คู่มือระบบบริหาร จัดการ คุ้มครองข้อมูลส่วน บุคคล

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(Thailand’s Personal Data Protection Act B.E. 2019) หรือ PDPA

ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ
เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานหลักประกันสุขภาพแห่งชาติ
พ.ศ. ๒๕๖๕
____________

                    โดยที่เป็นการสมควรกำหนดแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ของสำนักงานหลักประกันสุขภาพแห่งชาติ ให้เป็นไปพระราชกฤษฎีกากําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ ที่กำหนดให้หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไปไว้
                    อาศัยอํานาจตามความในมาตรา ๓๑ วรรคหนึ่ง และมาตรา ๓๖ (๒) แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. ๒๕๔๕ ประกอบมาตรา ๖ และมาตรา ๗ แห่งพระราชกฤษฎีกากําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ เลขาธิการสํานักงานหลักประกันสุขภาพแห่งชาติ จึงออกประกาศไว้ ดังต่อไปนี้
                    ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง แนวนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน พ.ศ. ๒๕๖๕”
                    ข้อ ๒ ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ ๑ เมษายน พ.ศ. ๒๕๖๕ เป็นต้นไป
                    ข้อ ๓ ในประกาศนี้ 
                    “สำนักงาน” หมายความว่า สำนักงานหลักประกันสุขภาพแห่งชาติ และให้หมายความรวมถึงสำนักงานสาขาด้วย
                    “เลขาธิการ” หมายความว่า เลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ
                    “ผู้ปฏิบัติงาน” หมายความว่า ผู้ปฏิบัติงานตามข้อบังคับคณะกรรมการหลักประกันสุขภาพแห่งชาติ ว่าด้วยการบริหารงานบุคคล
                    “แนวนโยบาย” หมายความว่า หลักการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานกำหนดขึ้นและประกาศใช้งาน
                    “แนวปฏิบัติ” หมายความว่า ข้อปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่สำนักงานกำหนดขึ้นและประกาศใช้งาน เพื่อให้ผู้ใช้งานปฏิบัติตามโดยเคร่งครัด
                    “บุคคล” หมายความว่า บุคคลธรรมดา
                    “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
                    “เจ้าของข้อมูล” หมายความว่า บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลหรือผู้มีสิทธิโดยชอบตามกฎหมาย
                    “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า สำนักงานซึ่งเป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
                    “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลซึ่งมีหน้าที่ดำเนินการตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลตามรูปแบบการ “ขอความยินยอมจากบุคคลผู้เป็นเจ้าของข้อมูล” การเก็บรวบรวม การใช้ การเปิดเผย และการรักษาความมั่นคงปลอดภัยของข้อมูล ตามวิธีการหรือมาตรการ ที่เหมาะสมตามที่ผู้ควบคุมข้อมูลกำหนด ทั้งนี้ บุคคลดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
                    “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า ผู้ปฏิบัติงานหรือบุคคลภายนอก ซึ่งเป็นผู้มีความรู้ด้านกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เข้าใจกิจกรรมการประมวลผลข้อมูลขององค์กร เข้าใจงานด้านเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัย มีความรู้เกี่ยวกับองค์กร และมีความสามารถที่จะสร้างวัฒนธรรมคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร
                    “ข้อมูลนิรนาม” หมายความว่า ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
                    ข้อ ๔ แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน ประกอบด้วย
                    (๑) การกำหนดและแยกแยะข้อมูลส่วนบุคคล
                    (๒) การนำข้อมูลส่วนบุคคลไปใช้หรือการประมวลผลข้อมูลส่วนบุคคล
                    (๓) แนวปฏิบัติเกี่ยวกับหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
                    (๔) แนวปฏิบัติในการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
                    (๕) แนวปฏิบัติเกี่ยวกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หรือองค์การระหว่างประเทศ
                    (๖) แนวปฏิบัติเกี่ยวกับการการจัดทำข้อมูลนิรนาม
                    ข้อ ๕ ในกรณีที่กฎหมาย กฎ ระเบียบ ข้อบังคับ ประกาศ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลการดำเนินงานธุรกรรมทางอิเล็กทรอนิกส์ กำหนดแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลไว้เป็นอย่างอื่น ให้ถือปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ ประกาศ ว่าด้วยการนั้น
                    ข้อ ๖ การกำหนดและแยกแยะข้อมูลส่วนบุคคล ประกอบด้วย
                    (๑) การกำหนดความหมาย และขอบเขตของข้อมูลส่วนบุคคล
                    (๒) การตรวจสอบข้อมูลส่วนบุคคล
                    (๓) แหล่งที่มาความเชื่อมโยง และเส้นทางของข้อมูลส่วนบุคคลในสำนักงาน
                    (๔) การกำหนดความเสี่ยงของข้อมูลส่วนบุคคล
                    (๕) การกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล
                    (๖) ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ
                    ข้อ ๗ การนำข้อมูลส่วนบุคคลไปใช้หรือการประมวลผลข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากบุคคลผู้เป็นเจ้าของข้อมูล ภายใต้หลักการดังต่อไปนี้
                    ข้อ ๘ ให้มีแนวปฏิบัติเกี่ยวกับหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนี้
                    (๑) แนวปฏิบัติเกี่ยวกับสิทธิหน้าที่โดยทั่วไปของผู้ควบคุมข้อมูลส่วนบุคคล
                    (๒) แนวปฏิบัติเกี่ยวกับสิทธิหน้าที่โดยทั่วไปของผู้ประมวลผลข้อมูลส่วนบุคคล
                    (๓) แนวปฏิบัติเกี่ยวกับสิทธิหน้าที่โดยทั่วไปของผู้เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
                    (๔) แนวปฏิบัติเกี่ยวกับการจัดทำข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล
                    (๕) แนวปฏิบัติของผู้ควบคุมข้อมูลส่วนบุคคลในการรับคำร้องขอตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
                    (๖) แนวปฏิบัติตามคำร้องขอตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
                    (๗) แนวปฏิบัติของผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอ
                    (๘) แนวปฏิบัติเกี่ยวกับการจัดการคำร้องขอจากรัฐหรือเจ้าหน้าที่รัฐ
                    (๙) ความรับผิดทางแพ่ง ความรับผิดทางอาญา และโทษทางปกครอง
                    ข้อ ๙ การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล มีขั้นตอนที่จะต้องพิจารณา ดังนี้
                    (๑) ขอบเขตการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
                    (๒) ขั้นตอนของการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
                    ข้อ ๑๐ การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศจะต้องเป็นไปตามหลักเกณฑ์และเงื่อนไขว่าประเทศปลายทางหรือองค์การระหว่างประเทศนั้น มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือไม่
                    ข้อ ๑๑ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ให้กำหนดมาตรการหรือกระบวนการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยจัดทำเป็นข้อมูลนิรนาม
                    ข้อ ๑๒ เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน เป็นไปอย่างมีประสิทธิภาพและสามารถปฏิบัติได้อย่างเป็นรูปธรรม ให้แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน เป็นไปตามรายละเอียดที่กำหนดไว้แนบท้ายประกาศนี้
                    ข้อ ๑๓ ในกรณีที่เจ้าของข้อมูล มีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับแนวนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน สามารถติดต่อได้ที่ ผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำนักงานหลักประกันสุขภาพแห่งชาติ เลขที่ ๑๒๐ ชั้น ๒-๔ หมู่ ๓ อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติ ๘๐ พรรษา ๕ ธันวาคม ๒๕๕๐ ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร ๑๐๒๑๐ โทรศัพท์ ๐๒ ๑๔๑ ๔๐๐๐ โทรสาร ๐๒ ๑๔๑ ๙๗๓๐-๑ เว็บไซต์ : www.nhso.go.th
                    ข้อ ๑๔ ให้ส่วนงานภายในสำนักงานที่เกี่ยวข้องในการรวบรวม จัดเก็บ ใช้ เปิดเผยและดําเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคล เป็นผู้รับผิดชอบในการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคลที่ตนจัดเก็บตามประกาศนี้โดยเคร่งครัด
                    ข้อ ๑๕ ให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน ทบทวนแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน ให้เป็นปัจจุบันอย่างน้อย ปีละ ๑ ครั้ง
                    ข้อ ๑๖ กรณีมีปัญหาเกี่ยวกับการปฏิบัติตามประกาศนี้ ให้เลขาธิการเป็นผู้มีอำนาจวินิจฉัยชี้ขาดโดยอาจมอบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพิจารณาเสนอความเห็นก่อนก็ได้

ประกาศ  ณ  วันที่   ๑๓  เมษายน  พ.ศ.  ๒๕๖๕