นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

ปรับปรุงล่าสุดเมื่อเดือน พฤษภาคม 2567

  1. หลักการและวัตถุประสงค์

    บริษัท โตโยต้า ลีสซิ่ง (ประเทศไทย) (“บริษัทฯ”) มีความมุ่งมั่นในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) เพื่อให้การปฏิบัติงานของบริษัทฯ เป็นไปตามกฎหมาย และมาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล และมาตรการในการบริหารจัดการ การละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีประสิทธิภาพและเหมาะสม

  2. ขอบเขตการบังคับใช้

    นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง ฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยบริษัทฯ รวมถึงบุคคลใด ๆ ซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของบริษัทฯ ซึ่งจะต้องปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และตามกรอบที่กฎหมายกำหนด ภายใต้ข้อสัญญา ข้อกำหนด รวมทั้งผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัทฯ (รวมเรียกว่า “บริการ”)

    ข้อมูลส่วนบุคคลที่ดำเนินการโดยบริษัทฯ ให้หมายความรวมถึงข้อมูลส่วนบุคคลของบุคคลต่อไปนี้

    1. 1) ลูกค้าบุคคลธรรมดา
    2. 2) เจ้าหน้าที่หรือผู้ปฏิบัติงานหรือลูกจ้างของบริษัทฯ
    3. 3) คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
    4. 4) กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับบริษัทฯ
    5. 5) ผู้ใช้งานผลิตภัณฑ์หรือบริการของบริษัทฯ
    6. 6) ผู้เข้าชมหรือใช้งานเว็บไซต์ ระบบ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัทฯ
    7. 7) บุคคลอื่นที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น

    ข้อ 1) ถึง 7) เรียกรวมกันว่า “เจ้าของข้อมูลส่วนบุคคล”

    สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ให้บริษัทฯ สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นได้ต่อไปตามวัตถุประสงค์เดิม โดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง

  3. คำจำกัดความ

    “นโยบายคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Policy) หมายความว่า นโยบาย ที่บริษัทฯ จัดทำเพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลข้อมูลของบริษัท และรายละเอียดต่าง ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง ได้กำหนดไว้

    “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

    “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive data) หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

    “การประมวลผล” หมายความว่า การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

    “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

    “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลอื่นซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ ให้รวมไปถึงการอ้างอิงใด ๆ ตามกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มีความหมายหรือแสดงความหมายเหมือนกับหรือคล้ายกับผู้ควบคุมข้อมูลส่วนบุคคล

    “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมไปถึงการอ้างอิงใด ๆ ตามกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มีความหมายหรือแสดงความหมายเหมือนกับหรือคล้ายกับผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

    “คุกกี้” (Cookies) หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น

  4. การเก็บรวบรวมข้อมูลส่วนบุคคล

    บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลเฉพาะบุคคล ข้อมูลที่เกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามความจำเป็นซึ่งกฎหมายให้สิทธิไว้อย่างชัดแจ้ง โดยมีแหล่งที่มา และหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้

    1. แหล่งที่มาของข้อมูลส่วนบุคคล
      บริษัทฯ อาจได้รับข้อมูลส่วนบุคคลจากช่องทาง ดังต่อไปนี้
      1. เก็บรวบรวมโดยตรงจากเจ้าของข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลจากการกรอกข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสมัครใช้บริการทั้งในรูปแบบกระดาษและรูปแบบออนไลน์ การตอบแบบสอบถาม (Survey) การสมัครงาน การลงนามในสัญญาหรือเอกสาร หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับบริษัทฯ ผ่านช่องทางที่กำหนด
      2. เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ซอฟต์แวร์ หรือแอปพลิเคชันตามสัญญาให้บริการ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์ หรือบริการของบริษัทฯ ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
      3. เก็บรวบรวมจากผู้ให้บริการสื่อสังคมออนไลน์ (social media) หรือผู้ให้บริการบัญชีผู้ใช้งานภายนอกซึ่งเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของตนกับบริษัทฯ เพื่อเชื่อมต่อบัญชีผู้ใช้งานที่มีกับผู้ให้บริการภายนอกกับบริการของบริษัทฯ ในกรณีนี้ ข้อมูลส่วนบุคคลที่ได้เปิดเผยแก่บริษัทฯ จะเป็นไปตามการตั้งค่าของเจ้าของข้อมูลส่วนบุคคลภายใต้นโยบายความเป็นส่วนตัวของผู้ให้บริการภายนอกรายนั้น
      4. เก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ซึ่งบริษัทฯ สามารถเก็บรวบรวมจากแหล่งข้อมูลดังกล่าวโดยชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่บริษัทฯ เช่น การสืบค้นข้อมูลส่วนบุคคลผ่านระบบเว็บไซต์ การสอบถามจากบุคคลที่สาม หรือการเปิดเผยโดยบริษัทในเครือหรือบริษัทในกลุ่ม พันธมิตรทางธุรกิจ หรือบุคคลที่สามเพื่อวัตถุประสงค์ที่ระบุไว้ในนโยบายฉบับนี้ โดยบริษัทฯ จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 (สามสิบ) วันนับแต่วันที่บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
      ทั้งนี้ ตัวอย่างประเภทของข้อมูลส่วนบุคคลที่บริษัทฯ อาจมีการเก็บรวมรวม เช่น
    2. ประเภทข้อมูลส่วนบุคคล รายละเอียดและตัวอย่าง
      ข้อมูลเฉพาะตัวบุคคล คำนำหน้า ชื่อ หมายเลขบัตรประจำตัวประชาชนหรือหมายเลขหนังสือเดินทาง สัญชาติ ข้อมูลทะเบียนบ้าน ข้อมูลใบอนุญาตขับรถ ลายมือชื่อ หมายเลขประกันสังคม หรือเอกสารราชการอื่น ๆ ที่สามารถระบุตัวตนได้
      ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น
      ข้อมูลสำหรับการติดต่อ เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์ ชื่อผู้ใช้งานในสังคมออนไลน์ (บัญชีผู้ใช้งานเว็บไซต์/แอปพลิเคชัน Line Facebook Apple Google หรือ Microsoft) แผนที่ตั้งของที่พัก เป็นต้น
      ข้อมูลเกี่ยวกับการทำงานและการศึกษา รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง ข้อมูลบุคคลที่ติดต่อกรณีฉุกเฉิน หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา ข้อมูลการเข้าออกสถานที่ทำงาน ข้อมูลการเข้าออกของเวลาปฏิบัติงาน เป็นต้น
      ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัย เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับผลประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น
      ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม ข้อมูลความสัมพันธ์ทางสังคมของท่าน เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับบริษัทฯ
      ข้อมูลเกี่ยวกับการใช้บริการ รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการ เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน ประวัติการสืบค้น คุกกี้ (cookies) หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น
      ข้อมูลทางการเงินและการทำธุรกรรม ข้อมูลเกี่ยวกับการเงิน สถานภาพทางการเงิน หรือประวัติทางการเงิน เช่น เลขที่บัญชีเงินฝาก ประวัติการทำธุรกรรม ประวัติการชำระสินเชื่อ แบบแสดงรายการภาษีเงินได้ ใบแจ้งรายได้ ข้อมูลการชำระค่าสาธารณูปโภค ข้อมูลเกี่ยวกับทรัพย์สิน เป็นต้น
      ข้อมูลเกี่ยวกับยานยนต์ ข้อมูลรายละเอียดเกี่ยวกับรถและการจดทะเบียน เช่น เลขทะเบียนรถยนต์ หมายเลขเครื่องยนต์ ข้อมูลการจดทะเบียนรถ ข้อมูลระบบจีพีเอส เป็นต้น
      ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (อาทิ ข้อมูลภาพจำลองใบหน้า ข้อมูลภาพจำลองลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น
      ข้อมูลส่วนบุคคลอื่น ๆ เช่น ข้อมูลวิเคราะห์สถิติทางการตลาดของเจ้าของข้อมูลส่วนบุคคล ข้อมูลภาพวิดีทัศน์กล้องวงจรปิด (CCTV) ข้อมูลบทสนทนาและการสื่อสารทางโทรศัพท์หรืออุปกรณ์อิเล็กทรอนิกส์ เป็นต้น
    3. หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล
      1. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล

        บริษัทฯ พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของการให้บริการและการปฏิบัติตามสัญญา ตลอดจนการปฏิบัติตามกฎหมาย โดยฐานกฎหมายหลักที่บริษัทฯ ใช้ในการประมวลผลข้อมูลส่วนบุคคลมี ดังนี้

        ฐานกฎหมายในการเก็บรวบรวมข้อมูล รายละเอียด
        เพื่อการปฏิบัติตามสัญญา เพื่อให้บริษัท ฯ สามารถเข้าทำสัญญากับเจ้าของข้อมูลส่วนบุคคล และปฏิบัติตามสัญญาดังกล่าว อาทิ สัญญาเช่าหรือให้เช่าซื้อรถยนต์ สัญญากู้ยืม สัญญาให้บริการ สัญญาจ้างแรงงาน สัญญาแต่งตั้งตัวแทนนายหน้า สัญญาจ้างทำของ ตลอดจนเพื่อความจำเป็นในการให้บริการของบริษัทฯ อาทิ การเข้าทำสัญญาประกันภัยกับบริษัทประกันภัย การเข้าทำสัญญากับผู้ขายบนแพลตฟอร์มตลาดกลาง
        เพื่อการปฏิบัติหน้าที่ตามกฎหมาย เพื่อให้บริษัทฯ สามารถปฏิบัติตามกฎหมายที่บังคับใช้ อาทิ กฎหมายว่าด้วยภาษีอากร กฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน กฎหมายประกอบรัฐธรรมนูญว่าด้วยการป้องกันและปราบปรามการทุจริต กฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต กฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายประกันภัย ตลอดจนการดำเนินการตามคำสั่งศาล
        เป็นการจำเป็นเพื่อประโยชน์อันชอบธรรม เพื่อการดำเนินการใด ๆ ซึ่งเป็นประโยชน์อันชอบธรรมของบริษัทฯ และของบุคคลอื่นซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้ อาทิ การยืนยันและตรวจสอบตัวตน การอำนวยความสะดวกในการเข้าใช้บริการ การนำเสนอผลิตภัณฑ์และบริการที่อยู่ในประเภทเดียวกันกับที่ลูกค้ามีอยู่ การพัฒนาและปรับปรุงผลิตภัณฑ์และบริการ การป้องกันการฉ้อโกง การรักษาความปลอดภัยของบริษัทฯ การพัฒนาและปรับปรุงขั้นตอนการปฏิบัติงานและระบบงานภายใน การกำกับภายในของบริษัทในเครือและบริษัทในกลุ่ม รวมถึงเพื่อประโยชน์ในการบริหารความเสี่ยง การกำกับและตรวจสอบ และการบริหารจัดการภายในองค์กร
        เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล อาทิ การติดต่อบุคคลอ้างอิงกรณีที่เจ้าของข้อมูลหมดสติ การเฝ้าระวังและป้องกันโรคระบาด
        ความยินยอมของเจ้าของข้อมูลส่วนบุคคล เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ ที่จำเป็นต้องได้รับความยินยอม โดยได้แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนหรือขณะขอความยินยอม อาทิ การนำเสนอและประชาสัมพันธ์ผลิตภัณฑ์และบริการโดยบริษัทในเครือและบริษัทในกลุ่ม รวมถึงพันธมิตรทางธุรกิจ การโฆษณาแบบเฉพาะเจาะจง (targeted advertising) การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวซึ่งไม่เข้าข้อยกเว้นตามกฎหมาย

        ทั้งนี้ บริษัทฯ อาจพิจารณาใช้ฐานกฎหมายอื่นนอกเหนือจากที่กำหนดไว้ข้างต้นสำหรับการให้บริการหรือการดำเนินธุรกิจของบริษัทฯ ก็ได้ ทั้งนี้ ภายใต้หลักเกณฑ์ตามกฎหมาย

      2. บริษัทฯ จะเก็บข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานของบริษัทฯ เท่านั้น ทั้งนี้ บริษัทฯ อาจมีวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกันไปตามแต่กรณี เช่น
        วัตถุประสงค์ รายละเอียด
        เพื่อดำเนินการตามคำร้องขอของเจ้าข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา และเพื่อการปฏิบัติตามสัญญาระหว่างบริษัทฯ กับเจ้าของข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลเพื่อความจำเป็นในการเข้าใช้บริการหรือเข้าทำสัญญากับบริษัทฯ อาทิ
        • การเข้าทำสัญญาเช่าหรือเช่าซื้อรถยนต์
        • การเข้าใช้ผลิตภัณฑ์หรือบริการที่อยู่ภายใต้เครื่องหมายทางการค้า/เครื่องหมาย บริการ KINTO
        • การเข้าใช้บริการ Toyota Wallet
        • การเข้าใช้บริการ e-commerce อาทิ Gurumalist ShopSabuy
        • การเข้าใช้ผลิตภัณฑ์ประกันภัยกับบริษัทฯ ในฐานะนายหน้าประกันภัย
        เพื่อยืนยันตัวตนหรือตรวจสอบบุคคล การยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคลก่อนจะให้บริการหรือเข้าทำสัญญาด้วยวิธีที่บริษัทฯ กำหนด หรือตรวจสอบตัวตนในการทำธุรกรรม รวมทั้งพิสูจน์ลายมือชื่อว่าเป็นของเจ้าของข้อมูลส่วนบุคคลจริง
        เพื่อตอบคำถามและให้ความช่วยเหลือแก่ลูกค้า การให้ความช่วยเหลือแก่ลูกค้าที่เกี่ยวข้องกับการให้บริการ อาทิ การให้ข้อมูลเกี่ยวกับการปรับปรุงข้อมูลของลูกค้า การชำระค่าบริการ ประวัติการชำระหนี้ หรือการส่งคำร้องขอใช้สิทธิหรือข้อร้องเรียนต่าง ๆ
        เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ การบริการ หรือการประชาสัมพันธ์ทางการตลาด การเสนอขายหรือนำเสนอผลิตภัณฑ์หรือบริการ ข้อเสนอพิเศษ สิทธิประโยชน์ และโปรโมชั่นโดยบริษัทฯ ให้แก่ลูกค้า รวมถึงการเสนอขายหรือนำเสนอผลิตภัณฑ์หรือบริการโดยบริษัทในกลุ่ม บริษัทในเครือ ตลอดจนพันธมิตรทางธุรกิจผ่านช่องทางการติดต่อที่ได้รับจากลูกค้า
        เพื่อพัฒนาและปรับปรุงผลิตภัณฑ์และบริการ การวิจัย วิเคราะห์ และพัฒนาผลิตภัณฑ์หรือบริการของบริษัทฯ รวมถึงบริษัทในเครือและบริษัทในกลุ่ม ให้ดียิ่งขึ้นและเหมาะสมกับความต้องการของลูกค้า
        เพื่อการวิเคราะห์ข้อมูล (Data Analytics) การวิเคราะห์ข้อมูลเพื่อประโยชน์ในด้านต่าง ๆ ซึ่งอยู่ภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย อาทิ การพัฒนาผลิตภัณฑ์และบริการของบริษัทฯ บริษัทในเครือและบริษัทในกลุ่ม การบริหารความเสี่ยงภายในองค์กร การป้องกันการฉ้อโกง
        เพื่อตรวจสอบและปรับปรุงระบบเทคโนโลยีสารสนเทศ การตรวจสอบและปรับปรุงระบบเทคโนโลยีสารสนเทศขององค์กรให้เป็นไปอย่างสอดคล้องกับมาตรฐานสากลและกฎเกณฑ์ที่เกี่ยวข้อง อาทิ การรักษาความมั่นคงปลอดภัยของระบบ การตรวจสอบระบบเทคโนโลยีสารสนเทศ การทดสอบเจาะระบบ (Penetration Test)
        เพื่อตรวจสอบและป้องกันการกระทำที่ละเมิดกฎหมาย การตรวจสอบและการดำเนินการใด ๆ เพื่อป้องกันการกระทำความผิดตามกฎหมายที่เกี่ยวข้อง รวมถึงการละเมิดความปลอดภัยที่ส่งผลกระทบต่อบริษัทฯ และเจ้าของข้อมูลส่วนบุคคล
        เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับบริษัทฯ การปฏิบัติตามกฎหมายที่บังคับใช้กับการดำเนินธุรกิจของบริษัทฯ อาทิ การจัดเก็บข้อมูลเพื่อใช้ในการหักภาษี ณ ที่จ่าย การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับนายหน้าประกันภัย การดำเนินการตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต กฎหมายว่าด้วยการทวงถามหนี้ กฎหมายว่าด้วยการคุ้มครองผู้บริโภค
        เพื่อให้ข้อมูลแก่หน่วยงานราชการตามที่กฎหมายกำหนดหรือตามการร้องขอโดยหน่วยงานของรัฐ การนำส่งและการชี้แจงข้อมูลแก่หน่วยงานบังคับใช้กฎหมายหรือเจ้าหน้าที่รัฐที่มีอำนาจตามกฎหมาย หรือองค์กรของรัฐที่อาจเกี่ยวข้องกับการดำเนินธุรกิจ อาทิ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานตำรวจแห่งชาติ สำนักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทย
        เพื่อประโยชน์ในการบริหารจัดการภายในองค์กร การบริหารจัดการภายในองค์กรในด้านต่าง ๆ อาทิ การกำกับดูแลให้เป็นไปตามหลักธรรมาภิบาลบริษัทฯ และจรรยาบรรณในการดำเนินธุรกิจของบริษัทในเครือและบริษัทในกลุ่ม การบริหารความเสี่ยงขององค์กร การป้องกันการทุจริตภายในองค์กรและการต่อต้านการติดสินบน
        เพื่อประโยชน์ในการบริหารจัดการด้านทรัพยากรบุคคล การบริหารและการจัดการด้านทรัพยากรบุคคลของบริษัทฯ รวมทั้งบริษัทในเครือและบริษัทในกลุ่ม อาทิ การรับสมัครบุคลากร การตรวจสอบประวัติอาชญากรรมของบุคลากร การจ่ายเงินเดือนและค่าตอบแทนแก่ลูกจ้างและผู้ฝึกหัดงาน การมอบสวัสดิการ การประเมินผลงานหรือศักยภาพของลูกจ้าง การตรวจสอบการปฏิบัติงานของลูกจ้าง การจัดให้มีการประกันภัยแก่ลูกจ้าง การป้องกันโรคติดต่อและโรคระบาด การปฏิบัติตามกฎหมายว่าด้วยความปลอดภัยอาชีวอนามัย และสภาพแวดล้อมในการทำงาน การดำเนินการตามกฎหมายว่าด้วยห้างหุ้นส่วนบริษัท
        เพื่อวัตถุประสงค์ในการทำธุรกรรมของบริษัทฯ การทำธุรกรรมของบริษัทฯ ที่เกี่ยวข้องกับการดำเนินธุรกิจ อาทิ การซื้อขายทรัพย์สิน การจัดซื้อจัดจ้าง การจัดหาแหล่งเงินทุนเพื่อการดำเนินธุรกิจทั้งในประเทศและต่างประเทศ การแปลงสินทรัพย์เป็นหลักทรัพย์ การออกตราสารหนี้ตามกฎหมาย การโอนกิจการ
        เพื่อวัตถุประสงค์ในการก่อตั้งสิทธิทางกฎหมายและการดำเนินคดี การระงับข้อพิพาทและการดำเนินการตามกระบวนการยุติธรรม การฟ้องร้องคดี ตลอดจนการดำเนินการตามหมายศาล คำสั่งศาล หรือคำชี้ขาดของอนุญาโตตุลาการ
      3. บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่กฎหมายกำหนดให้บริษัทฯ สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
      4. ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา หรือต้องให้ข้อมูลด้วยประการอื่นใด หากเจ้าของข้อมูลไม่ให้ข้อมูลดังกล่าวนั้น อาจส่งผลให้ธุรกรรมหรือกิจกรรมอื่นใดที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลถูกระงับ หรือหยุดลงชั่วคราว จนกว่าบริษัทฯจะได้รับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เนื่องจากบริษัทฯ ไม่สามารถประมวลผลข้อมูลเหล่านั้นได้ หรือกฎหมายกำหนดห้ามมิให้มีการดำเนินธุรกรรมหรือกิจกรรมนั้นอีกต่อไป
      5. สำหรับการประมวลผลภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ บริษัทฯ จะไม่ดำเนินการประมวลผลใด ๆ กับข้อมูลส่วนบุคคลที่ต้องขอความยินยอมนั้น ทั้งนี้ การไม่ให้ความยินยอมของเจ้าข้อมูลส่วนบุคคลดังกล่าว ย่อมไม่กระทบต่อการเข้าทำสัญญาหรือการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลและบริษัทฯ หรือส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีจำเป็นที่กฎหมายกำหนดให้ต้องขอความยินยอมเพื่อการประมวลผลเท่านั้น นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลสามารถขอถอนความยินยอมได้ทุกเมื่อและทำได้โดยง่ายเหมือนขอความยินยอม อย่างไรก็ดี การถอนความยินยอมดังกล่าวไม่กระทบต่อความสมบูรณ์ของการประมวลผลที่ได้ดำเนินการไปก่อนหน้านั้น
      6. การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว หากไม่เข้าข้อยกเว้นตามกฎหมาย บริษัทฯ จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าว ทั้งนี้ ตามหลักเกณฑ์ที่บริษัทฯ กำหนดโดยไม่ขัดต่อกฎหมาย การที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ความยินยอม อาจส่งผลให้ไม่สามารถเข้าถึงบริการบางอย่างที่ไม่สามารถใช้ฐานทางกฎหมายอื่นได้นอกจากการขอความยินยอมโดยชัดแจ้งเพื่อประมวลผลข้อมูลนั้น
      7. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ
        กรณีที่บริษัทฯ ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ บริษัทฯ จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

        กรณีที่บริษัทฯ ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่าบริษัทฯ ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยปราศจากความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือ ผู้พิทักษ์ตามแต่กรณี บริษัทฯ จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็วหากไม่มีเหตุอันชอบด้วยกฎหมายอื่นใดนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว
  5. การใช้และการเปิดเผยข้อมูลส่วนบุคคล
    1. หลักการพื้นฐาน

      การใช้และการเปิดเผยข้อมูลส่วนบุคคลของบริษัทฯ มีวัตถุประสงค์และหลักการดำเนินการที่สอดคล้องตามข้อ 4.2 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยบริษัทฯ อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นให้แก่หน่วยงานหรือบุคคลภายนอกภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น เว้นแต่จะได้กระทำภายในกรอบที่กฎหมายให้อำนาจไว้ ทั้งนี้ ข้อมูลส่วนบุคคลอาจถูกเปิดเผยให้แก่บุคคลภายนอก องค์กร หรือหน่วยงานของรัฐ ดังต่อไปนี้

      1. 1) บริษัทในเครือ หรือบริษัทในกลุ่ม
      2. 2) คู่สัญญา ผู้ให้บริการ และพันธมิตรทางธุรกิจของบริษัทฯ เช่น บริษัทในกลุ่มผู้ผลิตยานยนต์ บริษัทในกลุ่มธุรกิจการเงินการธนาคาร บริษัทในกลุ่มธุรกิจประกันภัย บริษัทในกลุ่มธุรกิจบริการด้านเทคโนโลยีสารสนเทศ บริษัทในกลุ่มธุรกิจพาณิชย์อิเล็กทรอนิกส์ (e-commerce) บริษัทในกลุ่มบริการให้เช่ารถยนต์
      3. 3) ผู้แทนจำหน่ายรถยนต์
      4. 4) หน่วยงานซึ่งดำเนินงานด้านข้อมูลเครดิต
      5. 5) ธนาคาร
      6. 6) หน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ตามกฎหมาย เช่น สำนักงานป้องกันและปราบปรามการฟอกเงิน สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย สำนักงานประกันสังคม กรมสรรพากร กรมบังคับคดี ศาล
      7. 7) หน่วยงานหรือองค์กรอื่นใดที่เกี่ยวข้องหรืออาจเกี่ยวกับการดำเนินธุรกิจของบริษัท ฯ อาทิ ธนาคารแห่งประเทศไทย

      สำหรับรายละเอียดเกี่ยวกับรายชื่อบริษัทในเครือ บริษัทในกลุ่ม พันธมิตรทางธุรกิจ รวมทั้งบุคคลที่สามที่บริษัทฯ อาจมีการเปิดเผยข้อมูลส่วนบุคคล กรุณาคลิกที่นี่

    2. คุกกี้ (Cookies)

      บริษัทฯ เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของบริษัทฯ หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของบริษัทฯ และให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของบริษัทฯ โดยข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของบริษัทฯ ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของท่าน ทั้งนี้ สามารถศึกษารายละเอียดเกี่ยวกับ นโยบายคุกกี้

  6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

    บริษัทฯ จะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้

    1. ตามระยะเวลาที่กฎหมายกำหนดเกี่ยวกับการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติการบัญชี พ.ศ. 2543 พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประมวลรัษฎากร
    2. ในกรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ บริษัทฯ จะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานของบริษัทฯ

    เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าวหรือไม่มีความจำเป็นที่จะประมวลผลอีกต่อไป บริษัทฯ จะดำเนินการลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้

  7. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

    บริษัทฯ อาจส่งหรือโอนข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลไปยังบริษัทในเครือ บริษัทในกลุ่ม หรือผู้ให้บริการอื่นใดที่อยู่นอกประเทศไทย เช่น ผู้ให้บริการระบบคลาวด์ (Cloud Computing) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (server) อยู่ต่างประเทศ (อาทิ สิงคโปร์ หรือญี่ปุ่น) ผู้ประมวลผลข้อมูล ผู้ให้บริการแพลตฟอร์ม (Platform as a Service: PaaS) เป็นต้น เพื่อวัตถุประสงค์ตามที่กำหนดในนโยบายฉบับนี้ และบริษัทฯ จะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และสามารถบังคับใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งบริษัท ฯ จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เพียงพอสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลเช่นนั้น

    อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ บริษัทฯ จะดำเนินการเพื่อทำให้มั่นใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเหมาะสม ซึ่งสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง

    การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศในทุกกรณี บริษัท ฯ จะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และดำเนินการดังต่อไปนี้

    1. 1) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องเป็นไปตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวม
    2. 2) เก็บรวบรวมข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ที่ชอบด้วยกฎหมาย รวมทั้งต้องไม่เก็บรักษาไว้นานเกินกว่าความจำเป็นตามวัตถุประสงค์หรือตามกฎหมาย
    3. 3) มีมาตรการที่เหมาะสมซึ่งทำให้ข้อมูลส่วนบุคคลมีความถูกต้อง ครบถ้วน และปัจจุบัน
    4. 4) สิทธิของเจ้าของข้อมูลตามกฎหมายต้องไม่ถูกจำกัด และมีช่องทางให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิ ตลอดจนมีกระบวนการบริหารจัดการเรื่องดังกล่าวด้วย
    5. 5) มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เพียงพอ
    6. 6) บันทึกและจัดเก็บเอกสารที่เกี่ยวข้องกับการส่งหรือโอนข้อมูลไปยังต่างประเทศ
    7. 7) ดำเนินการภายใต้กรอบของกฎหมาย และกฎเกณฑ์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  8. สิทธิของเจ้าของข้อมูลส่วนบุคคล

    นโยบายนี้ได้จัดทำขึ้นเพื่อทำให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าสามารถการใช้สิทธิดังต่อไปนี้ที่มีอยู่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้องได้

    1. 1) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับบริษัทฯ ได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่กับบริษัทฯ
    2. 2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและขอให้บริษัทฯ ทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้บริษัทฯ เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อบริษัทฯ ให้แก่เจ้าของข้อมูลส่วนบุคคลได้
    3. 3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ แก้ไขข้อมูลที่ไม่ถูกต้องหรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์
    4. 4) สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทฯ ทำการลบข้อมูลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
    5. 5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
    6. 6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการโอนย้ายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับบริษัทฯ ไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือ ตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้
    7. 7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object): เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้

    อย่างไรก็ดี บริษัทฯ อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้ตามหลักเกณฑ์ที่บริษัทฯ กำหนด โดยไม่ขัดต่อกฎหมาย

    เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิดังกล่าวข้างต้นได้โดยส่งคำร้องมายังบริษัทฯ ผ่านช่องทางติดต่อ โดยบริษัทฯ จะดำเนินการจัดการกับคำร้องของท่านไม่เกิน 30 (สามสิบ) วันนับแต่วันที่บริษัทฯ ได้รับคำร้อง ในกรณีที่บริษัทฯ ปฏิเสธคำร้องขอข้างต้น บริษัทฯ จะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบ

    เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าหน้าที่รัฐที่มีอำนาจตามกฎหมายในกรณีที่บริษัทฯ ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง หรือผู้รับจ้างของบริษัท ฝ่าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายที่เกี่ยวข้อง

  9. การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล

    บริษัทฯ กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม ตามกรอบการรักษาความลับของระบบและข้อมูล (Confidentiality) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity) และความพร้อมใช้งานด้านเทคโนโลยีสารสนเทศ (Availability) รวมถึงความปลอดภัยของระบบและข้อมูล (Safety) เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย ซึ่งสอดคล้องกับนโยบาย วิธีปฏิบัติ และระบบงานด้านความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ ที่ได้พิจารณาถึงประเด็นดังต่อไปนี้

    1. 1) การออกแบบ การพัฒนา (Privacy by design) การทดสอบ และการบำรุงรักษาระบบการสนับสนุนการประกอบธุรกิจ ระบบงานที่เกี่ยวข้องกับการให้บริการ และ ระบบงานอื่น ๆ ให้มีความยืดหยุ่นและมั่นคงปลอดภัยต่อการใช้งาน สามารถป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการบุกรุกหรือภัยคุกคามได้
    2. 2) การกำหนดอำนาจหน้าที่ของผู้มีส่วนเกี่ยวข้องในทุกระดับตามหลักการควบคุม กำกับ และตรวจสอบ (3 lines of defense) เพื่อให้เอื้อต่อการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
    3. 3) การควบคุมการจัดเก็บและการเข้าถึงข้อมูลส่วนบุคคล โดยพิจารณาการบริหารจัดการสิทธิของผู้ใช้งานตามระดับความเสี่ยงและความจำเป็นในการใช้งานให้อยู่ในลักษณะเป็นปัจจุบัน รวมทั้ง การแบ่งแยกหน่วยงานตามหลัก Chinese wall เพื่อให้การเข้าถึงข้อมูลตามความจำเป็น
    4. 4) การทดสอบ การตรวจจับ และ การแก้ไขปัญหาการเข้าถึงข้อมูลส่วนบุคคลที่มีความผิดปกติ หรือ การนำข้อมูลส่วนบุคคลไปใช้อย่างไม่เหมาะสม รวมถึง การรายงานไปยังผู้บริหารกรณีที่มีการตรวจจับการเข้าถึงข้อมูลส่วนบุคคลที่ผิดปกติหรือการนำไปใช้อย่างไม่เหมาะสม
    5. 5) การกำหนด การเก็บรักษา การทำลาย และ การเข้ารหัสข้อมูลตามระดับของชั้นความลับ เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
    6. 6) การควบคุมดูแลและบริหารจัดการผู้ให้บริการภายนอก ตัวแทน ผู้ให้บริการสนับสนุนในการประกอบธุรกิจ รวมถึง พันธมิตรทางธุรกิจ ในการเข้าถึง ใช้ แก้ไข เปลี่ยนแปลงข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพและมั่นคงปลอดภัย
    7. 7) การสร้างและส่งเสริมความตระหนักรู้แก่พนักงานทุกระดับให้เข้าใจถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

