Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล
1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล
1.3 คุณภาพของข้อมูล
องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้เกิดความแน่ใจว่าข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับบุคคลที่จัดเก็บ ใช้หรือเปิดเผย เป็นข้อมูลที่มีความถูกต้อง ครบถ้วน สมบูรณ์และเป็นปัจจุบัน สัมพันธ์กับวัตถุประสงค์ของการจัดเก็บ และไม่นอกเหนือวัตถุประสงค์ที่กำหนด
1.4 การรักษาความปลอดภัยของข้อมูล
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจจัดเก็บรักษาข้อมูลไว้ได้เท่าระยะเวลาที่กำหนดหรือเพียงเท่าที่จำเป็นแก่การทำให้บรรลุวัตถุประสงค์ตามที่ได้แจ้งต่อเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไว้แล้ว เว้นแต่บุคคลที่เกี่ยวข้องกับข้อมูลหรือบุคคลผู้เป็นเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้งว่าให้เก็บรักษาข้อมูลนั้นเกินกว่าระยะเวลาตามที่กำหนดไว้ในนโยบายดังกล่าว หรือเว้นแต่มีเหตุจำเป็นที่กำหนดหน้าที่ให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด หรือมีเหตุจำเป็นอื่นใดเพื่อประโยชน์ในกิจการขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลที่จะต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด และองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะลบหรือทำลายข้อมูลดังกล่าวเมื่อพ้นระยะเวลาที่กำหนดหรือหมดความจำเป็นในการเก็บรวบรวมหรือเจ้าของข้อมูลเพิกถอนความยินยอม ทั้งนี้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการด้วยความระมัดระวังและรอบคอบเพื่อให้เกิดความแน่ใจว่าได้มีการลบหรือทำลายข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล หรือทำให้ข้อมูลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวตนของบุคคลได้อย่างถาวร
2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสม เพื่อป้องกันมิให้มีการเข้าถึงข้อมูลโดยไม่มีอำนาจหรือไม่ได้รับอนุญาต หรือป้องกันมิให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยไม่ชอบ รวมทั้งต้องดำเนินการป้องกันมิให้ข้อมูลเกิดการสูญหาย ใช้หรือเปิดเผยข้อมูลโดยมิชอบ
3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องคุ้มครองรักษาข้อมูลส่วนบุคคลตลอดเวลาด้วยเทคนิคและการวางระบบรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลสูญหาย หรือมิให้ผู้ใดนำไปใช้ในทางที่ผิดหรือโดยไม่สมควร หรือทำลายหรือเปลี่ยนแปลงแก้ไขข้อมูล หรือเพื่อป้องกันมิให้ผู้ที่ไม่ได้รับอนุญาต เข้าถึงข้อมูลหรือเปิดเผยข้อมูล
4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลให้แก่บุคคลอื่นได้ หากเจ้าของข้อมูลให้ความยินยอมเป็นหนังสือหรือตามที่กฎหมายกำหนด เว้นแต่กรณีจำเป็นเร่งด่วนเกี่ยวกับประโยชน์ของส่วนรวม หรือกรณีที่อาจก่อให้เกิดความเสียหายแก่ชีวิต ร่างกายหรืออนามัยของบุคคล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปก่อนได้ แต่ต้องแจ้งให้เจ้าของข้อมูลทราบโดยเร็วภายใน 15 วัน นับแต่วันส่งหรือโอนข้อมูลนั้น
5) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลได้ว่าจ้างหรือมอบหมายให้บุคคลที่สามเป็นผู้ดำเนินการเกี่ยวกับระบบการบริหารงานบุคคลขององค์กรไม่ว่าทั้งหมดหรือบางส่วน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้เกิดความแน่ใจว่าบุคคลที่สามซึ่งได้รับมอบหมายให้ดำเนินการดังกล่าว ได้ตระหนักถึงความจำเป็นที่ต้องปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
1.5 ความโปร่งใส
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องกำหนดแนวนโยบายที่เกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล และเปิดเผยแนวนโยบายดังกล่าวให้เป็นที่ปรากฏชัดต่อบุคคลที่เกี่ยวข้องกับข้อมูล
2) หากมีการร้องขอ องค์กรหรือหน่วยที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสมและอย่างสมเหตุสมผล เพื่อให้บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลที่ตนจัดเก็บได้ทราบถึงประเภทของข้อมูลที่จัดเก็บ วัตถุประสงค์ของการจัดเก็บ วิธีการจัดเก็บ การเก็บรักษา การใช้หรือเปิดเผยข้อมูลนั้น
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 5
