กองทุนบำเหน็จบำนาญข้าราชการ (กบข.) ตระหนักและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของ “เลขาธิการ พนักงาน ลูกจ้าง และบุคคลในครอบครัว” โดย กบข. มีความรับผิดชอบในการรักษาความปลอดภัยแก่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ภายใต้ความดูแลของ กบข. และมุ่งมั่นที่จะจัดการข้อมูลส่วนบุคคลดังกล่าวด้วยวิธีการที่มั่นคงปลอดภัย ประกาศนี้จึงจัดทำขึ้นเพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล รวมทั้งสิทธิของเจ้าของข้อมูลส่วนบุคคลในฐานะเจ้าของข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กบข. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่กำหนดไว้ในประกาศนี้

1. คำนิยาม

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมทั้งข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ กบข.

“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า เลขาธิการ พนักงาน ลูกจ้าง และบุคคลในครอบครัว รวมทั้งบุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวกับกิจการด้านบริหารทรัพยากรบุคคล

“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การดำเนินการหรือชุดการดำเนินการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การปรับเปลี่ยน การกู้คืน การใช้ การเปิดเผยด้วยการส่ง การแพร่กระจาย หรือทำให้มีอยู่ การจัดวางให้ถูกตำแหน่ง การรวม การจำกัด การลบ และการทำลาย รวมทั้งการอื่นใดที่ถูกควบคุมโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2. วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
• 2.1 วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นเลขาธิการ พนักงานและลูกจ้าง

วัตถุประสงค์	ฐานกฎหมาย
(1) เพื่อบริหารจัดการเรื่องเงินเดือน ค่าตอบแทน กองทุนสำรองเลี้ยงชีพ การบริหารจัดการด้านภาษี รวมทั้งการสงเคราะห์และสวัสดิการ	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task)
(2) เพื่อการฝึกอบรมและพัฒนาความรู้ความสามารถของบุคลากร	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(3) เพื่อบริหารจัดการด้านการสงเคราะห์และสวัสดิการ เช่น การรักษาพยาบาล การประกันสุขภาพและประกันอุบัติเหตุ หรือการตรวจสุขภาพประจำปี	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task) (3) ฐานความยินยอม (Consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูลส่วนบุคคลอ่อนไหว
(4) เพื่อการสืบสวน สอบสวน การจัดการเรื่องร้องเรียนและข้อกล่าวหาภายในองค์กร การดำเนินการทางวินัย อุทธรณ์ ร้องทุกข์ การตรวจสอบ การป้องกันการทุจริต และการบริหารงานทรัพยากรบุคคลอื่นภายใต้กฎหมายและกฎเกณฑ์	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task)
(5) เพื่อใช้เป็นข้อมูลสำหรับการบริหารจัดการภายในองค์กร เช่น การวางแผน การบริหารความเสี่ยง การกำกับตรวจสอบ การเบิกจ่าย การมอบอำนาจหรือมอบหมายให้ปฏิบัติหน้าที่ตามภารกิจ การจัดซื้อจัดจ้าง การสำรวจความคิดเห็น การเข้าร่วมกิจกรรม หรือการติดต่อประสานงานในการปฏิบัติงาน	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task) (3) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(6) เพื่อใช้เป็นข้อมูลสำหรับการจัดซื้อจัดจ้างตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(7) เพื่อใช้เป็นข้อมูลสำหรับการกำกับตรวจสอบการเบิกจ่าย	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(8) เพื่อการใช้งานระบบสารสนเทศหรือการใช้บริการที่จำเป็นต้องมีการพิสูจน์และยืนยันตัวตน	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(9) เพื่อเผยแพร่ประชาสัมพันธ์ผ่านช่องทางการสื่อสารออนไลน์	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(10) เพื่อปฏิบัติตามกฎหมาย คำสั่งศาล คำสั่งของหน่วยงานหรือเจ้าพนักงานที่มีหน้าที่และอำนาจตามกฎหมาย	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(11) เพื่อบริหารจัดการด้านสุขภาพอนามัยและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคลหรือเพื่อปฏิบัติตามกฎหมายเกี่ยวกับประโยชน์ด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่ออันตราย โรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร	(1) ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) (2) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(12) เพื่อประโยชน์ในการศึกษาวิจัย สำรวจ วิเคราะห์ หรือการสถิติที่เกี่ยวกับการพัฒนากระบวนการปฏิบัติงาน สภาพแวดล้อมในการทำงาน รวมทั้งการบริหารจัดการที่เหมาะสมสำหรับบุคลากร	(1) ฐานภารกิจของรัฐ (Public Task) (2) ฐานเอกสารประวัติศาสตร์ จดหมายเหตุและการศึกษาวิจัยหรือสถิติ (Research) (3) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (4) ฐานความยินยอม (Consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูลส่วนบุคคลอ่อนไหว
(13) เพื่อบริหารจัดการคำขอของบุคลากร เช่น คำขอหนังสือรับรองเงินเดือน หรือหนังสือรับรองการทำงาน	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(14) เพื่อบริหารจัดการคำขอในกรณีจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญากับคู่สัญญาของเจ้าของข้อมูลส่วนบุคคล	ฐานความยินยอม (Consent)
(15) เพื่อใช้เป็นเอกสารหลักฐานทางกฎหมายหรือเพื่อประโยชน์ในการใช้อ้างอิง รวมทั้งเพื่อใช้ในกรณีมีการร้องขอ ฟ้องร้อง ดำเนินคดี บังคับคดี หรือเพื่อใช้ตามกระบวนการทางกฎหมายที่เกี่ยวข้อง ตลอดจนการก่อตั้ง ปฏิบัติตาม หรือใช้ยกขึ้นต่อสู้หรือใช้สิทธิเรียกร้องตามกฎหมาย	(1) ฐานประโยชน์อันชอบธรรม (Legitimate Interest) (2) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(16) เพื่อใช้สำหรับการจัดเก็บข้อมูล Log ตามกฎหมายที่เกี่ยวข้อง การเฝ้าระวังเหตุการณ์ภัยคุกคามทางด้านความมั่นคงปลอดภัยไซเบอร์ การให้บริการและการแก้ไขปัญหาการใช้งานระบบโครงสร้างพื้นฐาน	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task) (3) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(17) เพื่อการรักษาความปลอดภัยภายในบริเวณอาคาร สถานที่ หรือพื้นที่ภายในที่ต้องการมาตรการรักษาความปลอดภัยเป็นพิเศษ เช่น ศูนย์คอมพิวเตอร์ พื้นที่ปฏิบัติงานด้านการลงทุน	(1) ฐานภารกิจของรัฐ (Public Task) (2) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (3) ฐานความยินยอม (Consent)

• 2.2 วัตถุประสงค์และฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคลที่เป็นบุคคลในครอบครัวของเลขาธิการ พนักงานและลูกจ้าง

วัตถุประสงค์	ฐานกฎหมาย
(1) เพื่อบริหารจัดการเกี่ยวกับการสงเคราะห์และสวัสดิการที่จัดไว้ให้แก่บุคคลในครอบครัวของพนักงานหรือลูกจ้าง เช่น การรักษาพยาบาล การประกันสุขภาพและประกันอุบัติเหตุ	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานความยินยอม (Consent) เฉพาะในกรณีที่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล เช่น ข้อมูลส่วนบุคคลอ่อนไหว
(2) เพื่อใช้เป็นข้อมูลสำหรับการกำกับตรวจสอบเกี่ยวกับการปฏิบัติงาน	ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
(3) เพื่อวัตถุประสงค์ในการติดต่อเมื่อเกิดเหตุจำเป็นหรือฉุกเฉินในการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเลขาธิการ พนักงานและลูกจ้าง	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(4) เพื่อจัดทำสื่อเผยแพร่ประชาสัมพันธ์กิจกรรมหรือใช้ในการอ้างอิง	ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(5) เพื่อการใช้งานระบบสารสนเทศหรือการใช้บริการที่จำเป็นต้องมีการพิสูจน์และยืนยันตัวตน	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
(6) เพื่อใช้สำหรับการจัดเก็บข้อมูล Log ตามกฎหมายที่เกี่ยวข้อง การเฝ้าระวังเหตุการณ์ภัยคุกคามทางด้านความมั่นคงปลอดภัยไซเบอร์ การให้บริการและการแก้ไขปัญหาการใช้งานระบบโครงสร้างพื้นฐาน	(1) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) (2) ฐานภารกิจของรัฐ (Public Task) (3) ฐานประโยชน์อันชอบธรรม (Legitimate Interest)

