DOC-PDPA-2569-001 // TLP:WHITE

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection Policy — ศูนย์ประสานงานข่าวกรองภัยคุกคามไซเบอร์แห่งชาติ (ศปข./NCTICC)

บังคับใช้: 1 มิถุนายน 2566 · ปรับปรุงล่าสุด: 14 มีนาคม 2569 · เวอร์ชัน 4.2

ศูนย์ประสานงานข่าวกรองภัยคุกคามไซเบอร์แห่งชาติ (ศปข.) ในฐานะหน่วยงานที่จัดตั้งภายใต้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 14 และ 17 ให้ความสำคัญสูงสุดต่อสิทธิในข้อมูลส่วนบุคคลของผู้ใช้บริการระบบ ศปข. ทุกท่าน และดำเนินการสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด

1. ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

ข้อมูลการเข้าใช้งาน — หมายเลข IP, User-Agent, เวลาเข้าใช้งาน, หน้าที่เปิดดู, ประเภทเบราว์เซอร์/ระบบปฏิบัติการ
ข้อมูลการลงทะเบียน — ชื่อ-นามสกุล, ตำแหน่ง, สังกัดหน่วยงานสมาชิก, อีเมลทางราชการ (กรณีลงทะเบียนใช้งาน Portal)
ข้อมูลด้านความมั่นคงปลอดภัย — บันทึกเหตุการณ์ (Security Event Logs), ลายเซ็นการเข้าใช้งาน, ข้อมูลการตรวจจับภัยคุกคาม
ข้อมูลคุกกี้ — รายละเอียดตามที่ระบุใน นโยบายคุกกี้

2. ฐานทางกฎหมายในการเก็บรวบรวม

ศปข. เก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานทางกฎหมายดังนี้:

มาตรา 24(4) PDPA — ภารกิจของรัฐในการรักษาความมั่นคงปลอดภัยทางไซเบอร์
มาตรา 24(6) PDPA — ประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล
มาตรา 26 PDPA — กรณีข้อมูลที่เกี่ยวข้องกับการก่ออาชญากรรมไซเบอร์ ตามขอบเขตที่ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อนุญาต
ความยินยอม (Consent) — กรณีคุกกี้ประเภทไม่จำเป็น และการสมัครรับข่าวสารด้านภัยคุกคามไซเบอร์

3. วัตถุประสงค์ในการประมวลผล

การรักษาความมั่นคงปลอดภัยของระบบ ศปข. และเครือข่ายหน่วยงานสมาชิก
การตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามไซเบอร์
การประสานงานข่าวกรองภัยคุกคามกับ NCSA, สกมช., CCIB และหน่วยงานต่างประเทศที่เป็นสมาชิก FIRST/APCERT
การพัฒนาและปรับปรุงคุณภาพการให้บริการตามภารกิจของ ศปข.
การปฏิบัติตามคำสั่งศาล หมายค้น หรือคำขอจากพนักงานสอบสวน ตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และฉบับแก้ไขเพิ่มเติม

4. การเก็บรักษาและระยะเวลา

ศปข. เก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาดังนี้:

ประเภทข้อมูล	ระยะเวลาเก็บ
ข้อมูลการเข้าใช้งานเว็บไซต์ (Access Logs)	90 วัน นับแต่วันที่เก็บ
บันทึกเหตุการณ์ความมั่นคงปลอดภัย (Security Event Logs)	2 ปี ตาม พ.ร.บ. คอมพิวเตอร์ฯ
ข้อมูลผู้ใช้งาน Portal (สมาชิก)	ตลอดระยะเวลาการเป็นสมาชิก + 1 ปี
ข้อมูลคุกกี้ที่ไม่จำเป็น	12 เดือน หรือจนกว่าจะถอนความยินยอม

5. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ตามมาตรา 30–37 PDPA ท่านมีสิทธิดังนี้:

สิทธิเข้าถึง ข้อมูลส่วนบุคคลของตนเอง
สิทธิคัดค้าน การประมวลผลข้อมูล
สิทธิขอให้ลบ หรือทำลายข้อมูล (Right to be Forgotten)
สิทธิขอให้แก้ไข ข้อมูลให้ถูกต้องเป็นปัจจุบัน
สิทธิเพิกถอนความยินยอม ที่ให้ไว้
สิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

หมายเหตุ: สิทธิข้างต้นอาจถูกจำกัดในกรณีที่ข้อมูลเกี่ยวข้องกับการสืบสวนภัยคุกคามที่กำลังดำเนินอยู่ ตามมาตรา 26 PDPA และ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ฯ

6. การส่งต่อข้อมูล

ศปข. อาจส่งต่อข้อมูลส่วนบุคคลไปยัง:

หน่วยงานความมั่นคงไซเบอร์ภายในประเทศ — สกมช., NCSA, ETDA, CCIB, ดีอีเอส
หน่วยงานในเครือข่าย FIRST/APCERT (เฉพาะข้อมูล TLP:GREEN ขึ้นไป และต้องไม่ระบุตัวตน)
ศาลหรือพนักงานสอบสวน เมื่อมีหมายตามกฎหมาย

การส่งต่อทุกกรณีดำเนินการบนพื้นฐานของหลัก minimum necessary และ purpose limitation

7. ผู้ควบคุมข้อมูล (Data Controller) และเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

ผู้ควบคุมข้อมูลส่วนบุคคล:
ศูนย์ประสานงานข่าวกรองภัยคุกคามไซเบอร์แห่งชาติ (ศปข./NCTICC)
ที่อยู่: กรุงเทพมหานคร ราชอาณาจักรไทย
อีเมล: dpo@ctithai.work · privacy@ctithai.work

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO):
คุณสุพัฒน์ เกียรติประยูร
อีเมล: dpo@ctithai.work
เวลาทำการ: จันทร์–ศุกร์ 09:00–17:00 น. (ยกเว้นวันหยุดราชการ)

หมายเหตุสำคัญ: นโยบายนี้อาจมีการปรับปรุงเพื่อให้สอดคล้องกับกฎหมายและแนวปฏิบัติใหม่ ๆ การเปลี่ยนแปลงสำคัญจะแจ้งให้ทราบผ่านหน้านี้และอีเมลถึงผู้ใช้งานที่ลงทะเบียนไว้ล่วงหน้าอย่างน้อย 30 วันก่อนมีผลบังคับ