นโยบายความเป็นส่วนตัว
กรมบัญชีกลาง
เพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคลที่กรมบัญชีกลางมีการเก็บรวบรวม ใช้ หรือเปิดเผย รวมถึงการบริหารจัดการข้อมูลตามภารกิจและอำนาจหน้าที่ของกรมบัญชีกลางเป็นไปอย่างมีประสิทธิภาพ สอดคล้องกับหลักเกณฑ์ และมาตรการกำกับดูแลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กรมบัญชีกลางจึงออกประกาศไว้ ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า "ประกาศกรมบัญชีกลาง เรื่อง นโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของกรมบัญชีกลาง ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒"
ข้อ ๒ ขอบเขตการบังคับใช้ นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ใช้บังคับกับข้อมูล ส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับกรมบัญชีกลางในปัจจุบันและที่อาจจะมีในอนาคตซึ่งถูกประมวลผล ข้อมูลส่วนบุคคลโดยกรมบัญชีกลางหรือบุคลากรของกรมบัญชีกลาง รวมถึงคู่สัญญาหรือบุคคลภายนอก ที่ดำเนินการประมวลผลแทนหรือในนามกรมบัญชีกลางภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยกรมบัญชีกลาง บุคคลซึ่งมีความสัมพันธ์กับกรมบัญชีกลางตามวรรคแรกให้หมายรวมถึง
(๑) ข้าราชการ พนักงานราชการ ลูกจ้างประจำ และลูกจ้างชั่วคราว ซึ่งเป็น ผู้ปฏิบัติงานของกรมบัญชีกลาง
(๒) ผู้ใช้งานบริการของกรมบัญชีกลาง
(๓) ผู้เข้าชมหรือใช้งานเว็บไซต์ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่น ๆ ที่อยู่ในความรับผิดชอบของกรมบัญชีกลาง
(๔) บุคคลอื่นที่กรมบัญชีกลางเก็บรวบรวมข้อมูลส่วนบุคคล เช่น บุคคลในครอบครัว ของข้าราชการ พนักงานราชการ ลูกจ้างประจำ ลูกจ้างชั่วคราว ตลอดจนพนักงาน ลูกจ้าง และบุคลากร ของบุคคลหรือนิติบุคคลที่เป็นคู่สัญญากับกรมบัญชีกลาง เป็นต้น
ข้อ ๓ คำนิยาม
"การประมวลผลข้อมูลส่วนบุคคล" หมายความว่า การดำเนินการใด ๆ กับข้อมูล ส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
"ข้อมูลส่วนบุคคล (Personal Data)" หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้ สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล หมายเลขโทรศัพท์ เป็นต้น
"ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)" หมายความว่า ข้อมูลที่เป็น เรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อขาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือ ข้อมูลอื่นใด เป็นต้น ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลประกาศกำหนด
"เจ้าของข้อมูลส่วนบุคคล (Data Subject)" หมายความว่า บุคคลธรรมดาซึ่งเป็น เจ้าของข้อมูลส่วนบุคคลที่กรมบัญชีกลางเก็บรวบรวม ใช้ หรือเปิดเผย
"ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)" หมายความว่า สำนักงาน หรือ บุคคล หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
"ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)" หมายความว่า สำนักงาน หรือ บุคคล หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนาม ของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ สำนักงาน หรือบุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุม ข้อมูลส่วนบุคคล
ข้อ ๔ แหล่งที่มาของข้อมูลส่วนบุคคลที่กรมบัญชีกลางเก็บรวบรวม กรมบัญชีกลางจะเก็บรวบรวม หรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จาก แหล่งข้อมูล ดังต่อไปนี้
(๑) เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยกรมบัญชีกลาง หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสาร กับกรมบัญชีกลาง ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยกรมบัญชีกลาง เป็นต้น
(๒) เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์ หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจของกรมบัญชีกลาง เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของกรมบัญชีกลางด้วยการใช้คุกกี้ (Cookies หรือจากชอฟต์แวร์บนอุปกรณ์ของเจ้าของ ข้อมูลส่วนบุคคล เป็นต้น
(๓) เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูล ดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ขอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ในการเปิดเผยข้อมูลแก่กรมบัญชีกลาง เช่น การเชื่อมโยงบริการดิจิทัสของหน่วยงานของรัฐในการให้บริการ เพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงาน ของรัฐแห่งอื่นในฐานะที่กรมบัญชีกลางมีหน้าที่ตามกฎหมาย พันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยน ข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึง ความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้ เป็นต้น
นอกจากนี้ ยังหมายความรวมถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้ให้ข้อมูล ส่วนบุคคลของบุคคลภายนอกแก่กรมบัญชีกลาง ในกรณีนี้ เจ้าของข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบ ในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการนั้น ๆ ตามแต่กรณีให้บุคคล ดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูล แก่กรมบัญชีกลาง
ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธให้ข้อมูลที่มีความจำเป็นในการ ให้บริการของกรมบัญชีกลาง อาจเป็นผลให้กรมบัญชีกลางไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ดังกล่าวได้ทั้งหมดหรือบางส่วน
ข้อ ๕ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล กรมบัญชีกลางพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล ตามความเหมาะสมและบริบทการให้บริการ โดยใช้ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังนี้
|
ฐานกฎหมายในการเก็บรวบรวมข้อมูล |
รายละเอียด
|
|
เพื่อประโยชน์โดยชอบด้วยกฎหมาย |
เพื่อให้กรมบัญชีกลางสามารถดำเนินการตามภารกิจ อำนาจหน้าที่ตามที่กฎหมายกำหนด เช่น พระราชบัญญัติว่าด้วยการกระทำความผิด เกี่ยวกับคอมพิวเตอร์ กฎหมายว่าด้วยข้อมูลข่าวสารของราชการ กฎหมาย ว่าด้วยมาตรฐานทางจริยธรรม กฎหมายว่ด้วยการบริหารราชการแผ่นดิน รวมถึงกฎ ระเบียบ คำสั่ง มติคณะรัฐมนตรีที่เกี่ยวข้อง และการดำเนินการ ตามคำสั่งศาล เป็นต้น |
|
เพื่อประโยชน์โดยชอบด้วยกฎหมาย |
เพื่อประโยชน์โดยชอบด้วยกฎหมายของกรมบัญชีกลางและของบุคคลอื่นซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น การรักษาความปลอดภัยอาคารสถานที่ของกรมบัญชีกลาง หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของกรมบัญชีกลาง เป็นต้น |
|
เพื่อการปฏิบัติตามสัญญา |
เพื่อให้กรมบัญชีกลางสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาระหว่างกรมบัญชีกลางกับคู่สัญญา |
|
เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐที่กรมบัญชีกลางได้รับ |
เพื่อให้กรมบัญชีกลางสามารถใช้อำนาจรัฐและดำเนินภารกิจเพื่อประโยชน์สาธารณะตามพันธกิจของกรมบัญชีกลาง ซึ่งกำหนดไว้ตามกฎหมาย เช่น กฎระเบียบ คำสั่ง และมติคณะรัฐมนตรีที่เกี่ยวข้อง เป็นต้น |
|
ความยินยอมของเจ้าของข้อมูลส่วนบุคคล |
เพื่อการเก็บรวบรวม ใช้หรือเปิดผยข้อมูลส่วนบุคคลในกรณีที่กรมบัญชีกลางจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา ๒๔ และ ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือการนำเสนอ ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจของกรมบัญชีกลางแก่เจ้าของข้อมูลส่วนบุคคล เป็นต้น |
ในกรณีที่กรมบัญชีกลางมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลตามฐานกฎหมาย ในการเก็บรวบรวมข้อมูลข้างต้น หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือคัดค้าน การดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม าจมีผลทำให้กรมบัญชีกลางไม่สามารถดำเนินการ หรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน
ข้อ ๖ ประเภทของข้อมูลส่วนบุคคลที่กรมบัญชีกลางเก็บรวบรวม กรมบัญชีกลางอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลดังต่อไปนี้ โดยขึ้นอยู่กับ บริการหรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีกับกรมบัญชีกลาง รวมถึงข้อพิจารณาอื่นที่มีผลกับ การเก็บรวบรวมข้อมูลส่วนบุคคล
|
ประเภทข้อมูลส่วนบุคคล |
รายละเอียดและตัวอย่าง
|
|
ข้อมูลเฉพาะตัวบุคคล |
ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลส่วนบุคคล หรือข้อมูลจากเอกสารราชการ ที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูลส่วนบุคคล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ลายมือชื่อ เลขประจำตัวประชาชน สัญชาติ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน เป็นต้น |
|
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล |
ข้อมูลรายละเอียดเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เช่น วันเดือนปีเกิด เพศ อายุ สถานภาพการสมรส การเกณฑ์ทหาร รูปถ่าย ภาษาที่ใช้ ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ เป็นต้น |
|
ข้อมูลสำหรับการติดต่อ |
ข้อมูลเพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคล เช่น หมายเลขโทรศัพท์บ้าน หมายเลขโทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์ (บ้าน ที่ทำงาน) เป็นต้น |
|
ข้อมูลเกี่ยวกับการใช้บริการของกรมบัญชีกลาง |
รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของกรมบัญชีกลาง เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่ายวิดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของกรมบัญชีกลาง เช่น www.cgd.go.th หรือแอปพลิเคชันต่าง ๆ) ประวัติการสืบคัน คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งานระบบปฏิบัติการที่ใช้งาน เป็นต้น |
|
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว |
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูล เกี่ยวกับเชื้อชาติ ศาสนา ความพิการ ความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ภาพจำลองใบหน้า, ลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น |
ประเภทข้อมูลส่วนบุคคลที่ระบุไว้ข้างต้นเป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของกรมบัญชีกลางเป็นการทั่วไป ทั้งนี้ เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ข้อ ๗ คุกกี้ (Cookies)
กรมบัญชีกลางจะเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของกรมบัญชีกลาง เช่น w.w.cgd.go.th หรือบนอุปกรณ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของกรมบัญชีกลาง และเพื่อให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของกรมบัญชีกลาง และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของกรมบัญชีกลางให้ตรงกับความต้องการของเจ้าของข้อมูล โดยสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่ในเว็บเบราว์เซอร์ (Web Browser) ของเจ้าของข้อมูลส่วนบุคคล
ข้อ ๘ ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ
กรณีที่กรมบัญชีกลางทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวมเป็นของบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถกรมบัญชีกลางจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
กรณีที่กรมบัญชีกลางไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และตรวจสอบพบในภายหลังว่ากรมบัญชีกลางได้เก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนตามกฎหมาย หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี หากกรมบัญชีกลางไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นในการเก็บรวบรวมข้อมูลของบุคคลดังกล่าว กรมบัญชีกลางจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว เว้นแต่ผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนตามกฎหมาย หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวต่อไป
ข้อ ๙ วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
กรมบัญชีกลางดำเนินการเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ โดยขึ้นอยู่กับประเภทของผลิตภัณฑ์หรือบริการหรือกิจกรรมที่ให้บริการ ตลอดจนบริบทความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีกับกรมบัญชีกลาง
(๑) เพื่อนำไปใช้งานภายใต้ภารกิจและอำนาจหน้าที่ตามกฎหมายที่อยู่ในความรับผิดชอบของกรมบัญชีกลาง หรือดำเนินการตามที่จำเป็นเพื่อดำเนินประโยชน์สาธารณะให้สำเร็จลุล่วงตามที่กรมบัญชีกลางได้รับมอบหมาย
(๒) เพื่อการดำเนินการตามสัญญาระหว่างกรมบัญชีกลางกับบุคคลที่เกี่ยวข้อง
(๓) เพื่อการดำเนินการทางธุรกรรมของกรมบัญชีกลาง
(๔) ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการต่าง ๆ เพื่ออำนวยความสะดวกตามความมุ่งหมายของเจ้าของข้อมูลส่วนบุคคล
(๕) เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล รวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูลส่วนบุคคล
(๖) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
(๗) วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของกรมบัญชีกลาง
(๘) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร
(๙) ป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งกรมบัญชีกลาง และเจ้าของข้อมูลส่วนบุคคล
(๑๐) การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลของเจ้าของข้อมูลส่วนบุคคล เมื่อมีการสมัครใช้บริการของกรมบัญชีกลาง หรือติดต่อใช้บริการ หรือใช้สิทธิตามกฎหมาย
(๑๑) ปรับปรุงและพัฒนาคุณภาพผลิตภัณฑ์และบริการให้ทันสมัย
(๑๒) การประเมินและบริหารจัดการความเสี่ยง
(๑๓) ส่งการแจ้งเตือน ติดต่อสื่อสารและแจ้งข่าวสารไปยังเจ้าของข้อมูลส่วนบุคคล
(๑๔) เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
(๑๕) ตรวจสอบการเข้าถึงและการใช้บริการของกรมบัญชีกลาง ทั้งในภาพรวมและรายบุคคล เพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้า และการวิเคราะห์
(๑๖) ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่กรมบัญชีกลางมีต่อหน่วยงานที่มีอำนาจควบคุม การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของกรมบัญชีกลาง
(๑๗) ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของกรมบัญชีกลาง หรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการดำเนินการของกรมบัญชีกลาง
(๑๘) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูลส่วนบุคคล
โดยวัตถุประสงค์ที่ระบุไว้ข้างต้นเป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของกรมบัญชีกลาง เป็นการทั่วไป ทั้งนี้ เฉพาะวัตถุประสงค์ที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ข้อ ๑๐ การเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก
ภายใต้วัตถุประสงค์ที่ได้ระบุไว้ในข้อ ๙ ข้างต้น กรมบัญชีกลางอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังต่อไปนี้
|
ประเภทบุคคลผู้รับข้อมูล |
รายละเอียด
|
|
หน่วยงานของรัฐหรือผู้มีอำนาจ ที่กรมบัญชีกลาง ต้องเปิดเผยข้อมูล เพื่อวัตถุประสงค์ในการดำเนินการ ตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น (เช่น การดำเนินการเพื่อประโยชน์ สาธารณะ เป็นต้น) |
หน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแล หรือมีวัตถุประสงค์อื่นที่มีความสำคัญ |
|
ผู้ให้บริการ |
กรมบัญชีกลางอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของกรมบัญชีกลาง เช่น ผู้ให้บริการคลาวด์ ผู้พัฒนาระบบชอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น |
|
การเปิดเผยข้อมูลต่อสาธารณะ |
กรมบัญชีกลางอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น เช่น การดำเนินการที่กำหนดให้กรมบัญชีกลางต้องประกาศลงในราชกิจจานุเบกษาหรือมติคณะรัฐมนตรี เป็นต้น |
ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ข้างต้นเป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของกรมบัญชีกลางเป็นการทั่วไป ทั้งนี้ เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ข้อ ๑๑ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีกรมบัญชีกลางอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของกรมบัญชีกลางที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังมีได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนั้นเมื่อกรมบัญชีกลางมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศปลายทาง กรมบัญชีกลางจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
(๑) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้กรมบัญชีกลางต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
(๒) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
(๓) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับกรมบัญชีกลาง หรือเป็นการทำตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น
(๔) เป็นการกระทำตามสัญญาของกรมบัญชีกลางกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(๕) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
(๖) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
ข้อ ๑๒ ระยะเวลาในการเก็บรวบรวมและทำลายข้อมูลส่วนบุคคล
กรมบัญชีกลางจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็น ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบายประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว กรมบัญชีกลางจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาทการใช้สิทธิ หรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล กรมบัญชีกลางขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
ข้อ ๑๓ การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
กรมบัญชีกลางอาจมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของกรมบัญชีกลาง ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น กรมบัญชีกลางจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ระหว่างกรมบัญชีกลาง ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงการกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่กรมบัญชีกลางมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของกรมบัญชีกลางเท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคลกรมบัญชีกลางจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วงในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างกรมบัญชีกลางกับผู้ประมวลผลข้อมูลส่วนบุคคล
ข้อ ๑๔ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
กรมบัญชีกลางจะจัดให้มีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าว ตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของกรมบัญชีกลางอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยกรมบัญชีกลางมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้ เมื่อกรมบัญชีกลางมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น กรมบัญชีกลางจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนดเพื่อยืนยันว่าข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
ข้อ ๑๕ การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
บริการของกรมบัญชีกลางอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สามซึ่งเว็บไชต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ กรมบัญชีกลางขอแนะนำให้เจ้าของข้อมูลศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กรมบัญชีกลางไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซค์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
ข้อ ๑๖ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กรมบัญชีกลางได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบกำกับ และให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ข้อ ๑๗ สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย
(๑) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่กรมบัญชีกลางเก็บรวบรวมไว้โดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่กรมบัญชีกลางมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
(๒) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบันหากเจ้าของข้อมูลส่วนบุคคลพบว่าข้อมูลส่วนบุคคลของตนเองไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบันเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
(๓) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้กรมบัญชีกลางลบหรือทำลายข้อมูลส่วนบุคคลของตนเอง หรือทำให้ข้อมูลส่วนบุคคลของตนเองไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
(๔) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตนเอง ทั้งนี้ ในกรณีดังต่อไปนี้
ก) เมื่ออยู่ในช่วงเวลาที่กรมบัญชีกลางทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
ข) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
ค) เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่กรมบัญชีกลางได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้กรมบัญชีกลางเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
ง) เมื่ออยู่ในช่วงเวลาที่กรมบัญชีกลางกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะอันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง เว้นแต่กรณีที่กรมบัญชีกลางมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น กรมบัญชีกลางสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของกรมบัญชีกลาง เป็นต้น)
(๖) สิทธิในการขอถอนความยินยอมในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่กรมบัญชีกลางในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีผลใช้บังคับ) เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลถูกเก็บรักษาโดยกรมบัญชีกลาง เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้กรมบัญชีกลางจำเป็นต้องเก็บรักษาข้อมูลต่อไป หรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับกรมบัญชีกลางที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่
(๗) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของตนเองจากกรมบัญชีกลางในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้กรมบัญชีกลาง ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
ข้อ ๑๘ โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎหมายและระเบียบที่เกี่ยวข้อง (สำหรับข้าราชการ พนักงานราชการ ลูกจ้างประจำ และลูกจ้างชั่วคราว ซึ่งเป็นผู้ปฏิบัติงานของกรมบัญชีกลาง) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีต่อกรมบัญชีกลาง และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งกฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
ข้อ ๑๙ การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่า กรมบัญชีกลางมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว กรมบัญชีกลางขอให้เจ้าของข้อมูลส่วนบุคคลโปรดติดต่อมายังกรมบัญชีกลาง เพื่อให้กรมบัญชีกลางมีโอกาสได้รับทราบข้อเท็จจริงและได้ขี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของเจ้าของข้อมูลส่วนบุคคลก่อนในโอกาสแรก
ข้อ ๒๐ การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
กรมบัญชีกลางอาจพิจารณาปรับปรุง แก้ไข หรือเปลี่ยนแปลงนโยบายและแนวปฏิบัตินี้ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมายและการดำเนินงานของกรมบัญชีกลาง รวมถึงอาจปรับปรุงเพื่อให้สอดคล้องกับความคิดเห็นและข้อเสนอแนะจากเจ้าของข้อมูลส่วนบุคคล โดยกรมบัญชีกลางจะประกาศแจ้งให้ทราบอย่างชัดเจนก่อนเริ่มดำเนินการหรืออาจส่งประกาศแจ้งเตือนให้เจ้าของข้อมูลส่วนบุคคลทราบโดยตรงตามช่องทางการสื่อสารของกรมบัญชีกลางภายหลังการบังคับใช้นโยบายฉบับนี้ให้ถือเป็นการรับทราบข้อตกลงในนโยบายและแนวปฏิบัตินี้แล้ว
ทั้งนี้ กรมบัญชีกลางจะมีการทบทวนนโยบายและแนวปฏิบัติให้เป็นปัจจุบันอย่างน้อยปีละ ๑ ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญของกรมบัญชีกลาง
ข้อ ๒๑ การติดต่อกับกรมบัญชีกลาง
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกรมบัญชีกลาง หรือเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
กรมบัญชีกลาง
ถนนพระรามที่ ๖ แขวงพญาไท เขตพญาไท กรุงเทพฯ ๑๐๔๐๐
โทรศัพท์ ๐ ๒๑๒๗ ๗๑๕๐
e- Mail : saraban@cgd.go.th
ประกาศ ณ วันที่ ๒๗ เมษายน พ.ศ. ๒๕๖๖