การจัดการข้อมูลส่วนบุคคล

 สภากาชาดไทย ในฐานะผู้ควบคุมข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("กฎหมายคุ้มครองข้อมูลส่วนบุคคล") มีหน้าที่ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้การประมวลผลข้อมูลส่วนบุคคล ของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดา ที่ดำเนินการโดยสภากาชาดไทย จะต้องปฏิบัติให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงการแจ้งข้อมูลให้แก่เจ้าของข้อมูลทราบตามหนังสือฉบับนี้ และการขอความยินยอมจากเจ้าของข้อมูล (บางกรณี) ตามเอกสารแนบหนังสือฉบับนี้ 1. การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูล  สภากาชาดไทยอาจเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งโดยทางตรงและทางอ้อมจากข้อมูลที่เจ้าของข้อมูล หรือตัวแทนของเจ้าของข้อมูล ให้ไว้กับ สภากาชาดไทย หรือผู้มีส่วนเกี่ยวข้องกับเจ้าของข้อมูล หน่วยงานพันธมิตรของสภากาชาดไทย โรงพยาบาลหรือหน่วยงานภายในอื่น ๆ ของสภากาชาดไทย การให้บริการทางโทรศัพท์ บริการทางด้านดิจิทัลต่าง ๆ ของ สภากาชาดไทย รวมถึง การใช้งานเว็บไซต์ การดาวน์โหลดข้อมูลจากแอบพลิเคชั่น แหล่งข้อมูลอื่นใดที่เชื่อถือได้ เช่น สมาคม องค์กรของรัฐ หน่วยงานภาครัฐ องค์กรเอกชน งานสัมมนา งานฝึกอบรม งานออกร้าน ทั้งที่สภากาชาดไทยจัดขึ้นเอง หรือองค์กรภาครัฐ และภาคเอกชนอื่น ๆ รวมไปถึงสื่อสังคมออนไลน์ต่าง ๆ เป็นต้น
2. ประเภทของข้อมูลส่วนบุคคลที่สภากาชาดไทยจัดเก็บ 3. คุ้กกี้  สภากาชาดไทยมีการใช้คุ้กกี้เพื่อเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กำหนดไว้ตาม นโยบายคุ้กกี้ 4. ระยะเวลาในการจัดเก็บข้อมูล  ในกรณีทั่วไป ระยะเวลาการเก็บข้อมูลส่วนบุคคลสูงสุดจะเท่ากับ 10 (สิบ) ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษาข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน เป็นต้น  สภากาชาดไทยจะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นระยะเวลาตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้น สภากาชาดไทยจะลบ และทำลายข้อมูลดังกล่าว เว้นแต่กรณีจำเป็นต้องเก็บรักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของสภากาชาดไทย 5. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล  สภากาชาดไทยจะใช้และเปิดเผยข้อมูลส่วนบุคคล ดังนี้
 ในกรณีที่สภากาชาดไทยใช้บริการจากผู้ประมวลผลข้อมูลส่วนบุคคลภายนอก สภากาชาดไทย จะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อการปฏิบัติหน้าที่ตามสัญญา การปฏิบัติหน้าที่ตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย หรือตามที่เจ้าของข้อมูลให้ความยินยอมไว้ (ในกรณีที่จำเป็น) สภากาชาดไทยจะไม่เปิดเผย หรือทำให้ข้อมูลของเจ้าของข้อมูลไปเปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดที่ไม่สอดคล้องกับจุดประสงค์เพื่อการปฏิบัติหน้าที่ตามสัญญา การปฏิบัติหน้าที่ตามกฎหมาย ประโยชน์โดยชอบด้วยกฎหมาย หรือตามที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ เว้นแต่ สภากาชาดไทย จะได้รับความยินยอมจากเจ้าของข้อมูลก่อน หรือเป็นกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้สามารถดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล
 หากเจ้าของข้อมูลไม่สามารถให้ข้อมูลส่วนบุคคลที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ตามสัญญา หรือเพื่อการปฏิบัติตามกฎหมาย หรือเพื่อประโยชน์โดยชอบด้วยกฎหมาย สภากาชาดไทยจะไม่สามารถปฏิบัติตามสัญญาที่มีต่อเจ้าของข้อมูล หรือไม่สามารถปฏิบัติตามกฎหมายได้
 สภากาชาดไทยจะประมวลผลข้อมูลส่วนบุคคล โดยปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด และในกรณีที่ สภากาชาดไทย ได้รับความยินยอมจากเจ้าของข้อมูล เจ้าของข้อมูลสามารถเพิกถอนความยินยอมได้ตลอดเวลา
6. ผู้ที่ได้รับการเปิดเผยข้อมูลส่วนบุคคลจากสภากาชาดไทย  สภากาชาดไทยจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วยกฎหมาย ทั้งนี้ ข้อมูลของท่าน อาจถูกเปิดเผย หรือโอนไปยังองค์กร หน่วยงานของรัฐ หรือบุคคลภายนอก รวมถึง  ในกรณีที่สภากาชาดไทยจำเป็นต้องส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลภายนอก สภากาชาดไทย จะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้เกิดการสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง หรือการเปิดเผยและการใช้งานที่ไม่ถูกต้อง 7. มาตรการรักษาความปลอดภัยของข้อมูล  สภากาชาดไทยจะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินงานของสภากาชาดไทย และมาตรฐานที่รับรองโดยทั่วไป สภากาชาดไทยกำหนดให้เจ้าหน้าที่ของสภากาชาดไทย เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล นอกจากนี้ สภากาชาดไทยยังมีการจัดจ้างผู้ให้บริการภายนอกเพื่อดำเนินการตรวจสอบสถานะให้แน่ใจว่า ผู้ให้บริการภายนอกที่สภากาชาดไทยทำการว่าจ้างจะมีการใช้มาตรการในการเก็บรวบรวม ประมวลผล โอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการภายใต้วัตถุประสงค์ของสภากาชาดไทย ในการนี้ สภากาชาดไทยจะมีการสอบทานและปรับปรุงมาตรการดังกล่าวตามความจำเป็นเพื่อให้แน่ใจว่าการประมวลผลข้อมูลดังกล่าวเป็นไปตามมาตรฐานต่างๆ ของประเทศและกฎระเบียบที่เกี่ยวข้อง
 สภากาชาดไทยจัดทำนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต โดยมีรายละเอียดดังต่อไปนี้  อย่างไรก็ดีแม้ว่าสภากาชาดไทยจะทุ่มเท และใช้ความพยายามในการดูแลข้อมูลให้มีความปลอดภัย ด้วยการใช้เครื่องมือทางเทคนิคร่วมกับการบริหารจัดการโดยบุคคล เพื่อควบคุมและรักษาความปลอดภัยของข้อมูล มิให้มีการเข้าถึงข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของเจ้าของข้อมูลโดยไม่ได้รับอนุญาต แต่อาจไม่สามารถป้องกันความผิดพลาดได้ทุกประการ เช่น การปกป้องข้อมูลของเจ้าของข้อมูลจากการถูกจู่โจมโดยไวรัสคอมพิวเตอร์ หรือถูกเข้าถึงโดยบุคคลที่ไม่มีอำนาจได้ เจ้าของข้อมูลจึงควรติดตามข่าวสารเกี่ยวกับคอมพิวเตอร์ให้ทันสมัยอยู่เสมอ ติดตั้งซอฟต์แวร์ประเภท personal firewall เพื่อป้องกันคอมพิวเตอร์จากการจู่โจม หรือ โจรกรรมข้อมูล
8. สิทธิของเจ้าของข้อมูล  การใช้สิทธิในเรื่องใด ๆ ตามที่ระบุไว้ในข้อ 8 นี้ ให้เป็นไปตามหลักเกณฑ์และวิธีการใช้สิทธิของเจ้าของข้อมูล ตามที่กำหนดไว้ในข้อ 9 ของหนังสือแจ้งฉบับนี้ อนึ่ง สิทธิตามที่กำหนดไว้ในข้อ 8 นี้ อาจมีการปรับปรุงแก้ไขให้เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด รวมถึงการออกหลักเกณฑ์ที่เกี่ยวข้องเพิ่มเติมโดยรัฐเป็นคราว ๆ โดยสภากาชาดไทยจะแจ้งให้เจ้าของข้อมูลทราบต่อไป
 8.1 สิทธิในการได้รับแจ้งข้อมูล: ในกรณีที่ สภากาชาดไทย มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือจากความยินยอมใด ๆ ที่ได้ให้ไว้ สภากาชาดไทย จะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว  8.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้ เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล  8.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง: ในกรณีที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีการเปลี่ยนแปลง เจ้าของข้อมูลจะดำเนินการยื่นคำขอแก้ไขข้อมูลดังกล่าวตามวิธีการที่กำหนดไว้ในข้อ 9 ได้ เพื่อทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด  8.4 สิทธิในการโอนถ่ายข้อมูลส่วนบุคคล: ในกรณีที่ระบบของสภากาชาดไทยรองรับเจ้าของข้อมูลมีสิทธิที่จะรับข้อมูลส่วนบุคคลของตน ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ โดยเครื่องมืออุปกรณ์อัตโนมัติหรือขอให้โอนโดยอัตโนมัติได้  8.5 สิทธิในการขอให้ลบข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ในกรณีหนึ่งกรณีใดดังต่อไปนี้   (1) หมดความจำเป็นอีกต่อไปในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์
  (2) เมื่อเจ้าของข้อมูลถอนความยินยอมในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดย สภากาชาดไทย ไม่มีอำนาจตามกฎหมายที่จะประมวลผลข้อมูลนั้นอีกต่อไป
  (3) เมื่อเจ้าของข้อมูลคัดค้านการประมวลผลข้อมูลส่วนบุคคล
  (4) เมื่อข้อมูลส่วนบุคคลได้ถูกประมวลผลโดยไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล  8.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิขอให้สภากาชาดไทยระงับการใช้ข้อมูลส่วนบุคคลได้ดังนี้   (1) เมื่อสภากาชาดไทย อยู่ระหว่างการตรวจสอบข้อมูลตามที่เจ้าของข้อมูลร้องขอให้ดำเนินการปรับปรุงเพื่อทำให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
  (2) เมื่อเป็นข้อมูลที่ต้องลบหรือทำลายตามข้อ 8.5 แต่เจ้าของข้อมูลขอให้ระงับการใช้ข้อมูลแทน
  (3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ แต่เจ้าของข้อมูลขอให้ สภากาชาดไทย เก็บรักษาข้อมูลไว้ก่อนเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  (4) เมื่อสภากาชาดไทยอยู่ในระหว่างการพิสูจน์ การเก็บรวบรวมข้อมูลส่วนบุคคล หรืออยู่ระหว่างตรวจสอบการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่กฎหมายกำหนด  8.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้ ในกรณีดังต่อไปนี้   (1) เป็นข้อมูลที่ สภากาชาดไทย ได้มีการเก็บรวมรวมข้อมูลดังกล่าว (ก) จากการปฏิบัติหน้าที่ของ สภากาชาดไทย จากคำสั่งของรัฐ หรือ (ข) จากความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของสภากาชาดไทย หรือของนิติบุคคลอื่น   (2) เป็นกรณีที่ สภากาชาดไทยประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง   (3) เป็นกรณีที่ สภากาชาดไทยประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยในด้านต่าง ๆ ที่กฎหมายกำหนด ซึ่งรวมถึงทางสถิติ  8.8 สิทธิในการเพิกถอนความยินยอม: เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการถอนความยินยอมดังกล่าวจะไม่กระทบต่อการประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่เจ้าของข้อมูลได้ให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้ หากการถอนความยินยอมจะส่งผลกระทบต่อข้อมูลส่วนบุคคลในเรื่องใด สภากาชาดไทย จะแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอม  อนึ่ง สภากาชาดไทย อาจปฏิเสธคำขอใช้สิทธิข้างต้น หากการดำเนินการใด ๆ เป็นไปเพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น หรือเป็นการดำเนินการเพื่อการศึกษาวิจัยทางสถิติที่มีมาตรการปกป้องข้อมูลที่เหมาะสม หรือเพื่อการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
9. หลักเกณฑ์และวิธีการใช้สิทธิของเจ้าของข้อมูล หมายเหตุ:  1. การดำเนินการตามขั้นตอนข้างต้น จะใช้เวลาไม่เกินกว่า 30 (สามสิบ) วันนับจากวันที่ได้รับคำร้องขอและเอกสารประกอบคำร้องขอครบถ้วน
 2. การดำเนินการตามคำร้องขอข้างต้นไม่มีค่าใช้จ่าย อย่างไรก็ดีหากการดำเนินการตามคำร้องขอส่วนใดมีค่าใช้จ่าย สภากาชาดไทย จะแจ้งให้เจ้าของข้อมูลทราบก่อนดำเนินการ
10. การเข้าถึงข้อมูลและสถานที่ติดต่อ  ในกรณีที่เจ้าของข้อมูลมีคำถามเกี่ยวกับการใช้สิทธิของตน หรือความยินยอมที่เจ้าของข้อมูลได้ให้ไว้ ท่านสามารถติดต่อได้ที่ ส่งถึง: สภากาชาดไทย   เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล   อาคารเทิดพระเกียรติ ชั้น 10 เลขที่ 1871 ถนนพระราม 4 แขวงปทุมวัน เขตปทุมวัน   กรุงเทพมหานคร 10330   อีเมล dpo@redcross.or.th โทรศัพท์ 0 2256 4015  สภากาชาดไทยอาจมีปรับปรุงหนังสือแจ้งนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสมและเป็นปัจจุบัน หากสภากาชาดไทยมีการเปลี่ยนแปลงในสาระสำคัญเกี่ยวกับแนวปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล สภากาชาดไทยจะปรับปรุงและแก้ไขหนังสือแจ้งฉบับนี้ และแสดงบนเว็บไซต์ของสภากาชาดไทย เพื่อให้ท่านได้ทราบถึงวิธีการที่สภากาชาดไทย เก็บรวบรวม ใช้ จัดการ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคล
 หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน 2564