Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล
1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล
1.4 การรักษาความปลอดภัยของข้อมูล
1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล
1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น
1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล
2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล
2.2 แนวนโยบายเกี่ยวกับการใช้และการเปิดเผยข้อมูลส่วนบุคคล
ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลจะใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพียงเท่าที่เป็นไปตามวัตถุประสงค์ของการจัดเก็บ
2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนต้องการใช้หรือเปิดเผยข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการจัดเก็บเดิม องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่
(1) วัตถุประสงค์ในการใช้หรือเปิดเผยเป็นวัตถุประสงค์ที่เกี่ยวเนื่องหรือมีความสัมพันธ์กับวัตถุประสงค์ของการจัดเก็บเดิม และบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลสามารถที่จะคาดการณ์ได้อย่างมีเหตุมีผลว่าองค์กรธุรกิจหรือหน่วยงานเอกชนนั้นจะใช้หรือเปิดเผยข้อมูลตามวัตถุประสงค์อื่นที่เกี่ยวเนื่องกับวัตถุประสงค์ที่จัดเก็บข้อมูลเดิม
(2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนได้ใช้ข้อมูลเพื่อประโยชน์เกี่ยวกับการตลาดแบบตรง ซึ่งในทางปฏิบัติเป็นการยากที่องค์กรธุรกิจหรือหน่วยงานเอกชนจะขอคำยินยอมจากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลก่อนการใช้หรือเปิดเผยข้อมูลนั้น อย่างไรก็ตาม ในทันที่ที่ผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลร้องขอปฏิเสธที่จะรับการติดต่อสำหรับการตลาดแบบตรงอีกต่อไป องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นจะต้องยุติการใช้หรือเปิดเผยข้อมูลดังกล่าว
(3) องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นมีเหตุผลอันสมควรเชื่อได้ว่าการใช้หรือเปิดเผยข้อมูลเป็นกรณีที่จำเป็นต่อการป้องกันภยันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลและภยันตรายนั้นเป็นภยันตรายที่ใกล้จะถึง
(4) องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นมีเหตุผลอันควรเชื่อได้ว่ามีการกระทำที่ไม่ชอบด้วยกฎหมายหรือมีการกระทำซึ่งกำลังเกิดขึ้นและเป็นการกระทำที่เกี่ยวข้องกับการกระทำที่ไม่ชอบด้วยกฎหมาย ซึ่งการใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับบุคคลดังกล่าวเป็นกรณีจำเป็นสำหรับการสืบสวนสอบสวน หรือการใช้หรือเปิดเผยดังกล่าวเป็นส่วนหนึ่งของการจัดทำรายงานที่ต้องจัดทำขึ้นเพื่อประโยชน์ของบุคคลที่เกี่ยวข้องหรือเจ้าหน้าที่ผู้รับผิดชอบที่เกี่ยวข้องกับเรื่องดังกล่าว
(5) เป็นการใช้หรือเปิดเผยข้อมูลตามที่กฎหมายกำหนด หรือเป็นการใช้หรือเปิดเผยต่อผู้มีอำนาจตามกฎหมาย
(6) เป็นการใช้หรือเปิดเผยอย่างสมเหตุสมผลและจำเป็นต่อการบังคับใช้กฎหมายที่มีโทษทางอาญา หรือกฎหมายที่เกี่ยวข้องกับการจัดเก็บภาษีอากรของรัฐ
(7) เป็นการใช้หรือเปิดเผยตามที่องค์กรหรือหน่วยงานด้านความมั่นคงร้องขอด้วยเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ
3) หากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องเปิดเผยข้อมูลส่วนบุคคลก่อนได้รับความยินยอมจากเจ้าของข้อมูลด้วยเหตุดังกล่าวใน 2) ข้างต้น องค์กรธุรกิจหรือหน่วยงานเอกชนจะเปิดเผยข้อมูลเฉพาะที่เกี่ยวข้องกับเจ้าของข้อมูลนั้นโดยตรงเท่านั้น และจะทำเท่าที่จำเป็น และเมื่อเปิดเผยข้อมูลใดแล้วจะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ส่วนผู้ซึ่งได้รับข้อมูลส่วนบุคคลดังกล่าวจะต้องไม่ใช้หรือเปิดเผยข้อมูลนั้นเพื่อวัตถุประสงค์อย่างอื่นนอกเหนือจากที่ได้แจ้งความประสงค์ไว้แล้ว
4) ในกรณีที่เอกสารฉบับหนึ่งฉบับใดมีข้อมูลเกี่ยวกับบุคคลของบุคคลตั้งแต่สองคนขึ้นไป ห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธการเข้าถึงข้อมูลดังกล่าว หากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลสามารถที่จะปกปิดข้อมูลของบุคคลอื่นที่ไม่เกี่ยวข้องกับบุคคลผู้ขอข้อมูลได้ โดยการปิดบังชื่อ นามสกุล เลขประจำตัวประชาชน หรือสัญลักษณ์อื่นใดที่สามารถระบุตัวบุคคลอื่นนั้นได้
2.3 แนวนโยบายเกี่ยวกับการเก็บรักษา การแก้ไขและการโอนข้อมูลส่วนบุคคล
ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้
