ประกาศสำนักงานการบินพลเรือนแห่งประเทศไทย
เรื่อง การคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคลากร
พ.ศ. ๒๕๖๕
___________________________
ด้วยสำนักงานการบินพลเรือนแห่งประเทศไทยได้ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และมีจุดมุ่งหมายที่จะให้มีการบริหารจัดการข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวบรวม ใช้ เปิดเผย รวมถึงการเก็บรักษาข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย และมีความชัดเจนในการนำไปปฏิบัติได้อย่างมีประสิทธิภาพ และเป็นไปด้วยความถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และกฎหมายอื่นที่เกี่ยวข้อง อาศัยอำนาจตามความในมาตรา ๒๘ (๘) แห่งพระราชกำหนดการบินพลเรือนแห่งประเทศไทย พ.ศ. ๒๕๕๘ ผู้อำนวยการสำนักงานการบินพลเรือนแห่งประเทศไทยจึงออกประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า "ประกาศสำนักงานการบินพลเรือนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานการบินพลเรือนแห่งประเทศไทย พ.ศ. ๒๕๖๕"
ข้อ ๒ ให้ยกเลิกประกาศสำนักงานการบินพลเรือนแห่งประเทศไทย เรื่อง นโยบาย
การคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓
ข้อ ๓ ประกาศนี้ให้ใช้บังคับตั้งแต่วันประกาศเป็นต้นไป
ข้อ ๔ คำนิยาม
"กพท." หมายความว่า สำนักงานการบินพลเรือนแห่งประเทศไทย
"บุคลากรของ กพท." หมายความว่า พนักงาน ลูกจ้าง หรือผู้ปฏิบัติงานตามอำนาจหน้าที่
ของสำนักงานการบินพลเรือนแห่งประเทศไทย
"บุคคล" หมายความว่า บุคคลธรรมดา
"ข้อมูลส่วนบุคคล" หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
"ข้อมูลส่วนบุคคลที่มีความอ่อนไหว" หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ
เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ
อาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่กำหนดไว้ในมาตรา ๒๖ แห่งพระระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ
เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
"ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ
การเก็บรวบรวม ไข้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
"เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หมายความว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ที่ได้รับการแต่งตั้งจาก กพท. เพื่อปฏิบัติหน้าที่ตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ข้อ ๕ ข้อมูลส่วนบุคคลที่ กพท. ทำการเก็บรวบรวม และแหล่งที่มาของขัอมูล
(๑) ข้อมูลส่วนบุคคลของผู้ใช้บริการและผู้มีส่วนได้เสีย
(ก) ข้อมูลที่ได้รับจากเอกสารและการแสดงตัวตน หรือชื่อที่สามารถเชื่อมโยงไปยัง
ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ เช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน อายุ วัน-เดือน-ปีเกิด ที่อยู่ หรือสถานที่ติดต่อ หน่วยงานเจ้าสังกัด หมายเลขโทรศัพท์ อีเมล์ เป็นต้น
(ข) ข้อมูลด้านการเงิน เช่น เลขบัญชีธนาคาร สถานะทางภาษี เป็นต้น
(ค) ข้อมูลอื่น ๆ ที่ผู้ใช้บริการและผู้มีส่วนได้เสียมอบให้กับ กพท. ระหว่างการติดต่อ
ประสานงานกับ กพท. หรือตามที่ กพท. ร้องขอให้จัดส่งเพื่อประกอบการดำเนินงานตามอำนาจหน้าที่
(ง) ข้อมูลส่วนบุคคลที่ได้รับมาจากหน่วยงานอื่น เช่น กรมพัฒนาธุรกิจการค้า
กรมการปกครอง เป็นต้น
(๒) ข้อมูลส่วนบุคคลด้านการบริหารงานทรัพยากรบุคคล
(ก) ข้อมูลที่ได้รับจากเอกสารและการแสดงตัวตน หรือมูลที่สามามามารื่อมโองไปตัง
ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ เช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน อายุ วัน-เดือน-ปีเกิด ที่อยู่ หรือสถานที่ติดต่อ หน่วยงานเจ้าสังกัด หมายเลขโทรศัพท์ อีเมล เป็นต้น
(ข) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ
ข้อมูลชีวภาพ เป็นต้น
(ค) ข้อมูลด้านการเงิน เช่น เลขบัญชีธนาคาร สถานะทางภาษี เป็นต้น
(ง) ข้อมูลส่วนบุคคลที่ระบุตัวตนของบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว
ในครอบครัวของบุคลากรของ กพท. (คู่สมรส บุตร หรือบิดามารดา) เพื่อการบริหารทรัพยากรบุคคลของ กพท. เช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน วัน-เดือน-ปีเกิดของบุตรที่ยังไม่บรรลุนิติภาวะ หรือข้อมูลสุขภาพ เป็นต้น
(๓) ข้อมูลส่วนบุคคลด้านการบริหารสำนักงาน
(ก) ข้อมูลส่วนบุคคลที่ระบุตัวตนของบุคคลซึ่งเข้าร่วมกระบวนการจัดซื้อจัดจ้าง
การบริหารพัสดุ และงานคลัง เช่น ชื่อ-นามสกุล เลชบัตรประจำตัวประชาชน อายุ วัน-เดือน-ปีเกิด ที่อยู่
หรือสถานที่ติดต่อ หน่วยงานเจ้าสังกัด หมายเลขโทรศัพท์ อีเมล์ เป็นต้น
(ข) ข้อมูลส่วนบุคคลที่บ่งชี้ตัวตนของบุคคลซึ่งเข้าร่วมประชุม อบรม สัมนา กิจกรรม
หรือรับบริการอื่นใด เช่น ชื่อ-นามสกุล ที่อยู่หรือสถานที่ติดต่อ หมายเลขโทรศัพท์ อีเมล ประวัติการทำงานหน่วยงานเจ้าสังกัด ลายมือชื่อ ภาพถ่าย เป็นต้น
ข้อ ๖ วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กพท. มีความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ในการตรวจสอบความถูกต้องของข้อมูล และเพื่อประโยชน์ในการดำเนินการตามที่กำหนดไว้ในพระราชบัญญัติการเดินอากาศ พ.ศ. ๒๔๙๗ และที่แก้ไขเพิ่มเติม หรือกฎหมายอื่น ๆ ที่เกี่ยวข้อง รวมถึงตามวัตถุประสงค์และอำนาจหน้าที่ของ กพท. ที่ระบุไว้ในพระราชกำหนดการบินพลเรือนแห่งประเทศไทย พ.ศ. ๒๕๕๘ และจะทำการเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น
ปัจจุบัน กพท. ได้นำเทคโนโลยีสารสนเทศมาประยุกต์ใช้ในการดำเนินการของ กพท. หลายด้าน โดยมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นเอกสาร ภาพ เสียง หรือข้อมูลอิเล็กทรอนิกส์ รวมทั้งมีการนำข้อมูลส่วนบุคคลมาประมวลผลเพื่อประโยชน์ในการดำเนินงานของ กพท. ด้วย ดังนั้น กพท. จึงจำเป็นต้องสร้างการรับรู้และตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้แก่บุคลากรของ กพท. ผู้ขอใบรับรองและใบอนุญาต ผู้ได้รับใบรับรองและใบอนุญาต ผู้ร้องเรียน ผู้ใช้บริการผ่านระบบอิเล็กทรอนิกส์ บุคคลอื่นที่เกี่ยวข้องกับการดำเนินการของ กพท. เพื่อให้การบริหารจัดการเกี่ยวกับข้อมูลส่วนบุคคลเป็นไปในแนวทางเดียวกัน และสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.ศ. ๒๕๖๒ ซึ่งจะเป็นการป้องกันไม่ให้เกิดการละเมิดสิทธิหรือก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
ข้อ ๗ การเคารพสิทธิส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
กพท. ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและจะเคารพสิทธิ
และเสร็ภาพส่วนบุคคลตามกฎหมายอย่างเคร่งครัด และ กพท. จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคลเฉพาะในกรณีที่มีความจำเป็นต้องดำเนินการตามวัตถุประสงค์ที่กำหนดไว้ในข้อ ๖ นอกจากนี้ กพท. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลมีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และมีคุณภาพ รวมทั้ง กพท. จะดำเนินการมาตรการที่เข้มงวดในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาต หรือมิชอบด้วยกฎหมาย
อย่างไรก็ตาม กพท. อาจมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการศึกษาวิจัยหรือการจัดทำสถิติหรือการดำเนินการอื่นใดที่เป็นไปตามวัตถุประสงค์การดำเนินงานของ กพท. ตามที่กฎหมายกำหนด หรือเพื่อปรับปรุงคุณภาพการบริหารตามภารกิจของ กพท. ซึ่ง กพท. จะได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และได้รับความยินยอมจากเจ้าของข้อมูลแล้ว
กรณีที่ กพท. มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์อื่นนอกจากที่กำหนด
ไว้ในข้อ ๖ กพท. จะขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน และเจ้าของข้อมูลส่วนบุคคล อาจเพิกถอนความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามสิทธิของเจ้าของข้อมูล ส่วนบุคคลที่กฎหมายกำหนดไว้
กพท. จัดให้มีการบันทึกข้อมูลสารสนเทศเกี่ยวกับข้อมูลการจราจรคอมพิวเตอร์ของเจ้าของ
ข้อมูลส่วนบุคคล เช่น หมายเลขไอพี (IP Address) และโปรแกรมเบราว์เซอร์ (Browser) เพื่อวัตถุประสงค์ในการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์หรือแอพพลิเคชั่นของ กพท. และเพื่อการตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน ทั้งนี้ กพท. อาจดำเนินการเองหรือใช้บริการจากหน่วยงานภายนอกในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
ข้อ ๘ หลักการการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลที่ กพท. เก็บรวบรวม ใช้ หรือเปิดเผยอาจกระทำในรูปแบบเอกสาร ภาพ เสียง หรือข้อมูลอิเล็กทรอนิกส์ ซึ่ง กพท. จะดำเนินการเท่าที่จำเป็นตามอำนาจหน้าที่ของ กพท. และภายใต้วัตถุประสงค์ที่กำหนดไว้ในข้อ ๖ รวมทั้งเป็นไปตามขอบเขตที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ดังต่อไปนี้
(๑) การเก็บรวบรวมข้อมูลส่วนบุคคล
(ก) กพท. จะดำเนินการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และเท่าที่จำเป็นในการดำเนินงานและภายใต้วัตถุประสงค์ที่กำหนดไว้ในข้อ ๖
(ข) กพท. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคลทุกครั้ง เว้นแต่กรณีที่มีความจำเป็นตามที่กฎหมายกำหนด พร้อมแจ้งวัตถุประสงค์ของการเก็บรวบรวมข้อมูลดังกล่าวและรายละเอียดที่เกี่ยวข้อง โดย กพท. จะรักษาข้อมลส่วนบคคลดังกล่าวไว้เป็นความลับ
(ค) กพท. จะไม่จัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่จะได้รับความยินยอม
จากเจ้าของข้อมูลส่วนบุคคลนั้นก่อน หรือเป็นกรณีที่ กพท. จะต้องปฏิบัติให้เป็นไปตามกฎหมายหรือมี
กฎหมายบัญญัติให้กระทำได้
(ง) กพท. จะไม่กระทำการใด ๆ แตกต่างไปจากที่ระบุในวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมหรือเป็นกรณีที่กฎหมายกำหนด
(จ) กพท. จะรวบรวมและจัดเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเท่านั้น เว้นแต่เป็นกรณีที่กฎหมายอนุญาตให้ กพท. สามารถเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นได้ โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ กพท. อาจนำข้อมูลส่วนบุคคลที่ กพท. ได้รับมาจากแหล่งอื่นมาผนวกกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลผู้นั้นได้
เฉพาะในกรณีที่มีความจำเป็นเพื่อประโยชน์ในการปรับปรุงข้อมูลส่วนบุคคลให้ถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และเพื่อการพัฒนาประสิทธิภาพ ประสิทธิผลในการดำเนินงานของ กพท.
(๒) การนำข้อมูลส่วนบุคคลไปใช้ หรือเปิดเผย
(ก) กพท. จะใช้ประโยชน์หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคลากรของ กพท.
