การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2565
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2565
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทตามวัตถุประสงค์ในการดำเนินงาน
และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation)
โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(1)เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม
และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
(2)เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย
และจัดเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ในการดำเนินงาน
และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation)
โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(3)เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย (Data
Minimization)
(4)ข้อมูลส่วนบุคคลควรมีความถูกต้องและเป็นปัจจุบัน
โดยจะต้องมีการดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะได้รับการปรับปรุงแก้ไข
(Accuracy)
(5)ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคล
(Storage Limitation)
เว้นแต่กรณีมีกฎหมายกำหนดไว้ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว
(6)การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
รวมถึงมีการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายและป้องกันการสูญหายโดยอุบัติเหตุ
การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
ข้อ 2 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ
รฟม.
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ใช้บังคับ รฟม.
จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม
ข้อ 3 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
รฟม. จะประมวลผลข้อมูลส่วนบุคคลโดยปฏิบัติตามหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
ดังนี้
(1)ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
(2)ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล
เว้นแต่กรณีดังต่อไปนี้ สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(ก)เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ
(ข)เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(ค)เพื่อปฏิบัติตามกฎหมาย
(ง)เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
(จ)เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(ฉ)เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล ส่วนบุคคล
หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(3)ไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว
รวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ
หรือคนเสมือนไร้ความสามารถ
เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง
หรือได้รับยกเว้นตามที่กฎหมายกำหนด
(4)ไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่น
เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยทำหนังสือให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร
หรือกรณีตามมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามมาตรา
24 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
ข้อ 4 แนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคล
เพื่อยึดมั่นเป็นหลักการและใช้เป็นแนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ
รฟม.
(1)บุคลากรของ รฟม. รวมถึงผู้ปฏิบัติงานให้ รฟม.
ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบาย ระเบียบ ข้อบังคับ
คู่มือ หรือแนวปฏิบัติใด ๆ ของ รฟม.
ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
(2)จัดให้มีการอบรมให้ความรู้ ส่งเสริมให้บุคลากรของ รฟม.
ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร
รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
(3)จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อปฏิบัติหน้าที่ในการให้คำแนะนำ
คำปรึกษา ตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของ รฟม.
ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(4)จัดให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง
และดำเนินการใด ๆ
รองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
เพื่อตรวจสอบและทำให้เจ้าของข้อมูลมั่นใจได้ว่า รฟม.
ได้ดำเนินการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม
โดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ทั้งนี้ ในกรณีที่ รฟม. ปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รฟม.
ต้องจัดทำบันทึกรายการการปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมระบุเหตุผลไว้ด้วย
(5)จัดให้มีกระบวนการจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สามารถตรวจสอบได้
โดยต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีความถูกต้อง ครบถ้วน
เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ
(6)จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย
เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของ รฟม.
โดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าว
(7)จัดให้มีกระบวนการตรวจสอบการดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้อง
หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
(8)กรณีที่มีความจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคล
ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม
รฟม. นั้น รฟม. ต้องจัดให้มีสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ
และ/หรือข้อตกลงระหว่างกัน
เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคล
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบหรือเกินขอบเขตที่กำหนด
(9)ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
โดยไม่ชักช้าภายใน ๗๒ ชั่วโมง นับแต่ทราบเหตุ ทั้งนี้ รฟม.
จะแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมแนวทางการเยียวยา
ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
(10)ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงการชี้แจงข้อเท็จจริง
เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 5 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นตันไป
ประกาศ ณ วันที่ 30 มิถุนายน พ.ศ. 2565
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2565
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2565
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทตามวัตถุประสงค์ในการดำเนินงาน
และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation)
โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(1)เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม
และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
(2)เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย
และจัดเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ในการดำเนินงาน
และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation)
โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(3)เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย (Data
Minimization)
(4)ข้อมูลส่วนบุคคลควรมีความถูกต้องและเป็นปัจจุบัน
โดยจะต้องมีการดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะได้รับการปรับปรุงแก้ไข
(Accuracy)
(5)ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคล
(Storage Limitation)
เว้นแต่กรณีมีกฎหมายกำหนดไว้ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว
(6)การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
รวมถึงมีการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายและป้องกันการสูญหายโดยอุบัติเหตุ
การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
ข้อ 2 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ
รฟม.
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ใช้บังคับ รฟม.
จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม
ข้อ 3 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
รฟม. จะประมวลผลข้อมูลส่วนบุคคลโดยปฏิบัติตามหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
ดังนี้
(1)ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
(2)ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล
เว้นแต่กรณีดังต่อไปนี้ สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(ก)เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ
(ข)เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(ค)เพื่อปฏิบัติตามกฎหมาย
(ง)เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
(จ)เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(ฉ)เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล ส่วนบุคคล
หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(3)ไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว
รวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ
หรือคนเสมือนไร้ความสามารถ
เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง
หรือได้รับยกเว้นตามที่กฎหมายกำหนด
(4)ไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่น
เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยทำหนังสือให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร
หรือกรณีตามมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามมาตรา
24 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
ข้อ 4 แนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคล
เพื่อยึดมั่นเป็นหลักการและใช้เป็นแนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ
รฟม.
(1)บุคลากรของ รฟม. รวมถึงผู้ปฏิบัติงานให้ รฟม.
ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบาย ระเบียบ ข้อบังคับ
คู่มือ หรือแนวปฏิบัติใด ๆ ของ รฟม.
ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
(2)จัดให้มีการอบรมให้ความรู้ ส่งเสริมให้บุคลากรของ รฟม.
ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร
รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
(3)จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อปฏิบัติหน้าที่ในการให้คำแนะนำ
คำปรึกษา ตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของ รฟม.
ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(4)จัดให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง
และดำเนินการใด ๆ
รองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
เพื่อตรวจสอบและทำให้เจ้าของข้อมูลมั่นใจได้ว่า รฟม.
ได้ดำเนินการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม
โดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ทั้งนี้ ในกรณีที่ รฟม. ปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รฟม.
ต้องจัดทำบันทึกรายการการปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมระบุเหตุผลไว้ด้วย
(5)จัดให้มีกระบวนการจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สามารถตรวจสอบได้
โดยต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีความถูกต้อง ครบถ้วน
เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ
(6)จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย
เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของ รฟม.
โดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าว
(7)จัดให้มีกระบวนการตรวจสอบการดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้อง
หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
(8)กรณีที่มีความจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคล
ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม
รฟม. นั้น รฟม. ต้องจัดให้มีสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ
และ/หรือข้อตกลงระหว่างกัน
เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคล
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบหรือเกินขอบเขตที่กำหนด
(9)ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
โดยไม่ชักช้าภายใน ๗๒ ชั่วโมง นับแต่ทราบเหตุ ทั้งนี้ รฟม.
จะแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมแนวทางการเยียวยา
ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
(10)ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
รวมถึงการชี้แจงข้อเท็จจริง
เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 5 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นตันไป
ประกาศ ณ วันที่ 30 มิถุนายน พ.ศ. 2565