บริษัท นอร์ทเทิร์น บางกอกโมโนเรล จำกัด (“บริษัทฯ” “เรา” หรือ “NBM”) ผู้รับสัมปทานรถไฟฟ้ามหานคร (MRT) สายสีชมพู และบริษัท ระบบขนส่งมวลชนกรุงเทพ จำกัด (มหาชน) (“บริษัทฯ” “เรา” หรือ “BTS”) ผู้รับจ้างเดินรถไฟฟ้ามหานคร (MRT) สายสีชมพู ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทฯ จะปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยเมื่อมีการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล (ตามนิยามที่ระบุด้านล่าง)

     นโยบายความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจฉบับนี้ (“นโยบายความเป็นส่วนตัว”) อธิบายวิธีการที่บริษัทฯ เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบุคลากร บุคคล ผู้ได้รับมอบอำนาจ ผู้มีอำนาจลงนาม กรรมการ ผู้ถือหุ้นและผู้ติดต่ออื่น ๆ ของพันธมิตรทางธุรกิจ (เรียกรวมกันว่า “ท่าน”) และแจ้งให้ท่านทราบเกี่ยวกับสิทธิที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

     ทั้งนี้ “พันธมิตรทางธุรกิจ” ตามนโยบายความเป็นส่วนตัวฉบับนี้ หมายความรวมถึง แต่ไม่จำกัดเพียง คู่ค้า ผู้จัดจำหน่าย ผู้จัดหาสินค้า ผู้ขาย ผู้ให้บริการ ผู้รับเหมาก่อสร้าง นักลงทุน นักวิเคราะห์ ร้านค้า ผู้ให้เช่าพื้นที่สำหรับตั้งป้ายโฆษณา ที่ปรึกษาอิสระ บริษัทหลักทรัพย์ บริษัทประกันภัย นายหน้าประกันภัย ตัวแทนประกันภัย ธนาคาร พันธมิตรสำหรับกิจการร่วมค้า รวมถึงบุคคลที่สาม เช่น บุคคลภายนอกที่ขอเข้าพื้นที่ ผู้ของานของผู้รับเหมา ผู้ติดต่อเข้างาน บุคคลที่เกี่ยวข้องตามกฎของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (เช่น คู่สมรส บุตรที่ยังไม่บรรลุนิติภาวะ) และพันธมิตรทางธุรกิจอื่น ๆ

     บริษัทฯ เก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลของท่าน เนื่องจากบริษัทฯ มีความสัมพันธ์ทางธุรกิจกับท่านในปัจจุบันหรือที่อาจจะมีในอนาคต หรือจากการที่ท่านทำงานให้ ดำเนินการแทน หรือเป็นตัวแทนของพันธมิตรทางธุรกิจที่บริษัทฯ มีความสัมพันธ์ด้วย เช่น บริษัทที่จัดหาสินค้าหรือให้บริการแก่บริษัทฯ หรือที่บริษัทฯ ติดต่อสื่อสารด้วยในทางธุรกิจซึ่งอาจเกี่ยวพันถึงท่าน

     เราอาจเปลี่ยนแปลง และ/หรือปรับปรุงนโยบายความเป็นส่วนตัวนี้เป็นครั้งคราว โดยเราจะแจ้งท่านเพิ่มเติมหากมีการปรับปรุงที่สำคัญ เราจะระบุวันที่นโยบายความเป็นส่วนตัว ของเราได้มีการปรับปรุงครั้งล่าสุดไว้ทางด้านบนของนโยบายความเป็นส่วนตัว ทั้งนี้ เราสนับสนุนให้ท่านอ่านนโยบายความเป็นส่วนตัวนี้อย่างระมัดระวัง และตรวจสอบนโยบายความเป็นส่วนตัวอย่างสม่ำเสมอเพื่อทบทวนการเปลี่ยนแปลงใด ๆ ที่เราอาจดำเนินการตามข้อกำหนดในนโยบายความเป็นส่วนตัวฉบับนี้

     เพื่อวัตถุประสงค์ของนโยบายความเป็นส่วนตัวฉบับนี้ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าโดยทางตรงหรือทางอ้อม ตามที่ระบุด้านล่างนี้

     โดยบริษัทฯ อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านทั้งทางตรงและทางอ้อมจากแหล่งข้อมูล อื่น ๆ เช่น เราอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรง (เช่น เมื่อท่านทำธุรกิจกับบริษัทฯ หรือ ลงนามในสัญญาหรือกรอกแบบฟอร์มเมื่อท่านมีปฏิสัมพันธ์กับบริษัทฯ รวมถึงการมีปฎิสัมพันธ์ผ่านแพลตฟอร์มออนไลน์ของบริษัทฯ ผ่านเว็บไซต์ของบริษัทฯ หรือแอปพลิเคชันทางโทรศัพท์มือถือ การติดต่อสื่อสารทางอีเมล โทรศัพท์ แบบสอบถาม นามบัตร ไปรษณีย์ ระหว่างการประชุมและงานกิจกรรมต่าง ๆ การนัดหมายพบปะกับท่าน หรือจากแหล่งข้อมูลในระบบ ระบบไดรฟ์กลาง/ฐานข้อมูลกลางของบริษัทฯ หรือระบบซอฟต์แวร์ขนส่ง และ/หรือไฟล์อิเล็กทรอนิกส์)

     นอกจากนี้ เราอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านทางอ้อม เช่น พันธมิตรทางธุรกิจหรือผู้ให้บริการที่ท่านทำงานให้ ดำเนินการแทน หรือเป็นตัวแทน บริษัทในกลุ่ม BTS (ตามคำนิยามในหัวข้อ “บริษัทฯ เปิดเผยข้อมูลส่วนบุคคลของท่านกับใคร” ทางด้านล่างนี้) แหล่งข้อมูลสาธารณะ (เช่น สื่อสังคมออนไลน์ และเว็บไซต์ของบุคคลภายนอกหรือหน่วยงานรัฐที่เกี่ยวข้อง) หรือบุคคลที่สามอื่น ๆ (เช่น พันธมิตรทางธุรกิจรายอื่น ๆ ของบริษัทฯ บุคคลอ้างอิง และผู้ร้องเรียน) ทั้งนี้ ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวมนั้นขึ้นอยู่กับความสัมพันธ์ของท่านที่มีกับบริษัทฯ หรือบริษัทในกลุ่ม BTS โดยตัวอย่างข้อมูลส่วนบุคคลของท่านที่บริษัทฯ อาจเก็บรวบรวมมีดังต่อไปนี้

ข้อมูลส่วนตัว เช่น ชื่อ-นามสกุล คำนำหน้า อายุ เพศ รูปถ่าย วิดิโอ ข้อมูลจากกล้องโทรทัศน์วงจรปิด พิกัดทางภูมิศาสตร์ วันเดือนปีเกิด สัญชาติ สถานภาพการสมรส ข้อมูลสถานะทางการเงิน ข้อมูลด้านการศึกษาและการทำงาน (เช่น ตำแหน่งงาน แผนก รหัสแผนก อาชีพ ข้อมูลใบสมัครงาน บริษัทที่ท่านทำงานให้หรือจ้างงานท่าน ใบรับรองการทำงาน ใบรับรองเงินเดือน ใบรับรองวิชาชีพ ใบอนุญาตการทำงาน วีซ่า ข้อมูลการอบรม รายได้และเงินเดือน วันที่เริ่มงาน) ข้อมูลจากเอกสารราชการ (เช่น หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง หมายเลขประจำตัวผู้เสียภาษีอากร หมายเลขใบขับขี่ หมายเลขทะเบียนบ้าน) ข้อมูลเกี่ยวกับรถยนต์ (เช่น หมายเลขตัวถังหรือหมายเลขทะเบียนรถยนต์) ลายมือชื่อ (รวมถึงลายมือชื่ออิเล็กทรอนิกส์) ข้อมูลรหัสประจำตัวคู่ค้า (รวมถึง ประเภทคู่ค้า ประเภทกิจการ ประเภทธุรกิจ) ข้อมูลคู่ค้า (เช่น คะแนนประเมินคู่ค้า/ผู้ให้บริการ หมายเลขร้านค้า วันที่ขึ้นทะเบียนคู่ค้า) ข้อมูลบัญชีธนาคารและการชำระเงิน (เช่น ชื่อเจ้าของบัญชี ธนาคารที่เปิดบัญชี ประเภทบัญชี และหมายเลขบัญชีธนาคาร ชื่อบัญชีผู้รับประโยชน์ วันที่ชำระเงิน วิธีการชำระเงิน สกุลเงินที่ชำระ และบัญชีที่ทำการชำระเงิน รายละเอียดการโอนเงินใน/นอกประเทศไทย) ข้อมูลบัตรเครดิต (เช่น หมายเลขบัตรเครดิต ชื่อผู้ถือบัตร วันที่หมดอายุบัตร) รวมถึงข้อมูลเกี่ยวกับกลยุทธ์ในการกำหนดราคา อัตราส่วนลด ยอดขาย รายการเบิกจ่าย จำนวนเงินเบิกจ่าย ข้อมูลที่ดินที่ท่านเป็นเจ้าของ (เช่น หมายเลขหนังสือสำคัญแสดงกรรมสิทธิ์ในที่ดิน) จำนวนหุ้น เลขทะเบียนบัญชีหลักทรัพย์ จำนวนหลักทรัพย์ และจำนวนเงินปันผล

ข้อมูลที่อยู่ติดต่อ เช่น หมายเลขโทรศัพท์ หมายเลขโทรศัพท์มือถือ หมายเลขโทรสาร ที่อยู่ สถานประกอบการ ที่อยู่อีเมล รหัสไปรษณีย์ ข้อมูลบัญชีผู้ใช้โซเชียลมีเดีย (เช่น ข้อมูลบัญชีผู้ใช้ไลน์ บัญชีเฟซบุ๊ค และเวลาที่สามารถติดต่อได้) และข้อมูลอื่น ๆ ที่คล้ายคลึงกัน

ข้อมูลอื่นที่เกี่ยวข้องกับความสัมพันธ์ระหว่างบริษัทกับพันธมิตรทางธุรกิจ เช่น ข้อมูลที่ท่านให้แก่บริษัทฯ ตามที่ปรากฏในสัญญา แบบฟอร์ม หรือแบบสำรวจ) ข้อมูลทางธุรกรรมที่ท่านทำกับบริษัทฯ (เช่น เมื่อทำสัญญาเช่าพื้นที่ หรือสัญญาซื้อขายกับคู่สัญญา สัญญาว่าจ้างผู้รับเหมา สัญญาที่ปรึกษาโครงการ เอกสารยื่นประกวดราคาหรือประมูลงานต่าง ๆ) ข้อมูลรายการซื้อกับบุคคลที่เกี่ยวโยง/บุคคลภายนอก ประเภทสินค้า ประเภทงบประมาณ งบประมาณเบิกจ่าย รายละเอียดค่าใช้จ่าย ค่าใช้จ่ายในการเดินทาง วันที้ซื้อสินค้า/บริการ จำนวนเงินค่าสินค้าบริการ จำนวนรายการที่เบิก งบประมาณเลขที่สำนักงานใหญ่ เลขที่เอกสาร ชื่อโครงการ บริษัทที่ขึ้นทะเบียน กลุ่มเจ้าหนี้ สาขา พื้นที่ และเงื่อนไขการชำระเงิน บันทึกข้อมูลคอมพิวเตอร์ เช่น (ไอพีแอดเดรส หรือคุกกี้) ข้อมูลการตรวจสอบสถานะของผู้จำหน่ายและผู้ให้บริการ รวมถึง ข้อมูลตามเอกสารข้อกำหนดหรือขอบเขตการประกวดราคา/ประมูลงาน/จัดซื้อจัดจ้าง ข้อมูลตามรายงานการมีส่วนได้เสีย ข้อมูลแจ้งเหตุ ข้อมูลการดำเนินคดี รายละเอียดตามเอกสารการเสนอราคาตามโครงการจัดซื้อจัดจ้าง ข้อมูลรายงานการประเมินผู้ขาย/ผู้ให้บริการประจำปี ข้อมูลจากกล้องโทรทัศน์วงจรปิด และรายละเอียดการก่อสร้างในแต่ละโครงการ

ข้อมูลของบุคคลอื่นที่เกี่ยวข้องกับท่าน เช่น ข้อมูลที่ระบุตัวตนคู่สมรสหรือบุตรของท่าน และข้อมูลพนักงานของบริษัทที่เกี่ยวข้องกับท่าน

ข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น ข้อมูลสุขภาพ ข้อมูลส่วนบุคคลที่ละเอียดอ่อนจากบัตรประจำตัวประชาชน (เช่น เชื้อชาติ และ ศาสนา) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่อาจใช้ในการดำเนินคดีตามกฎหมาย

     หากท่านได้ให้ข้อมูลส่วนบุคคลของบุคคลอื่นใดนอกจากตัวท่านเองแก่บริษัทฯ เช่น คู่สมรส บุตร บิดามารดา ผู้รับมอบอำนาจ บริษัทฯ จะถือว่าท่านรับรองและรับประกันต่อบริษัทฯ ว่าท่านมีอำนาจในการกระทำเช่นนั้นโดย (1) การแจ้งให้บุคคลอื่นรายนั้นทราบถึงนโยบายความเป็นส่วนตัวฉบับนี้ และ (2) การได้รับความยินยอม (ในกรณีที่กฎหมายกำหนดหรือจำเป็น) เพื่อให้เราสามารถใช้ข้อมูลส่วนบุคคลดังกล่าวตามนโยบายความเป็นส่วนตัวฉบับนี้ได้

     บริษัทฯ ไม่มีเจตนาที่จะเก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน (“ข้อมูลส่วนบุคคลที่ละเอียดอ่อน”) อย่างไรก็ดี ในกรณีที่บริษัทฯ มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน บริษัทฯ จะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนดังกล่าวบนฐานความยินยอมโดยชัดแจ้ง หรือต่อเมื่อกฎหมายอนุญาตให้กระทำได้

     บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับผู้เยาว์ บุคคลเสมือนไร้ความสามารถ และบุคคลไร้ความสามารถต่อเมื่อได้รับความยินยอมจากผู้ปกครองเท่านั้น บริษัทฯ ไม่มีเจตนาที่จะเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่มีอายุต่ำกว่า 20 ปี โดยปราศจากความยินยอมของผู้ปกครองตามที่กฎหมายกำหนด หรือจากบุคคลเสมือนไร้ความสามารถและบุคคลไร้ความสามารถโดยปราศจากความยินยอมของผู้พิทักษ์หรือผู้อนุบาลตามกฎหมาย (แล้วแต่กรณี) ในกรณีที่บริษัทฯ ทราบว่าบริษัทฯ ได้เก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่มีอายุต่ำกว่า 20 ปี โดยปราศจากความยินยอมของผู้ปกครองตามที่กฎหมายกำหนด หรือจากบุคคลเสมือนไร้ความสามารถหรือบุคคลไร้ความสามารถโดยปราศจากความยินยอมของผู้พิทักษ์หรือผู้อนุบาลตามกฎหมาย (แล้วแต่กรณี) โดยไม่ได้ตั้งใจ บริษัทฯ จะลบข้อมูลส่วนบุคคลนั้นทันที หรือจะเก็บรวบรวม และ/หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเฉพาะกรณีที่บริษัทฯ สามารถอาศัยฐานทางกฎหมายอื่นที่นอกเหนือจากความยินยอมได้ หรือตามที่กฎหมายอนุญาตเท่านั้น

     บริษัทฯ เก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้

     2.1. วัตถุประสงค์ที่อาศัยความยินยอม

     บริษัทฯ อาจอาศัยความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและ/หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนของท่านเพื่อวัตถุประสงค์ต่อไปนี้

     ข้อมูลสุขภาพ: เพื่อการจัดเตรียมอาหารและเพื่ออำนวยความสะดวก

     ในกรณีที่เราอาศัยความยินยอมเป็นฐานทางกฎหมายสำหรับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล ท่านมีสิทธิขอถอนความยินยอมได้โดยการติดต่อบริษัทฯ (ตามรายละเอียดที่ระบุในหัวข้อ “ติดต่อบริษัทฯ” ของนโยบายความเป็นส่วนตัวนี้) ทั้งนี้ การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่อาศัยความยินยอมของท่านที่เคยให้ไว้ก่อนการเพิกถอนนั้น อย่างไรก็ตาม หากท่านไม่ให้ความยินยอมสำหรับข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือไม่ให้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนของท่านแก่เรา หรือได้เพิกถอนความยินยอมของท่านในภายหลัง เราอาจไม่สามารถตกลงว่าจ้างท่านหรือดำเนินการตามสัญญาบริการที่เราเข้าทำกับท่านหรือนายจ้างของท่านต่อไปได้ ทั้งนี้ บริษัทฯ อาจขอความยินยอมโดยตรงจากท่านหรือผ่านบริษัทในกลุ่ม BTS พันธมิตรทางธุรกิจ และ/หรือนิติบุคคลอื่น

     2.2. วัตถุประสงค์ที่บริษัทฯ อาจอาศัยฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้และ/เปิดเผยข้อมูลส่วนบุคคล

     บริษัทฯ อาจอาศัยหรืออ้าง (1) ฐานการปฏิบัติตามสัญญา สำหรับการเริ่มต้นทำสัญญาหรือการเข้าทำสัญญาหรือปฏิบัติตามสัญญากับเจ้าของข้อมูลส่วนบุคคล (2) ฐานการปฏิบัติตามกฎหมาย เพื่อการปฏิบัติหน้าที่ตามกฎหมายของบริษัทฯ (3) ฐานประโยชน์โดยชอบด้วยกฎหมายของบริษัทฯ และของบุคคลภายนอก โดยได้สัดส่วนกับประโยชน์และสิทธิเสรีภาพขั้นพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของท่าน (4) ฐานการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือฐานทางกฎหมายอื่น ๆ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอนุญาต (แล้วแต่กรณี) ทั้งนี้ ขึ้นอยู่กับความสัมพันธ์ที่มีระหว่างท่านกับบริษัทฯ ทั้งนี้ บริษัทฯ อาจเก็บรวบรวม ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้

(1) วัตถุประสงค์ทางธุรกิจ เช่น เพื่อดำเนินธุรกรรมทางธุรกิจกับพันธมิตรทางธุรกิจ และปฏิบัติภาระหน้าที่ และ/หรือปฏิบัติตามคำขอของพันธมิตรทางธุรกิจ เพื่อติดต่อกับพันธมิตรทางธุรกิจเกี่ยวกับสินค้า บริการ และโครงการของบริษัทฯ หรือของพันธมิตรทางธุรกิจ (เช่น เพื่อตอบข้อซักถาม หรือคำขอ)

(2) การคัดเลือกพันธมิตรทางธุรกิจ เช่น เพื่อพิสูจน์ตัวตนของท่านและสถานะของพันธมิตรทางธุรกิจ เพื่อตรวจสอบสถานะกิจการ หรือตรวจสอบประวัติในรูปแบบอื่น ๆ และทำการคัดกรองเกี่ยวกับท่านและพันธมิตรทางธุรกิจ เพื่อประเมินความเหมาะสมและคุณสมบัติของท่านและพันธมิตรทางธุรกิจ เพื่อประเมินความเสี่ยงสำหรับท่านและพันธมิตรทางธุรกิจ (รวมถึงการตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะจากหน่วยงานบังคับใช้กฎหมาย และ/หรือจากบัญชีรายชื่อ Blacklist ของบริษัทฯ) เพื่อทำคำขอใบเสนอราคาหรือการประมูลราคา เพื่อเข้าทำสัญญา ใบสั่งซื้อ หรือคำขอซื้อกับท่านหรือพันธมิตรทางธุรกิจ และเพื่อประเมินการบริหารงานของท่านและพันธมิตรทางธุรกิจ

(3) เพื่อบริหารจัดการความสัมพันธ์ เช่น เพื่อปรับปรุงข้อมูลส่วนบุคคลของท่านให้เป็นปัจจุบัน และเพื่อรักษาความถูกต้องของข้อมูลส่วนบุคคล เพื่อเก็บรักษาสัญญา เอกสารที่เกี่ยวข้อง เอกสารอ้างอิงสัญญา และหลักฐานการทำงานของพันธมิตรทางธุรกิจซึ่งอาจมีการระบุถึงท่าน เพื่อวางแผน ดำเนินการ และบริหารจัดการความสัมพันธ์และสิทธิ (ทางสัญญา) กับพันธมิตรทางธุรกิจ (เช่น เพื่อพิจารณาแต่งตั้ง ยกเลิก หรือมอบอำนาจให้พันธมิตรทางธุรกิจสำหรับการทำธุรกรรม และการสั่งซื้อสินค้าหรือบริการ ประมวลผลการชำระเงิน เพื่อทำกิจกรรมที่เกี่ยวข้องกับบัญชี การตรวจสอบบัญชี ออกใบเรียกเก็บเงิน จัดการให้มีการส่งสินค้าและบริการต่าง ๆ) เพื่อจัดการกับคำขอหรือข้อร้องเรียนของท่าน เพื่อทำการแก้ไขปรับปรุง ให้บริการสนับสนุน และเพื่อทำการติดตามและเก็บบันทึก

(4) การติดต่อสื่อสารทางธุรกิจ เช่น การติดต่อสื่อสารกับพันธมิตรทางธุรกิจเกี่ยวกับสินค้า บริการ และโครงการต่าง ๆ ของบริษัทฯ หรือพันธมิตรทางธุรกิจ (เช่น การติดต่อสื่อสารผ่านการส่งเอกสาร การตอบคำถาม การตอบกลับคำขอหรือการรายงานความคืบหน้าการดำเนินการ)

(5) วัตถุประสงค์ทางการตลาด เช่น แจ้งให้ท่านทราบเกี่ยวกับข่าวสารและข้อมูลเผยแพร่ที่อาจมีประโยชน์ รวมถึงกิจกรรม เสนอสินค้าและบริการใหม่ ๆ เจรจาต่อรองราคาสินค้าและบริการ และทำผลการสำรวจ รวมถึงเพื่อวิเคราะห์และพิจารณาในการสนับสนุนทางการเงิน (เช่น การให้สินเชื่อ) แก่ท่านหรือพันธมิตรทางธุรกิจ

(6) การบริหารจัดการและการสื่อสารระหว่างหน่วยงานภายในองค์กร เช่น การจัดกิจกรรมประชาสัมพันธ์ภายในองค์กร และปฏิบัติตามข้อกำหนดทางธุรกิจที่เหมาะสม ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ การจัดซื้อจัดจ้าง การเบิกจ่ายเงิน การจัดการภายใน การฝึกอบรม การตรวจสอบ การรายงาน การส่งหรือจัดการเอกสาร การประมวลผลข้อมูล การควบคุม หรือการจัดการความเสี่ยง การวิเคราะห์และการวางแผนทางสถิติและแนวโน้มต่าง ๆ และกิจกรรมอื่น ๆ ที่คล้ายคลึงหรือเกี่ยวข้องกัน

(7) เพื่อการวิเคราะห์และปรับปรุงธุรกิจ เช่น เพื่อทำการวิจัย วิเคราะห์ข้อมูล ประเมินค่า สำรวจ และประเมินผล และจัดทำรายงานเกี่ยวกับสินค้าและบริการของบริษัทฯ และผลการดำเนินงานของท่านหรือพันธมิตรทางธุรกิจ รวมถึงเพื่อพัฒนาและปรับปรุงกลยุทธ์ทางการตลาดและสินค้าและบริการของบริษัทฯ

(8) เพื่อลงทะเบียน และยืนยันตัวตน เช่น เพื่อลงทะเบียน พิสูจน์ตัวตน ระบุ และยืนยันตัวตนของท่าน

(9) ระบบเทคโนโลยีสารสนเทศและบริการสนับสนุนระบบและการสนับสนุนด้านเทคโนโลยีสารสนเทศ เช่น เพื่อให้การสนับสนุนด้านเทคโนโลยีสารสนเทศและฝ่ายช่วยเหลือ บริหารจัดการการเข้าถึงระบบใด ๆ ที่บริษัทฯ ได้มอบสิทธิในการเข้าถึงให้แก่ท่าน เพื่อลบบัญชีที่ไม่มีการใช้งาน ใช้มาตรการควบคุมทางธุรกิจเพื่อให้สามารถดำเนินธุรกิจได้ และเพื่อให้บริษัทฯ สามารถระบุและแก้ไขปัญหาในระบบเทคโนโลยีสารสนเทศของบริษัทฯ และเพื่อรักษาความมั่นคงปลอดภัยในระบบของบริษัทฯ เพื่อทำการพัฒนา ปรับใช้ ดำเนินการ และดูแลรักษาระบบเทคโนโลยีสารสนเทศ

(10) การจัดการข้อมูลของพันธมิตรทางธุรกิจ เช่น เพื่อสร้างบัญชีพันธมิตรทางธุรกิจ บันทึกข้อมูลลงในระบบ รักษาและการปรับปรุงรายการ/สารบบของพันธมิตรทางธุรกิจ (ซึ่งรวมถึงข้อมูลส่วนบุคคลของท่าน) รวมถึงเพื่อเก็บและบริหารจัดการสัญญาและเอกสารที่เกี่ยวข้องที่อาจมีชื่อของท่านอยู่

(11) การตรวจสอบดูแลระบบและความมั่นคงปลอดภัย เช่น เพื่อควบคุมการเข้าถึงตามที่เกี่ยวข้อง การตรวจสอบดูแลระบบ อุปกรณ์ และอินเทอร์เน็ต การรักษาความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ

(12) การจัดการข้อพิพาท เช่น เพื่อแก้ไขปัญหาข้อพิพาท การบังคับตามสัญญาของบริษัทฯ การก่อตั้ง การใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย รวมถึงการมอบอำนาจ

(13) การสอบสวน การร้องเรียน และ/หรือการป้องกันอาชญากรรม หรือการฉ้อโกง

(14) การปฏิบัติตามนโยบายภายใน และกฎหมายที่เกี่ยวข้อง/ที่ใช้บังคับ ระเบียบ ข้อบังคับ และแนวทางปฏิบัติต่าง ๆ เช่น เพื่อขอใบอนุญาตในการประกอบธุรกิจตามที่กฎหมายกำหนด และการประสานงานหรือการติดต่อกับหน่วยงานรัฐบาล ศาล หรือหน่วยงานที่เกี่ยวข้อง (เช่น กรมสรรพากร สำนักงานตำรวจแห่งชาติ และสำนักงานการตรวจเงินแผ่นดิน) รวมถึงการสืบสวน การร้องเรียน และ/หรือ การป้องกันอาชญากรรมหรือการฉ้อโกง

(15) การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น เพื่อการควบคุมโรคติดต่อหรือโรคระบาด

(16) การจัดให้มีความรับผิดชอบต่อสังคมและสิ่งแวดล้อมขององค์กร

     ทั้งนี้ ในกรณีที่บริษัทฯ มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญา หรือเพื่อเข้าทำสัญญากับท่าน หากบริษัทฯ ไม่ได้รับข้อมูลส่วนบุคคลตามที่ร้องขอ บริษัทฯ อาจไม่สามารถดำเนินการตามวัตถุประสงค์ตามที่ระบุข้างต้นได้

     บริษัทฯ อาจเปิดเผยหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศให้บุคคลภายนอกดังต่อไปนี้ ซึ่งจะเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้ระบุไว้ภายใต้นโยบายความเป็นส่วนตัวฉบับนี้ ทั้งนี้ บุคคลภายนอกเหล่านี้อาจอยู่ในประเทศไทยหรือในต่างประเทศ ท่านสามารถดูนโยบายความเป็นส่วนตัวของบุคคลภายนอกดังกล่าวเพื่อจะได้ทราบเพิ่มเติมว่าบุคคลดังกล่าวเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านอย่างไร เนื่องจากท่านจะอยู่ใต้บังคับนโยบายความเป็นส่วนตัวของบุคคลภายนอกเหล่านั้นด้วย

3.1. บริษัทในกลุ่ม BTS

     ในฐานะที่บริษัทฯ เป็นบริษัทในกลุ่ม BTS ซึ่งบริษัททั้งหมดอาจต้องทำงานร่วมกัน เช่น บริษัทฯ อาจมีการมอบหมายหรือแนะนำท่านแก่บริษัทในกลุ่ม BTS หรืออาจมีการใช้ระบบบางส่วนร่วมกัน อาทิ ระบบการให้บริการ ระบบที่เกี่ยวข้องกับเว็บไซต์ และ/หรือฐานข้อมูลบริษัทฯ จึงอาจจำเป็นต้องโอนข้อมูลส่วนบุคคลของท่านให้บริษัทอื่นในกลุ่ม BTS หรืออนุญาตให้บริษัทในกลุ่ม BTS ดังกล่าวเข้าถึงข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ตามที่กำหนดไว้ในนโยบายความเป็นส่วนตัวนี้ ทั้งนี้ บริษัทอื่นในกลุ่ม BTS สามารถอาศัยความยินยอมที่บริษัทฯ ได้รับมาจากท่านได้ด้วยเช่นกัน โปรดดูรายชื่อบริษัทในกลุ่ม BTS ได้ที่ https://www.bts.co.th/web-link/weblink-affiliates.html

3.2 ผู้ให้บริการของบริษัทฯ

     บริษัทฯ อาจใช้บริการจากบริษัทอื่น ตัวแทน หรือผู้ให้บริการ เพื่อให้บริการแทนบริษัทฯ หรือช่วยบริษัทฯ ในการดำเนินธุรกิจกับท่าน โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลต่าง ๆ ซึ่งรวมถึงแต่ไม่จำกัดเพียง (1) ผู้พัฒนาซอฟต์แวร์ ผู้ให้บริการด้านเทคโนโลยีสารสนเทศ และผู้ให้บริการเว็บไซต์ (2) ผู้ให้บริการด้านการทำการตลาด สื่อโฆษณา ออกแบบ สร้างสรรค์งานโฆษณา และด้านการสื่อสาร (3) โรงพยาบาล (4) ผู้ให้บริการจัดเก็บข้อมูล และผู้ให้บริการระบบคลาวด์ (5) ธนาคาร และสถาบันการเงิน (6) บริษัทประกันภัย บริษัทประกันภัยต่อ นายหน้าประกันภัย ตัวแทนประกันภัย ผู้ประเมินวินาศภัย และผู้สำรวจภัย (7) ผู้ให้บริการด้านโลจิสติกส์และจัดส่ง (8) ผู้ให้บริการด้านการชำระเงินและระบบชำระเงิน (9) ผู้ให้บริการระบบลงทะเบียนและนับคะแนนเสียง (10) ผู้ให้บริการวิเคราะห์ (11) บริษัทตัวแทนท่องเที่ยว (12) อู่ซ่อมรถ และร้านอะไหล่ (13) ผู้ให้บริการระบบการจอง (Booking System) (14) ผู้ให้บริการด้านการดำเนินงานภายในซึ่งเป็นบุคคลภายนอก (15) ผู้ให้บริการด้านการพิมพ์ และ (16) ผู้ให้บริการจัดทำผลสำรวจ

     ทั้งนี้ ในการให้บริการต่าง ๆ ดังกล่าว ผู้ให้บริการอาจเข้าถึงข้อมูลส่วนบุคคลของท่านได้ อย่างไรก็ตาม บริษัทฯ จะให้ข้อมูลส่วนบุคคลของท่านแก่ผู้ให้บริการของบริษัทฯ เหล่านี้เพียงเท่าที่จำเป็นสำหรับการให้บริการกังกล่าวเท่านั้น และจะขอให้ผู้ให้บริการไม่ใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นแต่อย่างใด ทั้งนี้ บริษัทฯ จะดำเนินการให้มั่นใจว่าผู้ให้บริการที่บริษัทฯ ทำงานด้วยทั้งหมดมีหน้าที่เก็บรักษาเก็บรักษาข้อมูลส่วนบุคคลของท่านอย่างปลอดภัย

3.3 พันธมิตรทางธุรกิจของบริษัทฯ

     บริษัทฯ อาจโอนข้อมูลส่วนบุคคลให้แก่พันธมิตรทางธุรกิจของบริษัทฯ เพื่อดำเนินธุรกิจและให้บริการ ซึ่งรวมถึงแต่ไม่จำกัดเพียง คู่ค้า เจ้าของโครงการ คู่สัญญา บริษัทหลักทรัพย์ ร้านค้า ผู้รับเหมาก่อสร้าง คู่ค้าสำหรับกิจการร่วมค้า บริษัทต่าง ๆ ที่บริษัทฯ เข้าไปลงทุน พันธมิตรที่ใช้แบรนด์ร่วมกัน และบุคคลภายนอกรายอื่นที่บริษัทฯ ทำการตลาดหรือส่งเสริมการขายร่วมด้วย ทั้งนี้ เพื่อการดำเนินธุรกิจและให้บริการของบริษัทฯ ตราบเท่าที่พันธมิตรทางธุรกิจที่ได้รับข้อมูลส่วนบุคคลนั้นตกลงที่จะปฏิบัติต่อข้อมูลส่วนบุคคลของท่านในลักษณะที่สอดคล้องกับนโยบายความเป็นส่วนตัวฉบับนี้

3.4 บุคคลภายนอกที่กฎหมายกําหนดไว้

     ในบางกรณี บริษัทฯ อาจจำเป็นต้องเปิดเผย หรือแบ่งปันข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอกเพื่อการปฏิบัติตามหน้าที่ทางกฎหมายหรือระเบียบข้อบังคับ โดยบุคคลภายนอกเหล่านั้นอาจรวมถึงหน่วยงานของรัฐ ศาล หน่วยงานกำกับดูแล สถานฑูตและกงศุล เจ้าหน้าที่ของรัฐ หรือบุคคลภายนอกรายอื่นที่บริษัทฯ เห็นว่าจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายหรือตามระเบียบข้อบังคับ หรือเพื่อคุ้มครองสิทธิของบริษัทฯ สิทธิของบุคคลภายนอก ความปลอดภัยส่วนตัวของบุคคล หรือเพื่อตรวจหา ป้องกัน หรือจัดการกับการฉ้อโกง หรือเพื่อการดำเนินการด้านความมั่นคงปลอดภัย

3.5 ที่ปรึกษาซึ่งเป็นผู้เชี่ยวชาญ

     นอกจากนี้ บริษัทฯ อาจจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่ ที่ปรึกษาซึ่งเป็นผู้เชี่ยวชาญของบริษัทฯ โดยอาจรวมถึงแต่ไม่จำกัดเพียง (1) ที่ปรึกษาอิสระ (2) ที่ปรึกษากฎหมายซึ่งให้ความช่วยเหลือในการดำเนินธุรกิจของบริษัทฯ และให้บริการดำเนินคดี ไม่ว่าจะเป็นการต่อสู้คดีหรือฟ้องร้องคดี (3) ที่ปรึกษาภายนอก (4) ที่ปรึกษาโครงการ (5) ที่ปรึกษาทางการเงิน และ (6) ผู้สอบบัญชีซึ่งให้บริการด้านบัญชี หรือตรวจสอบบัญชีแก่บริษัทฯ

3.6. ผู้ทีเกี่ยวข้องกับการโอนกิจการ

     ในกรณีที่มีการปรับโครงสร้างองค์กร ฟื้นฟูกิจการ ควบรวมกิจการ การโอนธุรกิจไม่ว่าบางส่วนหรือทั้งหมด การซื้อขาย กิจการร่วมค้า การโอนสิทธิ การโอนหรือจำหน่ายธุรกิจ ทรัพย์สิน หรือหุ้นบางส่วนหรือทั้งหมดของบริษัทฯ หรือธุรกรรมอื่นใดในทำนองเดียวกัน บริษัทฯ อาจมีการเปิดเผยหรือโอนข้อมูลส่วนบุคคลของท่านให้แก่พันธมิตรทางธุรกิจ นักลงทุน ผู้ถือหุ้นรายใหญ่ ผู้โอน หรือผู้รับโอน ในกรณีที่เหตุดังกล่าวขึ้น บริษัทฯ จะดำเนินการให้บุคคลภายนอกในฐานะผู้รับโอนสิทธิมีหน้าที่ปฏิบัติตามนโยบายความเป็นส่วนตัวนี้เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของท่าน

     บริษัทฯ จะไม่เปิดเผย หรือโอนข้อมูลส่วนบุคคลของท่านไปยังบุคคลภายนอกหรือเซิร์ฟเวอร์ที่อยู่ในต่างประเทศ

     บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาเท่าที่จำเป็นเพื่อดำเนินการตามวัตถุประสงค์ที่บริษัทฯ ได้รับข้อมูลมาและเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง โดยระยะเวลาที่บริษัทฯ จะเก็บข้อมูลส่วนบุคคลของท่านจะขึ้นอยู่กับลักษณะของข้อมูลส่วนบุคคล ทั้งนี้ บริษัทฯ อาจต้องเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้นานขึ้นตามที่กฎหมายกำหนด

     หากท่านเยี่ยมชมเว็บไซต์ของเรา เราจะรวบรวมข้อมูลจากท่านโดยอัตโนมัติโดยใช้เครื่องมือติดตามและคุกกี้ (รวมถึงแต่ไม่จำกัดเพียง Google Tag Manager, Google Analytics, Hotjar Matomo, Zendesk, Facebook Pixel Analytics, Facebook Ad Manager และ Google Cloud) ทั้งนี้ คุกกี้ คือ เทคโนโลยีติดตามที่ใช้ในการวิเคราะห์แนวโน้ม บริหารจัดการเว็บไซต์ของเรา ติดตามความเคลื่อนไหวของผู้ใช้งานเว็บไซต์ หรือจดจำการตั้งค่าของผู้ใช้งาน คุกกี้บางส่วนมีความจำเป็นเนื่องจากหากไม่มีคุกกี้เหล่านั้นเว็บไซต์จะไม่สามารถทำงานได้อย่างเหมาะสม สำหรับคุกกี้ส่วนอื่น ๆ มีไว้เพื่อความสะดวกของผู้เยี่ยมชม เช่น คุกกี้ที่จดจำชื่อผู้ใช้งานของท่านอย่างปลอดภัย รวมถึงภาษาที่ท่านใช้อีกด้วย