ข้อมูลส่วนบุคคลที่ กบข. เก็บรวบรวมเพื่อวัตถุประสงค์ดังกล่าวข้างต้นเป็นข้อมูลที่จำเป็นสำหรับการปฏิบัติงานของ กบข. หรือการปฏิบัติตามกฎหมายต่าง ๆ ที่ใช้บังคับกับ กบข. ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคลที่จำเป็นดังกล่าวแก่ กบข. การปฏิบัติหน้าที่ตามภารกิจของ กบข. อาจไม่บรรลุวัตถุประสงค์ตามความต้องการของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีที่ กบข. ประสงค์จะประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ดังกล่าวข้างต้น กบข. จะดำเนินการแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลส่วนบุคคลทราบ เว้นแต่กรณีที่มีกฎหมายบัญญัติไว้ ทั้งนี้ หาก กบข. จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กบข. จะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเป็นรายกรณี นอกจากนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลของบุคคลอื่นแก่ กบข. เจ้าของข้อมูลส่วนบุคคลจะต้องรับผิดชอบในการแจ้งให้บุคคลเหล่านั้นทราบถึงประกาศนี้ และ/หรือดำเนินการขอความยินยอม (หากจำเป็น)

3. ข้อมูลส่วนบุคคลที่เก็บรวบรวมและใช้

กบข. เก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตามรายการดังต่อไปนี้

• 3.1 แหล่งข้อมูลและรายการข้อมูลส่วนบุคคลที่เก็บรวบรวม
1. การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• (ก) ข้อมูลส่วนบุคคลทั่วไป เช่น คำนำหน้าชื่อ ชื่อ-นามสกุล วันเดือนปีเกิด อายุ เพศ เลขบัตรประจำตัวประชาชน รูปถ่าย ลายมือชื่อ สัญชาติ หรือสถานภาพสมรส
• (ข) ข้อมูลเกี่ยวกับการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ ไปรษณีย์อิเล็กทรอนิกส์ Line ID หรือข้อมูลอื่นในลักษณะเดียวกัน
• (ค) ข้อมูลเกี่ยวกับการศึกษาหรือการฝึกอบรม เช่น ประวัติการศึกษา ชื่อสถาบัน คณะ สาขาวิชา ปีที่จบ ผลการศึกษา ผลการทดสอบ ประวัติการฝึกอบรม การฝึกงาน หรือใบรับรองคุณสมบัติและความสามารถอื่น
• (ง) ข้อมูลเกี่ยวกับประวัติการทำงาน เช่น ประสบการณ์ทำงาน ตำแหน่ง เงินเดือน ข้อมูลที่ปรากฏใน Resume ข้อมูลการสัมภาษณ์งาน หรือเอกสารหลักฐานประกอบการรับสมัครงาน
• (จ) ข้อมูลเกี่ยวกับผลประโยชน์ ค่าตอบแทน และสวัสดิการ เช่น เงินเดือน โบนัส ค่าตอบแทนอื่น เลขที่บัญชีธนาคาร ข้อมูลกองทุนสำรองเลี้ยงชีพ ข้อมูลผู้รับผลประโยชน์ ข้อมูลด้านภาษีอากรและการลดหย่อนภาษี ข้อมูลสิทธิประโยชน์เกี่ยวกับการเบิกจ่ายค่ารักษาพยาบาล ใบรับรองแพทย์หรือสุขภาพ
• (ฉ) ข้อมูลเกี่ยวกับความคิดเห็นหรือข้อเสนอแนะ เช่น รายงานการประชุม ข้อมูลการบันทึก ภาพและเสียงระหว่างการประชุม หรือการประชุมออนไลน์
• (ช) ข้อมูลในระหว่างปฏิบัติงาน เช่น รหัสพนักงาน ตำแหน่ง ฝ่ายงาน การประเมินผลการปฏิบัติงาน ข้อมูล การลงโทษทางวินัย ประวัติการทำงาน ข้อมูลเกี่ยวกับการเข้าร่วมกิจกรรม ใบลาออกและเหตุผลที่ลาออก หรือสาเหตุการพ้นสภาพการเป็นพนักงาน
