นโยบายการคุ้มครองข้อมูลส่วนบุคคล กรมอนามัย

กรมอนามัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องปฏิบัติ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อให้เป็นไปตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล กรมอนามัย จึงได้กำหนด แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ไว้ดังต่อไปนี้

1. ขอบเขตการบังคับใช้นโยบายฉบับนี้

   นโยบายฉบับนี้ มีผลบังคับใช้กับหน่วยงานภายในสังกัดกรมอนามัยทั้งส่วนกลางและส่วนภูมิภาค และมีผลบังคับใช้กับข้าราชการ พนักงาน ผู้ปฏิบัติงาน รวมถึงบุคคลภายนอกผู้ซึ่งปฏิบัติงานให้กรมอนามัย

2. ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง

   1. ข้อมูลส่วนบุคคลของผู้มาติดต่องาน

      เป็นข้อมูลส่วนบุคลคลของ ผู้มาติดต่องาน การทำธุรกรรม เช่น การขอใบอนุญาตต่าง ๆ เป็นต้น การทำนิติกรรม เช่น การทำสัญญาว่าจ้าง สัญญาซื้อขาย รวมถึงข้อมูลส่วนบุคคลของพนักงานหรือลูกจ้างของหน่วยงานที่ทำสัญญา หรือทำงานให้กับกรมอนามัย

   2. ข้อมูลส่วนบุคคลของผู้รับบริการ

      เป็นข้อมูลส่วนบุคคลของผู้มาติดต่อเพื่อรับบริการทางการแพทย์และสาธารณสุข ที่หน่วยบริการสุขภาพของกรมอนามัย รวมถึงข้อมูลส่วนบุคคลของผู้รับบริการกรณีที่บุคลากรของหน่วยบริการสุขภาพของกรมอนามัยออกไปให้บริการนอกหน่วยบริการในพื้นที่ที่รับผิดชอบ และข้อมูลการใช้บริการสุขภาพทางดิจิทัล

3. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

   กรมอนามัยจะเก็บรวบรวมข้อมูลส่วนบุคคล “เท่าที่จำเป็น” สำหรับการให้บริการตามวัตถุประสงค์ในการดำเนินงานของกรมอนามัย อย่างเคร่งครัด และกรมอนามัยจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด และจะรักษาข้อมูลเหล่านั้นไว้เป็นความลับตามเกณฑ์มาตรฐานการกำหนดชั้นความลับของข้อมูลของกรมอนามัย

4. วัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล

   1. กรมอนามัย จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อการดำเนินงานในพันธกิจต่าง ๆ ของกรมอนามัย รวมทั้งเพื่อการศึกษาวิจัยหรือ การจัดทำสถิติที่เป็นไปตามวัตถุประสงค์การดำเนินงานของกรมอนามัย หรือตามที่กฎหมายกำหนด

   2. กรมอนามัย จะบันทึกวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล ในขณะที่มีการรวบรวมและจัดเก็บ รวมถึงการนำข้อมูลนั้นไปใช้ในภายหลัง และหากมีการเปลี่ยนแปลงวัตถุประสงค์ของการเก็บรวบรวมข้อมูล กรมอนามัย จะจัดทำบันทึกแก้ไขเพิ่มเติมไว้เป็นหลักฐาน หากมีการเปลี่ยนแปลงวัตถุประสงค์ตามที่เคยได้แจ้งไว้ กรมอนามัย จะแจ้งวัตถุประสงค์ใหม่นั้นให้กับเจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

5. การกำกับดูแลการเก็บรวบรวม ใช้และการเปิดเผยข้อมูลส่วนบุคคล

   1. กรมอนามัย จะกำกับดูแลมิให้ผู้ที่ไม่มีหน้าที่หรือไม่ได้รับมอบหมายเก็บรวบรวมข้อมูลส่วนบุคคล นำไปใช้ประโยชน์ เปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดแก่บุคคลอื่น นอกเหนือวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่การใช้ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

   2. กรมอนามัย จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วยกฎหมาย แต่อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานที่กำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย

   3. กรมอนามัย อาจใช้เทคโนโลยีคุกกี้ (Cookies) เพื่อเก็บรวบรวมข้อมูลพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของกรมอนามัย เพื่อประโยชน์ในการอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคลในการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชัน ของกรมอนามัย

   4. กรมอนามัย อาจทำการเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศหรือ ผู้ให้บริการเซิร์ฟเวอร์ สำหรับเว็บไซต์ การวิเคราะห์ข้อมูล เป็นต้น

      ในกรณีที่กรมอนามัย จำเป็นต้องส่งข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก กรมอนามัยจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้เกิด การสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง การเปิดเผย หรือการใช้งานที่ไม่ถูกต้อง

6. ระยะเวลาในการจัดเก็บข้อมูล

   กรมอนามัย จะเก็บรักษาข้อมูลส่วนบุคคลของไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้น กรมอนามัยจะลบ ทำลายข้อมูล หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ เว้นแต่กรณีจำเป็นต้องเก็บ รักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของกรมอนามัย หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน

7. การโอนข้อมูลไปต่างประเทศ

   กรมอนามัย จะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้หน่วยงานของกรมอนามัยอาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ใช้บังคับ และ หน่วยงานของกรมอนามัยอาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

8. ข้อมูลที่เกี่ยวกับบุคคลภายนอก

   หากเจ้าของข้อมูลให้ข้อมูลส่วนบุคคลของบุคคลอื่นใด นอกเหนือจากตนเอง เช่น คู่สมรส บุตร บิดา มารดา บุคคลในครอบครัว ผู้รับผลประโยชน์ บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง หรือบุคคลอื่นที่เกี่ยวข้อง กรมอนามัยจะถือว่าเจ้าของข้อมูลรับรองว่าตนเอง มีอำนาจที่จะให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าว และมีหน้าที่แจ้งให้บุคคลดังกล่าวทราบและอนุญาตให้กรมอนามัย ใช้ข้อมูลส่วนบุคคล ตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้

9. การรักษาความมั่นคงปลอดภัย

   กรมอนามัย จะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกัน ด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตและสอดคล้องกับการดำเนินงานของกรมอนามัย และมาตรฐานที่รับรองโดยทั่วไปเพื่อให้บรรลุตามวัตถุประสงค์ ๓ ประการ ดังนี้

   1. การธำรงไว้ซึ่งความลับ (confidentiality)
   2. ความถูกต้องครบถ้วน (integrity)
   3. สภาพพร้อมใช้งาน (availability)

   ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยมิชอบ

10. การลบหรือทำลายข้อมูลส่วนบุคคล

    กรมอนามัย จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในรูปแบบเอกสารกระดาษ หรือเอกสารฉบับพิมพ์ และเอกสารในรูปแบบข้อมูลอิเล็กทรอนิกส์ เมื่อพ้นกำหนดระยะเวลาการเก็บหรือหมดความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอหรือเจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอม เว้นแต่การเก็บรักษาข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

11. การมีส่วนร่วมของเจ้าของข้อมูล

    กรมอนามัย จะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเท่านั้น และต้อง “ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือระหว่างเก็บรวบรวมข้อมูลส่วนบุคคล” เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด หากหน่วยงานของกรมอนามัย จำเป็นต้อง “เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น” ที่ไม่ใช่เก็บจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หน่วยงานของกรมอนามัย จะแจ้งเหตุผลความจำเป็นนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้อง ขอความยินยอมตามที่กฎหมายกำหนด

12. สิทธิของเจ้าของข้อมูลส่วนบุคคล

    เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการกับข้อมูลส่วนบุคคลของตนเองที่กรมอนามัยดูแล ดังต่อไปนี้

    1. สิทธิในการขอรับข้อมูลส่วนบุคคลของตนเอง

       โดยเจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล

    2. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง

       ด้วยเหตุบางประการตามที่กฎหมายกำหนด

    3. สิทธิขอให้ลบหรือทำลายข้อมูล

       โดยขอให้กรมอนามัย ดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

    4. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล

       โดยขอให้กรมอนามัยระงับการใช้ข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด

    5. สิทธิขอให้แก้ไขเปลี่ยนแปลง

       โดยขอให้กรมอนามัย ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

13. การจ้างการประมวลผลหรือมอบหมายให้ประมวลผล

    กรมอนามัยได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างการประมวลผลข้อมูลส่วนบุคคล หรือมอบหมายให้ผู้อื่นประมวลผลข้อมูลส่วนบุคคลดังนี้

    1. ก่อนทำการจ้างหรือมอบหมายผู้ประมวลผลข้อมูล ต้องประเมินระบบ สอบทานและปรับปรุงมาตรการต่างๆในการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างหรือผู้ถูกมอบหมาย เพื่อให้แน่ใจว่าระบบการรักษาความมั่นคงปลอดภัยข้อมูลมีความเหมาะสม เพียงพอ รวมถึงต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในส่วนของผู้รับจ้างหรือผู้รับมอบหมาย

    2. ในสัญญาจ้างหรือข้อตกลงการประมวลผล ต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูลส่วนบุคคล การใช้ การส่งและโอนข้อมูล และการกำจัดข้อมูล

    3. คู่สัญญาต้องลงนามในสัญญาหรือข้อตกลงการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามที่กรมอนามัยกำหนด

    4. เมื่อมีการจ้างหรือมอบหมายให้มีการประมวลผลข้อมูล ต้องทำการควบคุมการประมวลผลและควบคุมการปฏิบัติให้เป็นไปตามแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานปลัดกระทรวงกำหนด

    5. เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องควบคุมให้ผู้รับประมวลผลทำลายข้อมูลตามกำหนด

14. การดำเนินการกับข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่กฎหมายมีผลบังคับใช้

    กรมอนามัย กำหนดให้ทุกหน่วยงานภายใต้สังกัด ดำเนินการตรวจสอบ แยกแยะ ข้อมูลส่วนบุคคล ที่ถูกเก็บรวมรวมไว้ก่อนวันที่กฎหมายมีผลบังคับใช้ ว่ายังเป็นข้อมูลส่วนบุคคลที่ยังมีความจำเป็นต้องเก็บไว้หรือไม่ หากหมดความจำเป็นที่จะต้องเก็บรักษาไว้ ก็ให้ดำเนินการลบทำลาย

    ส่วนข้อมูลที่ยังมีความจำเป็นต้องเก็บรักษาไว้เพื่อใช้งานต่อไป ให้พิจารณาว่า เป็นข้อมูลที่ต้องขอความยินยอมก่อนการรวบรวมหรือไม่ (รายละเอียดในการพิจารณาขอให้ศึกษาในคู่มือปฏิบัติของข้อมูลส่วนบุคคลแต่ละประเภท) หากต้องขอความยินยอมให้ประสานงานกับเจ้าของข้อมูลและถ้าเจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ ให้กรมอนามัยเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ดังกล่าว ก็ให้ดำเนินการยกเลิกความยินยอมได้ตามประสงค์

15. การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติและนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล

    1. กรมอนามัย มีการดำเนินการตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กรมอนามัย โดยจะเผยแพร่ผ่านทางเว็บไซต์ https://pdpa.anamai.moph.go.th รวมทั้งหากมีการปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล ก็จะดำเนินการเผยแพร่ผ่านช่องทางดังกล่าว รวมทั้งผ่านสื่อที่กรมอนามัยใช้เพื่อการประชาสัมพันธ์ตามความเหมาะสมด้วย

    2. การดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ กรมอนามัย ประกาศใช้นี้ จะใช้เฉพาะสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกิจการของ กรมอนามัย ซึ่งรวมตลอดถึงการบริหารงาน การให้บริการ และการเข้าถึงเว็บไซต์ของ กรมอนามัย เท่านั้น หากผู้ใช้บริการมีการเชื่อมโยง (Link) ไปยังเว็บไซต์อื่นผ่านทางเว็บไซต์ของกรมอนามัย ผู้ใช้บริการจะต้องศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตามที่ปรากฏในเว็บไซต์อื่นนั้นแยกต่างหากจากกรมอนามัยด้วย

16. ช่องทางการติดต่อ

    เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

    กองแผนงาน กรมอนามัย อาคาร ๕ ชั้น ๔

    ตำบลตลาดขวัญ อำเภอเมือง จังหวัดนนทบุรี ๑๑๐๐๐

    อีเมล์ [email protected]