1. บทนำ

           ศูนย์มานุษยวิทยาสิรินธร (องค์การมหาชน) (ต่อไปในนโยบายนี้เรียกว่า “ศมส.” หรือ “องค์กร”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลของท่าน (ต่อไปในนโยบายนี้เรียกว่า “ท่าน” หรือ “เจ้าของข้อมูลส่วนบุคคล”) เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่าศมส. มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย ศมส. รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของ ศมส. โดยมีเนื้อหาสาระดังต่อไปนี้

2. ขอบเขตการบังคับใช้นโยบาย

           นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งมีปฏิสัมพันธ์หรือติดต่อกับ ศมส. ในปัจจุบันและที่อาจมีในอนาคต ซึ่ง ศมส. อาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงหรือจากแหล่งอื่นตามเงื่อนไขที่กฎหมายกำหนด และข้อมูลส่วนบุคคลนั้นอาจถูกประมวลผลโดยพนักงาน เจ้าหน้าที่ หน่วยธุรกิจ หรือหน่วยงานรูปแบบอื่นใดของ ศมส. หรือโดยคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลแทนหรือในนามของ ศมส. (ต่อไปนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล”)

           เจ้าของข้อมูลส่วนบุคคลตามความในย่อหน้าแรก รวมถึงแต่ไม่จำกัดเพียง

                      1. ผู้ใช้บริการ ผู้เยี่ยมชม

                      2. ผู้เข้าชมหรือใช้งานเว็บไซต์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดย ศมส.

                      3. ผู้เข้าร่วมประชุม สัมมนา หรือกิจกรรม

                      4. ผู้ตอบแบบสำรวจ แบบสอบถาม รวมถึงผู้ร้องเรียน

                      5. แขกเชิญของศมส.

           ข้อ 1 – 5 เรียกรวมกันว่า “ท่าน”

           นอกจากนโยบายฉบับนี้แล้ว ศมส. อาจกําหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สําหรับกิจกรรมการประมวลผลที่เฉพาะเจาะจง เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผล ระยะเวลาในการประมวลผลและเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรมการประมวลผลนั้น ๆ เป็นการเฉพาะเจาะจง

3. คำนิยาม

           3.1 “ข้อมูลส่วนบุคคล” ในประกาศความเป็นส่วนตัวฉบับนี้ หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงแต่ไม่จำกัดเพียง ชื่อ-นามสกุล ข้อมูลการติดต่อ ข้อมูลส่วนตัว ข้อมูลที่ได้จากอุปกรณ์อิเล็กทรอนิกส์ ภาพถ่าย เลขประจำตัว หรือเลขที่อ้างอิงอื่นใดที่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ โดยข้อมูลส่วนบุคคลดังกล่าวอาจเก็บได้ในหลายรูปแบบ เช่น ในรูปแบบเอกสารที่เป็นกระดาษ ในรูปแบบอิเล็กทรอนิกส์ หรือในระบบสารสนเทศ

           ทั้งนี้ ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งไม่อยู่ในนิยามของ “ข้อมูลส่วนบุคคล” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

           3.2 “ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่ง พ.ร.บ.ฯ ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ อาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทํานองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด

           3.3 “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นเชื่อมโยงไปถึง

           3.4 “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก ทําสําเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน ลบ ทําลาย

           3.5 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในนโยบายฉบับนี้ให้หมายความถึง ศมส.

           3.6 “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดําเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการประมวลผลนั้น ๆ

4. หลักการคุ้มครองข้อมูลส่วนบุคคล

           ศมส. จะปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้

           4.1 หลักความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness and Transparency)

           ศมส. จะประมวลผลข้อมูลส่วนบุคคลโดยมีฐานทางกฎหมาย และมีการแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผล ระยะเวลาในการประมวลผลและเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิที่เจ้าของข้อมูลส่วนบุคคลพึงมี

           4.2 หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

           ศมส. จะประมวลผลข้อมูลส่วนบุคคลภายใต้ขอบเขต และวัตถุประสงค์ ศมส. กำหนด และได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้ว ศมส. จะไม่ประมวลผลข้อมูลส่วนบุคคลแตกต่างจากวัตถุประสงค์ที่ได้แจ้งไว้ เว้นแต่จะได้แจ้งวัตถุประสงค์ใหม่ และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว หรือมีกฎหมายบัญญัติให้กระทำได้

           4.3 หลักการเก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization)

           ศมส. จะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย

           4.4 หลักความถูกต้องครบถ้วน (Accuracy)

           ศมส. จะทำให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมีความครบถ้วน ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

           4.5 หลักการเก็บรักษาข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา (Storage Limitation)

           ศมส. มีการกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล และจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นระยะเวลาเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ ยกเว้นกรณีที่มีกฎหมายกำหนดให้ต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นไว้ต่อ

           4.6 หลักการรักษาความถูกต้องครบถ้วนและการรักษาความลับของข้อมูลส่วนบุคคล(Integrity and Confidentiality)

           ศมส. จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

           4.7 หลักความรับผิดชอบ (Accountabillity)

           ศมส. มีความรับผิดชอบต่อข้อมูลส่วนบุคคลและจะดำเนินการตามหลักการในข้อ1 – 6 อย่างเคร่งครัด

5. ประเภทและข้อมูลส่วนบุคคลที่มีการประมวลผล

6. แหล่งที่มาของข้อมูลส่วนบุคคลที่ ศมส. เก็บรวบรวม

           ศมส. เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้

           6.1 เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงผ่านการติดต่อแบบต่อหน้า หรือผ่านช่องทางต่าง ๆ เช่น การสมัคร การลงทะเบียน การลงนามในสัญญาหรือเอกสาร การทำแบบสำรวจ การใช้งานผลิตภัณฑ์หรือบริการ การใช้งานเว็บไซต์ของ ศมส. โดยใช้คุกกี้ (Cookies) หรือซอฟต์แวร์บนอุปกรณ์ของท่าน รวมถึงช่องทางอื่น ๆ ที่ ศมส. ควบคุมดูแล

           6.2 เก็บรวบรวมจากแหล่งอื่นที่มีอำนาจหน้าที่ เหตุผลทางกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลในการเปิดเผยข้อมูลแก่ ศมส. นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ ศมส. ดังนั้น ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดประกาศความเป็นส่วนตัวให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้น หากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ ศมส.

7. วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ศมส. มีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์และรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของ ศมส. เช่น ข้อมูลส่วนบุคคลที่มีการประมวลผล วัตถุประสงค์ของการประมวลผล และเหตุผลหรือฐานทางกฎหมายที่ใช้อ้างอิงในการประมวลผลข้อมูลส่วนบุคคล ดังนี้

8. การเปิดเผยข้อมูลส่วนบุคคล

           8.1 ศมส. อาจเปิดเผยข้อมูลส่วนบุคคลของท่าน ภายใต้วัตถุประสงค์และตามหลักเกณฑ์ที่กฎหมายกำหนดให้แก่บุคคลและหน่วยงานภายนอก รวมถึงแต่ไม่จำกัดเพียง

                      8.1.1. หน่วยงานของรัฐที่มีหน้าที่กำกับดูแลตามกฎหมาย หรือที่ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามกฎหมาย หรือที่เกี่ยวข้องกับกระบวนการทางกฎหมาย หรือที่ได้รับอนุญาตตามกฎหมายที่เกี่ยวข้อง เช่น ศาล สำนักงานอัยการสูงสุด สำนักงานตำรวจแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สภาผู้แทนราษฎร วุฒิสภา กรมสอบสวนคดีพิเศษ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตในภาครัฐ สำนักงานการตรวจเงินแผ่นดิน สำนักงานผู้ตรวจการแผ่นดิน สำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือหน่วยงานอื่นที่มีพนักงานสอบสวน เจ้าพนักงาน พนักงานฝ่ายปกครอง ตำรวจ หรือพนักงานเจ้าหน้าที่ที่มีหน้าที่และอำนาจดังกล่าวตามกฎหมาย เป็นต้น

                      8.1.2. บุคคลภายนอก ผู้ให้บริการ หรือพันธมิตรทางธุรกิจที่ ศมส. จัดซื้อจัดจ้างให้ดําเนินการใด ๆ ให้ ศมส. หรือในนามของ ศมส. หรือสนับสนุนการดำเนินการของ ศมส. หรือร่วมงานกับ ศมส. เพื่อประโยชน์ในการให้บริการแก่ท่าน เช่น บริษัทประกันภัย โรงพยาบาล สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรศัพท์ เป็นต้น

                      8.1.3. บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอมให้เปิดเผยข้อมูลส่วนบุคคลของท่านต่อบุคคลหรือหน่วยงานนั้น ๆ

           8.2 การเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่น จะดำเนินการภายใต้วัตถุประสงค์ที่กำหนด หรือวัตถุประสงค์อื่นที่กฎหมายกำหนดให้กระทำได้เท่านั้น ในกรณีที่กฎหมายกำหนดว่าต้องได้รับความยินยอมจากท่าน ศมส. จะขอความยินยอมจากท่านก่อนตามหลักเกณฑ์ที่กฎหมายกำหนด

           8.3 ในการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลภายนอก ศมส. จะจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ได้เปิดเผยและเพื่อปฏิบัติตามมาตรฐานและหน้าที่การคุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

           8.4 ในกรณีที่ ศมส. ส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศ ศมส. จะดำเนินการเพื่อทำให้แน่ใจว่าประเทศปลายทาง องค์การระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเพื่อทำให้แน่ใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศเป็นไปตามหลักเกณฑ์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยในบางกรณี ศมส. อาจขอความยินยอมของท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศดังกล่าว หรือดําเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่

                      8.4.1. เป็นการปฏิบัติตามกฎหมายที่กําหนดให้ ศมส. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

                      8.4.2. ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกําหนด

                      8.4.3. เป็นการจําเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับ ศมส. หรือเป็นการทําตามคําขอของท่านก่อนการเข้าทําสัญญานั้น

                      8.4.4. เป็นการกระทําตามสัญญาของ ศมส. กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของท่าน

                      8.4.5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้

           8.5 ศมส. จะพิจารณาว่าการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือหน่วยงานดังกล่าวเป็นกรณีที่มีความจำเป็นและสอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องหรือไม่ และจะดำเนินการเพื่อป้องกันมิให้บุคคลหรือหน่วยงานนั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

           8.6 ในกรณีที่ ศมส. ได้ว่าจ้างบุคคลภายนอกเพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ศมส. จะกำหนดให้บุคคลภายนอกที่ได้ว่าจ้างให้ดำเนินการดังกล่าว เก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของท่าน และกำหนดข้อห้ามมิให้มีการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากกิจกรรมและกิจการของ ศมส.

           การมอบหมายให้บุคคลที่สามทําการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น ศมส. จะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของ ศมส. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่ ศมส. มอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกําหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่ ศมส. มอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคําสั่งของ ศมส. เท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

9. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

           ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ร.บ.พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง ศมส. จะประมวลผล และเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลนั้น โดยหลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น ศมส. จะลบ และ/หรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของ ศมส. และจากการจัดเก็บหรือระบบของผู้ประมวลผลข้อมูลส่วนบุคคล (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่ความสัมพันธ์ระหว่างท่านกับ ศมส. ยังมิได้สิ้นสุดลง หรือข้อมูลส่วนบุคคลดังกล่าวยังจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของ ศมส. หรือกรณีมีข้อพิพาททั้งก่อนและในระหว่างดำเนินคดีทางศาลจนสิ้นสุดระยะเวลาบังคับคดีตามกฎหมาย หรือกรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเหล่านั้นไว้เพื่อเป็นพยานหลักฐานทางกฎหมายตลอดระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

           อนึ่ง ศมส. จะดำเนินการทบทวน รวมถึงลบ และ/หรือทำลายข้อมูลส่วนบุคคลที่สิ้นสุดระยะเวลาการจัดเก็บเป็นประจำทุกปี

           สำหรับข้อมูลจราจรทางคอมพิวเตอร์ที่ ศมส. เก็บรวบรวมจากการเข้าถึงและการใช้งานระบบสารสนเทศ ระบบคอมพิวเตอร์ แอปพลิเคชัน และเว็บไซต์ที่ ศมส. ให้บริการแก่ผู้รับบริการนั้น กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์กำหนดให้ผู้ให้บริการต้องเก็บรักษาไว้ไม่น้อยกว่า 90 วันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วันแต่ไม่เกิน 2 ปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ดังนั้น ศมส. จะเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าวไว้เป็นระยะเวลาไม่เกิน 2 ปี เว้นแต่ กรณีที่ ศมส. อาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับภัยคุกคามทางไซเบอร์หรือความเสี่ยงของระบบสารสนเทศ หรือใช้เป็นพยานหลักฐาน ศมส. อาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

           สำหรับข้อมูลส่วนบุคคลที่เป็นลักษณะของภาพ ภาพเคลื่อนไหว หรือเสียงที่เก็บรวบรวมจากการรับบริการหรือปรากฏตัวในพื้นที่ของ ศมส. (เช่น จากกล้องวงจรปิด) ศมส. จะเก็บรวบรวมไว้เป็นระยะเวลาไม่เกิน 30 วันนับจากวันที่เก็บรวบรวม เว้นแต่กรณีที่ ศมส. อาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับการกระทำความผิด การป้องกันเหตุที่ไม่พึงประสงค์ หรือใช้เป็นพยานหลักฐาน ศมส. อาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

           สำหรับข้อมูลส่วนบุคคลที่เก็บรวบรวมจากการเข้าร่วมกิจกรรม การประชุม หรือการจัดงาน ศมส. จะเก็บรวบรวมไว้เพื่อเป็นข้อมูลอ้างอิง เพื่อการประชาสัมพันธ์ หรือเพื่อการตรวจสอบหรือเป็นพยานหลักฐานในกรณีจำเป็นเป็นระยะเวลาไม่เกิน 5 ปี เว้นแต่กรณีที่ ศมส. อาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับการกระทำความผิด การป้องกันเหตุที่ไม่พึงประสงค์ หรือใช้เป็นพยานหลักฐาน ศมส. อาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด หรือกรณีที่ข้อมูลส่วนบุคคลดังกล่าวมีคุณค่าทางประวัติศาสตร์หรือจดหมายเหตุ หรือเป็นกรณีที่ควรเก็บรวบรวมไว้เป็นเวลานานเพื่อประโยชน์สาธารณะ หรือเป็นกรณีที่ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ศมส. อาจเก็บรวบรวมไว้ตลอดไป

10. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

           กรณีที่ ศมส. ต้องอาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ ศมส. จะขอรับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกําหนด

           กรณีที่ ศมส. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า ศมส. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทําการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ดังนี้ ศมส. จะดําเนินการลบทําลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก ศมส. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว

11. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

           ศมส. มีนโยบายรักษาความมั่นคงปลอดภัย ตามมาตรา (37) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

           โดยที่ ศมส. มีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจํากัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยพนักงาน และ/หรือเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอํานาจหน้าที่หรือได้รับมอบหมายที่มีความจําเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของ ศมส. อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอํานาจหน้าที่ โดย ศมส. มีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิค

           นอกจากนี้ เมื่อ ศมส. มีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามสัญญา หรือข้อตกลงในรูปแบบอื่น ศมส. จะกําหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกําหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่ ศมส. เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

12. สิทธิของเจ้าของข้อมูลส่วนบุคคล

           เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

           12.1 สิทธิในการถอนความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้ (Withdraw consent) ตามมาตรา 19 วรรคห้า แห่งพ.ร.บ.ฯ ทั้งนี้ ไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ เฉพาะสำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยโดยใช้ฐานความยินยอม (consent) เป็นฐานทางกฎหมาย แต่ไม่รวมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยได้โดยไม่ต้องขอความยินยอมตามมาตรา 24 มาตรา 26 และหรือมาตรา 27 วรรคหนึ่ง

           12.2 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (Right of Access) ตามมาตรา 30 วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           12.3 สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ (Right to Data Portability) ในกรณีที่ ศมส. ได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่ ศมส. ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ ตามมาตรา 31วรรคหนึ่ง แห่งพ.ร.บ.ฯ ทั้งนี้ ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมเนื่องจากเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นตามมาตรา 24 (3) หรือเป็นข้อมูลส่วนบุคคลอื่นที่กำหนดในมาตรา 24 ตามที่คณะกรรมการประกาศกำหนด ตามมาตรา 31 วรรคสอง แห่งพ.ร.บ.ฯ

           12.4 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ (Right to Object) โดยเป็นไปตามมาตรา 32 วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           12.5 สิทธิในการขอให้ ศมส. ดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure or Right to Be Forgotten) ตามมาตรา 33 วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           12.6 สิทธิขอให้ ศมส. ระงับการใช้ข้อมูลส่วนบุคคลได้ (Right to Restriction of Processing) ตามมาตรา 34 วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           12.7 สิทธิในการร้องขอให้ ศมส. ดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification) ตามมาตรา 36วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           12.8 สิทธิร้องเรียนในกรณีที่ ศมส. ฝ่าฝืนหรือไม่ปฏิบัติตามพ.ร.บ.ฯ หรือประกาศที่ออกตามพระราชบัญญัติดังกล่าว ตามมาตรา 73 วรรคหนึ่ง แห่งพ.ร.บ.ฯ

           ศมส. เคารพสิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายที่เกี่ยวข้อง ซึ่งเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนสามารถติดต่อ ศมส. ได้ที่ https://gppc-app.pdpc.or.th/dynamic-dsar/040fd456-7d18-4937-92e2-4cd71b968974 เพื่อแจ้งความประสงค์ขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวข้างต้นได้

           ทั้งนี้ ศมส. อาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้หากเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่น

13. ช่องทางการติดต่อ ศมส. และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

           ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับ ประกาศความเป็นส่วนตัวฉบับใด ๆ ของ ศมส. ศมส. ยินดีที่จะตอบข้อสงสัยรับฟังข้อเสนอแนะ และคํำติชมทั้งหลาย อันจะเป็นประโยชน์ต่อการปรับปรุงการให้บริการของ ศมส. ต่อไป โดยท่านสามารถติดต่อกับ ศมส. ตามที่อยู่ที่ปรากฏข้างล่างนี้

           13.1 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

                      - ชื่อ: ศูนย์มานุษยวิทยาสิรินธร (องค์การมหาชน)

                      - สถานที่ติดต่อ: เลขที่ 20 ถนนบรมราชชนนี เขตตลิ่งชัน กรุงเทพมหานคร 10170

                      - ช่องทางการติดต่อ: webmaster@sac.or.th

                      - Call Center : 02-880-9429 (วันเวลาทำการ จันทร์-ศุกร์ 08.00-17.00 น.)

           13.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

                      - ชื่อ: นางสาวศิริพร หมื่นไสยาท

                      - สถานที่ติดต่อ: เลขที่ 20 ถนนบรมราชชนนี เขตตลิ่งชัน กรุงเทพมหานคร 10170

                      - ช่องทางการติดต่อ: siriporn.m@sac.or.th

                      - Call Center : 02-880-9429 (วันเวลาทำการ จันทร์-ศุกร์ 08.00-17.00 น.)

14. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

           นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ฉบับนี้อยู่ภายใต้การตรวจสอบและทบทวนอย่างสม่ำเสมอ ดังนั้น จึงอาจมีการปรับปรุงแก้ไขได้ เพื่อให้สอดคล้องกับเงื่อนไขการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล รวมถึงเพื่อให้เกิดความเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เมื่อมีการปรับปรุงประกาศฯ ศมส. จะแจ้งให้ทราบผ่านช่องทางเว็บไซต์ และสื่อสังคมออนไลน์ของ ศมส.