ประกาศกองทุนสนับสนุนการสร้างเสริมสุขภาพ
เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

(ร่าง) นโยบายในการคุ้มครองข้อมูลส่วนบุคคล

___________________

๑.      คำนิยาม

          “สสส.” หมายความว่า กองทุนสนับสนุนการสร้างเสริมสุขภาพ

          บุคคล” หมายความว่า บุคคลธรรมดา

          ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัว
ผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล
ทะเบียนรถยนต์ โฉนดที่ดิน IP Address, Cookie ID, Log File เป็นต้น อย่างไรก็ตาม ข้อมูลส่วนบุคคลจะไม่รวมถึงข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น ชื่อนิติบุคคล ที่อยู่ของนิติบุคคล เลขทะเบียนนิติบุคคล หมายเลขโทรศัพท์ของที่ทำงาน ที่อยู่อีเมลของ
นิติบุคคล
ข้อมูลผู้ถึงแก่กรรม และข้อมูลนิรนาม (Anonymized Data) หรือข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค เป็นต้น

          “ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจทำให้เจ้าของข้อมูลส่วนบุคคล (Data Subject) นั้น มีความเสี่ยงต่อการถูกเลือกปฏิบัติอย่าง
ไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลภาพถ่ายของบุคคล และข้อมูลชีวภาพต่าง ๆ เป็นต้น

          “เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายความว่า บุคคลที่ข้อมูลส่วนบุคคลนั้นบ่งชี้ไปถึงและทำให้สามารถระบุตัวบุคคลนั้นได้ แต่ไม่ใช่บุคคลที่เป็นเจ้าของสิทธิในข้อมูลส่วนบุคคลหรือบุคคลที่เป็นผู้สร้างหรือเก็บรวบรวมข้อมูลส่วนบุคคลนั้น โดยเจ้าของข้อมูลส่วนบุคคล จะเป็นบุคคลธรรมดาเท่านั้นและไม่รวมถึงนิติบุคคล เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด ทั้งนี้ เจ้าของข้อมูลส่วนบุคคล ได้แก่   

          (๑)    เจ้าของข้อมูลส่วนบุคคล ที่บรรลุนิติภาวะ หมายความว่า บุคคลที่มีอายุตั้งแต่ ๒๐ ปีบริบูรณ์ ขึ้นไป หรือผู้ที่สมรสตั้งแต่อายุ ๑๗ ปีบริบูรณ์ขึ้นไป หรือผู้ที่สมรสก่อนอายุ ๑๗ ปี โดยศาลอนุญาตให้ทำการสมรส หรือผู้เยาว์ซึ่งผู้แทนโดยชอบธรรมให้ความยินยอมในการประกอบธุรกิจทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงานในความเกี่ยวพันกับการประกอบธุรกิจหรือธุรกิจอื่นดังกล่าว ทำให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว โดยเจ้าของข้อมูลส่วนบุคคล ที่บรรลุนิติภาวะนั้น สามารถให้ความยินยอมใด ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเอง

          (๒)    เจ้าของข้อมูลส่วนบุคคล ที่เป็นผู้เยาว์   หมายความว่า บุคคลที่มีอายุต่ำกว่า ๒๐ ปีบริบูรณ์ และไม่ใช่เจ้าของข้อมูลส่วนบุคคลที่บรรลุนิติภาวะตาม (๑)   โดยการให้ความยินยอมใด ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

          (๓)    เจ้าของข้อมูลส่วนบุคคล ที่เป็นคนเสมือนไร้ความสามารถ หมายความว่า บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว โดยการให้ความยินยอมใด ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

          (๔)    เจ้าของข้อมูลส่วนบุคคล ที่เป็นคนไร้ความสามารถ หมายความว่า บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถเนื่องจากเป็นบุคคลวิกลจริต โดยการให้ความยินยอมใด ๆ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ที่ไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ย่อมไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล

          “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดย สสส. ในฐานะที่เป็นหน่วยงานของรัฐซึ่งมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลบุคคลเพื่อการดำเนินงานตามภารกิจต่าง ๆ ถือได้ว่า สสส. เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามนัยของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ด้วย

