Thai Red Cross Society’s Personal Data Security Measures, B.E. 2565 (2022)

 

Whereas Section 37 of the Personal Data Protection Act, B.E. 2562 (2019) stipulates that the data controller shall provide appropriate security measures to prevent loss, unauthorized or unlawful access to, use, alteration, correction, or disclosure of personal data, and that such measures must be reviewed when necessary or with changing technology in order to efficiently maintain appropriate security and safety. This shall be implemented in accordance with the minimum standards specified and announced by the Personal Data Protection Committee. The Personal Data Protection Committee issued a notification on Personal Data Protection Security Measures, B.E. 2565 (2022). Thai Red Cross Society also issued a notification Re: Thai Red Cross Society’s Information Security Policy and Guideline, B.E. 2561 (2018) on 1 February 2018 to ensure operational compliance with the provisions of Section 5, Section 6, and Section 7 of the Royal Decree Prescribing Rules and Procedures of Electronic Transactions in the Public Sector, B.E. 2559 (2016),

For compliance with the Personal Data Protection Act, B.E. 2562 (2019), Thai Red Cross Society hereby issues this notification as follows:

Clause 1 This notification is called the “Notification of Thai Red Cross Society Re: Thai Red Cross Society’s Personal Data Security Measures, B.E. 2565 (2022)”.

Clause 2 This notification shall come into force from the date of its announcement onward.
Clause 3 Beside the definitions of specific terms provided in this notification, definitions of the relevant terms in the Regulations of Thai Red Cross Society on Personal Data Protection, B.E. 2564 (2021) shall also apply.
“Personnel of Thai Red Cross Society” means all personnel of Thai Red Cross Society according to the Regulations of Thai Red Cross Society on Personnel Management and shall also mean advisors and committees of Thai Red Cross Society.
“Security” means the maintenance of confidentiality, integrity, and availability of personal data for the purposes of preventing loss, unauthorized or unlawful access to, use, alteration, correction, or disclosure of personal data.

Clause 4 Personnel of Thai Red Cross Society must recognize the importance of personal data protection and comply with the Regulations of Thai Red Cross Society on Personal Data Protection, B.E. 2564 (2021). They shall also strictly observe the provisions of the Personal Data Protection Act, B.E. 2562 (2019) and this notification in their collection, use, and disclosure of personal data.

Clause 5 Thai Red Cross Society has formulated the personal data security measures which can be divided into the administrative, technical, and physical safeguards of access control. These security measures shall apply to the following operations:

    • Control of access to personal data and personal data storage and processing devices by taking their functionality and security into consideration.
    • Determination of access authorization or rights of access to personal data.
    • Adopting user access management to control access to personal data and restrict access to only authorized persons based on the levels of user rights to import, alter, correct, disclose, erase, and destroy personal data.
    • Determination of user responsibilities to prevent unauthorized access, disclosure, acquisition, or illicit copying of personal data, including theft of personal data storage or processing devices.
    • Providing appropriate audit trails review of the methods and means of personal data collection, use, or disclosure.

Clause 6 Thai Red Cross Society has formulated the personal data security measures which can be divided into suitable organizational and technical measures, and necessary physical measures according to their risk levels, nature and purposes of personal data collection, use, and disclosure as well as the probabilities of occurrence and impacts of personal data breaches.

Clause 7 Thai Red Cross Society has prepared details of these security measures and implementation of such measures with consideration to its security operations, ranging from identifying key risks to its crucial information assets to prevention of key potential risks, inspection and monitoring of personal data threats and breaches, handling of detected personal data threats and breaches, remedy and rehabilitation of damages from such threats and breaches. These security measures should be implemented when it is deemed necessary, appropriate, and possible in terms of risk levels.

Clause 8 Thai Red Cross Society stipulates that any operation implemented under the security measures specified in this notification must take into consideration the ability to maintain confidentiality, integrity, and availability of personal data for its risk levels, technologies, contexts, circumstances, and acceptable standards for the same or similar operation, the nature and purposes of personal data collection, use, and disclosure as well as the required resources and operational feasibility.

Clause 9 Thai Red Cross Society stipulates that the collection, use and disclosure of electronic personal data must comply with the security measures specified in this notification and cover various parts of the information system for the collection, use and disclosure of personal data, such as the personal data retention system and devices, servers, client computers, network systems, software, and applications that are appropriate for its risk levels. These operations must take into consideration the principle of defense in depth security which comprises of multiple layer security controls for risk mitigation in the event of limitation of certain security measures in certain situations.

