1. คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น พนักงาน หรือ ผู้มีส่วนได้เสียที่เกี่ยวข้องกับมูลนิธิเพื่อสถาบันพัฒนาวิสาหกิจขนาดกลางและขนาดย่อม
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ผู้ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่งตั้งขึ้นเพื่อทาหน้าที่ ให้คาแนะนา และตรวจสอบการดาเนินงานเพื่อให้การเก็บรวบรวม ใช้ และเปิดเผยประมวลผลข้อมูลส่วนบุคคล เป็นไปตามข้อกาหนดของกฎหมาย รวมทั้งเป็นผู้ประสานงานและให้ความร่วมมือกับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงหน่วยงานอื่นที่เกี่ยวข้อง
“คณะทางานคุ้มครองข้อมูลส่วนบุคคล” หมายถึง ผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ให้เป็นคณะทางานเพื่อเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลให้เป็นระบบเดียวกัน เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองตามนโยบายของมูลนิธิฯและหรือตามที่กฎหมายกำหนด
2. หน้าที่ความรับผิดชอบ
2.1. คณะกรรมการมูลนิธิ
1) พิจารณาอนุมัติ นโยบาย และแนวปฏิบัติเกี่ยวกับการเก็บรวบรวมข้อมูลส่วนบุคคล การใช้หรือเปิดเผยข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคล การแต่งตั้งผู้ควบคุมข้อมูลส่วนบุคคลและการประเมินความเสี่ยง ความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
2) กำหนดให้มีการทบทวนนโยบายและแนวปฏิบัติในด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อย อย่างน้อย ปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ เพื่อให้เป็นปัจจุบันสอดคล้องกับกฎหมายที่เกี่ยวข้อง
3) ส่งเสริมและสนับสนุนให้มีการนานโยบายและแนวทางปฏิบัติฉบับนี้ไปปฏิบัติอย่างเป็นระบบ
2.2. คณะกรรมการสถาบัน
1) จัดให้มีการควบคุมการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคลในการดำเนินงานของสถาบัน
2) เสนอแต่งตั้งผู้ควบคุมข้อมูลส่วนบุคคล
3) สนับสนุนการทำงานของผู้ควบคุมข้อมูลส่วนบุคคลในการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
2.3. ผู้อานวยการสถาบัน
1) จัดให้มีมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล การจัดหาเครื่องมือ และอุปกรณ์ อย่างเพียงพอ รวมถึงการบริหารจัดการระบบการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายและสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
2) จัดให้มีการดำเนินงานจัดทำรายละเอียดเกี่ยวกับข้อมูลส่วนบุคคลในการเก็บ ใช้ รักษาตามความจำเป็นในการทำงาน พร้อมเหตุผลความจำเป็นในการใช้ และให้มีการจัดเก็บอย่างเหมาะสม มีการกำหนดระยะเวลาจัดเก็บ และทำลายตามระยะเวลาที่กำหนด
3) จัดให้มีมาตรการ แนวทางและคู่มือการปฏิบัติงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
4) แต่งตั้งคณะทางานคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย ผู้อานวยการฝ่าย ทุกฝ่าย เพื่อร่วมกันกำหนดข้อมูลที่จะเก็บ ใช้ รักษา ตรวจสอบการใช้ข้อมูลส่วนบุคคล ให้ครบถ้วน เป็นระบบเดียวกันและสอดคล้องกับกฎหมายที่เกี่ยวข้อง
5) เป็นผู้ทบทวน / อนุมัติการใช้ การคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกินจากอำนาจของผู้ประมวลผลข้อมูล หรือ การส่งข้อมูลไปให้หน่วยงานภายนอก หรือต่างประเทศที่เกี่ยวข้อง ให้เป็นไปตามกฎหมายที่เกี่ยวข้อง
6) จัดให้มีการประชุมทบทวนระบบการคุ้มครองข้อมูลอย่างน้อยปีละ หนึ่งครั้ง เพื่อให้มั่นใจว่าการคุ้มครองเป็นไปตามนโยบายฉบับนี้ และตามกฎหมายที่กำหนดไว้
7) ส่งเสริมให้พนักงานปฏิบัติตามนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และตักเตือน ลงโทษทางวินัย กรณีพบเห็นการปฏิบัติไม่ถูกต้องเหมาะสม
2.4. คณะทางานคุ้มครองข้อมูลส่วนบุคคล
1) จัดทารายการข้อมูล การขอ การใช้ การเก็บรักษา การตรวจสอบและการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับนโยบายและกฎหมายที่เกี่ยวข้อง
2) รวบรวมข้อมูลส่วนบุคคล ที่เกี่ยวข้อง ส่งให้ผู้อำนวยการสถาบันทบทวน อนุมัติ
3) กำกับ ตรวจสอบให้พนักงานในฝ่าย เก็บ ใช้ รักษาข้อมูลส่วนบุคคลที่หน่วยงานตนเองเกี่ยวข้องให้เป็นไปตามนโยบายฉบับนี้ และ ตามที่กฎหมายกำหนด
4) ร่วมกันทบทวน การเก็บ การใช้ การรักษาข้อมูลส่วนบุคคลอย่างน้อยปีละ หนึ่งครั้ง เพื่อให้มั่นใจว่าการคุ้มครองเป็นไปตามนโยบายนี้และตามที่กฎหมายกำหนด และให้เป็นปัจจุบัน รายงานต่อผู้อำนวยการสถาบัน
2.5. ผู้ควบคุมข้อมูลส่วนบุคคล2
1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการักษาความมั่นคงปลอดภัยที่เหมาะสม
2) กรณีต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดาเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ
3) จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
4) แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
5) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้เป็นไปตามที่กฎหมายกำหนด
2.6. ผู้ประมวลผลข้อมูลส่วนบุคคล4
1) ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาสั่งนั้นขัดต่อกฎหมาย
2) จัดให้มีมาตรการักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงสาเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
2.7. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล5
1) ให้คาแนะนาแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
3) ประสานงานและให้ความร่วมมือกับสานักงานคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
2.8. พนักงานผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1) แจ้งเจ้าของข้อมูลส่วนบุคคลให้ได้รับทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ก่อนหรือขณะเก็บข้อมูลส่วนบุคคล และสิทธิต่างๆของเจ้าของข้อมูลส่วนบุคคล
2) ดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น แก้ไข เปลี่ยนแปลง และ/หรือลบ/ทำลายข้อมูลส่วนบุคคล ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ ตามมาตรการที่กำหนด พร้อมทั้งบันทึกรายการและจัดเก็บหลักฐานในการทาธุรกรรมดังกล่าวไว้อย่างครบถ้วน
3) รับผิดชอบในการจัดเก็บ ดูแล รักษา และป้องกันการใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่มูลนิธิ ฯ ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอม ทั้งนี้ตามที่กาหนดไว้ในนโยบายและแนวทางปฏิบัติฉบับนี้ ตลอดจนแนวทาง มาตรการและคู่มือการปฏิบัติงานที่เกี่ยวข้อง
3. แนวปฏิบัติ
3.1. วัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
มูลนิธิฯ จะรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปด้วยความเรียบร้อย มีความปลอดภัยมั่นคง และสอดคล้องกับกฎหมาย เพื่อประโยชน์ในการบริหารจัดการ การให้บริการแก่เจ้าของข้อมูล เมื่อเข้าใช้บริการต่างๆ รวมถึงเพื่อประโยชน์ในการวิเคราะห์ข้อมูลการนาเสนอบริการ หรือผลิตภัณฑ์ใดของมูลนิธิฯ และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย หรือ เพื่อปฏิบัติตามกฎหมาย หรือกฎ ระเบียบต่างๆที่เกี่ยวข้อง และจะจัดให้มีการกำหนดวัตถุประสงค์ในระดับกิจกรรมที่เกี่ยวข้องเพื่อความชัดเจนในการคุ้มครองข้อมูลส่วนบุคคลต่อไป
3.2. การเก็บรวบรวมข้อมูลส่วนบุคคล
1) มูลนิธิฯจะดาเนินการเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จาเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและเป็นธรรม ซึ่งเป็นไปตามหลักเกณฑ์ ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
2) แจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลส่วนบุคคลรับทราบ ก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แล้วแต่กรณี ให้เป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนด
3) การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานองเดียวกันตามที่กฎหมายกำหนด จะต้องได้รับความยินยอมโดยชัดแจ้งเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคล
สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
- เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ เวชศาสตร์ป้องกันหรือ
อาชีวเวชศาสตร์ การประเมินความสามารถในการทางานของลูกจ้าง กานวินิจฉัยโรคทางการแพทย์
การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การป้องกันด้านสุขภาพจากโรคติดต่อ
อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร การคุ้มครองแรงงาน
การประกันสังคมหลักประกันสุขภาพแห่งชาติ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
หรือประโยชน์สาธารณะอื่นที่สำคัญ
3.3. การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
1) มูลนิธิฯจะไม่เปิดเผยข้อมูลส่วนบุคคล หรือแสดง หรือทาให้ปรากฏ ในลักษณะอื่นใดของข้อมูลส่วนบุคคล ที่ไม่สอดคล้องกับวัตถุประสงค์ ของการเก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่ได้รับความยินยอมจาก เจ้าของข้อมูลส่วนบุคคล หรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือ เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือ เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินาภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
2) การส่งหรือการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐาน การคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอทั้งนี้ต้องเป็นไปตามหลักเกณฑ์ การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกาหนด เว้นแต่เป็นการปฏิบัติตามกฎหมาย หรือ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคคลแล้ว
3) ในกรณีที่มูลนิธิฯว่าจ้างหน่วยงานภายนอกให้ดำเนินการใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล มูลนิธิฯจะต้องจัดให้มีการลงนามในบันทึกข้อตกลง การไม่เปิดเผยข้อมูล เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ก่อน การปฏิบัติงาน หรือเข้าถึงและใช้ข้อมูลส่วนบุคคล โดยที่มีหลักเกณฑ์หรือแนวทางในการคุ้มครองข้อมูลส่วนบุคคล ไม่น้อยกว่าหลักเกณฑ์ที่กาหนดไว้ในนโยบายและแนวทางปฏิบัตินี้
3.4. การเก็บรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
1) จัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่กฎหมายกาหนด เพื่อป้องกันการทำลาย การแก้ไข และ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
2) เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นภายใต้วัตถุประสงค์ที่เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล
3) เอกสารที่ไม่มีการทาธุรกรรมต่อกัน เช่น ใบสมัครงานที่รับเข้าทำงาน ใบเสนอราคา ข้อเสนอที่ไม่ได้รับการพิจารณา จะเก็บไว้ไม่เกินหกเดือน
4) เอกสารที่ใช้ในการดาเนินงาน เช่นข้อมูลของพนักงานที่จ้างทำงาน ข้อมูลผู้ใช้บริการ จะเก็บไว้ตลอดเวลาที่ทำงานและหลังจากสิ้นสุดการทางานแล้วไม่น้อยกว่า สิบปี
3.5. การดาเนินการตามสิทธิของเจ้าของข้อมูล
1) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ
2) ผู้ควบคุมข้อมูลส่วนบุคคลจะปฏิเสธคาขอได้เฉพาะในกรณีที่เป็นการปฏิเสธทางกฎหมายหรือคาสั่งศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
3) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนโดยการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
3.6. การรักษาความปลอดภัย และการลบหรือทาลายข้อมูลส่วนบุคคล
1) กำหนดให้มีมาตรการในการรักษาปลอดภัยของข้อมูลส่วนบุคคล อย่างเหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ การแก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพ รวมทั้งการประเมินและการบริหารความเสี่ยง
2) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล ที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลหมดความจาเป็น ในการเก็บรักษาไว้ตามวัตถุประสงค์ หรือเมื่อเจ้าของข้อมูลส่วนบุคคล ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
4. การทบทวนนโยบาย
มูลนิธิฯ จะทาการทบทวนนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อย ปีละ 1 ครั้ง เพื่อให้สอดคล้องกับสภาวการณ์ที่เกิดขึ้นและเปลี่ยนแปลงไปหรือเมื่อมีการเปลี่ยนแปลงกฎหมายหรือจำเป็นต้องเปลี่ยนแปลงหลักเกณฑ์ที่เป็นสาระสาคัญที่กำหนดไว้ในนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้
ในกรณีที่มีการเปลี่ยนแปลงนโยบายและแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลนี้ มูลนิธิฯจะดำเนินการเผยแพร่ผ่านเว็บไซต์ www.ismed.or.th
5. การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติและนโยบายที่เกี่ยวข้องกับ ข้อมูลส่วนบุคคล
มูลนิธิมีการเปิดเผยนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลนี้ และหากมีการแก้ไขหรือปรับปรุง จะดำเนินการเผยแพร่ผ่านเว็บไซด์ www.ismed.or.th
6. ช่องทางการติดต่อ
ในกรณีที่ผู้ใช้บริการมีข้อสงสัย ข้อเสนอแนะเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล มูลนิธิยินดีตอบข้อสงสัย รับฟังข้อเสนอแนะ อันจะเป็นประโยชน์ต่อการปรับปรุงการให้บริการของมูลนิธิต่อไป โดยสามารถติดต่อมูลนิธิได้ที่
มูลนิธิเพื่อสถาบันพัฒนาวิสาหกิจขนาดกลางและขนาดย่อม เลขที่ 99 หมู่ 18 ถนน ป๋วยอึ๊งภากรณ์ มหาวิทยาลัยธรรมศาสตร์ ศูนย์รังสิต ตำบล คลองหนึ่ง อำเภอ คลองหลวง จังหวัด ปทุมธานี 12120 โทร.02 1054 778 เว็บไซต์ www.ismed.or.th