หรือผู้ประมวลผลข้อมูลส่วนบุคคลของ กพท. ตามที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
และวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น
(ข) กพท. จะกำกับดูแลไม่ให้บุคลากรของ กพท. หรือผู้ประมวลผลข้อมูลส่วนบุคคคลนำข้อมูลส่วนบุคคลไปใช้ประโยชน์หรือเปิดเผยแก่บุคคลอื่นนอกเหนือไปจากวัตถุประสงค์ในการดำเนินงานของ กพท. เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะพี่เก็บรวบรวมข้อมูลส่วนบุคคลทุกครั้ง หรือเป็นกรณีที่ กพพ. จะต้องปฏิบัติให้เป็นไปตามกฎหมายหรือมีกฎหมายบัญญัติให้กระทำได้
(ค) กพท. อาจให้บุคคลหรือหน่วยงานอื่นเข้าถึงหรือใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นและเพื่อให้เป็นตามวัตถุประสงค์และอำนาจหน้าที่ของ กพท. โดยเป็นไปตามกฎหมายหรือวัตถุประสงค์ที่ได้แจ้งกับเจ้าของข้อมูลส่วนบุคคลตามข้อ ๘ (๑) และดำเนินการตามมาตรา ๒๘ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
(ง) ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลภายนอก กพท. จะจัดให้มีข้อตกลงระหว่าง กพท. กับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติตามข้อกำหนดเกี่ยวกับการรักษาความมั่นคงปลอดภัย การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามที่กพท.
กำหนดเท่านั้น ทั้งนี้ กพท. จะจัดให้มีการควบคุมและตรวจสอบการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายและข้อตกลงดังกล่าวอย่างเศร้างเครัดด้วย
(จ) การเปิดเผยข้อมูลส่วนบุคคลไม่ว่ากรณีใด กพท. จะจัดให้มีการบันทึกข้อมูลไว้เป็นหลักฐาน ตามหลักเกณฑ์และวิธีการตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนดเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
ข้อ ๙ การเก็บรักษาและการทำลายข้อมูลส่วนบุคคล
กพท. อาจเก็บรักษาข้อมูลส่วนบุคคลในรูปแบบเอกสาร ภาพ เสียง หรือข้อมูลอิเล็กทรอนิกส์โดยกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีมาตรฐานเหมาะสมและสอดคล้องกับกฎหมายที่เกี่ยวข้องทั้งทางกายภาพและกระบวนการเก็บรวบรวม การเก็บรักษาการใช้งาน และการเปิดเผยข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย เข้าถึง ทำลาย ใช้ แก้ไขเปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ที่ไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
ทั้งนี้ กพท. จะจัดให้มีระบบการตรวจสอบระยะเวลาการเก็บรักษาและการทำลายข้อมูล
ส่วนบุคคลให้สอดคล้องกับระยะเวลาและแนวปฏิบัติที่เกี่ยวข้องกับระเบียบสำนักนายกรัฐมนตรีว่าด้วย
งานสารบรรณ พ.ศ. ๒๕๒๖ และที่แก้ไขเพิ่มเติม
ข้อ ๑๐ การรักษาความมั่นคงปลอดภัย
กพท. จะกำหนดมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม รวมถึงการสร้างจิตสำนึกในการรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล เพื่อให้บุคลากรของ กพท. ปฏิบัติตามอย่างเคร่งครัด เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย การเข้าถึง ทำลาย ใช้ แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ ในส่วนของข้อมูลส่วนบุคคลที่จัดเก็บในรูปแบบอิเล็กทรอนิกส์ หรือสำหรับบริการทางธุรกรรมอิเล็กทรอนิกส์ ให้เป็นไปตามที่กำหนดในในโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ กพท.
ข้อ ๑๑ สิทธิเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามที่กำหนดไว้โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. ๒๕๖๒ รวมถึงสิทธิต่าง ๆ ดังนี้
(๑) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนซึ่งอยู่ในความรับผิดชอบของ กพท. รวมถึง ขอให้ กพท. เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
(๒) สิทธิในการให้ส่งหรือโอนข้อมูลส่วนบุคคล
ในกรณีที่ กพท. ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งาน โดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนจาก กพท. ได้ รวมทั้งมีสิทธิขอให้ กพท. ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นได้ตามที่กฎหมายกำหนด
(๓) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ กพท. แก้ไขข้อมูลส่วนบุคคลของตนเพื่อให้ข้อมูลส่วนบุคคลดังกล่าวถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
(๔) สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนได้ตามที่กฎหมายกำหนด
(๕) สิทธิในการลบข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ กพท. ลบ ทำลายหรือทำให้ข้อมูลส่วนบุคคลของตนเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ด้วยเหตุตามที่กฎหมายกำหนด
(๖) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ กพท. ระงับการใช้ข้อมูลส่วนบุคคลของตนด้วยเหตุ
ตามที่กฎหมายกำหนด
(๗) สิทธิในการร้องเรียน
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการร้องเรียนต่อพนักงานเจ้าหน้าที่ผู้มีอำนาจตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.ศ. ๒๕๖๒ เมื่อ กพท. ฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติ
ดังกล่าว
เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและร้องขอให้
กพท. ดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคลข้างต้นได้ โดย กพท. จะพิจารณาและแจ้งผลการพิจารณาตามคำร้องของเจ้าของข้อมูลส่วนบุคคลภายใน ๑๕ วัน นับแต่วันที่ได้รับคำร้องขอดังกล่าวอย่างไรก็ตาม กพท. อาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ตามที่กำหนดไว้ใน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และ กพท. จะบันทึกการปฏิเสธการใช้สิทธิดังกล่าว พร้อมทั้งเหตุผลไว้เป็นหลักฐาน
ข้อ ๑๒ การเปิดเผยนโยบายการคุ้มครองข้อมูลส่วนบุคคล
กพท. จะเปิดเผยนโยบายการคุ้มครองข้อมูลส่วนบุคคลตามประกาศนี้ผ่านเว็บไซต์ (www.caat.or.th) และประชาสัมพันธ์ของ กพท. ตามความเหมาะสม โดย กพท. จะพิจารณาทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลตามประกาศนี้ให้สอดคล้องกับกฎหมายและมาตรฐานที่เกี่ยวข้องเป็นระยะ ตามความเหมาะสม ในกรณีที่มีการเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสาระสำคัญ กพท. จะแจ้งให้เจ้าของข้อมูลส่วนบุคคล ผู้ใช้บริการ และผู้มีส่วนได้เสียทราบผ่านช่องทางดังกล่าวโดยเร็ว
ข้อ ๑๓ ช่องทางการติดต่อ
(๑) ผู้ควบคุมข้อมูลส่วนบุคคล
สถานที่ติดต่อ : สำนักงานการบินพลเรือนแห่งประเทศไทย เลขที่ ๓๓๓/๑๐๕ อาคาร
หลักสี่พลาซ่า ถนนกำแพงเพชร ๖ แขวงตลาดบางเขน เขตหลักสี่ กรุงเทพมหานคร ๑๐๒๑๐
โทรศัพท์ : ๐ ๒๕๖๘ ๘๘๐๘ หรือ ๐ ๒๕๖๘ ๘๘๐๙
Email : itd_is@caat.or.th
Website : www.caat.or.th
(๒) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กพท. จะกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Oficer : DPO) เพื่อทำหน้าที่ให้คำแนะนำ คำปรึกษา และละตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือ เปิดเผย ข้อมูลส่วนบุคคลของ กพท. ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.ศ. ๒๕๖๒
สถานที่ติดต่อ : สำนักงานการบินพลเรือนแห่งประเทศไทย เลขที่ ๓๓๓/๑๐๕ อาคาร
หลักสี่พลาซ่า ถนนกำแพงเพชร ๖ แขวงตลาดบางเขน เขตหลักสี่ กรุงเทพมหานคร ๑๐๒๑๐
โทรศัพท์ : ๐ ๒๕๖๘ ๘๘๐๘ หรือ ๐ ๒๕๖๘ ๘๘๐๙
Email : itd_is@caat.or.th
Website : www.caat.or.th
(๓) หน่วยงานทางการที่กำกับดูแลตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเห็นว่า กพท. ฝ้าฝืนไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อ "คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล" ได้ตามหลักเกณฑ์ วิธีการ และช่องทางที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ประกาศ ณ วันที่ ๒ มีนาคม พ.ศ. ๒๕๖๕
(นายสุทธิพงษ์ คงพูล)
ผู้อำนวยการสำนักงานการบินพลเรือนแห่งแห่งเทศไทย
