ประกาศกรมเจรจาการค้าระหว่างประเทศ
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565
---------------------------------------------
ด้วยกรมเจรจาการค้าระหว่างประเทศ (ต่อไปในนโยบายนี้เรียกว่า กรมฯ) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อกำหนดนโยบาย แนวทางในการปฏิบัติที่สำคัญในการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งจะทำให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่กรมฯ ครอบครองเป็นไปโดยถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่า กรมฯ จะดูแลรักษาข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม โดยมีสาระสำคัญดังนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศกรมเจรจาการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565”
ข้อ 2 ขอบเขตการบังคับใช้นโยบาย
ประกาศนี้ให้มีผลบังคับใช้ตั้งแต่บัดนี้เป็นต้นไป และใช้บังคับกับการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลโดยกรมฯ ในปัจจุบันและที่อาจมีในอนาคต
ข้อ 3 คำนิยาม
“กรมฯ” หมายถึง กรมเจรจาการค้าระหว่างประเทศ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ กรมฯ เก็บรวบรวม ใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“คณะกรรมการ” หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 4 วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
กรมฯ มีภารกิจในการเจรจาการค้าระหว่างประเทศในระดับทวิภาคี อนุภูมิภาค ภูมิภาค พหุภาคี และภายใต้กรอบความร่วมมือทางเศรษฐกิจการค้า รวมทั้งองค์การระหว่างประเทศที่เกี่ยวข้องเพื่อขยายโอกาสทางเศรษฐกิจการค้า และปกป้องผลประโยชน์ของประเทศอย่างเป็นรูปธรรม รวมถึงเสริมสร้างและเผยแพร่ความรู้ความเข้าใจเกี่ยวกับการเจรจาการค้าระหว่างประเทศ และสนับสนุนการมีส่วนร่วมของทุกภาคส่วน
ทั้งนี้ กรมฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัดและเท่าที่จำเป็น ภายใต้วัตถุประสงค์ในการดำเนินงานของกรมฯ เท่านั้น ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลมีวัตถุประสงค์หลายประการ ขึ้นอยู่กับประเภทของกิจกรรม บริการ หรือข้อพิจารณาในแต่ละบริบท โดยอาจมีวัตถุประสงค์ดังต่อไปนี้
1) เพื่อให้บริการและบริหารจัดการบริการของกรมฯ ทั้งบริการภายใต้สัญญาที่มี หรือตาม พันธกิจของกรมฯ
2) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหาบุคลากรหรือผู้ดำรงตำแหน่งต่าง ๆ และการประเมินคุณสมบัติ
3) เพื่อการยืนยันตัวตน พิสูจน์ตัวตน และตรวจสอบข้อมูลเมื่อมีการสมัครใช้บริการของกรมฯ เช่น การติดต่อขอรับบริการ การใช้สิทธิตามกฎหมาย
4) เพื่อยืนยันตัวตนป้องกันการสแปม หรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย
5) เพื่อการดำเนินการทางธุรกรรมของกรมฯ
6) เพื่อวิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของกรมฯ
7) เพื่อควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบ และบริหารจัดการบริการ
8) เพื่อเก็บรักษาและปรับปรุงข้อมูล
9) เพื่อจัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
10) เพื่อป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย ที่อาจก่อให้เกิดความเสียหายต่อทั้งกรมฯ และเจ้าของข้อมูลส่วนบุคคล
11) เพื่อการปรับปรุงและพัฒนาคุณภาพของการดำเนินกิจกรรมหรือการบริการให้ทันสมัย
12) เพื่อการประเมินและบริหารจัดการความเสี่ยง
13) เพื่อส่งการแจ้งเตือน ยืนยันการทำตามคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังผู้รับบริการ
14) เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
15) เพื่อตรวจสอบวิธีการที่เจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของกรมฯ ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้า และการวิเคราะห์
16) เพื่อดำเนินการตามที่จำเป็นในการปฏิบัติตามหน้าที่ที่กรมฯ มีต่อหน่วยงานที่มีอำนาจควบคุม ด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของกรมฯ
17) เพื่อดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของกรมฯ หรือของบุคคลหรือนิติบุคคลอื่นที่เกี่ยวข้องกับการดำเนินการของกรมฯ
18) เพื่อป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งรวมถึงการเฝ้าระวังโรคระบาด
19) เพื่อจัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่กรมฯ ได้รับมอบหมายให้ดำเนินการ
20) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล
ข้อ 5 หลักการในการประมวลผลข้อมูลส่วนบุคคล
กรมฯ จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของกิจกรรม ให้สอดคล้องกับหลักการที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ดังนี้
5.1 เหตุที่กรมฯ สามารถจัดเก็บข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม มีกรณีดังต่อไปนี้
1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4) เป็นการจำเป็นในการดำเนินภารกิจของกรมฯ เพื่อประโยชน์สาธารณะ หรือการใช้อำนาจรัฐ
5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของกรมฯ เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
6) เป็นการปฏิบัติตามกฎหมายซึ่งกรมฯ จำเป็นต้องปฏิบัติตาม
5.2 ในกรณีที่กรมฯ จำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กรมฯ จะแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลได้ทราบก่อนการขอความยินยอม
5.3 กรณีที่มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามสัญญา
การปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการดำเนินการ อาจมีผลทำให้กรมฯ ไม่สามารถดำเนินการหรือให้บริการตามที่ร้องขอได้ทั้งหมดหรือบางส่วน
ข้อ 6 แหล่งที่มาของข้อมูลส่วนบุคคลที่กรมฯ เก็บรวบรวม
กรมฯ เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
1) ข้อมูลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น การสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยกรมฯ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับกรมฯ ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยกรมฯ เป็นต้น
2) ข้อมูลจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของกรมฯ ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
3) ข้อมูลที่รวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่กรมฯ เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่น รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญา
4) ข้อมูลส่วนบุคคลของบุคคลที่สาม โดยผู้ให้ข้อมูลของบุคคลที่สามดังกล่าวมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้ให้บุคคลที่สามนั้นทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่กรมฯ
ข้อ 7 ประเภทของข้อมูลส่วนบุคคลที่กรมฯ รวบรวมและจัดเก็บบางส่วนหรือทั้งหมด
7.1 ประเภทของข้อมูลส่วนบุคคลที่กรมฯ อาจรวบรวมและจัดเก็บบางส่วนหรือทั้งหมด มีดังต่อไปนี้
ประเภทข้อมูลส่วนบุคคล |
รายละเอียดและตัวอย่าง |
1) ข้อมูลเฉพาะตัวบุคคล |
ข้อมูลระบุชื่อเรียกหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัว เช่น คำนำหน้าชื่อ ยศ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น |
2) ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล |
ข้อมูลรายละเอียดเกี่ยวกับคุณลักษณะเฉพาะของบุคคล เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาที่ใช้ เป็นต้น |
3) ข้อมูลสำหรับการติดต่อ |
ข้อมูลเพื่อการติดต่อ เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ที่อยู่ตามทะเบียนบ้าน ที่อยู่ปัจจุบัน ชื่อผู้ใช้งานในสังคมออนไลน์ แผนที่ตั้งของที่พัก เป็นต้น |
4) ข้อมูลเกี่ยวกับการทำงานและการศึกษา |
รายละเอียดการจ้างงาน รวมถึงประวัติการศึกษาและประวัติการทำงาน เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษีและประวัติการชำระภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ประวัติหรือผลการประเมินการศึกษาหรือการทำงาน ประวัติการรับเครื่องราชอิสริยาภรณ์ ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน วันบรรจุกลับเข้ารับราชการ การได้รับสวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงานทางวิชาการ หมายเลขบัญชีธนาคาร |
5) ข้อมูลเกี่ยวกับการใช้บริการของกรมฯ |
รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของกรมฯ เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่านทั้งที่เป็นรูปแบบตัวเลข รูปแบบ (Pattern) หรือ Biodata ที่ยืนยันตัวบุคคล หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วิดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งานผ่านเว็บไซต์หรือแอปพลิเคชันที่อยู่ในความดูแลของกรมฯ ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น |
6) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว |
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนตามมาตรา 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ประวัติอาชญากรรม ข้อมูลชีวภาพ ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น ทั้งนี้ กรมฯ จะไม่รวบรวมและจัดเก็บข้อมูลส่วนบุคลที่มีความอ่อนไหวเว้นแต่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือในกรณีอื่นใดตามที่กฎหมายกำหนดเป็นข้อยกเว้นให้สามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล |
7.2 ข้อมูลที่รวบรวมและจัดเก็บตามข้อ 7.1 เป็นเพียงกรอบการเก็บรวบรวมและจัดเก็บ ทั้งนี้ รายละเอียดอาจมีการเปลี่ยนแปลงให้สอดคล้องกับการดำเนินการตามภารกิจ หรือกิจกรรมหรือบริบทที่เกี่ยวข้อง
ข้อ 8 คุกกี้
กรมฯ เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ แอปพลิเคชัน หรือระบบสารสนเทศอื่นใด ที่อยู่ภายใต้ความดูแลของกรมฯ และ ที่ให้บริการบุคคลภายนอก ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของกรมฯ และเพื่อให้ผู้ใช้บริการได้รับความสะดวกในการใช้งานบริการของกรมฯ ข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของกรมฯ ให้ตรงกับความต้องการของผู้ใช้บริการมากยิ่งขึ้น โดยผู้ใช้บริการสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser)
ข้อ 9 ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ
9.1 กรณีที่ทราบล่วงหน้าว่าข้อมูลส่วนบุคคลจำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เนื่องจากเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ กรมฯ จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
9.2 กรณีที่กรมฯ ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่ากรมฯ ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี กรมฯ จะรีบดำเนินการขอความยินยอมตามมาตรา 20 แต่หากไม่ได้รับความยินยอม กรมฯ จะต้องดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากกรมฯ ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าวที่นอกเหนือจากความยินยอม
ข้อ 10 ประเภทบุคคลที่กรมฯ เปิดเผยข้อมูลส่วนบุคคล
10.1 กรมฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ให้กับหน่วยงานหรือบุคคลอื่นใด โดยไม่ได้รับความยินยอม เว้นแต่ ในกรณีที่การเก็บรวบรวมและเปิดเผยข้อมูลนั้นเป็นไปตามฐานอันชอบด้วยกฎหมายตามมาตรา 24 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
10.2 กรมฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังต่อไปนี้
ประเภทบุคคลผู้รับข้อมูล |
รายละเอียดและตัวอย่าง |
1) หน่วยงานของรัฐหรือผู้มีอำนาจที่กรมฯ ต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น เช่น การดำเนินการ เพื่อประโยชน์สาธารณะ |
หน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานปลัดสำนักนายกรัฐมนตรี สำนักงาน ก.พ. กรมการกงสุล กรมบัญชีกลาง สำนักงานประกันสังคม กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น |
2) คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของกรมฯ |
บุคคลภายนอกที่กรมฯ จัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น บริษัทประกันภัย โรงพยาบาล ธนาคาร |
3) ผู้ให้บริการ |
กรมฯ อาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของกรมฯ เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน |
4) ผู้รับข้อมูลประเภทอื่น |
กรมฯ อาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อกรมฯ สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของกรมฯ การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น |
5) การเปิดเผยข้อมูลต่อสาธารณะ |
กรมฯ อาจเปิดเผยข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น เช่น การดำเนินการที่กำหนดให้กรมฯ ต้องประกาศลงใน |
10.3 ทั้งนี้ ประเภทของบุคคลผู้รับข้อมูลข้างต้นเป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลเป็นการทั่วไป โดยจะดำเนินการเฉพาะภายใต้วัตถุประสงค์ตามข้อ 4 ต่อบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่ใช้งานหรือมีความสัมพันธ์กับกรมฯ ด้วยเท่านั้น
ข้อ 11 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในกรณีที่กรมฯ มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ กรมฯ จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลดังกล่าวมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมายมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ข้อ 12 ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
กรมฯ จะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว กรมฯ จะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคล ไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล กรมฯ ขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะมีคำสั่งหรือคำพิพากษาถึงที่สุด
ข้อ 13 การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
13.1 กรมฯ อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของกรมฯ ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างบริการในรูปแบบอื่น
13.2 การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อ 13.1 กรมฯ จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของกรมฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่สามที่กรมฯ มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล โดยมีการกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่กรมฯ มอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์และขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ทั้งนี้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของกรมฯ เท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์หรือเพื่อประโยชน์อื่นนอกเหนือจากที่ระบุได้
13.3 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้กรมฯ จะกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดทำเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างกรมฯ กับผู้ประมวลผลข้อมูลส่วนบุคคล
ข้อ 14 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
14.1 กรมฯ จะจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลแก่เจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องรักษาความลับของข้อมูลส่วนบุคคลที่ตนเองได้รับและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของกรมฯ อย่างเคร่งครัด
14.2 กรมฯ จะกำหนดมาตรการรักษาความปลอดภัยและรักษาความลับข้อมูลส่วนบุคคลที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนดในการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ทำลายหรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ เพื่อให้มีความมั่นใจว่าข้อมูลจะมีความมั่นคงปลอดภัยอยู่เสมอ
ข้อ 15 การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของกรมฯ อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ ดังนั้น กรมฯ แนะนำให้ศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กรมฯ ไม่มีอำนาจควบคุมมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
ข้อ 16 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กรมฯ ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อ 17 สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สิทธิของเจ้าของข้อมูลส่วนบุคคลเป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย
1) สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล
4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
6) สิทธิในการขอถอนความยินยอม
7) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล
8) สิทธิในการร้องเรียน
ข้อ 18 ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาก่อนกฎหมายบังคับใช้
กรมฯ จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ต่อไปตามวัตถุประสงค์เดิม ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลมีความประสงค์จะเพิกถอนความยินยอมดังกล่าว สามารถดำเนินการได้ ผ่านหนังสือไปรษณีย์อิเล็กทรอนิกส์ เว็บไซต์ของกรมฯ (www.dtn.go.th) หรือระบบเทคโนโลยีสารสนเทศของกรมฯ
ข้อ 19 การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
กรมฯ อาจพิจารณาปรับปรุงแก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร โดยจะแจ้งให้ผู้ใช้บริการทราบการเปลี่ยนแปลงผ่านทางเว็บไซต์ www.dtn.go.th หรือแจ้งให้ทราบทางไปรษณีย์อิเล็กทรอนิกส์ หรือช่องทางอื่น ๆ แล้วแต่กรณี โดยจะแจ้งวัตถุประสงค์ของการปรับปรุงหรือแก้ไขนโยบายฯ ให้ทราบอย่างชัดเจน
ข้อ 20 การติดต่อกับกรมเจรจาการค้าระหว่างประเทศ
ในกรณีที่มีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกรมฯ หรือเกี่ยวกับนโยบายนี้ สามารถติดต่อสอบถามได้ที่
กรมเจรจาการค้าระหว่างประเทศ
เลขที่ 563 ถนนนนทบุรี ตำบลบางกระสอ
อำเภอเมืองนนทบุรี จังหวัดนนทบุรี 11000
อีเมล : dpo@dtn.go.th
โทรศัพท์ : 0 2507 7444
ประกาศ ณ วันที่ 23 มิถุนายน พ.ศ. 2565
----------------------------------------------------------------------------------
ประกาศกรมเจรจาการค้าระหว่างประเทศ
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2565
---------------------------------------------
โดยที่เป็นการสมควรแก้ไขเพิ่มเติมประกาศกรมเจรจาการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ลงวันที่ 23 มิถุนายน 2565 ให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสอดคล้องกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
อาศัยอำนาจตามความในมาตรา 16 (4) และ มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อธิบดีกรมเจรจาการค้าระหว่างประเทศ จึงออกประกาศดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศกรมเจรจาการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2566”
ข้อ 2 ประกาศนี้ให้มีผลใช้บังคับตั้งแต่บัดนี้เป็นต้นไป
ข้อ 3 ให้เพิ่มเติมความต่อไปนี้ “14.3 กรมจะกำหนดแนวทางการตอบสนองกับเหตุการณ์ข้อมูลรั่วไหล ตรวจสอบที่มาและระบุจุดต้นเหตุของการรั่วไหล หากพิจารณาแล้วเห็นว่าการรั่วไหลของข้อมูลส่วนบุคคลมีความเสี่ยงสูง และส่งผลกระทบต่อมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล กรมจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการละเมิดดังกล่าวและแนวทางในการเยียวยา และแจ้งเหตุละเมิดดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ที่ทราบเหตุเท่าที่จะสามารถกระทำได้” เป็นส่วนหนึ่งของ ข้อ 14 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล แห่งประกาศกรมเจรจาการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565
ข้อ 4 ให้ยกเลิกความในข้อ 20 ของประกาศกรมเจรจาการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 และให้ใช้ความต่อไปนี้แทน
"ข้อ 20 การติดต่อกับกรมเจรจาการค้าระหว่างประเทศ
ในกรณีที่มีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกรม หรือเกี่ยวกับนโยบายนี้ สามารถติดต่อสอบถามได้ที่
กรมเจรจาการค้าระหว่างประเทศ
เลขที่ 563 ถนนนนทบุรี ตำบลบางกระสอ
อำเภอเมืองนนทบุรี จังหวัดนนทบุรี 11000
อีเมล : dpo@dtn.go.th
โทรศัพท์ : 0 2507 7445"
ข้อ 5 บรรดาประกาศในส่วนที่เกี่ยวข้องที่ใช้บังคับอยู่ก่อนวันที่ประกาศนี้ใช้บังคับ ให้ยังคงใช้บังคับได้ต่อไป เท่าที่ไม่ขัดหรือแย้งกับประกาศนี้
ประกาศ ณ วันที่ 5 เมษายน พ.ศ. 2566