eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างบริหารจัดการความสัมพันธ์ของลูกค้า (Customer Relationship Management CRM)

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย 69059241253
฿21,000,000 ปีงบ 2569 ประกาศ 4 มิ.ย. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) เปิดประกวดราคาจ้างบริหารจัดการความสัมพันธ์ของลูกค้า (Customer Relationship Management - CRM) ด้วยเงินประมาณ 20,000,000 บาท (ยี่สิบล้านบาทถ้วน) สำหรับดำเนินการตลอดอายุสัญญาทั้งหมด 13 รอบงาน แต่รวมปิดโครงการเลยศอกนหมือนวลตประจำรอบ แต่แบ่งตามวิธีรัฐ

โครงงานครอบคลุมทั้งการ Management CRM บน LINE Official Account @MRTA และ Privacy Notice / Dialog Strategy Incent / Privileges Coord โดยแนวตามหลัง เป็น MVP Grand Deliver ที่ อี้เน้น Partnership &
Presents Partner ที่สามานำ Insight Award / Dashboard ศูนย์รวม Demo จะดำเนินการที่อยู่แตกต่างออก Art Track Template Services integration modules

การร่วมต่างนนั้นเสริมภาพงานย่อยเสนอ Required Segmentation เช่น Gift For Platform Domain ย่อยต่างๆ *RDF Final Year >
เริ่มจาก Kickoff Meeting ~800Line AO Annual Campaign ด้วย 117 Targets +
20 Effect Action per Fost.

สิ่ง Security Update Policy PB Apply ครอบ ** Security Step -
Penter Ring pen Physical Acceptance Feature ต CERN รฟ **ภาพ

English summary

The Mass Rapid Transit Authority of Thailand (MRTA) announced a procurement bidding for a Customer Relationship Management (CRM) project at an estimated budget of 20,000,000 Baht. End Contractor through the Build designed project and implementation plan of CRM integration purely dominated around custom manage and building online user interaction that fit . At initial main product route fully mobile partner call service blueprint at LINE systems as the pivot .

Pre deliver capabilities onto needs chart online plan using internal interaction style point adoption Mobile set ups fully and raw to .

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • เสริมสร้าง Loyalty and Relationship ค บ Policy view 3 goal element through setting clear Loyalty relationship Program

  • แก้พื้นฐานปัญหา Solid User Integ/ Face section every each loop End2 consumer way through clear requirement by Build structure appropriate secure front the < /12 every each phrase segment safe segment ทน

ข้อ Admin level Core database Secure awareness right aligning design at run

  • Call Optim B C Direct best K content box as social gather strong

  • Om from Low Process Loyal

Head Activity Tray

Infinite community In this piece On

5 secure re acceptance image Compliance with Part Off Secure - - Plan work Correct Compliance TOR pattern (IS so works back.

_ data Pr secure site using to Store offline User correctly Over such C Requirement Law right etc guidelines PDP will Force …
Training Head adequate sec Standard Agency etc General State digital market level

  • full team training , handbook Compre person.
  • set Resource Provider with proper A / review

** Content …
Objective such constant further Connect status meeting sec staff involve stream program project final Correct not The etc to Close**.

= Give Integrated Marketing create integration road Alignment sale

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

×Ăïđ×ê×ĂÜÜćî
ÜćîÝšćÜïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć (Customer Relationship Management: CRM) 1. ĀúĆÖÖćøĒúąđĀêčñú
ÖćøøëĕôôŜć×îÿŠÜöüúßîĒĀŠÜðøąđìýĕì÷ (øôö.) đðŨîøĆåüĉÿćĀÖĉÝìĊęéĞćđîĉîíčøÖĉÝđÖĊę÷üÖĆïÖĉÝÖćøøëĕôôŜć ĒúąíčøÖĉÝĂČęîđóČęĂðøąē÷ßîŤĒÖŠ øôö. ĀøČĂðøąßćßî ēé÷ÖúčŠöúĎÖÙšćàċęÜđðŨîĀîċęÜĔîÖúčŠöñĎšöĊÿŠüîĕéšÿŠüîđÿĊ÷ìĊęÿĞćÙĆâ ×ĂÜ øôö. ðøąÖĂïéšü÷ ñĎšĔßšïøĉÖćøøëĕôôŜć ñĎšĔßšïøĉÖćøĂćÙćøĒúąúćîÝĂéøë ĒúąñĎšđߊćĂÿĆÜĀćøĉöìøĆó÷Ť ×ĂÜ øôö. öĊÙüćöêšĂÜÖćø ÙüćöÙćéĀüĆÜìĊęĕéšøĆïÿĉîÙšćĀøČĂïøĉÖćøìĊęöĊöćêøåćî öĊÙčèõćó ĒúąÙčšöÙŠć
øôö. öĊÙüćöÝĞćđðŨîêšĂÜðøĆïðøčÜÖøąïüîÖćøéĞćđîĉîÜćîéšćîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšć ñŠćîߊĂÜìćÜ LINE Official Account: @MRTA đóČęĂđðŨîđÙøČęĂÜöČĂĔîÖćøÿČęĂÿćøÖćøêúćéđßĉÜøčÖ ÷ÖøąéĆï ðøąÿïÖćøèŤĒúąđóĉęöðøąÿĉìíĉõćóĔîÖćøĔĀšïøĉÖćø àċęÜݹߊü÷ĔĀšøôö. đךćĔÝóùêĉÖøøö ÙüćöêšĂÜÖćø ĒúąÙüćöÙćéĀüĆÜ×ĂÜÖúčŠöúĎÖÙšćđðŜćĀöć÷ĔîđßĉÜúċÖ ĂĆîÝąîĞćĕðÿĎŠÖćøĂĂÖĒïïÖú÷čìíŤÖćøêúćé ÖćøðøąßćÿĆöóĆîíŤĒúąÖćøÿøšćÜÙüćöøŠüööČĂìćÜíčøÖĉÝìĊęêĂïÿîĂÜêŠĂÙüćöêšĂÜÖćø×ĂÜñĎšĔßšïøĉÖćøĕéšĂ÷ŠćÜ êøÜÝčé ĒúąöĊðøąÿĉìíĉñúÿĎÜÿčé
éĆÜîĆĚî øôö. ÝċÜöĊÙüćöðøąÿÜÙŤĔîÖćøüŠćÝšćÜéĞćđîĉîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤúĎÖÙšć (CRM) ñŠćî LINE Official Account: @MRTA đóČęĂÿîĆïÿîčîÖćøêúćéđßĉÜíčøÖĉÝ ĒúąÖćøüćÜÖú÷čìíŤéšćîÖćøêúćé đóČęĂĔĀšÿćöćøëîĞćđìÙēîēú÷ĊéĉÝĉìĆúöćðøĆïðøčÜÖøąïüîÖćøìĞćÜćîìĊęđÖĊę÷üךĂÜÖĆïúĎÖÙšć ÖćøĔĀšïøĉÖćø ÖćøđךćëċÜ ÙüćöêšĂÜÖćø×ĂÜðøąßćßîĔîÖćøĔßšïøĉÖćøĒúąÖćøÿČęĂÿćøĔĀšöĊðøąÿĉìíĉõćóöćÖ×ċĚî øüöëċÜđóČęĂ÷ÖøąéĆï ðøąÿïÖćøèŤúĎÖÙšć×ĂÜ øôö. ÝćÖÖćøöĂïÿĉìíĉóĉđýþĔîøĎðĒïïêŠćÜ ė ñŠćîÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćÝćÖ øôö. ĒúąÖćøđÿøĉöÿøšćÜõćóúĆÖþèŤìĊęìĆîÿöĆ÷ĔĀšÖĆïĂÜÙŤÖø

/2. üĆêëčðøąÿÜÙŤ…

  • 2 -
  1. üĆêëčðøąÿÜÙŤ
    2.1 đóČęĂïĎøèćÖćøåćîךĂöĎúúĎÖÙšć×ĂÜ øôö. ĔĀšÿćöćøëîĞćĕðĔßšðøąē÷ßîŤĕéšĂ÷ŠćÜöĊðøąÿĉìíĉõćó Ēúą ÷ÖøąéĆïðøąÿïÖćøèŤ×ĂÜúĎÖÙšć ñŠćîÖćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć
    2.2 đóČęĂĂĂÖĒïïÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×šĂÜúĎÖÙšć (Customer Relationship Management: CRM) ñŠćîĒóúêôĂøŤö LINE Official Account: @MRTA đóČęĂđðŨîđÙøČęĂÜöČĂĔîÖćøÿČęĂÿćøÖćøêúćéđßĉÜøčÖ ÷ÖøąéĆïðøąÿïÖćøèŤĒúąđóĉęöðøąÿĉìíĉõćóĔîÖćøĔĀšïøĉÖćø
    2.3 đóČęĂÿŠÜđÿøĉöÖćøêúćéđßĉÜøčÖÝćÖÖćøïĎøèćÖćøךĂöĎúÝćÖÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤúĎÖÙšć (Customer Relationship Management: CRM) đóČęĂÙüćöøŠüööČĂÖĆïóĆîíöĉêøìćÜíčøÖĉÝ
  2. ÙčèÿöïĆêĉ×ĂÜñĎšøĆïÝšćÜ
    3.1 öĊÙüćöÿćöćøëêćöÖãĀöć÷
    3.2 ĕöŠđðŨîïčÙÙúúšöúąúć÷
    3.3 ĕöŠĂ÷ĎŠøąĀüŠćÜđúĉÖÖĉÝÖćø
    3.4 ĕöŠđðŨîïčÙÙúàċęÜĂ÷ĎŠøąĀüŠćÜëĎÖøąÜĆïÖćø÷ČęîךĂđÿîĂĀøČĂìĞćÿĆââćÖĆïĀîŠü÷Üćî×ĂÜøĆåĕüšßĆęüÙøćü đîČęĂÜÝćÖđðŨîñĎšìĊęĕöŠñŠćîđÖèæŤÖćøðøąđöĉîñúÖćøðäĉïĆêĉÜćî×ĂÜñĎšðøąÖĂïÖćøêćöøąđïĊ÷ïìĊęøĆåöîêøĊüŠćÖćø ÖøąìøüÜÖćøÙúĆÜÖĞćĀîéêćöìĊęðøąÖćýđñ÷ĒóøŠĔîøąïïđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜÖøöïĆâßĊÖúćÜ)
    3.5 ĕöŠđðŨîïčÙÙúàċęÜëĎÖøąïčßČęĂĕüšĔîïĆâßĊøć÷ßČęĂñĎšìĉĚÜÜćîĒúąĕéšĒÝšÜđüĊ÷îßČęĂĔĀšđðŨîñĎšìĉĚÜÜćî×ĂÜĀîŠü÷Üćî ×ĂÜøĆåĔîøąïïđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜÖøöïĆâßĊÖúćÜ àċęÜøüöëċÜîĉêĉïčÙÙúìĊęñĎšìĉĚÜÜćîđðŨîĀčšîÿŠüîñĎšÝĆéÖćøÖøøöÖćø ñĎšÝĆéÖćø ñĎšïøĉĀćø ĀøČĂñĎšöĊĂĞćîćÝĔîÖćøéĞćđîĉîÜćîĔîÖĉÝÖćø×ĂÜîĉêĉïčÙÙúîĆĚîéšü÷)
    3.6 öĊÙčèÿöïĆêĉĒúąĕöŠöĊúĆÖþèąêšĂÜĀšćöêćöìĊęÙèąÖøøöÖćøîē÷ïć÷ÖćøÝĆéàČĚĂÝĆéÝšćÜĒúąÖćøïøĉĀćøóĆÿéč õćÙøĆåðøąÖćýÖĞćĀîéĔîøćßÖĉÝÝćîčđïÖþć
    3.7 đðŨîîĉêĉïčÙÙúñĎšöĊĂćßĊóøĆïÝšćÜÜćîìĊęðøąÖüéøćÙćĂĉđúĘÖìøĂîĉÖÿŤéĆÜÖúŠćü
    3.8 ĕöŠđðŨîñĎšöĊñúðøąē÷ßîŤøŠüöÖĆîÖĆïñĎš÷ČęîךĂđÿîĂøć÷ĂČęîìĊęđךć÷ČęîךĂđÿîĂĔĀšĒÖŠ øôö. è üĆîðøąÖćý ðøąÖüéøćÙćĂĉđúĘÖìøĂîĉÖÿŤĀøČĂĕöŠđðŨîñĎšÖøąìĞćÖćøĂĆîđðŨîÖćø×Ćé×üćÜÖćøĒ׊Ü×ĆîĂ÷ŠćÜđðŨîíøøö ĔîÖćø ðøąÖüéøćÙćĂĉđúĘÖìøĂîĉÖÿŤÙøĆĚÜîĊĚ
    3.9 ĕöŠđðŨîñĎšĕéšøĆïđĂÖÿĉìíĉĝĀøČĂÙüćöÙčšöÖĆî àċęÜĂćÝðäĉđÿíĕöŠ÷Ăö×ċĚîýćúĕì÷ đüšîĒêŠøĆåïćú×ĂÜñĎš÷ČęîךĂđÿîĂ ĕéšöĊÙĞćÿĆęÜĔĀšÿúąđĂÖÿĉìíĉĝĒúąÙüćöÙčšöÖĆîđߊîüŠćîĆĚî
    3.10 ñĎš÷ČęîךĂđÿîĂìĊę÷ČęîךĂđÿîĂĔîøĎðĒïï×ĂÜ “ÖĉÝÖćøøŠüöÙšć” êšĂÜöĊÙčèÿöïĆêĉéĆÜîĊĚ
    3.10.1 ÖćøÖĞćĀîéÿĆéÿŠüîĔîÖćøđךćøŠüöÙšć×ĂÜÙĎŠÿĆââć
    ÖøèĊìĊęךĂêÖúÜĄ ÖĞćĀîéĔĀšñĎšđךćøŠüöÙšćøć÷Ĕéøć÷ĀîċęÜđðŨîñĎšđךćøŠüöÙšćĀúĆÖ ×šĂêÖúÜĄ ÝąêšĂÜöĊ ÖćøÖĞćĀîéÿĆéÿŠüîĀîšćìĊęĒúąÙüćöøĆïñĉéßĂïĔîðøĉöćèÜćî ÿĉęÜ×ĂÜ ĀøČĂöĎúÙŠćêćöÿĆââć×ĂÜñĎšđךćøŠüöÙšć
    ĀúĆÖöćÖÖüŠćñĎšđךćøŠüöÙšćøć÷ĂČęîìčÖøć÷

/3.10.2…

  • 3 -
    3 10 2 ÖøèĊìĊęךĂêÖúÜĄǰÖĞćĀîéĔĀšñĎšđךćøŠüöÙšćøć÷Ĕéøć÷ĀîċęÜđðŨîñĎšđךćøŠüöÙšćĀúĆÖÖĉÝÖćøøŠüöÙšćîĆĚî êšĂÜĔßšñúÜćî×ĂÜñĎšđךćøŠüöÙšćĀúĆÖøć÷đéĊ÷üđðŨîñúÜćî×ĂÜÖĉÝÖćøøŠüöÙšćìĊę÷ČęîךĂđÿîĂ
    ÿĞćĀøĆïךĂêÖúÜĄǰìĊęĕöŠĕéšÖĞćĀîéĔĀšñĎšđךćøŠüöÙšćøć÷ĔéđðŨîñĎšđךćøŠüöÙšćĀúĆÖñĎšđךćøŠüöÙšćìčÖøć÷ÝąêšĂÜöĊ ÙčèÿöïĆêĉÙøïëšüîêćöđÜČęĂîĕ×ìĊęÖĞćĀîéĕüšĔîđĂÖÿćøđßĉâßüîǰĀøČĂĀîĆÜÿČĂđßĉâßüî
    3 10 3 Öćø÷ČęîךĂđÿîĂ×ĂÜÖĉÝÖćøøŠüöÙšć
    1ǰÖøèĊìĊęךĂêÖúÜĄǰÖĞćĀîéĔĀšöĊÖćøöĂïĀöć÷ñĎšđךćøŠüöÙšćøć÷Ĕéøć÷ĀîċęÜđðŨîñĎš÷ČęîךĂđÿîĂĔîîćö ÖĉÝÖćøøŠüöÙšćǰÖćø÷ČęîךĂđÿîĂéĆÜÖúŠćüĕöŠêšĂÜöĊĀîĆÜÿČĂöĂïĂĞćîćÝ
    ÿĞćĀøĆïךĂêÖúÜĄǰìĊęĕöŠĕéšÖĞćĀîéĔĀšñĎšđךćøŠüöÙšćøć÷ĔéđðŨîñĎš÷ČęîךĂđÿîĂǰñĎšđךćøŠüöÙšćìčÖøć÷ÝąêšĂÜ úÜúć÷öČĂßČęĂĔîĀîĆÜÿČĂöĂïĂĞćîćÝĔĀšñĎšđךćøŠüöÙšćøć÷Ĕéøć÷ĀîċęÜđðŨîñĎš÷ČęîךĂđÿîĂĔîîćöÖĉÝÖćøøŠüöÙšćć 2ǰÖćø÷ČęîךĂđÿîĂéšü÷üĉíĊðøąÖüéøćÙćĂĉđúĘÖìøĂîĉÖÿŤǰ e bidding ĔĀšñĎšđךćøŠüöÙšćìĊęĕéšøĆï öĂïĀöć÷ĀøČĂöĂïĂĞćîćÝêćöךĂǰ éĞćđîĉîÖćøàČĚĂĒúąéćüîŤēĀúéđĂÖÿćøðøąÖüéøćÙćĂĉđúĘÖìøĂîĉÖÿŤǰ ÖøèĊìĊęöĊÖćøÝĞćĀîŠć÷đĂÖÿćøÝšćÜìĞć×ĂÜÝċÜÝąöĊÿĉìíĉĝĔîÖćøđךć÷ČęîךĂđÿîĂĔîîćöÖĉÝÖćøøŠüöÙšćĕéš 3 11 ñĎš÷ČęîךĂđÿîĂêšĂÜúÜìąđïĊ÷îìĊęöĊךĂöĎúëĎÖêšĂÜÙøïëšüîĔîøąïïÝĆéàČĚĂÝĆéÝšćÜõćÙøĆåéšü÷ĂĉđúĘÖìøĂîĉÖÿŤǰ Electronic Government Procurement ǰe GP ×ĂÜÖøöïĆâßĊÖúćÜ
    3 12 ñĎš÷ČęîךĂđÿîĂêšĂÜöĊöĎúÙŠćÿčìíĉ×ĂÜÖĉÝÖćøǰéĆÜîĊĚ
    13 12 1 ÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷ĕì÷ĀøČĂêŠćÜðøąđìýàċęÜĕéšÝé ìąđïĊ÷îđÖĉîÖüŠćǰ1 ðŘǰêšĂÜöĊöĎúÙŠćÿčìíĉ×ĂÜÖĉÝÖćøǰÝćÖñúêŠćÜøąĀüŠćÜÿĉîìøĆó÷ŤÿčìíĉĀĆÖéšü÷ĀîĊĚÿĉîÿčìíĉìĊęðøćÖäĔî ÜïĒÿéÜåćîąÖćøđÜĉîìĊęöĊÖćøêøüÝøĆïøĂÜĒúšüǰàċęÜÝąêšĂÜĒÿéÜÙŠćđðŨîïüÖǰ1 ðŘÿčéìšć÷ÖŠĂîüĆî÷ČęîךĂđÿîĂÜïĒÿéÜ åćîąÖćøđÜĉîǰ ǰðŘÿčéìšć÷ÖŠĂîüĆî÷ČęîךĂđÿîĂǰĀöć÷ëċÜǰÜïĒÿéÜåćîąÖćøđÜĉî÷šĂîĕðÖŠĂîüĆîìĊęĀîŠü÷Üćî×ĂÜøĆå ÖĞćĀîéĔĀšđðŨîüĆî÷ČęîךĂđÿîĂǰ ǰðŘðäĉìĉîǰđüšîĒêŠÖøèĊîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷ĕì÷ĀćÖüĆî÷ČęîךĂđÿîĂđðŨî ߊüÜøą÷ąđüúćìĊęÖøöóĆçîćíčøÖĉÝÖćøÙšćÖĞćĀîéĔĀšîĉêĉïčÙÙú÷ČęîÜïĒÿéÜåćîąÖćøđÜĉîÖĆïÖøöóĆçîćíčøÖĉÝÖćøÙšćǰ àċęÜÝąĂ÷ĎĔîߊüÜđéČĂîöÖøćÙöǰ đéČĂîóùþõćÙöǰ×ĂÜìčÖðŘǰēé÷îĉêĉïčÙÙúìĊęđðŨîñĎš÷ČęîךĂđÿîĂîĆĚî÷ĆÜĂ÷ĎŠĔîߊüÜ×ĂÜ Öćø÷ČęîÜïĒÿéÜåćîąÖćøđÜĉîÖĆïÖøöóĆçîćíčøÖĉÝÖćøÙšćǰÙČĂǰߊüÜđéČĂîöÖøćÙö đéČĂîóùþõćÙöǰÖøèĊîĊĚĔĀš ÿćöćøë÷ČęîÜïĒÿéÜåćîąÖćøđÜĉî÷šĂîĕðĂĊÖǰ1 ðŘǰĕéš
    ǰǰ ǰÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷ĕì÷ǰàċęÜ÷ĆÜĕöŠöĊÖćøøć÷ÜćîǰÜïĒÿéÜ åćîąÖćøđÜĉîÖĆïÖøöóĆçîćíčøÖĉÝÖćøÙšćǰĀøČĂÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷êŠćÜðøąđìý àċęÜ÷ĆÜĕöŠöĊÖćøøć÷ÜćîÜïĒÿéÜåćîąÖćøđÜĉîǰĔĀšóĉÝćøèćÖćøÖĞćĀîéöĎúÙŠć×ĂÜìčîÝéìąđïĊ÷îǰēé÷ñĎš÷ČęîךĂđÿîĂ ÝąêšĂÜöĊìčîÝéìąđïĊ÷îìĊęđøĊ÷ÖßĞćøąöĎúÙŠćĀčšîĒúšüǰèǰüĆîìĊę÷ČęîךĂđÿîĂǰĕöŠêęĞćÖüŠć 8 úšćîïćìǰ
    ǰǰǰ ļ
  • 4 -
    ǰǰǰ ǰÿĞćĀøĆïÖćøÝĆéàČĚĂÝĆéÝšćÜÙøĆĚÜĀîċęÜìĊęöĊüÜđÜĉîđÖĉîǰ ,000 ïćì×ċĚîĕðÖøèĊñĎš÷ČęîךĂđÿîĂđðŨî ïčÙÙúíøøöéćĔĀšóĉÝćøèćÝćÖĀîĆÜÿČĂøĆïøĂÜïĆâßĊđÜĉîòćÖĕöŠđÖĉîǰ üĆîǰÖŠĂîüĆî÷ČęîךĂđÿîĂēé÷êšĂÜöĊđÜĉîòćÖ ÙÜđĀúČĂĔîïĆâßĊíîćÙćøđðŨîöĎúÙŠćǰ Ĕîǰ ×ĂÜöĎúÙŠćÜïðøąöćè×ĂÜēÙøÜÖćøĀøČĂøć÷ÖćøìĊę÷ČęîךĂđÿîĂĔîĒêŠúą ÙøĆĚÜǰĒúąĀćÖđðŨîñĎšßîąÖćøÝĆéàČĚĂÝĆéÝšćÜĀøČĂđðŨîñĎšĕéšøĆïÖćøÙĆéđúČĂÖÝąêšĂÜĒÿéÜĀîĆÜÿČĂøĆïøĂÜïĆâßĊđÜĉîòćÖìĊęöĊ öĎúÙŠćéĆÜÖúŠćüĂĊÖÙøĆĚÜĀîċęÜĔîüĆîúÜîćöĔîÿĆââć
    ǰÖøèĊìĊęñĎš÷ČęîךĂđÿîĂĕöŠöĊöĎúÙŠćÿčìíĉ×ĂÜÖĉÝÖćøĀøČĂìčîÝéìąđïĊ÷îĀøČĂöĊĒêŠĕöŠđóĊ÷ÜóĂìĊęÝąđךć ÷ČęîךĂđÿîĂǰÿćöćøëéĞćđîĉîÖćøĕéšéĆÜîĊĚ
    ǰÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷ĕì÷ǰĀøČĂïčÙÙúíøøöéćìĊęëČĂ ÿĆâßćêĉĕì÷ǰñĎš÷ČęîךĂđÿîĂÿćöćøë×ĂüÜđÜĉîÿĉîđßČęĂǰēé÷êšĂÜöĊüÜđÜĉîÿĉîđßČęĂǰ1 Ĕîǰ4 ×ĂÜöĎúÙŠćÜïðøąöćè×ĂÜ ēÙøÜÖćøĀøČĂøć÷ÖćøìĊę÷ČęîךĂđÿîĂĔîĒêŠúąÙøĆĚÜǰÝąđðŨîÿĉîđßČęĂìĊęíîćÙćøõć÷ĔîðøąđìýĀøČĂïøĉþĆìđÜĉîìčîĀøČĂ ïøĉþĆìđÜĉîìčîĀúĆÖìøĆó÷ŤìĊęĕéšøĆïĂîčâćêĔĀšðøąÖĂïÖĉÝÖćøđÜĉîìčîđóČęĂÖćøóćèĉß÷ŤĒúąðøąÖĂïíčøÖĉÝÙĚĞćðøąÖĆîêćö ðøąÖćý×ĂÜíîćÙćøĒĀŠÜðøąđìýĕì÷ǰêćöøć÷ßČęĂïøĉþĆìđÜĉîìčîìĊęíîćÙćøĒĀŠÜðøąđìýĕì÷ĒÝšÜđüĊ÷îĔĀšìøćïǰēé÷ óĉÝćøèćÝćÖ÷ĂéđÜĉîøüö×ĂÜüÜđÜĉîÿĉîđßČęĂìĊęÿĞćîĆÖÜćîĔĀâŠøĆïøĂÜĀøČĂìĊęÿĞćîĆÖÜćîÿć×ćøĆïøĂÜǰ ÖøèĊĕéšøĆïöĂï ĂĞćîćÝÝćÖÿĞćîĆÖÜćîĔĀâŠǰàċęÜĂĂÖĔĀšĒÖŠñĎš÷ČęîךĂđÿîĂǰîĆïëċÜüĆî÷ČęîךĂđÿîĂĕöŠđÖĉîǰ90 üĆî
    ǰÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷êŠćÜðøąđìýĀøČĂïčÙÙúíøøöéćìĊę öĉĕéšëČĂÿĆâßćêĉĕì÷ǰñĎš÷ČęîךĂđÿîĂÿćöćøë×ĂüÜđÜĉîÿĉîđßČęĂǰēé÷êšĂÜöĊüÜđÜĉîÿĉîđßČęĂǰ1 Ĕîǰ4 ×ĂÜöĎúÙŠćÜïðøąöćè ×ĂÜēÙøÜÖćøĀøČĂøć÷ÖćøìĊę÷ČęîךĂđÿîĂĔîĒêŠúąÙøĆĚÜǰÝąđðŨîÿĉîđßČęĂìĊęíîćÙćøõć÷ĔîðøąđìýǰĀøČĂïøĉþĆìđÜĉîìčîĀøČĂ ïøĉþĆìđÜĉîìčîĀúĆÖìøĆó÷ŤìĊęĕéšøĆïĂîčâćêĔĀšðøąÖĂïÖĉÝÖćøđÜĉîìčîđóČęĂÖćøóćèĉß÷ŤĒúąðøąÖĂïíčøÖĉÝÙĚĞćðøąÖĆîêćö ðøąÖćý×ĂÜíîćÙćøĒĀŠÜðøąđìýĕì÷ǰêćöøć÷ßČęĂïøĉþĆìđÜĉîìčîìĊęíîćÙćøĒĀŠÜðøąđìýĕì÷ĒÝšÜđüĊ÷îĔĀšìøćïǰĀøČĂ đðŨîÿĉîđßČęĂìĊęíîćÙćøêŠćÜðøąđìýĀøČĂïøĉþĆìđÜĉîìčîĀúĆÖìøĆó÷ŤìĊęĕéšøĆïĂîčâćêĔĀšðøąÖĂïÖĉÝÖćøđÜĉîìčîđóČęĂÖćø óćèĉß÷ŤĒúąðøąÖĂïíčøÖĉÝÙĚĞćðøąÖĆîêćöðøąÖćý×ĂÜíîćÙćøÖúćÜêŠćÜðøąđìýîĆĚîǰêćöøć÷ßČęĂïøĉþĆììĊęíîćÙćø ÖúćÜêŠćÜðøąđìýîĆĚîĒÝšÜđüĊ÷îĔĀšìøćïēé÷óĉÝćøèćÝćÖ÷ĂéđÜĉîøüö×ĂÜüÜđÜĉîÿĉîđßČęĂìĊęÿĞćîĆÖÜćîĔĀâŠøĆïøĂÜǰĀøČĂ ìĊęÿĞćîĆÖÜćîÿć×ćøĆïøĂÜǰ ÖøèĊĕéšøĆïöĂïĂĞćîćÝÝćÖÿĞćîĆÖÜćîĔĀâŠǰàċęÜĂĂÖĔĀšĒÖŠñĎš÷ČęîךĂđÿîĂǰîĆïëċÜüĆî÷Čęî ךĂđÿîĂĕöŠđÖĉîǰ90 üĆî
    ǰǰǰ ǰÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîîĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷êŠćÜðøąđìýĀøČĂïčÙÙúíøøöéćìĊęöĉĕéš ëČĂÿĆâßćêĉĕì÷êćöךĂǰ2 ךĂǰ3 Ēúą×šĂǰ4 2 öĎúÙŠćÝąêšĂÜđðŨîĕðêćöĂĆêøćĒúÖđðúĊę÷îđÜĉîêøćêćöðøąÖćý ìĊęíîćÙćøĒĀŠÜðøąđìýĕì÷ÖĞćĀîéǰĔîߊüÜøąĀüŠćÜüĆîìĊęđñ÷ĒóøŠðøąÖćýĒúąđĂÖÿćøðøąÖüéøćÙćĔîøąïïÝĆéàČĚĂ ÝĆéÝšćÜõćÙøĆåéšü÷ĂĉđúĘÖìøĂîĉÖÿŤǰ e GP ÝîëċÜüĆîđÿîĂøćÙćìĆĚÜîĊĚǰñĎš÷ČęîךĂđÿîĂÝąêšĂÜ÷ČęîđĂÖÿćøìĊęĒÿéÜĔĀšđĀĘî ëċÜךĂöĎúđÖĊę÷üÖĆïöĎúÙŠćÿčìíĉ×ĂÜÖĉÝÖćøĒúšüĒêŠÖøèĊǰðøąÖĂïÖĆïđĂÖÿćøéĆÜÖúŠćüÝąêšĂÜñŠćîÖćøøĆïøĂÜêćöøąđïĊ÷ï ÖøąìøüÜÖćøêŠćÜðøąđìýüŠćéšü÷ÖćøøĆïøĂÜđĂÖÿćøǰó ý ǰ2539 ĒúąìĊęĒÖšĕ×đóĉęöđêĉöÖĞćĀîéǰēé÷ÝąêšĂÜ÷ČęîđĂÖÿćø éĆÜÖúŠćüĔîüĆî÷ČęîךĂđÿîĂǰĀćÖñĎš÷ČęîךĂđÿîĂöĉĕéšöĊÖćø÷ČęîđĂÖÿćøéĆÜÖúŠćüöćóøšĂöÖĆïÖćø÷ČęîךĂđÿîĂĔĀšëČĂüŠćñĎš÷Čęî ךĂđÿîĂøć÷îĆĚî÷ČęîđĂÖÿćøĕöŠÙøïëšüîêćöđÜČęĂîĕ×ìĊęÖĞćĀîéĕüšĔîđĂÖÿćøðøąÖüéøćÙć
    ǰǰǰ ļ
  • 5 -
    3.12.6 ÖøèĊêćöךà 3.12.1 - ךà 3.12.5 ĕöŠĔßšïĆÜÙĆïÖĆïÖøèĊéĆÜêŠĂĕðîĊĚ
  1. ÖøèĊìĊęñĎš÷ČęîךĂđÿîĂđðŨîĀîŠü÷Üćî×ĂÜøĆåõć÷Ĕîðøąđìý
  2. îĉêĉïčÙÙúìĊęÝĆéêĆĚÜ×ċĚîêćöÖãĀöć÷ĕì÷ìĊęĂ÷ĎŠøąĀüŠćÜÖćøôŚŪîôĎÖĉÝÖćøêćöóøąøćßïĆââĆêĉ úšöúąúć÷ ó.ý. 2483 ĒúąìĊęĒÖšĕ×đóĉęöđêĉö
  3. ÜćîÝšćÜÖŠĂÿøšćÜìĊęÖøöïĆâßĊÖúćÜĕéš×ċĚîìąđïĊ÷îñĎšðøąÖĂïÖćøÜćîÖŠĂÿøšćÜĒúšü ĒúąÜćî ÝšćÜÖŠĂÿøšćÜìĊęĀîŠü÷Üćî×ĂÜøĆåìĊęĕéšöĊÖćøÝĆéìĞćïĆâßĊñĎšðøąÖĂïÖćøÜćîÖŠĂÿøšćÜìĊęöĊÙčèÿöïĆêĉđïČĚĂÜêšîĕüšĒúšüÖŠĂî üĆîìĊęóøąøćßïĆââĆêĉÖćøÝĆéàČĚĂÝĆéÝšćÜĄ öĊñúĔßšïĆÜÙĆï
    4)ÖćøÝĆéàČĚĂÝĆéÝšćÜêćööćêøć 56üøøÙĀîċęÜ (2) (×) Ēúą (Ù) ĒĀŠÜóøąøćßïĆââĆêĉÖćøÝĆéàČĚĂÝĆéÝšćÜĄ 5) ÖćøàČĚĂĂÿĆÜĀćøĉöìøĆó÷ŤĒúąÖćøđߊćĂÿĆÜĀćøĉöìøĆó÷Ť
  4. ÖøèĊÜćîÝšćÜïøĉÖćøĀøČĂÜćîÝšćÜđĀöćïøĉÖćøÖĆïïčÙÙúíøøöéć đߊî ÝšćÜóîĆÖÜćî×Ćïøë ÙøĎßćüêŠćÜßćêĉóîĆÖÜćîđÖĘï×÷ą óîĆÖÜćîïĆîìċÖךĂöĎú đðŨîêšî
  1. ×Ăïđ×êÖćøéĞćđîĉîÜćî
    ñĎšøĆïÝšćÜÝąêšĂÜéĞćđîĉîÖćøêćö×Ăïđ×êÖćøéĞćđîĉîÜćîìĊę øôö. ÖĞćĀîé ĒúąøĆïñĉéßĂïÙŠćĔߚ݊ć÷ìĊęđÖĉé×ċĚî êúĂéìĆĚÜÜćîÝšćÜĄ ēé÷öĊøć÷úąđĂĊ÷é éĆÜîĊĚ
    ÖćøüćÜĒñîÖú÷čìíŤìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć
    4.1 ñĎšøĆïÝšćÜÝąêšĂÜýċÖþć üćÜĒñîÖú÷čìíŤÖćøéĞćđîĉîÜćîìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć×ĂÜ øôö. ñŠćîߊĂÜìćÜ LINE Official Account: @MRTA ĒúąÝĆéìĞćĀîšćêŠćÜÿöćßĉÖ ÿąÿöÙąĒîî (Loyalty Program) êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ ÿĞćĀøĆïóùêĉÖøøöÖćøĔßšÜćî ×ĂÜÖúčŠöđðŜćĀöć÷ đóČęĂðøąßćÿĆöóĆîíŤ×šĂÙüćöēðøēößĆęî ÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ĀøČĂēÛþèćêŠćÜ ė ĔĀšÿĂéÙúšĂÜÖĆïÖúčŠöđðŜćĀöć÷×ĂÜ øôö. ĕéšĒÖŠ ÖúčŠöúĎÖÙšć øôö.
    (ñĎšĔßšïøĉÖćøøëĕôôŜćöĀćîÙø ñĎšĔßšĂćÙćøĒúąúćîÝĂéøë øôö. Ēúą ñĎšđߊćĂÿĆÜĀćøĉöìøĆó÷Ť×ĂÜ øôö.) Ēúą úĎÖÙšćĔîĂîćÙê ĕéšĂ÷ŠćÜöĊðøąÿĉìíĉõćó ĒúąüĉđÙøćąĀŤìĉýìćÜÖćøêúćéĔîðŦÝÝčïĆî ĒúąÖćøïøĉÖćøĂ÷ĎŠÿöęĞćđÿöĂ đóČęĂîĞćöćðøĆïðøčÜĒñîÖú÷čìíŤìćÜÖćøêúćéĔĀšöĊÙüćöìĆîÿöĆ÷ ĒúąđðŨîðŦÝÝčïĆî đóČęĂêĂïÿîĂÜÙüćöêšĂÜÖćø ÖúčŠöúĎÖÙšć×ĂÜ øôö. ēé÷ÝąêšĂÜîĞćđÿîĂĔĀšøôö. đĀĘîßĂïÖŠĂîéĞćđîĉîÖćø
    4.2 ýċÖþćĒúąüćÜÖú÷čìíŤĔîÖćøøĆÖþćåćîñĎšêĉéêćö (Followers) đóČęĂúéĂĆêøćÖćøïúĘĂÙߊĂÜìćÜ (Block Rate) ĕöŠđÖĉîøšĂ÷úą 20 ×ĂÜñĎšêĉéêćöìĆĚÜĀöéĔîߊĂÜìćÜ LINE Official Account: @MRTA ēé÷ÝąêšĂÜ îĞćđÿîĂĔĀšøôö. đĀĘîßĂïÖŠĂîéĞćđîĉîÖćø
    4.3 ñĎšøĆïÝšćÜÝąêšĂÜýċÖþć üĉđÙøćąĀŤĒúąÝĆéìĞćĒñîÖćøïøĉĀćøÿĉìíĉðøąē÷ßîŤ (Privilege Point Program) ÿĞćĀøĆïÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖ ÿąÿöÙąĒîî (Loyalty Program) ēé÷öĊøć÷úąđĂĊ÷ééĆÜêŠĂĕðîĊĚ

/ÖćøĂĂÖĒïï…

  • 6 -
    ÖćøĂĂÖĒïï ÖĞćĀîéĒúąĂĂÖĒïïĒîüÙĉéìĉýìćÜ×ĂÜÜćîÝšćÜïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ ×ĂÜúĎÖÙšćĄ àċęÜøüöëċÜđÜČęĂîĕ×ĒúąÖúĕÖÖćøĕéšøĆïÙąĒîîÿąÿöǰÖćøĔßšÜćîÙąĒîîǰĒúąÖćøĒúÖ×ĂÜøćÜüĆú ĔĀšÿĂéÙúšĂÜÖĆï×Ăïđ×ê×ĂÜÜćîǰĒúąÝĞćîüîóĆîíöĉêøìĊęñĎšøĆïÝšćÜđðŨîñĎšéĞćđîĉîÖćøÝĆéĀć ēé÷ĔĀšđĀöćąÿöÖĆïÖúčŠö úĎÖÙšćìĊęđךćøŠüöÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć
    ÖćøïøĉĀćøöĎúÙŠć×ĂÜøćÜüĆú üĉđÙøćąĀŤǰÝĆéìĞćǰĒúąîĞćđÿîĂöĎúÙŠć×ĂÜøćÜüĆúìĊęÝąîĞćöćĔßš ĔîÜćîÝšćÜïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćĄ ēé÷êšĂÜÝĆéÿøøöĎúÙŠćéĆÜÖúŠćüĔĀšđóĊ÷ÜóĂêúĂéøą÷ąđüúć ÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ
    ÖćøÝĆéĀć ÝĆéìĞćǰ ǰñĎšøĆïÝšćÜÝąêšĂÜÝĆéìĞć ÝĆéĀć×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþÿĞćĀøĆïĔßšĔîÖćøĒúÖ ×ĂÜøćÜüĆúÿĞćĀøĆïñĎšđךćøŠüöÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćǰĔĀšđóĊ÷ÜóĂ êŠĂøą÷ąđüúć×ĂÜÿĆââćĒúąÖĉÝÖøøö
    ìĆĚÜîĊĚǰñĎšøĆïÝšćÜÝąêšĂÜÝĆéìĞćøć÷úąđĂĊ÷éìĆĚÜĀöéĔîøĎðĒïï×ĂÜĒñîÖćøéĞćđîĉîÜćîđðŨîøć÷đéČĂîĒúąøć÷ðŘ ĀøČĂêćöìĊęǰøôö ǰđĀĘîÿöÙüøǰēé÷ÝąêšĂÜîĞćđÿîĂĔĀšǰøôö ǰóĉÝćøèćĔĀšÙüćöđĀĘîßĂïÖŠĂîéĞćđîĉîÖćø
    ÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćǰ Customer Relationship Management ǰCRM ñŠćîìćÜ LINE Official Account ǰ@MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîîǰ Loyalty Program ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïÙŠćĔߚ݊ć÷ĔîÖćøéĞćđîĉîÖćøêŠĂĂć÷čïĆâßĊÖćøĔßšÜćîǰLine OA đðŨîøć÷ðŘǰĒúąÙŠćĔߚ݊ć÷ĒóĘÖđÖÝךĂÙüćöǰ LINE Official Account PackageǰøüöëċÜĒóĘÖđÖÝđÿøĉöǰ Additional MessageǰêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜǰđóČęĂĔĀšÿćöćøëĔßšÜćîĕéšĂ÷ŠćÜêŠĂđîČęĂÜǰĒúąÿćöćøë ÿŠÜךĂÙüćöÝĞćîüîĕöŠîšĂ÷ÖüŠćǰ20,000,000 ךĂÙüćöǰ ÷ĊęÿĉïúšćîךĂÙüćöǰêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćî êćöÿĆââćÝšćÜǰëċÜñĎšêĉéêćöìĊęđÖĊę÷üךĂÜÖĆïÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜ LINE Official Account ǰ @MRTA ĀøČĂÜćîĂČęîǰėǰìĊęđÖĊę÷üךĂÜÖĆïǰøôö ǰ
    ǰñĎšøĆïÝšćÜÝąêšĂÜéĞćđîĉîÖćøĂĆðđéêךĂöĎúǰîĞćđךćđîČĚĂĀćÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ׊ćüðøąßćÿĆöóĆîíŤǰĒúą×šĂöĎúÿĞćÙĆâĂČęîǰėǰ×ĂÜǰøôö ǰìĆĚÜõćþćĕì÷ĒúąõćþćĂĆÜÖùþǰĀøČĂ êćöìĊęǰøôö ǰđĀĘîßĂïǰêúĂéÝîüćÜĒñîĒúąéĞćđîĉîÖćøÿŠÜךĂÙüćöĒïïÖúčŠöǰ BroadcastǰĔĀšđĀöćąÿöÖĆï ÖúčŠöđðŜćĀöć÷ǰđóČęĂĒÝšÜךĂöĎú׊ćüÿćøǰÖćøĒÝšÜđêČĂîêŠćÜǰėǰĒúąîĞćđÿîĂÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ìĊęđÖĊę÷üÖĆïÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćǰĀøČĂÜćîĂČęîǰėǰìĊęđÖĊę÷üךĂÜÖĆïǰøôö ǰ êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ
    4 6 éĞćđîĉîÖćøéĎĒúøąïïêĂïÖúĆïĂĆêēîöĆêĉǰ Auto ReplyǰìĊęđÖĊę÷üךĂÜÖĆïÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćĄǰēé÷ÖćøêĆĚÜÙŠćĒßìïĂìĔĀšìĞćÜćîĂ÷ŠćÜöĊðøąÿĉìíĉõćóǰĒúąÝąêšĂÜÖĞćĀîéǰKeyword ÝćÖÙĞćëćöìĊęúĎÖÙšćöĆÖëćöïŠĂ÷ėǰđߊîǰÿąÿöĒêšö, ×ĂÜøćÜüĆúǰđóČęĂĔĀšêĂïÙĞćëćöÖúĆïĂĆêēîöĆêĉĕéšìĆîìĊǰìĆĚÜîĊĚǰ ÝąêšĂÜîĞćđÿîĂĔĀšǰøôö ǰđĀĘîßĂïÖŠĂî
    ǰñĎšøĆï
  • 7 -
    4.7 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéìĞć ĒúąóĆçîćøĎðĒïïÖćøĒÿéÜñú øüöëċÜðøĆïðøčÜÙčèÿöïĆêĉ (Features) êŠćÜ ė ìĊęđĀöćąÿöĒúąöĊðøąē÷ßîŤēé÷ÙĞćîċÜëċÜÖćøĔĀš×šĂöĎúìĊęÿöïĎøèŤêŠĂÖúčŠöđðŜćĀöć÷ĒúąÜŠć÷êŠĂÖćøĔßšÜćî ĒúąÿĂéÙúšĂÜÖĆïĒñîÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćĄ êćöךà 4.1 ĒúąĒñîÖćøïøĉĀćø ÿĉìíĉðøąē÷ßîŤ (Privilege Point Program) êćöךà 4.3
    4.8 ñĎšøĆïÝšćÜÝąêšĂÜïøĉĀćøÝĆéÖćøôŦÜßĆęîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤúĎÖÙšć ñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ĔîÿŠüîìĊęđÖĊę÷üךĂÜÖĆïÖĉÝÖøøö ìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ĔîÖćøÙĞćîüèÙąĒîîÿąÿö×ĂÜúĎÖÙšćĔĀšöĊ ÙüćöëĎÖêšĂÜĒöŠî÷Ğć
    4.9 éĞćđîĉîÖćøĂĂÖĒïïđöîĎúĆééšćîúŠćÜ Rich Menu ēé÷ÿćöćøëêĆĚÜÙŠćðčśöĔĀšÿćöćøëđךćëċÜÿŠüîêŠćÜ ė ĕéšìĆîìĊĒúąÿćöćøëÖĞćĀîéĕéšüŠć êšĂÜÖćøĔĀšñĎšêĉéêćöÖéĒúšüĕðìĊęđöîĎĀøČĂߊĂÜìćÜĔé đߊî đöîĎïĆêøēé÷ÿćø đöîĎPromotion/Special Deal đöîĎĒñîìĊęđÿšîìćÜ/ÙŠćēé÷ÿćø đöîĎìĊęÝĂéøë êĉéêŠĂÿĂïëćö đöîĎ MRTA Rewards đðŨîêšî Ă÷ŠćÜîšĂ÷ 3 øĎðĒïï ĀøČĂêćöìęĊøôö. đĀĘîÿöÙüø ìĆĚÜîĊĚñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšîĞćđÿîĂøĎðĒïï ×ĂÜđöîĎúĆé Rich Menu ĔĀšøôö. đĀĘîßĂïÖŠĂî
    4.10 éĞćđîĉîÖćøĂĂÖĒïï Card Message ĀøČĂךĂÙüćöĔîøĎðĒïï×ĂÜõćóÿĕúéŤđóČęĂĔĀšÿćöćøë đúČĂÖéĎךĂöĎúĕéšéšü÷ÖćøðŦéõćóĕðéšćîךćÜ đߊî ÖćøēðøēöìÜćîĂĊđüîìŤĀøČĂĂČęî ė ìĊęđÖĊę÷üךĂÜ ēé÷ĔĀšÿĂéÙúšĂÜÖĆï ÝĞćîüîÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ĀøČĂêćöìĊę øôö. đĀĘîÿöÙüø
    4.11 éĞćđîĉîÖćøĂĂÖĒïïéĊĕàîŤÿĞćĀøĆï Greeting Message ךĂÙüćöìĆÖìć÷ìĊęÝą Pop-Up ×ċĚî ÝĞćîüîĕöŠîšĂ÷ÖüŠć 10 ךĂÙüćö ĀøČĂêćö øôö. đĀĘîßĂï êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ đöČęĂöĊÖćøđóĉęöÖćøêĉéêćö (Add Friend) LINE OA đðŨîÙøĆĚÜĒøÖ đóČęĂÿøšćÜðøąÿïÖćøèŤìĊęéĊĔĀšÖĆïñĎšđךćĔßšÜćî
    4.12 ñĎšøĆïÝšćÜÝąêšĂÜĂĂÖĒïï ĒúąÝĆéđÖĘïךĂöĎú×ĂÜñĎšđךćøŠüöÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćĔîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) éĆÜîĊĚ 1) ßČęĂ – ÿÖčú
  1. ßČęĂ LINE ID
  2. ĂĊđöú
  3. đïĂøŤēìøýĆóìŤ
  4. ìĊęĂ÷ĎŠ (ÿĞćĀøĆïÝĆéÿŠÜ×ĂÜøćÜüĆú)
    ēé÷ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïĔîÖćøĂĂÖĒïï ÝĆéđÖĘïךĂöĎúĒêŠđóĊ÷ÜñĎšđéĊ÷ü Ēúą ÝąðäĉïĆêĉÜćîõć÷ĔêšóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú ĒúąÖãĀöć÷ ÖãøąđïĊ÷ï Ēúą×šĂïĆÜÙĆï êćöđÜČęĂîĕ×ĂČęî ė ךà 10.12 – 10.16

/4.13 ĀîšćêŠćÜ…

  • 8 -
    4.13 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëÖĞćĀîéđÜČęĂîĕ×ĒúąĒÿéÜ øć÷úąđĂĊ÷é×ĂÜÿĉìíĉóĉđýþĕéšĂ÷ŠćÜÙøïëšüî đߊî ÖĞćĀîéđÜČęĂîĕ×ÖćøÝĆéÿøøÖćøÿąÿöĒêšö ÖćøĒúÖ×ĂÜøćÜüĆú ĒúąÖćøĔßšÜćî×ĂÜúĎÖÙšć àċęÜÝąêšĂÜÿćöćøëĒ÷ÖĀøČĂøüöÖúčŠöøąĀüŠćÜñĎšĔßšïøĉÖćøĂćÙćøĒúąúćîÝĂéøë×ĂÜ øôö. ÖĆïñĎšđךćøŠüöÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćêŠćÜ ė ĕéšêćöìĊę øôö. ÖĞćĀîé îĂÖÝćÖîĊĚÝąêšĂÜÿćöćøëøąïčךĂöĎú×ĂÜøć÷Öćøÿĉìíĉóĉđýþ ÝĞćîüîÙąĒîîìĊęĔßšĒúÖ ĀøČĂ×ĂÜøćÜüĆú đóČęĂĒÿéÜñúïî LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ĕéšìĆĚÜîĊĚđÜČęĂîĕ×Ēúą×šĂöĎúÿĉìíĉóĉđýþìĆĚÜĀöéÝąêšĂÜĕéšøĆïÙüćöđĀĘîßĂïÝćÖ øôö. ÖŠĂîéĞćđîĉîÖćø
    4.14 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëĒÿéÜøć÷Öćø×ĂÜøćÜüĆúìĆĚÜĀöé ñŠćîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) óøšĂöìĆĚÜÿćöćøëÙšîĀćÝćÖøĀĆÿĀøČĂßČęĂ×ĂÜøćÜüĆúĕéš đðŨîĂ÷ŠćÜîšĂ÷ øüöìĆĚÜÿćöćøëêĆĚÜÙŠćĀöüéĀöĎŠ ĀøČĂðøąđõìÿĉîÙšć ×ĂÜøćÜüĆú ÿĉìíĉóĉđýþêŠćÜ ė ēé÷ÖćøÖĞćĀîé ĔîÙøĆĚÜĒøÖÖŠĂîÖćøđðŗéĔĀšúĎÖÙšćđøĉęöĔßšïøĉÖćø ìĆĚÜîĊĚñĎšøĆïÝšćÜÝąêšĂÜîĞćđÿîĂøĎðĒïïÖćøĒÿéÜøć÷Öćø×ĂÜøćÜüĆú ÿĉìíĉóĉđýþ óøšĂöìĆĚÜøĎðĒïïÖćøÙšîĀćÝćÖßČęĂ×ĂÜøćÜüĆúĒúąøĀĆÿ ĔĀšøôö. đĀĘîßĂïÖŠĂîéĞćđîĉîÖćø
    4.15 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜêĆĚÜÙŠćÙĞćÙšîĀćéšü÷ßČęĂ×ĂÜøćÜüĆú ēé÷øąïïÝąĒÿéÜñú×ĂÜøćÜüĆúðøąđõìđéĊ÷üÖĆïÙĞćìĊęÙšîĀć đߊî ÙšîĀćÙĞćüŠć ÖćĒô ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜĒÿéÜñú×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþìčÖøšćîÙšć ĀøČĂìĊęđÖĊę÷üךĂÜÖĆïÙĞćìĊęÙšîĀć
    4.16 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëêĆéÙąĒîîđöČęĂúĎÖÙšćĒúÖ ×ĂÜøćÜüĆú/ÿĉìíĉóĉđýþ ĀøČĂĔßšÙąĒîîÝćÖüĆîìĊę/ߊüÜđüúć×ĂÜÙąĒîî ĒúąÝąêšĂÜĒÿéÜךĂÙüćöĀćÖ×ĂÜøćÜüĆúĀøČĂ ÿĉìíĉóĉđýþĀöé (Sold Out) ĀøČĂÙĞćĂČęî ė Ēïï Real-time êćöìĊę øôö. đúČĂÖĔßšĔĀšÿĂéÙúšĂÜÖĆïÙüćöĀöć÷ ĔîÖćøĔßšÜćî
    4.17 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëĒÿéÜðøąüĆêĉÖćøĒúÖÙąĒîî ÿąÿö ĒúąĂć÷č×ĂÜÙąĒîîÿąÿö×ĂÜúĎÖÙšćĕéš
    4.18 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëĔÿŠøĀĆÿéĉÝĉìĆúēÙšé (E-Coupon Code) ĕéšêćöìĊę øôö. ÖĞćĀîé ĒúąÝąêšĂÜÿćöćøëÿøšćÜøĀĆÿĔĀöŠĔîøĎðĒïïøĀĆÿéĉÝĉìĆúēÙšéìĊęĕöŠàĚĞćÖĆîĕéšēé÷ĒÿéÜ ĔĀšúĎÖÙšćĔßšÜćîĔîøĎðĒïïøĀĆÿêĆüđú×ĒúąêĆüĀîĆÜÿČĂ Barcode Ēúą QR Code ÿĞćĀøĆï×ĂÜøćÜüĆúìĊęĕöŠêšĂÜÝĆéÿŠÜ đóČęĂĔĀšúĎÖÙšćÿćöćøëîĞćöćĔßšĔîÖćøĒúÖàČĚĂ/ĒúÖøĆï×ĂÜøćÜüĆú ÿĉìíĉóĉđýþêŠćÜ ė ìĊęÖĞćĀîé
    4.19 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëêĉéêćöÿëćîą×ĂÜøćÜüĆúìĊęđðŨî Physical ĕéšĒúąÝąêšĂÜöĊđú×óĆÿéčĔĀšÖĆïúĎÖÙšćÿĞćĀøĆïĔßšêøüÝÿĂïéšü÷êîđĂÜñŠćîĒóúêôĂøŤöĂČęî ė 4.20 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëĒÿéÜĒïïðøąđöĉî ÙüćöóċÜóĂĔÝĀúĆÜÝćÖÖćøĒúÖ×ĂÜøćÜüĆú ĒúąĀúĆÜÝćÖÖćøøŠüöÖĉÝÖøøö ĀøČĂêćöìĊę øôö. ÖĞćĀîé đóČęĂđÖĘï øüïøüöÙüćöÙĉéđĀĘîĒúąĔßšĔîÖćøüĉđÙøćąĀŤÙüćöóċÜóĂĔÝ ÙüćöêšĂÜÖćø ÙüćöÙćéĀüĆÜ×ĂÜúĎÖÙšćìĊęøŠüöĒúÖ×ĂÜ øćÜüĆú ÿĉìíĉóĉđýþ ĒúąøŠüöÖĉÝÖøøö

/4.21 ĀîšćêŠćÜ…

  • 9 -
    4.21 ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝąêšĂÜÿćöćøëĒÿéÜñúđðŨîøĎðĒïï Dashboard đóČęĂéĎõćóøüöêŠćÜ ė ×ĂÜÖćøĒúÖ×ĂÜøćÜüĆú ÖćøÝĆéÖćø×ĂÜøćÜüĆúĔîĒêŠúąÖĉÝÖøøöìćÜÖćøêúćé éšćîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšć ēé÷ÝąêšĂÜøĂÜøĆïÖćøîĞćךĂöĎúĂĂÖĕðĔßšÜćîĕéšĀúć÷øĎðĒïï đߊî .xlsx .jpeg .csv đðŨîêšî
    4.22 ñĎšøĆïÝšćÜêšĂÜĔĀšÿĉìíĉđÝšćĀîšćìĊę øôö. ĔĀšÿćöćøëđךćéĎךĂöĎú ĒúąÿćöćøëïøĉĀćøÝĆéÖćøøć÷Öćø êŠćÜ ė ĕéšïîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program)
    4.23 øĎðĒïï×ĂÜÖćøïøĉĀćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćñŠćîìćÜ LINE Official Account: @MRTA Ēúą ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ìĊęñĎšøĆïÝšćÜÝąêšĂÜîĞćđÿîĂîĆĚî ÝąêšĂÜéĞćđîĉîÖćøĔîøĎðĒïïìĊęöĊ ÖćøøĆïøĂÜÙüćöðúĂéõĆ÷ îŠćđßČęĂëČĂĒúąÖćøĔßšÜćîêćööćêøåćîÿćÖú ēé÷ñĎšøĆïÝšćÜÝąêšĂÜîĞćđÿîĂøĎðĒïïÖćø éĞćđîĉîÜćîéšćîÙüćöðúĂéõĆ÷êŠćÜ ė đߊî Öćø÷Čî÷ĆîêĆüêî đðŨîêšî ìĆĚÜîĊĚÝąêšĂÜĔĀšøôö. đĀĘîßĂïÖŠĂî
    4.24 ñĎšøĆïÝšćÜÝąêšĂÜĔĀšÙĞćĒîąîĞć ĒúąÙĞćðøċÖþćđöČęĂ øôö. êšĂÜÖćøđÖĊę÷üÖĆïÖćøĔßšÜćîÖćøïøĉĀćø ÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) øüöëċÜĂíĉïć÷đÖĊę÷üÖĆïøć÷úąđĂĊ÷é×ĂÜđĂÖÿćøÙĎŠöČĂøąïïÜćî øüöëċÜÖćøĒÖšðŦâĀćĀøČĂüĉíĊÖćøìĊęÝąĒÖšĕ× øąïïÜćîĔĀšéĊ×ċĚîêúĂéÿĆââćêćöìĊęĕéšøĆïĒÝšÜÝćÖ øôö. êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ
    4.25 đöČęĂÿĉĚîÿčéÿĆââć ñĎšøĆïÝšćÜêšĂÜîĞćÿŠÜךĂöĎúìĆĚÜĀöéìĊęĂ÷ĎŠĔîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšć ñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ìĊęđÖĊę÷üךĂÜ ÖĆïÖćøÿąÿöÙąĒîîĒúÖÿĉìíĉóĉđýþÿĞćĀøĆïúĎÖÙšć ĔĀšÖĆï øôö. ēé÷ñĎšøĆïÝšćÜêšĂÜĕöŠöĊÖćøđøĊ÷ÖđÖĘïÙŠćĔߚ݊ć÷Ĕé ė đóĉęöđêĉöÖĆï øôö.
    4.26 ñĎšøĆïÝšćÜÝąêšĂÜĕöŠđÖĘïĀøČĂîĞćךĂöĎúìĊęĕéšÝćÖÖćøéĞćđîĉîÖćøêćöÿĆââćĕðĔßšðøąē÷ßîŤ îĂÖđĀîČĂÝćÖìĊę øôö. ÖĞćĀîé ìĆĚÜîĊĚĀćÖÿĉĚîÿčéÿĆââćĒúąñĎšøĆïÝšćÜĕéšéĞćđîĉîÖćøêćöךà 4.25 đøĊ÷ïøšĂ÷Ēúšü ñĎšøĆïÝšćÜÝąêšĂÜìĞćúć÷ךĂöĎúìéÿĂï ĀøČĂךĂöĎúĂČęî ė ×ĂÜ øôö. ìĊęïøĉþĆìÝĆéđÖĘïĕüšēé÷ÝąêĂÜö š ĊÖćøÝĆéìĞćđĂÖÿćø ÖćøìĞćúć÷ךĂöĎú ĒúąđÿîĂĔĀšøôö. óĉÝćøèćđĀĘîßĂïÖŠĂîéĞćđîĉîÖćø
    4.27 ñĎšøĆïÝšćÜêšĂÜìĞćĀîšćìĊęïĞćøčÜøĆÖþćߊĂÜìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖ ÿąÿöÙąĒîî (Loyalty Program) ĀøČĂĂČęî ė ×ĂÜ øôö. ìĊęđÖĊę÷üךĂÜÖĆï×Ăïđ×ê×ĂÜÜćî đóČęĂĔĀšÖćøìĞćÜćîđðŨîĕð Ă÷ŠćÜêŠĂđîČęĂÜ öĊðøąÿĉìíĉõćó ĒúąìĞćÜćîĕéšêćöđÜČęĂîĕ×ìęĊÖĞćĀîéĕéšêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ ìĆĚÜîĊĚĀćÖđÖĉéðŦâĀć×ċĚî ñĎšøĆïÝšćÜêšĂÜéĞćđîĉîÖćøĒÖšĕ×ĔĀšĒúšüđÿøĘÝđðŨîðÖêĉõć÷Ĕîøą÷ąđüúć 1 üĆî îĆïëĆéÝćÖ ìĊęĕéšøĆïĒÝšÜñŠćîߊĂÜìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty
    Program) ĀøČĂߊĂÜìćÜĂČęî ė ìĊę øôö. ÖĞćĀîé