    ในกรณีที่บริษัทฯ ได้ว่าจ้างหน่วยงานหรือบุคคลภายนอกให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล บริษัทฯ จะกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าว เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อการอื่นใดที่ไม่เป็นไปตามขอบเขตการว่าจ้าง หรือขัดต่อกฎหมาย

  10. ข้อมูลส่วนบุคคลที่อยู่ในสหภาพยุโรป/เขตเศรษฐกิจยุโรป (EU/EEA)

    กรณีที่มีการโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในสหภาพยุโรป/เขตเศรษฐกิจยุโรป มายังบริษัทฯ เพื่อความจำเป็นในการให้บริการนั้น บริษัทฯ จะดำเนินการเพื่อทำให้มั่นใจได้ว่าการโอนข้อมูลตามกรณีดังกล่าวเป็นไปอย่างสอดคล้องกับข้อกำหนดทั่วไปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (General Data Protection Regulation: GDPR) อาทิ การโอนข้อมูลภายใต้ ข้อสัญญามาตรฐาน (Standard Contractual Clauses) หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการ (Binding Corporate Rules: BCRs) นอกจากนี้ บริษัทฯ จะดำเนินการตามมาตรการที่เหมาะสมเพื่ออำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและการเยียวยาทางกฎหมายภายใต้ข้อกำหนดที่บังคับใช้

    ในกรณีที่เจ้าของข้อมูลส่วนบุคคลที่อยู่ในสหภาพยุโรป/เขตเศรษฐกิจยุโรปประสงค์จะยื่นคำร้องหรือขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนประสงค์จะร้องเรียนเมื่อพบประเด็นเกี่ยวกับการปฏิบัติตามกฎหมาย สามารถติดต่อไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ หรือตัวแทนที่อยู่ในสหภาพยุโรปตามรายละเอียดที่กำหนดในหัวข้อ 15 ช่องทางการติดต่อ หรืออาจดำเนินการร้องเรียนไปยังหน่วยงานบังคับใช้กฎหมายที่อยู่ในสหภาพยุโรป/เขตเศรษฐกิจยุโรปก็ได้

  11. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

    บริการของบริษัทฯ อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายของบริษัทฯ ดังนั้น เจ้าของข้อมูลส่วนบุคคลควรศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว ก่อนการเข้าใช้งาน ทั้งนี้ บริษัทฯ ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

  12. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

    บริษัทฯ อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัทฯ ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ อาทิ การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) ผู้ให้บริการคลาวด์ (Cloud Computing Service Provider) ผู้ให้บริการระบบเทคโนโลยีสารสนเทศ หรืองานสนับสนุนการให้บริการหรือการบริหารจัดการภายในของบริษัทฯ (เช่น การดำเนินการทางทะเบียนเกี่ยวกับรถยนต์ การติดตามทวงถามหนี้ การให้บริการด้านข้อมูลแก่ลูกค้า การจัดทำ Slip เงินเดือน การจัดทำแบบสำรวจความคิดเห็น การวิเคราะห์ข้อมูลของลูกค้า เป็นต้น)

    การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลแทนบริษัทฯ ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทฯ จะจัดให้มีข้อตกลงซึ่งระบุสิทธิและหน้าที่ระหว่างบริษัทฯ และบุคคลที่บริษัทฯ มอบหมาย โดยบุคคลดังกล่าวในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของบริษัทฯ เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

    ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคลนั้น บริษัทฯ จะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างบริษัทฯ กับผู้ประมวลผลข้อมูลส่วนบุคคล

  13. การทบทวนและปรับปรุงนโยบาย

    บริษัทฯ จะจัดให้มีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละหนึ่งครั้ง หรือเมื่อเกิดเหตุการณ์เปลี่ยนแปลงที่มีผลกระทบต่อนโยบายอย่างมีนัยสำคัญ

  14. ช่องทางการติดต่อ

    รายละเอียดผู้ควบคุมข้อมูลส่วนบุคคล

    1. ชื่อ: บริษัท โตโยต้า ลีสซิ่ง (ประเทศไทย) จำกัด (Toyota Leasing (Thailand) Co., Ltd.)
    2. สถานที่ติดต่อ: 990 อาคารอับดุลราฮิม ชั้น 18-19 ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพฯ 10500
    3. ช่องทางการติดต่อ: 1486
      Email: cs@tlt.co.th
      https://www.tlt.co.th
      ช่องทางติดต่อ หรือ รับข่าวสารอื่น ๆ: อาทิ LINE@ และ Facebook ของบริษัทฯ

    รายละเอียดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

    1. ชื่อ: คณะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    2. สถานที่ติดต่อ: 990 อาคารอับดุลราฮิม ชั้น 18-19 ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพฯ 10500
    3. ช่องทางการติดต่อ: 1486
      Email:

Latest update in May 2024

  1. Principles and objectives

    Toyota Leasing (Thailand) Company Limited (“the Company”) is committed to strengthen personal data protection in accordance with the Personal Data Protection Act B.E. 2562 and relevant laws and therefore introduces this Personal Data Protection Data Policy to ensure the Company’s compliance with laws and international standards on personal data protection. In addition, the Company has established rules for the protection of personal data of data subjects and has implemented effective and appropriate measures for addressing any violations of the rights of data subjects.

  2. Scope of enforcement and application

    The scope of enforcement and application of the Personal Data Protection Policy prepared in accordance with the Personal Data Protection Act B.E. 2562 and relevant laws covers all processing of personal data performed by the Company, as well as any person who comes into contact with personal data because it is related to the Company's operations and must therefore comply with this Personal Data Protection Policy and the legal framework, which is subject to the contractual clauses, rules, and terms of the Company’s services and products, e.g., websites, mobile applications, documents, or any other services under the control of the Company (“Services”).

    The categories of personal data, which are processed by the Company, will include the followings:

    1. 1) Customers who are a natural person.
    2. 2) Staffs, responsible officers, or employees.
    3. 3) Trading partners or service providers who are a natural person.
    4. 4) Directors, authorized persons, representatives, agents, shareholders, employees of a company, or any other persons who are related to a juristic person having business relationship with the Company.
    5. 5) Users of products or services of the Company.
    6. 6) Visitors or users of websites, mobile applications, devices of the Company, or any other communication channels that are controlled by the Company.
    7. 7) Persons whose personal data are collected by the Company such as job applicants, family members of the Company’s staffs, guarantors, beneficiaries of insurance policies.

    Item 1) to 7) will be referred to as “data subject”

    With respect to personal data collected prior to the introduction of the Personal Data Protection Act B.E. 2562, the Company is enabled to continue collecting and using the personal data for the initial purposes. Any disclosures and acts other than the collection and use of personal data must be in compliance with the Personal Data Protection Act B.E. 2562 and other relevant laws.

  3. Definitions

    “Personal Data Protection Policy” means the policy that the Company has established to make the data subject aware of the Company’s processing of data and a number of relevant issues as stipulated by the Personal Data Protection Act B.E. 2562 and relevant laws.

    “Personal Data” means any information relating to an identifiable person, either directly or indirectly, but excluding the information of a deceased person in particular.

    “Sensitive Data” means personal information relating to race, ethnicity, political opinion, belief, religion or philosophy, sexual orientation, criminal record, health information, disability, labour union information, genetic data, biological data, or any other data which may impact the data subject in a similar manner, as stipulated in the Personal Data Protection Committee’s announcements.

    “Processing” means the collection, use, or disclosure of personal data.

    “Data Subject” means an individual who is the owner of personal data.

    “Data Controller” means a person or juristic person with power and duties to make a decision regarding the collection, use or disclosure of personal data, including any references in data protection laws having or conveying the same or similar meaning as Data Controller.

    “Data Processor” means a person or juristic person who processes, collects, uses or discloses personal data in accordance with an order of or on behalf of the Data Controller, including any references in data protection laws having or conveying the same or similar meaning as Data Processor. The person or the juristic person engaging in those procedures is not the Data Controller.

    “Cookies” means small, temporary files collecting personal data that it is necessary to install on the computer of the data subject only for convenience and facilitation of communication while gaining access to a website.

  4. Personal Data Collection

    The Company’s collection of personal data (such as specific personal information, information related to personal life or personal interests, financial information, sensitive personal information, as necessary and permitted by law) is to be based on the following sources and principles:

    1. Sources of personal data
      The Company may receive personal data from the following channels:
      1. Collection from the data subjects, for example, collection of personal data from filling out personal information in application forms, either in paper form or online, responses to surveys conducted by the Company, recruitment process, the signing of contracts or documents, or the data subject’s communication with the Company via the specified channels.
      2. Collection from the data subjects who access or use websites, software, or applications under service agreements such as behavior tracking on websites, products, or services of the Company by using cookies technology or software on a data subject’s personal device.
      3. Collection from social media providers or third-party account providers where a data subject provides permission to share his/her personal data with the Company when linking his/her third-party account with the Company’s services. In this case, the personal data shared with the Company will be based on a data subject’s setting and third-party providers’ privacy policies.
      4. Collection from sources other than the data subjects, where the Company are eligible for collecting from such sources or is authorized by the data subject for the collection, for example, searches for personal data via a website, inquiries made by third parties, or the disclosure made by the affiliates, group companies, business partners or third parties of the Company for fulfilling the purposes as specified in this Privacy Policy. In these cases, the Company will notify data subjects of the personal data collection without delay, but not more than 30 (thirty) days from the date the Company collects personal data from such sources, and request consent to collect the personal data from the data subjects, except where exempted by law from the need to request consent from or notify the data subject.
      Examples of types or categories of personal data that the Company may collect are as follows:
    2. Type Description and Examples
      Specific Personal Information Title, name, identification number or passport number, nationality, information of household registration, information of driving license, signature, social security number, or any official documents identifying an identity of a person.
      Information Relating to Personal Characteristics Date of birth, gender, height, weight, marital status, status of military service, photograph, spoken language, information relating to a person who is declared bankrupt, quasi-incompetent or incompetent etc.
      Contact Information House phone number, mobile phone number, fax number, email, mailing address, social media account (an account of social media website/application, e.g., Line, Facebook, Apple, Google, or Microsoft) residential location etc.
      Information Relating to Educational Backgrounds and Work Experience Employment background, including work experience, and educational background, e.g., types of employment, profession, rank, position, role and responsibility, proficiency, status of professional license, information of referee, emergency contact person, tax identification number, professional appointment, employment history, salary information, start date and end date of employment, performance appraisal, welfare and benefits, properties possessed by an employee, career achievement, bank account number, educational institutions, academic degree, academic transcript, graduation date, information relating to workplace attendance and work attendance.
      Information Relating to Insurance Policies Details of an insurance policy, e.g., a name of an insurer, an insured person, and a beneficiary, insurance policy number, types of insurance policy, sum insured, claims history.
      Information Relating to Social Relation Details relating to the data subject’s social relationship, e.g., political status, political position, information relating to the conflict of interest with the Company.
      Information Relating to Service Access Details of a product or a service, e.g., user account, password, PIN code, OTP code, traffic data, location data, photograph, video recording, voice recording, behavioral data, search history, cookies or similar technologies, device ID, types of devices, connection information, browsing history, system language, operating system.
      Financial Information and Transaction History Financial information, information relating to financial performance, or financial records, e.g., savings account number, transaction records, credit history, income tax return form, pay slip, records of utility bill payment, information relating to the possession of assets or properties.
      Information Relating to Vehicles Information and details relating to vehicles and vehicle registration, e.g., license plate number, vehicle identification number (VIN), registration data, GPS data.
      Sensitive Personal Information Sensitive data, e.g., information on race, religion, disability, political opinion, criminal record, biometric data (such as facial recognition data, fingerprint data), health data.
      Others Data analysis relating to marketing statistics of data subjects, CCTV footage, conversations and communications by telephone or electronic equipment etc.
    3. Principles of personal data collection
      1. Legal bases for the collection of personal data

        The Company will apply the legal basis to the collection of personal data as appropriate and in accordance with the nature of service, contractual obligations as well as legal obligations. The principal legal bases on which the Company may rely are follows:

        Legal Basis for Processing Description
        Performance of Contract Allowing the Company to enter into an agreement with a data subject and to perform the party’s contractual obligations subject to the agreement, e.g., a lease agreement, a hire-purchase agreement, a loan agreement, a service agreement, an employment agreement, an agency agreement, a hire of work agreement, including as necessary for providing services by the Company, e.g., the facilitation of entering into an insurance agreement with an insurance company, or entering into an agreement with a buyer on the Company’s marketplace platform.
        Legal Obligation Allowing the Company to comply with applicable laws, e.g., Taxation Law, Law on Anti-Money Laundering, Organic Act on Anti-Corruption, Law on Credit Information Business, Law on Labor Protection, Law on Insurance, including complying with court orders.
        Legitimate Interests For any purposes that are of the Company’s legitimate interests and third parties, where the importance of such interests overrides the fundamental rights of a data subject and it is reasonably expected by a data subject, e.g., identity verification and identification process, the facilitation of service access, the offer of products and services classified in the same service types as being used by the customer, fraud prevention, security surveillance of the Company, the development and improvement of operational processes and internal workflows, the internal governance of the Company’s affiliates and group companies, including for the purpose of risk management, compliance and internal control, and organizational management.
        Prevention or Suppression of a Danger to Life, Body, or Health of a Person. Preventing or suppressing a danger to a data subject’s life, body, or health, e.g., the communication with an emergency contact person in case where a data subject is unconscious, the prevention of epidemic disease.
        Consent of a Data Subject Allowing the Company to collect, use, and disclose personal data for processing activities that require consent of the data subjects, and the Company has already informed them of the purposes of collection, usage, and disclosure prior to or at the moment of obtaining consent, e.g., for the purposes of offering and advertising services or products of the Company’s affiliates and group companies, target advertising, collecting sensitive data, which is not subject to the exception of law.

        The Company may consider relying on any legal bases for processing other than those prescribed above to the extent that it is lawfully permitted under the legal requirements.

