PDPA Thailand

334

PDPA Thailand
PDPA Thailand
บริหาร ข้อมูลส่วนบุคคล เธียรชัย

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

 

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องแต่งตั้งบุคคลหนึ่งหรือหลายคนให้มีหน้าที่รับผิดชอบในการพัฒนานโยบายเกี่ยวกับความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูล ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้อง และดูแลให้มีการปฏิบัติตามนโยบายอย่างจริงจัง องค์กรควรกำหนดศูนย์ประสานงานเพื่อคอยตอบคำถามและรับเรื่องร้องเรียน และคอยดูแลให้มีการเยียวยาความเสียหายจากการที่ข้อมูลเกี่ยวกับตัวของผู้นั้นถูกนำไปใช้โดยมิชอบ

2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกระทำการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลแล้วก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลหรือแก่บุคคลที่เกี่ยวข้อง องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องรับผิดชดใช้ค่าสินไหมทดแทนเพื่อการนั้นไม่ว่าจะกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม รวมทั้งต้องรับผิดในทางแพ่งสำหรับการกระทำหรือการดำเนินการของพนักงานผู้มีหน้าที่รับผิดชอบในการเก็บรักษาหรือควบคุมดูแลข้อมูลเกี่ยวกับบุคคลในกรณีที่พนักงานนั้นกระทำการหรือดำเนินการโดยฝ่าฝืนบทบัญญัติของกฎหมาย แม้ว่าการกระทำหรือการดำเนินการดังกล่าวจะเป็นการกระทำหรือดำเนินการที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลไม่ทราบหรือไม่ได้ให้การอนุญาตก็ตาม เว้นแต่จะพิสูจน์ได้ว่าการกระทำนั้นเกิดจากเหตุสุดวิสัย หรือเป็นการกระทำตามกฎหมายหรือตามคำสั่งของเจ้าหน้าที่ที่ปฏิบัติหน้าที่ตามกฎหมาย หรือเกิดเพราะการกระทำของเจ้าของข้อมูลเองหรือของบุคคลที่เกี่ยวข้อง

3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องรับผิดในทางแพ่งสำหรับการกระทำหรือการดำเนินการของบุคคลที่สาม ซึ่งดำเนินการในนามขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือในฐานะตัวแทนขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลไม่ว่าโดยชัดแจ้งหรือโดยปริยายด้วย

 

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 37 ได้กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

(2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

(3) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย  ทั้งนี้ ให้นำความในมาตรา 33 วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม

(4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

(5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

 

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 39 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล

(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม

(7) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง

(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑)

ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง โดยอนุโลม

ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

 

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 77 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า

(1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง

(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย

ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 7

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม