๒. การรักษาความมั่นคงปลอดภัย
กฟภ. จะรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย การเข้าถึง การใช้การเปลี่ยนแปลง การแก้ไข รวมถึงการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมายด้วยการกำหนดมาตรการเชิงเทคนิคและเชิงบริหารจัดการ วิธีปฏิบัติ และสิทธิในการเข้าถึงข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนด และหรือสอดคล้องกับมาตรฐานสากล
กฟภ. จะมีการกำหนดมาตรการต่าง ๆ เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและปลอดภัยตามมาตรฐานที่กฎหมายกำหนด ดังนี้
๒.๑ เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล เช่น การกำหนดชั้นความลับ วิธีการเข้าถึงข้อมูลและการจำกัดการเข้าถึงข้อมูล เป็นต้น
๒.๒ กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลทางกายภาพ จัดให้มีสถานที่ที่เหมาะสมและปลอดภัยในการจัดเก็บข้อมูลหรือเอกสารต่าง ๆ
และกำหนดกระบวนการลบหรือทำลายข้อมูลและอุปกรณ์เมื่อหมดความจำเป็นหรือได้รับการร้องขอจากเจ้าของข้อมูล
๒.๓ กระบวนการรองรับการเก็บรักษาข้อมูลส่วนบุคคลด้วยระบบเทคโนโลยีสารสนเทศ เช่น การแฝงข้อมูล (Pseudonymization) การจัดทำข้อมูลนิรนาม
(Anonymization) และการเข้ารหัสข้อมูล (Encryption) เป็นต้น
๒.๔ กำหนดแผนการรับมือและแก้ไข กรณีมีการรั่วไหล หรือการละเมิดข้อมูลส่วนบุคคล
๒.๕ มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการ เพื่อรักษาความมั่นคงปลอดภัยในการดำเนินงานที่เกี่ยวกับข้อมูลส่วนบุคคลให้เหมาะสมกับการบริหาร
ความเสี่ยงของ กฟภ. ตามมาตรฐานสากล
๓. สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลสามารถร้องขอให้ กฟภ. ดำเนินการตามสิทธิของเจ้าของข้อมูล ดังนี้
๓.๑ สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอเข้าถึงข้อมูลส่วนบุคคลหรือชี้แจงถึงการได้มาของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม โดย กฟภ. จะจัดเตรียมหรือจัดทำสำเนาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องตามช่องทางการสื่อสารของ กฟภ.
ทั้งนี้ กฟภ. มีสิทธิปฏิเสธคำร้องขอ หากเป็นไปตามที่กฎหมายกำหนด หรือตามคำสั่งศาลหรือการเข้าถึงข้อมูลส่วนบุคคลนั้นอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
๓.๒ สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตรงกับความเป็นจริงเป็นปัจจุบัน ครบถ้วนสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องนำหลักฐานหรือเอกสารที่เกี่ยวข้องมาแสดง หาก กฟภ. เห็นว่าการขอแก้ไขข้อมูลนั้นไม่มีเหตุผลเพียงพอ กฟภ. จะปฏิเสธคำร้องขอของเจ้าของข้อมูลและจะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
๓.๓ สิทธิในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้
เจ้าของข้อมูลสามารถยื่นคำร้องขอลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวเจ้าของข้อมูลได้โดย กฟภ. จะดำเนินการตามคำร้องขอภายใต้เงื่อนไข ดังนี้
(๑) เมื่อหมดความจำเป็นในการเก็บรักษาข้อมูลส่วนบุคคลตามวัตถุประสงค์
(๒) เจ้าของข้อมูลเพิกถอนความยินยอม และ กฟภ. ไม่มีอำนาจตามกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๓) เจ้าของข้อมูลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการปฎิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม และ กฟภ.
ไม่สามารถปฏิเสธการคัดค้านได้
(๔) ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผย โดยไม่ชอบด้วยกฎหมายทั้งนี้ กฟภ. มีสิทธิปฏิเสธคำร้องขอ กรณีดังนี้
(ก) การเก็บรักษาไว้เพื่อความจำเป็นในการใช้เสรีภาพในการแสดงความคิดเห็น
(ข) การเก็บรักษาไว้เพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ ฯลฯ
(ค) การเก็บรักษาไว้เพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะของ กฟภ. หรือปฏิบัติตามอำนาจรัฐที่ กฟภ. ได้รับมอบหมาย
(ง) การเก็บรักษาข้อมูลตามข้อ 1.4 ที่มีความจำเป็นในการปฏิบัติหน้าที่ตามกฎหมายเพื่อวัตถุประสงค์ด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประโยชน์ด้าน
การสาธารณสุขและอื่น ๆ ตามที่กฎหมายกำหนด
(จ) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
หรือการปฏิบัติตามกฎหมาย
๓.๔ สิทธิในการเพิกถอนความยินยอม
กรณีเจ้าของข้อมูลได้ให้ความยินยอมไว้กับ กฟภ. เจ้าของข้อมูลสามารถยื่นคำร้องขอเพิกถอนความยินยอมนั้นได้ โดย กฟภ. จะดำเนินการตามคำร้องขอของเจ้าของข้อมูล แต่ไม่รวมถึงการดำเนินการอื่นใดที่ได้กระทำก่อนที่จะมีการใช้สิทธิเพิกถอนความยินยอม ทั้งนี้ กฟภ. มีสิทธิปฏิเสธคำร้องขอ หากมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมาย
๓.๕ สิทธิในการขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเอง
เจ้าของข้อมูลสามารถยื่นคำร้องขอรับหรือโอนย้ายข้อมูลส่วนบุคคลของตนเองไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นในรูปแบบอิเล็กทรอนิกส์ที่สามารถอ่านหรือใช้งานได้จากเครื่องมือหรืออุปกรณ์ทั่วไป รวมทั้งมีสิทธิขอตรวจสอบการโอนย้ายข้อมูลส่วนบุคคลดังกล่าวได้ โดยมีเงื่อนไข ดังนี้
(๑) ต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๒) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อความจำเป็นต่อการให้บริการหรือปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลและ กฟภ. ตามข้อ ๑.๓.๒
ทั้งนี้ กฟภ. จะปฏิเสธการขอรับหรือโอนย้ายข้อมูลส่วนบุคคล หากเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติหน้าที่ตามกฎหมาย หรือละเมิดสิทธิหรือเสรีภาพของบุคคลอื่นโดย กฟภ. จะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน
๓.๖ สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถยื่นคำร้องขอห้ามมิให้ กฟภ. ใช้ข้อมูลส่วนบุคคลได้ ตามเงื่อนไข ดังนี้
(๑) กฟภ. อยู่ระหว่างดำเนินการ ตามข้อ ๓.๒ หากตรวจสอบได้ว่าข้อมูลนั้นถูกต้องครบถ้วนสมบูรณ์แล้ว กฟภ. สามารถปฏิเสธคำร้องขอดังกล่าวได้
(๒) เมื่อเป็นข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายและเจ้าของข้อมูลไม่ได้ใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ไม่สามารถ
ระบุตัวเจ้าของข้อมูลได้ ตามข้อ ๓.๓ (๔) แต่เจ้าของข้อมูลขอให้ระงับการใช้แทน ทั้งนี้ กฟภ. จะปฏิเสธคำร้องขอดังกล่าว หากสามารถอ้างฐานทางกฎหมาย
อื่นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้
(๓) เมื่อไม่มีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้น แต่เจ้าของข้อมูลขอให้เก็บรักษาไว้เพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิ
เรียกร้องตามกฎหมายหรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๔) กฟภ. อยู่ระหว่างการพิสูจน์เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูล ตามสิทธิข้อ ๓.๗
๓.๗ สิทธิในการคัดค้าน
เจ้าของข้อมูลสามารถยื่นคำร้องขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตามเงื่อนไข ดังนี้
(๑) เพื่อการปฎิบัติภารกิจของรัฐและเพื่อประโยชน์อันชอบธรรม ตามข้อ ๑.๓.๓ และ ๑.๓.๔ ทั้งนี้ กฟภ. จะปฏิเสธการคัดค้าน หากพิสูจน์ได้ว่ามีเหตุอันชอบด้วย
กฎหมายที่สำคัญกว่า หรือเพื่อการก่อตั้งสิทธิตามกฎหมาย การปฏิบัติตามหรือใช้สิทธิเรียกร้องตามกฎหมาย หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(๒) เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ ทั้งนี้ กฟภ. จะปฏิเสธการคัดค้าน หากมีความจำเป็นในการดำเนินตามภารกิจ
เพื่อประโยชน์สาธารณะ ของ กฟภ.
โดย กฟภ. จะบันทึกเหตุผลในการปฏิเสธคำร้องขอไว้เป็นหลักฐาน ทั้งนี้ หากไม่เข้าข้อยกเว้นการปฏิเสธการคัดค้าน กฟภ. จะไม่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไป โดยจะแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจน เมื่อเจ้าของข้อมูลได้แจ้งการคัดค้านให้ กฟภ. ทราบ
๓.๘ สิทธิการได้รับแจ้งข้อมูล
เจ้าของข้อมูลมีสิทธิจะได้รับแจ้งข้อมูล กรณีที่ กฟภ. ได้รับข้อมูลจากเจ้าของข้อมูลโดยตรงหรือได้รับจากบุคคลที่สาม ตามช่องทางสื่อสารของ กฟภ