นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
สำนักงานคณะกรรมการอาหารและยา
1. บทนำ
สำนักงานคณะกรรมการอาหารและยา (ต่อไปในนโยบายนี้เรียกว่า “อย.”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า อย. มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่าน ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย อย. รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของ อย. โดยมีเนื้อหาสาระดังต่อไปนี้
2. ขอบเขตการบังคับใช้นโยบาย
อย. จะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น เพื่อให้บรรลุวัตถุประสงค์ในการปฏิบัติตามภารกิจในอำนาจหน้าที่ของ อย. นโยบายนี้ใช้บังคับกับข้อมูล ส่วนบุคคล ของบุคคลซึ่งมีความสัมพันธ์กับอย. ในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดย อย. รวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ อย. (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้บริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือ บริการในรูปแบบอื่นที่ควบคุมดูแลโดย อย. รวมเรียกว่า “บริการ”) นอกจากนโยบายฉบับนี้แล้ว อย. อาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับบริการของ อย. เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในบริการนั้นเป็นการเฉพาะเจาะจงสำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับอย. จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไป ตามวัตถุประสงค์เดิม โดยการเปิดเผย และการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวม และการใช้ข้อมูลส่วนบุคคลข้างต้น อย. จะปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
3. คำนิยาม
3.1 อย. หมายถึง สำนักงานคณะกรรมการอาหารและยา
3.2 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
3.3 การประมวลผลข้อมูลส่วนบุคคล หมายถึง การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ซึ่งกระทำโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
3.4 ประกาศเกี่ยวกับความเป็นส่วนตัว (privacy notice) หมายถึง ประกาศสำหรับแสดงรายละเอียดของการเก็บรวบรวม ข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียด ดังกล่าวก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
3.5 บันทึกการให้ความยินยอม (consent receipt หรือ consent record) หมายถึง บันทึกที่มีสาระสำคัญของการ ให้ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลส่งให้เจ้าของข้อมูลส่วนบุคคลใช้ ตรวจสอบได้
3.6 ผู้ควบคุมข้อมูลส่วนบุคคล (data controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.7 ผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
3.8 ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
3.9 เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ อย. เก็บรวบรวม ใช้ หรือเปิดเผย
3.10 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หมายถึง ผู้ที่ได้รับมอบหมายให้มีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินงาน ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
3.11 ผู้ปฏิบัติงาน หมายถึง ข้าราชการ พนักงานราชการ ลูกจ้าง เจ้าหน้าที่ของรัฐ และผู้ที่ได้มอบหมายให้ปฏิบัติหน้าที่ของอย.
3.12 ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล หมายถึง การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ
3.13 สิทธิการเข้าถึง หมายถึง กระบวนการตรวจสอบตัวตนโดยใช้บริการระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (Digital ID) หรือระบบการกำหนดสิทธิ์ของระบบสารสนเทศ เพื่อตรวจสอบสิทธิผู้ใช้งานในการเข้าใช้งาน
4. แหล่งที่มาของข้อมูลส่วนบุคคลที่ อย. เก็บรวบรวม
อย. เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
4.1 ข้อมูลส่วนบุคคลที่ อย. เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจ การยื่นคำขอ การพิจารณาอนุญาต หรือ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดย อย. หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับ อย. ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย อย. เป็นต้น
4.2 ข้อมูลที่ อย. เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ หรือบริการอื่นๆ ตามสัญญาหรือตามพันธกิจในความรับผิดชอบของ อย. เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของ อย. ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
4.3 ข้อมูลส่วนบุคคลที่ อย. เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ อย. เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ อย. มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ อย. ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับ ความยินยอมในการเปิดเผยข้อมูลแก่ อย.
