นโยบายความเป็นส่วนตัวแอปพลิเคชันมายม๊อบ (MyMOPH)

คำแถลงนโยบายฉบับนี้เป็นกรอบเพื่อความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคลที่จัดเก็บในแอปพลิเคชันมายม๊อบ (MyMOPH) ของสำนักงานปลัดกระทรวงสาธารณสุข (สป.สธ.) (ผู้ควบคุมข้อมูล หรือ Data Controller) ดูแลโดยศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร (ศทส.) ซึ่งต่อไปในที่นี้จะเรียกว่า แอป. และเพื่อแจ้งให้ทราบถึงรายละเอียดที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และการเปิดเผย (รวมเรียกว่า “การประมวลผล”) รวมตลอดถึงการลบ และทำลายข้อมูลส่วนบุคคลของผู้ใช้งาน แอป. ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังนี้

1. วัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล

• 1.1 เพื่อใช้เป็นเครื่องมือในการยืนยันตัวตน (Authenticate) สำหรับบุคลากรสาธารณสุข เพื่อเข้าใช้ (Login) ระบบโปรแกรมต่าง ๆ ของ สป.สธ.
• 1.2 เพื่อให้เจ้าหน้าที่ (ข้าราชการ พนักงานราชการ พนักงานของรัฐ ลูกจ้างประจำ) ที่สังกัดส่วนกลาง สป.สธ. ใช้ดูข้อมูลเงินเดือนจากฐานข้อมูลเงินเดือน ที่อยู่ในความดูแลของกองบริหารการคลัง สป.สธ.
• 1.3 เพื่อให้เจ้าหน้าที่ใช้ดูข้อมูลประวัติการรับราชการที่จัดเก็บอยู่ในระบบบริหารทรัพยากรบุคคล (HROPS) ของกองบริหารทรัพยากรบุคคล สป.สธ.
• 1.4 เพื่อใช้เก็บบัตรข้าราชการ บัตรพนักงานของรัฐ ในรูปแบบบัตรดิจิทัล

2. ข้อมูลส่วนบุคคลที่เก็บรวบรวม

• 2.1 ข้อมูลส่วนตัว เช่น ชื่อ นามสกุล หมายเลขบัตรประชาชน วันเดือนปีเกิด อายุ เพศ อีเมล หมายเลขโทรศัพท์ ที่อยู่ ช่องทางติดต่อในสื่อสังคมออนไลน์ สถานที่ทำงาน เป็นต้น
• 2.2 ข้อมูลเกี่ยวกับงานของท่าน เช่น อาชีพ ตำแหน่ง หน่วยงานต้นสังกัด เป็นต้น
• 2.3 ข้อมูลด้านเทคนิคและการใช้ข้อมูล เช่น IP Address เป็นต้น

3. ข้อมูลส่วนบุคคลชนิดพิเศษ

• 3.1 อาจมีความจำเป็นต้องเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลชนิดพิเศษ เพื่อใช้งานตามวัตถุประสงค์ที่แจ้งไว้ในนโยบายความเป็นส่วนตัวนี้
• 3.2 อาจต้องประมวลผลข้อมูลข้อมูลชีวภาพ (biometric data) เช่น ข้อมูลจำลองลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า เพื่อใช้ในการระบุและยืนยันตัวตน

4. การกำกับดูแลข้อมูลส่วนบุคคล

ปฏิบัติตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562 (PDPA) ตามคำสั่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA

5. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

• 5.1 จะเก็บข้อมูลส่วนบุคคลในระยะเวลาที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ตามประเภทข้อมูลส่วนบุคคลแต่ละประเภท เว้นแต่กฎหมายจะอนุญาตให้มีระยะเวลาการเก็บรักษาที่นานขึ้น ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน เราจะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม (เช่น อายุความตามกฎหมายทั่วไปสูงสุด 10 ปี)
• 5.2 กรณีที่ใช้ข้อมูลส่วนบุคคลโดยขอความยินยอม จะประมวลผลข้อมูลส่วนบุคคลดังกล่าวจนกว่าเจ้าของข้อมูลจะแจ้งขอยกเลิกความยินยอม
• 5.3 มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น

6. สิทธิ์การเข้าถึงต่างๆ

• 6.1 กล้อง (CAMERA) แอป. ต้องการเข้าถึงกล้อง เพื่อใช้ในการยืนยันตัวตนในการเข้าใช้งาน
• 6.2 External storage แอป. ต้องการการเข้าถึงเพื่ออ่านและเขียนที่จัดเก็บข้อมูลภายนอกบนอุปกรณ์ของผู้ใช้ในกรณีที่มีการบันทึกสุขภาพ สำหรับการเขียน ระบบจะบันทึกภาพลงในอุปกรณ์ของผู้ใช้หลังจากถ่ายภาพ

7. มาตรการความปลอดภัยสำหรับข้อมูลส่วนบุคคล

• 7.1 สป.สธ. จะดำเนินการรักษาความลับ ความถูกต้องครบถ้วน ครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการมาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วน บุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
• 7.2 กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล ปฏิบัติตามเงื่อนไขข้อกำหนดกฎหมาย
• 7.3 การส่งหรือเปิดเผยข้อมูลส่วนบุคคลทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
• 7.4 มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล

8. การเปิดเผยข้อมูลส่วนบุคคล

• 8.1 จะเปิดเผยและแบ่งปันข้อมูลส่วนบุคคลของผู้ใช้งานระบบกับหน่วยงานภายใต้ผู้ควบคุมข้อมูลเดียวกัน เพื่อบรรลุวัตถุประสงค์การเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลตามที่ระบุไว้ในนโยบายความเป็นส่วนตัวนี้
• 8.2 มีการกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ

9. สิทธิเกี่ยวกับข้อมูลส่วนบุคคล สรุปดังนี้

• 9.1 ถอนความยินยอมที่ได้ให้ไว้เพื่อประมวลผลข้อมูลส่วนบุคคล
• 9.2 ขอดูและคัดลอกข้อมูลส่วนบุคคล หรือขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคล
• 9.3 ส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในรูปแบบอิเล็กทรอนิกส์ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น
• 9.4 คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง
• 9.5 ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (anonymous)
• 9.6 ระงับการใช้ข้อมูลส่วนบุคคล
• 9.7 แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
• 9.8 ร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลส่วนบุคคล ไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ จะพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลโดยเร็วภายใน 30 วันนับแต่วันที่ได้รับคำร้องขอดังกล่าว และสิทธิตามที่กล่าวมาข้างต้น เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

10. ช่องทางการติดต่อ การแจ้งการร้องเรียน การขอข้อมูลส่วนบุคคล โดยแจ้งผ่านทางช่องทาง ดังนี้

• 10.1 ผู้ควบคุมข้อมูลส่วนบุคคล: สำนักงานปลัดกระทรวงสาธารณสุข
  ติดต่อ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สํานักงานปลัดกระทรวงสาธารณสุข อาคาร 2 ชั้น 1 เลขที่ 88/20 หมู่ 4 ถนนติวานนท์ ตําบลตลาดขวัญ อําเภอเมือง จังหวัดนนทบุรี 11000
  อีเมล ictmoph@moph.go.th
  โทรศัพท์ 0 2590 1208
  เว็บไซต์ https://ict.moph.go.th
  
• 10.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO: Data Protection Officer)
  ติดต่ออีเมล dpo@moph.go.th
  โทรศัพท์ 0 2590 2180 ต่อ 112, 316 หรือ 0 2590 1213
  เว็บไซต์ https://pdpa.moph.go.th