โครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัตติามกฎหมายคุ้มครองข้อมูลส่วนบุคคล(GovernmentPlatform for PDPA Compliance : GPPC) ดําเนินการโดย บริษัท แอ็ดวานซ์ อินฟอร์เมชั่น เทคโนโลยี จํากดั (มหาชน) ในฐานะผู้รับจา้งของสํานักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ
ปรับปรุงล่าสุด: 30 พฤษภาคม 2567
ฉบับย่อ
สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่า “เรา”) ประมวลผลข้อมูลส่วนบุคคล ของผู้ใช้บริการให้คําปรึกษา (Help Desk) โครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน บุคคล (ต่อไปนี้จะเรียกรวมว่า “ผู้ใช้บริการ” หรือ “ท่าน”) ซึ่งจะได้รับการดูแลตามมาตรฐานสูงสุดสอดคล้องกับพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ”) โดยท่านสามารถดูรายละเอียดของนโยบาย คุ้มครองข้อมูลส่วนบุคคลสําหรับผู้ใช้บริการ (“นโยบายคุ้มครองข้อมูลส่วนบุคคลฯ”) ฉบับเต็มได้ผ่านทาง QRCode ด้านล่างนี้ อย่างไรก็ตาม ท่านสามารถอ่านสรุปเบื้องต้นของนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ด้านล่างเพื่ออความสะดวก
หัวข้อ |
ข้อมูลโดยสรุป |
เราประมวลผลข้อมูลอะไรบ้าง? |
เราประมวลผลข้อมูลตามที่ได้เก็บรวบรวมจากท่าน ได้แก่ ข้อมูลอัตลักษณ์, ข้อมูลที่อยู่หรือที่ติดต่อ และข้อมูลเกี่ยวกับการทํางาน เป็นต้น |
เราใช้ข้อมูลอย่างไร? |
เราใช้ข้อมูลส่วนบุคคลเพื่อการดําเนินการทั้งหลาย ตามวัตถุประสงค์ของเรา ซึ่งเราได้อธิบายเหตุผล ความจําเป็นและฐานการประมวลผลที่เกี่ยวข้อง ไวใ้ นนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับน้ี |
เราส่งข้อมูลให้ใคร? |
เราอาจจําเป็นต้องส่งและ/หรือเปิดเผยข้อมูล ส่วนบุคคลของท่านไปยังหน่วยงานภายนอก ตามเหตุผลความจําเป็นที่ได้อธิบายไว้ในนโยบาย คุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ และรายการ หน่วยงานที่มีการส่งข้อมูล |
ผู้ใช้บริการสามารถทำอะไรได้บ้าง? |
ท่านสามารถใช้สิทธิของเจ้าของข้อมูลซึ่งรวมถึง การเข้าถึง, การแก้ไข และการลบข้อมูลส่วนบุคคล และสิทธิอื่น ๆ ตามที่ได้อธิบายไว้ในนโยบาย คุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ |
การเปลี่ยนแปลงนโยบาย |
เราจะแจ้งให้ท่านทราบเมื่อมีการเปลี่ยนแปลง นโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ |
นโยบายคุ้มครองข้อมูลส่วนบุคคล
1. ขอบเขตและวัตถุประสงค์ของนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ
2. เราเก็บรวบรวมข้อมูลส่วนบุคคลใดบ้าง
3. เราเก็บรวบรวมข้อมูลส่วนบุคคลอย่างไร
4. เราใช้ข้อมูลส่วนบุคคลอย่างไร
5. การใช้ข้อมูลส่วนบุคคลร่วมกันกบัหน่วยงานภายนอก
6. การส่งหรือโอนข้อมูลไปยังต่างประเทศ
7. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
8. ระยะเวลาในการจัดเก็บข้อมลูส่วนบุคคล
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
10. การทบทวนและปรับปรุงนโยบายนี้
เอกสารนี้เป็นนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ สําหรับผู้ใช้บริการ โดยเรามีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ จะได้อธิบายว่าเราได้เก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลของท่านตามขอบเขตและวัตถุประสงค์ของเรา
———————–
รายละเอียดการติดต่อผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลส่วนบุคคล
สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