      เบราว์เซอร์อินเทอร์เน็ตส่วนใหญ่อนุญาตให้ท่านควบคุมได้ว่าท่านจะยอมรับคุกกี้หรือไม่ หากท่านปฏิเสธคุกกี้ ความสามารถของท่านในการใช้งานเว็บไซต์ของเราบางฟังก์ชั่นหรือบางหน้าหรือทั้งหมดอาจถูกจำกัด โปรดศึกษารายละเอียดเพิ่มเติมได้ที่นโยบายการใช้คุกกี้ https://www.nbm.co.th/pdpa/cookies/

     เพื่อเป็นวิธีในการคุ้มครองความเป็นส่วนตัวในข้อมูลส่วนบุคคลของท่าน บริษัทฯ ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพ ในเรื่องการเข้าถึงหรือควบคุม การเข้าถึงข้อมูลส่วนบุคคล เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ทั้งนี้ เป็นไปตามที่กฎหมายที่ใช้บังคับกำหนด

     โดยเฉพาะอย่างยิ่ง บริษัทฯ ได้จัดให้มีมาตรการควบคุมการเข้าถึงที่ปลอดภัยและเหมาะสมสำหรับการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทฯ ยังได้วางมาตรการจำกัดการเข้าถึงข้อมูลส่วนบุคคลและการใช้งานอุปกรณ์สำหรับจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยกำหนดสิทธิเข้าถึงข้อมูลของผู้ใช้งาน สิทธิในการอนุญาตให้ ผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลดังกล่าวได้ และบริหารจัดการการเข้าถึงเพื่อจำกัดการถึงข้อมูลส่วนบุคคลเฉพาะผู้มีสิทธิเท่านั้น และกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งานเพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ ยังรวมถึงการวางมาตรการสำหรับการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล

      ภายใต้บทบัญญัติแห่งกฎหมายและข้อยกเว้นตามกฎหมายที่เกี่ยวข้อง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตนดังต่อไปนี้

     1) การเข้าถึง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิในการขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลของตนที่บริษัทฯ เก็บรวบรวม ใช้และ/หรือเปิดเผย ทั้งนี้ เพื่อความเป็นส่วนตัวและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ อาจขอให้มีการพิสูจน์ตัวตนก่อนจะให้ข้อมูลส่วนบุคคลตามที่ร้องขอ

     2) การแก้ไขให้ถูกต้อง เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้บริษัทฯ ดำเนินการแก้ไขข้อมูลส่วนบุคคลของตนที่บริษัทฯ ได้เก็บรวบรวม ใช้และ/หรือเปิดเผย ซึ่งไม่สมบูรณ์ ไม่ถูกต้อง ก่อให้เกิดความเข้าใจผิด หรือไม่เป็นปัจจุบัน

     3) การโอนย้ายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอรับข้อมูลส่วน บุคคลของตนที่บริษัทฯ มีเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลในรูปแบบที่มีการจัดระเบียบแล้วและสามารถอ่านได้ในรูปแบบอิเล็กทรอนิกส์ และเพื่อส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น โดยต้องเป็น (ก) ข้อมูลส่วนบุคคลที่ได้ให้กับบริษัทฯ และ (ข) กรณีที่บริษัทฯ ได้รับความยินยอมในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลหรือเพื่อปฏิบัติตามสัญญาที่บริษัทฯ มีกับเจ้าของข้อมูลส่วนบุคคล

     4) การคัดค้าน เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิคัดค้านการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ เป็นไปตามที่กฎหมายที่ใช้บังคับกำหนด

     5) การระงับการใช้ เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตน หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่าข้อมูลส่วนบุคคลดังกล่าวไม่ถูกต้อง การเก็บรวบรวม ใช้ และ/หรือเปิดเผยโดยบริษัทฯ ไม่ชอบด้วยกฎหมาย หรือข้อมูลส่วนบุคคลดังกล่าวหมดความจำเป็นสำหรับวัตถุประสงค์บางประการ

     6) การถอนความยินยอม สำหรับวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่บริษัทฯ ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิที่จะถอนความยินยอมเมื่อใดก็ได้

     7) การลบหรือทำลาย เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิขอให้บริษัทฯ ดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่บริษัทฯ เก็บรวบรวม ใช้และ/หรือเปิดเผย เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เว้นเสียแต่ว่า การเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวของบริษัทฯ นั้นเป็นไปเพื่อการปฏิบัติตามกฎหมาย หรือเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เพื่อการใช้ หรือการปกป้องสิทธิเรียกร้องตามกฎหมาย และ

     8) การร้องเรียน เจ้าของข้อมูลส่วนบุคคลอาจมีสิทธิร้องเรียนไปยังหน่วยงานของรัฐที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ไม่ชอบด้วยกฎหมายหรือไม่สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้

      หากท่านมีความประสงค์จะติดต่อบริษัทฯ เพื่อใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของท่าน หรือหากท่านมีข้อสงสัยประการใดเกี่ยวกับข้อมูลส่วนบุคคลของท่านตามนโยบายความเป็นส่วนตัวนี้ โปรดติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ได้ที่

     Northern Bangkok Monorail Company Limited, the concessionaire of the MRT Pink Line and Bangkok Mass Transit Public Company Limited, the operator of the MRT Pink Line (the “Company”, “we”, “us”, or “our”) recognizes the importance of the protection of personal data. We follow security procedures when collecting, using, and/ or disclosing your Personal Data (as defined below).

     This privacy policy for business partner (“Privacy Policy”) explains how we collect, use and/or disclose Personal Data of the business partner’s personnel, authorized persons, authorized signatories, directors, shareholders and other contact persons (collectively referred to as “you”, or “your”) and informs you the rights relating to Personal Data protection.

     “Business Partner”, according to this Privacy Policy, includes, without limitation, business partners, distributors, suppliers, vendors, service providers, construction contractors, investors, analysts, shops, billboard tenants, independent advisors, securities companies, insurance companies, insurance brokers, insurance agents, banks, joint venture partners, and third parties e.g., third parties requesting to enter the area, contractor’s sub-contractors, related persons according to the rules of the Securities and Exchange Commission (e.g., spouse, children under the age of 20), and other business partners.

     The Company collects, uses and/or discloses your Personal Data because we currently have business relationship with you or may have business relationship with you in the future, or because you work for, represent, or proceed on behalf of our business partners, e.g., companies which supplies or provide services for the Company, or which we have business communication with which may involve you.

     From time to time, we may change and/or update this Privacy Policy. We will provide additional notice of significant changes and/or updates. We will post the date on which our Privacy Policy was last updated at the top of the Privacy Policy. We encourage you to read this Privacy Policy carefully and to check Privacy Policy regularly to review any changes and/or updates we might take in accordance with the terms of this Privacy Policy.

     For the purposes of this Privacy Policy, “Personal Data” means any identified or identifiable information about you as listed below.

     We may directly or indirectly collect your Personal Data from other sources. For example, we may directly collect your Personal Data (such as, when you do business with the Company or sign a contract or fill out a form when you interact with the Company, including having interactions through the Company's online platform, through the Company's website or mobile application, communication via email, telephone, questionnaires, business cards, postage, during meetings and events, scheduling meetings with you or from a source in the system, central drive system/central database of the Company or transport software and/or electronic files).

