นโยบายความเป็นส่วนตัว
การยินยอมให้จัดเก็บและเปิดเผยข้อมูลส่วนบุคคล นโยบายคุ้มครองข้อมูลส่วนบุคคลของกรมประชาสัมพันธ์ ปรับปรุง เดือนพฤษภาคม พ.ศ.2565 โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กำหนดให้หน่วยงานและองค์กรโดยทั่วไป ต้องดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้งาน และเผยแพร่ ดังนั้น เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของกรมประชาสัมพันธ์สอดคล้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ตลอดจนสร้างความเชื่อมั่นแก่เจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้งาน และเผยแพร่ กรมประชาสัมพันธ์จึงประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคลลไว้ ดังนี้ 1. นโยบายนี้ให้ใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป 2. ในนโยบายนี้ “กปส.” หมายถึง กรมประชาสัมพันธ์ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ เลขบัตรประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล (email address) ทะเบียนรถยนต์ IP Address, Cookies, Log File เป็นต้น “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูลส่วนบุคคล และให้หมายรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ รวมตลอดทั้งผู้ที่ถือว่าเป็นเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่และอำนาจกำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล (อันจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะใดลักษณะหนึ่งได้) เช่น การจัดเก็บ รวบรวม การบันทึก การจัดระบบ จัดโครงสร้าง การปรับปรุงหรือการแก้ไขข้อมูล การดึงข้อมูล การให้คำปรึกษาที่ต้องใช้ข้อมูลในการให้คำปรึกษา การใช้ข้อมูล การเปิดเผยด้วยการส่งต่อ การเผยแพร่ หรือ การกระทำใด ๆ เพื่อให้ข้อมูลสามารถเข้าถึงหรือใช้งานได้ การรวมข้อมูลเข้าด้วยกัน การดำเนินการเพื่อให้ข้อมูลสอดคล้องกัน การจำกัดการใช้งาน การลบ หรือการทำลายข้อมูล 3. นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. เป็นดังนี้ 3.1 ข้อมูลที่มีการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล กปส. จะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นและอย่างจำกัดต่อการปฏิบัติงานตามภารกิจของ กปส. เท่านั้น ซึ่งประกอบด้วย ข้อมูลคณะกรรมการ คณะอนุกรรมการ ที่ปรึกษา เจ้าหน้าที่ ลูกจ้าง ผู้ให้บริการภายนอก ผู้ร่วมทุน/ผู้ร่วมธุรกิจ ผู้รับทุน ผู้ติดต่อ/ผู้ประสานงาน ข้อมูลชื่อผู้ใช้งานระบบสารสนเทศ ข้อมูลจราจรทางคอมพิวเตอร์ และข้อมูลภาพเคลื่อนไหวจากการบันทึกกล้องวงจรปิดในบริเวณพื้นที่ของ กปส. 3.2 แหล่งที่มาของข้อมูลการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลโดย กปส. นั้น อาจเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลโดยตรงกับ กปส. หรืออาจเป็นในกรณีที่ กปส. ได้รับข้อมูลส่วนบุคคล จากแหล่งอื่น เช่น การเก็บรวบรวมมาจากการจัดกิจกรรมของ กปส. การจัดกิจกรรมร่วมกับหน่วยงาน อื่น ๆ ซึ่งเป็นผู้รวบรวมข้อมูลหรือร่วมกันรวบรวมข้อมูล เป็นต้น กปส. เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูล ดังต่อไปนี้ 3.2.1 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนาม ในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดย กปส. หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับ กปส. ณ ที่ทำการ หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย กปส. เป็นต้น 3.2.2 ข้อมูลที่ กปส. เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของ กปส. ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น 3.2.3 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูล ส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ กปส. เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐ ในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูล ส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ กปส. มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลาง เพื่อสนับสนุนการดำเนินการ ของหน่วยงานรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงความจำเป็น เพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้ นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ กปส. ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ ตามแต่กรณีให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับ ความยินยอมในการเปิดเผยข้อมูลแก่ กปส. ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของ กปส. อาจเป็นผลให้ กปส. ไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน 3.3 วัตถุประสงค์ของการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล กปส. จะจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อปฏิบัติงานตามภารกิจของ กปส. เพื่อปฏิบัติหน้าที่ตามสัญญา เพื่อพิสูจน์และยืนยันตัวตน เพื่อติดต่อสื่อสารและประสานงาน เพื่อให้เงินเดือน เงินชดเชย และสิทธิประโยชน์ของเจ้าหน้าที่ เพื่อปฏิบัติตามกฎหมาย และเพื่อติดตามตรวจสอบเกี่ยวกับความปลอดภัยทั้งนี้ กปส. ได้แจ้งวัตถุประสงค์ของการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมโดยชัดแจ้งแก่ กปส. ก่อนหรือในขณะประมวลผลข้อมูลส่วนบุคคล หรือตามที่กฎหมายให้สิทธิ กปส. สามารถประมวลผลข้อมูลส่วนบุคคลได้ โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ต้องให้ความยินยอม 3.4 ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล กปส. พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านตาม ความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล ที่ กปส. ใช้ ประกอบด้วย ฐานกฎหมายในการเก็บรวบรวมข้อมูล รายละเอียด เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐที่ กปส. ได้รับ เพื่อให้ กปส. สามารถใช้อำนาจรัฐและดำเนินภารกิจ เพื่อประโยชน์สาธารณะตามพันธกิจ กปส. ซึ่งกำหนดไว้ตามกฎหมาย เช่น - พ.ร.บ. จัดตั้งกระทรวงและกรม พ.ศ. 2476 - พ.ร.บ. ปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545 - พ.ร.บ. การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 รวมถึง กฎ ระเบียบ คำสั่งและมติคณะรัฐมนตรีที่เกี่ยวข้อง เพื่อการปฏิบัติหน้าที่ตามกฎหมาย เพื่อให้ กปส. สามารถปฏิบัติตามที่กฎหมายที่ควบคุม กปส. เช่น - การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.ว่าด้วย การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 - พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540 - พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 - พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 - พ.ร.บ. สุขภาพแห่งชาติ พ.ศ. 2550 - พ.ร.บ. กสทช. พ.ศ. 2553 รวมถึง การดำเนินการตามคำสั่งศาล เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เพื่อประโยชน์โดยชอบด้วยกฎหมายของ กปส. และของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัย อาคารสถานที่ของ กปส. หรือการประมวลผลข้อมูลส่วนบุคคล เพื่อกิจการภายในของ กปส. เป็นต้น เป็นการจำเป็น เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชัน เพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น เพื่อการปฏิบัติตามสัญญา เพื่อให้ กปส. สามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญา ซึ่งท่านเป็นคู่สัญญากับ กปส. เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญา ในรูปแบบอื่น เป็นต้น เพื่อการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญ เพื่อให้ กปส. สามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัย หรือสถิติ ตามที่ กปส. อาจได้รับมอบหมาย เช่น การจัดทำทำเนียบผู้ดำรงตำแหน่งผู้อำนวยการ หรือคณะกรรมการ การจัดทำสถิติการใช้บริการดิจิทัลภาครัฐ งานติดตามการดำเนินนโยบายรัฐบาลดิจิทัล เป็นต้น ความยินยอมของท่าน เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่ กปส. จำเป็นต้องได้รับความยินยอมจากท่าน โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล ก่อนการขอ ความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา 24 หรือ 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ การนำเสนอ ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจแก่ท่าน เป็นต้น 3.5 ระยะเวลาในการจัดเก็บข้อมูล และประมวลผลข้อมูลส่วนบุคคล กปส. จะจัดเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเป็นระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะ เก็บรวบรวมข้อมูลส่วนบุคคล หลักเกณฑ์ที่ใช้กำหนดระยะเวลาจัดเก็บ คือระยะเวลาที่ กปส. ได้ดำเนินความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และให้บริการแก่เจ้าของข้อมูลส่วนบุคคล และอาจจัดเก็บต่อไป ตามระยะเวลาที่จำเป็น เพื่อการปฏิบัติตามกฎหมาย หรือตามอายุความทางกฎหมาย เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย ทั้งนี้เมื่อพ้นระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล กปส. จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อหมดความจำเป็น หรือสิ้นสุดตามระยะเวลาที่กำหนด 3.6 การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กปส. จะใช้และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้ ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยอาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นและจำกัด ให้แก่หน่วยงานกำกับดูแล ผู้ตรวจสอบภายนอก และหน่วยงานทางกฎหมายหรือหน่วยงานอื่น ๆ ตามกระบวนการทางกฎหมาย รวมถึงอาจมีการเปิดเผยข้อมูลตามข้อบังคับทางกฎหมาย หรือปฏิบัติตามคำสั่งทางกฎหมาย 3.7 สิทธิของเจ้าของข้อมูลส่วนบุคคล กปส. ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล ให้มีสิทธิตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังต่อไปนี้ 3.7.1 สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับ กปส. ทั้งนี้เฉพาะกรณีที่เจ้าของข้อมูลส่วนบุคคลได้เคยให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลไว้กับ กปส. โดย กปส. จะหยุด การประมวลผลข้อมูลส่วนบุคคลนั้น และหากพิจารณาแล้วว่าไม่มีความจำเป็นหรือไม่มีฐานโดยชอบด้วยกฎหมายอื่น ๆ ที่จะประมวลผลข้อมูลส่วนบุคคลนั้น กปส. จะลบหรือทำลายข้อมูลส่วนบุคคคล หรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตน ของเจ้าของข้อมูลส่วนบุคคลนั้นได้ 3.7.2 สิทธิในการขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล และสิทธิในการร้องขอ ให้เปิดเผยการได้มาของข้อมูลส่วนบุคคล โดยไม่กระทบต่อสิทธิเสรีภาพของบุคคลอื่น 3.7.3 สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล ให้แก่ผู้ควบคุมข้อมูลรายอื่น ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป 3.7.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเมื่อใดก็ได้ 3.7.5 สิทธิในการร้องขอให้ กปส. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ 3.7.6 สิทธิในการขอให้ กปส. ระงับการใช้ข้อมูลส่วนบุคคลได้ 3.7.7 สิทธิในการร้องขอให้ กปส. ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด 3.7.8 สิทธิในการร้องเรียน กรณีที่ กปส. หรือเจ้าหน้าที่ หรือผู้รับจ้างของ กปส. ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ กปส. ได้ดำเนินการไปแล้วโดยชอบก่อนการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ดี กปส. อาจพิจารณาไม่ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีข้อยกเว้น ตามกฎหมาย หรือสัญญา เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการประมวลผล หรือเป็นการปฏิบัติตามคำสั่งศาล หรือหาก กปส. ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น โดย กปส.จะดำเนินการบันทึกคำร้องขอ ตรวจสอบ และตอบกลับคำร้องขอ ภายในระยะเวลาอันสมควร 3.8 มาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 3.8.1 กปส. จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล อย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งสอดคล้องกับการดำเนินงานของ กปส. และมาตรฐานที่รับรองโดยทั่วไป รวมถึงการกำหนดให้เจ้าหน้าที่ของ กปส. เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล ในการนี้ กปส. จะมีการสอบทานและปรับปรุงมาตรการดังกล่าวตามความจำเป็น เพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานและกฎหมายที่เกี่ยวข้อง 3.8.2 กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลส่วนบุคคลอย่างปลอดภัย และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ กปส. ดำเนินการมีดังนี้ 3.8.2.1 กำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อการคุ้มครอง ข้อมูลส่วนบุคคล 3.8.2.2 จำกัดสิทธิของเจ้าหน้าที่ของ กปส. ในการเข้าถึงข้อมูลส่วนบุคคล 3.8.2.3 ป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตน และเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็นตามมาตรฐานสากล 3.8.2.4 กำหนดให้คู่ค้าที่ทำธุรกิจกับกปส. มีหน้าที่ในการรักษาความลับ และต้อง ปฏิบัติตามหลักเกณฑ์ ตามกฎหมายและระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด รวมถึงกำหนดข้อจำกัดการใช้ข้อมูลส่วนบุคคลในสัญญาที่องค์กร ทำกับคู่ค้าแต่ละราย 3.8.2.5 ประเมินผลการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษา ความมั่นคงปลอดภัยของข้อมูลของ กปส. อย่างสม่ำเสมอ 3.9 คุกกี้ กปส. เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ ความดูแลของ กปส. เช่น www.prd.go.th หรือบนอุปกรณ์ของท่านตามแต่บริการที่ท่านใช้งาน ทั้งนี้เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของ กปส. และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวก และประสบการณ์ที่ดี ในการใช้งานบริการของ กปส. และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของ กปส. ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของท่านโดยนโยบายคุกกี้ (Cookies Policy) 3.10 ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ กรณีที่ กปส. ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ กปส. จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น จนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด กรณีที่ กปส. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า กปส. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ กปส. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก กปส. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่น นอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลดังกล่าว 3.11 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ในบางกรณี กปส. อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ กปส. ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อ กปส. มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง กปส. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไข เพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่ 3.11.1 เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ กปส. ต้องส่งหรือโอนข้อมูล ส่วนบุคคลไปต่างประเทศ 3.11.2 ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่าน ในกรณีที่ประเทศ ปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตาม ประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศ กำหนด 3.11.3 เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ กปส. หรือ เป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น 3.11.4 เป็นการกระทำตามสัญญาของ กปส. กับบุคคลหรือนิติบุคคลอื่น เพื่อ ประโยชน์ของท่าน 3.11.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้ 3.11.6 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ 3.12 การเชื่อมต่อเว็บไซต์หรือบริการภายนอก บริการของ กปส. อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ กปส. ขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กปส. ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม 3.13 สิทธิของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ ทั้งนี้ สิทธิดังกล่าวจะเริ่มมีผลบังคับใช้เมื่อกฎหมายในส่วนของสิทธินี้มีผลใช้บังคับ โดย กปส. ได้ดำเนินการกำหนดสิทธิและชี้แจงรายละเอียดของสิทธิต่าง ๆ อ้างอิงตามแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (Privacy Guideline) 3.14 การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล กปส. มีนโยบายในการพัฒนาและทบทวนมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเป็นไปตามหลักธรรมาภิบาลและกฎหมายที่เกี่ยวข้อง กปส. จึงอาจปรับปรุงหรือแก้ไขนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงกฎหมายที่สำคัญ โดยองค์กรจะประกาศไว้ที่เว็บไซต์ของกปส. และ/หรือช่องทางอื่น ๆ ตามที่กปส. เห็นสมควร กปส. จึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายของ กปส. ทุกครั้งที่มีการปรับปรุง เปลี่ยนแปลง หรือแก้ไข 3.15 การติดต่อกับกรมประชาสัมพันธ์ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย มีข้อเสนอแนะ ต้องการร้องขอ ร้องเรียน หรือพบปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อเพื่อแจ้งให้ กปส. ได้รับทราบตามที่อยู่ด้านล่างนี้ ที่อยู่: เลขที่ 9 กรมประชาสัมพันธ์ ถนนพระราม 6 ซอยพระรามหก ซอย 30 แขวงพญาไท เขตพญาไท กรุงเทพ 10400 โทรศัพท์: 02 618 2323 E-mail: pdpa@prd.go.th ทั้งนี้ กปส. ได้มีการดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อตรวจสอบการดำเนินงานของหน่วยงานภายใน และผู้ให้บริการภายนอกที่ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลให้แก่องค์กร ให้ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้องอื่น ๆ