แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช.
พ.ศ. ๒๕๖๔
เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ขอบเขตการรับรองมาตรฐานระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. จึงกำหนดแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ไว้ดังต่อไปนี้
ข้อ ๑ ข้อมูลเบื้องต้น
(ก) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ฉบับนี้ จัดทำขึ้นเพื่อใช้บังคับตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช.
(ข) กำหนดขอบเขตให้การคุ้มครองข้อมูลส่วนบุคคลนี้ใช้กับการดำเนินการใด ๆ ของสำนักงาน กสทช. ต่อข้อมูลส่วนบุคคลที่สำนักงาน กสทช. รวบรวม จัดเก็บ หรือได้รับมาตามวัตถุประสงค์เท่านั้น ซึ่งข้อมูลดังกล่าวรวมถึงข้อมูลที่ผู้ใช้บริการได้ใช้บริการของสำนักงาน กสทช. ซึ่งข้อมูลส่วนบุคคล คือ ข้อมูลที่ระบุตัวบุคคลของผู้ใช้บริการได้เช่นเดียวกับชื่อ ที่อยู่ หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์และอีเมลของผู้ใช้บริการ ทั้งนี้ ข้อมูลส่วนบุคคลในที่นี้ไม่รวมถึงข้อมูลที่สาธารณชนสามารถเข้าถึงได้เป็นการทั่วไป นอกจากนี้ ยังได้ระบุขอบเขตของนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ดังกล่าวเพิ่มเติมว่าไม่ใช้กับแนวปฏิบัติต่อข้อมูลส่วนบุคคลของหน่วยงานอื่นที่สำนักงาน กสทช. มิได้เกี่ยวข้องหรือสามารถควบคุมได้และไม่ใช้บังคับกับแนวปฏิบัติของบุคคลที่มิได้เป็นพนักงานหรือผู้ให้บริการภายนอกหรือที่สำนักงาน กสทช. ไม่มีอำนาจควบคุมดูแล
(ค) กรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์หรือนโยบายในการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงาน กสทช. จะประกาศแจ้งให้ทราบและขอความยินยอมก่อนทุกครั้งจากผู้ใช้บริการผ่านทางหน้าเว็บไซต์ของสำนักงาน กสทช. https://www.nbtc.go.th ล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และสำนักงาน กสทช. อาจทำการปรับปรุง หรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ได้แจ้งให้ผู้ใช้บริการทราบล่วงหน้าได้ ทั้งนี้ เพื่อความเหมาะสมและความมีประสิทธิภาพในการให้บริการ ดังนั้น จึงขอแนะนำให้ผู้ใช้บริการอ่านนโยบายการคุ้มครองข้อมูลส่วนบุคคลก่อนที่จะใช้บริการทุกครั้ง
ข้อ ๒ การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคล
สำนักงาน กสทช. มีการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ ทั้งทางเว็บไซต์ https://www.nbtc.go.th และทางกระดาษเป็นไปตามแบบฟอร์มการให้บริการในด้านต่าง ๆ โดยข้อมูลที่จำเป็นต้องกรอกลงไป เช่น ชื่อ ชื่อสกุล หมายเลขประจำตัวประชาชน ที่อยู่ หมายเลขโทรศัพท์ และอีเมล เป็นต้น ซึ่งเป็นไปตามอำนาจหน้าที่และภารกิจของสำนักงาน กสทช. ตามพระราชบัญญัติองค์กรจัดสรรคลื่นความถี่และกํากับการประกอบกิจการวิทยุกระจายเสียง วิทยุโทรทัศน์และกิจการโทรคมนาคม พ.ศ. ๒๕๕๓ แล้วนำมาแปลงข้อมูลเข้าสู่ระบบอิเล็กทรอนิกส์หรือจัดเก็บโดยวิธีอื่น
