นโยบายการคุ้มครองข้อมูลส่วนบุคคล กปน.

นโยบายการคุ้มครองข้อมูลส่วนบุคคล กปน. 

นโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 


เพื่อให้เจ้าของข้อมูลส่วนบุคคล ได้แก่ พนักงาน ลูกจ้าง ผู้ใช้บริการ และคู่ค้าของการประปานครหลวงรวมถึงผู้ซึ่งได้รับความยินยอมให้ทำงาน หรือทำประโยชน์ให้แก่การประปานครหลวง หรือในสถานประกอบกิจการของการประปานครหลวง ไม่ว่าจะเรียกชื่ออย่างไรก็ตาม ทราบและเข้าใจนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของการประปานครหลวงเกี่ยวกับการเก็บรวบรวม การใช้ การเปิดเผย การบริหารจัดการข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและสร้างความมั่นใจให้กับเจ้าของข้อมูล รวมถึงกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

อาศัยอำนาจตามความในมาตรา 31 และมาตรา 33 แห่งพระราชบัญญัติการประปานครหลวง พ.ศ. 2510 การประปานครหลวงจึงวางนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้

ข้อ 1 ขอบเขตการบังคับใช้ 


การประปานครหลวงเป็นหน่วยงานที่ดำเนินการสำรวจ จัดหาแหล่งน้ำดิบ ผลิต จัดส่งและจำหน่ายน้ำประปา รวมถึงดำเนินธุรกิจอื่นที่เกี่ยวเนื่องหรือเป็นประโยชน์แก่การประปานครหลวงซึ่งเป็นหนึ่งในโครงสร้างพื้นฐานที่สำคัญของประเทศและประชาชน โดยมีข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบเป็นจำนวนมาก จึงได้กำหนดนโยบายที่เกี่ยวกับเงื่อนไขและวิธีการขอความยินยอม การเก็บรวบรวมการใช้และการเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูล เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายที่เกี่ยวข้อง             

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ การประปานครหลวงจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมดังกล่าวได้ ภายใต้วิธีการที่ได้กำหนดไว้ตามประกาศฉบับนี้ การอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นจะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562                           

ข้อ 2 ในประกาศนี้ 


“ข้อมูล” หมายความว่า เรื่องราว หรือข้อเท็จจริง ไม่ว่าจะปรากฏในรูปของอักษร ตัวเลข เสียง ภาพ หรือรูปแบบอื่นใดที่สื่อความหมายได้โดยสภาพของสิ่งนั้นเอง หรือโดยผ่านวิธีการใด ๆ    

“บุคคล” หมายความว่า บุคคลธรรมดา

“เจ้าของข้อมูลส่วนบุคคล” (Data Subject) หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เช่น คณะกรรมการการประปานครหลวง ที่ปรึกษา พนักงาน ลูกจ้าง ผู้ใช้บริการ คู่สัญญา เป็นต้น

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาที่ทำให้ระบุตัวเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น

(1)

ชื่อ – นามสกุล

(2)

เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ทะเบียนผู้ใช้น้ำ

(3)

ที่อยู่ อีเมล์ หมายเลขโทรศัพท์

(4)

ข้อมูลอุปกรณ์หรือเครื่องมือและข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น IP Address, MAC Address, Cookie, User ID และ Log File เป็นต้น

(5)

ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง และข้อมูลพันธุกรรม เป็นต้น

(6)

ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน เป็นต้น

(7)

ข้อมูลที่สามารถเชื่อมโยงกับข้อมูลอื่น ซึ่งทำให้สามารถระบุตัวเจ้าของข้อมูลได้ เช่น วันเกิด และสถานที่เกิด สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (Location) ข้อมูลการศึกษา ข้อมูลทางการเงิน และข้อมูลการจ้างงาน เป็นต้น

(8)

ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง 

(9)

ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต หรือช่องทางออนไลน์อื่น ๆ

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive Personal Data) หมายความว่า ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศกำหนด

“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“การประมวลผลข้อมูลส่วนบุคคล” (Personal Data Processing) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า ผู้มีหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การประปานครหลวง หรือบุคคล หรือนิติบุคคลอื่น ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ การประปานครหลวง หรือบุคคล หรือนิติบุคคลอื่นที่ดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer: DPO)  หมายความว่า บุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของการประปานครหลวง หรือผู้รับจ้างที่ให้บริการตามสัญญากับการประปานครหลวงที่ทำหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“คุกกี้” หมายความว่า ไฟล์คอมพิวเตอร์ขนาดเล็ก ซึ่งถูกบันทึกไว้ในอุปกรณ์คอมพิวเตอร์ หรือ เครื่องมือสื่อสารของเจ้าของข้อมูลส่วนบุคคล เช่น สมาร์ทโฟน แท็บเล็ต หรือ ผ่านทางเว็บบราวเซอร์ในขณะที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานระบบเว็บไซต์

ข้อ 3 การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล 


3.1.

การประปานครหลวงจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงาน ลูกจ้างผู้ใช้บริการ และคู่ค้าของการประปานครหลวง  รวมถึงผู้ซึ่งได้รับความยินยอมให้ทำงานหรือทำประโยชน์ให้การประปานครหลวงหรือในสถานประกอบกิจการของการประปานครหลวง ไม่ว่าจะเรียกชื่ออย่างไรก็ตาม เพื่อวัตถุประสงค์ในการดำเนินงานของการประปานครหลวง การศึกษา วิเคราะห์ วิจัยหรือการจัดทำสถิติ และปรับปรุงคุณภาพของการให้บริการแก่เจ้าของข้อมูลให้มีประสิทธิภาพมากยิ่งขึ้น โดยจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม มีการจัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อวัตถุประสงค์ในการดำเนินงานของการประปานครหลวง ดังต่อไปนี้ 

3.1.1.

ให้บริการกับผู้ใช้บริการหรือบริหารจัดการที่เกี่ยวข้องกับคู่ค้าของการประปานครหลวง

3.1.2.

บริหารจัดการด้านความสัมพันธ์กับผู้ใช้บริการหรือคู่ค้าของการประปานครหลวง 

3.1.3.

พัฒนาและปรับปรุงคุณภาพในการให้บริการผ่านการศึกษา วิเคราะห์ วิจัย หรือ การจัดทำสถิติ เพื่อให้เกิดประสิทธิภาพสูงสุด

3.1.4.

สร้างและจัดการเกี่ยวกับบัญชี (ออนไลน์) ของผู้ใช้บริการ

3.1.5.

บริการและดำเนินการเกี่ยวกับการชำระและรับชำระเงิน

3.1.6.

ติดต่อสื่อสาร ประชาสัมพันธ์ แจ้งข่าว เผยแพร่โฆษณา รวมถึงการดำเนินการทางด้านการตลาด

3.1.7.

ตอบสนองข้อเรียกร้อง ข้อร้องเรียน หรือข้อคิดเห็นใด ๆ

3.1.8.

ตรวจสอบ วิเคราะห์ และประเมินผล เพื่อนำมาพัฒนาธุรกิจหรือการให้บริการ  

3.1.9.

ป้องกัน หรือ ระบุตัวเพื่อทำการตรวจสอบการดำเนินการอย่างใดที่อาจละเมิดต่อกฎหมายหรืออาจก่อให้เกิดผลเสียแก่หายแก่การประปานครหลวง

3.1.10.

ดำเนินการให้สอดคล้องกับหลักเกณฑ์หรือเงื่อนไขที่การประปานครหลวงได้กำหนดขึ้น

3.1.11.

ดำเนินการให้เป็นไปตามมาตรฐานทางด้านอุตสาหกรรมและนโยบายที่เกี่ยวข้อง 

3.1.12.

วิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และ ตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน 

3.1.13.

เพื่อระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการผ่านช่องทางต่าง ๆ หรือการติดต่อกับการประปานครหลวง นอกจากวัตถุประสงค์ในการประมวลผลดังกล่าวข้างต้น การประปานครหลวงอาจใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการบริหารงานบุคคลดังต่อไปนี้

3.1.14.

รับสมัครและคัดสรรบุคลากรที่เหมาะสมกับตำแหน่งภายใต้กรอบที่กฎหมายกำหนดไว้ 

3.1.15.

บริหารงานบุคลากร รวมถึงงานด้านธุรการต่าง ๆ ซึ่งเป็นประโยชน์หรือสวัสดิการของพนักงาน อาทิ การจ่ายค่าจ้างรายเดือนการฝึกอบรม

3.1.16.

ดำเนินการอย่างใด ๆ ให้สอดคล้องกับระเบียบ กฎเกณฑ์ หรือ นโยบายที่การประปานครหลวงกำหนด รวมถึงการสอบสวน เพื่อค้นหาข้อเท็จจริงและลงโทษในกรณีที่พนักงานได้ละเมิดหลักเกณฑ์ดังกล่าว หรือ กระทำความติดตามที่กฎหมายกำหนด

3.1.17.

ประเมินศักยภาพในการทำงานและความเหมาะสมในการดำรงตำแหน่งของพนักงาน

ในกรณีที่ให้บริการทางเว็บไซต์การประปานครหลวง จะจัดเก็บบันทึกข้อมูลการเข้าออกเว็บไซต์โดยวิธีอัตโนมัติ เพื่อวัตถุประสงค์ในการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และการตรวจสอบย้อนหลัง ในกรณีที่เกิดปัญหาการใช้งาน โดยจะจัดเก็บรักษาข้อมูล ดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็น เพื่อวัตถุประสงค์ในการดำเนินงานของการประปานครหลวง ดังต่อไปนี้

3.3.

การประปานครหลวงจะดำเนินการ ตามข้อ 3.1 – 3.2 เมื่อได้รับความยินยอมจากเจ้าของข้อมูล ยกเว้นในกรณีดังต่อไปนี้ 

การประปานครหลวงอาจเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เฉพาะในกรณีที่มีความจำเป็น โดยจะแจ้งถึงการจัดเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบไม่เกินสามสิบวันนับแต่วันที่การประปานครหลวงเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งดังกล่าว รวมถึงจะดำเนินการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังกล่าวจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมหรือแจ้งเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

3.2.

การประปานครหลวงอาจส่ง โอน หรือ เปิดเผย ข้อมูลส่วนบุคคลให้กับบุคคล หน่วยงาน องค์กร นิติบุคคลภายนอกใด ๆ อาทิ 

3.2.1.

ตัวแทนรับชำระค่าบริการ / ค่าธรรมเนียม ได้แก่ สถาบันการเงิน และเคาน์เตอร์เซอร์วิส ซึ่งจะใช้ข้อมูลในการออกใบกำกับภาษีแบบเต็ม และแบบย่อ ตามประมวลรัษฎากร

3.2.2.

ผู้ให้บริการต่าง ๆ ที่เกี่ยวข้องกับระบบและเครือข่ายการชำระเงิน ในรูปแบบออนไลน์ และออฟไลน์

3.2.3.

ผู้ให้บริการจัดเก็บข้อมูลส่วนบุคคล ได้แก่ ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล

3.2.4.

บุคคล หรือหน่วยงานตามที่กฎหมายกำหนดซึ่งมีสัญญาอยู่กับการประปานครหลวงหรือมีความสัมพันธ์ด้วย ทั้งในประเทศ และต่างประเทศ เพื่อให้บรรลุวัตถุประสงค์ตามที่กล่าวไว้ในนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ สำหรับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศนั้น การประปานครหลวงจะทำให้แน่ใจว่าประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่มีข้อยกเว้นตามที่กฎหมายระบุให้สามารถกระทำได้

3.3.

การประปานครหลวงจะดำเนินการ ตามข้อ 3.1 – 3.2 เมื่อได้รับความยินยอมจากเจ้าของข้อมูล ยกเว้นในกรณีดังต่อไปนี้

3.3.1.

เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อป้องกันอันตรายที่เกิดกับชีวิต สุขภาพของเจ้าของข้อมูล เช่น การส่งข้อมูลส่วนบุคคลต่อโรงพยาบาลเพื่อการรักษาที่เจ็บป่วยฉุกเฉินไม่สามารถให้ความยินยอมได้ด้วยตนเอง และไม่มีวิธีอื่นที่สามารถกระทำได้โดยไม่เปิดเผยข้อมูล เป็นต้น

3.3.2.

เพื่อปฏิบัติตามสัญญา กรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการหรือปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลและการประปานครหลวง เช่น เจ้าของข้อมูลที่ประสงค์จะทำสัญญาการใช้น้ำกับการประปานครหลวง ซึ่งมีความจำเป็นจะต้องทราบชื่อ นามสกุล ที่อยู่ เพื่อให้บริการ เป็นต้น

3.3.3.

เพื่อปฏิบัติภารกิจของรัฐ กรณีมีความจำเป็นต่อการปฏิบัติตามภารกิจเพื่อประโยชน์สาธารณะ หรือการปฏิบัติหน้าที่ตามอำนาจรัฐที่การประปานครหลวง ได้รับมอบหมาย โดยการประปานครหลวงจะพิจารณาถึงความจำเป็นระหว่างการดำเนินภารกิจและสิทธิของเจ้าของข้อมูล ดังนั้น หากการประปานครหลวงมีหน้าที่ตามภารกิจของรัฐ ก็สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้ เช่น โครงการที่เกี่ยวกับสิทธิสวัสดิการตามนโยบายของรัฐ เป็นต้น

3.3.4.

เพื่อประโยชน์อันชอบธรรม กรณีมีความจำเป็นเพื่อประโยชน์อันชอบธรรมในการดำเนินงานของการประปานครหลวง โดยการประปานครหลวงจะพิจารณาถึงสิทธิของเจ้าของข้อมูลเป็นสำคัญ เช่น เพื่อป้องกันการฉ้อโกง การรักษาความปลอดภัยในระบบเครือข่าย การปกป้องสิทธิเสรีภาพ และประโยชน์ของเจ้าของข้อมูล เป็นต้น

3.3.5.

เพื่อการศึกษาวิจัยหรือสถิติ กรณีที่มีการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล

3.3.6.

กรณีมีความจำเป็นต่อการปฏิบัติหน้าที่ที่กฎหมายกำหนด หรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ แต่จะต้องไม่ใช่กรณีที่ผู้ควบคุมข้อมูลมีดุลพินิจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือมีทางเลือกอื่นใดที่สามารถทำได้ เช่น อาจเปิดเผยข้อมูลส่วนบุคคลให้กรมสรรพากร หรือการส่งข้อมูลส่วนบุคคลตามคำสั่งของพนักงานอัยการหรือศาล และการจัดเก็บข้อมูล Log File ตามที่กำหนดในพระราชบัญญัติคอมพิวเตอร์ เป็นต้น

3.4.

การประปานครหลวงจะไม่จัดเก็บข้อมูลส่วนบุคคลซึ่งเกี่ยวกับข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งเท่านั้น หรือโดยข้อยกเว้นตามที่กฎหมายกำหนด  

3.5.

