กองทุนบำเหน็จบำนาญข้าราชการ (กบข.) ตระหนักและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้เช่าและผู้ใช้บริการของ อาคารบางกอกซิตี้ ทาวเวอร์ และอาคารจีพีเอฟ วิทยุ โดย กบข. มีความรับผิดชอบในการรักษาความปลอดภัยแก่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ภายใต้ความดูแลของ กบข. และมุ่งมั่นที่จะจัดการข้อมูลส่วนบุคคลดังกล่าวด้วยวิธีการที่มั่นคงปลอดภัย จึงจัดทำประกาศนี้ขึ้นเพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล รวมทั้งสิทธิของเจ้าของข้อมูลส่วนบุคคลในฐานะเจ้าของข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กบข. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่กำหนดไว้ในประกาศนี้

1. คำนิยาม

“อาคาร” หมายความว่า อาคารบางกอกซิตี้ ทาวเวอร์ และอาคารจีพีเอฟ วิทยุ

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ กบข.

“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า ผู้เช่าหรือผู้ใช้บริการของอาคาร

“ผู้เช่า” หมายความว่า บุคคลธรรมดาหรือนิติบุคคลที่ทำสัญญาเช่าหรือมีนิติสัมพันธ์อื่นใดกับ กบข. ที่เกี่ยวเนื่องกับการเช่าพื้นที่ของอาคาร ทั้งในฐานะผู้เช่า พนักงาน ลูกจ้าง ตัวแทน หรือบุคคลใด ๆ ที่มีอำนาจในการสร้างความสัมพันธ์ทางธุรกิจหรือดำเนินธุรกรรม และรวมถึงผู้รับจ้างของผู้เช่า

“ผู้ใช้บริการ” หมายความว่า บุคคลธรรมดาที่มาใช้บริการในพื้นที่อาคาร รวมถึงบุคคลธรรมดาที่มาติดต่อ กบข. ผู้เช่าหรือผู้ใช้บริการในอาคาร

“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การดำเนินการหรือชุดการดำเนินการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การปรับเปลี่ยน การกู้คืน การใช้ การเปิดเผยด้วย การส่ง การแพร่กระจาย หรือทำให้มีอยู่ การจัดวางให้ถูกตำแหน่ง การรวม การจำกัด การลบ และการทำลาย รวมถึงการอื่นใดที่ถูกควบคุมโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2. วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
• 2.1 วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เช่า

