นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) (ฉบับปรับปรุง) พ.ศ. 2566
ได้ดำเนินการประกาศแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลแล้วนั้น ดังนั้น กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศเห็นควรออกประกาศกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (ฉบับปรับปรุง) พ.ศ. 2566 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศเป็นไปอย่างมีประสิทธิภาพและเป็นไปตามบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 เพื่อให้หน่วยงานของรัฐมีมาตรฐานเดียวกันในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการที่ติดต่อเข้ามายังหน่วยงานของรัฐ และกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ โดยที่คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ได้ประกาศแนวนโยบายและแนวปฏิบัติ
แห่งกฎหมายที่เกี่ยวข้อง
อาศัยอำนาจตามความในมาตรา 6 มาตรา 7 และมาตรา 8 แห่งพระราชกฤษฎีกาการกำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 กำหนดให้หน่วยงานของรัฐ
ต้องจัดทำแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และอาศัยอำนาจตามความในข้อ 2 แห่งกฎกระทรวงแบ่งส่วนราชการกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ กระทรวงเกษตรและสหกรณ์ พ.ศ. 2563 อธิบดีกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
จึงออกประกาศไว้ดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566”
ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
ข้อ 3 ประกาศนี้
“ข้อมูล” หมายความว่า เรื่องราว หรือข้อเท็จจริง ไม่ว่าจะปรากฏอยู่ในรูปแบบของอักษร ตัวเลข เสียง ภาพ หรือรูปแบบอื่นใดที่สื่อความหมายได้โดยสภาพของสิ่งนั้นเอง หรือโดยผ่านวิธีการใด ๆ
“บุคลากรของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ” หมายความว่า ข้าราชการ พนักงานราชการ ลูกจ้างประจำ พนักงานจ้างเหมาบริการของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
“บุคคล” หมายความว่า บุคคลธรรมดา
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล รวมถึงผู้ซึ่งได้รับมอบหมายหรือมอบอำนาจที่ถูกต้องตามกฎหมายในการดำเนินการในนามเจ้าของข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น
(1) ชื่อ - นามสกุล
(2) เลขประจำตัวประชาชน เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เป็นต้น
(3) ที่อยู่ อีเมล์ หมายเลขโทรศัพท์
(4) ข้อมูลอุปกรณ์ หรือเครื่องมือและข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตาม ตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น IP Adress, MAC Adress, Cookie, User ID และ LOG File เป็นต้น
(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า เป็นต้น
(6) ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถ โฉนดที่ดิน เป็นต้น
(7) ข้อมูลที่สามารถเชื่อมโยงกับข้อมูลอื่น ซึ่งทำให้สามารถระบุตัวเจ้าของข้อมูลได้
เช่น วันเกิด และสถานที่เกิด สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (Location) ข้อมูลการศึกษา ข้อมูลทางการเงิน และข้อมูลการจ้างงาน เป็นต้น
(8) ข้อมูลการประเมินผลการทำงาน หรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
(9) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต หรือช่องทางออนไลน์อื่น ๆ
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด
ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศกำหนด
“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า อธิบดีกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศซึ่งเป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือบุคคล หรือนิติบุคคลอื่นซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือบุคคล หรือนิติบุคคลอื่นที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือผู้รับจ้างที่ให้บริการตามสัญญากับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศที่ทำหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“คุกกี้” หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็กซึ่งถูกบันทึกไว้ในอุปกรณ์คอมพิวเตอร์ หรือเครื่องมือสื่อสารของเจ้าของข้อมูลส่วนบุคคล เช่น สมาร์ทโฟน หรือผ่านทางเว็บเบราว์เซอร์ ในขณะที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานระบบเว็บไซต์
ข้อ 4 แนวนโยบายการคุ้มครองข้อมูลส่วนบุคคล มีสาระสำคัญดังนี้