ในกรณีที่มีความจำเป็นเพื่อปฏิบัติตามกฎหมาย หากเจ้าของข้อมูลส่วนบุคคลไม่เปิดเผยข้อมูลดังกล่าว อาจส่งผลให้เจ้าของข้อมูลส่วนบุคคลละเมิดต่อกฎหมายได้ หรือ ไม่สามารถทำธุรกรรมหรือได้รับสิทธิประโยชน์ตามที่กฎหมายกำหนดไว้ นอกจากนี้ การที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลในกรณีที่มีความจำเป็นเพื่อเข้าทำสัญญาหรือเพื่อปฏิบัติตามสัญญากับการประปานครหลวงย่อมส่งผลให้ถูกปฏิเสธการเข้าทำสัญญาหรือรับชำระหนี้ตามสัญญาที่ได้ทำไว้กับการประปานครหลวง 

ข้อ 4 การสร้างและการรวบรวมข้อมูล


การประปานครหลวงจะรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข รวมถึงการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมายด้วยการกำหนดมาตรการเชิงเทคนิคและเชิงบริหารจัดการ วิธีปฏิบัติ และสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ให้เป็นไปตามกฎหมายกำหนด หรือสอดคล้องกับมาตรฐานสากล                                    

การประปานครหลวงจะมีการกำหนดมาตรการต่าง ๆ เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและปลอดภัยตามมาตรฐานที่กฎหมายกำหนด ดังนี้

4.1.

เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล เช่น การกำหนดชั้นความลับ วิธีการเข้าถึงข้อมูลและการจำกัดการเข้าถึงข้อมูล เป็นต้น               

4.2.

กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลทางกายภาพ จัดให้มีสถานที่ ที่เหมาะสมและปลอดภัยในการจัดเก็บข้อมูลหรือ เอกสารต่าง ๆ และกำหนดกระบวนการลบหรือทำลายข้อมูลและอุปกรณ์เมื่อหมดความจำเป็นหรือได้รับการร้องขอจากเจ้าของข้อมูล

4.3.

กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลด้วยระบบเทคโนโลยีสารสนเทศ เช่น การแฝงข้อมูล (Pseudonymization) การจัดทำข้อมูลนิรนาม (Anonymization)และการเข้ารหัสข้อมูล (Encryption) เป็นต้น

4.4.

กำหนดแผนการรับมือและแก้ไข กรณีมีการรั่วไหล หรือการละเมิดข้อมูลส่วนบุคคล

4.5.

กำหนดแผนการกำหนดมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความปลอดภัยในการดำเนินงานที่เกี่ยวกับข้อมูลส่วนบุคคลให้เหมาะสม รับมือและแก้ไข กรณีมีการรั่วไหล หรือการละเมิดข้อมูลส่วนบุคคล

4.6.

การประปานครหลวงจะเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังต่อไปนี้

4.6.1.

กรณีที่มีกฎหมายกำหนดระยะเวลาในการจัดเก็บไว้โดยเฉพาะ การประปานครหลวงจะทำการเก็บรักษาข้อมูลส่วนบุคคล ตามกรอบระยะเวลาดังกล่าว

4.6.2.

กรณีที่กฎหมายไม่ได้กำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลไว้โดยเฉพาะ การประปานครหลวงจะกำหนดระยะเวลาในการจัดเก็บตามความจำเป็นที่เหมาะสมในการปฏิบัติงานและวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลนั้น

เมื่อพ้นระยะเวลาการเก็บรักษาดังกล่าวข้างต้น การประปานครหลวงจะพิจารณาลบทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลด้วยวิธีการที่เหมาะสม                                               

ข้อ 5 สิทธิของเจ้าของข้อมูล


เจ้าของข้อมูลสามารถร้องขอให้การประปานครหลวงดำเนินการตามสิทธิของเจ้าของข้อมูล ดังนี้            

5.1.

สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคลหรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดยการประปานครหลวงจะจัดเตรียมหรือจัดทำสำเนาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของการประปานครหลวงทั้งนี้ การประปานครหลวงมีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด  หรือตามคำสั่งศาลหรือการเข้าถึงข้อมูลส่วนบุคคลนั้น อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น 

5.2.

สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริง เป็นปัจจุบัน ครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หากการประปานครหลวงเห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ การประปานครหลวงจะปฏิเสธคำร้องขอของเจ้าของข้อมูลและจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน

5.3.

สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนของข้อมูลได้ เจ้าของข้อมูลสามารถยื่นคำร้องขอลบ ทำลาย หรือทำให้ไม่สามารถระบุ ตัวเจ้าของข้อมูลได้โดยการประปานครหลวงจะดำเนินการตามคำร้องภายใต้เงื่อนไข ดังนี้

(1)

เมื่อหมดความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลตามวัตถุประสงค์ 

(2)

เจ้าของข้อมูลเพิกถอนความยินยอม และการประปานครหลวงไม่มีอำนาจตามกฎหมายในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(3)

เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม และการประปานครหลวงไม่สามารถคัดค้านได้ 

(4)

ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ชอบด้วยกฎหมายทั้งนี้ การประปานครหลวงมีสิทธิปฏิเสธคำร้องขอ ดังนี้

(ก)

การเก็บรักษาไว้เพื่อความจำเป็นในการใช้เสรีภาพในการแสดงความคิดเห็น

(ข)

การเก็บรักษาไว้เพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ ฯลฯ

(ค)

การเก็บรักษาไว้เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะของการประปานครหลวง หรือปฏิบัติตามอำนาจรัฐที่การประปานครหลวงได้รับมอบหมาย

(ง)

การเก็บรักษาข้อมูลที่มีความจำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย เพื่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ประโยชน์ด้านการสาธารณสุขและอื่น ๆ ตามที่กฎหมายกำหนด

(จ)

การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือการปฏิบัติตามกฎหมาย

5.4.

กรณีเจ้าของข้อมูลได้ให้ความยินยอมไว้กับการประปานครหลวง เจ้าของข้อมูลสามารถยื่นคำร้องขอเพิกถอนความยินยอมนั้นได้ โดยการประปานครหลวงจะดำเนินการตามคำร้องขอของเจ้าของข้อมูลแต่การเพิกถอนความยินยอมดังกล่าวย่อมไม่ส่งผลกระทบต่อการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิเพิกถอนความยินยอมนั้น ทั้งนี้ การประปานครหลวงมีสิทธิปฏิเสธคำร้องขอ หากมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมาย หรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล 

5.5.

สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองเจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานจากเครื่องมือหรืออุปกรณ์ทำงานได้โดยวิธีการอัตโนมัติ รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไข ดังนี้ 

5.5.1

ต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล                                    

5.5.2

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการ หรือตามสัญญาระหว่างเจ้าของข้อมูลและ การประปานครหลวง ตามข้อ 3.3.2. ทั้งนี้ การประปานครหลวงจะปฏิเสธการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล หากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น หรือในทางเทคนิคไม่สามารถดำเนินการได้โดยการประปานครหลวงจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน

5.6.

สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถยื่นคำร้องขอห้ามมิให้การประปานครหลวง ใช้ข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังนี้

5.6.1

การประปานครหลวงอยู่ระหว่างดำเนินการ ตามข้อ 5.2. หากตรวจสอบได้ว่าข้อมูลนั้นถูกต้องครบถ้วนสมบูรณ์แล้ว การประปานครหลวงสามารถปฏิเสธคำร้องขอดังกล่าวได้

5.6.2

เมื่อเป็นข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายและเจ้าของข้อมูลไม่ได้ใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้ ตามข้อ 5.3 (4) แต่เจ้าของข้อมูลให้ระงับการใช้แทน ทั้งนี้การประปานครหลวงจะปฏิเสธคำร้องขอดังกล่าว หากสามารถอ้างหลักฐานทางกฎหมายอื่นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

5.6.3

เมื่อไม่มีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้น แต่เจ้าของข้อมูลขอให้เก็บรักษาไว้ เพื่อการก่อตั้งสิทธิตามกฎหมายการปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

5.6.4

การประปานครหลวงอยู่ระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูล ตามสิทธิข้อ 5.7. 

5.7.

สิทธิในการคัดค้าน เจ้าของข้อมูลสามารถยื่นคำร้องขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังต่อไปนี้

5.7.1

เพื่อการปฏิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม ตามข้อ 3.3.3 และ 3.3.4 ทั้งนี้ การประปานครหลวงจะปฏิเสธ การคัดค้าน หากพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญกว่าหรือเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

5.7.2

เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ ทั้งนี้ การประปานครหลวงจะปฏิเสธการคัดค้านหากมีความจำเป็นในการดำเนินตามภารกิจ เพื่อประโยชน์สาธารณะของการประปานครหลวง 

โดยการประปานครหลวงจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้านการประปานครหลวงจะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนเมื่อเจ้าของข้อมูลได้แจ้งการคัดค้าน ให้การประปานครหลวงทราบ

5.8.

สิทธิการได้รับแจ้งข้อมูล เจ้าของข้อมูลมีสิทธิจะได้รับแจ้งข้อมูล กรณีที่การประปานครหลวงได้รับข้อมูลจากเจ้าของข้อมูลโดยตรง หรือได้รับจากบุคคลที่สาม ตามช่องทางสื่อสารของการประปานครหลวง 

5.9.

สิทธิในการร้องเรียน เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

ข้อ 6 ข้อสงวนสิทธิ


การประปานครหลวงขอสงวนสิทธิในการปฏิเสธคำร้องขอตามข้อ 5 กรณีดังต่อไปนี้

6.1.

กฎหมายกำหนดให้สามารถดำเนินการได้  

6.2.

ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อ หรือบอกลักษณะอันสามารถระบุตัวตนของเจ้าของข้อมูลได้           

6.3.

ผู้ยื่นคำร้องไม่มีหลักฐานยืนยันว่าเป็นเจ้าของข้อมูลหรือเป็นผู้มีอำนาจในการยื่นคำร้องขอ ดังกล่าว                       

6.4.

 คำร้องขอดังกล่าวไม่สมเหตุสมผล เช่น กรณีที่ผู้ร้องขอไม่มีสิทธิตามกฎหมาย หรือไม่มีข้อมูลส่วนบุคคลนั้นอยู่ที่การประปานครหลวง  เป็นต้น   

6.5.

คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย เช่น เป็นคำร้องขอที่มีลักษณะเดียวกันหรือเนื้อหาเดียวกันซ้ำ ๆ กันโดยไม่มีเหตุอันสมควร เป็นต้น

6.6.

การประปานครหลวงอาจกำหนดค่าใช้จ่ายในการดำเนินการตามคำร้องขอใช้สิทธิตามหลักเกณฑ์ที่การประปานครหลวงกำหนด

ข้อ 7 การเปิดเผยข้อมูลต่อสาธารณะ


7.1.

การประปานครหลวงจะปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมายและการดำเนินงานของการประปานครหลวง รวมถึงอาจปรับปรุงเพื่อให้สอดคล้องกับข้อเสนอแนะจากเจ้าของข้อมูล โดยการประปานครหลวงจะประกาศแจ้งให้ทราบอย่างชัดเจนก่อนเริ่มดำเนินการ หรืออาจส่งประกาศแจ้งเตือนให้เจ้าของข้อมูลทราบโดยตรงตาม ช่องทางการสื่อสารของการประปานครหลวง

7.2.

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยเกี่ยวกับนโยบายและแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ สามารถติดต่อ มายังการประปานครหลวง หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตามช่องทางดังนี้

อาคารสำนักงานใหญ่การประปานครหลวง
เลขที่ ๔๐๐ ถนนประชาชื่น แขวงทุ่งสองห้อง
เขตหลักสี่ กรุงเทพมหานคร ๑๐๒๑๐
เว็บไซต์ https://www.mwa.co.th
อีเมล์ mwadpo@mwa.co.th