     In addition, we may indirectly collect your Personal Data, e.g., from business partner or service provider you work for, act on its behalf, or represent, the BTS Group Companies (as defined in “TO WHOM WE MAY DISCLOSE PERSONAL DATA” section below), public sources (e.g., social media and websites of third parties or relevant government agencies), other third parties (e.g. other business partners of the Company, reference persons and complainants). The specific types of Personal Data collected will depend on the relationship which you have with the Company or the BTS Group Companies. The followings are example of Personal Data that may be collected:

Personal details, such as name - surname, title, age, gender, photo, video, CCTV record, geographic location, date of birth, nationality, marital status, financial status, educational and professional information (e.g. position, division, division code, occupation, information contained in job application, company that you worked for or past employer, certification of employment, salary confirmation letter, professional license, work permit, visa, training information, income and salary, first date of work), identifiable information on government-issued document (e.g., national identification card number, passport number, taxpayer identification number, driving license number, house registration number), vehicle-related information (e.g., vehicle identification number or vehicle registration number), signature (including electronic signature), business partner’s identification number (including type of business partner, type of business, area of business), business partner’s information (e.g., evaluation score of business partner/service provider, merchant identification number, business partner registration date), bank account and payment information (e.g., bank account name, bank, bank account type and number, beneficiary account name, payment date, payment method, payment currency and payment account, domestic and cross-border transfer details), credit card details (e.g., credit card number, cardholder name, expiration date), including information relating to pricing strategy, discount rate, sales volume, disbursement items, disbursement amount, details relating to lands that you own (e.g., land rights certificate number), number of shares, securities holder registration number, number of securities and dividend amount);

Contact details, such as phone number, mobile phone number, facsimile number, address, place of business address, email address, postal code, social media account information (e.g., LINE ID, Facebook account and available time) and other similar information;

Information relating to the interactions between the Company and the business partner, such as information that you have given to the Company (as appeared in agreement, form or survey), transactional information between you and the Company (e.g., lease agreement or purchase and sale agreement, contractor agreement, consultancy agreement, tendering or bidding document), information relating to purchase and sale transaction with related person/third party, product type, budget type, disbursement budget, expense details, traveling expense, date of purchasing product/service, amount of products/services purchased, number of disbursement items, budget, headquarter number, document number, project name, registered company, creditors, branch, area and payment terms, computer data (e.g., IP address or cookies), vendor and service provider status inspection result, including information from the terms of reference or scope of tendering/bidding/procurement, report of interests, incident report, litigation information, details of quotation in procurement project, annual vendor/service provider evaluation report, CCTV record and construction details for each project;

Information of your related person, such as identified information of your spouse or children, information about employee working for company relating to you;

Sensitive data, such as health data, Sensitive Data from national identification card (e.g., nationality and religion) or Sensitive Data which can be used in litigation.

     If you provide Personal Data of any third party (such as parent, spouse, children, emergency contact, or referral person) to us, e.g., their name, family name, address, relationship, contact details, and related documents, you represent and warrant that you have the authority to do so by (i) informing such other persons about this Privacy Policy; and (ii) obtaining consents (where required by law or necessary) to permit us to use such Personal Data in accordance with this Privacy Policy.

     We do not intentionally collect your sensitive data (“Sensitive Data”). However, in case that we do, we will only collect, use, and/or disclose Sensitive Data on the basis of your explicit consent or where permitted by law.

     We only collect the Personal Data of children, quasi-incompetent person and incompetent person where their parent or guardian has given their consent. We do not knowingly collect Personal Data from any person under the age of 20 without their parental consent when it is required, or from quasi-incompetent person and incompetent person without their legal guardian's consent. In the event that we learn that we have unintentionally collected Personal Data from anyone under the age of 20 without parental consent when it is required or from quasi-incompetent person and incompetent person without their legal guardians’ consent, we will immediately delete such Personal Data or only collect, use and/or disclose if we can rely on other legal basis apart from consent or where permitted by law.

     We collect, use and/or disclose Personal Data for the following purposes:

     2.1. THE PURPOSES OF WHICH WE RELY ON CONSENT

     We rely on consent for the collection, use, and/or disclosure of Personal Data and/or Sensitive Data for the following purposes:

     Health data: for food preparation and facilitation.

     Where we rely on consent for the collection, use and/or disclosure of Personal Data, you have the right to withdraw your consent by contacting the Company (as detailed in “OUR CONTACT DETAILS” this Privacy Policy). The withdrawal of consent will not affect the collection, use and/or disclosure of Personal Data and Sensitive Data that was previously consented before the withdrawal. However, if you do not give consent or withdraw your consent, we may not be able to employ, or engage your service or the service under the service agreement which we have with your employer. The Company may request your consent directly from you or through the BTS group companies, business partners. and/or other juristic persons

     2.2. THE PURPOSE THAT WE MAY RELY ON LEGAL BASES IN PROCESSING YOUR PERSONAL DATA

     We may also rely on (1) contractual basis, for our initiation or fulfilment of a contract with you; (2) legal obligation, for the fulfilment of our legal obligations; (3) legitimate interest, for the purpose of our legitimate interests and the legitimate interests of third parties. We will balance the legitimate interest pursued by us and any relevant third party with your interest and fundamental rights and freedoms in relation to the protection of your Personal Data; (4) vital interest, for preventing or suppressing a danger to a person’s life, body or health; or other legal grounds permitted under applicable data protection law (as the case may be). Depending on the context of the interactions with us, we may collect, use and/ or disclose Personal Data for the following purposes:

(1) For business purposes, such as to proceed business transactions with business partners and fulfil our duties and/or requests from business partners, to contact business partners regarding products, services and projects of the Company or the business partners (e.g., to respond to questions or requests);

(2) For selection of business partners, such as to verify you and status of business partners, to check status of business or perform other background checks and screen you and business partners, to assess your and business partners’ suitability and qualifications, to assess your and business partners’ risks (including the verification of public information from law enforcement agencies and/or the Company’s blacklist record), to prepare quotations or bidding offer, to enter into agreements, prepare purchase orders or purchase requests with you or business partners and to evaluate your and business partners’ management;

(3) For relationship management, such as to keep your Personal Data up-to-date, to maintain the accuracy of Personal Data, to keep agreements, relating documents, agreement’s reference documents and evidence of the work of business partners which may mention you, to plan, operate and manage (contractual) relationships and rights with business partners (e.g., to appoint, withdraw or authorize business partners to engage in transaction and order products or services, process payment, to conduct activities relating to accountancy, audit, invoice issuance, management of product and service delivery), to manage your requests or complaints, to improve, support, monitor, and record;

(4) For business communications, such as communication with business partners about products, services and projects of the Company or business partners (e.g., communication via document, response to questions, requests or operational progress report);

(5) For marketing purposes, such as to inform you about news and public information which may be useful, including activities, new product and service offers, product and service price negotiation and survey, as well as for to evaluate and consider providing financial aid (e.g., financial loan) to you or business partners;

(6) For internal management and communication within the organization, such as to publish internal activities and to comply with business codes of conduct, including but not limited to, procurement, disbursement, internal management, training, inspection, report, document delivery and management, data processing, risk control or management, trend and statistical analysis and planning, and other similar or relating activities;

(7) For business analysis and improvement, such as to research, analyse data, estimate, survey and evaluate and report on our products and services and your or business partners’ performance, including to develop and improve our marketing strategy, and our products and services;

(8) For registration and authentication, such as for your registration, verification, identification and authentication;

(9) For IT systems and IT support systems, such as to support IT and IT support departments, to administrate system access in which the Company has granted the right to access to you, to delete unused accounts, implement business control measures to continue business, and for the Company to identify and solve problems in the IT systems, and to safeguard the security of our systems, to develop, implement, operate and manage the IT systems;

(10) For business partner information management, such as to compile list of business partners, record data in the system and update the list and directory of business partners (which includes your Personal Data), as well as to store and manage agreements and relating documents which may contain your name;

(11) For system monitoring and security, such as to control access, monitor systems, equipment and internet, and safeguard IT security;

(12) For dispute management, such as to resolve dispute, enforce the Company’s agreements, establish, exercise, or raising legal claims, including to grant authorization;

(13) For investigation, complaint and/or crime and fraud prevention;

(14) For compliance with internal policy and relating/applicable laws, rules, regulations, guidelines (such as to apply for business licences as required by law) and to coordinate or communicate with government agencies, courts or relevant agencies (such as the Revenue Department, the Royal Thai Police Headquarter and the State Audit Office) including to investigate, complain and/or prevent crime and fraud;

(15) For danger prevention towards life, body or health of a person, such as to control contagious disease or epidemic;

(16) For organizing corporate social and environmental responsibility

     Where the Personal Data we collect from you is needed to meet our legal, regulatory, or contractual obligations or enter into an agreement with you, if you do not provide your Personal Data when requested, we may not be able to achieve the aforementioned purposes.

     The Company may disclose or transfer your Personal Data to the following third parties. We will collect, use, and/or disclose Personal Data in accordance with the purposes under this Privacy Policy. These third parties may be located in Thailand and outside Thailand. You can visit their privacy policy to learn more details on how they collect, use and/or disclose Personal Data since you could also be subject to their privacy policies.

3.1. BTS Group Companies

     As the Company is part of the BTS Group Companies which all collaborate and/or partially share customer services and systems, e.g., service systems and website-related systems, the Company may need to transfer your Personal Data to, or otherwise allow access to such Personal Data by the BTS Group Companies for the purposes set out in this Privacy Policy. BTS Group Companies may rely on the consent obtained by the Company to use your Personal Data. Please see the list of the BTS Group Companies at https://www.bts.co.th/web-link/weblink-affiliates.html

3.2. The Company’s service providers

     The Company may use other companies, agents or contractors to perform services on our behalf or to assist us in our business with you. The Company may share Personal Data to third parties, including but not limited to (1) infrastructure, software and website developers and IT service providers; (2) marketing, advertisement, design, creative advertising and communication service providers; (3) hospitals; (4) data storage and cloud service providers; (5) banks and financial institutions; (6) insurance companies, sub-insurance companies, insurance brokers, insurance agents, lost adjustors and risk surveyors; (7) logistics and transportation service providers; (8) payment and payment system service providers; (9) voting and vote counting service providers; (10) analysts; (11) travel service agencies; (12) garages and auto parts stores; (13) booking system service providers; (14) outsource internal operation service providers; (15) printing houses; and (16) surveying service providers.

     In the course of providing such services, the service providers may have access to your Personal Data. However, the Company will only provide the Company’s service providers with the Personal Data that is necessary for them to perform the services, and we will ask them not to use your Personal Data for any other purposes. The Company will ensure that all the service providers we work with will keep your Personal Data secure.

3.3. Our business partners

     The Company may transfer your Personal Data to the Company’s business partners, such as business partners, project owners, contract parties, securities companies, stores, construction contractors, joint venture partners, companies that the Company invests in, co-shared partners and third parties that the Company share marketing or promotional campaigns for the business operation and service provision of the Company, provided that the receiving business partner shall agree to treat Personal Data in a manner consistent with this Privacy Policy.

3.4 Third parties permitted by law

     In certain circumstances, the Company may be required to disclose or share your Personal Data in order to comply with a legal or regulatory obligation. This includes any government agency, court, government authority, embassy, consulate, or other third party where we believe this is necessary to comply with a legal or regulatory obligation, or otherwise to protect the rights of the Company, third party or individuals’ personal safety; or to detect, prevent, or otherwise address fraud, security or safety issues.

3.5 Professional advisors

      The Company may disclose Personal Data to the Company’s expert advisors including, but not limited to, (1) independent advisors; (2) legal advisors who assist the Company in its business operations and provide litigation services such as defending or initiating legal actions; (3) external advisors; (4) project advisors; (5) financial advisors; and (6) auditors who provide accounting services or conduct financial audit for the Company.

3.6. Third parties connected with business transfer

     We may disclose or transfer your Personal Data to our business partners, investors, significant shareholders, assignees or transferees in the event of any reorganization, restructuring, merger, acquisition, sale, purchase, joint venture, assignment, or any other similar events involving transfer or other disposition of all or any portion of our business, assets or stock. If any of above events occurs, the receiving party will comply with this Privacy Policy to respect your Personal Data.

     We will not disclose or transfer Personal Data to third parties or servers located overseas.

     The Company will retain your Personal Data for as long as it is reasonably necessary to fulfil purposes for which the Company obtained them and to comply with the Company’s legal and regulatory obligations. However, the Company may have to retain Personal Data for a longer duration, as required by applicable laws.

      If you visit our websites, we will gather certain information automatically from you by using tracking tools and cookies (including, but not limited to, Google Tag Manager, Google Analytics, Hotjar, Matomo, Zendesk, Facebook Pixel Analytics, Facebook Ad Manager, and Google Cloud). Cookies are tracking technologies which are used in analyzing trends, administering our websites, tracking users’ movements around the websites, or to remember users’ settings. Some of the cookies are necessary because otherwise the site is unable to function properly. Other cookies are convenient for the visitors and they remember your username in a secure way as well as your language preferences.

      Most internet browsers allow you to control whether or not to accept cookies. If you reject cookies, your ability to use some or all of the features or areas of our websites may be limited. Please see our Cookies Policy for more details https://www.nbm.co.th/pdpa/cookies/

     As a way to protect personal privacy of your Personal Data, we maintain appropriate security measures, which include administrative, technical and physical safeguards in relation to access control, to protect the confidentiality, integrity, and availability of Personal Data against any accidental or unlawful or unauthorized loss, alteration, correction, use, disclosure or access, in compliance with the applicable laws.
In particular, we have implemented access control measures which are secured and suitable for our collection, use, and/or disclosure of Personal Data. We restrict access to Personal Data as well as storage and processing equipment by imposing access rights or permission, access management to limit access to Personal Data to only authorized persons, and implement user responsibilities to prevent unauthorized access, disclosure, perception, unlawful duplication of Personal Data or theft of device used to store and process Personal Data; This also includes methods that enabling the re-examination of access, alteration, erasure, or transfer of Personal Data which is suitable for the method and means of collecting, using and/or disclosing of Personal Data.

      Subject to applicable laws and exceptions thereof, a data subject may have the following rights to:

     1) Access: Data subjects may have the right to access or request a copy of the Personal Data we are collecting, using and/or disclosing. For privacy and security, we may require proof of the data subject's identity before providing the requested Personal Data;

     2) Rectification: Data subjects may have the right to have incomplete, inaccurate, misleading, or not up-to-date Personal Data that we collect, use and/or disclose rectified;

     3) Data Portability: Data subjects may have the right to obtain Personal Data we hold about that data subject, in a structured, electronic format, and to transmit such data to another data controller, where this is (a) Personal Data which you have provided to us, and (b) if we are collecting, using and/or disclosing that data on the basis of data subject's consent or to perform a contract with the data subject;

     4) Objection: Data subjects may have the right to object to certain collection, use and/or disclosure of Personal Data subject to the applicable law;

     5) Restriction: Data subjects may have the right to restrict our use of Personal Data where the data subject believes such Personal Data to be inaccurate, that our collection, use and/or disclosure is unlawful, or that we no longer need such Personal Data for a particular purpose;

     6) Withdraw Consent: For the purposes the data subjects have consented to our collection, use and/or disclosure of Personal Data, data subjects may have the right to withdraw consent at any time;

     7) Deletion: Data subjects may have the right to request that we delete, destroy or anonymize Personal Data that we collect, use, and/or disclose, except we are not obligated to do so if we need to retain such Personal Data in order to comply with a legal obligation or to establish, exercise or defend legal claims; and

     8) Lodge a complaint: Data subjects may have the right to lodge a complaint to the competent authority where the data subject believes our collection, use and/or disclosure of Personal Data is unlawful or non-compliance with applicable data protection law.

     If you wish to contact us to exercise the rights relating to your Personal Data or if there are any queries about your Personal Data under this Privacy Policy, please contact our Data Protection Officer (DPO) at: