นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

“สถาบัน” หมายความว่า สถาบันระหว่างประเทศเพื่อการค้าและการพัฒนา (องค์การมหาชน)

“นโยบาย” หมายความว่า นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

“ข้อมูลส่วนบุคคล”(Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ อาทิ ชื่อ นามสกุล ชื่อเล่น รูปถ่าย วัน/เดือน/ปีเกิด ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล เลขทะเบียนรถยนต์ วุฒิการศึกษา ประวัติการทำงาน ข้อมูลสถานภาพ สถานภาพทางทหาร เป็นต้น

ข้อมูลที่มิใช่ข้อมูลส่วนบุคคล อาทิ ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น ชื่อบริษัท ที่อยู่ของบริษัท เลขทะเบียนนิติบุคคลของบริษัท หมายเลขโทรศัพท์ของที่ทำงาน ที่อยู่อีเมลที่ใช้ในการทำงาน ที่อยู่อีเมลกลุ่มของบริษัท ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝงที่ถูกทำให้ ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค (Pseudonymous Data) ข้อมูลผู้ถึงแก่กรรม เป็นต้น

“ข้อมูลส่วนบุคคลอ่อนไหว” (Sensitive Personal Data) หมายความว่า ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูล อื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“เจ้าของข้อมูลส่วนบุคคล”(Personal Data Subject) หมายความว่า ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง

“นิติบุคคล” (Juridical Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด

“บุคคล” (Person) หมายความว่า บุคคลธรรมดา

“ผู้ควบคุมข้อมูลส่วนบุคคล”(Personal Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล”(Personal Data Processor) หมายความว่า บุคคลหรือ
นิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับสถาบันในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยสถาบัน เจ้าหน้าที่ พนักงานตามสัญญา หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดยสถาบัน และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของสถาบันภายใต้กิจกรรมและบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยสถาบัน

นอกจากนโยบายฉบับนี้แล้ว สถาบันอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว สำหรับกิจกรรมหรือบริการของสถาบัน เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรมหรือบริการนั้นเป็นการเฉพาะเจาะจง

ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น

สถาบันเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูล ดังต่อไปนี้

(๑) ข้อมูลส่วนบุคคลที่สถาบันเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น เมื่อเจ้าของข้อมูลส่วนบุคคลกรอกแบบฟอร์มต่าง ๆ ในขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ทำแบบสำรวจหรือสอบถามข้อมูล ให้ความเห็น หรือคำติชมหรือส่งข้อร้องเรียนต่อสถาบัน ทางโทรศัพท์ จดหมายอิเล็กทรอนิกส์ โทรสาร ไปรษณีย์หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยสถาบัน หรือเมื่อเข้าทำสัญญากับสถาบัน หรือเมื่อได้ส่งมอบเอกสารและสำเนาเอกสารต่าง ๆ ซึ่งปรากฏข้อมูล ส่วนบุคคลอยู่ให้แก่สถาบัน หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับสถาบัน ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยสถาบัน เป็นต้น

(๒) ข้อมูลที่สถาบันเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ แอปพลิเคชันหรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจของสถาบัน เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ หรือบริการของสถาบันด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น

(๓) ข้อมูลส่วนบุคคลที่สถาบันเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่สถาบัน เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่สถาบันมีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึง จากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้ นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่สถาบัน ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของกิจกรรมหรือบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่สถาบัน

ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หรือการให้บริการของสถาบัน หรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ อาจเป็นผลให้สถาบันไม่สามารถดำเนินการหรือให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

สถาบันจะเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับการดำเนินงานของสถาบัน และสถาบันจะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัดและเป็นไปเพียงเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล และตามบทบัญญัติของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมและประมวลผลภายใต้นโยบายฉบับนี้ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับสถาบันโดยตรง หรือข้อมูลส่วนบุคคลที่สถาบันได้รับมาจากบุคคลภายนอกหรือสถาบันได้รับมาจากแหล่งที่มาอื่น สามารถแบ่งประเภทของข้อมูลส่วนบุคคล ได้ดังนี้

(๑) ข้อมูลส่วนบุคคลทั่วไปที่สถาบันจัดเก็บ เช่น

(๑.๑) ข้อมูลส่วนตัว เช่น คำนำหน้าชื่อ ชื่อ ชื่อกลาง นามสกุล วัน/เดือน/ปีเกิด อายุ เพศ รูปถ่าย ลายมือชื่อ สถานที่ทำงาน ตำแหน่งงาน ประวัติการศึกษา ข้อมูลการทำงาน ประวัติการฝึกอบรม หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม ข้อมูลผลงานต่าง ๆ ข้อมูลตามสำเนาเอกสารที่ออกโดยหน่วยงานราชการ เช่น สำเนาบัตรประชาชน สำเนาหนังสือเดินทาง สำเนาทะเบียนบ้าน เป็นต้น

(๑.๒) ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล ข้อมูลผู้ที่สามารถติดต่อได้ และข้อมูลอื่นที่สถาบันสามารถติดต่อได้ เป็นต้น

(๑.๓) ข้อมูลทางการเงิน เช่น ข้อมูลตามสำเนาสมุดบัญชีธนาคาร เลขประจำตัว ผู้เสียภาษี เป็นต้น

(๑.๔) ข้อมูลที่ใช้ประกอบเป็นหลักฐาน หรือในการทำธุรกรรมต่าง ๆ เช่น ข้อมูลส่วนบุคคลที่ปรากฏในสำเนาบัตรประชาชน สำเนาหนังสือเดินทาง สำเนาใบเปลี่ยนชื่อนามสกุล สำเนาทะเบียนบ้าน สำเนาใบอนุญาตขับขี่ สำเนาใบคู่มือจดทะเบียนรถยนต์ เลขทะเบียนรถยนต์ สำเนาโฉนดที่ดิน สำเนาหนังสือมอบอำนาจ สำเนาหนังสือรับรองนิติบุคคล ใบแจ้งหนี้ ใบเสร็จรับเงิน ใบสำคัญจ่าย และสำเนาใบอนุญาตประกอบวิชาชีพหรือธุรกิจ เป็นต้น

(๑.๕) ข้อมูลด้านเทคโนโลยี เช่น ข้อมูลจราจรทางคอมพิวเตอร์ หมายเลขประจำเครื่องคอมพิวเตอร์ ข้อมูลตำแหน่งที่ตั้งทางภูมิศาสตร์โดยใช้เทคโนโลยีระบุตำแหน่ง ประเภทของโปรแกรมคอมพิวเตอร์ที่ใช้เปิดดูเว็บไซต์ ข้อมูลบันทึกการเข้าออกเว็บไซต์ ข้อมูลเว็บไซต์ที่ผู้ใช้งานเข้าถึงก่อนและหลัง ข้อมูลบันทึกประวัติการใช้เว็บไซต์ ข้อมูลบันทึกการเข้าสู่ระบบ ข้อมูลรายการการทำธุรกรรม สถิติการเข้าเว็บไซต์ เวลาที่เยี่ยมชมเว็บไซต์ ข้อมูลที่ถูกค้นหาหรือเข้าชม ข้อมูลการใช้สื่อสังคมออนไลน์ การใช้ฟังก์ชันต่าง ๆ ในเว็บไซต์ของสถาบัน และข้อมูลที่สถาบันได้เก็บรวบรวมผ่านคุกกี้หรือเทคโนโลยีอื่นที่คล้ายกัน เป็นต้น

(๑.๖) บันทึกภาพนิ่งและภาพเคลื่อนไหวผ่านกล้องวงจรปิด (CCTV) บันทึกเสียงการสนทนา บันทึกภาพถ่ายหรือวิดีโอในการจัดกิจกรรมต่าง ๆ หรือข้อมูลอื่น ๆ ที่สามารถระบุตัวตนบุคคลได้

(๒) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลชีวภาพ ข้อมูลลายพิมพ์นิ้วมือ ภาพสแกนใบหน้า ข้อมูลศาสนาหรือหมู่เลือดตามที่ปรากฏรวมอยู่ในสำเนาบัตรประจำตัวประชาชน หรือสำเนาเอกสารอื่นที่ส่งมอบให้แก่สถาบัน ข้อมูลประวัติอาชญากรรมรวมถึงความผิดที่ถูกกล่าวหาหรือฟ้องร้องดำเนินคดี ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ เป็นต้น ทั้งนี้ สถาบันไม่มีนโยบายจัดเก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่สถาบันได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือกรณีอื่นใดตามที่กฎหมายกำหนดเท่านั้น

(๓) ในกรณีการทำธุรกรรมหรือการทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล หรือให้ข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบันแก่สถาบันอาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลที่อาจ ไม่สามารถทำธุรกรรมกับสถาบันหรืออาจไม่ได้รับความสะดวกหรือไม่ได้รับการปฏิบัติตามสัญญาที่มีอยู่กับสถาบัน และอาจทำให้เจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายหรือเสียโอกาส และอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายใด ๆ ที่เจ้าของข้อมูลส่วนบุคคลหรือสถาบันต้องปฏิบัติตาม

สถาบันเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของสถาบัน เช่น www.itd.or.th หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคลตามแต่กิจกรรมหรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของสถาบัน และเพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการเข้าร่วมกิจกรรมหรือใช้งานบริการของสถาบัน และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของสถาบัน ให้ตรงต่อความต้องการของเจ้าของข้อมูลส่วนบุคคลมากยิ่งขึ้น โดยเจ้าของข้อมูลส่วนบุคคลสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ของเจ้าของข้อมูลส่วนบุคคล

กรณีที่สถาบันทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ สถาบันจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่สถาบันไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า สถาบันได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ ตามแต่กรณี ดังนี้ สถาบันจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากสถาบันไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว

สถาบันดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของกิจกรรมหรือบริการที่เจ้าของข้อมูลส่วนบุคคลเข้าร่วมกิจกรรมหรือ ใช้บริการ ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับสถาบัน หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการใช้ข้อมูลส่วนบุคคลของสถาบันเป็นการทั่วไป ทั้งนี้ เฉพาะวัตถุประสงค์ที่เกี่ยวข้องกับกิจกรรมหรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือ มีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้กับข้อมูลของเจ้าของข้อมูลส่วนบุคคล

(๑) เพื่อดำเนินการตามที่จำเป็นในการดำเนินประโยชน์สาธารณะที่สถาบันได้รับมอบหมายให้สำเร็จลุล่วง หรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่สถาบันมีอำนาจหน้าที่ในการดำเนินการตามภารกิจดังปรากฏในพระราชกฤษฎีกา จัดตั้งสถาบันระหว่างประเทศเพื่อการค้าและการพัฒนา (องค์การมหาชน) พ.ศ. ๒๕๔๔ และที่แก้ไขเพิ่มเติม และกฎหมาย กฎ ระเบียบหรือคำสั่งที่เกี่ยวข้อง

(๒) เพื่อให้บริการและบริหารจัดการบริการของสถาบัน ทั้งบริการภายใต้สัญญาที่มีต่อเจ้าของข้อมูลส่วนบุคคล หรือตามภารกิจของสถาบัน

(๓) เพื่อการดำเนินการธุรกรรมทางการเงินต่าง ๆ และการดำเนินการทางบัญชีของสถาบัน

(๔) ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของเจ้าของข้อมูลส่วนบุคคล

(๕) เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล รวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูลส่วนบุคคล

(๖) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

(๗) วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของสถาบัน

(๘) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร รวมถึงการรับสมัครงาน การสรรหากรรมการหรือผู้ดำรงตำแหน่งต่าง ๆ การประเมินคุณสมบัติ

(๙) ป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการฉ้อโกง การละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งสถาบันและเจ้าของข้อมูลส่วนบุคคล

(๑๐) การยืนยันตัวตนหรือพิสูจน์ตัวตนของเจ้าของข้อมูลส่วนบุคคล และตรวจสอบข้อมูล เมื่อเจ้าของข้อมูลส่วนบุคคลสมัครใช้บริการหรือติดต่อใช้บริการ เข้าร่วมกิจกรรม การทำสัญญา การปฏิบัติหน้าที่ตามสัญญา หรือใช้สิทธิตามกฎหมาย

(๑๑) ปรับปรุงและพัฒนาคุณภาพกิจกรรมและบริการให้ทันสมัย

(๑๒) การประเมินและบริหารจัดการความเสี่ยง

(๑๓) ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังเจ้าของข้อมูลส่วนบุคคล

(๑๔) เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น

(๑๕) ยืนยันตัวตน ป้องกันการสแปม หรือการกระทำที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย

(๑๖) ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของสถาบันอย่างไร ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้า และการวิเคราะห์

(๑๗) เพื่อจัดทำฐานข้อมูลผู้เข้าร่วมกิจกรรม ผู้เข้าร่วมโครงการ ผู้เข้าร่วมประชุม ผู้เข้าร่วมอบรม หรือผู้เข้าร่วมสัมมาของสถาบัน รวมถึงการวิเคราะห์ข้อมูลและสำรวจพฤติกรรมของบุคคลดังกล่าว

(๑๘) ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่สถาบันมีต่อหน่วยงานที่มีอำนาจควบคุม หน่วยงานด้านภาษี การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของสถาบัน

(๑๙) ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของสถาบันหรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการดำเนินการของสถาบัน

(๒๐) ป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งรวมถึงการ เฝ้าระวังโรคระบาด

(๒๑) จัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่สถาบันได้รับมอบหมายให้ดำเนินการ

(๒๒) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูล ส่วนบุคคล

(๒๓) เพื่อตรวจสอบและการรักษาความปลอดภัยในบริเวณอาคารหรือสถานที่ของสถาบัน และการประเมินความเสี่ยงด้านความปลอดภัย รวมถึงการเข้าและออกเพื่อปฏิบัติงานในสถานที่ทำการของสถาบัน และการบันทึกข้อมูลการเข้าออกสถานที่ทำการของสถาบัน และการบันทึกภาพภายในพื้นที่ของสถาบันด้วยกล้องวงจรปิด (CCTV)

(๒๔) เมื่อเจ้าของข้อมูลส่วนบุคคลเข้ามาในบริเวณพื้นที่สถาบันที่มีการจัดประชุม สัมมนา หรือกิจกรรมใด ๆ โดยสถาบันอาจมีการบันทึกภาพถ่ายหรือวิดีโอ เพื่อเก็บบันทึกข้อมูลการจัดกิจกรรม หรือเพื่อใช้ประกอบการจัดทำสื่อประชาสัมพันธ์ของสถาบัน ทั้งนี้ สถาบันจะแจ้งให้ทราบว่ามีการบันทึกภาพถ่ายหรือวิดีโอในบริเวณพื้นที่ดังกล่าว

สถาบันใช้วิธีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อใช้ในการติดต่อให้บริการ ประชาสัมพันธ์ หรือให้ข้อมูลข่าวสารต่าง ๆ รวมทั้งสำรวจความคิดเห็นของเจ้าของข้อมูลส่วนบุคคลในกิจกรรมหรือบริการของสถาบันภายใต้วัตถุประสงค์ในการดำเนินงานของสถาบันเท่านั้น หรือตามที่กฎหมายกำหนด ทั้งนี้ หากมีการเปลี่ยนแปลงวัตถุประสงค์ สถาบันจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ และบันทึกเพิ่มเติมไว้เป็นหลักฐาน รวมทั้งปฏิบัติให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ภายใต้วัตถุประสงค์ที่ได้ระบุไว้ สถาบันอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลให้แก่บุคคลดังต่อไปนี้ ทั้งนี้ ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของสถาบันเป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับกิจกรรมหรือบริการ ที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้

(๑) หน่วยงานของรัฐหรือผู้มีอำนาจที่สถาบันต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น อาทิ หน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กรมการกงสุล กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น

(๒) คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของสถาบัน เช่น คณะอนุกรรมการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการสถาบันระหว่างประเทศเพื่อการค้าและการพัฒนา เป็นต้น

(๓) คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของสถาบัน เช่น บริษัทประกันภัย โรงพยาบาล ธนาคาร ผู้ให้บริการโทรศัพท์ เป็นต้น

(๔) พันธมิตรทางธุรกิจ โดยสถาบันอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแก่บุคคลที่ร่วมงานกับสถาบันเพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น หน่วยงาน ผู้ให้บริการที่เจ้าของข้อมูลส่วนบุคคลติดต่อผ่านบริการของสถาบัน ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น

(๕) สถาบันอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของ สถาบัน เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์ โกดังเอกสาร) ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น

(๖) สถาบันอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อสถาบัน สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของสถาบัน การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น

(๗) สถาบันอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น เช่น การดำเนินการที่กำหนดให้สถาบันต้องประกาศลงในราชกิจจานุเบกษาหรือมติคณะรัฐมนตรี เป็นต้น

ในบางกรณีสถาบันอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่ นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของสถาบันที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม

อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้ มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนี้ เมื่อสถาบันมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง สถาบันจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

(๑) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้สถาบันต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

(๒) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด

(๓) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับสถาบัน หรือเป็นการทำตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น

(๔) เป็นการกระทำตามสัญญาของสถาบันกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(๕) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(๖) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

สถาบันจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศ หรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว สถาบันจะทำการลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบหรือทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สถาบันขอสงวนสิทธิ์ในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

สถาบันอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของสถาบัน ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น สถาบันจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของสถาบัน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่สถาบันมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่สถาบันมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของสถาบันเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ สถาบันจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างสถาบันกับผู้ประมวลผลข้อมูลส่วนบุคคล

สถาบันมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคล ให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของสถาบันอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่

นอกจากนี้ เมื่อสถาบันมีการส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามภารกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น สถาบันจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล และการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่สถาบันเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

บริการของสถาบันอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ สถาบันขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ สถาบันไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซน์หรือบริการของบุคคลที่สาม

ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับสถาบันในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลยังคงใช้ได้จนกว่าเจ้าของข้อมูลส่วนบุคคลจะเพิกถอนความยินยอมเป็นลายลักษณ์อักษร โดยเจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการดำเนินกิจกรรมหรือบริการใด ๆ หรือทุกกิจกรรมหรือบริการของสถาบัน โดยส่งคำขอของเจ้าของข้อมูลส่วนบุคคลแจ้งให้สถาบันทราบเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์

นอกจากสิทธิดังกล่าวข้างต้น เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิในการดำเนินการ ดังต่อไปนี้

(๑) สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยการได้มา เจ้าของข้อมูลส่วนบุคคลมีสิทธิเข้าถึงข้อมูลส่วนบุคคลของตนและขอให้สถาบันทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงขอให้สถาบันเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อสถาบันได้

(๒) สิทธิในการขอรับข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูล ส่วนบุคคลจากสถาบัน ในกรณีสถาบันได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ

(๓) สิทธิในการคัดค้าน เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่สถาบันมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย เช่น สถาบันสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของสถาบัน

(๔) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบัน ลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

(๕) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของในกรณี ดังต่อไปนี้

๕.๑ เมื่ออยู่ในช่วงเวลาที่สถาบันทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูล ส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน

๕.๒ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดย มิชอบด้วยกฎหมาย

๕.๓ เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่สถาบันได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้สถาบันเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย

๕.๔ เมื่ออยู่ในช่วงเวลาที่สถาบันกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(๖) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน หากเจ้าของข้อมูลส่วนบุคคลพบว่า ข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้

(๗) สิทธิในการขอรับ ส่ง หรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากสถาบันในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป ได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้สถาบันส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด

(๘) สิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่สถาบันในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีผลใช้บังคับ เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านถูกเก็บรักษาโดยสถาบัน เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้ สถาบันจำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างท่านกับสถาบันที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่

(๙) สิทธิในการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่สถาบันหรือผู้ประมวลผลข้อมูลส่วนบุคคลของสถาบัน ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของ สถาบัน (สำหรับเจ้าหน้าที่หรือผู้ปฏิบัติงานของสถาบัน) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีต่อ สถาบัน และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่าสถาบันมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว สถาบันขอให้เจ้าของข้อมูลส่วนบุคคลโปรดติดต่อมายังสถาบัน เพื่อให้สถาบันมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของเจ้าของข้อมูลส่วนบุคคลก่อนในโอกาสแรก

สถาบันอาจพิจารณาปรับปรุง แก้ไข หรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้ท่านทราบผ่านช่องทางเว็บไซต์ www.itd.or.th โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี สถาบันขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ ผ่านแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่สถาบันดำเนินการ โดยเฉพาะก่อนที่ท่านจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่สถาบัน การเข้าร่วมกิจกรรมหรือใช้บริการของสถาบันภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยหรือข้อเสนอแนะเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลหรือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ สถาบันยินดีตอบข้อสงสัย และรับฟังข้อเสนอแนะ เพื่อประโยชน์ต่อการปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลและการให้บริการของสถาบันต่อไป โดยเจ้าของข้อมูลส่วนบุคคลสามารถติดต่อกับสถาบันได้ที่