(1) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศเป็นหน่วยงานที่ให้บริการด้านการศึกษา วิจัย และพัฒนาด้านการประมงเพื่อการบริหารจัดการทรัพยากรสัตว์น้ำ ควบคุมการทำการประมง การผลิตสัตว์น้ำ และสินค้าประมงที่มีมาตรฐานถูกสุขอนามัยให้มีปริมาณที่เพียงพอต่อการบริโภคภายในประเทศ และสามารถแข่งขันในตลาดโลกได้ ตลอดจนป้องกันมิให้มีการทำการประมงโดยไม่ชอบด้วยกฎหมาย อนุรักษ์และบริหารจัดการทรัพยากรประมงและสัตว์น้ำ
ให้สามารถใช้ประโยชน์ได้อย่างยั่งยืน ซึ่งภารกิจการดำเนินงานดังกล่าวมีข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอยู่เป็นจำนวนมาก จึงได้กำหนดนโยบายเกี่ยวกับเงื่อนไขและวิธีการยินยอมให้ความยินยอม
ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูล เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมดังกล่าวได้ภายใต้วิธีการที่ได้กำหนดไว้
ตามประกาศฉบับนี้ การกระทำอื่นใดที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นจะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(2) การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
(2.1) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของข้าราชการ พนักงานราชการ ลูกจ้าง ผู้ใช้บริการ และคู่ความของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ รวมถึงผู้ซึ่งได้รับความยินยอมให้ทำงาน หรือทำประโยชน์ให้กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือในสถานประกอบกิจการของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ ไม่ว่าจะเรียกชื่ออย่างไรก็ตาม
เพื่อวัตถุประสงค์ในการดำเนินงานของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ การศึกษา วิเคราะห์ วิจัยหรือการจัดทำสถิติ และปรับปรุงคุณภาพของการให้บริการแก่เจ้าของข้อมูลส่วนบุคคลให้มีประสิทธิภาพมากยิ่งขึ้น โดยจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม มีการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อวัตถุประสงค์ในการดำเนินงานของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ ดังต่อไปนี้
(2.1.1) ให้บริการกับผู้ใช้บริการ หรือบริหารจัดการที่เกี่ยวข้องกับภารกิจตามกฎหมาย หรือเกี่ยวข้องกับคู่ความของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
(2.1.2) พัฒนาและปรับปรุงคุณภาพในการให้บริการผ่านการศึกษา วิเคราะห์ วิจัย หรือการจัดทำสถิติ เพื่อให้เกิดประสิทธิภาพสูงสุด
(2.1.3) สร้างและจัดการเกี่ยวกับบัญชี (ออนไลน์) ของผู้ใช้บริการ
(2.1.4) บริการและดำเนินการเกี่ยวกับการชำระและการรับชำระเงิน
(2.1.5) ติดต่อสื่อสาร ประชาสัมพันธ์ แจ้งข่าว เผยแพร่โฆษณา
(2.1.6) ตอบสนองข้อเรียกร้อง ข้อร้องเรียน หรือข้อคิดเห็นใด ๆ
(2.1.7) ตรวจสอบ วิเคราะห์ และประเมินผล เพื่อนำมาพัฒนาการให้บริการ
(2.1.8) ป้องกัน หรือระบุตัวบุคคลเพื่อทำการตรวจสอบการดำเนินการอย่างใดที่อาจละเมิดต่อกฎหมาย หรืออาจก่อให้เกิดผลเสียหายแก่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
(2.1.9) ดำเนินการให้สอดคล้องกับหลักเกณฑ์หรือเงื่อนไขที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศกำหนด
(2.1.10) ดำเนินการให้เป็นไปตามมาตรฐานสากล และนโยบายที่เกี่ยวข้อง
(2.1.11) วิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน
(2.1.12) เพื่อระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการผ่านช่องทางต่าง ๆ หรือการติดต่อกับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
นอกจากวัตถุประสงค์ในการประมวลผลดังกล่าวข้างต้น กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอาจใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการบริหารงานบุคคล ดังต่อไปนี้
(2.1.13) รับสมัครและคัดสรรบุคลากรที่เหมาะสมกับตำแหน่งภายใต้กรอบที่กฎหมายกำหนดไว้
(2.1.14) บริหารงานบุคลากร รวมถึงงานด้านธุรการต่าง ๆ ซึ่งเป็นประโยชน์ หรือสวัสดิการของพนักงาน อาทิ การจ่ายค่าจ้างรายเดือน การฝึกอบรม เป็นต้น
(2.1.15) ดำเนินการอย่างใด ๆ ให้สอดคล้องกับระเบียบ กฎเกณฑ์ หรือนโยบายที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศกำหนด รวมถึงการสอบสวนเพื่อค้นหาข้อเท็จจริงและลงโทษในกรณีที่บุคลากรของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศได้ละเมิดหลักเกณฑ์ดังกล่าว หรือการกระทำความผิดตามที่กฎหมายกำหนด
(2.1.16) ประเมินศักยภาพในการทำงานและความเหมาะสมในการดำรงตำแหน่ง ของบุคลากรของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
