ประกาศสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ โดยที่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้เมื่อวันที่ 28 พฤษภาคม 2562 ประกอบกับสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติให้ความสำคัญ อย่างยิ่งต่อการคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่าสำนักงานจะดูแลรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สำนักงานจึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ ดังนี้ 1. คำนิยาม “สำนักงาน” หมายถึง สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ “บุคคล” หมายถึง บุคคลธรรมดา “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ อาทิ ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล (email address) ทะเบียนรถยนต์ โฉนดที่ดิน IP Address, Cookie ID, Log File เป็นต้น อย่างไรก็ดี ข้อมูลต่อไปนี้ไม่ใช่ข้อมูลส่วนบุคคล เช่น ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท หมายเลขโทรศัพท์ของที่ทำงาน ที่อยู่อีเมล (email address) ที่ใช้ในการทำงาน ที่อยู่อีเมล (email address) กลุ่มของบริษัท เช่น ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค (Pseudonymous Data) ข้อมูลผู้ถึงแก่กรรม เป็นต้น “ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง “นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด ทั้งนี้ เจ้าของข้อมูลส่วนบุคคล ได้แก่ บุคคลดังต่อไปนี้ 1. เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะ หมายถึง 1.1 บุคคลที่มีอายุตั้งแต่ 20 ปีบริบูรณ์1 ขึ้นไป หรือ 1.2 ผู้ที่สมรสตั้งแต่อายุ 17 ปีบริบูรณ์ขึ้นไป หรือ 1.3 ผู้ที่สมรสก่อนอายุ 17 ปี โดยศาลอนุญาตให้ทำการสมรส2 หรือ 1.4 ผู้เยาว์ซึ่งผู้แทนโดยชอบธรรมให้ความยินยอมในการประกอบธุรกิจทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงาน ในความเกี่ยวพันกับการประกอบธุรกิจหรือ การจ้างแรงงานข้างต้นให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว3 ทั้งนี้ ในการให้ความยินยอมใด ๆ เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้บรรลุนิติภาวะสามารถให้ความยินยอมได้ด้วยตนเอง 2. เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ หมายถึง บุคคลที่อายุต่ำกว่า 20 ปีบริบูรณ์ และไม่ใช่ผู้บรรลุนิติภาวะตามข้อ 1 ทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย 3. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนเสมือนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว4 ทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถนั้นก่อน 4. เจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต5 ทั้งนี้ ในการให้ความยินยอมใด ๆ จะต้องได้รับความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถนั้นก่อน ทั้งนี้ หากการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล 2. แหล่งที่มาของข้อมูลส่วนบุคคล โดยปกติทั่วไปสำนักงานจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณี ดังนี้ 2.1 สำนักงานได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง โดยสำนักงานจะเก็บรวบรวมข้อมูลส่วนบุคคลจากขั้นตอนการให้บริการ ดังนี้ (1) ขั้นตอนการใช้บริการกับสำนักงาน หรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่างๆ กับสำนักงาน เช่น การรับข้อมูลข่าวสาร การสมัครงาน (2) การเก็บข้อมูลโดยความสมัครใจของเจ้าของข้อมูลส่วนบุคคล เช่น การทำแบบสอบถาม (survey) หรือ การโต้ตอบทางที่อยู่อีเมล (email address) หรือช่องทางการสื่อสารอื่นๆ ระหว่างสำนักงานและเจ้าของข้อมูลส่วนบุคคล (3) การเก็บข้อมูลจากการใช้เว็บไซต์ของสำนักงานผ่านเบราว์เซอร์คุกกี้ (browser’s cookies) ของเจ้าของข้อมูลส่วนบุคคล และการใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ 2.2 สำนักงานได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากบุคคลที่สาม โดยสำนักงานเชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและเปิดเผยกับสำนักงาน 3. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล สำนักงานใช้วิธีการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อใช้ในการติดต่อให้บริการ ประชาสัมพันธ์ หรือให้ข้อมูลข่าวสารต่าง ๆ รวมทั้งสำรวจความคิดเห็นของเจ้าของข้อมูลส่วนบุคคลในกิจการหรือกิจกรรมของสำนักงาน ภายใต้วัตถุประสงค์ในการดำเนินงานของสำนักงานเท่านั้น หรือตามที่กฎหมายกำหนด ทั้งนี้ หากมีการเปลี่ยนแปลงวัตถุประสงค์ สำนักงานจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และบันทึกเพิ่มเติมไว้เป็นหลักฐาน รวมทั้งปฏิบัติให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 4. การประมวลผลข้อมูลส่วนบุคคล 4.1
การเก็บรวบรวมข้อมูลส่วนบุคคล 4.2 การใช้ข้อมูลส่วนบุคคล 4.3 การเปิดเผยข้อมูลส่วนบุคคล 5. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล สำนักงานจะเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นต่อการประมวลผล และเมื่อพ้นระยะเวลาดังกล่าวแล้ว สำนักงานจะดำเนินการทำลายข้อมูลส่วนบุคคล 6. สิทธิของเจ้าของข้อมูลส่วนบุคคล ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับสำนักงานในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลยังคงใช้ได้จนกว่าเจ้าของข้อมูลส่วนบุคคลจะเพิกถอนความยินยอมเป็นลายลักษณ์อักษร โดยเจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการดำเนินกิจกรรมใด ๆ หรือทุกกิจกรรมของสำนักงาน โดยส่งคำขอของเจ้าของข้อมูลส่วนบุคคลแจ้งให้สำนักงานทราบเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ นอกจากสิทธิดังกล่าวข้างต้น เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิในการดำเนินการ ดังต่อไปนี้ (2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of
access) (3) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) (4) สิทธิในการลบข้อมูลส่วนบุคคล (right to
erasure) (5) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) (6) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) (7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) สำนักงานเคารพการตัดสินใจการเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล แต่อย่างไรก็ตาม สำนักงานขอแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่าอาจมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไว้แล้ว 7. การรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล สำนักงานจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกัน การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ นอกจากนี้ สำนักงานได้กำหนดแนวปฏิบัติภายในสำนักงานเพื่อกำหนดสิทธิในการเข้าถึงหรือการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อรักษาความลับและความปลอดภัยของข้อมูล และสำนักงานจะจัดให้มีการทบทวนมาตรการดังกล่าวเป็นระยะเพื่อความเหมาะสม 8. การใช้คุกกี้ (Cookies) คุกกี้ (Cookies) หมายถึง ข้อมูลขนาดเล็กที่เว็บไซต์ส่งไปเก็บไว้กับเจ้าของข้อมูลส่วนบุคคลที่เข้าชมเว็บไซต์ เพื่อช่วยให้เว็บไซต์จดจำข้อมูลเข้าชมของเจ้าของข้อมูลส่วนบุคคล เช่น ภาษาที่เลือกใช้เป็นอันดับแรก ผู้ใช้ของระบบ หรือการตั้งค่าอื่น ๆ เมื่อเจ้าของข้อมูลส่วนบุคคลเข้าชมเว็บไซต์ในครั้งถัดไป เว็บไซต์จะจดจำได้ว่าเป็นผู้ใช้ที่เคยเข้าใช้บริการแล้ว และตั้งค่าตามที่เจ้าของข้อมูลส่วนบุคคลกำหนด จนกว่าเจ้าของข้อมูลส่วนบุคคลจะลบคุกกี้ (Cookies) หรือไม่อนุญาตให้คุกกี้ (Cookies) นั้นทำงานอีกต่อไป ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถที่จะยอมรับหรือไม่รับคุกกี้ (Cookies) ก็ได้ ในกรณีที่เลือกที่จะไม่รับหรือลบคุกกี้ (Cookies) เว็บไซต์อาจจะไม่สามารถให้บริการหรือไม่สามารถแสดงผลได้อย่างถูกต้อง 9. การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล สำนักงานอาจทำการปรับปรุงหรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล โดยมิต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้า ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการให้บริการ ดังนั้น สำนักงานจึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายการคุ้มครองข้อมูลส่วนบุคคลทุกครั้งที่เยี่ยมชมหรือใช้บริการจากสำนักงานหรือเว็บไซต์ของสำนักงาน 10. การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับสำนักงาน ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยหรือข้อเสนอแนะเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลหรือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ สำนักงานยินดีตอบข้อสงสัย และรับฟังข้อเสนอแนะ เพื่อประโยชน์ต่อการปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลและการให้บริการของสำนักงานต่อไป โดยเจ้าของข้อมูลส่วนบุคคลสามารถติดต่อกับสำนักงานได้ที่ หรือตามที่อยู่ด้านล่างนี้ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ ประกาศ ณ วันที่ 12 กุมภาพันธ์ 2563 1 ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 19 บุคคลย่อมพ้นจากภาวะผู้เยาว์และบรรลุนิติภาวะเมื่อมีอายุยี่สิบปีบริบูรณ์ 2 ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 1448 การสมรสจะทำได้ต่อเมื่อชายและหญิงมีอายุสิบเจ็ดปีบริบูรณ์แล้ว แต่ในกรณีที่มีเหตุอันสมควร ศาลอาจอนุญาตให้ทำการสมรสก่อนนั้นได้ 3 ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 27 ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 20
ดังนี้ (1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใดๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย (2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ 4 ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 32 บุคคลใดมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว เมื่อบุคคลตามที่ระบุไว้ในมาตรา 28 ร้องขอต่อศาล ศาลจะสั่งให้บุคคลนั้นเป็นคนเสมือนไร้ความสามารถก็ได้บุคคลซึ่งศาลได้สั่งให้เป็นคนเสมือนไร้ความสามารถตามวรรคหนึ่ง ต้องจัดให้อยู่ในความพิทักษ์ การแต่งตั้งผู้พิทักษ์ ให้เป็นไปตามบทบัญญัติบรรพ 5 แห่งประมวลกฎหมายนี้ ให้นำบทบัญญัติว่าด้วยการสิ้นสุดของความเป็นผู้ปกครองในบรรพ 5 แห่งประมวลกฎหมายนี้มาใช้บังคับแก่การสิ้นสุดของการเป็นผู้พิทักษ์โดยอนุโลมคำสั่งของศาลตามมาตรานี้ ให้ประกาศในราชกิจจานุเบกษา 5 ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 28 บุคคลวิกลจริตผู้ใด ถ้าคู่สมรสก็ดี ผู้บุพการีกล่าวคือ บิดา มารดา ปู่ย่า ตายาย ทวดก็ดี ผู้สืบสันดานกล่าวคือ ลูก หลาน เหลน ลื่อก็ดี ผู้ปกครองหรือผู้พิทักษ์ก็ดี ผู้ซึ่งปกครองดูแลบุคคลนั้นอยู่ก็ดี หรือพนักงานอัยการก็ดี ร้องขอต่อศาลให้สั่งให้บุคคลวิกลจริตผู้นั้นเป็นคนไร้ความสามารถ ศาลจะสั่งให้บุคคลวิกลจริต ผู้นั้นเป็นคนไร้ความสามารถก็ได้ บุคคลซึ่งศาลได้สั่งให้เป็นคนไร้ความสามารถตามวรรคหนึ่ง ต้องจัดให้อยู่ในความอนุบาล การแต่งตั้งผู้อนุบาล อำนาจหน้าที่ของผู้อนุบาล และการสิ้นสุดของความเป็นผู้อนุบาล ให้เป็นไปตามบทบัญญัติบรรพ 5 แห่งประมวลกฎหมายนี้คำสั่งของศาลตามมาตรานี้ ให้ประกาศในราชกิจจานุเบกษา |