Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 9: นโยบายเกี่ยวกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : natthorn.su

หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 9: นโยบายเกี่ยวกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : natthorn.su

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

  1. หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ

2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล

2.2 แนวนโยบายเกี่ยวกับการใช้และการเปิดเผยข้อมูลส่วนบุคคล

2.3 แนวนโยบายเกี่ยวกับการเก็บรักษา การแก้ไขและการโอนข้อมูลส่วนบุคคล

 

2.4 แนวนโยบายเกี่ยวกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะเปิดโอกาสให้บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลเข้าตรวจดูข้อมูลส่วนบุคคลที่เกี่ยวกับตน ขอสำเนาหรือขอสำเนารับรองความถูกต้องของข้อมูลดังกล่าว ขอแก้ไขหรือเปลี่ยนแปลงหรือให้ระงับการใช้หรือระงับการเปิดเผยข้อมูลหรือให้ลบหรือทำลายข้อมูลส่วนที่พ้นระยะเวลาการเก็บรวบรวมหรือที่ไม่เกี่ยวข้องหรือเกินกว่าความจำเป็นตามวัตถุประสงค์ของการเก็บรวบรวมนั้นได้ เมื่อมีการร้องขอ เว้นแต่

(1) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภัยที่เป็นการคุกคามอย่างร้ายแรงต่อชีวิตร่างกายหรือสุขภาพของบุคคล

(2) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดผลกระทบต่อสิทธิส่วนบุคคลของบุคคลอื่นโดยไม่สมควร

(3) การอนุญาตให้เข้าถึงนั้นจะก่อให้เกิดภาระอันเกินสมควรแก่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

(4) การร้องขอเพื่อเข้าถึงข้อมูลเป็นการร้องขอที่ไม่จริงจังหรือไม่มีเจตนาที่ต้องการเข้าถึงข้อมูลซึ่งเป็นที่เห็นได้ชัดเจน

(5) การอนุญาตให้มีการเข้าถึงจะก่อให้เกิดความเสียหายต่อการสืบสวนสอบสวนที่เกี่ยวกับการกระทำที่มิชอบด้วยกฎหมาย

(6) การอนุญาตให้เข้าถึงเป็นการอันต้องห้ามโดยกฎหมาย

(7) มีกฎหมายห้ามมิให้มีการเข้าถึงข้อมูลดังกล่าวไว้เป็นการเฉพาะ

(8) ข้อมูลที่ขอเข้าถึงเป็นข้อมูลที่เกี่ยวข้องกับข้อโต้แย้งทางกฎหมายที่เกี่ยวข้องกับกระบวนการไกล่เกลี่ยข้อพิพาท ระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่ร้องขอ และข้อมูลดังกล่าวเป็นข้อมูลซึ่งไม่สามารถเข้าถึงหรือเปิดเผยได้โดยกระบวนการไกล่เกลี่ยข้อพิพาทนั้น

(9) การอนุญาตให้เข้าถึงจะเป็นการเปิดเผยถึงแนวทางการเจรจาต่อรองขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลผู้ร้องขอ ซึ่งหากมีการเปิดเผยจะทำให้เกิดความเสียหายต่อการเจรจาต่อรองนั้น

(10) หน่วยงานทางด้านความมั่นคง หน่วยงานที่เกี่ยวข้องกับราชการลับหรือหน่วยงานที่เกี่ยวข้องกับการบังคับใช้กฎหมายสั่งห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนอนุญาตให้มีการเข้าถึงข้อมูลดังกล่าว เนื่องจากเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ

2) ถ้าการอนุญาตให้เข้าถึงข้อมูลจะเป็นการเปิดเผยถึงข้อมูลที่เกี่ยวข้องกับกระบวนการตัดสินใจทางการค้าขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวอาจใช้วิธีการอธิบายถึงกระบวนการตัดสินใจแทนการอนุญาตให้เข้าถึงข้อมูลนั้นได้

3) ถ้าการเข้าถึงข้อมูลเป็นสิ่งที่ไม่สามารถปฏิบัติได้อย่างสมเหตุสมผล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลและบุคคลผู้ร้องขออาจตกลงที่จะพิจารณาว่าการดำเนินการแทนโดยคนกลาง จะเป็นการเข้าถึงที่เพียงพอต่อความต้องการของทั้งสองฝ่ายหรือไม่

4) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกำหนดค่าใช้จ่ายในการอนุญาตให้เข้าถึงข้อมูล ค่าใช้จ่ายนั้น

(1) ต้องไม่สูงจนเกินไป และ

(2) ต้องไม่ใช้กับคำขอเข้าถึงข้อมูล

5) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือบุคคลผู้ร้องขอข้อมูล สามารถแสดงให้เห็นได้ว่าข้อมูลที่จัดเก็บนั้นไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบัน  องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้ข้อมูลที่จัดเก็บถูกต้อง สมบูรณ์และเป็นปัจจุบัน

6) ถ้าองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล และบุคคลที่ร้องขอข้อมูลมีความเห็นไม่ตรงกันกรณีความถูกต้อง สมบูรณ์หรือเป็นปัจจุบันของข้อมูล หากบุคคลผู้ร้องขอข้อมูลได้ขอให้องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจัดทำหมายเหตุหรือบันทึกเพื่อให้มีการระบุถึงความไม่ถูกต้อง สมบูรณ์ หรือไม่เป็นปัจจุบันของข้อมูลนั้น องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะดำเนินการตามที่ร้องขอตามขั้นตอนที่เหมาะสม

7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องให้เหตุผลในการปฏิเสธการเข้าถึงข้อมูลตามที่ร้องขอ หรือในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธที่จะดำเนินการแก้ไขข้อมูลตามที่ร้องขอด้วยเหตุผลตามที่มีกฎหมายให้อำนาจไว้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน้าที่ที่จะต้องแจ้งให้บุคคลที่ร้องขอทราบถึงการปฏิเสธดังกล่าวพร้อมทั้งเหตุผล8) ในกรณีที่ไม่เป็นการขัดต่อบทบัญญัติแห่งกฎหมายหรือแนวปฏิบัติที่ชอบด้วยกฎหมาย บุคคลย่อมมีสิทธิหรือทางเลือกที่จะไม่เปิดเผยตัวตนหรือแสดงตนเมื่อติดต่อหรือทำธุรกรรมกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

หมายเหตุ   ในส่วนของการคุ้มครองสิทธิของเจ้าของข้อมูล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 32 ได้กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้

(1) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 (4) หรือ (5) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า

(ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า

(ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง

(3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล

ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้านตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อไปได้  ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติโดยแยกส่วนออกจากข้อมูลอื่นอย่างชัดเจนในทันทีเมื่อเจ้าของข้อมูลส่วนบุคคลได้แจ้งการคัดค้านให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการคัดด้านด้วยเหตุผลตาม (1) (ก) หรือ (ข) หรือ (3) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการตามมาตรา 39

 

หมายเหตุ   นอกจากตามที่กำหนดไว้ในมาตรา  32  แล้วพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา มาตรา 33  ยังกำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

(1) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

(2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป

(3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอตามมาตรา 32 (1) (ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)

(4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้

ความในวรรคหนึ่งมิให้นำมาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา 24 (1) หรือ (4) หรือ มาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะและผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเพื่อให้เป็นไปตามคำขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ได้รับคำตอบในการดำเนินการให้เป็นไปตามคำขอ

กรณีผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามวรรคหนึ่งหรือวรรคสาม เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้

คณะกรรมการอาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 10

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