นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

ประกาศมูลนิธิเพื่อการประเมินเทคโนโลยีและนโยบายด้านสุขภาพ

เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

—————————————————————————————————————

1. บทนำ

มูลนิธิเพื่อการประเมินเทคโนโลยีและนโยบายด้านสุขภาพ (ต่อไปในนโยบายนี้เรียกว่า “มูลนิธิ”)ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล (รวมเรียกว่า “ข้อมูล”) เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่า มูลนิธิมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พระราชบัญญัติ”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยมูลนิธิ รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของมูลนิธิโดยมีเนื้อหาสาระดังต่อไปนี้

2. ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับมูลนิธิ ในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยมูลนิธิ นักวิจัย พนักงานตามสัญญา เจ้าหน้าที่หรือผู้ปฏิบัติงานของมูลนิธิ ผู้ติดต่อ ผู้เยี่ยมชม และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของมูลนิธิ (“ผู้ประมวลผลข้อมูลส่วนบุคคล”)

นอกจากนโยบายฉบับนี้แล้ว มูลนิธิอาจกำหนดให้มีประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับกิจกรรมหรือบริการของมูลนิธิ เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรมหรือบริการนั้นเป็นการเฉพาะเจาะจง

ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น

3. คำนิยาม

– มูลนิธิ หมายถึง มูลนิธิเพื่อการประเมินเทคโนโลยีและนโยบายด้านสุขภาพ

– ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

– ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติ ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

– การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น

– เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ มูลนิธิ เก็บรวบรวม ใช้ หรือเปิดเผย

– ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

– ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

– หน่วยงานกำกับดูแล หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือหน่วยงานผู้กำกับดูแลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศซึ่งมีอำนาจกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของมูลนิธิตามกฎหมาย

– คุกกี้ (Cookies) หมายถึง ข้อมูลอิเล็กทรอนิกส์เกี่ยวกับการเข้าถึงเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคล ที่เว็บไซต์เครื่องแม่ข่ายส่งไปเก็บไว้ในเครื่องคอมพิวเตอร์ที่เจ้าของข้อมูลส่วนบุคคล เพื่อช่วยให้เว็บไซต์สามารถจดจำข้อมูลการเข้าเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคลได้ และให้หมายความรวมถึงเทคโนโลยีอื่นที่มีลักษณะเดียวกับคุกกี้ด้วย

ทั้งนี้ คำศัพท์ใด ๆ ที่ไม่ได้กำหนดคำนิยามไว้ในนโยบายฉบับนี้ให้เป็นไปตามนิยามที่พระราชบัญญัติกำหนดไว้

4. ประเภทของข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวม

มูลนิธิอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ ซึ่งรวมถึงข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลอ่อนไหว ทั้งนี้ ขึ้นอยู่กับบริการหรือกิจกรรม ตลอดจนบริบทความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีกับมูลนิธิ รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของมูลนิธิเป็นการทั่วไป

ประเภทข้อมูลส่วนบุคคล

– ข้อมูลเฉพาะตัวบุคคล

รายละเอียดจากเอกสารที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูลส่วนบุคคล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ วันเดือนปีเกิด เลขที่บัตรประจำตัวประชาชน ภาพถ่ายบัตรประจำตัวประชาชน สัญชาติ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขใบอนุญาตใด ๆ หมายเลขประจำตัวผู้ประกันตน เป็นต้น

– ข้อมูลเกี่ยวกับสถานะและคุณลักษณะของบุคคล

ข้อมูลรายละเอียดเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เช่น เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย เสียง ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น

– ข้อมูลสำหรับการติดต่อ

ข้อมูลเพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคล เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (LINE ID, MS Teams) แผนที่ตั้งของที่พัก เป็นต้น

– ข้อมูลเกี่ยวกับการทำงานและการศึกษา

รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น

– ข้อมูลเกี่ยวกับการเงิน

รายละเอียดเกี่ยวกับการชำระหรือจ่ายเงิน เช่น ข้อมูลหมายเลขบัญชีและรายละเอียดของธนาคาร ข้อมูลธุรกรรมที่มีกับมูลนิธิ ใบเสร็จการชำระเงิน เอกสารยืนยันการชำระเงิน ใบสำคัญรับเงินรหัสประจำตัวผู้เสียภาษี ใบกำกับภาษี เอกสารทางภาษี เป็นต้น

– ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย

รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น

– ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม

ข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูลส่วนบุคคล เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ตำแหน่งทางวิชาการ ความสัมพันธ์กับผู้ปฏิบัติงานของมูลนิธิ ข้อมูลการเป็นผู้มีสัญญาจ้างกับมูลนิธิ ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับมูลนิธิ เป็นต้น

– ข้อมูลส่วนบุคคลอ่อนไหว (sensitive personal data)

ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ข้อมูลพันธุกรรม  ข้อมูลชีวภาพ (อาทิ ข้อมูลจำลองลายนิ้วมือ) ข้อมูลเกี่ยวกับสุขภาพ พฤติกรรมทางสุขภาพ ค่าใช้จ่ายเกี่ยวกับสุขภาพ เป็นต้น

– ข้อมูลทางเทคนิค

รายละเอียดทางเทคนิคเกี่ยวกับข้อมูลอุปกรณ์เครื่องมือหรือที่ได้รับจากอุปกรณ์เครื่องมือหรือการใช้บริการช่องทางออนไลน์ของมูลนิธิ เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลบันทึกต่าง ๆ ที่ใช้ตรวจสอบกิจกรรม ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของมูลนิธิ เช่น www.hitap.net) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน ข้อมูลทางเทคนิคอื่น ๆ จากการใช้งานบนแพลตฟอร์มและระบบปฏิบัติการ เป็นต้น

– ข้อมูลเกี่ยวกับการรักษาความปลอดภัย

ข้อมูลที่ใช้เพื่อการดูแลรักษาความปลอดภัยของมูลนิธิรวมถึงบุคคลอื่น ๆ เช่น ภาพถ่ายหรือภาพเคลื่อนไหวผ่านกล้องวงจรปิด ลักษณะรูปพรรณสัณฐาน ข้อมูลพฤติกรรมหรือกิจกรรมที่ผิดปกติหรือต้องสงสัย เป็นต้น

– ข้อมูลเกี่ยวกับการวิจัยหรือการจัดกิจกรรม

ข้อมูลที่ได้รับจากบุคคลเมื่อเข้าร่วมเป็นอาสาสมัครในงานวิจัยหรือเข้าร่วมกิจกรรมอบรม สัมมนา สัมภาษณ์ หรือ การประชุมของมูลนิธิ ตลอดจนข้อมูลที่มูลนิธิได้มาจากการดำเนินงานวิจัยหรือการจัดกิจกรรมดังกล่าว ซึ่งครอบคลุมถึงข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลอ่อนไหวตามที่ระบุไว้ข้างต้น

5. ประเภทเจ้าของข้อมูลส่วนบุคคล

มูลนิธิประมวลผลข้อมูลส่วนบุคคล ตามประกาศความเป็นส่วนตัว (Privacy Notice) แต่ละฉบับ ซึ่งแยกตามประเภทของเจ้าของข้อมูลส่วนบุคคล และแยกตามกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้

ประเภทเจ้าของข้อมูลส่วนบุคคล

– พนักงานของมูลนิธิ หมายถึง ลูกจ้างหรือบุคคลซึ่งทำงานหรือปฏิบัติหน้าที่ใด ๆ ให้กับมูลนิธิ และได้รับเงินเดือน ค่าจ้าง สวัสดิการ หรือค่าตอบแทนจากมูลนิธิ โดยมูลนิธิมีอำนาจบังคับบัญชาเหนือตัวบุคคลดังกล่าว เช่น การประเมินประจำปี การออกข้อบังคับหรือระเบียบการทำงานและการควบคุมดูแลให้ปฏิบัติตาม ตัวอย่างเช่น เลขาธิการ หัวหน้าโครงการ หัวหน้าฝ่าย พนักงาน บุคลากร หรือบุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน และให้หมายความรวมถึงบุคคลที่เกี่ยวข้องกับบุคลากรของมูลนิธิ และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับกระบวนการรับสมัครงาน เช่น บุคคลในครอบครัว บิดา มารดา คู่สมรส และบุตร บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง (Reference Person) ผู้รับผลประโยชน์ เป็นต้น

โปรดดู ประกาศความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน

– ผู้ให้บริการหรือคู่สัญญา หมายถึง บุคคลธรรมดา ตัวแทนของนิติบุคคล เช่น กรรมการ ผู้มีอำนาจลงนาม ผู้รับมอบอำนาจ ผู้รับมอบอำนาจช่วง ผู้ปฏิบัติงาน พนักงาน และลูกจ้างของนิติบุคคลที่ได้เข้าร่วม หรือจะเข้าร่วมทำธุรกรรมต่าง ๆ กับมูลนิธิ และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้อง รวมถึงบุคคลที่เข้าเสนอราคาเพื่อขายสินค้า และ/หรือให้บริการแก่มูลนิธิ อาทิ ผู้ให้บริการ ที่ปรึกษา ผู้เชี่ยวชาญ นักวิชาการ วิทยากร คู่สัญญา หรือมีความสัมพันธ์อื่นใดที่มีลักษณะคล้ายคลึงกันกับมูลนิธิ เป็นต้น

โปรดดู ประกาศความเป็นส่วนตัวสำหรับผู้ให้บริการหรือคู่สัญญา

– ผู้สมัครงาน หมายถึง บุคคลที่ได้ยื่นใบสมัครงาน/สมัครฝึกงาน หรือบุคคลอื่นใดที่ส่งรายละเอียดเกี่ยวกับประวัติส่วนตัวมาที่มูลนิธิ มีวัตถุประสงค์เพื่อสมัครงาน/สมัครฝึกงาน เป็นพนักงานประจำ หรือพนักงานไม่เต็มเวลา และให้หมายความรวมถึงพนักงานที่อยู่ภายใต้การจ้างงานของผู้ให้บริการจัดหางาน outsource/ผู้ฝึกงาน ซึ่งยังไม่ได้รับคัดเลือกจากมูลนิธิ และบุคคลที่เกี่ยวข้องกับผู้สมัคร และผู้ที่ข้อมูลส่วนบุคคลปรากฏในเอกสารต่าง ๆ ที่เกี่ยวข้องกับการสมัคร เช่น บุคคลในครอบครัว บุคคลอ้างอิง และบุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน เป็นต้น

โปรดดู ประกาศความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน

– ผู้ถูกบันทึกภาพ CCTV หมายถึง บุคคลที่เดินผ่าน หรือบุคคลที่เข้ามาในพื้นที่มูลนิธิ รวมถึงบุคคลที่อยู่ในบริเวณที่กล้องวงจรปิด (CCTV) ของมูลนิธิกำลังทำงาน

โปรดดู ประกาศความเป็นส่วนตัวสำหรับกล้องวงจรปิด

– ผู้เข้าร่วมกิจกรรม หมายถึง ผู้เข้าร่วมกิจกรรมหรืองานวิจัยต่าง ๆ ของมูลนิธิ หรือผู้ลงทะเบียน ผู้เข้าร่วมอบรม สัมมนา ผู้ให้สัมภาษณ์เพื่อดำเนินงานวิจัย รวมถึง บุคคลอื่นใดที่มีลักษณะคล้ายคลึงกัน เป็นต้น

