Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล
1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล
1.4 การรักษาความปลอดภัยของข้อมูล
1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล
1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น
1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล
2.2 แนวนโยบายเกี่ยวกับการใช้และการเปิดเผยข้อมูลส่วนบุคคล
2.3 แนวนโยบายเกี่ยวกับการเก็บรักษา การแก้ไขและการโอนข้อมูลส่วนบุคคล
2.4 แนวนโยบายเกี่ยวกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล
ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะเปิดโอกาสให้บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลเข้าตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน ขอสำเนาหรือขอสำเนารับรองความถูกต้องของข้อมูลดังกล่าว ขอแก้ไขหรือเปลี่ยนแปลงหรือให้ระงับการใช้หรือระงับการเปิดเผยข้อมูลหรือให้ลบหรือทำลายข้อมูลส่วนที่พ้นระยะเวลาการเก็บรวบรวมหรือที่ไม่เกี่ยวข้องหรือเกินกว่าความจำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมนั้นได้ เมื่อมีการร้องขอ เว้นแต่
(1) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภัยที่เป็นการคุกคามอย่างร้ายแรงต่อชีวิตร่างกายหรือสุขภาพของบุคคล
(2) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดผลกระทบต่อสิทธิส่วนบุคคลของบุคคลอื่นโดยไม่สมควร
(3) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภาระอันเกินสมควรแก่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
(4) การร้องขอเพื่อเข้าถึงข้อมูลเป็นการร้องขอที่ไม่จริงจังหรือไม่มีเจตนาที่ต้องการเข้าถึงข้อมูลซึ่งเป็นที่เห็นได้ชัดเจน
(5) การอนุญาตให้มีการเข้าถึงจะก่อให้เกิดความเสียหายต่อการสืบสวนสอบสวนที่เกี่ยวกับการกระทำที่มิชอบด้วยกฎหมาย
(6) การอนุญาตให้เข้าถึงเป็นการอันต้องห้ามโดยกฎหมาย
(7) มีกฎหมายห้ามมิให้มีการเข้าถึงข้อมูลดังกล่าวไว้เป็นการเฉพาะ
(8) ข้อมูลที่ขอเข้าถึงเป็นข้อมูลที่เกี่ยวข้องกับข้อโต้แย้งทางกฎหมายที่เกี่ยวข้องกับกระบวนการไกล่เกลี่ยข้อพิพาท ระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่ร้องขอ และข้อมูลดังกล่าวเป็นข้อมูลซึ่งไม่สามารถเข้าถึงหรือเปิดเผยได้โดยกระบวนการไกล่เกลี่ยข้อพิพาทนั้น
(9) การอนุญาตให้เข้าถึงจะเป็นการเปิดเผยถึงแนวทางการเจรจาต่อรองขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลผู้ร้องขอ ซึ่งหากมีการเปิดเผยจะทำให้เกิดความเสียหายต่อการเจรจาต่อรองนั้น
(10) หน่วยงานทางด้านความมั่นคง หน่วยงานที่เกี่ยวข้องกับราชการลับหรือหน่วยงานที่เกี่ยวข้องกับการบังคับใช้กฎหมายสั่งห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนอนุญาตให้มีการเข้าถึงข้อมูลดังกล่าว เนื่องจากเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ
2) ถ้าการอนุญาตให้เข้าถึงข้อมูลจะเป็นการเปิดเผยถึงข้อมูลที่เกี่ยวข้องกับกระบวนการตัดสินใจทางการค้าขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวอาจใช้วิธีการอธิบายถึงกระบวนการตัดสินใจแทนการอนุญาตให้เข้าถึงข้อมูลนั้นได้
3) ถ้าการเข้าถึงข้อมูลเป็นสิ่งที่ไม่สามารถปฏิบัติได้อย่างสมเหตุสมผล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลและบุคคลผู้ร้องขออาจตกลงที่จะพิจารณาว่าการดำเนินการแทนโดยคนกลาง จะเป็นการเข้าถึงที่เพียงพอต่อความต้องการของทั้งสองฝ่ายหรือไม่
4) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกำหนดค่าใช้จ่ายในการอนุญาตให้เข้าถึงข้อมูล ค่าใช้จ่ายนั้น
(1) ต้องไม่สูงจนเกินไป และ
(2) ต้องไม่ใช้กับคำขอเข้าถึงข้อมูล
5) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือบุคคลผู้ร้องขอข้อมูล สามารถแสดงให้เห็นได้ว่าข้อมูลที่จัดเก็บนั้นไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบัน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้ข้อมูลที่จัดเก็บถูกต้อง สมบูรณ์และเป็นปัจจุบัน
6) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล และบุคคลที่ร้องขอข้อมูลมีความเห็นไม่ตรงกันกรณีความถูกต้อง สมบูรณ์หรือเป็นปัจจุบันของข้อมูล หากบุคคลผู้ร้องขอข้อมูลได้ขอให้องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจัดทำหมายเหตุหรือบันทึกเพื่อให้มีการระบุถึงความไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบันของข้อมูลนั้น องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะดำเนินการตามที่ร้องขอตามขั้นตอนที่เหมาะสม
7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องให้เหตุผลในการปฏิเสธการเข้าถึงข้อมูลตามที่ร้องขอ หรือในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธที่จะดำเนินการแก้ไขข้อมูลตามที่ร้องขอด้วยเหตุผลตามที่มีกฎหมายให้อำนาจไว้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องแจ้งให้บุคคลที่ร้องขอทราบถึงการปฏิเสธดังกล่าวพร้อมทั้งเหตุผล8) ในกรณีที่ไม่เป็นการขัดต่อบทบัญญัติแห่งกฎหมายหรือแนวปฏิบัติที่ชอบด้วยกฎหมาย บุคคลย่อมมีสิทธิหรือทางเลือกที่จะไม่เปิดเผยตัวตนหรือแสดงตนเมื่อติดต่อหรือทำธุรกรรมกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
หมายเหตุ ในส่วนของการคุ้มครองสิทธิของเจ้าของข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32 ได้กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
(1) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 (4) หรือ (5) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
(ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
(ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
(3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (1) (ก) หรือ (ข) หรือ (3) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39
หมายเหตุ นอกจากตามที่กำหนดไว้ในมาตรา 32 แล้วพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา มาตรา 33 ยังกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
(1) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
(3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอตามมาตรา 32 (1) (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
(4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
ความในวรรคหนึ่งมิให้นำมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา 24 (1) หรือ (4) หรือ มาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะและผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคำตอบในการดำเนินการให้เป็นไปตามคำขอ
กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่งหรือวรรคสาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้
คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 10