วัตถุประสงค์	ฐานกฎหมาย
(1) เพื่อใช้ในการติดต่อ ประสานงาน การให้บริการ และอำนวยความสะดวกแก่ผู้เช่า รวมถึงการติดต่อในกรณีเกิดเหตุฉุกเฉินของผู้เช่า	(1) ฐานการปฏิบัติตามสัญญา (Contract) (2) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(2) เพื่อการตลาด การสื่อสาร การเผยแพร่ และประชาสัมพันธ์ ข้อมูลข่าวสาร ข้อเสนอเกี่ยวกับการให้บริการต่าง ๆ ทั้งของอาคารและพันธมิตรทางธุรกิจ หรือเชิญเข้าร่วมกิจกรรมหรือบริการอื่น ๆ ให้ผู้เช่าทราบ	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานความยินยอม (Consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล
(3) เพื่อทำสัญญาและจัดการความสัมพันธ์ตามสัญญาของ กบข. กับเจ้าของข้อมูลส่วนบุคคล รวมถึงการดำเนินการในด้านต่าง ๆ เกี่ยวกับการเช่าหรือใช้พื้นที่ เช่น การตกแต่ง การปรับปรุงพื้นที่เช่าและพื้นที่ส่วนกลาง การนำของหรือทรัพย์สินเข้า-ออก การยื่นขอคืนเงินค้ำประกัน การใช้พื้นที่จอดรถของอาคาร การทำบัตรเข้า-ออกอาคาร การชำระค่าปรับกรณีบัตรหาย บัตรชำรุด การใช้พื้นที่วางระบบสัญญาณต่าง ๆ	ฐานการปฏิบัติตามสัญญา (Contract)
(4) เพื่อใช้ในการพิสูจน์และการยืนยันตัวตนเพื่อการลงทะเบียน การตรวจสอบ รวมถึงการยืนยันเพื่อการตรวจสอบการเข้า-ออกอาคารของผู้เช่า และผู้รับจ้างหรือผู้ให้บริการแก่ผู้เช่า	(1) ฐานการปฏิบัติตามสัญญา (Contract) (2) ฐานความยินยอม (consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล
(5) เพื่อประมวลผลธุรกรรมทางการเงินหรือการชำระเงิน และบริการที่เกี่ยวข้องกับการชำระเงิน การดำเนินการเกี่ยวกับเอกสารการรับเงิน การออกใบแจ้งหนี้ ใบกำกับภาษี ใบเสร็จรับเงิน การตรวจสอบธุรกรรม การยืนยัน การยกเลิก การคืนหลักทรัพย์ค้ำประกัน การเรียกเก็บค่าใช้จ่ายและค่าบริการ ต่าง ๆ และการจัดส่งเอกสารดังกล่าว	ฐานการปฏิบัติตามสัญญา (Contract)
(6) เพื่อตรวจสอบ เฝ้าระวัง และปกป้องความปลอดภัยจากการถูกโจรกรรม การทำร้าย การทำลายทรัพย์สิน หรืออาชญากรรมอื่น รวมถึงการใช้หรือเปิดเผยภาพที่บันทึกไว้เป็นหลักฐานเพื่อดำเนินคดี หรือหาตัวผู้กระทำความผิด หรือเพื่อให้ความช่วยเหลือในกระบวนการระงับข้อพิพาท หรือเปิดเผยตามอำนาจของเจ้าหน้าที่ของรัฐร้องขอ เช่น ภาพนิ่ง ภาพเคลื่อนไหว รวมถึงข้อมูลทรัพย์สิน (ยานพาหนะ) หรือข้อมูลส่วนบุคคลที่ปรากฏให้เห็นได้จากภาพเคลื่อนไหวที่บันทึกโดยกล้องโทรทัศน์วงจรปิด เมื่อมีการเข้ามาภายในพื้นที่ของ กบข.	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(7) เพื่อปฏิบัติให้เป็นไปตามกฎระเบียบ กฎหมาย เช่น การปฏิบัติตามข้อกำหนดหรือกระบวนการทางกฎ ระเบียบ กฎหมาย หรือคำสั่งของหน่วยงานของรัฐที่มีอำนาจและหน้าที่ตามกฎหมาย คำสั่งศาล หน่วยงานกำกับดูแล หน่วยงานบังคับใช้กฎหมาย หรือเจ้าพนักงานที่มีหน้าที่และอำนาจตามกฎหมาย เป็นต้น	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(8) เพื่อการปฏิบัติตามข้อบังคับของกฎหมายควบคุมอาคาร เช่น การอบรมดับเพลิง การฝึกซ้อมอพยพหนีไฟ	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(9) เพื่อการเรียกร้องค่าสินไหมทดแทนจากการละเมิดหรือการจัดการป้องกันการสูญเสียทรัพย์สิน	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(10) เพื่อประโยชน์ในการสำรวจ การวิเคราะห์ การประเมิน การจัดทำสถิติที่เกี่ยวข้องกับการพัฒนาบริการ การนำเสนอบริการ การสื่อสารประชาสัมพันธ์ต่าง ๆ ที่เหมาะสม	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานความยินยอม (Consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล
(11) เพื่อการจัดการความสัมพันธ์ เพื่ออำนวยความสะดวกในการใช้บริการ เพื่อบริหารจัดการคำขอ ข้อสอบถาม ข้อเสนอแนะ หรือข้อร้องเรียนที่เกี่ยวข้องกับการดำเนินงานหรือการให้บริการ รวมถึงการจัดการปัญหาที่เกิดขึ้นจากการดำเนินงาน	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(12) เพื่อการใช้งานระบบต่าง ๆ หรือบริการที่จำเป็นต้องมีการพิสูจน์และยืนยันตัวตน เช่น การลงทะเบียนสมัครใช้ระบบ	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(13) เพื่อกิจการภายในของ กบข. เช่น (ก) เพื่อการบริหารจัดการภายในองค์กร เช่น การวางแผน การรายงาน การกำกับตรวจสอบ การดำเนินการที่เกี่ยวข้องกับการเบิกจ่ายเงินของหน่วยบัญชีและการเงินของ กบข. โดยจะจำกัดการใช้หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น (ข) เพื่อใช้และเปิดเผยให้กับผู้ให้บริการเพื่อทำหน้าที่ต่าง ๆ หรือให้บริการบางอย่างในนามของ กบข. หรือผู้รับเหมาช่วงของผู้ให้บริการในบางกรณีตามที่ กบข. อนุญาต	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานการปฏิบัติตามกฎหมาย (legal Obligation)
(14) เพื่อการจัดเก็บข้อมูล Log ตามกฎหมายที่เกี่ยวข้อง การเฝ้าระวังเหตุการณ์ภัยคุกคามทางด้านความมั่นคงปลอดภัยไซเบอร์ การให้บริการและการแก้ไขปัญหาการใช้งานระบบโครงสร้างพื้นฐานสารสนเทศ	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)

• 2.2 วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ใช้บริการ หรือบุคคลอื่น ๆ ที่ กบข. ได้รับข้อมูลส่วนบุคคล

วัตถุประสงค์	ฐานกฎหมาย
(1) ข้อมูลเพื่อใช้ในการยืนยันตัวตน เช่น ชื่อ-นามสกุล หมายเลขบัตรประจำตัวประชาชน เอกสารข้อมูลระบุตัวตน	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(2) ข้อมูลเพื่อใช้ในการติดต่อ ประสานงาน การให้บริการ และการแจ้งข้อมูลต่าง ๆ เช่น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชนหรือหนังสือเดินทาง หมายเลขโทรศัพท์ ไปรษณีย์อิเล็กทรอนิกส์ ที่อยู่ ทะเบียนรถ ภาพถ่ายผู้ใช้บริการและทรัพย์สิน (ยานพาหนะ) เวลาเข้า-ออกอาคาร	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(3) ข้อมูลจากกล้องโทรทัศน์วงจรปิด เช่น ภาพนิ่งภาพเคลื่อนไหว รวมถึงข้อมูลทรัพย์สิน (ยานพาหนะ) หรือข้อมูลส่วนบุคคลที่ปรากฏให้เห็นได้จากภาพเคลื่อนไหวที่บันทึกโดยกล้องโทรทัศน์วงจรปิด เมื่อมีการเข้ามาภายในพื้นที่ของ กบข.	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานการปฏิบัติตามกฎหมาย (legal Obligation)
(4) เพื่อการจัดเก็บข้อมูล Log ตามกฎหมายที่เกี่ยวข้อง การเฝ้าระวังเหตุการณ์ภัยคุกคามทางด้านความมั่นคงปลอดภัยไซเบอร์ การให้บริการและการแก้ไขปัญหาการใช้งานระบบโครงสร้างพื้นฐานสารสนเทศ	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)

ข้อมูลส่วนบุคคลที่ กบข. เก็บรวบรวมเพื่อวัตถุประสงค์ดังกล่าวข้างต้นเป็นข้อมูลที่จำเป็นสำหรับการปฏิบัติงานของ กบข. หรือการปฏิบัติตามกฎหมายต่าง ๆ ที่ใช้บังคับกับ กบข. ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลที่จำเป็นดังกล่าว การปฏิบัติหน้าที่หรือให้บริการของกบข. อาจไม่บรรลุวัตถุประสงค์ตามความต้องการของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีที่ กบข. ประสงค์จะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ดังกล่าวข้างต้น กบข. จะแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลส่วนบุคคลทราบ เว้นแต่ในกรณีที่มีกฎหมายบัญญัติไว้ ทั้งนี้ หาก กบข. จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กบข. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเป็นรายกรณี นอกจากนี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลของบุคคลอื่นแก่ กบข. เจ้าของข้อมูลส่วนบุคคลจะต้องรับผิดชอบในการแจ้งให้บุคคลเหล่านั้นทราบถึงประกาศนี้ หรือดำเนินการขอความยินยอม (หากจำเป็น)

3. ข้อมูลส่วนบุคคลที่ กบข. เก็บรวบรวมและใช้

กบข. เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตามรายการดังต่อไปนี้

• 3.1 แหล่งข้อมูลและรายการข้อมูลส่วนบุคคลที่เก็บรวบรวม
1. การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• (ก).ข้อมูลส่วนบุคคลทั่วไป.เช่น.ชื่อ-นามสกุล.เลขบัตรประจำตัวประชาชนหรือหนังสือเดินทาง.ลายมือชื่อ.ภาพถ่าย.หรือภาพเคลื่อนไหว
• (ข) ข้อมูลเกี่ยวกับการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ หรือไปรษณีย์อิเล็กทรอนิกส์
• (ค) ข้อมูลทางการเงิน เช่น บัญชีธนาคาร (เลขที่บัญชี ชื่อบัญชี ประเภทบัญชี หรือชื่อธนาคาร) หนังสือรับรองการหักภาษี ณ ที่จ่าย เลขประจำตัวผู้เสียภาษี รวมถึงข้อมูลทรัพย์สิน (ยานพาหนะ) ที่เข้ามาภายในพื้นที่
• (ง) ข้อมูลจากการเข้าร่วมกิจกรรม เช่น ข้อมูลการลงทะเบียนอบรม ประชุม ข้อมูลการสำรวจความคิดเห็น รวมถึงข้อมูลภาพถ่ายหรือภาพเคลื่อนไหว หรือข้อมูลการบันทึกเสียงจากการเข้าร่วมงานหรือเข้าร่วมกิจกรรม
• (จ) ข้อมูลส่วนบุคคลอื่นใดที่เกี่ยวข้องกับการเช่าหรือการใช้บริการ เช่น ข้อมูลคำขอใช้บริการ
• (ฉ) ข้อมูลบุคคลภายนอกที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อ กบข. เป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้แจ้งและได้รับความยินยอมจากบุคคลดังกล่าวให้เปิดเผยแก่.กบข..รวมทั้งยินยอมให้.กบข..ประมวลผลข้อมูลส่วนบุคคลของบุคคลนั้นเพื่อวัตถุประสงค์ตามที่ระบุในประกาศนี้ เช่น ข้อมูลส่วนบุคคลทั่วไปของบุคคลในครอบครัว
• (ช) ข้อมูลส่วนบุคคลอื่นที่ได้รับความยินยอม เช่น ข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไว้ให้แก่ กบข. หรือข้อมูลส่วนบุคคลอ่อนไหว (ข้อมูลชีวภาพหรือข้อมูลชีวมิติ)
2. การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่น เช่น ข้อมูลส่วนบุคคลจากบุคคลที่สาม หรือแพลตฟอร์มของบุคคลที่สาม หรือแหล่งอื่น ๆ ที่เปิดเผยต่อสาธารณะ เช่น ชื่อ-นามสกุล หมายเลขโทรศัพท์ติดต่อ ไปรษณีย์อิเล็กทรอนิกส์ สถานที่ทำงาน ข้อมูลบนบัตรที่ออกโดยรัฐบาล (ข้อมูลบัตรประจำตัวประชาชน หรือหนังสือเดินทาง)
3. ข้อมูลที่เก็บจากอุปกรณ์ดิจิทัล รวมทั้งข้อมูลใด ๆ เกี่ยวกับระบบคอมพิวเตอร์หรืออุปกรณ์เทคโนโลยีที่เจ้าของข้อมูลส่วนบุคคลใช้เพื่อเข้าสู่ระบบช่องทางการให้บริการ เช่น เว็บไซต์ แอปพลิเคชัน หรือสื่อสังคมออนไลน์ที่ กบข. ใช้เป็นช่องทางในการให้บริการและติดต่อกับเจ้าของข้อมูลส่วนบุคคล โดยจะมีการรวบรวมข้อมูลเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลและกิจกรรมออนไลน์ของเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูลการใช้งานหรือเข้าสู่ระบบ
• 3.2 การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลอ่อนไหว

ในกรณีที่จำเป็น กบข. จะทำการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคลโดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือมีข้อยกเว้นในการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง กบข. จะใช้ความพยายามอย่างดีที่สุดในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอเพื่อปกป้องคุ้มครองข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ กบข. จะประมวลผลข้อมูลส่วนบุคคลอ่อนไหวดังกล่าวเพื่อวัตถุประสงค์ตามที่กฎหมายกำหนดไว้และตามวัตถุประสงค์ที่ กบข. แจ้งไว้

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ให้ทำการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว แต่ข้อมูลส่วนบุคคลอ่อนไหวดังกล่าวปรากฏอยู่บนบัตรประจำตัวประชาชนหรือเอกสารอื่นใดที่เจ้าของข้อมูลส่วนบุคคลได้สมัครใจเปิดเผยไว้ต่อ กบข. หรือส่งมอบข้อมูลใดที่ปรากฏข้อมูลส่วนบุคคลอ่อนไหวให้แก่ กบข. ไม่ว่าจะเป็นการส่งมอบในลักษณะที่เป็นเอกสารหรือสื่ออื่นใด กบข. แนะนำให้เจ้าของข้อมูลส่วนบุคคลเป็นผู้ปกปิดข้อมูลส่วนบุคคลอ่อนไหวเหล่านี้ด้วยตัวเอง โดยวิธีการขีดฆ่าข้อมูลส่วนบุคคลอ่อนไหว อย่างไรก็ตาม หากเจ้าของข้อมูลส่วนบุคคลมิได้ปกปิดข้อมูลด้วยตัวเอง กบข. ถือว่าเจ้าของข้อมูลส่วนบุคคลได้อนุญาตโดยชัดแจ้งให้ กบข. ทำการปกปิดข้อมูลส่วนบุคคลอ่อนไหวให้แก่เจ้าของข้อมูลส่วนบุคคล และให้ถือว่าข้อมูลส่วนบุคคลอ่อนไหวที่เจ้าของข้อมูลส่วนบุคคลส่งมอบมาและ กบข. ได้จัดการปกปิดข้อมูลส่วนบุคคลอ่อนไหวให้แล้วนั้น เป็นเอกสารที่สมบูรณ์ใช้บังคับได้ตามกฎหมายทุกประการ และ กบข. สามารถนำไปทำการประมวลผลได้ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ หากเป็นกรณีที่ กบข. ไม่สามารถจัดการปกปิดข้อมูลส่วนบุคคลอ่อนไหวให้ได้เนื่องด้วยปัญหาเชิงเทคนิคหรือปัญหาอื่นใด กบข. จะทำการจัดเก็บข้อมูลส่วนบุคคลอ่อนไหวนั้นเพื่อเป็นส่วนหนึ่งของเอกสารยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคลเท่านั้น

• 3.3 ข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ

ในกรณีที่ กบข. ทราบว่า ข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวมเป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ กบข. จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้พิทักษ์ หรือผู้อนุบาล ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนดดังต่อไปนี้

1. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา.27.แห่งประมวลกฎหมายแพ่งและพาณิชย์.การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวให้ดำเนินการดังต่อไปนี้
• (ก) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
• (ข) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
2. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ.การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว.ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
3. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ.การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว.ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

ในกรณีที่ กบข. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนเสมือนไร้ความสามารถหรือคนไร้ความสามารถ และมาพบในภายหลังว่า กบข. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าว โดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้พิทักษ์ หรือผู้อนุบาล ตามแต่กรณี กบข. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หาก กบข. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

4. การเปิดเผยข้อมูลส่วนบุคคล
• 4.1 กบข. เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อบุคคลภายนอกภายใต้วัตถุประสงค์ที่กำหนดหรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ดังต่อไปนี้
1. หน่วยงานภายใน กบข. และบริษัทในเครือ และให้หมายความรวมถึงเลขาธิการ พนักงาน หรือลูกจ้างของ กบข. และบริษัทในเครือเท่าที่เกี่ยวข้องและตามความจำเป็น (Need-to-Know Basis) เพื่อการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
2. หน่วยงานของรัฐหรือหน่วยงานที่มีหน้าที่กำกับดูแลตามกฎหมาย เช่น กฎหมายการควบคุมอาคาร กฎหมายภาษีอากร
3. หน่วยงานที่ร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือที่มีความเกี่ยวกับกระบวนการทางกฎหมาย
4. พันธมิตร ผู้ให้บริการ ที่ปรึกษา หรือผู้ที่เกี่ยวกับการปฏิบัติให้เป็นไปตามวัตถุประสงค์ และผู้ประมวลผลข้อมูลส่วนบุคคลที่ กบข. มอบหมายให้ทำหน้าที่รับผิดชอบให้บริการหรือบริหารจัดการเกี่ยวกับข้อมูลส่วนบุคคล.เพื่อให้ช่วยหรือสนับสนุนการดำเนินงานของ.กบข..ในการปฏิบัติหน้าที่ที่เกี่ยวกับ.กบข..หรือการให้บริการอื่นใดอันอาจเป็นประโยชน์ต่อเจ้าของข้อมูลส่วนบุคคล.โดยการเข้าถึงหรือจัดการข้อมูลส่วนบุคคลตามที่ได้รับอนุญาตจาก กบข. เท่านั้น
• 4.2 ในกรณีที่ กบข. เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลอื่น กบข. จะจัดให้มีมาตรการและดำเนินการตามมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผยและเพื่อปฏิบัติตามมาตรฐานและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
5. สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ในฐานะเจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิต่าง ๆ ที่เกี่ยวกับข้อมูลส่วนบุคคลของตนเองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

• 5.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึง รับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล รวมทั้งขอให้ กบข. เปิดเผยที่มาของข้อมูลส่วนบุคคลของตนที่ กบข. เก็บรวบรวมอยู่ เว้นแต่ในกรณีที่ กบข. มีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายหรือคำสั่งศาล หรือในกรณีที่คำขอของเจ้าของข้อมูลส่วนบุคคลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

• 5.2 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของตนที่ไม่ถูกต้อง ไม่ครบถ้วนสมบูรณ์ ไม่เป็นปัจจุบัน หรือก่อให้เกิดความเข้าใจผิด เพื่อให้ข้อมูลส่วนบุคคลของตนมีความถูกต้อง ครบถ้วน สมบูรณ์ เป็นปัจจุบัน หรือไม่ก่อให้เกิดความเข้าใจผิด โดย กบข. จะยืนยันความถูกต้องตามข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลดังกล่าวนั้นถูกต้องก่อนทำการแก้ไขข้อมูลส่วนบุคคล

• 5.3 สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะร้องขอให้ กบข. ลบข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองในกรณีที่เป็นไปตามเกณฑ์ดังต่อไปนี้

1. ข้อมูลส่วนบุคคลดังกล่าวไม่มีความจำเป็นตามวัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป
2. เจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอมและไม่มีมูลเหตุทางกฎหมายอื่นใดในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
3. ข้อมูลส่วนบุคคลดังกล่าวถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
• 5.4 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to Restrict Processing)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้