โปรดดู ประกาศความเป็นส่วนตัวสำหรับการจัดกิจกรรม

– ผู้เยี่ยมชมหรือใช้งานช่องทางออนไลน์ มูลนิธิอาจใช้เทคโนโลยีอัตโนมัติในการเก็บรวบรวมข้อมูลส่วนบุคคล เมื่อท่านใช้งานเว็บไซต์ โซเชียลมีเดีย ผ่านคอมพิวเตอร์ อุปกรณ์เคลื่อนที่ ได้แก่ ที่อยู่ไอพี (IP Address) เบราว์เซอร์ที่ใช้งาน หรือระบบปฏิบัติการ หน้าเว็บไซต์ที่เข้าชม และเว็บไซต์ต้นทางที่ผู้เข้าชมเชื่อมโยงมาที่เว็บไซต์ ซึ่งเทคโนโลยีอัตโนมัตินี้อาจรวมถึงการใช้คุกกี้ (Cookies) หรือเทคโนโลยีอื่น ๆ ที่คล้ายคลึงกัน

โปรดดู นโยบายการใช้คุกกี้และประกาศความเป็นส่วนตัวสำหรับเว็บไซต์

6. แหล่งที่มาของข้อมูลส่วนบุคคล

มูลนิธิเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้

1) ข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางต่าง ๆ เช่น การดำเนินงานวิจัย การกรอกข้อมูลในใบสมัคร ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือสัมภาษณ์ เก็บข้อมูลด้วยคุกกี้ (Cookies) หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยมูลนิธิ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับมูลนิธิ ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยมูลนิธิ เป็นต้น

2) ข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ หรือบริการอื่น ๆ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ กิจกรรมหรือบริการของมูลนิธิด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น

3) ข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่มูลนิธิ เช่น การเชื่อมโยงบริการระหว่างหน่วยงานอื่นกับมูลนิธิ เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล การรับข้อมูลส่วนบุคคลตามอำนาจหน้าที่ของมูลนิธิ ข้อมูลที่ได้รับจากหน่วยงานราชการต้นสังกัดหรือหน่วยงานราชการอื่นใดซึ่งมีอำนาจหน้าที่ตามกฎหมายเพื่อให้มูลนิธิดำเนินการตามพันธกิจ การรับหรือดึงข้อมูลจากแหล่งข้อมูลสาธารณะของราชการ เช่น สถาบันการศึกษา หรือหน่วยงานอื่นใด รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาหรือการดำเนินงานวิจัยที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้

นอกจากนี้ ยังหมายความรวมถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่มูลนิธิ เจ้าของข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่มูลนิธิ เช่น การใช้ชื่อนามสกุลบุคคลอื่นเพื่อเป็นบุคคลอ้างอิงในการสมัครงานกับมูลนิธิ เป็นต้น

7. ฐานกฎหมายในการประมวลผลส่วนบุคคล

มูลนิธิพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่มูลนิธิใช้ ประกอบด้วย

1) เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐที่มูลนิธิได้รับ

2) เพื่อการปฏิบัติหน้าที่ตามกฎหมาย

3) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย

4) เป็นการจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

5) เพื่อการปฏิบัติตามสัญญา

6) เพื่อการจัดทำเอกสารวิจัยหรือสถิติที่สำคัญ

7) ความยินยอม

ในกรณีที่มูลนิธิมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้มูลนิธิไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน ตลอดจนอาจส่งผลกระทบต่อการปฏิบัติหน้าที่ตามกฎหมายของมูลนิธิได้

ในบางกรณี มูลนิธิอาจต้องขอข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเพื่ออำนวยความสะดวก หรือให้บริการแก่เจ้าของข้อมูลได้ดียิ่งขึ้น เจ้าของข้อมูลส่วนบุคคลมีสิทธิเลือกไม่ให้ข้อมูลดังกล่าวเพิ่มเติมและจะไม่ส่งผลกระทบต่อกิจกรรมหรือการให้บริการหลักที่มีกับมูลนิธิ

8. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

มูลนิธิดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของบริการหรือกิจกรรม ตลอดจนลักษณะความสัมพันธ์กับมูลนิธิ หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ดังนั้น วัตถุประสงค์ทั้งหมดหรือบางส่วนดังต่อไปนี้อาจใช้บังคับกับเจ้าของข้อมูล โปรดพิจารณาลักษณะวัตถุประสงค์ตามความสัมพันธ์ที่มีกับมูลนิธิเป็นรายกรณีไป

ทั้งนี้ มูลนิธิเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อประมวลผลตามวัตถุประสงค์ภายใต้นโยบายการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้

• เพื่อปฏิบัติตามสัญญาหรือคำร้องขอก่อนเข้าทำสัญญาของเจ้าของข้อมูลส่วนบุคคล
  • การดำเนินการทางธุรกรรมหรือนิติกรรมสัญญาระหว่างเจ้าของข้อมูลกับมูลนิธิ
  • การเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลที่มีธุรกรรมหรือนิติกรรมสัญญากับมูลนิธิ
  • การใช้ ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการหรือกิจกรรมเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของเจ้าของข้อมูลส่วนบุคคล
  • การรับสมัครงาน การประเมินคุณสมบัติของผู้ดำรงตำแหน่งต่าง ๆ การเข้าทำสัญญาจ้างงาน การให้สวัสดิการ การเบิกค่าใช้จ่าย เป็นต้น
  • การดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่มูลนิธิมีตามภาระผูกพันในสัญญา
• เพื่อปฏิบัติตามกฎหมายในกรณีที่มูลนิธิมีหน้าที่ตามกฎหมายหรือคำสั่งของผู้มีอำนาจตามกฎหมาย
  • การดำเนินการให้ข้อมูลหรือประมวลผลข้อมูลตามหมายศาลหรือเจ้าหน้าที่ในกระบวนการยุติธรรม
  • การจัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด
  • จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
  • การดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่มูลนิธิมีตามภาระผูกพันที่กำหนดไว้โดยกฎหมาย
• เพื่อประโยชน์โดยชอบด้วยกฎหมายของมูลนิธิและบุคคลภายนอก
  • ป้องกัน ตรวจจับ หลีกเลี่ยง และตรวจสอบการละเมิดความปลอดภัย หรือการกระทำที่ต้องห้าม หรือผิดกฎหมาย และอาจเกิดความเสียหายต่อทั้งมูลนิธิและเจ้าของข้อมูลส่วนบุคคล
  • การยืนยันตัวตน พิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อเจ้าของข้อมูลส่วนบุคคลสมัครใช้บริการของมูลนิธิ หรือติดต่อใช้บริการ
  • แจ้งข่าวสารประชาสัมพันธ์กิจกรรมของมูลนิธิ โดยจะจัดให้เจ้าของข้อมูลส่วนบุคคลแจ้งยกเลิกการรับข่าวสารประชาสัมพันธ์ดังกล่าวได้
  • การประเมินและบริหารจัดการความเสี่ยง รวมทั้งการต่อต้านทุจริต
  • ป้องกันการสแปม หรือการกระทำที่ไม่ได้รับอนุญาต หรือผิดกฎหมาย
  • การดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กร
  • การดำเนินการเกี่ยวกับคดีความ
  • การวิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการของมูลนิธิ
• เพื่อดำเนินการตามที่จำเป็นในการดำเนินประโยชน์สาธารณะ หรือการศึกษาวิจัยพัฒนาหรือสถิติเพื่อประโยชน์สาธารณะเกี่ยวกับการประเมินเทคโนโลยีและนโยบายสุขภาพในประเทศไทยตามพันธกิจและวัตถุประสงค์ของมูลนิธิ เช่น การวิจัย การเรียนการสอน การจัดทำข้อเสนอแนะเชิงนโยบาย และ การเฝ้าระวังและป้องกันโรคระบาด เป็นต้น
• เพื่อป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การติดต่อหรือให้ข้อมูลแก่บุคคลอื่นในกรณีฉุกเฉิน
• เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะด้านการประเมินเทคโนโลยีและนโยบายสุขภาพของมูลนิธิ หรือการใช้อำนาจทางกฎหมายหรืออำนาจรัฐที่มูลนิธิมีในการดำเนินการตามพันธกิจ และกฎหมาย กฎ ระเบียบหรือคำสั่งที่เกี่ยวข้อง
• การดำเนินการตามความยินยอมของเจ้าของข้อมูล
  • กรณีที่มีความจำเป็นต้องเก็บรวบรวมข้อมูลเกี่ยวกับการวิจัย ทั้งในส่วนข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา พฤติกรรมทางสุขภาพ ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลค่าใช้จ่ายด้านสุขภาพ เป็นต้น
  • การเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกัน
  • การส่งหรือโอนข้อมูลไปยังประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่เพียงพอ

9. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่มูลนิธิทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ มูลนิธิจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่มูลนิธิไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า มูลนิธิได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ มูลนิธิจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็วหากมูลนิธิไม่มีเหตุอันชอบด้วยกฎหมายประการอื่น นอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว

10. การเก็บรวบรวมข้อมูลส่วนบุคคลโดยการบันทึกภาพ

1) เมื่อเจ้าของข้อมูลส่วนบุคคลเข้ามาในบริเวณพื้นที่ของมูลนิธิ โดยมูลนิธิอาจมีการบันทึกภาพของเจ้าของข้อมูลส่วนบุคคลโดยใช้กล้องวงจรปิด (CCTV) ทั้งนี้ มูลนิธิจะติดป้ายแจ้งให้ทราบว่ามีการใช้กล้องวงจรปิดในบริเวณพื้นที่ของมูลนิธิ

2) เมื่อเจ้าของข้อมูลส่วนบุคคลเข้ามาในบริเวณพื้นที่มูลนิธิที่มีการจัดประชุม สัมมนา หรือกิจกรรมใด ๆ โดยมูลนิธิอาจมีการบันทึกภาพถ่ายหรือวีดีโอ รวมถึงการบันทึกเสียง เพื่อเก็บบันทึกข้อมูลการจัดกิจกรรม หรือเพื่อใช้ประกอบการจัดทำสื่อประชาสัมพันธ์ของมูลนิธิ ทั้งนี้ มูลนิธิจะแจ้งให้ทราบว่ามีการบันทึกภาพถ่ายหรือวีดีโอในบริเวณพื้นที่ดังกล่าว

11. การแบ่งปันและเปิดเผยข้อมูลส่วนบุคคล

มูลนิธิอาจแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลกับบุคคลหรือองค์กรภายนอก ตามวัตถุประสงค์ต่าง ๆ ที่ได้ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ โดยองค์กรที่มูลนิธิอาจแบ่งปันข้อมูลส่วนบุคคลรวมถึงแต่ไม่จำกัดเพียงองค์กรดังต่อไปนี้

1) หน่วยงานราชการที่มีอำนาจหน้าที่หรือบุคคลอื่นใดตามที่กฎหมายกำหนด

2) ผู้ให้บริการที่เกี่ยวข้องและสนับสนุนการดำเนินงานของมูลนิธิ (โปรดศึกษาเพิ่มเติมในหัวข้อที่ 14.)

3) ที่ปรึกษาหรือผู้เชี่ยวชาญที่ให้คำแนะนำในการดำเนินการของมูลนิธิ

4) ผู้รับมอบอำนาจ หรือตัวแทนโดยชอบด้วยกฎหมายของมูลนิธิ

5)  ผู้รับโอนสิทธิตามกฎหมายหรือในการทำธุรกรรมต่าง ๆ ของมูลนิธิ

6) ผู้ให้บริการสื่อสังคมออนไลน์

7) หน่วยงานหรือบุคคลอื่นที่ดำเนินโครงการหรือกิจกรรมร่วมกับมูลนิธิ

7) บุคคลที่เจ้าของข้อมูลมีสัญญาหรือความสัมพันธ์ทางธุรกรรม

8) สาธารณะหรือบุคคลทั่วไป

มูลนิธิจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลของท่านอย่างเหมาะสม และประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และจะเข้าทำสัญญากับผู้ที่ได้รับข้อมูลเพื่อป้องกันไม่ให้มีการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยพระราชบัญญัติหรือกฎหมายอื่นใด รวมถึงจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดในประกาศฉบับนี้ หรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น โดยในกรณีที่กฎหมายกำหนดว่าต้องได้รับความยินยอมจากท่าน มูลนิธิจะขอความยินยอมจากท่านก่อน

12. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณี มูลนิธิอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ของบริการหรือกิจกรรม เช่น การส่งข้อมูลไปจัดเก็บที่ cloud server ในต่างประเทศ การส่งข้อมูลเพื่อการดำเนินงานวิจัยหรือจัดกิจกรรมกับหน่วยงานต่างประเทศ

อย่างไรก็ตาม มูลนิธิจะส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือมิฉะนั้นจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานที่กฎหมายกำหนด รวมทั้งมีการจัดทำสัญญากับบุคคลที่สามที่เข้ามาเกี่ยวข้องในการโอนข้อมูล จัดเก็บหรือประมวลผล เพื่อให้มีการปฏิบัติตามมาตรการป้องกันและคุ้มครองข้อมูลส่วนบุคคลตามที่มูลนิธิกำหนด

13. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

มูลนิธิจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว มูลนิธิจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล

นอกจากนี้ มูลนิธิจะเก็บรักษาข้อมูลส่วนบุคคลของท่านตามอายุความ หรือระยะเวลาที่กฎหมายที่เกี่ยวข้องกำหนด เช่น กฎหมายการบัญชี กฎหมายภาษีอากร กฎหมายแรงงาน และกฎหมายอื่น ๆ ที่มูลนิธิต้องปฏิบัติตาม

อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล มูลนิธิขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

14. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

มูลนิธิอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของมูลนิธิซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การรับงานบริการช่วง (Outsourcing) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น มูลนิธิจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของมูลนิธิในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่มูลนิธิมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่มูลนิธิมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของมูลนิธิเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล มูลนิธิจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างมูลนิธิกับผู้ประมวลผลข้อมูลส่วนบุคคล

15. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

มูลนิธิมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยมีมาตรการเชิงเทคนิค (Technical Measure) และมาตรการเชิงองค์กร (Organizational Measure) ในการดูแลข้อมูลส่วนบุคคล เช่น การจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของมูลนิธิอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่

นอกจากนี้ เมื่อมูลนิธิมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น มูลนิธิจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

16. สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติ ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลหรือบุคคลผู้มีอำนาจกระทำการแทน เช่น บิดามารดา หรือผู้ใช้อำนาจปกครอง สามารถติดต่อยื่นคำร้องขอใช้สิทธิต่าง ๆ ได้ผ่านช่องทางตามที่ระบุไว้ในหัวข้อ 20. โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย

1. สิทธิในการได้รับแจ้งข้อมูล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลผ่านทางนโยบายการคุ้มครองข้อมูลส่วนบุคคล หรือคำประกาศเกี่ยวกับความเป็นส่วนตัว (แล้วแต่กรณี) รวมถึงการปรับปรุงเปลี่ยนแปลงวัตถุประสงค์ดังกล่าวในภายหลัง

2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right to Access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่มูลนิธิเก็บรวบรวมไว้

3. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน (Right to Rectification) หากเจ้าของข้อมูลส่วนบุคคลพบว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้

4. สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มูลนิธิลบหรือทำลายข้อมูลส่วนบุคคลของตน หรือทำให้ข้อมูลส่วนบุคคลของตนไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป

5. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตน ทั้งนี้ ในกรณีดังต่อไปนี้

• เมื่อมูลนิธิกำลังตรวจสอบคำร้องขอแก้ไขข้อมูลข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน (Right to Rectification)
• เมื่อมูลนิธิประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยผิดกฎหมาย
• เมื่อข้อมูลส่วนบุคคลไม่มีความจำเป็นกับมูลนิธิอีกต่อไป แต่เจ้าของข้อมูลประสงค์ให้มูลนิธิเก็บข้อมูลต่อไป
• เมื่อมูลนิธิกำลังตรวจสอบคำร้องขอคัดค้านการประมวลผล (Right to Object)

6. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน ในกรณีที่มูลนิธิดำเนินการภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมาย หรือเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ

7. สิทธิในการขอถอนความยินยอม (Right to Withdraw Consent) ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่มูลนิธิในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของตนถูกเก็บรักษาโดยมูลนิธิ

8. สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของตนจากมูลนิธิในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้มูลนิธิส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น

9. สิทธิในการร้องเรียนต่อหน่วยงานกำกับดูแล (Right to File a Complaint) เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนต่อมูลนิธิเพื่อตรวจสอบ ชี้แจง หรือแก้ไขข้อกังวลจากมูลนิธิ รวมถึงมีสิทธิร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากการประมวลผลข้อมูลส่วนบุคคลของมูลนิธิไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิภายใต้พระราชบัญญัติ เมื่อมูลนิธิได้รับคำร้องขอดังกล่าวแล้ว จะดำเนินการภายใน 30 วัน อนึ่ง มูลนิธิสงวนสิทธิที่จะปฏิเสธหรือไม่ดำเนินการตามคำร้องขอดังกล่าว ขยายระยะเวลาในการตอบรับสิทธิ รวมถึงเรียกเก็บค่าธรรมเนียมได้ในกรณีที่กฎหมายกำหนด

17. คุกกี้

มูลนิธิเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของมูลนิธิ เช่น www.hitap.net หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคลตามแต่บริการที่ใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของมูลนิธิ และเพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของมูลนิธิ และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของมูลนิธิให้ตรงกับความต้องการของเจ้าของข้อมูลส่วนบุคคลมากยิ่งขึ้น โดยเจ้าของข้อมูลส่วนบุคคลสามารถจำกัดการใช้งานคุกกี้ได้ด้วยตนเองได้ โดยการปรับการตั้งค่าบนคุกกี้แบนเนอร์

ทั้งนี้ เจ้าของข้อมูลสามารถศึกษารายละเอียดเพิ่มเติมได้จาก “นโยบายการใช้คุกกี้” ของมูลนิธิ

18. การใช้ข้อมูลตามวัตถุประสงค์เดิม

มูลนิธิมีสิทธิในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ไว้ก่อนวันที่พระราชบัญญัติมีผลใช้บังคับต่อไปตามวัตถุประสงค์เดิม หากเจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ที่จะให้มูลนิธิเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป เจ้าของข้อมูลส่วนบุคคลสามารถแจ้งมูลนิธิเพื่อขอถอนความยินยอมได้

19. การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล

มูลนิธิอาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลเป็นครั้งคราวเพื่อให้สอดคล้องกับแนวปฏิบัติภายในและพระราชบัญญัติ โดยมูลนิธิจะแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เป็นปัจจุบันให้เจ้าของข้อมูลส่วนบุคคลทราบผ่านทางเว็บไซต์ของมูลนิธิ

20. การติดต่อสอบถามหรือใช้สิทธิ

หากมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของมูลนิธิ หรือต้องการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือยื่นคำร้องขอใช้สิทธิตามพระราชบัญญัติ สามารถติดต่อสอบถามได้ที่

มูลนิธิเพื่อการประเมินเทคโนโลยีและนโยบายด้านสุขภาพ

ชั้น 6 อาคาร 6 กรมอนามัย กระทรวงสาธารณสุข ถ.ติวานนท์ อ.เมือง จ.นนทบุรี 11000

โทรศัพท์ 02-590-4549, 02-590-4374-5 ไปรษณีย์อิเล็กทรอนิกส์ [email protected]

ทั้งนี้ ท่านสามารถดาวน์โหลดแบบคำร้องขอใช้สิทธิได้ที่นี่

บังคับใช้เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565

——-

ประกาศและเอกสารที่เกี่ยวข้อง

ประกาศความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน

ประกาศความเป็นส่วนตัวสำหรับผู้ให้บริการหรือคู่สัญญา

ประกาศความเป็นส่วนตัวสำหรับกล้องวงจรปิด

นโยบายการใช้คุกกี้

ประกาศความเป็นส่วนตัวสำหรับเว็บไซต์

แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form)