นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
(PrivacyPolicy)
สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก รวมถึงมาตรการกำกับดูแลเกี่ยวกับการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลสำหรับใช้ในการดำเนินงานภายในสถาบันให้สอดคล้องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๑. คำนิยาม
“สถาบัน” หมายความว่า สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
“บุคคล” หมายความว่า บุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่กฎหมายกำหนด
๒. แหล่งที่มาและการเก็บรวบรวมข้อมูลส่วนบุคคล
สถาบันอาจได้ข้อมูลส่วนบุคคลดังต่อไปนี้ ไม่ว่าจะเป็นวิธีการเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงหรือโดยอ้อมก็ตาม ซึ่งได้มาจากการใช้บริการ การให้บริการ การเข้าร่วมกิจกรรม หรือการปฏิบัติงานตามภารกิจของสถาบัน
๒.๑ ข้อมูลส่วนบุคคลที่บ่งชี้ตัวตน เช่น ชื่อ นามสกุล หน่วยงานที่สังกัดอยู่ อีเมล์ หมายเลขโทรศัพท์ สถานที่ติดต่อ ชื่อบัญชีสำหรับการติดต่อสื่อสารในเครือข่ายสังคมออนไลน์ ภาพถ่าย ทั้งนี้รวมถึงข้อมูลที่เกี่ยวข้องกับการทำงานและการศึกษา ข้อมูลส่วนบุคคลอ่อนไหว และข้อมูลส่วนบุคคลของบุคคลในครอบครัวของเจ้าของข้อมูลส่วนบุคคลนั้นด้วย
๒.๒ ข้อมูลจราจรทางคอมพิวเตอร์ เป็นข้อมูลทางเทคนิคซึ่งถูกจัดเก็บโดยอัตโนมัติ ไม่ว่าจะผ่านทางการใช้คุกกี้ (Cookies) เว็บบีคอน (Web beacons) และไฟล์ข้อมูลจราจรทางคอมพิวเตอร์ (log files) หรือข้อมูลอื่นใด รวมถึง
• ข้อมูลการตั้งค่า (Configuration Information) ที่ถูกกำหนดขึ้นโดยเว็บเบราว์เซอร์ หรือโปรแกรมอื่นใดที่ได้ใช้เพื่อเข้าสู่บริการรูปแบบอิเล็กทรอนิกส์ของสถาบัน รวมถึง IP Address, เวอร์ชั่นและหมายเลขเครื่องของอุปกรณ์สื่อสาร
• ข้อมูลที่ได้จากการค้นหาหรือตรวจดูในขณะที่ใช้บริการในรูปแบบอิเล็กทรอนิกส์ของสถาบัน เช่น ข้อความที่ใช้ในการค้นหา รายละเอียดของข้อมูลต่าง ๆ และเนื้อหาที่เข้าถึง
การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว สถาบันจะกำหนดรายการที่จะเก็บรวบรวมตามความจำเป็นและเหมาะสมต่อการประมวลผลข้อมูลส่วนบุคคล และตามบริบทของการใช้บริการ การให้บริการ การเข้าร่วมกิจกรรม หรือการปฏิบัติงานตามภารกิจของสถาบัน โดยแต่ละกรณีดังกล่าวจะดำเนินการผ่านทางคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)
๓. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่สถาบันเก็บรวบรวมจะนำไปใช้ในการประมวลผลข้อมูลส่วนบุคคลตามกรอบวัตถุประสงค์ ดังต่อไปนี้
๓.๑ เพื่อใช้ในการปฏิบัติงานตามภารกิจของสถาบัน ซึ่งกำหนดไว้ในวัตถุประสงค์การจัดตั้งสถาบันตามพระราชกฤษฎีกาจัดตั้งสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) พ.ศ. ๒๕๖๒ หรือกฎหมายอื่น ที่เกี่ยวข้องกับภารกิจของสถาบันและให้อำนาจแก่สถาบันในการดำเนินการ
๓.๒ เพื่อให้สถาบันและคู่สัญญาสามารถปฏิบัติตามสัญญาที่ตกลงกันไว้ได้
๓.๓ เพื่อใช้ในบริการหรือกิจกรรมที่กฎหมายกำหนดให้ขอความยินยอมจากเข้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้งแล้ว
๓.๔ เพื่อใช้ในการปฏิบัติตามกฎหมายที่เกี่ยวข้องหรือเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การส่งรายชื่อและข้อมูลการติดต่อผู้มีส่วนได้ส่วนเสียภายนอกของสถาบันให้แก่สำนักงาน ป.ป.ช. เพื่อทำการประเมินคุณธรรมและความโปร่งใสในการดำเนินงานของสถาบัน , การติดกล้อง CCTV ภายในพื้นที่ทำการของสถาบันเพื่อการรักษาความปลอดภัย , การปฏิบัติตามคำสั่งศาล , การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐
๓.๕ เพื่อใช้ในการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
๓.๖ เพื่อใช้ในการจัดทำเอกสารประวัติศาสตร์ การทำจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัย และการจัดทำสถิติ
วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว สถาบันจะระบุไว้ในคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ตามบริบทของการใช้บริการ การให้บริการ การเข้าร่วมกิจกรรม หรือการปฏิบัติงานตามภารกิจของสถาบัน
๔. การประมวลผลข้อมูลส่วนบุคคล
สถาบันจะดำเนินการประมวลผลข้อมูลส่วนบุคคล โดยกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูล ส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติ เช่น
– การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลง หรือปรับเปลี่ยน
– การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน
– การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
ทั้งนี้ให้เป็นไปตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลและที่กำหนดไว้ในคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ตามบริบทของการใช้บริการ การเข้าร่วมกิจกรรม หรือการปฏิบัติงานตามภารกิจของสถาบันนั้น
ในกรณีที่สถาบันมีความประสงค์ในการประมวลผลข้อมูลส่วนบุคคลเพื่อการอื่นนอกเหนือจากวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่ได้แจ้งไว้ สถาบันจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลดังกล่าวทราบและให้ความยินยอมอย่างชัดแจ้ง ก่อนที่จะดำเนินการใด ๆ กับข้อมูลส่วนบุคคลนั้น
๕. การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
สถาบันจะดำเนินการเก็บรักษาข้อมูลส่วนบุคคลตามมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่กฎหมายกำหนด เพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิสามารถเข้าถึงข้อมูลส่วนบุคคลได้ และเป็นการป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย หรือมีการเข้าถึงข้อมูลส่วนบุคคลเพื่อใช้ ทำลาย เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
ทั้งนี้ สถาบันจะดำเนินการเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายเกี่ยวกับข้อมูลส่วนบุคคลนั้นกำหนดไว้ หรือตามที่กำหนดไว้ในคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ตามบริบทของการใช้บริการ การเข้าร่วมกิจกรรม หรือการปฏิบัติงานตามภารกิจของสถาบันนั้น
๖. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
๖.๑ สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) เจ้าของข้อมูลส่วนบุคคล มีสิทธิเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไว้แก่สถาบันได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของตนอยู่ภายใต้การดูแลของสถาบัน ทั้งนี้ การเพิกถอนความยินยอมจะไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไว้แล้ว
อย่างไรก็ดี สิทธิในการเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคลอาจมีข้อจำกัดสิทธิได้ หากสถาบันใช้ข้อมูลส่วนบุคคลนั้นโดยฐานกฎหมายหรือฐานสัญญา
๖.๒ สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิเข้าถึงข้อมูลส่วนบุคคลของตน และขอให้สถาบันทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงขอให้สถาบันเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อสถาบันได้
๖.๓ สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้สถาบันแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง หรือเพิ่มเติมข้อมูลส่วนบุคคลที่ไม่สมบูรณ์
๖.๔ สิทธิในการลบข้อมูลส่วนบุคคล (right to erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้สถาบันทำการลบข้อมูลส่วนบุคคลของตนด้วยเหตุบางประการได้
๖.๕ สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิระงับการใช้ข้อมูลส่วนบุคคลของตนด้วยเหตุบางประการได้
๖.๖ สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) เจ้าของข้อมูลส่วนบุคคล มีสิทธิให้สถาบันโอนย้ายข้อมูลส่วนบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับสถาบันไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้
๖.๗ สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนด้วยเหตุบางประการได้
๗. การใช้คุ้กกี้ (Cookies)
การใช้บริการในรูปแบบอิเล็กทรอนิกส์ของสถาบัน อาจมีการใช้คุ้กกี้หรือเทคโนโลยีอื่นในลักษณะเดียวกัน เพื่อเพิ่มมาตรการด้านความมั่นคงปลอดภัย และสามารถรักษาค่าการใช้งาน (session) เมื่อมีการใช้บริการในรูปแบบอิเล็กทรอนิกส์ของสถาบัน รวมถึงช่วยจดจำข้อมูลเกี่ยวกับเบราว์เซอร์และการตั้งค่าของ ผู้ที่เข้าใช้บริการในรูปแบบอิเล็กทรอนิกส์ของสถาบันด้วย ซึ่งผู้ที่เข้าใช้บริการในรูปแบบอิเล็กทรอนิกส์ของสถาบันสามารถที่จะยอมรับหรือไม่ยอมรับคุกกี้ก็ได้ โดยสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser)
๘. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
สถาบันมีสิทธิที่จะพิจารณาดำเนินการการปรับปรุงหรือเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อให้นโยบายการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับแนวปฏิบัติและกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยสถาบันจะทำการแจ้งให้ทราบผ่านทางเว็บไซต์ของสถาบันหรือช่องทางอื่นใด ที่สถาบันเห็นสมควร
๙. ช่องทางการติดต่อ
สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
ที่อยู่ : เลขที่ ๙๐๑ ถนนงามวงศ์งาน แขวงลาดยาว เขตจตุจักร กรุงเทพมหานคร ๑๐๙๐๐
หมายเลขโทรศัพท์ : ๐ ๒๑๕๘ ๐๙๐๑
หมายเลขโทรสาร : ๐ ๒๑๕๘ ๐๙๑๐
จดหมายอิเล็กทรอนิกส์ : dpo@hii.or.th