Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 7: นโยบายเกี่ยวกับการเก็บรวบรวม รักษา และประมวลผลข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : natthorn.su

หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 7: นโยบายเกี่ยวกับการเก็บรวบรวม รักษา และประมวลผลข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : natthorn.su

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

 

  1. หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ

องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลควรกำหนดแนวนโยบายที่เกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล และเปิดเผยแนวนโยบายดังกล่าวให้เป็นที่ปรากฏชัดต่อบุคคลที่เกี่ยวข้องกับข้อมูล โดยต้องไม่ถือว่ากระบวนการเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคลดังกล่าวเป็นความลับขององค์กร ทั้งนี้เพื่อสร้างความเชื่อมั่นให้กับลูกค้าหรือผู้ใช้บริการ และเพื่อให้องค์กรธุรกิจนั้นๆ เป็นที่ยอมรับทั้งในระดับประเทศและในระดับระหว่างประเทศ การดำเนินการในเชิงนโยบายที่ควรประกาศให้สาธารณชนได้ทราบควรมีหัวข้อที่เป็นมาตรฐานขั้นต่ำดังต่อไปนี้

 

2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล

ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลจะจัดเก็บรวบรวมข้อมูลดังกล่าวเพียงเท่าที่เกี่ยวข้องและจำเป็นต่อการดำเนินการตามอำนาจหน้าที่หรือวัตถุประสงค์ที่ชอบด้วยกฎหมายขององค์กรธุรกิจหรือหน่วยงานเอกชนนั้นๆ

2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลตามที่กฎหมายให้อำนาจไว้ และจะจัดเก็บด้วยวิธีการที่ถูกต้องและเป็นธรรมกับเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล โดยจะเคารพในสิทธิส่วนบุคคลของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลตามรัฐธรรมนูญ

3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่จะดำเนินการเก็บรวบรวมข้อมูลถึงการให้ข้อมูลต้องเป็นไปตามความสมัครใจโดยมีรายละเอียดดังต่อไปนี้

(1) ชื่อและสถานที่ติดต่อขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล

(3) ประเภทของข้อมูลส่วนบุคคลที่จะเก็บรวบรวม

(4) วิธีการเก็บรวบรวมข้อมูลส่วนบุคคล

(5) ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

(6) เงื่อนไขหรือหลักเกณฑ์ที่เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลสามารถเข้าถึงข้อมูลที่จัดเก็บได้

(7) บุคคล องค์กรหรือหน่วยงานที่ข้อมูลจะพึงเปิดเผยต่อ

(8) กฎหมายที่อนุญาตให้จัดเก็บข้อมูลได้เป็นการเฉพาะ (ถ้ามี)

(9) สิทธิของบุคคลที่เกี่ยวข้องกับข้อมูลในอันที่จะร้องขอเพื่อเข้าถึงข้อมูล ซึ่งรวมถึงสิทธิที่จะขอให้มีการแก้ไขข้อมูลที่เกี่ยวข้องกับตนให้ถูกต้อง

(10) ผลที่อาจจะเกิดขึ้น (ถ้ามี) กับบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล หากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไม่ให้ข้อมูลทั้งหมดหรือบางส่วน

4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บข้อมูลจากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลโดยตรง

5) ในกรณีองค์กรธุรกิจหรือหน่วยงานเอกชนจัดเก็บข้อมูลจากบุคคลที่สามหรือจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง จะต้องเป็นข้อมูลที่จัดเก็บจากแหล่งข้อมูลที่เชื่อถือได้ และองค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะต้องแจ้งให้เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลทราบ และจะต้องขอความยินยอมจากเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลก่อนจัดเก็บ

6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องไม่จัดเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับข้อมูลที่มีลักษณะอ่อนไหวต่อความรู้สึกของบุคคล เช่น ข้อมูลที่แสดงให้เห็นถึง ชาติพันธุ์ ลัทธิความเชื่อ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ความเชื่อส่วนบุคคล รายละเอียดเกี่ยวกับสุขภาพ ทัศนะคติเกี่ยวกับเพศ และอื่นๆ ตามที่กฎหมายกำหนด เว้นแต่

(1) บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอม หรือ

(2) เป็นการเก็บข้อมูลตามกฎหมายหรือได้รับการอนุญาตโดยผลของกฎหมาย หรือ

(3) เป็นการเก็บรวบรวมข้อมูลที่จำเป็นต่อการป้องกันภยันตรายที่กำลังจะเกิดขึ้นหรือเกิดต่อชีวิต ร่างกายหรือสุขภาพของบุคคล และบุคคลนั้นไม่สามารถที่จะให้ความยินยอมได้ หรือ

(4) การเก็บรวบรวมนั้นเป็นการดำเนินการที่จำเป็นต่อการสู้คดีในกรณีที่มีการฟ้องเรียกร้องค่าเสียหายจากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือ

(5) การเก็บรวบรวมข้อมูลนั้นจำเป็นสำหรับวัตถุประสงค์เชิงป้องกันในทางการแพทย์ หรือการตรวจสอบทางการแพทย์ หรือ

(6) เป็นการเก็บรวบรวมตามบทบัญญัติแห่งกฎหมาย หรือกฎที่ออกโดยองค์กรวิชาชีพซึ่งองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องรักษาความลับตามจรรยาบรรณแห่งวิชาชีพนั้นๆ

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 8

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