ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

(Data Processing Addendum : DPA)
แพลตฟอร์มดิจิทัลประชาชน

ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (“ข้อตกลง”) ฉบับนี้ ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลในการใช้บริการแพลตฟอร์มดิจิทัลประชาชน ที่พัฒนาหรือจัดหาโดย สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (“สพร.”) และหน่วยงานร่วมผู้ให้บริการ (“หน่วยงาน”)

โดยที่หน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตกลงมอบหมายให้ สพร. ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแทนหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เพื่อสนับสนุนให้หน่วยงานสามารถให้การบริการประชาชนและผู้ประกอบการในรูปแบบและช่องทางดิจิทัล   ตามมาตรา ๔ แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ โดยการให้บริการผ่านแพลตฟอร์มดิจิทัลประชาชน ดังนั้น ทั้งสองฝ่ายจึงทำข้อตกลงกัน โดยมีรายละเอียดดังนี้  

๑. สพร. เป็นผู้ให้บริการแพลตฟอร์มดิจิทัลประชาชน ซึ่งเป็นระบบกลางของประเทศที่รวบรวมงานบริการภาครัฐ เพื่ออำนวยความสะดวกแก่ประชาชน และผู้ประกอบการในการติดต่อขอรับบริการผ่านช่องทางออนไลน์ อาศัยอำนาจตามมาตรา ๑๐ (๕) แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ ที่กำหนดให้ สพร. มีหน้าที่ในการสนับสนุนการเชื่อมโยงบริการดิจิทัลของหน่วยงานภาครัฐให้เกิดบริการแบบเบ็ดเสร็จตามที่คณะกรรมการพัฒนารัฐบาลดิจิทัลกำหนด เพื่ออำนวยความสะดวกให้แก่ประชาชน

๒. ข้อมูลส่วนบุคคลและข้อมูลที่จำเป็นที่หน่วยงานมอบหมายให้ สพร .ประมวลผล ประกอบด้วย

    ๒.๑ ข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการ บันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน ซึ่งอาจครอบคลุมถึง

                    ๒.๑.๑ ข้อมูลเกี่ยวกับบุคคล เช่น เลขประจำตัวประชาชน ชื่อ นามสกุล วันเดือนปี พ.ศ. เกิด เป็นต้นc

          ๒.๑.๒ ข้อมูลสำหรับการติดต่อ (contact information) เช่น ที่อยู่ เบอร์โทรศัพท์บ้านหรือมือถืออีเมลล หรือรหัสต่าง ๆ เป็นต้น

             ๒.๑.๓ ข้อมูลที่เกี่ยวกับครอบครัว เช่น ชื่อ นามสกุล อายุ วันเกิด สถานภาพ จำนวนบุตร เป็นต้น

    ๒.๒ ข้อมูลส่วนบุคคลที่หน่วยงานใช้แพลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการ

              ๒.๓ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงานบันทึกเข้าสู่พลตฟอร์มดิจิทัลประชาชน เพื่อประกอบการพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ประชาชนหรือผู้ประกอบการ

              ๒.๔ ข้อมูลส่วนบุคคลที่หน่วยงานเชื่อมโยงจากหน่วยงานของตน หรือหน่วยงานที่เกี่ยวข้องผ่านแพลตฟอร์มดิจิทัลประชาชน เพื่อสนับสนุนการอนุมัติ อนุญาต หรือการให้บริการแก่ประชาชนหรือผู้ประกอบการ

              ๒.๕ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงาน จำเป็นต้องนำเข้าสู่พลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ผู้ประกอบการ

              ๒.๖ ข้อมูลจราจรทางคอมพิวเตอร์ ซึ่ง สพร.จำเป็นต้องจัดเก็บตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ซึ่งครอบคลุมถึงข้อมูล IP Address ของผู้ใช้งาน รายละเอียดของเว็บเบราว์เซอร์

              ๒.๗ ข้อมูลเกี่ยวกับการใช้งาน แบบไม่ระบุตัวตนผู้ใช้งาน เพื่อประโยชน์ในการรวบรวมข้อมูลเชิงสถิติ และนำมาใช้ปรับปรุงคุณภาพของการให้บริการโดย สพร. ซึ่งบางกรณีอาจใช้ซอฟต์แวร์ Google Analytics และ/หรือซอฟต์แวร์อื่น ๆ ในลักษณะเดียวกัน

