สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ “สพร.” ตระหนักถึงความสำคัญของสิทธิในข้อมูลส่วนบุคคลของประชาชน และมุ่งมั่นในการดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักความจำเป็น ความชอบด้วยกฎหมาย ความโปร่งใส และความปลอดภัย โดยเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

โดย สพร. ได้มีการให้บริการ “แพลตฟอร์มดิจิทัลประชาชน / แอปพลิเคชันทางรัฐ” (ต่อไปเรียกว่า “แพลตฟอร์ม”) เพื่อเป็นแพลตฟอร์มดิจิทัลกลาง และเป็นช่องทางที่ประชาชนสามารถเข้าถึงบริการภาครัฐต่าง ๆ ได้อย่างสะดวก รวดเร็ว และปลอดภัย และบริการในแพลตฟอร์มนี้จะมีในส่วนบริการหลัก เช่น การพิสูจน์และยืนยันตัวตน การรับข้อความแจ้งเตือน เป็นต้น และในส่วนบริการย่อย ซึ่ง สพร. หรือหน่วยงานเจ้าของบริการย่อยดังกล่าวเป็นผู้พัฒนาและนำมาให้บริการผ่านแพลตฟอร์ม

ประกาศเกี่ยวกับความเป็นส่วนตัวฉบับนี้ (“ประกาศ”) จึงจัดทำขึ้นเพื่อแจ้งให้ท่าน ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ทราบถึงแนวทางและหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคล ที่ สพร. ดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านที่เข้ามาใช้บริการแพลตฟอร์ม

1. ข้อมูลส่วนบุคคลของท่าน

ข้อมูลส่วนบุคคลของท่านที่ สพร. อาจมีการเก็บรวบรวม ใช้ และเปิดเผย มีดังนี้

• 1.1 ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล วันเดือนปีเกิด เพศ อายุ สัญชาติ ข้อมูลบนเอกสารที่ออกโดยหน่วยงานราชการ (เช่น บัตรประจำตัวประชาชน หนังสือเดินทาง วีซ่า ใบอนุญาตทำงาน ทะเบียนบ้าน) เป็นต้น
• 1.2 ข้อมูลติดต่อ เช่น ที่อยู่ตามเอกสารจากหน่วยงานรัฐ ที่อยู่อาศัยปัจจุบัน หมายเลขโทรศัพท์ อีเมลชื่อบัญชีเข้าใช้งานสำหรับการติดต่อสื่อสารทางอิเล็กทรอนิกส์หรือสื่อสังคมออนไลน์ต่างๆ
• 1.3 ข้อมูลชีวมิติ เช่น ภาพถ่ายใบหน้า เป็นต้น
• 1.4 ข้อมูลการประกอบอาชีพ เช่น ประเภทกิจการ ตำแหน่ง หน่วยงาน เป็นต้น
• 1.5 ข้อมูลทางการเงิน เช่น เลขที่บัญชีธนาคาร ชื่อบัญชีธนาคาร เป็นต้น
• 1.6 ข้อมูลทางเทคนิค เช่น คุกกี้ (Cookies ID) ข้อมูลจราจรทางคอมพิวเตอร์ (Traffic Log) ข้อมูลตำแหน่งที่ตั้ง (Location) เป็นต้น
• 1.7 ข้อมูลการใช้งาน เช่น ข้อมูลพฤติกรรมการใช้แพลตฟอร์ม เป็นต้น

สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลข้างต้น สพร. จะมีการจัดเก็บเท่าที่จำเป็น และเป็นไปตามที่กฎหมายกำหนด รวมถึงในบางกรณีอาจมีขอความยินยอมจากท่านก่อน โดยเฉพาะการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว ซึ่งเป็นข้อมูลที่จำเป็นสำหรับบางบริการ เช่น ข้อมูลชีวมิติ เป็นต้น และ สพร. จะแจ้งให้ท่านทราบอย่างชัดแจ้งถึงเหตุผลความจำเป็นที่ต้องเก็บรวบรวมข้อมูลอ่อนไหวดังกล่าว

โดยทั่วไป สพร. จะเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงผ่านขั้นตอนต่าง ๆ ได้แก่ การลงทะเบียนและการพิสูจน์ยืนยันตัว เพื่อเข้าใช้บริการแพลตฟอร์มหรือการกรอกข้อมูลผ่านแบบฟอร์มในบริการย่อยต่าง ๆ หรือเป็นการเก็บรวบรวมข้อมูลจากอุปกรณ์สื่อสารที่ท่านใช้และได้อนุญาตให้ระบบเข้าถึง เช่น ข้อมูลตำแหน่งพิกัด เป็นต้น หรือท่านได้แนบส่งเอกสารที่มีข้อมูลของท่านเข้ามาผ่านบริการแพลตฟอร์มหรือส่งมายัง สพร. เป็นต้น

ทั้งนี้ ในบางกรณี สพร. อาจได้รับข้อมูลส่วนบุคคลของท่านจากแหล่งอื่นที่เป็นบุคคลที่สาม โดยมีวัตถุประสงค์ เพื่อสนับสนุนการให้บริการแพลตฟอร์มและบริการย่อย เช่น การเชื่อมต่อบริการของหน่วยงานภาครัฐหรือผู้ให้บริการภายนอกที่เกี่ยวข้อง เป็นต้น โดยการจัดการข้อมูลดังกล่าวเป็นไปตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2. วัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

ประกาศนี้เป็นการกำหนดหลักการและหลักปฏิบัติกลาง ในการจัดการและคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการแพลตฟอร์ม โดยส่วนบริการหลักของแพลตฟอร์มนั้น มีวัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน จะเป็นไปตามตารางด้านล่างนี้

ในส่วนของบริการย่อย เนื่องจากแต่ละบริการย่อยจะมีรูปแบบและการให้บริการที่แตกต่างกัน ดังนั้น หลักเกณฑ์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ซึ่งรวมถึงวัตถุประสงค์ ฐานทางกฎหมาย และรายการข้อมูลส่วนบุคคลที่แต่ละบริการย่อยมีการเก็บรวบรวม ใช้ และเปิดเผยก็จะแตกต่างกัน สพร. จึงได้มีการจัดทำรายละเอียดเป็นตารางแยกตามแต่ละบริการย่อยแนบท้ายประกาศนี้

ทั้งนี้ บริการย่อยแนบท้ายประกาศ จะเป็นบริการย่อยที่ สพร. เป็นผู้ควบคุมและจัดการข้อมูลส่วนบุคคลในบริการดังกล่าวเท่านั้น สำหรับบริการย่อยที่เป็นของหน่วยงานผู้ร่วมให้บริการซึ่งนำมาให้บริการผ่านแพลตฟอร์ม และหน่วยงานดังกล่าวเป็นผู้ควบคุมและจัดการข้อมูลส่วนบุคคลของท่าน โดย สพร. ไม่ได้มีส่วนเกี่ยวข้อง หลักเกณฑ์และเงื่อนไขการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบริการย่อยนั้นจะเป็นไปตามนโยบายหรือประกาศเกี่ยวกับความเป็นส่วนตัวของหน่วยงานผู้ร่วมให้บริการนั้น

วัตถุประสงค์	ฐานกฎหมาย	ประเภทข้อมูลส่วนบุคคล
1.1 เพื่อให้บริการแพลตฟอร์ม ซึ่งรวมถึงการเข้าถึงและเข้าใช้บริการย่อยต่าง ๆ	- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะขององค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมาย - เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา - สพร. ได้รับความยินยอมจากท่าน	- ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เลขหลังบัตรประชาชน (Laser Code) วัน เดือน ปีเกิด ภาพถ่ายหน้าบัตรประจำตัวประชาชน เป็นต้น - ข้อมูลติดต่อ เช่น เบอร์โทรศัพท์มือถือ - ข้อมูลชีวมิติ เช่น ภาพถ่ายใบหน้า เป็นต้น (สพร. จะมีการขอความยินยอม)
1.2 เพื่อการพิสูจน์และยืนยันตัวตน และตรวจสอบข้อมูลความถูกต้อง สำหรับการใช้บริการที่ปลอดภัย	- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะขององค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมาย - เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา - สพร. ได้รับความยินยอมจากท่าน	- ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เลขหลังบัตรประชาชน (Laser Code) วัน เดือน ปีเกิด ภาพถ่ายหน้าบัตรประจำตัวประชาชน เป็นต้น - ข้อมูลติดต่อ เช่น เบอร์โทรศัพท์มือถือ - ข้อมูลชีวมิติ เช่น ภาพถ่ายใบหน้า เป็นต้น (สพร. จะมีการขอความยินยอม)
1.3 เพื่อวิเคราะห์ ปรับปรุง และพัฒนาระบบและบริการให้มีคุณภาพและสอดคล้องกับความต้องการของผู้ใช้บริการ	- สพร. ได้รับความยินยอมจากท่าน - เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น	- ข้อมูลการใช้งาน เช่น พฤติกรรมการใช้งานแพลตฟอร์ม เป็นต้น - ข้อมูลทางเทคนิค เช่น ข้อมูลคุกกี้ เป็นต้น (ข้อมูลคุกกี้ สพร. จะมีการขอความยินยอม)
1.4 เพื่อแจ้งเตือนท่านในกรณีเกิดเหตุการณ์ฉุกเฉิน ภัยพิบัติ หรือเหตุสำคัญ หมายเหตุ: การแจ้งเตือนนี้ จะแจ้งผ่านแพลตฟอร์ม หรือข้อมูลติดต่อที่ท่านได้ให้ไว้ผ่านการใช้บริการแพลตฟอร์ม หรือบริการอื่นของ สพร.	- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะขององค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมาย - เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล	- ข้อมูลส่วนตัว เช่น อายุ อาชีพ เป็นต้น - ข้อมูลติดต่อ เช่น ที่อยู่ เบอร์โทรศัพท์มือถือ อีเมล เป็นต้น - ข้อมูลทางเทคนิค เช่น ตำแหน่งพิกัดที่ตั้ง (location) เป็นต้น - ข้อมูลการใช้งาน เช่น พฤติกรรมการใช้งานแพลตฟอร์ม เป็นต้น
1.5 แจ้งข้อมูล หรือบริการ หรือสวัสดิการภาครัฐที่สำคัญและเกี่ยวข้องกับท่าน หรือที่ท่านอาจจะได้รับประโยชน์จากภาครัฐ หมายเหตุ: การแจ้งข้อมูลสำคัญตามข้อนี้ จะแจ้งผ่านแพลตฟอร์ม	- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะขององค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมาย	- ข้อมูลส่วนตัว เช่น อายุ ที่อยู่ เป็นต้น - ข้อมูลติดต่อ เช่น เบอร์โทรศัพท์มือถือ เป็นต้น - ข้อมูลการประกอบอาชีพ เช่น ประเภทกิจการ เป็นต้น - ข้อมูลทางเทคนิค เช่น ตำแหน่งพิกัดที่ตั้ง (location) เป็นต้น - ข้อมูลการใช้งาน เช่น พฤติกรรมการใช้งานแพลตฟอร์ม เป็นต้น
1.6 เพื่อตรวจสอบและเฝ้าระวัง ในการรักษาความมั่นคงปลอดภัยของการให้บริการ	- เป็นการปฏิบัติตามกฎหมาย	- ข้อมูลทางเทคนิค เช่น ข้อมูลจราจรทางคอมพิวเตอร์ (เพื่อปฏิบัติตามมาตรา 26 พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560) เป็นต้น

3. สิทธิของเจ้าของข้อมูลส่วนบุคคล

โดยที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ให้สิทธิดังที่ปรากฏด้านล่างแก่ท่านในฐานะเจ้าของข้อมูลส่วนบุคคลที่ สพร. ได้มีการเก็บรวบรวม และนำไปใช้หรือเปิดเผย ดังนั้น สพร. จึงให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่ท่านในการดำเนินการตามสิทธิ ดังนี้

• 3.1 สิทธิในการได้รับแจ้ง สพร. จะมีการแจ้ง “ประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ชัดเจน
• 3.2 สิทธิในการเพิกถอนความยินยอม ท่านสามารถขอเพิกถอนความยินยอมที่เคยให้ สพร. ไว้ได้ทุกเมื่อ ทั้งนี้ไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ท่านได้ให้ความ ยินยอมไปแล้วโดยชอบ เฉพาะสำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวม ใช้หรือเปิดเผยโดยใช้ฐานความยินยอม (consent) เป็นฐานทางกฎหมาย แต่ไม่รวมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้หรือเปิดเผยได้โดยไม่ต้องขอความยินยอม
• 3.3 สิทธิในการเข้าถึงข้อมูล ท่านสามารถขอเข้าถึงข้อมูลส่วนบุคคลของท่าน และขอสำเนาข้อมูลส่วนบุคคล หรือขอให้ สพร. เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ท่านไม่ได้ให้ความยินยอม
• 3.4 สิทธิในการแก้ไขข้อมูล ท่านสามารถขอให้มีการปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
• 3.5 สิทธิในการลบข้อมูล ท่านสามารถขอให้ สพร. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
• 3.6 สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของ สพร. รองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ท่านสามารถขอรับสำเนาข้อมูลส่วนบุคคลของท่านได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้ เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
• 3.7 สิทธิในการระงับการใช้ข้อมูล ท่านสามารถขอให้ สพร. ระงับการใช้ข้อมูลส่วนบุคคลได้
• 3.8 สิทธิในการคัดค้านการประมวลผลข้อมูล ท่านสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้
• 3.9 สิทธิร้องเรียน ในกรณีที่ สพร. ผู้อำนวยการ เจ้าหน้าที่ หรือลูกจ้างของ สพร ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ในบางกรณี สพร. อาจปฏิเสธคำขอใช้สิทธิของท่านข้างต้นได้ หากมีเหตุอันชอบธรรมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่น หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น

โดยหากท่านมีความประสงค์ที่จะใช้สิทธิดังกล่าวหรือมีข้อสงสัยเกี่ยวกับการใช้สิทธิ ท่านสามารถดำเนินการได้โดยติดต่อ สพร. ตามช่องทางติดต่อตามข้อ 11

4. การเปิดเผยข้อมูลส่วนบุคคลของท่าน

สพร. จะไม่เผยแพร่ หรือเปิดเผยข้อมูลส่วนบุคคลใด ๆ ของท่านที่ สพร. ได้เก็บรวบรวมไว้ให้แก่บุคคลภายนอก เว้นแต่เป็นการดำเนินการตามที่กำหนดในประกาศนี้ หรือเมื่อได้รับการร้องขอหรือได้รับความยินยอมจากท่าน หรือภายใต้บางสถานการณ์ ดังนี้

• 4.1 กรณีเพื่อเป็นการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลของท่านในกระบวนการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Identity Proofing and Authentication) โดย สพร. จะมีการส่งข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายในการจัดเก็บและรวบรวมข้อมูลส่วนบุคคลและข้อมูลอัตลักษณ์ (Identity Information) เพื่อดำเนินการตรวจสอบและเปรียบเทียบข้อมูล เช่น กรมการปกครอง เป็นต้น
• 4.2 กรณีเพื่อเป็นการอำนวยความสะดวกในการเข้าถึงและเข้าใช้บริการต่าง ๆ ของหน่วยงานผู้ร่วมให้บริการอื่นที่มีอำนาจหรือหน้าที่ตามกฎหมายในการให้บริการดังกล่าว โดยหน่วยงานดังกล่าวได้มีการเชื่อมต่อบริการหรือกระบวนการให้บริการกับแพลตฟอร์ม
• 4.3 กรณีที่ สพร. เชื่อโดยสุจริตว่า เป็นการดำเนินการที่มีการมอบอำนาจ มอบอำนาจช่วง ตัวแทน หรือผู้แทนโดยชอบธรรมของท่านที่มีอำนาจตามกฎหมายโดยชอบ
• 4.4 กรณีที่ สพร. เชื่อโดยสุจริตว่าเป็นข้อกำหนดทางกฎหมาย หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ที่มีอำนาจโดยชอบด้วยกฎหมาย หรือเป็นการดำเนินการตามหมายศาล คำสั่งศาล หรือกระบวนการยุติธรรม
• 4.5 เป็นการแบ่งปันข้อมูลกับหน่วยงานอื่นที่เชื่อถือได้ ซึ่งทำงานในนามหรือทำงานให้ สพร. ภายใต้ข้อตกลงหรือสัญญาที่ให้มั่นใจว่าหน่วยงานดังกล่าวจะมีการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับ สพร. โดยการแบ่งปันข้อมูลดังกล่าวอาจมีทั้งกรณีเพื่อการจัดเก็บข้อมูล และการใช้ข้อมูลเพื่อส่งมอบบริการแก่ท่าน หรือเพื่อการดำเนินโครงการของรัฐ หรือการดำเนินกิจกรรมของ สพร.
• 4.6 กรณีที่ สพร. เชื่อโดยสุจริตและมีเหตุผลที่ดีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่าน ซึ่งเป็นสถานการณ์ที่ สพร. จำเป็นต้องดำเนินการ ได้แก่
  • 4.6.1 เพื่อการสืบสวน สอบสวน และระงับเหตุอาชญากรรม การทุจริต การฉ้อโกง หรือ
  • 4.6.2 เพื่อป้องกันหรือรับมือกับภัยคุกคามตลอดจนการกระทำที่อาจสร้างความเสียหายต่อสิทธิ ทรัพย์สิน หรือความปลอดภัยของสาธารณะ รวมถึงของ สพร. และผู้ที่เกี่ยวข้อง หรือ
  • 4.6.3 เพื่อป้องกันหรือรับมือการกระทำที่ละเมิดต่อข้อตกลงการใช้บริการของสพร. หรือต่อกฎหมาย

ในการเปิดเผยข้อมูลส่วนบุคคลของท่านตามกรณีดังกล่าวข้างต้น สพร. จะเปิดเผยเท่าที่จำเป็น และใช้มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายที่เกี่ยวข้อง รวมทั้งมาตรฐานสากลที่ สพร. ประกาศใช้ในองค์กร

5. การส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ

ในบางกรณี สพร. อาจมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ โดย สพร. จะใช้ความพยายามอย่างดีที่สุดในการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานหรือประเทศที่มีมาตรฐานความปลอดภัยในการรักษาข้อมูลส่วนบุคคลเพียงพอ ทั้งนี้ โดยดำเนินการตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

• 5.1 เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ สพร. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
• 5.2 ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ
• 5.3 เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น
• 5.4 เป็นการกระทำตามสัญญาระหว่าง สพร. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
• 5.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
• 5.6 เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านจนกว่าท่านจะแจ้งความจำนงต่อ สพร. ว่าจะไม่ใช้แพลตฟอร์มอีกต่อไป เช่น ท่านดำเนินการลบบัญชีผู้ใช้งานของแพลตฟอร์ม หรือท่านได้แจ้งต่อ สพร. เพื่อให้ สพร. ยกเลิกการให้บริการแพลตฟอร์มแก่ท่าน โดย สพร. จะดำเนินการลบข้อมูลส่วนบุคคลของท่านภายในระยะเวลา 30 วันนับจากวันที่ท่านได้แจ้งความจำนงต่อ สพร. ข้างต้น

โดยในการลบหรือทำลายในบางกรณี สพร. อาจใช้วิธีการที่ทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลได้ (anonymization) เพื่อนำข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เช่น ข้อมูลพฤติกรรมการใช้บริการ เป็นต้น มาสำรวจและวิเคราะห์เพื่อพัฒนาปรับปรุงการให้บริการต่อไป สำหรับข้อมูลจราจรทางคอมพิวเตอร์จากการเข้าใช้งานแพลตฟอร์มจะถูกจัดเก็บเป็นระยะเวลา 90 วัน

อย่างไรก็ดี สพร. อาจจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลของท่านเกินระยะเวลาที่กำหนดข้างต้น หากมีเหตุที่ สพร. ได้รับแจ้งหรือเชื่อโดยสุจริตได้ว่าอาจมีการกระทำละเมิดข้อตกลงการใช้บริการของ สพร. หรือมีการกระทำฝ่าฝืนกฎหมาย หรือเกิดข้อพิพาท และจำเป็นต้องมีการสืบสวน สอบสวน ตลอดจนรวบรวมหลักฐานเพื่อดำเนินคดีตามกฎหมาย โดย สพร. จะจัดเก็บข้อมูลส่วนบุคคลของท่านตามระยะเวลาเท่าที่จำเป็นจนกว่ากระบวนการจะเสร็จสิ้น หรือตามระยะเวลาที่กฎหมายที่เกี่ยวข้องในเรื่องนั้นกำหนด

7. การใช้คุกกี้

สพร. อาจใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันบนแพลตฟอร์ม เพื่อการดำเนินนการด้านความปลอดภัยในการให้บริการและเพื่อให้ท่านได้รับความสะดวกและประสบการณ์ที่ดีใช้การใช้บริการ และข้อมูลที่มีการเก็บรวบรวมจากการใช้คุกกี้เหล่านี้จะถูกนำไปปรับปรุงแพลตฟอร์มและบริการของ สพร. เพื่อให้ตรงกับความต้องการของท่านมากขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเอง โปรดศึกษาเกี่ยวกับการใช้งานและการตั้งค่าคุกกี้เพิ่มเติมจากนโยบายคุกกี้ (Cookie Policy)

8. มาตรการรักษาความมั่นคงปลอดภัย

สพร. ตระหนักถึงความไว้วางใจของท่านที่ได้ให้ข้อมูลที่สำคัญกับ สพร. โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ สพร. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องมีมาตรการและการจัดการด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่า ข้อมูลเหล่านั้นจะได้รับการปกป้องดูแล และพร้อมให้เจ้าของข้อมูลเข้าถึงและตรวจสอบ

โดย สพร. ได้มีการออกนโยบายความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ (Information and Cyber Security Policy) มาใช้ภายในองค์กร ซึ่งตัวอย่างมาตรการและการจัดการด้านความมั่นคงปลอดภัยในการปกป้องดูแลข้อมูลส่วนบุคคลที่ สพร. มีการนำมาใช้ เช่น

• 1. กำหนดมาตรการป้องกันทางกายภาพ และการจำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะเจ้าหน้าที่ของ สพร. ที่มีความจำเป็นต้องเข้าถึงข้อมูลนั้นๆ (Need to Know Basis)
• 2. กำหนดมาตรการป้องกันการเข้าถึงระบบและข้อมูล เช่น การใช้รหัสผ่านเพื่อเข้าสู่ระบบการให้บริการ เป็นต้น เพื่อป้องกันมิให้ผู้ที่ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลของท่าน
• 3. มีการเข้ารหัสข้อมูล (Encryption) ที่มีชั้นความลับเพื่อให้ข้อมูลไม่สามารถถูกเปิดอ่านได้จากผู้ที่ไม่มีสิทธิ
• 4. กำหนดกระบวนการทำงานในการคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล โดยหากเกิดเหตุดังกล่าว สพร. จะรีบแจ้งท่านทราบโดยเร็ว รวมถึงแจ้งเจ้าหน้าที่รัฐที่ดูแลเรื่องนี้ในกรณีที่กฎหมายกำหนดให้ต้องแจ้ง
• 5. มีการอบรมเจ้าหน้าที่ของ สพร. เพื่อสร้างความตระหนักและความเข้าใจในขั้นตอนการปฏิบัติงานในการดูแลคุ้มครองข้อมูลส่วนบุคคล และการรับมือกับปัญหาหรือเหตุอันน่าสงสัยว่าจะมีการละเมิดข้อมูลส่วนบุคคล
• 6. ตรวจสอบและทดสอบระบบที่มีการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบหรือเทคโนโลยีที่ใช้มีความมั่นคงปลอดภัย และมีการปรับปรุงและติดตั้งซอฟต์แวร์การจัดการด้านการรักษาความมั่นคงปลอดภัยเวอร์ชันปัจจุบันอย่างสม่ำเสมอ

อย่างไรก็ตาม โปรดตระหนักว่า การส่งข้อมูลผ่านเครือข่ายสาธารณะหรือการใช้เครื่องคอมพิวเตอร์สาธารณะหรือแม้แต่การใช้เครื่องคอมพิวเตอร์หรืออุปกรณ์สื่อสารส่วนตัวของท่านซึ่งติดมัลแวร์ มีความเสี่ยง และ สพร. ไม่สามารถรับประกันความปลอดภัยในข้อมูลของท่าน ซึ่งอาจถูกลักลอบเข้าถึง หรือถูกเปิดเผย หรือถูกโอนถ่ายออกไป และทำให้ท่านเกิดความเสียหายได้

9. การเปลี่ยนแปลงแก้ไขประกาศความเป็นส่วนตัว

ในการปรับปรุงหรือเปลี่ยนแปลงประกาศความเป็นส่วนตัวนี้ สพร. อาจพิจารณาแก้ไขเปลี่ยนแปลงเป็นครั้งคราวเพื่อให้มีความเหมาะสมและสอดคล้องกับสถานการณ์และรูปแบบการให้บริการ และ สพร. จะทำการแจ้งให้ท่านทราบผ่านแพลตฟอร์มหรือช่องทางอื่นใดที่ สพร. เห็นสมควร โดยมีวันที่ของเวอร์ชันล่าสุดกำกับอยู่ตอนท้าย และขอให้ท่านโปรดตรวจสอบอย่างสม่ำเสมอ เพื่อรับทราบประกาศความเป็นส่วนตัวฉบับล่าสุดอยู่เสมอ โดยเฉพาะก่อนที่ท่านจะส่งข้อมูลส่วนบุคคลมาที่แพลตฟอร์ม

โดยในการเข้าใช้แพลตฟอร์มของท่าน ถือเป็นการรับทราบและยอมรับตามข้อตกลงในประกาศความเป็นส่วนตัวนี้ หากท่านไม่เห็นด้วยกับข้อตกลงในประกาศความเป็นส่วนตัวนี้ โปรดหยุดและยกเลิกการใช้แพลตฟอร์ม หากท่านยังคงใช้แพลตฟอร์มนี้ ภายหลังจากที่ข้อตกลงนี้มีการแก้ไขและนำขึ้นประกาศในเว็บไซต์หรือแพลตฟอร์มแล้ว ให้ถือว่าท่านได้รับทราบและยอมรับการเปลี่ยนแปลงดังกล่าวแล้ว

10. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

บริการแพลตฟอร์มอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลภายนอก ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ที่มีเนื้อหาสาระแตกต่างจากประกาศฉบับนี้ หรือแตกต่างจากนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สพร. จึงแนะนำให้ท่านศึกษาประกาศและนโยบายดังกล่าวของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ สพร. ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหาประกาศ นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลภายนอก

11. ช่องทางการติดต่อ

สพร. เปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลมีส่วนร่วมในการควบคุมและจัดการข้อมูลของตน โดยสามารถยื่นคำร้องขอใช้สิทธิตามข้อ 3 หรือติดต่อสอบถามข้อมูลเพิ่มเติมผ่าน DGA Contact Center โดยมีรายละเอียด ดังนี้

• สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
• ที่อยู่ อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (TIJ) ชั้น 4 เลขที่ 999 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210
• หมายเลขโทรศัพท์ 02-612-6060
• จดหมายอิเล็กทรอนิกส์ contact@dga.or.th
• เว็บไซต์ https://www.dga.or.th/contact-dga/

โดย สพร. จะพยายามอย่างเต็มที่ในการแก้ไขข้อกังวลและปัญหาต่าง ๆ

หมายเหตุ: คำร้องสามารถยื่นโดยเจ้าของข้อมูลเอง หรือโดยบุคคลที่มีอำนาจแทนตามกฎหมาย เช่น ผู้ปกครอง ผู้อนุบาล ผู้พิทักษ์ โดยต้องแนบหลักฐานแสดงตนหรือหนังสือมอบอำนาจตามที่ สพร. กำหนด

ประกาศนี้ใช้บังคับเมื่อวันที่ 18 เดือนกรกฎาคม 2568

บริการย่อยแนบท้ายประกาศ

สำหรับบริการย่อยแนบท้ายประกาศนี้ เป็นบริการย่อยที่มีการให้บริการผ่าน “แพลตฟอร์มดิจิทัลประชาชน” หรือ “แอปพลิเคชันทางรัฐ” และเฉพาะในส่วนของบริการที่ สพร. มีสิทธิควบคุมและจัดการข้อมูลส่วนบุคคลของผู้ที่มาใช้บริการดังกล่าวในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

โดยหลักเกณฑ์และข้อกำหนดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ไม่ได้กำหนดในตารางบริการย่อยนี้ เช่น สิทธิของเจ้าของข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัย ช่องทางการติดต่อ เป็นต้น ให้ใช้ข้อกำหนดร่วมกับประกาศเกี่ยวกับความเป็นส่วนตัวของ“แพลตฟอร์มดิจิทัลประชาชน” หรือ “แอปพลิเคชันทางรัฐ” ที่เป็นประกาศหลัก

ทั้งนี้ หลักเกณฑ์และแนวทางเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่แสดงไว้ในตารางของแต่ละบริการย่อย จะระบุเฉพาะหัวข้อที่มีรายละเอียดการดำเนินการที่อาจแตกต่างกันไปตามลักษณะของบริการย่อยดังกล่าว

สำหรับหัวข้อหรือหลักเกณฑ์ที่ไม่ได้กำหนดไว้ในตาราง แต่มีระบุไว้ในประกาศเกี่ยวกับความเป็นส่วนตัวของ “แพลตฟอร์มดิจิทัลประชาชน / แอปพลิเคชันทางรัฐ” ที่เป็นประกาศหลัก เช่น สิทธิของเจ้าของข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัย ช่องทางการติดต่อ เป็นต้น ให้ยึดถือและดำเนินการตามประกาศหลักดังกล่าว

โดยรายชื่อบริการย่อยแนบท้ายประกาศอาจมีการปรับปรุง แก้ไข หรือเพิ่มเติมตามความเหมาะสม ทั้งจากกรณีที่ สพร. ได้มีการพัฒนาและให้บริการย่อยเพิ่มเติม หรือมีการส่งมอบภารกิจและบริการย่อยไปให้กับหน่วยงานอื่น ซึ่งในกรณีหลังนี้ หลักเกณฑ์และเงื่อนไขในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของบริการย่อยดังกล่าวก็จะเป็นไปตามข้อกำหนดในนโยบายหรือประกาศเกี่ยวกับความเป็นส่วนตัวของหน่วยงานที่รับมอบบริการย่อยไปดูแลต่อ และ สพร. ก็จะมีการนำบริการย่อยดังกล่าวออกจากบริการย่อยแนบท้ายประกาศนี้

รายชื่อบริการย่อยมีดังต่อไปนี้

• 1. ทางรัฐ Wallet
• 2. ระบบลงทะเบียนอาสาสมัครกู้ภัยผ่านแอปพลิเคชันทางรัฐ
• 3. ระบบลงทะเบียนรถไฟฟ้า 20 บาทตลอดสาย (สำหรับผู้ใช้บริการรถไฟฟ้า)
• 4. ระบบลงทะเบียนรถไฟฟ้า 20 บาทตลอดสาย (สำหรับเจ้าหน้าที่ ณ จุดบริการ)