Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล
1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล
1.4 การรักษาความปลอดภัยของข้อมูล
1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล
1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น
1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องแต่งตั้งบุคคลหนึ่งหรือหลายคนให้มีหน้าที่รับผิดชอบในการพัฒนานโยบายเกี่ยวกับความเป็นส่วนตัวและการรักษาความปลอดภัยของข้อมูล ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้อง และดูแลให้มีการปฏิบัติตามนโยบายอย่างจริงจัง องค์กรควรกำหนดศูนย์ประสานงานเพื่อคอยตอบคำถามและรับเรื่องร้องเรียน และคอยดูแลให้มีการเยียวยาความเสียหายจากการที่ข้อมูลเกี่ยวกับตัวของผู้นั้นถูกนำไปใช้โดยมิชอบ
2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกระทำการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลแล้วก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลหรือแก่บุคคลที่เกี่ยวข้อง องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องรับผิดชดใช้ค่าสินไหมทดแทนเพื่อการนั้นไม่ว่าจะกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม รวมทั้งต้องรับผิดในทางแพ่งสำหรับการกระทำหรือการดำเนินการของพนักงานผู้มีหน้าที่รับผิดชอบในการเก็บรักษาหรือควบคุมดูแลข้อมูลเกี่ยวกับบุคคลในกรณีที่พนักงานนั้นกระทำการหรือดำเนินการโดยฝ่าฝืนบทบัญญัติของกฎหมาย แม้ว่าการกระทำหรือการดำเนินการดังกล่าวจะเป็นการกระทำหรือดำเนินการที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลไม่ทราบหรือไม่ได้ให้การอนุญาตก็ตาม เว้นแต่จะพิสูจน์ได้ว่าการกระทำนั้นเกิดจากเหตุสุดวิสัย หรือเป็นการกระทำตามกฎหมายหรือตามคำสั่งของเจ้าหน้าที่ที่ปฏิบัติหน้าที่ตามกฎหมาย หรือเกิดเพราะการกระทำของเจ้าของข้อมูลเองหรือของบุคคลที่เกี่ยวข้อง
3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องรับผิดในทางแพ่งสำหรับการกระทำหรือการดำเนินการของบุคคลที่สาม ซึ่งดำเนินการในนามขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือในฐานะตัวแทนขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลไม่ว่าโดยชัดแจ้งหรือโดยปริยายด้วย
หมายเหตุ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 ได้กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
(2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
(3) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา 33 วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม
(4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
(5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
หมายเหตุ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม
(7) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑)
ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง โดยอนุโลม
ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
หมายเหตุ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 77 ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย หรือเกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคลนั้นเอง
(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ค่าสินไหมทดแทนตามวรรคหนึ่ง ให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 7
