ก
ก
ก
TH
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
สำนักงานคณะกรรมการส่งเสริมสวัสดิการและสวัสดิภาพครูและบุคลากรทางการศึกษา พ.ศ. ๒๕๖๖
สำนักงานคณะกรรมการส่งเสริมสวัสดิการและสวัสดิภาพครูและบุคลากรทางการศึกษา
("สำนักงาน") ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตระหนักถึงหน้าที่และความสำคัญในการปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคลและความไว้วางใจจากพนักงาน ลูกจ้าง รวมถึงบุคคลอื่นที่เกี่ยวข้องทั้งภายในและภายนอกสำนักงาน จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล
(“นโยบาย”) นี้ขึ้นเพื่อแสดงถึงความรับผิดชอบของสำนักงานต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) โดยกำหนดกรอบนโยบายฉบับนี้เพื่อให้ผู้ปฏิบัติงาน ของสำนักงานถือปฏิบัติเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล โดยมีเนื้อหาสาระดังต่อไปนี้
ในประกาศฉบับนี้
“สำนักงาน” หมายความว่า สำนักงานคณะกรรมการส่งเสริมสวัสดิการและสวัสดิภาพครูและบุคลากรทางการศึกษา
“ผู้ปฏิบัติงาน” หมายความว่า บุคลากรที่ปฏิบัติงานให้สำนักงานทุกท่าน ไม่ว่าจะได้รับค่าตอบแทนจากแหล่งงบประมาณใด และรวมถึงลูกจ้างชั่วคราว ลูกจ้างทดลองงาน และนักศึกษาฝึกงาน ผู้ปฏิบัติงานมีหน้าที่ในฐานะส่วนหนึ่งของสำนักงานในการปฏิบัติตามนโยบายนี้และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อให้การดำเนินการของสำนักงานสอดคล้องกับกฎหมายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“ผู้ให้บริการภายนอก” หมายความว่า หน่วยงานภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลของสำนักงาน ซึ่งปฏิบัติหน้าที่แทนสำนักงาน
“ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง” หมายความว่า บุคคลหรือนิติบุคคลที่จัดตั้งขึ้นหรือได้รับมอบหมายโดยผู้ให้บริการภายนอกซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของสำนักงาน เพื่อให้มีส่วนช่วยหรือสนับสนุนในการประมวลผลข้อมูลส่วนบุคคล
“นโยบาย” หมายความว่า หลักการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานกำหนดขึ้นและประกาศใช้
“บุคคล” หมายความว่า บุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน ส่งต่อ เผยแพร่ โอน รวม ลบ หรือทำลาย
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ได้รับการแต่งตั้งจากสำนักงาน เพื่อให้ปฏิบัติหน้าที่ตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคลของสำนักงาน
สำนักงานยึดถือแนวปฏิบัติดังต่อไปนี้ในการประมวลผลข้อมูลส่วนบุคคล
๑. การประมวลผลข้อมูลส่วนบุคคลต้องชอบด้วยกฎหมาย มีฐานทางกฎหมายในการประมวลผล และมีความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
๒. การประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม และไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้ เว้นแต่มีกฎหมายบัญญัติให้กระทำได้ (Purpose limitation)
๓. การประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของสำนักงาน (Data minimization)
๔. การดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Accuracy)
๕. มีระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นตามวัตถุประสงค์และจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น (Storage limitation)
๖. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (Integrity and Confidentiality)
๗. มีความรับผิดชอบต่อการประมวลผลข้อมูลส่วนบุคคล โดยสามารถแสดงให้เห็นหรือพิสูจน์ได้ว่าได้ดำเนินการตามหลักการข้อ ๑-๖ (Accountability)
นโยบายการคุ้มครองข้อมูลส่วนบุคคล มีดังนี้
๑. แหล่งที่มาของข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวม
สำนักงานเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่างๆ จากแหล่งข้อมูลดังต่อไปนี้
๑) ข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่างๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสารทำแบบสำรวจหรือใช้งานบริการหรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยสำนักงาน หรือเมื่อเจ้าของข้อมูล ส่วนบุคคลติดต่อสื่อสารกับสำนักงาน ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยสำนักงาน เป็นต้น
๒) ข้อมูลที่สำนักงานเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ หรือบริการตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ หรือบริการของสำนักงานด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
๓) ข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่หรือมีเหตุผลอันชอบ ด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลส่วนบุคคลให้แก่สำนักงาน
๒. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
สำนักงานพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่สำนักงานใช้ ประกอบด้วย
๑) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
๓) มีความจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
๔) มีความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของสำนักงาน หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่สำนักงาน
๕) มีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของสำนักงาน หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่สำนักงาน เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
๖) เป็นการปฏิบัติตามกฎหมายของสำนักงาน
๗) การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ ในกรณีที่มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา ๒๖ สำนักงานจะพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามเงื่อนไขที่กำหนดใน มาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๓. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
สำนักงานดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของผลิตภัณฑ์หรือบริการหรือกิจกรรม ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับสำนักงานหรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้ เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของสำนักงานเป็นการทั่วไป
๑) เพื่อดำเนินการตามที่จำเป็นในการปฏิบัติภารกิจของสำนักงานที่ได้รับมอบหมายให้สำเร็จลุล่วงหรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่สำนักงานมีอำนาจหน้าที่ในการดำเนินการตามพันธกิจดังปรากฎในกฎหมาย กฎ ระเบียบ ข้อบังคับ หรือคำสั่งที่เกี่ยวข้อง
๒) เพื่อให้บริการและบริหารจัดการบริการของสำนักงาน ทั้งบริการภายใต้สัญญาหรือตามพันธกิจของสำนักงาน
๓) เพื่อการดำเนินการทางธุรกรรมของสำนักงาน
๔) ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการเพื่ออำนวยความสะดวก
๕) วิเคราะห์ข้อมูลส่วนบุคคล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของสำนักงาน
๖) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กรรวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่างๆ การประเมินคุณสมบัติ
๗) เพื่อป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัยหรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งสำนักงานและเจ้าของข้อมูลส่วนบุคคล
๘) เพื่อการยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อมีการสมัครใช้บริการของสำนักงานหรือติดต่อใช้บริการ หรือใช้สิทธิตามกฎหมาย
๙) เพื่อปรับปรุงและพัฒนาคุณภาพบริการให้ทันสมัย
๑๐) เพื่อการติดต่อสื่อสารและแจ้งข่าวสารหรือเพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
๑๑) เพื่อตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของสำนักงานอย่างไร ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้าและการวิเคราะห์
๑๒) เพื่อดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่สำนักงานมีต่อหน่วยงานที่มีอำนาจควบคุมหน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของสำนักงาน
๑๓) เพื่อป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งรวมถึงการเฝ้าระวังโรคระบาด
๑๔) เพื่อจัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้าหรือจัดทำสถิติที่สำนักงานได้รับมอบหมายให้ดำเนินการ
๑๕) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล
๔. การเปิดเผยข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลส่วนบุคคล และข้อจำกัดในการนำข้อมูลส่วนบุคคลมาใช้
สำนักงานจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล นอกเหนือวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล เว้นแต่จะเป็นการดำเนินการตามคำสั่งศาล หรือตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้อง ซึ่งสำนักงานมีหน้าที่ต้องปฏิบัติตาม หรือเป็นการดำเนินการตามข้อตกลงระหว่างประเทศที่เกี่ยวข้องกับอำนาจหน้าที่ของสำนักงาน ในกรณีที่สำนักงานต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศนั้น ประเทศปลายทาง หน่วยงาน หรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือเป็นการปฏิบัติตามกฎหมาย หรือการปฏิบัติตามสัญญาที่ทำขึ้นระหว่างสำนักงานกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการจำเป็นเพื่อการดำเนินการภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนด
กรณีของการเชื่อมโยงหรือการแบ่งปันข้อมูลส่วนบุคคลระหว่างหน่วยงานของรัฐ สำนักงานจะจัดให้มีการเชื่อมโยงและแบ่งปันข้อมูลส่วนบุคคลที่มีการจัดทำ และครอบครองตามที่หน่วยงานของรัฐแห่งอื่นร้องขอเท่าที่จำเป็นต่อการบูรณาการข้อมูลร่วมกัน และกำกับดูแลให้หน่วยงานของรัฐผู้ร้องขอต้องใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ในอำนาจหน้าที่ของตนรวมถึงการดูแลรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย ไม่มีการเปิดเผยหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล ทั้งนี้ ในการใช้ข้อมูลส่วนบุคคลดังกล่าว สำนักงานจะกำหนดมาตรการเพื่อควบคุมให้มีการใช้ข้อมูลส่วนบุคคล
๕. ระยะเวลาในการประมวลผลข้อมูลส่วนบุคคล
สำนักงานจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบายประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้วสำนักงานจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไปตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่กฎหมายประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล สำนักงานขอสงวนสิทธิ์ในการเก็บรวบรวมข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
๖. การให้บริการโดยบุคคลที่สามหรือผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
สำนักงานอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของสำนักงาน ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่างๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud Computing Service Provider) หรือเป็นงานในลักษณะการจ้างทำในรูปแบบอื่น เป็นต้น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น สำนักงานจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของสำนักงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่สำนักงานมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่สำนักงานมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่นๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของสำนักงานเท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ สำนักงานจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างสำนักงานกับผู้ประมวลผลข้อมูลส่วนบุคคล
๗. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สำนักงานจะดำเนินการตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ ๒๕๖๕ สำนักงานมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าว ตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของสำนักงานอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยสำนักงานมีมาตรการรักษาความปลอดภัยข้อมูล ทั้งมาตรการเชิงองค์กร (Organizational measures) มาตรการเชิงเทคนิค (Technical measures) และมาตรการป้องกันทางกายภาพ (Physical measures) เพื่อธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพความพร้อมใช้งานของข้อมูลส่วนบุคคล เพื่อป้องกันการเข้าถึง เก็บรวบรวม เปลี่ยนแปลง แก้ไข ใช้ และ/หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบที่เป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะคำนึงถึงความเหมาะสมตามระดับความเสี่ยง โดยนำปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการมาพิจารณาประกอบกัน
นอกจากนี้ เมื่อสำนักงานมีการส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น สำนักงานจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่สำนักงานประมวลผลจะมีความมั่นคงปลอดภัยอยู่เสมอ
๘. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สำนักงานแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๙. สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ สำนักงานเคารพต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนด โดยสำนักงานได้มีการจัดทำกระบวนการรับคำขอและตอบสนองต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงมีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อ ร้องเรียน เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของสำนักงาน
กรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่า สำนักงานมิได้ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
๑๐. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานกำหนดให้ผู้ปฏิบัติงานของสำนักงานต้องให้ความสำคัญและรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลและคุ้มครองข้อมูลส่วนบุคคลตามที่นโยบายกำหนดไว้อย่างเคร่งครัด
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของสำนักงาน ความรับผิดทางปกครอง และ/หรือความรับผิดทางอาญา ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่มีต่อสำนักงานและอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
๑๑. การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้ผู้ที่เกี่ยวข้องทราบผ่านช่องทางเว็บไซต์ www.otep.go.th โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี สำนักงานขอแนะนำให้ผู้ที่เกี่ยวข้องโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอผ่านแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่สำนักงานกำหนด
๑๒. การติดต่อสอบถาม
การติดต่อสอบถาม มีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านว่าสอดคล้องกับกฎหมายหรือเกี่ยวกับนโยบายนี้ สามารถติดต่อสอบถามได้ที่
๑) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
- ชื่อ: สำนักงานคณะกรรมการส่งเสริมสวัสดิการและสวัสดิภาพครูและบุคลากรทางการศึกษา
- สถานที่ติดต่อ: 128/1 ถนนนครราชสีมา แขวงดุสิต เขตดุสิต กรุงเทพมหานคร 10300
๒) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
- สถานที่ติดต่อ: 128/1 ถนนนครราชสีมา แขวงดุสิต เขตดุสิต กรุงเทพมหานคร 10300
- ช่องทางการติดต่อ: dpo@otep.go.th