• (ซ) ข้อมูลเกี่ยวกับการรักษาความมั่นคงปลอดภัย เช่น ข้อมูลการลงทะเบียนใช้บริการหรือเพื่อการใช้ระบบงานต่าง ๆ ของ กบข. ที่มีการดำเนินการตรวจสอบพิสูจน์และยืนยันตัวตน ข้อมูลบันทึกการใช้ระบบสารสนเทศ อินเทอร์เน็ต ไปรษณีย์อิเล็กทรอนิกส์ ข้อมูลเกี่ยวกับการเข้าออกสถานที่ทำงาน
• (ฌ) ข้อมูลบุคคลภายนอกที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยหรือข้อมูลที่ กบข. ได้จากบุคคลภายนอก เช่น ข้อมูลส่วนบุคคลอื่นซึ่งเจ้าของข้อมูลส่วนบุคคลรับรองต่อ กบข. ว่า เจ้าของข้อมูลส่วนบุคคลได้รับความยินยอมจากบุคคลดังกล่าวให้เปิดเผยข้อมูลแก่ กบข. รวมทั้งยินยอมให้ กบข. ประมวลผลข้อมูลส่วนบุคคลของบุคคลนั้น เพื่อวัตถุประสงค์ตามที่ระบุในประกาศนี้ เช่น ชื่อ นามสกุล อาชีพ สถานที่ทำงาน และหมายเลขโทรศัพท์ของคู่สมรส บุตร หรือบุคคลในครอบครัวที่ กบข. สามารถติดต่อในกรณีฉุกเฉิน หรือบุคคลที่เจ้าของข้อมูลส่วนบุคคลอ้างอิงเพื่อการตรวจสอบและรับรองการทำงาน รวมทั้งข้อมูลที่บุคคลภายนอกให้ไว้เกี่ยวกับรายละเอียดพฤติกรรมเกี่ยวกับพนักงานและลูกจ้าง
• (ญ) ข้อมูลบุคคลภายนอกที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยต่อ.กบข..เป็นข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้แจ้งและได้รับความยินยอมจากบุคคลดังกล่าวให้เปิดเผยแก่.กบข..รวมทั้งยินยอมให้.กบข..ประมวลผลข้อมูลส่วนบุคคลของบุคคลนั้น.เพื่อวัตถุประสงค์ตามที่ระบุในประกาศนี้ เช่น ชื่อ นามสกุล อาชีพ สถานที่ทำงาน และหมายเลขโทรศัพท์ของคู่สมรส บุตร หรือบุคคลในครอบครัวที่ กบข. สามารถติดต่อในกรณีฉุกเฉิน หรือบุคคลที่เจ้าของข้อมูลส่วนบุคคลอ้างอิงเพื่อการตรวจสอบและรับรองการทำงาน
• (ฎ).ข้อมูลส่วนบุคคลอื่นที่ได้รับความยินยอมในระหว่างการปฏิบัติงาน.เช่น.ข้อมูลเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล
• (ฏ) ข้อมูลอื่น เช่น ภาพนิ่งหรือภาพเคลื่อนไหว เสียง รวมทั้งข้อมูลอื่นใดที่ได้จากการเข้าร่วมกิจกรรมต่าง ๆ ข้อมูลเกี่ยวกับยานยนต์ (กรณีการนำยานพาหนะส่วนตัวเข้ามาจอดภายในพื้นที่อาคาร)
2. .การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากแหล่งอื่น.เช่น.ข้อมูลส่วนบุคคลทั่วไปจากผู้ให้บริการจัดหางาน ข้อมูลจากการตรวจสอบประวัติและคุณสมบัติในการทำงานเพื่อประกอบการตัดสินใจรับเข้าทำงาน.หรือข้อมูลการขอให้หักเงินเดือนเพื่อชำระเงินกู้จากสถาบันการเงินของพนักงาน
3. ข้อมูลที่เก็บจากอุปกรณ์ดิจิทัลซึ่งรวมไปถึงข้อมูลเกี่ยวกับระบบคอมพิวเตอร์หรืออุปกรณ์เทคโนโลยีที่เจ้าของข้อมูลส่วนบุคคล ใช้เพื่อเข้าสู่ระบบสารสนเทศสำหรับการปฏิบัติงาน เช่น ข้อมูลการบันทึกการใช้ระบบต่าง ๆ และอินเทอร์เน็ต หรือข้อมูลเกี่ยวกับการเข้าออกสถานที่ทำงาน
• 3.2 การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลอ่อนไหว