1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บรักษาข้อมูลไว้เพียงเท่าที่จำเป็นแก่การทำให้บรรลุวัตถุประสงค์ตามที่ได้แจ้งต่อเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไว้แล้ว เว้นแต่บุคคลที่เกี่ยวข้องกับข้อมูลหรือบุคคลผู้เป็นเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้งว่าให้เก็บรักษาข้อมูลนั้นเกินกว่าระยะเวลาตามที่กำหนดไว้ในนโยบายดังกล่าว หรือเว้นแต่มีเหตุจำเป็นที่กำหนดหน้าที่ให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด หรือมีเหตุจำเป็นอื่นใดที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด และองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะลบหรือทำลายข้อมูลดังกล่าวเมื่อพ้นระยะเวลาที่กำหนดหรือหมดความจำเป็นในการเก็บรวบรวมหรือเจ้าของข้อมูลเพิกถอนความยินยอม ทั้งนี้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องดำเนินการด้วยความระมัดระวังและรอบคอบเพื่อให้เกิดความแน่ใจว่าได้มีการลบหรือทำลายข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล หรือทำให้ข้อมูลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวตนของบุคคลได้อย่างถาวร
2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้เกิดความแน่ใจว่าข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับบุคคลที่จัดเก็บ ใช้หรือเปิดเผย เป็นข้อมูลที่มีความถูกต้อง ครบถ้วนสมบูรณ์และเป็นปัจจุบัน สัมพันธ์กับวัตถุประสงค์ของการจัดเก็บ และไม่นอกเหนือวัตถุประสงค์ที่กำหนด
3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อป้องกันมิให้มีการเข้าถึงข้อมูลโดยไม่มีอำนาจหรือไม่ได้รับอนุญาต หรือป้องกันมิให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยไม่ชอบ รวมทั้งจะดำเนินการป้องกันมิให้ข้อมูลเกิดการสูญหาย ใช้หรือเปิดเผยข้อมูลโดยมิชอบ
4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะคุ้มครองรักษาข้อมูลส่วนบุคคลตลอดเวลาด้วยเทคนิคและการวางระบบรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลสูญหาย หรือมิให้ผู้ใดนำไปใช้ในทางที่ผิดหรือโดยไม่สมควร หรือทำลายหรือเปลี่ยนแปลงแก้ไขข้อมูล หรือเพื่อป้องกันมิให้ผู้ที่ไม่ได้รับอนุญาต เข้าถึงข้อมูลหรือเปิดเผยข้อมูล
5) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลให้แก่บุคคลอื่นได้ หากเจ้าของข้อมูลให้ความยินยอม เว้นแต่กรณีจำเป็นเร่งด่วนเกี่ยวกับประโยชน์ของส่วนรวม หรือกรณีที่อาจก่อให้เกิดความเสียหายแก่ชีวิต ร่างกายหรืออนามัยของบุคคล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปก่อนได้ แต่จะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า
6) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลได้ว่าจ้างหรือมอบหมายให้บุคคลที่สามเป็นผู้ดำเนินการเกี่ยวกับระบบการบริหารงานบุคคลขององค์กรไม่ว่าทั้งหมดหรือบางส่วน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้เกิดความแน่ใจว่าบุคคลที่สามซึ่งได้รับมอบหมายให้ดำเนินการดังกล่าว ได้ตระหนักถึงความจำเป็นที่ต้องปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคลไปยังประเทศอื่นได้ หาก
(1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลเชื่อโดยปราศจากข้อสงสัยว่าผู้รับข้อมูลอยู่ภายใต้บังคับของกฎหมาย ข้อตกลงหรือข้อสัญญาซึ่งยึดถือหลักการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางที่กฎหมายกำหนดและมีมาตรฐานในการให้ความคุ้มครองข้อมูลส่วนบุคคลในสาระสำคัญไม่ต่ำกว่าบทบัญญัติแห่งกฎหมายภายในประเทศ
(2) บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอมในการส่งข้อมูลนั้น
(3) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นกรณีที่จำเป็นต่อการปฏิบัติตามสัญญาระหว่างบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือเป็นเรื่องที่จำเป็นต่อการดำเนินการก่อนทำสัญญาตามคำร้องขอของบุคคลดังกล่าวนั้น
(4) การส่งข้อมูลไปยังประเทศอื่นเป็นความจำเป็นต่อการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ของสัญญาระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่สาม เพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล
(5) การส่งข้อมูลไปยังประเทศอื่นเป็นไปเพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ
(ก) เป็นการยากในทางปฏิบัติที่จะได้รับความยินยอมของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ
(ข) เป็นที่เชื่อได้ว่าในทางปฏิบัติ บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลจะให้ความยินยอมในการส่งข้อมูลนั้น
(6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการเพื่อให้เกิดความแน่ใจว่าข้อมูลที่จัดส่ง จะไม่ถูกเก็บรวบรวม เก็บรักษา ใช้หรือเปิดเผยโดยผู้รับข้อมูลในลักษณะที่ไม่สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวกับบุคคลที่ใช้บังคับอยู่ในประเทศ ในขณะที่มีการส่งข้อมูล
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 9
