นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
โดยที่พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ บัญญัติให้หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคล ดังนั้น เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.) เป็นไปอย่างมีประสิทธิภาพ สามารถปฏิบัติตามได้อย่างเป็นรูปธรรม จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.) ไว้ดังต่อไปนี้
๑. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
สสส. จะเก็บรวบรวมข้อมูลส่วนบุคคล “เท่าที่จำเป็น” สำหรับการให้บริการตามวัตถุประสงค์ในการดำเนินงานของ สสส. และภายใต้วัตถุประสงค์ที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ อย่างเคร่งครัด และ สสส. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนด และจะรักษาข้อมูลเหล่านั้นไว้เป็นความลับตามเกณฑ์มาตรฐานการกําหนดชั้นความลับของข้อมูลของ สสส.
๒. วัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผย
๒.๑ สสส. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อการดำเนินงานในพันธกิจต่าง ๆ ของ สสส. รวมทั้งเพื่อการศึกษาวิจัยหรือการจัดทำสถิติที่เป็นไปตามวัตถุประสงค์การดำเนินงานของ สสส. ตามที่กฎหมายกำหนด
๒.๒ สสส. จะบันทึกวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในขณะที่มีการรวบรวมและจัดเก็บ รวมถึงการนำข้อมูลนั้นไปใช้ในภายหลัง และหากมีการเปลี่ยนแปลงวัตถุประสงค์ของการเก็บรวบรวมข้อมูล สสส. จะจัดทำบันทึกแก้ไขเพิ่มเติมไว้เป็นหลักฐาน หากมีการเปลี่ยนแปลงวัตถุประสงค์ตามที่เคยได้แจ้งไว้ สสส. จะแจ้งวัตถุประสงค์ใหม่นั้นให้กับเจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด
๓. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
๓.๑ สสส. จะกำกับดูแลไม่ให้ผู้ที่ไม่มีหน้าที่หรือไม่ได้รับมอบหมายนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ เปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดแก่บุคคลอื่น นอกเหนือวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่การใช้ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด
๓.๒ สสส. อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานที่กำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย
๓.๓ สสส. อาจใช้เทคโนโลยีคุกกี้ (Cookies) เพื่อเก็บรวบรวมข้อมูลพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของ สสส. เพื่อประโยชน์ในการอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคล ในการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของ สสส.
๔. การรักษาความมั่นคงปลอดภัย
๔.๑ สสส. จะกำหนดมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ที่ไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
๔.๒ สสส. จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บหรือหมดความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือเมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอหรือเจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอม เว้นแต่การเก็บรักษาข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด
๕. การมีส่วนร่วมของเจ้าของข้อมูล
สสส. จะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเท่านั้น และต้อง “ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือระหว่างเก็บรวบรวมข้อมูลส่วนบุคคล” เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด หาก สสส. จำเป็นต้อง “เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น” ที่ไม่ใช่เก็บจากเจ้าของข้อมูลส่วนบุคคลโดยตรง สสส. จะแจ้งเหตุผลความจำเป็นนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและต้องขอความยินยอมในเวลาไม่เกิน ๓๐ วันนับแต่วันเริ่มดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด
๖. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
๖.๑ สิทธิ “เพิกถอนความยินยอม” ในการประมวลผลข้อมูลส่วนบุคคลที่เคยให้ไว้แก่ สสส. ได้ตามที่กฎหมายกำหนด
๖.๒ สิทธิในการ “เข้าถึง” ข้อมูลส่วนบุคคลของตนเอง และอาจขอให้ สสส. ทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ตนเอง รวมถึงขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมได้
๖.๓ สิทธิ “คัดค้าน” การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด
๖.๔ สิทธิขอให้ “ลบ” โดยขอให้ สสส. ดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด
๖.๕ สิทธิขอให้ “ระงับการใช้” โดยขอให้ สสส. ระงับการใช้ข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด
๖.๖ สิทธิขอให้ “แก้ไขเปลี่ยนแปลง” โดยขอให้ สสส. ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
๗. การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติและนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล
๗.๑ สสส. มีการดำเนินการตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สสส. โดยจะเผยแพร่ผ่านทางเว็บไซต์ https://www.thaihealth.or.th รวมทั้งหากมีการปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล ก็จะดำเนินการเผยแพร่ผ่านช่องทางดังกล่าว รวมทั้งผ่านสื่อที่ สสส. ใช้เพื่อการประชาสัมพันธ์ตามความเหมาะสมด้วย
๗.๒ การดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ สสส. ประกาศใช้นี้ จะใช้เฉพาะสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกิจการของ สสส. ซึ่งรวมตลอดถึงการบริหารงาน การให้บริการ และการเข้าถึงเว็บไซต์ของ สสส. เท่านั้น หากผู้ใช้บริการมีการเชื่อมโยง (Link) ไปยังเว็บไซต์อื่นผ่านทางเว็บไซต์ของ สสส. ผู้ใช้บริการจะต้องศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตามที่ปรากฏในเว็บไซต์อื่นนั้นแยกต่างหากจาก สสส. ด้วย
๘. สสส. จัดให้มีช่องทางการติดต่อสำหรับเจ้าของข้อมูลส่วนบุคคล และผู้ใช้บริการ ดังต่อไปนี้
๘.๑ ผู้ควบคุมข้อมูลส่วนบุคคล
สำนักงานกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.)
เลขที่ ๙๙/๘ ซอยงามดูพลี แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพมหานคร ๑๐๑๒๐
โทรศัพท์ : ๐ ๒๓๔๓ ๑๕๐๐
E-mail : [email protected]
Website : www.thaihealth.or.th
๘.๒ รายละเอียดของหน่วยงานกำกับดูแล ในกรณีที่ สสส. หรือเจ้าหน้าที่หรือลูกจ้าง หรือผู้ปฏิบัติงานของ สสส. ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยสามารถร้องเรียนต่อหน่วยงานกำกับดูแลตามรายละเอียดดังต่อไปนี้
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม