หน้าที่และหลักปฏิบัติของหน่วยงานของรัฐในการคุ้มครองข้อมูลข่าวสารส่วนบุคคล

 

มาตรา ๒๓
หน่วยงานของรัฐต้องปฏิบัติเกี่ยวกับการจัดระบบข้อมูลข่าวสารส่วนบุคคลดังต่อไปนี้
(๑) ต้องจัดให้มีระบบข้อมูลข่าวสารส่วนบุคคลเพียงเท่าที่เกี่ยวข้อง และจำเป็นเพื่อการดำเนินงานของหน่วยงานของรัฐให้สำเร็จตามวัตถุประสงค์เท่านั้น 
และยกเลิกการจัดให้มีระบบดังกล่าวเมื่อหมดความจำเป็น
(๒) พยายามเก็บข้อมูลข่าวสารโดยตรงจากเจ้าของข้อมูล  โดยเฉพาะอย่างยิ่งในกรณีที่จะกระทบถึงประโยชน์ได้เสียโดยตรงของบุคคลนั้น
(๓) จัดให้มีการพิมพ์ในราชกิจจานุเบกษา และตรวจสอบแก้ไขให้ถูกต้องอยู่เสมอเกี่ยวกับสิ่งดังต่อไปนี้
(ก) ประเภทของบุคคลที่มีการเก็บข้อมูลไว้
(ข) ประเภทของระบบข้อมูลข่าวสารส่วนบุคคล
(ค) ลักษณะการใช้ข้อมูลตามปกติ
(ง) วิธีการขอตรวจดูข้อมูลข่าวสารของเจ้าของข้อมูล
(จ) วิธีการขอให้แก้ไขเปลี่ยนแปลงข้อมูล
(ฉ) แหล่งที่มาของข้อมูล
(๔) ตรวจสอบแก้ไขข้อมูลข่าวสารส่วนบุคคลในความรับผิดชอบให้ถูกต้องอยู่เสมอ
(๕) จัดระบบรักษาความปลอดภัยให้แก่ระบบข้อมูลข่าวสารส่วนบุคคล ตามความเหมาะสม เพื่อป้องกันมิให้มีการนำไปใช้โดยไม่เหมาะสมหรือเป็นผลร้ายต่อเจ้าของข้อมูล
ในกรณีที่เก็บข้อมูลข่าวสารโดยตรงจากเจ้าของข้อมูล  หน่วยงานของรัฐต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าหรือพร้อมกับการขอข้อมูลถึงวัตถุประสงค์ที่จะนำข้อมูลมาใช้  
ลักษณะการใช้ข้อมูลตามปกติ  และกรณีที่ขอข้อมูลนั้นเป็นกรณีที่อาจให้ข้อมูลได้โดยความสมัครใจหรือเป็นกรณีมีกฎหมายบังคับ
หน่วยงานของรัฐต้องแจ้งให้เจ้าของข้อมูลทราบในกรณีมีการให้จัดส่งข้อมูลข่าวสารส่วนบุคคลไปยังที่ใดซึ่งจะเป็นผลให้บุคคลทั่วไปทราบข้อมูลข่าวสารนั้นได้
เว้นแต่เป็นไปตามลักษณะการใช้ข้อมูลตามปก
ติ