120 หมู่ 3 ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติฯ ถนนแจ้งวัฒนะ แขวงทุ่มสองห้อง เขตหลักสี่ กรุงเทพฯ 10210
โทรศัพท์: 02-142-1033
อีเมล: saraban@pdpc.or.th
———————–
นโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ใช้กับเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการให้คําปรึกษา (Help Desk) โครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ ให้คําดังต่อไปนี้มีความหมายตามที่กําหนดด้านล่าง
“ประมวลผล” หมายถึง การดําเนินการใด ๆ ต่อข้อมูลส่วนบุคคลของท่าน ซึ่งรวมถึงการเก็บรวบรวม, การใช้, การจัดเก็บ, การเปิดเผย และการลบข้อมูลส่วนบุคคล
“ฐานการประมวลผล” หมายถึง เหตุผลความจําเป็นในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 และ 26 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ
นโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ อาจมีการทบทวนปรับปรุงเมื่อใดก็ได้ตามที่จะได้แจ้งให้ท่านทราบ ตามช่องทางสื่อสารที่เหมาะสมต่อไป
เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน ดังต่อไปนี้
- ข้อมูลอัตลักษณ์ เช่น ชื่อ-นามสกุล เป็นต้น
- ข้อมูลที่อยู่หรือที่ติดต่อ เช่น เบอร์โทรศัพท์ และอีเมล เป็นต้น
- ข้อมูลเกี่ยวกับการทํางานเช่นชื่อหน่วยงานและตําแหน่งเป็นต้น
โดยทั่วไปแล้ว เราเก็บรวบรวมข้อมูลส่วนบุคคลโดยตรงจากท่าน โดยผ่านช่องทางติดต่อต่าง ๆ ที่ได้จัดไว้ ประกอบไปด้วย การกรอกข้อมูลบนหน้าเว็บไซต์ การติดต่อทางโทรศัพท์ (Call Center) ในกรณีที่ท่านติดต่อทางโทรศัพท์เราจะบันทึกการสนทนา เพื่อการติดตามตรวจสอบและบันทึกข้อมูลการทํางาน เว้นแต่ท่านจะขอให้หยุดการบันทึกการสนทนา ณ ขณะนั้น ๆ และการติดตอ่ ทางจดหมายอิเล็กทรอนิกส์
เราใช้ข้อมูลส่วนบุคคลของท่านเพื่อการดําเนินการทั้งหลายตามวัตถุประสงค์ของเรา ซึ่งสามารถแบ่งเป็นกลุ่มกิจกรรม ดังต่อไปนี้
กลุ่มกิจกรรม | กลุ่มข้อมูลส่วนบุคคล | ฐานการประมวลผล |
การรับแจ้งและให้คำปรึกษาเรื่องสอบถาม หรือปัญหา |
|
|
การจัดทำรายงานผลการดําเนินงาน |
|
|
การจัดอบรมภายใต้โครงการพัฒนาแพลตฟอร์มภาครัฐฯ |
|
|
การจัดกิจกรรมสนับสนุนและให้คำปรึกษา แก่หน่วยงานเป้าหมายภายใต้โครงการ พัฒนาแพลตฟอร์มภาครัฐฯ |
|
|
เราจะประมวลผลข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น อย่างไรก็ตาม ในกรณีที่เราจําเป็น ต้องประมวลผลข้อมูลของท่านเพื่อวัตถุประสงค์อื่นที่ไม่เกี่ยวข้องกับวัตถุประสงค์เดิม และการประมวลผลดงั กล่าวไม่สามารถอ้างอิง ฐานการประมวลผลอื่นได้ เช่นนี้ เราจะขอความยินยอมใหม่เพื่อการใช้ข้อมูลของท่านตามวัตถุประสงค์ใหม่นั้น
เราอาจมีความจําเป็นต้องส่งและ/หรือเปิดเผยข้อมูลส่วนบุคคลของไปยังหน่วยงานภายนอกดังต่อไปนี้เพื่อใหห้น่วยงาน ภายนอกสามารถประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญาที่มีกับเราและ/หรือหน้าทตี่ามกฎหมาย
• บริษัท แอ็ดวานซ์ อินฟอร์เมชั่น เทคโนโลยี จํากัด (มหาชน)
อย่างไรก็ตาม ในกรณีที่เปิดเผยและ/หรือส่งข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก เราจะดําเนินการเท่าที่จําเป็น โดยเปิดเผยและ/หรือส่งข้อมูลให้น้อยที่สุด และอาจพิจารณาใช้วิธีจัดทําข้อมูลนิรนาม (anonymisation) และ การแฝงข้อมูล (pseudonymisation) เพื่อความปลอดภัยของข้อมูลยิ่งขึ้น นอกจากนี้ หน่วยงานภายนอกที่ประมวลผลข้อมูลส่วนบุคคลให้กับเรา จะต้องจัดให้มีนโยบายคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเราจะไม่อนุญาตให้หน่วยงานภายนอกดังกล่าวใช้ข้อมูลของทา่น เพื่อวัตถุประสงค์อื่นนอกจากที่เรากําหนด
ภายใต้ขอบเขตและวัตถุประสงค์การประมวลผลตามนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้ ณ ปัจจุบัน เราไม่มี ความจําเป็นจะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
อนึ่ง เราจะส่งหรือโอนข้อมูลส่วนบุคคลของท่าน ไปยังต่างประเทศต่อเมื่อกรณีเป็นไปตามเงื่อนไขอย่างใดอย่างหนึ่ง ดังต่อไปนี้
- ประเทศปลายทางที่รับข้อมูลได้รับการวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอ
- หน่วยงานต่างประเทศที่รับข้อมูลอยู่ภายใต้นโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรอง จากสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- หน่วยงานต่างประเทศได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของ ข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการ ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด เช่น ข้อสัญญามาตรฐาน และประมวลวิธีปฏิบัติ เป็นต้น
- เป็นสิ่งจําเป็นเพื่อการใช้สิทธิตามกฎหมาย
- ได้รับความยินยอมจากท่านโดยท่านได้รับทราบถึงมาตรฐานการคุ้มครองส่วนบุคคลที่ไม่เพียงพอของประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว - เป็นการจําเป็นเพื่อการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดําเนินการตามคําขอของท่าน ก่อนเข้าทําสัญญานั้น
- เป็นการกระทําตามสัญญาระหว่างเรากับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคลเมื่อบุคคลดังกล่าวไม่สามารถให้ความยินยอม
ในขณะนั้นได้ - เป็นการจําเป็นเพื่อการดําเนินภารกิจเพื่อประโยชน์สาธารณะที่สําคัญ
เราได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสําหรับข้อมูลส่วนบุคคลของท่าน โดยเราดําเนินงานตามที่จําเปนและ สมเหตุสมผลดวยวิธีการทางเทคนิคและวิธีการทํางานของเราเพื่อคุมครองขอมูลสวนบุคคลของทาน เราจะไมจําหนายหรือขาย ขอมูลสวนบุคคลของทานไมวากรณีใด และจะไมโอนขอมูลของทานไปยังบุคคลอื่นที่ไมใชผูประมวลผลขอมูลสวนบุคคลเรา ที่มีขอตกลงรวมกันตามคําสั่ง
นอกจากนี้ ในกรณีที่มีการส่หรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอกซึ่งประมวลผลข้อมูลส่วนบุคคลให้เรา จะต้องดําเนินการตามมาตรการรักษาความมั่นคงปลอดภัยของเรา และจะต้องตกลงที่จะรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลของท่าน
เราจะจัดเก็บข้อมูลส่วนบุคคลของท่านตลอดระยะเวลาที่จําเป็นในการดําเนินการตามวัตถุประสงค์ของเรา รวมถึงงาน ต่าง ๆ ที่จําเป็น เช่น การดําเนินงานเกี่ยวกับด้านกฎหมาย, บัญชี และการติดตามตรวจสอบต่าง ๆ ดังต่อไปนี้
- ฐานประโยชนโดยชอบดวยกฎหมายเปนระยะเวลา 5 ป
- ในกรณีที่พนระยะเวลาจัดเก็บ เราจะลบหรือทําใหขอมูลสวนบุคคลไม่สามารถระบุตัวบุคคลได้
ท่านมีสิทธิในข้อมูลส่วนบุคคลดังตอ่ไปนี้
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) โดยท่านสามารถขอรับสําเนาข้อมูลของท่านและตรวจสอบ ว่าเราได้ประมวลผลข้อมูลของท่านตามกฎหมายหรือไม่
- สิทธิในการโอนข้อมูลส่วนบุคคล (Right to Data Portability) ในกรณีที่เราได้จัดให้มีแพลตฟอร์มซึ่งทําให้ ท่านสามารถเข้าถึงข้อมูลส่วนบุคคลด้วยวิธีการอัตโนมัติo ท่านสามารถขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานอื่นได้ด้วยวิธีการอัตโนมัติ
o ท่านสามารถขอรับข้อมูลส่วนบุคคลที่เราส่งหรือโอนไปยังหน่วยงานอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทําได้ - สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) โดยท่านสามารถคัดค้านในกรณีที่เรา ประมวลผลข้อมูลของท่านตามฐานการประมวลผล และ/หรือวัตถุประสงค์ ดังต่อไปนี้o ตามฐานภารกิจสาธารณะ (Public Task) หรือฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
- สิทธิในการลบข้อมูลส่วนบุคคล(RighttoErasure)โดยท่านสามารถขอให้ลบข้อมูลหรือทําลายหรือทําให้ขอ้มูล ส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ ในกรณีดังต่อไปนี้o เมื่อหมดความจําเป็นในการประมวลผลข้อมูลส่วนบุคคล
o เมื่อท่านคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านแล้ว o เมื่อข้อมูลส่วนบุคคลได้ถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย - สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to Restrict Processing) โดยท่านสามารถขอให้ระงับการใช้ข้อมูล ส่วนบุคคลของท่านได้ ในกรณีดังต่อไปนี้
o เมื่ออยู่ในระหว่างการตรวจสอบตามที่ท่านขอให้แก้ไขข้อมูลส่วนบุคคล
o เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทําลาย แต่ท่านขอให้ระงับการใช้แทน
o เมื่อข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ แต่ท่านมีความจําเป็นต้อง
ขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้อง
ตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
o เมื่ออยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคําขอใช้สิทธิในการคัดค้านของท่าน
• สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right to Rectification) โดยท่านสามารถขอแก้ไขข้อมูลของท่านให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันได้ หากท่านพบว่าข้อมูลของท่านไม่ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน เราไม่สามารถ ตรวจสอบและแก้ไขข้อมูลดังกล่าวได้ด้วยตนเอง
ในบางกรณีตามสภาพของการดําเนินการ เราอาจไม่สามารถดําเนินการได้ตามที่ท่านร้องขอได้ เช่น เมื่ออยู่ระหว่าง การดําเนินกระบวนการทางกฎหมาย เป็นต้น
ขอให้ท่านรับทราบว่าเราจะบันทึกรายการต่าง ๆ ที่ได้ดําเนินการเกี่ยวกับคําร้องของท่านเอาไว้เพื่อใช้ในการแก้ไข ปัญหาต่าง ๆ ที่เกิดขึ้น ทั้งนี้ หากมีข้อสงสัยในรายละเอียดทางปฏิบัติของการดําเนินการเกี่ยวกับการคุ้มครองข้อมูล ส่วนบุคคล และสิทธิของท่าน ท่านอาจศึกษาจากแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (TDPG3.0) ได้ที่ https://www.law.chula.ac.th/wp-content/uploads/2021/04/TDPG3.0-Extension-20210413.pdf
ในกรณีที่ท่านมีประสงค์จะใช้สิทธิดังกล่าวข้างต้นหรือมีข้อร้องเรียนเกี่ยวกับการประมวลผลข้อมูลสว่นบุคคลโปรดติดต่อ ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของเรา ตามรายละเอียดที่ได้แจ้งไว้ด้านบน เราจะรีบดําเนินการตามคําร้องของท่านโดยเร็ว และสอดคล้องกับที่กฎหมายกําหนด อย่างไรก็ดี ท่านมีสิทธิร้องเรียนเกี่ยวกับการไม่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมายได้ที่ สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เอกสารนี้เป็นนโยบายคุ้มครองข้อมูลส่วนบุคคลสําหรับผู้ใช้บริการผู้ใช้บริการให้คําปรึกษา (Help Desk) ซึ่งปรับปรุง ล่าสุด เมื่อวันที่ 30 พฤษภาคม 2567 เราขอสงวนสิทธิในการทบทวนและปรับปรุงนโยบายนี้ตามที่เห็นสมควร โดยจะแจ้งให้ ท่านทราบถึงการเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับนี้