ประกาศความเป็นส่วนตัว (Privacy Notice) ของ สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (“สพร.”) ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้มาติดต่อและใช้บริการของ สพร. (“ท่าน”) โดย สพร. จะดูแลและบริหารจัดการข้อมูลส่วนบุคคลของท่านบนพื้นฐานของหลักความจำเป็น ความชอบด้วยกฎหมาย ความโปร่งใส และความปลอดภัย เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) และกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

โดยประกาศความเป็นส่วนตัวนี้ (“ประกาศ”) จัดทำขึ้นเพื่อแจ้งให้ท่านทราบถึงวิธีการที่ สพร. เก็บรวบรวม ใช้ เปิดเผย และดูแลข้อมูลส่วนบุคคลของท่าน

สพร. ขอแนะนำให้ท่านอ่านและทำความเข้าใจประกาศนี้ก่อนให้ข้อมูลส่วนบุคคลกับ สพร. หากท่านมีข้อกังวล ข้อสงสัยหรือต้องการสอบถามข้อมูลเพิ่มเติมเกี่ยวกับประกาศนี้ ตลอดจนถึงประกาศและนโยบายอื่นๆ ที่เกี่ยวข้อง โปรดติดต่อ สพร. ตามช่องทางการติดต่อที่ปรากฏท้ายประกาศนี้

1. ข้อมูลส่วนบุคคลของท่าน

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล หมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์ วันเดือนปีเกิด รหัสส่วนตัว รูปภาพ หรือวีดีโอที่บันทึกจากกล้องวงจรปิด (CCTV) เป็นต้น

ทั้งนี้ ข้อมูลส่วนบุคคลบางประเภทถือเป็น “ข้อมูลส่วนบุคคลอ่อนไหว” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจำเป็นต้องได้รับการคุ้มครองมากขึ้นกว่ากรณีทั่วไป เช่น เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวมิติ ข้อมูลสุขภาพ เป็นต้น

โดยทั่วไป วิธีการที่ สพร. จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน มีดังนี้

• จากการที่ท่านเป็นผู้ให้ข้อมูลนั้นกับ สพร. โดยตรง เช่น กรอกข้อมูลบนแบบฟอร์ม การให้ข้อมูลทางโทรศัพท์หรือผ่านแอปพลิเคชันหรือระบบบริการออนไลน์ต่างๆ ที่ สพร. จัดให้มีขึ้น (“บริการออนไลน์”) เป็นต้น
• ได้รับข้อมูลส่วนบุคคลของท่านจากบุคคลที่สาม โดย สพร. เชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บรวบรวมข้อมูลส่วนบุคคลของท่านและเปิดเผยกับ สพร. และ สพร. จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็น และใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่กำหนด ซึ่งเป็นวัตถุประสงค์ที่ชอบด้วยกฎหมาย หรือเป็นดำเนินการตามข้อกำหนดของกฎหมายที่ให้ สพร. ต้องจัดเก็บข้อมูลดังกล่าว
• เก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากอุปกรณ์สื่อสารที่ท่านใช้ในการติดต่อหรือเข้าใช้บริการออนไลน์ของ สพร. เช่น ข้อมูลตำแหน่งพิกัด เป็นต้น ทั้งนี้ จะดำเนินการได้เฉพาะเมื่อท่านได้ตั้งค่าและอนุญาตให้ สพร. เข้าถึงข้อมูลดังกล่าว ซึ่งข้อมูลนี้มีความจำเป็นในบางบริการของ สพร. ที่ต้องการส่งมอบบริการตามกลุ่มเป้าหมายอย่างแม่นยำ นอกจากนี้ ยังมีข้อมูลในการเข้าใช้งานของท่านที่มีกฎหมายกำหนดให้ สพร. ต้องเก็บรวบรวมด้วยในฐานะผู้ให้บริการ เช่น ข้อมูลจราจรคอมพิวเตอร์ (Traffic Log) เป็นต้น
• ใช้เทคโนโลยีอัตโนมัติในการเก็บรวบรวมข้อมูลการใช้งานของท่าน ซึ่งอาจรวมถึง คุกกี้
  เว็บบีคอน พิกเซลแท็ก และเทคโนโลยีการติดตามอื่นๆ ที่มีลักษณะคล้ายกัน โดย สพร. ขอเรียกรวมกันว่า “คุกกี้ (Cookie)” ซึ่งท่านสามารถอ่านรายละเอียดการใช้คุกกี้ได้ที่ นโยบายคุกกี้ (Cookie Policy)

สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลข้างต้น สพร. จะมีการจัดเก็บเท่าที่จำเป็น และเป็นไปตามที่กฎหมายกำหนด ซึ่งรวมถึงในบางกรณีอาจมีขอความยินยอมจากท่านก่อน โดยเฉพาะการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว ซึ่งเป็นข้อมูลที่จำเป็นสำหรับบางบริการ โดย สพร. จะแจ้งให้ท่านทราบอย่างชัดแจ้งถึงเหตุผลความจำเป็นที่ต้องเก็บรวบรวมข้อมูลอ่อนไหวดังกล่าว

2. เหตุใด สพร. ต้องการข้อมูลส่วนบุคคลของท่าน

สพร. อาจจำเป็นต้องเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เพื่อ

• ส่งมอบบริการของ สพร. ตามภารกิจที่กฎหมายกำหนด รวมถึงบริการสาธารณะประโยชน์อื่น ๆ
• ให้ความช่วยเหลือ ให้ข้อมูล ตอบข้อซักถามหรือดำเนินการเกี่ยวกับข้อร้องเรียนของท่าน
• ติดต่อท่านเกี่ยวกับบริการของ สพร. เพื่อสอบถามความคิดเห็น ซึ่งจะช่วยให้ สพร. บริหารจัดการและส่งมอบบริการได้ดียิ่งขึ้น
• วิเคราะห์ ตรวจสอบคุณภาพการให้บริการ เพื่อนำไปปรับปรุงการให้บริการให้ดียิ่งขึ้น
• วิจัยและพัฒนานวัตกรรมใหม่ที่จะทำให้ท่านได้รับการอำนวยความสะดวกและได้รับประสบการณ์ที่ดียิ่งขึ้นในการเข้าใช้บริการของ สพร.
• สำรวจ รวบรวม วิเคราะห์ และจัดทำข้อมูลหรือรายงานเกี่ยวกับการพัฒนารัฐบาลดิจิทัล และการดำเนินงานตามแผนพัฒนารัฐบาลดิจิทัล และยุทธศาสตร์หรือแผนการดำเนินงานองค์กร
• สนับสนุนการดำเนินงานของคณะกรรมการพัฒนารัฐบาลดิจิทัล และคณะกรรมการสำนักงานพัฒนารัฐบาลดิจิทัล
• สนับสนุนงานบริหารในองค์กร เช่น การรับสมัครงาน การจัดซื้อจัดจ้างและการบริหารพัสดุ การดำเนินงานด้านการเงินและบัญชี รวมถึงการรับเงินและจ่ายเงิน เป็นต้น
• ประชาสัมพันธ์กิจกรรมและข้อมูลข่าวสารของ สพร. ให้กับท่านทราบ ตลอดจนเชิญท่านเข้าร่วมกิจกรรมต่างๆ ของ สพร.
• ป้องกันการกระทำที่ผิดกฎหมาย โดย สพร. อาจมีการตรวจสอบข้อมูลที่เก็บรวบรวม รวมถึงข้อมูลในกล้อง CCTV เพื่อสอดส่องดูแล ตรวจจับ และป้องกันไม่ให้มีการกระทำที่ผิดกฎหมาย
• ปฏิบัติงานตามหน้าที่ที่กฎหมายจัดตั้ง สพร. หรือกฎหมายอื่นกำหนดให้ สพร. ต้องปฏิบัติ

3. เหตุใด สพร. จึงสามารถเก็บรวบรวมข้อมูลส่วนบุคคลของท่านได้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดหลักการและเหตุผลทางกฎหมายไว้ โดยอนุญาตให้ สพร. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้สามารถดำเนินการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของท่านได้   

โดยทั่วไป สพร. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน เมื่อมีฐานทางกฎหมายรองรับ ดังนี้

• เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับ สพร. หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญากับ สพร. (Contract)
• เป็นการจำเป็นในการปกป้องหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
• เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ สพร. หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ สพร. (Public Task / Official Authority)
• เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ สพร. หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน (Legitimate Interest)
• เป็นการจำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของท่าน ทั้งนี้ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด (Scientific or Research)
• เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง (Legal Obligation)
• ท่าน หรือผู้แทนโดยชอบด้วยกฎหมายของท่านให้ความยินยอม (Consent)

ทั้งนี้ ประกาศนี้เป็นการกำหนดหลักการและหลักปฏิบัติกลาง (Main Notice) โดย สพร. มีการดำเนินกิจกรรมและบริการต่าง ๆ ทั้งสำหรับการดำเนินกิจการภายนอก และการดำเนินกิจการภายใน ซึ่งเป็นส่วนหนึ่งของการปฏิบัติหน้าที่ตามกฎหมายของ สพร. โดยแต่ละกิจกรรมและบริการเหล่านั้นจำเป็นต้องมีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลของท่านที่แตกต่างกัน ดังรายละเอียดกิจกรรมและบริการต่าง ๆ ด้านล่างนี้/แนบท้ายประกาศนี้ ซึ่งจะอธิบายและแจ้งรายละเอียดกับท่านเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลของท่านที่แต่ละกิจกรรมหรือแต่ละบริการมีการดำเนินการ

รายการกิจกรรมและบริการของ สพร.

บริการของสถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล (TDGA) ประกอบด้วย กิจกรรมย่อย ดังนี้

• การฝึกอบรมของสถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล (TDGA) กรณี ผู้เข้ารับการอบรม
• การฝึกอบรมของสถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล (TDGA) สำหรับวิทยากร
• คณะกรรมการบริหารหลักสูตรการพัฒนาทักษะด้านรัฐบาลดิจิทัล
• หน่วยงานเครือข่ายของ สถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล (TDGA)

4. สิทธิของท่านในข้อมูลส่วนบุคคล

โดยที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ให้สิทธิดังที่ปรากฏด้านล่างแก่ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลที่ สพร. ได้มีการเก็บรวบรวม และนำไปใช้หรือเปิดเผย ดังนั้น สพร. จึงให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่ท่านในการดำเนินการตามสิทธิ ดังนี้

• สิทธิในการได้รับแจ้ง สพร. จะมีการแจ้ง “ประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ชัดเจน
• สิทธิในการเพิกถอนความยินยอม ท่านสามารถขอเพิกถอนความยินยอมที่เคยให้ สพร. ไว้ได้ทุกเมื่อ
• สิทธิในการเข้าถึงข้อมูล ท่านสามารถขอเข้าถึงข้อมูลส่วนบุคคลของท่าน และขอสำเนาข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้ สพร. เปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
• สิทธิในการแก้ไขข้อมูล ท่านสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
• สิทธิในการลบข้อมูล ท่านสามารถขอให้ สพร. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
• สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของ สพร. รองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ท่านสามารถขอรับสำเนาข้อมูลส่วนบุคคลของท่านได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้
• สิทธิในการระงับการใช้ข้อมูล ท่านสามารถขอให้ สพร. ระงับการใช้ข้อมูลส่วนบุคคลได้
• สิทธิในการคัดค้านการประมวลผลข้อมูล ท่านสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้

ทั้งนี้ ในบางกรณี สพร. อาจปฏิเสธคำขอใช้สิทธิของท่านข้างต้นได้ หากมีเหตุอันชอบธรรมตามกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น

หากท่านมีความประสงค์ที่จะใช้สิทธิดังกล่าวหรือมีข้อสงสัยเกี่ยวกับการใช้สิทธิ ท่านสามารถดำเนินการได้โดยติดต่อ สพร. ตามช่องทางติดต่อด้านล่าง

5. การเปิดเผยข้อมูลส่วนบุคคลของท่าน

สพร. จะไม่เผยแพร่ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ของท่านที่ สพร. ได้เก็บรวบรวมไว้ให้แก่บุคคลภายนอก เว้นแต่เป็นการดำเนินการตามที่กำหนดในประกาศนี้ หรือเมื่อได้รับการร้องขอหรือได้รับความยินยอมจากท่าน หรือภายใต้บางสถานการณ์ ดังนี้

• กรณีเพื่อเป็นการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลของท่านในกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Identity Proofing and Authentication) โดย สพร. จะมีการส่งข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายในการจัดเก็บและรวบรวมข้อมูลส่วนบุคคลและข้อมูลอัตลักษณ์ (Identity Information) เพื่อดำเนินการตรวจสอบและเปรียบเทียบข้อมูล เช่น กรมการปกครอง เป็นต้น
• กรณีเพื่อเป็นการอำนวยความสะดวกในการเข้าถึงและเข้าใช้บริการต่าง ๆ ของหน่วยงานอื่นที่มีอำนาจหรือหน้าที่ตามกฎหมายในการให้บริการดังกล่าว โดยหน่วยงานดังกล่าวได้มีการเชื่อมต่อบริการหรือเชื่อมต่อกระบวนการให้บริการกับบริการของ สพร.
• กรณีที่ สพร. เชื่อโดยสุจริตว่า เป็นการดำเนินการที่มีการมอบอำนาจ มอบอำนาจช่วง ตัวแทน หรือผู้แทนโดยชอบธรรมของท่านที่มีอำนาจตามกฎหมายโดยชอบ
• กรณีที่ สพร. เชื่อโดยสุจริตว่าเป็นข้อกำหนดทางกฎหมาย หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ที่มีอำนาจโดยชอบด้วยกฎหมาย หรือเป็นการดำเนินการตามหมายศาล คำสั่งศาล หรือกระบวนการยุติธรรม
• เป็นการแบ่งปันข้อมูลกับหน่วยงานอื่นที่เชื่อถือได้ ซึ่งทำงานในนามหรือทำงานให้ หรือทำงานร่วมกับ สพร. ภายใต้ข้อตกลงหรือสัญญาที่ให้มั่นใจว่าหน่วยงานดังกล่าวจะมีการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับ สพร. โดยการแบ่งปันข้อมูลดังกล่าวอาจมีทั้งกรณีเพื่อการจัดเก็บข้อมูล และการใช้ข้อมูลเพื่อส่งมอบบริการแก่ท่าน หรือเพื่อการดำเนินโครงการหรือกิจกรรมของ สพร. เช่น การสำรวจและวิเคราะห์ข้อมูลเป็นต้น
• กรณีที่ สพร. เชื่อโดยสุจริตและมีเหตุผลที่ดีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่าน
  ซึ่งเป็นสถานการณ์ที่ สพร. จำเป็นต้องดำเนินการ ได้แก่
  • เพื่อการสืบสวน สอบสวน และระงับเหตุอาชญากรรม การทุจริต การฉ้อโกง หรือ
  • เพื่อป้องกันหรือรับมือกับภัยคุกคามตลอดจนการกระทำที่อาจสร้างความเสียหายต่อสิทธิ ทรัพย์สิน หรือความปลอดภัยของสาธารณะ รวมถึงของ สพร. และผู้ที่เกี่ยวข้อง หรือ
  • เพื่อป้องกันหรือรับมือการกระทำที่ละเมิดต่อข้อกำหนดและเงื่อนไขการใช้บริการของ สพร. หรือต่อกฎหมาย

ในการเปิดเผยข้อมูลส่วนบุคคลของท่านตามกรณีดังกล่าวข้างต้น สพร. จะเปิดเผยเท่าที่จำเป็น และใช้มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายที่เกี่ยวข้อง รวมทั้งมาตรฐานสากลที่ สพร. ประกาศใช้ในองค์กร

6. สพร. มีการมาตรการรักษาความมั่นคงปลอดภัยในข้อมูลของท่านอย่างไร

สพร. ตระหนักถึงความไว้วางใจของท่านที่ได้ให้ข้อมูลที่สำคัญกับ สพร. และโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ สพร. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องมีมาตรการและการจัดการด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่า ข้อมูลเหล่านั้นจะได้รับการปกป้องดูแล และพร้อมให้เจ้าของข้อมูลเข้าถึงและตรวจสอบได้

โดย สพร. ได้มีการออกนโยบายความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ (Information and Cyber Security Policy) มาใช้ในองค์กร

สำหรับตัวอย่างมาตรการและการจัดการด้านความมั่นคงปลอดภัยในการปกป้องดูแลข้อมูลส่วนบุคคลที่ สพร. มีการนำมาใช้ เช่น

• กำหนดมาตรการป้องกันทางกายภาพ และการจำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะพนักงานของ สพร. ที่มีความจำเป็นต้องเข้าถึงข้อมูลนั้นๆ (Need to Know Basis)
• กำหนดมาตรการป้องกันการเข้าถึงระบบและข้อมูล เช่น การใช้รหัสผ่านเพื่อเข้าสู่ระบบการให้บริการ เป็นต้น เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่าน
• มีการเข้ารหัสข้อมูล (Encryption) ที่มีชั้นความลับเพื่อให้ข้อมูลไม่สามารถถูกเปิดอ่านได้จากผู้ที่ไม่มีสิทธิ
• กำหนดกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล โดยหากเกิดเหตุดังกล่าว สพร. จะรีบแจ้งท่านทราบโดยเร็ว รวมถึงแจ้งเจ้าหน้าที่รัฐที่ดูแลเรื่องนี้ในกรณีที่กฎหมายกำหนดให้ต้องแจ้ง
• มีการอบรมพนักงานของ สพร. เพื่อสร้างความตระหนักและความเข้าใจในขั้นตอนการปฏิบัติงานในการดูแลคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล
• ทบทวนกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคลตามระยะเวลาที่กำหนด เพื่อให้มั่นใจว่ากระบวนการทำงานเป็นไปอย่างเหมาะสมและสอดคล้องกับสถานการณ์ปัจจุบัน
• ตรวจสอบ ทดสอบระบบที่มีการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบหรือเทคโนโลยีที่ใช้มีความมั่นคงปลอดภัย และมีการปรับปรุงและติดตั้งซอฟต์แวร์การจัดการด้านการรักษาความมั่นคงปลอดภัยเวอร์ชันล่าสุดแล้ว (Update Patches)

อย่างไรก็ตาม โปรดตระหนักว่า การส่งข้อมูลผ่านเครือข่ายสาธารณะหรือการใช้เครื่องคอมพิวเตอร์สาธารณะหรือแม้แต่การใช้เครื่องคอมพิวเตอร์หรืออุปกรณ์สื่อสารส่วนตัวของท่านซึ่งติดมัลแวร์ มีความเสี่ยง และ สพร. ไม่สามารถรับประกันความปลอดภัยในข้อมูลของท่าน ซึ่งอาจถูกลักลอบเข้าถึง หรือถูกเปิดเผย หรือถูกโอนถ่ายออกไป และทำให้ท่านเกิดความเสียหายได้

7. การจัดเก็บและโอนข้อมูล

สพร. มีการจัดเก็บ ใช้และประมวลข้อมูลส่วนบุคคลของท่านบนระบบที่ตั้งอยู่ในประเทศไทย อย่างไรก็ตาม ในบางกรณี สพร. อาจมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ โดย สพร. จะใช้ความพยายามอย่างดีที่สุดในการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานหรือประเทศที่มีมาตรฐานความปลอดภัยในการรักษาข้อมูลส่วนบุคคลเพียงพอ และมีการดำเนินการตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

• เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ สพร. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
• ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
• เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น
• เป็นการกระทำตามสัญญาระหว่าง สพร. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
• เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

8. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็น เพื่อการปฏิบัติหน้าที่และการให้บริการภายใต้วัตถุประสงค์โดยชอบด้วยกฎหมายของ สพร. โดยระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลอาจมีความแตกต่างกันตามประเภทของกิจกรรมหรือบริการต่าง ๆ ซึ่งท่านสามารถดูรายละเอียดได้จากแต่ละกิจกรรมและบริการในตารางแนบท้าย.

อย่างไรก็ดี สพร. อาจจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลของท่านเกินระยะเวลาที่กำหนดข้างต้น หากมีเหตุที่ สพร. ได้รับแจ้งหรือเชื่อโดยสุจริตได้ว่าอาจมีการกระทำละเมิดข้อกำหนดและเงื่อนไขการใช้บริการของ สพร. หรือมีการกระทำฝ่าฝืนกฎหมาย หรือเกิดข้อพิพาท และจำเป็นต้องมีการสืบสวน สอบสวน ตลอดจนรวบรวมหลักฐานเพื่อดำเนินคดีตามกฎหมาย โดย สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็นจนกว่ากระบวนการจะเสร็จสิ้น หรือตามระยะเวลาที่กฎหมายที่เกี่ยวข้องในเรื่องนั้นกำหนด

สำหรับข้อมูลส่วนบุคคลที่ครบกำหนดระยะเวลาการจัดเก็บแล้วนั้น สพร. จะมีการลบหรือทำลายตามมาตรฐานที่กำหนด เว้นแต่ข้อมูลการสำรวจหรือการใช้บริการในบางกรณีที่ สพร. เห็นว่าจำเป็นและมีประโยชน์ สามารถนำมาวิเคราะห์ในเชิงสถิติ เพื่อใช้ในการปรับปรุงการให้บริการหรือการดำเนินงานของ สพร. ให้ดียิ่งขึ้น สพร.จะใช้วิธีการลบหรือทำลายเฉพาะข้อมูลส่วนบุคคลของท่าน เพื่อให้ข้อมูลดังกล่าวอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (anonymization) เพื่อปกป้องความเป็นส่วนตัวของท่าน

9. การเชื่อมต่อไปยังบริการของบุคคลภายนอก

เพื่ออำนวยความสะดวกให้กับท่านในการใช้บริการ บางบริการของ สพร. อาจมีการเชื่อมต่อไปยังเว็บไซต์ แอปพลิเคชัน หรือบริการอื่นที่เป็นของบุคคลที่สาม หรือเชื่อมต่อไปยังบริการของหน่วยงานผู้ร่วมให้บริการซึ่งเป็นหน่วยงานภายนอกที่นำบริการของหน่วยงานมาให้บริการร่วมกับบริการของ สพร. เช่น บริการย่อยบนแอปพลิเคชันทางรัฐ เป็นต้น ซึ่งบริการเหล่านี้จะอยู่ภายใต้การบริหารจัดการและการควบคุมดูแลข้อมูลส่วนบุคคลโดยบุคคลที่สามหรือหน่วยงานเจ้าของผู้ร่วมให้บริการ และ สพร. ไม่สามารถเข้าถึง หรือเข้าไปควบคุมดูแลข้อมูลส่วนบุคคลที่ท่านได้ให้ไว้กับบริการเหล่านั้นได้ และบริการดังกล่าวอาจมีประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ที่มีเนื้อหาสาระแตกต่างจากประกาศฉบับนี้

ดังนั้น เมื่อท่านคลิกลิงก์หรือเข้าใช้บริการของหน่วยงานผู้ร่วมให้บริการ ท่านจะออกจากขอบเขตที่ สพร. สามารถควบคุมดูแลข้อมูลส่วนบุคคลของท่านได้ โดย สพร. ไม่ได้มีส่วนเกี่ยวข้อง หรือสามารถตรวจสอบ หรือควบคุมการจัดการข้อมูลส่วนบุคคลของท่านบนบริการเหล่านั้นได้

และโดยประกาศนี้ จะมีผลเฉพาะบริการที่ สพร. เป็นผู้ให้บริการ และสามารถเข้าถึงและควบคุมการจัดการข้อมูลส่วนบุคคลของท่านได้เท่านั้น หากท่านใช้การเชื่อมต่อดังกล่าวเพื่อออกไปยังบริการของบุคคลที่สามหรือหน่วยงานผู้ร่วมให้บริการ ซึ่งอยู่นอกเหนือขอบเขตของประกาศนี้ สพร. ขอแนะนำให้ท่านได้อ่านและทำความเข้าใจนโยบายหรือประกาศความเป็นส่วนตัวของบริการเหล่านั้นก่อนการใช้บริการ

10. การเปลี่ยนแปลงแก้ไขประกาศความเป็นส่วนตัว

สพร. อาจมีปรับปรุงประกาศนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสม เป็นปัจจุบัน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้อง หาก สพร. มีการปรับปรุงแก้ไขประกาศนี้ สพร. จะแสดงประกาศเวอร์ชันล่าสุดไว้ที่เว็บไซต์ของ สพร.และที่เกี่ยวข้อง และอาจจะแจ้งให้ท่านทราบผ่านช่องทางต่างๆ ตามความเหมาะสม สพร. ขอแนะนำให้ท่านเข้ามาอ่านและตรวจสอบประกาศนี้เป็นประจำสม่ำเสมอ โดยเฉพาะก่อนที่ท่านจะส่งข้อมูลส่วนบุคคลผ่านบริการของ สพร.

ทั้งนี้ หากท่านยังคงใช้บริการของ สพร. ภายหลังจากที่ประกาศนี้มีการปรับปรุงแก้ไขและได้มีการแสดงประกาศไว้ที่นี้แล้ว ถือว่าท่านเห็นชอบและยอมรับในประกาศฉบับที่ปรับปรุงแล้ว

11. ช่องทางการใช้สิทธิของเจ้าของข้อมูลและการติดตามสอบถาม

สพร. เปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลมีส่วนร่วมในการควบคุมและจัดการข้อมูลของตน โดยสามารถยื่นคำร้องขอใช้สิทธิตามข้อ 3 หรือติดต่อสอบถามข้อมูลเพิ่มเติมผ่าน DGA Contact Center โดยมีรายละเอียด ดังนี้

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)

ที่อยู่ อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (TIJ) ชั้น 4 เลขที่ 999 ถนนแจ้งวัฒนะ แขวง
ทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210

หมายเลขโทรศัพท์ 02-612-6060

จดหมายอิเล็กทรอนิกส์ [email protected]

เว็บไซต์ https://www.dga.or.th/contact-dga/

โดย สพร. จะพยายามอย่างเต็มที่ในการแก้ไขข้อกังวลและปัญหาต่าง ๆ

หมายเหตุ: คำร้องสามารถยื่นโดยเจ้าของข้อมูลเอง หรือโดยบุคคลที่มีอำนาจแทนตามกฎหมาย เช่น ผู้ปกครอง ผู้อนุบาล ผู้พิทักษ์ โดยต้องแนบหลักฐานแสดงตนหรือหนังสือมอบอำนาจตามที่ สพร. กำหนด