Clause 10 Thai Red Cross Society stipulates that access to, use, alteration, correction, erasure, or disclosure of personal data must at least consist of the following operations that are appropriate for their risk levels. Such operations must take into consideration the need for appropriate personal data access and usage for the nature and purposes of their collection, use, and disclosure as well as suitable maintenance of security for their risk levels, required resources, and operational feasibility. This should be implemented in combination with:
(a) Appropriate access control, identity proofing, authentication and authorization on the need-to-know basis and the principle of least privilege.
(b) Appropriate user access management which may include user registration and de-registration, user access provisioning, management of privileged access rights, management of secret authentication information of users, review of user access right, and removal or adjustment of access rights.
(c) Determination or user responsibilities to prevent unauthorized or unlawful access, use, alteration, correction, erasure, or disclosure of personal data, including cases of users acting beyond their assigned roles and duties, unauthorized or unlawful copying of personal data, and theft of personal data storage or processing devices.
(d) Appropriate audit trails review for the methods and means of personal data collection, use, or disclosure.

Clause 11 Thai Red Cross Society stipulates promotion of privacy and security awareness, and appropriate dissemination of its personal data protection policies, practices, and security measures to its personnel or users or persons relating to the access, collection, use, alteration, correction, erasure, or disclosure of personal data for acknowledgment and compliance. They will also be informed of any amendment to the policies, practices, and measures prescribed in this notification as propriate for the nature and purposes of personal data collection, use, and disclosure as well as their risk levels, required resources, and operational feasibility.

Clause 12 Thai Red Cross Society sets up an inspection system for the erasure or destruction of the personal data whose retention period has expired or are no longer relevant to or necessary for the data collection purpose, or the personal data that the data subjects have withdrawn their consent. Such erasure or destruction shall apply unless the personal data must be kept for the exercising of the right to freedom of opinion and expression or for the purposes specified in Section 24 (1) or (4) or Section 26 (5) (a) or (b) of the Personal Data Protection Act, B.E. 2562 (2019) regarding the use of such personal data for the establishment, compliance, exercising, or defense of legal claims. The provision of Section 33 paragraph Five shall apply mutatis mutandis to the erasure or destruction of personal data. The following actions shall be implemented:

  • Periodical follow ups to determine which personal data or sets of data in Thai Red Cross Society’s care (in its capacity of a data controller) have expired retention period (as notified to the data subjects in its Privacy Notice or request of data subject’s consent). This practice is necessary for the erasure, destruction, or conversion of such personal data into personally unidentifiable information, as the case may be.
  • In the event that the data subjects have exercised their right to erase or destroy (or withdraw consent) the personal data that required their consent by requesting the data controller to do so, the data controller must erase or destroy the personal data or convert them into personally unidentifiable information, as the case may be.
  • Erasure and destruction of personal data or converting them into personally unidentifiable information may be exempted when the data controller has a reasonable or necessary cause to retain the personal that supersedes the data subject’s rights, such as:
    • For the reparation of historical or archival documents for the public interest, or for research or statistical purposes.
    • For the public interest as is the duties of a specific data controller.
    • For the assessment of the working capacity of employees, medical diagnosis, the provision of health or social care services, medical treatment, the management of health, social care system and services.
    • For health protection against dangerous contagious disease or cross-border epidemics or control of the standards or quality of medicines, medicinal products, or medical devices.

Clause 13 Thai Red Cross Society will review the security measures specified in this notification when necessary or in case of changing technology to ensure efficient and suitable security measures. This will be carried out with consideration to the levels of risk from such factors as technology, contexts, the environment, acceptable standards for an agency or operation of the same or similar nature, nature and purposes of the personal data collection, use, and disclosure as well as the required resources, and operational feasibility. In case of personal data breaches, it is necessary for the data controller to review the security measures in paragraph One unless such breaches present no risk to the rights and liberties of any person.
Clause 14 Thai Red Cross Society, in its capacity of the data controller, shall enter into an agreement with the personal data processer to have the data processor provide suitable security measures to prevent loss, unauthorized or unlawful access, use, alteration, correction, or disclosure of personal data. The personal data processer is required to inform Thai Red Cross Society of any personal data breach incidents.

Clause 15 Thai Red Cross Society may issue guidelines prescribing details of compliance with the security measures specified in this notification.

 

Issued on 6 January 2023.

