานความยินยอมโดยชัดแจ้ง หรือต่อเมื่อกฎหมายอนุญาตให้กระทำได้

     นอกจากนี้ บริษัทฯ อาจมีการขอให้แสดงบัตรประจำตัวผู้พิการ เพื่อให้สิทธิพิเศษในการโดยสารรถไฟฟ้า โดยไม่ได้มีการเก็บรวบรวมข้อมูลความพิการเหล่านั้นไว้

     หากท่านได้ให้ข้อมูลส่วนบุคคลของบุคคลอื่นใดนอกจากตัวท่านเองแก่บริษัทฯ (เช่น บุคคลที่ติดต่อในกรณีฉุกเฉิน หรือคู่กรณี) เช่น ชื่อ-นามสกุล ที่อยู่ ความสัมพันธ์ และข้อมูลการติดต่อ บริษัทฯ จะถือว่าท่านรับรองและรับประกันต่อบริษัทฯ ว่าท่านมีอำนาจในการกระทำเช่นนั้นโดย (1) การแจ้งให้บุคคลอื่นรายนั้นทราบถึงนโยบายความเป็นส่วนตัวฉบับนี้ และ (2) การได้รับความยินยอม (ในกรณีที่กฎหมายกำหนดหรือจำเป็น) เพื่อให้เราสามารถใช้ข้อมูลส่วนบุคคลตามนโยบายความเป็นส่วนตัวฉบับนี้ได้

     บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับผู้เยาว์ บุคคลเสมือนไร้ความสามารถ และบุคคลไร้ความสามารถต่อเมื่อได้รับความยินยอมจากผู้ปกครอง หรือผู้พิทักษ์ หรือผู้อนุบาลแล้วเท่านั้น บริษัทฯ ไม่มีเจตนาที่จะเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่มีอายุต่ำกว่า 20 ปี โดยไม่ได้รับความยินยอมจากผู้ปกครองตามที่กฎหมายกำหนด หรือจากบุคคลเสมือนไร้ความสามารถหรือบุคคลไร้ความสามารถโดยไม่ได้รับความยินยอมจากผู้พิทักษ์หรือผู้อนุบาลตามกฎหมาย (แล้วแต่กรณี) ในกรณีที่บริษัทฯ ทราบว่า บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่มีอายุต่ำกว่า 20 ปีโดยปราศจากความยินยอมของผู้ปกครองตามที่กฎหมายกำหนด หรือจากบุคคลเสมือนไร้ความสามารถหรือบุคคลไร้ความสามารถโดยปราศจากความยินยอมของผู้พิทักษ์หรือผู้อนุบาลตามกฎหมาย (แล้วแต่กรณี) โดยไม่ได้ตั้งใจ บริษัทฯ จะลบข้อมูลส่วนบุคคลนั้นทันที หรือจะเก็บรวบรวม และ/หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเฉพาะกรณีที่บริษัทฯ สามารถอาศัยฐานทางกฎหมายอื่นที่นอกเหนือจากความยินยอมได้ หรือตามที่กฎหมายอนุญาตเท่านั้น

     บริษัทฯ เก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้

     2.1. วัตถุประสงค์ที่อาศัยความยินยอม

     บริษัทฯ อาจอาศัยความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนเพื่อวัตถุประสงค์ต่อไปนี้

     (ก) ข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามที่ปรากฏในเอกสารราชการ (เช่น ข้อมูลศาสนาบนบัตรประจำตัวประชาชน) เพื่อพิสูจน์และยืนยันตัวตน ตลอดจนบริหารจัดการเกี่ยวกับวิถีปฏิบัติของบุคคลที่ถูกต้องเหมาะสม

     (ข) ข้อมูลสุขภาพ (เช่น โรคประจำตัว อายุครรภ์ โรค) เพื่อการจัดการการร้องเรียนและการเรียกค่าสินไหม เพื่อการให้เข็มกลัดคนท้อง เพื่อเคลมค่ารักษาพยาบาล เพื่อใช้ดำเนินการในกรณีเกี่ยวกับสวัสดิภาพในชีวิต ร่างกาย สุขภาพ ทรัพย์สิน หรือเพื่อเหตุฉุกเฉินอื่นใด

     (ค) ข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามรายละเอียดที่ร้องเรียน/การแจ้งเหตุ และตามคดี (เช่น ศาสนา ข้อมูลสุขภาพ การบาดเจ็บ หรือความพิการ) เพื่อรับเรื่องร้องเรียนและแก้ไขปัญหา เพื่อการบันทึกและตรวจสอบข้อมูล ขอรายละเอียดเพิ่มเติม ส่งข้อมูลเบาะแส ติดต่อประสานงาน การเคลมประกันภัย และปรับปรุงการให้บริการที่เกี่ยวข้องของบริษัทฯ

     ในกรณีที่เราอาศัยความยินยอมเป็นฐานทางกฎหมายสำหรับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ท่านมีสิทธิถอนความยินยอมได้โดยการติดต่อบริษัทฯ (ตามรายละเอียดที่ระบุในหัวข้อ “ติดต่อบริษัทฯ” ของนโยบายความเป็นส่วนตัวนี้) ทั้งนี้ การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่อาศัยความยินยอมของท่านที่เคยให้ไว้ก่อนการเพิกถอนนั้น อย่างไรก็ตาม หากท่านไม่ให้ความยินยอมหรือข้อมูลส่วนบุคคลของท่านแก่เรา หรือได้เพิกถอนความยินยอมของท่านในภายหลัง เราอาจไม่สามารถให้บริการแก่ท่านได้

     2.2. วัตถุประสงค์ที่บริษัทฯ อาจอาศัยฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคล

     บริษัทฯ อาจอาศัยหรืออ้างถึง (1) ฐานการปฏิบัติตามสัญญา สำหรับการเริ่มต้นทำสัญญาหรือการเข้าทำสัญญาหรือปฏิบัติตามสัญญากับเจ้าของข้อมูลส่วนบุคคล (2) ฐานการปฏิบัติตามกฎหมาย เพื่อการปฏิบัติหน้าที่ตามกฎหมายของบริษัทฯ (3) ฐานประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ และของบุคคลภายนอก โดยได้สัดส่วนกับประโยชน์และสิทธิเสรีภาพขั้นพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน (4) ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล และ/หรือ (5) ฐานประโยชน์สาธารณะ สำหรับการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ (6) เพื่อการก่อตั้งและยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมายในอนาคต หรือฐานทางกฎหมายอื่น ๆ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอนุญาต (แล้วแต่กรณี) ทั้งนี้ ขึ้นอยู่กับความสัมพันธ์ที่มีระหว่างบริษัทฯ บริษัทฯ อาจเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้

(ก) เพื่อใช้งานกล้องโทรทัศน์วงจรปิด เช่น เพื่อติดตามสถานการณ์ต่าง ๆ เพื่อป้องกันและรายงานอาชญากรรม เพื่อรักษาความปลอดภัยและทรัพย์สิน ตลอดจนเพื่อความโปร่งใสในการประกอบธุรกิจของบริษัทฯ และเพื่อใช้เป็นหลักฐานอ้างอิงในกรณีฉุกเฉินหรือกรณีที่มีการร้องเรียน

(ข) เเพื่อรับเรื่องร้องเรียนและแก้ไขปัญหา เช่น เพื่อพิจารณาเรื่องร้องเรียนที่เกี่ยวกับการให้บริการรถไฟฟ้า เพื่อแก้ไขปัญหาตามเรื่องที่ร้องเรียนมาและปรับปรุงการให้บริการ เพื่อประสานงานกับหน่วยงานที่เกี่ยวข้องในการแก้ไขปัญหาและปรับปรุงการให้บริการ เพื่อจัดทำรายงานอุบัติการณ์ (Incident Report) กรณีที่เกิดเหตุฉุกเฉิน ภยันตราย หรืออุบัติเหตุ เหตุทะเลาะวิวาท หรือล่วงละเมิด เพื่อตอบกลับผลการดำเนินการ การตรวจสอบ หรือการชดเชยจากการรับเรื่องร้องเรียนเพื่อการจัดการการจ่ายค่าสินไหมทดแทนและเร่งรัดหนี้สิน

(ค) เพื่อคืนค่าโดยสารรถไฟฟ้า (Refund) เช่น เพื่อการดำเนินการและบริหารสัญญาระหว่างบริษัทฯ กับท่าน เพื่อคืนเงินหรือคืนตั๋วโดยสารรถไฟฟ้า หรือเพื่อคืนมูลค่าหรือเปลี่ยนบัตรโดยสารรถไฟฟ้า

(ง) เพื่อรักษาความปลอดภัย เช่น เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ หรือทรัพย์สิน เช่น เพื่อการควบคุมโรคติดต่อหรือโรคระบาด การจับผู้กระทำผิดกฎหมาย การดำเนินการกรณีเกิดเหตุฉุกเฉิน เพื่อประสานงานและคุ้มครองด้านการประกันภัยและการบาดเจ็บ และการเคลมค่ารักษาพยาบาล

(จ) เพื่อการติดต่อสื่อสารและการให้บริการอันเป็นประโยชน์แก่ผู้ใช้บริการ เช่น เพื่อใช้ในการติดต่อใด ๆ การจัดส่งข้อมูล ข่าวสารที่เกี่ยวข้องกับผลิตภัณฑ์และบริการ การส่งคืนทรัพย์สินสูญหาย (Lost & Found) เพื่ออำนวยความสะดวก (เช่น การให้ยืมสิ่งของ การให้เข็มกลัดแก่หญิงมีครรภ์) เพื่อให้สิทธิประโยชน์ (เช่น การเดินทางฟรี หรือการลดราคาค่าโดยสารรถไฟฟ้า) เพื่อขอรายละเอียดที่จำเป็น เพื่อใช้เป็นหลักฐานอ้างอิง เพื่อบริหารจัดการบัญชี เพื่อดำเนินธุรกรรมทางการเงิน เพื่อออกใบเสร็จรับเงิน และเพื่อออกใบแจ้งหนี้และติดตามหนี้

(ฉ) เพื่อลงทะเบียนและยืนยันตัวตน เช่น เพื่อลงทะเบียนรับบริการ บันทึกและตรวจสอบข้อมูลผู้ใช้บริการ พิสูจน์และยืนยันตัวตนผู้ใช้บริการ

(ช) เพื่อจัดทำแบบสอบถาม เช่น เพื่อสำรวจความพึงพอใจ เพื่อพัฒนาและปรับปรุงการให้บริการ หรือส่งเสริมการตลาดและการอำนวยความสะดวกบนสถานีรถไฟฟ้า

(ซ) เพื่อจัดกิจกรรมชิงโชค เช่น เพื่อการทำการตลาดและการติดต่อสื่อสารทางการตลาด ตามที่ท่านเคยได้ระบุความต้องการไว้หรือเคยได้ใช้บริการมาก่อน ทั้งทางตรงและทางอ้อม

(ฌ) เพื่อปรับปรุงการดำเนินธุรกิจ ผลิตภัณฑ์ และบริการ เช่น เพื่อทำการวิเคราะห์ ประเมินและจัดทำรายงานภายในบริษัทฯ และบริษัทในกลุ่ม BTS เพื่อดูแลการปฏิบัติการ ประสานงาน ติดตาม ตรวจสอบและควบคุมการดำเนินงานภายในกลุ่ม เพื่อให้เป็นไปตามนโยบาย กฎระเบียบ และมาตรฐาน และเพื่อตรวจสอบความน่าเชื่อถือและความสมบูรณ์ของการดำเนินงานภายใน เพื่อวางแผนและวางกลยุทธ์การดำเนินงานด้านประชาสัมพันธ์และนโยบายองค์กร และเพื่อพัฒนาการประกอบกิจการ หรือต่อยอดในธุรกิจอื่น ๆ ต่อไป

(ญ) เพื่อการทำงานของเว็บไซต์ แอปพลิเคชัน และแพลตฟอร์ม เช่น เพื่อดูแล ดำเนินงาน ติดตาม สังเกตการณ์ และบริหารจัดการเว็บไซต์ แอปพลิเคชัน และแพลตฟอร์มเพื่ออำนวยความสะดวกและรับรองให้มั่นใจว่าเว็บไซต์ แอปพลิเคชัน และแพลตฟอร์มทำงานอย่างราบรื่น มีประสิทธิภาพและปลอดภัย เพื่ออำนวยความสะดวกในการใช้งานเว็บไซต์ แอปพลิเคชัน และแพลตฟอร์ม เพื่อปรับปรุงแผนงานและเนื้อหาของเว็บไซต์ แอปพลิเคชัน และแพลตฟอร์มให้ดียิ่งขึ้น

(ฎ) เพื่อบริหารจัดการทางด้านเทคโนโลยีสารสนเทศ เช่น เพื่อการจัดการด้านเทคโนโลยีสารสนเทศ การจัดระบบติดต่อสื่อสาร ระบบความปลอดภัยทางด้านเทคโนโลยีสารสนเทศ เพื่อใช้ควบคุมการเข้าถึงข้อมูลและการเข้าใช้งานระบบและการตรวจสอบความปลอดภัยทางด้านเทคโนโลยีสารสนเทศ การจัดการภายในด้านธุรกิจตามข้อปฏิบัติภายใน นโยบายและกระบวนการต่าง ๆ และเพื่อแก้ไขและอัพเดตข้อมูลบนฐานข้อมูลต่าง ๆ

(ฏ) เพื่อการปฏิบัติตามหน้าที่ตามกฎหมายและคำสั่งของหน่วยงานรัฐ เช่น ในกรณีที่บริษัทฯ หรือบริษัทในกลุ่ม BTS มีเหตุผลอันควรเชื่อได้ว่าต้องปฎิบัติตามกฎหมาย และ/หรือ คำสั่ง หรือต้องให้ความร่วมมือดังกล่าว เพื่อดำเนินการตามกฎหมาย กระบวนพิจารณา หรือคำสั่งของหน่วยงานรัฐ ซึ่งรวมถึงหน่วยงานรัฐภายนอกประเทศไทย และ/หรือให้ความร่วมมือกับศาล ผู้กำกับดูแล หน่วยงานรัฐ และหน่วยงานที่บังคับใช้กฎหมาย โดยบริษัทฯ อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลเพื่อปฏิบัติตามบทบัญญัติแห่งกฎหมาย กระบวนการทางกฎหมาย หรือคำสั่งของรัฐดังกล่าวอย่างเคร่งครัด ซึ่งรวมถึงเพื่อดำเนินการตามขั้นตอนการสืบสวนสอบสวนภายใน หรือการป้องกันอาชญากรรม การฉ้อโกง และ/หรือเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย

(ฐ) เพื่อปกป้องผลประโยชน์ของบริษัทฯ เช่น เพื่อรักษาความปลอดภัยและความถูกต้องของการดำเนินธุรกิจของบริษัทฯ บริษัทในกลุ่ม BTS หรือผู้ที่เกี่ยวข้องอื่น ๆ เพื่อใช้สิทธิและปกป้องผลประโยชน์ของบริษัทฯ บริษัทในกลุ่ม BTS หรือผู้ที่เกี่ยวข้องอื่น ๆ เมื่อจำเป็นและชอบด้วยกฎหมาย เช่น เพื่อตรวจจับ ป้องกัน และดำเนินการเกี่ยวกับการทุจริต หรือการประพฤติมิชอบใด ๆ ข้อร้องเรียนเรื่องการละเมิดทรัพย์สินทางปัญญา หรือการละเมิดกฎหมาย เพื่อจัดการและป้องกันการสูญเสียทรัพย์สิน เพื่อตรวจจับและป้องกันการกระทำผิดภายในสถานที่ของบริษัทฯ และบริษัทในกลุ่ม BTS เพื่อดูแลให้มีการปฏิบัติตามข้อกำหนดและเงื่อนไขของบริษัทฯ บริษัทในกลุ่ม BTS หรือผู้ที่เกี่ยวข้องอื่น ๆ เพื่อติดตามเฝ้าระวังเหตุการณ์ เพื่อป้องกันและรายงานความผิดทางอาญา และเพื่อปกป้องความมั่นคงและความเชื่อมั่นทางธุรกิจของบริษัทฯ และบริษัทในกลุ่ม BTS

(ฑ) เพื่อการโอนในกรณีที่มีการโอนกิจการขององค์กร เช่น ในกรณีที่มีการขาย การโอน การควบรวม การปรับโครงสร้างองค์กร หรือเหตุการณ์อื่น ๆ ที่มีลักษณะใกล้เคียงกัน บริษัทฯ อาจโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก ไม่ว่าจะรายเดียวหรือหลายราย อันเป็นส่วนหนึ่งของการทำธุรกรรมนั้น และ/หรือ

(ฒ) เพื่อบริหารจัดการความเสี่ยง เช่น เพื่อดำเนินการตรวจสอบการดําเนินงาน การประเมินความเสี่ยง และการบริหารความเสี่ยง

     ทั้งนี้ ในกรณีที่บริษัทฯ มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญากับท่าน หากบริษัทฯ ไม่ได้รับข้อมูลส่วนบุคคลตามที่ร้องขอ บริษัทฯ อาจไม่สามารถดำเนินการตามวัตถุประสงค์ตามที่ระบุข้างต้นได้

     บริษัทฯ อาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอกต่อไปนี้ ซึ่งจะทำการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ในนโยบายความป็นส่วนตัวฉบับนี้ ทั้งนี้ บุคคลภายนอกเหล่านี้อาจอยู่ในประเทศไทยหรืออยู่ต่างประเทศก็ได้ ท่านสามารถดูนโยบายความเป็นส่วนตัวของบุคคลภายนอกดังกล่าวเพื่อจะได้ทราบเพิ่มเติมว่าบุคคลดังกล่าวเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลอย่างไร เนื่องจากท่านจะอยู่ใต้บังคับนโยบายความเป็นส่วนตัวของบุคคลภายนอกเหล่านั้นด้วย

3.1. บริษัทในกลุ่ม BTS

     ในฐานะที่บริษัทฯ เป็นบริษัทในกลุ่ม BTS ซึ่งบริษัททั้งหมดอาจต้องทำงานร่วมกัน ร่วมกันให้บริการแก่ลูกค้า และใช้ระบบบางส่วนร่วมกัน เช่น ระบบการให้บริการและระบบที่เกี่ยวข้องกับเว็บไซต์ บริษัทฯ จึงอาจมีความจำเป็นที่จะต้องโอนข้อมูลส่วนบุคคลให้บริษัทในกลุ่ม BTS หรืออนุญาตให้บริษัทในกลุ่ม BTS ดังกล่าวเข้าถึงข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายความเป็นส่วนตัวฉบับนี้ ทั้งนี้ บริษัทในกลุ่ม BTS สามารถอาศัยความยินยอมที่บริษัทฯ ได้รับมาได้ด้วยเช่นกัน โปรดดูรายชื่อบริษัทและขอบเขตกิจกรรมของบริษัทในกลุ่ม BTS ได้ที่ https://www.bts.co.th/web-link/weblink-affiliates.html

3.2 ผู้ให้บริการของบริษัทฯ

     บริษัทฯ อาจว่าจ้างบริษัทอื่น ตัวแทน หรือผู้รับจ้างในการให้บริการในนามของบริษัทฯ หรืออำนวยความสะดวกในการให้บริการ โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลไปยังผู้ให้บริการซึ่งเป็นบุคคลภายนอก ซึ่งรวมถึงแต่ไม่จำกัดเพียงบุคคลดังต่อไปนี้ (1) ผู้พัฒนาโครงสร้างพื้นฐาน ซอฟต์แวร์ ผู้พัฒนาอินเทอร์เน็ต เว็บไซต์ และผู้ให้บริการด้านเทคโนโลยีสารสนเทศ (2) ผู้ให้บริการด้านการจัดเก็บข้อมูลและบริการคลาวด์ (Cloud) (3) ผู้ให้บริการด้านการจัดเก็บและ/หรือทำลายเอกสาร (4) ผู้ให้บริการด้านการตลาด สื่อโฆษณา ประชาสัมพันธ์ ออกแบบ สร้างสรรค์งานโฆษณา ทรัพยากรบุคคล หรือด้านการสื่อสาร (5) ผู้ให้บริการด้านการพิมพ์ (6) บริษัทให้บริการระบบลงทะเบียนและนับคะแนนเสียง และ/หรือ (7) ผู้ให้บริการจัดทำผลสำรวจ

     ทั้งนี้ ในการให้บริการต่าง ๆ ดังกล่าว ผู้ให้บริการอาจเข้าถึงข้อมูลส่วนบุคคลได้ อย่างไรก็ตาม บริษัทฯ จะให้ข้อมูลส่วนบุคคลแก่ผู้ให้บริการของบริษัทฯ เพียงเท่าที่จำเป็นสำหรับการให้บริการดังกล่าวเท่านั้น และจะขอให้ผู้ให้บริการไม่ใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นแต่อย่างใด บริษัทฯ จะดำเนินการให้มั่นใจว่าผู้ให้บริการที่บริษัทฯ ทำงานด้วยทั้งหมดจะเก็บรักษาข้อมูลส่วนบุคคลอย่างปลอดภัย

3.3 พันธมิตรทางธุรกิจของบริษัทฯ

     บริษัทฯ อาจโอนข้อมูลส่วนบุคคลให้แก่พันธมิตรทางธุรกิจของบริษัทฯ เพื่อดำเนินธุรกิจและให้บริการ ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ ธนาคาร สถาบันการเงิน บริษัทหลักทรัพย์ บริษัทประกัน โรงพยาบาล ตราบเท่าที่พันธมิตรทางธุรกิจที่ได้รับข้อมูลส่วนบุคคลตกลงที่จะปฏิบัติต่อข้อมูลส่วนบุคคลในลักษณะที่สอดคล้องกับนโยบายความเป็นส่วนตัวฉบับนี้

3.4 บุคคลภายนอกที่กฎหมายกำหนดไว้

     ในบางกรณี บริษัทฯ อาจจำเป็นต้องเปิดเผย หรือแบ่งปันข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกเพื่อการปฏิบัติตามหน้าที่ทางกฎหมายหรือระเบียบข้อบังคับ โดยบุคคลภายนอกเหล่านั้นอาจรวมถึง ศาล สำนักงานอัยการ หน่วยงานปกครองส่วนท้องถิ่น กรุงเทพมหานคร สำนักงานตำรวจแห่งชาติ หน่วยงานตำรวจอื่น ๆ กรมการขนส่งทางราง สถานฑูต กงสุล สำนักงานคุ้มครองผู้บริโภค สำนักงานผู้ตรวจการแผ่นดิน หน่วยงานกำกับดูแล หรือหน่วยงานของรัฐอื่นใด หรือบุคคลภายนอกรายอื่นที่บริษัทฯ เห็นว่าจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายหรือตามระเบียบข้อบังคับ หรือเพื่อคุ้มครองสิทธิของบริษัทฯ สิทธิของบุคคลภายนอก ความปลอดภัยส่วนตัวของบุคคล หรือเพื่อตรวจหา ป้องกัน หรือจัดการกับการฉ้อโกง หรือเพื่อการดำเนินการด้านความมั่นคงปลอดภัย

3.5 ที่ปรึกษาซึ่งเป็นผู้เชี่ยวชาญ

     บริษัทฯ อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลให้แก่ที่ปรึกษาซึ่งเป็นผู้เชี่ยวชาญของบริษัทฯ โดยอาจรวมถึงแต่ไม่จำกัดเพียง (1) ที่ปรึกษาอิสระ ที่ปรึกษาโครงการ หรือที่ปรึกษาทางการเงิน (2) ที่ปรึกษากฎหมายซึ่งให้ความช่วยเหลือในการดำเนินธุรกิจของบริษัทฯ และให้บริการดำเนินคดี ไม่ว่าจะเป็นการต่อสู้คดีหรือฟ้องร้องคดี และ/หรือ (3) ผู้สอบบัญชีซึ่งให้บริการด้านบัญชี หรือตรวจสอบบัญชีแก่บริษัทฯ

3.6. บุคคลภายนอกอื่นๆ

     บริษัทฯ อาจต้องเปิดเผยข้อมูลส่วนบุคคลภายใต้ฐานทางกฎหมายตามวัตถุประสงค์ที่ระบุไว้ในนโยบายความเป็นส่วนตัวฉบับนี้ให้แก่บุคคลภายนอกอื่นๆ เช่น บุคคลทั่วไป ผู้ร้องเรียนหรือบุคคลภายนอกที่ร้องขอดูข้อมูลจากกล้องโทรทัศน์วงจรปิด เป็นต้น แล้วแต่กรณี

3.7 บุคคลภายนอกที่เกี่ยวข้องกับการโอนกิจการ

     ในกรณีที่มีการปรับโครงสร้างองค์กร ฟื้นฟูกิจการ ควบรวมกิจการ การโอนธุรกิจไม่ว่าบางส่วนหรือทั้งหมด การซื้อขาย กิจการร่วมค้า การโอนสิทธิ การโอนหรือจำหน่ายธุรกิจ ทรัพย์สิน หรือหุ้นบางส่วนหรือทั้งหมดของบริษัทฯ หรือธุรกรรมในลักษณะเดียวกัน บริษัทฯ อาจมีการเปิดเผยหรือโอนข้อมูลส่วนบุคคลแก่พันธมิตรทางธุรกิจ นักลงทุน ผู้ถือหุ้นรายใหญ่ ผู้โอน หรือผู้รับโอน ในกรณีที่เหตุข้างต้นเกิดขึ้น บุคคลภายนอกในฐานะผู้รับโอนสิทธิจะปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่า บุคคลภายนอกหรือหน่วยงานใดก็ตามที่ได้รับข้อมูลส่วนบุคคลไปจากบริษัทฯ ตามข้อ 3 นี้ จะปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

     บริษัทฯ อาจเปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอกหรือหรือเซิร์ฟเว่อร์ที่อยู่ในต่างประเทศซึ่งประเทศปลายทางอาจมี หรืออาจไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกัน ทั้งนี้ บริษัทฯ จะดำเนินการตามขั้นตอนและมาตรการต่าง ๆ เพื่อทำให้มั่นใจว่าการโอนข้อมูลส่วนบุคคลจะถูกโอนอย่างปลอดภัยและบุคคลที่รับโอนข้อมูลนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และการโอนข้อมูลส่วนบุคคลนั้นชอบด้วยกฎหมายหรือตามที่กฎหมายอนุญาตเท่านั้น

     บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นระยะเวลาเท่าที่จำเป็นอย่างเหมาะสมและมีเหตุผล เพื่อบรรลุตามวัตถุประสงค์ที่บริษัทฯ ได้รับข้อมูลมาและเพื่อปฏิบัติตามกฎหมายและกฎข้อบังคับต่าง ๆ ที่เกี่ยวข้อง อย่างไรก็ตาม บริษัทฯ อาจต้องเก็บรักษาข้อมูลส่วนบุคคลไว้นานขึ้นตามที่กฎหมายกำหนด

      คุกกี้ คือ เทคโนโลยีติดตามข้อมูลซึ่งใช้เพื่อวิเคราะห์กระแสความนิยม (trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของผู้ใช้บริการ หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ ทั้งนี้ คุกกี้บางประเภทนั้นมีความจำเป็น (necessary cookie) เนื่องจากหากปราศจากคุกกี้ที่จำเป็นประเภทนี้แล้ว หน้าเว็บไซต์อาจจะไม่สามารถใช้การได้อย่างเหมาะสม ในขณะที่คุกกี้บางประเภทนั้นจะทำให้ผู้ใช้บริการใช้งานเว็บไซต์ได้สะดวกมากขึ้น เนื่องจากคุกกี้ประเภทดังกล่าวจะจดจำชื่อผู้ใช้ (ในวิธีการที่ปลอดภัย) รวมทั้งจดจำการตั้งค่าทางภาษาของผู้ใช้บริการ

     คุกกี้จะจัดเก็บหรือติดตามข้อมูลที่เฉพาะเจาะจงเกี่ยวกับการใช้เว็บไซต์ของท่านกับคอมพิวเตอร์ของท่าน เมื่อท่านเยี่ยมชมเว็บไซต์ โดยคุกกี้จะจดจำชื่อผู้ใช้ (ในวิธีการที่ปลอดภัย) รวมทั้งจดจำการตั้งค่าทางภาษาของท่าน อันจะทำให้บริษัทฯ สามารถปรับปรุงประสบการณ์การเข้าใช้เว็บไซต์ของท่าน ปรับแต่งเนื้อหาตามความต้องการของท่าน และทำให้การท่องเว็บไซต์สะดวกมากขึ้น

      โดยปกติ อินเทอร์เน็ตเบราว์เซอร์ส่วนใหญ่จะให้ท่านตั้งค่าว่าท่านจะยอมรับคุกกี้หรือไม่ หากท่านเลือกไม่ให้มีการติดตามโดยคุกกี้ อาจมีผลต่อการใช้งานเว็บไซต์ของท่าน และหากไม่มีการเก็บคุกกี้ การใช้งานฟังก์ชันหรือเว็บไซต์ทั้งหมดหรือบางส่วนของอาจถูกจำกัด โปรดดูรายละเอียดเพิ่มเติมได้ใน “นโยบายการใช้งานคุกกี้” ได้ที่ https://www.nbm.co.th/pdpa/cookies/

     เพื่อเป็นวิธีในการคุ้มครองความเป็นส่วนตัวในข้อมูลส่วนบุคคลของท่าน บริษัทฯ ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพ ในเรื่องการเข้าถึงหรือควบคุมการเข้าถึงข้อมูลส่วนบุคคล เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เปลี่ยนแปลง แก้ไข ใช้ เปิดเผย หรือเข้าถึงข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ทั้งนี้ เป็นไปตามที่กฎหมายที่ใช้บังคับกำหนด

     โดยเฉพาะอย่างยิ่ง บริษัทฯ ได้จัดให้มีมาตรการควบคุมการเข้าถึงที่ปลอดภัยและเหมาะสมกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มาตรการจำกัดการเข้าถึงและใช้ข้อมูลส่วนบุคคล และการใช้งานอุปกรณ์สำหรับจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูลของผู้ใช้งาน สิทธิในการอนุญาตให้ผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลดังกล่าวได้ และบริหารจัดการการเข้าถึงเพื่อจำกัดการถึงข้อมูลส่วนบุคคล ซึ่งให้เฉพาะผู้ที่มีสิทธิเท่านั้น และกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งานเพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ ยังรวมถึงการวางมาตรการสำหรับการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

      ภายใต้บทบัญญัติแห่งกฎหมายและข้อยกเว้นตามกฎหมายที่เกี่ยวข้อง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิตามที่ระบุไว้ดังต่อไปนี้

     8.1 การเข้าถึง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิในการขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้ และ/หรือเปิดเผย ตลอดจนขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม ทั้งนี้ เพื่อความเป็นส่วนตัวและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ อาจขอให้มีการพิสูจน์ตัวตนก่อนจะให้ข้อมูลส่วนบุคคลตามที่ร้องขอ

     8.2 การแก้ไขให้ถูกต้อง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้บริษัทฯ ดำเนินการแก้ไขข้อมูลส่วนบุคคลที่ไม่สมบูรณ์ ไม่ถูกต้อง ก่อให้เกิดความเข้าใจผิด หรือไม่เป็นปัจจุบัน ที่บริษัทฯ ได้เก็บรวบรวม ใช้และ/หรือเปิดเผย

     8.3 การโอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนในรูปแบบที่มีการจัดระเบียบแล้วและสามารถอ่านได้ในรูปแบบอิเล็กทรอนิกส์ และเพื่อส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น โดยต้องเป็น (ก) ข้อมูลส่วนบุคคลที่ได้ให้กับบริษัทฯ หรือ (ข) กรณีที่บริษัทฯ ได้รับความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลหรือเพื่อปฏิบัติตามสัญญาที่บริษัทฯ มีกับเจ้าของข้อมูลส่วนบุคคล

     8.4 การคัดค้าน เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิคัดค้านการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล

     8.5 การระงับการใช้ เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าข้อมูลส่วนบุคคลดังกล่าวไม่ถูกต้อง การเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยบริษัทฯ ไม่ชอบด้วยกฎหมาย หรือข้อมูลส่วนบุคคลดังกล่าวหมดความจำเป็นสำหรับวัตถุประสงค์บางประการ

     8.6 การถอนความยินยอม สำหรับวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่บริษัทฯ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิที่จะถอนความยินยอมเมื่อใดก้ได้

     8.7 การลบหรือทำลาย เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้บริษัทฯ ดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้และ/หรือเปิดเผย เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เว้นเสียแต่ว่า การเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวของบริษัทฯ นั้นเป็นไปเพื่อการปฏิบัติตามกฎหมาย หรือเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เพื่อการใช้ หรือการปกป้องสิทธิเรียกร้องตามกฎหมาย และ

     8.8 การร้องเรียน เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิร้องเรียนไปยังหน่วยงานของรัฐที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ไม่สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้

      หากเจ้าของข้อมูลส่วนบุคคลมีความประสงค์จะติดต่อบริษัทฯ เพื่อใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล หรือหากมีข้อสงสัยประการใดเกี่ยวกับข้อมูลส่วนบุคคลตามนโยบายความเป็นส่วนตัวฉบับนี้ โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ได้ที่

     Northern Bangkok Monorail Company Limited, the concessionaire of the MRT Pink Line and Bangkok Mass Transit Public Company Limited, the operator of the MRT Pink Line (the “Company”, “we”, “us”, or “our”) recognize the importance of the protection of personal data. We follow security measures when collecting, using, and/ or disclosing Personal Data (as defined below).

     In operating our business, the Company may have to collect, use and/or disclose Personal Data of the customers who use our products and services (e.g., the passengers), including the past, existing, potential customers, and any persons which the Company may collect the Personal Data (e.g., complainant, contact person in case of emergency, persons involving in the Corporate Social and Environmental Responsibility (CSR), shareholders and security holders) for the purposes relating to our business and the companies within BTS group, including their affiliates and subsidiaries (the “BTS Group Companies”)

     This privacy policy (“Privacy Policy”) applies to our business operation at the stations, via websites, telephone, call center, activity, postal mail, social media, online communication channels and other channels or places where we receive your Personal Data.

     From time to time, we may change and/or update this Privacy Policy. We will notify you in addition if any significant update has been made. We will specify the date of our Privacy Policy’s latest update at the top of the Privacy Policy. We encourage you to carefully read this Privacy Policy and regularly check the Privacy Policy to review any changes we might take in accordance with the terms of this Privacy Policy.

     For the purposes of this Privacy Policy, “Personal Data” means any directly or indirectly identified or identifiable information as listed below.

     We may collect your Personal Data directly or indirectly from other sources, such as the BTS Group Companies, the Company’s service providers, other third parties (e.g., reference person, complainant), public domain (e.g. online social media), and third-party website or the relevant government agencies. The specific type of Personal Data which we collect will depend on the context of your relationship with us or the BTS Group Companies, affiliates or subsidiaries, and the services or products you wish to receive from us or the BTS Group Companies. The followings are examples of Personal Data which we may collect:

1.1 Personal information

     such as name-surname, age, date of birth, identifiable information on documents issued by a government agencies (e.g., national identification card, passport, driver's license, house registration, work permit, employee card, student card, business card, other identity documents), signature, photograph, audio recording, information from CCTV, vehicle registration number;
      Please see details of the collection, use and/or disclosure on information from CCTV in "CCTV Privacy Notice" at https://www.nbm.co.th/pdpa/cctv/

1.2 Contact information

     such as postal address, house registration address, national identification card address, workplace address, phone number, facsimile number, email address, LINE user account, Facebook account, and other information related to online social media;

1.3. Information relating to accidents, emergencies, and reports thereon

     such as details on complaints/reporting/suggestions (such as travelling date and time, stations, ticket number, card information provided by passengers) details on incidents, including date and time of the incident, reporting date, whereabout, damages, person and/or the vehicle involved (e.g., brand, model, plate number), insurance, police report, status of the parties after incident, litigation, lost/found property, and other details depending on each report, nature of the damage, injury, loss, as well as any other details that can describe or identify any individual either directly or indirectly.

1.4. Technical Information

     such as internet protocol address (IP address), web beacon, logs, single sign-on data (SSO), login logs, cookies;

1.5. Sensitive data

     such as sensitive data as shown in the identified document (e.g., religion), health data (illness, congenital disease, gestational age), sensitive data as shown in reports/cases (e.g., religion, disability, criminal record shown in police reports) (“Sensitive Data”).

     We do not intentionally collect your Sensitive Data. However, in case that we do, we will only collect, use, and/or disclose Sensitive Data on the basis of explicit consent or where permitted by law.

     In addition, we may request you to present Disabled Person Identification Card to provide services and travelling supports, however, we will not store information on disability.

     If you provide Personal Data of any third party (such as emergency contact person or disputant) to us, e.g., their name-surname, address, relationship and contact information, you represent and warrant that you have the authority to do so by (1) informing such other person about this Privacy Policy; and (2) obtaining consents (where required by law or necessary) to permit the Company to use the Personal Data in accordance with this Privacy Policy.

     We only collect the Personal Data of children, quasi-incompetent person and incompetent person where their parent or guardian has given their consent. We do not knowingly collect Personal Data from persons under the age of 20 without their parental consent when it is required, or from quasi-incompetent person and incompetent person without their legal guardian's consent (as the case may be). In the event that we learn that we have unintentionally collected Personal Data from anyone under the age of 20 without parental consent when it is required or from quasi-incompetent person and incompetent person without their legal guardians, we will delete it immediately or collect, use and/or disclose if we can rely on other legal basis apart from consent or where permitted by law.

     We collect, use and/or disclose Personal Data for the following purposes:

     2.1. THE PURPOSES OF WHICH WE RELY ON CONSENT:

     The Company may rely on consent to collect, use and/or disclose sensitive personal data for the following purposes.

     (a) Sensitive Data as shown in official documents (e.g., religious information on identity cards) to verify and authenticate identity, manage customer relationship;

     (b) Health data (e.g., congenital disease, gestational age, illness) to handle complaints and claims, to provide pregnancy pin, to claim medical expenses, to take action relating to welfare of life, physical, health, property or other emergency.

