เว็บไซต์มติชนออนไลน์รายงานประกาศราชกิจจานุเบกษา เผยแพร่ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ ซึ่งมีผลบังคับใช้ในวันที่ ๒ พฤศจิกายน ๒๕๕๓
ประกาศระบุว่า ข้อมูลส่วนบุคคลที่มีการรวบรวม จัดเก็บ ใช้หรือเผยแพร่ในรูปของข้อมูลอิเล็กทรอนิกส์เป็นสิทธิมนุษยชนขั้นพื้นฐานที่ ได้รับความคุ้มครอง ซึ่งปัจจุบันมีการนำระบบสารสนเทศและการสื่อสารมาประยุกต์ใช้ประกอบการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างแพร่หลาย และเพื่อให้การทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานของรัฐมีความมั่นคง ปลอดภัย ความน่าเชื่อถือ และมีการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เห็นสมควรกำหนดแนวนโยบายและแนวปฏิบัติใน การคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐให้มีมาตรฐานเดียวกัน
อาศัยอำนาจตามความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากำหนด หลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออกประกาศฉบับนี้ เพื่อเป็นแนวทางเบื้องต้น ให้หน่วยงานของรัฐใช้ในการกำหนดนโยบายและข้อปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ ดังต่อไปนี้
ข้อ ๑ ให้หน่วยงานของรัฐซึ่งรวบรวม จัดเก็บ ใช้ เผยแพร่ หรือดำเนินการอื่นใดเกี่ยวกับ ข้อมูลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ จัดทำนโยบายในการคุ้มครองข้อมูลส่วนบุคคลไว้ เป็นลายลักษณ์อักษร โดยให้มีสาระสำคัญอย่างน้อย ดังนี้
(๑) การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด การจัดเก็บรวบรวมข้อมูลส่วนบุคคลให้มีขอบเขตจำกัด และใช้วิธีการที่ชอบด้วยกฎหมาย และเป็นธรรม และให้เจ้าของข้อมูลทราบหรือได้รับความยินยอมจากเจ้าของข้อมูลตามแต่กรณี
(๒) คุณภาพของข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลที่รวบรวมและจัดเก็บให้เป็นไปตาม อำนาจหน้าที่และวัตถุประสงค์ ในการดำเนินงานของหน่วยงานของรัฐตามกฎหมาย
(๓) การระบุวัตถุประสงค์ในการเก็บรวบรวม ให้บันทึกวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในขณะที่มีการรวบรวม และจัดเก็บ รวมถึงการนำข้อมูลนั้นไปใช้ในภายหลัง และหากมีการเปลี่ยนแปลงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลให้จัดทำบันทึก แก้ไขเพิ่มเติมไว้เป็นหลักฐาน
(๔) ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้ ห้ามมิให้มีการเปิดเผย หรือแสดง หรือทำให้ปรากฏในลักษณะอื่นใดซึ่งข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุ ประสงค์ของการรวบรวมและจัดเก็บข้อมูล เว้นแต่จะได้รับความยินยอม จากเจ้าของข้อมูล หรือเป็นกรณีที่มีกฎหมายกำหนดให้กระทำได้
(๕) การรักษาความมั่นคงปลอดภัย ให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลโดยมิชอบ
(๖) การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล ให้มีการเปิดเผยการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคลและจัดให้มีวิธีการที่สามารถตรวจดู ความมีอยู่ ลักษณะของข้อมูลส่วนบุคคลวัตถุประสงค์ของการ นำข้อมูลไปใช้ ผู้ควบคุมและสถานที่ทำการของผู้ควบคุมข้อมูลส่วนบุคคล
(๗) การมีส่วนร่วมของเจ้าของข้อมูล ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งถึงความมีอยู่ หรือรายละเอียดของข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลเมื่อได้รับคำร้องขอภายใน ระยะเวลาอันสมควรตามวิธีการในรูปแบบ รวมถึงค่าใช้จ่าย (ถ้ามี) ตามสมควร
ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธที่จะให้คำชี้แจงหรือให้ข้อมูลแก่ เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท ผู้แทนโดยชอบธรรม หรือผู้พิทักษ์ ตามกฎหมายให้ผู้ควบคุมข้อมูลจัดทำบันทึกคำคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด ๆ เกี่ยวกับข้อมูลของเจ้าของข้อมูลไว้เป็นหลักฐาน
(๘) ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล ให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติตามมาตรการที่กำหนดไว้ข้างต้นเพื่อให้ การดำเนินงาน ตามแนวนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานของประกาศ ฉบับนี้
ข้อ ๒ ให้หน่วยงานของรัฐจัดทำข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ และให้มีรายการอย่างน้อย ดังนี้
(๑) ข้อมูลเบื้องต้น ประกอบด้วย
(ก) ชื่อนโยบายการคุ้มครองข้อมูลส่วนบุคคลว่าเป็นของหน่วยงานใด
(ข) รายละเอียดขอบเขตของการบังคับใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคล ที่หน่วยงานของรัฐรวบรวม จัดเก็บ หรือการใช้ตามวัตถุประสงค์
(ค) ให้แจ้งการเปลี่ยนแปลงวัตถุประสงค์หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ เจ้าของข้อมูลทราบและขอความยินยอมก่อนทุกครั้งตามวิธีการและภายในกำหนดเวลา ที่ประกาศ เช่น การแจ้งล่วงหน้าให้เจ้าของข้อมูลทราบก่อน ๑๕ วัน โดยการส่งทางจดหมายอิเล็กทรอนิกส์ หรือประกาศไว้ในหน้าแรกของเว็บไซต์ เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น
การขอความยินยอมจากเจ้าของข้อมูลนั้น ให้มีความชัดเจนว่าหน่วยงานของรัฐขอรับ ความยินยอมเพื่อวัตถุประสงค์ใด
(๒) การเก็บรวบรวม จัดประเภท และการใช้ข้อมูลส่วนบุคคลให้หน่วยงานของรัฐที่ทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งเก็บรวบรวมข้อมูลผ่านทางเว็บไซต์หรือผ่านรูปแบบของการกรอกข้อความ ทางกระดาษแล้วนำมาแปลงข้อความเข้าระบบอิเล็กทรอนิกส์หรือจัดเก็บโดยวิธีอื่น ให้แสดงรายละเอียดของการรวบรวมข้อมูลเป็นชนิด ประเภทรวมถึงข้อมูลที่จะไม่จัดเก็บ และข้อมูลที่รวบรวมและจัดเก็บนั้นจะนำไปใช้ตามวัตถุประสงค์ใด โดยลักษณะหรือด้วยวิธีการที่ทำให้เจ้าของข้อมูลได้ทราบ ทั้งนี้ การรวบรวมและจัดเก็บข้อมูลนั้นให้ทำเป็นประกาศหรือแจ้งรายละเอียดให้เจ้าของ ข้อมูลทราบให้หน่วยงานของรัฐที่จัดบริการผ่านทางเว็บไซต์ แสดงรายละเอียดของการรวบรวมข้อมูลผ่านทางเว็บไซต์ของหน่วยงานนั้น รวมถึงการใช้ข้อมูลซึ่งอย่างน้อยต้องระบุว่าอยู่ในส่วนใดของเว็บไซต์หรือใน เว็บเพจใดที่มีการรวบรวมและจัดเก็บข้อมูล และให้มีรายละเอียดอย่างแจ้งชัดถึงวิธีการในการรวบรวมและจัดเก็บข้อมูล เช่น การจัดเก็บโดยให้มีการลงทะเบียน หรือการกรอกแบบสอบถาม เป็นต้นให้หน่วยงานของรัฐรวบรวม จัดเก็บและใช้ข้อมูลส่วนบุคคลจัดทำรายละเอียด ดังต่อไปนี้
(ก) การติดต่อระหว่างหน่วยงานของรัฐให้หน่วยงานของรัฐซึ่งจะติดต่อไปยังผู้ใช้ บริการด้วยวิธีการทางอิเล็กทรอนิกส์บอกกล่าวให้ผู้ใช้บริการทราบล่วงหน้า ทั้งนี้ ผู้ใช้บริการอาจแจ้งความประสงค์ให้ติดต่อโดยวิธีการอื่นได้
(ข) การใช้คุกกี้ (Cookies)ให้หน่วยงานของรัฐระบุบนเว็บไซต์สำหรับการใช้คุกกี้ที่เชื่อมโยง กับข้อมูลส่วนบุคคล ว่าผู้ใช้บริการจะใช้คุกกี้เพื่อวัตถุประสงค์และประโยชน์ใด และให้สิทธิที่จะไม่รับการต่อเชื่อมคุกกี้ได้
(ค) การเก็บข้อมูลสถิติเกี่ยวกับประชากร (Demographic Information) ให้หน่วยงานของรัฐมีเว็บไซต์สำหรับการเก็บรวบรวมข้อมูลสถิติเกี่ยวกับ ประชากรเช่น เพศ อายุ อาชีพ ที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้ ระบุถึงวิธีการรวบรวมและจัดเก็บข้อมูลดังกล่าวไว้ในนโยบายการคุ้มครองข้อมูล ส่วนบุคคลด้วย และให้ชี้แจงวัตถุประสงค์ของการใช้ข้อมูลดังกล่าว รวมถึงการให้บุคคลอื่นร่วมใช้ข้อมูลนั้นด้วย
(ง) บันทึกผู้เข้าชมเว็บ (Log Files) ให้หน่วยงานของรัฐซึ่งจัดบริการเว็บไซต์ที่มีการเก็บบันทึกการเข้าออกโดย อัตโนมัติเช่น หมายเลขไอพี (IP Address) เว็บไซต์ที่เข้าออกก่อนและหลัง และประเภทของโปรแกรม บราวเซอร์ (Browser) ที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูลซึ่งระบุตัวบุคคลได้ ระบุวิธีการรวบรวมและจัดเก็บข้อมูลดังกล่าวไว้ในนโยบายการคุ้มครองข้อมูล ส่วนบุคคล และให้ชี้แจงวัตถุประสงค์ของการใช้ รวมถึงการให้บุคคลอื่นร่วมใช้ข้อมูลนั้นด้วย
(จ) ให้หน่วยงานของรัฐระบุข้อมูลที่มีการจัดเก็บผ่านทางเว็บไซต์ว่าเป็นข้อมูล ที่ประชาชนมีสิทธิเลือกว่า “จะให้หรือไม่ให้” ก็ได้ และให้หน่วยงานของรัฐจัดเตรียมช่องทางอื่นในการติดต่อสื่อสารสำหรับผู้ใช้ บริการที่ไม่ประสงค์จะให้ข้อมูลผ่านทางเว็บไซต์
(๓) การแสดงระบุความเชื่อมโยงให้ข้อมูลส่วนบุคคลกับหน่วยงานหรือองค์กรอื่นการ เก็บรวบรวมข้อมูลผ่านทางเว็บไซต์ของหน่วยงานของรัฐและเว็บไซต์ดังกล่าวที่มี การ
เชื่อมโยงให้ข้อมูลแก่หน่วยงานหรือองค์กรอื่น ให้หน่วยงานของรัฐแสดงไว้อย่างชัดเจนถึงชื่อผู้เก็บรวบรวมข้อมูลผ่านทางเว็บ ไซต์ หรือชื่อผู้มีสิทธิในข้อมูลที่ได้มีการเก็บรวบรวม (Data Subject) และชื่อเป็นผู้มีสิทธิเข้าถึงข้อมูลดังกล่าวทั้งหมด รวมถึงประเภทของข้อมูลที่จะใช้ร่วมกับหน่วยงาน
หรือองค์กรนั้น ๆ ตลอดจนชื่อผู้มีหน้าที่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ใน นโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ผู้ใช้บริการทราบ
ให้หน่วยงาน ของรัฐแจ้งให้ผู้ใช้บริการทราบและให้ความยินยอมล่วงหน้าก่อนทำการเปลี่ยน แปลงการเชื่อมโยงข้อมูลตามวรรคแรกกับหน่วยงานหรือองค์กรอื่น
(๔) การรวมข้อมูลจากที่มาหลาย ๆ แห่ง ให้หน่วยงานของรัฐที่ซึ่งได้รับข้อมูลมาจากผู้ใช้บริการเว็บไซต์ และจะนำไปรวมเข้ากับข้อมูลของบุคคลดังกล่าวที่ได้รับจากที่มาแห่งอื่น ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลถึงเจตนารมณ์การรวมข้อมูลดังกล่าว ด้วย เช่น เว็บไซต์ได้รับข้อมูลที่เป็นชื่อและที่อยู่ของการส่งจดหมาย อิเล็กทรอนิกส์จากผู้ใช้บริการโดยการกรอกข้อมูลตามแบบสอบถามผ่านทางเว็บไซต์ และจะนำข้อมูล ดังกล่าวไปรวมเข้ากับข้อมูลเกี่ยวกับประวัติของผู้ใช้บริการที่ได้รับจากที่ มาแห่งอื่น
(๕) การให้บุคคลอื่นใช้หรือการเปิดเผยข้อมูลส่วนบุคคล ให้หน่วยงานของรัฐระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลด้วยว่ามีบุคคล อื่นที่จะเข้าถึงหรือใช้ข้อมูลที่หน่วยงานนั้นได้เก็บรวบรวมมาผ่านทางเว็บไซ ต์ด้วย และให้ระบุไว้ด้วยว่าการให้เข้าถึง ใช้ หรือเปิดเผยข้อมูลดังกล่าวสอดคล้องกับข้อกำหนดตามกฎหมายของหน่วยงานของรัฐ ที่ดำเนินการดังกล่าว
(๖) การรวบรวม จัดเก็บ ใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการให้หน่วยงานของรัฐซึ่งรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ประสงค์จะนำไปดำเนินการอื่นนอกเหนือไปจากวัตถุ ประสงค์ของการรวบรวมข้อมูลส่วนบุคคลตามที่ได้ระบุไว้
เช่น การรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลที่ไม่จำเป็น หรือการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลอื่นระบุไว้ในนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลถึงสิทธิของผู้ใช้บริการที่จะเลือกว่า จะให้หน่วยงานของรัฐรวบรวม จัดเก็บหรือไม่ให้จัดเก็บ ใช้หรือไม่ให้ใช้ และเปิดเผยหรือไม่เปิดเผยข้อมูลดังกล่าวการให้ผู้ใช้บริการใช้สิทธิเลือกตาม วรรคแรกให้รวมถึงการให้สิทธิเลือกแบบที่หน่วยงานของรัฐจะต้องขอความยินยอม โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลนั้นก่อน และการให้สิทธิเลือกแบบที่ให้สิทธิแก่ผู้ใช้บริการในการปฏิเสธไม่ให้มีการ ใช้หรือการเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุ ประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวข้างต้นแล้วเท่านั้น
ทั้ง นี้ การให้สิทธิเลือกต้องกระทำให้สมบูรณ์ก่อนที่เว็บไซต์จะทำการติดต่อกับผู้ใช้ บริการในครั้งแรกและหากเป็นการใช้สิทธิเลือกแบบห้ามไม่ให้มีการใช้ข้อมูล ส่วนบุคคลแตกต่างไปจากวัตถุประสงค์เดิมหน่วยงานเจ้าของเว็บไซต์ต้องระบุไว้ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ผู้ใช้บริการได้รับทราบถึงวิธีการของ การส่งการติดต่อครั้งที่สองของเว็บไซต์ด้วย
(๗) การเข้าถึง การแก้ไขให้ถูกต้อง และการปรับปรุงให้เป็นปัจจุบันให้หน่วยงานของรัฐกำหนดวิธีการที่ผู้ใช้ บริการเว็บไซต์สามารถเข้าถึงและแก้ไขหรือปรับปรุงข้อมูลส่วนบุคคลเกี่ยวกับ ตนเองที่หน่วยงานของรัฐรวบรวมและจัดเก็บไว้ในเว็บไซต์ให้ถูกต้อง
(๘) การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้หน่วยงานของรัฐซึ่งรวบรวม ข้อมูลส่วนบุคคลผ่านทางจัดให้มีวิธีการรักษาความมั่นคงปลอดภัยสำหรับข้อมูล ส่วนบุคคลที่รวบรวมและจัดเก็บไว้ให้เหมาะสมกับการรักษาความลับของข้อมูลส่วน บุคคล เพื่อป้องกันการเปลี่ยนแปลงแก้ไขข้อมูลดังกล่าวโดยมิชอบ รวมถึงการป้องกันการกระทำใดที่จะมีผลทำให้ข้อมูลไม่อยู่ในสภาพพร้อมใช้งาน ซึ่งหน่วยงานของรัฐพึงดำเนินการ ดังนี้
(ก) สร้างเสริมความสำนึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน หรือลูกจ้างของหน่วยงานด้วยการเผยแพร่ข้อมูลข่าวสาร ให้ความรู้
จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจำ
(ข) กำหนดสิทธิและข้อจำกัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากร พนักงานหรือลูกจ้างของตนในแต่ละลำดับชั้นให้ชัดเจน และให้มีการบันทึกรวมทั้งการทำสำรองข้อมูลของการเข้าถึงหรือการเข้าใช้งาน ข้อมูลส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด
(ค) ตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์หรือของระบบสารสนเทศทั้งหมดอย่างน้อยปีละ ๑ ครั้ง
(ง) กำหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญยิ่งหรือเป็นข้อมูลที่อาจกระทบต่อ ความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของหน่วยงานของรัฐหรืออาจก่อ ให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลอย่างชัดเจน เช่น หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เชื้อชาติ ศาสนา ความเชื่อ ความคิดเห็นทางการเมือง สุขภาพ พฤติกรรมทางเพศ เป็นต้น
(จ) ควรจัดให้มีมาตรการที่รอบคอบในการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วน บุคคลของบุคคลซึ่งอายุไม่เกินสิบแปดปีโดยใช้วิธีการโดยเฉพาะและเหมาะสม
(๙) การติดต่อกับเว็บไซต์ เว็บไซต์ซึ่งให้ข้อมูลแก่ผู้ใช้บริการในการติดต่อกับหน่วยงานของรัฐ ต้องจัดให้มีทั้งข้อมูล ติดต่อไปยังสถานที่ทำการงานปกติและข้อมูลติดต่อผ่านทางออนไลน์ด้วย ข้อมูลติดต่อที่หน่วยงาน ของรัฐควรจะระบุเอาไว้ อย่างน้อยต้องประกอบด้วยข้อมูลดังต่อไปนี้
(ก) ชื่อและที่อยู่
(ข) หมายเลขโทรศัพท์
(ค) หมายเลขโทรสาร
(ง) ที่อยู่จดหมายอิเล็กทรอนิกส์
ข้อ ๓ ให้หน่วยงานของรัฐจัดทำนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ภายใต้หลักการตามข้อ ๑ และข้อ ๒ สำหรับหน่วยงานของรัฐที่ได้รับทรัสต์มาร์คจากหน่วยงานหรือองค์กรอื่นที่ทำ หน้าที่ออกทรัสต์มาร์ค (Trust Mark) ให้หน่วยงานของรัฐนั้นแสดงนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ที่ได้รับการรับรองจากหน่วยงานหรือองค์กรที่ออกหรือรับรองทรัสต์มาร์คดัง กล่าวต่อคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ประกอบด้วยทรัสต์มาร์ค (Trust Mark) ตามความในวรรคแรกหมายถึง เครื่องหมายที่รับรองว่าหน่วยงานดังกล่าวมีมาตรฐานในการคุ้มครองข้อมูลส่วน บุคคลของประชาชนในการทำธุรกรรมทางอิเล็กทรอนิกส์ซึ่งออกโดยหน่วยงานหรือ องค์กรที่จัดตั้งโดยชอบด้วยกฎหมายเพื่อทำหน้าที่ในการตรวจสอบและรับรองการ ออกทรัสต์มาร์คให้กับผู้ขอรับการรับรอง
ข้อ ๔ ให้หน่วยงานของรัฐกำหนดชื่อเรียกนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ให้ ชัดเจน และในกรณีที่มีการปรับปรุงนโยบาย ให้ระบุวัน เวลา และปี ซึ่งจะมีการปรับปรุงหรือเปลี่ยนแปลงนโยบายดังกล่าวไว้ด้วย
ข้อ ๕ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ประกาศ ณ วันที่ ๑ ตุลาคม พ.ศ. ๒๕๕๓
จุติ ไกรฤกษ์
รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์