ผู้ใช้บริการอาจได้รับการร้องขอให้แจ้งข้อมูลส่วนบุคคลในเวลาใด ๆ ที่ติดต่อกับสำนักงาน กสทช. และสำนักงาน กสทช. อาจมีการใช้งานข้อมูลส่วนบุคคลนี้ในหน่วยงาน โดยจะใช้ข้อมูลส่วนบุคคลให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. รวมทั้งอาจผนวกข้อมูล ส่วนบุคคลนี้เข้ากับข้อมูลอื่น ๆ เพื่อการดำเนินงานของหน่วยงาน และข้อมูลที่ผนวกเข้าด้วยกันนี้จะถือว่าเป็นข้อมูลส่วนบุคคลตราบเท่าที่ยังคงผนวกเข้าด้วยกันอยู่
สำนักงาน กสทช. จะดำเนินการจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการที่ส่งเรื่องร้องเรียน / ติดต่อทางเว็บไซต์ เช่น ชื่อผู้ร้องเรียน อีเมล หมายเลขโทรศัพท์ จัดเก็บข้อมูลหมายเลขไอพีแอดเดรส (IP Address) เป็นต้น โดยจัดเก็บรวบรวมข้อมูลดังกล่าวของผู้ใช้บริการทุกท่านที่เข้าเยี่ยมชมเว็บไซต์ของสำนักงาน กสทช. เพื่อใช้เป็นข้อมูลอ้างอิงต่อไป
สำนักงาน กสทช. จะใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น ชื่อ ชื่อสกุล ที่อยู่ หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์ และอีเมล เป็นต้น เพียงเท่าที่จำเป็นเพื่อใช้ในการติดต่อ การให้บริการ ประชาสัมพันธ์ หรือให้ข้อมูลข่าวสารของสำนักงาน กสทช. เท่านั้น
ในกรณีที่สำนักงาน กสทช. ว่าจ้างให้ผู้ให้บริการภายนอกดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น การจัดทำแปลงเอกสารเป็นข้อมูลอิเล็กทรอนิกส์ การทำสำเนาเอกสาร สำนักงาน กสทช. จะกำหนดให้ผู้ให้บริการภายนอกเก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการ และกำหนดข้อห้ามมิให้นำข้อมูลส่วนบุคคลไปใช้นอกเหนือจากกิจการหรือกิจกรรมของสำนักงาน กสทช.
สำนักงาน กสทช. แนะนำให้ผู้ใช้บริการตรวจสอบนโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์อื่นที่เชื่อมโยงจากเว็บไซต์ของสำนักงาน กสทช. เพื่อรับทราบและเข้าใจว่าเว็บไซต์ดังกล่าว เก็บรวบรวมใช้หรือดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างไร ทั้งนี้ สำนักงาน กสทช. ไม่สามารถรับรองข้อความหรือรับรองการดำเนินการตามที่ได้มีประกาศไว้ได้ และไม่รับผิดชอบใด ๆ หากเว็บไซต์เหล่านั้น ไม่สามารถปฏิบัติการหรือดำเนินการใด ๆ ตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ที่ได้ประกาศไว้
(ก) การติดต่อระหว่างหน่วยงานของรัฐ
สำนักงาน กสทช. จะติดต่อกับผู้ใช้บริการด้วยการส่งจดหมายอิเล็กทรอนิกส์หรือทางโทรศัพท์ถึงผู้ใช้บริการ เพื่อตรวจสอบและยืนยันตัวตนของผู้ใช้บริการ นอกจากนี้ ผู้ใช้บริการสามารถเข้าถึง ข้อมูลข่าวสารต่าง ๆ ของสำนักงาน กสทช. ได้ผ่านช่องทางอื่นอีกหลายทาง เช่น เว็บไซต์ของสำนักงาน กสทช. https://www.nbtc.go.th หรือผ่านศูนย์ Call center ๑๒๐๐ เป็นต้น
