นโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม
พ.ศ. ๒๕๖๔
(ฉบับย่อ)
นโยบายฯ ฉบับนี้จัดทำขึ้นเพื่อให้ผู้ใช้บริการได้ทราบและเข้าใจในนโยบายในการคุ้มครองข้อมูล ส่วนบุคคลที่สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) ได้เก็บรวบรวมใช้เปิดเผย และเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยเป็นไปตามกฎหมาย/อำนาจหน้าที่/ภารกิจ และการดำเนินงาน ของ สผ.
คำนิยาม
“สผ.” หมายถึง สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ทั้งนี้ หมายความถึง ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขบัตรประกันสังคม เลขที่ใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร หมายเลขบัตรเครดิต จดหมายอิเล็กทรอนิกส์ (email address) ทะเบียนรถยนต์ โฉนดที่ดิน IP Address, Cookie ID, Log File เป็นต้น
อย่างไรก็ตาม ข้อมูลต่อไปนี้ ไม่ถือว่าเป็นข้อมูลส่วนบุคคล เช่น ข้อมูลสำหรับการติดต่อทางธุรกิจ ที่ไม่ได้ระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท หมายเลขโทรศัพท์ของบริษัท และจดหมายอิเล็กทรอนิกส์ส่วนกลางของบริษัท เป็นต้น
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและอาจสุ่มเสี่ยง ในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น โดยเจ้าของ ข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น ไม่รวมถึงนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ และทำลาย เป็นต้น
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง เจ้าหน้าที่ สผ. ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการปฏิบัติงานของ สผ.
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง เจ้าหน้าที่ สผ. ซึ่งได้รับมอบหมายให้ดำเนินการ เกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
“คุกกี้” (Cookies) หมายถึง กลุ่มของข้อมูลที่เว็บไซต์สร้างขึ้นและส่งไปเก็บไว้ที่เครื่องที่เข้าชมเว็บไซต์ เพื่อช่วยให้เว็บไซต์จดจำข้อมูลการเข้าชมเว็บไซต์ของเครื่องนั้นๆ ตัวอย่างเช่น การกำหนดค่าการใช้งานเว็บไซต์ ภาษาที่เลือกใช้เป็นอันดับแรก หรือการตั้งค่าอื่นๆ
การจัดเก็บรวบรวมข้อมูลส่วนบุคคลของ สผ. จะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม และจัดเก็บข้อมูลเท่าที่จำเป็นต้องใช้ในการปฏิบัติงานตามอำนาจหน้าที่ที่กฎหมายกำหนด รวมถึงการให้บริการต่างๆ ของ สผ. เช่น การให้บริการธุรกรรมทางอิเล็กทรอนิกส์ โดย สผ. จะแจ้งให้เจ้าของข้อมูลและผู้ใช้บริการทราบ รวมทั้งขอความยินยอมก่อนหรือในขณะดำเนินการ เว้นแต่ข้อมูลส่วนบุคคลนั้นจะได้รับการยกเว้นตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือตามที่กฎหมายอื่นกำหนดไว้
โดย สผ. จะเก็บรักษาข้อมูลส่วนบุคคลไว้นานเท่าที่จำเป็นต่อการดำเนินงานที่เกี่ยวข้องกับข้อมูล ส่วนบุคคลนั้น และเมื่อพ้นระยะเวลาดังกล่าวแล้ว สผ. จะดำเนินการทำลายข้อมูลส่วนบุคคลดังกล่าวทันที หรือหากมีความจำเป็นต้องขยายระยะเวลาการจัดเก็บข้อมูลดังกล่าวออกไป สผ. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนทุกครั้ง
