นโยบายความเป็นส่วนตัว

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ ในวันที่ 1 มิถุนายน พ.ศ. 2565 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงหน่วยงานของรัฐที่มีการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคล ไม่ว่าโดยตรงหรือโดยอ้อม ประกอบกับ เพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่า กรมจะดูแลรักษาข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม กรมส่งเสริมการค้าระหว่างประเทศ (‘กรม’) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จึงได้จัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลขึ้น

อาศัยอำนาจตามความในมาตรา 32 แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม มาตรา 5 และมาตรา 95 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 และมาตรา 7 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 กรมส่งเสริมการค้าระหว่างประเทศจึงออกประกาศไว้ ดังต่อไปนี้

ข้อ 1 ประกาศนี้มีชื่อว่า ‘ประกาศกรมส่งเสริมการค้าระหว่างประเทศ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565’

ข้อ 2 ประกาศนี้ให้มีผลบังคับใช้นับตั้งแต่บัดนี้เป็นต้นไป

ข้อ 3 ในประกาศนี้

‘กรม’ หมายความว่า กรมส่งเสริมการค้าระหว่างประเทศ

‘บุคคล’ หมายความว่า บุคคลธรรมดา

‘ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

‘ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data/Special Categorized Personal Data)’ หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม หรือข้อมูลชีวภาพ

‘ข้อมูลชีวภาพ’ หมายความว่า ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยี ที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองภาพใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ

‘เจ้าของข้อมูลส่วนบุคคล (Data Subject)’ หมายความว่า บุคคลที่ข้อมูลส่วนบุคคลนั้นบ่งชี้ไปถึงและทําให้สามารถระบุตัวบุคคลนั้นได้

‘ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)’ หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

‘ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)’ หมายความว่า บุคคลหรือนิติบุคคลซึ่งทําการประมวลผลข้อมูลส่วนบุคคลในนามหรือตามคําสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

‘การประมวลผลข้อมูลส่วนบุคคล’ หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ข้อ 4 วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

กรมมีภารกิจเกี่ยวกับการส่งเสริมการส่งออก ขยายตลาด สินค้าและธุรกิจบริการของไทย พัฒนาและสร้างมูลค่าเพิ่มของสินค้าและธุรกิจบริการส่งออก ให้บริการข้อมูลการค้า และเพิ่มศักยภาพการแข่งขันของผู้ประกอบการไทยในตลาดโลกเพื่อเพิ่มมูลค่าและปริมาณการส่งออกของประเทศไทย ดังนั้น การประมวลผลข้อมูลส่วนบุคคลเป็นไปเพื่อประโยชน์ในการดำเนินภารกิจและอำนาจหน้าที่ของกรม ตลอดจนการบริหารจัดการภายในองค์กรเพื่อสนับสนุนการดำเนินภารกิจต่าง ๆ ให้บรรลุเป้าหมายตามอำนาจหน้าที่ของกรม ได้แก่

(1) เสนอนโยบายและจัดทําเป็นเป้าหมายการส่งออกและแผนปฏิบัติการ รวมทั้งเสนอแนะ แนวทางและมาตรการด้านการค้าและการตลาด

(2) ดําเนินการเพื่อส่งเสริม พัฒนา และสนับสนุนการส่งออกสินค้าและธุรกิจบริการของไทย ทั้งในประเทศและต่างประเทศ

(3) จัดทําและให้บริการข้อมูลการค้าและส่งเสริมเทคโนโลยีสารสนเทศในส่วน ที่เกี่ยวข้องกับการส่งออกแก่ผู้ผลิต ผู้ส่งออกไทย ผู้ประกอบธุกิจบริการ และผู้นําเข้าในต่างประเทศ

(4) เผยแพร่และประชาสัมพันธ์สินค้าและธุรกิจบริการของไทยเพื่อส่งเสริมการส่งออก

(5) พัฒนาความรู้ความสามารถแก่ภาคเอกชนในด้านการค้าระหว่างประเทศเพื่อเสริมสร้าง ขีดความสามารถในการแข่งขันและสมรรถนะในการส่งออก ตลอดจนประสานงานและให้ความร่วมมือแก่สถาบันและองค์กรต่าง ๆ ทั้งในประเทศและต่างประเทศ

(6) ส่งเสริมและพัฒนารูปแบบผลิตภัณฑ์และตราสินค้าเพื่อเพิ่มมูลค่าให้กับสินค้าไทย และให้เป็นไปตามความต้องการของตลาดต่างประเทศ

(7) สนับสนุนและพัฒนาระบบโลจิสติกส์ทางการค้า

(8) ดำเนินการเกี่ยวกับงานการเจ้าหน้าที่ งานคลัง งานบัญชี การตรวจสอบภายใน งานพัสดุ งานนิติการ งานวิเทศสัมพันธ์และพิธีการขนส่งสินค้า

(9) ปฏิบัติการอื่นใดตามที่กฎหมายกําหนดให้เป็นอํานาจหน้าที่ของกรม หรือตามที่รัฐมนตรี หรือคณะรัฐมนตรีมอบหมาย

นอกจากนี้ กรมสามารถเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ดังต่อไปนี้

4.1 วัตถุประสงค์ที่กรมจำเป็นต้องได้รับความยินยอม

กรมอาศัยความยินยอมของเจ้าของข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้

ในกรณีที่จำเป็นต้องโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศที่อาจจะไม่มีระดับการคุ้มครองข้อมูลที่เพียงพอ และ

ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อใช้ในการประชาสัมพันธ์โครงการหรือกิจกรรมของกรม และ

ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อการสื่อสาร นำเสนอและประชาสัมพันธ์ข้อมูลข่าวสาร โครงการ กิจกรรมใหม่ของกรมให้แก่เจ้าของข้อมูลส่วนบุคคล และ

ในการเก็บรวบรวม การใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เพื่อการจัดอาหารที่เหมาะสมกับสุขภาพของเจ้าของข้อมูลส่วนบุคคล

4.2 วัตถุประสงค์ที่กรมอาจดำเนินการโดยอาศัยฐานข้อยกเว้นตามกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอม

อาศัยหลักเกณฑ์หรือฐานทางกฎหมายดังต่อไปนี้เพื่อเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งได้แก่

(1) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา สำหรับการเข้าทำสัญญาจ้างงานหรือการปฏิบัติตามสัญญาจ้างงานกับเจ้าของข้อมูลส่วนบุคคล

(2) เป็นการปฏิบัติหน้าที่ตามกฎหมาย

(3) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย

(4) เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(5) เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่กรมได้รับมอบหมาย

ทั้งนี้ กรมจะอาศัยข้อยกเว้นใน (1) ถึง (5) ข้างต้น เพื่อการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ดังต่อไปนี้

ก. การปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือคำขอก่อนเข้าทำสัญญานั้น

ข. การพิจารณารับสมัครและคัดเลือกผู้เข้าร่วมการอบรมหรือโครงการของกรม

ค. การยืนยันตัวบุคคลและการติดต่อประสานงาน

ง. การจัดฝึกอบรม/สัมมนา การทดสอบและออกใบประกาศนียบัตร

จ. ติดตามผลลัพธ์ และ/หรือความก้าวหน้าที่เจ้าของข้อมูลส่วนบุคคลได้รับจากการเข้าร่วมฝึกอบรม โครงการหรือกิจกรรมของกรม (follow-up)

ฉ. เพื่อสร้างโอกาสทางการค้าระหว่างประเทศ โดยเฉพาะการส่งออก ให้กับผู้ประกอบการไทย ผ่านการแนะนำ/จับคู่ทางธุรกิจระหว่างผู้ซื้อ/ผู้นำเข้าสินค้า/บริการไทยกับผู้ประกอบการไทย (Business Matching)

ช. วิเคราะห์ข้อมูลเพื่อวางแผนการจัดกิจกรรมพัฒนาและส่งเสริมการค้าระหว่างประเทศให้เหมาะกับความต้องการของแต่ละพื้นที่หรือกลุ่มบุคคลหรือบุคคล

ซ. อื่น ๆ ที่กรมต้องการอย่างสมเหตุสมผล ตามที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ในเอกสารหรือวิธีการหรือช่องทางอื่น ๆ ที่เกี่ยวข้องใด ๆ แล้ว

กรมจะไม่เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่กรมได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคล เว้นแต่ ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นกรณีที่กฎหมายกำหนดยกเว้นให้ไม่ต้องขอความยินยอม

ข้อ 5 การประมวลผลข้อมูลส่วนบุคคล

5.1 การเก็บรวบรวมข้อมูลส่วนบุคคล

กรมจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ทั้งที่เป็นการดำเนินการทางกายภาพและด้วยวิธีการทางอิเล็กทรอนิกส์ ตามภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมตามที่ได้ระบุไว้ในข้อ 4 ด้วยวิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยมีมาตรฐานการรักษาความปลอดภัยและมีการควบคุมการเข้าถึงข้อมูลส่วนบุคคล ทั้งนี้ กรมจะเก็บรวบรวม ข้อมูลส่วนบุคคลได้ เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเมื่อมีข้อยกเว้นตามกฎหมายให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น

กรมจะใช้วิธีการที่ชอบด้วยกฎหมายในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยกรมจะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด และเป็นไปเพียงเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้ระบุไว้ในข้อ 4 และตามบทบัญญัติของกฎหมาย

กรมเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ไว้หรือมีอยู่กับกรม หรือที่กรมได้รับหรือเข้าถึงได้จากแหล่งอื่นที่น่าเชื่อถือ เช่น ข้อมูลที่เจ้าของข้อมูลส่วนบุคคลได้เปิดเผยสู่สาธารณะ หรือจากหน่วยงานรัฐหรือเอกชนอื่นที่เป็นหน่วยงานพันธมิตรของกรม

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่ให้ข้อมูลส่วนบุคคล หรือให้ข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบันแก่กรม อาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลที่ไม่สามารถทำธุรกรรมกับกรม หรืออาจไม่ได้รับความสะดวกหรือไม่ได้รับการปฏิบัติตามสัญญาที่มีอยู่กับกรม และอาจทำให้เจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายหรือเสียโอกาส และอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายใด ๆ ที่เจ้าของข้อมูลส่วนบุคคลหรือกรมต้องปฏิบัติตาม

ข้อมูลส่วนบุคคลที่กรมเก็บรวบรวม ใช้ และ/หรือเปิดเผย แบ่งเป็น 2 ประเภท ดังนี้

(1) ข้อมูลส่วนบุคคลทั่วไป เช่น

(1.1) ข้อมูลแสดงตนของเจ้าของข้อมูลส่วนบุคคล (Identification Information) และข้อมูลการติดต่อกับเจ้าของข้อมูลส่วนบุคคล เช่น ชื่อและนามสกุล เลขประจำตัวประชาชน ข้อมูลที่ปรากฏในสำเนาบัตรประชาชน เลขที่หนังสือเดินทาง รูปภาพ เพศ วัน/เดือน/ปีเกิด อายุ สถานภาพ ที่อยู่ อาชีพ สถานที่ทำงาน หมายเลขโทรศัพท์ หมายเลขโทรสาร ไปรษณีย์อิเล็กทรอนิกส์ (E-mail address)

(1.2) ข้อมูลเกี่ยวกับการทำงาน เช่น ตำแหน่งหรือยศ ตำแหน่งงาน แผนกงาน รายละเอียดเกี่ยวกับสัญญา ประวัติส่วนตัว ประวัติการศึกษา ประวัติการทำงาน เป็นต้น

(2) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลชีวภาพ ข้อมูลลายพิมพ์นิ้วมือ ภาพสแกนใบหน้า (face scan / face recognition) ข้อมูลประวัติอาชญากรรมรวมถึงความผิดที่ถูกกล่าวหาหรือฟ้องร้องดำเนินคดี ข้อมูลสุขภาพ เป็นต้น

ทั้งนี้ กรมไม่มีนโยบายจัดเก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของเจ้าของข้อมูลส่วนบุคคล เว้นแต่ในกรณีที่กรมได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือกรณีอื่นใดตามที่กฎหมายกำหนดให้ข้อยกเว้นสามารถเก็บรวบรวมได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

5.2 การใช้ข้อมูลส่วนบุคคล

กรมจะใช้ข้อมูลส่วนบุคคลตามภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมที่ได้ระบุไว้ในข้อ 4 เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเมื่อมีกรณีอื่นใดภายใต้บทบัญญัติแห่งกฎหมายกำหนดให้สามารถดำเนินการได้

5.3 การเปิดเผยข้อมูลส่วนบุคคล

กรมจะเปิดเผยข้อมูลส่วนบุคคลเพื่อเป็นการปฏิบัติภารกิจและวัตถุประสงค์ในการดำเนินงานของกรมที่ได้ระบุไว้ในข้อ 4 หรือให้บริการแก่เจ้าของข้อมูลส่วนบุคคลมีการร้องขอ หรือเป็นไปตามภาระผูกพันตามสัญญา เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือตามที่กฎหมายกำหนดให้เปิดเผย

ทั้งนี้ บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของกรม จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดที่นอกเหนือไปจากวัตถุประสงค์ที่ได้แจ้งไว้กับกรมเพื่อขอรับข้อมูลส่วนบุคคลนั้น

กรมจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลอื่นตามวัตถุประสงค์ที่กรมได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น โดยกรมจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้

(1) กรมได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

(2) เป็นการจำเป็นเพื่อการทำธุรกรรมหรือกิจกรรมใด ๆ ของเจ้าของข้อมูลส่วนบุคคลให้สามารถดำเนินการได้โดยบรรลุวัตถุประสงค์ของเจ้าของข้อมูลส่วนบุคคล รวมทั้งการปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือตามคำขอของเจ้าของข้อมูลส่วนบุคคล

(3) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การเปิดเผยแก่นิติบุคคลหรือองค์กรเพื่อการดำเนินการในการตรวจสอบและป้องกันการฉ้อฉล การบันทึกภาพในการประชุมหรือทำธุรกรรมกับกรม เพื่อการรักษาความปลอดภัยของกรม เป็นต้น

(4) เป็นการปฏิบัติตามกฎหมายหรือระเบียบหรือคำสั่งหรือประกาศของหน่วยงานที่มีอำนาจกำกับดูแล หรือหน่วยงานทางการที่มีอำนาจตามกฎหมาย เช่น กระทรวงพาณิชย์ กระทรวงแรงงาน สำนักงานประกันสังคม กรมพัฒนาฝีมือแรงงาน กรมบังคับคดี กองทุนเงินให้กู้ยืมเพื่อการศึกษา สำนักงานส่งเสริมและพัฒนาคุณภาพชีวิตคนพิการแห่งชาติ ศาล กรมบังคับคดี ตำรวจ สำนักงานคณะกรรมการพัฒนาระบบราชการ สำนักงบประมาณ หรือหน่วยงานราชการอื่นใด เป็นต้น ตามที่กฎหมายกำหนด เพื่อการปฏิบัติตามกฎหมายและกฎระเบียบ หรือภาระหน้าที่ทางกฎหมาย

(5) เปิดเผยให้แก่บุคคลหรือนิติบุคคล หรือหน่วยงานพันธมิตร หรือองค์กรอื่นใด ที่เป็นผู้ให้บริการภายนอกของกรม (Outsource / Service Provider) หรือผู้รับจ้าง เช่น ธนาคาร ผู้ให้บริการชำระเงิน ผู้ให้บริการระบบสารสนเทศทรัพยากรบุคคล ผู้ให้บริการฝึกอบรม หรือผู้ให้บริการทางการเงิน เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สำหรับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่ระบุในข้อ 4 ของนโยบายฉบับนี้

หากภายหลังกรมมีการเปลี่ยนแปลงวัตถุประสงค์ในการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กรมจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่กรมรวบรวมและจัดเก็บทราบผ่านเอกสาร/หนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องของกรมตามความเหมาะสม พร้อมนี้กรมได้มีการกำหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย

ข้อ 6 สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนซึ่งอยู่ภายใต้การควบคุมของกรม ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

6.1 สิทธิในการเพิกถอนความยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลเคยให้ไว้ตามวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลได้กำหนด ทั้งนี้ การเพิกถอนความยินยอมดังกล่าวสามารถดำเนินการได้ตลอดระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลได้จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้นไว้ เว้นแต่มีข้อจำกัดสิทธิดังกล่าวนั้นตามกฎหมายหรือตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับกรม

6.2 สิทธิขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล และให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม

6.3 สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานได้โดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้ด้วยวิธีการอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมถึงมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และมีสิทธิขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้

การใช้สิทธิดังกล่าวจะใช้กับการส่งหรือการโอนข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมายไม่ได้

6.4 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ในกรณีดังต่อไปนี้

(1) กรณีเป็นข้อมูลส่วนบุคคลที่ได้รับการยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลไว้ได้โดยไม่ต้องได้รับความยินยอม เนื่องจากกรณีอย่างใดอย่างหนึ่งดังต่อไปนี้

(1.1) เป็นกรณีจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(1.2) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล

(2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง

(3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล

6.5 สิทธิดำเนินการให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

(1) เมื่อข้อมูลส่วนบุคคลของตนนั้นหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(2) เมื่อเจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน หรือเมื่อเจ้าของข้อมูลส่วนบุคคลได้คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน

(3) เมื่อข้อมูลส่วนบุคคลของตนที่ได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย

6.6 สิทธิให้ระงับการใช้ข้อมูลส่วนบุคคลของตน ในกรณีที่ข้อมูลส่วนบุคคลของตนต้องถูกลบหรือทำลาย เนื่องจากเป็นข้อมูลที่ได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย หรือข้อมูลส่วนบุคคลของตนนั้นหมดความจำเป็นในการเก็บรักษาไว้

6.7 สิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลของตนถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

6.8 สิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กรมหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของกรมหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือประกาศที่ออกตามกฎหมายดังกล่าวได้ที่

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา

ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

ข้อ 7 ระยะเวลาในการจัดเก็บข้อมูล

กรมจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่จำเป็นเพื่อการปฏิบัติตามวัตถุประสงค์ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคล หรือตามวัตถุประสงค์ที่กำหนดไว้ในข้อ 4 ของนโยบายฉบับนี้ หรือเมื่อหมดความจำเป็นในการจัดเก็บข้อมูลส่วนบุคคลนั้น ๆ ต่อไป โดยในกรณีที่เจ้าของข้อมูลส่วนบุคคลยุติความสัมพันธ์หรือสิ้นสุดธุรกรรมกับกรม หรือไม่มีการใช้บริการหรือการทำธุรกรรมกับกรมแล้ว กรมจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ตามระยะเวลาที่กำหนดหลังจากนั้น หรือจัดเก็บตามระยะเวลาที่กฎหมายกำหนด หรือตามอายุความ หรือเพื่อการใช้สิทธิเรียกร้องตามกฎหมาย ทั้งนี้ เมื่อสิ้นสุดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลดังกล่าว กรมจะดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลจะเป็นไปตามนโยบายการจัดเก็บข้อมูลส่วนบุคคล (Data Retention Policy) ของกรม ทั้งนี้ กรมอาจเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด

การจัดเก็บข้อมูลส่วนบุคคล หากอยู่ในรูปแบบหนังสืออิเล็กทรอนิกส์ให้ดำเนินการตามระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณ ทั้งนี้ กำหนดระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลดังกล่าวให้เป็นไปตามย่อหน้าแรกของข้อ 7

ข้อ 8 คุณภาพของข้อมูลส่วนบุคคล

กรมมีการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อนำไปใช้ประโยชน์ต่อการดำเนินตามภารกิจ อำนาจหน้าที่ วัตถุประสงค์การดำเนินงานของกรม และตามบทบาทของส่วนงานสนับสนุนกรม โดยกรมจะให้ความสำคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูลส่วนบุคคลที่จัดเก็บ

ข้อ 9 ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้

กรมจะไม่นำข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไปใช้ประโยชน์หรือเปิดเผยแก่บุคคลอื่นนอกเหนือจากวัตถุประสงค์ในการดำเนินงานตามภารกิจ อำนาจหน้าที่ วัตถุประสงค์การดำเนินงานของกรม และบทบาทส่วนงานสนับสนุนของกรม เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือมีข้อยกเว้นตามกฎหมายอนุญาตให้กรมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น เป็นกรณีที่เป็นการเปิดเผยข้อมูลแก่คู่สัญญาที่ให้บริการกับกรมซึ่งจำเป็นต้องใช้ข้อมูลส่วนบุคคล

ข้อ 10 การรักษาความมั่นคงปลอดภัย

กรมมีมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม โดยกรมจะธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมาย และไม่ต่ำกว่าที่กำหนดไว้ในประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 หรือตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนุบคคล

ข้อ 11 การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล

กรมจะจัดให้มีช่องทางเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบความมีอยู่และความถูกต้อง รวมถึงมีสิทธิดำเนินการเพิกถอนความยินยอม เข้าถึง แก้ไข ลบ คัดค้านการประมวลผลข้อมูลส่วนบุคคลได้ ผ่านทางหนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศของกรมตามความเหมาะสม

ข้อ 12 ข้อมูลที่เกี่ยวกับบุคคลภายนอก

หากบุคคลใดให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอื่น เช่น การให้ข้อมูลส่วนบุคคลของคู่สมรส บุตร บิดา มารดา บุคคลในครอบครัว ผู้รับผลประโยชน์ บุคคลที่สามารถติดต่อได้ในกรณีฉุกเฉิน บุคคลอ้างอิง และบุคคลอื่นที่เกี่ยวข้องกับการถือหลักทรัพย์ของบุคคลนั้นแก่กรม บุคคลดังกล่าวรับรองว่ามีอำนาจและได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลที่จะให้ข้อมูลส่วนบุคคลของบุคคลดังกล่าวแก่กรม และมีหน้าที่ในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงการเก็บรวบรวม ใช้และ/หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ รวมถึงขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง

ข้อ 13 การเปลี่ยนแปลงนโยบาย

กรมจะดำเนินการทบทวนนโยบายเป็นประจำเพื่อให้สอดคล้องกับกฎหมาย และแนวปฏิบัติที่เกี่ยวข้อง หากมีการดำเนินการเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล กรมจะดำเนินการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและขอความยินยอมก่อนทุกครั้ง ทั้งนี้ ตามหลักเกณฑ์และวิธีการที่กรมกำหนด

ข้อ 14 ข้อมูลส่วนบุคคลที่กรมเก็บรวบรวมมาก่อนกฎหมายบังคับใช้ (บทเฉพาะกาล)

กรมจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่กรมได้เก็บรวบรวมไว้ก่อนที่พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ต่อไปตามวัตถุประสงค์เดิม ทั้งนี้ หากเจ้าของข้อมูลส่วนบุคคลมีความประสงค์จะเพิกถอนความยินยอมดังกล่าวนั้นให้สามารถดำเนินการได้ ผ่านทางหนังสือ หรือไปรษณีย์อิเล็กทรอนิกส์ หรือเว็บไซต์กรม (www.ditp.go.th) หรือระบบเทคโนโลยีสารสนเทศของกรม

ข้อ 15 กฎหมายที่บังคับใช้และเขตอำนาจศาล

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้อยู่ภายใต้การบังคับและตีความตามกฎหมายไทย และให้ศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น

ข้อ 16 ช่องทางการติดต่อกรม

กรมส่งเสริมการค้าระหว่างประเทศ (บางกระสอ) 563 ถนนนนทบุรี ตำบลบางกระสอ อำเภอเมือง จังหวัดนนทบุรี 11000 อีเมล pdpa@ditp.go.th Call Center : 1169 หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DP0) ได้ที่ อีเมล dpo@ditp.go.th เบอร์โทรศัพท์ 0-2507-7999

Announcement of the Department of International Trade Promotion

For the compliance with the Personal Data Protection Act B.E. 2562, effective on June 1, 2022, Data Controllers, including government agencies, are required to collect, use and disclose Personal Data or facts that make it possible to identify an individual, whether directly or indirectly, as well as to ensure the confidence of Data Subjects that the Department of International Trade Promotion shall provide appropriate Personal Data safeguard and security measures. The Department of International Trade Promotion (“DITP”), as the Data Controller, hereby developed this Privacy Policy.

By virtue of Section 32 of the National Government Organization Act B.E. 2534, and as amended, Section 5 and Section 95 of the Personal Data Protection Act B.E. 2562, Section 6 and Section 7 of The Royal Decree Prescribing Rules and Procedures of Electronic Transactions in the Public Sectors of B.E. 2006, the Department of International Trade Promotion has issued the notification as follows

Article 1 This Notification is titled “Notification of the Department of International Trade Promotion, Re: Privacy Policy B.E. 2565”.

Article 2 This Notification shall come into force from now on.

Article 3 In this Notification:

“DITP” means the Department of International Trade Promotion.

“Person” means natural persons.

“Personal Data” means information related to a natural person which can be used to identify such person whether directly or indirectly, but excludes information relating to deceased persons.

“Sensitive Data/Special Categorized Personal Data” means Personal Data relating to nationality, race, political opinions, religious, philosophical, or spiritual beliefs, sexual behavior, criminal records, medical records, disability, trade union information, genetic data, biometric data (such as face scanning, iris scanning, or fingerprints) or other information which similarly impacts the data subjects as determined by the Personal Data Protection Committee.

“Biometric Data” means Personal Data arising from the use of techniques or technologies related to the physical or behavioral dominance of Person, which can be used to identify such Person apart from other Persons, such as the facial recognition data, iris recognition data or fingerprint recognition data.

“Data Subject” means a person who can be personally identified by the Personal Data, either directly or indirectly.

“Data Controller” means a natural or juristic person who has the authority to decide on the issues relating to collection, use, and disclosure of Personal Data.

“Data Processor” means a natural or juristic person who operates in relation to the collection, use, or disclosure of the Personal Data pursuant to the orders given by or on behalf of a Data Controller.

“Processing” means the collection, use, and/or disclosure of Personal Data

Article 4 Purposes of Processing Personal Data

DITP has missions to promote exports, expand the market for Thai products and services, enhance value creation of export products and services, provide trade information services, and increase the competitiveness of Thai entrepreneurs in the world market in order to increase the value and volume of Thailand’s exports. Therefore, the Processing of Personal Data is for the benefit of DITP’s missions, duties, and management within DITP to support the implementation of various missions and to achieve the goals according to DITP’s authority, as follows:

(1) to formulate export promotion policies; set export targets and action plans as well as provide recommendations on trade and marketing measures;

(2) to carry out activities to promote, develop, and support the export of Thai products and services both domestically and internationally;

(3) to provide trade intelligence services, and promote the use of export related information and technology for Thai manufacturers, exporters, service providers as well as overseas importers;

(4) to publicize and broadcast Thai products and services to promote exports;

(5) to enhance private sector’s international trade knowledge and competencies in order to strengthen their trade competitiveness and export efficiency, as well as provide assistance and coordinate with local and overseas organizations;

(6) to support the development and value creation of products and branding to meet international market demand;

(7) to support and develop trade logistics system;

(8) to carry out operations related to DITP’s general administrative affairs, financial and accounting affairs, internal auditing, procurement, legal affairs, protocol and logistics;

(9) to conduct activities within the scope required by law or as assigned by the minister or the cabinet.

In addition, DITP will collect, use and/or disclose Personal Data of the Data Subject for the following purposes:

4.1 Purposes for which DITP requires consent

DITP relies on the consent of the Data Subject to collect, use and/or disclose personal data for the following purposes:

(1) in case where it is necessary to transfer the Personal Data of the Data Subject to a country that may not have an adequate level of data protection; and

(2) to collect, use and/or disclose Personal Data of the Data Subject for use in public relations, advertising projects or activities of DITP; and

(3) to collect, use and/or disclose Personal Data of the Data Subject for use in communicating, presenting and advertising news, projects and activities of DITP; and

(4) to collect, use, and/or disclose Sensitive Data in order to provide food suitable for the health of the Data Subject.

4.2 Purposes for which DITP may undertake, in compliance with exceptions under the law, to collect, use, and/or disclose of Personal Data without obtaining consent.

The principles or legal bases to collect, use and disclose Personal Data of the Data Subjects are as follows:

(1) It is necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the Data Subject prior to entering into a contract;

(2) it is necessary for compliance with a law;

(3) it is necessary for a legitimate interest;

(4) it is to prevent or suppress a danger to life, body or health of the Person;

(5) it is for the performance of a task carried out in the public interest, or it is exercising of official authority vested in DITP;

DITP shall rely on the exceptions in (1) to (5) above for the collection, use and/or disclosure of Personal Data for the following purposes:

(a) to fulfil contractual obligations to which the Data Subject is a party or in order to take steps at the request of the Data Subject prior to entering into the contract;

(b) to recruit and select participants for training or projects of DITP;

(d) to organize and conduct trainings, seminars, examination and to issue certificates;

(e) to follow-up on the results and improvement which the Data Subject receives from trainings, seminars or projects of DITP;

(f) to provide opportunities for international trades, especially export, for Thai entrepreneurs through introducing and business matching between buyers or importers of Thai goods or services, and Thai entrepreneurs (Business Matching);

(g) to analyze data to formulate plans or projects to promote Thailand’s international trades to suit the needs of a particular region or special interest group or individuals;

(h) other purposes that DITP reasonably requires which is notified to the Data Subject in any relevant documents or channels;

DITP shall not collect, use and/or disclose Personal Data for any other purposes than ones which DITP has notified the Data Subjects, unless the Data Subject has been informed of the new purpose and DITP obtains the consent of the Data Subject, or in cases where the consent is not required by the law.

Article 5 Processing of Personal Data

5.1 Collection of Personal Data

DITP shall lawfully and fairly collect Personal Data as necessary, both physically and electronically, in accordance with DITP’s mission and purposes as set out in Article 4. DITP shall only collect Personal Data with the consent of the Data Subject, or where there is an exception by law allowing the collection of Personal Data without obtaining the consent of the Data Subject.

DITP shall adopt lawful means for collecting, using and/or disclosing the Personal Data, whereby the collection of Personal Data by DITP shall be limited and only to the extent necessary for the purposes for which it was collected, used, and/or disclose as specified in Article 4 and in accordance with the provisions of the law.

DITP shall collect, use and/or disclose the Personal Data that has been provided or collected by DITP, or that DITP has obtained, or have access from other reliable sources, such as information that the Data Subject has made public or from other government or private agencies that are partners or alliance of DITP.

In case where the Data Subject does not provide Personal Data or has provided Personal Data which are inaccurate or out of date to DITP, the Data Subject may not be able to enter into transactions with DITP, and it may cause inconvenience to the Data Subject, and DITP may not be able to perform its contractual obligation under the relevant contract with the Data Subject, and it may lead to loss of opportunities or damages to the Data Subject and it may affect compliance with any laws that the Data Subject or DITP must comply with.

The Personal Data that DITP collects, uses and/or discloses can be classified into 2 types as follows:

(1) Personal Data, including:

(1.1) information specific to the personal identity of data subject (Identification information) and contact information of data subject such as name, last name, identification card number, information as displayed on the identification card, passport number, portrait, gender, date of birth, age, status, address, occupation, work address, phone number, fax number, e-mail address; and

(1.2) Work information such as position, job title, department, contract details, personal background, educational background, employment history.

(2) Sensitive Data such as Biometric Data, fingerprints, face scan/ face recognition, criminal records, including alleged offenses or prosecution, health information.

DITP shall not collect Sensitive Data unless DITP has obtained the explicit consent from the Data Subject, or in case of exception where the law allows collection without obtaining the consent from the Data Subject.

5.2 Use of Personal Data

DITP shall use Personal Data in accordance with the missions and purposes of DITP’s operations specified in Article 4, upon obtaining the consent from the Data Subject, or in cases where the provisions of the law allow DITP to be able to use Personal Data.

5.3 Disclosure of Personal Data

DITP shall disclose Personal Data for the purposes of DITP’s missions and operations as stated in Article 4, or to provide services to the Data Subject upon request, or in accordance with contractual obligations upon consent from the Data Subject, or as required by law to disclose.

Whereas, a Person or juristic person which receives Personal Data from DITP must not use or disclose the Personal Data for any purposes other than the purposes that have been notified to DITP in the request to obtain such Personal Data.

DITP shall disclose Personal Data to other Data Controllers only for the purposes that DITP has notified to the Data Subject. DITP shall disclose Personal Data in the following circumstances:

(1) DITP has obtained consent from the Data Subject;

(2) it is necessary for the successful operation of businesses or other activities of the Data Subject and to achieve the purposes of the Data Subject including to fulfil contractual obligations, or as requested by the Data Subject;

(3) it is necessary for the legitimate interest such as disclosure to a juristic person or organization for the purpose of fraud investigation and prevention, taking a photograph of meetings or doing business with DITP for the security purpose, etc.;

(4) for compliance with the law, regulations, orders or notifications prescribed by a competent supervisory authority or official authority such as Ministry of Commerce, Ministry of Labor, Social Security Office, Department of Skill Development, Legal Execution Department, Student Loan Fund, National Office for Promotion and Department of Empowerment of Persons with Disabilities, Courts, Police, Office of the Public Sector Development Commission, Budget Bureau, or any other government agency as required by the applicable laws in order to comply with laws and regulations or legal obligations; or

(5) disclosure Personal Data of Subject Data to a person or a juristic person, or an allied organization or any other organizations that is an outsource or external service provider for DITP, or a contractor such as a bank, payment service provider, human resources information service provider, training service provider, or financial service provider, for the purposes as specified in Article 4 of this Privacy Policy.

On condition that DITP later changes the purpose of collecting, using and disclosing Personal Data, DITP shall notify the Data Subject through documents or e-mail or DITP’s website (www.ditp.go.th) or DITP’s relevant information technology system as appropriate. Along with this, DITP shall also maintain a record of the amendments as evidence.

Article 6 Data Subject Rights

The Data Subject has rights in relation to Personal Data under control of DITP, in accordance with the Personal Data Protection Act B.E. 2562, as follows:

6.1 the right to withdraw consent for the Data Controller to collect, use, or disclose Personal Data which was previously given in accordance with the purposes stipulated by the Data Subject. The revocation of consent can be carried out for as long as the Data Controller is in possession the Personal Data, unless there is a limitation on such right as prescribed by law or by contractual obligations between Subject Data and DITP;

6.2 the right to access and to request for a copy of the Personal Data from the Data Controller, and to be informed of any acquisitions of Personal Data without obtaining consent;

6.3 the right to receive Personal Data from the Data Controller in the case where the Personal Data is in the format which is readable or commonly used by ways of automatic tools or equipment and can be used or disclosed by automated means. This includes the right to request the Data Controller to transmit or transfer the Personal Data to another Data Controller by automated means, and to request Data Controller directly for the Personal Data in such formats that were sent or transferred to other Data Controllers, unless it is impossible to do so because of the technical circumstances;

The exercise of such right shall not apply to the transmission or transfer of Personal Data of the Data Controller which is in the performance of duties for public interest or the performance of duties under the law.

6.4 the right to object to the collection, use, or disclosure of Personal Data at any time, in the following circumstances:

(1) in case where the Data Controller can collect Personal Data without obtaining consent, in the following cases:

(1.1) it is necessary for the performance of duties for the public interest of the Data Controller or to perform the duties under state powers given to the Data Controller; or

(1.2) it is necessary for the legitimate interests of the Data Controller or of a person or a juristic person other than that Data Controller;

(2) in the case of collecting, using or disclosing Personal Data for direct marketing purposes; or

(3) in the case of collecting, using or disclosing Personal Data for the purpose of scientific research, historical research, or statistics, unless it is necessary for the public interest of the Data Controller.

6.5 the right to delete or destroy or make the Personal Data unable to be identified as to who the Data Subject is, in the following cases:

(1) when it is no longer necessary to keep the Personal Data for the purposes of collecting, using or disclosing Personal Data;

(2) when the Data Subject withdraws consent for the collection, use or disclosure of the Personal Data, or when the Data Subject object the collection, use or disclosure of Personal Data; or

(3) when the Personal Data have been unlawfully collected, used, or disclosed.

6.6 the right to restrict the processing of Personal Data in case where the Personal Data is subject to deletion or destruction due to unlawful collection, use or disclosure, or it is no longer necessary to keep the Personal Data;

6.7 the right to rectify the Personal Data to make the information accurate, up-to-date, complete and not misleading; and

6.8 the right to lodge a complaint to the Personal Data Protection Committee, in accordance with Personal Data Protection law, in the case where DITP or a Data Processor, including employees or contractors of DITP, violates or fails to comply with the Personal Data Protection law or related announcements, at Office of the Personal Data Protection Commission 7th Floor Ratthaprasasanabhakdi Building The Government Complex Commemorating His Majesty The King’s 80th Birthday Anniversary Chaeng Watthana Road, Thung Song Hong, Lak Si, Bangkok 10210

Article 7 Retention Period of Personal Data

DITP shall keep the Personal Data for as long as necessary for the fulfilment of the purposes stated to the Data Subject or for the purposes set forth in Article 4, or until it is no longer necessary to keep the Personal Data. In case Data Subject terminates transaction with DITP, or there is no use of services or transactions with DITP, DITP shall store the Personal Data of the Data Subject for a specified period of time or as specified by law or legal prescription or the exercise of legal claims. At the end of the retention period, DITP shall delete or destroy Personal Data or make Personal Data anonymous which cannot identify the Data Subject. The retention period of Personal Data shall be in accordance with DITP’s Data Retention Policy, whereas DITP may retain Personal Data for a period of time as required by law.

The storage of Personal Data in electronic form shall be in accordance with the Regulations of the Office of the Prime Minister on Correspondence Work, provided that the period for storing such personal data shall be in accordance with the first paragraph of Article 7.

Article 8 Quality of Personal Data

DITP shall collect, use and disclose Personal Data for the purpose of carrying out the mission, duties, objectives of DITP’s operations, and the role of supporting functions of DITP. DITP shall emphasize on the accuracy, completeness, and keep the Personal Data up-to-date.

Article 9 Limitations on the Use of Personal Data

DITP shall not use Personal Data that has been collected for using or disclosing to other persons other than for the purpose of operating DITP’s mission, duties, and operational objectives, and the role of the supporting sectors of DITP, except for obtaining the consent of the Data Subject, or there are exceptions by law that allows DITP to use or disclose Personal Data without obtaining consent from the Data Subject, for example, in the case of disclosure of Personal Data to parties of a contract who provide services to DITP that require Personal Data.

Article 10 Security Measures in Storing and Processing Personal Data

DITP has standards to maintain the security of Personal Data appropriately by maintaining confidentiality, integrity and availability of the Personal Data for the prevention of loss, access, destruction, use, alteration, modification or disclosure of Personal Data without right or by unlawful means and not less than those specified in the Notification of the Personal Data Protection Committee Re: Security Measures of Data Controller B.E. 2565 (2022) and its amendment (if any).

Article 11 Involvement of the Data Subject

DITP shall provide a channel for the Data Subject to verify the existence and correctness of the Personal Data, including the right to withdraw consent, right to access, correct, delete, object to the Processing of Personal Data through a document or e-mail or DITP’s website (www.ditp.go.th) or DITP’s information technology system as appropriate.

Article 12 Information of a Third Party

If any person provides Personal Data of another Data Subject, such as providing Personal Data of spouse, children, parents, family members, beneficiary, persons who can be contacted in case of emergency, reference persons and other persons related to the holding of securities, to DITP, such person ensures that such person has the authority and permission from the Data Subject to provide such Personal Data to DITP and such person has a duty to notify the Data Subject about the collection, use, and/or disclosure of such Personal Data in accordance with this Privacy Policy, including obtaining the consent of the relevant Data Subject.

Article 13 Revision of Privacy Policy

DITP shall conduct regular policy reviews to ensure compliance with the law and related practices. If there is a change in the Privacy Policy, DITP shall notify the Data Subject, as prescribed by DITP’s rules and procedures.

Article 14 Personal Data Collected before the Enforcement of the Law (Transitional Provision)

DITP shall collect and use Personal Data before the Personal Data Protection Act B.E. 2562 has been enforced for the original purposes. If the Data Subject wishes to withdraw consent, the withdrawal can be carried out through a document form or e-mail or through DITP’s website (www.ditp.go.th) or the information technology system of DITP.

Article 15 Governing Law and Jurisdiction

This Privacy Policy is governed by and interpreted in accordance with Thai law. The Thai courts shall have the authority to consider any disputes that may arise.

Article 16 Contact Information of DITP

Department of International Trade Promotion (Bang Kra Sor) 563 Nonthaburi Road, Bang Kra Sor, Amphoe Muang,Nonthaburi 11000 at: E-mail: pdpa@ditp.go.th Call Center: 1169, or Data Protection Officer (DPO) at: E-mail: dpo@ditp.go.th Telephone: 0-2507-7999