นโยบายคุ้มครองข้อมูลส่วนบุคคลของกรมประชาสัมพันธ์
ปรับปรุง เดือนพฤษภาคม พ.ศ.2565
โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดหลักเกณฑ์ กลไก
หรือมาตรการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กำหนดให้หน่วยงานและองค์กรโดยทั่วไป
ต้องดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้งาน และเผยแพร่ ดังนั้น
เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของกรมประชาสัมพันธ์สอดคล้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ
ตลอดจนสร้างความเชื่อมั่นแก่เจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้งาน และเผยแพร่
กรมประชาสัมพันธ์จึงประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล
เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคลลไว้ ดังนี้
1. นโยบายนี้ให้ใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
2. ในนโยบายนี้
“กปส.” หมายถึง กรมประชาสัมพันธ์
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้
ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์
เลขบัตรประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี
เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล (email address) ทะเบียนรถยนต์ IP Address, Cookies, Log
File
เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล
และให้หมายรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
รวมตลอดทั้งผู้ที่ถือว่าเป็นเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งขึ้น
โดยมีหน้าที่และอำนาจกำกับดูแล ออกหลักเกณฑ์ มาตรการ
หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล
(อันจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะใดลักษณะหนึ่งได้) เช่น การจัดเก็บ รวบรวม
การบันทึก การจัดระบบ จัดโครงสร้าง การปรับปรุงหรือการแก้ไขข้อมูล การดึงข้อมูล
การให้คำปรึกษาที่ต้องใช้ข้อมูลในการให้คำปรึกษา การใช้ข้อมูล การเปิดเผยด้วยการส่งต่อ การเผยแพร่ หรือ
การกระทำใด ๆ เพื่อให้ข้อมูลสามารถเข้าถึงหรือใช้งานได้ การรวมข้อมูลเข้าด้วยกัน
การดำเนินการเพื่อให้ข้อมูลสอดคล้องกัน การจำกัดการใช้งาน การลบ หรือการทำลายข้อมูล
3. นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. เป็นดังนี้
3.1 ข้อมูลที่มีการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
กปส. จะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นและอย่างจำกัดต่อการปฏิบัติงานตามภารกิจของ กปส.
เท่านั้น ซึ่งประกอบด้วย ข้อมูลคณะกรรมการ คณะอนุกรรมการ ที่ปรึกษา เจ้าหน้าที่ ลูกจ้าง
ผู้ให้บริการภายนอก
ผู้ร่วมทุน/ผู้ร่วมธุรกิจ ผู้รับทุน ผู้ติดต่อ/ผู้ประสานงาน ข้อมูลชื่อผู้ใช้งานระบบสารสนเทศ
ข้อมูลจราจรทางคอมพิวเตอร์ และข้อมูลภาพเคลื่อนไหวจากการบันทึกกล้องวงจรปิดในบริเวณพื้นที่ของ กปส.
3.2 แหล่งที่มาของข้อมูลการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลโดย กปส. นั้น
อาจเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลโดยตรงกับ กปส. หรืออาจเป็นในกรณีที่ กปส.
ได้รับข้อมูลส่วนบุคคล จากแหล่งอื่น เช่น การเก็บรวบรวมมาจากการจัดกิจกรรมของ กปส.
การจัดกิจกรรมร่วมกับหน่วยงาน อื่น ๆ ซึ่งเป็นผู้รวบรวมข้อมูลหรือร่วมกันรวบรวมข้อมูล เป็นต้น
กปส. เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูล ดังต่อไปนี้
3.2.1 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
ในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนาม
ในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดย กปส.
หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับ กปส. ณ ที่ทำการ
หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย กปส. เป็นต้น
3.2.2 ข้อมูลที่ กปส. เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์
ผลิตภัณฑ์หรือบริการอื่น
ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของ กปส.
ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
3.2.3 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูล ส่วนบุคคล
โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมาย
หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ กปส. เช่น
การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐ
ในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูล
ส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ กปส.
มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลาง เพื่อสนับสนุนการดำเนินการ
ของหน่วยงานรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงความจำเป็น
เพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ กปส. ดังนี้
ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ
ตามแต่กรณีให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับ
ความยินยอมในการเปิดเผยข้อมูลแก่ กปส.
ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของ กปส.
อาจเป็นผลให้ กปส. ไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
3.3 วัตถุประสงค์ของการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
กปส. จะจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อปฏิบัติงานตามภารกิจของ กปส.
เพื่อปฏิบัติหน้าที่ตามสัญญา เพื่อพิสูจน์และยืนยันตัวตน เพื่อติดต่อสื่อสารและประสานงาน
เพื่อให้เงินเดือน
เงินชดเชย และสิทธิประโยชน์ของเจ้าหน้าที่ เพื่อปฏิบัติตามกฎหมาย
และเพื่อติดตามตรวจสอบเกี่ยวกับความปลอดภัยทั้งนี้ กปส. ได้แจ้งวัตถุประสงค์ของการจัดเก็บ
และประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมโดยชัดแจ้งแก่ กปส. ก่อนหรือในขณะประมวลผลข้อมูลส่วนบุคคล
หรือตามที่กฎหมายให้สิทธิ กปส. สามารถประมวลผลข้อมูลส่วนบุคคลได้
โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ต้องให้ความยินยอม
3.4 ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
กปส. พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตาม
ความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล ที่ กปส. ใช้
ประกอบด้วย
ฐานกฎหมายในการเก็บรวบรวมข้อมูล |
รายละเอียด |
เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐที่ กปส. ได้รับ
|
เพื่อให้ กปส. สามารถใช้อำนาจรัฐและดำเนินภารกิจ เพื่อประโยชน์สาธารณะตามพันธกิจ กปส.
ซึ่งกำหนดไว้ตามกฎหมาย เช่น
- พ.ร.บ. จัดตั้งกระทรวงและกรม พ.ศ. 2476
- พ.ร.บ. ปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545
- พ.ร.บ. การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล
พ.ศ. 2562
รวมถึง กฎ ระเบียบ คำสั่งและมติคณะรัฐมนตรีที่เกี่ยวข้อง
|
เพื่อการปฏิบัติหน้าที่ตามกฎหมาย |
เพื่อให้ กปส. สามารถปฏิบัติตามที่กฎหมายที่ควบคุม กปส. เช่น
- การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.ว่าด้วย
การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560
- พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540
- พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
- พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545
- พ.ร.บ. สุขภาพแห่งชาติ พ.ศ. 2550
- พ.ร.บ. กสทช. พ.ศ. 2553 รวมถึง การดำเนินการตามคำสั่งศาล
|
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย |
เพื่อประโยชน์โดยชอบด้วยกฎหมายของ กปส. และของบุคคลอื่น
ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
เช่น เพื่อการรักษาความปลอดภัย อาคารสถานที่ของ กปส. หรือการประมวลผลข้อมูลส่วนบุคคล
เพื่อกิจการภายในของ กปส. เป็นต้น |
เป็นการจำเป็น เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย
หรือสุขภาพของบุคคล |
เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชัน
เพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น |
เพื่อการปฏิบัติตามสัญญา |
เพื่อให้ กปส. สามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญา
ซึ่งท่านเป็นคู่สัญญากับ กปส. เช่น การจ้างงาน จ้างทำของ
การทำบันทึกข้อตกลงความร่วมมือหรือสัญญา
ในรูปแบบอื่น เป็นต้น
|
เพื่อการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญ |
เพื่อให้ กปส. สามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัย หรือสถิติ ตามที่ กปส.
อาจได้รับมอบหมาย เช่น การจัดทำทำเนียบผู้ดำรงตำแหน่งผู้อำนวยการ หรือคณะกรรมการ
การจัดทำสถิติการใช้บริการดิจิทัลภาครัฐ งานติดตามการดำเนินนโยบายรัฐบาลดิจิทัล เป็นต้น
|
ความยินยอมของท่าน |
เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่ กปส.
จำเป็นต้องได้รับความยินยอมจากท่าน โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้งาน
หรือเปิดเผยข้อมูลส่วนบุคคล ก่อนการขอ ความยินยอมแล้ว เช่น
การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา 24 หรือ 26
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ การนำเสนอ
ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจแก่ท่าน เป็นต้น
|
3.5 ระยะเวลาในการจัดเก็บข้อมูล และประมวลผลข้อมูลส่วนบุคคล
กปส.
จะจัดเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเป็นระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะ
เก็บรวบรวมข้อมูลส่วนบุคคล หลักเกณฑ์ที่ใช้กำหนดระยะเวลาจัดเก็บ คือระยะเวลาที่ กปส.
ได้ดำเนินความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และให้บริการแก่เจ้าของข้อมูลส่วนบุคคล
และอาจจัดเก็บต่อไป ตามระยะเวลาที่จำเป็น เพื่อการปฏิบัติตามกฎหมาย หรือตามอายุความทางกฎหมาย
เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย
ทั้งนี้เมื่อพ้นระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล กปส. จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
หรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อหมดความจำเป็น
หรือสิ้นสุดตามระยะเวลาที่กำหนด
3.6 การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กปส. จะใช้และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้
ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยอาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นและจำกัด
ให้แก่หน่วยงานกำกับดูแล ผู้ตรวจสอบภายนอก และหน่วยงานทางกฎหมายหรือหน่วยงานอื่น ๆ
ตามกระบวนการทางกฎหมาย รวมถึงอาจมีการเปิดเผยข้อมูลตามข้อบังคับทางกฎหมาย หรือปฏิบัติตามคำสั่งทางกฎหมาย
3.7 สิทธิของเจ้าของข้อมูลส่วนบุคคล
กปส. ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล ให้มีสิทธิตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ดังต่อไปนี้
3.7.1 สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับ กปส.
ทั้งนี้เฉพาะกรณีที่เจ้าของข้อมูลส่วนบุคคลได้เคยให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลไว้กับ กปส.
โดย กปส. จะหยุด
การประมวลผลข้อมูลส่วนบุคคลนั้น และหากพิจารณาแล้วว่าไม่มีความจำเป็นหรือไม่มีฐานโดยชอบด้วยกฎหมายอื่น ๆ
ที่จะประมวลผลข้อมูลส่วนบุคคลนั้น กปส. จะลบหรือทำลายข้อมูลส่วนบุคคคล
หรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตน ของเจ้าของข้อมูลส่วนบุคคลนั้นได้
3.7.2 สิทธิในการขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล และสิทธิในการร้องขอ
ให้เปิดเผยการได้มาของข้อมูลส่วนบุคคล โดยไม่กระทบต่อสิทธิเสรีภาพของบุคคลอื่น
3.7.3 สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล ให้แก่ผู้ควบคุมข้อมูลรายอื่น
ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป
3.7.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเมื่อใดก็ได้
3.7.5 สิทธิในการร้องขอให้ กปส. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูล
ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
3.7.6 สิทธิในการขอให้ กปส. ระงับการใช้ข้อมูลส่วนบุคคลได้
3.7.7 สิทธิในการร้องขอให้ กปส. ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์
และไม่ก่อให้เกิดความเข้าใจผิด
3.7.8 สิทธิในการร้องเรียน กรณีที่ กปส. หรือเจ้าหน้าที่ หรือผู้รับจ้างของ กปส. ฝ่าฝืน
หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่
กปส. ได้ดำเนินการไปแล้วโดยชอบก่อนการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ดี กปส.
อาจพิจารณาไม่ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีข้อยกเว้น ตามกฎหมาย หรือสัญญา
เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการประมวลผล หรือเป็นการปฏิบัติตามคำสั่งศาล หรือหาก
กปส.
ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
โดย กปส.จะดำเนินการบันทึกคำร้องขอ ตรวจสอบ และตอบกลับคำร้องขอ ภายในระยะเวลาอันสมควร
3.8 มาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
3.8.1 กปส. จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล อย่างเหมาะสม
เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคล
โดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งสอดคล้องกับการดำเนินงานของ กปส. และมาตรฐานที่รับรองโดยทั่วไป
รวมถึงการกำหนดให้เจ้าหน้าที่ของ กปส.
เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล ในการนี้
กปส. จะมีการสอบทานและปรับปรุงมาตรการดังกล่าวตามความจำเป็น
เพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานและกฎหมายที่เกี่ยวข้อง
3.8.2 กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลส่วนบุคคลอย่างปลอดภัย
และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ กปส. ดำเนินการมีดังนี้
3.8.2.1 กำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อการคุ้มครอง ข้อมูลส่วนบุคคล
3.8.2.2 จำกัดสิทธิของเจ้าหน้าที่ของ กปส. ในการเข้าถึงข้อมูลส่วนบุคคล
3.8.2.3 ป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตน
และเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็นตามมาตรฐานสากล
3.8.2.4 กำหนดให้คู่ค้าที่ทำธุรกิจกับกปส. มีหน้าที่ในการรักษาความลับ และต้อง ปฏิบัติตามหลักเกณฑ์
ตามกฎหมายและระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
รวมถึงกำหนดข้อจำกัดการใช้ข้อมูลส่วนบุคคลในสัญญาที่องค์กร ทำกับคู่ค้าแต่ละราย
3.8.2.5 ประเมินผลการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษา
ความมั่นคงปลอดภัยของข้อมูลของ กปส. อย่างสม่ำเสมอ
3.9 คุกกี้
กปส. เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้
ความดูแลของ กปส. เช่น www.prd.go.th หรือบนอุปกรณ์ของท่านตามแต่บริการที่ท่านใช้งาน
ทั้งนี้เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของ กปส.
และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวก และประสบการณ์ที่ดี ในการใช้งานบริการของ กปส.
และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของ กปส. ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น
โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser)
ของท่านโดยนโยบายคุกกี้ (Cookies Policy)
3.10 ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ
กรณีที่ กปส. ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม
เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ กปส.
จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
จนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล
หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
กรณีที่ กปส. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์
คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า กปส.
ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ กปส. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก
กปส. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่น นอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้งาน
หรือเปิดเผยข้อมูลดังกล่าว
3.11 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณี กปส.
อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน
เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server)
อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา
เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ กปส.
ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้
เมื่อ กปส. มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง กปส.
จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล
หรือดำเนินการตามเงื่อนไข เพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
3.11.1 เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ กปส. ต้องส่งหรือโอนข้อมูล ส่วนบุคคลไปต่างประเทศ
3.11.2 ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่าน ในกรณีที่ประเทศ
ปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตาม
ประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศ กำหนด
3.11.3 เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ กปส. หรือ
เป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
3.11.4 เป็นการกระทำตามสัญญาของ กปส. กับบุคคลหรือนิติบุคคลอื่น เพื่อ ประโยชน์ของท่าน
3.11.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น
เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
3.11.6 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
3.12 การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของ กปส. อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม
ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้
กปส. ขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ
เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กปส.
ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา
นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
3.13 สิทธิของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ
ทั้งนี้ สิทธิดังกล่าวจะเริ่มมีผลบังคับใช้เมื่อกฎหมายในส่วนของสิทธินี้มีผลใช้บังคับ โดย กปส.
ได้ดำเนินการกำหนดสิทธิและชี้แจงรายละเอียดของสิทธิต่าง ๆ
อ้างอิงตามแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (Privacy Guideline)
3.14 การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล
กปส. มีนโยบายในการพัฒนาและทบทวนมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอยู่เสมอ
เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเป็นไปตามหลักธรรมาภิบาลและกฎหมายที่เกี่ยวข้อง
กปส. จึงอาจปรับปรุงหรือแก้ไขนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง
หรือเมื่อมีการเปลี่ยนแปลงกฎหมายที่สำคัญ โดยองค์กรจะประกาศไว้ที่เว็บไซต์ของกปส. และ/หรือช่องทางอื่น ๆ
ตามที่กปส. เห็นสมควร กปส. จึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายของ กปส.
ทุกครั้งที่มีการปรับปรุง เปลี่ยนแปลง หรือแก้ไข
3.15 การติดต่อกับกรมประชาสัมพันธ์
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย มีข้อเสนอแนะ ต้องการร้องขอ ร้องเรียน
หรือพบปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อเพื่อแจ้งให้ กปส.
ได้รับทราบตามที่อยู่ด้านล่างนี้
ที่อยู่: เลขที่ 9 กรมประชาสัมพันธ์ ถนนพระราม 6 ซอยพระรามหก ซอย 30 แขวงพญาไท เขตพญาไท
กรุงเทพ 10400 โทรศัพท์: 02 618 2323 E-mail: pdpa@prd.go.th
ทั้งนี้ กปส. ได้มีการดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :
DPO) เพื่อตรวจสอบการดำเนินงานของหน่วยงานภายใน
และผู้ให้บริการภายนอกที่ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลให้แก่องค์กร
ให้ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้องอื่น ๆ