๓. ทั้งสองฝ่ายรับทราบว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม โดย ทั้งสองฝ่ายจะดำเนินการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อคุ้มครองให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปอย่างเหมาะสมและถูกต้องตามกฎหมาย

     โดยในการดำเนินการตามข้อตกลงนี้ สพร. จะประมวลผลข้อมูลส่วนบุคคลตามลักษณะการทำงานของระบบในแพลตฟอร์มที่ สพร. เป็นผู้กำหนดขึ้น โดยการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ครอบคลุมถึง

๓.๑ การรับ และส่งต่อข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการบันทึกเข้าสู่พลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน

๓.๒ กรณีที่หน่วยงานพิจารณาอนุมัติ อนุญาต หรือให้บริการ โดยใช้แพลตฟอร์มดิจิทัลประชาชน สพร. จะดำเนินการดังต่อไปนี้

๓.๒.๑ การจัดเก็บข้อมูลส่วนบุคคลที่ประชาชนหรือผู้ประกอบการ บันทึกเข้าสู่พลตฟอร์มดิจิทัลประชาชน เพื่อขออนุมัติ อนุญาต หรือขอรับบริการจากหน่วยงาน

๓.๒.๒ การรับ และจัดเก็บ ข้อมูลส่วนบุคคลที่เจ้าหน้าที่ของหน่วยงานบันทึกเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อประกอบการพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ประชาชนหรือผู้ประกอบการ

๓.๒.๓ การเชื่อมโยง และจัดเก็บ ข้อมูลส่วนบุคคลที่หน่วยงานเชื่อมโยงจากระบบของตน หรือหน่วยงานที่เกี่ยวข้องผ่านพลตฟอร์มดิจิทัลประชาชน เพื่อสนับสนุนการอนุมัติ อนุญาต หรือการให้บริการแก่ประชาชนหรือผู้ประกอบการ

๓.๒.๔ การจัดเก็บข้อมูลส่วนบุคคลของเจ้าหน้าที่ของหน่วยงาน ที่จำเป็นต้องเข้าสู่แพลตฟอร์มดิจิทัลประชาชน เพื่อพิจารณาอนุมัติ อนุญาต หรือให้บริการแก่ผู้ประกอบการ

๓.๓ การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ซึ่ง สพร. จำเป็นต้องจัดเก็บตามกฎหมายว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ ซึ่งครอบคลุมถึงข้อมูล IP Address ของผู้ใช้งาน รายละเอียดของเว็บเบราว์เซอร์

๓.๔ การประมวลผลข้อมูลเกี่ยวกับการใช้งาน แบบไม่ระบุตัวตนผู้ใช้งาน เพื่อประโยชน์ในการรวบรวมข้อมูลเชิงสถิติ และนำมาใช้ปรับปรุงคุณภาพของการให้บริการโดย สพร. ซึ่งบางกรณีอาจใช้ซอฟต์แวร์ Google Analytics และ/หรือซอฟต์แวร์อื่น ๆ ในลักษณะเดียวกัน

๔. สพร. จะกำหนดให้การเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้ถูกจำกัดเฉพาะเจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ได้รับมอบหมาย มีหน้าที่เกี่ยวข้องหรือมีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้เท่านั้น และจะแจ้งให้เจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ได้รับมอบหมายจากสพร. ทำการประมวลผลและรักษาความลับของข้อมูลส่วนบุคคลด้วยมาตรฐานเดียวกัน

๕. สพร. จะควบคุมดูแลให้เจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ปฏิบัติหน้าที่ในการประมวลผลข้อมูลส่วนบุคคล ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และดำเนินการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ของการดำเนินการตามข้อตกลงฉบับนี้เท่านั้น โดยจะไม่ทำซ้ำ คัดลอก ทำสำเนา บันทึกภาพข้อมูลส่วนบุคคลไม่ว่าทั้งหมดหรือแต่บางส่วนเป็นอันขาด เว้นแต่เป็นไปตามเงื่อนไขของบันทึกความร่วมมือหรือสัญญา (ถ้ามี) หรือกฎหมายที่เกี่ยวข้องจะระบุหรือบัญญัติไว้เป็นประการอื่น

๖. สพร. อาจดำเนินการเพื่อช่วยเหลือหรือสนับสนุนหน่วยงาน ในการตอบสนองต่อคำร้องที่เจ้าของข้อมูลส่วนบุคคลแจ้งต่อหน่วยงาน อันเป็นการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฏหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในขอบเขตของข้อตกลงฉบับนี้

อย่างไรก็ดี ในกรณีที่เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องขอใช้สิทธิดังกล่าวต่อ สพร. โดยตรง สพร. จะดำเนินการแจ้งและส่งคำร้องดังกล่าวให้แก่หน่วยงานทันที โดยสพร. จะไม่เป็นผู้ตอบสนองต่อคำร้องดังกล่าว เว้นแต่หน่วยงานจะได้มอบหมายเป็นลายลักษณ์อักษรให้ สพร. ดำเนินการเฉพาะเรื่องที่เกี่ยวข้องกับคำร้องดังกล่าว

๗. สพร. จะจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing) ทั้งหมดที่ สพร. ประมวลผลในขอบเขตของข้อตกลงฉบับนี้ และจะดำเนินการส่งมอบบันทึกรายการดังกล่าวให้แก่หน่วยงาน เมื่อมีการร้องขอ

๘. สพร. จะจัดให้มีและคงไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับการประมวลผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิคตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศกำหนดแ ละ/หรือตามมาตรฐานสากล โดยคำนึงถึงลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูลตามที่กำหนดในข้อตกลงฉบับนี้เป็นสำคัญ เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคล เช่น ความเสียหายอันเกิดจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย เป็นต้น

๙. เว้นแต่กฎหมายที่เกี่ยวข้องจะบัญญัติไว้เป็นประการอื่น สพร. จะทำการลบหรือทำลายข้อมูลส่วนบุคคลที่ทำการประมวลผลภายใต้ข้อตกลงฉบับนี้ภายใน ๓๐ วัน นับแต่วันที่ดำเนินการประมวลผลเสร็จสิ้น หรือวันที่หน่วยงานและ สพร. ได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกการให้บริการแพลตฟอร์มดิจิทัลประชาชน แล้วแต่กรณีใดจะเกิดขึ้นก่อน

     นอกจากนี้ ในกรณีปรากฏว่า สพร. หมดความจำเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลตามข้อตกลงฉบับนี้ก่อนสิ้นระยะเวลาตามวรรคหนึ่ง สพร. จะทำการลบหรือทำลายข้อมูลส่วนบุคคลตามข้อตกลงฉบับนี้ทันที

๑๐. กรณีที่สพร. พบพฤติการณ์ใด ๆ ที่มีลักษณะที่กระทบต่อการรักษาความปลอดภัยของข้อมูล
ส่วนบุคคลที่สพร. ประมวลผลภายใต้ข้อตกลงฉบับนี้ ซึ่งอาจก่อให้เกิดความเสียหายจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบ
ด้วยกฎหมายแล้ว สพร. จะดำเนินการแจ้งให้หน่วยงานทราบโดยทันทีภายในเวลาไม่เกิน ๔๘ ชั่วโมง

๑๑. การแจ้งถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นภายใต้ข้อตกลงนี้ สพร. จะใช้มาตรการตามที่เห็นสมควรในการระบุถึงสาเหตุของการละเมิด และป้องกันปัญหาดังกล่าวมิให้เกิดซ้ำ และจะให้ข้อมูลแก่หน่วยงาน ภายใต้ขอบเขตที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนด ดังต่อไปนี้

  • รายละเอียดของลักษณะและผลกระทบที่อาจเกิดขึ้นของการละเมิด
  • มาตรการที่ถูกใช้เพื่อลดผลกระทบของการละเมิด
  • ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิด หากมีปรากฎ
  • ข้อมูลอื่น ๆ เกี่ยวข้องกับการละเมิด

๑๒. หน้าที่และความรับผิดของสพร. ในการปฏิบัติตามข้อตกลงนี้ จะสิ้นสุดลงนับแต่วันที่สพร. และหน่วยงาน ได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกการให้บริการแพลตฟอร์มดิจิทัลประชาชน อย่างไรก็ดี
การสิ้นผลลงของข้อตกลงนี้ ไม่กระทบต่อหน้าที่ของสพร. ในการลบหรือทำลายข้อมูลส่วนบุคคลตามที่ได้กำหนดในข้อ ๙ ของข้อตกลงฉบับนี้

ส่งข้อความถึงเรา

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • เปิดใช้งานตลอด

บันทึกการตั้งค่า