การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย

MASS RAPID TRANSIT AUTHORITY OF THAILAND

รัฐวิสาหกิจภายใต้กำกับของรัฐมนตรีว่าการกระทรวงคมนาคม

A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT 

ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย

เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2568

_________________________________________

ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 ประกอบกับข้อ 4 และข้อ 5 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ตระหนักและให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม. จึงเห็นสมควรปรับปรุงประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ลงวันที่ 25 ธันวาคม 2566 โดยอาศัยอำนาจตามความในมาตรา 24 วรรคหนึ่ง แห่งพระราชบัญญัติการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย พ.ศ. 2543 ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย จึงออกประกาศไว้ดังต่อไปนี้

ข้อ 1 ประกาศนี้เรียกว่า “ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2568”

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 7 วัน นับถัดจากวันที่ประกาศเป็นต้นไป

ข้อ 3 ให้ยกเลิกประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ลงวันที่ 25 ธันวาคม 2566

ข้อ 4 หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล

รฟม. จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

(1) เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)

(2) เก็บรวบรวมข้อมูลส่วนบุคคลด้วยวิธีการที่ชอบด้วยกฎหมาย และจัดเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ในการดำเนินงาน และตามที่กฎหมายกำหนดเท่านั้น (Purpose Limitation) โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนดให้สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม

(3) เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย (Data Minimization)

(4) ทำให้ข้อมูลส่วนบุคคลมีความถูกต้องและเป็นปัจจุบัน พร้อมใช้งาน รวมถึงต้องมีการดำเนินการเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่ไม่ถูกต้องจะได้รับการปรับปรุงแก้ไข (Accuracy)

(5) ประมวลผลข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคล (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว

(6) การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมายและป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)

ข้อ 5 ขอบเขตการบังคับใช้

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของ รฟม. สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ รฟม. จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิม

ข้อ 6 หลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล

รฟม. จะประมวลผลข้อมูลส่วนบุคคลโดยปฏิบัติตามหลักการสำคัญในการประมวลผลข้อมูลส่วนบุคคล ดังนี้

(1) ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล

(2) ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล เว้นแต่กรณีดังต่อไปนี้ สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม

      (ก) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวข้องกับการศึกษาวิจัย หรือสถิติ

      (ข) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

      (ค) เพื่อปฏิบัติตามกฎหมาย

      (ง) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา

      (จ) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

      (ฉ) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(3) ไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว รวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้ง หรือได้รับยกเว้นตามที่กฎหมายกำหนด

(4) ไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่น เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลโดยทำหนังสือให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร หรือกรณีตามมาตรา 80 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามมาตรา 24 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540

ข้อ 7 บทกำหนดโทษ

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือผู้มีอำนาจหน้าที่รับผิดชอบในการดำเนินงานเรื่องใดเรื่องหนึ่งตามหน้าที่ของตน หากละเลยหรือละเว้นไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล อาจมีผลให้ได้รับโทษทางวินัยตามระเบียบของ รฟม. และอาจได้รับโทษที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ หรือคำสั่งที่เกี่ยวข้อง

ข้อ 8 ช่องทางการติดต่อ

หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของ รฟม. หรือเกี่ยวกับนโยบายนี้ หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถติดต่อสอบถามได้ที่

(1) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

     การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) 

     175 ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310

     หมายเลขโทรศัพท์ 0 2716 4000

     ช่องทางการติดต่อ saraban@mrta.co.th

(2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

     คณะกรรมการเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

     175 ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310

     หมายเลขโทรศัพท์ 0 2716 4000

     ช่องทางการติดต่อ saraban@mrta.co.th

ข้อ 9 แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของ รฟม.

แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของ รฟม. มีรายละเอียดตามเอกสารแนบท้ายประกาศ ประกอบด้วย

หมวด 1 แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคล

หมวด 2 แนวปฏิบัติสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล

ประกาศ    ณ    วันที่     21     กรกฎาคม    พ.ศ. 2568    

Download เอกสาร