(Data Processing Addendum : DPA)
แพลตฟอร์มดิจิทัลประชาชน
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (“ข้อตกลง”) ฉบับนี้ ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลในการใช้บริการแพลตฟอร์มดิจิทัลประชาชน ที่พัฒนาหรือจัดหาโดย สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (“สพร.”) และหน่วยงานร่วมผู้ให้บริการ (“หน่วยงาน”)
โดยที่หน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตกลงมอบหมายให้ สพร. ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทนหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เพื่อสนับสนุนให้หน่วยงานสามารถให้การบริการประชาชนและผู้ประกอบการในรูปแบบและช่องทางดิจิทัล ตามมาตรา ๔ แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ โดยการให้บริการผ่านแพลตฟอร์มดิจิทัลประชาชน ดังนั้น ทั้งสองฝ่ายจึงทำข้อตกลงกัน โดยมีรายละเอียดดังนี้
๑. สพร. เป็นผู้ให้บริการแพลตฟอร์มดิจิทัลประชาชน ซึ่งเป็นระบบกลางของประเทศที่รวบรวมงานบริการภาครัฐ เพื่ออำนวยความสะดวกแก่ประชาชน และผู้ประกอบการในการติดต่อขอรับบริการผ่านช่องทางออนไลน์ อาศัยอำนาจตามมาตรา ๑๐ (๕) แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ ที่กำหนดให้ สพร. มีหน้าที่ในการสนับสนุนการเชื่อมโยงบริการดิจิทัลของหน่วยงานภาครัฐให้เกิดบริการแบบเบ็ดเสร็จตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกำหนด เพื่ออำนวยความสะดวกให้แก่ประชาชน
๒. ข้อมูลส่วนบุคคลและข้อมูลที่จำเป็นที่หน่วยงานมอบหมายให้ สพร .ประมวลผล ประกอบด้วย
๒.๑ ข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการ บันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน ซึ่งอาจครอบคลุมถึง
๒.๑.๑ ข้อมูลเกี่ยวกับบุคคล เช่น เลขประจำตัวประชาชน ชื่อ นามสกุล วันเดือนปี พ.ศ. เกิด เป็นต้นc
๒.๑.๒ ข้อมูลสำหรับการติดต่อ (contact information) เช่น ที่อยู่ เบอร์โทรศัพท์บ้านหรือมือถืออีเมลล หรือรหัสต่าง ๆ เป็นต้น
๒.๑.๓ ข้อมูลที่เกี่ยวกับครอบครัว เช่น ชื่อ นามสกุล อายุ วันเกิด สถานภาพ จำนวนบุตร เป็นต้น
๒.๒ ข้อมูลส่วนบุคคลที่หน่วยงานใช้แพลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการ
๒.๓ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงานบันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อประกอบการพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ประชาชนหรือผู้ประกอบการ
๒.๔ ข้อมูลส่วนบุคคลที่หน่วยงานเชื่อมโยงจากหน่วยงานของตน หรือหน่วยงานที่เกี่ยวข้องผ่านแพลตฟอร์มดิจิทัลประชาชน เพื่อสนับสนุนการอนุมัติ อนุญาต หรือการให้บริการแก่ประชาชนหรือผู้ประกอบการ
๒.๕ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงาน จำเป็นต้องนำเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ผู้ประกอบการ
๒.๖ ข้อมูลจราจรทางคอมพิวเตอร์ ซึ่ง สพร.จำเป็นต้องจัดเก็บตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ซึ่งครอบคลุมถึงข้อมูล IP Address ของผู้ใช้งาน รายละเอียดของเว็บเบราว์เซอร์
๒.๗ ข้อมูลเกี่ยวกับการใช้งาน แบบไม่ระบุตัวตนผู้ใช้งาน เพื่อประโยชน์ในการรวบรวมข้อมูลเชิงสถิติ และนำมาใช้ปรับปรุงคุณภาพของการให้บริการโดย สพร. ซึ่งบางกรณีอาจใช้ซอฟต์แวร์ Google Analytics และ/หรือซอฟต์แวร์อื่น ๆ ในลักษณะเดียวกัน
๓. ทั้งสองฝ่ายรับทราบว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม โดย ทั้งสองฝ่ายจะดำเนินการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อคุ้มครองให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างเหมาะสมและถูกต้องตามกฎหมาย
โดยในการดำเนินการตามข้อตกลงนี้ สพร. จะประมวลผลข้อมูลส่วนบุคคลตามลักษณะการทำงานของระบบในแพลตฟอร์มที่ สพร. เป็นผู้กำหนดขึ้น โดยการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ครอบคลุมถึง
๓.๑ การรับ และส่งต่อข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการบันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน
๓.๒ กรณีที่หน่วยงานพิจารณาอนุมัติ อนุญาต หรือให้บริการ โดยใช้แพลตฟอร์มดิจิทัลประชาชน สพร. จะดำเนินการดังต่อไปนี้
๓.๒.๑ การจัดเก็บข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการ บันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน
๓.๒.๒ การรับ และจัดเก็บ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงานบันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อประกอบการพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ประชาชนหรือผู้ประกอบการ
๓.๒.๓ การเชื่อมโยง และจัดเก็บ ข้อมูลส่วนบุคคลที่หน่วยงานเชื่อมโยงจากระบบของตน หรือหน่วยงานที่เกี่ยวข้องผ่านแพลตฟอร์มดิจิทัลประชาชน เพื่อสนับสนุนการอนุมัติ อนุญาต หรือการให้บริการแก่ประชาชนหรือผู้ประกอบการ
๓.๒.๔ การจัดเก็บข้อมูลส่วนบุคคลของเจ้าหน้าที่ของหน่วยงาน ที่จำเป็นต้องเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ผู้ประกอบการ
๓.๓ การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ซึ่ง สพร. จำเป็นต้องจัดเก็บตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ซึ่งครอบคลุมถึงข้อมูล IP Address ของผู้ใช้งาน รายละเอียดของเว็บเบราว์เซอร์
๓.๔ การประมวลผลข้อมูลเกี่ยวกับการใช้งาน แบบไม่ระบุตัวตนผู้ใช้งาน เพื่อประโยชน์ในการรวบรวมข้อมูลเชิงสถิติ และนำมาใช้ปรับปรุงคุณภาพของการให้บริการโดย สพร. ซึ่งบางกรณีอาจใช้ซอฟต์แวร์ Google Analytics และ/หรือซอฟต์แวร์อื่น ๆ ในลักษณะเดียวกัน
๔. สพร. จะกำหนดให้การเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้ถูกจำกัดเฉพาะเจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ได้รับมอบหมาย มีหน้าที่เกี่ยวข้องหรือมีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้เท่านั้น และจะแจ้งให้เจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ได้รับมอบหมายจากสพร. ทำการประมวลผลและรักษาความลับของข้อมูลส่วนบุคคลด้วยมาตรฐานเดียวกัน
๕. สพร. จะควบคุมดูแลให้เจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ปฏิบัติหน้าที่ในการประมวลผลข้อมูลส่วนบุคคล ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และดำเนินการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของการดำเนินการตามข้อตกลงฉบับนี้เท่านั้น โดยจะไม่ทำซ้ำ คัดลอก ทำสำเนา บันทึกภาพข้อมูลส่วนบุคคลไม่ว่าทั้งหมดหรือแต่บางส่วนเป็นอันขาด เว้นแต่เป็นไปตามเงื่อนไขของบันทึกความร่วมมือหรือสัญญา (ถ้ามี) หรือกฎหมายที่เกี่ยวข้องจะระบุหรือบัญญัติไว้เป็นประการอื่น
๖. สพร. อาจดำเนินการเพื่อช่วยเหลือหรือสนับสนุนหน่วยงาน ในการตอบสนองต่อคำร้องที่เจ้าของข้อมูลส่วนบุคคลแจ้งต่อหน่วยงาน อันเป็นการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฏหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในขอบเขตของข้อตกลงฉบับนี้
อย่างไรก็ดี ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิดังกล่าวต่อ สพร. โดยตรง สพร. จะดำเนินการแจ้งและส่งคำร้องดังกล่าวให้แก่หน่วยงานทันที โดยสพร. จะไม่เป็นผู้ตอบสนองต่อคำร้องดังกล่าว เว้นแต่หน่วยงานจะได้มอบหมายเป็นลายลักษณ์อักษรให้ สพร. ดำเนินการเฉพาะเรื่องที่เกี่ยวข้องกับคำร้องดังกล่าว
๗. สพร. จะจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing) ทั้งหมดที่ สพร. ประมวลผลในขอบเขตของข้อตกลงฉบับนี้ และจะดำเนินการส่งมอบบันทึกรายการดังกล่าวให้แก่หน่วยงาน เมื่อมีการร้องขอ
๘. สพร. จะจัดให้มีและคงไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับการประมวลผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิคตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศกำหนดแ ละ/หรือตามมาตรฐานสากล โดยคำนึงถึงลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูลตามที่กำหนดในข้อตกลงฉบับนี้เป็นสำคัญ เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคล เช่น ความเสียหายอันเกิดจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย เป็นต้น
๙. เว้นแต่กฎหมายที่เกี่ยวข้องจะบัญญัติไว้เป็นประการอื่น สพร. จะทำการลบหรือทำลายข้อมูลส่วนบุคคลที่ทำการประมวลผลภายใต้ข้อตกลงฉบับนี้ภายใน ๓๐ วัน นับแต่วันที่ดำเนินการประมวลผลเสร็จสิ้น หรือวันที่หน่วยงานและ สพร. ได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกการให้บริการแพลตฟอร์มดิจิทัลประชาชน แล้วแต่กรณีใดจะเกิดขึ้นก่อน
นอกจากนี้ ในกรณีปรากฏว่า สพร. หมดความจำเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลตามข้อตกลงฉบับนี้ก่อนสิ้นระยะเวลาตามวรรคหนึ่ง สพร. จะทำการลบหรือทำลายข้อมูลส่วนบุคคลตามข้อตกลงฉบับนี้ทันที
๑๐. กรณีที่สพร. พบพฤติการณ์ใด ๆ ที่มีลักษณะที่กระทบต่อการรักษาความปลอดภัยของข้อมูล
ส่วนบุคคลที่สพร. ประมวลผลภายใต้ข้อตกลงฉบับนี้ ซึ่งอาจก่อให้เกิดความเสียหายจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบ
ด้วยกฎหมายแล้ว สพร. จะดำเนินการแจ้งให้หน่วยงานทราบโดยทันทีภายในเวลาไม่เกิน ๔๘ ชั่วโมง
๑๑. การแจ้งถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายใต้ข้อตกลงนี้ สพร. จะใช้มาตรการตามที่เห็นสมควรในการระบุถึงสาเหตุของการละเมิด และป้องกันปัญหาดังกล่าวมิให้เกิดซ้ำ และจะให้ข้อมูลแก่หน่วยงาน ภายใต้ขอบเขตที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนด ดังต่อไปนี้
- รายละเอียดของลักษณะและผลกระทบที่อาจเกิดขึ้นของการละเมิด
- มาตรการที่ถูกใช้เพื่อลดผลกระทบของการละเมิด
- ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิด หากมีปรากฎ
- ข้อมูลอื่น ๆ เกี่ยวข้องกับการละเมิด
๑๒. หน้าที่และความรับผิดของสพร. ในการปฏิบัติตามข้อตกลงนี้ จะสิ้นสุดลงนับแต่วันที่สพร. และหน่วยงาน ได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกการให้บริการแพลตฟอร์มดิจิทัลประชาชน อย่างไรก็ดี
การสิ้นผลลงของข้อตกลงนี้ ไม่กระทบต่อหน้าที่ของสพร. ในการลบหรือทำลายข้อมูลส่วนบุคคลตามที่ได้กำหนดในข้อ ๙ ของข้อตกลงฉบับนี้