กำหนดให้มีการควบคุมคุณภาพของข้อมูลส่วนบุคคล โดยการตรวจสอบความถูกต้องและครบถ้วน ของข้อมูลทุกครั้งที่มีการเก็บรวบรวม รวมทั้งทบทวนและปรับปรุงข้อมูลส่วนบุคคลดังกล่าวให้เป็นปัจจุบันมากที่สุด
การเก็บรวบรวมข้อมูลส่วนบุคคลของ สผ. จะดำเนินการภายใต้อำนาจหน้าที่ตามกฎหมายและวัตถุประสงค์ในการปฏิบัติงานของ สผ. เท่านั้น โดยจะแจ้งวัตถุประสงค์ในการจัดเก็บให้เจ้าของข้อมูลทราบและให้ความยินยอมก่อนการจัดเก็บทุกครั้ง และหากมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล สผ. จะแจ้งให้เจ้าของข้อมูลทราบ รวมทั้งบันทึกการแก้ไข/เพิ่มเติมวัตถุประสงค์ไว้เป็นหลักฐานด้วย
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล สผ. จะแจ้งวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งระยะเวลาในการเก็บข้อมูล ให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยจะระบุข้อความการขอความยินยอมแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ทั้งนี้ สผ. อาจจัดทำเป็นหนังสือ หรือแจ้งผ่านทางเว็บไซต์ หรือทำผ่านระบบอิเล็กทรอนิกส์ แล้วแต่ความเหมาะสม เว้นแต่ในกรณีที่ไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
สผ. จะไม่นำข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ไปใช้นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบ ยกเว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลแล้ว รวมทั้งจะไม่มีนำเปิดเผยข้อมูลส่วนบุคคลที่จัดเก็บไว้ไปเปิดเผย เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลหรือตามคำสั่งศาล และ สผ. จะกำหนดให้ผู้รับจ้าง (Outsource) ของ สผ. ต้องเก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของผู้มีส่วนได้ ส่วนเสียและผู้ใช้บริการของ สผ. รวมทั้งห้ามนำข้อมูลดังกล่าวไปใช้นอกเหนือจากที่กำหนดให้ดำเนินการ ยกเว้น กรณีที่ต้องปฏิบัติตามกฎหมาย
กำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการเข้าถึง ใช้ แปลง แก้ไข ทำลายหรือทำให้ข้อมูลสูญหาย ตลอดจนเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต และกำหนดให้มีการทบทวนมาตรการดังกล่าวเป็นระยะเพื่อความเหมาะสม และจะดำเนินการให้สอดคล้องกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ สผ. พ.ศ. ๒๕๖๔
กำหนดให้มีการเผยแพร่ประกาศฉบับนี้และกรณีที่มีการปรับปรุงหรือแก้ไขนโยบายฯ ฉบับนี้ ให้ทราบโดยทั่วกัน รวมทั้งจัดทำนโยบายฯ ฉบับย่อ เผยแพร่ในเว็บไซต์ของ สผ. (www.onep.go.th) เพื่อให้ ผู้มีส่วนได้ส่วนเสียและผู้รับบริการของ สผ. ทราบโดยทั่วกัน โดยเปิดโอกาสให้ผู้ใช้บริการสามารถตรวจดูความมีอยู่ ลักษณะ/วัตถุประสงค์การนำข้อมูลไปใช้/ผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนขอทราบรายละเอียดเพิ่มเติม หรือสอบถามข้อมูลในกรณีที่มีข้อสงสัย ผ่านทางหน้าเว็บไซต์ของ สผ. หรือจดหมายอิเล็กทรอนิกส์ (sarabun@onep.go.th) รวมถึงช่องทางการติดต่อสื่อสารอื่นๆ ของ สผ. ที่ระบุไว้ในนโยบายฯ ฉบับนี้
เจ้าของข้อมูลส่วนบุคคลสามารถมีส่วนร่วมในข้อมูลส่วนบุคคลของตนเอง ตามที่กำหนดไว้ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ โดยสิทธิต่าง ๆ ประกอบด้วย
๗.๑ สิทธิในการขอเข้าถึงและขอรับข้อมูลส่วนบุคคลของตน หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม
๗.๒ สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
๗.๓ สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล
๗.๔ สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
๗.๕ สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
๗.๖ สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
๗.๗ สิทธิในการขอถอนความยินยอม
เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิดังกล่าว โดยแจ้งให้ สผ. ทราบเป็นลายลักษณ์อักษรหรือทางจดหมายอิเล็กทรอนิกส์ (sarabun@onep.go.th) ทั้งนี้ สผ. จะเปิดเผยรายละเอียดข้อมูลส่วนบุคคล ดังกล่าวต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดยการยื่นคำร้องขอและวัตถุประสงค์ของการนำไปใช้ต่อ สผ. และ สผ. จะดำเนินการให้แล้วเสร็จภายใน ๓๐ วัน ในกรณีที่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย มีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใดๆ เช่น การแจ้งดำเนินการปรับปรุงแก้ไขข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล เป็นต้น สผ. จะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐาน
กำหนดให้เจ้าหน้าที่ของ สผ. ที่ได้รับมอบหมายให้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ต้องปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
แนวปฏิบัติภายใต้นโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม
พ.ศ. ๒๕๖๔
๑.๑ ชื่อแนวปฏิบัติ
แนวปฏิบัติฯ ฉบับนี้ เรียกว่า “แนวปฏิบัติภายใต้นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม พ.ศ. ๒๕๖๔”
๑.๒ รายละเอียดขอบเขตของการบังคับใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่หน่วยงานของรัฐรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์
แนวปฏิบัติฯ ฉบับนี้ มีขอบเขตของการบังคับใช้ในการคุ้มครองข้อมูลส่วนบุคคลที่ สผ. เก็บรวบรวม ใช้ หรือเปิดเผย ซึ่งครอบคลุมถึง การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด คุณภาพของข้อมูลส่วนบุคคล การระบุวัตถุประสงค์ในการเก็บรวบรวม ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้ การรักษาความ มั่นคงปลอดภัย การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล การมีส่วนร่วมของเจ้าของข้อมูล และความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล โดยกำหนดให้ผู้บริหาร ข้าราชการ และเจ้าหน้าที่ สผ. รวมทั้งผู้ที่ปฏิบัติงานเกี่ยวข้องกับข้อมูลส่วนบุคคลของ สผ. นำไปปฏิบัติอย่างเคร่งครัด
๑.๓ การแจ้งการเปลี่ยนแปลงวัตถุประสงค์หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนทุกครั้งตามวิธีการและภายในกำหนดเวลาที่ประกาศ
หากมีการเปลี่ยนแปลงวัตถุประสงค์หรือนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล สผ. จะให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนทุกครั้ง โดยจะประกาศให้ทราบล่วงหน้าอย่างน้อย ๑๕ วัน ผ่านทางหน้าเว็บไซต์ของ สผ. (www.onep.go.th) หรือจดหมายอิเล็กทรอนิกส์ หรือหนังสือ เป็นลายลักษณ์อักษร แล้วแต่ความเหมาะสมในแต่กรณี
๒.๑ การติดต่อระหว่างหน่วยงานของรัฐ
สผ. จะประกาศนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งแจ้งการเปลี่ยนแปลงเกี่ยวกับนโยบายฉบับนี้ผ่านทางเว็บไซต์ของ สผ. (www.onep.go.th) โดยผู้ใช้บริการ/ผู้มีส่วนได้ส่วนเสียสามารถติดต่อกับ สผ.ได้ทั้งทางหนังสือเป็นลายลักษณ์อักษร และจดหมายอิเล็กทรอนิกส์ (sarabun@onep.go.th) โดยระบุช่องทางที่สะดวกให้ สผ. ติดต่อกลับไว้ด้วย
๒.๒ การใช้คุกกี้ (Cookies)
สผ. จะมีการเก็บข้อมูลคุกกี้ของผู้เข้าใช้งานเว็บไซต์ของ สผ. เพื่อให้ผู้ใช้งานได้รับความ สะดวกและประสบการณ์ที่ดีในการใช้งาน รวมทั้งนำข้อมูลเหล่านี้ไปใช้เพื่อปรับปรุงเว็บไซต์ของ สผ. ให้ตรงกับความต้องการของผู้ใช้งานมากยิ่งขึ้น ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถที่จะเลือก “ยอมรับ” หรือ “ไม่ยอมรับ” หรือ “ลบ” คุกกี้ด้วยตนเอง โดยการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) อย่างไรก็ตาม ในกรณีที่เลือกที่จะไม่รับ หรือลบคุกกี้ อาจส่งผลให้การทำงานบางอย่างบนเว็บไซต์ของ สผ. ไม่สามารถแสดงผลได้อย่างถูกต้อง
๒.๓ การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
สผ. ไม่มีการจัดเก็บข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูลส่วนบุคคลได้
๒.๔ การบันทึกผู้เข้าชมเว็บไซต์ (Log Files)
สผ. มีการบันทึกและจัดเก็บข้อมูลการเข้าชมเว็บไซต์ (Log Files) ของเว็บไซต์ของ สผ. ตามที่กำหนดไว้ในพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐
๒.๕ ให้หน่วยงานของรัฐระบุข้อมูลที่มีการจัดเก็บผ่านทางเว็บไซต์ว่าเป็นข้อมูลที่ประชาชน มีสิทธิเลือกว่า “จะให้หรือไม่ให้” ก็ได้ และให้หน่วยงานของรัฐจัดเตรียมช่องทางอื่นในการติดต่อสื่อสารสำหรับ ผู้ใช้บริการที่ไม่ประสงค์จะให้ข้อมูลผ่านทางเว็บไซต์
กรณีที่มีการจัดเก็บข้อมูลผ่านทางเว็บไซต์ สผ. จะแสดงข้อความที่ระบุว่า “ผู้ใช้บริการ สามารถเลือกที่จะให้หรือไม่ให้ข้อมูลแก่ สผ. ผ่านทางเว็บไซต์ ก็ได้” โดย สผ. จะเปิดช่องทางให้ผู้ใช้บริการสามารถ ติดต่อสื่อสารกับ สผ. ผ่านทางหนังสือเป็นลายลักษณ์อักษร หรือจดหมายอิเล็กทรอนิกส์ ในกรณีที่ไม่ประสงค์จะให้ ข้อมูลกับ สผ. ผ่านทางเว็บไซต์
กรณีที่จำเป็นต้องมีการเชื่อมโยงข้อมูลส่วนบุคคลกับบุคคลหรือหน่วยงานอื่น สผ. จะแจ้งให้ เจ้าของข้อมูลทราบและยินยอมทุกครั้ง ก่อนที่จะทำการเชื่อมโยง โดย สผ. จะบันทึกการเชื่อมโยงข้อมูลไว้เป็น หลักฐานทุกครั้ง ทั้งนี้ หากมีการเปลี่ยนแปลงรายละเอียดของการเชื่อมโยงข้อมูล สผ. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการเปลี่ยนแปลงดังกล่าว และขอความยินยอมก่อนการดำเนินการ
การรวบรวมข้อมูลส่วนบุคคลของ สผ. มาจากแหล่งต่างๆ ดังนี้
๔.๑ การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ได้แก่
(๑) เก็บรวบรวมจากการให้บริการต่างๆ ของ สผ. ทั้งในรูปแบบเอกสาร การกรอกแบบฟอร์ม ผ่านเว็บไซต์หรือระบบออนไลน์ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดย สผ. เช่น การลงทะเบียน การสมัครงาน การทำแบบสำรวจหรือแบบสอบถาม การยื่นคำร้องต่างๆ การลงนามในสัญญา หรือเมื่อเจ้าของข้อมูลส่วนบุคคล ติดต่อสื่อสารกับ สผ. ณ ที่ทำการ หรือทางจดหมายอิเล็กทรอนิกส์ หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย สผ.
