นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ของเว็บไซต์กรมประชาสัมพันธ์
จัดทำเมื่อวันที่ 30 พ.ค. 2568 

โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กำหนดให้หน่วยงานและองค์กรโดยทั่วไป ต้องดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่มีเก็บรวบรวม ใช้งาน และเผยแพร่ ดังนั้นเพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของกปส.สอดคล้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ตลอดจนสร้างความเชื่อมั่นแก่เจ้าของข้อมูลส่วนบุคคลที่มีเก็บรวบรวม ใช้งาน และเผยแพร่ กรมประชาสัมพันธ์ จึงประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังนี้
1. ขอบเขตการบังคับใช้
    นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับกรมประชาสัมพันธ์ เจ้าหน้าที่และบุคลากรของหน่วยงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของกรมประชาสัมพันธ์
2. ในนโยบายนี้
    “กรมประชาสัมพันธ์” หรือ “กปส.” หมายความว่า หน่วยงานที่มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลภายใต้การบังคับบัญชาของอธิบดีกรมประชาสัมพันธ์ ประกอบด้วยหน่วยงานระดับกอง และมีผลบังคับใช้กับเจ้าหน้าที่และบุคลากรของหน่วยงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของกรมประชาสัมพันธ์
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถใช้ระบุตัวตนของบุคคลนั้นได้โดยตรงหรือโดยอ้อม ไม่ว่าจะเป็นชื่อ-นามสกุล หมายเลขประจำตัวประชาชน ข้อมูลทางชีวภาพ ข้อมูลติดต่อ ข้อมูลทางการเงิน หรือข้อมูลอื่นใดที่เกี่ยวข้องกับบุคคลนั้น และสามารถใช้ระบุตัวตนของบุคคลดังกล่าวได้

 “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และมีสิทธิ์ตามกฎหมายในการควบคุมและกำหนดวิธีการใช้ข้อมูลของตนเอง รวมถึงสิทธิ์ในการเข้าถึง ขอให้แก้ไข จำกัดการใช้ และขอให้ลบข้อมูลส่วนบุคคลของตน
 “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายถึง หน่วยงานหรือบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล
 “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล และไม่มีอำนาจในการตัดสินใจเกี่ยวกับข้อมูลนั้นโดยตรง
 “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่และอำนาจกำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“การประมวลผลข้อมูลส่วนบุคคล” (Processing) หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล (อันจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะใดลักษณะหนึ่งได้) เช่น การจัดเก็บ รวบรวม การบันทึก การจัดระบบ จัดโครงสร้าง การปรับปรุงหรือการแก้ไขข้อมูล การดึงข้อมูล การให้คำปรึกษาที่ต้องใช้ข้อมูลในการให้คำปรึกษา การใช้ข้อมูล การเปิดเผยด้วยการส่งต่อ การเผยแพร่ หรือการกระทำใด ๆ เพื่อให้ข้อมูลสามารถเข้าถึงหรือใช้งานได้ การรวมข้อมูลเข้าด้วยกัน การดำเนินการเพื่อให้ข้อมูลสอดคล้องกัน การจำกัดการใช้งาน การลบ หรือการทำลายข้อมูล ซึ่งกระทำโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
“ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายถึง การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) สภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ
3. ด้านการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
    3.1 กปส. จะจัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล เพื่อกำหนดวิธีการและมาตรการที่เหมาะสมในการปฏิบัติตามกฎหมาย ดังนี้
        3.1.1 กำหนดให้มีโครงสร้างองค์กร (Organization Structure) รวมทั้งกำหนดบทบาท ภารกิจและ ความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้องให้ชัดเจน เพื่อสร้างกลไกการกำกับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตามมาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย แลนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. 
        3.1.2 แต่งตั้งเจ้าหน้าคุ้มครองข้อมูลส่วนบุคคลของ กปส. (PRD Data Protection Officer : PRD DPO) โดยมีบทบาทและหน้าที่ตามกำหนดในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. 
    3.2 กปส. จะจัดทำนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. 
    3.3 กปส. จะจัดให้มีกระบวนการบริหารปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายกาคุ้มครองข้อมูลส่วนบุคคลของ กปส. อย่างต่อเนื่อง
    3.4 กปส. จะดำเนินการฝึกอบรมพนักงานของ กปส. อย่างสม่ำเสมอ เพื่อให้เจ้าหน้าที่ของ กปส.  ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าเจ้าหน้าที่และบุคลากรของ กปส. ที่เกี่ยวข้องทุกคนผ่านการฝึกอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายกาคุ้มครองข้อมูลส่วนบุคคลของ กปส.
4. การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
    4.1 กปส. จะประมวลผลข้อมูลส่วนบุคคลทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผล ข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย เป็นธรรม โปร่งใส และคำนึงถึงความถูกต้องของข้อมูลส่วนบุคคล ทั้งนี้การกำหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล และระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล ให้ทำได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทางการดำเนินการของ กปส. อีกทั้ง กปส. จะดำเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูล
ส่วนบุคคลอย่างเพียงพอ 
    4.2 กปส. จะจัดให้มีกระบวนการและการควบคุมเพื่อบริหารจัดการข้อมูลส่วนบุคคล ในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.
    4.3 กปส. จะจัดทำและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing : RoP) สำหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง
    4.4 กปส. จะจัดให้มีกระบวนการที่ชัดเจนเพื่อให้มั่นใจได้ว่าการแจ้งวัตถุประสงค์การเก็บรวบรวม และรายละเอียดการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) และการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย รวมทั้งจัดให้มีมาตรการดูแล และตรวจสอบในเรื่องดังกล่าว
    4.5 กปส. จะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไกการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
    4.6 ในกรณีที่ กปส. ส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล กปส. จะจัดทำข้อตกลงกับผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้น เพื่อกำหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.
    4.7 ในกรณีที่ กปส. ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศในบางกรณี กปส. อาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ (เช่น ประเทศสิงคโปร์ หรือสหรัฐอเมริกา เป็นต้น) เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ กปส. ที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
            อย่างไรก็ตาม ในขณะที่จัดทำนโยบายฉบับนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังมิได้มีประกาศกำหนดรายการประเทศปลายทางที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเมื่อ กปส. มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทาง กปส. จะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
            4.7.1 เป็นการปฏิบัติตามกฎหมายที่กำหนดให้ กปส. ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
            4.7.2 ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด 
            4.7.3 กปส. พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของการให้บริการ ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่ กปส. ใช้ ประกอบด้วย

            ในกรณีที่ กปส. มีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรม อาจมีผลทำให้ กปส. ไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน
            4.7.4 เป็นการกระทำตามสัญญาของ กปส. กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
            4.7.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้ 
            4.7.6 เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
        4.8 กปส. จะทำลายข้อมูล ส่วนบุคคลเมื่อครบกำหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมาย และแนวทางการดำเนินกิจกรรมของ กปส.
        4.9 กปส. จะประเมินความเสี่ยงและจัดทำมาตรการเพื่อบรรเทาความเสี่ยง และลดผลกระทบที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
5. ด้านการรองรับการใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
        กปส. จะจัดให้มีมาตรการ ช่องทาง และวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคล ใช้สิทธิของตนได้ตามที่กฎหมายกำหนด รวมทั้งจะดำเนินการบันทึก และประเมินผลการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
6. ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
        6.1 กปส. จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดำเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับอนุญาต
        6.2 กปส. จะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
        6.3 กปส. จะจัดให้มีกระบวนการแจ้งเจ้าของข้อมูลส่วนบุคคลรวมถึงเจ้าพนักงานของรัฐผู้ควบคุมข้อมูลส่วนบุคคล (ในกรณีที่ กปส. เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน) และบุคคลอื่นให้สอดคล้องกับกฎหมาย

7. ด้านการกำกับให้เกิดการปฏิบัติตามมาตรการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
        7.1 กปส. จะจัดให้มีกระบวนการติดตามในกรณีที่กฎหมายเปลี่ยนแปลงไป และปรับปรุงมาตรการคุ้มครองข้อมูลส่วนบุคคลให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
        7.2 กปส. จะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ เพื่อให้ทันสมัยสอดคล้องกับกฎหมายและสถานการณ์ในแต่ละช่วงเวลา

