นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
● นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานคณะกรรมการส่งเสริมการลงทุน พ.ศ. ๒๕๖๕
เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานคณะกรรมการส่งเสริมการลงทุน พ.ศ. ๒๕๖๕
เพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคลที่ติดต่อราชการกับสำนักงานคณะกรรมการส่งเสริมการลงทุน และให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ตลอดจนมาตรฐานสากลในการเก็บรวบรวม จัดเก็บ ใช้ เผยแพร่ เปิดเผยหรือดำเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคล ที่ต้องมีความโปร่งใสและตรวจสอบได้ นั้น
อาศัยอำนาจตามความในมาตรา ๖ และมาตรา ๗ แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ และตามมาตรา ๓๗ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ สำนักงานคณะกรรมการส่งเสริมการลงทุนจึงออกประกาศ ดังต่อไปนี้
ข้อ ๑ ให้ยกเลิกประกาศสำนักงานคณะกรรมการส่งเสริมการลงทุน เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงานคณะกรรมการส่งเสริมการลงทุน พ.ศ. ๒๕๖๑ ลงวันที่ ๑๑ กรกฎาคม ๒๕๖๑ และให้ใช้ประกาศ ดังต่อไปนี้
ข้อ ๒ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการส่งเสริมการลงทุน เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงานคณะกรรมการส่งเสริมการลงทุน พ.ศ. ๒๕๖๕”
ข้อ ๓ ขอบเขตการบังคับใช้
ประกาศนี้ใช้บังคับกับเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นบุคคลธรรมดาหรือบุคคลธรรมดาที่ได้ดำเนินการแทนนิติบุคคล ที่ติดต่อกับสำนักงานคณะกรรมการส่งเสริมการลงทุน และจะถูกประมวลผลข้อมูลโดยสำนักงาน เจ้าหน้าที่ พนักงาน และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลแทนหรือในนามสำนักงาน
เจ้าของข้อมูลส่วนบุคคลรวมถึง
(๑) เจ้าหน้าที่หรือผู้ปฏิบัติงาน ลูกจ้าง
(๒) คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
(๓) กรรมการ ผู้รับมอบอำนาจ ผู้แทน ผู้ถือหุ้น
(๔) ผู้ใช้งานบริการของสำนักงาน
(๕) ผู้เข้าชมหรือใช้งานเว็ปไซด์ แอปพลิเคชั่น อุปกรณ์ หรือช่องทางการสื่อสารอื่น ๆ
(๖) บุคคลอื่นที่สำนักงานเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ครอบครัวเจ้าหน้าที่ ผู้สมัครงาน เป็นต้น
ข้อ ๔ บทนิยาม
“สำนักงาน” หมายความว่า สำนักงานคณะกรรมการส่งเสริมการลงทุน
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุ ตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทาง การเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เป็นต้น
“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล”หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวม ใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า สำนักงาน บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า สำนักงาน บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
ข้อ ๕ การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคล
สำนักงานจะเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูล ดังต่อไปนี้
(๑) เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการยื่นคำขอ อนุมัติ อนุญาต ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยสำนักงาน หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับสำนักงาน ณ ที่ทำการ หรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยสำนักงาน เป็นต้น
(๒) เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์ หรือบริการของสำนักงาน ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
(๓) เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่สำนักงาน เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการ เพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่สำนักงาน มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของสำนักงาน สำนักงานอาจไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วนได้
ข้อ ๖ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
สำนักงานพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ โดยใช้ฐานในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังนี้
ฐานในการเก็บรวบรวมข้อมูล |
รายละเอียด |
เพื่อการปฏิบัติหน้าที่ตามกฎหมาย |
เพื่อให้สำนักงานสามารถดำเนินการตามภารกิจใน การส่งเสริมการลงทุนตามพระราชบัญญัติส่งเสริมการลงทุน พ.ศ.๒๕๒๐ พระราชบัญญัติการเพิ่มขีดความสามารถในการแข่งขันของประเทศสำหรับอุตสาหกรรมเป้าหมาย พ.ศ. ๒๕๖๐ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.๒๕๔๐ และกฎหมายว่าด้วยการบริหารราชการแผ่นดินรวมถึง การดำเนินการตามคำสั่งศาล ตามกฎหมายต่าง ๆ เป็นต้น |
เพื่อการปฏิบัติตามสัญญา |
เพื่อให้สำนักงานสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งท่านเป็นคู่สัญญากับสำนักงาน เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญาในรูปแบบอื่น เป็นต้น |
ความยินยอมของเจ้าของข้อมูล |
เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่สำนักงานจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา ๒๔ หรือมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือการนำเสนอ ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจ เป็นต้น |
เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐที่สำนักงานได้รับ |
เพื่อให้สำนักงานสามารถใช้อำนาจรัฐและดำเนินภารกิจเพื่อประโยชน์สาธารณะตามพันธกิจซึ่งกำหนดไว้ตามกฎหมาย กฎ ระเบียบ คำสั่งและมติคณะรัฐมนตรีที่เกี่ยวข้อง เป็นต้น |
เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย |
เพื่อประโยชน์โดยชอบด้วยกฎหมายสำนักงานและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัยอาคารสถานที่ของ สำนักงานหรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของสำนักงาน เป็นต้น |
เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล |
เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชันเพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น |
เพื่อการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญ |
เพื่อให้สำนักงานสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติ เป็นต้น |
ข้อ ๗ ประเภทของข้อมูลส่วนบุคคลที่สำนักงานเก็บรวบรวม
ประเภทข้อมูลส่วนบุคคล |
รายละเอียดและตัวอย่าง |
ข้อมูลเฉพาะตัวบุคคล |
ข้อมูลระบุชื่อเรียก หรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัว เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น |
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล |
ข้อมูลรายละเอียด เช่น วัน เดือน ปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคน ไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น |
ข้อมูลสำหรับการติดต่อ |
ข้อมูลเพื่อการติดต่อ เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams) แผนที่ตั้งของที่พัก เป็นต้น |
ข้อมูลเกี่ยวกับการทำงานและการศึกษา |
รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น |
ข้อมูลเกี่ยวกับการใช้บริการของ สำนักงาน |
รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของสำนักงาน เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของ สำนักงาน เช่น www.boi.go.th หรือแอปพลิเคชันต่าง ๆ) ประวัติการสืบค้น คุกกี้ (Cookies)หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น |
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน |
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น |
ข้อ ๘ วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
(๑) เพื่อนำไปใช้งานตามภารกิจ อำนาจหน้าที่ ระเบียบและกฎหมายที่อยู่ในความรับผิดชอบของสำนักงาน
(๒) เพื่อการดำเนินการทางธุรกรรมของสำนักงาน
(๓) ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการเพื่ออำนวยความสะดวก เพื่อให้สอดคล้องกับความต้องการของเจ้าของข้อมูล
(๔) เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูล รวมทั้งเอกสาร ที่มีการกล่าวอ้างถึง
(๕) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
(๖) วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของสำนักงาน
(๗) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่าง ๆ การประเมินคุณสมบัติ
(๘) ป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งสำนักงาน และเจ้าของข้อมูลส่วนบุคคล
(๙) การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อท่านสมัครใช้บริการของสำนักงาน หรือติดต่อใช้บริการหรือใช้สิทธิตามกฎหมาย
(๑๐) ปรับปรุงและพัฒนาคุณภาพผลิตภัณฑ์และบริการให้ทันสมัย
(๑๑) การประเมินและบริหารจัดการความเสี่ยง
(๑๒) ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังท่าน
(๑๓) เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
(๑๔) ยืนยันตัวตน ป้องกันการสแปม หรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย
(๑๕) ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของสำนักงาน อย่างไร ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้าและการวิเคราะห์
(๑๖) ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ของสำนักงานที่มีต่อหน่วยงานควบคุม หน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของสำนักงาน
(๑๗) ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของสำนักงาน หรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการการดำเนินการของสำนักงาน
(๑๘)ป้องกันหรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งรวมถึงการเฝ้าระวังโรคระบาด
(๑๙) จัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่สำนักงาน ได้รับมอบหมายให้ดำเนินการ
(๒๐) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูล
ข้อ ๙ คุกกี้ (Cookies)
สำนักงานจะเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกัน ในเว็บไซต์ที่อยู่ภายใต้ความดูแลของสำนักงาน เช่น www.boi.go.th หรือบนอุปกรณ์หรือบริการที่เจ้าของข้อมูลใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของสำนักงาน และเพื่อให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของสำนักงาน และข้อมูลเหล่านี้จะถูกนำไป เพื่อปรับปรุงเว็บไซต์ของสำนักงาน ให้ตรงกับความต้องการของเจ้าของข้อมูล โดยสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของเจ้าของข้อมูล
ข้อ ๑๐ การนำข้อมูลส่วนบุคคลไปใช้
ประเภทบุคคลผู้รับข้อมูล |
รายละเอียด |
สำนักงานอาจเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น (เช่น การดำเนินการเพื่อประโยชน์สาธารณะ) |
หน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมพัฒนาธุรกิจการค้า กรมสรรพากร ศาล สำนักงานอัยการสูงสุด กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นต้น |
คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของสำนักงาน |
สำนักงานอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น คณะกรรมการส่งเสริมการลงทุน คณะอนุกรรมการส่งเสริมการลงทุน เป็นต้น |
คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของสำนักงาน |
บุคคลภายนอกที่สำนักงาน จัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น โรงพยาบาล บริษัทผู้จัดทำ ธนาคาร ผู้ให้บริการโทรศัพท์ เป็นต้น |
พันธมิตรทางธุรกิจ |
สำนักงานอาจเปิดเผยข้อมูลของเจ้าของข้อมูลแก่บุคคล ที่ร่วมงานกับ สำนักงาน เพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูล เช่น หน่วยงานผู้ให้บริการที่เจ้าของข้อมูลติดต่อผ่านบริการของสำนักงาน ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น |
ผู้ให้บริการ |
สำนักงานอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของสำนักงาน เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล เช่น คลาวด์ ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น |
ผู้รับข้อมูลประเภทอื่น |
สำนักงานอาจเปิดเผยข้อมูลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อ สำนักงาน โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่นๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของ สำนักงานการฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น |
การเปิดเผยข้อมูลต่อสาธารณะ |
สำนักงานอาจเปิดเผยข้อมูลของท่านต่อสาธารณะในกรณี ที่จำเป็น เช่น การดำเนินการที่กำหนดให้สำนักงานต้องประกาศลงในราชกิจจานุเบกษาหรือมติคณะรัฐมนตรี เป็นต้น |
ข้อ ๑๑ ระยะเวลาในการเก็บรวบรวมและทำลายข้อมูลส่วนบุคคล
สำนักงานจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้น ยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว สำนักงานจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคล ไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการ หรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิ หรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล สำนักงานขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้น จะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
ข้อ ๑๒ การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
สำนักงานอาจมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของสำนักงาน ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น สำนักงานจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของสำนักงาน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่สำนักงานมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่สำนักงาน สำนักงานอาจมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้องซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของสำนักงาน เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล สำนักงานจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างสำนักงาน กับผู้ประมวลผลข้อมูลส่วนบุคคล
ข้อ ๑๓ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สำนักงานจะจัดให้มีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคล ให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าว ตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของสำนักงานอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยสำนักงานมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้ เมื่อสำนักงานมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคล แก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น สำนักงานจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่สำนักงาน เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
ข้อ ๑๔ สิทธิการมีส่วนร่วมของเจ้าของข้อมูล
(๑) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่สำนักงาน เก็บรวบรวมไว้ เว้นแต่กรณีที่สำนักงานมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
(๒) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
(๓) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอให้ สำนักงาน ลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภาย ใต้เงื่อนไขตามที่กฎหมายกำหนด
(๔) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล ทั้งนี้ ในกรณีดังต่อไปนี้
ก) เมื่ออยู่ในช่วงเวลาที่ สำนักงาน ทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องสมบูรณ์และเป็นปัจจุบัน
ข) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
ค) เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่สำนักงาน ได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้สำนักงาน เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
ง) เมื่ออยู่ในช่วงเวลาที่ สำนักงาน กำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูล เว้นแต่กรณีที่ สำนักงานมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น สำนักงาน สามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของสำนักงาน)
(๖) สิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลได้ให้ความยินยอมแก่สำนักงาน ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิถอนความยินยอมเมื่อใด ก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกเก็บรักษาโดยสำนักงาน เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้สำนักงาน จำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลกับสำนักงานที่ให้ประโยชน์อยู่
(๗) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลจากสำนักงาน ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้สำนักงาน ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคล รายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
ข้อ ๑๕ โดยกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลได้กำหนดโทษทางอาญา ทางปกครอง และความรับผิดทางแพ่ง กรณีที่ไม่ได้ดำเนินการหรือฝ่าฝืนตามที่กฎหมายกำหนด จึงขอให้เจ้าหน้าที่ และผู้เกี่ยวข้องดำเนินการกฎหมายดังกล่าว นโยบายและแนวปฏิบัติของสำนักงานอย่างเคร่งครัด
ข้อ ๑๖ การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
สำนักงานอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายและแนวปฏิบัตินี้เพื่อให้มีประสิทธิภาพและประสิทธิผลยิ่งขึ้น และจะทำการแจ้งให้เจ้าของข้อมูลทราบผ่านช่องทางเว็บไซต์ www.boi.go.th การเข้าใช้งานผลิตภัณฑ์หรือบริการของสำนักงาน ภายหลังการบังคับใช้นโยบายฉบับนี้ ให้ถือเป็นการรับทราบข้อตกลงในนโยบายและแนวปฏิบัตินี้แล้ว
ทั้งนี้ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร จะมีการทบทวนนโยบาย และแนวปฏิบัติให้เป็นปัจจุบันอย่างน้อยปีละ ๑ ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญของสำนักงาน
ข้อ ๑๗ การติดต่อกับสำนักงานคณะกรรมการส่งเสริมการลงทุน
หากเจ้าของข้อมูลมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของสำนักงาน หรือเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่
| (๑) | ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สถานที่ติดต่อ สำนักงานคณะกรรมการส่งเสริมการลงทุน ๕๕๕ ถนนวิภาวดี รังสิต แขวงจตุจักร เขตจตุจักร กรุงเทพมหานคร ช่องทางการติดต่อ: datacontroller@boi.go.th โทรศัพท์ : ๐๒-๕๕๓-๘๑๑๑ |
| (๒) | เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) สถานที่ติดต่อ สำนักงานคณะกรรมการส่งเสริมการลงทุน ๕๕๕ ถนนวิภาวดี รังสิต แขวงจตุจักร เขตจตุจักร กรุงเทพมหานคร ช่องทางการติดต่อ: dpofficer@boi.go.th โทรศัพท์ : ๐๒-๕๕๓-๘๑๑๑ |
ข้อ ๑๘ ให้หน่วยงานภายใต้สังกัดสำนักงานคณะกรรมการส่งเสริมการลงทุนหรือผู้ที่ได้รับมอบหมายจากสำนักงาน มีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและ มาตรฐานที่กำหนดไว้ ดังนี้
(๑) คู่มือระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS Manual)
(๒) นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Policy)
(๓) คำประกาศการนำไปใช้งาน (Statement of Applicability : SOA)
(๔) แนวทางการประเมินความเสี่ยงสารสนเทศ (Risk Assessment Approach)
(๕) รายงานการประเมินความเสี่ยง (Risk Assessment Report)
(๖) แผนการจัดการความเสี่ยง (Risk Treatment Plan)
(๗) แผนสร้างความต่อเนื่องให้กับธุรกิจ (Business Continuity Plan: BCP)
(๘) คู่มือปฏิบัติงานและวิธีปฏิบัติงาน ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 ของสำนักงานคณะกรรมการส่งเสริมการลงทุน
ข้อ ๑๙ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศ เป็นต้นไป
ประกาศ ณ วันที่ ๑๔ กุมภาพันธ์ พ.ศ. ๒๕๖๕
(นางสาวดวงใจ อัศวจินตจิตร์)
เลขาธิการคณะกรรมการส่งเสริมการลงทุน
ขออภัยครับ ไม่มีข้อมูลส่วนนี้ ในภาษาที่ท่านเลือก !
Sorry, There is no information support your selected language !
Download และ ติดตั้งโปรแกรมอ่าน PDF
Download PDF ReaderSite map
