This email address is being protected from spambots. You need JavaScript enabled to view it.
Thai languages
+66 2 448 9111
รายละเอียด
ฮิต: 1705

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน)

 1. บทนำ

          สถาบันส่งเสริมความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (องค์การมหาชน) หรือ สสปท. (“สถาบัน”) ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล และการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และโดยที่การดำเนินงานของสถาบันต้องมีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล สถาบันจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ต้องมีหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

          สถาบันจึงได้มีการจัดทำนโยบายความเป็นส่วนตัวนี้ขึ้น (“นโยบาย”) เพื่อกำหนดแนวทางและหลักปฏิบัติในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน

2. ขอบเขต

          นโยบายนี้มีผลบังคับใช้กับผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลตลอดวงจรชีวิตข้อมูลของสถาบัน เช่น ผู้อำนวยการ คณะกรรมการ คณะอนุกรรมการ พนักงาน ลูกจ้าง คณะทำงาน นิสิตและนักศึกษาฝึกงาน คู่สัญญา หน่วยงานภายนอกหรือบุคคลภายนอกที่ปฏิบัติงานในนามหรือร่วมงานกับสถาบัน เป็นต้น ตลอดจน
ผู้ที่อยู่ในโครงสร้างธรรมาภิบาลข้อมูล และผู้ที่มีหน้าที่โดยตรงในการสนับสนุนการดำเนินการและการปฏิบัติตามนโยบายนี้

          สถาบันมุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนดนโยบายนี้ และพึงยึดถือปฏิบัติอย่างเคร่งครัด หากมีผู้ที่ปฏิบัติฝ่าฝืนนโยบาย รวมถึงแนวปฏิบัติต่าง ๆ ภายใต้นโยบายนี้ สถาบันจะพิจารณาดำเนินมาตรการที่จำเป็นเพื่อลงโทษผู้ที่ฝ่าฝืนนั้น

 

3. วัตถุประสงค์

  1. เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสถาบันเป็นไปตามข้อกำหนดของกฎหมาย

  2. เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่สถาบันมีการเก็บรวบรวมและประมวลผล ให้กับพนักงานและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวได้ยึดถือปฏิบัติ
    โดยเคร่งครัด

  3. เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่สถาบันมีการเก็บรวบรวมไว้จะได้รับ
    การปกป้องดูแล และนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

4. คำนิยาม

          กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง

         ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุ
ตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อ นามสกุล ชื่อเล่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ ทะเบียนรถยนต์ รวมถึงข้อมูลทางชีวมิติ (Biometric) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น แต่ไม่รวมถึงข้อมูลของ
ผู้ถึงแก่กรรม

          ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

          ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

          เจ้าของข้อมูล (Data Subject) หมายความว่า บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น
แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง
          การประมวลผล (Processing) หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

          พนักงาน หมายความว่า ผู้บริหาร พนักงาน ลูกจ้าง ผู้ที่ทำงานหรือปฏิบัติงานให้กับสถาบันด้วย
มีข้อตกลงของสัญญา หรือได้รับการแต่งตั้งตามกฎหมายให้มาปฏิบัติงาน


5. หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

สถาบันจะประมวลผลข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญดังต่อไปนี้

  1. การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)

  2. การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่สถาบันกำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และมีผลบังคับตามกฎหมาย และจะไม่มีการประมวลผลข้อมูล ไปในทางที่ไม่สอดคล้องหรือไม่เป็นไปตามวัตถุประสงค์ดังกล่าว (Purpose Limitation)

  3. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็นต่อวัตถุประสงค์ของการประมวลผลข้อมูลดังกล่าว (Data Minimization)

  4. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น โดยจะมีการดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่า ข้อมูลที่ไม่ถูกต้องดังกล่าวได้รับการปรับปรุงแก้ไข (Accuracy)

  5. การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ให้สถาบันมีหน้าที่ต้องจัดเก็บข้อมูลส่วนบุคคลไว้
    นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว

  6. การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย และป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)


6.  การปฏิบัติให้สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

          สถาบันให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงมีการกำหนดมาตรการควบคุมภายใน จัดทำแนวทางปฏิบัติ คู่มือที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงาน
ด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และพนักงานของสถาบันมีการปฏิบัติตามกฎหมาย นโยบายและแนวปฏิบัติอย่างเคร่งครัด

          สถาบันมีแนวทางการดำเนินงานเพื่อให้มั่นใจได้ว่า หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลตามข้อ 5. จะมีการนำไปสู่การปฏิบัติจริงได้ โดย

  1. ให้มีการกำหนดโครงสร้างองค์กรเพื่อกำหนดผู้รับผิดชอบ และหน้าที่ความรับผิดชอบในการควบคุมดูแลและอำนวยการให้การดำเนินงานของสถาบันมีความสอดคล้องและเป็นไปตามวัตถุประสงค์ของนโยบายนี้ และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ตลอดจนการให้คำปรึกษาแก่พนักงาน และเป็นตัวแทนของสถาบันในการติดต่อประสานงานกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

  2. ให้มีการกำหนดแนวปฏิบัติและกำหนดหน้าที่ความรับผิดชอบของพนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับนโยบายนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายอื่น ๆ
    ที่เกี่ยวข้อง

