เพื่อให้การดำเนินงานของ กฟผ. เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมถึงฉบับแก้ไขเพิ่มเติม กฎ ระเบียบ ประกาศ หรือคําสั่งที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (รวมเรียกว่า “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล”) ผู้ว่าการการไฟฟ้าฝ่ายผลิตแห่งประเทศไทย ออกประกาศไว้ เพื่อให้ผู้บริหาร และผู้ปฏิบัติงาน ยึดมั่นเป็นหลักการและใช้เป็นแนวทางในการกำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคลที่ใช้ในการดำเนินงานของ กฟผ. ดังต่อไปนี้

ข้อ ๑ ให้ยกเลิกประกาศ กฟผ. ที่ ๕/๒๕๖๔ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๒ ผู้บริหาร และผู้ปฏิบัติงาน ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบาย ระเบียบ ข้อกําหนด คู่มือ หรือแนวปฏิบัติใด ๆ ของ กฟผ. ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

ข้อ ๓ ผู้บริหาร ต้องส่งเสริมให้ผู้ปฏิบัติงานตระหนักถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และ ส่งเสริมให้มีการบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลในทุกระดับขององค์กร รวมถึงจัดให้มีมาตรการควบคุมภายในที่มีประสิทธิภาพ เพื่อป้องกันการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

ข้อ ๔ กำหนดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) เพื่อปฏิบัติหน้าที่ในการให้คำแนะนำ คำปรึกษา ตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ กฟผ. ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ข้อ ๕ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จําเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย เพื่อการประมวลผลข้อมูลส่วนบุคคลของ กฟผ. เท่านั้น

ข้อ ๖ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลโดยชัดแจ้ง และต้องแจ้งรายละเอียดที่จําเป็นให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๗ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูล เว้นแต่กฎหมายจะกําหนดไว้เป็นอย่างอื่น และต้องไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือได้รับการยกเว้นตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๘ ทุกหน่วยงานต้องจัดทําและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Data Inventory) ตามหลักเกณฑ์และวิธีการที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถตรวจสอบได้ โดยต้องดําเนินการให้บันทึกรายการประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และสมบูรณ์อยู่เสมอ

ข้อ ๙ ทุกหน่วยงานต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เพียงพอเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของ กฟผ. โดยมิชอบ รวมถึงจัดให้มีการทบทวนและตรวจสอบมาตรการดังกล่าวอย่างสมํ่าเสมอ หรือเมื่อมีความจําเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มั่นใจได้ว่า กฟผ. มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เพียงพอ เหมาะสม และเป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๑๐ ทุกหน่วยงานต้องจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคล เมื่อพ้นกําหนดระยะเวลาการเก็บรักษา หรือเก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้อง หรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น เว้นแต่เป็นการเก็บรักษาตามวัตถุประสงค์ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๑๑ กรณีที่หน่วยงานใน กฟผ. จําเป็นต้องใช้ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคําสั่งหรือในนาม กฟผ. ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดําเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล และป้องกันมิให้ผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ กฟผ. เปิดเผยหรือโอนไปให้โดยมิชอบหรือเกินขอบเขตที่กําหนด

ข้อ ๑๒ การเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานหรือบุคคลภายนอก เมื่อมีการขอเข้าถึงหรือขอให้เปิดเผยข้อมูลส่วนบุคคลที่อยู่ในครอบครองของ กฟผ. เช่น หน่วยงานของรัฐ หน่วยงานกํากับดูแล หรือเจ้าพนักงานซึ่งใช้อํานาจตามกฎหมาย เป็นต้น กฟผ. ต้องมั่นใจว่าการเปิดเผยดังกล่าวได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล เช่น เพื่อเป็นการปฎิบัติตามกฎหมายหรือเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ หรือเป็นการจําเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย เป็นต้น แล้วแต่กรณี ทั้งนี้ กฟผ. จะต้องจัดทําบันทึกรายการการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย

ข้อ ๑๓ กรณีที่ กฟผ. มีความจําเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวต้องกระทําภายใต้ข้อกําหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเท่านั้น

ข้อ ๑๔ กฟผ. ต้องดําเนินการเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject’s Request) ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงจัดให้มีระบบการตรวจสอบการดําเนินการดังกล่าว เพื่อให้มั่นใจได้ว่า กฟผ. ได้ดําเนินการตอบสนองต่อคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยไม่ชักช้า และอยู่ภายในระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ในกรณีที่ กฟผ. ปฏิเสธคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กฟผ. ต้องจัดทําบันทึกรายการการปฏิเสธคําร้องขอใช้สิทธิของ เจ้าของข้อมูลส่วนบุคคลดังกล่าวพร้อมระบุเหตุผลไว้ด้วย

ข้อ ๑๕ ทุกหน่วยงานต้องให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ในการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้า ภายใน ๗๒ ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าว ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล กฟผ. ต้องแจ้งเหตุการณ์ละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า

ข้อ ๑๖ ทุกหน่วยงานต้องให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เมื่อถูกร้องขอให้ส่งเอกสารหรือข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการชี้แจงข้อเท็จจริง เพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ข้อ ๑๗ เพื่อพัฒนาคุณภาพของการให้บริการ และพัฒนาคุณภาพของเว็บไซต์ กฟผ. จึงได้ทำการเก็บข้อมูลส่วนบุคคลของผู้ใช้ ดังนี้
๑๗.๑. ชื่อ-สกุล
๑๗.๒. อีเมล
๑๗.๓. เบอร์โทรศัพท์
๑๗.๔. เพศ
๑๗.๕. วัน/เดือน/ปีเกิด
๑๗.๖. ที่อยู่
๑๗.๗. โรงเรียน
๑๗.๘. บัญชีเฟซบุ๊ก
๑๗.๙. ไลน์ไอดี
๑๗.๑๐. รูปโปรไฟล์

ข้อ ๑๘ การส่งคำร้องขอลบข้อมูลการใช้งานของบัญชีผู้ใช้งาน ผู้เข้าชมหรือผู้ใช้เว็บไซต์สามารถส่งคำร้องขอผ่านช่องทางต่างๆ ได้ดังต่อไปนี้
๑๘.๑. การส่งคำร้องขอลบข้อมูลการใช้งานของบัญชีผู้ใช้งานผ่านอีเมล (E-mail) พิมพ์อีเมล โดยระบุข้อความว่า ผู้เข้าชมหรือผู้ใช้เว็บไซต์มีความต้องการจะลบข้อมูลของตน พร้อมอธิบายเหตุผลที่ต้องการขอลบข้อมูลการใช้งานของบัญชีผู้ใช้ดังกล่าว จากนั้นส่งมายังอีเมลล์ของ กฟผ. โครงการห้องเรียนสีเขียว [glr@egat.co.th]
๑๘.๒. การส่งคำร้องขอลบข้อมูลการใช้งานของบัญชีผู้ใช้งานผ่านระบบ Chat Room บน Website พิมพ์ข้อความว่า ผู้เข้าชมหรือผู้ใช้เว็บไซต์มีความต้องการจะลบข้อมูลการใช้งานของบัญชีผู้ใช้งานของตน พร้อมอธิบายเหตุผลที่ต้องการขอลบข้อมูลการใช้งานของบัญชีผู้ใช้ดังกล่าว จากนั้นส่งข้อความมายังระบบ Chat Room บน Website ของ กฟผ. [gls.egat.co.th]
๑๘.๓. การส่งคำร้องขอลบข้อมูลการใช้งานของบัญชีผู้ใช้งานผ่านระบบ Messenger ใน Facebook Page : ห้องเรียนสีเขียว กฟผ. Page พิมพ์ข้อความ Message โดยระบุข้อความว่า ผู้เข้าชมหรือผู้ใช้เว็บไซต์มีความต้องการจะลบข้อมูลของตน พร้อมอธิบายเหตุผลที่ต้องการขอลบข้อมูลการใช้งานของบัญชีผู้ใช้ดังกล่าว จากนั้นส่งข้อความมายัง ระบบ Messenger ใน Facebook Page : ห้องเรียนสีเขียว กฟผ. Page [https://www.facebook.com/glr.egat/]
๑๘.๔. การส่งคำร้องขอลบข้อมูลการใช้งานของบัญชีผู้ใช้งานผ่านโทรศัพท์
ก. ติดต่อมาที่หมายเลข 02-436-4743 ในวันและเวลาราชการ (วันจันทร์ – ศุกร์ เวลา 08.00 – 16.00 น.)
ข. ทำการแจ้งกับพนักงาน กฟผ. เพื่อทำการลบข้อมูลการใช้งานของบัญชีผู้ใช้งาน
* การยกเลิกหรือเพิกถอนความยินยอมเพียงบางส่วน หากเป็นข้อมูลส่วนที่สำคัญ กฟผ. อาจสงวนสิทธิในการเข้าชมหรือใช้เว็บไซต์ของผู้เข้าชมหรือผู้ใช้เว็บไซต์ในบางกรณี และจะถือว่าผู้เข้าชมหรือผู้ใช้เว็บไซต์รับทราบและยินยอมในการจำกัดการเข้าชมหรือใช้เว็บไซต์ดังกล่าวแล้ว
** การยกเลิกหรือเพิกถอนความยิมยอมทั้งหมด กฟผ. ขอสงวนสิทธิในการปฏิเสธหรือจำกัดการเข้าชมหรือใช้เว็บไซต์ของผู้เข้าชมหรือผู้ใช้เว็บไซต์ในบางกรณี และจะถือว่าผู้เข้าชมหรือผู้ใช้เว็บไซต์รับทราบและยินยอมในการปฏิเสธหรือจำกัดการเข้าชมหรือใช้เว็บไซต์ดังกล่าวแล้ว

ประกาศ ณ วันที่ [1 มิ.ย. 2565]