นโยบายการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ ในวันที่ 1 มิถุนายน พ.ศ. 2565 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงหน่วยงานของรัฐที่มีการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคล ไม่ว่าโดยตรงหรือโดยอ้อม ประกอบกับ เพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่า กรมจะดูแลรักษาข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม กรมส่งเสริมการค้าระหว่างประเทศ ('กรม') ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จึงได้จัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลขึ้น
อาศัยอำนาจตามความในมาตรา 32 แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม มาตรา 5 และมาตรา 95 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 และมาตรา 7 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 กรมส่งเสริมการค้าระหว่างประเทศจึงออกประกาศไว้ ดังต่อไปนี้
ข้อ 1 ประกาศนี้มีชื่อว่า 'ประกาศกรมส่งเสริมการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565'
ข้อ 2 ประกาศนี้ให้มีผลบังคับใช้นับตั้งแต่บัดนี้เป็นต้นไป
ข้อ 3 ในประกาศนี้
'กรม' หมายความว่า กรมส่งเสริมการค้าระหว่างประเทศ
'บุคคล' หมายความว่า บุคคลธรรมดา
'ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
'ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data/Special Categorized Personal Data)' หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม หรือข้อมูลชีวภาพ
'ข้อมูลชีวภาพ' หมายความว่า ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยี ที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ
'เจ้าของข้อมูลส่วนบุคคล (Data Subject)' หมายความว่า บุคคลที่ข้อมูลส่วนบุคคลนั้นบ่งชี้ไปถึงและทําให้สามารถระบุตัวบุคคลนั้นได้
'ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)' หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
'ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)' หมายความว่า บุคคลหรือนิติบุคคลซึ่งทําการประมวลผลข้อมูลส่วนบุคคลในนามหรือตามคําสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
'การประมวลผลข้อมูลส่วนบุคคล' หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อ 4 วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
กรมมีภารกิจเกี่ยวกับการส่งเสริมการส่งออก ขยายตลาด สินค้าและธุรกิจบริการของไทย พัฒนาและสร้างมูลค่าเพิ่มของสินค้าและธุรกิจบริการส่งออก ให้บริการข้อมูลการค้า และเพิ่มศักยภาพการแข่งขันของผู้ประกอบการไทยในตลาดโลกเพื่อเพิ่มมูลค่าและปริมาณการส่งออกของประเทศไทย ดังนั้น การประมวลผลข้อมูลส่วนบุคคลเป็นไปเพื่อประโยชน์ในการดำเนินภารกิจและอำนาจหน้าที่ของกรม ตลอดจนการบริหารจัดการภายในองค์กรเพื่อสนับสนุนการดำเนินภารกิจต่าง ๆ ให้บรรลุเป้าหมายตามอำนาจหน้าที่ของกรม ได้แก่
(1) เสนอนโยบายและจัดทําเป็นเป้าหมายการส่งออกและแผนปฏิบัติการ รวมทั้งเสนอแนะ แนวทางและมาตรการด้านการค้าและการตลาด
(2) ดําเนินการเพื่อส่งเสริม พัฒนา และสนับสนุนการส่งออกสินค้าและธุรกิจบริการของไทย ทั้งในประเทศและต่างประเทศ
(3) จัดทําและให้บริการข้อมูลการค้าและส่งเสริมเทคโนโลยีสารสนเทศในส่วน ที่เกี่ยวข้องกับการส่งออกแก่ผู้ผลิต ผู้ส่งออกไทย ผู้ประกอบธุกิจบริการ และผู้นําเข้าในต่างประเทศ
(4) เผยแพร่และประชาสัมพันธ์สินค้าและธุรกิจบริการของไทยเพื่อส่งเสริมการส่งออก
(5) พัฒนาความรู้ความสามารถแก่ภาคเอกชนในด้านการค้าระหว่างประเทศเพื่อเสริมสร้าง ขีดความสามารถในการแข่งขันและสมรรถนะในการส่งออก ตลอดจนประสานงานและให้ความร่วมมือแก่สถาบันและองค์กรต่าง ๆ ทั้งในประเทศและต่างประเทศ
(6) ส่งเสริมและพัฒนารูปแบบผลิตภัณฑ์และตราสินค้าเพื่อเพิ่มมูลค่าให้กับสินค้าไทย และให้เป็นไปตามความต้องการของตลาดต่างประเทศ
