Page 431 - กฎหมายและระเบียบที่เกี่ยวข้องกับคณะกรรมการสิทธิมนุษยชนแห่งชาติ (ฉบับปรับปรุง พ.ศ. 2567)
P. 431
๔
ข. ส านักงานจะก ากับดูแลไม่ให้ผู้ปฏิบัติงานของส านักงานหรือผู้ประมวลผลข้อมูลส่วนบุคคล
น าข้อมูลส่วนบุคคลไปใช้ประโยชน์หรือเปิดเผยแก่บุคคลอื่น นอกเหนือไปจากวัตถุประสงค์ในการด าเนินงาน
ตามภารกิจของคณะกรรมการหรือส านักงาน เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน
หรือเป็นกรณีที่ส านักงานจะต้องปฏิบัติให้เป็นไปตามกฎหมายหรือมีกฎหมายบัญญัติให้กระท าได้
ค. ส านักงานอาจให้บุคคลหรือหน่วยงานอื่นเข้าถึงหรือใช้ข้อมูลส่วนบุคคลเท่าที่จ าเป็นและเพื่อให้
เป็นไปตามวัตถุประสงค์และหน้าที่และอ านาจของคณะกรรมการหรือส านักงาน โดยเป็นไปตามกฎหมายหรือ
วัตถุประสงค์ที่ได้แจ้งกับเจ้าของข้อมูลส่วนบุคคลตามข้อ ๕ (๑) แล้ว
ง. ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลภายนอก ส านักงานจะจัดให้มีข้อตกลง
ระหว่างส านักงานกับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อก าหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตาม
ข้อก าหนดเกี่ยวกับการรักษาความมั่นคงปลอดภัย การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ตามที่ส านักงาน
ก าหนดเท่านั้น ทั้งนี้ ส านักงานจะจัดให้มีการควบคุมและตรวจสอบการด าเนินงานตามหน้าที่ของผู้ประมวลผล
ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและข้อตกลงดังกล่าวอย่างเคร่งครัดด้วย
จ. ส านักงานจะจัดให้มีการบันทึกการใช้หรือเปิดเผยข้อมูลส่วนบุคคลไว้เป็นหลักฐาน
ตามหลักเกณฑ์และวิธีการที่กฎหมายก าหนด
ข้อ ๖ การเก็บรักษาและการท าลายข้อมูลส่วนบุคคล
ส านักงานอาจเก็บรักษาข้อมูลส่วนบุคคลในรูปแบบเอกสาร ฟิล์ม ภาพหรือเสียง หรือข้อมูล
อิเล็กทรอนิกส์ โดยจะจัดให้มีระบบการตรวจสอบระยะเวลาการเก็บรักษาและการท าลายข้อมูลส่วนบุคคลให้
สอดคล้องกับระยะเวลาและแนวปฏิบัติที่เกี่ยวข้องกับระเบียบส านักนายกรัฐมนตรีว่าด้วยงานสารบรรณ
ข้อ ๗ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
ส านักงานจะสร้างเสริมให้ผู้ปฏิบัติงานของส านักงานตระหนักรู้ด้านความส าคัญของการคุ้มครองข้อมูล
ส่วนบุคคลตามนโยบายนี้อย่างเคร่งครัด และจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
ส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการ
ป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard)
ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วย
การด าเนินการ ดังต่อไปนี้
(๑) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
โดยค านึงถึงการใช้งานและความมั่นคงปลอดภัย
(๒) การก าหนดเกี่ยวกับการอนุญาตหรือการก าหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
(๓) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึง
ข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
(๔) การก าหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง
ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบท าส าเนาข้อมูลส่วนบุคคล การลักขโมย
อุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
(๕) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง แก้ไข เปลี่ยนแปลง ลบ
ท าลาย หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคล
ข้อ ๘ สิทธิเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง
ดังต่อไปนี้
420