/4.28 ÖøèĊ…

  • 10 -
    4.28 ÖøèĊìĊęöĊÖćøĔßšÜćîøąïïĀøČĂàĂôêŤĒüøŤðøąöüúñúךĂöĎúøŠüöÖĆï LINE Official Account: @MRTA ñĎšøĆïÝšćÜÝąêšĂÜìéÿĂïđÝćąøąïï (Penetration Testing) ĒúąðŗéߊĂÜēĀüŠ (Hardening) ×ĂÜøąïïĀøČĂ àĂôêŤĒüøŤìĊęđÖĊę÷üךĂÜ óøšĂöìĆĚÜÝĆéÿŠÜđĂÖÿćøñúÖćøéĞćđîĉîÖćøĔĀšøôö. óĉÝćøèćñúÖŠĂîđøĉęöĔßšÜćîøąïï Ēúą ĀćÖøąïïĀøČĂàĂôêŤĒüøŤîĆĚî ė öĊÖćøðøąÖćýߊĂÜēĀüŠìĊęđÖĊę÷üךĂÜñĎšøĆïÝšćÜÝąêšĂÜðŗéߊĂÜēĀüŠ×ĂÜøąïïìĊęđÖĊę÷üךĂÜ ēé÷ĕöŠöĊÙŠćĔßšÜćîđóĉęöđêĉö ēé÷ÖĞćĀîéĔĀšðŗéߊĂÜēĀüŠéĆÜîĊĚ
  1. øąéĆïüĉÖùêĉ (Critical) õć÷Ĕî 30 üĆî
  2. øąéĆïÿĎÜ (High) õć÷Ĕî 45 üĆî
  3. øąéĆïðćîÖúćÜ (Medium) õć÷Ĕî 60 üĆî
  4. øąéĆïêęĞć (Low) õć÷Ĕî 120 üĆî
    ìĆĚÜîĊĚĀćÖñĎšøĆïÝšćÜĕöŠÿćöćøëðŗéߊĂÜēĀüŠĔĀšĒúšüđÿøĘÝõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîé ñĎšøĆïÝšćÜÝąêšĂÜÝĆéìĞć đĂÖÿćøøć÷Üćîñú àċęÜøąïčøć÷úąđĂĊ÷éĒúąÿćđĀêčìĊęĕöŠÿćöćøëðŗéߊĂÜēĀüŠ óøšĂöìĆĚÜÝĆéÿŠÜĔĀšøôö. óĉÝćøèćĔĀš ÙüćöđĀĘîßĂï đüšîĒêŠÖøèĊìĊęàĂôêŤĒüøŤîĆĚî ė đðŨîàĂôêŤĒüøŤÿĞćđøĘÝøĎðìĊęöĊÖćøđߊćĀøČĂàČĚĂÝćÖñĎšñúĉê ñĎšøĆïÝšćÜÝąêšĂÜ ÝĆéÿŠÜĔïøĆïøĂÜöćêøåćî (Certificate) đߊî ISO/IEC ĀøČĂĔïøĆïøĂÜöćêøåćîéšćîÙüćöðúĂéõĆ÷ÝćÖñĎšñúĉê ĔĀšøôö. óĉÝćøèćÖŠĂîđøĉęöĔßšÜćîøąïï đóČęĂ÷Čî÷ĆîüŠćàĂôêŤĒüøŤéĆÜÖúŠćüìĞćÜćîĕéšêćööćêøåćîÙüćööĆęîÙÜ ðúĂéõĆ÷ĔîðŦÝÝčïĆî
    4.29 đöČęĂñĎšøĆïÝšćÜÝąđךćéĞćđîĉîÖćøđóČęĂĒÖšĕ×ðŦâĀćêŠćÜ ė ÝąêšĂÜĒÝšÜĔĀšđÝšćĀîšćìĊęñĎšøĆïñĉéßĂï×ĂÜ øôö. ìøćïĒúąđĀĘîßĂïÖŠĂîđךćéĞćđîĉîÖćø
    ÖćøÝĆéĀćóĆîíöĉêø ïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ
    4.30 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĀćóĆîíöĉêøĔîÖćøìĞćđøČęĂÜÿĉìíĉóĉđýþĔîøĎðĒïï×ĂÜÖćøìĞć Co-Promotion ĀøČĂ øĎðĒïïĂČęîĔéêćöÙüćöđĀöćąÿöêćöìĊę øôö. đĀĘîßĂï ĒúąÝĆéìĞć×ĂÜøćÜüĆúđóČęĂéĞćđîĉîÖĉÝÖøøöìćÜÖćøêúćé éšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć øüöëċÜÖćøïøĉĀćøÝĆéÖćø Stock ĔĀšđðŨîĕðêćöĒñî ìĆĚÜìĊęđÖĉéÝćÖ ÖćøĔßšÙąĒîîÿąÿö ĒúąÖćøĔßšÿĉìíĉóĉđýþ×ĂÜúĎÖÙšćõć÷Ĕîøą÷ąđüúćêćöðøąđõìĒúąÝĞćîüîìĊę øôö. ÖĞćĀîé
    4.31 ñĎšøĆïÝšćÜÝąêšĂÜöĊøšćîÙšć/ĒïøîéŤĔîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÿĞćĀøĆï ïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþ ÿąÿöĕöŠîšĂ÷ÖüŠć 60 øšćîÙšćĀøČĂĒïøîéŤêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćî êćöÿĆââćÝšćÜ ĒúąÝĆéĒïŠÜÖúčŠöøšćîÙćš/ĒïøîéŤĂ÷ŠćÜđĀöćąÿö éĆÜîĊĚ
    úĞćéĆï ðøąđõì êĆüĂ÷ŠćÜ
    ÝĞćîüî (ÿąÿö) ðŘìĊę 1
    ÝĞćîüî (ÿąÿö) ðŘìĊę 2
    ÝĞćîüî (ÿąÿö) ðŘìĊę 3
    1 ÖúčŠöÿĉìíĉóĉđýþÝćÖĀšćÜÿøøóÿĉîÙšć/ øšćîÙšć×îćéĔĀâŠ

The 1 Points / M Point/ ONESIAM Coin đðŨîêšî

1 2 3 /úĞćéĆï…

  • 11 -
    úĞćéĆï ðøąđõì êĆüĂ÷ŠćÜ ÝĞćîüî (ÿąÿö)
    ðŘìĊę 1
    ÝĞćîüî (ÿąÿö) ðŘìĊę 2
    ÝĞćîüî (ÿąÿö) ðŘìĊę 3
    2 ÖúčŠöïøĉþĆììĊęñúĉêÿĉîÙšć ĀøČĂ ïøĉÖćø (Product & Service) øšćîĂćĀćø (Food Chain) Ēúą ĒïøîéŤßîîĆĚ Ğć (Brand)
    True Point / Blue Card / Grab Rewards / AirAsia BIG Rewards / Minor Plus / Starbucks Rewards / KFC / McDonald đðŨîêšî
    10 20 30
    3 ÖúčŠöñĎšðøąÖĂïÖćøøć÷÷ŠĂ÷ ñĎšđߊćøšćîÙšćđßĉÜóćèĉß÷Ť×ĂÜ øôö. øšćîÙšćêćöĒîüÿć÷ìćÜ
    øëĕôôŜćöĀćîÙø
    Āöć÷đĀêč: øć÷ßČęĂøšćîÙšć/ĒïøîéŤðŘìĊę 2 Ēúą 3 ÿćöćøëàĚĞćÖĆïðŘìĊę 1 Ēúą 2 ĕéšêćöúĞćéĆï
    10 20 30
    ēé÷ñĎšøĆïÝšćÜÝąêšĂÜÿćöćøëÿŠÜךĂöĎú×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþÝćÖøšćîÙšć ĀøČĂĒïøîéŤéĆÜÖúŠćü ĔĀšøôö. óĉÝćøèć ÖŠĂîĒÿéÜñúïîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) õć÷Ĕîøą÷ąđüúć 15 üĆî îĆïêĆĚÜĒêŠ øôö. đúČĂÖøšćîÙšć/ĒïøîéŤĒúąÝąêšĂÜĔĀšÿĂéÙúšĂÜÖĆïĒñîÖćøïøĉĀćøÿĉìíĉðøąē÷ßîŤ (Privilege Point Program) ךà 4.3
    4.32 ñĎšøĆïÝšćÜÝąêšĂÜìĞćĀîšćìĊęîĞć×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþìĊęñĎšøĆïÝšćÜÝĆéĀć øüöëċÜïøĉÖćøìĊę øôö. ĔĀšïøĉÖćøĒúąÿĉîÙšć×ĂÜøćÜüĆú (Premium Gift) ìĊę øôö. đðŨîñĎšÝĆéĀć×ċĚîïîĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ĀøČĂߊĂÜìćÜĂČęî ė ìĊę øôö. đĀĘîÿöÙüø ìĆĚÜîĊĚÝąêšĂÜÿĂéÙúšĂÜÖĆïĒñîÖćøïøĉĀćøÿĉìíĉ ðøąē÷ßîŤ (Privilege Point Program) ךà 4.3 ēé÷ÖĞćĀîéøć÷úąđĂĊ÷é×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþĂ÷ŠćÜîšĂ÷ éĆÜîĊĚ
    (1) ßČęĂ×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþ
    (2) øć÷úąđĂĊ÷éêŠćÜ ė àċęÜĂ÷ĎŠĔîøĎðĒïï×ĂÜ ×šĂÙüćö øĎðõćó üĉéĉēĂ đðŨîêšî
    (3) ÖĞćĀîéÙąĒîîìĊęĔßšĒúÖ×ĂÜøćÜüĆú
    (4) ðøąđõì×ĂÜøćÜüĆú đߊî ðøąđõì Physical ĀøČĂ Non-Physical
    4.33 ñĎšøĆïÝšćÜÝąêšĂÜöĊÖćøÝĆéÿŠÜ×ĂÜøćÜüĆúêćöìĊęĂ÷ĎŠ×ĂÜúĎÖÙšćìĊęĕéšúÜìąđïĊ÷îĕüšìĆĚÜîĊĚĔîÖøèĊìĊęøćÜüĆúîĆĚî đðŨîøĎðĒïï Physical ēé÷ÿŠÜĂĂÖ×ĂÜøćÜüĆúĔĀšĒÖŠúĎÖÙšć õć÷Ĕî 15 üĆî ĀúĆÜÝćÖìĊęúĎÖÙšćĒÝšÜÙüćöðøąÿÜÙŤĒúÖ ×ĂÜøćÜüĆú đüšîĒêŠĀćÖöĊÖøèĊÞčÖđÞĉîñĎšøĆïÝšćÜÝąêšĂÜĒÝšÜĔĀšøôö. øĆïìøćïÖŠĂî đóČęĂüćÜĒñîÖćøéĞćđîĉîÜćîÝĆéÿŠÜ øćÜüĆúĔĀšĒÖŠúĎÖÙšć
    4.34 ñĎšøĆïÝšćÜÝąêšĂÜéĎĒúĒúąïøĉĀćøÿĉîÙšćÙÜÙúĆÜ ĔîÿŠüîìĊęđðŨîïøĉÖćøìĊę øôö. ĔĀšïøĉÖćø ĒúąÿĉîÙšć ×ĂÜøćÜüĆú (Premium Gift) ìĊę øôö. đðŨîñĎšÝĆéĀć ĒúąêšĂÜÝĆéÿŠÜÿĉîÙšćÙÜđĀúČĂÖúĆïÙČîĔĀšøôö. ĔîÖøèĊìĊę øôö. êšĂÜÖćøĀøČĂđöČęĂÿĉĚîÿčéøą÷ąđüúćÖćøéĞćđîĉîÜćî

/4.35 ñĎšøĆïÝšćÜ…

  • 12 -
    4.35 ñĎšøĆïÝšćÜöĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøêĉéêŠĂ ðøąÿćîÜćî ×ĂĂîčâćê ĒúąéĞćđîĉîÖćøĂČęîĔé ìĊęđÖĊę÷üךĂÜÖĆïÿĆââćÝšćÜìĆĚÜĀöé ìĆĚÜĀîŠü÷ÜćîõćÙøĆå/đĂÖßî ĀøČĂĂČęî ė êćöìĊę øôö. ÖĞćĀîé đóČęĂĔĀš ÖćøéĞćđîĉîÜćîêćö×Ăïđ×ê×ĂÜÜćîÿĞćđøĘÝúčúŠüÜêćöüĆêëčðøąÿÜÙŤĒúąøą÷ąđüúćìĊęÖĞćĀîé ĒúąĀćÖöĊÙŠćĔߚ݊ć÷ ĔîÖćøðäĉïĆêĉÜćî ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïÙŠćĔߚ݊ć÷ìĆĚÜĀöé
    4.36 ĔîÖøèĊìĊęöĊÖćøĒúÖøĆï×ĂÜøćÜüĆúñŠćîߊĂÜìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜ ÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ĀøČĂߊĂÜĂČęî ė ×ĂÜ øôö. ìĊęđÖĊę÷üךĂÜÖĆï×Ăïđ×ê×ĂÜÜćî ñĎšøĆïÝšćÜ ÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïĔîÖćøĂĂÖÙŠćĔߚ݊ć÷ ĒúąßĞćøąõćþĊĀĆÖ è ìĊęÝŠć÷ ĀøČĂÙŠćíøøöđîĊ÷öĂČęîĔéìĊęđÖĊę÷üךĂÜ ÖĆïÖćøöĂï×ĂÜøćÜüĆúîĆĚî ė Ēìî øôö. ĒúąñĎšĕéšøĆïøćÜüĆúìĆĚÜĀöé ìĆĚÜîĊĚĀćÖđÖĉéךĂøšĂÜđøĊ÷î ĀøČĂÖćøëĎÖðøąđöĉî õćþĊ÷šĂîĀúĆÜÝćÖÖćøéĞćđîĉîÖĉÝÖøøöéĆÜÖúŠćü øôö. ÝąĕöŠöĊÿŠüîøĆïñĉéßĂïêŠĂÙŠćĔߚ݊ć÷ĀøČĂÙüćöđÿĊ÷Āć÷Ĕé ė
    ĒúąñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïĒêŠđóĊ÷ÜñĎšđéĊ÷ü
    ÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć
    ñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) 4.37 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĔĀšöĊÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ñŠćîߊĂÜìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ÝĞćîüî ĕöŠîšĂ÷ÖüŠć 12 ÖĉÝÖøøö ĔĀšÙøĂïÙúčöêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜĀøČĂêćöìĊę øôö. đĀĘîÿöÙüø êúĂé ēé÷ÝĆéìĞćđðŨîĒñîøą÷ąÿĆĚî ĒúąĒñîøą÷ąÖúćÜ đߊî øĎðĒïï×ĂÜÖćøéĞćđîĉîÖĉÝÖøøöìćÜÖćøêúćééšćîÖćø ïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć øą÷ąđüúć×ĂÜÖĉÝÖøøö ÖúčŠöđðŜćĀöć÷ ĒúąÖćøÝĆéđÖĘïךĂöĎú ĔĀšÿĂéÙúšĂÜ ÖĆïÖćøéĞćđîĉîÜćî ĒúąêćöìĊę øôö. ÖĞćĀîé ìĆĚÜîĊĚÝąêšĂÜîĞćđÿîĂĔĀšøôö. đĀĘîßĂïÖŠĂîéĞćđîĉîÖćø đóČęĂêĂïēÝì÷Ť ÖúčŠöđðŜćĀöć÷ĒúąéċÜéĎéĔĀšöĊÖćøêĉéêćöìćÜߊĂÜìćÜ LINE Official Account: @MRTA đóĉęö×ċĚî ēé÷ĒêŠúą ÖĉÝÖøøöêšĂÜöĊÖćøüĆéñúìĊęĕéšÝĞćîüîñĎšêĉéêćöĔĀöŠ (New Followers) ìĊęđÖĊę÷üךĂÜÖĆïÜćîéšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ÝĞćîüîĕöŠîšĂ÷ÖüŠć 200 ñĎšêĉéêćö/ÖĉÝÖøøö
    4.38 ñĎšøĆïÝšćÜêšĂÜÿøčðñúÖćøéĞćđîĉîÜćîêćöĒñîìĆĚÜĀöé óøšĂöÝĆéìĞćךĂđÿîĂĒîą×ĂÜÜćîÝšćÜĄ ēé÷öĊøć÷ÜćîĂ÷ŠćÜîšĂ÷ éĆÜîĊĚ
    (1) ÝĞćîüîÖćøÿöĆÙøÿöćßĉÖ
    (2) ÝĞćîüîñĎšđךćøŠüöÖĉÝÖøøöĄ ×ĂÜ øôö. (Engagement user) / øć÷ÖĉÝÖøøö
    (3) ÝĞćîüîñĎšêĉéêćöìĊęđóĉęö×ċĚî (New Follower)
    (4) ĂĆêøćÖćøïúĘĂÖ (Block Rate) ĒúąĂĆêøćÖćøđðŗé (Open rate)
    (5) øć÷ÜćîñúÖćøÝĆéÿŠÜ×ĂÜøćÜüĆú
    (6) ÝĞćîüîךĂÙüćöìĊęÿŠÜ
    (7) ÝĞćîüîóĆîíöĉêøìĊęøŠüöÖĆï øôö.
    (8) øć÷ÜćîñúÖćøÝĆéìĞćÿČęĂðøąßćÿĆöóĆîíŤ

/(9) øć÷Üćî…

  • 13 -
    øć÷ÜćîñúéšćîÖćøïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆúĒúąÿĉìíĉóĉđýþ đߊîǰñúÖćøǰRedeem ĒúąÿøčðÿĉîÙšćÙÜÙúĆÜ đðŨîêšî
    ǰøć÷ÜćîÿøčðÖćøĒÝšÜðŦâĀć×ĂÜÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćĄǰÝćÖǰLINE Official ǰǰǰ Account ǰ@MRTA ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîîǰ Loyalty ProgramǰĒúąǰCall Center ēé÷øąïčÿćđĀêčĒúą üĉíĊĒÖšðŦâĀć
    øć÷ÜćîךĂêÖúÜøąéĆïÖćøĔĀšïøĉÖćøǰ Service Level Agreement ĒúąđüúćĔîÖćøÖĎšÙČî øąïïǰ Recovery Time ēé÷øąïčÿćđĀêčĒúąüĉíĊĒÖšðŦâĀć
    ñĎšøĆïÝšćÜÝąêšĂÜĔĀšöĊýĎî÷ŤïøĉÖćøúĎÖÙšć Call Center ĒúąñĎšéĎĒúøąïï Admin ÝĞćîüîĕöŠîšĂ÷ÖüŠćǰ ǰÙîǰđóČęĂĂĞćîü÷ÙüćöÿąéüÖÿĞćĀøĆïÖćøĔĀšïøĉÖćøךĂöĎúǰēé÷öĊøć÷úąđĂĊ÷ééĆÜîĊĚ
    ǰÝĆéĔĀšöĊđÝšćĀîšćìĊęìĊęöĊðøąÿïÖćøèŤĒúąÙüćöđßĊę÷üßćâǰÿĞćĀøĆïĔĀšÙĞćĒîąîĞćĒúą êĂïךĂàĆÖëćöđÖĊę÷üÖĆïđÜČęĂîĕ×ÖćøÿąÿöÙąĒîîǰÖćøêøüÝÿĂïÿëćîąÙąĒîîǰ×ĆĚîêĂîÖćøĒúÖøĆï×ĂÜøćÜüĆú ĒúąÖćøêĉéêćöÙüćöÙČïĀîšćĔîðøąđéĘîìĊęđÖĊę÷üךĂÜÖĆïÖćøÝĆéÿŠÜ×ĂÜøćÜüĆúǰêúĂéÝîøć÷úąđĂĊ÷éĂČęîǰėǰ ìĊęđÖĊę÷üךĂÜÖĆï×Ăïđ×ê×ĂÜÜćîĄ ÖøèĊìĊęĕéšøĆïĒÝšÜðŦâĀćñŠćîߊĂÜìćÜǰLINE Official Account ǰ@MRTA Ēúą ĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîîǰ Loyalty ProgramǰĀøČĂĂČęîǰėǰ×ĂÜǰøôö ǰìĊęđÖĊę÷üךĂÜ
    ǰÖćøĔĀšïøĉÖćøýĎî÷ŤïøĉÖćøúĎÖÙšć Call Center ĒúąñĎšéĎĒúøąïïǰ Admin ÝąêšĂÜÿćöćøë ĔĀšïøĉÖćøĕéšìčÖüĆîêúĂéǰ ǰßĆęüēöÜǰĀøČĂêćöìĊęǰ øôö ǰđĀĘîÿöÙüø
    ǰÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜLINE Official Account ǰ @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîîǰ Loyalty ProgramǰÝąêšĂÜÿćöćøëéĞćđîĉîÜćîøŠüöÖĆïÖĉÝÖøøöĂČęîǰėǰ êćöìĊęǰøôö ǰøšĂÜ×Ăǰēé÷ñĎšøĆïÝšćÜÝąêšĂÜöĊĀîšćìĊęéĞćđîĉîÖćøøŠüöÖĆïǰøôö ǰĀøČĂñĎšĒìîĂČęîǰėǰêćöìĊęǰøôö ǰÖĞćĀîéǰǰ
    ǰǰǰÖĞćĀîéđüúćÿŠÜöĂïóĆÿéč
    ǰǰñĎšøĆïÝšćÜÝąêšĂÜéĞćđîĉîÖćøêćö×Ăïđ×ê×ĂÜÜćîÝšćÜïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćǰ Customer Relationship Management: CRM) õć÷Ĕîøą÷ąđüúć ,100 üĆîǰ ĀîċęÜóĆîĀîċęÜøšĂ÷üĆîǰîĆïëĆéÝćÖüĆîúÜîćö ĔîÿĆââćÝšćÜ
    ǰǰǰĀúĆÖđÖèæŤÖćøóĉÝćøèćÙĆéđúČĂÖךĂđÿîĂ
    óĉÝćøèćÙĆéđúČĂÖךĂđÿîĂÙøĆĚÜîĊĚǰøôö ǰĔßšĀúĆÖđÖèæŤøćÙćðøąÖĂïđÖèæŤĂČęîǰ Price Performanceǰ ēé÷ÖĞćĀîéÿĆéÿŠüî×ĂÜîĚĞćĀîĆÖĔîÖćøĔĀšÙąĒîîêćöðŦÝÝĆ÷ĀúĆÖǰĒúąîĚĞćĀîĆÖìĊęÖĞćĀîéǰéĆÜîĊĚǰ 1ǰøćÙćìĊę÷ČęîךĂđÿîĂǰ Priceǰ ǰǰǰǰǰǰǰǰǰǰǰǰǰ ÖĞćĀîéîĚĞćĀîĆÖđìŠćÖĆï øšĂ÷úąǰ30 100 ÙąĒîîǰ 2ǰךĂđÿîĂéšćîđìÙîĉÙǰÙčèõćóĒúąÙčèÿöïĆêĉǰǰǰǰǰǰǰǰǰǰǰÖĞćĀîéîĚĞćĀîĆÖđìŠćÖĆïǰøšĂ÷úąǰ70 100 ÙąĒîî ǰǰǰ ìĊęđðŨîðøąē÷ßîŤêŠĂǰøôö
    Üïðøąöćè

  • 14 -
    ǰǰǰÜïðøąöćè
    üÜđÜĉîÜïðøąöćèÜćîÝšćÜïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćǰ Customer Relationship Management: CRM) ÝĞćîüîđÜĉîìĆĚÜÿĉĚîǰ ,000,000 ïćìǰ ÷ĊęÿĉïđĂĘéúšćîïćìëšüîǰàċęÜĕéšøüöõćþĊöĎúÙŠćđóĉęöǰêúĂéÝîõćþĊĂćÖø ĂČęîǰėǰĒúąÙŠćĔߚ݊ć÷ìĆĚÜðüÜĒúšü
    ǰ ÜüéÜćîĒúąÖćøÝŠć÷đÜĉî
    øôö ǰÝąêšĂÜßĞćøąđÜĉîêćöÿĆââćîĊĚđðŨîÖćøßĞćøąĒïïøć÷ÜüéǰàċęÜĕéšøüöõćþĊöĎúÙŠćđóĉęöǰêúĂéÝîõćþĊĂćÖø ĂČęîǰėǰĒúąÙŠćĔߚ݊ć÷ìĆĚÜðüÜĒúšüǰēé÷öĊøć÷úąđĂĊ÷éÖćøßĞćøąđÜĉîĒïŠÜđðŨîǰ12 ÜüéǰéĆÜîĊĚ
    ÜüéÜćî
    ÝĞćîüîđÜĉî
    øć÷úąđĂĊ÷éÖćøÿŠÜöĂïÜćî
    ÖĞćĀîéüĆîÿŠÜöĂï
    1
    øšĂ÷úąǰ ǰ ×ĂÜöĎúÙŠ ć êćöÿĆââć
    ǰÝĆéìĞćĒñîǰĒúąÿŠÜöĂïĒñîÖćøéĞćđîĉîÜćîéšćîüćÜĒñî Öú÷čìíŤìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ ×ĂÜúĎÖÙšćǰ ÿĞćĀøĆïðŘìĊęǰ ǰêćöךĂǰ ǰı
    ǰîĞćđÿîĂĒñîÖćøÝĆéĂïøöǰÙøĆĚÜìĊęǰ ǰêćöךĂǰ
    ǰøć÷ÜćîÙüćöÙČïĀîšćÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ ×ĂÜúĎÖÙšćǰ Customer Relationship Management ǰ CRM ñŠćîìćÜ LINE Official Account ǰ@MRTA Ēúą Āîš ćêŠ ć Üÿö ćßĉÖÿ ąÿöÙ ąĒîîǰ Loyalty Program êćöךĂǰ ǰı
    ǰìéÿĂïøąïïĒúąàĂôêŤĒüøŤìĊęđÖĊę÷üךĂÜêćöךĂǰ
    ǰøć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆúǰ ĒúąÿĉìíĉóĉđýþǰêćöךĂǰ ǰı
    ǰÝĆéđêøĊ÷öÙüćöóøšĂöýĎî÷ŤïøĉÖćøúĎÖÙšćĒúąñĎšéĎĒúøąïï êćöךĂǰ
    ǰÝĆéĀćĂčðÖøèŤĂĉđúĘÖìøĂîĉÖÿŤǰêćöךĂǰ
    õć÷Ĕîǰ üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć

ǰǰǰ ÜüéÜćîļ

  • 15 -
    ÜüéÜćî
    ÝĞćîüîđÜĉî
    øć÷úąđĂĊ÷éÖćøÿŠÜöĂïÜćî
    ÖĞćĀîéüĆîÿŠÜöĂï

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

    2
    øšĂ÷úą 7
    ×ĂÜöĎúÙŠć
    êćöÿĆââć

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  1. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
  2. ÝĆéĂïøö Ēúąøć÷ÜćîÿøčðñúÖćøÝĆéĂïøö ÙøĆĚÜìĊę 1 êćöךà 10.3
    õć÷Ĕî 180 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    3
    øšĂ÷úą 7 ×ĂÜöĎúÙŠć êćÿĆââć
    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  3. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 270 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    4
    øšĂ÷úą 10 ×ĂÜöĎúÙŠć
    êćÿĆââć
    1. êŠĂĂć÷čïĆâßĊÖćøĔßšÜćî LINE OA êćöךà 4.4
  4. ÝĆéìĞćĒñî ĒúąÿŠÜöĂïĒñîÖćøéĞćđîĉîÜćîéšćîüćÜĒñî Öú÷čìíŤìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ ×ĂÜúĎÖÙšć (ÿĞćĀøĆïðŘìĊę 2) êćöךà 4.1 – 4.3
  5. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.30 – 4.32
  6. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  7. îĞćđÿîĂĒñîÖćøÝĆéĂïøö ÙøĆĚÜìĊę 2 êćöךà 10.3
    õć÷Ĕî 360 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć

/ÜüéÜćî…

  • 16 -
    ÜüéÜćî
    ÝĞćîüîđÜĉî
    øć÷úąđĂĊ÷éÖćøÿŠÜöĂïÜćî
    ÖĞćĀîéüĆîÿŠÜöĂï
    5
    øšĂ÷úą 7 ×ĂÜöĎúÙŠć êćÿĆââć
    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  1. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
  2. ÝĆéĂïøö Ēúąøć÷ÜćîÿøčðñúÖćøÝĆéĂïøö ÙøĆĚÜìĊę 2 êćöךà 10.3
    õć÷Ĕî 450 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    6
    øšĂ÷úą 7
    ×ĂÜöĎúÙŠć
    êćÿĆââć
    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  3. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 540 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    7
    øšĂ÷úą 7 ×ĂÜöĎúÙŠć êćÿĆââć
    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38
  4. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 630 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    8
    øšĂ÷úą 10 ×ĂÜöĎúÙŠć êćÿĆââć
    1. êŠĂĂć÷čïĆâßĊÖćøĔßšÜćî LINE OA êćöךà 4.4
  5. ÝĆéìĞćĒñî ĒúąÿŠÜöĂïĒñîÖćøéĞćđîĉîÜćîéšćîüćÜĒñî Öú÷čìíŤìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ ×ĂÜúĎÖÙšć (ÿĞćĀøĆïðŘìĊę 3) êćöךà 4.1 – 4.3
  6. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.30 – 4.32
    õć÷Ĕî 720 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć

/ÜüéÜćî…

  • 17 -
    ÜüéÜćî
    ÝĞćîüîđÜĉî
    øć÷úąđĂĊ÷éÖćøÿŠÜöĂïÜćî
    ÖĞćĀîéüĆîÿŠÜöĂï

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

    9
    øšĂ÷úą 7 ×ĂÜöĎúÙŠć êćÿĆââć

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

  1. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 810 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    10
    øšĂ÷úą 7
    ×ĂÜöĎúÙŠć
    êćÿĆââć

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

  2. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 900 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    11
    øšĂ÷úą 7 ×ĂÜöĎúÙŠć êćÿĆââć

    1. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

  3. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    õć÷Ĕî 990 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć
    12
    øšĂ÷úą 9 ×ĂÜöĎúÙŠć êćÿĆââć

    1. îĞćÿŠÜךĂöĎúìĆĚÜĀöéìĊęĂ÷ĎŠĔîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤ úĎÖÙšćĄ ĔĀšÖĆï øôö. êćöךà 4.25

  4. ìĞćúć÷ךĂöĎúìéÿĂï ĀøČĂךĂöĎúĂČęî ė ×ĂÜ øôö. êćöךà 4.26

  5. éĞćđîĉîÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćø ÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć Ēúąøć÷Üćîÿøčðñú ÖćøÝĆéÖĉÝÖøøöĄ êćöךà 4.37 – 4.38

  6. øć÷ÜćîñúÖćøéĞćđîĉîÜćîéšćîïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú Ēúąÿĉìíĉóĉđýþ êćöךà 4.31, 4.32 Ēúą 4.34
    4.34

    ,
    õć÷Ĕî 1100 üĆîîĆïëĆé ÝćÖüĆîìĊęúÜîćöÿĆââć

/9. ĂĆêøć…

  • 18 -
  1. ĂĆêøćÙŠćðøĆï
    ĔîÖøèĊìĊęñĎšøĆïÝšćÜĕöŠÿćöćøëÿŠÜöĂïÜćîêćöøć÷ÜüéĔĀšĒÖŠ øôö. ĕéšõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîéêćöךĂìĊę 8 ñĎšøĆïÝšćÜÝąêšĂÜßĞćøąÙŠćðøĆïĔĀšĒÖŠ øôö. éĆÜîĊĚ
    9.1 ÖøèĊđÖĉéÖćøßĞćøčéïÖóøŠĂÜ×ĂÜøąïïĀøČĂ×ĆéךĂÜĂĆîđîČęĂÜöćÝćÖÖćøĔßšÜćîêćöðÖêĉêćöךà 4.27 ñĎšøĆïÝšćÜÝąêšĂÜéĞćđîĉîÖćøĒÖšĕ×ĔĀšĒúšüđÿøĘÝõć÷Ĕî 1 üĆî îĆïêĆĚÜĒêŠđüúćìĊęĕéšøĆïĒÝšÜÝćÖ øôö. ēé÷ĕöŠÙĉéÙŠćĔߚ݊ć÷ Ĕé ė ìĆĚÜÿĉĚî ĀćÖñĎšøĆïÝšćÜĒÖšĕ×ĕöŠĒúšüđÿøĘÝõć÷ĔîÖĞćĀîéđüúćéĆÜÖúŠćü ñĎšøĆïÝšćÜ÷ĉî÷ĂöĔĀšøôö. ðøĆïđðŨî øć÷ßĆęüēöÜ ĔîĂĆêøćøšĂ÷úą 0.01 (ýĎî÷ŤÝčéýĎî÷ŤĀîċęÜ) ×ĂÜöĎúÙŠćøšĂ÷úąÙŠćÝšćÜÜüéÜćîîĆĚî ė (øüöõćþĊöĎúÙŠćđóĉęö) ĒêŠÝąêšĂÜĕöŠêęĞćÖüŠćßĆęüēöÜúą 100.00 ïćì (ĀîċęÜøšĂ÷ïćì) ēé÷đýþ×ĂÜßĆęüēöÜĔĀšÙĉéđðŨî 1 ßĆęüēöÜ îĆïêĆĚÜĒêŠ óšîÖĞćĀîéđüúć 1 üĆîéĆÜÖúŠćü ÝîÖüŠćñĎšøĆïÝšćÜÝąĒÖšĕ×ĔĀšøąïïÿćöćøëĔßšÜćîĕéšêćöðÖêĉēé÷ñĎšøĆïÝšćÜ÷ĉî÷Ăö ĔĀšøôö. ĀĆÖÙŠćðøĆïéĆÜÖúŠćüĂĂÖÝćÖÙŠćÝšćÜêćöÜüéÜćîĕéšìĆîìĊ
    9.2 ñĎšøĆïÝšćÜ÷ĉî÷ĂöĔĀšøôö. ðøĆïêćöÝĞćîüîøšćîÙšćĀøČĂĒïøîéŤìĊę×ćéĀć÷ĕðÝćÖđðŜćĀöć÷×ĆĚîêęĞć êćöךà 4.31 ēé÷ÙĉéÙŠćðøĆïđðŨîøć÷øšćîÙšć/ĒïøîéŤĔîĂĆêøćøšĂ÷úą 0.01 (ýĎî÷ŤÝčéýĎî÷ŤĀîċęÜ) ×ĂÜöĎúÙŠćÙŠćÝšćÜ ĔîÜüéÜćîìĊę5, ÜüéÜćîìĊę9 ĒúąÜüéÜćîìĊę 12 (øüöõćþĊöĎúÙŠćđóĉęö) ĒêŠÝąêšĂÜĕöŠêęĞćÖüŠćøšćîÙšć/ĒïøîéŤúą 100.00 ïćì (ĀîċęÜøšĂ÷ïćì) ēé÷óĉÝćøèćÝćÖÝĞćîüîøšćîÙšć/ĒïøîéŤìĊę×ćéĀć÷ĕð è üĆîÿŠÜöĂïÜćîĔîÜüéîĆĚî ė
    9.3 ÖøèĊñĎšøĆïÝšćÜĕöŠÿćöćøëéĞćđîĉîÖćøĒÖšĕ×ðŦâĀć×ĂÜñĎšĔßšÜćîêćöךà 4.39 (1) ñĎšøĆïÝšćÜ÷ĉî÷ĂöĔĀšøôö. ðøĆïđðŨîøć÷ßĆęüēöÜ ĔîĂĆêøćøšĂ÷úą 0.01 (ýĎî÷ŤÝčéýĎî÷ŤĀîċęÜ) ×ĂÜöĎúÙŠćøšĂ÷úąÙŠćÝšćÜÜüéÜćîîĆĚî ė (øüöõćþĊöĎúÙŠćđóĉęö) ĒêŠÝąêšĂÜĕöŠêęĞćÖüŠćßĆęüēöÜúą 100.00 ïćì (ĀîċęÜøšĂ÷ïćì) ēé÷đýþ×ĂÜßĆęüēöÜĔĀšÙĉéđðŨî 1 ßĆęüēöÜ îĆïêĆĚÜĒêŠóšîÖĞćĀîéøą÷ąđüúćéĆÜÖúŠćü ÝîÖüŠćñĎšøĆïÝšćÜÝąéĞćđîĉîÖćøĒÖšĕ×ðŦâĀćĔĀšĒúšüđÿøĘÝĒúąĔßšÜćî
    ĕéšêćöðÖêĉēé÷ñĎšøĆïÝšćÜ÷ĉî÷ĂöĔĀšøôö. ĀĆÖÙŠćðøĆïéĆÜÖúŠćüĂĂÖÝćÖÙŠćÝšćÜêćöÜüéÜćîĕéšìĆîìĊ 9.4 ÖøèĊñĎšøĆïÝšćÜĕöŠÿćöćøëÝĆéĀćÝĞćîüîñĎšêĉéêćö (Follower) ĕéšÙøïëšüîêćöđðŜćĀöć÷×ĆĚîêęĞćìĊęÖĞćĀîéĕüš êćöךà 4.37 ñĎšøĆïÝšćÜ÷ĉî÷ĂöĔĀšøôö. ðøĆïêćöÝĞćîüîñĎšêĉéêćöìĊę×ćéĀć÷ĕð ēé÷ÙĉéÙŠćðøĆïđðŨîøć÷ïčÙÙú êŠĂ 1 ñĎšêĉéêćöìĊę×ćéĀć÷ĕð ĔîĂĆêøćøšĂ÷úą 0.01 (ýĎî÷ŤÝčéýĎî÷ŤĀîċęÜ) ×ĂÜöĎúÙŠćøšĂ÷úąÙŠćÝšćÜÜüéÜćîîĆĚî ė (øüöõćþĊöĎúÙŠćđóĉęö) ĒêŠÝąêšĂÜĕöŠêęĞćÖüŠćøć÷úą 100.00 ïćì (ĀîċęÜøšĂ÷ïćì) ēé÷óĉÝćøèćÝćÖÝĞćîüîñĎšêĉéêćö ìĊę×ćéĀć÷ĕð è üĆîÿŠÜöĂïÜćîÜüéîĆĚî ė ĀøČĂüĆîìĊęÖĞćĀîéĒúšüđÿøĘÝêćöÿĆââć
    9.5 ĔîÖøèĊìĊęñĎšøĆïÝšćÜĕöŠÿćöćøëÿŠÜöĂïÜćîøć÷ÜüéĔĀšĒÖŠ øôö. ĕéšõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîéĔîךà 8 ñĎšøĆïÝšćÜêšĂÜ÷ĉî÷ĂöĔĀšøôö. ðøĆïđðŨîøć÷üĆîĔîĂĆêøćøšĂ÷úą 0.01 (ýĎî÷ŤÝčéýĎî÷ŤĀîċęÜ) ×ĂÜüÜđÜĉîÙŠćÝšćÜêćöøć÷ ÜüéìĊęĕéšÿŠÜöĂïÜćîúŠćßšćĔîÜüéîĆĚî ė îĆïëĆéÝćÖüĆîìĊęÖĞćĀîéĒúšüđÿøĘÝêćöÿĆââć ĀøČĂüĆîìĊęÙøïÖĞćĀîéøą÷ąđüúć ìĊę øôö. ĕéšöĊÖćø×÷ć÷ĔĀšĔîÖøèĊìĊęÜćîĒúšüđÿøĘÝúŠćßšćđÖĉé×ċĚîđîČęĂÜÝćÖ øôö. ĀøČĂïčÙÙúìĊę 3 ĀøČĂđĀêčÿčéüĉÿĆ÷ àċęÜñĎšøĆïÝšćÜöĊÿĉìíĉĝìĊęÝąĕéšøĆïÖćø×÷ć÷øą÷ąđüúć×ĂÜÿĆââćĂĂÖĕðđìŠćÖĆïđüúćìĊęđÿĊ÷ĕðđîČęĂÜÝćÖđĀêčéĆÜÖúŠćüךćÜêšî ÝîëċÜüĆîìĊęñĎšøĆïÝšćÜĕéšÿŠÜöĂïÜćîëĎÖêšĂÜÙøïëšüîđðŨîìĊęđøĊ÷ïøšĂ÷Ēúšü ìĆĚÜîĊĚñĎšøĆïÝšćÜĕöŠöĊÿĉìíĉĝđøĊ÷ÖøšĂÜđÜĉîÙŠćĔߚ݊ć÷ Ĕé ė đóĉęöđêĉöÝćÖ øôö.

/10. đÜČęĂîĕ×…

  • 19 -
  1. đÜČęĂîĕ×ĂČęî ė
    10.1 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĔĀšöĊÖćøðøąßčöÖćøđøĉęöÜćî (Kick Off Meeting) đóČęĂßĊĚĒÝÜøć÷úąđĂĊ÷é ĒñîÖćøéĞćđîĉîÜćîĔîøąéĆïđéČĂîēé÷øąïčÖĉÝÖøøö ĔĀšĒÖŠ øôö. õć÷Ĕî 7 üĆîîĆïëĆéÝćÖüĆîìĊęúÜîćöĔîÿĆââć ĒúąêšĂÜÝĆéÿŠÜøć÷ÜćîÖćøðøąßčöÖćøđøĉęöÜćî (Kick Off Meeting) ĔĀšĒÖŠ øôö. óĉÝćøèćõć÷Ĕî 15 üĆî îĆïëĆé ÝćÖüĆîìĊęúÜîćöĔîÿĆââć
    10.2 ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšÝĆéìĞćÿČęĂðøąßćÿĆöóĆîíŤĒúąéĞćđîĉîÖćøđñ÷ĒóøŠÿČęĂðøąßćÿĆöóĆîíŤ êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ ēé÷öĊøć÷úąđĂĊ÷éÖćøéĞćđîĉîÜćî éĆÜîĊĚ
    øĎðĒïïßĉĚîÜćî: ÿČęĂðøąßćÿĆöóĆîíŤìĊęêšĂÜéĞćđîĉîÖćø ðøąÖĂïéšü÷
    (1) ÖćøĂĂÖĒïïĒúąñúĉêÿČęĂðøąßćÿĆöóĆîíŤĔîøĎðĒïï Rich Message, Rich Menu, Infographic ĀøČĂĂČęîė ìĊęđÖĊę÷üךĂÜÖĆïÖćøéĞćđîĉîÜćî ìĆĚÜĒïïõćóîĉęÜ õćóđÙúČęĂîĕĀü êšîĒïï (Key Visual) óøšĂöðøĆï×îćéßĉĚîÜćîĔĀšöĊÙüćöđĀöćąÿöÖĆïÿČęĂēÛþèćĒêŠúąðøąđõì
    (2) ßĉĚîÜćîÿČęĂēÛþèćðøąßćÿĆöóĆîíŤøĎðĒïïĂČęî ė ìĊęÿĂéÙúšĂÜÖĆïÜćîÝšćÜĄ (ëšćöĊ)
    Öćøđñ÷ĒóøŠ: đñ÷ĒóøŠñŠćîߊĂÜìćÜĂĂîĕúîŤĂ÷ŠćÜîšĂ÷ 2 ߊĂÜìćÜ (LINE Official Account: @MRTA Ēúą Facebook ×ĂÜ øôö. ĀøČĂêćöìĊę øôö. đĀĘîÿöÙüø) ĔĀšÿĂéÙúšĂÜÖĆïÝĞćîüîÖĉÝÖøøöìćÜÖćøêúćé éšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć ēé÷ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšÝĆéĀćĒúąéĞćđîĉîÖćø ēé÷ÝąêšĂÜĕéšøĆï ÙüćöđĀĘîßĂïÝćÖ øôö. ÖŠĂîđñ÷ĒóøŠ
    10.3 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĂïøöĀøČĂÖćøÿĆööîćĔĀšĒÖŠóîĆÖÜćî×ĂÜ øôö. ìĊęđÖĊę÷üךĂÜ ÝĞćîüîĕöŠîšĂ÷ÖüŠć 5 Ùî đóČęĂđðŨîÖćøóĆçîćìĆÖþą ĒúąýĆÖ÷õćóéšćîÖćøïøĉĀćøúĎÖÙšćÿĆöóĆîíŤĒúąéšćîđìÙēîēú÷ĊĀøČĂĀĆüךĂĂČęî ė ìĊęđÖĊę÷üךĂÜÖĆïÖćøéĞćđîĉîÜćî ÝĞćîüîĕöŠîšĂ÷ÖüŠć 2 ÙøĆĚÜ êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ ĀøČĂêćöìĊę øôö. đĀĘîÿöÙüø ìĆĚÜîĊĚñĎšøĆïÝšćÜêšĂÜîĞćđÿîĂøć÷úąđĂĊ÷é øĎðĒïï ĒúąĒñîÖćøÝĆéÖćøòřÖĂïøöéĆÜÖúŠćü ĔĀšøôö. đĀĘîßĂïÖŠĂîđøĉęöéĞćđîĉîÖćø
    10.4 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĀćĂčðÖøèŤĂĉđúĘÖìøĂîĉÖÿŤđÙúČęĂîìĊę Tablet ìĊęøĂÜøĆïøąïïðäĉïĆêĉÖćø iOS Ēúą Android ìĊęđðŨîðŦÝÝčïĆî đðŨîĂ÷ŠćÜîšĂ÷ ĕöŠîšĂ÷ÖüŠć ÝĞćîüî 3 đÙøČęĂÜ/ßčé ĀøČĂìĊęđĀöćąÿöêúĂéøą÷ąđüúć ÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ ēé÷öĊÙüćöÝčìĊęÝĆéđÖĘï 256 GB ×ċĚîĕð óøšĂöìĆĚÜêĉéêĆĚÜĒĂðóúĉđÙßĆî ĀøČĂøąïïìĊę óøšĂöÿĞćĀøĆïÖćøĔßšÜćîéšćîÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜ LINE Official Account: @MRTA ĀøČĂĂČęî ė ìĊęđÖĊę÷üךĂÜ øüöìĆĚÜĂčðÖøèŤđÿøĉö (ÿć÷đÙđïĉúÿĞćĀøĆïßćøŤÝ" (Charging Cable) ĔĀšÖĆïÙèąÖøøöÖćøêøüÝøĆïóĆÿéč ĒúąđÝšćĀîšćìĊęñĎšìĊęöĊĀîšćìĊęøĆïñĉéßĂïÜćîÝšćÜĄ êúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââć
    10.5 ñĎšøĆïÝšćÜÝąêšĂÜÝĆéĔĀšöĊđÝšćĀîšćìĊęìĊęöĊðøąÿïÖćøèŤéĎĒúéšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤĒúąÜćî ĂČęî ė ìĊęđÖĊę÷üךĂÜÖĆï×Ăïđ×ê×ĂÜÜćîêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ øôö. ĒúąÝąêšĂÜÝĆéĔĀšöĊ đÝšćĀîšćìĊęđóČęĂðøąÿćîÜćîÖĆï øôö. (ìĊöÜćîÖĂÜÖćøêúćéĒúąúĎÖÙšćÿĆöóĆîíŤòść÷óĆçîćíčøÖĉÝ øôö.) øüöìĆĚÜ ßŠĂÜìćÜÖćøêĉéêŠĂðøąÿćîÜćî ĔîÖćøðøąßčöüćÜĒñîĒúąĒÖšĕ×ðŦâĀćøŠüöÖĆîìčÖ×ĆĚîêĂîđÖĊę÷üÖĆïÖćøéĞćđîĉîÜćî ė üíÖ
    ĒúąðøąđéĘîÿĞćÙĆâêŠćÜ ė øüöìĆĚÜüćÜĒñîÖćøÝĆéÖćøÙüćöđÿĊę÷ÜêŠćÜ ė üĉíĊÖćøĒÖšĕ×ðŦâĀćìĊęĂćÝđÖĉé×ċĚîĀøČĂđÖĉé×ċĚî

/øąĀüŠćÜ…

  • 20 -
    øąĀüŠćÜÖćøéĞćđîĉîÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤĔîìčÖ×ĆĚîêĂî đóČęĂúéðŦâĀć Ēúą ߊĂÜüŠćÜøąĀüŠćÜÖćøìĞćÜćî đóČęĂĔĀšÜćîÿćöćøëéĞćđîĉîÜćîĒúšüđÿøĘÝêćöÖĞćĀîé
    10.6 õćó đÿĊ÷Ü đóúÜ ÖøćôôŗÖ ĀøČĂĂČęî ė ĕöŠüŠćÝąđøĊ÷ÖüŠćĂ÷ŠćÜĕøÖĘêćö ìĊęĔßšðøąÖĂïÖćøñúĉêĒúą đñ÷ĒóøŠÜćîìĊęđÖĊę÷üךĂÜìĆĚÜĀöéõć÷ĔêšÜćîÝšćÜĔîÙøĆĚÜîĊĚÝąêšĂÜĕöŠúąđöĉéúĉ×ÿĉìíĉĝĔé ė ìĆĚÜÿĉĚî ĀćÖöĊÖćøøšĂÜđøĊ÷îĀøČĂ ôŜĂÜøšĂÜ ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïìĆĚÜĀöéēé÷ÝąđøĊ÷ÖøšĂÜÙŠćđÿĊ÷Āć÷ÝćÖ øôö. ĕöŠĕéš
    10.7 ĔîÖøèĊìĊęöĊÖćøÝĞćĀîŠć÷ ÝŠć÷ ēĂî ĀøČĂöĂïÿĉìíĉĝĔé ė ĔĀšĒÖŠïčÙÙúõć÷îĂÖĕð÷ĆÜêŠćÜðøąđìý ñĎšøĆïÝšćÜÝąêšĂÜĕéšøĆïÙüćö÷ĉî÷ĂöđðŨîúć÷úĆÖþèŤĂĆÖþø ĒúąêÖúÜøć÷úąđĂĊ÷éøŠüöÖĆï øôö. ĂĊÖÙøĆĚÜĀîċęÜÖŠĂî éĞćđîĉîÖćø
    10.8 ĀćÖ øôö. öĊÖćøóĆçîćĒĂðóúĉđÙßĆî MRTA Connect , MRTA Parking ĀøČĂĂČęî ė ìĊęđÖĊę÷üךĂÜ ĒúąöĊÙüćöÝĞćđðŨîÝąêšĂÜĔßšÜćîךĂöĎúìĊęđÖĊę÷üךĂÜÖĆïÖćøïøĉĀćøÙüćöÿĆöóĆîíŤúĎÖÙšćñŠćîìćÜ LINE Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖÿąÿöÙąĒîî (Loyalty Program) ñĎšøĆïÝšćÜÝąêšĂÜĂĞćîü÷ÙüćöÿąéüÖ ĒúąéĞćđîĉîÖćøĔîÿŠüîìĊęđÖĊę÷üךĂÜđóČęĂĔĀšÿćöćøëÝĆéÿŠÜ đÙúČęĂî÷šć÷ ĒúąĔßšÜćîøŠüöÖĆîĕéšĂ÷ŠćÜöĊðøąÿĉìíĉõćó ēé÷ĕöŠöĊÙŠćĔߚ݊ć÷ĔîÖćøéĞćđîĉîÜćîĔé ė đóĉęöđêĉö
    10.9 ĔîÖøèĊìĊęêšĂÜĔßšÿëćîìĊęđóČęĂÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤàċęÜóČĚîìĊę éĆÜÖúŠćüĕöŠĔߊÖøøöÿĉìíĉĝ×ĂÜ øôö. ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšêĉéêŠĂðøąÿćîÜćîÖĆïđÝšć×ĂÜÿëćîìĊęàċęÜđðŨîĀîŠü÷Üćî õć÷îĂÖĀøČĂïčÙÙúìĊęÿćö ēé÷ÝąêšĂÜðäĉïĆêĉêćö×ĆĚîêĂîĒúąÖãøąđïĊ÷ï×ĂÜÖćøĔßÿëćîì š Ċę øüöëċÜöćêøåćîÙüćö ðúĂéõĆ÷Ă÷ŠćÜđÙøŠÜÙøĆé øüöìĆĚÜĔßšÙüćöøąöĆéøąüĆÜĕöŠÖŠĂĔĀšđÖĉéðŦâĀćĔé ė ìĊęĂćÝÿŠÜñúÖøąìïêŠĂÖćøÝĆéÖĉÝÖøøöĄ ĒúąñúÖøąìïĔîìćÜúïêŠĂõćóúĆÖþèŤ×ĂÜ øôö. ìĆĚÜîĊĚĀćÖöĊÖćøøšĂÜđøĊ÷îöć÷ĆÜ øôö. ñĎšøĆïÝšćÜÝąêšĂÜđðŨî ñĎšøĆïñĉéßĂïêĂïךĂøšĂÜđøĊ÷îĔîîćö×ĂÜñĎšøĆïÝšćÜ ēé÷ øôö. ĕöŠöĊÿŠüîđÖĊę÷üךĂÜÖĆïđøČęĂÜéĆÜÖúŠćüĒêŠĂ÷ŠćÜĔé ĒúąÖøèĊìĊęđÖĉéÙüćöđÿĊ÷Āć÷ñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïĒêŠđóĊ÷ÜñĎšđéĊ÷ü ìĆĚÜîĊĚñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂï ÙŠćĔߚ݊ć÷ÿĞćĀøĆïÖćøĔßšÿëćîìĊęĀøČĂĂČęîĔéìĊęđÖĊę÷üךĂÜìĆĚÜĀöé
    10.10 ĔîÖøèĊìĊę×ĂĔßšÿëćîìĊę×ĂÜ øôö. đóČęĂÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤñĎšøĆïÝšćÜÝąêšĂÜðäĉïĆêĉêćöÖãøąđïĊ÷ï×ĂÜÖćøĔßšÿëćîìĊę øüöëċÜöćêøåćîêüćöðúĂéõĆ÷Ă÷ŠćÜ đÙøŠÜÙøĆé ēé÷đÞóćąÿëćîìĊęõć÷ĔîïøĉđüèÿëćîĊøëĕôôŜćĒúąõć÷Ĕî×ïüîøëĕôôŜć ēé÷ñĎšøĆïÝšćÜêšĂÜĔßšÙüćö øąöĆéøąüĆÜĕöŠÖŠĂĔĀšđÖĉéðŦâĀćĔé ė ìĊęĂćÝÿŠÜñúÖøąìïêŠĂÖćøÝĆéÖĉÝÖøøöìćÜÖćøêúćééšćîÖćøïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤĒúąñúÖøąìïĔîìćÜúïêŠĂõćóúĆÖþèŤ×ĂÜ øôö. ĒúąĀćÖöĊÖćøøšĂÜđøĊ÷îĀøČĂđÖĉéðŦâĀćìĊęđÖĊę÷üךĂÜ ÖĆïÖćøÝĆéÖĉÝÖøøöĄ ñĎšøĆïÝšćÜÝąêšĂÜøĊïéĞćđîĉîÖćøĒÖšĕ×ðŦâĀćēé÷ìĆîìĊĒúąÖøèĊöĊÙüćöđÿĊ÷Āć÷đÖĉé×ċĚîñĎšøĆïÝšćÜ ÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïÙŠćĔߚ݊ć÷ìĊęđÖĉé×ċĚîìĆĚÜĀöé ìĆĚÜîĊĚñĎšøĆïÝšćÜÝąêšĂÜ×ĂĂîčâćêÖćøĔßšÿëćîìĊęÝćÖ øôö.
    ÖŠĂîéĞćđîĉîÖćø Ēúą øôö. ÝąÿîĆïÿîčîÖćøĔßšÿëćîìĊęēé÷ĕöŠöĊÙŠćĔߚ݊ć÷ĒêŠĂ÷ŠćÜĔé

/10.11 ĔîÖćø…

  • 21 -
    10 11 ĔîÖćøÿŠÜöĂïÜćîǰñĎšøĆïÝšćÜÝąêšĂÜÝĆéìĞćøć÷ÜćîñúÖćøéĞćđîĉîÜćî×ĂÜìćÜÖćøêúćééšćîÖćø ïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤĒúą ĀøČĂÖćøðäĉïĆêĉÜćîĂČęîǰėǰìĊęöĊÖćøéĞćđîĉîÜćîĒúšüđÿøĘÝìĆĚÜĀöéǰ×ĂÜĒêŠúąÜüéÜćîǰ óøšĂöøć÷ÜćîðøąđöĉîñúÖćøéĞćđîĉîÜćîǰđðŨîøĎðđúŠöĂ÷ŠćÜîšĂ÷ǰ ǰßčéǰóøšĂöĕôúŤĂĉđúĘÖìøĂîĉÖÿŤøć÷ÜćîǰךĂöĎúéĉïǰ ĒúąđĂÖÿćøìĊęđÖĊę÷üךĂÜÖĆïÖćøéĞćđîĉîÜćîìĆĚÜĀöéïøøÝčĔîǰUSB Flash Drive ĀøČĂǰExternal Hard Disk êćöÙüćöđĀöćąÿöǰĔĀšĒÖŠǰøôö ǰõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîéĔîĒêŠúąÜüéÜćîêćöךĂǰ
    10 12 ñĎšøĆïÝšćÜêšĂÜýċÖþćìĞćÙüćöđךćĔÝĒúąðäĉïĆêĉêćöóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúǰ ó ý ǰ2562 PDPA ǰPersonal Data Protection ActǰøüöĕðëċÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜêúĂéøą÷ąđüúćÖćø éĞćđîĉîÜćîêćöÿĆââćÝšćÜ ĀćÖñĎšøĆïÝšćÜĕöŠðäĉïĆêĉêćöîē÷ïć÷éĆÜÖúŠćüǰÝîÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ǰñĎšøĆïÝšćÜÝąêšĂÜ đðŨîñĎšøĆïñĉéßĂïÙŠćđÿĊ÷Āć÷éĆÜÖúŠćü
    ñĎšøĆïÝšćÜÝąêšĂÜðäĉïĆêĉêćöîïć÷îē÷ïć÷ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúǰó ý ǰ ǰ×ĂÜǰøôö ǰ êćöõćÙñîüÖǰÖ ĀćÖñĎšøĆïÝšćÜĕöŠðäĉïĆêĉêćöîē÷ïć÷éĆÜÖúŠćüǰÝîÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ñĎšøĆïÝšćÜÝąêšĂÜđðŨî ñĎšøĆïñĉéßĂïÙŠćđÿĊ÷Āć÷éĆÜÖúŠćü
    ñĎšøĆïÝšćÜêšĂÜðäĉïĆêĉêćöîē÷ïć÷ÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜøąïïđìÙēîēú÷Ċÿćøÿîđìýǰ øôö ǰĒúąöćêøåćîìĊęđðŨîìĊę÷ĂöøĆïêúĂéøą÷ąđüúćÖćøéĞćđîĉîÜćîêćöÿĆââćÝšćÜ êćöõćÙñîüÖǰ× ĀćÖñĎšøĆïÝšćÜ ĕöŠðäĉïĆêĉêćöîē÷ïć÷ÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ĄǰÝîÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ǰñĎšøĆïÝšćÜÝąêšĂÜđðŨîñĎšøĆïñĉéßĂï ÙŠćđÿĊ÷Āć÷éĆÜÖúŠćüēé÷ÝąêšĂÜđðŨîñĎšøĆïñĉéßĂïÿĎÜÿčéêćöìĊęÖãĀöć÷ÖĞćĀîéìčÖÖøèĊ
    ñĎšðäĉïĆêĉÜćî×ĂÜñĎšøĆïÝšćÜìčÖÙîêšĂÜúÜîćöĔîÿĆââćüŠćÝąĕöŠđðŗéđñ÷ÙüćöúĆï×ĂÜǰøôö ǰ Non Disclosure Agreement ǰNDAǰÖŠĂîđøĉęöðäĉïĆêĉÜćîĔĀšǰøôö êćöõćÙñîüÖǰÙ
    ǰĀćÖñĎšøĆïÝšćÜÖøąìĞćÖćøĔéǰėǰìĊęòśćòŚîđÜČęĂîĕ×Ēúą×šĂÖĞćĀîéǰ TORǰÜćîÝšćÜïøĉĀćøÝĆéÖćø ÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšćǰ Customer Relationship Management: CRM) ×ĂÜǰøôö ǰÝîđðŨîđĀêčĔĀšøôö ǰ ĒúąïčÙÙúõć÷îĂÖđÿĊ÷Āć÷ êúĂéÝîóĆîíöĉêøìĊęđÖĊę÷üךĂÜÖĆïǰøôö ǰÝîđÖĉéÖćøēéîôŜĂÜøšĂÜǰñĎšøĆïÝšćÜÝąêšĂÜđðŨî ñĎšøĆïñĉéßĂïĔîÖćøéĞćđîĉîÖćøìćÜÙéĊǰĒúąßéĔßšÙŠćđÿĊ÷Āć÷ìĊęđÖĉé×ċĚîđĂÜìĆĚÜĀöé
    ǰĀúĆÖåćî
  • 22 -
  1. ĀúĆÖåćîÖćø÷ČęîךĂđÿîĂ
    ñĎš÷ČęîךĂđÿîĂÝąêšĂÜ÷ČęîđĂÖÿćøĀúĆÖåćîóøšĂöÖĆïøĆïøĂÜÿĞćđîćëĎÖêšĂÜöćóøšĂöÖĆïđÿîĂøćÙć óøšĂöÝĆéÿŠÜđĂÖÿćøĀúĆÖåćîéšćîđìÙîĉÙêćöךà 6 ñŠćîìćÜøąïïÝĆéàČĚĂÝĆéÝšćÜõćÙøĆåéšü÷ĂĉđúĘÖìøĂîĉÖÿŤ (e-GP) éĆÜîĊĚ
    11.1 ÿĞćđîćĀîĆÜÿČĂøĆïøĂÜÖćøÝéìąđïĊ÷îîĉêĉïčÙÙú
    11.2 ÿĞćđîćĀîĆÜÿČĂïøĉÙèĀŤÿîíĉ
    11.3 ïĆâßĊøć÷ßČęĂÖøøöÖćøñĎšÝĆéÖćø
    11.4 ïĆâßĊñĎšëČĂĀčšîøć÷ĔĀ⊠(ëšćöĊ)
    11.5 ñĎšöĊĂĞćîćÝÙüïÙčö (ëšćö)Ċ
    11.6 ĀîĆÜÿČĂöĂïĂĞćîćÝ (ëšćöĊ)
    11.7 ÿĞćđîćÿĆââćĀøČĂÿĞćđîćĔïÿĆęÜàČĚĂÿĆęÜÝšćÜ ìĊęöĊúĆÖþèąđéĊ÷üÖĆîÖĆïÜćîÝšćÜĔîÙøĆĚÜîĊĚ 11.8 ÿĞćđîćĀîĆÜÿČĂøĆïøĂÜñúÜćî
    11.9 ĔîÖøèĊñĎš÷ČęîךĂđÿîĂđðŨîñĎš÷ČęîךĂđÿîĂøŠüöÖĆîĔîåćîąđðŨîñĎšøŠüöÙšć ĔĀš÷ČęîÿĞćđîćÿĆââć ×ĂÜÖćøđךćøŠüöÙšć ĒúąđĂÖÿćøêćöךà 3 ×ĂÜñĎšøŠüöÙšć
    11.10 ÿĞćđîćĔïÿĞćÙĆâĒÿéÜÖćøÝéìąđïĊ÷îĀšćÜĀčšîÿŠüîïøĉþĆì
    11.11 ÿĞćđîćĔïìąđïĊ÷îõćþĊöĎúÙŠćđóĉęö (õ.ó.20) (ëšćöĊ)
    11.12 đĂÖÿćøðøąÖĂïÖćøóĉÝćøèćÙĆéđúČĂÖךĂđÿîĂ éĆÜîĊĚ
    11.12.1 ĒñîÖú÷čìíŤÖćøïøĉĀćøÝĆéÖćøÙüćöÿĆöóĆîíŤ×ĂÜúĎÖÙšć (Customer Relationship Management: CRM) ñŠćîìćÜ Line Official Account: @MRTA ĒúąĀîšćêŠćÜÿöćßĉÖ ÿąÿöÙąĒîî (Loyalty Program)
    11.12.2 ĒñîÖćøïøĉĀćøÝĆéÖćø×ĂÜøćÜüĆú ìĊęîĞćđÿîĂĔĀšÖĆïúĎÖÙšćĔîÖćøĒúÖøĆïÿĉìíĉĔîĀîšćêŠćÜ ÿöćßĉÖÿąÿöÙąĒîî (LoyaltyProgram)
    11.13 ßČęĂ-îćöÿÖčú Āöć÷đú×ēìøýĆóìŤĒúąĂĊđöú ñĎšðøąÿćîÜćî×ĂÜñĎš÷ČęîךĂđÿîĂ ÝĞćîüî 1 – 2 Ùî đóČęĂĔĀšøôö. ÿćöćøëêĉéêŠĂðøąÿćîÜćîĕéš

หลักเกณฑการพิจารณาคัดเลือกขอเสนอ
งานจางบริหารจัดการความสัมพันธของลูกคา (Customer Relationship Management: CRM)
ในการพิจารณาผูชนะการเสนอราคา รฟม. จะพิจารณาตัดสินโดยใชหลักเกณฑราคาประกอบเกณฑอื่น (Price Performance) โดยมีรายละเอียด ดังนี้

  1. ราคาที่ยื่นขอเสนอ (Price) กําหนดน้ําหนักเทากับรอยละ 30 (100 คะแนน)
    หลักเกณฑการใหคะแนนราคาที่ยื่นขอเสนอ (Price) เปนไปตามการคํานวณของระบบจัดซื้อจัดจางภาครัฐ ดวยอิเล็กทรอนิกสe-GP ของกรมบัญชีกลาง

  2. การพิจารณาเกณฑดานคุณภาพ กําหนดน้ําหนักเทากับรอยละ 70 (100 คะแนน)
    รายละเอียดหลักเกณฑการใหคะแนนเกณฑดานคุณภาพ ประกอบดวยหัวขอ ดังนี้
    ลําดับที่
    รายการ
    คะแนนรวม
    1.
    ผลงานและประสบการณของผูยื่นขอเสนอ
    10
    2.
    การนําเสนอแผนกลยุทธการบริหารจัดการความสัมพันธของลูกคา Customer Relationship Management: CRM) ผานทาง LINE Official Account: @MRTA และหนาตางสมาชิกสะสมคะแนน (Loyalty Program)
    2.1 นําเสนอแผนใหสอดคลองกับกลุมเปาหมายของ รฟม. ในการยกระดับ ประสบการณของลูกคา (20 คะแนน)
    2.2 แนวทางการสรางโอกาสทางธุรกิจ สงเสริมการเพิ่มรายไดเพิ่มจํานวน ลูกคาใหม เพิ่มจํานวนผูใชบริการรถไฟฟา และเกิดการรวมมือกับพันธมิตร (20 คะแนน)
    2.3 ออกแบบฟงกชั่น และการดูแลบริหารจัดการความสัมพันธของลูกคา (Customer Relationship Management: CRM) ผานทาง LINE Official Account: @MRTA และหนาตางสมาชิกสะสมคะแนน (Loyalty Program) ที่รองรับใชงานอยาง ตอเนื่อง ตลอดอายุสัญญาของงานจาง (20 คะแนน)
    60
    3.
    การนําเสนอแผนการบริหารจัดการของรางวัล ที่นําเสนอใหกับลูกคาในการแลกรับ สิทธิในหนาตางสมาชิกสะสมคะแนน (Loyalty Program)
    20
    4.
    เขารวมนําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล
    10