(7) สนับสนุนและพัฒนาระบบโลจิสติกส์ทางการค้า
(8) ดำเนินการเกี่ยวกับงานการเจ้าหน้าที่ งานคลัง งานบัญชี การตรวจสอบภายใน งานพัสดุ งานนิติการ งานวิเทศสัมพันธ์และพิธีการขนส่งสินค้า
(9) ปฏิบัติการอื่นใดตามที่กฎหมายกําหนดให้เป็นอํานาจหน้าที่ของกรม หรือตามที่รัฐมนตรี หรือคณะรัฐมนตรีมอบหมาย
นอกจากนี้ กรมสามารถเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ดังต่อไปนี้
4.1 วัตถุประสงค์ที่กรมจำเป็นต้องได้รับความยินยอม
กรมอาศัยความยินยอมของเจ้าของข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้
ในกรณีที่จำเป็นต้องโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศที่อาจจะไม่มีระดับการคุ้มครองข้อมูลที่เพียงพอ และ
ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อใช้ในการประชาสัมพันธ์โครงการหรือกิจกรรมของกรม และ
ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อการสื่อสาร นำเสนอและประชาสัมพันธ์ข้อมูลข่าวสาร โครงการ กิจกรรมใหม่ของกรมให้แก่เจ้าของข้อมูลส่วนบุคคล และ
ในการเก็บรวบรวม การใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เพื่อการจัดอาหารที่เหมาะสมกับสุขภาพของเจ้าของข้อมูลส่วนบุคคล
4.2 วัตถุประสงค์ที่กรมอาจดำเนินการโดยอาศัยฐานข้อยกเว้นตามกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอม
อาศัยหลักเกณฑ์หรือฐานทางกฎหมายดังต่อไปนี้เพื่อเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งได้แก่
(1) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา สำหรับการเข้าทำสัญญาจ้างงานหรือการปฏิบัติตามสัญญาจ้างงานกับเจ้าของข้อมูลส่วนบุคคล
(2) เป็นการปฏิบัติหน้าที่ตามกฎหมาย
(3) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
(4) เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(5) เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่กรมได้รับมอบหมาย
ทั้งนี้ กรมจะอาศัยข้อยกเว้นใน (1) ถึง (5) ข้างต้น เพื่อการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ดังต่อไปนี้
ก. การปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือคำขอก่อนเข้าทำสัญญานั้น
ข. การพิจารณารับสมัครและคัดเลือกผู้เข้าร่วมการอบรมหรือโครงการของกรม
ค. การยืนยันตัวบุคคลและการติดต่อประสานงาน
ง. การจัดฝึกอบรม/สัมมนา การทดสอบและออกใบประกาศนียบัตร
จ. ติดตามผลลัพธ์ และ/หรือความก้าวหน้าที่เจ้าของข้อมูลส่วนบุคคลได้รับจากการเข้าร่วมฝึกอบรม โครงการหรือกิจกรรมของกรม (follow-up)
ฉ. เพื่อสร้างโอกาสทางการค้าระหว่างประเทศ โดยเฉพาะการส่งออก ให้กับผู้ประกอบการไทย ผ่านการแนะนำ/จับคู่ทางธุรกิจระหว่างผู้ซื้อ/ผู้นำเข้าสินค้า/บริการไทยกับผู้ประกอบการไทย (Business Matching)
ช. วิเคราะห์ข้อมูลเพื่อวางแผนการจัดกิจกรรมพัฒนาและส่งเสริมการค้าระหว่างประเทศให้เหมาะกับความต้องการของแต่ละพื้นที่หรือกลุ่มบุคคลหรือบุคคล
ซ. อื่น ๆ ที่กรมต้องการอย่างสมเหตุสมผล ตามที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ในเอกสารหรือวิธีการหรือช่องทางอื่น ๆ ที่เกี่ยวข้องใด ๆ แล้ว
กรมจะไม่เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่กรมได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล เว้นแต่ ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่กฎหมายกำหนดยกเว้นให้ไม่ต้องขอความยินยอม
ข้อ 5 การประมวลผลข้อมูลส่วนบุคคล
5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล
กรมจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ทั้งที่เป็นการดำเนินการทางกายภาพและด้วยวิธีการทางอิเล็กทรอนิกส์ ตามภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมตามที่ได้ระบุไว้ในข้อ 4 ด้วยวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยมีมาตรฐานการรักษาความปลอดภัยและมีการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ทั้งนี้ กรมจะเก็บรวบรวม ข้อมูลส่วนบุคคลได้ เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเมื่อมีข้อยกเว้นตามกฎหมายให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น
กรมจะใช้วิธีการที่ชอบด้วยกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยกรมจะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด และเป็นไปเพียงเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้ระบุไว้ในข้อ 4 และตามบทบัญญัติของกฎหมาย
กรมเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ไว้หรือมีอยู่กับกรม หรือที่กรมได้รับหรือเข้าถึงได้จากแหล่งอื่นที่น่าเชื่อถือ เช่น ข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยสู่สาธารณะ หรือจากหน่วยงานรัฐหรือเอกชนอื่นที่เป็นหน่วยงานพันธมิตรของกรม
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล หรือให้ข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบันแก่กรม อาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลที่ไม่สามารถทำธุรกรรมกับกรม หรืออาจไม่ได้รับความสะดวกหรือไม่ได้รับการปฏิบัติตามสัญญาที่มีอยู่กับกรม และอาจทำให้เจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายหรือเสียโอกาส และอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายใด ๆ ที่เจ้าของข้อมูลส่วนบุคคลหรือกรมต้องปฏิบัติตาม
ข้อมูลส่วนบุคคลที่กรมเก็บรวบรวม ใช้ และ/หรือเปิดเผย แบ่งเป็น 2 ประเภท ดังนี้
(1) ข้อมูลส่วนบุคคลทั่วไป เช่น
(1.1) ข้อมูลแสดงตนของเจ้าของข้อมูลส่วนบุคคล (Identification Information) และข้อมูลการติดต่อกับเจ้าของข้อมูลส่วนบุคคล เช่น ชื่อและนามสกุล เลขประจำตัวประชาชน ข้อมูลที่ปรากฏในสำเนาบัตรประชาชน เลขที่หนังสือเดินทาง รูปภาพ เพศ วัน/เดือน/ปีเกิด อายุ สถานภาพ ที่อยู่ อาชีพ สถานที่ทำงาน หมายเลขโทรศัพท์ หมายเลขโทรสาร ไปรษณีย์อิเล็กทรอนิกส์ (E-mail address)
(1.2) ข้อมูลเกี่ยวกับการทำงาน เช่น ตำแหน่งหรือยศ ตำแหน่งงาน แผนกงาน รายละเอียดเกี่ยวกับสัญญา ประวัติส่วนตัว ประวัติการศึกษา ประวัติการทำงาน เป็นต้น
(2) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลชีวภาพ ข้อมูลลายพิมพ์นิ้วมือ ภาพสแกนใบหน้า (face scan / face recognition) ข้อมูลประวัติอาชญากรรมรวมถึงความผิดที่ถูกกล่าวหาหรือฟ้องร้องดำเนินคดี ข้อมูลสุขภาพ เป็นต้น
ทั้งนี้ กรมไม่มีนโยบายจัดเก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่กรมได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือกรณีอื่นใดตามที่กฎหมายกำหนดให้ข้อยกเว้นสามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
5.2 การใช้ข้อมูลส่วนบุคคล
กรมจะใช้ข้อมูลส่วนบุคคลตามภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมที่ได้ระบุไว้ในข้อ 4 เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเมื่อมีกรณีอื่นใดภายใต้บทบัญญัติแห่งกฎหมายกำหนดให้สามารถดำเนินการได้
5.3 การเปิดเผยข้อมูลส่วนบุคคล
กรมจะเปิดเผยข้อมูลส่วนบุคคลเพื่อเป็นการปฏิบัติภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมที่ได้ระบุไว้ในข้อ 4 หรือให้บริการแก่เจ้าของข้อมูลส่วนบุคคลมีการร้องขอ หรือเป็นไปตามภาระผูกพันตามสัญญา เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือตามที่กฎหมายกำหนดให้เปิดเผย
ทั้งนี้ บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของกรม จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดที่นอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งไว้กับกรมเพื่อขอรับข้อมูลส่วนบุคคลนั้น
กรมจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่นตามวัตถุประสงค์ที่กรมได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยกรมจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้
(1) กรมได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(2) เป็นการจำเป็นเพื่อการทำธุรกรรมหรือกิจกรรมใด ๆ ของเจ้าของข้อมูลส่วนบุคคลให้สามารถดำเนินการได้โดยบรรลุวัตถุประสงค์ของเจ้าของข้อมูลส่วนบุคคล รวมทั้งการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือตามคำขอของเจ้าของข้อมูลส่วนบุคคล
(3) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การเปิดเผยแก่นิติบุคคลหรือองค์กรเพื่อการดำเนินการในการตรวจสอบและป้องกันการฉ้อฉล การบันทึกภาพในการประชุมหรือทำธุรกรรมกับกรม เพื่อการรักษาความปลอดภัยของกรม เป็นต้น
(4) เป็นการปฏิบัติตามกฎหมายหรือระเบียบหรือคำสั่งหรือประกาศของหน่วยงานที่มีอำนาจกำกับดูแล หรือหน่วยงานทางการที่มีอำนาจตามกฎหมาย เช่น กระทรวงพาณิชย์ กระทรวงแรงงาน สำนักงานประกันสังคม กรมพัฒนาฝีมือแรงงาน กรมบังคับคดี กองทุนเงินให้กู้ยืมเพื่อการศึกษา สำนักงานส่งเสริมและพัฒนาคุณภาพชีวิตคนพิการแห่งชาติ ศาล กรมบังคับคดี ตำรวจ สำนักงานคณะกรรมการพัฒนาระบบราชการ สำนักงบประมาณ หรือหน่วยงานราชการอื่นใด เป็นต้น ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมายและกฎระเบียบ หรือภาระหน้าที่ทางกฎหมาย
(5) เปิดเผยให้แก่บุคคลหรือนิติบุคคล หรือหน่วยงานพันธมิตร หรือองค์กรอื่นใด ที่เป็นผู้ให้บริการภายนอกของกรม (Outsource / Service Provider) หรือผู้รับจ้าง เช่น ธนาคาร ผู้ให้บริการชำระเงิน ผู้ให้บริการระบบสารสนเทศทรัพยากรบุคคล ผู้ให้บริการฝึกอบรม หรือผู้ให้บริการทางการเงิน เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สำหรับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่ระบุในข้อ 4 ของนโยบายฉบับนี้
หากภายหลังกรมมีการเปลี่ยนแปลงวัตถุประสงค์ในการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กรมจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่กรมรวบรวมและจัดเก็บทราบผ่านเอกสาร/หนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องของกรมตามความเหมาะสม พร้อมนี้กรมได้มีการกำหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย
ข้อ 6 สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนซึ่งอยู่ภายใต้การควบคุมของกรม ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้
6.1 สิทธิในการเพิกถอนความยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลเคยให้ไว้ตามวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้กำหนด ทั้งนี้ การเพิกถอนความยินยอมดังกล่าวสามารถดำเนินการได้ตลอดระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลได้จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้นไว้ เว้นแต่มีข้อจำกัดสิทธิดังกล่าวนั้นตามกฎหมายหรือตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับกรม
6.2 สิทธิขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล และให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
6.3 สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานได้โดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้ด้วยวิธีการอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมถึงมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
การใช้สิทธิดังกล่าวจะใช้กับการส่งหรือการโอนข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายไม่ได้
6.4 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ในกรณีดังต่อไปนี้
(1) กรณีเป็นข้อมูลส่วนบุคคลที่ได้รับการยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลไว้ได้โดยไม่ต้องได้รับความยินยอม เนื่องจากกรณีอย่างใดอย่างหนึ่งดังต่อไปนี้
(1.1) เป็นกรณีจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(1.2) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
(2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
(3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
6.5 สิทธิดำเนินการให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(1) เมื่อข้อมูลส่วนบุคคลของตนนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(2) เมื่อเจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน หรือเมื่อเจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน
(3) เมื่อข้อมูลส่วนบุคคลของตนที่ได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย
6.6 สิทธิให้ระงับการใช้ข้อมูลส่วนบุคคลของตน ในกรณีที่ข้อมูลส่วนบุคคลของตนต้องถูกลบหรือทำลาย เนื่องจากเป็นข้อมูลที่ได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย หรือข้อมูลส่วนบุคคลของตนนั้นหมดความจำเป็นในการเก็บรักษาไว้
6.7 สิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลของตนถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
6.8 สิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กรมหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของกรมหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือประกาศที่ออกตามกฎหมายดังกล่าวได้ที่
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา
ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
ข้อ 7 ระยะเวลาในการจัดเก็บข้อมูล
กรมจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่จำเป็นเพื่อการปฏิบัติตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือตามวัตถุประสงค์ที่กำหนดไว้ในข้อ 4 ของนโยบายฉบับนี้ หรือเมื่อหมดความจำเป็นในการจัดเก็บข้อมูลส่วนบุคคลนั้น ๆ ต่อไป โดยในกรณีที่เจ้าของข้อมูลส่วนบุคคลยุติความสัมพันธ์หรือสิ้นสุดธุรกรรมกับกรม หรือไม่มีการใช้บริการหรือการทำธุรกรรมกับกรมแล้ว กรมจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ตามระยะเวลาที่กำหนดหลังจากนั้น หรือจัดเก็บตามระยะเวลาที่กฎหมายกำหนด หรือตามอายุความ หรือเพื่อการใช้สิทธิเรียกร้องตามกฎหมาย ทั้งนี้ เมื่อสิ้นสุดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลดังกล่าว กรมจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลจะเป็นไปตามนโยบายการจัดเก็บข้อมูลส่วนบุคคล (Data Retention Policy) ของกรม ทั้งนี้ กรมอาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด
การจัดเก็บข้อมูลส่วนบุคคล หากอยู่ในรูปแบบหนังสืออิเล็กทรอนิกส์ให้ดำเนินการตามระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ ทั้งนี้ กำหนดระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลดังกล่าวให้เป็นไปตามย่อหน้าแรกของข้อ 7
ข้อ 8 คุณภาพของข้อมูลส่วนบุคคล
กรมมีการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อนำไปใช้ประโยชน์ต่อการดำเนินตามภารกิจ อำนาจหน้าที่ วัตถุประสงค์การดำเนินงานของกรม และตามบทบาทของส่วนงานสนับสนุนกรม โดยกรมจะให้ความสำคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูลส่วนบุคคลที่จัดเก็บ
ข้อ 9 ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
กรมจะไม่นำข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไปใช้ประโยชน์หรือเปิดเผยแก่บุคคลอื่นนอกเหนือจากวัตถุประสงค์ในการดำเนินงานตามภารกิจ อำนาจหน้าที่ วัตถุประสงค์การดำเนินงานของกรม และบทบาทส่วนงานสนับสนุนของกรม เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือมีข้อยกเว้นตามกฎหมายอนุญาตให้กรมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น เป็นกรณีที่เป็นการเปิดเผยข้อมูลแก่คู่สัญญาที่ให้บริการกับกรมซึ่งจำเป็นต้องใช้ข้อมูลส่วนบุคคล
ข้อ 10 การรักษาความมั่นคงปลอดภัย
กรมมีมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยกรมจะธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมาย และไม่ต่ำกว่าที่กำหนดไว้ในประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 หรือตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนุบคคล
ข้อ 11 การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล
กรมจะจัดให้มีช่องทางเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบความมีอยู่และความถูกต้อง รวมถึงมีสิทธิดำเนินการเพิกถอนความยินยอม เข้าถึง แก้ไข ลบ คัดค้านการประมวลผลข้อมูลส่วนบุคคลได้ ผ่านทางหนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศของกรมตามความเหมาะสม
ข้อ 12 ข้อมูลที่เกี่ยวกับบุคคลภายนอก
หากบุคคลใดให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอื่น เช่น การให้ข้อมูลส่วนบุคคลของคู่สมรส บุตร บิดา มารดา บุคคลในครอบครัว ผู้รับผลประโยชน์ บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง และบุคคลอื่นที่เกี่ยวข้องกับการถือหลักทรัพย์ของบุคคลนั้นแก่กรม บุคคลดังกล่าวรับรองว่ามีอำนาจและได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลที่จะให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่กรม และมีหน้าที่ในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง
ข้อ 13 การเปลี่ยนแปลงนโยบาย
กรมจะดำเนินการทบทวนนโยบายเป็นประจำเพื่อให้สอดคล้องกับกฎหมาย และแนวปฏิบัติที่เกี่ยวข้อง หากมีการดำเนินการเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล กรมจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและขอความยินยอมก่อนทุกครั้ง ทั้งนี้ ตามหลักเกณฑ์และวิธีการที่กรมกำหนด
ข้อ 14 ข้อมูลส่วนบุคคลที่กรมเก็บรวบรวมมาก่อนกฎหมายบังคับใช้ (บทเฉพาะกาล)
กรมจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่กรมได้เก็บรวบรวมไว้ก่อนที่พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ต่อไปตามวัตถุประสงค์เดิม ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลมีความประสงค์จะเพิกถอนความยินยอมดังกล่าวนั้นให้สามารถดำเนินการได้ ผ่านทางหนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศของกรม
ข้อ 15 กฎหมายที่บังคับใช้และเขตอำนาจศาล
นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อยู่ภายใต้การบังคับและตีความตามกฎหมายไทย และให้ศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น
ข้อ 16 ช่องทางการติดต่อกรม
กรมส่งเสริมการค้าระหว่างประเทศ (บางกระสอ) 563 ถนนนนทบุรี ตำบลบางกระสอ อำเภอเมือง จังหวัดนนทบุรี 11000 หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ได้ที่ อีเมล dpo@ditp.go.th เบอร์โทรศัพท์ 0-2507-7999
หนังสือขอความยินยอมในการนำข้อมูลส่วนบุคคลไปใช้ เพื่อการประชาสัมพันธ์แจ้งข่าวสาร และการส่งข้อมูลให้กับผู้ประกอบการในต่างประเทศ
กรมส่งเสริมการค้าระหว่างประเทศ ('กรม') ได้ดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ. 2562 สำหรับการเก็บรวบรวม ใช้ ประมวลผล และเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ต่าง ๆ ตามที่ได้ระบุไว้ด้านล่างนี้
ทั้งนี้ หากท่านมีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ ประมวลผล และเปิดเผยข้อมูลส่วนบุคคลของท่าน ระยะเวลาที่กรมจะเก็บ วิธีการเก็บรักษา และมาตรฐานในการรักษาความปลอดภัยข้อมูลส่วนบุคคลของท่าน หรือข้อมูลสิทธิในข้อมูลส่วนบุคคล ช่องทาง วิธีการใช้สิทธิและถอดถอนความยินยอมการใช้ข้อมูลส่วนบุคคลของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล
ท่านสามารถเลือกที่จะให้ความยินยอมหรือไม่ให้ความยินยอม โดยไม่ส่งผลต่อการเข้ารับบริการหรือสมัครเป็นสมาชิกกรม ทั้งนี้ หากท่านไม่ให้ความยินยอมหรือถอนความยินยอม กรมจะไม่สามารถประชาสัมพันธ์ข่าวสาร สิทธิพิเศษ กิจกรรม โครงการ หรืองานอื่น ๆ ของกรมและหน่วยงานพันธมิตรอันเป็นประโยชน์ต่อท่าน หรือ จะไม่สามารถสร้างโอกาสในการเจรจาธุรกิจการค้าระหว่างประเทศให้แก่ท่านได้ โดยท่านสามารถยกเลิก ความยินยอมได้ที่ แบบฟอร์มการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล