นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้รับบริการ
ระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการสื่อสารของหน่วยงานภาครัฐ (MailGoThai)
และผู้รับบริการระบบเครือข่ายสื่อสารข้อมูลเชื่อมโยงหน่วยงานภาครัฐ
(Government Information Network : GIN)
ของสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
1.ขอบเขตและวัตถุประสงค์ของนโยบาย
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ให้ความสำคัญอย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้รับบริการระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการสื่อสารของหน่วยงานภาครัฐ (MailGoThai) และผู้รับบริการระบบเครือข่ายสื่อสารข้อมูลเชื่อมโยงหน่วยงานภาครัฐ (Government Information Network : GIN) ของ สพร. ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยนโยบายนี้จะอธิบายถึงวิธีการที่ สพร. ปฏิบัติต่อข้อมูลส่วนบุคคลสำหรับผู้รับบริการดังกล่าว อาทิ การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของผู้รับบริการ เป็นต้น เพื่อให้ผู้รับบริการ MailGo Thai และผู้รับบริการ GIN ได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ สพร. จึงได้ประกาศนโยบายส่วนบุคคล ตามขอบเขตและวัตถุประสงค์ของ สพร. นโยบายนี้ครอบคลุมเฉพาะผู้รับบริการ MailGoThai และผู้รับบริการ GIN ทุกคน เพื่อที่จะได้ทราบและเข้าใจว่า สพร. และส่วนงานต่าง ๆ เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของผู้รับบริการ Mail.go.th อย่างไร สำหรับรูปแบบการรับบริการอื่นของ สพร. จะมีการแยกประเด็นนโยบายเฉพาะกรณี สำหรับแต่ละบริการต่อไปตามนโยบายนี้
“ข้อมูลส่วนบุคคล”
หมายถึง ข้อมูลเกี่ยวกับผู้รับบริการ MailGoThai และผู้รับบริการ GIN ซึ่งทำให้สามารถระบุตัวตนผู้รับบริการได้ไม่ว่าทางตรงหรือทางอ้อม โดยไม่รวมถึงข้อมูลที่ได้ผ่านกระบวนการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวผู้รับบริการที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
“การประมวลผลข้อมูลส่วนบุคคล”
หมายถึง การดำเนินการใด ๆ ของ สพร. ต่อข้อมูลส่วนบุคคลของผู้รับบริการ MailGoThai และผู้รับบริการ GIN รวมถึง การเก็บรวมรวม การใช้ การจัดเก็บ การเปิดเผย และการลบข้อมูลส่วนบุคคล นโยบายนี้อาจมีการทบทวนปรับปรุงเมื่อใดก็ได้ตามที่จะได้แจ้งให้ผู้รับบริการ MailGoThai และผู้รับบริการ GIN ทราบตามช่องทางสื่อสารที่เหมาะสมต่อไป
2.บุคคลที่ใช้ข้อมูลส่วนบุคคลของผู้รับบริการ MailGoThai และผู้รับบริการ GIN ในสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” สำหรับผู้รับบริการ MailGoThai และผู้รับบริการ GIN ในปัจจุบันทุกคน สพร. จึงมีหน้าที่และความรับผิดชอบต่อการประมวลผลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลสำหรับผู้รับบริการดังกล่าวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ข้อมูลทะเบียนผู้รับบริการ MailGoThai ผู้รับบริการ GIN และข้อมูลอื่นที่เกี่ยวข้องจะถูกใช้งานโดยบุคลากรของ สพร. ในส่วนงานต่าง ๆ เช่น ฝ่ายและส่วนงานต่าง ๆ ที่จำเป็นต้องเข้าถึงข้อมูลดังกล่าวในการทำงานของ สพร.
3.ข้อมูลส่วนบุคคลใดบ้างสำหรับผู้รับบริการ MailGoThai และผู้รับบริการ GIN ที่สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) จัดเก็บ
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ได้จัดเก็บข้อมูลส่วนบุคคลสำหรับผู้รับบริการ MailGoThai และผู้รับบริการ GIN ได้แก่ รายละเอียดส่วนตัว เช่น ชื่อ-นามสกุล คำนำหน้า ที่อยู่ ชื่อหน่วยงาน เลขหมายโทรศัพท์ อีเมล์ เพศ ค่าการตั้งค่าบนระบบ ค่าการตั้งค่าความปลอดภัยในบัญชี ไอพีแอดแดรส คุกกี้ เป็นต้น
4.สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) เก็บรวบรวมข้อมูลส่วนบุคคลอย่างไร
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้รับบริการ MailGoThai และผู้รับบริการ GIN โดยตรง ผ่านกระบวนการลงทะเบียนใน service request form พร้อมร้องขอเลขบัตรประชาชน เพื่อ verify ตัวตน หลังจากนั้นจะดำเนินการสแกน และจัดส่งให้ศูนย์ contact center ของ สพร. และศูนย์ contact center จะดำเนินการจัดส่งข้อมูลต่อไปที่หน่วยงานที่เกี่ยวข้องของ สพร. ผ่านทางอีเมล์ และนำแบบฟอร์มเข้าระบบ Customer Relationship Management
5.สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ใช้ข้อมูลส่วนบุคคลอย่างไร
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ใช้ข้อมูลส่วนบุคคลเพื่อการดำเนินการทั้งหลายตามวัตถุประสงค์ที่เกี่ยวข้องกับการให้บริการระบบ MailGoThai และ GIN ซึ่งรวมถึง
- เพื่อตรวจสอบ/ยืนยันตัวบุคคล
- เพื่อรักษาความปลอดภัยต่อบัญชีผู้ใช้บริการ
- เพื่อแจ้งผู้ใช้บริการเกี่ยวกับข่าวสาร และจดหมายข่าว
- เพื่อแจ้งผู้ใช้บริการเกี่ยวกับการเปลี่ยนแปลงที่จะเกิดขึ้น
- เพื่อให้ข้อมูลในการเข้าและใช้เว็บไซต์/บริการ
- เพื่อจัดการเว็บไซต์ การดำเนินการภายใน แก้ไขปัญหา วิเคราะห์ข้อมูล ทดสอบ วิจัย เพื่อความปลอดภัย การตรวจสอบการบิดเบือน และการจัดการบัญชีผู้ใช้บริการ
สพร. จำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของผู้รับบริการเพื่อดำเนินการตามหน้าที่ที่มีอยู่ตามเงื่อนไขการใช้บริการกับผู้รับบริการ ซึ่งโดยส่วนใหญ่คือข้อมูลตามที่ระบุในข้อ 3 นอกจากนี้ สพร. ยังจำเป็นต้องประมวลผลข้อมูลของผู้รับบริการในข้อนี้ด้วยการทำงานร่วมกันกับบุคคลภายนอกในการให้บริการหรือดำเนินกิจกรรมของ สพร. เช่น กิจกรรมที่ดำเนินการโดยหน่วยงานราชการหรือเอกชนที่เกี่ยวข้อง (รายละเอียดดูข้อ 6 เกี่ยวกับการใช้ข้อมูลส่วนบุคคลร่วมกันกับหน่วยงานภายนอก)
6.การใช้ข้อมูลส่วนบุคคลร่วมกันกับหน่วยงานภายนอก
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) อาจมีความจำเป็นต้องส่งข้อมูลไปยังหน่วยงานภายนอกดังต่อไปนี้ เพื่อประมวลผลข้อมูลตามหน้าที่ความรับผิดชอบตามสัญญาหรือตามกฎหมายของ สพร.
- หน่วยงานภายนอกที่ให้บริการแก่ สพร.
- คณะกรรมการพัฒนารัฐบาลดิจิทัล หรือสำนักงานปลัดสำนักนายกรัฐมนตรี (รายละเอียดดูที่ https://www.egov.go.th) ซึ่งใช้ข้อมูลผู้รับบริการในการดำเนินการตามภารกิจสาธารณะตามกฎหมาย
- ส่วนราชการหรือหน่วยงานกำกับดูแลอื่น ๆ ที่เกี่ยวข้อง เช่น กรมสรรพากร กรมการกงสุล กรุงเทพมหานคร เป็นต้น ซึ่งใช้ข้อมูลผู้รับบริการในการดำเนินการตามภารกิจสาธารณะตามกฎหมาย
ในกรณีที่ สพร. ใช้หรือส่งข้อมูลส่วนบุคคลของผู้รับบริการไปยังหน่วยงานภายนอก สพร. จะดำเนินการเท่าที่จำเป็นโดยใช้หรือส่งข้อมูลให้น้อยที่สุด และอาจพิจารณาใช้วิธีจัดทำข้อมูลนิรนาม (Anonymisation) การแฝงข้อมูล (Pseudonymisation) เพื่อความปลอดภัยของข้อมูล โดยบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้กับ สพร. จะต้องจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมตามนโยบายนี้ และ สพร. ไม่อนุญาตให้บุคคลภายนอกดังกล่าวใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกจากที่ สพร. กำหนด
7.การส่งหรือโอนข้อมูลไปยังต่างประเทศ
ในบางกรณีสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) อาจส่งข้อมูลของผู้รับบริการไปยังต่างประเทศ เช่น ในกรณีที่ สพร. ติดต่อกับผู้รับบริการที่อยู่ต่างประเทศ หรือหน่วยงานภายนอกที่อยู่ต่างประเทศ กรณีเช่นนี้ สพร. จะส่งข้อมูลของผู้รับบริการไปยังต่างประเทศก็ต่อเมื่อเป็นไปตามเงื่อนไขอย่างใดอย่างหนึ่งดังต่อไปนี้
- ประเทศปลายทางที่รับข้อมูลได้รับการวินิจฉัยจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
- หน่วยงานต่างประเทศที่รับข้อมูลอยู่ภายใต้นโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- สพร. และหน่วยงานต่างประเทศได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เช่น ข้อสัญญามาตรฐาน ประมวลวิธีปฏิบัติ มาตรฐานที่ได้รับการรับรอง เป็นต้น
- เป็นสิ่งจำเป็นเพื่อการใช้สิทธิตามกฎหมาย
- ได้รับความยินยอมจากท่าน โดยท่านได้รับทราบถึงมาตรฐานการคุ้มครองส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น
- เป็นการกระทำตามสัญญาระหว่าง สพร. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่าน หรือบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
- เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) โดยท่านสามารถขอรับสำเนาข้อมูลของท่านและตรวจสอบว่าสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ได้ประมวลผลข้อมูลของท่านตามกฎหมายหรือไม่
- สิทธิในการโอนข้อมูลส่วนบุคคล (Right to Data Portability) ในกรณีที่สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ท่านสามารถ
- ขอให้ สพร. ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานอื่นได้ด้วยวิธีการอัตโนมัติ หรือ
- ขอรับข้อมูลส่วนบุคคลที่ สพร. ส่งหรือโอนไปยังหน่วยงานอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) โดยท่านสามารถคัดค้านในกรณีที่สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ประมวลผลข้อมูลของท่าน
- ตามภารกิจสาธารณะ (Public Task) หรือตามประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ของ สพร.
- เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
- เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ สพร.
- สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure) โดยท่านสามารถขอให้ลบข้อมูล หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ ในกรณีดังต่อไปนี้
- เมื่อหมดความจำเป็นในการประมวลผลข้อมูลส่วนบุคค
- เมื่อท่านถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ไม่มีอำนาจตามกฎหมายที่จะประมวลผลข้อมูลส่วนบุคคลนั้นได้ต่อไป
- เมื่อท่านคัดค้านการประมวลผลข้อมูลส่วนบุคคลของท่านแล้ว
- เมื่อข้อมูลส่วนบุคคลได้ถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
- สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to Restrict Processing) โดยท่านสามารถขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านได้ ในกรณีดังต่อไปนี้
- เมื่อสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) อยู่ในระหว่างการตรวจสอบตามที่ท่านขอให้แก้ไขข้อมูลส่วนบุคคล
- เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่ท่านขอให้ระงับการใช้แทน
- เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ แต่ท่านมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เมื่อ สพร. อยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคำขอใช้สิทธิในการคัดค้านของท่าน
- สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right to Rectification) โดยท่านสามารถขอแก้ไขข้อมูลของท่านให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันได้ หากท่านพบว่าข้อมูลของท่านไม่ถูกต้อง สมบูรณ์ และเป็นปัจจุบันสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ไม่สามารถตรวจสอบและแก้ไขข้อมูลดังกล่าวได้ด้วยตนเอง
DGA Contact Center
โทรศัพท์ 02-6126060
อีเมล์ contact@dga.or.th