แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลในการให้บริการธุรกรรมทางอิเล็กทรอนิกส์
ของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการทุกท่านที่ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ผ่านทางเว็บไซต์ http://www.nstda.or.th เว็บไซต์หน่วยงานภายใต้สังกัดของ สวทช. เว็บไซต์อื่นๆที่ สวทช. เป็นผู้ถือครอง และแบบฟอร์มต่าง ๆ ที่ทาง สวทช. กำหนด
1. ข้อมูลเบื้องต้น
(ก) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จัดทำขึ้นเพื่อบังคับใช้ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลในการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ของ สวทช.
(ข) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ใช้บังคับกับพนักงาน หรือพนักงานโครงการของ สวทช. ลูกจ้าง บริษัทที่ปรึกษา และบริษัทคู่สัญญา รวมถึงบุคคลที่ได้รับมอบหมาย หรือมีหน้าที่รับผิดชอบ หรือบุคคลที่ได้รับอนุญาตในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยการรวบรวม จัดเก็บ ใช้ เผยแพร่ หรือดำเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการนั้น ต้องปฏิบัติให้เป็นไปตามแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลในการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ และประกาศ สวทช. เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล ตามที่ สวทช. กําหนดไว้
(ค) ในกรณีที่ สวทช. ทำการเปลี่ยนแปลงวัตถุประสงค์ หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล สวทช. จะทำการแจ้งล่วงหน้าไปยังเจ้าของข้อมูลผู้ใช้บริการให้ทราบก่อน 30 วัน ผ่านทางเว็บไซต์ของ สวทช. หรือทางจดหมายอิเล็กทรอนิกส์ เว้นแต่มีกฎหมายกำหนดไว้เป็นอย่างอื่น
2. การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ
สวทช. มีการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ทั้งทางเว็บไซต์ www.nstda.or.th เว็บไซต์หน่วยงานภายใต้สังกัดของ สวทช. เว็บไซต์อื่นๆที่ สวทช. เป็นผู้ถือครอง และแบบฟอร์มต่าง ๆ ตามแบบที่ สวทช. กำหนด แล้วนำมาแปลงเป็นข้อมูลอิเล็กทรอนิกส์ หรือจัดเก็บโดยวิธีอื่น มีรายละเอียด ดังนี้
(1) การขอใช้บริการผ่านทางเว็บไซต์ต่างๆ ของ สวทช. จะเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการเท่าที่จำเป็น ได้แก่ ชื่อ สกุล หมายเลขโทรศัพท์ อีเมล ที่อยู่ สถานที่ เป็นต้น
(2) กิจกรรมที่ให้บริการ โดยมีการจัดเก็บข้อมูลในแบบฟอร์มต่างๆ ของ สวทช. จะเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการเท่าที่จำเป็น ได้แก่ ชื่อ สกุล หมายเลขโทรศัพท์ อีเมล ที่อยู่ สถานที่ เป็นต้น
สวทช. มีการนำข้อมูลส่วนบุคคลของผู้ใช้บริการ ในการประชาสัมพันธ์เพื่อเชิญเข้าร่วมกิจกรรมทางด้านวิทยาศาสตร์และเทคโนโลยี ที่ทาง สวทช. เป็นผู้ดำเนินการ
(ก) การติดต่อระหว่างหน่วยงานรัฐ
สวทช. จะติดต่อไปยังผู้ใช้บริการ โดยทางโทรศัพท์ หรือทางอีเมลของหน่วยงานที่เกี่ยวข้องกับการให้บริการนั้น ทั้งนี้ ผู้ใช้บริการอาจแจ้งความประสงค์ให้ติดต่อโดยวิธีการอื่นใดมายัง สวทช. ได้
(ข) การใช้คุกกี้ (Cookies)
คุกกี้ (Cookies) หมายถึง ไฟล์ข้อมูลขนาดเล็กที่จะถูกส่งไปเก็บไว้ยังโปรแกรมค้นดูเว็บของผู้ใช้บริการ เพื่อเก็บข้อมูลที่ผู้ใช้บริการเข้าเยี่ยมชมไว้ เมื่อผู้ใช้บริการมีการเข้าไปเยี่ยมชมเว็บไซต์ต่าง ๆ อีกครั้งในภายหลัง โปรแกรมจะจดจำได้ว่า ผู้ใช้บริการเคยเข้าเยี่ยมชมแล้ว จนกว่าผู้ใช้บริการจะออกจากโปรแกรม หรือจนกว่าผู้ใช้บริการจะลบคุกกี้นั้น หรือไม่อนุญาตให้คุกกี้นั้นทำงานอีกต่อไป
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร
ในการให้บริการผ่านทางเว็บไซต์ สวทช. ไม่มีการเก็บรวบรวมข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูลที่สามารถระบุตัวตนได้
(ง) บันทึกผู้เข้าชมเว็บไซต์ (Log Files)
Log Files หมายถึง ไฟล์ข้อมูลจราจรคอมพิวเตอร์ เป็นข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ แสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ การใช้บริการของ สวทช. ผ่านเว็บไซต์ www.nstda.or.th เว็บไซต์หน่วยงานภายใต้สังกัดของ สวทช. เว็บไซต์อื่นๆที่ สวทช. เป็นผู้ถือครอง มีการเก็บบันทึกข้อมูลการเข้าออกและระหว่างในการเข้าใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูลที่ระบุตัวบุคคลได้ เช่น หมายเลขไอพี (IP Address) ซึ่งใช้เป็นข้อมูลที่เชื่อมโยงกลับไปที่ข้อมูลการเชื่อมต่ออินเทอร์เน็ต ซึ่งอาจระบุถึงแหล่งที่มาในการโพสต์หรือบุคคลที่โพสต์ด้ รวมถึงเว็บไซต์ที่เข้า – ออก ทั้งก่อนและหลัง และประเภทของโปรแกรมบราวเซอร์ (Browser)ทั้งนี้เพื่อให้เป็นไปตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับความคอมพิวเตอร์ ประกาศสำนักงาน เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และระเบียบสำนักงานว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
(ค) สวทช. ระบุข้อมูลที่มีการจัดเก็บผ่านทางเว็บไซต์ว่าเป็นข้อมูลที่ประชาชนมีสิทธิเลือกว่า จะให้หรือไม่ให้ก็ได้
สวทช. มีเว็บไซต์ในการให้บริการ ซึ่งผู้ใช้บริการต้องให้ข้อมูลที่จำเป็นต่อการประมวลผลและการดำเนินการตามคำขอนั้น โดยจะระบุด้วยอักษรสีแดง หรือกำกับด้วยเครื่องหมายดอกจัน (*) และในส่วนของข้อมูลที่ผู้ใช้บริการมีสิทธิเลือกว่าจะให้ หรือไม่ให้ ก็ได้ ในกรณีที่ผู้ใช้บริการ ไม่ประสงค์จะให้ข้อมูลนั้นผ่านเว็บไซต์ ผู้ใช้บริการสามารถติดต่อกับสำนักงานโดยผ่านช่องทางอื่น ๆ ได้ เช่น จดหมายอิเล็กทรอนิกส์ โทรศัพท์ โทรสาร หรือเข้ามาติดต่อในสถานที่ทำการของสำนักงาน เป็นต้น
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
เว็บไซต์ของ สวทช. ไม่มีการเชื่อมโยงฐานข้อมูลส่วนบุคคลให้กับหน่วยงานหรือองค์กรอื่นใด
4. การรวมข้อมูลจากที่มาหลาย ๆ แห่ง
สวทช. จะไม่มีการนำข้อมูลส่วนบุคคลที่ได้รับมาจากผู้ใช้บริการผ่านทางเว็บไซต์ไปรวมกับข้อมูลที่ได้รับมาจากแหล่งที่มาอื่น ๆ
5. การให้บุคคลอื่นใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
สวทช. ไม่มีการอนุญาตให้บุคคลอื่นเข้าถึง หรือใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมาจากผู้ใช้บริการ เว้นแต่เป็นการอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายให้กระทำได้
6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
สวทช. จะรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลของผู้ใช้บริการภายใต้วัตถุประสงค์ในการเก็บรวบรวม โดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลผู้ใช้บริการ โดยผู้ขอใช้บริการมีสิทธิที่จะให้หรือไม่ให้ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
ในการรวบรวม จัดเก็บข้อมูลส่วนบุคคล สวทช. จะไม่จัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม เว้นแต่มีกฎหมายกำหนดให้กระทำได้ หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
การใช้ และการเปิดเผยข้อมูลของผู้ใช้บริการ สวทช. จะเป็นไปตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลที่กําหนดไว้เท่านั้น เว้นแต่เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล หรือเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและเป็นกรณีที่ไม่สามารถขอความยินยอมในขณะนั้นได้ หรือเป็นการปฏิบัติตามสัญญาที่ทําระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามที่กฎหมายกําหนด
7. การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
ผู้ใช้บริการมีสิทธิในการเข้าถึงและขอทำการแก้ไข หรือปรับปรุงข้อมูลส่วนบุคคลของต้นให้ถูกต้องเป็นปัจจุบัน และสมบูรณ์ได้ โดยกระทำผ่านทางเว็บไซต์ หรือกรณีที่ไม่สะดวกในการใช้งานเว็บไซต์ สามารถติดต่อเข้ามาโดยตรงที่ สวทช. และร้องขอให้ดําเนินการแก้ไขให้ได้
8. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สวทช. ได้กำหนดมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลไว้อย่างเหมาะสม โดยเป็นไปตามประกาศ สวทช. เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และระเบียบสำนักงานว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมทั้งการกำหนดมาตรการ ดังต่อไปนี้
(ก) การสร้างเสริมความสำนึกในความรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่ผู้ใช้บริการซึ่งเป็นบุคลากรของสำนักงาน โดยกำหนดให้มีการจัดสัมมนาหรือฝึกอบรมเพื่อเพิ่มพูนความรู้และสร้างความตระหนักในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้แก่บุคลากรของ สวทช. อย่างน้อยปีละ 1 ครั้ง
(ข) การกำหนดสิทธิ ทบทวนและจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการซึ่งเป็นบุคลากรของสำนักงานในแต่ละระดับไว้อย่างชัดเจน และกำหนดให้มีการบันทึก รวมทั้งการสำรองข้อมูลในการเข้าถึงหรือการเข้าใช้งานข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด
(ค) กำหนดให้มีการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ หรือระบบสารสนเทศทั้งหมดของสำนักงานที่มีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคล อย่างน้อยปีละ 1 ครั้ง
(ง) กำหนดมาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญ หรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชน หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลไว้อย่างชัดเจน เช่น หมายเลขบัตรเดบิตหรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เชื้อชาติ ศาสนา เป็นต้น
(จ) กำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลของบุคคลที่มีอายุไม่เกิน 18 ปี โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลที่เกี่ยวข้องในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่มีอายุไม่เกิน 18 ปี นั้น ต้องพึงตระหนัก และใช้ความระมัดระวังมากขึ้นกว่าปกติ
9. การติดต่อกับเว็บไซต์ หรือกิจกรรมที่ให้บริการ
สามารถติดต่อผ่านผู้ดูแลแต่ละเว็บไซต์ www.nstda.or.th เว็บไซต์หน่วยงานภายใต้สังกัดของ สวทช. เว็บไซต์อื่นๆที่ สวทช. เป็นผู้ถือครอง ผ่านทาง email และสถานที่ในการติดต่อ ที่ระบุอยู่ในแต่ละเว็บไซต์ที่เปิดให้บริการ