1. .เมื่ออยู่ในช่วงเวลาที่.กบข..ทำการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้แก้ไขข้อมูล.ส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
2. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
3. .เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่.กบข..ได้แจ้งไว้ในการเก็บรวบรวมข้อมูล.แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้.กบข..เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล
4. .เมื่ออยู่ในช่วงเวลาที่.กบข..กำลังพิสูจน์ให้เจ้าของข้อมูลส่วนบุคคลเห็นถึงเหตุอันชอบด้วยกฎหมาย.ในการเก็บรวบรวมข้อมูลส่วนบุคคล.หรือตรวจสอบความจำเป็นในการเก็บรวบรวม.ใช้.หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะอันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
• 5.5 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to Object)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนด้วยเหตุผลที่ชอบด้วยกฎหมายดังต่อไปนี้

1. .เพื่อดำเนินการตามภารกิจอันเป็นสาธารณประโยชน์หรือเพื่อการดำเนินการของหน่วยงานรัฐที่ได้รับสิทธิเป็นผู้ควบคุมข้อมูลส่วนบุคคลโดยสมบูรณ์
2. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

เมื่อมีการคัดค้านแล้ว กบข. จะต้องพิสูจน์ความชอบธรรมของเหตุผลอันเป็นฐานของการประมวลผลข้อมูลส่วนบุคคลดังกล่าว และระงับการประมวลผลข้อมูลส่วนบุคคลจนกว่าจะดำเนินการแล้วเสร็จ

• 5.6 สิทธิที่จะเพิกถอนความยินยอม (Right to Withdraw Consent)

ในกรณีที่ กบข. อาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับ กบข. ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่ในความครอบครองของ กบข. ทั้งนี้ การเพิกถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผลที่ให้ความยินยอมไปแล้ว

อย่างไรก็ตาม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเพิกถอนความยินยอม เจ้าของข้อมูลส่วนบุคคลอาจได้รับผลกระทบไม่สามารถรับบริการที่การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องอาศัยฐานความยินยอม

• 5.7 สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิดังต่อไปนี้

1. ขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
2. .ขอรับข้อมูลส่วนบุคคลที่ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง.เว้นแต่โดยสภาพทางเทคนิคไม่สามารถกระทำได้

ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลอื่นที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

• 5.8 สิทธิในการยื่นข้อร้องเรียน

หากเจ้าของข้อมูลส่วนบุคคลมีความกังวลหรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตนโดย กบข. โปรดติดต่อ กบข. ตามที่กำหนดไว้ในประกาศนี้ ในกรณีที่มีการฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้

กบข. จะใช้ความพยายามอย่างเต็มความสามารถเพื่ออำนวยความสะดวกและดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า เว้นแต่จะปรากฏข้อเท็จจริงว่าการดำเนินการตามคำร้องขอนั้นก่อให้เกิดภาระแก่ กบข. เกินสมควร หรือเสี่ยงต่อการละเมิดการคุ้มครองข้อมูลส่วนบุคคลของผู้อื่น หรือเป็นการขัดต่อกฎหมาย หรือกรณีที่เป็นการพ้นวิสัยในทางปฏิบัติตามคำร้องขอนั้น

6. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในกรณีที่ กบข. ส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ กบข. จะดำเนินการเพื่อให้แน่ใจว่า กบข. ได้ส่งหรือโอนไปยังประเทศปลายทาง องค์กรระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ในบางกรณี กบข. อาจขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลสำหรับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ทั้งนี้ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

1. เป็นการปฏิบัติตามกฎหมาย
2. .ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
3. .เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4. เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
5. .เพื่อป้องกันหรือระงับอันตรายต่อชีวิต.ร่างกาย.หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นเมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
6. เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

กบข. จะลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้น หรืออาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายหรือเก็บไว้เป็นระยะเวลาห้าปีนับแต่วันสิ้นสุดระยะเวลาบังคับคดี หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดของ กบข. และจะต้องทำลายข้อมูลส่วนบุคคลให้แล้วเสร็จภายในระยะเวลาหนึ่งปีนับแต่วันพ้นกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ กบข. อาจสงวนสิทธิในการพิจารณาจัดเก็บข้อมูลส่วนบุคคลต่อไปเท่าที่จำเป็นเพื่อประโยชน์ในการใช้อ้างอิง

8. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล

กบข. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลมีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และมีคุณภาพ รวมทั้งให้ความคุ้มครองและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ กบข. กำหนด เพื่อมิให้ข้อมูลส่วนบุคคลเกิดการรั่วไหลหรือการเข้าถึงโดยไม่ได้รับอนุญาตหรือถูกนำไปใช้โดยผู้ที่ไม่มีสิทธิหรือโดยมิชอบด้วยกฎหมาย

9. การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล

กบข. อาจเปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล โดยส่งคำร้องขอการใช้สิทธิผ่านช่องทางการติดต่อกับ กบข. หรือไปรษณีย์อิเล็กทรอนิกส์ ได้แก่ saraban@gpf.or.th

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด เช่น การแจ้งปรับปรุงแก้ไขข้อมูลส่วนบุคคล กบข. จะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย

กบข. อาจปฏิเสธคำขอการใช้สิทธิได้ตามกรณีที่มีกฎหมายกำหนดหรือในกรณีที่ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อหรือสิ่งบอกลักษณะอันสามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้

10. ความรับผิดชอบของบุคคลซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

กบข. ได้กำหนดให้เจ้าหน้าที่เฉพาะผู้ที่มีหน้าที่เกี่ยวข้องในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกิจกรรมการประมวลผลที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ โดย กบข. จะดำเนินการให้เจ้าหน้าที่ปฏิบัติตามประกาศนี้อย่างเคร่งครัด

11. การเปลี่ยนแปลงแก้ไขประกาศเกี่ยวกับความเป็นส่วนตัว

กบข. อาจพิจารณาแก้ไขเพิ่มเติมประกาศนี้ได้ตามที่เห็นสมควรและจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบผ่านช่องทางการติดต่อกับ กบข. ได้แก่ เว็บไซต์ (www.gpf.or.th) หรือช่องทางสื่อสารอื่น อย่างไรก็ตาม กบข. ขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบเพื่อรับทราบประกาศฉบับใหม่อย่างสม่ำเสมอ โดยเฉพาะก่อนที่เจ้าของข้อมูลส่วนบุคคลจะเปิดเผยข้อมูลส่วนบุคคลแก่ กบข.

ในการเข้าใช้งานระบบงานต่าง ๆ หรือบริการภายใต้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลถือเป็นการรับทราบตามข้อตกลงในประกาศนี้หรือประกาศฉบับใหม่ที่ กบข. ได้แก้ไขเพิ่มเติมในอนาคต ถ้าหากเจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับข้อตกลงในประกาศนี้หรือประกาศฉบับใหม่ เจ้าของข้อมูลส่วนบุคคลควรงดการเข้าใช้งานระบบงานต่าง ๆ หรือบริการภายใต้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของ กบข. ถ้าหากเจ้าของข้อมูลส่วนบุคคลยังคงใช้งานหรือใช้บริการต่อไปภายหลังจากที่ประกาศนี้มีการแก้ไขเพิ่มเติมและประกาศในช่องทางข้างต้นแล้ว จะถือว่าเจ้าของข้อมูลส่วนบุคคลได้รับทราบการเปลี่ยนแปลงดังกล่าวแล้ว

12. การติดต่อสอบถาม

เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อกับ กบข. ในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ตามข้อมูลดังต่อไปนี้

1. ผู้ควบคุมข้อมูลส่วนบุคคล
   กองทุนบำเหน็จบำนาญข้าราชการ (กบข.)
   เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500
   โทร. 0 2636 1000
   เว็บไซต์ : www.gpf.or.th
   หรือไปรษณีย์อิเล็กทรอนิกส์ : saraban@gpf.or.th
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
   กองทุนบำเหน็จบำนาญข้าราชการ (กบข.)
   เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500
   โทร. 0 2636 1000
   เว็บไซต์ : www.gpf.or.th
   หรือไปรษณีย์อิเล็กทรอนิกส์ :