    รวม
    100

/ผูเสนอราคา…
2
ผูเสนอราคาจะตองนําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล ตอคณะกรรมการ พิจารณาผลการประกวดราคาอิเล็กทรอนิกสเพื่อใหคณะกรรมการฯ พิจารณา ภายใน 5 วันทําการ นับถัดจากวันที่ยื่น ขอเสนอ โดย รฟม. จะนัดหมายวันและเวลากับผูยื่นขอเสนอเพื่อเขามานําเสนอผลงาน ณ การรถไฟฟาขนสงมวลชน แหงประเทศไทย (สํานักงานใหญ) ถนนพระราม 9 เขตหวยขวาง กรุงเทพฯ โดยตองนําเสนอในรูปแบบ Presentation ภายในระยะเวลา 1 ชั่วโมง และเตรียมเอกสารสําหรับการนําเสนอตามจํานวนคณะกรรมการฯ เพื่อประกอบการพิจารณา ทั้งนี้มีรายละเอียดการพิจารณาแตละหัวขอ ดังนี้

  1. ผลงานและประสบการณ (10 คะแนน)
    รฟม. จะพิจารณาใหคะแนนจากจํานวนของสัญญาที่มีลักษณะเดียวกันกับงานจางในครั้งนี้ ซึ่งเกี่ยวของกับการบริหารจัดการความสัมพันธของลูกค า ( Customer Relationship Management: CRM) ผานแพลตฟอรมดิจิทัล Digital Platform ที่ดําเนินการแลวเสร็จภายในระยะเวลาไมเกิน 3 ปนับถึงวันที่ยื่นขอเสนอและ จะตองมีวงเงินของสัญญาไมนอยกวา 2,000,000 บาท (สองลานบาทถวน) โดยผูยื่นขอเสนอจะตองมีสําเนาสัญญาหรือ ใบสั่งซื้อสั่งจางที่แสดงถึงขอบเขตและมูลคาของงานจางนั้น ๆ ซึ่งเปนคูสัญญาโดยตรงกับหนวยงานของรัฐหรือเอกชนที่ รฟม. เชื่อถือ และหนังสือรับรองผลงาน (ถามี) โดยมีหลักเกณฑในการพิจารณา ดังนี้
    รายละเอียด
    คะแนน
    นําเสนอผลงานที่เกี่ยวของกับการบริหารจัดการความสัมพันธของลูกคาฯ มากกวา 5 ผลงาน
    10
    นําเสนอผลงานที่เกี่ยวของกับการบริหารจัดการความสัมพันธของลูกคาฯ ตั้งแต 3 - 4 ผลงาน
    7
    นําเสนอผลงานที่เกี่ยวของ นอยกวา 3 ผลงาน หรือไมมีการนําเสนอผลงานการบริหารจัดการความสัมพันธ ของลูกคาฯ
    0
  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

/2) การนําเสนอ…
3
2) การนําเสนอแผนกลยุทธการบริหารจัดการความสัมพันธของลูกคา (Customer Relationship Management: CRM) ผานทาง Line Official Account: @MRTA และหนาตางสมาชิกสะสมคะแนน (Loyalty Program) (60 คะแนน)
2.1 นําเสนอแผนใหสอดคลองกับกลุมเปาหมายของ รฟม. ในการยกระดับประสบการณของลูกคา (20 คะแนน)
รฟม. จะพิจารณาจากการนําเสนอแผนการบริหารจัดการความสัมพันธของลูกคาฯ กับกลุมเปาหมาย ของ รฟม. ในการยกระดับประสบการณของลูกคา โดยใหสอดคลองกับขอบเขตของงาน ระยะเวลาของกิจกรรม และวิธีการ จัดการบริหารการดําเนินงานและขอมูลอื่น ๆ ที่เกี่ยวของไดอยางครบถวน ถูกตอง เหมาะสม โดยมีคําอธิบายหลักเกณฑ การใหคะแนน ดังนี้
รายละเอียด
คะแนน
- มีการนําเสนอกรอบแนวคิด/กลยุทธ/แผนงานในการดําเนินงานดานการบริหารจัดการความสัมพันธ ของลูกคาฯ ที่สอดคลองและมากกวาที่ขอบเขตงานกําหนด เชน แสดงรายละเอียดระยะเวลา ที่ใชในขั้นตอนตาง ๆ ของงานจางอยางละเอียด ครบถวน เปนตน และสามารถวัดผลการดําเนินงานได อยางชัดเจน เปนรูปธรรม รวมทั้งแสดงใหเห็นถึงความเขาใจในการดําเนินงานไดอยางครบถวนสมบูรณ

  • มีความคิดสรางสรรคดีมาก โดดเดน ทันสมัย และนาสนใจ
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    20
    • มีการนําเสนอกรอบแนวคิด/กลยุทธ/แผนงานในการดําเนินงานดานการบริหารจัดการความสัมพันธ ของลูกคาฯ ที่สอดคลองกับขอบเขตงานที่กําหนด เชน แสดงรายละเอียดระยะเวลาที่ใชในขั้นตอนตาง ๆ ของงานจาง เปนตน และสามารถวัดผลการดําเนินงานไดอยางเปนรูปธรรม และแสดงใหเห็นถึงความ เขาใจในการดําเนินงาน
  • มีความคิดสรางสรรค
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    15
    • มีการนําเสนอกรอบแนวคิด/กลยุทธ/แผนงานในการดําเนินงานดานการบริหารจัดการความสัมพันธ ของลูกคาฯ แตแสดงรายละเอียดไมครบถวนตามขอบเขตของงานที่กําหนด
  • มีความคิดสรางสรรค
    5
    • ไมมีการนําเสนอกรอบแนวคิด/กลยุทธ/แผนงานในการดําเนินงานดานการบริหารจัดการความสัมพันธ ของลูกคาฯ
      0
  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

/2.2 แนวทาง…
4
2.2 แนวทางการสรางโอกาสทางธุรกิจ สงเสริมการเพิ่มรายไดเพิ่มจํานวนลูกคาใหม เพิ่มจํานวน ผูใชบริการรถไฟฟา และเกิดการรวมมือกับพันธมิตร (20 คะแนน)
รฟม. จะพิจารณาจากการนําเสนอกลยุทธและแผนการสรางโอกาสทางธุรกิจฯ กับกลุมเปาหมายของ รฟม. ในการยกระดับประสบการณของลูกคา โดยประเมินจากความเปนไปไดของแผนงาน ตัวชี้วัดความสําเร็จที่ชัดเจน และความพรอมของเครือขายพันธมิตร ใหสอดคลองกับขอบเขตของงาน ระยะเวลาของกิจกรรม และวิธีการจัดการบริหาร การดําเนินงาน รวมถึงการนําขอมูลมาวิเคราะหเพื่อเพิ่มประสิทธิภาพการทําการตลาด ไดอยางครบถวน ถูกตอง เหมาะสม
โดยมีคําอธิบายหลักเกณฑการใหคะแนน ดังนี้
รายละเอียด
คะแนน
- มีการนําเสนอกลยุทธและแผนการสรางโอกาสทางธุรกิจ (ในการเพิ่มรายไดเพิ่มจํานวนลูกคา เพิ่มจํานวนผูใชบริการรถไฟฟา และเกิดการรวมมือกับพันธมิตร) สอดคลองและมากกวาที่ขอบเขตงาน กําหนด เชน แนวทางการสรางโอกาสทางธุรกิจในรวมมือกับกลุมแบรนดสินคาชั้นนํา หรือรานอาหาร เปนตน และสามารถวัดผลการดําเนินงานไดอยางชัดเจน เปนรูปธรรม รวมทั้งแสดงใหเห็นถึงความเขาใจ ในการดําเนินงานไดอยางครบถวนสมบูรณ

  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    20
    • มีการนําเสนอกลยุทธและแผนการสรางโอกาสทางธุรกิจ (ในการเพิ่มรายไดเพิ่มจํานวนลูกคา เพิ่มจํานวนผูใชบริการรถไฟฟา และเกิดการรวมมือกับพันธมิตร) สอดคลองกับขอบเขตงานที่กําหนด เชน แนวทางการสรางโอกาสทางธุรกิจในรวมมือกับกลุมแบรนดสินคาชั้นนํา หรือรานอาหาร เปนตน
      และสามารถวัดผลการดําเนินงานไดอยางเปนรูปธรรม และแสดงใหเห็นถึงความเขาใจในการดําเนินงาน - มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
      15
    • มีการนําเสนอกลยุทธและแผนการสรางโอกาสทางธุรกิจ (ในการเพิ่มรายไดเพิ่มลูกคา เพิ่มผูใชบริการ รถไฟฟา และการรวมมือกับพันธมิตร) ไมครบถ  วนตามขอบเขตงานที่กําหนด
      5
    • ไมมีการนําเสนอกลยุทธและแผนการสรางโอกาสทางธุรกิจฯ
      0
  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

/2.3 ออกแบบ…
5
2.3 ออกแบบฟงกชั่น และการดูแลบริหารจัดการความสัมพันธของลูกคา (CustomerRelationship Management: CRM) ผานทาง LINE Official Account: @MRTA และหนาตางสมาชิกสะสมคะแนน (Loyalty Program) ที่รองรับใหสามารถใชงานอยางตอเนื่อง ตลอดอายุสัญญาของงานจาง (20 คะแนน)
รฟม. จะพิจารณาจากการนําเสนอรูปแบบการออกแบบฟงกชั่นการดูแลบริหารจัดการความสัมพันธ ของลูกคา (Customer Relationship Management: CRM) ผานทาง LINE Official Account: @MRTA และหนาตาง สมาชิกสะสมคะแนน (Loyalty Program) โดยประเมินจากความเปนไปไดของฟงกชั่นการใชงานตาง ๆ ทั้งนี้ฟงกชั่นและ หนาตางสมาชิกสะสมคะแนน (Loyalty Program) จะตองสามารถใชงานไดอยางเสถียรตอเนื่อง เขาใจงาย และเปนมิตร ตอผูใชงาน โดยมีคําอธิบายหลักเกณฑการใหคะแนน ดังนี้
รายละเอียด
คะแนน
- มีการออกแบบฟงกชั่นตาง ๆ บนหนา LINE Official Account: @MRTA และหนาตางสมาชิกสะสม คะแนน (Loyalty Program) เชน ฟงกชั่นการคนหาของรางวัล มินิเกมส เปนตน โดยใหสอดคลอง และมากกวาที่ขอบเขตของงานกําหนด และมีแนวทางที่ชัดเจน ใชงานงาย

  • มีความคิดสรางสรรคดีมาก โดดเดน ทันสมัย และนาสนใจ
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    20
    • มีการออกแบบฟงกชั่นตาง ๆ บนหนา LINE Official Account: @MRTA และหนาตางสมาชิกสะสม คะแนน (Loyalty Program) ในหนาตางสมาชิกสะสมคะแนน (Loyalty Program) เชน ฟงกชั่น การคนหาของรางวัล มินิเกมสเปนตน โดยใหสอดคลองกับขอบเขตของงานที่กําหนด - มีความคิดสรางสรรค
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    15
    • มีการออกแบบฟงกชั่นตาง ๆ บนหนา LINE Official Account: @MRTA และหนาตางสมาชิกสะสม คะแนน (Loyalty Program) ในหนาตางสมาชิกสะสมคะแนน (Loyalty Program) เชน ฟงกชั่น การคนหาของรางวัล มินิเกมสเปนตน แตไมครบถ  วนตามขอบเขตของงานที่กําหนด - มีความคิดสรางสรรค
      5
    • ไมมีการออกแบบฟงกชั่นตาง ๆ บนหนา LINE Official Account: @MRTA และหนาตางสมาชิกสะสม คะแนน (Loyalty Program)
      0
  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

/3) การนําเสนอ…
6
3) การนําเสนอแผนการบริหารจัดการของรางวัล ที่นําเสนอใหกับลูกคาในการแลกรับสิทธิในหนาตาง สมาชิกสะสมคะแนน (Loyalty Program) (20 คะแนน)
รฟม. จะพิจารณาจากการนําเสนอแผนการบริหารจัดการของรางวัล รูปแบบการแลกรับของรางวัล ประเภทของรางวัล (ซึ่งจะตองมีศักยภาพในการดึงดูดใหลูกคาอยากเขามาใชงานและสะสมคะแนนจริง) โดยมุงเนน ใหเกิดผลผลิต (Output) และผลลัพธ (Outcome) เชิงกลยุทธจากการแลกรับของรางวัล เชน ประเภทของรางวัล ที่กระตุนใหเกิดการใชผลิตภัณฑและบริการของ รฟม. เปนตน เพื่อใหกับลูกคาใชแลกรับสิทธิพิเศษตาง ๆ บนหนาตาง สมาชิกสะสมคะแนน (Loyalty Program) โดยมีหลักเกณฑการใหคะแนน ดังนี้
รายละเอียด
คะแนน
- แสดงแผนการบริหารจัดการของรางวัล (การจัดทํา จัดหา การสต็อก และการแลกรับ เปนตน) สอดคลองและมากกวาทขอบเขตของงานก ี่ ําหนด ไดอยางชัดเจนและเปนรูปธรรม

  • นําเสนอประเภทของรางวัล ใหสอดคลองที่ขอบเขตของงานกําหนดมีความโดดเดน มุงเนนผลผลิต และผลลัพธเชิงกลยุทธอยางชัดเจน และสามารถดําเนินงานไดจริง
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    20
    • แสดงแผนการบริหารจัดการของรางวัล (การจัดทํา จัดหา การสต็อก และการแลกรับ เปนตน) สอดคลองกับขอบเขตของงานที่กําหนด
  • นําเสนอประเภทของรางวัล สอดคลองกับขอบเขตของงานที่กําหนด และสามารถดําเนินงานไดจริง แตยังไมไดม ุงเนนผลผลิต และผลลัพธเชิงกลยุทธอยางชัดเจน
  • มีแผนบริหารความเสี่ยง/สถานการณฉุกเฉิน
    15
    • แสดงแผนการบริหารจัดการของรางวัล (การจัดทํา จัดหา การสต็อก และการแลกรับ เปนตน) - นําเสนอประเภทของรางวัล แตไมครบถวนตามขอบเขตของงาน เปาหมายและวัตถุประสงค ในการดําเนินงาน
      5
    • ไมมีการนําเสนอแผนการบริหารจัดการของรางวัล และประเภทของรางวัล
      0
  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

/4) เขารวม…
7
4) เขารวมนําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล (10 คะแนน) รฟม. จะพิจารณาจากการที่ผูยื่นขอเสนอเขารวมการนําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล ณ การรถไฟฟาขนสงมวลชนแหงประเทศไทย (สํานักงานใหญ) ตามวันและเวลาที่กําหนด โดยจะตองมีความตรงตอเวลาและสามารถนําเสนอกลยุทธฯ และขอมูลตาง ๆ ตามวัตถุประสงคที่ระบุในขอบเขตของงาน ภายในระยะเวลาที่กําหนด พรอมทั้งแสดงใหเห็นถึงความพรอมในการนําเสนอ ชี้แจงหรือตอบคําถามจากคณะกรรมการ ไดอยางถูกตอง ครบถวน โดยมีหลักเกณฑการใหคะแนน ดังนี้
รายละเอียด
คะแนน
- ผูยื่นขอเสนอเขามานําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล ตรงตามวัน เวลา และสถานที่ที่ รฟม. กําหนด โดยรูปแบบการนําเสนอจะตองมีความโดดเดน นาสนใจ ลําดับเรื่อง อยางเปนระบบในการนําเสนอกลยุทธฯ และขอมูลตาง ๆ ที่เกี่ยวของ ตามวัตถุประสงคที่ระบุในขอบเขต ของงานภายในระยะเวลาที่กําหนด และมีความตรงตอเวลา พรอมทั้งแสดงใหเห็นถึงความพรอม ในการนําเสนอ ชี้แจงหรือตอบคําถามจากคณะกรรมการไดอยางถูกตอง ครบถวน และประโยชนที่ รฟม.
จะไดรับนอกเหนือจากขอบเขตของงาน
10
- ผูยื่นขอเสนอเขามานําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล ตรงตามวัน เวลาและสถานที่ที่ รฟม. กําหนด และตามวัตถุประสงคที่ระบุในขอบเขตของงาน
5
- ไมมีการเขามานําเสนอกลยุทธและแผนการดําเนินงาน รวมถึงประเภทของรางวัล
0

  • รฟม. ขอสงวนสิทธิ์ผลการตัดสินของคณะกรรมการถือเปนที่สิ้นสุด

ภาคผนวก ก

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
ขนส่งมวลชน
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กํากับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการคุมครองขอมูลสวนบุคคล พ.ศ. 2568
ดวยพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 มาตรา 37 ประกอบกับขอ 4 และขอ 5

ของประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผูควบคุม ขอมูลสวนบุคคล พ.ศ. 2565 กําหนดใหผูควบคุมขอมูลสวนบุคคลมีหนาที่จัดใหมีมาตรการรักษาความมั่นคงปลอดภยั ที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใชเปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ และตองทบทวนมาตรการดังกลาวเมื่อมีความจําเปนหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อใหมีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
การรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.) ตระหนักและใหความสําคัญในการคุมครอง ขอมูลสวนบุคคลที่อยูในความครอบครองหรือควบคุมดูแลของ รฟม. จึงเห็นสมควรปรับปรุงประกาศการรถไฟฟา
ขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการคุมครองขอมูลสวนบุคคล พ.ศ. 2566 ลงวันที่ 25ธันวาคม 2566 โดยอาศัยอํานาจตามความในมาตรา 24 วรรคหนึ่ง แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทย พ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศไวดังตอไปนี้

ขอ 1 ประกาศนี้เรียกวา “ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบาย การคุมครองขอมูลสวนบุคคล พ.ศ. 2568”
ขอ 2 ประกาศนี้ใหใชบังคับเมื่อพนกําหนด 7 วัน นับถัดจากวันที่ประกาศเปนตนไป
ขอ 3 ใหยกเลิกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการคุมครอง

ขอมูลสวนบุคคล พ.ศ. 2566 ลงวันที่ 25 ธันวาคม 2566
ขอ 4 หลักการสําคัญในการคุมครองขอมูลสวนบุคคล

รฟม. จะเก็บรวบรวม ใชและเปดเผยขอมูลสวนบุคคล โดยอยูบนพื้นฐานหลักการสําคัญ
ในการคุมครองขอมูลสวนบุคคล ดังนี้
/(1) เก็บรวบรวม …
กบรวบรวม …
175 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรุงเทพมหานคร 10310 โทรศัพท 0 2716 4000 โทรสาร 0 2716 4019
716 4019
w.mrta c
175 Rama IX Road, Huai Khwang, Bangkok 10310, Thailand, Tel .66 2716 4000 Fax.66 2716 4019 http://www.mrta.co.th

  • 2 -
    (1) เก็บรวบรวม ใชและเปดเผยขอมูลสวนบุคคลเปนไปโดยชอบดวยกฎหมาย เปนธรรม และมีความโปรงใส ตอเจาของขอมูลสวนบุคคล (Lawfulness, Fairness and Transparency) (2) เก็บรวบรวมขอมูลสวนบุคคลดวยวิธีการที่ชอบดวยกฎหมาย และจัดเก็บขอมูล เทาที่จําเปนตามวัตถุประสงคในการดําเนินงาน และตามที่กฎหมายกําหนดเทาน้ัน (Purpose Limitation) โดยจะตองไดรับความยินยอมจากเจาของขอมูลสวนบุคคลกอนหรือในขณะเก็บรวบรวมขอมูลสวนบุคคล เวนแตเปนกรณีที่กฎหมายกําหนดใหสามารถประมวลผลขอมูลสวนบุคคลไดโดยไมตองไดรับความยินยอม (3) เก็บรวบรวมขอมูลสวนบุคคลเทาที่จําเปนตามวัตถุประสงคอันชอบดวยกฎหมาย (Data Minimization)
    (4) ทําใหขอมูลสวนบุคคลมีความถูกตองและเปนปจจุบัน พรอมใชงาน รวมถึงตองมี การดําเนินการเพื่อใหแนใจวาขอมูลสวนบุคคลที่ไมถูกตองจะไดรับการปรับปรุงแกไข (Accuracy) (5) ประมวลผลขอมูลสวนบุคคลตามระยะเวลาเทาที่จําเปนตอการประมวลผล ขอมูลสวนบุคคล (Storage Limitation) เวนแตกรณีมีกฎหมายกําหนดไวตองจัดเก็บขอมูลสวนบุคคลไว นานกวาระยะเวลาเทาที่จําเปนดังกลาว
    (6) การประมวลผลขอมูลสวนบุคคลตองมีมาตรการในการรักษาความมั่นคงปลอดภัย ที่เหมาะสม รวมถึงมีการปองกันการประมวลผลขอมูลสวนบุคคลโดยไมมีสิทธิหรือโดยไมชอบดวยกฎหมาย และปองกันการสูญหายโดยอุบัติเหตุการถูกทําลาย หรือถูกทําใหเสยหาย ี (Integrity and Confidentiality)
    ขอ 5 ขอบเขตการบังคับใช
    นโยบายการคุมครองขอมูลสวนบุคคลฉบับนี้มีขอบเขตการบังคับใชครอบคลุม การประมวลผลขอมูลสวนบุคคลที่อยูในความครอบครองหรือควบคุมดูแลของ รฟม.
    สําหรับขอมูลสวนบุคคลที่ไดเก็บรวบรวมไวกอนวันที่พระราชบัญญัติคุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 ใชบังคับ รฟม. จะเก็บรวบรวมและใชขอมูลสวนบุคคลนั้นตอไปตามวัตถุประสงคเดิม
    ขอ 6 หลักการสําคัญในการประมวลผลขอมูลสวนบุคคล
    รฟม. จะประมวลผลขอมูลสวนบุคคลโดยปฏิบัติตามหลักการสําคัญในการประมวลผล ขอมูลสวนบุคคล ดังนี้
    (1) ตองแจงรายละเอียดการประมวลผลขอมูลสวนบุคคลใหเจาของขอมูลสวนบุคคล ทราบกอนหรือในขณะเก็บรวบรวมขอมูลสวนบุคคล
    (2) ตองไดรับความยินยอมจากเจาของขอมูลสวนบุคคลกอนการประมวลผลขอมูล สวนบุคคล เวนแตกรณีดังตอไปนี้สามารถประมวลผลขอมูลสวนบุคคลไดโดยไมตองไดรับความยินยอม (ก) เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวของกับการจัดทําเอกสารประวัติศาสตร หรือจดหมายเหตุเพื่อประโยชนสาธารณะ หรือที่เกี่ยวของกับการศึกษาวิจัย หรือสถิติ
    /(ข)เพื่อ …

  • 3 -
    (ข) เพื่อปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล (ค) เพื่อปฏิบัติตามกฎหมาย
    (ง) เปนการจําเปนเพื่อการปฏิบัติตามสัญญาซึ่งเจาของขอมูลสวนบุคคลเปนคูสัญญา หรือเพื่อใชในการดําเนินการตามคําขอของเจาของขอมูลสวนบุคคลกอนเขาทําสัญญา (จ) เปนการจําเปนเพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะ ของผูควบคุมขอมูลสวนบุคคล หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล (ฉ) เปนการจําเปนเพื่อประโยชนโดยชอบดวยกฎหมายของผูควบคุมขอมูลสวนบุคคล หรือบุคคล หรือนิติบุคคลอื่นที่ไมใชผูควบคุมขอมูลสวนบุคคล เวนแตประโยชนดังกลาวมีความสําคัญนอยกวา สิทธิขั้นพื้นฐานในขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคล
    (3) ไมเก็บรวบรวมขอมูลสวนบุคคลที่มีความออนไหว รวมถึงการเก็บรวบรวม ขอมูลสวนบุคคลของผูเยาวคนไรความสามารถ หรือคนเสมือนไรความสามารถ เวนแตไดรับความยินยอม จากเจาของขอมูลสวนบุคคลหรือผูมีอํานาจกระทําแทนเจาของขอมูลสวนบุคคลโดยชัดแจง หรือไดรับยกเวน ตามที่กฎหมายกําหนด
    (4) ไมเปดเผยขอมูลสวนบุคคลที่มีการจัดเก็บรวบรวมไวใหกับบุคคลอื่น เวนแตไดรับ ความยินยอมจากเจาของขอมูลโดยทําหนังสือใหความยินยอมเปดเผยขอมูลสวนบุคคลเปนลายลักษณอักษร หรือกรณีตามมาตรา 80 แหงพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 หรือตามมาตรา 24 แหงพระราชบัญญัติขอมูลขาวสารของราชการ พ.ศ. 2540
    ขอ 7 บทกําหนดโทษ
    ผูควบคุมขอมูลสวนบุคคล ผูประมวลผลขอมูลสวนบุคคล หรือผูมีอํานาจหนาที่รับผิดชอบ ในการดําเนินงานเรื่องใดเรื่องหนึ่งตามหนาที่ของตน หากละเลยหรือละเวนไมปฏิบัติตามนโยบายการคุมครองขอมูล สวนบุคคลอาจมีผลใหไดรับโทษทางวินัยตามระเบียบของ รฟม. และอาจไดรับโทษที่กําหนดโดยพระราชบัญญัติ คุมครองขอมูลสวนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลําดับรองกฎ ระเบียบ หรือคําสั่งที่เกี่ยวของ
    ขอ 8 ชองทางการติดตอ
    หากเจาของขอมูลสวนบุคคลมีขอสงสัยขอเสนอแนะ หรือขอกังวลเกี่ยวกับการเก็บรวบรวม ใชและเปดเผยขอมูลสวนบุคคลของ รฟม. หรือเกี่ยวกับนโยบายนี้หรือตองการใชสิทธิตามกฎหมายคุมครอง ขอมูลสวนบุคคล เจาของขอมูลสามารถติดตอสอบถามไดที่
    (1) ผูควบคุมขอมูลสวนบุคคล (Data Controller)
    การรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.)
    175 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรุงเทพมหานคร 10310 หมายเลขโทรศัพท 0 2716 4000
    ชองทางการติดตอ [email protected]
    /(2) เจาหนาท … ี่

  • 4 -
    (2) เจาหนาทคี่ ุมครองขอมูลสวนบุคคล (Data Protection Officer : DPO) คณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคล
    175 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรุงเทพมหานคร 10310 หมายเลขโทรศัพท 0 2716 4000
    ชองทางการติดตอ [email protected]
    ขอ 9 แนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของ รฟม.
    แนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของ รฟม. มีรายละเอียดตามเอกสารแนบทาย ประกาศ ประกอบดวย
    หมวด 1 แนวปฏิบัติสําหรับผูควบคุมขอมูลสวนบุคคล
    หมวด 2 แนวปฏิบัติสําหรับผูประมวลผลขอมูลสวนบุคคล
    21
    ประกาศ ณ วันที่ กรกฎาคม พ.ศ. 2568
    (นายกาจผจญ อุดมธรรมภักดี)
    ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย

สารบัญ
เรื่อง หนา คํานิยาม ………………………………………………………………………………………………………………………………………. 1 หมวด 1 แนวปฏิบัติสําหรับผูควบคุมขอมูลสวนบุคคล ………………………………………………………………………. 3
สวนที่ 1 ระบบบริหารจัดการดานการคุมครองขอมูลสวนบุคคล ………………………………………………………… 3 สวนที่ 2 การประมวลผลขอมูลสวนบุคคล ………………………………………………………………………………………. 6 สวนที่ 3 มาตรการรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล ……………………………………………… 13 สวนที่ 4 การสงมอบขอมูลสวนบุคคลแกบุคคลหรือนิติบุคคลอื่น และการใชหรือเปดเผยขอมูลสวนบุคคล
ที่ไดรับมอบจากบุคคลหรือนิติบุคคลอื่น ……………………………………………………………………………. 16 สวนที่ 5 การควบคุมการลบหรือทําลายขอมูลสวนบุคคล ………………………………………………………………… 18 สวนที่ 6 การแจงเหตุการละเมิดขอมูลสวนบุคคล ………………………………………………………………………….. 22 หมวด 2 แนวปฏิบัติสําหรับผูประมวลผลขอมูลสวนบุคคล ………………………………………………………………. 23

-1-
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการคุมครองขอมูลสวนบุคคล
พ.ศ. 2568
แนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของ รฟม.
คํานิยาม
คํานิยามที่ใชในแนวปฏิบัตินี้ประกอบดวย

  1. ผูควบคุมขอมูลสวนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอํานาจหนาที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล
  2. รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทยซึ่งมีสถานะเปนผูควบคุมขอมูลสวนบุคคล 3. ผูวาการ หมายถึง ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
  3. ผูบริหารรฟม. หมายถึงกลุมพนักงานบริหารระดับสูง (ระดับ 11 - 14) และกลุมพนักงานระดับบังคับบัญชา (ระดับ 8 - 10)
  4. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล หมายถึงฝาย/ สํานัก/ สํานักงาน ทรี่ ับผิดชอบในการกําหนด วัตถุประสงคและกําหนดรายการขอมูลสวนบุคคลท่ีตองเก็บรวบรวม ใชและเปดเผยขอมูลสวนบุคคลของ กิจกรรมนั้น ๆในนามของ รฟม. รวมถึงพนักงาน รฟม. ที่ไดรับมอบหมายใหเก็บรวบรวม ใชเปดเผย และเขาถึงขอมูลสวนบุคคล ตามวัตถุประสงคของกิจกรรมนั้น ๆ ในนามของ รฟม.
  5. คณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคล หมายถึง กลุมของบุคคลซึ่งไดรับมอบหมายจากผูวาการ ใหทําหนาที่เปนเจาหนาที่คุมครองขอมูลสวนบุคคล ตามมาตรา 42 แหงพระราชบัญญัติคุมครองขอมูล สวนบุคคล พ.ศ. 2562
  6. ผูประมวลผลขอมูลสวนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใชหรือ เปดเผยขอมูลสวนบุคคลตามคําสั่งหรือในนามของผูควบคุมขอมูลสวนบุคคล ทั้งนี้บุคคลหรือนิติบุคคล ซึ่งดําเนินการดังกลาวไมเปนผูควบคุมขอมูลสวนบุคคล
  7. ขอมูลสวนบุคคล หมายถึง ขอมูลเกี่ยวกับบุคคลซึ่งทําใหสามารถระบุตัวบุคคลนั้นไดไมวาทางตรงหรือ ทางออม แตไมรวมถึงขอมูลของผูถึงแกกรรมโดยเฉพาะ
  8. การปกปดขอมูล (Data Masking) หมายถึง การปกปดขอมูลจริงเพื่อใหขอมูลนั้นแสดงเปนขอมูลหลอก หรือนามแฝง
  9. ขอมูลนิรนาม (Anonymization Data) หมายถึง ขอมูลที่ผานกระบวนการซึ่งทําใหไมสามารถระบุ ตัวตนหรือแสดงตัวตนไดทั้งในปจจุบันและอนาคต และไมเปนขอมูลสวนบุคคลตามกฎหมายวาดวย การคุมครองขอมูลสวนบุคคล
  10. การจัดทําขอมูลนิรนาม (Data Anonymization) หมายความวา กระบวนการทําใหขอมูลสวนบุคคล ไมสามารถระบุหรือเชื่อมโยงขอมูลไปถึงตัวบุคคลไดทั้งในปจจุบันและอนาคต โดยใชเทคนิคหลายเทคนิค รวมกันจนมั่นใจวาไมสามารถระบุตัวตนไดตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล
  • 2 -
  1. การจัดทําขอมูลแฝง (Data Pseudonymization) หมายความวากระบวนการเปลี่ยนแปลงขอมูลสวนบุคคล ดวยการใชอักขระแฝงหรือวิธีการอื่นใดเชน การเขารหัสขอมูล (Encryption) การเขาฟงกชันแฮช (Hashing) การเก็บขอมูลแยกสวนโดยเชื่อมผานโทเค็น (Tokenization) โดยยังสามารถเชื่อมโยงขอมูลเพื่อระบุตัวตนได เมื่อมีขอมูลเพิ่มเติมประกอบและไมถือเปนขอมูลนิรนาม
  2. การประมวลผลขอมูลสวนบุคคล หมายถึง การเก็บรวบรวม ใชและเปดเผยขอมูลสวนบุคคล 14. เจาของขอมูลสวนบุคคล หมายถึง บุคคลที่ขอมูลสวนบุคคลสามารถระบุถึงตัวบุคคลนั้น ไมรวมผูถึงแกกรรม และนิติบุคคล
  3. ขอตกลงการประมวลผลขอมูลสวนบุคคล (Data Processing Agreement: DPA) หมายถึง ขอตกลง ระหวางผูควบคุมขอมูลสวนบุคคลกับผูประมวลผลขอมูลสวนบุคคล เพื่อควบคุมการดําเนินงานตาม หนาที่ของผประมวลผลข ู อมูลสวนบุคคลใหเปนไปตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
  4. ความมั่นคงปลอดภัย หมายถึง การธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของขอมูลสวนบุคคล เพื่อปองกันการสูญหาย เขาถึง ใชเปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ
  5. การละเมิดขอมูลสวนบุคคล หมายถึงการละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทําใหเกิดการสูญหาย เขาถึง ใชเปลี่ยนแปลงแกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ไมวาจะ เกิดจากเจตนาความจงใจความประมาทเลินเลอการกระทําโดยปราศจากอํานาจหรือโดยมิชอบ การกระทํา ความผิดเกี่ยวกับคอมพิวเตอรภัยคุกคามทางไซเบอรขอผิดพลาดบกพรองหรืออุบัติเหตุ หรือเหตุอื่นใด
    ซึ่งเหตุการละเมิดขอมูลสวนบุคคลแตละเหตุอาจเกี่ยวของกับการละเมิดประเภทใดประเภทหนึ่งหรือ หลายประเภท ดังตอไปนี้
    (1) การละเมิดความลับของขอมูลสวนบุคคล (Confidentiality Breach) ซึ่งมีการเขาถึงหรือเปดเผย ขอมูลสวนบุคคล โดยปราศจากอํานาจหรือโดยมิชอบ หรือเกิดจากขอผิดพลาดบกพรองหรืออุบัติเหตุ (2) การละเมิดความถูกตองครบถวนของขอมูลสวนบุคคล (Integrity Breach) ซึ่งมีการเปลี่ยนแปลง แกไขขอมูลสวนบุคคลใหไมถูกตอง ไมสมบูรณหรือไมครบถวน โดยปราศจากอํานาจหรือโดยมิชอบ หรือเกิดจากขอผิดพลาดบกพรองหรืออุบัติเหตุ
    (3) การละเมิดความพรอมใชงานของขอมูลสวนบุคคล (Availability Breach) ซึ่งทําใหไมสามารถ เขาถึงขอมูลสวนบุคคลไดหรือมีการทําลายขอมูลสวนบุคคล ทําใหขอมูลสวนบุคคลไมอยูในสภาพ ที่พรอมใชงานไดตามปกติ
  6. ผูพบเห็นเหตุการณหมายถึง ผูพบเห็นเหตุการละเมิดขอมูลสวนบุคคล
  7. ผูดูแลระบบ หมายถึง พนักงาน รฟม. ที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแล รักษาระบบสารสนเทศและพนักงานของผูรับจางที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศใหรฟม.
  • 3 -
    หมวด 1
    แนวปฏิบัติสําหรับผูควบคุมขอมูลสวนบุคคล
    สวนที่1
    ระบบบริหารจัดการดานการคุมครองขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อใหการปฏิบัติงานของ รฟม. เปนไปตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 ξ เพื่อเปนแนวปฏิบัติในการบริหารจัดการการคุมครองขอมูลสวนบุคคลอยางชัดเจนและมีประสิทธิภาพ
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 37 ผูควบคุมขอมูลสวนบุคคลมีหนาที่ ดังตอไปนี้
    (1) จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และตองทบทวน มาตรการดังกลาวเมื่อมีความจําเปนหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อใหมีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ใหเปนไปตามมาตรฐานขั้นต่ําที่คณะกรรมการประกาศกําหนด
    มาตรา 77 ผูควบคุมขอมูลสวนบุคคลหรือผูประมวลผลขอมูลสวนบุคคลซึ่งดําเนินการใด ๆ เกี่ยวกับขอมูลสวนบุคคลอันเปนการฝาฝนหรือไมปฏิบัติตามบทบัญญัติแหงพระราชบัญญัตินี้ทําใหเกิด ความเสียหายตอเจาของขอมูลสวนบุคคล ตองชดใชคาสินไหมทดแทนเพื่อการนั้นแกเจาของขอมูลสวนบุคคล ไมวาการดําเนินการนั้นจะเกิดจากการกระทําโดยจงใจหรือประมาทเลินเลอหรือไมก็ตาม เวนแตผูควบคุม ขอมูลสวนบุคคลหรือผูประมวลผลขอมูลสวนบุคคลนั้นจะพิสูจนไดวา
    (1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทําหรือละเวนการกระทําของ เจาของขอมูลสวนบุคคลนั้นเอง
    (2) เปนการปฏิบัติตามคําสั่งของเจาหนาที่ซึ่งปฏิบัติการตามหนาที่และอํานาจตามกฎหมาย มาตรา 79 ผูควบคุมขอมูลสวนบุคคลผูใดฝาฝนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไมปฏิบัติ ตามมาตรา 28 อันเกี่ยวกับขอมูลสวนบุคคลตามมาตรา 26 โดยประการที่นาจะทําใหผูอื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับ ไมเกินหาแสนบาท หรือทั้งจําทั้งปรับ
    ผูควบคุมขอมูลสวนบุคคลผูใดฝาฝนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไมปฏิบัติตามมาตรา 28 อันเกี่ยวกับขอมูลสวนบุคคลตามมาตรา 26 เพื่อแสวงหาประโยชนที่มิควรไดโดยชอบดวยกฎหมายสําหรับ ตนเองหรือผูอื่น ตองระวางโทษจําคุกไมเกินหนึ่งปหรือปรับไมเกินหนึ่งลานบาท หรือทั้งจําทั้งปรับ ความผิดตามมาตรานี้เปนความผิดอันยอมความได
  • 4 -
    มาตรา 80 ผูใดลวงรูขอมูลสวนบุคคลของผูอื่นเนื่องจากการปฏิบัติหนาที่ตามพระราชบัญญัตินี้ ถาผูนั้นนําไปเปดเผยแกผูอื่น ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับไมเกินหาแสนบาท หรือทั้งจําทั้งปรับ ความในวรรคหนึ่ง มิใหนํามาใชบังคับแกการเปดเผย ในกรณีดังตอไปนี้
    (1) การเปดเผยตามหนาที่
    (2) การเปดเผยเพื่อประโยชนแกการสอบสวน หรือการพิจารณาคดี
    (3) การเปดเผยแกหนวยงานของรัฐในประเทศหรือตางประเทศที่มีอํานาจหนาที่ตามกฎหมาย (4) การเปดเผยท่ีไดรับความยินยอมเปนหนังสือเฉพาะครั้งจากเจาของขอมูลสวนบุคคล (5) การเปดเผยขอมูลสวนบุคคลที่เกี่ยวกับการฟองรองคดีตาง ๆ ที่เปดเผยตอสาธารณะ
    มาตรา 81 ในกรณีที่ผูกระทําความผิดตามพระราชบัญญัตินี้เปนนิติบุคคล ถาการกระทําความผิด ของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทําของกรรมการหรือผูจัดการ หรือบุคคลใดซึ่งรับผิดชอบ ในการดําเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกลาวมีหนาที่ตองสั่งการหรือกระทําการและ ละเวนไมสั่งการหรือไมกระทําการจนเปนเหตุใหนิติบุคคลนั้นกระทําความผิด ผูนั้นตองรับโทษตามที่ บัญญัติไวสําหรับความผิดนั้น ๆดวย
    ξ ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผูควบคุม ขอมูลสวนบุคคล พ.ศ. 2565
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A5
    ผูรับผิดชอบ
    ξ ผูวาการ
    ξ คณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคล
    ξ ผูบริหาร รฟม.
    ξ ฝทท.
    แนวปฏิบัติ
  1. ผูวาการตองกําหนดนโยบายการคุมครองขอมูลสวนบุคคล และทบทวน/ปรับปรุงนโยบายอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ โดยนโยบายการคุมครองขอมูลสวนบุคคลตองผานการพิจารณา ใหขอสังเกตจากคณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคล
  2. ผูวาการตองจัดใหมีบุคลากรดําเนินงานดานการคุมครองขอมูลสวนบุคคลและกําหนดหนาที่ความรับผิดชอบ รวมทั้งปรับปรุงโครงสรางดังกลาวตามความจําเปน
  3. ผูวาการตองจัดใหมีทรัพยากรที่จําเปนตอการบริหารจัดการดานการคุมครองขอมูลสวนบุคคลอยางเพียงพอ รวมถึงสรางความรวมมือระหวางหนวยงานที่เกี่ยวของกับการคุมครองขอมูลสวนบุคคล 4. ผูวาการตองกําหนดแนวปฏิบัติที่เกี่ยวของกับระบบการบริหารจัดการดานการคุมครองขอมูลสวนบุคคล ประกอบดวย
  • 5 -
    4.1 แนวปฏิบัติในการจัดทําและควบคุมบันทึกกิจกรรมการประมวลผลขอมูลสวนบุคคล 4.2 แนวปฏิบัติในการขอความยินยอมจากเจาของขอมูลสวนบุคคล
    4.3 แนวปฏิบัติในการแจงเหตุการละเมิดขอมูลสวนบุคคล โดยครอบคลุมหลักเกณฑและวิธีการในการแจง เหตุการละเมิดขอมูลสวนบุคคลแกสํานักงานคณะกรรมการคุมครองขอมูลสวนบุคคลหรือเจาของขอมูล สวนบุคคลตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล
    4.4 แนวปฏิบัติในการจัดการคําขอใชสิทธิของเจาของขอมูลสวนบุคคล โดยครอบคลุมการบันทึกการปฏิเสธ คําขอใชสิทธิของเจาของ
    4.5 แนวปฏิบัติการประเมินผลกระทบดานความเปนสวนตัว (Privacy Impact Assessment) 4.6 แนวปฏิบัติการประเมินผลกระทบดานการคุมครองขอมูลสวนบุคคล (Data Protection Impact Assessment) 4.7 แนวปฏิบัติการจัดเกบข็ อมูลสวนบุคคล โดยครอบคลุมการจัดทําขอมูลนิรนาม
    4.8 แนวปฏิบัติการประเมินมาตรฐานในการคุมครองขอมูลสวนบุคคลของผูประมวลผลขอมูลสวนบุคคล 5. ผูวาการตองกําหนดใหมีการทบทวน/ปรับปรุงแนวปฏิบัติที่สนับสนุนการทํางานตาง ๆ อยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ เพื่อใหม ีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม 6. ผูวาการตองประกาศนโยบาย แนวปฏิบัติและมาตรการคุมครองขอมูลสวนบุคคลใหบุคลากร รฟม. รับทราบ และถือปฏิบัติ
  1. ผูบริหารรฟม. ตองแสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหบุคลากร รฟม. ทุกคนไดเห็นถึงความสําคัญ ของการปฏิบัติตามกฎหมายคุมครองขอมูลสวนบุคคลโดยเครงครัด
  2. การสรางความตระหนักดานการคุมครองขอมูลสวนบุคคล
    8.1 ผูบริหาร รฟม. ทุกระดับชั้น มีหนาที่สนับสนุนและสงเสริมการคุมครองขอมูลสวนบุคคลแกพนักงาน รฟม. ตอไปนี้
    (1) จูงใจใหพนักงานเจาหนาที่ปฏิบัติตามนโยบายการคุมครองขอมูลสวนบุคคล
    (2) สรางความตระหนักถึงการคุมครองขอมูลสวนบุคคลที่เกี่ยวของกับหนาที่ความรับผิดชอบของตนเอง และของ รฟม.
    8.2 ฝทท. ตองจัดใหมีฝกอบรมหรือประชาสัมพันธแกพนักงานเจาหนาที่เกี่ยวกับการคุมครองขอมูลสวนบุคคล เพื่อสรางความตระหนักดานการคุมครองขอมูลสวนบุคคลแกผูใชงานเปนประจําทุกป
  • 6 -
    สวนที่ 2
    การประมวลผลขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อกําหนดแนวทางในการเก็บ รวบรวม ใชและเปดเผยขอมูลสวนบุคคล
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 21 ผูควบคุมขอมูลสวนบุคคลตองทําการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล ตามวัตถุประสงคที่ไดแจงเจาของขอมูลสวนบุคคลไวกอนหรือในขณะที่เก็บรวบรวม
    การเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลที่แตกตางไปจากวัตถุประสงคที่ไดแจงไวตาม วรรคหนึ่งจะกระทํามิไดเวนแต
    (1) ไดแจงวัตถุประสงคใหมนั้นใหเจาของขอมูลสวนบุคคลทราบและไดรับความยินยอมกอน เก็บรวบรวม ใชหรือเปดเผยแลว
    (2) บทบัญญัติแหงพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติใหกระทําได
    มาตรา 23 ในการเก็บรวบรวมขอมูลสวนบุคคล ผูควบคุมขอมูลสวนบุคคลจะตองแจงใหเจาของ ขอมูลสวนบุคคลทราบกอนหรือในขณะเก็บรวบรวมขอมูลสวนบุคคลถึงรายละเอียด ดังตอไปนี้เวนแต เจาของขอมูลสวนบุคคลไดทราบถึงรายละเอียดนั้นอยูแลว
    (1) วัตถุประสงคของการเก็บรวบรวมเพื่อการนําขอมูลสวนบุคคลไปใชหรือเปดเผยซึ่งรวมถึง วัตถุประสงคตามที่มาตรา 24 ใหอํานาจในการเก็บรวบรวมไดโดยไมไดรับความยินยอมจากเจาของ ขอมูลสวนบุคคล
    (2) แจงใหทราบถึงกรณีที่เจาของขอมูลสวนบุคคลตองใหขอมูลสวนบุคคลเพื่อปฏิบัติตามกฎหมาย หรือสัญญาหรือมีความจําเปนตองใหขอมูลสวนบุคคลเพื่อเขาทําสัญญา รวมทั้งแจงถึงผลกระทบที่เปนไปได จากการไมใหขอมูลสวนบุคคล
    (3) ขอมูลสวนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไวทั้งนี้ในกรณี ที่ไมสามารถกําหนดระยะเวลาดังกลาวไดชัดเจน ใหกําหนดระยะเวลาที่อาจคาดหมายไดตามมาตรฐาน ของการเก็บรวบรวม
    (4) ประเภทของบุคคลหรือหนวยงานซึ่งขอมูลสวนบุคคลที่เก็บรวบรวมอาจจะถูกเปดเผย (5) ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคล สถานที่ติดตอ และวิธีการติดตอในกรณีที่มี ตัวแทนหรือเจาหนาที่คุมครองขอมูลสวนบุคคล ใหแจงขอมูล สถานที่ติดตอ และวิธีการติดตอของตัวแทน หรือเจาหนาที่คุมครองขอมูลสวนบุคคลดวย
    (6) สิทธิของเจาของขอมูลสวนบุคคลตามมาตรา 19 วรรคหา มาตรา 30 วรรคหนึ่ง มาตรา 31 วรรคหนึ่ง มาตรา 32 วรรคหนึ่ง มาตรา 33 วรรคหนึ่ง มาตรา 34 วรรคหนึ่ง มาตรา 36 วรรคหนึ่ง และ มาตรา 37 วรรคหนึ่ง
  • 7 -
    มาตรา 24 หามมิใหผูควบคุมขอมูลสวนบุคคลทําการเก็บรวบรวมขอมูลสวนบุคคลโดยไมไดรับ ความยินยอมจากเจาของขอมูลสวนบุคคล เวนแต
    (1) เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตรหรือจดหมายเหตุ เพื่อประโยชนสาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งไดจัดใหมีมาตรการปกปองที่เหมาะสม เพื่อคุมครองสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล ทั้งนี้ตามที่คณะกรรมการประกาศกําหนด (2) เพื่อปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล
    (3) เปนการจําเปนเพื่อการปฏิบัติตามสัญญาซึ่งเจาของขอมูลสวนบุคคลเปนคูสัญญาหรือเพื่อใช ในการดําเนินการตามคําขอของเจาของขอมูลสวนบุคคลกอนเขาทําสัญญานั้น
    (4) เปนการจําเปนเพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะของ ผูควบคุมขอมูลสวนบุคคล หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล (5) เปนการจําเปนเพื่อประโยชนโดยชอบดวยกฎหมายของผูควบคุมขอมูลสวนบุคคลหรือของ บุคคลหรือนิติบุคคลอื่นที่ไมใชผูควบคุมขอมูลสวนบุคคล เวนแตประโยชนดังกลาวมีความสําคัญนอยกวา สิทธิขั้นพื้นฐานในขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคล
    (6) เปนการปฏิบัติตามกฎหมายของผูควบคุมขอมูลสวนบุคคล
    มาตรา 25 หามมิใหผูควบคุมขอมูลสวนบุคคลทําการเก็บรวบรวมขอมูลสวนบุคคลจากแหลงอื่น ที่ไมใชจากเจาของขอมูลสวนบุคคลโดยตรง เวนแต
    (1) ไดแจงถึงการเก็บรวบรวมขอมูลสวนบุคคลจากแหลงอื่นใหแกเจาของขอมูลสวนบุคคลทราบ โดยไมชักชา แตตองไมเกินสามสิบวันนับแตวันที่เก็บรวบรวมและไดรับความยินยอมจากเจาของขอมูล สวนบุคคล
    (2) เปนการเก็บรวบรวมขอมูลสวนบุคคลที่ไดรับยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26
    ใหนําบทบัญญัติเกี่ยวกับการแจงวัตถุประสงคใหมตามมาตรา 21 และการแจงรายละเอียด ตามมาตรา 23 มาใชบังคับกับการเก็บรวบรวมขอมูลสวนบุคคลที่ตองไดรับความยินยอมตามวรรคหนึ่ง โดยอนุโลม เวนแตกรณีดังตอไปน้ี
    (1) เจาของขอมูลสวนบุคคลทราบวัตถุประสงคใหมหรือรายละเอียดนั้นอยูแลว
    (2) ผูควบคุมขอมูลสวนบุคคลพิสูจนไดวาการแจงวัตถุประสงคใหมหรือรายละเอียดดังกลาว ไมสามารถทําไดหรือจะเปนอุปสรรคตอการใชหรือเปดเผยขอมูลสวนบุคคล โดยเฉพาะอยางยิ่งเพ่ือให บรรลุวัตถุประสงคเกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตรประวัติศาสตรหรือสถิติในกรณีนี้ผูควบคุม ขอมูลสวนบุคคลตองจัดใหมีมาตรการที่เหมาะสมเพื่อคุมครองสิทธิเสรีภาพ และประโยชนของเจาของ ขอมูลสวนบุคคล
    (3) การใชหรือการเปดเผยขอมูลสวนบุคคลตองกระทําโดยเรงดวนตามที่กฎหมายกําหนด ซึ่งไดจัดใหมีมาตรการที่เหมาะสมเพื่อคุมครองประโยชนของเจาของขอมูลสวนบุคคล
  • 8 -
    (4) เมื่อผูควบคุมขอมูลสวนบุคคลเปนผูซึ่งลวงรูหรือไดมาซึ่งขอมูลสวนบุคคลจากหนาที่หรือ จากการประกอบอาชีพหรือวิชาชีพและตองรักษาวัตถุประสงคใหมหรือรายละเอียดบางประการตามมาตรา 23 ไวเปนความลับตามที่กฎหมายกําหนด
    การแจงรายละเอียดตามวรรคสอง ผูควบคุมขอมูลสวนบุคคลตองแจงใหเจาของขอมูลสวนบุคคล ทราบภายในสามสิบวันนับแตวันที่เก็บรวบรวมตามมาตรานี้เวนแตกรณีที่นําขอมูลสวนบุคคลไปใช เพื่อการติดตอกับเจาของขอมูลสวนบุคคลตองแจงในการติดตอครั้งแรกและกรณีที่จะนําขอมูลสวนบุคคล ไปเปดเผยตองแจงกอนที่จะนําขอมูลสวนบุคคลไปเปดเผยเป  นครั้งแรก
    มาตรา 26 หามมิใหเก็บรวบรวมขอมูลสวนบุคคลเกี่ยวกับเชื้อชาติเผาพันธุความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใดซึ่งกระทบตอเจาของขอมูลสวนบุคคล ในทํานองเดียวกันตามที่คณะกรรมการประกาศกําหนดโดยไมไดรับความยินยอมโดยชัดแจงจากเจาของ ขอมูลสวนบุคคล เวนแต
    (1) เพื่อปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคลซึ่งเจาของขอมูล สวนบุคคลไมสามารถใหความยินยอมไดไมวาดวยเหตุใดก็ตาม
    (2) เปนการดําเนินกิจกรรมโดยชอบดวยกฎหมายที่มีการคุมครองที่เหมาะสมของมูลนิธิสมาคม หรือองคกรที่ไมแสวงหากําไรที่มีวัตถุประสงคเกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน ใหแกสมาชิก ผูซึ่งเคยเปนสมาชิก หรือผูซึ่งมีการติดตออยางสม่ําเสมอกับมูลนิธิสมาคม หรือองคกร ที่ไมแสวงหากําไรตามวัตถุประสงคดังกลาวโดยไมไดเปดเผยขอมูลสวนบุคคลนั้นออกไปภายนอกมูลนิธิ สมาคม หรือองคกรที่ไมแสวงหากําไรนั้น
    (3) เปนขอมูลที่เปดเผยตอสาธารณะดวยความยินยอมโดยชัดแจงของเจาของขอมูลสวนบุคคล (4) เปนการจําเปนเพื่อการกอตั้งสิทธิเรียกรองตามกฎหมายการปฏิบัติตามหรือการใชสิทธิ เรียกรองตามกฎหมาย หรือการยกขึ้นตอสูสิทธิเรียกรองตามกฎหมาย
    (5) เปนการจําเปนในการปฏบิัติตามกฎหมายเพื่อใหบรรลุวัตถุประสงคเกี่ยวกับ (ก) เวชศาสตรปองกันหรืออาชีวเวชศาสตรการประเมินความสามารถในการทํางานของ ลูกจางการวินิจฉัยโรคทางการแพทยการใหบริการดานสุขภาพหรือดานสังคม การรักษาทางการแพทย การจัดการดานสุขภาพ หรือระบบและการใหบริการดานสังคมสงเคราะหทั้งนี้ในกรณีที่ไมใชการปฏิบัติ ตามกฎหมายและขอมูลสวนบุคคลนั้นอยูในความรับผิดชอบของผูประกอบอาชีพหรือวิชาชีพหรือผูมี หนาที่รักษาขอมูลสวนบุคคลนั้นไวเปนความลับตามกฎหมาย ตองเปนการปฏิบัติตามสัญญาระหวาง เจาของขอมูลสวนบุคคลกับผูประกอบวิชาชีพทางการแพทย
    (ข) ประโยชนสาธารณะดานการสาธารณสุข เชน การปองกันดานสุขภาพจากโรคติดตอ อันตรายหรือโรคระบาดที่อาจติดตอหรือแพรเขามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือ คุณภาพของยา เวชภัณฑหรือเครื่องมือแพทยซึ่งไดจัดใหมีมาตรการที่เหมาะสมและเจาะจงเพื่อคุมครอง สิทธิและเสรีภาพของเจาของขอมูลสวนบุคคลโดยเฉพาะการรักษาความลับของขอมูลสวนบุคคลตาม หนาที่หรือตามจริยธรรมแหงวิชาชีพ
  • 9 -
    (ค) การคุมครองแรงงาน การประกันสังคม หลักประกันสุขภาพแหงชาติสวัสดิการเกี่ยวกับ การรักษาพยาบาลของผูมีสิทธิตามกฎหมาย การคุมครองผูประสบภัยจากรถ หรือการคุมครองทางสังคม ซึ่งการเก็บรวบรวมขอมูลสวนบุคคลเปนสิ่งจําเปนในการปฏิบัติตามสิทธิหรือหนาที่ของผูควบคุมขอมูล สวนบุคคลหรือเจาของขอมูลสวนบุคคล โดยไดจัดใหมีมาตรการที่เหมาะสมเพื่อคุมครองสิทธิขั้นพื้นฐาน และประโยชนของเจาของขอมูลสวนบุคคล
    (ง) การศึกษาวิจัยทางวิทยาศาสตรประวัติศาสตรหรือสถิติหรือประโยชนสาธารณะอื่น ทั้งนี้ตองกระทําเพื่อใหบรรลุวัตถุประสงคดังกลาวเพียงเทาที่จําเปนเทานั้น และไดจัดใหมีมาตรการ ที่เหมาะสมเพื่อคุมครองสิทธิขั้นพื้นฐานและประโยชนของเจาของขอมูลสวนบุคคล ตามที่คณะกรรมการ ประกาศกําหนด
    (จ) ประโยชนสาธารณะที่สําคัญ โดยไดจัดใหมีมาตรการที่เหมาะสมเพื่อคุมครองสิทธิ ขั้นพื้นฐานและประโยชนของเจาของขอมูลสวนบุคคล
    ขอมูลชีวภาพตามวรรคหนึ่งใหหมายถึงขอมูลสวนบุคคลที่เกิดจากการใชเทคนิคหรือเทคโนโลยี ที่เกี่ยวของกับการนําลักษณะเดนทางกายภาพหรือทางพฤติกรรมของบุคคลมาใชทําใหสามารถยืนยัน ตัวตนของบุคคลนั้นที่ไมเหมือนกับบุคคลอื่นไดเชน ขอมูลภาพจําลองใบหนา ขอมูลจําลองมานตา หรือ ขอมูลจําลองลายนิ้วมือ
    ในกรณีที่เปนการเก็บรวบรวมขอมูลสวนบุคคลเกี่ยวกับประวัติอาชญากรรมตองกระทําภายใต การควบคุมของหนวยงานที่มีอํานาจหนาที่ตามกฎหมายหรือไดจัดใหมีมาตรการคุมครองขอมูลสวนบุคคล ตามหลักเกณฑที่คณะกรรมการประกาศกําหนด
    มาตรา 27 หามมิใหผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคล โดยไมไดรับ ความยินยอมจากเจาของขอมูลสวนบุคคล เวนแตเปนขอมูลสวนบุคคลที่เก็บรวบรวมไดโดยไดรับ ยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26
    บุคคลหรือนิติบุคคลที่ไดรับขอมูลสวนบุคคลมาจากการเปดเผยตามวรรคหนึ่ง จะตองไมใชหรือ เปดเผยขอมูลสวนบุคคลเพื่อวัตถุประสงคอื่นนอกเหนือจากวัตถุประสงคที่ไดแจงไวกับผูควบคุมขอมูล สวนบุคคลในการขอรับขอมูลสวนบุคคลนั้น
    ในกรณีที่ผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคลที่ไดรับยกเวนไมตองขอ ความยินยอมตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองบันทึกการใชหรือเปดเผยนั้นไวในรายการ ตามมาตรา 39
    มาตรา 39 ใหผูควบคุมขอมูลสวนบุคคลบันทึกรายการอยางนอยดังตอไปนี้เพื่อใหเจาของขอมูล สวนบุคคลและสํานักงานสามารถตรวจสอบไดโดยจะบันทึกเปนหนังสือหรือระบบอิเล็กทรอนิกสก็ได (1) ขอมูลสวนบุคคลที่มีการเก็บรวบรวม
    (2) วัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคลแตละประเภท
    (3) ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคล
    (4) ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล
  • 10 -
    (5) สิทธิและวิธีการเขาถึงขอมูลสวนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเขาถึงขอมูล สวนบุคคลและเงื่อนไขในการเขาถึงขอมูลสวนบุคคลนั้น
    (6) การใชหรือเปดเผยตามมาตรา 27 วรรคสาม
    (7) การปฏิเสธคําขอหรือการคัดคานตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
    (8) คําอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1) ความในวรรคหนึ่งใหนํามาใชบังคับกับตัวแทนของผูควบคุมขอมูลสวนบุคคลตามมาตรา 5 วรรคสอง โดยอนุโลม
    ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเวนมิใหนํามาใชบังคับกับผูควบคุมขอมูลสวนบุคคล ซ่ึงเปนกิจการขนาดเล็กตามหลักเกณฑที่คณะกรรมการประกาศกําหนด เวนแตมีการเก็บรวบรวม ใชหรือ เปดเผยขอมูลสวนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบตอสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล หรือมิใชกิจการที่เก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลเปนครั้งคราว หรือมีการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบ  ุคคลตามมาตรา 26
    มาตรา 40 ผูประมวลผลขอมูลสวนบุคคลมีหนาที่ดังตอไปนี้
    (1) ดําเนินการเกี่ยวกับการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลตามคําสั่งที่ไดรับจาก ผูควบคุมขอมูลสวนบุคคลเทานั้น เวนแตคําสั่งนั้นขัดตอกฎหมายหรือบทบัญญัติในการคุมครองขอมูล สวนบุคคลตามพระราชบัญญัตินี้
    (2) จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งแจงให ผูควบคุมขอมูลสวนบุคคลทราบถึงเหตุการละเมิดขอมูลสวนบุคคลที่เกิดขึ้น
    (3) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลขอมูลสวนบุคคลไวตามหลักเกณฑ และวิธีการที่คณะกรรมการประกาศกําหนด
    ผูประมวลผลขอมูลสวนบุคคลซึ่งไมปฏิบัติตาม (1) สําหรับการเก็บรวบรวม ใชหรือเปดเผย ขอมูลสวนบุคคลใดใหถือวาผูประมวลผลขอมูลสวนบุคคลเปนผูควบคุมขอมูลสวนบุคคลสําหรับการเก็บ รวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลนั้น
    การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลตามที่ไดรับมอบหมายจากผูควบคุม ขอมูลสวนบุคคลตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองจัดใหมีขอตกลงระหวางกัน เพื่อควบคุม การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลใหเปนไปตามพระราชบัญญัตินี้
    ความใน (3) อาจยกเวนมิใหนํามาใชบังคับกับผูประมวลผลขอมูลสวนบุคคลซึ่งเปนก ิจการขนาดเล็ก ตามหลักเกณฑที่คณะกรรมการประกาศกําหนด เวนแตมีการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล ที่มีความเสี่ยงที่จะมีผลกระทบตอสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล หรือมิใชกิจการที่เก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลเปนครั้งคราว หรือมีการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล ตามมาตรา 26
  • 11 -
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A7.2 A7.3 และ A7.4
    ผูรับผิดชอบ
    ξ เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล
    แนวปฏิบัติ
  1. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองกําหนดวัตถุประสงคในการเก็บรวบรวม ใชและ เปดเผยขอมูลสวนบุคคลใหชัดเจน
  2. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองกําหนดรายการขอมูลสวนบุคคลที่ตองเก็บรวบรวม ใชหรือ เปดเผยขอมูลสวนบุคคลเทาที่จําเปนตามวัตถุประสงคอันชอบดวยกฎหมายและอยูภายใตการดําเนินงาน ของ รฟม. เทานั้น
  3. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองไมเก็บรวบรวมขอมูลสวนบุคคลจากแหลงอื่นที่ไมใชจาก เจาของขอมูลสวนบุคคลโดยตรง เวนแตเปนวัตถุประสงคอันชอบดวยกฎหมายและอยูภายใตการดําเนินงาน ของ รฟม. เทานั้น
  4. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองจัดทํา หรือทบทวน/ปรับปรุงบันทึกกิจกรรมการประมวลผล ขอมูลสวนบุคคล (Record of Processing Activity: RoPA) เพื่อควบคุมการประมวลผลขอมูลสวนบุคคลและ ใหเจาของขอมูลสวนบุคคลตรวจสอบไดทั้งนี้ในการทบทวน/ปรับปรุงใหดําเนินการอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ โดยอยางนอยตองประกอบไปดวยรายละเอียดตามมาตรา 39
    แหงพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 ดังตอไปนี้
    (1) ขอมูลสวนบุคคลที่มีการเก็บรวบรวม
    (2) วัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคลแตละประเภท
    (3) ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคล
    (4) ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล
    (5) สิทธิและวิธีการเขาถึงขอมูลสวนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเขาถึงขอมูลสวนบุคคล และเงื่อนไขในการเขาถึงขอมูลสวนบุคคลนั้น
    (6) การใชหรือเปดเผยตามมาตรา 27 วรรคสาม
    (7) การปฏิเสธคําขอหรือการคัดคานตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
    (8) คําอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
    (9) ฐานการประมวลผลขอมูลสวนบุคคลตามกฎหมาย
    (10) วิธีการแจงรายละเอียดการประมวลผลขอมูลสวนบุคคล
    (11) วิธีการขอความยินยอมจากเจาของขอมูลสวนบุคคล (หากมี)
  • 12 -
  1. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองจัดทํา หรือทบทวน/ปรับปรุงหนังสือแจงการประมวลผล ขอมูลสวนบุคคล (Privacy Notice) เพื่อแจงใหเจาของขอมูลสวนบุคคลทราบกอนหรือในขณะเก็บรวบรวม ขอมูลสวนบุคคลถึงรายละเอียดของการประมวลผลขอมูลสวนบุคคล โดยอยางนอยตองประกอบไปดวย รายละเอียดตามมาตรา 23 แหงพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 ดังตอไปนี้
    (1) วัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคล
    (2) ฐานการประมวลผลขอมูลสวนบุคคลตามกฎหมาย และตองแจงใหทราบถึงกรณีที่เจาของขอมูลสวนบุคคล ตองใหขอมูลสวนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจําเปนตองใหขอมูลสวนบุคคล เพื่อเขาทําสัญญา รวมทั้งแจงถึงผลกระทบที่เปนไปไดจากการไมใหขอมูลสวนบุคคล
    (3) ขอมูลสวนบุคคลที่มีการเก็บรวบรวม
    (4) ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล ทั้งนี้ในกรณีที่ไมสามารถกําหนดระยะเวลาดังกลาวไดชัดเจน ใหกําหนดระยะเวลาการเก็บรักษาขอมูลสวนบุคคลเปนเวลา 10 ป
    (5) ประเภทของบุคคลหรอหน ื วยงานซึ่งขอมูลสวนบุคคลที่เก็บรวบรวมอาจจะถูกเปดเผย (6) ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคลประกอบดวย สถานที่ติดตอ และวิธีการติดตอ (7) ขอมูลเกี่ยวกับเจาหนาที่คุมครองขอมูลสวนบุคคลประกอบดวย สถานที่ติดตอ และวิธีการติดตอ (8) สิทธิของเจาของขอมูลสวนบุคคล
    (9) ฐานการประมวลผลขอมูลสวนบุคคลตามกฎหมาย
    ทั้งนี้การทบทวน/ปรับปรุงหนังสือแจงการประมวลผลขอมูลสวนบุคคล (Privacy Notice) ใหดําเนินการ เมื่อมีการเปลี่ยนแปลงรายละเอียดของบันทึกกิจกรรมการประมวลผลขอมูลสวนบุคคล (Record of Processing Activity: RoPA)
  2. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล แจงใหเจาของขอมูลสวนบุคคลทราบกอนหรือในขณะเก็บ รวบรวมขอมูลสวนบุคคลถึงรายละเอียดของการประมวลผลขอมูลสวนบุคคล ตามขอ 4. ผานชองทางใดก็ได เชน การแจงเปนหนังสือ การแจงทางขอความโทรศัพทมือถือ การแจงทางอีเมล หรือโดยวิธีการทาง อิเล็กทรอนิกสอื่นใด เชน QR Code หรือ URL เปนตน
  3. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล หากจําเปนตองขอความยินยอมจากเจาของขอมูล สวนบุคคลใหปฏิบัติตามแนวปฏิบัติในการขอความยินยอมจากเจาของขอมูลสวนบุคคล 8. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองประเมินผลกระทบดานความเปนสวนตัว (Privacy Impact Assessment) และประเมินผลกระทบดานการคุมครองขอมูลสวนบุคคล (Data Protection Impact Assessment) ตามแนวปฏิบัติที่ รฟม. กําหนด รวมถึงกําหนดมาตรการรักษาความมั่นคงปลอดภัย สําหรับขอมูลสวนบุคคลที่เหมาะสม
  4. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลที่กํากับดูแลสัญญาจางที่มีการประมวลผลขอมูลสวนบุคคล ตองควบคุมและตรวจสอบการดําเนินงานของผูประมวลผลขอมูลสวนบุคคล รวมถึงลูกจางของผูประมวลผล ขอมูลสวนบุคคลใหประมวลผลขอมูลสวนบุคคลเปนไปตามท่ีสัญญาจางกําหนดและเปนไปตามกฎหมาย คุมครองขอมูลสวนบุคคล
  • 13 -
    สวนที่ 3
    มาตรการรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อกําหนดมาตรการรักษาความมั่นคงปลอดภัยในการปองกันการสูญหาย เขาถึง ใชเปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 37 ผูควบคุมขอมูลสวนบุคคลมีหนาที่ ดังตอไปนี้
    (1) จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และตองทบทวน มาตรการดังกลาวเมื่อมีความจําเปนหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อใหมีประสิทธิภาพในการรักษา ความมนคงปลอดภ ั่ ัยที่เหมาะสม ทั้งนี้ใหเปนไปตามมาตรฐานขั้นต่ําที่คณะกรรมการประกาศกําหนด
    ξ ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผูควบคุม ขอมูลสวนบุคคล พ.ศ. 2565
    ξ ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศ
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A6
    ผูรับผิดชอบ
    ξ เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล
    แนวปฏิบัติ
  1. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลโดยครอบคลุม ทั้งในรูปแบบเอกสาร อิเล็กทรอนิกสหรืออื่นใดใหสอดคลองกับนโยบายการรักษาความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศระเบียบ หรือขอบังคับขององคกร
  2. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองประมวลผลขอมูลสวนบุคคลอยางระมัดระวัง และประมวลผล เพื่อปฏิบัติงานของ รฟม. เทานั้น
  3. การบริหารจัดการขอมูลสวนบุคคล
    3.1 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองกําหนดรายการขอมูลสวนบุคคล ระบุผูรับผิดชอบ ดูแลขอมูลสวนบุคคล จัดประเภทขอมูลสวนบุคคล กําหนดลําดับชั้นความลับ และกําหนดการเขาถึง ขอมูลสวนบุคคล เพื่อควบคุมดูแลขอมูลสวนบุคคลตลอดวงจรชีวิตขอมูล
  • 14 -
    3.2 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองจัดทําปายกํากับขอมูลสวนบุคคล (Labeling) ใหชัดเจน พรอมทั้งจัดใหมีมาตรการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลที่สอดคลองกับประเภทขอมูล สวนบุคคลและระดับชั้นความลับที่ รฟม. กําหนด
  1. การควบคุมการเขาถึงขอมูลสวนบุคคล
    4.1 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองกําหนดสิทธิ์ในการเขาถึงขอมูลสวนบุคคลที่เหมาะสม และสอดคลองกับหนาที่ความรับผิดชอบของผูประมวลผลขอมูลสวนบุคคล พรอมทั้งทบทวนเมื่อมี การเปลี่ยนแปลง
    4.2 ขั้นตอนปฏิบัติในการจัดเก็บขอมูลสวนบุคคล
    เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองปฏิบัติดังนี้
    4.2.1 จัดประเภทขอมูลสวนบุคคล ดังนี้
    (1) ขอมูลสวนบุคคลทั่วไป เชน ชื่อ-นามสกุล ที่อยู หมายเลขโทรศัพทเปนตน
    (2) ขอมูลสวนบุคคลออนไหว เชน
    ξ เชื้อชาติ
    ξ เผาพันธุ
    ξ ความคิดเห็นทางการเมือง
    ξ ความเชื่อในลัทธิศาสนา หรือปรัชญา
    ξ พฤติกรรมทางเพศ
    ξ ประวัติอาชญากรรม
    ξ ขอมูลสุขภาพ ความพิการ หรือขอมูลสุขภาพจิต
    ξ ขอมูลสหภาพแรงงาน
    ξ ขอมูลพันธุกรรม
    ξ ขอมูลชีวภาพ
    ξ ขอมูลทางชีวมิติ (Biometric) เชน รูปภาพใบหนา ลายนิ้วมือ ฟลมเอกซเรยขอมูล สแกนมานตา ขอมูลอัตลักษณเสียง และขอมูลพันธุกรรม
    ξ ขอมูลอื่นใดซึ่งกระทบตอเจาของขอมูลในทํานองเดียวกันตามที่คณะกรรมการประกาศ กําหนด
    4.2.2 จัดแบงระดับความสําคัญของขอมูลออกเปน 3 ระดับ คือ
    (1) ขอมูลที่มีระดับความสําคัญมาก หมายถึงขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร (2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝายภายในองคกร
    (3) ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
    4.2.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
  • 15 -
    4.2.4 จัดแบงระดับชั้นการเขาถึงขอมูลสวนบุคคล
    (1) ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย (2) ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่ (3) ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดรับมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบ และเขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
    4.3 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองพิจารณาขอกําหนดตางๆ ที่มีผลทางกฎหมาย ซึ่งเกี่ยวของกับการคุมครองขอมูลสวนบุคคล เชน พระราชบัญญัติขอกําหนดทางกฎหมาย ขอกําหนด ในสัญญา และขอกําหนดทางดานการคุมครองขอมูลสวนบุคคลอื่น ๆเปนตน เพื่อกําหนดสิทธิ์การเขาถึง ขอมูลสวนบุคคล
    4.4 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงาน ที่สอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของ เชน พระราชบัญญัติคุมครอง ขอมูลสวนบุคคล พ.ศ. 2562
  1. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองปกปดขอมูล (Data Masking) ใหสอดคลองกับประเภท ขอมูลสวนบุคคลและระดับชั้นความลับที่รฟม. กําหนด
  • 16 -
    สวนที่ 4
    การสงมอบขอมูลสวนบุคคลแกบุคคลหรือนิติบุคคลอื่น
    และการใชหรือเปดเผยขอมูลสวนบุคคลที่ไดรับมอบจากบุคคลหรือนิติบุคคลอื่น
    วัตถุประสงค
    ξ เพื่อปองกันมิใหบุคคลหรือนิติบุคคลอื่นที่ไมใช รฟม. ใชหรือเปดเผยขอมูลสวนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ
    ξ เพื่อควบคุมใหรฟม. ใชหรือเปดเผยขอมูลสวนบุคคลที่ไดรับมาจากบุคคลหรือนิติบุคคลอื่นตามวัตถุประสงค ที่กําหนดไว
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 27 หามมิใหผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคล โดยไมไดรับ ความยินยอมจากเจาของขอมูลสวนบุคคล เวนแตเปนขอมูลสวนบุคคลที่เก็บรวบรวมไดโดยไดรับ ยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26
    บุคคลหรือนิติบุคคลที่ไดรับขอมูลสวนบุคคลมาจากการเปดเผยตามวรรคหนึ่ง จะตองไมใชหรือ เปดเผยขอมูลสวนบุคคลเพื่อวัตถุประสงคอื่นนอกเหนือจากวัตถุประสงคที่ไดแจงไวกับผูควบคุมขอมูล สวนบุคคลในการขอรับขอมูลสวนบุคคลนั้น
    ในกรณีที่ผูควบคุมขอมูลสวนบุคคลใชหรือเปดเผยขอมูลสวนบุคคลที่ไดรับยกเวนไมตองขอ ความยินยอมตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองบันทึกการใชหรือเปดเผยนั้นไวในรายการ ตามมาตรา 39
    มาตรา 37 ผูควบคุมขอมูลสวนบุคคลมีหนาที่ ดังตอไปนี้
    (2) ในกรณีที่ตองใหขอมูลสวนบุคคลแกบุคคลหรือนิติบุคคลอื่นที่ไมใชผูควบคุมขอมูลสวนบุคคล ตองดําเนินการเพื่อปองกันมิใหผูนั้นใชหรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ มาตรา 40 ผูประมวลผลขอมูลสวนบุคคลมีหนาที่ดังตอไปนี้
    การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลตามที่ไดรับมอบหมายจากผูควบคุม ขอมูลสวนบุคคลตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองจัดใหมีขอตกลงระหวางกัน เพื่อควบคุม การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลใหเปนไปตามพระราชบัญญัตินี้
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A7.2 และ A7.3
    ผูรับผิดชอบ
    ξ เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล
  • 17 -
    แนวปฏิบัติ
  1. การสงมอบขอมูลสวนบุคคลแกบุคคลหรือนิติบุคคลอื่น
    1.1 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองไมเปดเผยขอมูลสวนบุคคลโดยไมไดรับ ความยินยอมจากเจาของขอมูลสวนบุคคล เวนแตเปนขอมูลสวนบุคคลที่เก็บรวบรวมไดโดยไดรับ การยกเวนไมตองขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แหงพระราชบัญญัติคุมครอง ขอมูลสวนบุคคล พ.ศ. 2562
    1.2 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองบันทึกการเปดเผยขอมูลสวนบุคคลที่ไดรับ ยกเวนไมตองขอความยินยอมในบันทึกกิจกรรมการประมวลผลขอมูลสวนบุคคล
    1.3 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองจัดทําขอตกลงการประมวลผลขอมูลสวนบุคคล (Data Processing Agreement: DPA) กับผูประมวลผลขอมูลสวนบุคคลเมื่อมีการสงมอบขอมูล สวนบุคคลใหผูประมวลผลขอมูลสวนบุคคล เพื่อควบคุมใหผูประมวลผลขอมูลสวนบุคคล (ภายนอก) ดําเนินการตามที่ รฟม. กําหนด
    1.4 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองจัดทําขอตกลงการแบงปนขอมูลสวนบุคคล (Data Sharing Agreement: DSA) กับบุคคลหรือนิติบุคคลอื่น
    1.5 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองสงมอบขอมูลสวนบุคคลดวยวิธีการที่ปลอดภัย และสอดคลองกับระดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
    1.6 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองบันทึกขอมูลของผูรองขอกอนสงมอบขอมูล สวนบุคคล ดังนี้
    (1) ชื่อ-นามสกุล
    (2) ขอมูลสําหรับการติดตอ เชน หมายเลขโทรศัพทอีเมล
    (3) วัน เดือน ปที่ใหขอมูล
    (4) ฐานทางกฎหมายที่ใชสําหรับเขาถึงขอมูลสวนบุคคล
    (5) วัตถุประสงคการนําไปใชงาน และ/หรือ เปดเผย
  2. การใชหรือเปดเผยขอมูลสวนบุคคลที่ไดรับมอบจากบุคคลหรือนิติบุคคลอื่น
    2.1 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองไมเปดเผยขอมูลสวนบุคคลโดยไมไดรับความยินยอม จากเจาของขอมูลสวนบุคคลเวนแตเปนขอมูลสวนบุคคลที่เก็บรวบรวมไดโดยไดรับการยกเวนไมตอง ขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แหงพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    2.2 เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลที่ไดรับขอมูลสวนบุคคลมาจากการเปดเผยขอมูล สวนบุคคลจากบุคคลหรือนิติบุคคลอื่น จะตองไมใชหรือเปดเผยขอมูลสวนบุคคลเพื่อวัตถุประสงคอื่น นอกเหนือจากวัตถุประสงคที่ไดแจงไวกับผูควบคุมขอม ูลสวนบุคคลในการขอรับขอมูลสวนบุคคลนั้น
  • 18 -
    สวนที่ 5
    การควบคุมการลบหรือทําลายขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อควบคุมการลบหรือทําลายขอมูลสวนบุคคล เมื่อพนกําหนดระยะเวลาการเก็บรักษา หรือเกินความจําเปน ตามวัตถุประสงคในการเก็บรวบรวมขอมูลสวนบุคคล หรือตามที่เจาของขอมูลสวนบุคคลรองขอ หรือที่เจาของ ขอมูลสวนบุคคลไดถอนความยินยอม
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 24 หามมิใหผูควบคุมขอมูลสวนบุคคลทําการเก็บรวบรวมขอมูลสวนบุคคลโดยไมไดรับ ความยินยอมจากเจาของขอมูลสวนบุคคล เวนแต
    (1) เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตรหรือจดหมายเหตุ เพื่อประโยชนสาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งไดจัดใหมีมาตรการปกปองที่เหมาะสม เพอคื่ ุมครองสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล ทั้งนี้ตามที่คณะกรรมการประกาศกําหนด
    (4) เปนการจําเปนเพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะของผูควบคุม ขอมูลสวนบุคคล หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล มาตรา 26 หามมิใหเก็บรวบรวมขอมูลสวนบุคคลเกี่ยวกับเชื้อชาติเผาพันธุความคิดเห็น ทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใด ซงกระทบต ่ึ อเจาของ ขอมูลสวนบุคคลในทํานองเดียวกันตามที่คณะกรรมการประกาศกําหนด โดยไมไดรับความยินยอม โดยชดแจ ั งจากเจาของขอมูลสวนบุคคล เวนแต
    (5) เปนการจําเปนในการปฏิบัติตามกฎหมายเพื่อใหบรรลุวัตถุประสงคเกี่ยวกับ
    (ก) เวชศาสตรปองกันหรืออาชีวเวชศาสตรการประเมินความสามารถในการทํางานของลูกจาง การวินิจฉัยโรคทางการแพทยการใหบริการดานสุขภาพหรือดานสังคม การรักษาทางการแพทยการจัดการ ดานสุขภาพ หรือระบบและการใหบริการดานสังคมสงเคราะหทั้งนี้ในกรณีที่ไมใชการปฏิบัติตามกฎหมาย และขอมูลสวนบุคคลนั้น อยูในความรับผิดชอบของผูประกอบอาชีพหรือวิชาชีพหรือผูมีหนาที่รักษา ขอมูลสวนบุคคลนั้นไวเปนความลับตามกฎหมาย ตองเปนการปฏิบัติตามสัญญาระหวางเจาของขอมูล สวนบุคคลกับผูประกอบวิชาชีพทางการแพทย
    (ข) ประโยชนสาธารณะดานการสาธารณสุข เชน การปองกันดานสุขภาพจากโรคติดตอ อันตรายหรือโรคระบาดทอาจต ี่ ิดตอหรือแพรเขามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพ ของยา เวชภัณฑหรือเครื่องมือแพทยซึ่งไดจัดใหมีมาตรการที่เหมาะสมและเจาะจงเพื่อคุมครองสิทธิ และเสรีภาพของเจาของขอมูลสวนบุคคลโดยเฉพาะการรักษาความลับของขอมูลสวนบุคคลตามหนาที่ หรอตามจร ื ิยธรรมแหงวิชาชีพ
  • 19 -
    มาตรา 33 เจาของขอมูลสวนบุคคลมีสิทธิขอใหผูควบคุมขอมูลสวนบุคคลดําเนินการลบหรือทําลาย หรือทําใหขอมูลสวนบุคคลเปนขอมูลที่ไมสามารถระบุตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลได ในกรณีดังตอไปนี้
    (1) เมื่อขอมูลสวนบุคคลหมดความจําเปนในการเก็บรักษาไวตามวัตถุประสงคในการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล
    (2) เมื่อเจาของขอมูลสวนบุคคลถอนความยินยอมในการเก็บรวบรวม ใชหรือเปดเผยขอมูล สวนบุคคลและผูควบคุมขอมูลสวนบุคคลไมมีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใชหรือเปดเผย ขอมูลสวนบุคคลนั้นไดตอไป
    (3) เมื่อเจาของขอมูลสวนบุคคลคัดคานการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล ตามมาตรา 32 (1) และผูควบคุมขอมูลสวนบุคคลไมอาจปฏิเสธคําขอตามมาตรา 32 (1) (ก) หรือ (ข) ได หรือเปนการคัดคานตามมาตรา 32 (2)
    (4) เมื่อขอมูลสวนบุคคลไดถูกเก็บรวบรวม ใชหรือเปดเผยโดยไมชอบดวยกฎหมายตามที่ กําหนดไวในหมวดนี้
    ความในวรรคหนึ่งมิใหนํามาใชบังคับกับการเก็บรักษาไวเพื่อวัตถุประสงคในการใชเสรีภาพ ในการแสดงความคิดเห็น การเก็บรักษาไวเพื่อวัตถุประสงคตามมาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใชเพื่อการกอตั้งสิทธิเรียกรองตามกฎหมาย การปฏิบัติตามหรือการใชสิทธิเรียกรอง ตามกฎหมาย หรือการยกขึ้นตอสูสิทธิเรียกรองตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
    ในกรณีที่ผูควบคุมขอมูลสวนบุคคลไดทําใหขอมูลสวนบุคคลเปนขอมูลที่เปดเผยตอสาธารณะ และผูควบคุมขอมูลสวนบุคคลถูกขอใหลบหรือทําลายหรือทําใหขอมูลสวนบุคคลเปนขอมูลที่ไมสามารถ ระบุตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลไดตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองเปนผูรับผิดชอบ ดําเนินการทั้งในทางเทคโนโลยีและคาใชจายเพื่อใหเปนไปตามคําขอนั้น โดยแจงผูควบคุมขอมูลสวนบุคคลอื่น ๆ เพ่อใหื ไดรับคําตอบในการดําเนินการใหเปนไปตามคําขอ
    กรณีผูควบคุมขอมูลสวนบุคคลไมดําเนินการตามวรรคหนึ่งหรือวรรคสาม เจาของขอมูล สวนบุคคล มีสิทธิรองเรียนตอคณะกรรมการผูเชี่ยวชาญเพื่อสั่งใหผูควบคุมขอมูลสวนบุคคลดําเนินการได คณะกรรมการอาจประกาศกําหนดหลักเกณฑในการลบหรือทําลาย หรือทําใหขอมูลสวนบุคคล เปนขอมลทู ี่ไมสามารถระบุตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลตามวรรคหนึ่งก็ได มาตรา 37 ผูควบคุมขอมูลสวนบุคคลมีหนาที่ ดังตอไปนี้
    (3) จัดใหมีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายขอมูลสวนบุคคลเมื่อพนกําหนด ระยะเวลาการเก็บรักษา หรือที่ไมเกี่ยวของหรือเกินความจําเปนตามวัตถุประสงคในการเก็บรวบรวมขอมูล สวนบุคคลนั้น หรือตามที่เจาของขอมูลสวนบุคคลรองขอ หรือที่เจาของขอมูลสวนบุคคลไดถอนความยินยอม เวนแตเก็บรักษาไวเพื่อวัตถุประสงคในการใชเสรีภาพในการแสดงความคิดเห็นการเก็บรักษาไวเพื่อวัตถุประสงค ตามมาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใชเพื่อการกอตั้งสิทธิเรียกรองตามกฎหมาย การปฏิบัติตามหรือการใชสิทธิเรียกรองตามกฎหมาย หรือการยกขึ้นตอสูสิทธิเรียกรองตามกฎหมาย หรือ
  • 20 -
    เพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ใหนําความในมาตรา 33 วรรคหา มาใชบังคับกับการลบหรือทําลายขอมูล สวนบุคคลโดยอนุโลม
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A5
    ผูรับผิดชอบ
    ξ เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล
    แนวปฏิบัติ
  1. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองจัดเก็บขอมูลสวนบุคคลไวในระยะเวลาเทาที่ ขอมูลนั้นยังมีความจําเปนตามวัตถุประสงคทระบ ี่ ุไวในบันทึกกิจกรรมการประมวลผลขอมูลสวนบุคคล (Record of Processing Activity: RoPA)
  2. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ตองทบทวนขอมูลสวนบุคคลที่อยูในความดูแลของตน ที่ครบกําหนดระยะเวลาใชงานตามวัตถุประสงคอยางสม่ําเสมอ
  3. เมื่อพนระยะเวลาและขอมูลสวนบุคคลสิ้นความจําเปนตามวัตถุประสงคแลวเจาของกิจกรรมการประมวลผล ขอมูลสวนบุคคลตองลบ ทําลาย หรือทําใหเปนขอมูลนิรนามตามรูปแบบและมาตรฐานการลบทําลายขอมลู สวนบุคคลที่คณะกรรมการหรือกฎหมายไดประกาศกําหนด หรือตามมาตรฐานสากลหรือตามที่นโยบาย การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม. กําหนด หรือตามระเบียบ ขอบังคับอื่น ๆ ของ รฟม.
  4. ในกรณีที่มีขอพิพาทการใชสิทธิหรือคดีความอันเกี่ยวของกับขอมูลสวนบุคคลเจาของกิจกรรมการประมวลผล ขอมูลสวนบุคคลสามารถขอสงวนสิทธิในการเก็บรักษาขอมูลนั้นตอไปจนกวาขอพิพาทนั้นจะไดมีคําสั่งหรือ คําพิพากษาถึงที่สุด
  5. ในกรณีที่เจาของขอมูลสวนบุคคลขอใชสิทธิของเจาของขอมูลสวนบุคคล เจาของกิจกรรมการประมวลผล ขอมูลสวนบุคคลตองปฏิบัติตามแนวปฏิบัติขั้นตอนจัดการคําขอใชสิทธิของเจาของขอมูลสวนบุคคล (ในสวนของสิทธิในการขอใหลบหรือทําลายขอมูลสวนบุคคล) และหากจําเปนตองปฏิเสธคําขอใชสิทธิ ของเจาของขอมูลสวนบุคคลตองบันทึกการปฏิเสธคําขอใชสิทธิของเจาของขอมูลในบันทึกกิจกรรม การประมวลผลขอมูลสวนบุคคล (Record of Processing Activity: RoPA)
  6. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล สามารถยกเวนการลบ ทําลาย หรือทําใหขอมูลสวนบุคคล ไมสามารถระบุตัวตนไดในกรณีที่เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลมีเหตุผลความจําเปน ทเหน ี่ ือกวาสิทธิของเจาของขอมูลสวนบุคคลตามกฎหมายเชน

  • เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตรหรือจดหมายเหตุ เพื่อประโยชน สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งไดจัดใหมีมาตรการปกปองที่เหมาะสม เพื่อคุมครองสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล

  • 21 -

  • เพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะของผูควบคุมขอมูลสวนบุคคล หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล

  • เพื่อประเมินความสามารถในการทํางานของลูกจาง การวินิจฉัยโรคทางการแพทยการใหบริการ ดานสุขภาพหรือดานสังคม การรักษาทางการแพทยการจัดการดานสุขภาพ หรือระบบและ การใหบริการดานสังคมสงเคราะหการปองกันดานสุขภาพจากโรคติดตออันตรายหรือโรคระบาด ที่อาจติดตอหรือแพรเขามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑหรือเครื่องมือแพทย

  • เพื่อการใชเพื่อการกอตั้งสิทธิเรียกรองตามกฎหมาย การปฏิบัติตามหรือการใชสิทธิเรียกรอง ตามกฎหมาย หรือการยกขึ้นตอสูสิทธิเรียกรองตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย

  • 22 -
    สวนที่ 6
    การแจงเหตุการละเมิดขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อแจงเหตุการละเมิดขอมูลสวนบุคคลใหเปนไปตามหลักเกณฑและวิธีการในการแจงเหตุการละเมิด ขอมูลสวนบุคคลที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศกําหนด
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 37 ผูควบคุมขอมูลสวนบุคคลมีหนาที่ ดังตอไปนี้
    (4) แจงเหตุการละเมิดขอมูลสวนบุคคลแกสํานักงานโดยไมชักชาภายในเจ็ดสิบสองชั่วโมง นับแตทราบเหตุเทาที่จะสามารถกระทําไดเวนแตการละเมิดดังกลาวไมมีความเสี่ยงที่จะมีผลกระทบ ตอสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบตอสิทธิและ เสรีภาพของบุคคล ใหแจงเหตุการละเมิดใหเจาของขอมูลสวนบุคคลทราบพรอมกับแนวทางการเยียวยา โดยไมชักชาดวย ทั้งนี้การแจงดังกลาวและขอยกเวนใหเปนไปตามหลักเกณฑและวิธีการที่คณะกรรมการ ประกาศกําหนด
    ξ ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑและวิธีการในการแจงเหตุการละเมิด ขอมูลสวนบุคคล พ.ศ. 2565
    ผูรับผิดชอบ
    ξ เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล
    ξ ผูวาการ
    ξ คณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคล
    ξ ผูพบเห็นเหตุการณ
    แนวปฏิบัติ

