คำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) นี้ สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) (ซึ่งต่อไปในประกาศนี้ เรียกว่า  สถาบัน หรือ สขญ.) จัดทำขึ้นเพื่อให้ผู้มาติดต่อและใช้บริการของสถาบัน (ซึ่งต่อไปในประกาศนี้ เรียกว่า “ท่าน”.) ได้ทราบและเข้าใจรูปแบบการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) หน่วยงานภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ซึ่งต่อไปในประกาศนี้ เรียกว่า “ดศ.”) ดำเนินการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลที่เก็บรวบรวมจากท่านเพื่อการดำเนินการภายใต้กิจกรรมการประมวลผลนี้

ทั้งนี้ สถาบันดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน ดังนี้

1. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน

สขญ.ดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ ดังต่อไปนี้

1. 1. เพื่อความจำเป็นในการจัดทำทะเบียนบัญชีผู้ใช้งานสำหรับการจัดการบัญชีผู้ใช้บริการ เช่น การเพิ่ม การลบ และการขอเปลี่ยนแปลงข้อมูล สำหรับผู้ดูแลระบบ ผู้มีสิทธิบริหารจัดการเว็บไซต์ ผู้มีสิทธิจัดการเนื้อหาเว็บไซต์ และผู้ใช้งานทั่วไป
   2. เพื่อความจำเป็นในการยืนยันตัวบุคคลผู้ดูแลระบบ ผู้มีสิทธิบริหารจัดการเว็บไซต์ ผู้มีสิทธิจัดการเนื้อหาเว็บไซต์ สำหรับการบริหารจัดการเว็บไซต์ และผู้ใช้งานทั่วไป สำหรับการใช้งานบริการและคุณสมบัติต่าง ๆ บนเว็บไซต์
   3. เพื่อการติดต่อสื่อสาร เช่น การติดต่อประสานงาน การสอบถาม การแจ้งข่าวสาร การรับสมัครงาน และการดำเนินการอื่นที่เกี่ยวข้องกับภารกิจของเว็บไซต์ เป็นต้น
   4. เพื่อปรับปรุงการดำเนินงานและบริการของเว็บไซต์ เช่น การวิเคราะห์ทางสถิติของการเยี่ยมชมสำหรับการติดตามและปรับปรุงประสิทธิภาพการทำงาน การวิเคราะห์ปฏิสัมพันธ์ของผู้ใช้งานทั่วไปที่มีต่อเนื้อหาและบริการของเว็บไซต์ การเรียนรู้และตอบสนองความต้องการของผู้ใช้งานเพื่อสร้างประโยชน์ต่อกลุ่มเป้าหมายของเว็บไซต์ เป็นต้น
   5. เพื่อจัดการด้านเทคโนโลยีสารสนเทศซึ่งรวมถึงแต่ไม่จำกัดเพียง การบริหารจัดการเว็บไซต์ การดำเนินงานด้านเทคโนโลยีสารสนเทศ การจัดการระบบสื่อสาร การตรวจสอบและรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ เพื่อปฏิบัติตามข้อกำหนด นโยบาย และกระบวนการภายในของสขญ.
   6. เพื่อการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 การเก็บรวบรวมข้อมูลส่วนบุคคลนี้ อยู่ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระเบียบ ประกาศ หรือข้อกำหนดอื่นที่เกี่ยวข้อง อีกทั้งที่มีผลใช้บังคับในปัจจุบันและที่จะออกใช้บังคับต่อไปในภายหน้า รวมถึงภายใต้บังคับแห่งบทกฎหมายอื่นใดที่เกี่ยวข้องด้วย
   7. ฝึกอบรม สัมมนา และประชุม ซึ่งรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับผู้เข้าร่วมการประชุมและกิจกรรมที่จัดโดยสถาบันด้วย

2. ข้อมูลส่วนบุคคลที่สถาบันเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่านอย่างไร

เพื่อวัตถุประสงค์ตามที่ได้แจ้งในข้อ  1.  สถาบันเก็บรวบรวมข้อมูลส่วนบุคคลของท่านดังรายการต่อไปนี้