      2. The Company will only collect personal data that is necessary for the operations of the Company. However, the purposes for which the Company processes personal data may differ by case, and can be exemplified as follows:
        Purpose of Processing Description
        To take steps at the request of the data subject prior to entering into a contract and to perform the contractual obligations between the Company and the data subject. Processing of personal data for the purposes of the access to the Company’s services or entering into an agreement with the Company, for example,
        • Entering into a lease or hire-purchase agreement of vehicle.
        • Using a product or service provided under the KINTO trademark/service mark.
        • Using the Toyota Wallet service.
        • Using e-commerce services such as Gurumalist, ShopSabuy.
        • Using insurance brokerage service of the Company.
        To identify and verify the identity of a person. Verification process of the data subject’s identity prior to accessing services or entering into contracts with the specified methods by the Company or identification process of identity for making transactions as well as verifying the validity of data subject’s signature.
        To provide answers to the customer's inquiries and to provide assistance to customers. Providing assistance to customers in relation to service access, e.g., providing information regarding the process of personal information update, payment methods, credit history, or submitting a request for exercising of the data subject’s rights or a request for complaint.
        To provide information regarding products, services, or marketing publicity. Offering customer products or services, special offers, benefits, and promotions by the Company, including offering products or services by its affiliates, group companies and business partners through the communication channels received from customers.
        To develop and improve products and services. Conduct of marketing research, marketing analysis, and the development of products or services of the Company and its affiliates and group companies for better response to the customers and suit their demands.
        To conduct data analytics. Conduct of data analytics for any interests under the lawful purposes, e.g., the development of products and services of the Company and its affiliates and group companies, organizational risk management, fraud prevention.
        To inspect and improve technology systems. Conduct of inspection and improvement of the Company’s technology systems in alignment with international standards and relevant regulations, e.g., the maintenance of security system, the inspection of technology systems, penetration test.
        To investigate and prevent the violation of law. Conduct of an investigation or any action to prevent any unlawful acts against the applicable law or any security breach having an impact to the Company and the data subjects.
        To comply with applicable laws relating to the Company’s operations. For the purposes of compliance with laws and regulations relating to the Company’s businesses, e.g., the remittance of withholding tax under the Revenue Code, the procedures of customer due diligence under the Anti-Money Laundering Law, regulations relating to insurance brokerage business, the Credit Information Business Law, the Debt Collection Law, the Consumer Protection Law.
        To provide information to government agencies as required by law or as requested by authority bodies. Providing and clarifying information to regulators and lawful authorities or government agencies related to the Company’s business, e.g., the National Anti-corruption Commission, the Royal Thai Police, the Anti-money Laundering office, the Bank of Thailand.
        For the interests of the internal management of organization. For the purposes of internal management within the organization in several matters, e.g., monitoring the compliance with the governance principles and code of conduct of the Company and its affiliates and group companies, organizational risk management, prevention of corruption and bribery in the organization.
        For the interests of human resource management. For the purposes of human resource management of the Company and its affiliates and group companies, e.g., recruitment process, criminal record check, wage and remuneration payment for employees, provision of employee’s welfare, appraisal of work performance or employee’s performance, review of employee’s performance, provision of insurance coverage to employees, prevention of infectious disease and epidemic disease, the compliance with the Occupational Safety, Health, and Environment Act, the compliance with the Civil Law on Partnerships and Companies.
        For the purposes of conducting transactions by the Company. For the purposes of conducting the transactions relating to the Company’s businesses, e.g., disposition of assets, procurement process, acquisition of business capital funds from domestic and overseas sources, securitization, the issuance of debt instruments, business transfer.
        For the purposes of establishment of legal rights and legal proceeding. For the purposes of dispute resolutions and judicial procedures, including the compliance with subpoenas, court orders, or arbitration awards.
      3. The Company will collect personal data only as long as necessary for the fulfilment of the purposes in accordance with applicable laws, with data subjects notified prior to or at the time of collection of personal data. The Company shall obtain explicit consent from data subjects prior to or at the time of collection of personal data, except where the applicable law allows the Company to collect personal data without requesting consent.
      4. In case where it is necessary for the data subject to provide the Personal Data for the purpose of the compliance with applicable law or the performance of contract, or it is necessary for entering into the contract or any other purposes, a refusal of presenting the Personal Data may affect a transaction or any other activities relating to the data subject being suspended or ceased as required by business operation or laws, unless the data subject provides such data to the Company. In this case, the Company is no longer capable of carrying out such processing activity or is not lawfully permitted under the applicable to conduct the transaction or such activity.
      5. For the processing that requires consent, if the data subject decides not to provide it, no process of personal data will be carried out. The refusal to provide the consent will have no consequence on the subscription and execution of the contract between the data subject and the Company, nor will there be any negative consequence against the data subject, except where it is required by law to merely obtain consent for the processing activity. Moreover, the consent provided may be withdrawn at any time as easily as it was given. The withdrawal of consent shall not affect, in any case, the lawfulness of the processing carried out until that moment.
      6. When collecting sensitive personal data, if it is not subject to the exceptions of law, the Company will obtain explicit consent from data subjects prior to or at the time of collection, in accordance with the Company's rules and in compliance with applicable laws. A data subject’s refusal to provide a consent may give rise to the restriction on access to certain services, which cannot rely on any other lawful basis than obtaining an explicit consent for processing of sensitive personal data.
      7. Personal data of minors, incompetent persons, and quasi-incompetent persons
        When collecting personal data of a minor, incompetent person, or quasi-incompetent person which requires consent, the Company will not carry out any processing of such person’s personal data, unless consented by the guardian who legally acts on behalf of the minor, incompetent person, or quasi-incompetent person, as the case may be, to the extent that it is permitted by the requirements of applicable law.

        If the Company is not knowingly aware that the data subject is the minor, incompetent person, or quasi-incompetent person, and it is found later that the collection of personal data has proceeded without legally obtaining consent form the guardian of such person, the Company will destroy or erase such personal data without delay, provided that there is no longer any other legitimate ground to rely on than the consent for data processing.
  5. Use and disclosure of personal data
    1. Core principles

      The use and disclosure of personal data by the Company shall be in compliance with the purposes and principles stated in Section 4.2 Principles of personal data collection. The Company may disclose personal data to agencies or third parties with the consent of the data subjects only to the extent that it is necessary to do so, unless such disclosure is permitted by law. Personal data may be disclosed to third parties, organizations or government agencies as follows:

      1. 1) Affiliates or group companies
      2. 2) Contractual parties, service providers and business partners of the Company such as companies in the automotive manufacturing industry, companies in the finance and banking industry, companies in the insurance industry, technology service providers, e-commerce companies, and vehicle rental companies.
      3. 3) Distributors or vehicle dealers
      4. 4) Agencies responsible for credit information
      5. 5) Banks
      6. 6) Government agencies with legal authority such as the Anti-Money Laundering Office, the Office of the National Anti-Corruption Commission, the Office of the Narcotics Control Board, the Office of the Consumer Protection Board, the Office of Insurance Commission the Social Security Office, the Revenue Department, the Legal Execution Department, and courts
      7. 7) Other agencies or organizations who are or may be involved in the business operations of the Company, such as the Bank of Thailand

      For the further details regarding the list of the Company’s affiliates and group companies, business partners, and third parties to which data subject’s personal data may be disclosed, please click here

    2. Cookies

      The Company may use cookies or other similar technologies to collect personal data on the websites operated by the Company or on the operating system of the data subject’s device for the purposes of safety and security of the Company’s services and facilitating the customer in using the Company’s services with better experience. In this case, personal data collected from the data subject will be used for the improvement of the Company’s websites to align with the customer’s needs. The data subjects are able to adjust the cookies setting or turn off the use of cookies on their web browser’s settings. For further details, please read the Cookies Policy

  6. Period for personal data retention

    The duration for which the Company stores personal data will be either one of the following:

    1. Personal data will be kept for the periods stipulated by laws specifically relevant to retention of personal data such as the Accounting Act B.E. 2543 (2000), Anti-Money Laundering Act, B.E. 2542 (1999), Act on Commission of Offences Relating to Computer, B.E. 2550 (2007) and the Revenue Code.
    2. In cases where the retention period for personal data is not specified by relevant laws, the Company will determine the period necessary and appropriate for its operations.

    At the end of such period or when the processing is no longer necessary, the Company shall delete, destroy, or anonymize the personal data.

  7. Transmission or transfer of personal data to other countries

    The Company may transfer or transmit personal data collected from data subjects to its affiliates, group companies, or service providers located outside Thailand, e.g., the cloud computing servicers having servers located abroad (Singapore or Japan etc.), data processors, and Platform-as-a -Service providers (PaaS providers), for the purposes as stated in this Privacy Policy. In this regard, the Company will ensure that the destination country has sufficient personal data protection standards and the data subject’s rights are enforceable, and the Company shall arrange to have in place an adequate measure to ensure the security of such personal data transmission or transfer.

    However, in cases where the destination country does not have sufficient personal data protection standards, The Company will take appropriate measures to ensure that the transmission or transfer of such personal data will be proceeded with sufficient and appropriate safeguards pursuant to the Personal Data Protection Act B.E. 2562 and relevant laws.

    In all cases of cross-border data transmission or transfer, the Company shall notify the data subject and take the following actions.

    1. 1) Cross-border data transmission or transfer must comply with lawful objectives notified to the data subject before or when the data is being collected.
    2. 2) Personal data shall be collected to such extent as necessary subject to the lawful objectives and shall not be kept longer than that required by the objectives or laws.
    3. 3) There must be an appropriate measure to ensure that the personal data is correct, complete, and current.
    4. 4) The data subject’s legal rights must not be limited and there must be channels for the data subject to exercise its rights, as well as a process to manage such matters.
    5. 5) There must be adequate personal data security measures.
    6. 6) Cross-border data transmission or transfer must be documented and stored.
    7. 7) Such actions must be taken under the legal framework and rules relating to personal data protection.
  8. Rights of Data subjects

    This policy is established to assure data subjects that they can exercise the following rights available to them under the Personal Data Protection Act, B.E.2562 (2019) and relevant laws:

    1. 1) Right to withdraw consent: The data subjects have the right to withdraw their consent for the processing of personal data that they have given to the Company throughout the period in which the personal data is kept by the Company.
    2. 2) Right of access: The data subjects have the right to access their personal data and request the Company to make a copy of such data, including the right to ask the Company to disclose any acquisitions of their personal data for which consent has not been given.
    3. 3) Right to rectification: The data subjects have the right to request the Company to rectify incorrect or incomplete data.
    4. 4) Right to erasure: The data subjects have the right to request the Company to delete their personal data for certain reasons.
    5. 5) Right to restriction of processing: The data subjects have the right to request the Company to restrict the use of their personal data for certain reasons.
    6. 6) Right to data portability: The data subjects have the right to transfer personal data that they have provided to the Company to other Data Controllers or themselves for certain reasons.
    7. 7) Right to object: The data subjects have the right to object to the processing of their personal data for certain reasons.

    However, the Company may refuse the exercise of the above rights by the data subjects, provided that the rejection is in accordance with the Company’s rules that are not in violation of the law.

    The data subject is entitled to exercise the above rights by sending a request to the Company through the contact channels. The Company will respond to the data subject’s request not later than 30 (thirty) days as from the date of receiving the request. In the event that the Company rejects a request, it will notify the data subject of the reason for the rejection.

    The data subject has the right to file a complaint to the supervisory authority in case where the Data Controller or the Data Processor, including its employees or service providers violates the Personal Data Protection Act B.E. 2562, or relevant laws.

  9. Personal data security

    The Company has established appropriate personal data security measures according to the framework for maintaining the confidentiality of systems and information (Confidentiality), the accuracy and reliability of systems and data (Integrity), and the readiness of information technology. (Availability) including system and data security (Safety) to prevent the loss of, unauthorized and unlawful access to, and the use, modification, correction or disclosure of personal data in accordance with the Company's policies and procedures and work system of information security which has considered the following issues

    1. 1) Design, development (Privacy by design), testing, and maintenance of business support systems, work systems related to service provision and other work systems are flexible and stable and safe for use in order to prevent risks that may arise from intrusion or threats.
    2. 2) Determining the authority and duties of personnel involved at all levels according to the principles of control, supervision, and inspection (3 lines of defense) in order to facilitate the maintenance of the security of personal data.
    3. 3) Controlling storage and access to personal data whereby considering the management of user rights according to the level of risk and necessity of use in an up-to-date information, including separating departments pursuant to Roles and Responsibility to restrict information access as necessity to complete their duty of such departments only.
    4. 4) Testing, detecting, and resolving problems of abnormal access to personal data or inappropriate use of personal data, including reporting to company top management in cases where access to personal data is detected or abnormal persons or improper use.
    5. 5) Determination, preservation, destruction, and encryption of data according to the level of confidentiality in order to maintain the security of personal data.
    6. 6) Controlling and managing external service providers, agents, business support service providers, including business partners to access, use, edit, and change personal data efficiently and securely.
    7. 7) Raising and promoting awareness for employees at all levels to understand the importance of maintaining the security of personal data.

    In case where the Company has engaged an agency or a third party to perform work related to the collection, use or disclosure of personal data of the data subjects, it will require the agency or the third party to keep the personal data confidential and secure, and to prevent the collection, use or disclosure of such personal data for any purposes other than specified in the scope of engagement or for any unlawful purposes.

  10. EU/EEA personal data

    If there is the transfer of personal data relating to data subjects in the European Union or European Economic Area (“EU/EEA”) to the Company for which it is necessary to perform the Company’s services, the Company will ensure that such a transfer will be compliant with the General Data Protection Regulation (“GDPR”), e.g., the transfer of personal data under the Standard Contract Clause (SCCs) or the Binding Corporate Rules (BCRs). Additionally, the Company will take appropriate measures to facilitate the exercise of data subject’ rights and effective legal remedies under the applicable regulations.

    In case of making a request for exercising the data subject’s rights or lodging a complaint in relation to a compliance issue, the data subject in the EU/EEA can contact the Company’s data protection officer or the EU representative as specified in Section 15 Contact information or may lodge a complaint to the competent supervisory authority in EU/EEA.

  11. Linking to third parties’ websites or services

    The Company’s services may be linked to third parties’ websites or services, where the terms of privacy policy will be different from the Privacy Policy of the Company. Therefore, the data subject must read and study the privacy policy of such website or service prior to any access. The Company will not be involved in or have any authorization to control the privacy policy of third party’s website or service and will not be responsible for any content, damage, or action as a result of accessing to such website or service.

  12. Third-party servicers or sub-servicers

    The Company may delegate or engage a third party (as a data processor) to process personal data on the Company’s behalf, where the services performed by such third party may vary in types, e.g., hosting services, outsourcing services, cloud computing services, IT system services, support services, or internal management services (such as the operational process relating to vehicle registration, debt collection, customer information service, payroll management, conduct of surveys, customer data analysis)

    Any delegation to a third party for processing personal data on the Company’s behalf, as the data processor, the Company will require such third party to enter into an agreement specifying the obligations and duties of the contract parties. Thus, the third party will act as the data processor which carries out processing activities of personal data only under the Company’s instruction and is not allowed to proceed further than the authorized scope of such agreement with the Company.

    In case where the data processor delegates any sub-servicer (as a sub data processor) to perform the processing activities on the data sub processor’s behalf, the Company will take appropriate steps to require the data processor to execute the legal arrangement with such sub data processor in which the requirements and standards must not be less than those prescribed in the agreement between the Company and the data processor.

  13. Policy review and improvement

    The Company shall review and update this policy at least once a year, or when any change with a significant impact on the policy occurs.

  14. Contact information

    Details of Data Controller

    1. Name: Toyota Leasing (Thailand) Co., Ltd.
    2. Address: No. 990, 18th, 19th Fl. Abdulrahim Building, Rama 4 Road, Silom, Bangrak, Bangkok 10500
    3. Channels of contact: 1486
      Email: cs@tlt.co.th
      https://www.tlt.co.th
      Other channels for contact or news updates include LINE, Facebook

    Details of Data Protection Officer

    1. Name: Group of Data Protection Officer
    2. Address: No. 990, 18th, 19th Fl. Abdulrahim Building, Rama 4 Road, Silom, Bangrak, Bangkok 10500
    3. Channels of contact: 1486
      Email: