นโยบายการคุ้มครองข้อมูลส่วนบุคคล
11 ตุลาคม 2565
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2565
_____________________________
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย ตระหนักและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของผู้มาติดต่อและใช้บริการของ รฟม. จึงเป็นการสมควรกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อแจ้งให้ทราบถึงการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อ 1 หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
รฟม. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล ดังนี้
(1) เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
(2) เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย และจัดเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ในการดำเนินงาน และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation) โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(3) เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย (Data Minimization)
(4) ข้อมูลส่วนบุคคลควรมีความถูกต้องและเป็นปัจจุบัน โดยจะต้องมีการดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะได้รับการปรับปรุงแก้ไข (Accuracy)
(5) ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคล (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว
(6) การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายและป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
ข้อ 2 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม.
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ รฟม. จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม
ข้อ 3 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
รฟม. จะประมวลผลข้อมูลส่วนบุคคลโดยปฏิบัติตามหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล ดังนี้
(1) ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
(2) ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล เว้นแต่กรณีดังต่อไปนี้ สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(ก) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ
(ข) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(ค) เพื่อปฏิบัติตามกฎหมาย
(ง) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
(จ) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(ฉ) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล
ส่วนบุคคล หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(3) ไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว รวมถึงการเก็บรวบรวมข้อมูล
ส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง หรือได้รับยกเว้นตามที่กฎหมายกำหนด
(4) ไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่น เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยทำหนังสือให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร หรือกรณีตามมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามมาตรา 24 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
ข้อ 4 แนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคล
เพื่อยึดมั่นเป็นหลักการและใช้เป็นแนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม.
(1) บุคลากรของ รฟม. รวมถึงผู้ปฏิบัติงานให้ รฟม. ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบาย ระเบียบ ข้อบังคับ คู่มือ หรือแนวปฏิบัติใด ๆ ของ รฟม. ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
(2) จัดให้มีการอบรมให้ความรู้ ส่งเสริมให้บุคลากรของ รฟม. ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
(3) จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อปฏิบัติหน้าที่ในการให้คำแนะนำ คำปรึกษา ตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ รฟม. ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(4) จัดให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใด ๆ รองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบและทำให้เจ้าของข้อมูลมั่นใจได้ว่า รฟม. ได้ดำเนินการตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ ในกรณีที่ รฟม. ปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รฟม. ต้องจัดทำบันทึกรายการการปฏิเสธคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมระบุเหตุผลไว้ด้วย
(5) จัดให้มีกระบวนการจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้ โดยต้องดำเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ
(6) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของ รฟม. โดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าว
(7) จัดให้มีกระบวนการตรวจสอบการดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้อง หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
(8) กรณีที่มีความจำเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคล ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม รฟม. นั้น รฟม. ต้องจัดให้มีสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ และ/หรือข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และป้องกันมิให้ผู้ประมวลผล
ข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบหรือเกินขอบเขตที่กำหนด
(9) ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน ๗๒ ชั่วโมง นับแต่ทราบเหตุ ทั้งนี้ รฟม. จะแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางการเยียวยา ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
(10) ทุกส่วนงานต้องให้ความร่วมมือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการชี้แจงข้อเท็จจริง เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 5 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นตันไป
ประกาศ ณ วันที่ 31 พฤภาคม พ.ศ. 2565