5. ประเภทของข้อมูลส่วนบุคคลที่อย. เก็บรวบรวม
อย. อาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ ซึ่งอาจรวมถึงข้อมูล ส่วนบุคคลของท่าน ทั้งนี้ ขึ้นอยู่กับงานบริการที่ท่านขอรับบริการหรือบริบทความสัมพันธ์ที่ท่านมีกับ อย. รวมถึงข้อพิจารณาอื่น
ที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูล ที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของอย. เป็นการทั่วไป ทั้งนี้ เฉพาะข้อมูลที่เกี่ยวข้องกับบริการที่ท่านใช้งานหรือ
มีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
5.1 ข้อมูลส่วนบุคคล ได้แก่ ข้อมูลระบุชื่อเรียกของท่านหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของท่าน เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น
5.2 ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ได้แก่ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของท่าน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลพันธุกรรม ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของ อย. อาจเป็นผลให้ อย. ไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
6. คุกกี้
อย. เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของ อย. หรือบนอุปกรณ์ของท่านตามแต่บริการที่ท่านใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของ อย. และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของ อย. และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของ อย. ให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของท่าน
7. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ
กรณีที่ อย. ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถต่อเมื่อได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ ตามแต่กรณี ยกเว้นเป็นกรณีที่อย.มีอำนาจดำเนินการได้ตามที่กฎหมายกำหนด
กรณีที่ อย. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า อย. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ อย. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้น เว้นแต่มีกฎหมายให้อำนาจดำเนินการในเรื่องนั้นไว้
8. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
อย. ดำเนินการเก็บรวบรวมข้อมูลเพื่อให้บรรลุวัตถุประสงค์ในการปฏิบัติตามภารกิจในอำนาจหน้าที่ของอย. เพื่อประโยชน์ในการให้บริการ เพื่อปรับปรุงคุณภาพการให้บริการให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อบริหารจัดการด้านทรัพยากรบุคคลของ อย. โดย อย. จะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล
ยกเว้นแต่ในกรณีดังต่อไปนี้ อย. สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติ โดย อย. จะจัดให้มีมาตรการป้องกันที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
6. เป็นการปฏิบัติตามกฎหมายของ อย.
เนื่องจากข้อมูลส่วนบุคคลที่ อย. จะดำเนินการประมวลผลเพื่อวัตถุประสงค์ที่กำหนด ในส่วนที่มีความเกี่ยวเนื่องกับการปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นเพื่อเข้าทำสัญญากับท่าน ซึ่งข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่จำเป็นต่อการบรรลุวัตถุประสงค์ดังกล่าว หากท่านไม่ให้ข้อมูลส่วนบุคคลดังกล่าวแก่ อย. อาจมีผลกระทบทางกฎหมาย หรือ อย. อาจจะไม่สามารถปฏิบัติหน้าที่ภายใต้สัญญาที่ได้เข้าทำกับท่าน หรือไม่สามารถข้าทำสัญญากับท่านได้ (แล้วแต่กรณี) ในกรณีดังกล่าว อย. อาจมีความจำเป็นต้องปฏิเสธการเข้าทำสัญญากับท่านหรือยกเลิกการให้บริการที่เกี่ยวข้อง ต่อท่านไม่ว่าทั้งหมดหรือบางส่วน
9. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณี อย. อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ท่าน เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ อย. ที่ท่านใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ดังนั้น เมื่อ อย. มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศปลายทาง อย. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคล ที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการ ตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
1. เป็นการปฏิบัติตามกฎหมายที่กำหนดให้อย.ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
2. ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ อย. หรือเป็นการทำตามคำขอของท่านก่อนการเข้าทำสัญญานั้น
4. เป็นการกระทำตามสัญญาของ อย. กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของท่าน
5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
6. เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
10.ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน
อย. จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้ในระยะเวลาเท่าที่ข้อมูลนั้น ยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของท่านสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว อย. จะทำการลบ ทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูล ส่วนบุคคลที่คณะกรรมการหรือกฎหมายประกาศกำหนดหรือตามมาตรฐานสากลอย่างไรก็ดี ในกรณีที่มี ข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของท่าน อย. ขอสงวนสิทธิ ในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
11.การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
อย. อาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของอย. ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น อย. จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ อย. ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่ อย. มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่ อย. มอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลง และตามคำสั่งของ อย. เท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้ในกรณีที่ผู้ประมวลผลข้อมูล ส่วนบุคคล มีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ อย. จะกำกับให้ผู้ประมวลผลข้อมูล ส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่าง อย. กับผู้ประมวลผลข้อมูลส่วนบุคคล
12.การเปิดเผยข้อมูลส่วนบุคคล
การเปิดเผยข้อมูลส่วนบุคคล อย. จะดำเนินการตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล โดย อย. อาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นอย่างจำกัดให้ แก่หน่วยงานหรือบุคคลภายนอก ทั้งนี้ อย.ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอม เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับการยกเว้น โดย ไม่ต้องขอความยินยอมตามมาตรา 24 หรือ มาตรา 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
13.การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
อย. จะจัดให้มีมาตรการปกป้องข้อมูลส่วนบุคคล โดยกำหนดมาตรการการยืนยันตัวตน (Authentication) กำหนดสิทธิ (Authorization) ในการเข้าถึง การใช้ การเปิดเผย การประมวลผลข้อมูลส่วนบุคคลตามมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของอย. โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูล ส่วนบุคคลไว้แล้ว หรือตามที่ระเบียบกฎหมายกำหนดเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ อย. อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ นอกจากนี้ เมื่อ อย. มีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น อย. จะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด
14.ป้องกันการสูญหายของข้อมูลส่วนบุคคล
14.1 อย.ได้เลือกใช้บริการระบบคลาวด์กลางภารรัฐ ซึ่งผู้ให้บริการระบบคลาวด์กลางภาครัฐได้มีแนวทางการสำรองข้อมูลเป็นประจำทุกวัน ๆ ละ 1 ครั้ง โดยเก็บไว้บนระบบสำรองข้อมูลเฉพาะและในสถานที่เก็บที่เป็นห้องมั่นคงปลอดภัย
14.2 อย. จะจัดให้มีมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2568 โดยได้ดำเนินการตามมาตรการอย่างเคร่งครัด
15.การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
15.1 การเชื่อมโยงยังเว็บไซต์หรือบริการอื่นเป็นเพียงการให้บริการเพื่ออำนวยความสะดวกแก่ผู้ใช้บริการเท่านั้น อย.มิได้มีส่วนเกี่ยวข้องหรือมีอำนาจควบคุมรับรองความถูกต้อง ความน่าเชื่อถือตลอดจนความรับผิดชอบในเนื้อหาข้อมูลของเว็บไซต์หรือบริการนั้น ๆ และ อย. ไม่รับผิดชอบต่อเนื้อหาใดๆ ที่แสดงบนเว็บไซต์หรือบริการอื่นที่เชื่อมโยงมายังเว็บไซต์หรือบริการของ อย.หรือต่อความเสียหายใด ๆ ที่เกิดขึ้นจากการเข้าเยี่ยมชมเว็บไซต์หรือบริการดังกล่าว
15.2 กรณีต้องการเชื่อมโยงมายังเว็บไซต์ของอย. ผู้ใช้บริการสามารถเชื่อมโยงมายังหน้าแรกของเว็บไซต์อย.ได้ โดยแจ้งความประสงค์เป็นหนังสือ แต่หากต้องการเชื่อมโยงมายังหน้าภายในของเว็บไซต์นี้จะต้องได้รับความยินยอมเป็นหนังสือจากอย.เท่านั้น และในการให้ความยินยอมดังกล่าว อย.ขอสงวนสิทธิ
ที่จะกำหนดเงื่อนไขใด ๆ ไว้ด้วยก็ได้ ในการที่เว็บไซต์ที่เชื่อมโยงมายังเว็บไซต์ของ อย. อย. จะไม่รับผิดชอบต่อเนื้อหาใด ๆ ที่แสดงบนเว็บไซต์ที่เชื่อมโยงมายังเว็บไซต์ของอย. หรือต่อความเสียหายใด ๆ ที่เกิดขึ้นจากการใช้เว็บไซต์นั้น
16.เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
อย. ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
17. สิทธิของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ ทั้งนี้ สิทธิดังกล่าวจะเริ่มมีผลบังคับใช้เมื่อกฎหมายในส่วนของสิทธินี้มีผลใช้บังคับ โดยรายละเอียดของสิทธิต่าง ๆ ประกอบด้วย
1. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล ท่านมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่ อย. เก็บรวบรวมไว้โดยปราศจากความยินยอมของท่าน เว้นแต่กรณีที่ อย. มีสิทธิปฏิเสธคำขอของท่านด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของท่านจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
2. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากท่านพบว่าข้อมูลส่วนบุคคลของท่านไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน ท่านมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
3. สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล ท่านมีสิทธิขอให้ อย. ลบหรือทำลายข้อมูลส่วนบุคคลของท่าน หรือทำให้ข้อมูลส่วนบุคคลของท่านไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
4. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล ท่านมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่าน ทั้งนี้ ในกรณีดังต่อไปนี้
ก. เมื่ออยู่ในช่วงเวลาที่ อย. ทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
ข. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
ค. เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่ อย. ได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้ อย. เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
ง. เมื่ออยู่ในช่วงเวลาที่ อย. กำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้าน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ท่านมีสิทธิคัดค้านการเก็บรวบรวม
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับท่าน เว้นแต่กรณีที่ อย. มีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย (เช่น อย. สามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของ อย.)
6. สิทธิในการขอถอนความยินยอม ในกรณีที่ท่านได้ให้ความยินยอมแก่ อย. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับ) ท่านมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านถูกเก็บรักษาโดย อย. เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้ อย. จำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างท่านกับ อย. ที่ให้ประโยชน์แก่ท่านอยู่
7. สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล ท่านมีสิทธิในการขอรับข้อมูลส่วนบุคคลของท่านจาก อย. ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้ อย. ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
18.การร้องขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
ท่านสามารถแจ้งให้อย.ลบหรือทำลายข้อมูลส่วนบุคคลของท่าน รวมถึงสิทธิ ในการขอถอนความยินยอม เมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของท่านถูกเก็บรักษาโดย อย. เว้นแต่มีขอจำกัดสิทธิโดยกฎหมายให้อย.จำเป็นต้องเก็บรักษาข้อมูลต่อไป
19.โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของ อย. (สำหรับเจ้าหน้าที่หรือผู้ปฏิบัติงานของ อย.) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่ท่านมีต่อ อย. และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
20.การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่ท่านพบว่า อย. มิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ท่านมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว อย. ขอให้ท่านโปรดติดต่อมายัง อย. เพื่อให้ อย. มีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของท่านก่อนในโอกาสแรก
21.การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
อย. อาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะทำการแจ้งให้ท่านทราบผ่านช่องทางเว็บไซต์ www.fda.moph.go.th โดยมีวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่ อย่างไรก็ดี อย. ขอแนะนำให้ท่านโปรดตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอ ผ่านแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่ อย. ดำเนินการ โดยเฉพาะก่อนที่ท่านจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่ อย.
การรับบริการของ อย. ภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้ โปรดหยุดการเข้าใช้งานหากท่านไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้และโปรดติดต่อมายัง อย. เพื่อชี้แจงข้อเท็จจริงต่อไป
22.การติดต่อสอบถามหรือใช้สิทธิ
หากท่านมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ อย. หรือเกี่ยวกับนโยบายนี้ หรือท่านต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ท่านสามารถติดต่อสอบถามได้ที่
1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการอาหารและยา
88/24 ถนนติวานนท์ ตำบลตลาดขวัญ อำเภอเมือง จังหวัดนนทบุรี 11000
ช่องทางการติดต่อ : itcenter@fda.moph.go.th
หมายเลขโทรศัพท์ : 0 2590 7000 ต่อ 71701
2. ผู้ควบคุมข้อมูลส่วนบุคคล สำนักงานคณะกรรมการอาหารและยา
88/24 ถนนติวานนท์ ตำบลตลาดขวัญ อำเภอเมือง จังหวัดนนทบุรี 11000
ช่องทางการติดต่อ : saraban@fda.moph.go.th
หมายเลขโทรศัพท์ : 0 2590 7000 ต่อ 97064