2.1 กิจกรรมสำหรับบริการภายนอก สัมมนา และประชุม

หัวข้อ	รายละเอียด
1.ข้อมูลส่วนบุคคลใดบ้างที่สำนักงานมีการเก็บรวบรวม	สถาบันอาจมีการเก็บข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมด ได้แก่ ·      ชื่อ นามสกุล ·      ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล เป็นต้น ·      ข้อมูลการทำงาน เช่น ตำแหน่ง หน่วยงาน เป็นต้น ·      ข้อมูลการติดต่อผ่านสื่อสังคมออนไลน์ เช่น บัญชี Facebook หรือ Line ID เป็นต้น ·      รูปถ่าย และ/หรือ วีดิทัศน์ ·      ข้อมูลส่วนบุคคลอื่น ๆ ที่ท่านให้สำนักงานโดยความสมัครใจ
2. ข้อมูลอ่อนไหว (Sensitive Data) ใดบ้างที่สถาบัน มีการเก็บรวบรวม	-ไม่มี-
3. เหตุผลที่สถาบันจำเป็นต้องเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่าน	·      ลงทะเบียนเข้าร่วมกิจกรรมที่สถาบันได้จัดขึ้น ·      เพื่อให้การช่วยเหลือ ตอบข้อซักถาม หรือติดต่อกลับไปยังท่านเพื่อขอข้อมูลเพิ่มเติมหรือแจ้งความคืบหน้าการดำเนินงาน ·      เผยแพร่และประชาสัมพันธ์ผลการดำเนินงานของสถาบันตามสื่อต่าง ๆ ·      เพื่อประโยชน์ในการวิเคราะห์และจัดทำข้อมูลเชิงสถิติ โดยข้อมูลบางส่วน เช่น ข้อมูลหน่วยงาน เป็นต้น อาจถูกประมวลผลและแสดงผลเป็นข้อมูลในภาพรวมโดยวิธีการทำให้ไม่สามารถระบุตัวบุคคลได้ ·      เพื่อแจ้งข่าวสารของสถาบัน
4. เหตุผลที่สถาบันได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่านได้	สถาบันได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่าน เนื่องจาก ·      เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับสถาบัน หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญากับสำนักงาน (Contract) ·      เป็นการจำเป็นเพื่อปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ และเพื่อใช้อำนาจรัฐที่ได้มอบให้แก่สำนักงาน (Public Task / Official Authority) ·      เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของสถาบัน (Legitimate Interest) ·      เป็นการจำเป็นเพื่อเป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้อง (Legal Obligation) (กรณีการจัดกิจกรรมดังกล่าวเป็นส่วนหนึ่งของการดำเนินงานตามกระบวนการที่กฎหมายกำหนด) ·      ท่านได้ให้ความยินยอมกับสถาบัน (Consent) (กรณีสถาบันมีการเก็บรวบรวมและใช้ข้อมูลนอกเหนือการให้บริการนั้น)
5. สถาบันมีการแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลของท่านให้ใครบ้าง	ข้อมูลส่วนบุคคลของท่านจะมีการเปิดเผยเป็นการภายในสถาบัน เฉพาะเจ้าหน้าที่ของสถาบันที่มีส่วนเกี่ยวข้องกับการดำเนินงาน หรือผู้รับจ้างที่เป็นบุคคลภายนอก (Outsource) ที่ทำหน้าที่ประมวลผลข้อมูลการดำเนินงานดังกล่าวให้กับสถาบัน (กรณีที่มีการว่าจ้าง) รวมถึง ผู้ตรวจสอบภายนอก (External Auditor) ที่ทำหน้าที่ตรวจประเมินตามระบบมาตรฐานการดำเนินกิจการนี้เท่านั้น
6.กรณีที่ข้อมูลส่วนบุคคลของท่านอาจมีการส่งหรือโอนไปยังต่างประเทศ	-ไม่มี-

2.2 ฝึกอบรม

หัวข้อ	รายละเอียด
1.ข้อมูลส่วนบุคคลใดบ้างที่สถาบันมีการเก็บรวบรวม	สถาบันอาจมีการเก็บข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมด ได้แก่ ·      ชื่อ นามสกุล ·      หมายเลขบัตรประชาชน หรือ หนังสือเดินทาง (กรณีที่มีการตรวจสอบสิทธิในการเข้าร่วมบางกิจกรรม หรือจองที่พักการเดินทางนอกพื้นที่) ·      ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล เป็นต้น ·      ข้อมูลการทำงาน เช่น ตำแหน่ง หน่วยงาน เป็นต้น ·      ข้อมูลการติดต่อผ่านสื่อสังคมออนไลน์ เช่น บัญชี Line ID เป็นต้น (กรณีที่มีการติดตามการดำเนินโครงการ)รูปถ่าย และ/หรือ วีดิทัศน์ข้อมูลส่วนบุคคลอื่น ๆ ที่ท่านให้สถาบันโดยความสมัครใจ
2. ข้อมูลอ่อนไหว (Sensitive Data) ใดบ้างที่สถาบัน มีการเก็บรวบรวม	-ไม่มี-
3. เหตุผลที่สถาบันจำเป็นต้องเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่าน	·      ลงทะเบียนเข้าร่วมกิจกรรมที่สถาบันได้จัดขึ้น และตรวจสอบสิทธิในการเข้าร่วมเข้าร่วมบางกิจกรรม ·      ติดต่อกลับไปยังท่านเพื่อให้ความช่วยเหลือ ขอข้อมูลเพิ่มเติมหรือแจ้งความคืบหน้าการดำเนินงาน รวมถึงติดตามผลการดำเนินโครงการ ·      เผยแพร่และประชาสัมพันธ์ผลการดำเนินงานของสถาบันตามสื่อต่าง ๆ ·      เพื่อประโยชน์ในการวิเคราะห์และจัดทำข้อมูลเชิงสถิติ โดยข้อมูลบางส่วน เช่น ข้อมูลหน่วยงาน เป็นต้น อาจถูกประมวลผลและแสดงผลเป็นข้อมูลในภาพรวมโดยวิธีการทำให้ไม่สามารถระบุตัวบุคคลได้ ·      เพื่อแจ้งข่าวสารของสถาบัน
4.เหตุผลที่สถาบันได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่านได้	สถาบันได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่าน เนื่องจาก ·      เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับสถาบัน หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญากับสถาบัน (Contract) ·      เป็นการจำเป็นเพื่อปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ และเพื่อใช้อำนาจรัฐที่ได้มอบให้แก่สถาบัน (Public Task / Official Authority) ·      เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของสถาบัน  (Legitimate Interest) ·      เป็นการจำเป็นเพื่อเป็นการปฏิบัติตามกฎหมายที่เกี่ยวข้อง (Legal Obligation) (กรณีการจัดกิจกรรมดังกล่าวเป็นส่วนหนึ่งของการดำเนินงานตามกระบวนการที่กฎหมายกำหนด) ·      ท่านได้ให้ความยินยอมกับสถาบัน (Consent) (กรณีสถาบันมีการเก็บรวบรวมและใช้ข้อมูลนอกเหนือการเข้าร่วมกิจกรรมนั้น)
5.สถาบันมีการแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลของท่านให้ใครบ้าง	ข้อมูลส่วนบุคคลของท่านจะมีการเปิดเผยเป็นการภายในสถาบัน และเฉพาะพนักงานของสถาบันที่มีส่วนเกี่ยวข้องกับการดำเนินงาน หรือผู้รับจ้างที่เป็นบุคคลภายนอก (Outsource) ที่ทำหน้าที่ประมวลผลข้อมูลการดำเนินงานดังกล่าวให้กับสถาบัน (กรณีที่มีการว่าจ้าง) รวมถึง ผู้ตรวจสอบภายนอก (External Auditor) ที่ทำหน้าที่ตรวจประเมินตามระบบมาตรฐานการดำเนินกิจการนี้เท่านั้น
6.กรณีที่ข้อมูลส่วนบุคคลของท่านอาจมีการส่งหรือโอนไปยังต่างประเทศ	-ไม่มี-

2.3 การใช้งานเว็บไซต์์

จุดประสงค์ในการใช้ข้อมูล	รายการส่วนบุคคลที่ใช้
1. เพื่อการลงทะเบียน การยืนยันตัวบุคคล การสมัครใช้บริการบนเว็บไซต์ และ/หรือ การจัดการเนื้อหาบนเว็บไซต์	ชื่อ, นามสกุล, รูปถ่าย, อีเมล, เบอร์โทรศัพท์, อัตลักษณ์บนสื่อสังคมออนไลน์ (social media), และข้อมูลชีวประวัติเบื้องต้น
2. เพื่อการประชาสัมพันธ์กิจกรรม โครงการ และสัมมนา ที่ท่านได้แสดงความสนใจเมื่อทำการลงทะเบียน	ชื่อ, นามสกุล, รูปถ่าย, อีเมล, เบอร์โทรศัพท์, อัตลักษณ์บนสื่อสังคมออนไลน์ (social media)
3. เพื่อปรับปรุงการดำเนินงานและบริการของเว็บไซต์	ข้อมูลภายในคุกกี้ (Cookies)
4. เพื่อตรวจสอบและพิจารณาคุณสมบัติของผู้สมัครงาน รวมถึงการสรรหาหรือการพิจารณาคัดเลือก เพื่อบรรจุแต่งตั้งหรือว่าจ้างเป็นพนักงาน ลูกจ้าง หรือผู้ปฏิบัติงานให้กับสถาบัน	(1) ข้อมูลที่ใช้เพื่อระบุตัวตนและเพื่อการติดต่อ เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน เพศ วันเดือน ปีเกิด อายุ การศึกษา สถานภาพสมรส สัญชาติ ลายมือชื่อ ภาพถ่าย ที่อยู่ อีเมล หมายเลขโทรศัพท์ (2) ข้อมูลที่เกี่ยวกับการสมัครงาน เช่น ประวัติส่วนตัว ประวัติการศึกษา ประวัติการทำงาน เอกสาร ใบรับรองและข้อมูลอื่นๆ ที่จำเป็นต่อการสรรหาและคัดเลือก (3) ข้อมูลบุคคลภายนอกที่ท่านให้ไว้ เช่น ข้อมูลระบุตัวตนของบุคคลในครอบครัว หรือบุคคลที่ท่าน อ้างอิงเพื่อการตรวจสอบและรับรองการทำงาน

3. การเปิดเผยข้อมูลส่วนบุคคลของท่าน

สขญ. เปิดเผยข้อมูลส่วนบุคคลของท่านต่อสาธารณะ ผ่านช่องทางเว็บไซต์ www.bdi.or.th หรือโซเชียลมีเดียของสถาบัน ในกรณีดังต่อไปนี้

1. 1. ท่านใช้บริการของเว็บไซต์ในการแสดงความคิดเห็นต่อเนื้อหาที่เผยแพร่บนเว็บไซต์ ซึ่งรวมถึงชื่อและนามสกุล
   2. หากท่านได้รับอนุมัติสิทธิเป็นผู้มีสิทธิจัดการเนื้อหาเว็บไซต์ และท่านได้จัดทำและเผยแพร่เนื้อหาในรูปแบบบทความบนเว็บไซต์ ข้อมูลส่วนบุคคลของท่านจะถูกแสดงผลควบคู่กับเนื้อหาที่เปิดเผยต่อสาธารณะ ซึ่งรวมถึงชื่อ, นามสกุล, รูปถ่าย, อีเมล, อัตลักษณ์บนสื่อสังคมออนไลน์(social media), และข้อมูลชีวประวัติเบื้องต้น
   3. ท่านได้เข้าร่วมกิจกรรมที่จำเป็นต้องมีการประกาศรายชื่อ ในกรณีที่ท่านเป็นผู้ที่ได้รับการคัดเลือกในการเข้าร่วมกิจกรรมหรือการประกาศรางวัลหลังกิจกรรม ซึ่งรวมถึงชื่อและนามสกุล

4. สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของท่าน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อให้ข้อมูลส่วนบุคคลของท่านอยู่ในความควบคุมของท่านได้มากขึ้น โดยท่านสามารถใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อบทบัญญัติในส่วนที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลมีผลใช้บังคับ ซึ่งมีรายละเอียดดังต่อไปนี้

1. 1. สิทธิในการเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลของท่านที่ สขญ.เก็บรวบรวมอยู่ เว้นแต่กรณีที่ สขญ. มีสิทธิปฏิเสธคำขอของท่านตามกฎหมายหรือคำสั่งศาล หรือกรณีที่คำขอของท่านจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
   2. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลของท่านที่ไม่ถูกต้องหรือไม่ครบถ้วน เพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
   3. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านในกรณีหนึ่งกรณีใดดังต่อไปนี้
      1. เมื่ออยู่ในช่วงเวลาที่ สขญ. ทำการตรวจสอบตามคำร้องขอของท่านให้แก้ไขข้อมูลส่วนบุคคลของท่านให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
      2. ข้อมูลส่วนบุคคลของท่านถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
      3. เมื่อข้อมูลส่วนบุคคลของท่านหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ สขญ. ได้แจ้งไว้ในการเก็บรวบรวม แต่ท่านประสงค์ให้ สขญ.เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมายของท่าน
      4. เมื่ออยู่ในช่วงเวลาที่ สขญ.กำลังพิสูจน์ให้ท่านเห็นถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่ท่านได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน
   4. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เว้นแต่กรณีที่ สขญ. มีเหตุในการปฏิเสธคำขอของท่านโดยชอบด้วยกฎหมาย (เช่น สขญ. สามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะตามภารกิจของสถาบัน เป็นต้น)
   5. สิทธิในการขอถอนความยินยอม ในกรณีที่ท่านได้ให้ความยินยอมแก่ สขญ. ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ท่านมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านถูกเก็บรักษา เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายหรือเงื่อนไขการใช้บริการให้ สขญ. จำเป็นต้องเก็บรักษาข้อมูลต่อไป
   6. สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล โดยท่านมีสิทธิในการขอรับข้อมูลส่วนบุคคลของท่านจาก สขญ. ได้ในกรณีที่ สขญ. ได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้ สขญ. ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

5. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณี สขญ. อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ เพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ สขญ. ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม โดย สขญ. ได้ดำเนินการตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

1. 1. เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ สขญ. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
   2. ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
   3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ สขญ. (ถ้ามี) หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
   4. เป็นการกระทำตามสัญญาของ สขญ. กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของท่าน
   5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
   6. เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลของท่านจะมีการจัดเก็บและใช้เป็นระยะเวลา 5 ปี นับแต่สิ้นสุดการดำเนินงาน  หรือจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล และตามที่กฎหมายกำหนดเท่านั้น ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของท่านสิ้นความจำเป็น ตามวัตถุประสงค์และตามกฎหมายดังกล่าวแล้ว  สขญ. จะดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวตนได้ต่อไป อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของท่าน  สขญ. ขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

7. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล

สขญ. มีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม ทั้งในเชิงเทคนิคและการบริหารจัดการ เพื่อป้องกันมิให้ข้อมูลสูญหาย หรือมีการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) ของ สขญ.

นอกจากนี้  สขญ. ได้กำหนดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้นโดยประกาศให้ทราบกันโดยทั่วทั้งองค์กร พร้อมแนวทางปฏิบัติเพื่อให้เกิดความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยธำรงไว้ซึ่งความเป็นความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล โดย สขญ. ได้จัดให้มีการทบทวนนโยบายดังกล่าวรวมถึงประกาศนี้ในระยะเวลาตามที่เหมาะสม

 

8. ความรับผิดชอบของบุคคลซึ่งประมวลผลข้อมูลส่วนบุคคล

สขญ. ได้กำหนดให้เจ้าหน้าที่เฉพาะผู้ที่มีอำนาจหน้าที่เกี่ยวข้องในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกิจกรรมการประมวลผลนี้เท่านั้นที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของท่านได้ โดย สขญ. จะดำเนินการให้เจ้าหน้าที่ปฏิบัติตามประกาศนี้อย่างเคร่งครัด

 

9. การเปลี่ยนแปลงแก้ไขคำประกาศเกี่ยวกับความเป็นส่วนตัว

ในการปรับปรุงหรือเปลี่ยนแปลงประกาศนี้  สขญ. อาจพิจารณาแก้ไขเปลี่ยนแปลงตามที่เห็นสมควร และจะทำการแจ้งให้ท่านทราบผ่านช่องทางเว็บไซต์ อย่างไรก็ดี  สขญ. ขอแนะนำให้ท่านโปรดตรวจสอบเพื่อรับทราบประกาศฉบับใหม่อย่างสม่ำเสมอ โดยเฉพาะก่อนที่ท่านจ้ะเปิดเผยข้อมูลส่วนบุคคลแก่ สขญ.

โดยในการเข้าใช้งานผลิตภัณฑ์หรือบริการภายใต้กิจกรรมการประมวลผลนี้ของท่าน ถือเป็นการรับทราบตามข้อตกลงในประกาศนี้ ทั้งนี้ โปรดหยุดการใช้งานหากท่านไม่เห็นด้วยกับข้อตกลงในประกาศฉบับนี้ หากท่านยังคงใช้งานต่อไปภายหลังจากที่ประกาศนี้มีการแก้ไขและนำขึ้นประกาศในช่องทางข้างต้นแล้ว จะถือว่าท่านได้รับทราบการเปลี่ยนแปลงดังกล่าวแล้ว

10. การติดต่อสอบถาม

ท่านสามารถติดต่อสอบถามเกี่ยวกับประกาศฉบับนี้ได้ที่

• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
• สถานที่ติดต่อ: อาคารลาดพร้าวฮิลส์ 80 ถนนลาดพร้าว แขวงจอมพล เขตจตุจักร กรุงเทพมหานคร 10900
• ช่องทางการติดต่อ:

• โทรศัพท์: 0 2480 8833 ต่อ9509 หรือ 9531
  • อีเมล:dpo@bdi.or.th