นโยบายการคุ้มครองข้อมูลส่วนบุคคล กรมอนามัย

          กรมอนามัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องปฏิบัติ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อให้เป็นไปตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล กรมอนามัย จึงได้กำหนด แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ไว้ดังต่อไปนี้

๑.  ขอบเขตการบังคับใช้นโยบายฉบับนี้

          นโยบายฉบับนี้ มีผลบังคับใช้กับหน่วยงานภายในสังกัดกรมอนามัยทั้งส่วนกลางและส่วนภูมิภาค และมีผลบังคับใช้กับข้าราชการ พนักงาน ผู้ปฏิบัติงาน รวมถึงบุคคลภายนอกผู้ซึ่งปฏิบัติงานให้กรมอนามัย

๒. ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง

          ๒.๑ ข้อมูลส่วนบุคคลของบุคลากรหน่วยงานของกรมอนามัย

          เป็นข้อมูลส่วนบุคคลของ ข้าราชการ พนักงานราชการ พนักงานกระทรวง ลูกจ้างประจำ ลูกจ้างชั่วคราว และลูกจ้างโครงการในสังกัดกรมอนามัย

          ๒.๒ ข้อมูลส่วนบุคคลของผู้มาติดต่องาน

          เป็นข้อมูลส่วนบุคลคลของ ผู้มาติดต่องาน สมัครงาน การทำธุรกรรม เช่น การขอใบอนุญาตต่าง ๆ การส่งตรวจสิ่งส่งตรวจทางห้องปฏิบัติการ เป็นต้น การทำนิติกรรม เช่น การทำสัญญาว่าจ้าง สัญญาซื้อขาย รวมถึงข้อมูลส่วนบุคคลของพนักงานหรือลูกจ้างของหน่วยงานที่ทำสัญญา หรือทำงานให้กับกรมอนามัย

          ๒.๓ ข้อมูลส่วนบุคคลของผู้รับบริการ

          เป็นข้อมูลส่วนบุคคลของผู้มาติดต่อเพื่อรับบริการทางการแพทย์และสาธารณสุข ที่หน่วยบริการสุขภาพของกรมอนามัย รวมถึงข้อมูลส่วนบุคคลของผู้รับบริการกรณีที่บุคลากรของหน่วยบริการสุขภาพของกรมอนามัยออกไปให้บริการนอกหน่วยบริการในพื้นที่ที่รับผิดชอบ และข้อมูลการใช้บริการสุขภาพทางดิจิทัล

๓. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด

          กรมอนามัยจะเก็บรวบรวมข้อมูลส่วนบุคคล “เท่าที่จำเป็น” สำหรับการให้บริการตามวัตถุประสงค์ในการดำเนินงานของกรมอนามัย อย่างเคร่งครัด และกรมอนามัยจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด และจะรักษาข้อมูลเหล่านั้นไว้เป็นความลับตามเกณฑ์มาตรฐานการกำหนดชั้นความลับของข้อมูลของกรมอนามัย

๔. วัตถุประสงค์ในการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคล

          ๔.๑ กรมอนามัย จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อการดำเนินงานในพันธกิจต่าง ๆ ของกรมอนามัย รวมทั้งเพื่อการศึกษาวิจัยหรือ การจัดทำสถิติที่เป็นไปตามวัตถุประสงค์การดำเนินงานของกรมอนามัย หรือตามที่กฎหมายกำหนด

          ๔.๒ กรมอนามัย จะบันทึกวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล ในขณะที่มีการรวบรวมและจัดเก็บ รวมถึงการนำข้อมูลนั้นไปใช้ในภายหลัง และหากมีการเปลี่ยนแปลงวัตถุประสงค์ของการเก็บรวบรวมข้อมูล กรมอนามัย จะจัดทำบันทึกแก้ไขเพิ่มเติมไว้เป็นหลักฐาน หากมีการเปลี่ยนแปลงวัตถุประสงค์ตามที่เคยได้แจ้งไว้ กรมอนามัย จะแจ้งวัตถุประสงค์ใหม่นั้นให้กับเจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

๕. การกำกับดูแลการเก็บรวบรวม ใช้และการเปิดเผยข้อมูลส่วนบุคคล

          ๕.๑ กรมอนามัย จะกำกับดูแลมิให้ผู้ที่ไม่มีหน้าที่หรือไม่ได้รับมอบหมายเก็บรวบรวมข้อมูลส่วนบุคคล นำไปใช้ประโยชน์ เปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดแก่บุคคลอื่น นอกเหนือวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่การใช้ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

          ๕.๒ กรมอนามัย จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วยกฎหมาย แต่อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานที่กำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย

          ๕.๓ กรมอนามัย อาจใช้เทคโนโลยีคุกกี้ (Cookies) เพื่อเก็บรวบรวมข้อมูลพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของกรมอนามัย เพื่อประโยชน์ในการอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคลในการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชัน ของกรมอนามัย

          ๕.๔ กรมอนามัย อาจทำการเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศหรือ ผู้ให้บริการเซิร์ฟเวอร์ สำหรับเว็บไซต์ การวิเคราะห์ข้อมูล การประมวลผลการจ่ายและรับชำระเงิน การทำคำสั่งซื้อการให้บริการโครงสร้างพื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศ เป็นต้น

          ในกรณีที่กรมอนามัย จำเป็นต้องส่งข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก กรมอนามัยจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้เกิด การสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง การเปิดเผย หรือการใช้งานที่ไม่ถูกต้อง

๖. ระยะเวลาในการจัดเก็บข้อมูล

          กรมอนามัย จะเก็บรักษาข้อมูลส่วนบุคคลของไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้น กรมอนามัยจะลบ ทำลายข้อมูล หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ เว้นแต่กรณีจำเป็นต้องเก็บ รักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของกรมอนามัย หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน

๗. การโอนข้อมูลไปต่างประเทศ

          กรมอนามัย จะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้หน่วยงานของกรมอนามัยอาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ใช้บังคับ และ หน่วยงานของกรมอนามัยอาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

๘. ข้อมูลที่เกี่ยวกับบุคคลภายนอก

          หากเจ้าของข้อมูลให้ข้อมูลส่วนบุคคลของบุคคลอื่นใด นอกเหนือจากตนเอง เช่น คู่สมรส บุตร บิดา มารดา บุคคลในครอบครัว ผู้รับผลประโยชน์ บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง หรือบุคคลอื่นที่เกี่ยวข้อง กรมอนามัยจะถือว่าเจ้าของข้อมูลรับรองว่าตนเอง มีอำนาจที่จะให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าว และมีหน้าที่แจ้งให้บุคคลดังกล่าวทราบและอนุญาตให้กรมอนามัย ใช้ข้อมูลส่วนบุคคล ตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ได้

๙. การรักษาความมั่นคงปลอดภัย

          กรมอนามัย จะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกัน ด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตและสอดคล้องกับการดำเนินงานของกรมอนามัย และมาตรฐานที่รับรองโดยทั่วไปเพื่อให้บรรลุตามวัตถุประสงค์ ๓ ประการ ดังนี้

          ๑) การธำรงไว้ซึ่งความลับ (confidentiality)

          ๒) ความถูกต้องครบถ้วน (integrity)

          ๓) สภาพพร้อมใช้งาน (availability)

          ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยมิชอบ

๑๐. การลบหรือทำลายข้อมูลส่วนบุคคล

          กรมอนามัย จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลในรูปแบบเอกสารกระดาษ หรือเอกสารฉบับพิมพ์ และเอกสารในรูปแบบข้อมูลอิเล็กทรอนิกส์ เมื่อพ้นกำหนดระยะเวลาการเก็บหรือหมดความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอหรือเจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอม เว้นแต่การเก็บรักษาข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

๑๑. การมีส่วนร่วมของเจ้าของข้อมูล

          กรมอนามัย จะเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเท่านั้น และต้อง “ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือระหว่างเก็บรวบรวมข้อมูลส่วนบุคคล” เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด หากหน่วยงานของกรมอนามัย จำเป็นต้อง “เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น” ที่ไม่ใช่เก็บจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หน่วยงานของกรมอนามัย จะแจ้งเหตุผลความจำเป็นนั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้อง ขอความยินยอมตามที่กฎหมายกำหนด

๑๒. สิทธิของเจ้าของข้อมูลส่วนบุคคล

          เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการกับข้อมูลส่วนบุคคลของตนเองที่กรมอนามัยดูแล ดังต่อไปนี้

          ๑๒.๑ สิทธิในการขอรับข้อมูลส่วนบุคคลของตนเอง โดยเจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล

          ๑๒.๒ สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด

          ๑๒.๓ สิทธิขอให้ลบหรือทำลายข้อมูล โดยขอให้กรมอนามัย ดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

          ๑๒.๔ สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล โดยขอให้กรมอนามัยระงับการใช้ข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด

          ๑๒.๕  สิทธิขอให้แก้ไขเปลี่ยนแปลง โดยขอให้กรมอนามัย ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

๑๓. การจ้างการประมวลผลหรือมอบหมายให้ประมวลผล

          กรมอนามัยได้กำหนดแนวทางปฏิบัติในการทำสัญญาจ้างการประมวลผลข้อมูลส่วนบุคคล หรือมอบหมายให้ผู้อื่นประมวลผลข้อมูลส่วนบุคคลดังนี้

          ๑๓.๑ ก่อนทำการจ้างหรือมอบหมายผู้ประมวลผลข้อมูล ต้องประเมินระบบ สอบทานและปรับปรุงมาตรการต่างๆในการคุ้มครองข้อมูลส่วนบุคคลของผู้รับจ้างหรือผู้ถูกมอบหมาย เพื่อให้แน่ใจว่าระบบการรักษาความมั่นคงปลอดภัยข้อมูลมีความเหมาะสม เพียงพอ รวมถึงต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในส่วนของผู้รับจ้างหรือผู้รับมอบหมาย

          ๑๓.๒ ในสัญญาจ้างหรือข้อตกลงการประมวลผล ต้องระบุวัตถุประสงค์ วิธีการเก็บข้อมูล การแจ้งเจ้าของข้อมูลส่วนบุคคล การใช้ การส่งและโอนข้อมูล และการกำจัดข้อมูล

          ๑๓.๓ คู่สัญญาต้องลงนามในสัญญาหรือข้อตกลงการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามที่กรมอนามัยกำหนด

          ๑๓.๔ เมื่อมีการจ้างหรือมอบหมายให้มีการประมวลผลข้อมูล ต้องทำการควบคุมการประมวลผลและควบคุมการปฏิบัติให้เป็นไปตามแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานปลัดกระทรวงกำหนด

          ๑๓.๕ เมื่อครบกำหนดการเก็บรักษาข้อมูล ต้องควบคุมให้ผู้รับประมวลผลทำลายข้อมูลตามกำหนด

๑๔. การดำเนินการกับข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่กฎหมายมีผลบังคับใช้

          กรมอนามัย กำหนดให้ทุกหน่วยงานภายใต้สังกัด ดำเนินการตรวจสอบ แยกแยะ ข้อมูลส่วนบุคคล ที่ถูกเก็บรวมรวมไว้ก่อนวันที่กฎหมายมีผลบังคับใช้ ว่ายังเป็นข้อมูลส่วนบุคคลที่ยังมีความจำเป็นต้องเก็บไว้หรือไม่ หากหมดความจำเป็นที่จะต้องเก็บรักษาไว้ ก็ให้ดำเนินการลบทำลาย

          ส่วนข้อมูลที่ยังมีความจำเป็นต้องเก็บรักษาไว้เพื่อใช้งานต่อไป ให้พิจารณาว่า เป็นข้อมูลที่ต้องขอความยินยอมก่อนการรวบรวมหรือไม่ (รายละเอียดในการพิจารณาขอให้ศึกษาในคู่มือปฏิบัติของข้อมูลส่วนบุคคลแต่ละประเภท) หากต้องขอความยินยอมให้ประสานงานกับเจ้าของข้อมูลและถ้าเจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ ให้กรมอนามัยเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ดังกล่าว ก็ให้ดำเนินการยกเลิกความยินยอมได้ตามประสงค์

๑๕. การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติและนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล

          ๑๕.๑ กรมอนามัย มีการดำเนินการตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กรมอนามัย โดยจะเผยแพร่ผ่านทางเว็บไซต์ https://pdpa.anamai.moph.go.th รวมทั้งหากมีการปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล ก็จะดำเนินการเผยแพร่ผ่านช่องทางดังกล่าว รวมทั้งผ่านสื่อที่กรมอนามัยใช้เพื่อการประชาสัมพันธ์ตามความเหมาะสมด้วย

          ๑๕.๒ การดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ กรมอนามัย ประกาศใช้นี้ จะใช้เฉพาะสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกิจการของ กรมอนามัย ซึ่งรวมตลอดถึงการบริหารงาน การให้บริการ และการเข้าถึงเว็บไซต์ของ กรมอนามัย เท่านั้น หากผู้ใช้บริการมีการเชื่อมโยง (Link) ไปยังเว็บไซต์อื่นผ่านทางเว็บไซต์ของกรมอนามัย ผู้ใช้บริการจะต้องศึกษาและปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลตามที่ปรากฏในเว็บไซต์อื่นนั้นแยกต่างหากจากกรมอนามัยด้วย

๑๖. ช่องทางการติดต่อ

          เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
          กองแผนงาน กรมอนามัย อาคาร ๕ ชั้น ๔
          ตำบลตลาดขวัญ อำเภอเมือง จังหวัดนนทบุรี ๑๑๐๐๐
          อีเมล์ dpo@anamai.mail.go.th