นโยบายความเป็นส่วนตัว (Privacy Policy)
- ผู้มาติดต่อหรือผู้เข้าร่วมกิจกรรมหรือผู้ที่ขอรับบริการของ สพฉ. ที่เป็นบุคคลธรรมดา
- คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
- กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับ สพฉ.
- พนักงานหรือผู้ปฏิบัติงาน ลูกจ้าง ของสพฉ.
- บุคคลอื่นที่ สพฉ. เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของพนักงาน ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น
- นโยบายนี้จัดทำขึ้นสำหรับพนักงานของ สพฉ. ทุกคน
- เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของ สพฉ. เป็นไปตามข้อกำหนดของกฎหมาย
- เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ สพฉ. มีการประมวลผลข้อมูลได้ยึดถือปฏิบัติโดยเคร่งครัด
- เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่ สพฉ. มีการประมวลผลจะได้รับการปกป้องดูแลและนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
4. หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรมและมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
- การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่ สพฉ. กำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และมีผลบังคับตามกฎหมาย และจะไม่มีการประมวลผลข้อมูลไปในทางที่ไม่สอดคล้องหรือไม่เป็นไปตามวัตถุประสงค์ดังกล่าว (Purpose Limitation)
- การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็น ต่อวัตถุประสงค์ของการประมวลผลข้อมูลดังกล่าว (Data Minimization)
- การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น โดยจะมีการดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องดังกล่าวได้รับการปรับปรุงแก้ไข (Accuracy)
- การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ให้ สพฉ. มีหน้าที่ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาที่เท่าที่จำเป็นดังกล่าว
- การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมรวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย และป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
5. การปฏิบัติให้สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
สพฉ. ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงมีการกำหนดมาตรการควบคุมภายใน จัดทำแนวทางปฏิบัติ คู่มือที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และพนักงานของ สพฉ. มีการปฏิบัติตามกฎหมาย นโยบายและแนวปฏิบัติอย่างเคร่งครัด
- ให้มีการกำหนดโครงสร้างองค์กรเพื่อกำหนดผู้รับผิดชอบ และหน้าที่ความรับผิดชอบในการควบคุมดูแลและอำนวยการให้การดำเนินงานของ สพฉ. มีความสอดคล้องและเป็นไปตามวัตถุประสงค์ของนโยบายนี้และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดตลอดจนการให้คำปรึกษาแก่พนักงานและเป็นตัวแทนของ สพฉ. ในการติดต่อประสานงานกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- ให้มีการกำหนดแนวปฏิบัติและกำหนดหน้าที่ความรับผิดชอบของพนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับนโยบายนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายอื่นๆ ที่เกี่ยวข้อง
- ให้มีการอบรมให้ความรู้ สร้างความตระหนักและความเข้าใจกับพนักงานของ สพฉ. เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
- ให้มีการแจ้งผู้ใช้บริการหรือผู้ที่มีการติดต่อกับ สพฉ. ให้ทราบว่า เหตุใด สพฉ. ต้องมีการประมวลผลข้อมูลของผู้ใช้บริการหรือผู้ที่มาติดต่อกับ สพฉ. รวมถึง สพฉ. จะมีการแบ่งปันหรือเปิดเผยข้อมูลเหล่านี้กับใครบ้าง ผ่านทางประกาศความเป็นส่วนตัว (Privacy Notice) และประกาศการใช้คุกกี้ (Cookie Notice) ที่ชัดเจน
- กรณีที่ต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การขอความยินยอมดังกล่าวต้องชัดแจ้ง มีการใช้ถ้อยคำที่ชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
- ให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใดๆ เกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- ให้มีการกำหนดกระบวนการ และผู้รับผิดชอบในการดำเนินการเกี่ยวกับการตรวจสอบ การสืบสวนสอบสวน และการจัดทำรายงานภายใน สพฉ. กรณีมีเหตุละเมิดข้อมูลส่วนบุคคล
- ให้มีการบันทึกรายการตามมาตรา 39 กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและ สพฉ. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล เป็นต้น และให้มีการทบทวน ตรวจสอบรายการบันทึกดังกล่าว อย่างน้อยปีละ 1 ครั้ง
- ให้มีการจัดทำตารางการจัดเก็บข้อมูล (Retention Schedule) เพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลที่ สพฉ. จัดเก็บ มีระยะเวลาการจัดเก็บเท่าที่จำเป็นและเป็นไปตามวัตถุประสงค์
- ให้มีการจัดทำมามาตรการหรือแนวทางปฏิบัติในการทำลายข้อมูล
- ให้มีการสำรวจและจัดทำรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment : DPIA)
- ให้มีการจัดทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล กรณีที่ สพฉ. มีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกมาดำเนินการประมวลผลข้อมูลส่วนบุคคลของ สพฉ.
- ให้มีการกำหนดมาตรการภายใน สำหรับกรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปนอก สพฉ. ทั้งในประเทศและต่างประเทศ
6. หลักการในการประมวลผลข้อมูล
- การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
- การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคลหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลนั้นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
- การประมวลผลข้อมูลนั้นเป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
- เจ้าของข้อมูลได้ให้ความยินยอมแล้ว
7. สิทธิของเจ้าของข้อมูล
- สิทธิในการได้รับแจ้ง สพฉ. จะมีการแจ้ง "ประกาศความเป็นส่วนตัว (Privacy Notice)" ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผลที่ชัดเจน รวมถึง "ประกาศการใช้คุกกี้ (Cookie Notice)" ที่แสดงถึงประเภทเทคโนโลยีคุกกี้ที่ สพฉ. มีการใช้ รวมถึงวัตถุประสงค์ในการใช้เทคโนโลยีคุกกี้เหล่านั้นและในกรณีที่ สพฉ. มีการประมวลผลข้อมูลไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือความยินยอมใดๆ ที่ได้ให้ไว้ สพฉ. จะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว
- สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้ สพฉ. ไว้ได้ทุกเมื่อ
- สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้ สพฉ. เปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
- สิทธิในการแก้ไขข้อมูล เจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการลบข้อมูล เจ้าของข้อมูลสามารถขอให้ สพฉ. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
- สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของ สพฉ. รองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้
- สิทธิในการระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ สพฉ. ระงับการใช้ข้อมูลส่วนบุคคลได้
- สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้
8. นโยบาย แนวปฏิบัติและคู่มืออื่นที่เกี่ยวข้อง
- นโยบายและแนวปฏิบัติเกี่ยวกับธรรมาภิบาลข้อมูล
- นโยบายและแนวปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เช่น แนวปฏิบัติการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูล แนวปฏิบัติการจัดการกรณีมีการละเมิดข้อมูลส่วนบุคคล เป็นต้น
9. การทบทวนและปรับปรุงนโยบาย
10. การติดต่อสอบถามหรือใช้สิทธิ
- สถาบันการแพทย์ฉุกเฉินแห่งชาติ
- สถานที่ติดต่อ: 88/40 หมู่ที่ 4 อาคารเฉลิมพระเกียรติพระบาทสมเด็จพระเจ้าอยู่หัว 84 พรรษา
- ช่องทางการติดต่อ อีเมล: pr@niems.go.th โทรศัพท์ 02 872 1600 โทรสาร 02 872 1604