Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล
1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล
1.4 การรักษาความปลอดภัยของข้อมูล
1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล
1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น
1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
- หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ
องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลควรกำหนดแนวนโยบายที่เกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล และเปิดเผยแนวนโยบายดังกล่าวให้เป็นที่ปรากฏชัดต่อบุคคลที่เกี่ยวข้องกับข้อมูล โดยต้องไม่ถือว่ากระบวนการเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลดังกล่าวเป็นความลับขององค์กร ทั้งนี้เพื่อสร้างความเชื่อมั่นให้กับลูกค้าหรือผู้ใช้บริการ และเพื่อให้องค์กรธุรกิจนั้นๆ เป็นที่ยอมรับทั้งในระดับประเทศและในระดับระหว่างประเทศ การดำเนินการในเชิงนโยบายที่ควรประกาศให้สาธารณชนได้ทราบควรมีหัวข้อที่เป็นมาตรฐานขั้นต่ำดังต่อไปนี้
2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล
ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลจะจัดเก็บรวบรวมข้อมูลดังกล่าวเพียงเท่าที่เกี่ยวข้องและจำเป็นต่อการดำเนินการตามอำนาจหน้าที่หรือวัตถุประสงค์ที่ชอบด้วยกฎหมายขององค์กรธุรกิจหรือหน่วยงานเอกชนนั้นๆ
2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลตามที่กฎหมายให้อำนาจไว้ และจะจัดเก็บด้วยวิธีการที่ถูกต้องและเป็นธรรมกับเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล โดยจะเคารพในสิทธิส่วนบุคคลของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลตามรัฐธรรมนูญ
3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการเก็บรวบรวมข้อมูลถึงการให้ข้อมูลต้องเป็นไปตามความสมัครใจโดยมีรายละเอียดดังต่อไปนี้
(1) ชื่อและสถานที่ติดต่อขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
(3) ประเภทของข้อมูลส่วนบุคคลที่จะเก็บรวบรวม
(4) วิธีการเก็บรวบรวมข้อมูลส่วนบุคคล
(5) ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
(6) เงื่อนไขหรือหลักเกณฑ์ที่เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลสามารถเข้าถึงข้อมูลที่จัดเก็บได้
(7) บุคคล องค์กรหรือหน่วยงานที่ข้อมูลจะพึงเปิดเผยต่อ
(8) กฎหมายที่อนุญาตให้จัดเก็บข้อมูลได้เป็นการเฉพาะ (ถ้ามี)
(9) สิทธิของบุคคลที่เกี่ยวข้องกับข้อมูลในอันที่จะร้องขอเพื่อเข้าถึงข้อมูล ซึ่งรวมถึงสิทธิที่จะขอให้มีการแก้ไขข้อมูลที่เกี่ยวข้องกับตนให้ถูกต้อง
(10) ผลที่อาจจะเกิดขึ้น (ถ้ามี) กับบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล หากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไม่ให้ข้อมูลทั้งหมดหรือบางส่วน
4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลจากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลโดยตรง
5) ในกรณีองค์กรธุรกิจหรือหน่วยงานเอกชนจัดเก็บข้อมูลจากบุคคลที่สามหรือจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง จะต้องเป็นข้อมูลที่จัดเก็บจากแหล่งข้อมูลที่เชื่อถือได้ และองค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะต้องแจ้งให้เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลทราบ และจะต้องขอความยินยอมจากเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลก่อนจัดเก็บ
6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องไม่จัดเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับข้อมูลที่มีลักษณะอ่อนไหวต่อความรู้สึกของบุคคล เช่น ข้อมูลที่แสดงให้เห็นถึง ชาติพันธุ์ ลัทธิความเชื่อ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ความเชื่อส่วนบุคคล รายละเอียดเกี่ยวกับสุขภาพ ทัศนะคติเกี่ยวกับเพศ และอื่นๆ ตามที่กฎหมายกำหนด เว้นแต่
(1) บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอม หรือ
(2) เป็นการเก็บข้อมูลตามกฎหมายหรือได้รับการอนุญาตโดยผลของกฎหมาย หรือ
(3) เป็นการเก็บรวบรวมข้อมูลที่จำเป็นต่อการป้องกันภยันตรายที่กำลังจะเกิดขึ้นหรือเกิดต่อชีวิต ร่างกายหรือสุขภาพของบุคคล และบุคคลนั้นไม่สามารถที่จะให้ความยินยอมได้ หรือ
(4) การเก็บรวบรวมนั้นเป็นการดำเนินการที่จำเป็นต่อการสู้คดีในกรณีที่มีการฟ้องเรียกร้องค่าเสียหายจากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือ
(5) การเก็บรวบรวมข้อมูลนั้นจำเป็นสำหรับวัตถุประสงค์เชิงป้องกันในทางการแพทย์ หรือการตรวจสอบทางการแพทย์ หรือ
(6) เป็นการเก็บรวบรวมตามบทบัญญัติแห่งกฎหมาย หรือกฎที่ออกโดยองค์กรวิชาชีพซึ่งองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องรักษาความลับตามจรรยาบรรณแห่งวิชาชีพนั้นๆ
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 8