  3. ให้มีการอบรมให้ความรู้ สร้างความตระหนักและความเข้าใจกับพนักงานของสถาบันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

  4. ให้มีการแจ้งผู้ใช้บริการหรือผู้ที่มีการติดต่อกับสถาบันให้ทราบว่า เหตุใดสถาบันต้องมีการประมวลผลข้อมูลของผู้ใช้บริการหรือผู้ที่มาติดต่อกับสถาบัน รวมถึงสถาบันจะมีการแบ่งปันหรือเปิดเผยข้อมูลเหล่านี้กับใครบ้าง ผ่านทางประกาศความเป็นส่วนตัว (Privacy Notice) และประกาศการใช้คุกกี้ (Cookie Notice) ที่ชัดเจน

  5. ในกรณีที่ต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การขอความยินยอมดังกล่าวต้องชัดแจ้ง มีการใช้ถ้อยคำที่ชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย

  6. ให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใดๆ เกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  7. ให้มีการกำหนดกระบวนการ และผู้รับผิดชอบในการดำเนินการเกี่ยวกับการตรวจสอบ การสืบสวนสอบสวน และการจัดทำรายงานภายในสถาบัน กรณีมีเหตุละเมิดข้อมูลส่วนบุคคล

  8. ให้มีการบันทึกรายการตามมาตรา 39 กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล เป็นต้น และให้มีการทบทวน ตรวจสอบรายการบันทึกดังกล่าว อย่างน้อยปีละ 1 ครั้ง

  9. ให้มีการจัดทำตารางการจัดเก็บข้อมูล (Retention Schedule) เพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลที่สถาบันจัดเก็บ มีระยะเวลาการจัดเก็บเท่าที่จำเป็นและเป็นไปตามวัตถุประสงค์

 

  1. ให้มีการจัดทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล กรณีที่สถาบันมีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกมาดำเนินการประมวลผลข้อมูลส่วนบุคคลของสถาบัน

  2. ให้มีการกำหนดมาตรการภายใน สำหรับกรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปนอกสถาบันทั้งในประเทศและต่างประเทศ


7. หลักการในการประมวลผลข้อมูล

    การประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่ดำเนินการโดยสถาบันจะเป็นไปโดยชอบด้วยกฎหมาย โดยอยู่บนหลักการสำคัญ ดังนี้

  1. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

  2. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

  3. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

  4. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าว
    มีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

  5. การประมวลผลข้อมูลนั้นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้อง
    ที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

  6. การประมวลผลข้อมูลนั้นเป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด

  7. เจ้าของข้อมูลได้ให้ความยินยอมแล้ว


8. สิทธิของเจ้าของข้อมูล

      สถาบันตระหนักดีว่าเจ้าของข้อมูลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสถาบันให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่เจ้าของข้อมูลในการดำเนินการตามสิทธิเหล่านั้น ดังนี้

  1. สิทธิในการได้รับแจ้ง สถาบันจะมีการแจ้ง “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผลที่ชัดเจน รวมถึง “ประกาศการใช้คุกกี้ (Cookie Policy)” ที่แสดงถึงประเภทเทคโนโลยีคุกกี้ที่สถาบันมีการใช้ รวมถึงวัตถุประสงค์ในการใช้เทคโนโลยีคุกกี้เหล่านั้น และในกรณีที่สถาบันมีการประมวลผลข้อมูลไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือความยินยอมใด ๆ ที่ได้ให้ไว้ สถาบันจะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว

  2. สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้สถาบันไว้ได้ทุกเมื่อ

  3. สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้สถาบันเปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้

  4. สิทธิในการแก้ไขข้อมูล เจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

  5. สิทธิในการลบข้อมูล เจ้าของข้อมูลสามารถขอให้สถาบันลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้

  6. สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของสถาบันรองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้

  7. สิทธิในการระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันระงับการใช้ข้อมูลส่วนบุคคลได้

  8. สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้

          เจ้าของข้อมูลสามารถอ่านเงื่อนไขการขอใช้สิทธิเพิ่มเติมได้ในประกาศความเป็นส่วนตัว (Privacy Notice) ทั้งนี้ ในบางกรณี สถาบันอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น

          กรณีที่เจ้าของข้อมูลต้องการดำเนินการตามสิทธิที่กล่าวมาข้างต้น สามารถแจ้งขอใช้สิทธิได้ที่ This email address is being protected from spambots. You need JavaScript enabled to view it. โดยรายละเอียดวิธีการขอใช้สิทธิสามารถอ่านได้ที่ การตรวจสอบและการขอใช้สิทธิ
บนเว็บไซต์สถาบัน


9. นโยบาย แนวปฏิบัติ และคู่มืออื่นที่เกี่ยวข้อง

  1. นโยบายธรรมาภิบาลข้อมูล

  2. ขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการข้อมูล

  3. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

  4. แนวทางและขั้นตอนการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูล


10. การทบทวนและปรับปรุงนโยบาย

          สถาบันจะมีการทบทวนนโยบายนี้ให้เป็นปัจจุบันเสมออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง เพื่อให้นโยบายนี้มีความเหมาะสมกับสถานการณ์ที่มีการเปลี่ยนแปลง และจะมีการประกาศให้ทราบบนเว็บไซต์สถาบัน และช่องทางการสื่อสารอื่น ๆ ที่เหมาะสม