ด้วยคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย กำหนดให้บริษัทเจ้าพระยาประกันภัย จำกัด (มหาชน) ต้องจัดทำแนวนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล เพื่อให้การทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานมีความมั่นคงปลอดภัย ความน่าเชื่อถือ และมีการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือว่าเป็นสิ่งที่สำคัญยิ่ง บริษัทฯ จึงออกประกาศไว้ดังต่อไปนี้

การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

   บริษัทจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม และจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการ เท่าที่จำเป็นแก่การให้บริการธุรกรรมทางอิเล็กทรอนิกส์ตามวัตถุประสงค์ในการดำเนินงานของบริษัท ตามที่กฎหมายกำหนดเท่านั้น และบริษัทจะขอความยินยอมจากผู้ใช้บริการก่อนทำการเก็บรวบรวม เว้นแต่กรณีที่กฎหมายกำหนด และ/หรือ ในกรณีอื่น ๆ ตามที่กำหนดไว้ในนโยบายฉบับนี้

คุณภาพของข้อมูลส่วนบุคคล

   บริษัทมีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อนำไปใช้ประโยชน์ต่อการดำเนินงานตามภารกิจของบริษัท โดยเป็นไปตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานของบริษัทตามที่กฎหมายกำหนด ซึ่งบริษัทจะให้ความสำคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูลที่จัดเก็บ

การระบุวัตถุประสงค์ในการเก็บรวบรวม

   บริษัทมีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลเพื่อประมวลผล และแสดงข้อมูล เพื่อใช้ในการดำเนินธุรกิจ ทั้งนี้ หากภายหลังบริษัทมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล บริษัทจะแจ้งให้ผู้ใช้บริการทราบ พร้อมนี้ บริษัทได้กำหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย

ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้

   บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวมไว้ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือกรณีที่เป็นไปตามกฎหมายหรือคำสั่งศาล

การรักษาความมั่นคงปลอดภัย

   บริษัทมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การทำลาย การใช้ การแปลง การแก้ไข หรือ การเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบหรือไม่ได้รับอนุญาต โดยสอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศของบริษัทตามประกาศบริษัท เรื่อง นโยบายความมั่นคงปลอดภัยสารสนเทศ ของบริษัทซึ่งครอบคลุมถึง

   -การสำรองและทดสอบข้อมูลเพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย ประกอบด้วย ข้อมูลที่สำรอง ความถี่ในการสำรอง สื่อที่ใช้ สถานที่เก็บ วิธีการเก็บรักษา และการนำไปใช้งาน

   -การป้องกันมัลแวร์เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย

   -การจัดระดับชั้นความลับ เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบ

   -การกำหนดวิธีรับส่ง ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลตามระดับชั้นความลับ

   -การแยกระบบที่มีข้อมูลส่วนบุคคลที่สำคัญออกจากระบบอื่นๆรวมทั้งมีมาตรการในการควบคุมการเข้าถึงระบบปฏิบัติการ และระบบเครือข่าย

   -การกำหนดมาตรการในการทำลายข้อมูลและสื่อบันทึกข้อมูลทั้งชนิดถาวรและการนำกลับมาใช้ใหม่รอบความถี่ และผู้รับผิดชอบ เพื่อป้องกันการทำลายข้อมูลส่วนบุคคลโดยมิชอบ และเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่มีการใช้งานจะได้รับการทำลายอย่างปลอดภัย ไม่สามารถนำกลับมาใช้งานได้อีก

   -การกำหนดขั้นตอนในการลงทะเบียน การยืนยันตัวบุคคลตามรหัสผ่านที่ได้รับอนุญาตและการควบคุมสิทธิในการเข้าถึงข้อมูลเท่าที่จำเป็น เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลโดยมิชอบ

   -จำกัดการแก้ไขข้อมูลส่วนบุคคลเท่าที่จำเป็น และกำหนดผู้ที่ทำหน้าที่ในการแก้ไขข้อมูลส่วนบุคคล เพื่อป้องการแปลงและแก้ไขข้อมูลส่วนบุคคลโดยมิชอบ

   -กำหนดมาตรการในการแลกเปลี่ยนข้อมูลกับหน่วยงานทั้งภายในและภายนอกหน่วยงานและการกำหนดสัญญาในการรักษาความลับของข้อมูล เพื่อป้องกันการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

การมีส่วนร่วมของเจ้าของข้อมูล

   บริษัทจะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดยแจ้งความจำนงและกรอกแบบคำร้องขอดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของบริษัททั้งนี้ บริษัทจะดำเนินการให้แล้วเสร็จภายในระยะเวลา 30 วัน ทั้งนี้ หากระบบบริการใดมีค่าใช้จ่ายในการดำเนินการ จะแจ้งให้เจ้าของข้อมูลทราบก่อนดำเนินการ ในกรณีที่ไม่สามารถดำเนินการตามที่เจ้าของข้อมูลร้องขอข้างต้น ผู้ควบคุมข้อมูลของบริษัทจะดำเนินการแจ้งเหตุผลให้เจ้าของข้อมูลทราบ อีกทั้งบอกกล่าวให้เจ้าของข้อมูลทราบถึงสิทธิในการโต้แย้งการไม่ปฏิบัติตามคำร้องขอดังกล่าว โดยเจ้าของข้อมูลมีสิทธิที่จะขอให้ผู้ควบคุมข้อมูลทำการลบ แก้ไข ปรับปรุง หรือทำให้ข้อมูลมีความสมบูรณ์ โดยบริษัทจะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย

ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล

   บริษัทกำหนดให้เจ้าหน้าที่ซึ่งมีหน้าที่รับผิดชอบในการดูแล การจัดเก็บ การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลของผู้ใช้บริการ ต้องปฏิบัติตามแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามประกาศบริษัทเรื่องนโยบายการคุ้มครองข้อมูลส่วนบุคคล อย่างเคร่งครัด