PDPA Thailand

462

PDPA Thailand
PDPA Thailand
บริหาร ข้อมูลส่วนบุคคล เธียรชัย

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

 

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเปิดโอกาสให้บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลเข้าตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน ขอสำเนาหรือขอสำเนารับรองความถูกต้องของข้อมูลดังกล่าว ขอแก้ไขหรือเปลี่ยนแปลงหรือให้ระงับการใช้หรือระงับการเปิดเผยข้อมูลหรือให้ลบหรือทำลายข้อมูลส่วนที่พ้นระยะเวลาการเก็บรวบรวมหรือที่ไม่เกี่ยวข้องหรือเกินกว่าความจำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมนั้นได้ เมื่อมีการร้องขอ เว้นแต่

(1) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภัยที่เป็นการคุกคามอย่างร้ายแรงต่อชีวิตร่างกายหรือสุขภาพของบุคคล

(2) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดผลกระทบต่อสิทธิส่วนบุคคลของบุคคลอื่นโดยไม่สมควร

(3) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภาระอันเกินสมควรแก่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

(4) การร้องขอเพื่อเข้าถึงข้อมูลเป็นการร้องขอที่ไม่จริงจังหรือไม่มีเจตนาที่ต้องการเข้าถึงข้อมูลซึ่งเป็นที่เห็นได้ชัดเจน

(5) การอนุญาตให้มีการเข้าถึงจะก่อให้เกิดความเสียหายต่อการสืบสวนสอบสวนที่เกี่ยวกับการกระทำที่มิชอบด้วยกฎหมาย

(6) การอนุญาตให้เข้าถึงเป็นการอันต้องห้ามโดยกฎหมาย

(7) มีกฎหมายห้ามมิให้มีการเข้าถึงข้อมูลดังกล่าวไว้เป็นการเฉพาะ

(8) ข้อมูลที่ขอเข้าถึงเป็นข้อมูลที่เกี่ยวข้องกับข้อโต้แย้งทางกฎหมายที่เกี่ยวข้องกับกระบวนการไกล่เกลี่ยข้อพิพาท ระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่ร้องขอ และข้อมูลดังกล่าวเป็นข้อมูลซึ่งไม่สามารถเข้าถึงหรือเปิดเผยได้โดยกระบวนการไกล่เกลี่ยข้อพิพาทนั้น

(9) การอนุญาตให้เข้าถึงจะเป็นการเปิดเผยถึงแนวทางการเจรจาต่อรองขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลผู้ร้องขอ ซึ่งหากมีการเปิดเผยจะทำให้เกิดความเสียหายต่อการเจรจาต่อรองนั้น

(10) หน่วยงานทางด้านความมั่นคง หน่วยงานที่เกี่ยวข้องกับราชการลับหรือหน่วยงานที่เกี่ยวข้องกับการบังคับใช้กฎหมายสั่งห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอนุญาตให้มีการเข้าถึงข้อมูลดังกล่าว เนื่องจากเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ

2) ถ้าการอนุญาตให้เข้าถึงข้อมูลจะเป็นการเปิดเผยถึงข้อมูลที่เกี่ยวข้องกับกระบวนการตัดสินใจทางการค้าขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวอาจใช้วิธีการอธิบายถึงกระบวนการตัดสินใจแทนการอนุญาตให้เข้าถึงข้อมูลนั้นได้

3) ถ้าการเข้าถึงข้อมูลเป็นสิ่งที่ไม่สามารถปฏิบัติได้อย่างสมเหตุสมผล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลและบุคคลผู้ร้องขออาจตกลงที่จะพิจารณาว่าการดำเนินการแทนโดยคนกลาง จะเป็นการเข้าถึงที่เพียงพอต่อความต้องการของทั้งสองฝ่ายหรือไม่

4) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกำหนดค่าใช้จ่ายในการอนุญาตให้เข้าถึงข้อมูล ค่าใช้จ่ายนั้น

(1) ต้องไม่สูงจนเกินไป และ

(2) ต้องไม่ใช้กับคำขอเข้าถึงข้อมูล

5) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือบุคคลผู้ร้องขอข้อมูล สามารถแสดงให้เห็นได้ว่าข้อมูลที่จัดเก็บนั้นไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบัน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้ข้อมูลที่จัดเก็บถูกต้อง สมบูรณ์และเป็นปัจจุบัน

6) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล และบุคคลที่ร้องขอข้อมูลมีความเห็นไม่ตรงกันกรณีความถูกต้อง สมบูรณ์หรือเป็นปัจจุบันของข้อมูล หากบุคคลผู้ร้องขอข้อมูลได้ขอให้องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจัดทำหมายเหตุหรือบันทึกเพื่อให้มีการระบุถึงความไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบันของข้อมูลนั้น องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวต้องดำเนินการตามที่ร้องขอตามขั้นตอนที่เหมาะสม

7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องให้เหตุผลในการปฏิเสธการเข้าถึงข้อมูลตามที่ร้องขอ หรือในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธที่จะดำเนินการแก้ไขข้อมูลตามที่ร้องขอด้วยเหตุผลตามที่มีกฎหมายให้อำนาจไว้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องแจ้งให้บุคคลที่ร้องขอทราบถึงการปฏิเสธดังกล่าวพร้อมทั้งเหตุผล

 

1.7 การปกปิดตัวตน

ในกรณีที่ไม่เป็นการขัดต่อบทบัญญัติแห่งกฎหมายหรือแนวปฏิบัติที่ชอบด้วยกฎหมาย บุคคลย่อมมีสิทธิหรือทางเลือกที่จะไม่เปิดเผยตัวตนหรือแสดงตนเมื่อติดต่อหรือทำธุรกรรมกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

 

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลไปยังประเทศอื่นได้ หาก

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลเชื่อโดยปราศจากข้อสงสัยว่าผู้รับข้อมูลอยู่ภายใต้บังคับของกฎหมาย ข้อตกลงหรือข้อสัญญาซึ่งยึดถือหลักการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางที่กฎหมายกำหนดและมีมาตรฐานในการให้ความคุ้มครองข้อมูลส่วนบุคคลในสาระสำคัญไม่ต่ำกว่าบทบัญญัติแห่งกฎหมายภายในประเทศ

2) บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอมเป็นหนังสือในการส่งข้อมูลนั้น

3) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นกรณีที่จำเป็นต่อการปฏิบัติตามสัญญาระหว่างบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือเป็นเรื่องที่จำเป็นต่อการดำเนินการก่อนทำสัญญาตามคำร้องขอของบุคคลดังกล่าวนั้น

4) การส่งข้อมูลไปยังประเทศอื่นเป็นความจำเป็นต่อการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ของสัญญาระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่สาม เพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล

5) การส่งข้อมูลไปยังประเทศอื่นเป็นไปเพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ก) เป็นการยากในทางปฏิบัติที่จะได้รับความยินยอมของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ข) เป็นที่เชื่อได้ว่าในทางปฏิบัติ บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลจะให้ความยินยอมในการส่งข้อมูลนั้น

6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการเพื่อให้เกิดความแน่ใจว่าข้อมูลที่จัดส่ง จะไม่ถูกเก็บรวบรวม เก็บรักษา ใช้หรือเปิดเผยโดยผู้รับข้อมูลในลักษณะที่ไม่สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวกับบุคคลที่ใช้บังคับอยู่ในประเทศ ในขณะที่มีการส่งข้อมูล

7) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นการกระทำตามบทบัญญัติแห่งกฎหมาย หรือเพื่อการดำเนินคดีนอกราชอาณาจักร

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ  ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนดตามมาตรา 16 (5) เว้นแต่

(1) เป็นการปฏิบัติตามกฎหมาย

(2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย  ทั้งนี้ คำวินิจฉัยของคณะกรรมการอาจขอให้ทบทวนได้เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 6

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม