สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการทุกท่านที่ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ผ่านทางเว็บไซด์ http://www.nstda.or.th และแบบฟอร์มต่าง ๆ ที่ทาง สวทช. กำหนด
1. ข้อมูลเบื้องต้น
(ก) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จัดทำขึ้นเพื่อบังคับใช้ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลในการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ของ สวทช.
(ข) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ใช้บังคับกับพนักงาน หรือพนักงานโครงการของ สวทช. ลูกจ้าง บริษัทที่ปรึกษา และบริษัทคู่สัญญา รวมถึงบุคคลที่ได้รับมอบหมาย หรือมีหน้าที่รับผิดชอบ หรือบุคคลที่ได้รับอนุญาตในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยการรวบรวม จัดเก็บ ใช้ เผยแพร่ หรือดำเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการนั้น ต้องปฏิบัติให้เป็นไปตามแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลในการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ของ สวทช.
(ค) ในกรณีที่ สวทช. ทำการเปลี่ยนแปลงวัตถุประสงค์ หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล สวทช. จะทำการแจ้งล่วงหน้าไปยังเจ้าของข้อมูลผู้ใช้บริการให้ทราบก่อน 30 วัน ผ่านทางเว็บไซด์ของ สวทช. หรือทางจดหมายอิเล็กทรอนิกส์ เว้นแต่มีกฎหมายกำหนดไว้เป็นอย่างอื่น
2. การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ
สวทช. มีการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ทั้งทางเว็บไซด์ http://www.nstda.or.th และกระดาษตามแบบที่ สวทช. กำหนด แล้วนำมาแปลงเป็นข้อมูลอิเล็กทรอนิกส์ หรือจัดเก็บโดยวิธีอื่น
(ก) การติดต่อระหว่างหน่วยงานรัฐ
สวทช. จะติดต่อไปยังผู้ใช้บริการ โดยทางโทรศัพท์ หรือทางอีเมลของหน่วยงานที่เกี่ยวข้องกับการให้บริการนั้น ทั้งนี้ ผู้ใช้บริการอาจแจ้งความประสงค์ให้ติดต่อโดยวิธีการอื่นใดมายัง สวทช. ได้
(ข) การใช้คุกกี้ (Cookies)
คุกกี้ (Cookies) หมายถึง ไฟล์ข้อมูลขนาดเล็กที่จะถูกส่งไปเก็บไว้ยังโปรแกรมค้นดูเว็บของผู้ใช้บริการ เพื่อเก็บข้อมูลที่ผู้ใช้บริการเข้าเยี่ยมชมไว้ เมื่อผู้ใช้บริการมีการเข้าไปเยี่ยมชมเว็บไซด์ต่าง ๆ อีกครั้งในภายหลัง โปรแกรมจะจดจำได้ว่า ผู้ใช้บริการเคยเข้าเยี่ยมชมแล้ว จนกว่าผู้ใช้บริการจะออกจากโปรแกรม หรือจนกว่าผู้ใช้บริการจะลบคุกกี้นั้น หรือไม่อนุญาตให้คุกกี้นั้นทำงานอีกต่อไป
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร
ในการให้บริการผ่านทางเว็บไซด์ สวทช. ไม่มีการเก็บรวบรวมข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูลที่สามารถระบุตัวตนได้
(ง) บันทึกผู้เข้าชมเว็บไซด์ (Log Files)
Log Files หมายถึง ไฟล์ข้อมูลจราจรคอมพิวเตอร์ เป็นข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ แสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวจ้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ การใช้บริการของ สวทช. ผ่านเว็บไซด์ http://www.nstda.or.th มีการเก็บบันทึกข้อมูลการเข้าออกและระหว่างในการเข้าใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูลที่ระบุตัวบุคคลได้ เช่น หมายเลขไอพี (IP Address) ซึ่งใช้เป็นข้อมูลที่เชื่อมโยงกลับไปที่ข้อมูลการเชื่อมต่ออินเทอร์เน็ต ซึ่งอาจระบุถึงแหล่งที่มาในการโพสต์หรือบุคคลที่โพสต์ได้ รวมถึงเว็บไซด์ที่เข้า – ออก ทั้งก่อนและหลัง และประเภทของโปรแกรมบราวเซอร์ (Browser) ทั้งนี้ เพื่อให้เป็นไปตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับความคอมพิวเตอร์ ประกาศสำนักงาน เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และระเบียบสำนักงานว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
(จ) สวทช. ระบุข้อมูลที่มีการจัดเก็บผ่านทางเว็บไซด์ว่าเป็นข้อมูลที่ประชาชนมีสิทธิเลือกว่า จะให้หรือไม่ให้ก็ได้
สวทช. มีเว็บไซด์ในการให้บริการ ซึ่งผู้ใช้บริการต้องให้ข้อมูลที่จำเป็นต่อการประมวลผลและการดำเนินการตามคำขอนั้น โดยจะระบุด้วยอักษรสีแดง หรือกำกับด้วยเครื่องหมายดอกจัน (*) และในส่วนของข้อมูลที่ผู้ใช้บริการมีสิทธิเลือกว่าจะให้ หรือไม่ให้ ก็ได้ ในกรณีที่ผู้ใช้บริการ ไม่ประสงค์จะให้ข้อมูลนั้นผ่านเว็บไซด์ ผู้ใช้บริการสามารถติดต่อกับสำนักงานโดยผ่านช่องทางอื่น ๆ ได้ เช่น จดหมายอิเล็กทรอนิกส์ โทรศัพท์ โทรสาร หรือเข้ามาติดต่อในสถานที่ทำการของสำนักงาน เป็นต้น
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
เว็บไซด์ของ สวทช. ไม่มีการเชื่อมโยงฐานข้อมูลส่วนบุคคลให้กับหน่วยงานหรือองค์กรอื่นใด
4. การรวมข้อมูลจากที่มาหลาย ๆ แห่ง
สวทช. จะไม่มีการนำข้อมูลส่วนบุคคลที่ได้รับมาจากผู้ใช้บริการผ่านทางเว็บไซด์ไปรวมกับข้อมูลที่ได้รับมาจากแหล่งที่มาอื่น ๆ
5. การให้บุคคลอื่นใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
สวทช. ไม่มีการอนุญาตให้บุคคลอื่นเข้าถึง หรือใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมาจากผู้ใช้บริการ เว้นแต่เป็นการอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายให้กระทำได้
6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
สวทช. จะรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลของผู้ใช้บริการภายใต้วัตถุประสงค์ในการเก็บรวบรวม โดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลผู้ใช้บริการ โดยผู้ขอใช้บริการมีสิทธิที่จะให้หรือไม่ให้ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
ในการรวบรวม จัดเก็บข้อมูลส่วนบุคคล สวทช. จะไม่จัดเก็บข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม เว้นแต่มีกฎหมายกำหนดให้กระทำได้ หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ในการใช้ และการเปิดเผยข้อมูลของผู้ใช้บริการ สวทช. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน เว้นแต่เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและเป็นกรณีที่ไม่สามารถขอความยินยอมในขณะนั้นได้ หรือเป็นการปฏิบัติตามสัญญาที่ทำระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมาย
7. การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
ผู้ใช้บริการมีสิทธิในการเข้าถึงและขอทำการแก้ไข หรือปรับปรุงข้อมูลส่วนบุคคลของต้นให้ถูกต้องเป็นปัจจุบัน และสมบูรณ์ได้ โดยกระทำผ่านทางเว็บไซด์
8. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สวทช. ได้กำหนดมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลไว้อย่างเหมาะสม โดยเป็นไปตามประกาศ สวทช. เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และระเบียบสำนักงานว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมทั้งการกำหนดมาตรการ ดังต่อไปนี้
(ก) การสร้างเสริมความสำนึกในความรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่ผู้ใช้บริการซึ่งเป็นบุคลากรของสำนักงาน โดยกำหนดให้มีการจัดสัมมนาหรือฝึกอบรมเพื่อเพิ่มพูนความรู้และสร้างความตระหนักในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้แก่บุคลากรของ สวทช. อย่างน้อยปีละ 1 ครั้ง
(ข) การกำหนดสิทธิและจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการซึ่งเป็นบุคลากรของสำนักงานในแต่ละระดับไว้อย่างชัดเจน และกำหนดให้มีการบันทึก รวมทั้งการสำรองข้อมูลในการเข้าถึงหรือการเข้าใช้งานข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด
(ค) กำหนดให้มีการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ หรือระบบสารสนเทศทั้งหมดของสำนักงานที่มีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคล อย่างน้อยปีละ 1 ครั้ง
(ง) กำหนดมาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญ หรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชน หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลไว้อย่างชัดเจน เช่น หมายเลขบัตรเดบิตหรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เชื้อชาติ ศาสนา เป็นต้น
(จ) กำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลของบุคคลที่มีอายุไม่เกิน 18 ปี โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลที่เกี่ยวข้องในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่มีอายุไม่เกิน 18 ปี นั้น ต้องพึงตระหนัก และใช้ความระมัดระวังมากขึ้นกว่าปกติ
9. การติดต่อกับเว็บไซต์
ในการให้บริการผ่านเว็บไซต์ของสำนักงาน ผู้ใช้บริการสามารถติดต่อได้ในช่องทาง ดังต่อไปนี้
สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ
ที่ตั้ง: เลขที่ 111 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน ตำบลคลองหนึ่ง อำเภอคลองหลวง จังหวัดปทุมธานี 12120
โทรศัพท์: 0 2564 7000
โทรสาร: 0 2564 7001-5
e-mail: info@nstda.or.th
0-2564-8000