  1. ผูพบเห็นเหตุการณตองแจงใหรฟม. รับทราบเหตุการละเมิดขอมูลสวนบุคคลตามแนวปฏิบัติในการแจง เหตุการละเมิดขอมูลสวนบุคคล
  2. เมื่อไดรับแจงเหตุการละเมิดขอมูลสวนบุคคล เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคล ผูวาการ และคณะกรรมการเจาหนาที่คุมครองขอมูลสวนบุคคลตองปฏิบัติตามแนวปฏิบัติในการแจงเหตุการละเมิด ขอมูลสวนบุคคล
  3. เจาของกิจกรรมการประมวลผลขอมูลสวนบุคคลตองใหความรวมมือกับเจาหนาที่ของสํานักงานคณะกรรมการ คุมครองขอมูลสวนบุคคลเมื่อถูกรองขอใหสงเอกสารหรือขอมูลเกี่ยวกับการคุมครองขอมูลสวนบุคคลรวมถึง การชี้แจงขอเท็จจริงเพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจาหนาที่ของสํานักงานคณะกรรมการ คุมครองขอมูลสวนบุคคล
  • 23 -
    หมวด 2
    แนวปฏิบัติสําหรับผูประมวลผลขอมูลสวนบุคคล
    วัตถุประสงค
    ξ เพื่อเปนแนวปฏิบัติใหผูประมวลผลขอมูลสวนบุคคลนําไปปฏิบัติใหสอดคลองกับกฎหมายคุมครอง ขอมูลสวนบุคคล
    กฎหมายที่เกี่ยวของ
    ξ พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    มาตรา 40 ผูประมวลผลขอมูลสวนบุคคลมีหนาที่ดังตอไปนี้
    (1) ดําเนินการเกี่ยวกับการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลตามคําสั่งที่ไดรับจาก ผูควบคุมขอมูลสวนบุคคลเทานั้น เวนแตคําสั่งนั้นขัดตอกฎหมายหรือบทบัญญัติในการคุมครองขอมูล สวนบุคคลตามพระราชบัญญัตินี้
    (2) จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งแจงให ผูควบคุมขอมูลสวนบุคคลทราบถึงเหตุการละเมิดขอมูลสวนบุคคลที่เกิดขึ้น
    (3) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลขอมูลสวนบุคคลไวตามหลักเกณฑ และวิธีการที่คณะกรรมการประกาศกําหนด
    ผูประมวลผลขอมูลสวนบุคคลซึ่งไมปฏิบัติตาม (1) สําหรับการเก็บรวบรวม ใชหรือเปดเผยขอมูล สวนบุคคลใด ใหถือวาผูประมวลผลขอมูลสวนบุคคลเปนผูควบคุมขอมูลสวนบุคคลสําหรับการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลนั้น
    การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลตามที่ไดรับมอบหมายจากผูควบคุม ขอมูลสวนบุคคลตามวรรคหนึ่ง ผูควบคุมขอมูลสวนบุคคลตองจัดใหมีขอตกลงระหวางกัน เพื่อควบคุม การดําเนินงานตามหนาที่ของผูประมวลผลขอมูลสวนบุคคลใหเปนไปตามพระราชบัญญัตินี้
    ความใน (3) อาจยกเวนมิใหนํามาใชบังคับกับผูประมวลผลขอมูลสวนบุคคลซ่ึงเปนกิจการขนาดเล็ก ตามหลักเกณฑท ี่คณะกรรมการประกาศกําหนด เวนแตมีการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล ที่มีความเสี่ยงที่จะมีผลกระทบตอสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล หรือมิใชกิจการที่เก็บ รวบรวม ใชหรือเปดเผยขอมูลสวนบุคคลเปนครั้งคราว หรือมีการเก็บรวบรวม ใชหรือเปดเผยขอมูล สวนบุคคลตามมาตรา 26
    ξ ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑและวิธีการในการจัดทําและเก็บรักษา บันทึกรายการของกิจกรรมการประมวลผลขอมูลสวนบุคคลสําหรับผูประมวลผลขอมูลสวนบุคคล พ.ศ. 2565
    อางอิงมาตรฐาน
    ξ ISO/IEC 27701:2019 Annex A 8
  • 24 -
    ผูรับผิดชอบ
    ξ ผูประมวลผลขอมูลสวนบุคคล
    แนวปฏิบัติ
  1. ผูประมวลผลขอมูลสวนบุคคลตองเก็บรวบรวมขอมูลสวนบุคคลตามที่ รฟม. กําหนดเทานั้น 2. ผูประมวลผลขอมูลสวนบุคคลตองไมเก็บรวบรวมขอมูลสวนบุคคลจากแหลงอื่นที่ไมใชจากเจาของขอมูล สวนบุคคลโดยตรง เวนแตเปนวัตถุประสงคอันชอบดวยกฎหมายและอยูภายใตการดําเนินงานของ รฟม. เทานั้น 3. ผูประมวลผลขอมูลสวนบุคคล ตองรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล เพื่อปองกันการสูญหาย เขาถึง ใชเปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยใหปฏิบัติ ตามกฎหมาย ระเบียบ ขอบังคับ และนโยบายของ รฟม. อยางเครงครัด
  2. ผูประมวลผลขอมูลสวนบุคคล ตองจัดทําบันทึกกิจกรรมการประมวลผลขอมูลสวนบุคคล (Record of Processing Activity: RoPA) เพื่อควบคุมการประมวลผลขอมูลสวนบุคคลและใหเจาของขอมูลสวนบุคคล ตรวจสอบไดทั้งนี้ในการทบทวน/ปรับปรุงใหดําเนินการอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอยาง มีนัยสําคญั โดยอยางนอยตองประกอบดวยรายละเอียดตามมาตรา 39 แหงพระราชบัญญัติคุมครองขอมูลสวน บุคคล พ.ศ. 2562 ดังตอไปนี้
    (1) ขอมูลสวนบุคคลที่มีการเก็บรวบรวม
    (2) วัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคลแตละประเภท
    (3) ขอมูลเกี่ยวกับผูประมวลผลขอมูลสวนบุคคล
    (4) ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคล
    (5) ระยะเวลาการเก็บรักษาขอมูลสวนบุคคล
    (6) สิทธิและวิธีการเขาถึงขอมูลสวนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเขาถึงขอมูลสวนบุคคล และเงื่อนไขในการเขาถึงขอมูลสวนบุคคลนั้น
    (7) การใชหรือเปดเผยตามมาตรา 27 วรรคสาม
    (8) การปฏิเสธคําขอหรือการคัดคานตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
    (9) คําอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
    (10) ฐานการประมวลผลขอมูลสวนบุคคลตามกฎหมาย
    (11) วิธีการแจงรายละเอียดการประมวลผลขอมูลสวนบุคคล
    (12) วิธีการขอความยินยอมจากเจาของขอมูลสวนบุคคล (หากมี)
  3. ผูประมวลผลขอมูลสวนบุคคล ตองใชขอมูลสวนบุคคลอยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม.
  4. ผูประมวลผลขอมูลสวนบุคคล ตองควบคุมการเขาถึงขอมูลสวนบุคคล ดังนี้
    6.1 ตองกําหนดสิทธิ์ในการเขาถึงขอมูลสวนบุคคลที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบ ของผูประมวลผลขอมูลสวนบุคคล พรอมทั้งทบทวนเมื่อมีการเปลี่ยนแปลง
  • 25 -
    6.2 ขั้นตอนปฏิบัติในการจัดเก็บขอมูลสวนบุคคล
    6.2.1 จัดประเภทขอมูลสวนบุคคล ดังนี้
    (1) ขอมูลสวนบุคคลทั่วไป เชน ชื่อ-นามสกุล ที่อยู หมายเลขโทรศัพทเปนตน
    (2) ขอมูลสวนบุคคลออนไหว เชน
    ξ เชื้อชาติ
    ξ เผาพันธุ
    ξ ความคิดเห็นทางการเมือง
    ξ ความเชื่อในลัทธิศาสนาหรือปรัชญา
    ξ พฤติกรรมทางเพศ
    ξ ประวัติอาชญากรรม
    ξ ขอมูลสุขภาพ ความพิการ หรือขอมูลสุขภาพจิต
    ξ ขอมูลสหภาพแรงงาน
    ξ ขอมูลพันธุกรรม
    ξ ขอมูลชีวภาพ
    ξ ขอมูลทางชีวมิติ (Biometric) เชน รูปภาพใบหนา ลายนิ้วมือ ฟลมเอกซเรยขอมูล สแกนมานตา ขอมูลอัตลักษณเสียง และขอมูลพันธุกรรม เปนตน
    ξ ขอมูลอื่นใดซึ่งกระทบตอเจาของขอมูลในทํานองเดียวกันตามที่คณะกรรมการประกาศ กําหนด
    6.2.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดับ คือ
    (1) ขอมูลที่มีระดับความสําคัญมาก หมายถึงขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร (2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝายภายในองคกร
    (3) ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
    6.2.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
    6.2.4 จัดแบงระดับชั้นการเขาถึง
    (1) ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย (2) ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่ (3) ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดรับมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบ และเขาถึงขอมูลที่ไดรับมอบหมายตามอานาจหน ํ าที่
    6.3 ผูประมวลผลขอมูลสวนบุคคล ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมาย ซึ่งเกี่ยวของกับ การคุมครองขอมูลสวนบุคคล เชน พระราชบัญญัติขอกําหนดทางกฎหมาย ขอกําหนดในสัญญา และ
  • 26 -
    ขอกําหนดทางดานการคุมครองขอมูลสวนบุคคลอื่น ๆ รวมทั้งระเบียบ ขอบังคับ ของ รฟม. เปนตน เพื่อกําหนดสิทธิ์การเขาถึงขอมูลสวนบุคคล
  1. ผูประมวลผลขอมูลสวนบุคคล ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานที่สอดคลองตาม พระราชบัญญตัิคุมครองขอมูลสวนบุคคล พ.ศ. 2562 รวมถึงกฎหมายลําดับรองที่เกี่ยวของ 8. ผูประมวลผลขอมูลสวนบุคคลตองประมวลผลขอมูลสวนบุคคลตามขอตกลงการประมวลผลขอมูลสวนบุคคล (Data Processing Agreement: DPA) ที่ตกลงไวกับ รฟม. เทานั้น
  2. เมื่อผูประมวลผลขอมูลสวนบุคคลพบเหตุการละเมิดขอมูลสวนบุคคล ตองแจงใหรฟม. รับทราบตามชองทาง และแนวปฏิบัติที่ รฟม. กําหนด
  3. ผูประมวลผลขอมูลสวนบุคคล ตองใหความรวมมือกับเจาหนาที่ของสํานักงานคณะกรรมการคุมครองขอมูล สวนบุคคล และ รฟม. เมื่อถูกรองขอใหสงเอกสารหรือขอมูลเกี่ยวกับการคุมครองขอมูลสวนบุคคล รวมถึง การชี้แจงขอเท็จจริงเพื่อสนับสนุนการตรวจสอบและการปฏิบัติงานของเจาหนาที่ของสํานักงานคณะกรรมการ คุมครองขอมูลสวนบุคคล
    ภาคผนวก ข

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกํากับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งที่ 14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. 2549 มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือไดจึงสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้ง คณสมบ ุ ัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนด ความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือ ผูหนึ่งผูใดอันเนื่องมาจากความบกพรองละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ ทั้งนี้ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทย พ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังตอไปนี้

  1. วัตถุประสงคและขอบเขต
    เพื่อใหการใชงานระบบเทคโนโลยสารสนเทศของ ี รฟม. เปนไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถดําเนินงานไดอยางตอเนื่อง รวมทั้งปองกันปญหาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศ ในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จึงไดกําหนดนโยบายเพื่อควบคุมการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ ดังนี้
    1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คือ
    1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธิ์การเขาถึงระบบและ กําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชที่มีสิทธิ์ (User authentication) เทานั้นที่สามารถ เขาถึงระบบไดรวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log)และขอมูลจราจรทางคอมพิวเตอร ทั้งนี้การใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธิ์อยางเหมาะสมและเพียงพอ (Need to know
    and Need to use)
    /1.1.2 การเขาถึง…
    175 ถนนพระราม 9 แขวงห ้วยขวาง เขตห ้วยขวาง กรุงเทพมหานคร 10310 โทรศ ัพท 0 2716 4000 ์ โทรสาร 0 2716 4019 175 Rama IX Road, Huai Khwang, Bangkok 10310, Thailand, Tel.66 2716 4000 Fax.66 2716 4019 http://www.mrta.co.th
  • 2 – 2 -
    1.1.2 การเขาถึงระบบเครือขาย(Networkaccesscontrol)ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกร จัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรัสคอมพิวเตอรเปนตน เพื่อควบคุมและ ปองกันภัยคุกคามอยางเปนระบบ
    1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการ โดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมี การจํากัดระยะเวลาในการเชื่อมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
    1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control) ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศโดยใหสิทธิ์เฉพาะระบบงานสารสนเทศ ที่ตองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสม่ําเสมอ
    1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือ กรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสไดเพื่อใหสามารถใชงานสารสนเทศไดตามปกติ อยางตอเนื่อง
    1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ
  1. แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการ อางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเรื่อง มาตรฐาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC 27001:2022 โดยแบงแนวปฏิบัตออกเป ิ น 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้
    2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร (สวนท่ 1) ี
    2.2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร (สวนที่ 2)
    2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนที่ 3)
    2.4 การจัดการทรัพยสิน (สวนที่ 4)
    2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
    2.6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 6)
    2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนที่ 7)
    2.8 การควบคุมหนวยงานภายนอกและผูใชงาน  (บุคคลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอ  ุปกรณเคลื่อนทของ ี่ รฟม. (สวนที่ 9)
    2.10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน (สวนที่ 10)
    2.11 การใชงานจดหมายอิเล็กทรอนิกส ( สวนที่ 11)
    2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร(สวนที่ 12)
    2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
    2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
    2.15 การควบคุมการเขารหัส (สวนที่ 15)
    2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
    2.17 การใชบริการ Cloud (Cloud Services) (สวนที่ 17)
    /แนวปฏิบัต…ิ
  • 3 – 3 -
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถึงผูใชบริการ ระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏิบัติตามอยางเครงครัด
  1. กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือ ขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆแกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอันควร
    นโยบายนี้ใหใชบังคับเมื่อพนกําหนด 7 วัน นับแตวันที่ผูมีอํานาจลงนาม
    15
    ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
    (นายกาจผจญ อุดมธรรมภักดี)
    ผูวาการการรถไฟฟ  าขนสงมวลชนแหงประเทศไทย

สารบัญ
เรื่อง หนา คํานิยาม ……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร ……………………………………………………………….3 สวนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม ………………………………………………………………7 สวนที่ 4 การจัดการทรัพยสิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ ………………………………………………………………….. 10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ ………………………………………………………………………………. 12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย ………………………………………………………………………………………. 22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ …………………………….. 23 สวนที่ 9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. ……………………………………………………………… 25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน …………………………………………………………………………………… 28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส ………………………………………………………………………………………………….. 32 สวนที่ 12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ………………………………………………………… 33 สวนที่ 13 การตรวจสอบและประเมินความเสี่ยง……………………………………………………………………………………………… 35 สวนที่ 14 การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ …………………………………………………………………………………. 38 สวนที่ 15 การควบคุมการเขารหัส ………………………………………………………………………………………………………………… 39 สวนที่ 16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) ………………………………………………………………. 40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คํานิยามที่ใชในนโยบายนี้ประกอบดวย

  1. รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
  2. ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
  3. ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
  4. ผูบริหารระดับสูงสุด หมายถึงผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
  5. ผูบังคับบัญชา หมายถึง ผูมีอํานาจสั่งการตามโครงสรางการบริหารของ รฟม.
  6. ผูใชงาน หมายถึง บุคคลที่ไดรับอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้
  • ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
  • ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของรฟม. เชน ที่ปรึกษา ผูปฏิบัติงานตามสัญญา หรือนิสิตนักศึกษาฝกงาน เปนตน
  1. ผูใชบริการ หมายถึงผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถึงผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธิ์ในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบ ในการรักษาความลับของขอมูล
  2. ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบ สารสนเทศ และพนักงานของผูรบจั างที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศใหรฟม. 10. เจาของขอมูล หมายถึง ผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูล เปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรับผลกระทบโดยตรงหากขอมูลเหลานั้นเกิดสูญหาย
  3. มาตรฐาน หมายถึง บรรทัดฐานที่บังคับใชในการปฏิบัติการจริงเพื่อใหไดตามวัตุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบัติหมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กําหนดไวตามวัตถประสงค ุ 
  4. แนวปฏิบัติหมายถึง แนวทางที่ตองปฏิบัติตามเพื่อใหสามารถบรรลุวัตถประสงค ุ หรือเปาหมายไดงายขึ้น 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ที่นําเอาเทคโนโลยี สารสนเทศ ระบบคอมพิวเตอรและระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถ นํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอสื่อสาร ซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอรระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมลู ขอความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด ที่อยูในระบบคอมพิวเตอรในสภาพท  ี่ระบบ คอมพิวเตอรอาจประมวลผลไดและใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรม อิเล็กทรอนิกส
  5. ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึงขอมูลเกี่ยวกับการติดตอสื่อสารของระบบคอมพิวเตอรซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
  6. สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูล ซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถ นําไปใชประโยชนในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
    2
  7. ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางาน เขาดวยกันโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบัติงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ ประมวลผลขอมูลโดยอัตโนมัติ
  8. ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูล และสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
  9. สิทธิ์ของผูใชงาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เกี่ยวของกับระบบสารสนเทศ ของหนวยงาน
  10. ความมั่นคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
  11. เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณท ี่แสดงใหเห็นความเปนไปไดที่จะเกิดการฝาฝนนโยบาย ดานความมั่นคงปลอดภัย มาตรการปองกันที่ลมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเกี่ยวของกับความมั่นคงปลอดภัย 23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดค  ิด หมายถึงสถานการณดานความมั่นคงปลอดภยั ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุก หรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
  12. การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถึง การอนุญาต การกําหนดสิทธิ์หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอปฏิบัติ เกี่ยวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
  13. สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอรอุปกรณระบบเครือขาย ซอฟตแวรที่มีคาลิขสิทธ์ิขอมูล ระบบขอมูล ฯลฯ
  14. จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบที่บุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกัน ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถาย ภาพกราฟก ภาพเคลื่อนไหว และเสียงผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ไดโดยขาวสารที่สงนั้นจะถูกเก็บไวในตูจดหมาย (Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได
  15. ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอรหรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
  16. เครื่องคอมพิวเตอรหมายถึง เครื่องคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อุปกรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพา ซึ่งมีความสามารถในการเชื่อมตอกับ อุปกรณอื่นเพื่อรับสงขอมูลผานระบบเครือขายโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
  17. ทรัพยสินของ รฟม. หมายถึง ครุภัณฑรฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรร งบประมาณเพื่อเปนคาใชจายใหท ั้งหมดหรือบางสวน
  18. อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เครื่องคอมพิวเตอรพกพา (Notebook) อุปกรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
    3
    สวนที่1
    นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร
    วัตถุประสงค
    ▪ เพื่อใหการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและ กฎหมายดานความมั่นคงปลอดภัยที่เกี่ยวของ
    ผูรับผิดชอบ
    ▪ ผูบริหารสูงสุด
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
  19. จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานตางๆ อยางนอยปละ 1 ครั้ง โดยพิจารณาจากปจจัยนําเขา ดังนี้
    1.1 กลยุทธการดําเนินงานขององคกร
    1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ที่ตองปฏิบัติตาม
    1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
    1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
    1.5 ผลการแจงเตือนโดยระบบปองกันการบุกรุกในปที่ผานมา
    1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรับระบบตาง ๆ ในปที่ผานมา 1.7 การจัดทําและตอสัญญาบํารุงรักษาระบบและอุปกรณตาง ๆ
    1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนัก 1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
    1.10 ขอมูลภัยคุกคามตาง ๆ ที่เคยเกิดขึ้นในอดีตและปจจุบัน รวมทั้งภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก 1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบ อิสระดานความมั่นคงปลอดภัยจากภายนอก
  20. จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอตอการบริหารจัดการความ มั่นคงปลอดภัยสารสนเทศในแตละปงบประมาณ
  21. จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
  22. แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตาม นโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครงครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงาน ที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศ
    4
    สวนที่ 2
    ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
    วัตถุประสงค
    ▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือ เปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยี สารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําใหรฟม.
    เกิดความเสียหาย
    ผูรับผิดชอบ
    ▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากบดั ูแลงานที่มีการวาจางหนวยงานภายนอก
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    แนวปฏิบัติ
  23. การสรางความมั่นคงปลอดภัยกอนการจางงาน (Prior to Employment) เพื่อคัดสรรบุคลากรกอนที่จะเขามา ปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบ สารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
    1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
    ฝทบ. หรือฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบ คุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานใหรฟม. รวมทั้งนิสิตนักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ ขอบังคับ หรือจริยธรรม รวมทั้งไมมีประวัติในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยี สารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
    1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไข การจางงานใหครอบคลุมในเรื่องดังตอไปนี้
    1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกําหนดใหสอดคล  องกับ นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
    1.2.2 กําหนดใหมีการลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
    1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
    1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
    5
  24. การสรางความมั่นคงปลอดภัยในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผ ูใชงาน เกี่ยวกับภัยที่เกี่ยวของกับการปฏิบัติงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities) ผูบริหาร รฟม. ทุกระดับชั้นมีหนาที่สนับสนุนและสงเสริมเรื่องดังตอไปน้ีแกผูใชงาน
    2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคน รับทราบและปฏิบัติตาม
    2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศที่เกี่ยวของกับหนาที่ความรับผิดชอบ ของตนเองและของ รฟม.
    2.2 การสรางความตระหนัก การใหความรูและการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัย อยางสม่ําเสมอ
    2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆเชน ไวรัสคอมพิวเตอรเทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนิค เปนตน
    2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพื่อสรางความตระหนักดานความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
    2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัย สารสนเทศของ รฟม. รวมทั้งอธิบายผลกระทบจากการเปลี่ยนแปลงดังกลาว
    2.3 การแจงเหตุการณไมปกติ
    ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด 2.4 การกําหนดบทลงโทษ
    2.4.1 ความรับผิดตามกฎหมาย
    นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์ ทางกฎหมายที่ทําใหผูใชงานพนผิดแมจะไดปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศและผูใชงานตกลงยินยอมที่จะไมดําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยไดรฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาที่เกิดจาก การใชระบบคอมพิวเตอร
    2.4.2 การพิจารณาโทษผูกระทําผิด
    ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือ ความผิดตามกฎหมายที่เกี่ยวของ
  1. พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. ตองถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือ ถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
    6
  1. การสิ้นสุดหรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและ การถอดถอนสิทธิ์ในการเขาถึง
    3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
    3.1.1 ฝทบ. ตองแจงใหฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยายเกษียณ หรือเสียชีวิตเพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศ
    3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสิทธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
    3.2 การคืนสินทรัพยของ รฟม.
    ผูดูแลระบบตองตรวจสอบเพื่อเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
    3.3 การถอดถอนสิทธิ์ในการเขาถึง
    3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมอสื่ ิ้นสุดหรือเปลี่ยนแปลงการจางงาน 3.3.2 การถอดถอนสิทธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชีผูใชงาน เปนตน
    3.3.3 ในกรณีที่ผูใชงานที่สิ้นสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผูใชงานรวมกัน (Shared User ID) กบผั ูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทันทีหลังจากสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
    7
    สวนที่3
    การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม
    วัตถุประสงค
    ▪ เพื่อควบคุมและปองกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเขาถึงอาคารสถานที่ และพื้นที่จัดเก็บ ขอมูลคอมพิวเตอร (Data Storage Area)
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูอํานวยการฝายจัดซื้อและบริการ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
  2. ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัย ดานกายภาพ เชน อุปกรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
  3. ผดู ูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแรก็ (Rack) หรือสถานที่ที่มีความมั่นคงปลอดภัยและมีการปดล็อค 3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลที่ใชเพื่อการสื่อสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดินสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพ้ืนที่ที่เขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมี ระยะหางที่เหมาะสม
  4. การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
    กําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆอยางเหมาะสม เพื่อเปนการเฝาระว  ัง ควบคุม การรักษาความมั่นคง ปลอดภัยจากผูที่ไมไดรับอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบริเวณพื้นที่ใชงาน ระบบเทคโนโลยีสารสนเทศออกเปน
    4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพา ที่ประจําโตะทํางาน
    4.2 พื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
    5.1 กําหนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกไดดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธิ์แกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธ์ิ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
    5.1.2 เจาหนาที่รักษาความปลอดภัย (รปภ.) จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถ ระบุตัวตนของบุคคลน้ัน ๆกอนเขาถึงอาคารของ รฟม. เชน บัตรประจําตัวประชาชน ใบอนุญาตขับขี่ เปนตน แลวบันทึกขอมูลบัตรในสมุดบันทึกหรือระบบงานสารสนเทศ
    5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาที่อยูใน รฟม. และคืนบัตรผูติดตอ (Visitor) กอนออกจากอาคารของ รฟม.
    5.1.4 เจาหนาที่รักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณพรอมลงเวลาออกที่สมุด บันทึกหรือระบบสารสนเทศใหถูกตอง
    5.2 ผูดูแลระบบ ตองควบคุมการเขา – ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงไดโดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุม การ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏบิัติตามขั้นตอนที่ รฟม. กําหนด
    8
    สวนที่4
    การจัดการทรัพยสิน
    วัตถุประสงค
    ▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยส ินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  5. หนาที่ความรับผิดชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยสินอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ 1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแล ความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
    1.3 เจาของขอมูลและผูดูแลระบบ ตองเรียกคืนทรัพยสนสารสนเทศเม ิ ื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม.
  6. การจําแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
    2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวน การจําแนกดังกลาวอยางสม่ําเสมอ
    2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชดเจน ั พรอมทั้งจัดใหมี มาตรการดูแลการรักษาความมั่นคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับชั้นความลับ ที่ รฟม. กําหนด
  7. การจัดการสื่อบันทึกขอมูล (Media Handling)
    3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กับเครื่องคอมพิวเตอรได (Removable Media) ตามที่ รฟม. กําหนด
    3.2 เจาของขอมูลตองมีการเขารหัสขอมูลที่ออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึก แบบถอดได
    3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณสื่อบันทึกขอมูล แฟมขอมูล ตามขั้นตอนที่ รฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือ กอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทําลายขอมูลบนสื่อบันทึกขอมูลแตละประเภท ดังนี้
    9
    ประเภทสื่อบันทึกขอมูล
    วิธีทําลาย
    กระดาษ
    ใหหั่นดวยเครื่องทําลายเอกสาร
    Flash Drive
    1. ทําลายขอมูลบน Flash Drive ตามมาตรฐาน DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
  1. ใชวิธีทุบหรือบดใหเสียหาย
    แผน CD/DVD
    ใหหั่นดวยเครื่องทําลายเอกสาร
    เทป
    ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
    ฮารดดิสก
    1. ทําลายขอมูลบนฮารดดิสกตามมาตรฐาน 
      DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
  2. ใชวิธีทุบหรือบดใหเสียหาย

3.4 เจาของขอมูลผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอมูลที่ใชจัดเก็บขอมูลสารสนเทศในกรณี ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนําไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่ รฟม. กําหนด
4. การบริหารจัดการคาคอนฟกูเรชนั (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆอยางเปนลายลักษณอักษร และตองการทบทวนปรับปรุงใหเปนปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงการตั้งคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กําหนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนท  ี่5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

  1. ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจร  ิง (Production) หรือกอนเริ่ม Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับ นโยบายและแนวปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนา โปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
  2. ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบงคั ับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการ ประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพื่อตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูล เชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุม ความลมเหลวระหวางการประมวลผล (Rollback)
  3. ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนด เพื่อควบคุมผลกระทบที่เกิดขึ้น
  4. ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทุก ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มีสิทธเทิ์ านั้น
  5. ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมคีุณภาพ
  6. ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กําหนดใหใชงานเทานั้น
  7. ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการท่ี เหมาะสม
  8. ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
    11
  9. กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนินการ ดังนี้ 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ขอมูลสําคัญของผูใชงาน จะรั่วไหล
    13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตัวของผูใชงาน
  10. ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูล อยางเหมาะสมตามขั้นตอนที่ รฟม. กําหนด
  11. ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสยงี่ ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบ สารสนเทศที่พัฒนา ทดสอบ หรือใชงานจรงิ ทั้งระบบสารสนเทศใหม และการปรับปรุงแกไขระบบสารสนเทศเดิม
  12. ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบ สารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม
  13. ผูดูแลระบบตองติดตั้งซอฟตแวรบนระบบสารสนเทศที่ใหบริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด และจํากัดสิทธิ์การติดตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถูกตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรทไมี่ ละเมิดลิขสิทธมาต ิ์ ิดตั้งบนระบบสารสนเทศที่ใหบริการ (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไวโดยครอบคลุมถึง ดานความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวของตาง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทึกการใหบริการของบุคคล/หนวยงานภายนอกที่ใหบริการแก หนวยงานตามสัญญาวาจางอยางสม่ําเสมอ
  14. ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมทั้งตอง มีการบันทึกประวตัิการทํางานผิดปกติการบํารุงรักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชองโหวของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ(Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขาย อินเทอรเน็ต (Internet Facing) และระบบที่มีความสําคัญตอการดําเนินงานของ รฟม.
  15. ผูดูแลระบบตองพิจารณาเลือกใชVersion ของ Software ดังนี้
    23.1 กรณีนําSoftwareเดิมมาใชในการจ  ัดหาหรือพัฒนาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชองโหวเดิม รวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
    23.2 กรณีเปน Software ที่ไมเคยนํามาใชงานใหเล ือกใช Software  เวอรชันลาสุด

12
สวนที่6
การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์กําหนดประเภทของขอมูล จัดลําดับ ความสําคัญหรือลําดับชั้นความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงไดและชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรูและการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

  1. การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ (Authorization Level) การเขาถึงระบบ เทคโนโลยีสารสนเทศ
    1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มีการแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนุมัติการเขาถึง เปนตน
    1.4 กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติดังนี้ 1.4.1 ไมอนุญาตใหอุปกรณเคลื่อนที่ที่ใชระบบปฏิบัติการลาสมัย (Obsolete Operating System) เขาใชงาน แอปพลิเคชัน หรือหากอนุญาตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม. จะไดรับ รวมถึงลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน 1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงาน แอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
    1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพื่อใหแอปพลิเคชันมีการ รักษาความมั่นคงปลอดภัยเปนไปตามมาตรฐานของ  รฟม.
    1.5 ขั้นตอนปฏิบัติเพื่อการจัดเก็บขอมูล
    เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองปฏิบัติดังนี้
    1.5.1 แบงประเภทขอมูล ดังนี้
  1. ขอมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตัดสินใจ
    เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
    13
  2. ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร(Strategy Data) ไดแก ขอมูลและสารสนเทศ เชิงวิชาการเพื่อสนับสนุนการดําเนินงานตามพันธกิจและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก
  3. ขอมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่ สนับสนุนการทํางานทั่วไปของ รฟม.
    1.5.2 จัดแบงระด  ับความสําคัญของขอมูล ออกเปน 3 ระดับ คือ
  4. ขอมูลที่มีระดับความสําคัญมาก หมายถึงขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร 2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
  5. ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
    1.5.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
    1.5.4 จัดแบงระดับชั้นการเขาถึง
  6. ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย
  7. ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
  8. ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
    1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
    1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยีสารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม.
  9. เครือขายภายนอก รฟม.
  10. เครือขายอื่นที่จัดไวใหเชน ระบบเครือขายสื่อสารขอมูล GIN
    1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร (Folder) ที่สรางขึ้นใหมี การจํากัดสิทธิ์ในการเขาถึง
    1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวของกับการรักษา ความมั่นคงปลอดภัยสารสนเทศของรฟม. เชน พระราชบัญญัติขอกําหนดทางกฎหมาย ขอกําหนดในสัญญา และขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธิ์การเขาถึงสารสนเทศและระบบ เทคโนโลยีสารสนเทศของ รฟม.
    1.10 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอ พรอมทั้งเพิกถอนสิทธิ์เมื่อพบเห็นสิทธิ์ที่ไมถูกตองตามสิทธิ์ในการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management)
    ใหมีการควบคุมการลงทะเบียนผูใชงาน การบริหารจัดการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยี สารสนเทศ และการทบทวนสิทธิ์การเขาถึงของผูใชงาน
    2.1 การลงทะเบียนผใชู งาน (User Registration)
    2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชี ชื่อผูใชงานซ้ํากัน ทั้งนี้ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดชื่อผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร
    2.1.2 เจาของขอม ูลตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัด ชวงเวลาการใชงานเทาที่จําเปน
    14
    2.2 การบริหารจัดการรหัสผาน (User Password Management)
    2.2.1 ผูดูแลระบบตองกําหนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคับใหมีการเปลี่ยนรหัสผาน เมื่อผูใชงานเขาใชงานระบบในครั้งแรก
    2.2.2 ผูดูแลระบบตองกําหนดความยาวของรหัสผาน ดังนี้
  11. ผูดูแลระบบมีความยาวอยางนอย 16 หลัก
  12. ผูใชงานมีความยาวอยางนอย 12 หลัก
    2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
    2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผานมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระ พิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
    2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผาน ดังนี้
  13. ผูดูแลระบบตองเปลี่ยนรหัสผานทุก ๆ 3 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 2) ผูใชงานตองเปลี่ยนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพิจารณาเปลี่ยนรหัสผานตามความเหมาะสม 2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
    2.2.7 ผูดูแลระบบตองจัดใหมีการควบคุมรหัสผานอยางเขมงวด
    2.2.8 ผูดูแลระบบตองจัดสงบัญชีชื่อผูใชงาน (Username) และรหัสผาน (Password) ดวยว  ิธีการที่ปลอดภัย 2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการระบบฐานขอมูลและระบบงานสารสนเทศ (Application) ที่จัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวดโดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาต เทานั้น
    2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยางมั่นคงปลอดภัย ดังน ี้ กรณีแอปพลิเคชันทั่วไป
  14. กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซึ่งประกอบดวย ตัวอักษร ตัวเลข และ อักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
  15. รหัสผานตองไมเปนคําที่คาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพทเปนตน
  16. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ ตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    กรณีแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device)
  17. กําหนดรหัสผานโดยใชPIN code หรือรหัสผานที่ซับซอน (PIN/Password Complexity) โดยกรณีPIN Code ตองใชรหัสผาน 6 หลักขึ้นไป
  18. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    2.2.12 ผดู ูแลระบบและผูใชงานตองใชรหัสผานอยางปลอดภัย ดังนี้
  19. ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพทเปนตน
  20. ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติไดแกการกําหนดคา “Remember Password” เปนตน