          “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งทำการประมวลผลข้อมูล
ส่วนบุคคลในนามหรือตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่ สสส. มีสัญญาจ้างบุคคลอื่นในการเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่ สสส. จะถือว่านิติบุคคลนั้นเป็น ผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่ สสส.
ตามนัยของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

          “คุกกี้ (Cookies) หมายความว่า ข้อมูลอิเล็กทรอนิกส์เกี่ยวกับการเข้าถึงเว็บไซต์ของเจ้าของข้อมูล
ส่วนบุคคล ที่เว็บไซต์เครื่องแม่ข่ายส่งไปเก็บไว้ในเครื่องคอมพิวเตอร์ที่เจ้าของข้อมูลส่วนบุคคล ใช้ในการเข้าชมเว็บไซต์ เพื่อช่วยให้เว็บไซต์สามารถจดจำข้อมูลการเข้าชมเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคลได้ และให้หมายความรวมถึง
เทคโนโลยีอื่นที่มีลักษณะเดียวกับคุกกี้ (Cookies) ด้วย

๒.      นโยบายในการคุ้มครองข้อมูลส่วนบุคคล

          ๒.๑  การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างจำกัด

                    ๒.๑.๑   สสส. เคารพในสิทธิและเสรีภาพของส่วนบุคคลตามกฎหมาย รวมทั้งตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล ดังนั้น สสส. จะปฏิบัติตามกฎหมายอย่างเคร่งครัดเมื่อ สสส. มีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าในรูปแบบเอกสาร ฟิล์ม ภาพหรือเสียง หรือข้อมูลอิเล็กทรอนิกส์

                    ๒.๑.๒   สสส. จะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรมในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคล ทั้งที่เป็นการดำเนินการทางกายภาพและด้วยวิธีการทางอิเล็กทรอนิกส์ โดยจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้ปฏิบัติตามภารกิจของ สสส. และภายใต้วัตถุประสงค์ที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เท่านั้น

                    ๒.๑.๓   ในกรณีที่ สสส. มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล สสส. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือระหว่างการเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลตามวัตถุประสงค์ดังต่อไปนี้

          (๑)      เพื่อการศึกษาวิจัยหรือสถิติ โดยมีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล  เช่น การทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลนิรนาม
เป็นต้น

          (๒)      เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคล ไม่สามารถให้ความยินยอมได้

          (๓)      เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นเป็นเงื่อนไขส่วนหนึ่งของสัญญาจ้าง หรือ เป็นเงื่อนไขของโครงการการจัดซื้อจัดจ้าง หรือเป็นเงื่อนไขของสัญญาการขอรับทุน เป็นต้น

          (๔)      เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ สสส. เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

          (๕)   เป็นการปฏิบัติตามกฎหมาย โดย สสส. จะไม่จัดเก็บข้อมูลส่วนบุคคลอ่อนไหว เช่น
เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม
ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม และข้อมูลชีวภาพ โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

          (ก)   เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
ซึ่งเจ้าของข้อมูลส่วนบุคคล ไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม

          (ข)       เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ สสส. ซึ่งเป็นองค์กรที่ไม่แสวงหากำไรตามวัตถุประสงค์ โดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอก สสส.

          (ค)       เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

          (ง)        เพื่อประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพ ของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่ง สสส. ได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่และจริยธรรมแห่งวิชาชีพ

          (จ)       เพื่อการศึกษาวิจัยทางวิทยาศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ สสส. จะกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ไว้ด้วยแล้ว

          (ฉ)       เพื่อประโยชน์สาธารณะที่สำคัญ โดย สสส. ได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ไว้ด้วยแล้ว

                    ๒.๑.๔   นโยบายด้านคุกกี้ (Cookies)

          (๑)      สสส. และบุคคลอื่นอาจใช้เทคโนโลยีคุกกี้ (Cookies) เพื่อเก็บรวบรวมข้อมูลพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของ สสส. เพื่อประโยชน์ในการอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคล ในการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของ สสส. เช่น การบันทึกภาษาที่เลือกใช้ หรือการตั้งค่าอื่น ๆ เมื่อเจ้าของข้อมูลส่วนบุคคล เข้าชมเว็บไซต์ในครั้งถัดไป โดยเว็บไซต์จะจดจำว่าเป็นผู้ที่เคยเข้าใช้บริการแล้ว และตั้งค่าเพื่อให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลกำหนด ทั้งนี้ จนกว่าเจ้าของข้อมูลส่วนบุคคลจะลบหรือยกเลิกการอนุญาตให้ใช้คุกกี้ (Cookies) นอกจากนี้เจ้าของข้อมูลส่วนบุคคล สามารถยอมรับหรือไม่ยอมรับให้มีการใช้คุกกี้ (Cookies) ก็ได้ และในกรณีที่เลือกไม่ยอมรับให้มีการใช้คุกกี้ (Cookies) เว็บไซต์ของ สสส. อาจจะไม่สามารถให้บริการหรือไม่สามารถแสดงผลในทุกกรณีได้อย่างสมบูรณ์

          (๒)      สสส.อาจใช้วิธีการอัตโนมัติในการอ่านหรือบันทึกข้อมูลลงในอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล ซึ่งรวมถึงคุกกี้ (Cookies) เว็บเบราว์เซอร์ หรือปลั๊กอินต่าง ๆ เช่น ที่เก็บ HTML หรือฐานข้อมูลแบบ Flash เป็นต้น โดยเจ้าของข้อมูลส่วนบุคคลอาจเลือกตั้งค่าเว็บเบราว์เซอร์ให้ปฏิเสธการให้จัดเก็บคุกกี้ (Cookies) บางประเภท หรือให้แจ้งเตือนในกรณีที่มีการส่งคุกกี้ (Cookies) บางประเภทได้ ซึ่งเว็บเบราว์เซอร์บางตัวอาจถูกตั้งค่าที่คล้ายกันได้ อย่างไรก็ตาม ในกรณีที่เจ้าของข้อมูลส่วนบุคคล เลือกไม่ยอมรับให้มีการใช้คุกกี้ (Cookies) เว็บไซต์หรือแอพพลิเคชันของ สสส. อาจไม่สามารถให้บริการหรือไม่สามารถแสดงผลในทุกกรณีได้อย่างสมบูรณ์

          (๓)      ในการบริหารจัดการความเป็นส่วนตัวเกี่ยวกับอุปกรณ์สื่อสารไร้สายของเจ้าของข้อมูลส่วนบุคคล จะเป็นไปตามคำแนะนำเกี่ยวกับวิธีบริหารจัดการความเป็นส่วนตัวตามที่ระบบปฏิบัติการของอุปกรณ์สื่อสารไร้สายนั้น ๆ กำหนดไว้ เช่น การตั้งค่าความเป็นส่วนตัวสำหรับการระบุอุปกรณ์และตำแหน่งทางภูมิศาสตร์ได้ด้วยตนเองที่เว็บไซต์ของผู้ผลิตอุปกรณ์สื่อสารไร้สาย เป็นต้น

          ๒.๒  คุณภาพของข้อมูลส่วนบุคคล

                    ๒.๒.๑   ข้อมูลส่วนบุคคลที่ สสส. อาจเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยต่อบุคคลอื่น เช่น 

ชื่อสกุล อายุ ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน ข้อมูลทางการเงิน สสส. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลเหล่านั้นมีความถูกต้อง เป็นปัจจุบัน มีคุณภาพ และถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์ในการดำเนินงานของ สสส. เท่านั้น ทั้งนี้ สสส. จะจัดให้มีกระบวนการจัดการข้อมูลส่วนบุคคลให้มีคุณภาพ ทั้งนี้ เพื่อให้กระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปอย่างถูกต้อง เป็นปัจจุบัน และมีความมั่นคงปลอดภัยตามมาตรฐานที่กฎหมายกำหนดหรือมาตรฐานสากล

                    ๒.๒.๒   แหล่งที่มาของข้อมูลส่วนบุคคล

          (๑)      สสส. จะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล โดยตรงเท่านั้น เว้นแต่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ สสส. ได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย

          (๒)   ในกรณีที่ สสส. มีเหตุผลความจำเป็นอย่างอื่นทำให้ สสส. ต้องเก็บรวบรวมข้อมูล
ส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง  สสส. จะต้องแจ้งเหตุผลความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง  ให้เจ้าของข้อมูลส่วนบุคคลทราบเพื่อขอความยินยอมให้ สสส. ดำเนินการดังกล่าวโดยเร็ว ทั้งนี้ ต้องไม่เกิน ๓๐ วัน นับแต่วันเริ่มดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ สสส. ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

          (ก)       เจ้าของข้อมูลส่วนบุคคล ทราบวัตถุประสงค์และเหตุผลความจำเป็นที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรงอยู่แล้ว

          (ข)       สสส. พิสูจน์ได้ว่าการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล โดยตรง ไม่สามารถกระทำได้หรือจะเป็นอุปสรรคต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ และในกรณีนี้ สสส. ได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลด้วยแล้ว

          (ค)       การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด ซึ่ง สสส. ได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลด้วยแล้ว

          (ง)        เมื่อ สสส. ได้มาหรือรับรู้ซึ่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากการปฏิบัติตามอำนาจหน้าที่ที่กฎหมายกำหนด และมีเหตุผลความจำเป็นบางประการในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อนำไปใช้หรือเปิดเผยตามวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษาวิจัย สถิติ ซึ่ง สสส. ได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าข้อมูลส่วนบุคคลด้วยแล้ว อย่างไรก็ตาม สสส. จะแจ้งให้เจ้าข้อมูลส่วนบุคคลทราบภายใน ๓๐ วัน นับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการดังกล่าวนี้

          (๓)   สสส. อาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล และนำไปผนวกเข้ากับข้อมูลส่วนบุคคลเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลที่ สสส. ได้รับมาจากแหล่งอื่น เฉพาะในกรณีที่มีความจำเป็นและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น ทั้งนี้ เพื่อประโยชน์ในการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบัน และเพื่อปรับปรุงคุณภาพและประสิทธิภาพการให้บริการของ สสส. ให้ดียิ่งขึ้น

          ๒.๓  การระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

                    ๒.๓.๑   สสส. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อการดำเนินงานในพันธกิจต่าง ๆ ของ สสส. รวมทั้งเพื่อการศึกษาวิจัยหรือการจัดทำสถิติที่เป็นไปตามวัตถุประสงค์การดำเนินงานของ สสส. ตามที่กฎหมายกำหนด และเพื่อการปรับปรุงคุณภาพการบริหารงานและการให้บริการของ สสส.

                    ๒.๓.๒   ในกรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล

ส่วนบุคคล สสส. จะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน โดย สสส. จะจัดให้มีการบันทึกความยินยอมไว้เป็นหลักฐาน

                    ๒.๓.๓   ในกรณีที่ สสส. มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อดำเนินการอื่นนอกเหนือจากวัตถุประสงค์ตามที่กำหนดไว้ในข้อ ๒.๓.๑ และข้อ ๒.๓.๒ เจ้าของข้อมูลส่วนบุคคลมีสิทธิในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคลที่จะยินยอมหรือไม่ให้ความยินยอมให้ สสส. ดำเนินการดังกล่าวก็ได้

                    ๒.๓.๔   ในกรณีที่ สสส. มีการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และวัตถุประสงค์ในการตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน สสส. จะจัดให้มีการบันทึกข้อมูลการเข้าออกเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคลด้วย Log Files หรือด้วยเทคโนโลยีอื่นที่เหมาะสม โดยจัดเก็บข้อมูลอย่างน้อยดังต่อไปนี้

          (๑)      หมายเลขไอพี (IP Address)

          (๒)      ประเภทของโปรแกรมบราวเซอร์ (Browser)

ทั้งนี้ สสส. อาจใช้บริการหน่วยงานภายนอกเพื่อให้จัดเก็บบันทึกการเข้าออกระบบให้บริการทางเว็บไซต์ด้วยก็ได้ อย่างไรก็ตาม สสส. จะไม่กระทำการใด ๆ ที่เกินขอบเขตตามวัตถุประสงค์ของ
การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน

          ๒.๔  ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้

                    ๒.๔.๑   สสส. จะใช้ประโยชน์หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และจะต้องเป็นการใช้ตามวัตถุประสงค์ของ สสส. หรือมีฐานทางกฎหมายอื่นรองรับเท่านั้น

                    ๒.๔.๒   สสส. จะดูแลให้ผู้ปฏิบัติงานของ สสส. ไม่นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ไปใช้ประโยชน์ หรือเปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดแก่บุคคลอื่นนอกเหนือจากวัตถุประสงค์ในการดำเนินงานตามภารกิจของ สสส. เว้นแต่

          (๑)      ได้รับความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล

          (๒)      เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยหรือสถิติโดยมีมาตรการปกป้องข้อมูลส่วนบุคคลที่เหมาะสมสำหรับการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล เช่น การทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลนิรนาม เป็นต้น

          (๓)      เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

          (๔)      เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นเป็นเงื่อนไขส่วนหนึ่งของกระบวนการจัดซื้อจัดจ้างหรือการขอรับทุน

          (๕)      เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ สสส. เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

          (๖)      เป็นกรณีที่ สสส. ต้องปฏิบัติให้เป็นไปตามกฎหมายหรือตามข้อกำหนดของผู้มีอำนาจสั่งการตามกฎหมาย

                    ๒.๔.๓   การเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอก

          (๑)   ในกรณีที่ สสส. มีความจำเป็นต้องเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูล
ส่วนบุคคลแก่บุคคลภายนอก สสส. จะแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนดำเนินการ โดยมีรายละเอียดของข้อมูลที่จะแจ้งและขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล อย่างน้อยต้องประกอบด้วย

          (ก)       บุคคลหรือหน่วยงานที่จะทำการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคล

          (ข)       วัตถุประสงค์ในการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคล

          (ค)       วิธีการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคล

          (ง)        ข้อมูลส่วนบุคคลที่จะเปิดเผยผ่านการเชื่อมโยงระบบสารสนเทศนั้น

          (จ)       บุคคลซึ่งมีสิทธิเข้าถึงข้อมูลส่วนบุคคล

          (๒)      ในการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก สสส. จะแสดงชื่อผู้เก็บรวบรวมข้อมูลส่วนบุคคลและบุคคลซึ่งมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลนั้นอย่างชัดเจน เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบ นอกจากนี้ สสส. จะจัดให้มีการบันทึกข้อมูลเกี่ยวกับการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูลส่วนบุคคลไว้เป็นหลักฐานด้วย

          (๓)   ในกรณีที่มีการเปลี่ยนแปลงการเชื่อมโยงระบบสารสนเทศเพื่อเปิดเผยข้อมูล
ส่วนบุคคล สสส. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการเปลี่ยนแปลงดังกล่าว และขอความยินยอมก่อนการดำเนินการทุกครั้ง

 

                    ๒.๔.๔   การประมวลผลข้อมูลส่วนบุคคล

เมื่อ สสส. ได้รับข้อมูลส่วนบุคคลจากแหล่งที่มาของข้อมูลส่วนบุคคลแล้ว สสส. จะบริหารจัดการข้อมูลส่วนบุคคลภายใต้หลักการดังต่อไปนี้ 

          (๑)      เจ้าหน้าที่และลูกจ้าง รวมทั้งผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของ สสส. จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งอันชอบด้วยกฎหมายที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าพนักงานที่มีอำนาจหน้าที่ในการสั่งการตามกฎหมายเท่านั้น

          (๒)      สสส. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลงหรือแก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยกฎหมาย 

          (๓)   สสส. จะจัดให้มีบันทึกรายการกิจกรรมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคลไว้เพื่อให้สามารถตรวจสอบได้ตามหลักเกณฑ์และวิธีการที่กฎหมายกำหนด

          (๔)   ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลภายนอก ผู้ประมวลผลข้อมูล
ส่วนบุคคลจะต้องปฏิบัติตามข้อกำหนดที่ได้รับแจ้งจาก สสส. เท่านั้น ทั้งนี้ สสส. จะจัดให้มีข้อตกลงระหว่าง สสส. กับผู้ประมวลผลข้อมูล เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย

          ๒.๕  การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

                    ๒.๕.๑   สสส. ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ดังนั้น สสส. จึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ เป็นไปตามนโยบายและ

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศที่ สสส. กำหนด

          ๒.๕.๒   ข้อมูลส่วนบุคคลที่ สสส. ดำเนินการเก็บรวบรวม เช่น ชื่อ อายุ ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน ข้อมูลทางการเงิน เป็นต้น ซึ่งเป็นข้อมูลที่สามารถบ่งบอกตัวบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ จะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของ สสส. ตามที่กฎหมายกำหนดเท่านั้น และ สสส. จะจัดให้มีมาตรการเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ที่เหมาะสมและสอดคล้องกับกฎหมายด้วย

          ๒.๕.๓   การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

สสส. จะจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
ส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอม เว้นแต่การเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น หรือเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ หรือเพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษาวิจัยหรือสถิติ หรือเพื่อการปฏิบัติให้เป็นไปตามกฎหมาย ซึ่ง สสส. จะได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าข้อมูลส่วนบุคคลด้วย

          ๒.๖  การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล

                    ๒.๖.๑   สสส. จะเปิดเผยและเผยแพร่การดำเนินการ แนวปฏิบัติ และนโยบายเกี่ยวกับข้อมูล

ส่วนบุคคล รวมทั้งวัตถุประสงค์ของการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ที่เก็บรวบรวม ใช้ หรือเปิดเผยผ่านทางเว็บไซต์ของ สสส. และผ่านสื่อที่ สสส. ใช้เพื่อการประชาสัมพันธ์ตามความเหมาะสม นอกจากนี้ สสส. จะพิจารณาทบทวนการดำเนินการ แนวปฏิบัติ และนโยบายการคุ้มครองข้อมูลส่วนบุคคลเป็นระยะ ๆ เพื่อให้สอดคล้องกับกฎหมาย ข้อกำหนดและข้อบังคับที่เกี่ยวข้อง และในกรณีที่มีการเปลี่ยนแปลงการดำเนินการ แนวปฏิบัติ และนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสาระสำคัญ สสส. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคล   และผู้ใช้บริการทราบด้วยการจัดทำข้อมูลให้เป็นปัจจุบัน และเปิดเผยและเผยแพร่ผ่านทางเว็บไซต์ของ สสส. และผ่านสื่อที่ สสส. ใช้เพื่อการประชาสัมพันธ์ตามความเหมาะสมด้วย

                    ๒.๖.๒   การดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ สสส. ประกาศใช้นี้ จะใช้เฉพาะสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกิจการของ สสส. ซึ่งรวมตลอดถึงการบริหารงาน การให้บริการ และการเข้าถึงเว็บไซต์ของ สสส. เท่านั้น หากผู้ใช้บริการมีการเชื่อมโยง (Link) ไปยังเว็บไซต์อื่นผ่านทางเว็บไซต์ของ สสส. ผู้ใช้บริการจะต้องศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตามที่ปรากฏในเว็บไซต์อื่นนั้นแยกต่างหากจาก สสส. ด้วย

                    ๒.๖.๓   สสส. จัดให้มีช่องทางการติดต่อสำหรับเจ้าของข้อมูลส่วนบุคคล และผู้ใช้บริการ ดังต่อไปนี้

          (๑)      ผู้ควบคุมข้อมูลส่วนบุคคล

สำนักงานกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.)

