นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 มาตรา 37 ประกอบกับข้อ 4 และข้อ 5 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ตระหนักและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม. จึงเห็นสมควรปรับปรุงประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ลงวันที่ 31 พฤษภาคม 2565 โดยอาศัยอำนาจตามความในมาตรา 24 วรรคหนึ่ง แห่งพระราชบัญญัติการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย พ.ศ. 2543 ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย จึงออกประกาศไว้ดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566”
ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
ข้อ 3 ให้ยกเลิกประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ลงวันที่ 31 พฤษภาคม 2565
ข้อ 4 หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
รฟม. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล ดังนี้
(1) เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมายเป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
(2) เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย และจัดเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ในการดำเนินงาน และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation) โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(3) เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย (Data Minimization)
(4) ข้อมูลส่วนบุคคลมีความถูกต้องและเป็นปัจจุบัน พร้อมใช้งาน รวมถึงต้องมีการดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะได้รับการปรับปรุงแก้ไข (Accuracy)
(5) ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคล (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว
(6) การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายและป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
ข้อ 5 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม.
สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ รฟม. จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม
ข้อ 6 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล
รฟม. จะประมวลผลข้อมูลส่วนบุคคลโดยปฏิบัติตามหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล ดังนี้
(1) ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
(2) ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล เว้นแต่กรณีดังต่อไปนี้ สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
(ก) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ
(ข) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(ค) เพื่อปฏิบัติตามกฎหมาย
(ง) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
(จ) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(ฉ) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(3) ไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว รวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง หรือได้รับยกเว้นตามที่กฎหมายกำหนด
(4) ไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่น เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยทำหนังสือให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร หรือกรณีตามมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามมาตรา 24 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
ข้อ 7 ช่องทางการติดต่อ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ รฟม. หรือเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่
(1) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.)
175 ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
หมายเลขโทรศัพท์ 0 2716 4044
ช่องทางการติดต่อ saraban@mrta.co.th
(2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
คณะกรรมการเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
175 ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310
หมายเลขโทรศัพท์ 0 2716 4044
ช่องทางการติดต่อ saraban@mrta.co.th
ข้อ 8 แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของ รฟม.
แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของ รฟม. มีรายละเอียดตามเอกสารแนบท้ายประกาศ ประกอบด้วย
หมวด 1 แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคล
หมวด 2 แนวปฏิบัติสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล
ประกาศ ณ วันที่ 25 ธันวาคม พ.ศ. 2566
ดาวน์โหลดแบบคำร้องขอเกี่ยวกับข้อมูลส่วนบุคคล
