คำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ของระบบท้องถิ่นดิจิทัล
คำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) นี้จัดทำขึ้นเพื่อให้ผู้ใช้งานระบบท้องถิ่นดิจิทัล (“ซึ่งต่อไปในประกาศนี้ เรียกว่า “ผู้ใช้บริการ”) ได้ทราบและเข้าใจรูปแบบการเก็บรวบรวม ใช้ และเปิดเผย (“ประมวลผล”) ข้อมูลส่วนบุคคลที่ สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ “สพร.” ซึ่งต่อไปในประกาศนี้ เรียกว่า “ผู้ให้บริการ” ดำเนินการ โดยที่ ผู้ให้บริการเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมจากผู้ใช้บริการเพื่อการดำเนินการภายใต้ระบบท้องถิ่นดิจิทัลนี้
ทั้งนี้ ระบบท้องถิ่นดิจิทัลเป็นระบบสารสนเทศที่ผู้ให้บริการพัฒนาขึ้น เพื่อให้บริการแก่เจ้าหน้าที่ขององค์กรปกครองส่วนท้องถิ่นอันเป็นการสนับสนุนการดำเนินงานของหน่วยงานภาครัฐ ผู้ให้บริการมีการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ ดังนี้
1. ฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
ผู้ให้บริการดำเนินการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการภายใต้ฐาน ดังต่อไปนี้
1.1 ความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจสาธารณะหรือการใช้อำนาจรัฐในการให้บริการส่งเสริมและสนับสนุนการดำเนินงานของหน่วยงานรัฐเกี่ยวกับการพัฒนารัฐบาลดิจิทัล ทั้งนี้ เป็นไปตามพระราชกฤษฎีกาจัดตั้งสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) พ.ศ. 2561 มาตรา 8
1.2 ความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจสาธารณะหรือการใช้อำนาจรัฐในการอำนวยการและสนับสนุนการปฏิบัติงานตามพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 10 ทั้งนี้ เพื่อวัตถุประสงค์ที่กำหนดไว้ในมาตรา 4 คือ เพื่อให้การบริหารงานภาครัฐและการจัดทำบริการสาธารณะเป็นไปด้วยความสะดวกรวดเร็ว มีประสิทธิภาพ และตอบสนองต่อการให้บริการและการอำนวยความสะดวกแก่ประชาชนให้หน่วยงานของรัฐจัดให้มีการบริหารงานและการจัดทำบริการสาธารณะในรูปแบบและช่องทางดิจิทัล โดยมีการบริหารจัดการและการบูรณาการข้อมูลภาครัฐและการทำงานให้มีความสอดคล้องกันและเชื่อมโยงเข้าด้วยกันอย่างมั่นคงปลอดภัยและมีธรรมาภิบาล โดยมุ่งหมายในการเพิ่มประสิทธิภาพและอำนวยความสะดวกในการให้บริการและการเข้าถึงของประชาชน และในการเปิดเผยข้อมูลภาครัฐต่อสาธารณะและสร้างการมีส่วนร่วมของทุกภาคส่วน
ผู้ให้บริการได้รับความยินยอมจากผู้ใช้บริการ (Consent)
2. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของผู้ให้บริการ
3. ข้อมูลส่วนบุคคลที่ผู้ให้บริการเก็บรวบรวมและใช้
เพื่อวัตถุประสงค์ตามที่ได้แจ้งในข้อ 2 ผู้ให้บริการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการดังรายการต่อไปนี้
4. การเปิดเผยข้อมูลส่วนบุคคล
ผู้ให้บริการจะเก็บรักษาข้อมูลส่วนบุคคลของผู้ให้บริการไว้เป็นความลับ และจะไม่ทำการเปิดเผย เว้นแต่
- กรณีที่ผู้ให้บริการมีความจำเป็นเพื่อให้สามารถบรรลุวัตถุประสงค์ในการรักษาความปลอดภัยของอุปกรณ์ ระบบ และข้อมูลสำคัญเฝ้าระวังสังเกตการณ์ตามที่ได้ระบุในคำประกาศฉบับนี้ ผู้ให้บริการอาจเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการแก่ประเภทของบุคคลหรือนิติบุคคล ดังต่อไปนี้หน่วยงานภายนอกที่ให้บริการแก่ผู้ให้บริการ เช่น การส่ง SMS การส่งอีเมล เป็นต้น
- หน่วยงานองค์กรปกครองส่วนท้องถิ่น
- หน่วยงานภายนอกที่ให้การสนับสนุนกิจกรรมของผู้ให้บริการ โดยเฉพาะในกรณีที่ผู้ใช้บริการเป็นผู้มีส่วนได้เสียที่ได้รับการลงทะเบียนในระบบจดแจ้งหรือหากผู้ใช้บริการลงทะเบียนด้วยตัวเองในระบบท้องถิ่นดิจิทัล ข้อมูลทั้งหมดของผู้ใช้บริการจะถูกเก็บรวบรวมไว้ในระบบ Digital ID ซึ่งการเข้าถึงจะกระทำได้ต่อเมื่อมีการร้องขอจากผู้มีอำนาจในการเข้าถึงข้อมูลเท่านั้น
5. สิทธิตาม พระราชบัญญัติครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อให้ข้อมูลส่วนบุคคลของผู้ใช้บริการอยู่ในความควบคุมของผู้ใช้บริการได้มากขึ้น โดยผู้ใช้บริการสามารถใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีรายละเอียดดังต่อไปนี้
5.1 สิทธิในการถอนความยินยอม (Right to withdraw consent)
- เมื่อผู้ใช้บริการให้ความยินยอมกับผู้ให้บริการเพื่อวัตถุประสงค์อย่างหนึ่งอย่างใดโดยเฉพาะ ผู้ใช้บริการมีสิทธิถอนความยินยอมเมื่อใดก็ได้ เว้นแต่เป็นกรณีที่มีข้อจำกัดสิทธิตามกฎหมาย หรือการที่ให้ความยินยอมเกี่ยวข้องกับสัญญาที่ให้ประโยชน์แก่ผู้ใช้บริการ
- ผู้ใช้บริการมีสิทธิถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมกับผู้ให้บริการได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของอยู่กับผู้ให้บริการ กรุณาติดต่อผู้ให้บริการหากต้องการ
- หากการถอนความยินยอมของผู้ใช้บริการทำให้ผู้ให้บริการอาจไม่สามารถมอบผลิตภัณฑ์หรือบริการบางอย่างให้ได้ ผู้ให้บริการจะแจ้งให้ทราบถึงรายละเอียดดังกล่าว
5.2 สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (Right to Access)
- ผู้ใช้บริการมีสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลของตน และขอให้ผู้ให้บริการทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่ผู้ใช้บริการ
5.3 สิทธิในการโอนข้อมูลส่วนบุคคล (Right to Data Portability)
– ในกรณีที่ผู้ให้บริการได้จัดทำข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ ผู้ใช้บริการมีสิทธิดังนี้
- ขอให้ผู้ให้บริการส่งหรือโอนข้อมูลส่วนบุคคลของผู้ใช้บริการในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- ขอรับข้อมูลส่วนบุคคลที่ผู้ให้บริการส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
5.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object)
- ผู้ใช้บริการมีสิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนด้วยเหตุบางประการได้
5.5 สิทธิในการขอให้ลบข้อมูลส่วนบุคคล (Right to Erasure)
- ผู้ใช้บริการมีสิทธิในการขอให้ผู้ให้บริการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของตนให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
5.6 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
- ผู้ใช้บริการมีสิทธิในการขอให้ผู้ให้บริการระงับการใช้ข้อมูลส่วนบุคคลของตนด้วยเหตุบางประการได้
5.7 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)
- ผู้ใช้บริการมีสิทธิในการขอให้ผู้ให้บริการแก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน และสมบูรณ์ได้ โดยผู้ให้บริการจะดำเนินการตรวจสอบและแก้ไขให้ถูกต้อง
- ในกรณีที่ผู้ใช้บริการขอแก้ไขข้อมูลส่วนบุคคลบางอย่างที่ผู้ให้บริการพิจารณาแล้วว่ามีความจำเป็นต้องยืนยันตัวตนเพิ่มเติม ผู้ให้บริการจะขอเอกสารและ/หรือข้อมูลเพิ่มเติม
อย่างไรก็ดี ในบางกรณีการใช้สิทธิของผู้ใช้บริการอาจถูกจำกัด หรืออาจถูกปฏิเสธการใช้สิทธิได้ ทั้งนี้เท่าที่เป็นไปตามบทบัญญัติใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
6. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ไม่มีการส่งหรือโอนข้อมูลส่วนบุคคลของผู้ใช้บริการไปยังต่างประเทศไม่ว่าในกรณีใดๆ
7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
ผู้ให้บริการเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการ ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
ทั้งนี้ เมื่อพ้นระยะเวลาดังกล่าว ผู้ให้บริการจะทำการ
- ลบ ทำลายเมื่อหมดความจำเป็นในการใช้ข้อมูลส่วนบุคคลนั้น หรือ
- ทำให้ข้อมูลส่วนบุคคลของผู้ใช้บริการไม่สามารถระบุตัวตนได้เพื่อการใช้ประโยชน์ด้านอื่น เช่น การวิเคราะห์ทางสถิติ การปรับปรุงประสิทธิภาพการทำงาน หรือประโยชน์สาธารณะที่สำคัญ
กรณีองค์กรปกครองส่วนท้องถิ่น ขอยกเลิกการใช้บริการ ผู้ให้บริการจะเก็บข้อมูลไว้เป็นระยะเวลา 90 วัน หลังจากนั้นระบบจะลบข้อมูลทั้งหมดอย่างถาวร และไม่สามารถกู้คืนข้อมูลได้
8. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
เพื่อเป็นการปกป้องคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานระบบให้มีความมั่นคงปลอดภัย และป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิเข้าถึงข้อมูล รวมถึงรักษาความถูกต้องของข้อมูล ผู้ใช้บริการจะต้องไม่เปิดเผยรหัสผ่านให้กับบุคคลภายนอกทราบ หากผู้ใช้บริการได้มีการแบ่งปันหรือเปิดเผยรหัสผ่านหรือข้อมูลส่วนบุคคลของผู้ใช้งานระบบให้กับบุคคลอื่น หรือแม้ว่าในกรณีใด ๆ ที่ผู้ใช้บริการไม่สามารถรักษาความลับในรหัสผ่านส่วนตัวหรือไม่สามารถควบคุมการใช้งานของรหัสผ่านของผู้ใช้งานระบบได้ ผู้ใช้บริการจะต้องเป็นผู้รับผิดชอบสำหรับการกระทำใด ๆ ที่เกิดขึ้นภายใต้ชื่อหรือบัญชีของผู้ใช้บริการ โดยถือว่าเป็นการกระทำโดยผู้ใช้บริการเองและต้องรับผิดตามกฎหมายในฐานะที่เป็นเจ้าของบัญชี
ทั้งนี้ ผู้ให้บริการ ขอให้ข้อมูลกับผู้ใช้บริการระบบว่า ปัจจุบันยังไม่มีวิธีการรับส่งข้อมูลทางอิเล็กทรอนิกส์หรือวิธีการจัดเก็บข้อมูลที่สมบูรณ์แบบหรือไม่มีช่องโหว่ที่ไม่สามารถผ่านเข้าไปได้ ประกอบกับอาจมีบุคคลภายนอกที่พยายามดักข้อมูลหรือทำการใด ๆ เพื่อเข้าถึงข้อมูลระหว่างการส่งข้อมูลหรือเข้ามาในระบบของผู้ใช้บริการระบบหรือของ ผู้ให้บริการ อย่างไม่มีสิทธิตามกฎหมาย และบุคคลดังกล่าวอาจนำข้อมูลส่วนบุคคลของผู้ใช้บริการระบบไปใช้อย่างไม่ถูกต้อง
อย่างไรก็ดี ผู้ให้บริการมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันมิให้ข้อมูลสูญหาย หรือมีการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) ของผู้ให้บริการ
ผู้ให้บริการกำหนดให้เจ้าหน้าที่เฉพาะผู้ที่มีอำนาจหน้าที่เกี่ยวข้องในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของระบบท้องถิ่นดิจิทัลเท่านั้น ที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการได้ โดยผู้ให้บริการขอรับรองว่าได้แจ้งให้เจ้าหน้าที่ดังกล่าวปฏิบัติตามประกาศนี้อย่างเคร่งครัด
9. การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล
ผู้ให้บริการจะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลก็ต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดยส่งคำร้องขอผ่าน DGA Contact Center ทางหมายเลขโทรศัพท์ 02-612-6060 หรือไปรษณีย์อิเล็กทรอนิกส์ contact@dga.or.th
ในกรณีที่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมายมีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด ๆ เช่น การแจ้งดำเนินการปรับปรุงแก้ไขข้อมูลส่วนบุคคล
ผู้ให้บริการจะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย
ทั้งนี้ ผู้ให้บริการอาจปฏิเสธสิทธิตามวรรคสองได้ตามกรณีที่กฎหมายกำหนด หรือในกรณีที่ข้อมูลส่วนบุคคลของผู้ใช้บริการระบบถูกทำให้ไม่ปรากฏชื่อหรือสิ่งบอกลักษณะอันสามารถระบุตัวผู้ใช้บริการระบบนั้นได้
10. การเปลี่ยนแปลงแก้ไขคำประกาศเกี่ยวกับความเป็นส่วนตัว
ในการปรับปรุงหรือเปลี่ยนแปลงประกาศนี้ ผู้ให้บริการอาจพิจารณาแก้ไขเปลี่ยนแปลงตามที่ผู้ให้บริการเห็นสมควร และจะทำการแจ้งให้ผู้ใช้บริการทราบผ่านทางหน้าเว็บไซต์ หรือช่องทางอื่นที่ผู้ให้บริการเห็นสมควร หรือผ่านทางผู้ดูแลระบบของหน่วยงานของผู้ใช้บริการระบบ โดยมีวันที่ของเวอร์ชันล่าสุดกำกับอยู่ตอนท้าย ผู้ให้บริการขอแนะนำให้ผู้ใช้บริการโปรดตรวจสอบเพื่อรับทราบประกาศฉบับใหม่อย่างสม่ำเสมอ
ในการเข้าใช้บริการระบบท้องถิ่นดิจิทัลของผู้ใช้บริการ ถือเป็นการรับทราบตามข้อตกลงในประกาศนี้ หากผู้ใช้บริการระบบไม่เห็นด้วยกับข้อตกลงในประกาศนี้ โปรดหยุดการใช้งาน หากผู้ใช้บริการไม่เห็นด้วยกับข้อตกลงในฉบับนี้ และยังคงใช้งานภายหลังจากที่ประกาศนี้มีการแก้ไขและนำขึ้นประกาศในเว็บไซต์หรือระบบท้องถิ่นดิจิทัลแล้ว ให้ถือว่าผู้ใช้บริการได้รับทราบการเปลี่ยนแปลงดังกล่าวแล้ว
11. การติดต่อสอบถาม
ผู้ใช้บริการสามารถติดต่อสอบถามเกี่ยวกับประกาศฉบับนี้ได้ที่
11.1 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ชื่อ: สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
สถานที่ติดต่อ: อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (TIJ) ชั้น ๔ เลขที่ ๙๙๙ ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ ๑๐๒๑๐
ช่องทางการติดต่อ: โทรศัพท์ 0-2612-6060
e-mail : contact@dga.or.th
11.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
ชื่อ: สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน)
สถานที่ติดต่อ : อาคารสถาบันเพื่อการยุติธรรมแห่งประเทศไทย (TIJ) ชั้น ๔ เลขที่ ๙๙๙ ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ ๑๐๒๑๐
ช่องทางการติดต่อ : โทรศัพท์ 0-2612-6060
e-mail : contact@dga.or.th