เลขที่ ๙๙/๘ ซอยงามดูพลี แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพมหานคร ๑๐๑๒๐

โทรศัพท์ :  ๐ ๒๓๔๓ ๑๕๐๐

E-Mail : dpo@thaihealth.or.th

Website : www.thaihealth.or.th

          (๒)      รายละเอียดของหน่วยงานกำกับดูแล ในกรณีที่ สสส. หรือเจ้าหน้าที่หรือลูกจ้าง หรือผู้ปฏิบัติงานของ สสส. ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยสามารถร้องเรียนต่อหน่วยงานกำกับดูแลตามรายละเอียดดังต่อไปนี้ 

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

โทรศัพท์ : ๐ ๒๑๔๒ ๑๐๓๓

E-Mail : pdpc@mdes.go.th

 

 

          ๒.๗  การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล

                    ๒.๗.๑   สสส. จะจัดช่องทางให้เจ้าของข้อมูลส่วนบุคคล สามารถตรวจสอบความมีอยู่และความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งสามารถแก้ไขปรับปรุงข้อมูลส่วนบุคคลของตนเองได้ตามความเหมาะสม เช่น เว็บไซต์ของ สสส. เจ้าหน้าที่หรือลูกจ้างของ สสส. หรือช่องทางอื่นที่เหมาะสม

                    ๒.๗.๒   เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการดำเนินการดังต่อไปนี้

          (๑)      สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) : เจ้าของข้อมูลส่วนบุคคล มีสิทธิเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคล เคยให้ไว้แก่ สสส. ได้ตามที่กฎหมายกำหนด

          (๒)      สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนเอง และอาจขอให้ สสส. ทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงขอให้ สสส. เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อ สสส.

          (๓)      สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ สสส. แก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลที่ไม่ถูกต้องให้ถูกต้องได้ หรือขอให้เพิ่มเติมข้อมูลส่วนบุคคลที่ไม่สมบูรณ์ให้สมบูรณ์ขึ้นได้

          (๔)      สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ สสส. ลบข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

          (๕)      สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ สสส. จำกัดการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

          (๖)      สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) : เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

                    ๒.๗.๓   เจ้าของข้อมูลส่วนบุคคล  สามารถติดต่อเจ้าหน้าที่หรือลูกจ้างที่เป็นตัวแทนของ สสส. หรือที่ สสส. แต่งตั้งให้เป็นผู้คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) เพื่อยื่นคำร้องขอให้ สสส. ดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล   ได้ตามที่กำหนดไว้ในข้อ ๒.๖.๓ ทั้งนี้ สสส. จะจัดให้มีการบันทึกการใช้สิทธิ คำคัดค้าน หรือการดำเนินการใด ๆ ของเจ้าของข้อมูลส่วนบุคคลไว้เป็นหลักฐานด้วย

                    ๒.๗.๔   เจ้าของข้อมูลส่วนบุคคล สามารถศึกษาเพิ่มเติมเกี่ยวกับกฎหมายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ได้จากเว็บไซต์ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (www.mdes.go.th)         และ เอกสารแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล(https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf)

                    ๒.๗.๕   เจ้าของข้อมูลส่วนบุคคล ไม่ต้องเสียค่าใช้จ่ายในการใช้สิทธิข้างต้นทั้งสิ้น โดย สสส. จะพิจารณาคำร้องขอและแจ้งผลการพิจารณาให้ทราบภายใน ๓๐ วัน นับแต่วันที่ สสส. ได้รับคำร้องขอดังกล่าว 

 

          ๒.๘  ความรับผิดชอบของบุคคลซึ่งมีหน้าที่ควบคุมข้อมูลส่วนบุคคล

                    ๒.๘.๑   สสส. จะกำหนดให้หน่วยงานที่มีหน้าที่ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล

ส่วนบุคคลในกิจการของ สสส. รวมทั้งบุคคลที่ได้รับมอบหมายให้ปฏิบัติงานเกี่ยวข้องกับข้อมูลส่วนบุคคลและ
ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้อย่างเคร่งครัด

                    ๒.๘.๒   ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลภายนอก สสส. จะจัดให้มีข้อตกลงระหว่าง สสส. กับผู้ประมวลผลข้อมูลเพื่อกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามข้อกำหนดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ สสส. กำหนดด้วย โดยสสส. จะจัดให้มีการควบคุมและตรวจสอบการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและข้อตกลงดังกล่าวอย่างเคร่งครัดด้วย

กองทุนสนับสนุนการสร้างเสริมสุขภาพ

.. พฤษภาคม ๒๕๖๓