PDPA Thailand

518

PDPA Thailand
PDPA Thailand
บริหาร ข้อมูลส่วนบุคคล เธียรชัย

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

 

  1. หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ

องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลควรกำหนดแนวนโยบายที่เกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล และเปิดเผยแนวนโยบายดังกล่าวให้เป็นที่ปรากฏชัดต่อบุคคลที่เกี่ยวข้องกับข้อมูล โดยต้องไม่ถือว่ากระบวนการเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลดังกล่าวเป็นความลับขององค์กร ทั้งนี้เพื่อสร้างความเชื่อมั่นให้กับลูกค้าหรือผู้ใช้บริการ และเพื่อให้องค์กรธุรกิจนั้นๆ เป็นที่ยอมรับทั้งในระดับประเทศและในระดับระหว่างประเทศ การดำเนินการในเชิงนโยบายที่ควรประกาศให้สาธารณชนได้ทราบควรมีหัวข้อที่เป็นมาตรฐานขั้นต่ำดังต่อไปนี้

 

2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล

ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลจะจัดเก็บรวบรวมข้อมูลดังกล่าวเพียงเท่าที่เกี่ยวข้องและจำเป็นต่อการดำเนินการตามอำนาจหน้าที่หรือวัตถุประสงค์ที่ชอบด้วยกฎหมายขององค์กรธุรกิจหรือหน่วยงานเอกชนนั้นๆ

2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลตามที่กฎหมายให้อำนาจไว้ และจะจัดเก็บด้วยวิธีการที่ถูกต้องและเป็นธรรมกับเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล โดยจะเคารพในสิทธิส่วนบุคคลของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลตามรัฐธรรมนูญ

3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการเก็บรวบรวมข้อมูลถึงการให้ข้อมูลต้องเป็นไปตามความสมัครใจโดยมีรายละเอียดดังต่อไปนี้

(1) ชื่อและสถานที่ติดต่อขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล

(3) ประเภทของข้อมูลส่วนบุคคลที่จะเก็บรวบรวม

(4) วิธีการเก็บรวบรวมข้อมูลส่วนบุคคล

(5) ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

(6) เงื่อนไขหรือหลักเกณฑ์ที่เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลสามารถเข้าถึงข้อมูลที่จัดเก็บได้

(7) บุคคล องค์กรหรือหน่วยงานที่ข้อมูลจะพึงเปิดเผยต่อ

(8) กฎหมายที่อนุญาตให้จัดเก็บข้อมูลได้เป็นการเฉพาะ (ถ้ามี)

(9) สิทธิของบุคคลที่เกี่ยวข้องกับข้อมูลในอันที่จะร้องขอเพื่อเข้าถึงข้อมูล ซึ่งรวมถึงสิทธิที่จะขอให้มีการแก้ไขข้อมูลที่เกี่ยวข้องกับตนให้ถูกต้อง

(10) ผลที่อาจจะเกิดขึ้น (ถ้ามี) กับบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล หากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไม่ให้ข้อมูลทั้งหมดหรือบางส่วน

4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลจากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลโดยตรง

5) ในกรณีองค์กรธุรกิจหรือหน่วยงานเอกชนจัดเก็บข้อมูลจากบุคคลที่สามหรือจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง จะต้องเป็นข้อมูลที่จัดเก็บจากแหล่งข้อมูลที่เชื่อถือได้ และองค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะต้องแจ้งให้เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลทราบ และจะต้องขอความยินยอมจากเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลก่อนจัดเก็บ

6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องไม่จัดเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับข้อมูลที่มีลักษณะอ่อนไหวต่อความรู้สึกของบุคคล เช่น ข้อมูลที่แสดงให้เห็นถึง ชาติพันธุ์ ลัทธิความเชื่อ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ความเชื่อส่วนบุคคล รายละเอียดเกี่ยวกับสุขภาพ ทัศนะคติเกี่ยวกับเพศ และอื่นๆ ตามที่กฎหมายกำหนด เว้นแต่

(1) บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอม หรือ

(2) เป็นการเก็บข้อมูลตามกฎหมายหรือได้รับการอนุญาตโดยผลของกฎหมาย หรือ

(3) เป็นการเก็บรวบรวมข้อมูลที่จำเป็นต่อการป้องกันภยันตรายที่กำลังจะเกิดขึ้นหรือเกิดต่อชีวิต ร่างกายหรือสุขภาพของบุคคล และบุคคลนั้นไม่สามารถที่จะให้ความยินยอมได้ หรือ

(4) การเก็บรวบรวมนั้นเป็นการดำเนินการที่จำเป็นต่อการสู้คดีในกรณีที่มีการฟ้องเรียกร้องค่าเสียหายจากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือ

(5) การเก็บรวบรวมข้อมูลนั้นจำเป็นสำหรับวัตถุประสงค์เชิงป้องกันในทางการแพทย์ หรือการตรวจสอบทางการแพทย์ หรือ

(6) เป็นการเก็บรวบรวมตามบทบัญญัติแห่งกฎหมาย หรือกฎที่ออกโดยองค์กรวิชาชีพซึ่งองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องรักษาความลับตามจรรยาบรรณแห่งวิชาชีพนั้นๆ

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 8

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม