ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล IPPD
PDPA_POLICY
นโยบายคุ้มครองข้อมูลส่วนบุคคล
(Personal Data Privacy Policy)
สถาบันนโยบายสาธารณะและการพัฒนา
1. บทนำ
สถาบันนโยบายสาธารณะและการพัฒนา (ต่อไปในนโยบายนี้เรียกว่า “สนสพ.” หรือ “สถาบัน”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า สนสพ. มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือ เปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย สนสพ. รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของ สนสพ.โดยมีเนื้อหาสาระดังต่อไปนี้
2. คำนิยาม
“สนสพ.” หมายถึง สถาบันนโยบายสาธารณะและการพัฒนา
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล หมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์ วันเดือนปีเกิด รหัสส่วนตัว รูปภาพ หรือวิดีโอที่บันทึกจากกล้องวงจรปิด (CCTV) รวมถึงข้อมูลทางชีวมิติ (Biometric) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
โดยทั่วไป สนสพ. จะเก็บรวบรวมข้อมูลส่วนบุคคลจากการที่ท่านเป็นผู้ให้ข้อมูลนั้นกับ สนสพ. โดยตรง เช่น กรอกข้อมูลบนแบบฟอร์ม การให้ข้อมูลผ่านโทรศัพท์หรือเว็บไซต์หรือแอปพลิเคชันต่าง ๆ ที่ สนสพ. จัดให้มีขึ้น เป็นต้น เว้นแต่บางกรณี สนสพ. อาจได้รับข้อมูลส่วนบุคคลของท่านจากบุคคลที่สาม โดย สนสพ. เชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บข้อมูลส่วนบุคคลของท่านและเปิดเผยกับ สนสพ. และ สนสพ. จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น และใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่กำหนด ซึ่งเป็นวัตถุประสงค์ที่ชอบด้วยกฎหมาย หรือเป็นการดำเนินการตามข้อกำหนดของกฎหมายที่ให้ สนสพ. ต้องจัดเก็บข้อมูลดังกล่าว
ทั้งนี้ ในกรณีที่ท่านมีการติดต่อหรือใช้บริการผ่านเว็บไซต์หรือแอปพลิเคชันของ สนสพ. นั้น สนสพ.
มีความจำเป็นต้องปฏิบัติตามกฎหมายซึ่งกำหนดให้ สนสพ. ต้องเก็บรวบรวมข้อมูลของท่านจากการเข้าใช้งานดังกล่าว เช่น หมายเลข IP Address เป็นต้น นอกจากนี้ เพื่ออำนวยความสะดวกในการใช้บริการเว็บไซต์หรือแอปพลิเคชัน สนสพ. อาจมีการใช้เทคโนโลยีอัตโนมัติในการเก็บรวบรวมข้อมูลการใช้งานของท่าน ซึ่งอาจรวมถึง คุกกี้ เว็บบีคอน พิกเซลแท็ก และเทคโนโลยีการติดตามอื่น ๆ ที่มีลักษณะคล้ายกัน โดย สนสพ. ขอเรียกรวมกันว่า “คุกกี้ (Cookie)” ซึ่งท่านสามารถอ่านรายละเอียดการใช้คุกกี้ได้บนเว็บไซต์ สนสพ.
“ข้อมูลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ สนสพ. เก็บรวบรวมใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
3. การเก็บรวบรวมข้อมูลส่วนบุคคลของสถาบัน
1. เมื่อท่านได้มาติดต่อ เข้าร่วมกิจกรรม หรือขอรับบริการใด ๆ ของ สนสพ. หรือกรณี สนสพ. มีการดำเนินภารกิจเกี่ยวกับงานวิจัยและสำรวจ โดย สนสพ. อาจมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากท่าน เช่น
– ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล หมายเลขบัตรประชาชน เป็นต้น
– ข้อมูลการติดต่อ เช่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ ช่องทางติดต่อในสื่อสังคมออนไลน์ สถานที่ทำงาน เป็นต้น
– ข้อมูลเกี่ยวกับงานของท่าน เช่น อาชีพ ตำแหน่ง หน่วยงานต้นสังกัด เป็นต้น
– ข้อมูลด้านเทคนิคและการใช้ข้อมูล เช่น IP Address ในกรณีที่ท่านเข้ารับบริการผ่านระบบออนไลน์ของ สนสพ. เป็นต้น
– ข้อมูลส่วนตัวอื่น ๆ ที่ท่านให้ สนสพ.ด้วยความสมัครใจ
2. เมื่อท่านเข้ามาในบริเวณพื้นที่ของ สนสพ. โดย สนสพ. อาจมีการบันทึกภาพของท่านโดยใช้กล้องวงจรปิด (CCTV) ทั้งนี้ สนสพ. จะติดป้ายแจ้งให้ท่านทราบว่ามีการใช้กล้องวงจรปิดในบริเวณพื้นที่ของ สนสพ.
3. เมื่อท่านเข้ามาในบริเวณพื้นที่ที่ สนสพ. มีการจัดประชุม สัมมนา ประชาพิจารณ์ หรือกิจกรรมใด ๆ โดย สนสพ. อาจมีการบันทึกภาพถ่ายหรือวีดีโอ เพื่อเก็บบันทึกข้อมูลการจัดกิจกรรม หรือเพื่อใช้ประกอบการจัดทำสื่อประชาสัมพันธ์ของ สนสพ. ทั้งนี้ สนสพ. จะติดป้ายแจ้งให้ท่านทราบว่ามีการบันทึกภาพถ่ายหรือวีดีโอในบริเวณพื้นที่ดังกล่าว
4. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
สนสพ. อาจมีความจำเป็นต้องเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อ
1. ให้ท่านเข้าใช้บริการหรือเข้าร่วมกิจกรรมต่าง ๆ ของ สนสพ.
2. ให้ สนสพ. สามารถให้ความช่วยเหลือ ตอบข้อซักถามหรือข้อร้องเรียนของท่าน
3. สำรวจและรวบรวมข้อมูลทางสถิติเกี่ยวกับงานวิจัยและสำรวจ โดยมีการวิเคราะห์และสรุปเป็นข้อมูลในภาพรวมที่ไม่เปิดเผยตัวตน
4. วิเคราะห์ ตรวจสอบเพื่อปรับปรุงการดำเนินกิจกรรมหรือการให้บริการ ตลอดจนสนับสนุนการวิจัยและพัฒนานวัตกรรมใหม่ที่จะทำให้ท่านได้รับความสะดวกสบายและได้รับประสบการณ์ที่ดียิ่งขึ้นในการเข้าใช้บริการของ สนสพ.
5. รับสมัครงาน
6. จัดซื้อจัดจ้าง และบริหารพัสดุของ สนสพ.
7. รับเงิน จ่ายเงิน หรือการดำเนินการใด ๆ ด้านการเงินและการบัญชีของ สนสพ.
8. ประชาสัมพันธ์กิจกรรมและข้อมูลข่าวสารของ สนสพ. ให้กับท่านทราบ ตลอดจนเชิญท่านเข้าร่วมกิจกรรมต่าง ๆ ของ สนสพ.
9. ปฏิบัติงานตามหน้าที่ที่กฎหมายของ สนสพ. หรือกฎหมายอื่นกำหนดให้ สนสพ. ต้องปฏิบัติ
5. การเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคล อย่างจำกัด
ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านนั้น สนสพ. จะดำเนินการเท่าที่จำเป็นและเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดหลักการและเหตุผลทางกฎหมายไว้หลายประการตามสถานการณ์ที่แตกต่างกัน ซึ่งอนุญาตให้ สนสพ.ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายนี้สามารถดำเนินการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของท่านได้ภายใต้วัตถุประสงค์ตามที่ สนสพ.กำหนดไว้
ทั้งนี้ โดยทั่วไป สนสพ. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน เมื่อมีฐานทางกฎหมายรองรับ ดังนี้
1. ท่าน หรือผู้แทนโดยชอบด้วยกฎหมายของท่านให้ความยินยอม
2. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับ สนสพ. หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญากับ สนสพ.
3. เป็นการจำเป็นในการปกป้องหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ สนสพ. หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ สนสพ.
5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ สนสพ. หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน
6. เป็นการจำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของท่าน ทั้งนี้ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
7. เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง
6. สิทธิในข้อมูลส่วนบุคคล
1. สิทธิในการได้รับแจ้ง สนสพ. จะมีการแจ้ง “ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)”ที่มีรายละเอียดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยที่ชัดเจน
2. สิทธิในการเพิกถอนความยินยอม ท่านสามารถขอเพิกถอนความยินยอมที่เคยให้ สนสพ. ไว้ได้ทุกเมื่อ
3. สิทธิในการเข้าถึงข้อมูล ท่านสามารถขอเข้าถึงข้อมูลส่วนบุคคลของท่าน และขอสำเนาข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้ สนสพ. เปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
4. สิทธิในการแก้ไขข้อมูล ท่านสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
5. สิทธิในการลบข้อมูล ท่านสามารถขอให้ สนสพ. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
6. สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของ สนสพ. รองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ท่านสามารถขอรับสำเนาข้อมูลส่วนบุคคลของท่านได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้
7. สิทธิในการระงับการใช้ข้อมูล ท่านสามารถขอให้ สนสพ. ระงับการใช้ข้อมูลส่วนบุคคลได้
8. สิทธิในการคัดค้านการประมวลผลข้อมูล ท่านสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้
ทั้งนี้ ในบางกรณีสำนักงานอาจปฏิเสธคำขอใช้สิทธิข้างต้นได้ หากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น
7. การปกป้องดูแลข้อมูลส่วนบุคคล
สนสพ. ตระหนักถึงความไว้วางใจของท่านที่ได้ให้ข้อมูลที่สำคัญกับ สนสพ. และโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ สนสพ.ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องมีมาตรการและการจัดการด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่า ข้อมูลเหล่านั้นจะได้รับการปกป้องดูแล และพร้อมให้เจ้าของข้อมูลเข้าถึงและตรวจสอบ
โดยตัวอย่างมาตรการและการจัดการด้านความมั่นคงปลอดภัยในการปกป้องดูแลข้อมูลส่วนบุคคลที่ สนสพ. มีการนำมาใช้ เช่น
1. กำหนดมาตรการป้องกันทางกายภาพ และการจำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะพนักงานของ สนสพ.ที่มีความจำเป็นต้องเข้าถึงข้อมูลนั้น ๆ (Need to Know Basis)
2. กำหนดมาตรการป้องกันการเข้าถึงระบบและข้อมูล เช่น การใช้รหัสผ่านเพื่อเข้าสู่ระบบการให้บริการ เป็นต้น เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่าน
3. มีการเข้ารหัสข้อมูล (Encryption) ที่มีชั้นความลับเพื่อให้ข้อมูลไม่สามารถถูกเปิดอ่านได้จากผู้ที่ไม่มีสิทธิ
4. กำหนดกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล โดยหากเกิดเหตุดังกล่าว สนสพ. จะรีบแจ้งท่านทราบโดยเร็ว รวมถึงแจ้งเจ้าหน้าที่รัฐที่ดูแลเรื่องนี้ในกรณีที่กฎหมายกำหนดให้ต้องแจ้ง
5. มีการอบรมเจ้าหน้าที่ของ สนสพ. เพื่อสร้างความตระหนักและความเข้าใจในขั้นตอนการปฏิบัติงานในการดูแลคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล
6. ทบทวนกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคลตามระยะเวลาที่กำหนด เพื่อให้มั่นใจว่ากระบวนการทำงานเป็นไปอย่างเหมาะสมและสอดคล้องกับสถานการณ์ปัจจุบัน
7. ตรวจสอบ ทดสอบระบบที่มีการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบหรือเทคโนโลยีที่ใช้มีความมั่นคงปลอดภัย และมีการปรับปรุงและติดตั้งซอฟต์แวร์การจัดการด้านการรักษาความมั่นคงปลอดภัยเวอร์ชันล่าสุดแล้ว (Update Patches)
อย่างไรก็ตาม โปรดตระหนักว่า การส่งข้อมูลผ่านเครือข่ายสาธารณะหรือการใช้เครื่องคอมพิวเตอร์สาธารณะหรือแม้แต่การใช้เครื่องคอมพิวเตอร์หรืออุปกรณ์สื่อสารส่วนตัวของท่านซึ่งติดมัลแวร์ มีความเสี่ยง และสำนักงานไม่สามารถรับประกันความปลอดภัยในข้อมูลของท่าน ซึ่งอาจถูกลักลอบเข้าถึง หรือถูกเปิดเผย หรือถูกโอนถ่ายออกไป และทำให้ท่านเกิดความเสียหายได้
8. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
สนสพ. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็น เพื่อการปฏิบัติหน้าที่และการให้บริการภายใต้วัตถุประสงค์โดยชอบด้วยกฎหมายของ สนสพ.
อย่างไรก็ดี สนสพ. อาจจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลของท่านเกินระยะเวลาที่กำหนดข้างต้น หากมีเหตุที่ สนสพ. ได้รับแจ้งหรือเชื่อโดยสุจริตได้ว่าอาจมีการกระทำละเมิดข้อตกลงการใช้บริการของ สนสพ. หรือมีการกระทำฝ่าฝืนกฎหมาย หรือเกิดข้อพิพาท และจำเป็นต้องมีการสืบสวน สอบสวน ตลอดจนรวบรวมหลักฐานเพื่อดำเนินคดีตามกฎหมาย โดย สนสพ. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็นจนกว่ากระบวนการจะเสร็จสิ้น หรือตามระยะเวลาที่กฎหมายที่เกี่ยวข้องในเรื่องนั้นกำหนด
9. ติดต่อ สนสพ.
สถาบันนโยบายสาธารณะและการพัฒนา
สำนักงานสภาพัฒนาการเศรษฐกิจและสังคมแห่งชาติ อาคาร 4 ชั้น 4 เลขที่ 962 ถนนกรุงเกษม แขวงวัดโสมนัส เขตป้อมปราบศัตรูพ่าย กรุงเทพฯ 10100
หมายเลขโทรศัพท์ 02-2804085 ต่อ 4401 หรือ 092-4726987
อีเมล contact@ippd.or.th