คู่มือ

การจัดทานโยบายและแนวปฏิบัติ
ในการคุ้มครองข้อมูลส่วนบุคคล
ของหน่วยงานของรัฐ

สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
 คู่มือ
การจัดทานโยบายและแนวปฏิบัติ
ในการคุ้มครองข้อมูลส่วนบุคคล
ของหน่วยงานของรัฐ

พิมพ์ครั้งที่ ๑ มิถุนายน ๒๕๕๗

จานวนพิมพ์ ๕๐๐ เล่ม
สงวนลิขสิทธิ์โดย สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

จัดพิมพ์และเผยแพร่โดย

สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550

อาคารรัฐประศาสนภักดี ชั้น 6
ถนนแจ้งวัฒนะ เขตหลักสี่ กรุงเทพฯ 10210
โทรศัพท์ 02-1416-991
โทรสาร 02-1438-036
www.etcommission.go.th
www.mict.go.th
 คำนำ

สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ในสานักงานปลัดกระทรวงเทคโนโลยี
สารสนเทศและการสื่อสาร ทาหน้าที่เกี่ยวกับงานวิชาการและเป็นหน่วยงานธุรการของคณะกรรมการ
ธุร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ในการปฏิ บั ติ ต ามพระราชบั ญ ญั ติ ว่ าด้ ว ยธุรกรรมทางอิ เล็ ก ทรอนิ ก ส์
พ.ศ. 2544 เพื่อให้การบริหารจัดการธุรกรรมทางอิเล็กทรอนิกส์มีประสิทธิภาพ
ในการจั ดท าคู่ มื อการจั ดท านโยบายและแนวปฏิ บั ติ ในการคุ้ มครองข้อ มูล ส่ ว นบุ ค คล
ของหน่วยงานของรัฐ มีวัตถุประสงค์ 2 ประการ กล่าวคือ เพื่อให้เจ้าหน้าที่ในหน่วยงานภาครัฐ ใช้เป็น
แนวทางเบื้องต้นในการจัดทานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน
ของรัฐ ได้ อย่ างถูก ต้อ งและเหมาะสม และเพื่ อสร้างความตระหนั กให้ แก่ ห น่ ว ยงานของรัฐ เห็ น ถึ ง
ความสาคัญของการคุ้มครองข้อมูลส่วนบุคคล
สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ หวังเป็นอย่างยิ่งว่า เนื้อหาสาระสาคัญ
ต่างๆ ในคู่มือเล่มนี้ จะเป็นประโยชน์แก่เจ้าหน้าที่ในหน่วยงานของรัฐและผู้ที่เกี่ยวข้องสามารถจัดทา
นโยบายและแนวปฏิ บั ติ ใ นการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คลของหน่ ว ยงาน ตามกฎหมายได้
อย่างมีประสิทธิภาพยิ่งขึ้น

กลุ่มงานกากับดูแลธุรกรรมทางอิเล็กทรอนิกส์
สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
มิถุนายน 2557
 สำรบัญ
หน้ำ
บทที่ 1 บทนำ....................................................................................................................................1
ความเป็นส่วนตัว .......................................................................................................................2
ข้อมูลส่วนบุคคล .......................................................................................................................3
ขอบเขต ....................................................................................................................................4
ผลการบังคับใช้ .........................................................................................................................6
บทที่ 2 หลักกำรสำคัญในกำรคุ้มครองข้อมูลส่วนบุคคล ......................................................7
บทที่ 3 กำรจัดกำรข้อมูลส่วนบุคคล ........................................................................................11
ประเด็นสาคัญจากทั้งนโยบายและแนวปฏิบัติ ........................................................................12
มาตรการสาหรับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของข้อมูลส่วนบุคคล ...........15
บทที่ 4 กำรจัดทำนโยบำยและแนวปฏิบัติในกำรคุ้มครองข้อมูลส่วนบุคคล ..................19
ขั้นตอนการดาเนินการจัดทา ..................................................................................................20
การสารวจและเตรียมความพร้อมกับข้อมูลส่วนบุคคลที่มีอยู่ .................................................21
ประเด็นพิจารณาในการจัดทา ................................................................................................22
แนวทางการเขียน ...................................................................................................................23
สาระสาคัญของประกาศฯ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครอง
ข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ......................................................24
ตัวอย่างการจัดทา ...................................................................................................................39
ขั้นตอนการจัดส่งนโยบายและแนวปฏิบัติฯ ของหน่วยงานให้คณะกรรมการธุรกรรม
ทางอิเล็กทรอนิกส์พิจารณา .........................................................................................48
วิธีการและช่องทางจัดส่งเอกสารให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์พิจารณา ........53
การดาเนินการอย่างไรหลังจากแนวนโยบายและแนวปฏิบัติฯ ผ่านความเห็นชอบแล้ว ..........54
ภำคผนวก
ก. แบบประเมิ นประกอบการพิ จารณาการด าเนิ นงานตามแนวนโยบายและแนวปฏิ บั ติ ในการ
คุ้มครองข้อมูลส่ วนบุ คคลของหน่ วยงานของรัฐตามมาตรา 7 ในพระราชกฤษฎี กากาหนด
หลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 ……………..55
ข. ประกาศคณะกรรมการธุร กรรมทางอิ เล็ กทรอนิ ก ส์ เรื่อ ง แนวนโยบายและแนวปฏิ บั ติ
ในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 และ แก้คาผิด ............67
ค. พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
พ.ศ. 2549 .........................................................................................................................77
1
บทนา
 1
บทที่ 1 บทนำ

ความเป็นส่วนตัว

“ความเป็นส่วนตัว” หรือ “สิทธิส่วนบุคคล” เป็นสิทธิมนุษยชนขั้นพื้นฐานของมนุษย์

ในภาษาอั งกฤษใช้ ค าว่ า “Privacy” หมายถึ ง สิ ท ธิ ข องบุ ค คลที่ ป ระกอบไปด้ ว ยสิ ท ธิ ข องบุ ค คล
ในครอบครัว เกียรติยศ ชื่อเสียง หรือความเป็ นอยู่ส่วนตัว ในเรื่องดังกล่าวน่าจะจัดอยู่ในเรื่องของ
ความเป็ นอยู่ส่วนตัวซึ่งหมายความว่า สถานะที่บุคคลจะรอดพ้นจากการสังเกต การรู้เห็ น การสื บ
ความลับ การรบกวนต่างๆ และความมีสันโดษ ไม่ติดต่อสัมพั นธ์กับสังคม โดยทั้งนี้ ขอบเขตที่บุคคล
ควรได้รับการคุ้มครองและการเคารพในสิทธิส่วนบุคคลก็คือการดารงชีวิตอย่างเป็นอิสระ ตามที่ต้องการ
ตามวิ ถีทางที่ อาจเป็ นไปได้ แ ละเป็ น ความพอใจตราบเท่ าที่ ไม่ ขั ด ต่ อ กฎหมาย ไม่ ขั ด ต่ อ ความสงบ
เรียบร้อยและศีลธรรมอันดีของประชาชนและไม่เป็ นการล่วงละเมิดสิทธิเสรีภาพของผู้อื่น ซึ่งสิทธิ
ในความเป็ น ส่ ว นตั ว หรื อ สิ ท ธิ ส่ ว นบุ ค คลนี้ เป็ น สิ ท ธิ ขั้ น พื้ น ฐานโดยมี บั ญ ญั ติ ไ ว้ ใ นรั ฐ ธรรมนู ญ
แห่งราชอาณาจักรไทย พุทธศักราช 2250 มาตรา 35
ความเป็ น ส่ ว นตั ว (Privacy) ในบรรดาสิ ท ธิ ที่ เกี่ ย วข้อ งกับ สิ ท ธิม นุ ษ ยชนทั้ งหมด
“ความเป็นส่วนตัว” นับเป็น “สิทธิ” ลักษณะหนึ่งที่ยากที่สุดในการบัญญัติความหมาย เพราะต้อง
พิจารณาเนื้อหา สภาพสังคม วัฒนธรรม และพฤติการณ์แวดล้อมประกอบด้วย ในบางประเทศแนวคิด
ของ “ความเป็นส่วนตัว” ได้รวมถึงการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นการตีความคาว่า “ความเป็น
ส่วนตัว” ในด้านการจัดการข้อมูลส่วนบุ คคล อย่างไรก็ตาม คาว่า “ความเป็นส่ วนตัว ” เป็นคาที่มี
ความหมายกว้างและครอบคลุมถึงสิทธิต่างๆ หลายประการ อาทิ
(1) ความเป็นส่วนตัวเกี่ยวกับข้อมูล (Information Privacy) เป็นการให้ความคุ้มครอง
ข้ อมู ลส่ ว นบุ ค คลโดยการวางหลั ก เกณฑ์ เกี่ ย วกั บ การเก็ บ รวบรวมและการบริ ห ารจั ด การข้ อ มู ล
ส่วนบุคคล
(2) ความเป็ น ส่ ว นตัว ในชี วิต ร่างกาย (Bodily Privacy) เป็ น การให้ ความคุ้ มครอง
ในชีวิตร่างกายของบุคคลในทางกายภาพที่จะไม่ถูกดาเนินการใดๆ อันละเมิดความเป็นส่วนตัว อาทิ
การทดลองทางพันธุกรรม การทดลองยา เป็นต้น
(3) ความเป็ น ส่ ว นตั ว ในการติ ด ต่ อ สื่ อ สาร (Communication Privacy) เป็ น การ
ให้ความคุ้มครองในความปลอดภัย และความเป็นส่วนตัวในการติดต่อสื่อสารทางจดหมาย โทรศัพท์
ไปรษณีย์อิเล็กทรอนิกส์ หรือวิธีการติดต่อสื่อสารอื่นใด ที่ผู้อื่นจะล่วงรู้มิได้
(4) ความเป็นส่วนตัวในเคหสถาน (Territorial Privacy) เป็นการกาหนดขอบเขต
หรือข้อจากัดที่บุคคลอื่นจะบุกรุกเข้าไปในสถานที่ส่วนตัวมิได้

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 2
ข้อมูลส่วนบุคคล

ตามรั ฐ ธรรมนู ญ แห่ ง ราชอาณาจั ก รไทย พ.ศ. 2550 ได้ ก าหนดสิ ท ธิ แ ละให้
การคุ้มครองสิทธิส่วนบุคคล ดังนี้
มาตรา 4 ศักดิ์ศรีความเป็ น มนุษย์ สิ ทธิ เสรีภ าพ และความเสมอภาคของบุคคล
ย่อมได้รับความคุ้มครอง
มาตรา 35 สิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง ตลอดจนความเป็นอยู่
ส่วนตัวย่อมได้รับความคุ้มครอง การกล่าวหรือไขข่าวแพร่หลายซึ่งข้อความหรือภาพไม่ว่าด้วยวิธีใด
ไปยังสาธารณชน อันเป็นการละเมิดหรือกระทบถึงสิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง
หรือความเป็นอยู่ส่วนตัวจะกระทามิได้ เว้นแต่กรณีที่เป็นประโยชน์ต่อสาธารณะ บุคคลย่อมมีสิทธิ
ได้รับความคุ้มครองจากการแสวงประโยชน์โดยมิชอบจากข้อมูลส่วนบุคคลที่เกี่ยวกับตน ทั้งนี้ ตามที่
กฎหมายบัญญัติ
ความก้าวหน้าทางเทคโนโลยีกับการละเมิดข้อมูลส่วนบุคคล
แม้ว่าการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลจะเกิดขึ้นมานาน
โดยผ่านกระบวนการปกติธรรมดา ซึ่งปัญหาการล่วงละเมิดสิทธิความเป็นส่วนตัวในข้อมูลส่วนบุคคล
หรือข้อมูลส่วนบุคคลมีอยู่เป็นจานวนมาก แต่อาจไม่รุนแรงมากนัก และเนื่องด้วยพัฒนาการที่ก้าวหน้า
ของเทคโนโลยี ค อมพิ ว เตอร์ แ ละเครื อ ข่ าย ส่ งผลให้ มี ก ารน าคอมพิ ว เตอร์ แ ละระบบเทคโนโลยี
สารสนเทศมาใช้และให้บริการเพิ่มมากขึ้น รวมถึงการเจริญเติบโตของโลกไซเบอร์หรือโลกออนไลน์
ซึ่งเป็ น โลกที่ สุ่ ม เสี่ ย งต่ อ การถู ก ล่ ว งละเมิ ด ข้ อ มู ล ส่ ว นบุ ค คลได้ โดยง่าย โดยเฉพาะการน าข้ อ มู ล
ส่วนบุคคลไปแสวงหาประโยชน์หรือเปิดเผย โดยไม่ได้รับความยินยอมจากบุคคลซึ่งเป็นเจ้าของข้อมูล
จนสร้างความเดือดร้อนหรือความเสียหายให้แก่เจ้าของข้อมูล
ตัวอย่างของข้อมูลส่วนบุคคล
ข้ อ มู ล ส่ ว นบุ ค คลส่ ว นใหญ่ เป็ น ข้ อ มู ล ขั้ น พื้ น ฐาน เช่ น ชื่ อ นามสกุ ล เพศ ที่ อ ยู่
วันเดือนปีเกิดอายุ สถานภาพ บิดามารดา การเสียภาษี ประวัติการศึกษา ประวัติการทางาน

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 3
ขอบเขต

ปั จ จุ บั น การท าธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ข องหน่ ว ยงานของรั ฐ มี ก ารขยายตั ว

อย่ างต่ อเนื่ อ ง โดยเฉพาะอย่ างยิ่ งการท าธุร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ภ าครัฐ ซึ่ งมี ค วามส าคั ญ ต่ อ
การพั ฒ นาประเทศ การท าธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ภ าครัฐ ช่ ว ยให้ ห น่ ว ยงานของรัฐ สามารถ
ให้บริการประชาชนได้อย่างทั่วถึง สะดวก และรวดเร็ว โดยหน่วยงานของรัฐมี การเก็บรวบรวมข้อมูล
ส่ ว นบุ ค คลเพื่ อ ประโยชน์ ในกิ จ กรรมของหน่ ว ยงานของรัฐ เอง หรือ เพื่ อ การให้ บ ริก ารของรัฐ นั้ น
แต่ ก ารด าเนิ น การดั ง กล่ า ว หน่ ว ยงานอาจมี ค วามไม่ พ ร้ อ มด้ า นบุ ค ลากร ด้ า นเทคโนโลยี
ด้านกฎระเบียบ และด้านความมั่นคงปลอดภัยของระบบสารสนเทศที่ให้บริการ อันอาจเป็นปัญหา
และอุปสรรคสาคัญที่อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคล ซึ่งนับเป็นความเสี่ยงที่สาคัญประการ
หนึ่ ง ที่ ท าให้ ป ระชาชนหรื อ ผู้ ใช้ บ ริ ก ารกั บ หน่ ว ยงานของรั ฐ ขาดความเชื่ อ มั่ น ในการท าธุ ร กรรม
ทางอิเล็กทรอนิกส์ภ าครัฐ และการละเมิดดังกล่าวอาจมีผลกระทบต่อสิทธิขั้นพื้นฐานในความเป็น
ส่ ว นตั ว ของประชาชน ด้ ว ยเหตุ นี้ จึ งมี ก ารตราพระราชกฤษฎี ก าก าหนดหลั ก เกณฑ์ แ ละวิ ธี ก าร
ในการท าธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ภ าครั ฐ พ.ศ. 2549 โดยอาศั ย อ านาจตามมาตรา 35 แห่ ง
พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ว่าด้วยการทาธุรกรรมทางอิเล็กทรอนิกส์
ภาครัฐ ได้กาหนดให้ การทา “คาขอ การอนุ ญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรื อการดาเนิ นการใดๆ ตามกฎหมายกับ หน่ วยงานของรัฐ หรือโดยหน่ ว ยงานของรัฐ
ถ้าได้กระท าในรู ป ของข้อมู ล อิเล็ กทรอนิ กส์ ต ามหลั กเกณฑ์ ที่กาหนดโดยพระราชกฤษฎี กา ให้ น า
พระราชบั ญญั ติฯ มาใช้บั งคับ และให้ ถือว่ามีผ ลโดยชอบด้ว ยกฎหมายเช่นเดียวกับการดาเนินการ
ตามหลักเกณฑ์และวิธีการที่กฎหมายในเรื่องนั้นกาหนด”
ทั้ ง นี้ เพื่ อ ให้ มี ก ารคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล ของผู้ ที่ ติ ด ต่ อ หรื อ ท าธุ ร กรรม
ทางอิเล็กทรอนิกส์ของหน่วยงานภาครัฐ โดยในมาตรา 6 มาตรา 7 และมาตรา 8 กาหนดให้หน่วยงาน
ของรัฐต้องจัดทาแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
ในกรณีที่หน่วยงานของรัฐได้ให้บริการหรือดาเนินกิจกรรมใดๆ ในทางอิเล็กทรอนิกส์ ตามมาตรา 35
และได้มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูล หรือข้อเท็จจริงใดที่ทาให้สามารถระบุตัวบุคคล
ไม่ว่าโดยตรงหรือโดยอ้อม ทั้งนี้ ต้องได้รับความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
ก่อน จึงมีผลใช้บังคับได้ และเพื่อให้หน่วยงานของรัฐสามารถพัฒนาการทาธุรกรรมทางอิเล็กทรอนิกส์
ภาครั ฐ ภายใต้ ม าตรฐานและเป็ น ไปในทิ ศ ทางเดี ย วกั น รวมทั้ งสร้างความเชื่ อ มั่ น ของประชาชน
ต่อการดาเนินกิจกรรมของรัฐด้วยวิธีการทางอิเล็กทรอนิกส์ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
ซึ่งทาหน้าที่ส่งเสริมความเชื่อมั่นในการทาธุรกรรมทางอิเล็กทรอนิกส์ จึงได้จัดทาประกาศคณะกรรมการ
ธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ เรื่ อง แนวนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ของหน่ ว ยงานของรั ฐ เพื่ อ เป็ น แนวทางและตั ว อย่ างเบื้ อ งต้ น ให้ ห น่ ว ยงานของรั ฐ ใช้ เป็ น กรอบ
ในการจัดทาแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 4
จากที่ กล่ าวมาข้ างต้ น เนื่ อ งจากมาตรา 35 แห่ งพระราชบั ญ ญั ติ ว่าด้ว ยธุรกรรม
ทางอิเล็กทรอนิกส์ พ.ศ. 2544 ได้กาหนดให้มีการตราพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการ
ท าธุร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ของหน่ ว ยงานภาครัฐ ส าหรับ กรณี ข องการท าค าขอ การอนุ ญ าต
การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การประกาศ หรือการดาเนินการใดๆ ตามกฎหมาย
ซึ่ ง ที่ ผ่ า นมาได้ มี ก ารน าประเด็ น การตี ค วามมาตรา 35 ว่ า รองรั บ เฉพาะกรณี ก ารด าเนิ น การ
ตามกฎหมายเท่านั้น เช่น การอนุญาต หรือการยื่นคาขอตามกฎหมาย แต่ไม่ขยายครอบคลุมไปถึง
การดาเนินการอื่นๆ ที่ไม่มีกฎหมายบัญญัติรองรับ ใช่หรือไม่ หรือตีความว่า ขยายครอบคลุมไปถึง
การด าเนิ น การของหน่ ว ยงานของรั ฐ ทุ ก กรณี ที่ มี ก ารท าด้ ว ยวิ ธี ก ารทางอิ เ ล็ ก ทรอนิ ก ส์ อาทิ
การให้ บ ริการแก่ป ระชาชนของหน่ วยงานรั ฐที่ดาเนิ น การตามนโยบายรัฐบาล ซึ่งในการพิจารณา
ประเด็ น นี้ มี ข้ อ สั ง เกตว่ า การด าเนิ น การของหน่ ว ยงานของรั ฐ ด้ ว ยวิ ธี ก ารทางอิ เล็ ก ทรอนิ ก ส์
ในปั จ จุบั นมีหลายเรื่องซึ่งมีความสาคัญอย่ างยิ่งต่อหน่วยงานของรัฐเองและรวมถึงผู้ใช้ บริการ แม้ว่า
การให้บริการในบางเรื่องกฎหมายไม่ได้ระบุไว้ชัดเจนแต่ก็ถือเป็นการดาเนินการตามภารกิจเพื่ออานวย
ความสะดวก ลดขั้นตอนการดาเนิน งาน ทั้งนี้เพื่อประโยชน์สูงสุดของการให้ บริการของหน่วยงาน
ของรัฐ เช่น การให้บ ริการสอบถามข้อมูล หรือการให้ บริการประชาชน ซึ่งมิได้อยู่ในรูปของคาขอ
หรือการอนุญาต เป็นต้น ดังนั้นเมื่อพิจารณาจากเจตนารมณ์สาคัญประการหนึ่งในการจัดทาพระราชกฤษฎีกา
กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภ าครัฐ พ.ศ. 2549 ในประเด็น
ความส าคั ญ ของการคุ้มครองข้อมูล ส่ วนบุ ค คล และผลกระทบจากความเสี ยหายที่ อาจจะเกิดขึ้ น
หากมีการล่วงละเมิดข้อมูลส่วนบุ คคลแล้ว ประกอบกับแม้ในประเทศไทยจะมีกฎหมายหลายฉบับ
ที่ เกี่ ย วข้ อ งหรื อ ควบคุ ม เกี่ ย วกั บ ข้ อ มู ล ส่ ว นบุ ค คล แต่ ก็ ยั งไม่ ค รอบคลุ ม ทั้ งระบบ โดยในปั จ จุ บั น
กฎหมายสาคัญที่คุ้มครองข้อมูลส่วนบุคคลคือ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
แต่พระราชบัญญัติดังกล่าวครอบคลุมเฉพาะข้ อมูลส่วนบุคคลที่อยู่ในครอบครองของหน่วยงานของรัฐ
ซึ่งมีหลักการสาคัญคือ “เปิดเผยเป็นหลัก ยกเว้นข้อจากัดเฉพาะข้อมูลข่าวสาร ที่หากเปิดเผยแล้ว
จะเกิดความเสียหายต่อประเทศชาติหรือต่อประโยชน์ที่สาคัญของสาธารณชน” ในขณะที่ พระราชกฤษฎีกา
กาหนดหลั ก เกณฑ์ แ ละวิธีการในการท าธุร กรรมทางอิ เล็ ก ทรอนิ กส์ ภ าครัฐ พ.ศ. 2549 มาตรา 6
มี ห ลั ก การส าคั ญ คื อ เพื่ อ ให้ มี ก ารคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คลของประชาชนโดยให้ ค วามส าคั ญ กั บ
“ปกปิ ด” เป็ นหลั กการทั่ วไป ทั้ งนี้ “การเปิ ดเผย” เป็ นข้ อยกเว้ น หากมี การด าเนิ นการตามกฎหมาย
และได้รับความยินยอม ประกอบกับขอบเขตการบังคับใช้มีความแตกต่างกันในประเด็นของความเป็น
ข้อมูลอิเล็กทรอนิกส์ และการรองรับผลทางกฎหมายของข้อมูลอิเล็กทรอนิกส์
สาหรับร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ... ซึ่งเป็นกฎหมายว่าด้วย
การคุ้มครองข้อมูล ส่วนบุ คคลเป็น การทั่วไป (ครอบคลุมทั้งระบบ) แต่ ร่างพระราชบัญ ญัติดังกล่าว
ไม่ได้ใช้บังคับกับหน่วยงานของรัฐที่อยู่ภายใต้บังคับแห่งกฎหมายว่าด้วยข้อมูลข่าวสารราชการ เว้นแต่
รัฐวิสาหกิจตามกฎหมายว่าด้วยวิธีการงบประมาณ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 5
ดังนั้ น อย่ างไรก็ ดี หน่ ว ยงานของรัฐ หลายแห่ งได้ ต ระหนั ก ถึงความส าคั ญ ในการ
คุ้มครองข้อมูล ส่ว นบุ คคลที่อยู่ในความครอบครองของหน่วยงานของรัฐเพื่อประโยชน์ในกิจกรรม
ของหน่วยงานของรัฐเองหรือเพื่อการให้ บริการของรัฐนั้น จึงได้ให้ความสาคัญ ต่อการเตรียมความ
พร้อ มของหน่ วยงานโดยการจั ด ท าแนวนโยบายและแนวปฏิ บัติ ในการคุ้ม ครองข้ อมู ล ส่ ว นบุ คคล
ของหน่ ว ยงานของรัฐ ตามพระราชกฤษฎีกากาหนดหลั กเกณฑ์และวิธีการในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 เพื่อเป็นการปฏิบัติตามกฎหมายและเพื่อให้เกิดความสอดคล้องกับ
หลักปฏิบัติสากลในเรื่องการคุ้มครองข้อมูลส่วนบุคคลด้วย

ผลการบังคับใช้

ตามหลั ก การส าคั ญ ของพระราชบั ญ ญั ติ ว่ า ด้ ว ยธุ ร กรรมทา งอิ เล็ ก ทรอนิ ก ส์

พ.ศ. 2544 หน่วยงานของรัฐใดที่ต้องการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐและประสงค์ให้ ข้อมูล
อิ เล็ ก ทรอนิ ก ส์ มี ผ ลทางกฎหมายและบั งคั บ ใช้ ได้ ให้ ป ฏิ บั ติ ต ามหลั ก เกณฑ์ แ ละวิ ธีก ารที่ ก าหนด
ในพระราชกฤษฎี ก าก าหนดหลั ก เกณฑ์ แ ละวิธี ก ารในการท าธุ รกรรมทางอิ เล็ ก ทรอนิ ก ส์ ภ าครั ฐ
พ.ศ. 2549

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 2
หลักการสาคัญในการคุ้มครอง
ข้อมูลส่วนบุคคล
 7
บทที่ 2 หลักกำรสำคัญในกำรคุ้มครองข้อมูลส่วนบุคคล

กรอบในการคุ้มครองข้อมูลส่วนบุคคลของ OECD
องค์การความร่วมมือและการพัฒนาทางเศรษฐกิจ หรือ OECD (The Organization
for Economic Co-operation and Development) ได้ มี ก ารออก Guidelines Governing the
Protection of Privacy and Transborder Data Flows of Personal Data ซึ่ ง เป็ น แนวนโยบาย
และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่หลายประเทศนิยมนาไปใช้เป็นแนวทางในการยกร่าง
กฎหมายคุ้มครองข้อมูลส่วนบุค คลในประเทศของตน เพื่อใช้บังคับกับการดาเนินการใดๆ เกี่ยวกับ
ข้อมูลส่วนบุคคลที่อยู่ในรูปของข้อมู ลอิเล็กทรอนิกส์ โดยวางหลักการสาคัญไว้ว่า ข้อมูลส่วนบุคคล
ต้องได้รับการคุ้มครองที่เหมาะสม ในทุกขั้นตอนตั้งแต่การเก็บรวบรวม การเก็บรักษา และการเปิดเผย
โดยแนวทางดังกล่าวนี้ คณะกรรมการฯ ได้นามาเป็นแนวทางในการยกร่าง ประกาศคณะกรรมการ
ธุร กรรมทางอิ เล็ ก ทรอนิ ก ส์ เรื่ อ ง แนวนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ของหน่วยงานของรัฐ พ.ศ. 2553 ด้วยเช่นกัน
โดย Guidelines Governing the Protection of Privacy and Transborder Data
Flows of Personal Data ของ OECD มีการกาหนดหลักพื้นฐาน 8 ประการ ดังต่อไปนี้
ข้อ กรอบ OECD สาระสาคัญ
1 หลักข้อจากัด ในการเก็ บ รวบรวมข้ อ มู ล นั้ น ต้ อ งชอบด้ ว ยกฎหมายและต้ อ งใช้ วิ ธี ก าร
ในการเก็บรวบรวม ที่เป็นธรรมและเหมาะสม โดยในการเก็บรวบรวมข้อมูลนั้นต้องให้เจ้าของข้อมูล
ข้อมูล รู้เห็น รับรู้ หรือได้รับความยินยอมจากเจ้าของข้อมูล
2 หลักคุณภาพ ข้ อ มู ล ที่ เก็ บ รวบรวมนั้ น ต้ อ งเกี่ ย วข้ อ งกั บ วั ต ถุ ป ระสงค์ ที่ ก าหนดขึ้ น ว่ า
ของข้อมูล “จะนาไปใช้ทาอะไร” และเป็นไปตามอานาจหน้าที่และวัตถุประสงค์ในการ
ดาเนินงานของหน่วยงานตามที่กฎหมายกาหนด นอกจากนั้นข้อมูลดังกล่าว
จะต้องถูกต้อง สมบูรณ์ หรือทาให้เป็นปัจจุบัน หรือทันสมัยอยู่เสมอ
3 หลักการ ต้ อ งกาหนดวั ต ถุ ป ระสงค์ว่ า ข้ อมู ล ที่ มี การเก็ บ รวบรวมนั้ น เก็บ รวบรวม
กาหนดวัตถุประสงค์ ไปเพื่ อ อะไร พร้ อมทั้ งก าหนดระยะเวลาที่ เก็ บรวบรวมหรื อรั กษาข้ อมู ลนั้ น
ในการจัดเก็บ ตลอดจนกรณี ที่จาเป็นต้องมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม
ข้อมูลเช่นว่านั้น ไว้ให้ชัดเจน
4 หลักข้อจากัด ข้อมูลส่วนบุคคลนั้น จะต้องไม่มีการเปิดเผย ทาให้มี หรือปรากฏในลักษณะ
ในการนาไปใช้ อื่น ใด ซึ่ งไม่ ได้ กาหนดไว้โดยชั ดแจ้ งในวัต ถุป ระสงค์ ของการเก็บ รวบรวม
ข้อมู ล เว้ น แต่ จะได้ รับความยิ นยอมจากเจ้ าของข้อมู ล หรือโดยอาศัยอานาจ
ตามบทบัญญัติแห่งกฎหมาย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 8
ข้อ กรอบ OECD สาระสาคัญ
5 หลักการ จะต้องมีมาตรการในการรักษาความมั่ นคงปลอดภัยของข้อมูลส่วนบุ คคล
รักษาความมั่นคง ที่ เหมาะสม เพื่ อป้ องกั น ความเสี่ ยงภัยใดๆ ที่ อาจจะท าให้ ข้อมู ลนั้ นสู ญหาย
ปลอดภัยข้อมูล เข้าถึง ทาลาย ใช้ ดัดแปลง แก้ไข หรือเปิดเผยโดยมิชอบ
6 หลักการ ควรมีการประกาศนโยบายฯ ให้ทราบโดยทั่วกัน หากมีการปรับปรุง แก้ไข หรือ
เปิดเผยข้อมูล พัฒนาแนวนโยบาย หรือแนวปฏิบัติที่เกี่ยวกับข้อมูลส่วนบุคคล ก็ควรเปิดเผย
หรือประกาศไว้ให้ชัดเจน รวมทั้งให้ข้อมูลใดๆ ที่สามารถระบุเกี่ยวกับหน่วยงาน
ของรัฐผู้ให้บริการ ที่อยู่ผู้ควบคุมข้อมูลส่วนบุคคล ด้วย
7 หลักการ ให้ บุ คคลซึ่ งเป็ น เจ้ าของข้อมู ล ได้ รับ แจ้ ง หรือยื น ยั น จากหน่ ว ยงานของรัฐ
มีส่วนร่วมของบุคคล ที่เก็บรวบรวม หรือจัดเก็บข้อมูลทราบว่า “หน่วยงานของรัฐนั้นๆ ได้รวบรวม
ข้ อ มู ล หรื อ จั ด เก็ บ ข้ อ มู ล ส่ ว นบุ ค คลดั ง กล่ า วหรื อ ไม่ ภายในระยะเวลา
ที่เหมาะสม”
8 หลักความ ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามนโยบายและแนวปฏิบัติในการคุ้มครอง
รับผิดชอบ ข้อมูลส่วนบุคคล

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 9

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 3
การจัดการข้อมูลส่วนบุคคล
 11
บทที่ 3 กำรจัดกำรข้อมูลส่วนบุคคล

ประเด็นสาคัญจากทั้งนโยบายและแนวปฏิบัติ

ส่วนที่ 1 : นโยบายการคุ้มครองข้อมูลส่วนบุคคล
วัตถุป ระสงค์ของการจัดทานโยบายในการคุ้มครองข้อมูล ส่ วนบุคคล คือ เป็นการแจ้ง
ให้กับผู้ที่ใช้บริการธุรกรรมทางอิเ ล็กทรอนิกส์ภาครัฐกับหน่วยงานได้ทราบว่า หน่วยงานมีแนวทาง
ในการบริหารจัดการข้อมูลส่วนบุคคลของผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลอย่างไร เพื่อให้ผู้ใช้บริการ
ทราบและสามารถตัดสินใจได้ว่าจะให้ข้อมูลส่วนบุคคลของตน หรือไม่
1.1) สาระสาคัญในนโยบาย
หั วข้ อหลั กที่ เป็ นสาระส าคั ญในการจั ดท านโยบายที่ มี ความสอดคล้ องกั บประกาศ
คณะกรรมการฯ ประกอบด้วย
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจากัด
2. คุณภาพของข้อมูลส่วนบุคคล
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม
4. ข้อจากัดในการนาข้อมูลส่วนบุคคลไปใช้
5. การรักษาความมั่นคงปลอดภัย
6. การเปิดเผยเกี่ยวกับการดาเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูล
ส่วนบุคคล
7. การมีส่วนร่วมของเจ้าของข้อมูล
8. ความรับผิดชอบของบุคคลซึ่งทาหน้าที่ควบคุมข้อมูล
คาแนะนา
สาระสาคัญทั้ง 8 ข้อ เป็นรายการขั้นต่าที่ต้องปรากฏในนโยบาย หน่วยงานสามารถกาหนดสาระสาคัญ
อื่นเพิ่มเติมนอกเหนือจากที่ประกาศไว้ด้วยก็ได้

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 12
1.2) รายละเอี ย ดจากแนวปฏิ บั ติ ที่ ต้ อ งเพิ่ มเติ ม ในนโยบาย หากหน่ ว ยงาน
มีการดาเนินการ ได้แก่
1. การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
(ตามประกาศคณะกรรมการฯ ข้อ 2 (2) (ค))
2. บันทึกผู้เข้าชมเว็บ (Log Files)
(ตามประกาศคณะกรรมการฯ ข้อ 2 (2) (ง))
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
(ตามประกาศคณะกรรมการฯข้อ 2 (3))
4. การรวมข้อมูลจากที่มาหลายๆ แห่ง
(ตามประกาศคณะกรรมการฯ ข้อ 2 (4))
5. การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
(ตามประกาศคณะกรรมการฯ ข้อ 2 (5))
6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
(ตามประกาศคณะกรรมการฯข้อ 2 (6))
ส่วนที่ 2 : แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
วั ตถุ ป ระสงค์ ข องการจั ดท าแนวปฏิ บั ติ ในการคุ้ ม ครองข้อ มู ล ส่ ว นบุ ค คล คื อ เพื่ อให้ มี
ขั้นตอนในการปฏิบั ติกับข้อมูลส่วนบุ คคลเป็น ไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ
หน่วยงาน ทั้งนี้หน่วยงานจะต้องกาหนดรายละเอียดให้ปรากฏในแต่ละข้อ โดยแนวปฏิบัติต้องแสดง
ถึงขั้นตอนและวิธีการดาเนิน การเพื่อให้ทราบได้ว่าหน่วยงานมีแนวทางปฏิบัติกับข้อมู ลส่วนบุคคล
อย่างไร
2.1) สาระสาคัญในแนวปฏิบัติ
หัวข้อหลักที่เป็ นสาระสาคัญการจัดทาแนวปฏิบัติ ที่มีความสอดคล้องกับ ประกาศ
คณะกรรมการฯ ประกอบด้วย
1. ข้อมูลเบื้องต้น
2. การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคล
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
4. การรวมข้อมูลจากที่มาหลายๆ แห่ง
5. การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
7. การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
8. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
9. การติดต่อกับเว็บไซต์

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 13

คาแนะนา
ก. หน่วยงานควรระบุหัวข้อให้ครบทั้ง 9 ข้อ
ข. กรณี ที่ หน่ วยงานไม่ มี การด าเนิ นการในแนวปฏิ บั ติ ข้อใด ให้ คงหั วข้ อไว้ และระบุ รายละเอี ยด
ของหัวข้อนั้นว่า “– ไม่มี –” พร้อมเหตุผลประกอบ

2.2) ในกรณี ที่ หน่ วยงานมีร ะบบสารสนเทศที่ ให้บ ริ การธุ รกรรมทางอิ เล็กทรอนิก ส์
หลายระบบงาน โดยแต่ ล ะระบบงานนั้ น มี วิ ธี ป ฏิ บั ติ ในบางเรื่อ งที่ อาจมีค วาม
แตกต่างกัน
ในกรณีที่หน่วยงานของรัฐมีระบบการให้บริการหลายระบบงาน ซึ่งแต่ละระบบงาน
อาจมีข้อปฏิ บั ติที่มีความแตกต่างกัน หน่ วยงานควรมีการกาหนดแนวปฏิ บัติของแต่ล ะระบบงาน
โดยอาจจะกาหนดไว้เป็นระเบียบข้อบังคับแนบท้ายประกาศฉบับนี้ได้

หมายเหตุ
1. เพื่อความสะดวกในการปรับแก้ไขประกาศนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
ของหน่วยงานในอนาคต หน่วยงานควรพิจารณาจัดทานโยบายและแนวปฏิบัติแยกออกจากกัน
2. ในกรณี ที่หน่ วยงานได้รั บทรัสต์มาร์คจากหน่ วยงานหรือองค์กรอื่นที่ทาหน้ าที่ออกทรัสต์มาร์ ค
(Trust Mark) ส าหรับ หน่ วยงานของรัฐ ที่ได้รับ ทรัส ต์มาร์คจากหน่วยงานหรือองค์กรอื่นที่ทาหน้าที่
ออกทรัสต์มาร์ค (Trust Mark) ให้หน่วยงานของรัฐนั้นแสดงนโยบายและแนวปฏิบัติในการคุ้มครอง
ข้อมูลส่วนบุคคลที่ได้รับการรับรองจากหน่วยงานหรือองค์กรที่ออกหรือรับรองทรัสต์มาร์ คดังกล่าว
ต่อคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ด้วย
ทรัสต์มำร์ค (Trust Mark) ตามความในวรรคแรกหมายถึง เครื่องหมายที่รับรองว่าหน่วยงาน
ดังกล่าวมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในการทาธุรกรรมทางอิเล็กทรอนิกส์
ซึ่ ง ออกโดยหน่ ว ยงานหรื อ องค์ ก รที่ จั ด ตั้ ง โดยชอบด้ ว ยกฎหมายเพื่ อ ท าหน้ าที่ ในการตรวจสอบ
และรับรองการออกทรัสต์มาร์คให้กับผู้ขอรับการรับรอง
3. ในกรณี ที่ ห น่ ว ยงานได้ มี ก ารปรั บ ปรุ งนโยบาย ให้ ร ะบุ วั น เวลา และปี ที่ มี ก ารปรั บ ปรุ ง
หรือเปลี่ยนแปลงนโยบายดังกล่าวไว้ด้วย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 มาตรการสาหรับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของข้อมูลส่วนบุคคล

14
ประเด็นด้านเทคนิคที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล จาเป็นต้องเชื่อมโยงความสัมพันธ์กับนโยบาย
และแนวปฏิ บั ติ ใ นการรั ก ษาความมั่ น คงปลอดภั ย ด้ า นสารสนเทศของหน่ ว ยงานที่ ผ่ า นความเห็ น ชอบจากคณะกรรมการธุ ร กรรม
ทางอิเล็กทรอนิกส์แล้ว โดยหน่วยงานควรพิจารณาความสอดคล้องและเตรียมเอกสารอ้างอิงเพิ่มเติมในประเด็นหัวข้อต่างๆ ดังนี้
ข้อกาหนด มาตรการที่ควรคานึง
การป้องกันการสูญหายของข้อมูลส่วนบุคคล - กระบวนการส ารองข้ อ มู ล ส่ว นบุ ค คล ประกอบด้ วย ข้ อ มู ล ที่ ส ารอง ความถี่ ในการส ารอง สื่ อ ที่ ใช้
โดยมิชอบ สถานที่เก็บ วิธีการเก็บรักษา และการนาไปใช้งาน
- ความถี่ในการทดสอบข้อมูลที่เก็บสารองไว้อย่างสม่าเสมอ
- การจัดการ Malicious code และ mobile code
การป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบ - การแยกระบบที่ ให้ บ ริ ก ารธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ ภ าครั ฐ ที่ มี ข้ อ มู ล ส่ ว นบุ ค คล ไว้ ในบริ เวณ
ที่แยกต่างหากออกมาสาหรับระบบนี้โดยเฉพาะ
- การจัดลาดับชั้นความลับของข้อมูลส่วนบุคคลในระบบสารสนเทศ
- วิธีการรับส่ง ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลที่เป็นความลับตามระดับความสาคัญ
- การเข้าถึงระบบปฏิบัติการ
- การเข้าถึงระบบเครือข่าย
การป้องกันการทาลายข้อมูลส่วนบุคคลโดยมิชอบ - กระบวนการพิจารณาเพื่อทาลายข้อมูลส่วนบุคคล
- ความถี่ในการทาลายข้อมูลส่วนบุคคล
- ระบุผู้ที่มีหน้าที่ในการทาลายข้อมูลส่วนบุคคล
- วิธีการทาลายสื่อบันทึกข้อมูลทั้งชนิดถาวร และการนากลับมาใช้ใหม่
 ข้อกาหนด
การป้องกันการใช้ข้อมูลส่วนบุคคลโดยมิชอบ
การป้องกันการแปลงและแก้ไขข้อมูลส่วนบุคคล
โดยมิชอบ
การป้องกันการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ - การแลกเปลี่ยนข้อมูลทั้งภายในและภายนอกหน่วยงาน
การบันทึกผู้เข้าชมเว็บไซต์ (Log Files)
มาตรการที่ควรคานึง
- การลงทะเบียนพร้อมแจ้งวัตถุประสงค์การขอใช้งาน
- การยืนยันตัวบุคคลตามรหัสผ่านที่ได้รับอนุญาต
- ข้อจากัดในการแก้ไขข้อมูลส่วนบุคคลเท่าที่จาเป็น
- ระบุผู้ที่ทาหน้าที่ในการแก้ไขข้อมูลส่วนบุคคล
- บันทึกรายละเอียดการปรับแก้ไขข้อมูลส่วนบุคคล เช่น การอนุมัติจากผู้มีอานาจ การประมวลผล การ
บันทึกการแก้ไขเปลี่ยนแปลง และการแจ้งผู้ที่ได้รับผลกระทบจากการเปลี่ยนแปลงทราบ
- การกาหนดสัญญารักษาความลับของข้อมูลส่วนบุคคล
1) กรณีการเข้า-ออกโดยอัตโนมัติ
- บันทึกและจัดเก็บข้อมูลการขออนุญาตเข้าใช้ระบบ
- บันทึกและจัดเก็บข้อมูลการเข้า-ออก ของผู้มีสิทธิเข้าใช้ข้อมูลส่วนบุคคล
- ระบุรายละเอียดข้อมูลที่ใช้ในการเก็บ
2) กรณีการแลกเปลี่ยนข้อมูล ระหว่างหน่วยงาน
- บันทึกและจัดเก็บข้อมูลการขออนุญาตเข้าใช้ระบบ
- บันทึกและจัดเก็บข้อมูลการเข้า-ออก ของผู้มีสิทธิในการแลกเปลี่ยนข้อมูล ระหว่างหน่วยงาน
- รายละเอียดการดาเนินงานที่เกิดขึ้นในแต่ละครั้งที่มีการแลกเปลี่ยนข้อมูล
- ระบุรายละเอียดข้อมูลที่ใช้ในการจัดเก็บ
15
 ข้อกาหนด มาตรการที่ควรคานึง
การสร้างเสริมความสานึกในการรับผิดชอบ - การอบรม เพิ่มพูนความรู้แก่บุคลากรเก่าและใหม่อย่างสม่าเสมอ

16
ด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล - กระบวนการลงโทษทางวินัย เพื่อลงโทษบุคลากรที่ฝ่าฝืน ละเมิดนโยบายและแนวปฏิบัติในการคุ้มครอง
ให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงาน ข้อมูลส่วนบุคคล
ด้วยการเผยแพร่ข้อมูลข่าวสาร ให้ความรู้
จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าว
ให้แก่บุคลากรในองค์กรเป็นประจา
การกาหนดสิทธิและข้อจากัดสิทธิในการเข้าถึง - กระบวนการมอบหมายหรือกาหนดสิทธิ
ข้อมูลส่วนบุคคลของบุคลากร พนักงาน หรือ - การกาหนดสิทธิตามหน้าที่ความรับผิดชอบและตามความจาเป็น
ลูกจ้างของตนในแต่ละลาดับชั้นให้ชัดเจน และ
ให้มีการบันทึกรวมทั้งการทาสารองข้อมูลของการ
- การเพิกถอนสิทธิ เมื่อมีการลาออก เปลี่ยนตาแหน่ง หรือย้าย
เข้าถึงหรือการเข้าใช้งานข้อมูลส่วนบุคคล - การให้สิทธิพิเศษสาหรับผู้บริหารระดับสูงของหน่วยงาน และระยะการทบทวนสิทธิของผู้บริหาร
ไว้ในระยะเวลาทีเ่ หมาะสมหรือตามระยะเวลา - การเฝ้าระวังบัญชีที่ได้รับสิทธิพิเศษ
ที่กฎหมายกาหนด
การตรวจสอบและประเมินความเสี่ยง - กาหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรม
ด้านความมั่นคงปลอดภัยของเว็บไซต์ หรือ - ระบุผู้ตรวจสอบภายในหรือหรือผู้ตรวจสอบจากภายนอก
ของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ 1 ครั้ง
การกาหนดให้มีการใช้มาตรการที่เหมาะสมและ การรักษาความมั่นคงปลอดภั ยของข้อมูลส่วนบุคคลที่มีความสาคัญ ยิ่ง หรือเป็นข้อมูลที่อาจกระทบต่อ
เป็นการเฉพาะสาหรับการรักษาความมั่นคง ความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของหน่วยงาน
ปลอดภัยของข้อมูลส่วนบุคคลที่มคี วามสาคัญยิ่ง ของรัฐ หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลอย่าง
หรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ชัดเจน ตัวอย่างเช่น หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจาตัวประชาชน หรือหมายเลข
ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดี ประจาตัวบุคคล เชื้อชาติ ศาสนา ความเชื่อ ความคิดเห็นทางการเมือง สุขภาพ พฤติกรรมทางเพศ เป็นต้น
ของประชาชนซึ่งเป็นผู้ใช้บริการของหน่วยงาน
ของรัฐ หรืออาจก่อให้เกิดความเสียหาย หรือ
มีผลกระทบต่อสิทธิเสรีภาพของผูเ้ ป็นเจ้าของ
ข้อมูลอย่างชัดเจน
 ข้อกาหนด มาตรการที่ควรคานึง
มาตรการที่รอบคอบในการรักษาความมั่นคง การรักษาความมั่นคงปลอดภัยสาหรับข้อมูลส่วนบุคคลซึ่งอายุไม่เกินสิบแปดปี
ปลอดภัยสาหรับข้อมูลส่วนบุคคลของบุคคล
ซึ่งอายุไม่เกินสิบแปดปีโดยใช้วิธีการโดยเฉพาะ
และเหมาะสม

ทั้งนี้ การจัดทานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน (ประเด็นด้านเทคนิค ฯ) ควรเน้นให้เห็นว่า

“หน่วยงานมีการจัดเก็บข้อมูลส่วนบุคคลอย่างเป็นความลับ และมีมาตรการรักษาความมั่นคงปลอดภัยตามนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน” ดังนั้น หน่วยงานควรเพิ่มข้อความดังกล่าวในนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูล
ส่วนบุคคล เพื่อให้มีความเชื่อมโยงไปสู่การปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

17
 4
การจัดทานโยบายและแนวปฏิบัติ
ในการคุ้มครองข้อมูลส่วนบุคคล
 19
บทที่ 4 กำรจัดทำนโยบำยและแนวปฏิบัติในกำรคุ้มครองข้อมูลส่วนบุคคล

ขั้นตอนการดาเนินการจัดทา

 ศึกษาทาความเข้าใจในหลักการ
เหตุผล และสาระสาคัญของประกาศฯ

จัดทา
 สารวจข้อมูลส่วนบุคคลที่มีอยู่ แนวนโยบายและ
แนวปฏิบัติ
ในการคุ้มครอง
ข้อมูลส่วนบุคคล

 พิจารณาประเด็นเชิงนโยบาย
ในแต่ละเรื่อง / แต่ละขั้นตอน

 ด าเนิ น การศึ ก ษาท าความเข้ า ใจในหลั ก การ เหตุ ผ ล และสาระส าคั ญ ของประกาศ
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูล
ส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553
 ดาเนินการสารวจและเตรียมความพร้อม เกี่ยวกับข้อมูลส่วนบุคคลที่มีอยู่ เพื่อตรวจสอบ
ข้อมูลเบื้องต้นว่าหน่วยงานมีการรวบรวม จัดเก็บ ใช้ เผยแพร่ข้อมูลส่วนบุค คลที่อยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ ในระบบงานใดบ้าง ผู้ใช้บริการคือใคร (เจ้าของข้อมูล) ผู้ควบคุมข้อมูล (ผู้รับผิดชอบ
ในการดูแลการจัดเก็บ การใช้ และการเปิดเผยข้อมูลส่วนบุคคล) วัตถุประสงค์ของการจัดเก็บข้อมูล
ส่วนบุคคลของแต่ละระบบงาน มีการจัดเก็บข้อมูลส่วนบุ คคลประเภทใดบ้าง มีวิธีการจัดเก็บข้อมูล
ส่วนบุคคลอย่างไร มีการเชื่อมโยงข้อมูลส่วนบุคคลให้กับหน่วยงานอื่นหรือองค์กรอื่น หรือไม่ เป็นต้น