ในกรณีที่จำเป็น กบข. จะทำการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคลโดยได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือมีข้อยกเว้นในการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง กบข. จะใช้ความพยายามอย่างดีที่สุดในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ที่เพียงพอเพื่อปกป้องคุ้มครองข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ กบข. จะประมวลผลข้อมูลส่วนบุคคลอ่อนไหวดังกล่าวเพื่อวัตถุประสงค์ตามกฎหมายกำหนดไว้และตามวัตถุประสงค์ที่ กบข. แจ้งไว้ในกรณีดังต่อไปนี้

1. ข้อมูลสุขภาพ เช่น ใบรับรองแพทย์ ใบเบิกค่ารักษาพยาบาล หรือสวัสดิการรักษาพยาบาลอื่นตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
2. ข้อมูลชีวภาพ (Biometric Data) เช่น ข้อมูลจำลองลายนิ้วมือหรือภาพจำลองใบหน้าเพื่อบันทึกการเข้า และออกพื้นที่ที่ต้องการรักษาความมั่นคงปลอดภัยเป็นพิเศษ
3. .ข้อมูลเกี่ยวกับประวัติอาชญากรรมที่เก็บจากเอกสารที่เจ้าของข้อมูลส่วนบุคคลนำมาแสดง.หรือเจ้าของข้อมูลส่วนบุคคลยินยอมให้ตรวจสอบจากหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายเพื่อพิจารณาความเหมาะสมในการปฏิบัติงาน
4. ข้อมูลส่วนบุคคลอ่อนไหวอื่นตามวัตถุประสงค์อันชอบด้วยกฎหมาย เช่น เพื่อป้องกันหรือระงับอันตรายต่อชีวิต.หรือสุขภาพของบุคคลในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้.หรือใช้สิทธิเรียกร้องตามกฎหมาย.เพื่อบรรลุวัตถุประสงค์เกี่ยวกับสวัสดิการของเจ้าของข้อมูลส่วนบุคคล

ในกรณีที่ กบข. อาศัยความยินยอมในการประมวลผลข้อมูลส่วนบุคคล หากเจ้าของข้อมูลส่วนบุคคลไม่มีความประสงค์ให้ กบข. เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถปฏิเสธการประมวลผลได้ในการขอความยินยอมในครั้งนั้น ๆ หรือแจ้งเพิกถอนความยินยอมในภายหลังได้ตลอดเวลาโดยติดต่อได้ที่ฝ่ายบริหารทรัพยากรบุคคล กบข.

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ประสงค์ให้ทำการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว แต่ข้อมูลส่วนบุคคลอ่อนไหวดังกล่าวปรากฏอยู่บนบัตรประจำตัวประชาชนหรือเอกสารอื่นใดที่เจ้าของข้อมูลส่วนบุคคลได้สมัครใจเปิดเผยไว้ต่อ กบข. หรือส่งมอบข้อมูลใดที่ปรากฏข้อมูลส่วนบุคคลอ่อนไหวให้แก่ กบข. ไม่ว่าจะเป็นการส่งมอบข้อมูลในลักษณะเป็นเอกสารหรือสื่ออื่นใด กบข. แนะนำให้เจ้าของข้อมูลส่วนบุคคลเป็นผู้ปกปิดข้อมูลส่วนบุคคลอ่อนไหวเหล่านี้ด้วยตัวเอง โดยวิธีการขีดฆ่าข้อมูลส่วนบุคคลอ่อนไหว อย่างไรก็ตาม หากเจ้าของข้อมูลส่วนบุคคลมิได้ปกปิดข้อมูลด้วยตัวเอง กบข. ถือว่าเจ้าของข้อมูลส่วนบุคคลได้อนุญาตโดยชัดแจ้งให้ กบข. ทำการปกปิดข้อมูลส่วนบุคคลอ่อนไหว ให้แก่เจ้าของข้อมูลส่วนบุคคล และให้ถือว่าข้อมูลส่วนบุคคลอ่อนไหวที่เจ้าของข้อมูลส่วนบุคคลส่งมอบมาและ กบข. ได้จัดการปกปิดข้อมูลส่วนบุคคลอ่อนไหวแล้วนั้น เป็นเอกสารที่สมบูรณ์ใช้บังคับได้ตามกฎหมายทุกประการ และให้ กบข. สามารถนำไปประมวลผลได้ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ หากเป็นกรณีที่ กบข. ไม่สามารถจัดการปกปิดข้อมูลส่วนบุคคลอ่อนไหวให้ได้เนื่องด้วยปัญหาเชิงเทคนิคหรือปัญหาอื่นใด กบข. จะทำการจัดเก็บข้อมูลส่วนบุคคลอ่อนไหวนี้เพื่อเป็นส่วนหนึ่งของเอกสารยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคลเท่านั้น

• 3.3 ข้อมูลส่วนบุคคลของผู้เยาว์ คนเสมือนไร้ความสามารถ และคนไร้ความสามารถ

ในกรณีที่ กบข. ทราบว่า ข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวมเป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนเสมือนไร้ความสามารถ หรือคนไร้ความสามารถ กบข. จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้พิทักษ์ หรือผู้อนุบาลแล้วแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนดดังต่อไปนี้

1. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคล ซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวให้ดำเนินการดังต่อไปนี้
• (ก) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
• (ข) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
2. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ.การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว.ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
3. .ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ.การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว.ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ

ในกรณีที่ กบข. ไม่ทราบมาก่อนว่า เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนเสมือนไร้ความสามารถหรือคนไร้ความสามารถ และมาพบในภายหลังว่า กบข. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าว โดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้พิทักษ์ หรือผู้อนุบาล แล้วแต่กรณี กบข. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หาก กบข. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

4. การเปิดเผยข้อมูลส่วนบุคคล
• 4.1 กบข. เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อหน่วยงานของรัฐ หรือนิติบุคคล หรือบุคคล โดยจะดำเนินการภายใต้วัตถุประสงค์ที่กำหนดหรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ดังต่อไปนี้
1. หน่วยงานภายใน กบข. และบริษัทในเครือของ กบข. ซึ่งหมายความรวมถึงเลขาธิการ พนักงาน หรือลูกจ้างของ กบข. เท่าที่เกี่ยวข้องและตามความจำเป็น (Need-to-Know Basis) เพื่อการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
2. หน่วยงานของรัฐหรือหน่วยงานที่มีหน้าที่กำกับดูแลตามกฎหมาย เช่น สำนักงานการตรวจเงินแผ่นดิน
3. .หน่วยงานที่ร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย.เช่น.กรมสรรพากร.หรือการร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมายหรือที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย
4. พันธมิตร ผู้ให้บริการ ที่ปรึกษา และผู้ประมวลผลข้อมูลส่วนบุคคลที่ กบข. มอบหมายให้ทำหน้าที่ดูแลรับผิดชอบให้บริการ หรือบริหารจัดการเกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้ช่วยหรือสนับสนุนการดำเนินงานของ กบข. ในการปฏิบัติหน้าที่ที่เกี่ยวข้องกับ กบข. เช่น ด้านการพัฒนาปรับปรุง หรือดูแลรักษามาตรฐานความมั่นคงปลอดภัยของระบบงานและระบบเทคโนโลยีสารสนเทศ หรือการให้บริการอื่นใดอันอาจเป็นประโยชน์ต่อเจ้าของข้อมูลส่วนบุคคล โดยการเข้าถึงหรือจัดการข้อมูลส่วนบุคคลตามที่ได้รับอนุญาตจาก กบข. เท่านั้น เช่น ธนาคาร (เพื่อการจ่ายเงินเดือนและสินเชื่อของธนาคาร) บริษัทหลักทรัพย์จัดการกองทุนรวม (เพื่อการจัดการกองทุนสำรองเลี้ยงชีพ) บริษัทประกันภัย (เพื่อการประกันสุขภาพและอุบัติเหตุ) โรงพยาบาล (เพื่อการตรวจสุขภาพและรักษาพยาบาล)
• 4.2 ในกรณีที่ กบข. เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลอื่น กบข. จะจัดให้มีมาตรการและดำเนินการตามมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผยและเพื่อปฏิบัติตามมาตรฐาน และหน้าที่การคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
5. สิทธิตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ในฐานะเจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

• 5.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึง รับสำเนาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล รวมทั้งขอให้ กบข. เปิดเผยที่มาของข้อมูลส่วนบุคคลของตนที่ กบข. เก็บรวบรวมอยู่ เว้นแต่กรณีที่ กบข. มีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย หรือคำสั่งศาล หรือในกรณีที่คำขอของเจ้าของข้อมูลส่วนบุคคลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

• 5.2 สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอแก้ไขข้อมูลส่วนบุคคลของตนที่ไม่ถูกต้อง ไม่ครบถ้วนสมบูรณ์ ไม่เป็นปัจจุบัน หรือก่อให้เกิดความเข้าใจผิด เพื่อให้ข้อมูลส่วนบุคคลของตนมีความถูกต้อง ครบถ้วน สมบูรณ์ เป็นปัจจุบัน หรือไม่ก่อให้เกิดความเข้าใจผิด โดย กบข. จะยืนยันความถูกต้องของข้อมูลส่วนบุคคลที่ได้รับจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลดังกล่าวนั้นถูกต้องก่อนทำการแก้ไขข้อมูลส่วนบุคคล

• 5.3 สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะร้องขอให้ กบข. ลบข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเองในกรณีที่เป็นไปตามเกณฑ์ดังต่อไปนี้

1. ข้อมูลส่วนบุคคลดังกล่าวไม่มีความจำเป็นตามวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป
2. เจ้าของข้อมูลส่วนบุคคลได้เพิกถอนความยินยอมและไม่มีมูลเหตุทางกฎหมายอื่นใดในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
3. ข้อมูลส่วนบุคคลดังกล่าวถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
• 5.4 สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to Restrict Processing)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้

1. .เมื่ออยู่ในช่วงเวลาที่.กบข..ทำการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้แก้ไขข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน
2. ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
3. .เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่.กบข..ได้แจ้งไว้ในการเก็บรวบรวมข้อมูล.แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้.กบข..เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล
4. เมื่ออยู่ในช่วงเวลาที่ กบข. กำลังพิสูจน์ให้เจ้าของข้อมูลส่วนบุคคลเห็นถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• 5.5 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to Object)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนด้วยเหตุผลที่ชอบด้วยทางกฎหมายดังต่อไปนี้

1. .เพื่อดำเนินการตามภารกิจอันเป็นสาธารณประโยชน์หรือเพื่อการดำเนินการของหน่วยงานรัฐที่ได้รับสิทธิเป็นผู้ควบคุมข้อมูลส่วนบุคคลโดยสมบูรณ์
2. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

เมื่อมีการคัดค้านแล้ว กบข. จะต้องพิสูจน์ความชอบธรรมของเหตุผลอันเป็นฐานของการประมวลผลข้อมูลส่วนบุคคลดังกล่าว และระงับการประมวลผลข้อมูลส่วนบุคคลจนกว่าจะดำเนินการแล้วเสร็จ

• 5.6 สิทธิที่จะเพิกถอนความยินยอม (Right to Withdraw Consent)

ในกรณีที่ กบข. อาศัยความยินยอมในการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมกับ กบข. ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอยู่ในความครอบครองของ กบข. ทั้งนี้ การเพิกถอนความยินยอมไม่ส่งผลกระทบต่อการประมวลผลที่ให้ความยินยอมไปแล้ว

อย่างไรก็ตาม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเพิกถอนความยินยอมเจ้าของข้อมูลส่วนบุคคล อาจได้รับผลกระทบไม่สามารถรับบริการที่การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องอาศัยฐานความยินยอม

• 5.7 สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability)

เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิดังต่อไปนี้

1. ขอให้ส่งหรือโอนข้อมูลส่วนบุคคลของตนในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
2. .ขอรับข้อมูลส่วนบุคคลที่ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง.เว้นแต่โดยสภาพทางเทคนิคไม่สามารถกระทำได้

ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลอื่นที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

• 5.8 สิทธิในการยื่นข้อร้องเรียน

หากเจ้าของข้อมูลส่วนบุคคลมีความกังวลหรือมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตนโดย กบข. โปรดติดต่อ กบข. ตามที่กำหนดไว้ในประกาศนี้ ในกรณีที่มีการฝ่าฝืนกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้

กบข. จะใช้ความพยายามอย่างเต็มความสามารถเพื่ออำนวยความสะดวกและดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้า เว้นแต่จะปรากฏข้อเท็จจริงว่าการดำเนินการตามคำร้องขอนั้นก่อให้เกิดภาระแก่ กบข. เกินสมควร หรือเสี่ยงต่อการละเมิดการคุ้มครองข้อมูลส่วนบุคคลของผู้อื่น หรือเป็นการขัดต่อกฎหมาย หรือกรณีที่เป็นการพ้นวิสัยในทางปฏิบัติตามคำร้องขอนั้น

6. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ในกรณีที่ กบข. ส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ กบข. จะดำเนินการเพื่อทำให้แน่ใจว่า กบข. ได้ส่งหรือโอนไปยังประเทศปลายทาง องค์การระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ในบางกรณี กบข. อาจขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ทั้งนี้ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้

1. เป็นการปฏิบัติตามกฎหมาย
2. .ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
3. .เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการ ตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4. เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
5. .เพื่อป้องกันหรือระงับอันตรายต่อชีวิต.ร่างกาย.หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น.เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
6. เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
7. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

กบข. จะลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ เมื่อข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้น หรือถูกจัดเก็บข้อมูลมาเป็นเวลาสิบปีนับแต่วันที่เลขาธิการ พนักงาน หรือลูกจ้างของกองทุนพ้นจากการเป็นเลขาธิการ พนักงาน หรือลูกจ้างของกองทุน และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย หรือเก็บไว้เป็นระยะเวลาห้าปีนับแต่วันสิ้นสุดระยะเวลาบังคับคดี และจะต้องทำลายข้อมูลส่วนบุคคลให้แล้วเสร็จภายในระยะเวลาหนึ่งปีนับแต่วันพ้นกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ทั้งนี้ กบข. อาจสงวนสิทธิ์ในการพิจารณาจัดเก็บข้อมูลส่วนบุคคลต่อไปเท่าที่จำเป็นเพื่อประโยชน์ในการใช้อ้างอิง