(ข) การใช้คุกกี้ (Cookies)
สำนักงาน กสทช. มีการใช้งานคุกกี้ (Cookies) เพื่อช่วยอำนวยความสะดวกของผู้ใช้บริการในการเข้าใช้บริการของสำนักงาน กสทช. โดยคุกกี้เป็นไฟล์ข้อมูลขนาดเล็กที่ระบบบริการของเว็บไซต์สำนักงาน กสทช. ส่งไปยังโปรแกรมบราวเซอร์ (Browser) ของผู้ใช้บริการ เมื่อผู้ใช้บริการเข้าเยี่ยมชมเว็บไซต์หรือใช้บริการเว็บไซต์ของสำนักงาน กสทช. โดยคุกกี้เหล่านี้ช่วยให้การติดต่อระหว่างเครื่องคอมพิวเตอร์ของผู้ใช้บริการกับระบบธุรกรรมทางอิเล็กทรอนิกส์ของสำนักงาน กสทช. เป็นไปได้อย่างปกติ คุกกี้ทำให้ผู้ใช้บริการได้รับประโยชน์จากการให้บริการในลักษณะต่าง ๆ ของสำนักงาน กสทช. และผู้ใช้บริการควรปล่อยให้คุกกี้ทำงานไปตามปกติ ซึ่งคุกกี้ดังกล่าวมิได้เก็บข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์ของสำนักงาน กสทช. ไว้ อย่างไรก็ตาม หากผู้ใช้บริการไม่ต้องการที่จะยอมรับคุกกี้ ผู้ใช้บริการสามารถเลือกที่จะปฏิเสธคุกกี้ ผู้ใช้บริการก็ยังคงสามารถที่จะเข้าเยี่ยมชมเว็บไซต์ของสำนักงาน กสทช. ได้ แต่การทำงานบางอย่างบนเว็บไซต์อาจไม่ถูกต้องหรือไม่ดีเท่าที่ควร
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
สำนักงาน กสทช. มีการรวบรวมข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้ โดยสำนักงาน กสทช. จะรวบรวมข้อมูลจากผู้ประกอบการและผู้ใช้บริการ และจัดทำเป็นแอปพลิเคชันเพื่อแปลงข้อมูลและนำเสนอข้อมูลในเชิงสถิติ เพื่อสำรวจความนิยมในการใช้บริการอันเป็นประโยชน์ในการนำข้อมูลสถิติไปใช้สำหรับการปรับปรุงคุณภาพในการให้บริการของสำนักงาน กสทช.
(ง) บันทึกผู้เข้าชมเว็บไซต์ (Log Files)
การให้บริการเว็บไซต์ของสำนักงาน กสทช. กำหนดให้มีการเก็บบันทึกการเข้าออก และระหว่างการใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูลที่ระบุตัวบุคคล เช่น หมายเลขไอพี (IP Address) วันที่ และเวลา ของผู้ใช้บริการซึ่งใช้เป็นข้อมูลที่เชื่อมโยงกลับไปที่ข้อมูลการเชื่อมต่ออินเตอร์เน็ต เป็นต้น ซึ่งอาจระบุแหล่งที่มาการโพสต์หรือบุคคลที่โพสต์ได้ รวมถึงเว็บไซต์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ซึ่งแก้ไขเพิ่มเติม โดยพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ มาตรา ๒๖ ที่กำหนดให้ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่า ๙๐ วันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน ๙๐ วัน แต่ไม่เกิน ๒ ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
(จ) สิทธิในการให้ข้อมูลของผู้ใช้บริการ
ในการจัดเก็บรวบรวมข้อมูลผ่านทางเว็บไซต์ หน้าเว็บไซต์จะระบุสิทธิที่จะให้ข้อมูลของผู้ใช้บริการ โดยแบ่งออกเป็น ๒ ส่วน คือ ส่วนของข้อมูลที่ผู้ใช้บริการจะต้องให้ กับส่วนของข้อมูลที่ผู้ใช้บริการมีสิทธิเลือกที่จะให้หรือไม่ก็ได้ เช่น ข้อมูลช่องทางที่สามารถติดต่อผู้ใช้บริการได้สะดวก เป็นต้น นอกจากนี้มีการจัดช่องทางอื่นในการติดต่อสื่อสารให้กับผู้ใช้บริการที่ประสงค์จะให้ข้อมูลผ่านทางช่องทางอื่นเพื่อเป็นทางเลือก เช่น ทางจดหมายอิเล็กทรอนิกส์ โทรสาร ไปรษณีย์ หรือเจ้าหน้าที่ที่เกี่ยวข้องโดยตรงก็ได้
ข้อ ๓ การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
นอกจากเว็บไซต์ของสำนักงาน กสทช. แล้ว สำนักงานกสทช. ยังมีการเชื่อมโยงเว็บไซต์กับเว็บไซต์ของหน่วยงานหรือองค์กรอื่น ๆ ของรัฐ เช่น กรมการปกครอง กรมพัฒนาธุรกิจการค้า เป็นต้น โดยให้ข้อมูลหรือใช้ข้อมูลระหว่างกัน เช่น เลขประจำตัวประชาชน เลขทะเบียนนิติบุคคล เป็นต้น ตามภารกิจของสำนักงาน กสทช. โดยการจัดเก็บ รวบรวม และรักษาความปลอดภัยของข้อมูลดังกล่าวที่เชื่อมโยงกันนั้น สำนักงาน กสทช. ปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ตามที่ประกาศไว้ และเนื่องจากนโยบายและแนวปฏิบัติของหน่วยงานอื่นอาจมีความแตกต่างกัน ดังนั้น สำนักงาน กสทช. ขอแนะนำให้ผู้ใช้บริการศึกษานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานเหล่านั้นด้วย
สำนักงาน กสทช. ต้องแจ้งให้ผู้ใช้บริการทราบเพื่อให้ความยินยอมล่วงหน้าก่อนทำการเปลี่ยนแปลงการเชื่อมโยงข้อมูลกับหน่วยงาน หรือองค์กรอื่น
ข้อ ๔ การรวมข้อมูลจากที่มาหลาย ๆ แห่ง
ในบางกรณีสำนักงาน กสทช. อาจจะนำข้อมูลส่วนบุคคลที่ผู้ใช้บริการให้ข้อมูลผ่านทางเว็บไซต์รวมเข้ากับข้อมูลที่ได้มาจากแหล่งอื่น เช่น ข้อมูลที่อยู่ของผู้ใช้บริการจากกรมการปกครอง กระทรวงมหาดไทย เป็นต้น ทั้งนี้ เพื่อทำให้ข้อมูลของสำนักงาน กสทช. มีความครบถ้วน ถูกต้อง และเป็นปัจจุบัน เพื่อทำให้สำนักงาน กสทช. สามารถให้บริการตามภารกิจและหน้าที่ได้อย่างดียิ่งขึ้น
ข้อ ๕ การให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคล
สำนักงาน กสทช. ไม่อนุญาตให้บุคคลอื่นเข้าถึงหรือใช้ข้อมูลที่สำนักงาน กสทช. มีการจัดเก็บรวบรวมข้อมูลเกี่ยวกับผู้ใช้บริการ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือกรณีที่มีการบังคับให้เปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวนหรือการพิจารณาพิพากษาคดีของศาล ตามหมายศาลหรือคำสั่งศาล ซึ่งสำนักงาน กสทช. มีหน้าที่ที่จะต้องปฏิบัติตาม
ข้อ ๖ การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
สำนักงาน กสทช. มีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยมีวัตถุประสงค์เพื่อนำไปใช้ประโยชน์ต่อการดำเนินงานตามอำนาจหน้าที่ของสำนักงาน กสทช. ตามที่กฎหมายกำหนดเท่านั้นซึ่งเป็นไปตามวัตถุประสงค์ ดังนี้
(ก) พิจารณาอนุญาตและกำกับดูแลการใช้คลื่นความถี่และเครื่องวิทยุคมนาคมในการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม หรือในกิจการวิทยุคมนาคม
(ข) พิจารณาอนุญาตและกํากับดูแลการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อให้ผู้ใช้บริการได้รับบริการที่มีคุณภาพ ประสิทธิภาพ รวดเร็ว ถูกต้อง และเป็นธรรม
(ค) พิจารณาอนุญาตและกํากับดูแลการใช้เลขหมายโทรคมนาคม
(ง) คุ้มครองสิทธิและเสรีภาพของประชาชนมิให้ถูกเอาเปรียบจากผู้ประกอบกิจการ และคุ้มครองสิทธิในความเป็นส่วนตัวและเสรีภาพของบุคคลในการสื่อสารถึงกันโดยทางโทรคมนาคม และส่งเสริมสิทธิเสรีภาพและความเสมอภาคของประชาชนในการเข้าถึงและใช้ประโยชน์คลื่นความถี่ ที่ใช้ในกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม
(จ) พิจารณาอนุญาตและกำกับดูแลสิทธิในการเข้าใช้วงโคจรดาวเทียมอันเป็นสมบัติของชาติ และการใช้ช่องสัญญาณดาวเทียมต่างชาต
(ฉ) ส่งเสริมการรวมกลุ่มของผู้รับใบอนุญาต ผู้ผลิตรายการ และผู้ประกอบวิชาชีพ สื่อสารมวลชนที่เกี่ยวกับกิจการกระจายเสียงและกิจการโทรทัศน์เป็นองค์กรในรูปแบบต่าง ๆ เพื่อทําหน้าที่จัดทํามาตรฐานทางจริยธรรมของการประกอบอาชีพหรือวิชาชีพและการควบคุม การประกอบอาชีพ หรือวิชาชีพกันเองภายใต้มาตรฐานทางจริยธรรม
(ช) ตรวจสอบและให้คําปรึกษา แนะนําการประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม
(ซ) รับและพิจารณาเรื่องร้องเรียนเกี่ยวกับการใช้คลื่นความถี่ การประกอบกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อตรวจสอบและแก้ไขปัญหาหรือเสนอความเห็นต่อ กสทช. เพื่อพิจารณาตามหลักเกณฑ์ที่ กสทช. กําหนด
(ฌ) ใช้ประกอบการบริหารจัดการกิจการภายในของสำนักงาน กสทช.
ทั้งนี้ กำหนดให้มีผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้รวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลที่ใช้ร่วมกัน
ในกรณีที่สำนักงาน กสทช. จะนำข้อมูลส่วนบุคคลที่ผู้ใช้บริการให้ข้อมูลไว้ไปใช้ เพื่อวัตถุประสงค์อย่างอื่นหรือที่นอกเหนือจากที่ระบุไว้ โดยจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน และผู้ใช้บริการมีสิทธิห้ามไม่ให้ใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์ที่ได้ระบุไว้ในครั้งแรก สำหรับกรณีที่ผู้ใช้บริการได้ให้ความยินยอมให้นำข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์อย่างอื่นหรือที่นอกเหนือจากที่ระบุไว้แล้ว หากประสงค์จะยกเลิกการให้ความยินยอมดังกล่าว ก็สามารถแจ้งการยกเลิกได้โดยวิธีการส่งจดหมายอิเล็กทรอนิกส์มาที่ ๑๒๐๐@nbtc.go.th หรือศูนย์ Call Center ๑๒๐๐ หรือมาติดต่อด้วยตนเอง ณ สำนักงาน กสทช.
ข้อ ๗ การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
ในกรณีที่ผู้ใช้บริการได้ให้ข้อมูลต่าง ๆ กับสำนักงาน กสทช. ผ่านทางเว็บไซต์ของสำนักงาน กสทช. และประสงค์จะแก้ไขหรือปรับปรุงข้อมูลดังกล่าวให้ถูกต้อง หรือให้เป็นปัจจุบัน สามารถติดต่อสำนักงาน กสทช. ได้โดยช่องทางเว็บไซต์ของสำนักงาน กสทช. https://www.nbtc.go.th หรือศูนย์ Call Center ๑๒๐๐ หรือมาติดต่อด้วยตนเอง ณ สำนักงาน กสทช. ทั้งนี้ ให้สำนักเจ้าของข้อมูลเป็นผู้แก้ไขหรือปรับปรุงข้อมูลให้ถูกต้องหรือให้เป็นปัจจุบัน
ข้อ ๘ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
สำนักงาน กสทช. มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นไปตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน กสทช. ที่ทางสำนักงาน กสทช. กำหนด และสอดคล้องตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC ๒๗๐๐๑ โดยมีการปฏิบัติ ดังนี้
(ก) เสริมสร้างความสำนึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่พนักงาน และผู้ที่เกี่ยวข้อง ด้วยการเผยแพร่ข้อมูลข่าวสารให้ความรู้ จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจำ โดยเป็นไปตามประกาศสำนักงาน กสทช. เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน กสทช.
(ข) จำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้ให้เฉพาะพนักงานที่มีความจำเป็นต้องใช้ข้อมูลในการปฏิบัติงานในหน้าที่ในแต่ละลำดับชั้น และจัดให้มีการบันทึกและทำสำรองข้อมูลของการเข้าถึงหรือ การเข้าใช้งานในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด นอกจากนี้ ในบางกรณีอาจจะใช้การเข้ารหัส SSL เพื่อรักษาความมั่นคงปลอดภัยในการส่งผ่านข้อมูล โดยเป็นไปตามประกาศสำนักงาน กสทช. เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน กสทช.
(ค) จัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์หรือระบบสารสนเทศทั้งหมดอย่างน้อยปีละ 1 ครั้ง โดยเป็นไปตามประกาศสำนักงาน กสทช. เรื่อง นโยบายและ แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน กสทช.
(ง) กำหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญยิ่งหรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของสำนักงาน กสทช. หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลอย่างชัดเจน เช่น หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์ เป็นต้น โดยเป็นไปตามประกาศสำนักงาน กสทช. เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน กสทช.
(จ) เว็บไซต์ของสำนักงาน กสทช. เป็นเว็บไซต์สำหรับบุคคลทั่วไป ไม่ได้ออกแบบหรือมีเจตนาเพื่อเก็บข้อมูลส่วนบุคคลจากผู้เยาว์ จึงใคร่ขอให้พ่อแม่ผู้ปกครองดูแลผู้เยาว์ของท่านขณะเข้าเว็บไซต์ นอกจากนี้ สำนักงาน กสทช. จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ที่มีการเก็บข้อมูลของผู้เยาว์ ได้แก่ การขอความยินยอมในกรณีที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ การควบคุมการเข้าถึงฐานข้อมูลที่มีการจัดเก็บข้อมูลส่วนบุคคลของผู้เยาว์ การจัดเก็บข้อมูล log ที่สามารถตรวจติดตามการเข้าถึงและแก้ไขข้อมูลบนระบบที่จัดเก็บข้อมูลของผู้เยาว์ซึ่งต้องมีการพัฒนาตามข้อกำหนดด้านความมั่นคงปลอดภัยและอยู่ในสภาพแวดล้อมที่มีการรักษาความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001
ข้อ ๙ การติดต่อกับเว็บไซต์
ในกรณีที่ผู้ใช้บริการมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน กสทช. ผู้ใช้บริการสามารถติดต่อได้ที่สำนักงาน กสทช.
ที่อยู่ : ๘๗ ถนนพหลโยธิน ซอย ๘ แขวงสามเสนใน เขตพญาไท กรุงเทพมหานคร ๑๐๔๐๐
โทรศัพท์ : ๐๒-๖๗๐-๘๘๘๘
โทรสาร : ๐๒-๒๗๑-๓๕๑๖
Email : [email protected]
เว็บไซต์ : https://www.nbtc.go.th