(๒) การเก็บข้อมูลจากการเข้าใช้งานเว็บไซต์ของ สผ. ด้วยการใชคุกกี้
๔.๒ การได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากแหล่งอื่น
สผ. อาจรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยแหล่งข้อมูลดังกล่าวจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการจัดเก็บและเปิดเผยแก่ สผ. แล้ว ทั้งนี้ สผ. อาจรวบรวมข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลโดยตรง เข้ากับข้อมูลส่วนบุคคลที่ได้รับมาจากแหล่งอื่น เพื่อปรับปรุงข้อมูลส่วนบุคคลของบุคคลนั้นให้ถูกต้องและเป็นปัจจุบัน และเพื่อนำไปปรับปรุงคุณภาพ และประสิทธิภาพของการให้บริการของ สผ. ให้ดียิ่งขึ้น
ไม่อนุญาตให้บุคคลอื่นเข้าถึง หรือใช้ข้อมูลส่วนบุคคลที่ สผ. เก็บรวบรวม เว้นแต่จะได้รับความ ยินยอมเป็นหนังสือจากเจ้าของข้อมูลส่วนบุคคล หรือในกรณีที่เป็นการเปิดเผยข้อมูลแก่คู่สัญญาที่ให้บริการกับ สผ. ซึ่งจำเป็นต้องใช้ข้อมูลส่วนบุคคล หรือกรณีที่เป็นการดำเนินการตามกฎหมายหรือปฏิบัติตามคำสั่งศาลหรือ เจ้าหน้าที่ของรัฐหรือหน่วยงานของรัฐ หรือบุคคลที่มีอำนาจตามกฎหมาย ทั้งนี้ ต้องเป็นไปตามนัยพระราชบัญญัติ ข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐
๖.๑ การเก็บรวบรวมข้อมูลส่วนบุคคล
สผ. จะรวบรวมและจัดเก็บข้อมูลส่วนบุคคลอย่างจำกัดและเท่าที่จำเป็น โดยขึ้นอยู่กับ ประเภทของบริการที่เจ้าของข้อมูลส่วนบุคคลใช้บริการหรือให้ข้อมูลส่วนบุคคลกับ สผ. เช่น การลงทะเบียน การสมัครเข้าร่วมกิจกรรม การลงทะเบียนขอใช้บริการต่าง ๆ ทั้งที่เป็นการให้ข้อมูลกับ สผ. โดยตรง และการให้ข้อมูลผ่านเว็บไซต์และระบบสารสนเทศของ สผ.
สผ. อาจมีการจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น เชื้อชาติ สัญชาติ ศาสนา เฉพาะที่จำเป็นต่อการใช้งาน แต่จะไม่จัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวกับลักษณะทางพันธุกรรม พฤติกรรมทางเพศ หรือข้อมูลที่อาจเป็นผลร้าย ทำให้เสียชื่อเสียง หรืออาจก่อให้เกิดความรู้สึกเกี่ยวกับการเลือกปฏิบัติโดยไม่เป็นธรรม หรือความไม่เท่าเทียมกันแก่บุคคลใด
๖.๒ การใช้ข้อมูลส่วนบุคคล
สผ. จะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์รวมทั้งระยะเวลาในการเก็บข้อมูลที่ได้แจ้งให้ เจ้าของข้อมูลส่วนบุคคลทราบเท่านั้น โดยกำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยและมีการควบคุมการเข้าถึงข้อมูลส่วนบุคคลอย่างเคร่งครัด กรณีที่ สผ. จำเป็นต้องนำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจาก วัตถุประสงค์และระยะเวลาในการเก็บข้อมูลที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ สผ. จะแจ้งให้เจ้าของข้อมูลทราบและให้ความยินยอมก่อนทุกครั้ง โดยการประกาศทางหน้าเว็บไซต์ หรือทำเป็นหนังสือหรือ จดหมาย อิเล็กทรอนิกส์ แล้วแต่ความเหมาะสมในแต่ละกรณี และหาก สผ. มีการยกเลิกการเก็บข้อมูลส่วนบุคคลดังกล่าว สผ. จะแจ้งให้เจ้าของข้อมูลทราบว่าได้ทำการยกเลิกการเก็บข้อมูลนั้นแล้ว
ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถเลือกที่จะไม่ยินยอมให้ สผ. ใช้ข้อมูลส่วนบุคคล นอกเหนือไปจากวัตถุประสงค์ที่ได้ระบุไว้ และกรณีที่ท่านเลือก “ไม่ยินยอม” ท่านสามารถเปลี่ยนแปลงการให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลแก่ สผ. ได้ในการใช้บริการครั้งถัดไป ทั้งทางหนังสือเป็นลายลักษณ์อักษร จดหมายอิเล็กทรอนิกส์ หรือหน้าเว็บไซต์ สผ. แล้วแต่กรณี
๖.๓ การเปิดเผยข้อมูลส่วนบุคคล
สผ. จะไม่มีการนำข้อมูลส่วนบุคคลที่ได้รวบรวมและจัดเก็บจากผู้มีส่วนได้ส่วนเสียและ ผู้รับบริการไปดำเนินการอย่างอื่น และจะไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลหรือหน่วยงานอื่น นอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและยินยอมแล้ว เว้นแต่เป็นการเปิดเผยข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือเป็นไปตามภาระผูกพันตามสัญญา หรือตามที่กฎหมายกำหนดให้เปิดเผย และในกรณีใดๆ ที่ สผ. ต้องการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพิ่มเติมหรือมีการเปลี่ยนแปลง วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผย สผ. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนที่จะดำเนินการกับข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นกรณีที่กฎหมายกำหนดหรืออนุญาตให้ดำเนินการได้
เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึง ขอแก้ไข และขอให้ปรับปรุงข้อมูลส่วนบุคคลของตนได้ โดยการทำหนังสือเป็นลายลักษณ์อักษรหรือแจ้งทางจดหมายอิเล็กทรอนิกส์ให้ สผ. ทราบ เพื่อดำเนินการแก้ไข และ/หรือปรับปรุงข้อมูลส่วนบุคคลของท่านให้ถูกต้องและเป็นปัจจุบัน
๘.๑ การสร้างเสริมความสำนึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงานด้วยการเผยแพร่ข้อมูลข่าวสาร ให้ความรู้ จัดสัมมนา หรือ ฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจำ
กำหนดให้มีการอบรมเพื่อสร้างความสำนึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลให้แก่เจ้าหน้าที่ของ สผ. อย่างน้อยปีละ ๑ ครั้ง รวมทั้งประชาสัมพันธ์ให้ความรู้ที่เกี่ยวข้องกับการรักษาความมั่นคงและปลอดภัยของข้อมูลส่วนบุคคล ผ่านช่องทางต่างๆ อาทิ ป้ายประชาสัมพันธ์ และเผยแพร่ ผ่านระบบอินทราเน็ต เป็นต้น
กำหนดให้มีการลงโทษทางวินัยกับผู้ที่ฝ่าฝืนนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล สผ. โดยให้เป็นไปตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๘.๒ การกำหนดสิทธิและข้อจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากร พนักงาน หรือลูกจ้างของตนในแต่ละลำดับชั้นให้ชัดเจน และให้มีการบันทึกรวมทั้งการทำสำรองข้อมูลของการเข้าถึงหรือ การเข้าใช้งานข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด
กำหนดให้มีการมอบหมายหรือกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากรที่เกี่ยวข้อง และปฏิบัติให้สอดคล้องกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สผ. พ.ศ. ๒๕๖๔
สำหรับระยะเวลาในการบันทึกและการทำสำรองข้อมูลส่วนบุคคล ให้กอง/กลุ่มอิสระที่รับผิดชอบข้อมูลส่วนบุคคลนั้นๆ เป็นผู้กำหนด โดยปฏิบัติให้สอดคล้องกับแนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศ สผ. พ.ศ. ๒๕๖๔
๘.๓ ตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ หรือของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ ๑ ครั้ง
กำหนดให้มีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์และระบบสารสนเทศ ปีละ ๑ ครั้ง โดยให้ปฏิบัติตามแนวปฏิบัติในการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ ภายใต้นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ สผ. พ.ศ. ๒๕๖๔
๘.๔ กำหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญยิ่งหรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบ เรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของหน่วยงานของรัฐ หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลอย่างชัดเจน เช่น หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เชื้อชาติ ศาสนา ความเชื่อ ความคิดเห็นทางการ เมือง สุขภาพ พฤติกรรมทางเพศ เป็นต้น
สผ. จะรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญสูง เช่น หมายเลข ประจำตัวประชาชน ไว้เป็นความลับสูงสุด โดยจะไม่เปิดเผยข้อมูลดังกล่าว เว้นแต่จะได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล หรือมีคำสั่งศาล หรือเป็นไปตามกฎหมายที่กำหนด
สผ. จะไม่จัดเก็บข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และ ศีลธรรมอันดีของประชาชนของผู้ใช้บริการ ในกรณีที่ สผ. จำเป็นจะต้องมีการเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ เชื้อชาติ ศาสนา และสุขภาพ จะต้องได้รับความยินยอมจากเจ้าของส่วนบุคคลก่อน และจะไม่นำไปเปิดเผย ยกเว้น ได้รับการร้องขอจากเจ้าของข้อมูลส่วนบุคคล หรือมีคำสั่งศาลให้เปิดเผย
สผ. ไม่มีนโยบายในการเก็บข้อมูลบัตรเดบิตหรือบัตรเครดิตของผู้มีส่วนได้เสียและผู้รับบริการ
๘.๕ การกำหนดมาตรการที่รอบคอบในการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลของบุคคลซึ่งอายุไม่เกินสิบแปดปีโดยใช้วิธีการโดยเฉพาะและเหมาะสม
สผ. จะไม่จัดเก็บข้อมูลส่วนบุคคลจากผู้มีส่วนได้ส่วนเสียและผู้ใช้บริการซึ่งอายุไม่เกินสิบแปดปี เว้นแต่มีหนังสือให้ความยินยอมจากผู้ปกครอง และหากมีความจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลของ บุคคลที่มีอายุไม่เกินสิบแปดปี สผ. จะกำหนดให้เจ้าหน้าที่ที่เกี่ยวข้องพึงระวังกับข้อมูลในส่วนนี้เป็นกรณีพิเศษ
หากผู้มีส่วนได้ส่วนเสีย ผู้รับบริการ และผู้ที่ใช้งานเว็บไซต์ของ สผ. มีข้อสงสัยใด ๆ เกี่ยวกับ นโยบายการคุ้มครองข้อมูลส่วนบุคคล หรือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สผ. สามารถติดต่อกับ สผ. ได้ตามช่องทางดังต่อไปนี้
สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม
เลขที่ ๑๑๘/๑ อาคารทิปโก๒ ถ.พระรามที่ ๖ แขวงพญาไท เขตพญาไท กรุงเทพมหานคร ๑๐๔๐๐
โทรศัพท์ : ๐ ๒๒๖๕ ๖๕๐๐
โทรสาร : ๐ ๒๒๖๕ ๖๕๑๐
จดหมายอิเล็กทรอนิกส์ : sarabun@onep.go.th
เว็บไซต์ : https://www.onep.go.th