dga
ประกาศความเป็นส่วนตัว (Privacy Notice)
ของ “แพลตฟอร์มดิจิทัลประชาชน” หรือ “แอปพลิเคชันทางรัฐ”

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (“สพร.”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ (“ท่าน”) โดย สพร. จะดูแลและบริหารจัดการข้อมูลส่วนบุคคลของท่านให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) และกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

และโดยที่ สพร. เป็นผู้พัฒนาและให้บริการแพลตฟอร์มดิจิทัลประชาชน หรือ แอปพลิเคชันทางรัฐ ผ่านช่องทางแอปพลิเคชันบนโทรศัพท์เคลื่อนที่ และเว็บไซต์ (รวมเรียกว่า “แพลตฟอร์มดิจิทัลประชาชน”) เพื่อเป็นศูนย์กลางบริการดิจิทัลให้ประชาชนเข้าถึงบริการภาครัฐที่สะดวก รวดเร็ว และปลอดภัย ซึ่งแพลตฟอร์มดิจิทัลประชาชนนี้จะประกอบด้วยบริการกลางและบริการย่อย (Mini Applications) ที่ สพร. หรือหน่วยงานผู้ร่วมให้บริการเป็นผู้พัฒนาและให้บริการ โดยบริการต่าง ๆ เหล่านี้จำเป็นต้องมีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อนำมาให้บริการและการดำเนินการที่เกี่ยวข้อง

ดังนั้น ประกาศความเป็นส่วนตัวนี้ (“ประกาศ”) จึงจัดทำขึ้นเพื่อแจ้งให้ท่านซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลทราบถึงแนวทาง หลักเกณฑ์ และวิธีการที่ สพร. ดำเนินการเก็บรวบรวม ใช้ และเปิดเผย (“ประมวลผล”) ข้อมูลส่วนบุคคลของท่านจากการเข้าใช้บริการต่าง ๆ บนแพลตฟอร์มดิจิทัลประชาชน

สพร. ขอแนะนำให้ท่านอ่านและทำความเข้าใจประกาศนี้ก่อนให้ข้อมูลส่วนบุคคลผ่านแพลตฟอร์มดิจิทัลประชาชน หากท่านมีข้อกังวล ข้อสงสัย หรือประสงค์สอบถามข้อมูลเพิ่มเติมเกี่ยวกับประกาศนี้ หรือนโยบายที่เกี่ยวข้อง โปรดติดต่อ สพร. ตามช่องทางที่ระบุไว้ท้ายประกาศนี้

1. ข้อมูลส่วนบุคคลของท่าน

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ตัวอย่างเช่น ชื่อ–นามสกุล หมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์ วันเดือนปีเกิด ที่อยู่ รหัสผู้ใช้งาน ภาพถ่ายใบหน้า หรือข้อมูลทางเทคนิคที่เชื่อมโยงกับการใช้งานของท่านบนแพลตฟอร์มดิจิทัลประชาชน

สำหรับข้อมูลส่วนบุคคลอ่อนไหว เช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ความพิการ ข้อมูลสุขภาพ ข้อมูลพันธุกรรม หรือข้อมูลชีวมิติ (Biometric Data) นั้น สพร. จะดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผย เฉพาะเมื่อมีความจำเป็นและมีฐานทางกฎหมายรองรับ หรือได้รับความยินยอมโดยชัดแจ้งจากท่าน ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

โดยทั่วไป วิธีการที่ สพร. จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน มีดังนี้