     (c) Sensitive Data as shown in reports/cases (e.g., religion, health data, injury, disability) to receive and address complaints, to record and verify facts, to investigate, to send clues, to communicate, to claim insurance, to improve Company’s services.

     Where we rely on consent for the collection, use and/or disclosure of Personal Data, you have the right to withdraw your consent by contacting the Company (as detailed in “OUR CONTACT DETAILS” this Privacy Policy). The withdrawal of consent will not affect the collection, use and/or disclosure of Personal Data and Sensitive Data that was previously consented before the withdrawal. However, if you do not give consent or withdraw your consent, we may not be able to provide services to you.

     2.2. THE PURPOSE THAT WE MAY RELY ON OTHER LEGAL BASES FOR COLLECTION, USE, AND/OR DISCLOSURE OF PERSONAL DATA

     We may also rely on (1) Contractual basis, for our initiation or fulfilment of a contract with you; (2) Legal obligation, for the fulfilment of our legal obligations; (3) Legitimate interest, for the purpose of our legitimate interests and the legitimate interests of third parties. We will balance the legitimate interest pursued by us and your interest, fundamental rights and freedoms in relation to the protection of your Personal Data; (4) For preventing or suppressing a danger to a person’s life, body or health; and/or (5) Public interest, for the performance of a task carried out in the public interest or for the exercising of the state authorities (6) For establishment and raising of potential legal claims or other legal bases permitted under applicable laws relating to personal data protection (as the case may be). Depending on the context of the relationship with us, we may collect, use and/ or disclose Personal Data for the following purposes:

(a) To operate CCTV, e.g., to monitor situations in order to prevent and report crimes, to provide security to property, to ensure transparency in Company’s business, and to be presented as evidence in event of an emergency or in the event of a complaint;

(b) To receive and address complaints such as to consider complaints on sky train service, to address problem and improve service, to coordinate with relevant agencies, to do incident report in case of an emergency, accident, quarrel, or harassment, to respond to outcomes of operations or investigations, to settle claims or debts;

(c) To refund the fare such as to execute and manage the contract between us and you, to refund or return the ticket, to change the ticket;

(d) To provide security such as to prevent or suppress a danger to a person’s life, body, health, or asset, or to implement disease/epidemic control, to apprehend the culprit, to take action in case of emergency, to coordinate and provide protection according to insurance, to claim medical expenses;

(e) To communicate and provide services that are beneficial to you such as to communicate, to deliver information or news relating to products and services, to return lost property (Lost & Found), to facilitate (e.g., to lend items, to provide pregnancy pin), to provide benefits (e.g., to offer free travel, or discount), to collect necessary information as reference, to manage account, to do financial transactions, to issue receipts, invoices and collect debts;

(f) To register and verify identity such as to register for services, to record and verify user information, to prove and authenticate user’s identity;

(g) To conduct surveys, such as to conduct satisfaction surveys, to improve the services, to do marketing promotion, to facilitate at the stations;

(h) To run sweepstakes, such as to do marketing promotion and communications you have consented or have been receiving either directly or indirectly;

(i) To improve business operations, products, and services such as to perform analytics, evaluate, and prepare reports within the Company and the BTS Group Companies for internal operations, coordination, monitoring, inspection, and control, to ensure the compliance with policies, regulations, and standards, to audit the reliability and integrity of internal operations, to plan and strategize public relations and organizational policies, to develop business operations, to expand businesses;

(j) To operate website, application, and platform such as to administer, operate, monitor, observe, and manage website, application, and platform, to ensure the performance and security of website, applications, and platform, to facilitate the use of website, application, and platform, to improve content of website, application, and platform;

(k) To manage IT-related matter such as for IT management, management of communication, system, IT security system and to control access to data and system and to conduct IT security audit; internal business management for internal compliance requirements, policies and procedures; and to revise and update our database;

(l) To comply with legal obligations and orders from the government agencies such as where the Company or the BTS Group Companies has a reasonable ground to believe that they shall comply with the laws and/or orders or provide cooperation to such cases, to follow the legal proceedings or government authorities' orders which include government authorities outside Thailand and/or cooperate with court, regulators, government authority and law enforcement bodies. We may have to disclose Personal Data to comply with the said legal provisions, proceedings or government orders. This includes internal investigation proceedings or crime/fraud prevention and/or establishment of legal claims;

(m) To protect our interests such as to protect the security and integrity of our business operation and the businesses of the BTS Group Companies, or other relevant entities; to exercise our rights and protect the interests of the Company and the BTS Group Companies, or other relevant entities where it is necessary and lawful to do so, for example to detect, prevent and proceed with matters in relation to any corruptions or misconducts, intellectual property infringement claims or violations of law; to manage and prevent loss of our assets; to detect and prevent misconduct within the premises of the Company or the BTS Group Companies to secure the compliance of the terms and conditions of the Company, BTS Group Companies, or other relevant entities, to monitor incidents, to prevent and report criminal offences and to protect the security and confidence in the businesses of the Company and BTS Group Companies;

(n) To transfer or merge Company’s business in case of sale, transfer, merger, organizational restructuring, or other event of the same nature, the Company may transfer your Personal Data to one or many other third party(ies) as part of such transaction; and/or

(o) To manage risks such as to perform performance monitoring, risk assessments and risk management.

     In case the Personal Data we collect from you is needed to meet our legal or contractual obligations or enter into an agreement with you, if we do not receive the Personal Data when requested, we may not be able to achieve the abovementioned purposes.

     We may disclose or transfer your Personal Data to the following third parties who collect, use, and/or disclose Personal Data in accordance with the purposes under this Privacy Policy. These third parties may be located inside or outside Thailand. You can read their privacy policy to learn more on how they collect, use and/or disclose Personal Data since you will be subject to their privacy policies.

3.1. BTS Group Companies, their affiliates and subsidiaries

     As the Company is part of the BTS Group Companies which all may collaborate and partially share customer services and systems, e.g. service system and website-related systems, we may need to transfer your Personal Data to, or otherwise allow such Personal Data to be accessible by the BTS Group Companies, affiliates or subsidiaries, for the purposes set out above. In this regard, the BTS Group Companies, their affiliates and subsidiaries could also rely on the consent obtained by us to use your Personal Data. Please see the list of BTS Group Companies and their scope of business activities at https://www.bts.co.th/web-link/weblink-affiliates.html

3.2 Our service providers

     We may engage other companies, agents or contractors to perform services on our behalf or to accommodate the provision of services. We may disclose Personal Data to the third-party service providers, including, but not limited to, (1) infrastructure, software, internet and website developers and IT service providers; (2) data storage and cloud service providers; (3) data storage and/or document destruction service providers; (4) marketing, advertising, public relations, media production, human resources, or communication service providers; (5) printing service providers; (6) registration and vote counting system service providers; and/or (7) survey service providers.

     In the course of providing such services, the service providers may have access to Personal Data. However, we will provide the Personal Data only that is necessary for them to perform the services, and we ask them not to use your Personal Data for any other purposes. We will ensure that all service providers we work with will keep your Personal Data secure.

3.3 Our business partners

     We may transfer your Personal Data to our business partners to operate our business and provide services including, but not limited to, bank, financial institution, securities companies, insurance companies, hospitals, provided that the receiving business partner shall agree to treat Personal Data in a manner consistent with this Privacy Policy.

3.4 Third parties permitted by law

     In certain circumstances, we may be required to disclose or share your Personal Data to third parties in order to comply with a legal or regulatory obligation. This includes any law enforcement agency, court, embassy, consulate, regulator, or other government authorities, or other third party where we believe this is necessary to comply with a legal or regulatory obligation, or otherwise to protect our rights, the rights of any third party or individuals’ personal safety; or to detect, prevent, or otherwise address fraud, security or safety issues.

3.5 Expert advisors

     We may have to disclose Personal Data to our expert advisors including, but not limited to, (1) independent advisors, project advisors, financial advisors; (2) legal advisors who assist us in our business operations and provide litigation services such as defending or initiating legal actions; and/or (3) auditors who provide accounting services or conduct financial audit for the Company.

3.6. Other third parties

     We may be required to disclose Personal Data based on the legal bases in accordance with the purposes as specified in this Privacy Policy to other third parties, such as the public, complainants or other third parties that we receive a request to access our CCTV records etc. (as the case may be).

3.7 Third parties connected with business transfer

     We may disclose or transfer your Personal Data to our business partners, investors, major shareholders, assignees or transferees in the event of any rehabilitation, amalgamation, business transfer in whole or in part, purchase or sale, establishing joint venture, assignment, or any similar event involving transfer or other disposition of all or any portion of our business, assets or stock. In case that such event happens, the receiving party will comply with this Privacy Policy to respect your Personal Data.
     We will ensure that third parties or any agencies who has received Personal Data from us in relation to this Section 3 will comply with this Privacy Policy to strictly protect Personal Data.

     We may disclose or transfer Personal Data to third parties or servers located overseas, which the destination countries may or may not have the same data protection standards as Thailand’s. We take steps and measures to ensure that Personal Data is securely transferred, the receiving parties have in place suitable data protection standard, and the transfer is legal or lawfully permitted under the applicable laws.

     We retain Personal Data for as long as is reasonably and appropriately necessary to fulfil purposes for which we obtained them and to comply with the relevant legal and regulatory obligations. However, we may have to retain Personal Data for a longer duration, as required by the applicable laws.

      Cookies is a technology that tracks certain information which will be used to analyze trends, administer our websites, track users’ movements around the websites, or to remember users’ settings. Some of the cookies are necessary because without them, the site would not be able to function properly. While some type of cookies will help users browse websites more convenient as such type of cookies will remember the users (in a secure manner) as well as language preferences of the service provider.

      Cookies will gather or track specified information relating to your website usage and your computer. When you visit websites, the cookies will remember the users (in a secure manner) as well as your language preferences which will enable us to improve your website usage experience, modify the content to your preferences and make your website browsing more convenient.

      Usually, most internet browsers allow you to control whether to accept cookies. If you reject cookies, it might affect your use of the websites and your ability to use some or all the features or areas of our websites may be limited. Please see our https://www.nbm.co.th/pdpa/cookies/ for more details.

     As a mean to protects personal privacy of your Personal Data, we maintain appropriate security measures, which includes administrative, technical, and physical safeguards in relation to access control, to protect the confidentiality, integrity, and availability of Personal Data against any accidental or unlawful or unauthorized loss, alteration, correction, use, disclosure, or access, in compliance with the applicable laws.

     We have implemented access control measures which are secured and suitable for our collection, use, and disclosure of Personal Data. We restrict access to Personal Data as well as storage and processing equipment by imposing access rights or permission, user, access management to limit access to Personal Data to only authorized persons, and implement user responsibilities to prevent unauthorized access, disclosure, perception, unlawful duplication of Personal Data or theft of device used to store and process Personal Data. This also includes measures that enables the re-examination of unauthorized access, alteration, erasure, or transfer of Personal Data which is suitable for the method and means of collecting, using and/or disclosing of Personal Data.

      Subject to applicable laws and exceptions thereof, a data subject may have the following rights to:

     1) Access: Data subjects may have the right to access or request a copy of the Personal Data we are collecting, using and/or disclosing. For privacy and security, we may require proof of the data subject's identity before providing the requested Personal Data.

     2) Rectification: Data subjects may have the right to have incomplete, inaccurate, misleading or not up to date Personal Data that we collect, use and/or disclose rectified.

     3) Data Portability: Data subjects may have the right to obtain Personal Data relating to them in a structured, electronic format, and to transmit such data to another data controller, where this is (a) Personal Data which you have provided to us, or (b) if we are collecting, using and/or disclosing that data on the basis of data subject's consent or to perform a contract with the data subject.

     4) Objection: Data subjects may have the right to object to certain collection, use and/or disclosure of Personal Data

     5) Restriction: Data subjects may have the right to restrict our use of Personal Data where the data subject believes such Personal Data to be inaccurate, that our collection, use and/or disclosure is unlawful, or that we no longer need such Personal Data for a particular purpose.

     6) Withdraw Consent: For the purposes the data subjects have consented to our collection, use and/or disclosure of Personal Data, data subjects may have the right to withdraw consent at any time.

     7) Deletion: Data subjects may have the right to request that we delete, destroy, or anonymize Personal Data that we collect, use, and/or disclose, except we are not obligated to do so if we need to retain such Personal Data in to comply with a legal obligation or to establish, exercise or defend legal claims; and

     8) Lodge a complaint: Data subjects may have the right to lodge a complaint to the competent authority where the data subject believes our collection, use and/or disclosure of Personal Data is non-compliance with applicable data protection laws

      If there are any questions or queries, or if you wish to exercise the rights relating to your personal data, please contact our Data Protection Officer (DPO) at: