Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเปิดโอกาสให้บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลเข้าตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน ขอสำเนาหรือขอสำเนารับรองความถูกต้องของข้อมูลดังกล่าว ขอแก้ไขหรือเปลี่ยนแปลงหรือให้ระงับการใช้หรือระงับการเปิดเผยข้อมูลหรือให้ลบหรือทำลายข้อมูลส่วนที่พ้นระยะเวลาการเก็บรวบรวมหรือที่ไม่เกี่ยวข้องหรือเกินกว่าความจำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมนั้นได้ เมื่อมีการร้องขอ เว้นแต่

(1) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภัยที่เป็นการคุกคามอย่างร้ายแรงต่อชีวิตร่างกายหรือสุขภาพของบุคคล

(2) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดผลกระทบต่อสิทธิส่วนบุคคลของบุคคลอื่นโดยไม่สมควร

(3) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภาระอันเกินสมควรแก่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

(4) การร้องขอเพื่อเข้าถึงข้อมูลเป็นการร้องขอที่ไม่จริงจังหรือไม่มีเจตนาที่ต้องการเข้าถึงข้อมูลซึ่งเป็นที่เห็นได้ชัดเจน

(5) การอนุญาตให้มีการเข้าถึงจะก่อให้เกิดความเสียหายต่อการสืบสวนสอบสวนที่เกี่ยวกับการกระทำที่มิชอบด้วยกฎหมาย

(6) การอนุญาตให้เข้าถึงเป็นการอันต้องห้ามโดยกฎหมาย

(7) มีกฎหมายห้ามมิให้มีการเข้าถึงข้อมูลดังกล่าวไว้เป็นการเฉพาะ

(8) ข้อมูลที่ขอเข้าถึงเป็นข้อมูลที่เกี่ยวข้องกับข้อโต้แย้งทางกฎหมายที่เกี่ยวข้องกับกระบวนการไกล่เกลี่ยข้อพิพาท ระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่ร้องขอ และข้อมูลดังกล่าวเป็นข้อมูลซึ่งไม่สามารถเข้าถึงหรือเปิดเผยได้โดยกระบวนการไกล่เกลี่ยข้อพิพาทนั้น

(9) การอนุญาตให้เข้าถึงจะเป็นการเปิดเผยถึงแนวทางการเจรจาต่อรองขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลผู้ร้องขอ ซึ่งหากมีการเปิดเผยจะทำให้เกิดความเสียหายต่อการเจรจาต่อรองนั้น

(10) หน่วยงานทางด้านความมั่นคง หน่วยงานที่เกี่ยวข้องกับราชการลับหรือหน่วยงานที่เกี่ยวข้องกับการบังคับใช้กฎหมายสั่งห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอนุญาตให้มีการเข้าถึงข้อมูลดังกล่าว เนื่องจากเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ

2) ถ้าการอนุญาตให้เข้าถึงข้อมูลจะเป็นการเปิดเผยถึงข้อมูลที่เกี่ยวข้องกับกระบวนการตัดสินใจทางการค้าขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวอาจใช้วิธีการอธิบายถึงกระบวนการตัดสินใจแทนการอนุญาตให้เข้าถึงข้อมูลนั้นได้

3) ถ้าการเข้าถึงข้อมูลเป็นสิ่งที่ไม่สามารถปฏิบัติได้อย่างสมเหตุสมผล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลและบุคคลผู้ร้องขออาจตกลงที่จะพิจารณาว่าการดำเนินการแทนโดยคนกลาง จะเป็นการเข้าถึงที่เพียงพอต่อความต้องการของทั้งสองฝ่ายหรือไม่

4) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกำหนดค่าใช้จ่ายในการอนุญาตให้เข้าถึงข้อมูล ค่าใช้จ่ายนั้น

(1) ต้องไม่สูงจนเกินไป และ

(2) ต้องไม่ใช้กับคำขอเข้าถึงข้อมูล

5) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือบุคคลผู้ร้องขอข้อมูล สามารถแสดงให้เห็นได้ว่าข้อมูลที่จัดเก็บนั้นไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบัน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้ข้อมูลที่จัดเก็บถูกต้อง สมบูรณ์และเป็นปัจจุบัน

6) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล และบุคคลที่ร้องขอข้อมูลมีความเห็นไม่ตรงกันกรณีความถูกต้อง สมบูรณ์หรือเป็นปัจจุบันของข้อมูล หากบุคคลผู้ร้องขอข้อมูลได้ขอให้องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจัดทำหมายเหตุหรือบันทึกเพื่อให้มีการระบุถึงความไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบันของข้อมูลนั้น องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวต้องดำเนินการตามที่ร้องขอตามขั้นตอนที่เหมาะสม

7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องให้เหตุผลในการปฏิเสธการเข้าถึงข้อมูลตามที่ร้องขอ หรือในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธที่จะดำเนินการแก้ไขข้อมูลตามที่ร้องขอด้วยเหตุผลตามที่มีกฎหมายให้อำนาจไว้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องแจ้งให้บุคคลที่ร้องขอทราบถึงการปฏิเสธดังกล่าวพร้อมทั้งเหตุผล

1.7 การปกปิดตัวตน

ในกรณีที่ไม่เป็นการขัดต่อบทบัญญัติแห่งกฎหมายหรือแนวปฏิบัติที่ชอบด้วยกฎหมาย บุคคลย่อมมีสิทธิหรือทางเลือกที่จะไม่เปิดเผยตัวตนหรือแสดงตนเมื่อติดต่อหรือทำธุรกรรมกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลไปยังประเทศอื่นได้ หาก

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลเชื่อโดยปราศจากข้อสงสัยว่าผู้รับข้อมูลอยู่ภายใต้บังคับของกฎหมาย ข้อตกลงหรือข้อสัญญาซึ่งยึดถือหลักการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางที่กฎหมายกำหนดและมีมาตรฐานในการให้ความคุ้มครองข้อมูลส่วนบุคคลในสาระสำคัญไม่ต่ำกว่าบทบัญญัติแห่งกฎหมายภายในประเทศ

2) บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอมเป็นหนังสือในการส่งข้อมูลนั้น

3) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นกรณีที่จำเป็นต่อการปฏิบัติตามสัญญาระหว่างบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือเป็นเรื่องที่จำเป็นต่อการดำเนินการก่อนทำสัญญาตามคำร้องขอของบุคคลดังกล่าวนั้น

4) การส่งข้อมูลไปยังประเทศอื่นเป็นความจำเป็นต่อการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ของสัญญาระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่สาม เพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล

5) การส่งข้อมูลไปยังประเทศอื่นเป็นไปเพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ก) เป็นการยากในทางปฏิบัติที่จะได้รับความยินยอมของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ข) เป็นที่เชื่อได้ว่าในทางปฏิบัติ บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลจะให้ความยินยอมในการส่งข้อมูลนั้น

6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการเพื่อให้เกิดความแน่ใจว่าข้อมูลที่จัดส่ง จะไม่ถูกเก็บรวบรวม เก็บรักษา ใช้หรือเปิดเผยโดยผู้รับข้อมูลในลักษณะที่ไม่สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวกับบุคคลที่ใช้บังคับอยู่ในประเทศ ในขณะที่มีการส่งข้อมูล

7) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นการกระทำตามบทบัญญัติแห่งกฎหมาย หรือเพื่อการดำเนินคดีนอกราชอาณาจักร

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ  ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนดตามมาตรา 16 (5) เว้นแต่

(1) เป็นการปฏิบัติตามกฎหมาย

(2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย  ทั้งนี้ คำวินิจฉัยของคณะกรรมการอาจขอให้ทบทวนได้เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 6