  1. จากการที่ท่านเป็นผู้ให้ข้อมูลนั้นกับ สพร. โดยตรง เช่น การลงทะเบียนบัญชีผู้ใช้งาน การกรอกข้อมูลผ่านแบบฟอร์มบนบริการในแพลตฟอร์มดิจิทัลประชาชน การอัพโหลดเอกสารประกอบเพื่อยืนยันตัวตนหรือยืนยันสิทธิหรือปฏิบัติตามข้อกำหนดของบริการ รวมถึงการให้ข้อมูลผ่านระบบผ่านระบบบริการย่อย ระบบสนับสนุนผู้ใช้งาน หรือช่องทางอิเล็กทรอนิกส์อื่นที่ สพร. จัดให้มีขึ้น
  2. ได้รับข้อมูลส่วนบุคคลของท่านจากบุคคลที่สาม โดย สพร. เชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บรวบรวมข้อมูลส่วนบุคคลของท่านและเปิดเผยกับ สพร. หรือได้รับจากหน่วยงานรัฐที่เกี่ยวข้อง เช่น หน่วยงานรัฐที่มีอำนาจในการจัดเก็บหรือยืนยันข้อมูลอัตลักษณ์ของประชาชน หน่วยงานผู้ร่วมให้บริการย่อย (Mini Applications) หรือผู้ให้บริการทางเทคนิคที่สนับสนุนระบบของ สพร. ข้อมูลดังกล่าวจะถูกรวบรวม เก็บ และใช้ข้อมูลเฉพาะเท่าที่จำเป็นตามวัตถุประสงค์ที่ชอบด้วยกฎหมาย หรือเพื่อปฏิบัติตามข้อกำหนดของกฎหมายที่เกี่ยวข้อง
  3. เก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากอุปกรณ์สื่อสารที่ท่านใช้ในการติดต่อหรือเข้าใช้บริการออนไลน์ของ สพร. เช่น ข้อมูลตำแหน่งพิกัด เป็นต้น ทั้งนี้ สพร. จะดำเนินการได้เฉพาะเมื่อท่านได้ตั้งค่าและอนุญาตให้ สพร. เข้าถึงข้อมูลดังกล่าว ซึ่งข้อมูลนี้มีความจำเป็นในบางบริการของ สพร. ที่ต้องการส่งมอบบริการตามกลุ่มเป้าหมายอย่างแม่นยำ นอกจากนี้ยังมีข้อมูลในการเข้าใช้งานของท่านที่มีกฎหมายกำหนดให้ สพร. ต้องเก็บรวบรวมด้วยในฐานะผู้ให้บริการ เช่น ข้อมูลจราจรคอมพิวเตอร์ (Traffic Log) เป็นต้น
  4. ใช้เทคโนโลยีอัตโนมัติในการเก็บรวบรวมข้อมูลการใช้งานของท่าน ซึ่งอาจรวมถึง คุกกี้ เว็บบีคอน พิกเซลแท็ก และเทคโนโลยีการติดตามอื่นๆ ที่มีลักษณะคล้ายกัน โดย สพร. ขอเรียกรวมกันว่า “คุกกี้ (Cookie)” ซึ่งท่านสามารถอ่านรายละเอียดการใช้คุกกี้ได้ที่ นโยบายคุกกี้ (Cookie Policy)

สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลข้างต้น สพร. จะมีการจัดเก็บเท่าที่จำเป็น และเป็นไปตามที่กฎหมายกำหนด ซึ่งรวมถึงในบางกรณีอาจมีขอความยินยอมจากท่านก่อน โดยเฉพาะการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว ซึ่งเป็นข้อมูลที่จำเป็นสำหรับบางบริการ โดย สพร. จะแจ้งให้ท่านทราบอย่างชัดแจ้งถึงเหตุผลความจำเป็นที่ต้องเก็บรวบรวมข้อมูลอ่อนไหวดังกล่าว

2. เหตุใด สพร. ต้องการข้อมูลส่วนบุคคลของท่าน

สพร. อาจจำเป็นต้องเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เพื่อ:

