การกีฬาแห่งประเทศไทย

1. บทนำ

การกีฬาแห่งประเทศไทย ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่น อันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลสามารถมั่นใจได้ว่าการกีฬาแห่งประเทศไทย ได้ปฏิบัติตามพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่การกีฬาแห่งประเทศไทยต้องปฏิบัติติตาม

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ จึงจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลส่วนบุคคลให้ทราบถึงรายละเอียดของนโยบายที่เกี่ยวข้องกับการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งรวมเรียกว่า “การประมวลผล” ข้อมูลส่วนบุคคล ซึ่งดำเนินการโดยการกีฬาแห่งประเทศไทยและเจ้าหน้าที่ที่มีหน้าที่ความรับผิดชอบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของการกีฬาแห่งประเทศไทย โดยมีรายละเอียดดังต่อไปนี้

2. ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคล ซึ่งมีความสัมพันธ์กับการกีฬาแห่งประเทศไทยและกองทุนพัฒนาการกีฬาแห่งชาติ (ซึ่งต่อไปนี้ เรียกว่า “กกท.”) ทั้งที่มีอยู่ปัจจุบันและที่จะดำเนินการในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยการกีฬาแห่งประเทศไทยและรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทน ภายใต้บริการต่าง ๆ ของการกีฬาแห่งประเทศไทยและกองทุนพัฒนาการกีฬาแห่งชาติ เช่น เว็บไซต์ ระบบสารสนเทศ แอปพลิเคชัน และเอกสารที่เกี่ยวข้อง ทั้งที่อยู่ในรูปแบบกระดาษอิเล็กทรอนิกส์

          บุคคลผู้มีความสัมพันธ์กับ กกท. ประกอบไปด้วย ดังนี้

          2.1 เจ้าหน้าที่หรือผู้ปฏิบัติการ

          2.2 ลูกค้าบุคคลธรรมการ

          2.3 คู่ค้าและผู้ให้บริการ ซึ่งเป็นบุคคลธรรมดา

          2.4 กรรมการผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันกับนิติบุคคล

          2.5 ผู้ใช้งานผลิตภัณฑ์หรือบริการของ กกท.

          2.6 บุคคลอื่นที่ กกท. เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้ใช้บริการ และผู้ติดต่อ เป็นต้น

3. คำนิยาม

3.1 บุคคล หมายความว่า บุคคลธรรมดา

3.2 ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

3.3 ข้อมูลส่วนบุคคลอ่อนไหว หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

3.4 เจ้าของข้อมูลส่วนบุคคล หมายความว่า บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ กกท. เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 

3.5 ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3.6 ผู้เยาว์ หมายความว่า บุคคลอายุตกว่า 20 ปี ที่ยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวลกฎหมายแพ่งและพาณิชย์

3.7 ผู้ไร้ความสามารถ หมายความว่า บุคคลวิกลจริต และศาลได้สั่งให้เป็นคนไร้ความสามารถ ซึ่งต้องจัดให้อยู่ในความอนุบาล

3.8 ผู้เสมือนไร้ความสามารถ หมายความว่า บุคคลมีกายพิการ มีจิตใจฟั่นเฟือนไม่สมประกอบ หรือประพฤติ สุรุ่ยสุร่ายเสเพลเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใด ทำนองเดียวกันนั้น จนไม่สามารถจะจัดทำการงานโดยตนเองได้ หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว และศาลได้สั่งให้เป็นคนเสมือนไร้ ความสามารถ ซึ่งต้องจัดให้อยู่ในความพิทักษ์

3.9 ผู้ใช้อำนาจปกครอง หมายความว่า ตัวแทนบุตรและมีอำนาจทำการใด ๆ รวมทั้งทำนิติกรรมแทน บุตรได้ แต่ก็มีข้อจำกัดบางอย่างที่ผู้ใช้อำนาจปกครองจะทำเอง ไม่ได้แต่ต้องได้รับความยินยอมของบุตรก่อนจึงจะทำได้ เช่น บิดามารดาผู้ให้กำเนิด และผู้เลี้ยงดู เป็นต้น

3.10 ผู้อนุบาล หมายความว่า บุคคลซึ่งศาลมีคำสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนไร้ความสามารถ

3.11 ผู้พิทักษ์ หมายความว่า บุคคลซึ่งศาลมีคำสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนเสมือนไร้ ความสามารถ

          3.12 พนักงาน หมายความว่า พนักงานของ กกท. และให้หมายความถึงรองผู้ว่าการการกีฬาแห่งประเทศไทย

          3.13 ผู้ช่วยปฏิบัติงาน หมายความว่า บุคคลที่ กกท. จ้างให้ปฏิบัติงานโดยมีสัญญาจ้างเป็นรายปีงบประมาณ

          3.14 การเก็บรวบรวมข้อมูลส่วนบุคคล หมายความว่า การจัดเก็บข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลเพื่อวัตถุประสงค์ในการใช้งานของ กกท.

          3.15 การประมวลผลข้อมูลส่วนบุคคล หมายความว่า การนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เก็บรวบรวมไว้ไปใช้และเปิดเผยตามวัตถุประสงค์ของ กกท.

          3.16 การเปิดเผยข้อมูลส่วนบุคคล หมายความว่า การนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปเผยแพร่ ด้วยวิธีการอย่างหนึ่งอย่างใด ผ่านช่องทางต่าง ๆ รวมถึงสื่อสังคมออนไลน์ทุกประเภท

          3.17 การรั่วไหลของข้อมูลส่วนบุคคล หมายความว่า การรั่วไหลหรือการละเมิดมาตรการความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคล การส่งผ่านข้อมูลส่วนบุคคลจากภายในหน่วยงานไปยังภายนอกหน่วยงานทำให้เกิดความเสียหาย การถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บรักษา หรือถูกประมวลผลอย่างอื่น โดยไม่ได้รับอนุญาต หรือเข้าถึงข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล

          3.18 ข้อมูลชีวภาพ หมายความว่า ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพสแกนใบหน้า ข้อมูลสแกนม่านตา และข้อมูลสแกนลายนิ้วมือ เป็นต้น

          3.19 สำนักงาน หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

4. แหล่งที่มาของข้อมูลส่วนบุคคล

          กกท. มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัครงาน การสมัครเข้าแข่งขัน และการลงทะเบียนนักกีฬาที่ดูแลโดย กกท. และ/หรือ เมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับ กกท. เป็นต้น

          ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ใช้ข้อมูลส่วนบุคคลที่มีความจำเป็นสำหรับการใช้บริการหรือการดำเนินงานของ กกท. อาจส่งผลให้ กกท. ไม่สามารถให้บริการหรือดำเนินงานนั้นแก่เจ้าของข้อมูลส่วนบุคคลได้ทั้งหมดหรือบางส่วน

5. ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล

กกท. ดำเนินการพิจารณาฐานกฎหมายในการจัดเก็บรวบรวม ข้อมูลส่วนบุคคลของเจ้าของข้อมูลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลที่ กกท. ใช้ ประกอบด้วย

5.1 ฐานเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ (Scientific or Research) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

5.2 ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพของบุคคล

5.3 ฐานสัญญา (Contract) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

5.4 ฐานภารกิจของรัฐ (Public Task) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ เพื่อประโยชน์สาธารณะของผู้ควบคุม ข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลของ กกท. ได้รับ

5.5 ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการจำเป็นเพื่อประโยชน์โดยชอบ ด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

5.6 ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

5.7 ฐานความยินยอม (consent) เป็นการขอการยินยอมของเจ้าของข้อมูลส่วนบุคคล เพื่อการจัดการเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีที่ กกท. จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยแจ้งวัตถุประสงค์ของการจัดเก็บรวบรวมข้อมูลส่วนบุคคลก่อนขอการยินยอมต่อเจ้าของข้อมูลส่วนบุคคล 

ในกรณีที่ กกท. มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อการปฏิบัติตามฐานสัญญา หรือฐานการปฏิบัติหน้าที่ตามกฎหมาย หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการประมวลผลข้อมูลส่วนบุคคล อาจส่งผลให้ กกท. ไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน

6. ประเภทของข้อมูลส่วนบุคคลที่ กกท.

          กกท. อาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังต่อไปนี้

          6.1 ข้อมูลเฉพาะตัวบุคคล คือ ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลส่วนบุคคลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูลส่วนบุคคล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล เลขบัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง และทะเบียนบ้าน เป็นต้น

          6.2 ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูลส่วนบุคคล เช่น เชื้อชาติ ศาสนา ความพิการ ความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ และข้อมูลสุขภาพ เป็นต้น

          6.3 ข้อมูลเกี่ยวกับการใช้บริการ รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของ กกท. เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน และข้อมูลการจราจรทางคอมพิวเตอร์ เป็นต้น

          6.4 ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล คือ ข้อมูลรายละเอียดเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย และข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น

          6.5 ข้อมูลสำหรับการติดต่อ คือ ข้อมูลเพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคล เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ และแผนที่ตั้งของที่พัก เป็นต้น

          6.6 ข้อมูลเกี่ยวกับการทำงานและการศึกษา รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา และวันที่สำเร็จการศึกษา เป็นต้น

7. การบริหารจัดการคุกกี้

          กกท. เก็บรวบรวมและใช้คุกกี้ในบริการเว็บไซต์ที่อยู่ภายใต้ความดูแลของ กกท. หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล ตามแต่บริการที่เจ้าของข้อมูลส่วนบุคคลใช้งาน ทั้งนี้ การเข้าสู่เว็บไซต์ของ กกท. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจะถูกบันทึกไว้ในรูปแบบของคุกกี้ โดยการเข้าสู่เว็บไซต์นี้ถือว่าเจ้าของข้อมูลส่วนบุคคลได้อนุญาตให้ กกท. ใช้คุกกี้ตามนโยบายบริหารจัดการคุกกี้ โดยเจ้าของข้อมูลส่วนบุคคลสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเอง

8. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล

          กกท. ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์การดำเนินงานของ กกท. ทั้งนี้ ขึ้นอยู่กับประเภทของบริการที่ใช้บริกร โดยวัตถุประสงค์ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ กกท. เป็นการทั่วไป ดังนี้

          8.1 เพื่อดำเนินการตามที่จำเป็นในการดำเนินประโยชน์สาธารณะที่ กกท. ได้รับมอบหมายให้สำเร็จตามวัตถุประสงค์ของ กกท. ที่ได้ตั้งไว้

          8.2 เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล รวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูลส่วนบุคคล

          8.3 เพื่อจัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

          8.4 เพื่อวิเคราะห์ข้อมูลรวมถึงแก้ไขปัญหาที่เกี่ยวกับบริการ

8.5 เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายใน กกท.

          8.6 เพื่อเป็นการยืนยันตัวตน พิสูจน์ตัวตน หรือตรวจสอบข้อมูล เมื่อเจ้าของข้อมูลส่วนบุคคลสมัครใช้บริการของ กกท. หรือติดต่อใช้บริการหรือใช้สทธิตามกฎหมาย

          8.7 เพื่อส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสาร และแจ้งข่าวสารไปยังเจ้าของข้อมูลส่วนบุคคล

          8.8 เพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย

8.9 เพื่อดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของ กกท. หรือของบุคคลอื่นหรือของนิติบุคคลอื่นที่เกี่ยวข้อง

          8.10 เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

9. การเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

          กกท. อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลอื่น ทั้งนี้ กกท. จะพิจารณาด้านกฎหมาย นโยบาย และข้อกำหนดอื่น ๆ ที่ กกท. ต้องปฏิบัติตามก่อนเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ การเปิดเผยข้อมูลส่วนบุคคลอาจกระทำต่อหน่วยงานของรัฐ หรือต่อผู้มีอำนาจที่ กกท. ต้องเปิดเผยข้อมูลให้ เช่น เมื่อมีคำสั่งศาล เป็นต้น

10. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

          กกท. จะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ที่ได้กำหนดไว้ และเมื่อพ้นกำหนดเวลาที่กำหนด หรือเมื่อสิ้นสุดความจำเป็นตามวัตถุประสงค์ของเจ้าของข้อมูลส่วนบุคคล กกท. จะทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตามรูปแบบและวิธีการลบทำลายข้อมูลส่วนบุคคลที่กำหนดไว้ อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิ หรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล กกท. ขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้น จะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด

11. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

          กกท. มีแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของ กกท. อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ที่รับผิดชอบ

12. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

          กกท. ได้แงตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่ตรวจสอบและให้คำแนะนำแก่ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และบุคคลอื่น ๆ ที่เกี่ยวข้อง ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร และบุคคลที่เกี่ยวข้อง ให้สอดคล้องกับกฎหมายแลนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร รวมถึงประสานงานและร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับข้อมูลส่วนบุคคล

13. สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

          กกท. ได้ให้ความสำคัญต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้ ดังนี้

13.1 สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง รับสำเนา หรือขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่ กกท. เก็บรวบรวมไว้

13.2 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน หากเจ้าของข้อมูลส่วนบุคคลพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่ครบถ้วน หรือไม่เป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลมีความสมบูรณ์

13.3 สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ กกท. ลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

13.4 สิทธิในการขอระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

13.5 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล

13.6 สิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่ กกท.

13.7 สิทธิในการขอรับ ส่ง หรือ โอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับ ส่ง หรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจาก กกท.

13.8 สิทธิในการร้องเรียน กรณีที่ กกท. ไม่ปฏิบัติตามกฎหมาย

14. การดำเนินการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

          กกท. อาจมีการมอบหมายหรือจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทน หรือในนามของ กกท. ซึ่งบุคคลที่สามดังกล่าว อาจให้บริการให้ลักษณะต่าง ๆ เช่น การเป็นผู้ดูแลระบบ (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นงานในลักษณะอื่นที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

          การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคล ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น กกท. ได้ทำสัญญาหรือข้อตกลงสำหรับการประมงลผลข้อมูลส่วนบุคคลและในฐานผู้ควบคุมข้อมูลส่วนบุคคล กกท. จะทำการควบคุมและกำกับติดตามการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามที่ได้มีการทำสัญญาและข้อตกลงไว้ ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามสัญญาและข้อตกลงที่ทำกับ กกท. เท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

          ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทน หรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล กกท. จะควบคุมและกำกับติดตามการดำเนินงานของผู้ประมวลผลข้อมูลส่วนบุคคลช่วงตามสัญญาและข้อตกลงระหว่าง กกท. กับ ผู้ประมวลผลข้อมูลส่วนบุคคล

15. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่ กกท. ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ กกท. จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

          กรณีที่ กกท. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และตรวจสอบพบในภายหลังว่า กกท. ได้เก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนตามกฎหมาย หาก กกท. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นในการเก็บรวบรวมข้อมูลของบุคคลดังกล่าว กกท. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว เว้นแต่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวต่อไป

16. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในบางกรณี กกท. อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ เพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปหน่วยงานด้านการกีฬาที่อยู่ต่างประเทศ และเพื่อส่งข้อมูลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย เป็นต้น ทั้งนี้ ขึ้นอยู่กับบริการของกกท. ที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม

          อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนั้น เมื่อ กกท. มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศปลายทาง กกท. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

(1)  เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ กกท. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

(2)  ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด

3)  เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับ กกท. หรือเป็นการทำตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น

(4)  เป็นการกระทำตามสัญญาของ กกท. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(5)  เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(6)  เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

17. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

บริการของ กกท. อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้  กกท. ขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กกท. ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

18. การละเมิดนโยบายการคุ้มครองข้อมูลส่วนบุคคล

          การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลอาจมีผลเป็นความผิด และถูกลงโทษทางวินัยตามระเบียบของ กกท. หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีต่อ กกท. และอาจะได้รับโทษตามที่กำหนดโดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายรอง กฎระเบียบ และคำสั่งอื่นที่เกี่ยวข้อง

19. การปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

          กกท. อาจพิจารณาทบทวนและปรับปรุงนโยบายฉบับนี้ เมื่อมีเหตุอันควรหรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของ กกท.