การให้บริการทางเว็บไซต์ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะจัดเก็บบันทึกข้อมูลการเข้าใช้และออกจากเว็บไซต์โดยวิธีอัตโนมัติ เพื่อวัตถุประสงค์ในการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และการตรวจสอบย้อนหลัง ในกรณีที่เกิดปัญหาการใช้งาน โดยจะจัดเก็บรักษาข้อมูลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการดำเนินงานของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอาจจะเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เฉพาะในกรณีที่มีความจำเป็นโดยจะแจ้งถึงการจัดเก็บรวบรวมข้อมูลส่วนบุคคล
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศเก็บรวบรวมข้อมูลส่วนบุคคลจากไม่เกินสามสิบวันนับแต่วันที่ให้เจ้าของข้อมูลส่วนบุคคลทราบ
แหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอม หรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
(2.2) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอาจจะส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคล หน่วยงาน องค์กรนิติบุคคลภายนอกใด ๆ อาทิ
(2.2.1) ผู้ให้บริการต่าง ๆ ที่เกี่ยวข้องกับระบบและเครือข่ายการชำระเงิน
ในรูปแบบออนไลน์ และออฟไลน์
(2.2.2) ผู้ให้บริการจัดเก็บข้อมูลส่วนบุคคล ได้แก่ ผู้ควบคุมข้อมูล
ผู้ประมวลผลข้อมูล
(2.2.3) บุคคล หรือหน่วยงานตามที่กฎหมายกำหนดซึ่งมีสัญญาอยู่กับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือมีความสัมพันธ์ด้วย เพื่อให้บรรลุวัตถุประสงค์ตามที่กล่าวไว้ในนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
(2.3) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะดำเนินการตามข้อ (2.1) – (2.2) เมื่อได้รับความยินยอม
จากเจ้าของข้อมูล เว้นแต่ในกรณีดังต่อไปนี้
(2.3.1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อป้องกันอันตรายที่เกิดกับชีวิต ร่างกาย สุขภาพของเจ้าของข้อมูล เช่น การส่งข้อมูลส่วนบุคคลต่อโรงพยาบาลเพื่อการรักษาอาการเจ็บป่วยฉุกเฉินซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้ด้วยตนเอง และไม่มีวิธีอื่นใดที่จะสามารถกระทำได้โดยไม่เปิดเผยข้อมูล เป็นต้น
(2.3.2) เพื่อปฏิบัติตามสัญญา
กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการ หรือปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลและกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ ซึ่งมีความจำเป็นจะต้องทราบชื่อ นามสกุล ที่อยู่ เพื่อให้บริการ เป็นต้น
(2.3.3) เพื่อปฏิบัติภารกิจของรัฐ
กรณีมีความจำเป็นต่อการปฏิบัติตามภารกิจเพื่อประโยชน์สาธารณะ หรือการปฏิบัติหน้าที่ตามอำนาจรัฐที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศได้รับมอบหมาย โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะพิจารณาถึงความจำเป็นระหว่างการดำเนินภารกิจและสิทธิของเจ้าของข้อมูล ดังนั้น หากกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศมีหน้าที่ตามภารกิจของรัฐ
ก็สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้
(2.3.4) เพื่อประโยชน์อันชอบธรรม
กรณีมีความจำเป็นเพื่อประโยชน์อันชอบธรรมในการดำเนินงานของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะพิจารณาถึงสิทธิของเจ้าของข้อมูลเป็นสำคัญ เช่น เพื่อป้องกันการฉ้อโกง
การรักษาความปลอดภัยในระบบเครือข่าย การปกป้องสิทธิเสรีภาพ และโยชน์ของเจ้าของข้อมูล เป็นต้น
(2.3.5) เพื่อการศึกษาวิจัยหรือสถิติ
กรณีที่มีการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ
เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษา วิจัย หรือสถิติ ซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม
เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
(2.3.6) เพื่อการปฏิบัติหน้าที่ตามที่กฎหมายกำหนด หรือตามคำสั่ง
ของหน่วยงานรัฐอื่น ๆ
กรณีมีความจำเป็นต่อการปฏิบัติหน้าที่ที่กฎหมายกำหนด หรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ แต่จะต้องไม่ใช่กรณีที่ผู้ควบคุมข้อมูลมีดุลยพินิจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือมีทางเลือกอื่นใดที่สามารถทำได้ เช่น การส่งข้อมูลส่วนบุคคลตามคำสั่งของพนักงานอัยการหรือศาล และการจัดเก็บข้อมูล Log File ตามที่กำหนดในกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เป็นต้น
(2.4) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะไม่จัดเก็บข้อมูลส่วนบุคคลซึ่งเกี่ยวกับข้อมูลส่วนบุคคล
ที่มีความอ่อนไหว หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งเท่านั้น หรือโดยข้อยกเว้นตามที่กฎหมายกำหนด
(2.5) ในกรณีที่มีความจำเป็นเพื่อปฏิบัติตามกฎหมาย หากเจ้าของข้อมูลส่วนบุคคลไม่เปิดเผยข้อมูลดังกล่าว อาจส่งผลให้เจ้าของข้อมูลส่วนบุคคลละเมิดต่อกฎหมายได้ หรือไม่สามารถทำธุรกรรม หรือได้รับสิทธิประโยชน์ตามที่กฎหมายกำหนดไว้ นอกจากนี้ การที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลในกรณีที่มีความจำเป็นเพื่อเข้าทำสัญญา หรือเพื่อปฏิบัติตามสัญญากับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ ย่อมส่งผลให้ถูกปฏิเสธ
การเข้าทำสัญญา หรือรับชำระหนี้ตามสัญญาที่ได้ทำไว้กับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
(3) การรักษาความมั่นคงปลอดภัย
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะรักษาความมั่นคง ความลับ และความปลอดภัยของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข รวมถึงการเปิดเผยข้อมูลส่วนบุคคล
โดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมายด้วยการกำหนดมาตรการเชิงเทคนิคและเชิงบริหารจัดการ วิธีปฏิบัติและสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ให้เป็นไปตามที่กฎหมายกำหนด หรือสอดคล้องกับมาตรฐานสากล
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะมีการกำหนดมาตรการต่าง ๆ เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและปลอดภัยตามมาตรฐานที่กฎหมายกำหนด ดังนี้
(3.1) เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล เช่น การกำหนดชั้นความลับ วิธีการเข้าถึงข้อมูลและการจำกัดการเข้าถึงข้อมูล เป็นต้น
(3.2) กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลทางกายภาพ จัดให้มีสถานที่ที่เหมาะสมและปลอดภัยในการจัดเก็บข้อมูลหรือเอกสารต่าง ๆ และกำหนดกระบวนการลบ หรือทำลายข้อมูลและอุปกรณ์เมื่อหมดความจำเป็น หรือได้รับการร้องขอจากเจ้าของข้อมูล
(3.3) กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลด้วยระบบเทคโนโลยีสารสนเทศ เช่น การแฝงข้อมูล (Pseudonymization) การจัดทำข้อมูลนิรนาม (Anonymization) และการเข้ารหัสข้อมูล (Encryption) เป็นต้น
(3.4) กำหนดแผนรับมือและแก้ไข กรณีมีการรั่วไหล หรือการละเมิดข้อมูลส่วนบุคคล
(3.5) กำหนดมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความปลอดภัยในการดำเนินงานที่เกี่ยวข้องของข้อมูลส่วนบุคคลให้เหมาะสมกับการบริหารความเสี่ยงของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
ตามมาตรฐานสากล
(3.6) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลา ดังต่อไปนี้
(3.6.1) กรณีที่มีกฎหมายกำหนดระยะเวลาในการจัดเก็บไว้โดยเฉพาะ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะทำการเก็บรักษาข้อมูลส่วนบุคคลตามกรอบระยะเวลาดังกล่าว
(3.6.2) กรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงาน
และวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าวข้างต้น กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะพิจารณา
ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
ด้วยวิธีการที่เหมาะสม
(4) สิทธิในการเข้าถึง แก้ไข และลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของข้อมูลส่วนบุคคล เจ้าของสามารถร้องขอให้กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศดำเนินการตามสิทธิของเจ้าของข้อมูลได้ ดังนี้
(4.1) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคลหรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะจัดเตรียม หรือจัดทำสำเนาข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศมีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด หรือตามคำสั่งศาล หรือการเข้าถึงข้อมูลส่วนบุคคลนั้นอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
(4.2) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริงและเป็นปัจจุบันให้มีความครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หากกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศพิจารณาแล้วเห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปฏิเสธคำร้องขอของเจ้าของข้อมูล และจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
(4.3) สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้
เจ้าของข้อมูลสามารถยื่นคำร้องขอให้ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวของเจ้าของข้อมูลได้ โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะดำเนินการตามคำร้องภายใต้เงื่อนไข ดังนี้
(4.3.1) เมื่อหมดความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลตามวัตถุประสงค์
(4.3.2) เมื่อเจ้าของข้อมูลเพิกถอนความยินยอม และกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศไม่มีอำนาจตามกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(4.3.3) เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อการปฏิบัติภารกิจของรัฐ และเพื่อประโยชน์อันชอบธรรม และกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศไม่สามารถคัดค้านได้
(4.3.4) ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
โดยไม่ชอบด้วยกฎหมาย ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศมีสิทธิปฏิเสธคำร้อง ดังนี้
(1) การเก็บรักษาไว้เพื่อความจำเป็นในการใช้เสรีภาพในการแสดงความคิดเห็น
(2) การเก็บรักษาไว้เพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เป็นต้น
(3) การเก็บรักษาไว้เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ หรือปฏิบัติตามอำนาจรัฐที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศได้รับมอบหมาย
(4) การเก็บรักษาข้อมูลที่มีความจำเป็นในการปฏิบัติหน้าที่ตามที่กฎหมายกำหนด
(5) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือการปฏิบัติตามกฎหมาย
(5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล หรือเพิกถอนความยินยอม โดยเจ้าของข้อมูลสามารถขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
กรณีที่เจ้าของข้อมูลได้ให้ความยินยอมไว้กับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ เจ้าของข้อมูลสามารถ
ยื่นคำร้องขอระงับ หรือเพิกถอนความยินยอมนั้นได้ ในกรณีดังต่อไปนี้
(5.1) เมื่อกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลขอให้แก้ไขข้อมูลส่วนบุคคล
(5.2) เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่เจ้าของข้อมูลขอให้ระงับการใช้แทน
(5.3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ แต่เจ้าของข้อมูลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(5.4) เมื่อกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ ตามคำขอใช้สิทธิ
ในการคัดค้านของเจ้าของข้อมูล
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะดำเนินการตามคำร้องขอของเจ้าของข้อมูล แต่การระงับหรือการเพิกถอนความยินยอมดังกล่าวย่อมไม่ส่งผลกระทบต่อการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิระงับหรือเพิกถอนความยินยอมนั้น
ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศมีสิทธิปฏิเสธคำร้องขอ หากมีข้อจำกัดสิทธิในการระงับหรือเพิกถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
(6) สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองเจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานจากเครื่องมือหรืออุปกรณ์ทำงานได้โดยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไขดังนี้
(6.1) ต้องเป็นข้อมูลส่วนบุคคลที่เจ้าข้องข้อมูลได้ให้ความยินยอมในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(6.2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการ หรือตามสัญญาระหว่างเจ้าของข้อมูลกับกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ ตามข้อ (2.3.2)
ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปฏิเสธการขอรับ โอนหรือย้ายข้อมูลส่วนบุคคลหากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น หรือในทางเทคนิคไม่สามารถดำเนินการได้ โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
(7) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถยื่นคำร้องขอเพื่อห้ามมิให้กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศใช้ข้อมูลส่วนบุคคลตามเงื่อนไข ดังนี้
(7.1) ตามข้อ (4.2) หากตรวจสอบได้ว่าข้อมูลนั้นถูกต้องครบถ้วนสมบูรณ์แล้ว กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศสามารถปฏิเสธคำร้องขอดังกล่าวได้
(7.2) เมื่อเป็นข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย และเจ้าของข้อมูลไม่ได้ใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ตามข้อ (4.3.4) แต่เจ้าของข้อมูลให้ระงับการใช้แทน ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปฏิเสธคำร้องขอดังกล่าว หากสามารถอ้างหลักฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(7.3) เมื่อไม่มีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้น แต่เจ้าของข้อมูลขอให้เก็บรักษาไว้ เพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(7.4) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอยู่ระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลตามสิทธิข้อ (8)
(8) สิทธิในการคัดค้าน
เจ้าของข้อมูลสามารถยื่นคำร้องขอการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังต่อไปนี้
(8.1) เพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรมตามข้อ (2.3.3) และข้อ (2.3.4) ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปฏิเสธการคัดค้านหากพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญกว่า หรือเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(8.2) เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ ทั้งนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปฏิเสธการคัดค้าน หากมีความจำเป็นในการดำเนินการตามภารกิจเพื่อประโยชน์สาธารณะของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะบันทึกเหตุผลในการปฏิเสธคำร้องไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้าน กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป
โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจน เมื่อเจ้าของข้อมูลได้แจ้งการคัดค้านให้กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศทราบ
(9) สิทธิการได้รับแจ้งข้อมูล
เจ้าของข้อมูลมีสิทธิที่จะได้รับแจ้งข้อมูล กรณีที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือได้รับจากบุคคลที่สาม ตามช่องทางการสื่อสารของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
(10) สิทธิในการร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล
หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืน หรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อ 5 ข้อสงวนสิทธิ
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศขอสงวนสิทธิในการปฏิเสธคำร้องขอตามข้อ 4 กรณีดังต่อไปนี้
(5.1) กฎหมายกำหนดให้สามารถดำเนินการได้
(5.2) ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อ หรือบอกลักษณะอันสามารถระบุตัวตนของเจ้าของข้อมูลได้
(5.3) ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูล หรือเป็นผู้มีอำนาจในการยื่นคำร้องขอดังกล่าว
(5.4) คำร้องขอดังกล่าวไม่สมเหตุสมผล เช่น กรณีที่ผู้ร้องขอไม่มีสิทธิตามกฎหมาย หรือไม่มีข้อมูลส่วนบุคคลนั้นที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ เป็นต้น
(5.5) คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกัน หรือเนื้อหาเดียวกันซ้ำ ๆ กันโดยไม่มีเหตุอันควร เป็นต้น
(5.6) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศอาจกำหนดค่าใช้จ่ายในการดำเนินการตามคำร้องขอใช้สิทธิตามหลักเกณฑ์ที่กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศกำหนด
ข้อ 6 ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศกำหนดให้เจ้าหน้าที่ของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศมีหน้าที่ในการจัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ ต้องปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
อย่างเคร่งครัด
ข้อ 7 การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
(7.1) กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมาย และการดำเนินงานของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ รวบถึงอาจปรับปรุงเพื่อให้สอดคล้อง
กับข้อเสนอแนะจากเจ้าของข้อมูล โดยกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศจะประกาศแจ้งให้ทราบอย่างชัดเจนก่อนเริ่มดำเนินการ
หรืออาจส่งประกาศแจ้งเตือนให้เจ้าของข้อมูลรับทราบโดยตรงตามช่องทางการสื่อสารของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ
(7.2) ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล หรือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศยินดีที่จะตอบข้อสงสัย รับฟังข้อเสนอแนะ และคำติชมทั้งหลาย อันเป็นประโยชน์ต่อการปรับปรุงการให้บริการของกลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศต่อไป
โดยท่านสามารถติดต่อได้ที่
กลุ่มบริหารจัดการระบบเครือข่ายและความปลอดภัยเทคโนโลยีสารสนเทศ เลขที่ 50 เกษตรกลาง เขตจตุจักร กรุงเทพมหานคร 10900
E-mail : secretary@fisheries.go.th
ทั้งนี้ ตั้งแต่บัดนี้เป็นต้นไป
ประกาศ ณ วันที่ 27 เมษายน พ.ศ. 2566
เอกสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (ฉบับปรับปรุง) พ.ศ. 2566
พระราชกรณียกิจ (ประมง)
หน้าหลัก
คลังความรู้
บทความหน้าหลัก Hits 10 อันดับ (6 เดือน)
กิจกรรม Hits 10 อันดับ (6 เดือน)
วันฉัตรมงคล ๒๕๖๖ 
35 