8. ข้อมูลที่มีการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
        กปส. จะเก็บรวบรวมข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็นและอย่างจำกัดต่อการปฏิบัติงานตามภารกิจของ กปส. เท่านั้น ซึ่งประกอบด้วย ข้อมูลคณะกรรมการ คณะอนุกรรมการ ที่ปรึกษา เจ้าหน้าที่ ลูกจ้าง ผู้ให้บริการภายนอก ผู้ร่วมทุน/ผู้ร่วมธุรกิจ ผู้รับทุน ผู้ติดต่อ/ผู้ประสานงาน ข้อมูลชื่อผู้ใช้งานระบบสารสนเทศ ข้อมูลจราจรทางคอมพิวเตอร์ และข้อมูลภาพเคลื่อนไหวจากการบันทึกกล้องวงจรปิดในบริเวณพื้นที่ของ กปส.
9. แหล่งที่มาของข้อมูลการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
        การเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลโดย กปส. นั้น อาจเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ข้อมูลโดยตรงกับ กปส. หรืออาจเป็นในกรณีที่ กปส. ได้รับข้อมูลส่วนบุคคลจากแหล่งอื่น เช่น การเก็บรวบรวมมาจากการจัดกิจกรรมของกปส. การจัดกิจกรรมร่วมกับหน่วยงานอื่น ๆ ซึ่งเป็นผู้รวบรวมข้อมูลหรือร่วมกันรวบรวมข้อมูล เป็นต้น กปส. เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
        9.1 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดย กปส. หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับ กปส. ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย กปส. เป็นต้น
        9.2 ข้อมูลที่ กปส. เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของ กปส. ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
        9.3 ข้อมูลส่วนบุคคลที่ กปส. เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ กปส. เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ กปส. มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้  
        นอกจากนี้ ยังหมายความรวมถึงกรณีที่ผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ กปส. ดังนี้ ผู้ให้ข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้ ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้น หากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ กปส.    
        ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการ    ของ กปส. อาจเป็นผลให้ กปส. ไม่สามารถให้บริการนั้นแก่ผู้ให้ข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

10. วัตถุประสงค์ของการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล
            กปส. จะจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อปฏิบัติงานตามภารกิจของ กปส. เพื่อปฏิบัติหน้าที่ตามสัญญา เพื่อพิสูจน์และยืนยันตัวตน เพื่อติดต่อสื่อสารและประสานงาน เพื่อให้เงินเดือน เงินชดเชย และสิทธิประโยชน์ของเจ้าหน้าที่ เพื่อปฏิบัติตามกฎหมาย และเพื่อติดตามตรวจสอบเกี่ยวกับความปลอดภัย 
           ทั้งนี้ กปส. ได้แจ้งวัตถุประสงค์ของการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมโดยชัดแจ้งแก่ กปส. ก่อนหรือในขณะประมวลผลข้อมูลส่วนบุคคล หรือตามที่กฎหมายให้สิทธิ กปส. สามารถประมวลผลข้อมูลส่วนบุคคลได้โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ต้องให้ความยินยอม
11. ระยะเวลาในการจัดเก็บข้อมูล และประมวลผลข้อมูลส่วนบุคคล
            กปส. จะจัดเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เป็นระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล หลักเกณฑ์ที่ใช้กำหนดระยะเวลาจัดเก็บ คือระยะเวลาที่ กปส. ได้ดำเนินความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคล และให้บริการแก่เจ้าของข้อมูลส่วนบุคคล และอาจจัดเก็บต่อไปตามระยะเวลาที่จำเป็น เพื่อการปฏิบัติตามกฎหมาย หรือตามอายุความทางกฎหมาย เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย
            ทั้งนี้เมื่อพ้นระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล กปส. จะดำเนินการลบหรือทำลายข้อมูลส่วนบุคคคลหรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อหมดความจำเป็นหรือสิ้นสุดตามระยะเวลาที่กำหนด
12. การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
            กปส. จะใช้และเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุไว้ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยอาจเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นและจำกัด ให้แก่ หน่วยงานกำกับดูแล ผู้ตรวจสอบภายนอก และหน่วยงานทางกฎหมายหรือหน่วยงานอื่น ๆ ตามกระบวนการทางกฎหมาย รวมถึงอาจมีการเปิดเผยข้อมูลตามข้อบังคับทางกฎหมาย หรือปฏิบัติตามคำสั่งทางกฎหมาย
13. สิทธิของเจ้าของข้อมูลส่วนบุคคล
     กปส. ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลให้มีสิทธิตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังต่อไปนี้
            13.1 สิทธิในการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับ กปส. ทั้งนี้เฉพาะกรณีที่เจ้าของข้อมูลส่วนบุคคลได้เคยให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลไว้กับกปส. โดยกปส. จะหยุดการประมวลผลข้อมูลส่วนบุคคลนั้น และหากพิจารณาแล้วว่าไม่มีความจำเป็นหรือไม่มีฐานโดยชอบด้วยกฎหมายอื่น ๆ ที่จะประมวลผลข้อมูลส่วนบุคคลนั้น กปส. จะลบหรือทำลายข้อมูลส่วนบุคคคล หรือทำให้ข้อมูลไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลส่วนบุคคลนั้นได้
            13.2 สิทธิในการขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล และสิทธิในการร้องขอให้เปิดเผยการได้มาของข้อมูลส่วนบุคคล โดยไม่กระทบต่อสิทธิเสรีภาพของบุคคลอื่น
            13.3 สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลรายอื่น ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไป
            13.4 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลเมื่อใดก็ได้
            13.5 สิทธิในการร้องขอให้ กปส. ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
            13.6 สิทธิในการขอให้ กปส. ระงับการใช้ข้อมูลส่วนบุคคลได้ 
            13.7 สิทธิในการร้องขอให้ กปส. ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
            13.8 สิทธิในการร้องเรียน กรณีที่กปส. หรือเจ้าหน้าที่ หรือผู้รับจ้างของ กปส. ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
        ทั้งนี้ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าว จะไม่ส่งผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ กปส. ได้ดำเนินการไปแล้วโดยชอบก่อนการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ดี กปส. อาจพิจารณาไม่ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีข้อยกเว้นตามกฎหมายหรือสัญญา เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลหรือเป็นการประมวลผลหรือเป็นการปฏิบัติตามคำสั่งศาลหรือหาก กปส. ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น โดย กปส. จะดำเนินการบันทึกคำร้องขอ ตรวจสอบ และตอบกลับคำร้องขอภายในระยะเวลาอันสมควร

14. มาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
          14.1 กปส. จะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไขหรือการเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งสอดคล้องกับการดำเนินงานของ กปส. และมาตรฐานที่รับรองโดยทั่วไป รวมถึงการกำหนดให้เจ้าหน้าที่ของ กปส. เข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล ในการนี้ กปส. จะมีการสอบทานและปรับปรุงมาตรการดังกล่าว ตามความจำเป็นเพื่อให้แน่ใจว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานและกฎหมาย
ที่เกี่ยวข้อง
          14.2 กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลส่วนบุคคลอย่างปลอดภัย และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ กปส. ดำเนินการมีดังนี้
            14.2.1 กำหนดนโยบายและขั้นตอนการปฏิบัติงานที่ชัดเจน เพื่อการคุ้มครองข้อมูลส่วนบุคคล
            14.2.2 จำกัดสิทธิของเจ้าหน้าที่ของกปส. ในการเข้าถึงข้อมูลส่วนบุคคล
            14.2.3 ป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตน และเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็นตามมาตรฐานสากล
            14.2.4 กำหนดให้คู่ค้าที่ทำธุรกิจกับกปส. มีหน้าที่ในการรักษาความลับ และต้องปฏิบัติตามหลักเกณฑ์ตามกฎหมายและระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด รวมถึงกำหนดข้อจำกัดการใช้ข้อมูลส่วนบุคคลในสัญญาที่องค์กร ทำกับคู่ค้าแต่ละราย
             14.2.5 ประเมินผลการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความมั่นคงปลอดภัยของข้อมูลของ กปส. อย่างสม่ำเสมอ
15. คุกกี้
            กปส. เก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกัน ในเว็บไซต์ที่อยู่ภายใต้ความดูแลของ กปส. เช่น www.prd.go.th หรือบนอุปกรณ์ของผู้ใช้บริการตามแต่บริการที่ใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของ กปส. และเพื่อให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของ กปส. และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของ กปส. ให้ตรงกับความต้องการของผู้ใช้บริการมากยิ่งขึ้น โดยผู้ใช้บริการสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) 
16. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ
            กรณีที่ กปส. ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอม ในการเก็บรวบรวมเป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ กปส. จะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
            กรณีที่ กปส. ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า กปส. ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ดังนี้ กปส. จะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก กปส. ไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว
17. สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
            พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดสิทธิของเจ้าของข้อมูล    ส่วนบุคคลไว้หลายประการ ทั้งนี้ สิทธิดังกล่าวจะเริ่มมีผลบังคับใช้เมื่อกฎหมายในส่วนของสิทธินี้มีผลใช้บังคับ โดย กปส. ได้ดำเนินการกำหนดสิทธิและชี้แจงรายละเอียดของสิทธิต่าง ๆ อ้างอิงตามแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล (Privacy Guideline)

18. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
            บริการของ กปส. อาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ กปส. ขอแนะนำให้ศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนการเข้าใช้งาน ทั้งนี้ กปส. ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
19. การทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคล
      กปส. มีนโยบายในการพัฒนาและทบทวนมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเป็นไปตามหลักธรรมาภิบาล และกฎหมายที่เกี่ยวข้อง กปส. จึงอาจปรับปรุงหรือแก้ไขนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงกฎหมายที่สำคัญ โดยองค์กรจะประกาศไว้ที่เว็บไซต์ของกปส. และ/หรือช่องทางอื่น ๆ ตามที่ กปส. เห็นสมควร  กปส. จึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายของกปส. ทุกครั้งที่มีการปรับปรุง เปลี่ยนแปลง หรือแก้ไข

20. บทบาท หน้าที่ และความรับผิดชอบ
     20.1 คณะผู้บริหาร กปส. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
            20.1.1 กำกับให้เกิดโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคล และการควบคุมภายในที่เกี่ยวข้องของ กปส. เพื่อให้เกิดการปฏิบัติตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.
            20.1.2 กำกับดูแลและสนับสนุนให้ กปส. ดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและสอดคล้องกับกฎหมาย
     20.2  คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ให้คณะทำงานธรรมาภิบาลข้อมูล (Data Governance Working Group) ทำหน้าที่เป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
            20.2.1 จัดให้มีโครงสร้างการกำกับดูแลข้อมูลส่วนบุคคลและการควบคุมภายในที่เกี่ยวข้อง รวมถึง นโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
            20.2.2 ประเมินประสิทธิภาพการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล     ของ กปส. และรายงานผลการประเมินดังกล่าวให้คณะผู้บริหาร กปส. ทราบเป็นประจำอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม
            20.2.3 กำหนดและทบทวนมาตรฐานการปฏิบัติงาน (Standards) และแนวปฏิบัติ (Guidelines) เพื่อให้การดำเนินกิจการของ กปส. สอดคล้องกับกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลของ กปส.
           20.2.4 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ กปส. (PRD DPO)
        20.3  ผู้บริหาร มีบทบาทหน้าที่ และความรับผิดชอบในการติดตามการควบคุมให้หน่วยงานที่ดูแลปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของ กปส. และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้นกับพนักงาน และเจ้าหน้าที่ของ กปส.
        20.4  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของ กปส. (PRD DPO) มีบทบาท หน้าที่ และความรับผิดชอบตามที่กฎหมายกำหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
                20.4.1 รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบอย่างสม่ำเสมอ และจัดทำข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของ กปส. ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
                20.4.2 ให้คำแนะนำพนักงานของ กปส. เกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.
                20.4.3 ตรวจสอบการดำเนินงานของสำนัก กลุ่มงาน และแผนกต่าง ๆ ใน กปส. ให้เป็นไปตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.

        20.5 พนักงาน เจ้าหน้าที่ของ กปส. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
                20.5.1 ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และ เอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล 
                20.5.2 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. ให้ผู้บังคับบัญชาทราบ
21. โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส.
            การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. อาจมีความผิด และถูกลงโทษทางวินัย รวมทั้งอาจได้รับโทษตามที่กฎหมายกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ กปส. ฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป ตามมติคณะกรรมการบริหาร กปส.
22. การติดต่อกับกปส.
        ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย มีข้อเสนอแนะ ต้องการร้องขอ ร้องเรียน หรือพบปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สามารถติดต่อเพื่อแจ้งให้ กปส. ได้รับทราบตามที่อยู่ด้านล่างนี้
        ที่อยู่ : กรมประชาสัมพันธ์ เลขที่ 9 ซอยพระราม 6 ซอย 30 ถนนพระราม 6 แขวงพญาไท เขตพญาไท กรุงเทพมหานคร 10400 โทรศัพท์ : 0 2618 2323 E-mail : pdpa@prd.go.th

ทั้งนี้ กปส. ได้มีการดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อตรวจสอบการดำเนินงานของหน่วยงานภายใน และผู้ให้บริการภายนอกที่ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลให้แก่องค์กร ให้ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล 
และกฎหมายที่เกี่ยวข้องอื่น ๆ