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 20
 ดาเนิ นการพิจารณาประเด็นเชิงนโยบายฯ ในแต่ละเรื่อง พร้อมทั้งพิจารณาในขั้นตอน
การปฏิบัติของหน่วยงานที่ปฏิบัติแต่ละเรื่องนั้น
 ด าเนิ น การจั ด ท านโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล พร้อ มทั้ ง
ตรวจสอบความครบถ้วน ถูกต้อง

การสารวจและเตรียมความพร้อมกับข้อมูลส่วนบุคคลที่มีอยู่

ก่อนจะเริ่มจัดทานโยบายและแนวปฏิบัติฯ หน่วยงานควรมีการสารวจความพร้อม
ของหน่ ว ยงานเพื่ อ ให้ ท ราบรายละเอี ย ดเกี่ ย วกั บ ข้ อ มู ล เบื้ อ งต้ น ของข้ อ มู ล ส่ ว นบุ ค คลที่ เป็ น อยู่
ในหน่วยงานเพื่อนามาใช้กาหนดแนวนโยบายและแนวปฏิบัติฯ
ทั้งนี้ หน่วยงานสามารถกาหนดรายละเอียดข้อมูลเพื่อใช้ในการสารวจความพร้อม
ตามตัวอย่าง
ที่ หัวข้อ มี ไม่มี รายละเอียด
1 มีการเก็บรวบรวมข้อมูลส่วนบุคคล หรือไม่
2 ข้อมูลส่วนบุคคลประเภทใดบ้างที่มีการเก็บรวมรวม
3 มีการเก็บรวบรวมข้อมูลอย่างไร (เก็บจากเจ้าของข้อมูล
โดยตรง หรือเก็บจากบุคคลที่สาม)
4 ได้มีการเตือนให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวม
ข้อมูล ส่วนบุคคลนั้น หรือไม่
5 บุคคลใดเป็นผูต้ ัดสินใจว่าจะเก็บรวบรวมข้อมูล
ส่วนบุคคล อะไรบ้าง และจะเก็บรวบรวมอย่างไร
6 มีบุคคลอื่นนอกจากเว็บไซต์ที่เก็บรวบรวมข้อมูล
ส่วนบุคคลนี้ หรือไม่
7 เพราะเหตุใดจึงต้องมีการเก็บรวบรวมข้อมูลส่วนบุคคล
และใครเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีการเก็บ
รวบรวมนั้น
8 ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมไปมีการเปิดเผยต่อบุคคล
ที่สามหรือไม่ และหากมีการเปิดเผย เปิดเผยด้วยเหตุผลใด
9 ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ ถูกเก็บรักษาไว้
ที่ไหน และเก็บรักษาอย่างไร
10 มีการใช้มาตรฐานหรือแนวทางปฏิบัติที่หน่วยงานอืน่
กาหนดในการเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคล
หรือไม่

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 21
ที่ หัวข้อ มี ไม่มี รายละเอียด
11 เจ้าของข้อมูลมีทางเลือกอย่างไรบ้างเกี่ยวกับการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
12 อนุญาตให้เจ้าของข้อมูลเข้าถึงข้อมูลส่วนบุคคล
ของตนเอง หรือไม่

13 กรณีเจ้าของข้อมูลมีคาร้องขอใดๆ เกี่ยวกับข้อมูล
ส่วนบุคคล (ขอให้แก้ไข หรือขอให้ลบทิ้ง) จะต้องทา
อย่างไรบ้าง
ข้อสังเกตเพิ่มเติม หากหน่วยงานมีการเชื่อมโยงเพื่อใช้ข้อมูลประวัติจากหน่วยงาน
อื่นๆ เช่น ฐานข้อมูลทะเบียนราษฎร์ หรืออื่นๆ หรือให้หน่วยงานอื่นมาใช้ข้อมูลประวัติจากหน่วยงาน
เอง จะต้องพิจารณาในข้อ 2, 3 และ 11 ด้วย

ประเด็นพิจารณาในการจัดทา

ในเบื้ อ งต้ น จากการส ารวจความพร้อ มของหน่ ว ยงานเพื่ อ ให้ ท ราบรายละเอี ย ด

เกี่ยวกับข้อมูลเบื้องต้นของข้อมูลส่วนบุคคลที่เป็นอยู่ในหน่วยงาน ขอยกตัวอย่างประเด็นพิจารณา
ในบางหัวข้อ ดังนี้
หัวข้อ ข้อมูลส่วนบุคคลประเภทใดบ้างที่มีการเก็บรวมรวม
1. นิ ย าม ขอบเขตของคาว่า “ข้อมูล ส่ ว นบุ คคล” ตามประกาศคณะกรรมการฯ
ไม่ได้กาหนดชัด เจน แต่กาหนดหลั กการไว้ในมาตรา 6 ของพระราชกฤษฎี กาฯ ดังนี้ “มาตรา 6
ในกรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูล หรื อข้อเท็จจริงที่ทาให้สามารถระบุตัวบุคคล
ไม่ว่าโดยตรงหรือโดยอ้อม”
2. การพิจารณากาหนดประเภทของข้อมูล
 ข้อมูลธรรมดาทั่วไป (ขั้นพื้นฐาน) เช่น ชื่อ นามสกุล เพศ ที่อยู่ เบอร์โทรศัพท์
วันเดือนปีเกิด อายุ สถานภาพ จดหมายอิเล็กทรอนิกส์
 ข้อมูลธรรมดาทั่วไป (เพิ่มรายละเอียด) เช่น บิดามารดา หมู่โลหิต การเสียภาษี
ประวัติการศึกษา ประวัติการทางาน ประวัติการรักษาพยาบาล
 ข้อมูลห้ามประมวลผล หรือ ข้อมูลห้ามจัดเก็บ หรือข้อมูลลับ เช่น เผ่าพันธุ์
ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง ลักษณะทางพันธุกรรม ข้อมูลที่อาจเป็นผลร้าย ทาให้
เสียชื่อเสียง หรืออาจก่อให้เกิดความรู้สึกเกี่ยวกับการเลือกปฏิบัติโดยไม่เป็นธรรมหรือไม่เท่าเทียมกัน
แก่บุคคลใด

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 22
3. การพิจารณา ใครคือ Data Subject ของข้อมูล
 เจ้าของข้อมูลบุคคล
 ผู้มีหน้าที่รวบรวมข้อมูลและประมวลผลข้อมูล
 ผู้ที่มีข้อมูลของเจ้าของข้อมูล

แนวทางการเขียน

แนวทางการจั ด ท านโยบายและแนวปฏิ บั ติ ฯ ตามที่ ค ณะอนุ ก รรมการภายใต้

คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ที่เกี่ยวข้องกับการตรวจพิจารณา ได้กาหนดหลักการไว้ มีดังนี้
1. หน่ วยงานของรัฐควรกาหนดแนวนโยบายและแนวปฏิบัติฯ แยกออกจากกัน
ให้ชัดเจน และเป็นไปตามประกาศคณะกรรมการฯ
2. การด าเนิ น การนั้ น กฎหมายของหน่ ว ยงาน ได้ ใ ห้ อ านาจแก่ ห น่ ว ยงาน
ในการจั ดเก็บข้อมูลส่วนบุ คคลด้วยหรือไม่ โดยต้องมีการระบุไว้ในประกาศอย่างชัดเจน เนื่องจาก
เป็ น ประเด็น ที่เกี่ย วข้องกับ อานาจหน้ าที่ตามกฎหมาย ซึ่งหากหน่ วยงานจัดเก็บ ข้อมู ลส่ ว นบุ คคล
เกินกว่าอานาจหน้าที่จะเป็นการไม่ถูกต้อง
3. ส่ ว นที่ เกี่ ย วข้ อ งกั บ นโยบายฯ หน่ ว ยงานจะต้ อ งเขี ย นแยกเป็ น ข้ อ ๆ ให้ ค รบ
ทั้ง 8 ข้อตามที่ประกาศคณะกรรมการฯ กาหนด สาหรับส่วนที่เกี่ยวข้องกับแนวปฏิบัติฯ หน่วยงาน
จะต้องเขียนโดยให้มีหั วข้อแยกเป็น ข้อๆ และให้ครบตามประกาศคณะกรรมการฯ กาหนดเช่นกัน
หากเรื่องใดที่หน่ วยงานนั้น ไม่ได้ดาเนิน การก็ให้ระบุไว้ด้วยว่า “ไม่มี” พร้อมทั้งแสดงเหตุผ ลที่มิได้
ดาเนินการประกอบด้วย โดยห้ามตัดหัวข้อนั้นทิ้ง
4. ในส่วนของแนวปฏิบัติ หากหน่วยงานมีการดาเนินการ (บางข้อ) ต้องนามาเขียน
เพิ่มเติมไว้ในนโยบายในการคุ้มครองข้อมูลส่วนบุคคลด้วย
5. ในแบบประเมิ น ประกอบการพิ จ ารณาฯ (ภาคผนวก ก) ส าหรั บ ประเด็ น
ทางด้านเทคนิคที่ต้องระบุในนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ให้หน่วยงาน
พิ จ ารณาแสดงความเชื่ อ มโยงให้ ส อดคล้ อ งกั บ นโยบายและแนวปฏิ บั ติ ในการรั ก ษาความมั่ น คง
ปลอดภัยด้านสารสนเทศของหน่วยงานให้ชัดเจน
6. การจัดทานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน
(ประเด็นด้านเทคนิคฯ) ควรเน้นให้เห็นว่า “หน่วยงานมีการจัดเก็บข้อมูลส่วนบุคคลอย่างเป็นความลับ
และมี ม าตรการรั ก ษาความมั่ น คงปลอดภั ย ตามนโยบายและแนวปฏิ บั ติในการรักษาความมั่ น คง
ปลอดภัยด้านสารสนเทศของหน่วยงาน” ดังนั้น หน่วยงานควรเพิ่มข้อความดังกล่าวในนโยบายและ
แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีความเชื่อมโยงไปสู่การปฏิบัติตามนโยบายและ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 23
สาระสาคัญของประกาศฯ เรื่อง แนวนโยบายและแนวปฏิบัติ
ในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553
การจัดทานโยบายในการคุม้ ครองข้อมูลส่วนบุคคล จะต้องมีรายละเอียดอย่างน้อย ดังนี้
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจากัด
 ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หน่วยงานควรระบุว่าเป็นไปตามกฎหมายใด
และต้องระบุวิธีการที่ได้มาซึ่งข้อมูลส่วนบุคคลโดยให้เจ้าของข้อมูลรู้เห็น รับรู้ หรือได้รับความยินยอม
จากเจ้าของข้อมูล
 ในกรณี ที่การเก็บรวบรวมข้อมูลส่ว นบุคคล เพื่อใช้ในการดาเนินการตามกฎหมาย
เช่น หน่วยงานมีการประกาศแบบคาร้อง/คาขอต่างๆ หน่วยงานสามารถดาเนินการเก็บรวบรวมข้อมูล
ส่วนบุคคลตามแบบนั้นได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล เนื่องจากเป็นการดาเนินงาน
ตามกฎหมายของหน่วยงานอยู่แล้ว ทั้งนี้ หน่วยงานสามารถแจ้งให้กับผู้ ใช้บริการทราบว่า การเก็บ
รวบรวมข้อมูลส่วนบุคคลดังกล่าวเป็นไปตามแบบคาร้อง/คาขอ เลขที่ใด เรื่องอะไร เป็นต้น สาหรับ
ข้อมูลส่วนบุคคลที่หน่วยงานต้องการเก็บรวบรวมนอกเหนือจากแบบดังกล่าวข้างต้น หน่วยงานต้อง
แจ้ งให้ ท ราบว่ ามี ก ารเก็ บ ข้ อ มู ล อะไรเพิ่ ม เติ ม ใช้ เพื่ อ การใด ซึ่ งจะต้ อ งแจ้ งให้ เจ้ า ของข้ อ มู ล รั บ รู้
และได้รับความยินยอมก่อนเสมอ
ตัวอย่าง
...(ชื่อหน่ วยงาน).. มี ภารกิ จหน้ าที่ ด าเนิ นการเกี่ ยวกั บ ...(ระบุ ภารกิ จของหน่ วยงาน
ตามกฎหมาย)...ซึ่งเป็นไปตาม....(ชื่อกฎหมาย).. กาหนด
การจัดเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการ...(ขื่อหน่วยงาน)...จะใช้วิธีการ
ที่ ช อบด้ ว ยกฎหมายและเป็ น ธรรม และจั ด เก็ บ ข้ อ มู ล เท่ า ที่ จ าเป็ น แก่ ก ารให้ บ ริ ก ารธุ ร กรรม
ทางอิเล็กทรอนิกส์ตามวัตถุประสงค์ในการดาเนินงานของ..(ขื่อหน่วยงาน)...ตามที่กฎหมายกาหนด
เท่านั้น และ...(ขื่อหน่วยงาน)...จะขอความยินยอมจากผู้ใช้บริการก่อนทาการเก็บรวบรวม เว้นแต่
เป็นกรณีที่กฎหมายกาหนด และหรือ ในกรณีอื่นๆ ตามที่กาหนดไว้ในนโยบายฉบับนี้

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 24
2. คุณภาพของข้อมูลส่วนบุคคล
 หน่วยงานควรคานึงถึงว่าการเก็บรวบรวมและจัดเก็บข้อมูลส่วนบุคคลนั้น ต้องเป็นไป
ตามกฎหมาย / อานาจหน้าที่ของหน่วยงานที่กาหนดไว้ และรวมถึงการนาไปใช้เป็นสาคัญ
 ข้อมูลส่วนบุคคลที่จัดเก็บจะต้องคานึงถึงความถูกต้องสมบูรณ์ และทาให้เป็นปัจจุบัน
และทันสมัยอยู่เสมอ เช่น (1) มีวิธีการตรวจสอบความถูกต้องของข้อมูลก่อนที่มีการจัดเก็บและนาไป
ประมวลผล (2) มีช่องทางสาหรับให้ผู้ใช้บริการสามารถปรับปรุงแก้ไขข้อมูลส่วนบุคคลของตน เช่น
การตรวจสอบการกรอกข้อมูล เลขบั ตรประชาชนครบ 13 หลั ก หรือไม่ การตรวจสอบการกรอก
e-Mail เป็นไปตามรูปแบบ name@host.domain หรือไม่ เป็นต้น
ตัวอย่าง
...(ชื่ อ หน่ ว ยงาน)...มี ก ารรวบรวมและจั ด เก็ บ ข้ อ มู ล ส่ ว นบุ ค คลของผู้ ใช้ บ ริ ก าร
เพื่ อน าไปใช้ป ระโยชน์ ต่อการดาเนิ น งานตามภารกิจของหน่ วยงานซึ่งเป็นไปตามอานาจหน้าที่
และวัตถุป ระสงค์ ในการดาเนิ น งานของหน่ ว ยงาน ตามที่กฎหมายกาหนด โดยข้อมูล ที่จัดเก็ บ
...(ชื่อหน่วยงาน)...จะให้ความสาคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล

3. การระบุวัตถุประสงค์ในการเก็บรวบรวม
 หน่ ว ยงานต้อ งก าหนดวัต ถุ ป ระสงค์ ให้ ชั ด เจนว่า มี ก ารรวมรวม จั ด เก็ บ ใช้ ข้ อ มู ล
ส่วนบุคคลเพื่อวัตถุประสงค์ใด
 กรณี ที่ มี ก ารเปลี่ ย นแปลงวั ต ถุ ป ระสงค์ ข องการเก็ บ รวบรวมข้ อ มู ล ส่ ว นบุ ค คล
หน่วยงานควรจัดทาบันทึกแก้ไขเพิ่มเติมไว้เป็นหลักฐาน
ตัวอย่าง
...(ชื่ อ หน่ ว ยงาน)...มี ก ารรวบรวม จั ด เก็ บ ใช้ ข้ อ มู ล ส่ ว นบุ ค คลเพื่ อ ...(ระบุ
วัตถุประสงค์)... ทั้งนี้ หากภายหลัง ...(ชื่อหน่วยงาน)... มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บ
รวบรวมข้อมูลส่วนบุคคล...(ชื่อหน่วยงาน)...จะแจ้งให้ผู้ใช้บริการทราบและ/หรือ ขอความยินยอม
พร้อมนี้...(ชื่อหน่วยงาน)...ได้มีการกาหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 25
4. ข้อจากัดในการนาข้อมูลส่วนบุคคลไปใช้
 หน่ ว ยงานต้ องแสดงถึ งเจตนาการไม่ น าไปเปิ ด เผย หรือแสดง หรือ ทาให้ ป รากฏ
ในลักษณะอื่นใดต่อผู้อื่นที่มิได้เกี่ยวข้อง
 หน่วยงานจะต้องระบุให้ทราบในกรณีที่มีการบังคับให้เปิดเผยข้อมูล ตามกฎหมาย
/ คาสั่งศาล (กรณีที่มีกฎหมายกาหนดให้กระทาได้ ให้มีการระบุกฎหมายที่เกี่ยวข้องนั้นด้วย)
ตัวอย่าง
...(ชื่อหน่วยงาน)...จะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวมไว้ เว้นแต่
 ได้รับความยินยอมจากเจ้าของข้อมูล
 …(ให้ระบุกรณีที่มีกฎหมายกาหนดให้กระทาได้ เช่น ตามคาสั่งศาล เป็นต้น)…

5. การรักษาความมั่นคงปลอดภัย
 หน่วยงานต้องระบุมาตรการ / วิธีการ ในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ในการคุ้มครองข้อมูล ส่ วนบุ คคลเพื่ อป้ องกัน การสู ญ หาย การเข้าถึง ทาลาย ใช้ แปลง แก้ไขหรือ
เปิดเผยข้อมูลโดยมิชอบ ให้ผู้ใช้บริการทราบ
 ให้เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของหน่วยงานด้วย
** หมายเหตุ ดูเพิ่มเติม มาตรการสาหรับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของข้อมูลส่วนบุคคล
ตัวอย่าง
...(ชื่อหน่วยงาน)...มีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่ วนบุคคล
อย่ า งเหมาะสม ได้ แ ก่ ...(ให้ ท าการน าเสนอมาตรการ security ในเรื่อ งของข้อ มู ล ส่ ว นบุ ค คล
ว่ามีการดาเนินการอย่างไรที่จะป้องกันการสูญหาย การเข้าถึง ทาลาย ใช้ แปลง แก้ไขหรือเปิดเผย
ข้อมูลโดยมิชอบ โดยสังเขป ให้กับผู้ใช้บริการทราบและมั่นใจในบริการของหน่วยงาน)...เพื่อป้องกัน
มิให้ ข้อมูล สู ญ หาย การเข้าถึง ท าลาย ใช้ แปลง แก้ไขหรือเปิด เผยข้อมูล ส่ ว นบุ คคลโดยไม่ได้
รับอนุญาต

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 26
6. การเปิ ด เผยเกี่ ย วกั บ การด าเนิ น การ แนวปฏิ บั ติ และนโยบายที่ เกี่ ย วกั บ ข้ อ มู ล
ส่วนบุคคล
 หน่ ว ยงานต้อ งระบุ วิธีก ารเปิ ดเผยนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้อ มู ล
ส่วนบุคคล
 หน่ ว ยงานต้ อ งระบุ วิ ธี ก ารที่ ให้ ผู้ ใ ช้ บ ริ ก ารสามารถตรวจดู ค วามมี อ ยู่ ลั ก ษณะ
ของข้อมูลส่วนบุคคล / วัตถุประสงค์ของการนาข้อมูลไปใช้ / ผู้ควบคุมและสถานที่ทาการของผู้ควบคุม
ข้อมูลส่วนบุคคล ได้
ตัวอย่าง
...(ชื่อหน่ วยงาน)...จะเปิดเผยแนวปฏิบัติ และแนวนโยบายในการคุ้มครองข้อมูล
ส่ ว นบุ ค คลนี้ และ หากมี ก ารปรั บ ปรุ ง แก้ ไ ข...(ชื่ อ หน่ ว ยงาน)...จะด าเนิ น การเผยแพร่
ผ่านทางเว็บไซต์....(URL เว็บไซต์)....
ทั้งนี้ ...(ชื่อหน่วยงาน)...มีช่องทางที่ผู้ใช้บริการสามารถตรวจดูความมีอยู่ / ลักษณะ
ของข้อ มู ล ส่ ว นบุ คคล / วัต ถุ ป ระสงค์ ข องการน าข้ อ มู ล ไปใช้ / ผู้ ค วบคุ มและสถานที่ ท าการ
ของผู้ควบคุมข้อมูลส่วนบุคคล ได้ท.ี่ ...(ระบุช่องทาง)..

7. การมีส่วนร่วมของเจ้าของข้อมูล
 หน่วยงานต้องระบุถึงวิธีการ / รูปแบบและระยะเวลาในการยื่นคาร้องขอรายละเอียด
ของข้อมูลส่วนบุคคลของเจ้าของข้อมูล รวมถึงค่าใช้จ่าย (ถ้ามี ) และระบุให้ผู้ควบคุมข้อมูลส่วนบุคคล
แจ้งถึงความมีอยู่หรือรายละเอียดของข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลเมื่อได้รับคาร้องขอดังกล่าว
ภายในระยะเวลาอันสมควร
 หน่วยงานต้องระบุถึงการห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธที่จะให้คาชี้แจง
หรือให้ข้อมูลแก่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย และ
ให้ผู้ควบคุมข้อมูลจัดทาบันทึกคาคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทาใดๆ เกี่ยวกับข้อมูล
ของเจ้าของข้อมูลไว้เป็นหลักฐาน

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 27

ตัวอย่าง
...(ชื่อหน่วยงาน)...จะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลต่อเมื่อได้รับคาร้องขอ
จากเจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดย....(ระบุ
วิธีการ / รูปแบบการยื่นคาร้อง)...ทั้งนี้ ...(ชื่อหน่วยงาน)...จะดาเนินการให้แล้วเสร็จภายในระยะเวลา...
(ระบุเวลาตามที่หน่วยงานกาหนด)....
และในกรณีที่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์
ตามกฎหมาย มีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทาใดๆ เช่น การแจ้งปรับปรุง
แก้ ไขข้ อมู ลส่ วนบุ คคล หรื อลบข้ อมู ลส่ วนบุ คคลฯลฯ...(ชื่ อ หน่ ว ยงาน)...จะด าเนิ น การบั น ทึ ก
หลักฐานคาคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย

8. ความรับผิดชอบของบุคคลซึ่งทาหน้าที่ควบคุมข้อมูล
 หน่ วยงานต้องแสดงให้ เห็ น ถึงการกาหนดให้ มีผู้ ควบคุมข้อมูล ส่ วนบุคคลที่ปฏิบั ติ
ตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลนี้
 ให้เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของหน่วยงานด้วย
ตัวอย่าง
...(ชื่อหน่วยงาน)...กาหนดให้เจ้าหน้าที่ของหน่วยงานซึ่งมีหน้าที่รับผิดชอบในการดูแล
การจัดเก็บ การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลของผู้ใช้บริการ ต้องปฏิบัติตาม...(ระบุชื่อ
ประกาศแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล)...อย่างเคร่งครัด

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 28

การจัดทาแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล จะต้องมีรายละเอียดอย่างน้อย ดังนี้

1. ข้อมูลเบื้องต้น ประกอบด้วย
(ก) ชื่อนโยบายการคุ้มครองข้อมูลส่วนบุคคลว่าเป็นของหน่วยงานใด
 ต้องมีชื่อนโยบายการคุ้มครองข้อมูลส่วนบุคคลว่าเป็นของหน่วยงานใด
ตัวอย่าง
แนวปฏิบั ติในการคุ้มครองข้อมู ล ส่ วนบุคคล จัด ทาขึ้น เพื่ อบังคับ ใช้ตามนโยบาย
ในการคุ้มครองข้อมูลส่วนบุคคลของ….(ชื่อหน่วยงาน)…

(ข) รายละเอี ย ดขอบเขตของการบั ง คั บ ใช้ น โยบายการคุ้ ม ครองข้ อ มู ล

ส่วนบุคคลที่หน่วยงานของรัฐรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์
 ให้ ระบุ “รายละเอียดขอบเขตของการบังคับใช้นโยบายการคุ้มครองข้อมูล
ส่วนบุคคลที่หน่วยงานของรัฐรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์”
(ค) ให้ แ จ้ ง การเปลี่ ย นแปลงวั ต ถุ ป ระสงค์ ห รื อ นโยบายการคุ้ ม ครองข้ อ มู ล
ส่ ว นบุ ค คลให้ เ จ้ า ของข้ อ มู ล ทราบและขอความยิ น ยอมก่ อ นทุ ก ครั้ ง ตามวิ ธี ก ารและภายใน
กาหนดเวลาที่ประกาศ
 ให้ระบุ “ให้แจ้งการเปลี่ยนแปลงวัตถุประสงค์หรือนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนทุกครั้งตามวิธีการและภายในกาหนดเวลา
ที่ ป ระกาศ เช่ น การแจ้ ง ล่ ว งหน้ า ให้ เจ้ า ของข้ อ มู ล ทราบก่ อ น 15 วั น โดยการส่ ง ทางจดหมาย
อิเล็ กทรอนิ กส์ ห รื อประกาศไว้ในหน้ าแรกของเว็บไซต์ เว้นแต่กฎหมายจะกาหนดไว้เป็น อย่างอื่น
การขอความยิ น ยอมจากเจ้าของข้อมูล นั้ น ต้องให้ มีความชัดเจนว่าหน่ว ยงานขอรับความยินยอม
เพือ่ วัตถุประสงค์ใด”
2. การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคล
 ข้อมูลที่ห น่วยงานจะไม่จัดเก็บ จะต้องแจ้งให้ เจ้าหน้าที่ผู้ปฏิบัติทราบ ซึ่งตัวอย่าง
ข้อมูลที่หน่วยงานอาจจะไม่จัดเก็บ เช่น เลขบัตรเครดิต ความเชื่อ ความคิดเห็นทางการเมือง สุขภาพ
พฤติกรรมทางเพศ เป็นต้น
 กรณี ที่ ห น่ ว ยงานมี ก ารเก็ บ รวบรวมข้ อ มู ล ส่ ว นบุ ค คลตามแบบค าร้ อ ง / ค าขอ
ที่หน่วยงานประกาศกาหนดไว้ หน่วยงานสามารถแจ้งให้เจ้าหน้าที่ผู้ปฏิบัติทราบว่าจะจัดเก็บตามแบบ
คาร้อง / คาขอ เลขที่ใด เรื่องอะไร

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 29
 กรณี ที่ ห น่ ว ยงานไม่ มี ให้ บ ริ ก ารผ่ านทางเว็ บ ไซต์ (ตามวรรคสองของประกาศฯ)
ให้ระบุว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ” หน่วยงานไม่ต้องจัดทารายละเอียดตามประกาศฯ
ข้อ 2 (2) (ก) - (จ)
ตัวอย่าง
…(ชื่อหน่วยงาน)…ไม่มีการเก็บรวบรวมข้อมูลผ่านทางเว็บไซต์

(ก) การติดต่อระหว่างหน่วยงานของรัฐ
 กรณีที่ห น่วยงานไม่มีการติดต่อไปยังผู้ใช้บริการด้วยวิธีการทางอิเล็กทรอนิกส์
ให้ระบุว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
…(ชื่อหน่วยงาน)…ไม่มีการติดต่อไปยังผู้ใช้บริการด้วยวิธีการทางอิเล็กทรอนิกส์
 ถ้ามี ให้ระบุ
 ว่ า หน่ ว ยงานจะติ ด ต่ อ ไปยั ง ผู้ ใช้ บ ริ ก ารด้ ว ยวิ ธี ก ารทางอิ เล็ ก ทรอนิ ก ส์
โดยวิธีการใด และการบอกกล่าวให้ผู้ใช้บริการทราบล่วงหน้า
 ในกรณีที่ผู้ใช้บริการอาจแจ้งความประสงค์ให้ติดต่อโดยวิธีการอื่นได้
(ข) การใช้คุกกี้ (Cookies)
 กรณี ที่ ห น่ ว ยงานไม่ มี เ ว็ บ ไซต์ ที่ ใ ห้ บ ริ ก าร หรื อ มี เว็ บ ไซต์ ที่ จั ด ให้ บ ริ ก าร
แต่ไม่มีการใช้คุกกี้ที่เชื่อมโยงกับข้อมูลส่วนบุคคล ให้ระบุว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
เว็บไซต์ของ...(ชื่อหน่วยงาน)... ไม่มีการใช้คุกกี้
 ถ้ามีการใช้คุกกี้ “ให้ระบุสิทธิที่จะไม่รับการต่อเชื่อมคุกกี้ได้ด้วย”
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
ในแนวนโยบาย
 ให้หน่วยงานระบุวิธีการรวบรวมและจัดเก็บข้อมูล และให้ชี้แจงวัตถุประสงค์
ของการใช้ข้อมูล รวมถึงการให้บุคคลอื่นร่วมใช้ข้อมูลดังกล่าว เพิ่มเติมในนโยบายฯ ด้วย
 กรณี ที่ ห น่ ว ยงานไม่ มี เว็ บ ไซต์ ที่ มี ก ารเก็ บ รวบรวมข้ อ มู ล สถิ ติ เกี่ ย วกั บ
ประชากรที่ส ามารถเชื่อมโยงกับ ข้อมูล ระบุตัวบุคคลได้ หน่วยงานไม่ต้องระบุรายละเอียดเพิ่มเติม
ในนโยบายฯ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 30
ในแนวปฏิบัติ
ให้หน่วยงานระบุ ถึง
 วิธีการเก็บรวบรวมข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูล
ระบุตัวบุคคลได้
 วัตถุประสงค์ ของการใช้ รวมถึงการให้บุคคลอื่นร่วมใช้ข้อมูลสถิติเกี่ยวกับ
ประชากรที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้
 ให้ เชื่อมโยงกับ นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย
 กรณี ที่ ห น่ ว ยงานไม่ มี เว็ บ ไซต์ ที่ มี ก ารเก็ บ รวบรวมข้ อ มู ล สถิ ติ เ กี่ ย วกั บ
ประชากรที่ส ามารถเชื่อมโยงกับ ข้อมูล ระบุตัวบุคคลได้ หน่วยงานไม่ต้องระบุรายละเอียดเพิ่มเติม
ในนโยบายฯ
 หน่วยงานต้องระบุในแนวปฏิบัติว่า “– ไม่มี – พร้อมระบุเหตุผล”
ตัวอย่าง
…(ชื่อหน่ ว ยงาน)...ไม่มี เว็บ ไซต์ส าหรับ การเก็บ รวบรวมข้ อมูล สถิติ เกี่ยวกับ ประชากร
/ เว็บ ไซต์ของ...(ชื่อหน่ ว ยงาน)...ไม่มีการเก็บรวบรวมข้อมู ล สถิติเกี่ยวกับประชากรที่ สามารถ
เชื่อมโยงกับข้อมูลระบุตัวบุคคลได้

(ง) บันทึกผู้เข้าชมเว็บ (Log Files)

ในแนวนโยบาย
ให้หน่วยงานของรัฐซึ่งจัดบริการเว็บไซต์ที่มีการเก็บบันทึกการเข้าออกโดยอัตโนมัติ
ที่ ส ามารถเชื่อ มโยงข้ อมู ล ซึ่งระบุ ตัว บุ ค คลได้ ระบุ วิธีก ารรวบรวมและจัด เก็ บ ข้อ มู ล และให้ ชี้ แจง
วัตถุประสงค์ของการใช้ รวมถึงการให้บุคคลอื่นร่วมใช้ข้อมูลนั้น เพิ่มเติมในนโยบายฯ ด้วย
ตัวอย่าง
เว็ บ ไซต์ ข อง...(ชื่ อ หน่ ว ยงาน)...มี ก ารเก็ บ บั น ทึ ก การเข้ า ออกโดยอั ต โนมั ติ ที่ ส ามารถ
เชื่อมโยงข้อมูล ดังกล่ าวกับ ข้อมูล ที่ระบุตัวบุ คคลได้ เช่น หมายเลขไอพี (IP Address) เว็บไซต์
ที่เข้าออกก่อนและหลั ง และประเภทของโปรแกรมบราวเซอร์ (Browser) เป็นต้น ทั้งนี้ เป็นไป
ตามพระราชบัญญัติว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 31
ในแนวปฏิบัติ
ให้หน่วยงานระบุ ถึง
 วิ ธี ก ารเก็ บ รวบรวมบั น ทึ ก การเข้ า ออกโดยอั ต โนมั ติ ที่ ส ามารถเชื่ อ มโยง
กับข้อมูลระบุตัวบุคคลได้
 วัตถุป ระสงค์ของการใช้ รวมถึงการให้ บุค คลอื่น ร่ว มใช้ บัน ทึ กการเข้าออก
โดยอัตโนมัติที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้
 ให้ เชื่อมโยงกับ นโยบายและแนวปฏิ บั ติ ในการรักษาความมั่น คงปลอดภั ย
ด้านสารสนเทศของหน่วยงานด้วย
** หมายเหตุ ดู เ พิ่ ม เติ ม มาตรการส าหรั บ การรั ก ษาความมั่ น คงปลอดภั ย
ด้านสารสนเทศของข้อมูลส่วนบุคคล
ตัวอย่าง
การให้ บ ริการเว็บ ไซต์ของ...(ชื่อหน่ วยงาน)...ต้องมีการเก็บ บัน ทึกการเข้าออก และ
ระหว่างการเข้าใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมู ล
ที่ ร ะบุ ตั ว บุ ค คล เช่ น หมายเลขไอพี (IP Address) ซึ่ งใช้เป็ น ข้ อมู ล ที่ เชื่อ มโยงกลั บ ไปที่ ข้ อ มู ล
การเชื่อมต่ออินเทอร์เน็ต ซึ่งอาจระบุถึงแหล่งที่มาการโพสต์หรือบุคคลที่โพสต์ได้ รวมถึงเว็บไซต์
ที่ เ ข้ า ออกก่ อ นและหลั ง และประเภทของโปรแกรมบราวเซอร์ (Browser) ทั้ ง นี้ เ ป็ น ไป
ตามพระราชบั ญ ญั ติว่าด้ว ยการกระทาความผิ ดเกี่ยวกับคอมพิ วเตอร์ พ.ศ. 2550 มาตรา 26
ที่ ก าหนดให้ ผู้ ให้ บ ริ ก ารต้ อ งเก็ บ ข้ อ มู ล จราจรคอมพิ ว เตอร์ ไว้ ไม่ น้ อ ยกว่ า 90 วั น นั บ แต่ วั น ที่
ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์

(จ) ให้ หน่ วยงานของรั ฐระบุ ข้ อมู ลที่ มี การจั ดเก็ บผ่ านทางเว็ บ ไซต์ ว่ าเป็ น ข้ อมู ล
ที่ประชาชนมี สิทธิ เลือกว่า “จะให้ หรือไม่ ให้ ” ก็ได้ และให้ หน่ วยงานของรัฐจั ดเตรี ยมช่องทางอื่ น
ในการติดต่อสื่อสารสาหรับผู้ใช้บริการที่ไม่ประสงค์จะให้ข้อมูลผ่านทางเว็บไซต์
ตัวอย่าง
การจัดเก็บ ข้อมูล ส่ วนบุ คคลผ่ านทางเว็บไซต์ ของ...(ชื่อหน่ว ยงาน)...นั้น ผู้ ใช้บริการ
มีสิทธิเลือกที่จะ “ให้” หรือ “ไม่ให้” ข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ก็ได้ ในกรณีที่ผู้ใช้บริการ
ไม่ ป ระสงค์ จ ะให้ ข้ อ มู ล ส่ ว นบุ ค คลผ่ านทางเว็ บ ไซต์ ผู้ ใช้ บ ริก ารสามารถให้ ข้อ มู ล ส่ ว นบุ ค คล
โดยช่องทางอื่นๆ ได้แก่ ...(ระบุช่องทางการติดต่อ เช่น ทางจดหมาย โทรศัพท์ หรือ ณ สถานที่
ทาการ ฯลฯ)......

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 32
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
ในแนวนโยบาย
 ให้หน่วยงานระบุชื่อผู้เก็บรวบรวมข้อมูลผ่านทางเว็บไซต์ หรือชื่อผู้มีสิทธิในข้อมูล
ที่ ได้ มี การเก็บ รวบรวม (Data Subject) และชื่ อ เป็ น ผู้ มี สิ ท ธิ เข้ าถึงข้ อมู ล ดั งกล่ าวทั้ งหมด รวมถึ ง
ประเภทของข้อมูลที่จะใช้ร่วมกับหน่วยงานหรือองค์กรนั้นๆ ตลอดจนชื่อผู้มีหน้าที่ปฏิบัติตามนโยบาย
การคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ หน่วยงานสามารถระบุเป็นชื่อส่วนงานที่กากับดูแลในเรื่องดังกล่าว
หรือ ระบุเป็นชื่อผู้รับผิดชอบตามแต่กรณี ตามที่หน่วยงานได้มีการกาหนดไว้ เพิ่มเติมในนโยบายฯ
ด้วย
 กรณีที่หน่วยงานไม่มีการเชื่อมโยงให้ข้อมูลแก่หน่วยงานหรือองค์กรอื่น หน่วยงาน
ไม่ต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ
 หน่วยงานต้องระบุในแนวปฏิบัติว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
เว็บ ไซต์ของ...(ชื่อหน่ ว ยงาน)... ไม่ มี การเชื่ อมโยงให้ ข้ อมูล ส่ ว นบุ คคลกับ หน่ วยงาน
หรือองค์กรอื่น
ในแนวปฏิบัติ
 ต้องกาหนดให้มีการระบุชื่อผู้เก็บรวบรวมข้อมูลผ่านทางเว็บไซต์ หรือชื่อผู้มีสิทธิ
ในข้อ มูล ที่ได้มีการเก็บ รวบรวม (Data Subject) และชื่อเป็น ผู้ มีสิ ทธิเข้าถึงข้อ มู ล ดังกล่ าวทั้ งหมด
รวมถึงประเภทของข้อมูล ที่ จ ะใช้ร่วมกับ หน่ วยงานหรือองค์กรนั้นๆ ตลอดจนชื่อผู้ มีห น้ าที่ป ฏิบั ติ
ตามนโยบายการคุ้มครองข้อมูล ส่ ว นบุ คคล และต้องกาหนดให้ มีการแจ้งให้ ผู้ ใช้บ ริการทราบและ
ให้ความยินยอมล่วงหน้าก่อนทาการเปลี่ยนแปลงการเชื่อมโยงให้ข้อมูลแก่หน่วยงานหรือองค์กรอื่น
 กรณีที่หน่วยงานไม่มีการเชื่อมโยงให้ข้อมูลแก่หน่วยงานหรือองค์กรอื่น หน่วยงาน
ไม่ต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ
 หน่วยงานต้องระบุในแนวปฏิบัติว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
เว็ บ ไซต์ ของ...(ชื่ อหน่ วยงาน)... ไม่ มี การเชื่ อมโยงให้ ข้ อ มู ล ส่ ว นบุ ค คลกั บ หน่ ว ยงาน
หรือองค์กรอื่น

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 33
4. การรวมข้อมูลจากที่มาหลาย ๆ แห่ง
ในแนวนโยบาย
 ให้ ห น่ ว ยงานแสดงเจตนาของการรวบรวมข้ อ มู ล ส่ ว นบุ ค คลจากผู้ ใช้ บ ริ ก าร
ผ่ า นทางเว็ บ ไซต์ ที่ ใ ห้ บ ริ ก าร และน าข้ อ มู ล ส่ ว นบุ ค คลนั้ น ไปรวมกั บ ข้ อ มู ล ส่ ว นบุ ค คลที่ ไ ด้ รั บ
จากแห่งอื่นๆ นั้น เพื่ออะไร เพิ่มเติมในนโยบายฯ ด้วย
 กรณีที่หน่วยงานไม่มีการรับ ข้อมูลส่วนบุคคลมาจากผู้ใช้บริก ารผ่านทางเว็บไซต์
ที่ให้บริการ และนาข้อมูลส่วนบุคคลนั้นไปรวมกับข้อมูลส่วนบุคคลที่ได้รับจากแห่งอื่นๆ หน่วยงาน
ไม่ต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ
ในแนวปฏิบัติ
 ต้องกาหนดให้มีการแสดงเจตนาของการรวบรวมข้อมูลส่วนบุคคลจากผู้ใช้บริการ
ผ่ า นทางเว็ บ ไซต์ ที่ ใ ห้ บ ริ ก าร และน าข้ อ มู ล ส่ ว นบุ ค คลนั้ น ไปรวมกั บ ข้ อ มู ล ส่ ว นบุ ค คลที่ ไ ด้ รั บ
จากแห่งอื่นๆ นั้น เพื่ออะไร เพิ่มเติมในนโยบายฯ ด้วย
 กรณีที่หน่วยงานไม่มีการรับ ข้อมูลส่วนบุคคลมาจากผู้ใช้บริการผ่านทางเว็บไซต์
ที่ให้บริการ และนาข้อมูลส่วนบุคคลนั้นไปรวมกับข้อมูล ส่วนบุคคลที่ได้รับจากแห่งอื่นๆ ให้ระบุว่า
“– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
…(ชื่อหน่วยงาน)…ไม่มีการนาข้อมูลส่วนบุคคลซึ่งได้รับมาจากผู้ใช้บริการผ่านทางเว็บไซต์
ไปรวมเข้ากับข้อมูลของบุคคลที่ได้รับจากที่มาแห่งอื่น

5. การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
ในแนวนโยบาย
 ให้ ห น่ว ยงานระบุ ว่า หน่ว ยงานได้มี การอนุ ญ าตให้ เข้าถึ ง ใช้ หรือ เปิ ด เผยข้อ มู ล
ส่วนบุคคล กับหน่วยงานใดหรือบุคคลใดบ้าง และสอดคล้องกับข้อกาหนดตามกฎหมายของหน่วยงาน
ที่มีหน้าที่ในการดาเนินการดังกล่าวอย่างไร เพิ่มเติมในนโยบายฯ ด้วย
 กรณี ที่ ห น่ ว ยงานไม่ มี ก ารให้ บุ ค คลอื่ น ใช้ ห รื อ การเปิ ด เผยข้ อ มู ล ส่ ว นบุ ค คล
ไม่ต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ
ในแนวปฏิบัติ
 ต้ อ งก าหนดให้ มี ก ารระบุ ไ ว้ ใ นนโยบายในการคุ้ ม ครองข้ อ มู ล โดยให้ ร ะบุ ว่ า
หน่วยงานได้มีการให้เข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลกับหน่วยงานใดหรือบุคคลใดบ้าง และ
สอดคล้ องกั บ ข้อ กาหนดตามกฎหมายของหน่ ว ยงานที่ มี ห น้ าที่ ในการด าเนิ น การดั งกล่ าวอย่างไร
เพิ่มเติมในนโยบายฯ ด้วย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 34
กรณีที่หน่วยงานไม่มีการให้บุคคลอื่นใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลให้ระบุว่า

“– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
…(ชื่อหน่วยงาน)…ไม่มีการให้บุคคลอื่นเข้าถึงหรือใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมา

6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ

ในแนวนโยบายและแนวปฏิบัติ
 ให้หน่วยงานระบุถึงสิทธิของผู้ใช้บริการ สาหรับในกรณีที่หน่วยงานมีความประสงค์
จะน าข้อมู ล ส่ ว นบุ คคลของผู้ ใช้ บ ริ การไปใช้เพื่ อวัตถุ ประสงค์อย่างอื่ น ที่ แตกต่างหรือ ที่น อกเหนื อ
จากที่ได้ระบุไว้ โดยหน่วยงานต้องระบุเพิ่มเติมในนโยบายฯ ด้วย ดังนี้
 หน่วยงานจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน
 หน่ ว ยงานให้ สิ ท ธิ กั บ ผู้ ใ ช้ บ ริ ก ารสามารถปฏิ เ สธ “ไม่ ใ ห้ ” มี ก ารใช้ ห รื อ
การเปิ ดเผยข้อมูล ส่วนบุ คคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่เก็บรวบรวมข้อมูล
ส่วนบุคคลดังกล่าวข้างต้นแล้วเท่านั้น
 ทั้งนี้ หน่วยงานต้องระบุรายละเอียดให้ผู้ใช้บริการทราบว่า หากต้องการใช้สิทธิ
“ให้หรือไม่ให้” ผู้ใช้บริการจะต้องดาเนินการอย่างไร
 กรณีที่ผู้ใช้บริการเลือกสิทธิห้ามไม่ให้ใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์
ที่ ได้ ร ะบุ ไว้ ในครั้ งแรก หน่ ว ยงานต้ อ งระบุ ช่ อ งทางการติ ด ต่ อ ให้ ผู้ ใช้ ท ราบด้ ว ยว่ า หากจะติ ด ต่ อ
กับเว็บไซต์ในครั้งต่อไปจะมีวิธีการอย่างไร
ในแนวปฏิบัติ
 กรณี ที่ห น่ ว ยงานไม่มีความประสงค์จะนาข้อมูล ส่ วนบุ คคลของผู้ ใช้บริการไปใช้
เพื่อวัตถุประสงค์อย่างอื่นที่แตกต่างหรือที่นอกเหนือจากที่ได้ระบุไว้ หน่วยงานไม่ต้องระบุรายละเอียด
เพิ่มเติมในนโยบายฯ
 หน่วยงานต้องระบุไว้ในแนวปฏิบัติว่า “– ไม่มี – พร้อมระบุเหตุผลประกอบ”
ตัวอย่าง
…(ชื่อหน่วยงาน)…ไม่มีการรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
ไปใช้เพื่อวัตถุประสงค์อย่างอื่นที่แตกต่างหรือที่นอกเหนือจากที่ได้ระบุไว้

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 35
7. การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
 ให้หน่วยงานของรัฐกาหนดวิธีการที่ผู้ใช้บริการเว็บไซต์สามารถเข้าถึงและแก้ไขหรือ
ปรับปรุงข้อมูลส่วนบุคคลเกี่ยวกับตนเองที่หน่วยงานของรัฐรวบรวมและจัดเก็บไว้ในเว็บไซต์ให้ถูกต้อง
ตัวอย่าง
วิธีการ / ช่องทางที่ผู้ใช้บริการเว็บไซต์ที่ประสงค์จะแก้ไขหรือปรับปรุงข้อมูลส่วนบุคคล
เกี่ยวกับตนเอง มีดังต่อไปนี้
1)....(ระบุวิธีการ หรือช่องทาง)....................
2)....(ระบุวิธีการ หรือช่องทาง)...................

8. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
** หมายเหตุ ดูเพิ่มเติม มาตรการสาหรับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของข้อมูลส่วนบุคคล
(ก) สร้างเสริมความสานึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูล
ส่วนบุคคลให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงานด้วยการเผยแพร่ข้อมูลข่าวสาร
ให้ความรู้ จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจา
 กรณีที่หน่วยงานมีเอกสารรายละเอียดมาตรการการสร้างเสริมความสานึก
ในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่บุคลากร พนักงาน หรือลูกจ้าง
ของหน่วยงานอยู่แล้ว หน่วยงานสามารถอ้างอิงไปยังเอกสารฉบับนั้นได้
 ให้ เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย
(ข) กาหนดสิทธิแ ละข้อจากัดสิทธิ ในการเข้าถึงข้อมูลส่วนบุค คลของบุคลากร
พนักงานหรือลูกจ้างของตนในแต่ละลาดับชั้นให้ชัดเจน และให้มีการบันทึกรวมทั้งการทาสารอง
ข้ อ มู ล ของการเข้ า ถึ ง หรื อ การเข้ า ใช้ ง านข้ อ มู ล ส่ ว นบุ ค คลไว้ ใ นระยะเวลาที่ เ หมาะสม
หรือตามระยะเวลาที่กฎหมายกาหนด
 กรณีที่หน่วยงานมีเอกสารรายละเอียดการกาหนดสิทธิและข้อจากัดสิทธิ
ให้กับบุคคลากรที่เกี่ยวข้องในการเข้าถึงข้อมูลส่วนบุคคลแต่ละลาดับชั้นอยู่แล้ว หน่วยงานสามารถอ้างอิง
ไปยังเอกสารฉบับนั้นได้
 ให้ เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 36
(ค) ตรวจสอบและประเมิ น ความเสี่ ยงด้ า นความมั่ น คงปลอดภั ยของเว็บ ไซต์
หรือของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ 1 ครั้ง
 กรณี ที่ ห น่ว ยงานมีเ อกสารรายละเอีย ดการตรวจสอบและประเมิ น
ความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์หรือของระบบสารสนเทศทั้งหมดอยู่ แ ล้ว หน่วยงาน
สามารถอ้างอิงไปยังเอกสารฉบับนั้นได้
 ให้ เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย
(ง) กาหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสาหรับการรักษา
ความมั่ น คงปลอดภั ย ของข้ อ มู ล ส่ ว นบุ ค คลที่ มี ค วามส าคั ญ ยิ่ ง หรื อ เป็ น ข้ อ มู ล ที่ อ าจกระทบ
ต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการ
ของหน่ ว ยงานของรั ฐ หรื อ อาจก่ อ ให้ เกิ ด ความเสี ย หาย หรื อ มี ผ ลกระทบต่ อ สิ ท ธิ เสรี ภ าพ
ของผู้เป็นเจ้าของข้อมูลอย่างชัดเจน เช่น หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจาตัว
ประชาชน หรือหมายเลขประจ าตั วบุ คคล เชื้ อชาติ ศาสนา ความเชื่ อ ความคิดเห็ นทางการเมือง
สุขภาพ พฤติกรรมทางเพศ เป็นต้น
 กรณีที่ห น่ว ยงานมีเ อกสารรายละเอีย ดมาตรการที่ เหมาะสมและเป็ น
การเฉพาะสาหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสาคัญยิ่งหรือเป็นข้อมูล
ที่อาจกระทบต่อความรู้สึ ก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็น
ผู้ ใช้ บ ริการของหน่ วยงานของรัฐ หรืออาจก่อให้ เกิดความเสี ยหาย หรือมีผลกระทบต่อสิ ทธิเสรีภาพ
ของผู้เป็นเจ้าของข้อมูลอย่างชัดเจนอยู่แล้ว หน่วยงานสามารถอ้างอิงไปยังเอกสารฉบับนั้นได้
 ให้ เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย
(จ) ควรจัด ให้ มีมาตรการที่รอบคอบในการรักษาความมั่น คงปลอดภัยสาหรั บ
ข้อมูลส่วนบุคคลของบุคคลซึ่งอายุไม่เกินสิบแปดปีโดยใช้วิธีการโดยเฉพาะและเหมาะสม
 กรณีที่ห น่ว ยงานมีเ อกสารรายละเอีย ดการรักษาความมั่นคงปลอดภัย
สาหรับ ข้อมูลส่ วนบุ คคลของบุ คคลซึ่งอายุไม่เกินสิ บแปดปี อยู่แล้ ว หน่วยงานสามารถอ้างอิงไปยัง
เอกสารฉบับนั้นได้
 ให้ เชื่อมโยงกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานด้วย

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 37
9. การติดต่อกับเว็บไซต์
เว็บไซต์ซึ่งให้ข้อมูลแก่ผู้ใช้บริการในการติดต่อกับหน่วยงานของรัฐ ต้องจัดให้มีทั้งข้อมูล
ติดต่อไปยังสถานที่ทาการงานปกติและข้อมูลติดต่อผ่านทางออนไลน์ด้วย ข้อมูลติดต่อที่หน่วยงาน
ของรัฐควรจะระบุเอาไว้ อย่างน้อยต้องประกอบด้วยข้อมูลดังต่อไปนี้
(ก) ชื่อและที่อยู่
(ข) หมายเลขโทรศัพท์
(ค) หมายเลขโทรสาร
(ง) ที่อยู่จดหมายอิเล็กทรอนิกส์

** หมำยเหตุ
 มาตรการที่กาหนดไว้ในนโยบายเกี่ยวกับมาตรการในการรักษาความมั่นคงปลอดภัย
ของข้อมูลส่วนบุคคลว่าจะดาเนินการอย่างไรที่จะป้องกันการสูญหาย การเข้าถึง ทาลาย ใช้ แปลง
แก้ ไขหรื อ เปิ ด เผยข้ อ มู ล โดยมิ ช อบ ให้ ผู้ ใช้ บ ริ ก ารทราบและมั่ น ใจในบริ ก ารของหน่ ว ยงานนั้ น
ให้หน่วยงานนามาตรการดังกล่าวมาระบุขั้นตอนการปฏิบัติไว้ในแนวปฏิบัติด้วย ทั้งนี้ หากมาตรการ
ดังกล่ าวหน่ วยงานได้มีเอกสารรายละเอีย ดเป็นข้อปฏิบัติ / แผนปฏิบัติในการดาเนินการดังกล่ าว
อยู่ แล้ ว หน่ วยงานสามารถอ้ างอิ งไปยั งเอกสารฉบั บนั้ น ได้ (ตั ว อย่างเช่ น มาตรการการป้ อ งกั น
การทาลายข้อมูล ส่ว นบุ คคลให้ เป็ น ไปตามวิธีป ฏิบัติในประกาศ.............(ชื่อหน่ วยงาน)...เรื่อง...
(ชื่อเอกสารที่ต้องการอ้างอิง)...หน้าที่...ในหัวข้อ...(ระบุชื่อหัวข้อ)... เป็นต้น)
 ทั้ ง นี้ การจั ด ท านโยบายและแนวปฏิ บั ติ ใ นการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ของหน่วยงาน (ประเด็นด้านเทคนิคฯ) ควรเน้นให้เห็นว่า “หน่วยงานมีการจัดเก็บข้อมูลส่วนบุคคล
อย่ า งเป็ น ความลั บ และมี ม าตรการรั ก ษาความมั่ น คงปลอดภั ย ตามนโยบายและแนวปฏิ บั ติ
ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน” ดังนั้น หน่วยงานควรเพิ่มข้อความ
ดั งกล่ า วในนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล เพื่ อ ให้ มี ค วามเชื่ อ มโยง
ไปสู่การปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
 ดูเพิ่มเติม มาตรการสาหรับการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของข้อมูล
ส่วนบุคคล

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 38
ตัวอย่างการจัดทา
ตัวอย่ำงนโยบำยในกำรคุ้มครองข้อมูลส่วนบุคคล
ประกาศ .............(ชือ่ หน่วยงำน)......................
เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล
บทนา (ถ้ามี)
หน่วยงานจัดทาประกาศนโยบายฉบับนี้ เพื่อ .....(ระบุวัตถุประสงค์ของประกาศฉบับนี้) ......
(หมายเหตุ กรณีทหี่ น่วยงานต้องการกาหนดนิยามศัพท์ขอให้ใส่ในบทนา).....
1. ขอบเขตของการเก็บรวบรวมข้อมูลส่วนบุคคล
...(ชื่ อ หน่ วยงาน)... มี ภารกิ จ หน้ าที่ ...(ระบุ ภารกิ จ ของหน่ วยงานตามกฎหมาย )...
ซึ่งเป็นไปตาม.....(ชื่อกฎหมาย)... กาหนด
การจั ดเก็บ รวบรวมข้อมูล ส่วนบุคคลของผู้ใช้บริการ...(ขื่อหน่วยงาน)...จะใช้วิธีการที่ช อบ
ด้วยกฎหมายและเป็นธรรม และจัดเก็บข้อมูลเท่าที่จาเป็นแก่การให้บริการธุรกรรมทางอิเล็กทรอนิกส์
ตามวั ต ถุ ป ระสงค์ ในการด าเนิ น งานของ..(ขื่ อ หน่ ว ยงาน)...ตามที่ ก ฎหมายก าหนดเท่ านั้ น และ
...(ขื่ อหน่ วยงาน)...จะขอความยิ น ยอมจากผู้ ใช้ บ ริ ก ารก่ อ นท าการเก็ บ รวบรวม เว้ น แต่ เป็ น กรณี
ที่กฎหมายกาหนด และหรือ ในกรณีอื่นๆ ตามที่กาหนดไว้ในนโยบายฉบับนี้
2. คุณภาพของข้อมูลส่วนบุคคล
...(ชื่อหน่ วยงาน)...มีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อนาไปใช้
ประโยชน์ต่อการดาเนินงานตามภารกิจของหน่วยงาน ซึ่งเป็นไปตามอานาจหน้าที่และวัตถุประสงค์
ในการดาเนินงานของหน่วยงาน ตามที่กฎหมายกาหนด โดย...(ชื่อหน่วยงาน)...จะให้ความสาคัญถึง
ความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูลที่จัดเก็บ
3. วัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล
...(ชื่อหน่วยงาน)...มีการรวบรวม จัดเก็บ ใช้ ข้อมูล ส่วนบุคคล เพื่อ...(ระบุวัตถุประสงค์)...
ทั้งนี้ หากภายหลัง...(ชื่อหน่วยงาน)...มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
...(ชื่ อหน่ วยงาน)...จะแจ้ งให้ ผู้ ใช้ บ ริ ก ารทราบและขอความยิ น ยอม พร้ อ มนี้ ...(ชื่ อ หน่ ว ยงาน)...
ได้กาหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย
4. ข้อจากัดในการนาข้อมูลส่วนบุคคลไปใช้
...(ชื่อหน่วยงาน)...จะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวมไว้ เว้นแต่
1) ได้รับความยินยอมจากเจ้าของข้อมูล
2) ….(ให้ระบุกรณีที่มีกฎหมายกาหนดให้กระทาได้ ตัวอย่างเช่น ตามคาสั่งศาล เป็นต้น)
3) ………………………………………………

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 39
5. การรักษาความมั่นคงปลอดภัย
...(ชื่ อ หน่ ว ยงาน)... มี ม าตรการในการรั ก ษาความมั่ น คงปลอดภั ย ข้ อ มู ล ส่ วนบุ ค คล
อย่างเหมาะสมเพื่อป้องกันมิให้ข้อมูลสูญหาย การเข้าถึง ทาลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูล
ส่วนบุคคลโดยไม่ได้รับอนุญาต โดยกาหนดให้สอดคล้องกับนโยบายและแนวปฏิบั ติในการรักษาความ
มั่นคงปลอดภัยด้านสารสนเทศของหน่วยงาน
6. การเปิดเผยเกี่ยวกับการดาเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล
...(ชื่อหน่วยงาน)...จะเปิดเผยแนวปฏิบัติ และแนวนโยบายในการคุ้มครองข้อมูลส่วนบุคคลนี้
พร้อมทั้ง หากมีการปรับ ปรุงแก้ไข โดย...(ชื่อหน่วยงาน)...จะดาเนินการเผยแพร่ผ่านทางเว็บไซต์
.....(URL เว็บไซต์)....
ทั้งนี้...(ชื่อหน่วยงาน)...มีช่องทางที่ผู้ใช้บริการสามารถตรวจดูความมีอยู่ ลักษณะของข้อมูล
ส่วนบุคคล / วัตถุประสงค์ของการนาข้อมูลไปใช้ / ผู้ควบคุมและสถานที่ทาการของผู้ควบคุมข้อมู ล
ส่วนบุคคล ได้ท.ี่ ..(ระบุช่องทาง)....
7. การมีส่วนร่วมของเจ้าของข้อมูล
...(ชื่อหน่วยงาน)...จะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลต่อเมื่อได้รับคาร้องขอจากเจ้าของ
ข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ตามกฎหมาย โดย...(ระบุวิธีการ / รูปแบบ
การยื่ นค าร้ อง)..ทั้ งนี้ ...(ชื่ อหน่ วยงาน)...จะด าเนิ น การให้ แ ล้ ว เสร็จ ภายในระยะเวลา....(ระบุ เวลา
ตามที่หน่วยงานกาหนด)....
และในกรณี ที่ เ จ้ า ของข้ อ มู ล ผู้ สื บ สิ ท ธิ์ ทายาท ผู้ แ ทนโดยชอบธรรม หรื อ ผู้ พิ ทั ก ษ์
ตามกฎหมาย มีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทาใดๆ เช่น การแจ้งดาเนินการ
ปรับปรุงแก้ไขข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล ฯลฯ ...(ชื่อหน่วยงาน)...จะดาเนินการบันทึก
หลักฐานคาคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย
8. ความรับผิดชอบของบุคคลซึ่งทาหน้าที่ควบคุมข้อมูลส่วนบุคคล
...(ชื่อหน่วยงาน)...กาหนดให้เจ้าหน้าที่ของสานักงานซึ่งมีหน้าที่รับผิดชอบในการดูแลการจัดเก็บ
การใช้ และการเปิดเผย ข้อมูลส่วนบุคคลของผู้ใช้บริการ ต้องปฏิบัติตาม...(ระบุชื่อประกาศแนวนโยบาย
และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล)....อย่างเคร่งครัด
9. การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information) (ถ้ามีแนวปฏิบัติ)
...(ชื่ อหน่ วยงาน)...มี เว็ บ ไซต์ ที่ มี ก ารเก็ บ รวบรวมข้ อ มู ล สถิ ติ เกี่ ย วกั บ ประชากรที่ ส ามารถ
เชื่ อ มโยงกั บ ข้ อ มู ล ระบุ ตั ว บุ ค คลได้ โดยใช้ วิ ธี ก ารรวบรวมและจั ด เก็ บ ข้ อ มู ล ....(เพื่ อ ใช้ ในการ...
และมีการให้บุคคลอื่นร่วมใช้ข้อมูลด้วย)....

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 40
10. บันทึกผู้เข้าชมเว็บ (Log Files) (ต้องมีเพราะต้องปฏิบัติตาม พรบ. คอมพิวเตอร์ฯ)
เว็บไซต์ของ...(ชื่ อหน่ วยงาน)...มีการเก็บบั นทึกการเข้าออกโดยอั ตโนมัติที่สามารถเชื่อมโยง
ข้ อมู ล ดั งกล่ าวกั บ ข้ อ มู ล ที่ ร ะบุ ตั ว บุ ค คลได้ เช่ น หมายเลขไอพี (IP Address) เว็ บ ไซต์ ที่ เข้ า ออก
ก่อนและหลัง และประเภทของโปรแกรมบราวเซอร์ (Browser) เป็นต้น ทั้งนี้เป็นไปตามพระราชบัญญัติ
ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
11. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น (ถ้ามีแนวปฏิบัติ)
เว็ บ ไซต์ ข อง...(ชื่ อหน่ วยงาน)...มี ก ารเชื่ อ มโยงให้ ข้ อ มู ล ส่ ว นบุ ค คลกั บ ...(ชื่ อหน่ วยงาน)...
ระบุผู้มีสิทธิเก็บรวบรวมหรือผู้มีสิทธิ์เข้าถึงข้อมูล...(ระบุประเภทข้อมูลที่ใช้ร่วมกัน)...
12. การรวมข้อมูลจากที่มาหลายๆ แห่ง (ถ้ามีแนวปฏิบัติ)
เว็บไซต์ของ...(ชื่อหน่วยงาน)...ได้รับข้อมูลที่เป็นชื่อและที่อยู่ของการส่งจดหมายอิเล็กทรอนิกส์
จากผู้ ใช้บ ริก ารโดยการกรอกข้อ มูล ตามแบบสอบถามผ่ านทางเว็บ ไซต์ และจะน าข้ อมูล ดังกล่ าว
ไปรวมเข้ากับข้อมูลเกี่ยวกับประวัติของผู้ใช้บริการที่ได้รับจากที่มาแห่งอื่น
13. การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล (ถ้ามีแนวปฏิบัติ)
...(ชื่อหน่วยงาน)...อนุญาตให้ ...เข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมา
ซึง่ สอดคล้องกับ...(กฎหมายที่กาหนดให้ต้องปฏิบัติ)...
14. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ (ถ้ามีแนวปฏิบัติ)
...(ชื่อหน่วยงาน)...จะนาข้อมูลส่วนบุคคลของผู้ ใช้บริการไปใช้ ...(เพื่ อวัตถุประสงค์อย่างอื่น
ที่แตกต่างหรือที่ น อกเหนื อจากที่ ได้ระบุ ไว้ ) โดยจะขอความยิน ยอมเจ้าของข้อมูล ส่ วนบุ คคลก่อน
และให้ สิ ท ธิผู้ ใช้บ ริ การเลื อกสิ ทธิห้ ามไม่ ให้ ใช้ข้อมูล ส่ ว นบุ คคลนอกเหนื อวัตถุป ระสงค์ที่ ได้ระบุ ไว้
ในครั้งแรก และผู้ใช้บริการช่องทางการติดต่อกับเว็บไซต์ในครั้งต่อไปได้อย่างไร

…………………………………………………………………
…….ผู้บริหารของหน่วยงานลงนาม……
วันที่ .. เดือน ................. พ.ศ. ....

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 41
ตัวอย่ำงแนวปฏิบัติในกำรคุ้มครองข้อมูลส่วนบุคคล
ประกาศ .............(ชือ่ หน่วยงำน)......................
เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
1. ข้อมูลเบื้องต้น
(ก) แนวปฏิ บั ติ ใ นการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล จั ด ท าขึ้ น เพื่ อ บั ง คั บ ใช้ ต ามนโยบาย
ในการคุ้มครองข้อมูลส่วนบุคคลของ….(ชื่อหน่วยงาน)…….
(ข) ……(ระบุ ร ายละเอี ย ดขอบเขตของการบั งคั บ ใช้ น โยบายการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ที่หน่วยงานรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์).............
(ค) .......(ให้ แ จ้ งการเปลี่ ย นแปลงวั ต ถุป ระสงค์ ห รือ นโยบายการคุ้ ม ครองข้ อ มู ล ส่ว นบุ ค คล
ให้เจ้าของข้อมูลทราบและขอความยินยอมก่อนทุกครั้งตามวิธีการและภายในกาหนดเวลาที่ประกาศ
เช่ น การแจ้ งล่ ว งหน้ าให้ เ จ้ าของข้อ มู ล ทราบก่ อ น 15 วัน โดยการส่ งทางจดหมายอิ เล็ ก ทรอนิ ก ส์
หรื อประกาศไว้ในหน้ าแรกของเว็บ ไซต์ เว้น แต่ ก ฎหมายจะก าหนดไว้ เป็ น อย่างอื่น ทั้ งนี้ การขอ
ความยินยอมจากเจ้าของข้อมูลนั้น ให้มีความชัดเจนว่าหน่วยงานขอรับความยินยอมเพื่อวัตถุประสงค์
ใด)……
2. การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคล
กรณีมี
 ให้แสดงรายละเอียดของการรวบรวมข้อมูลเป็นชนิด ประเภท รวมถึงข้อมูลที่จะไม่จัดเก็บ
และข้ อมู ล ที่ รวบรวมและจั ดเก็ บ นั้ น จะน าไปใช้ ตามวั ตถุ ประสงค์ ใด โดยลั กษณะหรื อด้ วยวิ ธี การ
ที่ ท าให้ เจ้ าของข้ อมู ล ได้ ทราบ ทั้ งนี้ การรวบรวมและจั ดเก็ บข้ อมู ล นั้ นให้ ท าเป็ นประกาศหรื อแจ้ ง
รายละเอียดให้เจ้าของข้อมูลทราบ
 ให้ ห น่ ว ยงานที่ จั ด บริ ก ารผ่ า นทางเว็ บ ไซต์ แสดงรายละเอี ย ดของการรวบรวมข้ อ มู ล
ผ่านทางเว็บไซต์ของหน่วยงานนั้น รวมถึงการใช้ข้อมูลซึ่งอย่างน้อยต้องระบุว่าอยู่ในส่วนใดของเว็บไซต์
หรือในเว็บเพจใดที่ มีการรวบรวมและจัดเก็บข้อมูล และให้มีรายละเอียดอย่างแจ้งชัดถึงวิธีการในการ
รวบรวมและจัดเก็บข้อมูล เช่น การจัดเก็บโดยให้มีการลงทะเบียน หรือการกรอกแบบสอบถาม เป็นต้น
กรณีไม่มี
 กรณี ที่ หน่ วยงานไม่ มี ให้ บริการผ่ านทางเว็ บไซต์ (ตามวรรคสองของประกาศฯ) ให้ ระบุ ว่ า
“– ไม่ มี – พร้ อมระบุ เหตุ ผลประกอบ (ตั วอย่ างเช่ น ...(ชื่ อหน่ วยงาน)...ไม่ มี การเก็ บรวบรวมข้ อมู ล
ผ่านทางเว็บไซต์ เป็นต้น)”
 และหน่วยงานไม่ต้องจัดทารายละเอียดตามข้อ (ก) - (จ)

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 42
(ก) การติดต่อระหว่างหน่วยงานของรัฐ
กรณีมี
...(ชื่ อหน่ วยงาน )...อาจติ ดต่ อไปยั งผู้ ใช้ บริ ก ารทางโทรศั พท์ หมายเลข...
หรื อ mail@mail.com หรื อ ... ทั้ งนี้ ผู้ ใ ช้ บ ริ ก ารสามารถเลื อ กติ ด ต่ อ กั บ ...(ชื่ อ หน่ วยงาน)...
ผ่านทางหรือ ติดต่อด้วยตนเอง ณ ที่ทาการ
กรณีไม่มี
...(ชื่อหน่วยงาน)...ไม่มตี ิดต่อไปยังผู้ใช้บริการด้วยวิธีการทางอิเล็กทรอนิกส์ใดๆ
(ข) การใช้คุกกี้ (Cookies)
กรณีมี
...(ชื่ อหน่ วยงาน)...มี เว็ บ ไซต์ ที่ จั ดให้ บ ริการและมี การใช้ คุ กกี้ ที่ เชื่ อมโยงกั บข้ อมู ล
ส่วนบุคคลได้ แต่ผู้ใช้บริการสามารถที่จะไม่รับการต่อเชื่อมคุกกี้ได้ด้วย
กรณีไม่มี
...(ชื่อหน่วยงาน)...ไม่มีเว็บไซต์ที่ให้บริการ หรือ
...(ชื่ อ หน่ วยงาน)...มี เว็ บ ไซต์ ที่ จั ด ให้ บริ ก ารแต่ ไ ม่ มี ก ารใช้ คุ ก กี้ ที่ เชื่ อ มโยง
กับข้อมูลส่วนบุคคล
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
กรณีมี
 ...(ชื่ อหน่ วยงาน)...มี เว็ บ ไซต์ ที่ มี ก ารเก็ บ รวบรวมข้ อ มู ล สถิ ติ เกี่ ย วกั บ ประชากร
ที่ ส ามารถเชื่ อ มโยงกั บ ข้ อ มู ล ระบุ ตั ว บุ ค คลได้ โดยใช้ วิ ธี ก ารรวบรวมและจั ด เก็ บ ข้ อ มู ล ....
เพื่อใช้ในการ...และมีการให้บุคคลอื่นร่วมใช้ข้อมูลด้วย....
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
...(ชื่ อหน่ วยงาน)...ไม่ มี เว็บ ไซต์ ที่ มี ก ารเก็ บ รวบรวมข้อ มู ล สถิ ติ เกี่ ยวกับ ประชากร
ที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้ หรือ
...(ชื่ อหน่ วยงาน)...มีเว็บ ไซต์ ให้ บริการแต่ไม่มี การเก็บ รวบรวมข้อมูล สถิติเกี่ยวกับ
ประชากรทีส่ ามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้ หรือ
เว็บ ไซต์ของ...(ชื่อหน่ วยงาน)...ไม่มีการเก็บรวบรวมข้อมู ลสถิติเกี่ยวกับประชากร
ที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 43
(ง) บันทึกผู้เข้าชมเว็บ (Log Files)
กรณีมี
 การให้ บ ริ ก ารเว็ บ ไซต์ ของ ...(ชื่ อ หน่ ว ยงาน)...ต้ องมี การเก็ บ บั น ทึ ก การเข้ าออก
และระหว่างการเข้าใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูล
ที่ระบุตัวบุคคล เช่น หมายเลขไอพี (IP Address) ซึ่งใช้เป็นข้อมูลที่เชื่อมโยงกลับไปที่ข้อมูลการเชื่อมต่อ
อิ น เทอร์ เน็ ต ซึ่ งอาจระบุ ถึ งแหล่ งที่ ม าการโพสต์ ห รื อ บุ ค คลที่ โพสต์ ได้ รวมถึ งเว็ บ ไซต์ ที่ เข้ าออก
ก่ อ นและหลั ง และประเภทของโปรแกรมบราวเซอร์ (Browser) ทั้ งนี้ เป็ น ไปตามพระราชบั ญ ญั ติ
ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 26 ที่กาหนดให้ผู้ให้บริการต้องเก็บ
ข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
อย่ างไรก็ตามหน่ วยงานต้ องปฏิ บั ติตามพระราชบั ญญั ติว่าด้ วยการกระท าความผิ ด
เกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 26 ที่กาหนดให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้
ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์
(จ) ให้หน่วยงำนของรัฐระบุข้อมูลที่มีกำรจัดเก็บผ่ำนทำงเว็บไซต์ว่ำเป็นข้อมูลที่ประชำชน
มี สิ ท ธิ เ ลื อ กว่ ำ “จะให้ ห รื อ ไม่ ใ ห้ ” ก็ ไ ด้ และให้ ห น่ ว ยงำนของรั ฐ จั ด เตรี ย มช่ อ งทำงอื่ น
ในกำรติดต่อสื่อสำรสำหรับผู้ใช้บริกำรที่ไม่ประสงค์จะให้ข้อมูลผ่ำนทำงเว็บไซต์
การจัดเก็บข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ ของ...(ชื่อหน่วยงาน)...นั้น ผู้ใช้บริการมีสิทธิ
เลือกที่จะ “ให้” หรือ “ไม่ให้” ข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ก็ได้ ในกรณีที่ผู้ใช้บริการไม่ประสงค์
จะให้ข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ ผู้ใช้บริการสามารถให้ข้อมูลส่วนบุคคลโดยช่องทางอื่นๆ ได้แก่
...(ระบุช่องทางการติดต่อ ตัวอย่างเช่น ทางจดหมาย โทรศัพท์ หรือที่ทาการของหน่วยงาน ฯลฯ)......
3. การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่น
กรณีมี
 เว็ บไซต์ ของ...(ชื่ อหน่ วยงาน)...มี ก ารเชื่ อ มโยงให้ ข้อ มู ลส่ ว นบุ คคลกับ ...(ชื่อหน่ วยงาน)...
ระบุผู้มีสิทธิเก็บรวบรวมหรือผู้มีสิทธิ์เข้าถึงข้อมูล...ระบุประเภทข้อมูลที่ใช้ร่วมกัน...
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
เว็ บ ไซต์ ข อง...(ชื่ อ หน่ ว ยงาน)...ไม่ มี ก ารเชื่ อ มโยงให้ ข้ อ มู ล ส่ ว นบุ ค คลกั บ หน่ ว ยงาน
หรือองค์กรอื่น

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 44
4. การรวมข้อมูลจากที่มาหลายๆ แห่ง
กรณีมี
 เว็ บ ไซต์ ข อง...(ชื่ อ หน่ ว ยงาน)...ได้ รั บ ข้ อ มู ล ที่ เ ป็ น ชื่ อ และที่ อ ยู่ ข องการส่ ง จดหมาย
อิเล็กทรอนิกส์จากผู้ใช้บริการโดยการกรอกข้อมูลตามแบบสอบถามผ่านทางเว็บไซต์ และจะนาข้อมูล
ดังกล่าวไปรวมเข้ากับข้อมูลเกี่ยวกับประวัติของผู้ใช้บริการที่ได้รับจากที่มาแห่งอื่น
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
...(ชื่อหน่วยงาน)...ไม่มีการนาข้อมูลส่วนบุคคลซึ่งได้รับมาจากผู้ใช้บริการผ่านทางเว็บไซต์
ไปรวมเข้ากับข้อมูลของบุคคลที่ได้รับจากที่มาแห่งอื่น
5. การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
กรณีมี
 ...(ชื่อหน่วยงาน)...อนุญาตให้...เข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมา
ซึง่ สอดคล้องกับ...กฎหมาย...ของหน่วยงาน
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
...(ชื่อหน่วยงาน)...ไม่มีการให้บุคคลอื่นเข้าถึงหรือใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมมา
6. การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
กรณีมี
 ...(ชื่อหน่วยงาน)...จะนาข้อมูลส่วนบุคคลของผู้ใช้บริการไปใช้ ...(เพื่อวัตถุประสงค์อย่างอื่น
ที่แตกต่างหรือที่ น อกเหนื อจากที่ ได้ระบุ ไว้ ) โดยจะขอความยิน ยอมเจ้าของข้ อมูล ส่ วนบุ คคลก่อน
และให้ สิ ท ธิผู้ ใช้บ ริ การเลื อกสิ ทธิห้ ามไม่ ให้ ใช้ข้อมูล ส่ ว นบุ คคลนอกเหนื อวัตถุป ระสงค์ที่ ได้ระบุ ไว้
ในครั้งแรก และผู้ใช้บริการช่องทางการติดต่อกับเว็บไซต์ในครั้งต่อไปได้อย่างไร
 หน่วยงานต้องระบุรายละเอียดเพิ่มเติมในนโยบายฯ ด้วย
กรณีไม่มี
...(ชื่ อหน่ วยงาน)...ไม่มี การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ ใช้บริการ
นอกเหนือวัตถุประสงค์ที่ได้ระบุไว้
7. การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน
ผู้ ใช้ บ ริ ก ารสามารถเข้ าถึงและแก้ ไขหรื อปรับ ปรุงข้อ มู ล ส่ ว นบุ ค คลของท่ านผ่ านทาง URL
หรือ...

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 45
8. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
...(ชื่ อ หน่ ว ยงาน)...มี ม าตรการในการรั ก ษาความมั่ น คงปลอดภั ย ของข้ อ มู ล ส่ ว นบุ ค คล
เป็ น ไปตาม...(นโยบายและแนวปฏิ บั ติ ใ นการรั ก ษาความมั่ น คงปลอดภั ย ด้ า นสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)
(ก) สร้ า งเสริ ม ความส านึ ก ในการรั บ ผิ ด ชอบด้ า นความมั่ น คงปลอดภั ย ของข้ อ มู ล
ส่วนบุคคลให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงานด้วยการเผยแพร่ข้อมูลข่าวสาร
ให้ความรู้ จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจา
เป็นไปตาม...(นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)
(ข) กาหนดสิทธิและข้อจากัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากร พนักงาน
หรือลูกจ้ างของตนในแต่ ละลาดับชั้น ให้ชัดเจน และให้มีการบัน ทึกรวมทั้งการทาสารองข้อมูล
ของการเข้าถึงหรือการเข้าใช้งานข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลา
ที่กฎหมายกาหนด
เป็นไปตาม...(นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)
(ค) ตรวจสอบและประเมิ น ความเสี่ ย งด้ า นความมั่ น คงปลอดภั ย ของเว็ บ ไซต์
หรือของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ 1 ครั้ง
เป็นไปตาม...(นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)
(ง) ก าหนดให้ มี ก ารใช้ ม าตรการที่ เหมาะสมและเป็ น การเฉพาะส าหรั บ การรั ก ษา
ความมั่ น คงปลอดภั ย ของข้ อ มู ล ส่ ว นบุ ค คลที่ มี ค วามส าคั ญ ยิ่ ง หรื อ เป็ น ข้ อ มู ล ที่ อ าจกระทบ
ต่อความรู้สึก ความเชื่อ ความสงบเรียบร้ อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการ
ของหน่วยงานของรัฐ หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็น
เจ้ า ของข้ อ มู ล อย่ า งชั ด เจน เช่ น หมายเลขบั ต รเดบิ ต หรื อ บั ต รเครดิ ต หมายเลขประจ าตั ว
ประชาชน หรือหมายเลขประจาตัวบุคคล เชื้อชาติ ศาสนา ความเชื่อ ความคิดเห็นทางการเมือง
สุขภาพ พฤติกรรมทางเพศ เป็นต้น
เป็นไปตาม...(นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)
(จ) ควรจั ด ให้ มี มาตรการที่ ร อบคอบในการรั กษาความมั่น คงปลอดภั ยสาหรั บ ข้อ มู ล
ส่วนบุคคลของบุคคลซึ่งอายุไม่เกินสิบแปดปีโดยใช้วิธีการโดยเฉพาะและเหมาะสม
เป็นไปตาม...(นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
ที่ผ่านความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์หรือเทียบเท่าหรือสูงกว่า...)

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 46
9. การติดต่อกับเว็บไซต์
เว็บไซต์ซึ่งให้ข้อมูลแก่ผู้ใช้บริการในการติดต่อกับหน่วยงานของรัฐ ต้องจัดให้มีทั้งข้อมูลติดต่อ
ไปยังสถานที่ทาการงานปกติและข้อมูลติดต่อผ่านทางออนไลน์ด้วย ข้อมูลติดต่อที่หน่วยงานของรัฐ
ควรจะระบุเอาไว้ อย่างน้อยต้องประกอบด้วยข้อมูลดังต่อไปนี้
(ก) ชื่อและที่อยู่
(ข) หมายเลขโทรศัพท์
(ค) หมายเลขโทรสาร
(ง) ที่อยู่จดหมายอิเล็กทรอนิกส์
หมำยเหตุ
 มาตรการที่ ก าหนดไว้ ในนโยบายเกี่ ยวกั บ มาตรการในการรั ก ษาความมั่ นคงปลอดภั ย
ของข้อมูลส่วนบุคคลว่าจะดาเนินการอย่างไรที่จะป้องกันการสูญหาย การเข้า ถึง ทาลาย ใช้ แปลง
แก้ ไขหรื อ เปิ ด เผยข้ อ มู ล โดยมิ ช อบ ให้ ผู้ ใช้ บ ริ ก ารทราบและมั่ น ใจในบริ ก ารของหน่ ว ยงานนั้ น
ให้หน่วยงานนามาตรการดังกล่าวมาระบุขั้นตอนการปฏิบัติไว้ในแนวปฏิบัติด้วย ทั้งนี้ หากมาตรการ
ดังกล่าวหน่วยงานได้มีเอกสารรายละเอียดเป็นข้อปฏิบัติ / แผนปฏิบัติในการดาเนินการดังกล่าวอยู่แล้ว
หน่วยงานสามารถอ้างอิงไปยังเอกสารฉบับนั้นได้ (ตัวอย่างเช่น มาตรการการป้องกันการทาลายข้อมูล
ส่วนบุคคลให้เป็นไปตามวิธีปฏิบัติในประกาศ...(ชื่อหน่วยงาน)...เรื่อง...(ชื่อเอกสารที่ต้องการอ้างอิง)...
หน้าที่...ในหัวข้อ...(ระบุชื่อหัวข้อ)... เป็นต้น)
 ดู เพิ่ ม เติ ม มาตรการส าหรับ การรัก ษาความมั่ น คงปลอดภั ย ด้ านสารสนเทศของข้อมู ล
ส่วนบุคคล

……………………………………………………………
…….ผู้บริหารของหน่วยงานลงนาม……
วันที่ .. เดือน ................. พ.ศ. ....

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 47
ขั้นตอนการจัดส่งนโยบายและแนวปฏิบัติฯ
ของหน่วยงานให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์พิจารณา

1. เมื่อหน่วยงานดาเนินการจัดทานโยบายและแนวปฏิบัติ ในการคุ้มครองข้อมูลส่วนบุคคล
เรียบร้อยแล้ว หน่ วยงานต้ องจั ด ทาเป็ น ประกาศของหน่ วยงานและให้ ค ณะกรรมการธุ รกรรม
ทางอิเล็กทรอนิกส์เพื่อพิจารณาให้ความเห็นชอบ จึงมีผลบังคับใช้ได้

แนวนโยบาย + แนวปฏิบัติ
การคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการธุรกรรม
ต้องจัดทาเป็น ส่ง ทางอิเล็กทรอนิกส์ จึงมีผล
ประกาศ ให้ความเห็นชอบ บังคับใช้ได้

กรณีทหี่ น่วยงานของรัฐแห่งใดมีการปฏิบัติงานตามกฎหมายที่แตกต่างเป็นการเฉพาะ

หากหน่วยงานของรัฐแห่งใดมีการปฏิบัติงาน
ตามกฎหมายที่แตกต่างเป็นการเฉพาะแล้ว

หน่วยงาน อาจเพิ่มเติมรายละเอียด ต้องคานึงถึง

การปฏิบัติงานตามกฎหมายที่แตกต่างนั้น
- ความถูกต้อง ครบถ้วน
- ความน่าเชื่อถือ
- สภาพความพร้อมใช้งาน
โดยออกเป็น - ความมั่นคงปลอดภัยของระบบ +
ข้อมูลอิเล็กทรอนิกส์
ระเบียบ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 48
2. ขั้ น ตอนการจั ด ส่ ง นโยบายและแนวปฏิ บั ติ ใ นการรั ก ษาความมั่ น คงปลอดภั ย
ด้า นสารสนเทศและนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อมู ล ส่ ว นบุ ค คลของหน่ ว ยงาน
ให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์พิจารณาให้ความเห็นชอบ

หน่วยงานของรัฐทาการประเมินตนเองว่า
แนวนโยบายและแนวปฏิบตั ิสอดคล้องกับ
ประกาศคณะกรรมการฯ หรือไม่

จัดส่งแนวนโยบาย+แนวปฏิบตั ิ
แบบฟอร์ม
แบบประเมินและเอกสารประกอบการพิจารณา
อื่นๆ ที่เกี่ยวข้อง (ถ้ามี) “แบบประเมินประกอบการพิจารณา
การดาเนินงานตามแนวนโยบายและ
แนวปฏิบัติในการคุ้มครองข้อมูล
โดยส่งมาที่สานักงานคณะกรรมการธุรกรรมทาง ส่วนบุคคลของหน่วยงานของรัฐตาม
มาตรา 7 ในพระราชกฤษฎีกากาหนด
อิเล็กทรอนิกส์
หลักเกณฑ์และวิธีการในการทาธุรกรรม
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศ ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549”
และการสื่อสาร

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 49
3. ลาดับขั้นตอนการพิจารณานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

1 2 3

สานักงานคณะกรรมการ คณะอนุกรรมการ คณะกรรมการธุรกรรม

ธุรกรรมทางอิเล็กทรอนิกส์ ที่เกีย่ วข้อง ทางอิเล็กทรอนิกส์

ให้พิจารณา
ตรวจสอบ พิจารณา เพิ่มเติม
เบื้องต้น
นาเสนอให้ นาเสนอให้ พิจารณา
ให้ปรับปรุง ความเห็น ให้ปรับปรุง ความเห็น

แจ้ง เห็นชอบ

หน่วยงาน

1) ส านั กงานฯ ในฐานะฝ่ ายเลขานุการของคณะกรรมการฯ จะดาเนินการตรวจสอบ

แนวนโยบายและแนวปฏิบัติฯ ของหน่วยงานว่าความสอดคล้องกับประกาศคณะกรรมการฯ หรือไม่
 หากมี ข้ อ ประเด็ น ซั ก ถาม หรื อ มี ก ารปรั บ แก้ ไ ขโดยไม่ เป็ น สาระส าคั ญ
เจ้าหน้าที่ของสานักงานฯ จะประสานกับ หน่วยงานเพื่อซักถาม หรือขอให้ ปรับแก้ไขแนวนโยบาย
และแนวปฏิบัติฯ เพื่อให้มีความครบถ้วน สมบูรณ์
 เมื่ อ ส านั ก งานฯ ตรวจสอบแนวนโยบายและแนวปฏิ บั ติ ฯ ของหน่ ว ยงาน
เรี ย บร้ อ ยแล้ ว จะด าเนิ น การจั ด ส่ ง ให้ ค ณะอนุ ก รรมการฯ ที่ เกี่ ย วข้ อ งภายใต้ ค ณะกรรมการฯ
เพื่อพิจารณาให้ความเห็นก่อนนาเสนอต่อคณะกรรมการฯ เพื่อให้ความเห็นชอบต่อไป
2) คณะอนุกรรมการฯ ที่เกี่ยวข้อง ดาเนินการพิจารณาแนวนโยบายและแนวปฏิบัติ ฯ
ของหน่วยงาน
 หากมีประเด็นที่ต้องให้ปรับปรุงแก้ไข จะดาเนินการประสานเพื่อให้ปรับปรุง
แก้ไขแนวนโยบายและแนวปฏิบัติฯ ให้มีความครบถ้วน สมบูรณ์
 เมื่ อ คณะอนุ ก รรมการฯ พิ จ ารณาเรี ย บร้ อ ยแล้ ว จะด าเนิ น การจั ด ส่ ง ให้
ฝ่ายเลขานุการของคณะกรรมการฯ เพื่อนาเสนอต่อคณะกรรมการฯ พิจารณาให้ความเห็นชอบต่อไป

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 50
3) คณะกรรมการฯ ดาเนินการพิจารณาแนวนโยบายและแนวปฏิบัติฯ ของหน่วยงาน
 หากมี ป ระเด็ น จะด าเนิ น การส่ ง กลั บ ให้ ค ณะอนุ ก รรมการฯ ที่ เกี่ ย วข้ อ ง
พิจารณาเพิ่มเติม
 หากคณะกรรมการฯ พิจารณาแล้วเห็นชอบในแนวนโยบายและแนวปฏิบัติ ฯ
ของหน่วยงาน สานักงานฯ จะมีหนังสือแจ้งไปยังหน่วยงานถึงผลการพิจารณาต่อไป
4. การกรอกแบบประเมิ น ประกอบการพิ จ ารณาการด าเนิ น งานตามแนวนโยบาย
และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐตามมาตรา 7 ในพระราช
กฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549

1
2

คอลัมน์ที่ 1 3 คอลัมน์ที่ 2

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 51
1) กรอกชื่อหน่วยงาน ที่ช่อง “ชื่อหน่วยงานผู้นาเสนอ”
2) ระบุ เอกสารอ้ า งอิ ง ส าหรั บ ประกอบการพิ จ ารณา ที่ ช่ อ ง “เอกสารประกอบ
การพิจารณา”
3) หน่ วยงานพิ จารณาจากแนวนโยบายและแนวปฏิ บั ติ ฯ เป็ นไปตามประกาศ
ของคณะกรรมการฯ ในคอลัมน์ที่ 1 หรือไม่ โดยหน่วยงานทาการกรอกข้อมูลลงในคอลัมน์ที่ 2 ดังนี้
ถ้าประเมินแล้วเป็นไปตามที่กาหนด
 ให้ทาการกรอกคาว่า “มี” ในช่อง “มี / ไม่มี”
 พร้อมทั้งระบุเอกสารอ้างอิง และระบุหน้า ในช่อง “อ้างอิงหน้า... / ระบุเหตุผล
(ถ้ามี)”
ถ้าประเมินแล้วไม่เป็นไปตามที่กาหนด
 ให้ทาการกรอกคาว่า “ไม่ม”ี ในช่อง “มี / ไม่มี”
 พร้อมทั้งระบุเหตุผล ในช่อง “อ้างอิงหน้า... / ระบุเหตุผล (ถ้ามี)”
4

4) หากหน่ ว ยงานมีเอกสารที่ เป็ น ความลั บ และไม่ส ามารถจัดส่ งมาให้ ได้ แต่ จะน า
มาชี้แจงต่อคณะกรรมการฯ ด้วยตนเอง ให้หน่วยงานทาเครื่องหมาย  ที่ “โปรดระบุเพื่อรับทราบ
 กรณี ห น่ ว ยงานมี เอกสารที่ เป็ น ความลั บ ไม่ จ าเป็ น ต้ องจั ด ส่ งเอกสาร แต่ ให้ น ามาชี้ แ จง
ประกอบการพิจารณาของคณะกรรมการฯ”
5) เมื่อกรอกข้อมูล ตาม ข้อ 1) – 4) เรียบร้อยแล้ว ให้ผู้ บริห ารสู งสุด หรือผู้ ที่ได้รับ
มอบอานาจ ลงนามรับรองข้อความที่แจ้งไว้ในแบบฟอร์ม

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 52
วิธีการและช่องทางจัดส่งเอกสารให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์พิจารณา

ช่องทางจัดส่งเอกสาร
 จัดส่งทางไปรษณีย์ หรือยื่นเอกสารด้วยตนเอง
เรียน ปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550
อาคารรัฐประศาสนภักดี ชั้น 6
ถนนแจ้งวัฒนะ เขตหลักสี่ กรุงเทพฯ 10210
เอกสารที่ต้องจัดส่ง
 ร่าง ประกาศนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน
 แบบประเมิน ประกอบการพิ จารณาการดาเนิ นงานตามแนวนโยบายและแนวปฏิ บั ติ
ในการคุ้มครองข้อ มูล ส่ ว นบุ ค คลของหน่ ว ยงานของรัฐ ตามมาตรา 7 ในพระราชกฤษฎี กากาหนด
หลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
 เอกสารอื่นๆ ที่เกี่ยวข้อง (ถ้ามี)
ดาวน์โหลดเอกสารที่เกี่ยวข้อง ได้ที่ www.etcommission.go.th
1) แบบประเมิ น ประกอบการพิ จ ารณาการด าเนิ น งานตามแนวนโยบายและแนวปฏิ บั ติ
ในการคุ้มครองข้อมูล ส่ ว นบุ คคลของหน่ วยงานของรัฐตามมาตรา 7 ในพระราชกฤษฎี กากาหนด
หลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 (ภาคผนวก ก)
2) คู่มือการจัดทาแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน
ของรัฐ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
 53
การดาเนินการอย่างไรหลังจากแนวนโยบายและแนวปฏิบัติฯ ผ่านความเห็นชอบแล้ว

เมื่ อ แนวนโยบายและแนวปฏิ บั ติ ในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คลของหน่ ว ยงาน ได้ ผ่ า น

ความเห็นชอบจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เรียบร้อยแล้ว หน่วยงานจะต้องปฏิบัติ
ตามนโยบายและแนวปฏิบัติตามที่ได้ประกาศไว้ และต้องจัดให้มีการตรวจสอบการปฏิบัติตามนโยบาย
และแนวปฏิบัติที่ได้กาหนดไว้อย่างสม่าเสมอ โดยหน่วยงานต้องดาเนินการอย่างน้อย ดังต่อไปนี้
1) ประกาศแจ้ งให้ ผู้ ใช้ บ ริ ก ารทราบถึ งสิ ท ธิแ ละวิธี ก ารในการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ด้วย เช่น ประกาศแจ้งไว้ในเว็บไซต์ของหน่วยงาน เป็นต้น
2) ประกาศแจ้ ง ให้ เจ้ า หน้ า ที่ ข องหน่ ว ยงานที่ เกี่ ย วข้ อ ง ทราบและปฏิ บั ติ ต ามประกาศ
ของหน่วยงานที่ได้กาหนดไว้โดยเคร่งครัด
3) หากหน่ ว ยงานมี ก ารปรั บ ปรุ งแก้ ไขแนวนโยบายและแนวปฏิ บั ติ ฯ หน่ ว ยงานจะต้ อ ง
แจ้งให้ผู้ใช้บริการทราบหรือขอความยินยอมจากผู้ใช้บริการก่อน
4) หน่วยงานต้องดาเนินการตรวจสอบและประเมินความเสี่ยง โดยสม่าเสมอ

---------------------------------------------------------------------------------------------------------------------------------------------------------------
สำนักงำนคณะกรรมกำรธุรกรรมทำงอิ เล็กทรอนิกส์ สำนักงำนปลัดกระทรวงเทคโนโลยีสำรสนเทศและกำรสือ่ สำร
ภาคผนวก
 55

ภำคผนวก

ก. แบบประเมิ น ประกอบการพิ จ ารณาการด าเนิ น งานตามแนวนโยบาย

และแนวปฏิ บั ติ ในการคุ้มครองข้ อมู ลส่ วนบุ คคลของหน่ วยงานของรัฐตามมาตรา 7
ในพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์
ภาครัฐ พ.ศ. 2549
 แบบประเมินประกอบการพิจารณาการดาเนินงานตาม
แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ 56
ตามมาตรา ๗ ใน พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙

ชื่อหน่วยงานผู้นาเสนอ
เอกสารประกอบการพิจารณา (สามารถแนบเพิ่มเติมได้)

ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก

มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
๑ ให้หน่วยงานของรัฐซึ่งรวบรวม จั ดเก็บ ใช้ เผยแพร่ หรือดาเนินการอื่นใด
เกี่ ย วกั บข้อมูลของผู้ใช้บริก ารธุรกรรมทางอิเล็ก ทรอนิก ส์ จัดทานโยบาย
ในการคุ้มครองข้อมูลส่วนบุคคลไว้เป็นลายลักษณ์อักษร โดยให้มีสาระสาคัญ
อย่างน้อย ดังนี้
(๑) การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจากัด
(๒) คุณภาพของข้อมูลส่วนบุคคล
(๓) การระบุวัตถุประสงค์ในการเก็บรวบรวม
(๔) ข้อจากัดในการนาข้อมูลส่วนบุคคลไปใช้
(๕) การรักษาความมั่นคงปลอดภัย
๑) ป้องกันการสูญหายข้อมูลส่วนบุคคลโดยมิชอบ
- กระบวนการส ารองข้ อ มู ล ส่ ว นบุ ค คล ประกอบด้ วย ข้ อ มู ล ที่
สารอง ความถี่ในการสารอง สื่อที่ใช้ สถานที่เก็ บ วิธีการเก็ บรักษา
และการนาไปใช้งาน
- ความถี่ในการสารองข้อมูลส่วนบุคคล
- ความถี่ในการทดสอบข้อมูลที่เก็บสารองไว้อย่างสม่าเสมอ
- การจัดการ Malicious code และ mobile code
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
๒) ป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบ
- การแยกระบบที่มีข้อมูลส่วนบุคคลที่สาคัญ
- การจัดลาดับชั้นความลับของข้อมูลส่วนบุคคลในระบบสารสนเทศ
- วิธี ก ารรั บ ส่ ง ประมวลผล และจั ด เก็ บ ข้ อ มู ล ส่ วนบุ ค คลที่ เป็ น
ความลับตามระดับความสาคัญ
- การเข้าถึงระบบปฏิบัติการ
- การเข้าถึงระบบเครือข่าย
๓) ป้องกันการทาลายข้อมูลส่วนบุคคลโดยมิชอบ
- กระบวนการพิจารณาเพื่อทาลายข้อมูลส่วนบุคคล
- รอบความถี่ในการทาลายข้อมูลส่วนบุคคล
- ระบุผู้ที่มีหน้าที่ในการทาลายข้อมูลส่วนบุคคล
- วิธีการทาลายสื่อบันทึกข้อมูลทั้งชนิดถาวร และการนากลับมาใช้ใหม่
๔) ป้องกันการใช้ข้อมูลส่วนบุคคลโดยมิชอบ
- การลงทะเบียนพร้อมแจ้งวัตถุประสงค์การขอใช้งาน
- การยืนยันตัวบุคคลตามรหัสผ่านที่ได้รับอนุญาต
๕) ป้องการแปลงข้อมูลส่วนบุคคลโดยมิชอบ
- การแปลงข้อความเข้าระบบอิเล็กทรอนิกส์
๖) ป้องกันการแก้ไขข้อมูลส่วนบุคคลโดยมิชอบ
- ข้อจากัดในการแก้ไขข้อมูลส่วนบุคคลเท่าที่จาเป็น
- ระบุผู้ที่ทาหน้าที่ในการแก้ไขข้อมูลส่วนบุคคล
- บันทึกรายละเอียดการปรับแก้ไขข้อมูลส่วนบุคคล เช่น การอนุมัติ
จากผู้ มีอ านาจ การประมวลผล การบั นทึ กการแก้ ไขเปลี่ ยนแปลง
และการแจ้งผู้ที่ได้รับผลกระทบจากการเปลี่ยนแปลงทราบ

หน้า ๒
57
 58
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
๗) ป้องการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
- การแลกเปลี่ยนข้อมูลทั้งภายในและภายนอกหน่วยงาน
- การกาหนดสัญญารักษาความลับของข้อมูลส่วนบุคคล
(๖) การเปิดเผยเกี่ยวกับการดาเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับ
ข้อมูลส่วนบุคคล
(๗) การมีส่วนร่วมของเจ้าของข้อมูล
(๘) ความรับผิดชอบของบุคคลซึ่งทาหน้าที่ควบคุมข้อมูล
- หน้าที่ความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ในการเข้าถึงข้อมูลในแต่ละระดับชั้นของระบบสารสนเทศ
- หน้าที่ความรับผิดชอบของผู้ดูแลระบบสารสนเทศในส่วนของข้อมูล
ส่วนบุคคล
๒ ให้ ห น่ ว ยงานของรั ฐ จั ด ท าข้ อ ปฏิ บั ติ ใ นการคุ้ ม ครองข้ อ มู ล ส่ ว นบุ ค คล
ของผู้ใช้บริการ และให้มีรายการอย่างน้อย ดังนี้
(๑) ข้อมูลเบื้องต้น ประกอบด้วย
(ก) ชื่อนโยบายการคุ้มครองข้อมูลส่วนบุคคลว่าเป็นของหน่วยงานใด
(ข) รายละเอียดขอบเขตของการบังคับใช้นโยบายการคุ้มครองข้อมูล
ส่วนบุคคลที่หน่วยงานของรัฐรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์
(ค) ให้แ จ้งการเปลี่ย นแปลงวัตถุ ป ระสงค์ห รือ นโยบายการคุ้ ม ครอง
ข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบและขอความยินยอมก่ อนทุก ครั้ง
ตามวิธีการและภายในกาหนดเวลาที่ประกาศ
(๒) การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคลให้หน่วยงาน
ของรั ฐ รวบรวม จั ด เก็ บ และใช้ ข้ อ มู ล ส่ ว นบุ ค คลจั ด ท ารายละเอี ย ด
ดังต่อไปนี้
(ก) การติดต่อระหว่างหน่วยงานของรัฐ
(ข) การใช้คุกกี้ (Cookies)

หน้า ๓
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information)
- การจัดประเภทข้อมูลส่วนบุคคลในระบบสารสนเทศ
(ง) บันทึกผู้เข้าชมเว็บไซต์ (Log Files)
๑) กรณีการเข้า-ออกโดยอัตโนมัติ
- บันทึกและจัดเก็บข้อมูลการขออนุญาตเข้าใช้ระบบ
- บั น ทึ ก และจั ด เก็ บ ข้ อ มู ล การเข้ า -ออก ของผู้ มี สิ ท ธิเข้ า ใช้
ข้อมูลส่วนบุคคล
- รายละเอียดข้อมูลที่ใช้ในการเก็บ
๒) กรณีการแลกเปลี่ยนข้อมูล ระหว่างหน่วยงาน
- บันทึกและจัดเก็บข้อมูลการขออนุญาตเข้าใช้ระบบ
- บั น ทึ ก และจั ด เก็ บ ข้ อ มู ลการเข้า -ออก ของผู้ มี สิท ธิในการ
แลกเปลี่ยนข้อมูล ระหว่างหน่วยงาน
- รายละเอี ย ดการด าเนิ น งานที่ เกิ ด ขึ้ น ในแต่ ล ะครั้ง ที่ มี ก าร
แลกเปลี่ยนข้อมูล
- ระบุรายละเอียดข้อมูลที่ใช้ในการจัดเก็บ
(จ) ให้ ห น่ ว ยงานของรั ฐ ระบุ ข้ อ มู ล ที่ มี ก ารจั ด เก็ บ ผ่ า นทางเว็ บ ไซต์
ว่ า เป็ น ข้ อ มู ล ที่ ป ระชาชนมี สิ ท ธิ เลื อ กว่ า “จะให้ ห รื อ ไม่ ใ ห้ ” ก็ ได้ และ
ให้ ห น่ ว ยงานของรั ฐ จั ด เตรี ย มช่ อ งทางอื่ น ในการติ ด ต่ อ สื่ อ สารส าหรั บ
ผู้ใช้บริการที่ไม่ประสงค์จะให้ข้อมูลผ่านทางเว็บไซต์
(๓) การแสดงระบุ ค วามเชื่ อ มโยงให้ ข้ อ มู ล ส่ ว นบุ ค คลกั บ หน่ ว ยงาน
หรือองค์กรอื่น
(๔) การรวมข้อมูลจากที่มาหลายๆ แห่ง
(๕) การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล
(๖) การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการ
(๗) การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบัน

หน้า ๔
59
 60
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
(๘) การรั ก ษาความมั่ น คงปลอดภั ย ของข้ อ มู ล ส่ วนบุ ค คล ซึ่ งหน่ วยงาน
ของรัฐพึงดาเนินการ ดังนี้
(ก) สร้างเสริมความสานึกในการรับผิดชอบด้านความมั่นคงปลอดภัย
ของข้อมูลส่วนบุคคลให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงานด้วย
การเผยแพร่ ข้ อ มู ล ข่ าวสาร ให้ ค วามรู้ จั ด สั ม มนา หรือ ฝึ ก อบรมในเรื่อ ง
ดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจา
- การอบรม เพิ่มพูนความรู้แก่บุคลากรเก่าและใหม่อย่างสม่าเสมอ
- กระบวนการลงโทษทางวินัย เพื่อลงโทษบุคลากรที่ฝ่าฝืน ละเมิด
นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
(ข) กาหนดสิทธิและข้อจากัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของ
บุคลากร พนักงาน หรือลูกจ้างของตนในแต่ล ะลาดับชั้นให้ชัดเจน และให้มี
การบันทึกรวมทั้งการทาสารองข้อมูลของการเข้าถึงหรือการเข้าใช้งานข้อมูล
ส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกาหนด
- กระบวนการมอบหมายหรือกาหนดสิทธิ์
- การกาหนดสิทธิตามหน้าที่ความรับผิดชอบและตามความจาเป็น
- การเพิกถอนสิทธิ เมื่อมีการลาออก เปลี่ยนตาแหน่ง หรือย้าย
- การให้ สิทธิพิเศษสาหรับ ผู้บริหารระดับสูงของหน่ วยงาน และ
ระยะการทบทวนสิทธิของผู้บริหาร
- การเฝ้าระวังบัญชีที่ได้รับสิทธิพิเศษ
(ค) ตรวจสอบและประเมินความเสี่ย งด้านความมั่นคงปลอดภัย ของ
เว็บไซต์ หรือของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ ๑ ครั้ง
- กาหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรม
- ระบุผู้ตรวจสอบภายในหรือหรือผู้ตรวจสอบจากภายนอก

หน้า ๕
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
(ง) กาหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสาหรับ
การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสาคัญยิ่งหรือ
เป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และ
ศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของหน่วยงานของรัฐ หรืออาจ
ก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของ
ข้อมูลอย่างชัดเจนควรจัดให้มีมาตรการที่รอบคอบในการรักษาความมั่นคง
ปลอดภัยสาหรับข้อมูลส่วนบุคคลของบุคคลซึ่งอายุไม่เกินสิบแปดปีโดยใช้
วิธีการโดยเฉพาะและเหมาะสม
- การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสาคัญ
ยิ่งยวด เช่น หมายเลขประจาตัวประชาชน หรือหมายเลขประจาตัว
บุคคล เป็นต้น
- การรักษาความมั่นคงปลอดภัยของข้อมูลที่อาจกระทบต่อความรู้สึก
ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชน ซึ่งเป็น
ผู้ใช้บริการของหน่วยงานของรัฐ เช่น เชื้อชาติ ศาสนา ความเชื่อ ความ
คิดเห็นทางการเมือง สุขภาพ พฤติกรรมทางเพศ เป็นต้น
- การรั ก ษาความมั่ น คงปลอดภั ย ของข้ อ มู ล ที่ อ าจก่ อ ให้ เกิ ด ความ
เสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพ ของผู้เป็นเจ้าของข้อมูลอย่าง
ชัดเจน เช่น หมายเลขบัตรเดบิต หรือบัตรเครดิต เป็นต้น
(จ) ควรจัดให้มีมาตรการที่รอบคอบในการรักษาความมั่นคงปลอดภัย
ส าหรั บข้ อมู ลส่ วนบุ คคลของบุ คคลซึ่ งอายุ ไม่ เกิ นสิ บแปดปี โ ดยใช้ วิ ธี ก าร
โดยเฉพาะและเหมาะสม
- การรักษาความมั่นคงปลอดภัยสาหรับข้อมูลส่วนบุคคลซึ่งอายุไม่เกิน
สิบแปดปี (ถ้ามี)

หน้า ๖
61
 62
ข้อ แนวนโยบาย / และแนวปฏิบัติ หน่วยงานประเมินตนเอง ความเห็นจาก ธอ. ความเห็นจาก ความเห็นจาก
มี/ไม่มี อ้างอิงหน้า… / ระบุเหตุผล (ถ้ามี) เห็นด้วย/ไม่เห็นด้วย คณะอนุกรรมการ คณะอนุกรรมการ
นโยบายกฎหมาย ความมั่นคงปลอดภัย
(๙) การติดต่อกับเว็บไซต์
เว็บไซต์ซึ่งให้ข้อมูลแก่ผู้ ใช้บริการในการติดต่อกับหน่วยงานของรัฐ ต้องจัด
ให้มีทั้งข้อมูลติดต่อไปยังสถานที่ทาการงานปกติและข้อมูลติดต่อผ่านทาง
ออนไลน์ด้วย ข้อมูลติดต่อที่หน่วยงานของรัฐควรจะระบุเอาไว้ อย่างน้อย
ต้องประกอบด้วยข้อมูลดังต่อไปนี้
(ก) ชื่อและที่อยู่
(ข) หมายเลขโทรศัพท์
(ค) หมายเลขโทรสาร
(ง) ที่อยู่จดหมายอิเล็กทรอนิกส์
หมายเหตุ
๑. ให้หน่วยงานของรัฐจัดทานโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลภายใต้หลักการตามข้อ ๑ และข้อ ๒ สาหรับหน่วยงานของรัฐที่ได้รับทรัสต์มาร์คจากหน่วยงานหรือองค์กรอื่นที่ทาหน้าที่ออกทรัสต์มาร์ค
(Trust Mark) ให้ หน่ วยงานของรัฐนั้ นแสดงนโยบายและแนวปฏิบั ติในการคุ้มครองข้อมูลส่วนบุ คคลที่ ได้ รับการรับรองจากหน่วยงานหรือองค์ กรที่ ออกหรือรับรองทรัสต์มาร์คดังกล่ าวต่อคณะกรรมการธุรกรรม
ทางอิเล็กทรอนิกส์ ประกอบด้วย
๒. ให้หน่วยงานของรัฐกาหนดชื่อเรียกนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ให้ชัดเจน และในกรณีที่มีการปรับปรุงนโยบาย ให้ระบุวัน เวลา และปี ซึ่งจะมีการปรับปรุงหรือเปลี่ยนแปลงนโยบายดังกล่าวไว้ด้วย

หน้า ๗
 โปรดระบุเพื่อรับทราบ  กรณีหน่วยงานมีเอกสารที่เป็นความลับ ไม่จาเป็นต้องจัดส่งเอกสาร แต่ให้นามาชี้แจงประกอบการพิจารณาของคณะกรรมการ

ขอรับรองว่าข้อความที่แจ้งไว้ในแบบฟอร์มนี้ถูกต้อง เป็นความจริงทุกประการ และสอดคล้องตามแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานภาครัฐตามมาตรา ๗

ในพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙

ลงชื่อ (ผู้บริหารสูงสุด/ผู้ที่ได้รับมอบอานาจ)
( )
ตาแหน่ง
ลงวันที่

หน้า ๘
63
 64

เรียน ผู้อานวยการสานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ความเห็นของผู้ประเมินเบื้องต้น  เห็นสมควรให้ความเห็นชอบ  เห็นสมควรให้มีการปรับแก้ (ระบุรายละเอียด)

ลงชื่อ
( )
ตาแหน่ง ผู้อานวยการกลุ่มงานกากับดูแลธุรกรรมทางอิเล็กทรอนิกส์
ลงวันที่

เรียน ประธานอนุกรรมการนโยบายกฎหมาย / ประธานอนุกรรมการความมั่นคงปลอดภัย

ความเห็นของผู้อานวยการสานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์  เห็นสมควรให้ความเห็นชอบ  เห็นสมควรให้มีการปรับแก้ (ระบุรายละเอียด)

ลงชื่อ
( )
ตาแหน่ง ผู้อานวยการสานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
ลงวันที่

หน้า ๙
เรียน คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ความเห็นของคณะอนุกรรมการนโยบายกฎหมาย  เห็นสมควรให้ความเห็นชอบ  เห็นสมควรให้มีการปรับแก้ (ระบุรายละเอียด)

ลงชื่อ
( )
ตาแหน่ง ประธานอนุกรรมการนโยบายกฎหมาย
ลงวันที่

หน้า ๑๐
65
 66
เรียน คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ความเห็นของคณะอนุกรรมการความมั่นคงปลอดภัย  เห็นสมควรให้ความเห็นชอบ  เห็นสมควรให้มีการปรับแก้ (ระบุรายละเอียด)

ลงชื่อ
( )
ตาแหน่ง ประธานอนุกรรมการความมั่นคงปลอดภัย
ลงวันที่

เรียน ผู้อานวยการสานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

ความเห็นของผู้ประเมินเบื้องต้น  เห็นสมควรให้ความเห็นชอบ  เห็นสมควรให้มีการปรับแก้ (ระบุรายละเอียด)

ลงชื่อ
( )
ตาแหน่ง ผู้อานวยการกลุ่มงานกากับดูแลธุรกรรมทางอิเล็กทรอนิกส์
ลงวันที่

หน้า ๑๑
 67

ภำคผนวก

ข. ประกาศคณะกรรมการธุ ร กรรมทางอิ เล็ ก ทรอนิ ก ส์ เรื่ อ ง แนวนโยบาย

และแนวปฏิ บั ติ ในการคุ้ม ครองข้ อ มู ล ส่ วนบุ คคลของหน่ วยงานของรัฐ พ.ศ. 2553
และ แก้คาผิด
68
หนา ๓๑
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส
เรื่อง แนวนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐ
พ.ศ. ๒๕๕๓

ขอมูลสวนบุคคลที่มีการรวบรวม จัดเก็บ ใชหรือ เผยแพร ใ นรูปของขอมูลอิเล็กทรอนิก ส

เปนสิทธิมนุษยชนขั้นพื้นฐานที่ไดรับความคุมครอง ซึ่งปจจุบันมีการนําระบบสารสนเทศและการสื่อสาร
มาประยุกตใ ชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย และเพื่อใหการทําธุรกรรม
ทางอิเล็กทรอนิกสของหนวยงานของรัฐมีความมั่นคงปลอดภัย ความนาเชื่อถือ และมีการคุมครองขอมูล
สวนบุคคล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเห็นสมควรกําหนดแนวนโยบายและแนวปฏิบัติ
ในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐใหมีมาตรฐานเดียวกัน
อาศัยอํานาจตามความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด
หลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรม
ทางอิเล็กทรอนิกสจึงออกประกาศฉบับนี้ เพื่อเปนแนวทางเบื้องตน ใหหนวยงานของรัฐ ใชใ นการ
กําหนดนโยบายและขอปฏิบัติในการคุมครองขอมูลสวนบุคคลสําหรับการทําธุรกรรมทางอิเล็กทรอนิกส
ดังตอไปนี้
ขอ ๑ ใหหนวยงานของรัฐซึ่งรวบรวม จัดเก็บ ใช เผยแพร หรือดําเนินการอื่นใดเกี่ยวกับ
ขอมูลของผูใชบริการธุรกรรมทางอิเล็กทรอนิกส จัดทํานโยบายในการคุม ครองขอมูลสวนบุคคลไว
เปนลายลักษณอักษร โดยใหมีสาระสําคัญอยางนอย ดังนี้
(๑) การเก็บรวบรวมขอมูลสวนบุคคลอยางจํากัด
การจัดเก็บรวบรวมขอมูลสวนบุคคลใหมีขอบเขตจํากัด และใชวิธีการที่ชอบดวยกฎหมาย
และเปนธรรม และใหเจาของขอมูลทราบหรือไดรับความยินยอมจากเจาของขอมูลตามแตกรณี
(๒) คุณภาพของขอมูลสวนบุคคล
ขอมูล สวนบุ คคลที่ รวบรวมและจัดเก็บ ให เปน ไปตามอํานาจหนา ที่แ ละวัตถุป ระสงค
ในการดําเนินงานของหนวยงานของรัฐตามกฎหมาย
 69
หนา ๓๒
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓

(๓) การระบุวัตถุประสงคในการเก็บรวบรวม
ใหบัน ทึกวัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคลในขณะที่มีการรวบรวม
และจัดเก็บ รวมถึงการนําขอมูลนั้นไปใชในภายหลัง และหากมีการเปลี่ยนแปลงวัตถุประสงคของการ
เก็บรวบรวมขอมูลใหจัดทําบันทึกแกไขเพิ่มเติมไวเปนหลักฐาน
(๔) ขอจํากัดในการนําขอมูลสวนบุคคลไปใช
หามมิใหมีการเปดเผย หรือแสดง หรือทําใหปรากฏในลักษณะอื่นใดซึ่งขอมูลสวนบุคคล
ที่ไ ม ส อดคลอ งกั บ วั ต ถุป ระสงค ข องการรวบรวมและจัด เก็ บ ข อ มู ล เว น แตจ ะได รั บ ความยิ น ยอม
จากเจาของขอมูล หรือเปนกรณีที่มีกฎหมายกําหนดใหกระทําได
(๕) การรักษาความมั่นคงปลอดภัย
ใหมีม าตรการในการรั กษาความมั่น คงปลอดภัยของขอ มูลสว นบุคคลอยา งเหมาะสม
เพื่อปองกันการสูญหาย การเขาถึง ทําลาย ใช แปลง แกไขหรือเปดเผยขอมูลโดยมิชอบ
(๖) การเปดเผยเกี่ยวกับการดําเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับขอมูลสวนบุคคล
ใหมีการเปดเผยการดําเนิน การ แนวปฏิบัติ และนโยบายที่เกี่ยวกับขอมูลสวนบุคคล
และจัดใหมี วิธีการที่ส ามารถตรวจดูความมี อยู ลักษณะของขอมู ลสวนบุคคลวัตถุประสงคของการ
นําขอมูลไปใช ผูควบคุมและสถานที่ทําการของผูควบคุมขอมูลสวนบุคคล
(๗) การมีสวนรวมของเจาของขอมูล
ใหผูควบคุม ขอมูลสวนบุคคลแจงถึงความมีอยู หรือรายละเอียดของขอมูลสวนบุคคล
แกเจาของขอมูลเมื่อไดรับคํารองขอภายในระยะเวลาอันสมควรตามวิธีการในรูปแบบ รวมถึงคาใชจาย
(ถามี) ตามสมควร
หามมิใหผูควบคุมขอมูลสวนบุคคลปฏิเสธที่จะใหคําชี้แจงหรือใหขอมูลแกเจาของขอมูล
ผูสืบสิทธิ์ ทายาท ผูแทนโดยชอบธรรม หรือผูพิทักษ ตามกฎหมาย
ใหผูควบคุมขอมูลจัดทําบันทึกคําคัดคานการจัดเก็บ ความถูกตอง หรือการกระทําใด ๆ
เกี่ยวกับขอมูลของเจาของขอมูลไวเปนหลักฐาน
(๘) ความรับผิดชอบของบุคคลซึ่งทําหนาที่ควบคุมขอมูล
ใหผูควบคุมขอมูลสวนบุคคลปฏิบัติตามมาตรการที่กําหนดไวขางตนเพื่อใหการดําเนินงาน
ตามแนวนโยบายเกี่ยวกับการคุมครองขอมูลสวนบุคคลเปนไปตามมาตรฐานของประกาศฉบับนี้
70
หนา ๓๓
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓
ขอ ๒ ใหหนวยงานของรัฐจัดทําขอปฏิบัติในการคุมครองขอมูลสวนบุคคลของผูใชบริการ
และใหมีรายการอยางนอย ดังนี้
(๑) ขอมูลเบื้องตน ประกอบดวย
(ก) ชื่อนโยบายการคุมครองขอมูลสวนบุคคลวาเปนของหนวยงานใด
(ข) รายละเอี ย ดขอบเขตของการบั ง คั บ ใช น โยบายการคุ ม ครองข อ มู ล ส ว นบุ ค คล
ที่หนวยงานของรัฐรวบรวม จัดเก็บ หรือการใชตามวัตถุประสงค
(ค) ใหแจงการเปลี่ยนแปลงวัตถุประสงคหรือนโยบายการคุมครองขอมูลสวนบุคคลให
เจาของขอมูลทราบและขอความยินยอมกอนทุกครั้งตามวิธีการและภายในกําหนดเวลาที่ประกาศ เชน
การแจ ง ล ว งหน า ให เ จ า ของข อ มู ล ทราบก อ น ๑๕ วั น โดยการส ง ทางจดหมายอิ เ ล็ ก ทรอนิ ก ส
หรือประกาศไวในหนาแรกของเว็บไซต เวนแตกฎหมายจะกําหนดไวเปนอยางอื่น
การขอความยิ น ยอมจากเจ า ของข อ มู ล นั้ น ให มี ค วามชั ด เจนว า หน ว ยงานของรั ฐ ขอรั บ
ความยินยอมเพื่อวัตถุประสงคใด
(๒) การเก็บรวบรวม จัดประเภท และการใชขอมูลสวนบุคคล
ใหห นวยงานของรัฐ ที่ ทําธุ รกรรมทางอิ เล็ กทรอนิก ส ซึ่งเก็บรวบรวมข อมูล ผานทาง
เว็ บ ไซต ห รื อ ผ า นรู ป แบบของการกรอกข อ ความทางกระดาษแล ว นํ า มาแปลงข อ ความเข า ระบบ
อิเล็กทรอนิกสหรือจัดเก็บโดยวิธีอื่น ใหแ สดงรายละเอียดของการรวบรวมขอมูลเปนชนิด ประเภท
รวมถึ งข อ มู ลที่ จ ะไมจั ด เก็บ และข อ มูล ที่ ร วบรวมและจั ดเก็ บ นั้ น จะนํ าไปใชต ามวั ตถุ ป ระสงค ใ ด
โดยลักษณะหรือดวยวิธีการที่ทําใหเจาของขอมูลไดทราบ ทั้งนี้ การรวบรวมและจัดเก็บขอมูลนั้น
ใหทําเปนประกาศหรือแจงรายละเอียดใหเจาของขอมูลทราบ
ใหหนวยงานของรัฐที่จัดบริการผานทางเว็บไซต แสดงรายละเอียดของการรวบรวมขอมูล
ผานทางเว็บไซตของหนวยงานนั้น รวมถึงการใชขอมูลซึ่งอยางนอยตองระบุวาอยูในสวนใดของเว็บไซต
หรือในเว็บเพจใดที่มีการรวบรวมและจัดเก็บขอมูล และใหมีรายละเอียดอยางแจงชัดถึงวิธีการในการ
รวบรวมและจัดเก็บขอมูล เชน การจัดเก็บโดยใหมีการลงทะเบียน หรือการกรอกแบบสอบถาม เปนตน
ใหหนวยงานของรัฐรวบรวม จัดเก็บและใชขอมูลสวนบุคคลจัดทํารายละเอียด ดังตอไปนี้
(ก) การติดตอระหวางหนวยงานของรัฐ
ให หน ว ยงานของรั ฐ ซึ่ ง จะติด ต อไปยัง ผู ใ ช บริ ก ารด วยวิธี ก ารทางอิเ ล็ กทรอนิ ก ส
บอกกลาวใหผูใชบริการทราบลวงหนา ทั้งนี้ ผูใชบริการอาจแจงความประสงคใหติดตอโดยวิธีการอื่นได
 71
หนา ๓๔
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓

(ข) การใชคุกกี้ (Cookies)