ในกรณีข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเพื่อวัตถุประสงค์การพิจารณารับบุคคลเข้าทำงาน การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลที่จะให้ดำรงตำแหน่งจะเก็บไว้ไม่เกินหกเดือนนับแต่วันที่การดำเนินการดังกล่าวเสร็จสิ้นสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละราย เว้นแต่จะได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่นหรือมีบทบัญญัติแห่งกฎหมายบัญญัติไว้เป็นการเฉพาะ

8. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล

กบข. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลมีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และมีคุณภาพ รวมทั้งให้การคุ้มครองและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ กบข. กำหนด เพื่อมิให้ข้อมูลส่วนบุคคลเกิดการรั่วไหลหรือการเข้าถึงโดยไม่ได้รับอนุญาตหรือถูกนำไปใช้โดยผู้ที่ไม่มีสิทธิหรือโดยมิชอบด้วยกฎหมาย

9. การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล

กบข. อาจเปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล โดยส่งคำร้องขอการใช้สิทธิผ่านช่องทางการติดต่อกับ กบข. หรือทางไปรษณีย์อิเล็กทรอนิกส์ ได้แก่ saraban@gpf.or.th

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด ๆ เช่น การแจ้งปรับปรุงแก้ไขข้อมูลส่วนบุคคล กบข. จะดำเนินการบันทึกหลักฐานคำคัดค้านดังกล่าวไว้เป็นหลักฐานด้วย

กบข. อาจปฏิเสธคำขอการใช้สิทธิได้ตามกรณีที่มีกฎหมายกำหนด หรือในกรณีที่ข้อมูลส่วนบุคคลถูกทำให้ไม่ปรากฏชื่อหรือสิ่งบอกลักษณะอันสามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้

10. ความรับผิดชอบของบุคคลซึ่งประมวลผลข้อมูลส่วนบุคคล

กบข. ได้กำหนดให้เจ้าหน้าที่เฉพาะผู้ที่มีหน้าที่เกี่ยวข้องในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกิจกรรมการประมวลผล ที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ โดย กบข. จะดำเนินการให้เจ้าหน้าที่ปฏิบัติตามประกาศนี้อย่างเคร่งครัด

11. การเปลี่ยนแปลงแก้ไขประกาศเกี่ยวกับความเป็นส่วนตัว

กบข. อาจพิจารณาแก้ไขเปลี่ยนแปลงตามที่เห็นสมควรและจะทำการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบผ่านช่องทางการติดต่อกับ กบข. ได้แก่ เว็บไซต์ (www.gpf.or.th) หรือช่องทางสื่อสารอื่น อย่างไรก็ตาม กบข. ขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลโปรดตรวจสอบเพื่อรับทราบประกาศฉบับใหม่อย่างสม่ำเสมอ โดยเฉพาะก่อนที่เจ้าของข้อมูลส่วนบุคคลจะเปิดเผยข้อมูลส่วนบุคคลแก่ กบข.

ในการเข้าใช้งานระบบงานต่าง ๆ หรือบริการภายใต้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลถือเป็นการรับทราบตามข้อตกลงในประกาศนี้หรือประกาศฉบับใหม่ที่ กบข. ได้แก้ไขเเพิ่มเติมในอนาคต ถ้าหากเจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับข้อตกลงในประกาศนี้หรือประกาศฉบับใหม่ เจ้าของข้อมูลส่วนบุคคลควรงดการเข้าใช้งานระบบงานต่าง ๆ หรือบริการภายใต้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของ กบข. ถ้าหากเจ้าของข้อมูลส่วนบุคคลยังคงใช้งานหรือใช้บริการต่อไปภายหลังจากที่ประกาศนี้มีการแก้ไขและประกาศในช่องทางข้างต้นแล้ว จะถือว่าเจ้าของข้อมูลส่วนบุคคลได้รับทราบการเปลี่ยนแปลงดังกล่าวแล้ว

12. การติดต่อสอบถาม

เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อกับ กบข. ในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ตามข้อมูลดังต่อไปนี้

1. ผู้ควบคุมข้อมูลส่วนบุคคล
   กองทุนบำเหน็จบำนาญข้าราชการ (กบข.)
   เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500
   โทร. 0 2636 1000
   เว็บไซต์ : www.gpf.or.th
   หรือไปรษณีย์อิเล็กทรอนิกส์ : saraban@gpf.or.th
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
   กองทุนบำเหน็จบำนาญข้าราชการ (กบข.)
   เลขที่ 990 อาคารอับดุลราฮิม เพลส ถนนพระราม 4 แขวงสีลม เขตบางรัก กรุงเทพมหานคร 10500
   โทร. 0 2636 1000
   เว็บไซต์ : www.gpf.or.th
   หรือไปรษณีย์อิเล็กทรอนิกส์ :