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของสภากาชาดไทย พ.ศ. 2565

 

โดยที่มาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้มีประกาศ เรื่องมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ทั้งนี้สภากาชาดไทยได้ประกาศ เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสภากาชาดไทย พ.ศ. 2561 เมื่อวันที่ 1 กุมภาพันธ์ 2561 เพื่อการดำเนินงานเป็นไปตามความในมาตรา 5 มาตรา 6 และมาตรา 7 แห่งพระราชกฤษฎีกา กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2559

เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สภากาชาดไทย จึงออกประกาศไว้ ดังนี้

ข้อ 1 ประกาศนี้เรียกว่า “ประกาศสภากาชาดไทย เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของสภากาชาดไทย พ.ศ. 2565”

ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ประกาศเป็นต้นไป

ข้อ 3 นอกจากนิยามคำศัพท์เฉพาะที่ระบุไว้ในประกาศนี้ ให้ใช้นิยามคำศัพท์ที่เกี่ยวข้องตามระเบียบสภากาชาดไทยว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564

“บุคลากรของสภากาชาดไทย” หมายความว่า บุคลากรทั้งปวงในสภากาชาดไทยตามระเบียบสภากาชาดไทย ว่าด้วย การบริหารงานบุคคล และให้หมายความถึงที่ปรึกษาและคณะกรรมการต่างๆ ของสภากาชาดไทยด้วย

“ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

ข้อ 4 บุคลากรของสภากาชาดไทยต้องตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามระเบียบสภากาชาดไทยว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศนี้อย่างเคร่งครัด

ข้อ 5 สภากาชาดไทย ได้จัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งแบ่งออกเป็นมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) ทั้งนี้ มาตรการรักษาความมั่นคงปลอดภัย คลอบคลุมการดำเนินการ ดังต่อไปนี้

    • การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
    • การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
    • การบริหารจัดการในการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว ตามระดับสิทธิการใช้งาน ได้แก่ การนำเข้า เปลี่ยนแปลง แก้ไข เปิดเผย ตลอดจนการลบทำลาย
    • การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
    • การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล (audit trails) ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ข้อ 6 สภากาชาดไทย ได้จัดทำมาตรการรักษาความมั่นคงปลอดภัย ซึ่งแบ่งออกเป็น มาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม และมาตรการทางกายภาพ (physical measures) ที่จำเป็น โดยคำนึงถึงระดับความเสี่ยง ตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิด และผลกระทบจากเหตุการณ์ละเมิดข้อมูลส่วนบุคคล

ข้อ 7 สภากาชาดไทย ได้จัดทำรายละเอียดของมาตรการรักษาความมั่นคงปลอดภัย โดยได้กำหนดการดำเนินการตามมาตรการดังกล่าว จะต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ตั้งแต่การระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้นกับทรัพย์สินสารสนเทศ (information assets) ที่สำคัญ การป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น การตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล การเผชิญเหตุ เมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล และการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการละเมิดข้อมูลส่วนบุคคลด้วย ทั้งนี้ เท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง

ข้อ 8 สภากาชาดไทย ได้กำหนดให้การดำเนินการใดๆ ภายใต้มาตรการรักษาความมั่นคงปลอดภัยที่กำหนดไว้ในประกาศนี้ จะต้องคำนึงถึงความสามารถในการธำรงไว้ ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคลไว้ได้อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกัน หรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน

ข้อ 9 สภากาชาดไทย ได้กำหนดให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ ต้องปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยที่กำหนดไว้ในประกาศนี้ ทั้งนี้ รูปแบบอิเล็กทรอนิกส์ดังกล่าวจะครอบคลุมส่วนประกอบต่าง ๆ ของระบบสารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลส่วนบุคคล เครื่องคอมพิวเตอร์แม่ข่าย (servers) เครื่องคอมพิวเตอร์ลูกข่าย (clients) และอุปกรณ์ต่าง ๆ ที่ใช้ ระบบเครือข่าย ซอฟต์แวร์ และแอปพลิเคชัน อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงหลักการป้องกันเชิงลึก (defense in depth) ที่ควรประกอบด้วยมาตรการป้องกันหลายชั้น (multiple layers of security controls) เพื่อลดความเสี่ยงในกรณีที่มาตรการบางมาตรการมีข้อจำกัดในการป้องกันความมั่นคงปลอดภัยในบางสถานการณ์

ข้อ 10 สภากาชาดไทย ได้กำหนดให้การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล อย่างน้อยต้องประกอบด้วยการดำเนินการดังต่อไปนี้อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงความจำเป็นในการเข้าถึงและใช้งานตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยตามระดับความเสี่ยง ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการ ประกอบกัน

(ก) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและส่วนประกอบของระบบสารสนเทศที่สำคัญ (access control) ที่มีการพิสูจน์และยืนยันตัวตน (identity proofing and authentication) และการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งาน (authorization) ที่เหมาะสม โดยคำนึงถึงหลักการให้สิทธิเท่าที่จำเป็น (need -to -know basis) ตามหลักการให้สิทธิที่น้อยที่สุดเท่าที่จำเป็น (principle of least privilege)

(ข) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) ที่เหมาะสม ซึ่งอาจรวมถึงการลงทะเบียนและการถอนสิทธิผู้ใช้งาน (user registration and de -registration) การจัดการสิทธิการเข้าถึงของผู้ใช้งาน (user access provisioning) การบริหารจัดการสิทธิการเข้าถึงตามสิทธิ (management of privileged access rights) การบริหารจัดการข้อมูลความลับสำหรับการพิสูจน์ตัวตนของผู้ใช้งาน (management of secret authentication information of users) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (review of user access rights) และการถอดถอนหรือปรับปรุงสิทธิการเข้าถึง (removal or adjustment of access rights)

(ค) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งรวมถึงกรณีที่เป็นการกระทำนอกเหนือบทบาทหน้าที่ที่ได้รับมอบหมาย ตลอดจนการลักลอบทำสำเนาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และการลักขโมยอุปกรณ์จัดเก็บ หรือประมวลผลข้อมูลส่วนบุคคล

(ง) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (audit trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ข้อ 11 สภากาชาดไทย ได้กำหนดให้มีการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และการรักษาความมั่นคงปลอดภัย (privacy and security awareness) และการแจ้งนโยบาย แนวปฏิบัติ และมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ให้บุคลากรของสภากาชาดไทย หรือบุคคลอื่นที่เป็นผู้ใช้งาน (user) หรือเกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลทราบและถือปฏิบัติ รวมทั้งกรณีที่มีการปรับปรุงแก้ไขนโยบาย แนวปฏิบัติ และมาตรการที่กำหนดไว้ในประกาศนี้ด้วย โดยคำนึงถึงลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ระดับความเสี่ยง ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน

ข้อ 12 สภากาชาดไทย ได้กำหนดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็นการเก็บรักษาไว้เพื่อวัตถุประสงค์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความใน มาตรา 33 วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม มีการดำเนินการ ดังต่อไปนี้

  • มีการติดตามเป็นระยะว่าข้อมูลส่วนบุคคลที่อยู่ในความดูแลของตนนั้น (ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล) มีรายการหรือมีชุดข้อมูลใดที่พ้นกำหนดระยะเวลาการเก็บรักษาหรือไม่ (ตามที่แจ้งเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไว้ในประกาศความเป็นส่วนตัว (Privacy Notice) หรือ ตามที่ขอความยินยอมไว้) ทั้งนี้เพื่อดำเนินการลบทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามแต่กรณี
  • กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิให้ลบทำลายข้อมูล (หรือขอถอนความยินยอม) ต่อผู้ควบคุมข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคลใช้ฐานความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคล เช่นนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการลบทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามแต่กรณี
  • การลบทำลายข้อมูล หรือ การทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ อาจยกเว้นไม่กระทำก็ได้ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุผลความจำเป็นที่เหนือกว่าสิทธิของเจ้าของข้อมูล เช่น
    • เพื่อวัตถุประสงค์การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
      การศึกษาวิจัยหรือสถิติ
    • เพื่อการสร้างประโยชน์สาธารณะตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลรายนั้น
    • เพื่อประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและ การให้บริการด้านสังคมสงเคราะห์
    • การป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์

ข้อ 13 สภากาชาดไทย จะพิจารณาทบทวนมาตรการรักษาความมั่นคงปลอดภัยที่กำหนดไว้ในประกาศนี้ในกรณีมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม โดยคำนึงถึงระดับความเสี่ยงตามปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน เมื่อมีเหตุการละเมิดข้อมูลส่วนบุคคล ให้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็น ต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัยตามวรรคหนึ่ง เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

ข้อ 14 สภากาชาดไทย จะจัดให้มีข้อตกลงระหว่างสภากาชาดไทยในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกับ
ผู้ประมวลผลข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งให้สภากาชาดไทยทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

ข้อ 15 สภากาชาดไทย อาจจะประกาศแนวปฏิบัติเพื่อกำหนดรายละเอียดการปฏิบัติตามมาตรการรักษาความมั่งคงปลอดภัยที่กำหนดไว้ในประกาศนี้

 

ประกาศ ณ วันที่ 6 มกราคม พ.ศ. 2566