ใหหนวยงานของรัฐระบุบนเว็บไซตสําหรับการใชคุกกี้ที่เชื่อมโยงกับขอมูลสวนบุคคล
วาผูใชบริการจะใชคุกกี้เพื่อวัตถุประสงคและประโยชนใด และใหสิทธิที่จะไมรับการตอเชื่อมคุกกี้ได
(ค) การเก็บขอมูลสถิติเกี่ยวกับประชากร (Demographic Information)
ใหหนวยงานของรัฐมีเว็บไซตสําหรับการเก็บรวบรวมขอมูลสถิติเกี่ยวกับประชากร
เชน เพศ อายุ อาชีพ ที่สามารถเชื่อมโยงกับขอมูลระบุตัวบุคคลได ระบุถึงวิธีการรวบรวมและจัดเก็บ
ขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคลดวย และใหชี้แ จงวัตถุประสงคของการใช
ขอมูลดังกลาว รวมถึงการใหบุคคลอื่นรวมใชขอมูลนั้นดวย
(ง) บันทึกผูเขาชมเว็บ (Log Files)
ใหหนวยงานของรัฐซึ่งจัดบริการเว็บไซตที่มีการเก็บบันทึกการเขาออกโดยอัตโนมัติ
เช น หมายเลขไอพี (IP Address) เว็ บ ไซต ที่ เ ข า ออกก อ นและหลั ง และประเภทของโปรแกรม
บราวเซอร (Browser) ที่สามารถเชื่อมโยงขอมูลดังกลาวกับขอมูลซึ่งระบุตัวบุคคลได ระบุวิธีการ
รวบรวมและจั ด เก็ บ ข อ มู ล ดั ง กล า วไว ใ นนโยบายการคุ ม ครองข อ มู ล ส ว นบุ ค คล และให ชี้ แ จง
วัตถุประสงคของการใช รวมถึงการใหบุคคลอื่นรวมใชขอมูลนั้นดวย
(จ) ให ห น ว ยงานของรั ฐ ระบุ ข อ มู ล ที่ มี ก ารจั ด เก็ บ ผ า นทางเว็ บ ไซต ว า เป น ข อ มู ล
ที่ประชาชนมีสิทธิเลือกวา “จะใหหรือไมใ ห” ก็ได และใหหนวยงานของรัฐ จัดเตรียมชองทางอื่น
ในการติดตอสื่อสารสําหรับผูใชบริการที่ไมประสงคจะใหขอมูลผานทางเว็บไซต
(๓) การแสดงระบุความเชื่อมโยงใหขอมูลสวนบุคคลกับหนวยงานหรือองคกรอื่น
การเก็บรวบรวมขอมูลผานทางเว็บไซตของหนวยงานของรัฐและเว็บไซตดังกลาวที่มีการ
เชื่ อ มโยงให ข อ มู ล แก ห น ว ยงานหรื อ องค ก รอื่ น ให ห น ว ยงานของรั ฐ แสดงไว อ ย า งชั ด เจนถึ ง ชื่ อ
ผูเก็บรวบรวมขอมูลผานทางเว็บไซต หรือชื่อผูมีสิทธิในขอมูลที่ไดมีการเก็บรวบรวม (Data Subject)
และชื่อเปน ผูมีสิทธิเขาถึงขอมูลดังกลาวทั้งหมด รวมถึงประเภทของขอมูลที่จะใชรวมกับหนวยงาน
หรือองคกรนั้น ๆ ตลอดจนชื่อผูมีหนาที่ปฏิบัติตามนโยบายการคุมครองขอมูลสวนบุคคลไวในนโยบาย
การคุมครองขอมูลสวนบุคคล เพื่อใหผูใชบริการทราบ
ใหหนวยงานของรัฐ แจงใหผูใ ชบริการทราบและใหความยิน ยอมลวงหนากอนทําการ
เปลี่ยนแปลงการเชื่อมโยงขอมูลตามวรรคแรกกับหนวยงานหรือองคกรอื่น
72
หนา ๓๕
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓
(๔) การรวมขอมูลจากที่มาหลาย ๆ แหง
ใหหนวยงานของรัฐที่ซึ่งไดรับขอมูลมาจากผูใชบริการเว็บไซต และจะนําไปรวมเขากับ
ข อ มู ล ของบุ ค คลดั ง กล า วที่ ไ ด รั บ จากที่ ม าแห ง อื่ น ระบุ ไ ว ใ นนโยบายคุ ม ครองข อ มู ล ส ว นบุ ค คล
ถึงเจตนารมณการรวมขอมูลดังกลาวดวย เชน เว็บไซตไดรับขอมูลที่เปนชื่อและที่อยูของการสงจดหมาย
อิเล็กทรอนิกสจากผูใชบริการโดยการกรอกขอมูลตามแบบสอบถามผานทางเว็บไซต และจะนําขอมูล
ดังกลาวไปรวมเขากับขอมูลเกี่ยวกับประวัติของผูใชบริการที่ไดรับจากที่มาแหงอื่น
(๕) การใหบุคคลอื่นใชหรือการเปดเผยขอมูลสวนบุคคล
ใหหนวยงานของรัฐ ระบุไวใ นนโยบายการคุมครองขอมูลสวนบุคคลดวยวามีบุคคลอื่น
ที่จะเขาถึงหรือใชขอมูลที่หนวยงานนั้นไดเก็บรวบรวมมาผานทางเว็บไซตดวย และใหระบุไวดวยวาการ
ใหเขาถึง ใช หรือเปดเผยขอมูลดังกลาวสอดคลองกับขอกําหนดตามกฎหมายของหนวยงานของรัฐ
ที่ดําเนินการดังกลาว
(๖) การรวบรวม จัดเก็บ ใช และการเปดเผยขอมูลเกี่ยวกับผูใชบริการ
ใหหนวยงานของรัฐ ซึ่งรวบรวม จัดเก็บ ใช และเปดเผยขอมูลสวนบุคคลที่ประสงค
จะนําไปดําเนินการอื่นนอกเหนือไปจากวัตถุประสงคของการรวบรวมขอมูลสวนบุคคลตามที่ไดระบุไว
เชน การรวบรวม จัดเก็บ ใช และเปดเผยขอมูลที่ไมจําเปน หรือการเปดเผยขอมูลสวนบุคคลตอบุคคลอื่น
ระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลถึงสิทธิของผูใชบริการที่จะเลือกวา จะใหหนวยงาน
ของรัฐรวบรวม จัดเก็บหรือไมใหจัดเก็บ ใชหรือไมใหใช และเปดเผยหรือไมเปดเผยขอมูลดังกลาว
การใหผูใชบริการใชสิทธิเลือกตามวรรคแรกใหรวมถึงการใหสิทธิเลือกแบบที่หนวยงาน
ของรั ฐ จะต อ งขอความยิ น ยอมโดยชั ด แจ งจากเจา ของข อ มู ล สว นบุ ค คลนั้ น กอ น และการให สิ ท ธิ
เลื อ กแบบที่ ใ ห สิ ท ธิ แ ก ผู ใ ช บ ริ ก ารในการปฏิ เ สธไม ใ ห มี ก ารใช ห รื อ การเป ด เผยข อ มู ล ส ว นบุ ค คล
เพื่อวัตถุประสงคอื่นนอกเหนือจากวัตถุประสงคที่เก็บรวบรวมขอมูลสวนบุคคลดังกลาวขางตนแลวเทานั้น
ทั้งนี้ การใหสิทธิเลือกตองกระทําใหสมบูรณกอนที่เว็บไซตจะทําการติดตอกับผูใชบริการในครั้งแรก
และหากเปนการใชสิทธิเลือกแบบหามไมใหมีการใชขอมูลสวนบุคคลแตกตางไปจากวัตถุประสงคเดิม
หนวยงานเจาของเว็บไซตตองระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลใหผูใชบริการไดรับทราบ
ถึงวิธีการของการสงการติดตอครั้งที่สองของเว็บไซตดวย
(๗) การเขาถึง การแกไขใหถูกตอง และการปรับปรุงใหเปนปจจุบัน
ให ห น ว ยงานของรั ฐ กํ า หนดวิ ธี ก ารที่ ผู ใ ช บ ริ ก ารเว็ บ ไซต ส ามารถเข า ถึ ง และแก ไ ข
หรือปรับปรุงขอมูลสวนบุคคลเกี่ยวกับตนเองที่หนวยงานของรัฐรวบรวมและจัดเก็บไวในเว็บไซตใหถูกตอง
 73
หนา ๓๖
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓
(๘) การรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคล
ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคลผานทางจัดใหมีวิธีการรักษาความมั่นคง
ปลอดภัยสําหรับขอมูลสวนบุคคลที่รวบรวมและจัดเก็บไวใหเหมาะสมกับการรักษาความลับของขอมูล
สวนบุคคล เพื่อปองกันการเปลี่ยนแปลงแกไขขอมูลดังกลาวโดยมิชอบ รวมถึงการปองกันการกระทําใด
ที่จะมีผลทําใหขอมูลไมอยูในสภาพพรอมใชงาน ซึ่งหนวยงานของรัฐพึงดําเนินการ ดังนี้
(ก) สร า งเสริ ม ความสํ า นึ ก ในการรั บ ผิ ด ชอบด า นความมั่ น คงปลอดภั ย ของข อ มู ล
สวนบุคคลใหแกบุคลากร พนักงาน หรือลูกจางของหนวยงานดวยการเผยแพรขอมูลขาวสาร ใหความรู
จัดสัมมนา หรือฝกอบรมในเรื่องดังกลาวใหแกบุคลากรในองคกรเปนประจํา
(ข) กําหนดสิทธิและขอจํากัดสิทธิในการเขาถึงขอมูลสวนบุคคลของบุคลากร พนักงาน
หรือลูกจางของตนในแตละลําดับชั้นใหชัดเจน และใหมีการบันทึกรวมทั้งการทําสํารองขอมูลของการ
เขาถึงหรือการเขาใชงานขอมูลสวนบุคคลไวในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกําหนด
(ค) ตรวจสอบและประเมิ น ความเสี่ ย งด า นความมั่ น คงปลอดภั ย ของเว็ บ ไซต
หรือของระบบสารสนเทศทั้งหมดอยางนอยปละ ๑ ครั้ง
(ง) กํ า หนดให มี ก ารใช ม าตรการที่ เ หมาะสมและเป น การเฉพาะสํ า หรั บ การรั ก ษา
ความมั่นคงปลอดภัยของขอมูลสวนบุคคลที่มีความสําคัญยิ่งหรือเปนขอมูลที่อาจกระทบตอความรูสึก
ความเชื่อ ความสงบเรียบรอย และศีลธรรมอันดีของประชาชนซึ่งเปนผูใชบริการของหนวยงานของรัฐ
หรืออาจกอใหเกิดความเสียหาย หรือมีผลกระทบตอสิทธิเสรีภาพของผูเปนเจาของขอมูลอยางชัดเจน
เชน หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจําตัวประชาชน หรือหมายเลขประจําตัวบุคคล
เชื้อชาติ ศาสนา ความเชื่อ ความคิดเห็นทางการเมือง สุขภาพ พฤติกรรมทางเพศ เปนตน
(จ) ควรจัดใหมีม าตรการที่ร อบคอบในการรั กษาความมั่น คงปลอดภัย สําหรับข อมู ล
สวนบุคคลของบุคคลซึ่งอายุไมเกินสิบแปดปโดยใชวิธีการโดยเฉพาะและเหมาะสม
(๙) การติดตอกับเว็บไซต
เว็บไซตซึ่งใหขอมูลแกผูใชบริการในการติดตอกับหนวยงานของรัฐ ตองจัดใหมีทั้งขอมูล
ติดตอไปยังสถานที่ทําการงานปกติและขอมูลติดตอผานทางออนไลนดวย ขอมูลติดตอที่หนวยงาน
ของรัฐควรจะระบุเอาไว อยางนอยตองประกอบดวยขอมูลดังตอไปนี้
(ก) ชื่อและที่อยู
(ข) หมายเลขโทรศัพท
(ค) หมายเลขโทรสาร
(ง) ที่อยูจดหมายอิเล็กทรอนิกส
74
หนา ๓๗
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง ราชกิจจานุเบกษา ๑ พฤศจิกายน ๒๕๕๓
ขอ ๓ ใหหนวยงานของรัฐจัดทํานโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคล
ภายใตหลั กการตามขอ ๑ และขอ ๒ สํ าหรับหนว ยงานของรัฐ ที่ได รับทรัสตม ารคจากหนวยงาน
หรือองคกรอื่น ที่ทําหนาที่ออกทรัสตม ารค (Trust Mark) ใหหนวยงานของรัฐ นั้น แสดงนโยบาย
และแนวปฏิบัติใ นการคุมครองขอมูลสวนบุคคลที่ไดรับการรับรองจากหนวยงานหรือองคกรที่ออก
หรือรับรองทรัสตมารคดังกลาวตอคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ประกอบดวย
ทรัสตมารค (Trust Mark) ตามความในวรรคแรกหมายถึง เครื่องหมายที่รับรองวาหนวยงาน
ดังกลาวมีมาตรฐานในการคุมครองขอมูลสวนบุคคลของประชาชนในการทําธุรกรรมทางอิเล็กทรอนิกส
ซึ่งออกโดยหนวยงานหรือองคกรที่จัดตั้งโดยชอบดวยกฎหมายเพื่อทําหนาที่ในการตรวจสอบและรับรอง
การออกทรัสตมารคใหกับผูขอรับการรับรอง
ขอ ๔ ใหหนวยงานของรัฐ กําหนดชื่อเรียกนโยบายการคุม ครองขอมูลส วนบุคคลไวใ ห
ชั ด เจน และในกรณี ที่ มี ก ารปรั บ ปรุ ง นโยบาย ให ร ะบุ วั น เวลา และป ซึ่ ง จะมี ก ารปรั บ ปรุ ง
หรือเปลี่ยนแปลงนโยบายดังกลาวไวดวย
ขอ ๕ ประกาศนี้ใหใชบังคับตั้งแตวันถัดจากวันประกาศในราชกิจจานุเบกษาเปนตนไป

ประกาศ ณ วันที่ ๑ ตุลาคม พ.ศ. ๒๕๕๓

จุติ ไกรฤกษ
รัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส
 75
หนา ๙๙
เลม ๑๒๗ ตอนพิเศษ ๑๓๔ ง ราชกิจจานุเบกษา ๑๙ พฤศจิกายน ๒๕๕๓

แกคําผิด
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส
เรื่อง แนวนโยบายและแนวปฏิ บั ติ ในการคุ มครองข อมู ลส วนบุ คคลของหน วยงานของรั ฐ พ.ศ. ๒๕๕๓
ซึ่งประกาศในราชกิจจานุเบกษา ฉบับประกาศและงานทั่วไป
เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง วันที่ ๑ พฤศจิกายน ๒๕๕๓
หนา ๓๖ บรรทัด ที่ ๒ คํ าว า “ให หน ว ยงานของรัฐ ซึ่ งรวบรวมข อ มู ล
สวนบุคคลผานทางจัดใหมีวิธีการรักษาความมั่นคง” ใหแกเปน
“ให ห น ว ยงานของรั ฐ ซึ่ ง รวบรวมข อ มู ล ส ว นบุ ค คลผ า นทาง
เว็บไซตจัดใหมีวิธีการรักษาความมั่นคง”
76
 77

ภำคผนวก

ค. พระราชกฤษฎี ก าก าหนดหลั ก เกณ ฑ์ และวิ ธี ก ารในการท าธุ ร กรรม

ทางอิเล็กทรอนิกส์ ภาครัฐ พ.ศ. 2549
78
หนา ๑
เลม ๑๒๔ ตอนที่ ๔ ก ราชกิจจานุเบกษา ๑๐ มกราคม ๒๕๕๐

พระราชกฤษฎีกา
กําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ
พ.ศ. ๒๕๔๙

ภูมิพลอดุลยเดช ป.ร.
ใหไว ณ วันที่ ๒๖ พฤศจิกายน พ.ศ. ๒๕๔๙
เปนปที่ ๖๑ ในรัชกาลปจจุบัน
พระบาทสมเด็ จพระปรมิน ทรมหาภู มิพ ลอดุล ยเดช มีพ ระบรมราชโองการโปรดเกลา ฯ
ใหประกาศวา
โดยที่เปนการสมควรกําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ
อาศัยอํานาจตามความในมาตรา ๑๖ ของรัฐธรรมนูญแหงราชอาณาจักรไทย (ฉบับชั่วคราว)
พุทธศักราช ๒๕๔๙ และมาตรา ๓๕ วรรคหนึ่ง แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส
พ.ศ. ๒๕๔๔ จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชกฤษฎีกาขึ้นไว ดังตอไปนี้
มาตรา ๑ พระราชกฤษฎี กานี้ เรี ยกว า “พระราชกฤษฎีก ากํ า หนดหลั ก เกณฑ แ ละวิ ธีก าร
ในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙”
มาตรา ๒ พระราชกฤษฎีกานี้ใหใชบังคับตั้งแตวันประกาศในราชกิจจานุเบกษาเปนตนไป
มาตรา ๓ ในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ หนวยงานของรัฐตองจัดใหมีระบบ
เอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกสในลักษณะ ดังตอไปนี้
 79
หนา ๒
เลม ๑๒๔ ตอนที่ ๔ ก ราชกิจจานุเบกษา ๑๐ มกราคม ๒๕๕๐

(๑) เอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกสนั้นตองอยูในรูปแบบที่เหมาะสม โดยสามารถ

แสดงหรื อ อ า งอิ ง เพื่ อ ใช ใ นภายหลั ง และยั ง คงความครบถ ว นของข อ ความในรู ป แบบของข อ มู ล
อิเล็กทรอนิกส
(๒) ต อ งกํ า หนดระยะเวลาเริ่ ม ต น และสิ้ น สุ ด ในการยื่ น เอกสารที่ ทํ า ในรู ป ของข อ มู ล
อิเล็กทรอนิกส โดยปกติใหยึดถือวันเวลาของการปฏิบัติงานหนวยงานของรัฐนั้นเปนหลัก และอาจ
กําหนดระยะเวลาในการดําเนินการพิจารณาของหนวยงานของรัฐดวยวิธีการทางอิเล็กทรอนิกสไวดวย
ก็ได เวนแตจะมีกฎหมายในเรื่องนั้นกําหนดไวเปนอยางอื่น
(๓) ตองกําหนดวิธีการที่ทําใหสามารถระบุตัวเจาของลายมือ ชื่อ ประเภท ลักษณะหรือ
รูปแบบของลายมือชื่ออิเล็กทรอนิกส และสามารถแสดงไดวาเจาของลายมือชื่อรับรองขอความในขอมูล
อิเล็กทรอนิกส
(๔) ตองกําหนดวิธีการแจงการตอบรับดวยวิธีการทางอิเล็กทรอนิกสหรือดวยวิธีการอื่นใด
เพื่อเปนหลักฐานวาไดมีการดําเนินการดวยวิธีการทางอิเล็กทรอนิกสไปยังอีกฝายหนึ่งแลว
มาตรา ๔ นอกจากที่บัญญัติไวในมาตรา ๓ ในกรณีที่หนวยงานของรัฐจัดทํากระบวนการ
พิจารณาทางปกครองโดยวิธีการทางอิเล็กทรอนิกส ระบบเอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกส
ตองมีลักษณะดังตอไปนี้ดวย เวนแตจะมีกฎหมายในเรื่องนั้นกําหนดไวเปนอยางอื่น
(๑) มีวิธีการสื่อสารกับผูยื่นคําขอในกรณีที่เอกสารมีขอบกพรองหรือมีขอความที่ผิดหลง
อันเห็นไดชัดวาเกิดจากความไมรูหรือความเลินเลอของผูยื่นคําขอ หรือการขอขอเท็จจริงเพิ่มเติม
รวมทั้ งมี วิธี การแจ งสิ ทธิ แ ละหน าที่ ใ นกระบวนการพิจ ารณาทางปกครองตามความจํา เป นแกก รณี
ในกรณีที่กฎหมายกําหนดใหตองแจงใหคูกรณีทราบ
(๒) ในกรณี มี ค วามจํ า เป น ตามลั ก ษณะเฉพาะของธุ ร กรรมทางอิ เ ล็ ก ทรอนิ ก ส ภ าครั ฐ ใด
หนวยงานของรัฐนั้นอาจกําหนดเงื่อนไขวาคูกรณียินยอมตกลงและยอมรับการดําเนินการพิจารณา
ทางปกครองของหนวยงานของรัฐโดยวิธีการทางอิเล็กทรอนิกส
มาตรา ๕ หนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐ
หรือโดยหนวยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได
แนวนโยบายและแนวปฏิบัติอยางนอยตองประกอบดวยเนื้อหา ดังตอไปนี้
(๑) การเขาถึงหรือควบคุมการใชงานสารสนเทศ
80
หนา ๓
เลม ๑๒๔ ตอนที่ ๔ ก ราชกิจจานุเบกษา ๑๐ มกราคม ๒๕๕๐

(๒) การจัดใหมีระบบสารสนเทศและระบบสํารองของสารสนเทศซึ่งอยูในสภาพพรอมใชงาน
และจัดทําแผนเตรียมพรอมกรณีฉุกเฉินในกรณีที่ไมสามารถดําเนินการดวยวิธีการทางอิเล็กทรอนิกส
เพื่อใหสามารถใชงานสารสนเทศไดตามปกติอยางตอเนื่อง
(๓) การตรวจสอบและประเมินความเสี่ยงดานสารสนเทศอยางสม่ําเสมอ
มาตรา ๖ ในกรณีที่มีการรวบรวม จัดเก็บ ใช หรือเผยแพรขอมูล หรือขอเท็จจริงที่ทําให
สามารถระบุ ตั ว บุ ค คล ไม ว า โดยตรงหรื อ โดยอ อ ม ให ห น ว ยงานของรั ฐ จั ด ทํ า แนวนโยบายและ
แนวปฏิบัติการคุมครองขอมูลสวนบุคคลดวย
มาตรา ๗ แนวนโยบายและแนวปฏิบัติตามมาตรา ๕ และมาตรา ๖ ใหหนวยงานของรัฐ
จัดทําเปนประกาศ และตองไดรับความเห็นชอบจากคณะกรรมการหรือหนวยงานที่คณะกรรมการ
มอบหมาย จึงมีผลใชบังคับได
หนวยงานของรัฐตองปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ไดแสดงไว และใหจัดใหมีการ
ตรวจสอบการปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่กําหนดไวอยางสม่ําเสมอ
มาตรา ๘ ใหคณะกรรมการหรือหนวยงานที่คณะกรรมการมอบหมายจัดทําแนวนโยบาย
และแนวปฏิ บั ติ หรื อการอื่ นอั นเกี่ ยวกั บการดํ าเนิ นการตามพระราชกฤษฎี กานี้ ไว เป นตั วอย างเบื้ องต น
สําหรับการดําเนินการของหนวยงานของรัฐในการปฏิบัติตามพระราชกฤษฎีกานี้ และหากหนวยงาน
ของรัฐแหงใดมีการปฏิบัติงานตามกฎหมายที่แตกตางเปนการเฉพาะแลว หนวยงานของรัฐแหงนั้นอาจ
เพิ่มเติมรายละเอียดการปฏิบัติงานตามกฎหมายที่แตกตางนั้นไดโดยออกเปนระเบียบ ทั้งนี้ โดยให
คํานึงถึงความถูกตองครบถวน ความนาเชื่อถือ สภาพความพรอมใชงาน และความมั่นคงปลอดภัยของ
ระบบและขอมูลอิเล็กทรอนิกส
มาตรา ๙ การทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐตามหลักเกณฑและวิธีการตามพระราชกฤษฎีกานี้
ไมมีผลเปนการยกเวนกฎหมายหรือหลักเกณฑและวิธีการที่กฎหมายในเรื่อ งนั้นกําหนดไวเพื่อการ
อนุญาต อนุมัติ การใหความเห็นชอบ หรือการวินิจฉัย
มาตรา ๑๐ ใหนายกรัฐมนตรีรักษาการตามพระราชกฤษฎีกานี้

ผูรับสนองพระบรมราชโองการ
พลเอก สุรยุทธ จุลานนท
นายกรัฐมนตรี
 81
หนา ๔
เลม ๑๒๔ ตอนที่ ๔ ก ราชกิจจานุเบกษา ๑๐ มกราคม ๒๕๕๐

หมายเหตุ :- เหตุผลในการประกาศใชพระราชกฤษฎีกาฉบับนี้ คือ เนื่องจากประเทศไทยไดเริ่มเขาสูยุคสังคมสารสนเทศ

ซึ่งมีการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐมากขึ้น สมควรสนับสนุนใหหนวยงานของรัฐมีระบบการบริการของตน
โดยการประยุกตใชเทคโนโลยีสารสนเทศเพื่อใหสามารถบริการประชาชนไดอยางทั่วถึง สะดวก และรวดเร็ว
อันเปนการเพิ่มประสิทธิภาพและประสิทธิผลของหนวยงานของรัฐ พรอมกับใหหนวยงานของรัฐสามารถพัฒนา
การทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐภายใตมาตรฐานและเปนไปในทิศทางเดียวกัน และสรางความเชื่อมั่น
ของประชาชนตอการดําเนินกิจกรรมของรัฐดวยวิธีการทางอิเล็กทรอนิกส ประกอบกับมาตรา ๓๕ วรรคหนึ่ง
แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ บัญญัติวา คําขอ การอนุญาต การจดทะเบียน
คําสั่งทางปกครอง การชําระเงิน การประกาศหรือการดําเนินการใด ๆ ตามกฎหมายกับหนวยงานของรัฐหรือโดยหนวยงาน
ของรัฐ ถาไดกระทําในรูปของขอมูลอิเล็กทรอนิกสตามหลักเกณฑและวิธีการที่กําหนดโดยพระราชกฤษฎีกาแลว
ใหถือวามีผลโดยชอบดวยกฎหมายเชนเดียวกับการดําเนินการตามหลักเกณฑและวิธีการที่กฎหมายในเรื่องนั้นกําหนด
จึงจําเปนตองตราพระราชกฤษฎีกานี้
สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550
อาคารรัฐประศาสนภักดี ชั้น 6
ถนนแจ้งวัฒนะ เขตหลักสี่ กรุงเทพฯ 10210
โทรศัพท์ 02-1416-991
โทรสาร 02-1438-036
www.etcommission.go.th