  • เพื่อส่งมอบบริการบนแพลตฟอร์มดิจิทัลประชาชน ทั้งในส่วนของบริการกลางและบริการย่อย (Mini Applications) ที่พัฒนาโดย สพร. หรือหน่วยงานภาครัฐอื่น รวมถึงบริการสาธารณะประโยชน์อื่น ๆ
  • ให้ความช่วยเหลือ ให้ข้อมูล ตอบข้อซักถามหรือดำเนินการเกี่ยวกับคำขอรับบริการหรือข้อร้องเรียนของท่าน
  • ติดต่อท่านเกี่ยวกับการใช้บริการบนแพลตฟอร์มดิจิทัลประชาชน เพื่อสอบถามความคิดเห็น ซึ่งจะช่วยให้ สพร. บริหารจัดการและพัฒนาบริการได้ดียิ่งขึ้น
  • วิเคราะห์ ตรวจสอบคุณภาพการให้บริการ เพื่อนำไปปรับปรุงหรือพัฒนาบริการให้ตอบสนองความต้องการของผู้ใช้ได้เหมาะสมยิ่งขึ้น
  • วิจัยและพัฒนานวัตกรรมใหม่ที่จะทำให้ท่านได้รับการอำนวยความสะดวกและได้รับประสบการณ์ที่ดียิ่งขึ้นในการเข้าใช้บริการบนแพลตฟอร์มดิจิทัลประชาชน
  • สำรวจ รวบรวม วิเคราะห์ และจัดทำข้อมูลหรือรายงานเกี่ยวกับการพัฒนาบริการกลางและบริการย่อย (Mini Applications) และการดำเนินงานตามแผนพัฒนารัฐบาลดิจิทัล และยุทธศาสตร์หรือแผนการดำเนินงานองค์กร
  • ประชาสัมพันธ์กิจกรรมและข้อมูลข่าวสารของ สพร. ให้กับท่านทราบ ตลอดจนเชิญท่านเข้าร่วมกิจกรรมที่เกี่ยวข้องตามความเหมาะสม
  • ป้องกัน ตรวจสอบ หรือระงับการกระทำที่อาจผิดกฎหมายหรือไม่ปลอดภัย โดย สพร. อาจใช้ข้อมูลเพื่อสอดส่องดูแล รักษาความปลอดภัย ตรวจจับ หรือรับมือกับเหตุการณ์ที่อาจก่อให้เกิดความเสียหายต่อระบบ ผู้ใช้บริการ หรือสาธารณะ รวมถึงการใช้ข้อมูลบันทึกเหตุการณ์ในระบบตามที่จำเป็น
  • ปฏิบัติงานตามหน้าที่ที่กฎหมายของ สพร. หรือกฎหมายอื่นกำหนดให้ สพร. ต้องปฏิบัติ

3. เหตุใด สพร. จึงสามารถเก็บรวบรวมข้อมูลส่วนบุคคลของท่านได้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดหลักการและเหตุผลทางกฎหมายไว้ โดยอนุญาตให้ สพร. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้สามารถดำเนินการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของท่านเท่าที่จำเป็นได้

โดยทั่วไป สพร. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน เมื่อมีฐานทางกฎหมายรองรับ ดังนี้

  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับ สพร. หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญากับ สพร. (Contract)
  • เป็นการจำเป็นในการปกป้องหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
  • เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ สพร. หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ สพร. (Public Task / Official Authority)
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ สพร. หรือของบุคคลหรือนิติบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของท่าน (Legitimate Interest)
  • เป็นการจำเป็นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของท่าน ทั้งนี้ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด (Scientific or Research)
  • เป็นการจำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง (Legal Obligation)
  • ท่าน หรือผู้แทนโดยชอบด้วยกฎหมายของท่านให้ความยินยอม (Consent)

ประกาศความเป็นส่วนตัวนี้จัดทำขึ้นและนำเสนอในรูปแบบลำดับชั้น โดยมีประกาศฉบับนี้เป็นลำดับหลัก (Main Notice) ที่มีสาระสำคัญเป็นการกำหนดหลักการกลาง และมีข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านสำหรับบริการกลางและบริการย่อย (Mini Application) ไว้แตกต่างกันตามรูปแบบและความจำเป็นในแต่ละการให้บริการ โดยท่านสามารถเลือกดูบริการดังกล่าวได้จากรายการด้านล่าง ทั้งนี้ รายการที่จะแสดงดังกล่าวจะเป็นในส่วนบริการที่ สพร. รับผิดชอบดูแลและเป็นผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น (ในบางบริการ สพร. จะทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล) ส่วนบริการย่อยที่เป็นของหน่วยงานผู้ร่วมให้บริการอื่น ท่านสามารถอ่านรายละเอียดเกี่ยวกับแนวทางและหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคลของท่านได้จากประกาศความเป็นส่วนตัวของหน่วยงานนั้น ๆ

  1. บริการกลางของแพลตฟอร์มดิจิทัลประชาชน (แอปพลิเคชันทางรัฐ)
  2. บริการแจ้งรัฐ
  3. ระบบแจ้งความประสงค์เข้ากราบพระบรมศพสมเด็จพระนางเจ้าสิริกิติ์ พระบรมราชินีนาถ พระบรมราชชนนีพันปีหลวง

หากท่านมีข้อสงสัยหรือต้องการสอบถามข้อมูลเพิ่มเติมเกี่ยวกับประกาศนี้ สามารถติดต่อ สพร. ตามช่องทางติดต่อด้านล่าง

4. สิทธิของท่านในข้อมูลส่วนบุคคล

โดยที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ให้สิทธิดังที่ปรากฏด้านล่างแก่ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลที่ สพร. ได้มีการเก็บรวบรวม และนำไปใช้หรือเปิดเผย ดังนั้น สพร. จึงให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่ท่านในการดำเนินการตามสิทธิ ดังนี้

  1. สิทธิในการได้รับแจ้ง สพร. จะมีการแจ้ง “ประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ชัดเจน
  2. สิทธิในการเพิกถอนความยินยอม ท่านสามารถขอเพิกถอนความยินยอมที่เคยให้ สพร. ไว้ได้ทุกเมื่อ
  3. สิทธิในการเข้าถึงข้อมูล ท่านสามารถขอเข้าถึงข้อมูลส่วนบุคคลของท่าน และขอสำเนาข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้ สพร. เปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
  4. สิทธิในการแก้ไขข้อมูล ท่านสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
  5. สิทธิในการลบข้อมูล ท่านสามารถขอให้ สพร. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
  6. สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของ สพร. รองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ท่านสามารถขอรับสำเนาข้อมูลส่วนบุคคลของท่านได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้
  7. สิทธิในการระงับการใช้ข้อมูล ท่านสามารถขอให้ สพร. ระงับการใช้ข้อมูลส่วนบุคคลได้
  8. สิทธิในการคัดค้านการประมวลผลข้อมูล ท่านสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้

ทั้งนี้ ในบางกรณี สพร. อาจปฏิเสธคำขอใช้สิทธิของท่านข้างต้นได้ หากมีเหตุอันชอบธรรมตามกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น

หากท่านมีความประสงค์ที่จะใช้สิทธิใด ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมีข้อสงสัยเกี่ยวกับการใช้สิทธิในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการใช้บริการบนแพลตฟอร์มดิจิทัลประชาชน ท่านสามารถติดต่อ สพร. ผ่านช่องทางที่ระบุไว้ท้ายประกาศนี้

5. การเปิดเผยข้อมูลส่วนบุคคลของท่าน

สพร. จะไม่เผยแพร่ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ของท่านที่ สพร. ได้เก็บรวบรวมไว้ให้แก่บุคคลภายนอก เว้นแต่เป็นการดำเนินการตามที่กำหนดในประกาศนี้ หรือเมื่อได้รับการร้องขอหรือได้รับความยินยอมจากท่าน หรือภายใต้บางสถานการณ์ ดังนี้

  1. กรณีเพื่อประโยชน์ในการบูรณาการและบริหารจัดการข้อมูลภายใน สพร. โดยอาจมีการเชื่อมโยงหรือแบ่งปันข้อมูลส่วนบุคคลของท่านระหว่างระบบงานต่าง ๆ ภายใต้การกำกับดูแลของ สพร. เพื่อปรับปรุงประสิทธิภาพการทำงาน การให้บริการ ตลอดจน เพื่อให้ท่านได้รับประสบการณ์การใช้บริการที่ไร้รอยต่อ และเข้าถึงบริการดิจิทัลภาครัฐได้อย่างสะดวกรวดเร็ว
  2. กรณีเพื่อเป็นการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลของท่านในกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Identity Proofing and Authentication) โดย สพร. จะมีการส่งข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายในการจัดเก็บและรวบรวมข้อมูลส่วนบุคคลและข้อมูลอัตลักษณ์ (Identity Information) เพื่อดำเนินการตรวจสอบและเปรียบเทียบข้อมูล เช่น กรมการปกครอง เป็นต้น
  3. กรณีเพื่อเป็นการอำนวยความสะดวกในการเข้าถึงและเข้าใช้บริการต่าง ๆ ของหน่วยงานผู้ร่วมให้บริการอื่นที่มีอำนาจหรือหน้าที่ตามกฎหมายในการให้บริการดังกล่าว โดยหน่วยงานดังกล่าวได้มีการเชื่อมต่อกระบวนงานหรือเชื่อมโยงบริการกับบริการแพลตฟอร์มดิจิทัลประชาชนของ สพร.
  4. กรณีที่ สพร. เชื่อโดยสุจริตว่า เป็นการดำเนินการที่มีการมอบอำนาจ มอบอำนาจช่วง ตัวแทน หรือผู้แทนโดยชอบธรรมของท่านที่มีอำนาจตามกฎหมายโดยชอบ
  5. กรณีที่ สพร. เชื่อโดยสุจริตว่าเป็นข้อกำหนดทางกฎหมาย หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ที่มีอำนาจโดยชอบด้วยกฎหมาย หรือเป็นการดำเนินการตามหมายศาล คำสั่งศาล หรือกระบวนการยุติธรรม
  6. เป็นการแบ่งปันข้อมูลกับหน่วยงานอื่นที่เชื่อถือได้ ซึ่งทำงานในนามหรือทำงานให้ หรือทำงานร่วมกับ สพร. ภายใต้ข้อตกลงหรือสัญญาที่ให้มั่นใจว่าหน่วยงานดังกล่าวจะมีการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับ สพร. โดยการแบ่งปันข้อมูลดังกล่าวอาจมีทั้งกรณีเพื่อการจัดเก็บข้อมูล และการใช้ข้อมูลเพื่อส่งมอบบริการแก่ท่าน หรือเพื่อการดำเนินโครงการหรือกิจกรรมของ สพร. เช่น การสำรวจและวิเคราะห์ข้อมูล เป็นต้น
  7. กรณีที่ สพร. เชื่อโดยสุจริตและมีเหตุผลที่ดีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่าน ซึ่งเป็นสถานการณ์ที่ สพร. จำเป็นต้องดำเนินการ ได้แก่
    • เพื่อการสืบสวน สอบสวน และระงับเหตุอาชญากรรม การทุจริต การฉ้อโกง หรือ
    • เพื่อป้องกันหรือรับมือกับภัยคุกคามตลอดจนการกระทำที่อาจสร้างความเสียหายต่อสิทธิ ทรัพย์สิน หรือความปลอดภัยของสาธารณะ รวมถึงของ สพร. และผู้ที่เกี่ยวข้อง หรือ
    • เพื่อป้องกันหรือรับมือการกระทำที่ละเมิดต่อข้อกำหนดและเงื่อนไขการใช้บริการของ สพร. หรือต่อกฎหมาย

ในการเปิดเผยข้อมูลส่วนบุคคลของท่านตามกรณีดังกล่าวข้างต้น สพร. จะเปิดเผยเท่าที่จำเป็น และใช้มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายที่เกี่ยวข้อง ตลอดจนมาตรฐานสากลที่ สพร. ประกาศใช้ในองค์กร

6. สพร. มีการมาตรการรักษาความมั่นคงปลอดภัยในข้อมูลของท่านอย่างไร

สพร. ตระหนักถึงความไว้วางใจของท่านที่ได้ให้ข้อมูลที่สำคัญกับ สพร. และโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ สพร. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องมีมาตรการและการจัดการด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่า ข้อมูลเหล่านั้นจะได้รับการปกป้องดูแล และพร้อมให้เจ้าของข้อมูลเข้าถึงและตรวจสอบได้

โดย สพร. ได้มีการออกนโยบายความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ (Information and Cyber Security Policy) มาใช้ในองค์กร สำหรับตัวอย่างมาตรการและการจัดการด้านความมั่นคงปลอดภัยในการปกป้องดูแลข้อมูลส่วนบุคคลที่ สพร. มีการนำมาใช้ เช่น

  • กำหนดมาตรการป้องกันทางกายภาพ และการจำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะพนักงานของ สพร. ที่มีความจำเป็นต้องเข้าถึงข้อมูลนั้นๆ (Need to Know Basis)
  • กำหนดมาตรการป้องกันการเข้าถึงระบบและข้อมูล เช่น การใช้รหัสผ่านเพื่อเข้าสู่ระบบการให้บริการ เป็นต้น เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่าน
  • มีการเข้ารหัสข้อมูล (Encryption) ที่มีชั้นความลับเพื่อให้ข้อมูลไม่สามารถถูกเปิดอ่านได้จากผู้ที่ไม่มีสิทธิ
  • กำหนดกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล โดยหากเกิดเหตุดังกล่าว สพร. จะรีบแจ้งท่านทราบโดยเร็ว รวมถึงแจ้งเจ้าหน้าที่รัฐที่ดูแลเรื่องนี้ในกรณีที่กฎหมายกำหนดให้ต้องแจ้ง
  • มีการอบรมพนักงานของ สพร. เพื่อสร้างความตระหนักและความเข้าใจในขั้นตอนการปฏิบัติงานในการดูแลคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล
  • ทบทวนกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคลตามระยะเวลาที่กำหนด เพื่อให้มั่นใจว่ากระบวนการทำงานเป็นไปอย่างเหมาะสมและสอดคล้องกับสถานการณ์ปัจจุบัน
  • ตรวจสอบ ทดสอบระบบที่มีการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบหรือเทคโนโลยีที่ใช้มีความมั่นคงปลอดภัย และมีการปรับปรุงและติดตั้งซอฟต์แวร์การจัดการด้านการรักษาความมั่นคงปลอดภัยเวอร์ชันล่าสุดแล้ว (Update Patches)

อย่างไรก็ตาม โปรดตระหนักว่า การส่งข้อมูลผ่านเครือข่ายสาธารณะหรือการใช้เครื่องคอมพิวเตอร์สาธารณะหรือแม้แต่การใช้เครื่องคอมพิวเตอร์หรืออุปกรณ์สื่อสารส่วนตัวของท่านซึ่งติดมัลแวร์ มีความเสี่ยง และ สพร. ไม่สามารถรับประกันความปลอดภัยในข้อมูลของท่าน ซึ่งอาจถูกลักลอบเข้าถึง หรือถูกเปิดเผย หรือถูกโอนถ่ายออกไป และทำให้ท่านเกิดความเสียหายได้

7. การจัดเก็บและโอนข้อมูล

สพร. มีการจัดเก็บ ใช้และประมวลข้อมูลส่วนบุคคลของท่านบนระบบที่ตั้งอยู่ในประเทศไทย อย่างไรก็ตาม ในบางกรณี สพร. อาจมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ โดย สพร. จะใช้ความพยายามอย่างดีที่สุดในการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานหรือประเทศที่มีมาตรฐานความปลอดภัยในการรักษาข้อมูลส่วนบุคคลเพียงพอ และมีการดำเนินการตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

  1. เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ สพร. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
  2. ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
  3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น
  4. เป็นการกระทำตามสัญญาระหว่าง สพร. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
  5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
  6. เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

8. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็น เพื่อการปฏิบัติหน้าที่และการให้บริการภายใต้วัตถุประสงค์โดยชอบด้วยกฎหมายของ สพร. โดยระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลอาจมีความแตกต่างกันตามประเภทของบริการหรือกิจกรรม ซึ่งรายละเอียดระยะเวลาการจัดเก็บข้อมูลของแต่ละบริการหรือกิจกรรมจะระบุไว้ในข้อ 3.

อย่างไรก็ดี สพร. อาจจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลของท่านเกินระยะเวลาที่กำหนดข้างต้น หากมีเหตุที่ สพร. ได้รับแจ้งหรือเชื่อโดยสุจริตได้ว่าอาจมีการกระทำละเมิดข้อกำหนดและเงื่อนไขการใช้บริการของ สพร. หรือมีการกระทำฝ่าฝืนกฎหมาย หรือเกิดข้อพิพาท และจำเป็นต้องมีการสืบสวน สอบสวน ตลอดจนรวบรวมหลักฐานเพื่อดำเนินคดีตามกฎหมาย โดย สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็นจนกว่ากระบวนการจะเสร็จสิ้น หรือตามระยะเวลาที่กฎหมายที่เกี่ยวข้องในเรื่องนั้นกำหนด

สำหรับข้อมูลส่วนบุคคลที่ครบกำหนดระยะเวลาการจัดเก็บแล้วนั้น สพร. จะมีการลบหรือทำลายตามมาตรฐานที่กำหนด เว้นแต่ข้อมูลการสำรวจหรือการใช้บริการในบางกรณีที่ สพร. เห็นว่าจำเป็นและมีประโยชน์ สามารถนำมาวิเคราะห์ในเชิงสถิติ เพื่อใช้ในการปรับปรุงการให้บริการหรือการดำเนินงานของ สพร. ให้ดียิ่งขึ้น สพร.จะใช้วิธีการลบหรือทำลายเฉพาะข้อมูลส่วนบุคคลของท่าน เพื่อให้ข้อมูลดังกล่าวอยู่ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (anonymization) เพื่อปกป้องความเป็นส่วนตัวของท่าน

9. การเชื่อมต่อไปยังบริการของบุคคลภายนอก

เพื่ออำนวยความสะดวกให้กับท่าน ในการใช้บริการแพลตฟอร์มดิจิทัลประชาชนอาจมีการเชื่อมต่อไปยังเว็บไซต์ แอปพลิเคชัน หรือบริการอื่นที่เป็นของบุคคลที่สาม หรือเชื่อมต่อไปยังบริการย่อยของหน่วยงานผู้ร่วมให้บริการซึ่งเป็นหน่วยงานภายนอกที่นำบริการของหน่วยงานมาให้บริการบนแพลตฟอร์มดิจิทัลประชาชน ซึ่งบริการเหล่านี้จะอยู่ภายใต้การบริหารจัดการและการควบคุมดูแลข้อมูลส่วนบุคคลโดยบุคคลที่สามหรือหน่วยงานเจ้าของผู้ร่วมให้บริการ และ สพร. ไม่สามารถเข้าถึง หรือเข้าไปควบคุมดูแลข้อมูลส่วนบุคคลที่ท่านได้ให้ไว้กับบริการเหล่านั้นได้ และบริการดังกล่าวอาจมีประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ที่มีเนื้อหาสาระแตกต่างจากประกาศฉบับนี้

ดังนั้น เมื่อท่านคลิกลิงก์หรือเข้าใช้บริการของหน่วยงานผู้ร่วมให้บริการหรือดำเนินการใด ๆ ที่เชื่อมโยงไปยังบริการของบุคคลภายนอก ถือว่าท่านได้ออกจากขอบเขตการควบคุมดูแลข้อมูลส่วนบุคคลของ สพร. แล้ว และ สพร. ไม่อาจรับผิดชอบต่อการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้นในบริการเหล่านั้นได้

โดยประกาศนี้ จะมีผลเฉพาะบริการที่ สพร. เป็นผู้ให้บริการ และสามารถเข้าถึงและควบคุมการจัดการข้อมูลส่วนบุคคลของท่านได้เท่านั้น หากท่านใช้การเชื่อมต่อดังกล่าวเพื่อออกไปยังบริการของบุคคลที่สามหรือหน่วยงานผู้ร่วมให้บริการ ซึ่งอยู่นอกเหนือขอบเขตของประกาศนี้ สพร. ขอแนะนำให้ท่านได้อ่านและทำความเข้าใจนโยบายหรือประกาศความเป็นส่วนตัวของบริการเหล่านั้นก่อนการใช้บริการ

10. การเปลี่ยนแปลงแก้ไขประกาศความเป็นส่วนตัว

  • สพร. อาจมีปรับปรุงประกาศนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสม เป็นปัจจุบัน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้อง หาก สพร. มีการปรับปรุงแก้ไขประกาศนี้ สพร. จะแสดงประกาศเวอร์ชันล่าสุดไว้บนแพลตฟอร์มดิจิทัลเพื่อประชาชน เว็บไซต์ของ สพร. และอาจจะแจ้งให้ท่านทราบผ่านช่องทางต่างๆ ตามความเหมาะสม สพร. ขอแนะนำให้ท่านเข้ามาอ่านและตรวจสอบประกาศนี้เป็นประจำสม่ำเสมอ โดยเฉพาะก่อนที่ท่านจะส่งข้อมูลส่วนบุคคลให้กับ สพร.
  • ทั้งนี้ หากท่านยังคงใช้บริการของ สพร. ภายหลังจากที่ประกาศนี้มีการปรับปรุงแก้ไขและได้มีการแสดงประกาศไว้ที่นี้แล้ว ถือว่าท่านเห็นชอบและยอมรับในประกาศฉบับที่ปรับปรุงแล้ว

11. ช่องทางการใช้สิทธิของเจ้าของข้อมูลและการติดตามสอบถาม

สพร. เปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลมีส่วนร่วมในการควบคุมและจัดการข้อมูลของตน โดยสามารถยื่นคำร้องขอใช้สิทธิตามข้อ 4 หรือติดต่อสอบถามข้อมูลเพิ่มเติมผ่าน DGA Contact Center โดยมีรายละเอียด ดังนี้

สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
ที่อยู่ อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (TIJ) ชั้น 4 เลขที่ 999 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210
หมายเลขโทรศัพท์ 02-612-6060
จดหมายอิเล็กทรอนิกส์ contact@dga.or.th
เว็บไซต์ https://www.dga.or.th/contact-dga/

โดย สพร. จะพยายามอย่างเต็มที่ในการแก้ไขข้อกังวลและปัญหาต่าง ๆ

หมายเหตุ: คำร้องสามารถยื่นโดยเจ้าของข้อมูลส่วนบุคคลเอง หรือโดยบุคคลที่มีอำนาจดำเนินการแทนตามกฎหมาย เช่น ผู้ปกครอง ผู้อนุบาล ผู้พิทักษ์ โดยต้องแนบหลักฐานแสดงตนหรือหนังสือมอบอำนาจตามที่ สพร. กำหนด

ประกาศนี้ใช้บังคับเมื่อวันที่ 24 เดือน ธันวาคม 2568