คู่มือPDPA

คมู่ อื การใช้

PDPA (Personal Data Protection Act)

พระราชบญั ญัติคมุ้ ครองขอ้ มลู สว่ นบคุ คล

สพุ ิชชา พลู เพ่มิ

คานา

คูม่ ือนจี้ ดั ทาข้นึ เพ่อื ใช้ในการฝกึ อบรม และใช้ในการปฎิบัติงานที่

เกยี่ วข้องกับงานดา้ น HR ของหน่วยงาน ศรีนานาพร มาร์เก็ตติง้ จากดั

(มหาชน) โดยภายในคู่มอื ฉบบั นี้มีเน้อื หาและรายละเอยี ดเก่ียวกับเร่ือง

PDPA (Personal Data Protection Act) หรอื พระราชบญั ญัติ

คุม้ ครองขอ้ มลู ส่วนบุคคล ซง่ึ ความจาเป็นอย่างยงิ่ ทต่ี อ้ งสรา้ งองคค์ วามรใู้ น

เร่ืองนี้ เพื่อนาไปวเิ คราะห์ วางระบบกระบวนการ และปรับปรงุ แกไ้ ข จดั ทา

นโยบาย และค่มู อื การปฎิบตั ิงานให้กับบุคลากรในองค์การเพือ่ ปรับใชง้ าน

ให้สอดคล้องกับขอ้ กฎหมาย ผู้จดั ทา

สพุ ชิ ชา พลู เพ่มิ

รายละเอยี ด

ความเปน็ มาของการคุ้มครองข้อมลู ส่วนบุคคล

วธิ ีการใช้ PDPA (Personal Data Protection

Act) หรอื พ.ร.บ. คุม้ ครองข้อมลู สว่ นบุคคล

PDPA สาหรบั องคก์ ารหรอื ผปู้ ระกอบการ และ HR

ความเปน็ มาของการคมุ้ ครองขอ้ มลู สว่ นบคุ คล

เน่ืองจาก ปจั จุบนั มกี ารล่วงละเมิดสิทธิความเปน็ ส่วนตัวของขอ้ มูลส่วน
บุคคลเป็นจานวนมากจนสรา้ ง ความเดือดรอ้ นราคาญหรือความเสยี หายให้แก่
เจ้าของขอ้ มลู ส่วนบุคคล ประกอบกบั ความกา้ วหนา้ ของเทคโนโลยีทาให้การเกบ็
รวบรวม ใช้ หรอื เปดิ เผยขอ้ มูลส่วนบุคคลอนั เปน็ การล่วงละเมิดดังกลา่ ว ทาได้
โดยง่าย สะดวก และรวดเรว็ ก่อใหเ้ กิดความเสียหายตอ่ องคก์ าร ประชาชนทุกคน
รวมถึงเศรษฐกจิ โดยรวม สมควรกาหนดให้มี กฎหมายวา่ ดว้ ยการค้มุ ครองข้อมูล
ส่วนบคุ คลเปน็ การทั่วไปขึ้น เพ่อื กาหนดหลกั เกณฑ์ กลไก หรือ มาตรการกากับ
ดแู ลเกี่ยวกบั การใหค้ วามคุม้ ครองขอ้ มูลส่วนบุคคลที่เปน็ หลกั การทั่วไป
จึงจาเปน็ ตอ้ งตราพระราชบัญญัติคมุ้ ครองขอ้ มูลสว่ นบุคคลฉบบั นข้ี ้ึนมา

Thailand Digital Economy

ท่ีมา : e-Conomy SEA 2020” Google/Temasek report ที่มา : NBTC, NSO, WeAreSocial

เนื่องจากมลู คา่ เศรษฐกจิ ที่คาดว่าจะเพิ่มขึน้ สงู อยา่ งตอ่ เน่อื งในประเทศ
ไทย ทาให้ พรบ. PDPA เริ่มมีความสาคญั อย่างยง่ิ ในทุกภาคสว่ น

แผนพฒั นาดจิ ทิ ลั เพอ่ื เศรษฐกจิ และสงั คมภายใต้ยทุ ธศาสตรช์ าติ 20 ปี

ชดุ กฎหมายดจิ ทิ ลั เพอ่ื สร้างความเชื่อมน่ั ในการใช้เทคโนโลยี

PDPA ก็เป็นหนง่ึ ในกฎหมายท่ีช่วยรกั ษาความปลอดภยั และ
ความเป็นสว่ นตวั ของผใู้ ชง้ านส่อื ดจิ ิทลั ทกุ คนได้

การคมุ้ ครองข้อมลู สว่ นบคุ คล

รฐั ธรรมนญู แหง่ ราชอาณาจกั รไทย พ.ศ. 2560 GDPR – General Data Protection Regulation

“มาตรา 32 บคุ คลย่อมมีสทิ ธใิ นความเปน็ อยสู่ ว่ นตวั เกยี รตยิ ศ กฎขอ้ บงั คบั การคมุ้ ครองขอ้ มลู สว่ นบคุ คลของสหภาพยโุ รป
ชือ่ เสยี ง และครอบครวั บงั คบั ใชเ้ มอ่ื 25 พฤษภาคม 2561 มีการบังคบั ใชแ้ บบ ขยายหลกั
ดินแดน (Extraterritorial Scope) คือ ใช้บงั คับ กับผู้ประกอบการ
การกระทาอันเป็นการละเมดิ หรอื กระทบตอ่ สทิ ธขิ องบคุ คลตามวรรคหนง่ึ ท่ปี ระมวลผลขอ้ มูลสว่ นบุคคลของคนยุโรป แม้ว่าจะไม่มีสถาน
หรอื การนาขอ้ มูลส่วนบุคคลไปใช้ประโยชน์ไมว่ า่ ในทางใด ๆ จะกระทา ประกอบการตั้งอยู่ในสหภาพยุโรป
มไิ ด้เว้นแตโ่ ดยอาศยั อ านาจตามบทบัญญตั ิแห่งกฎหมายทตี่ ราขนึ้
เพียงเท่าท่จี าเป็นเพอื่ ประโยชน์สาธารณะ

การคมุ้ ครองขอ้ มูลสว่ นบคุ คลในกฎหมายอน่ื ของไทย Personal Data Protection in ASEAN

- พ.ร.บ. ขอ้ มูลข่าวสารของราชการ พ.ศ. 2540 Malaysia : Personal data protection act 2010
- พ.ร.บ. ธรุ กรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • Singapore* : Personal data protection act 2012
- พ.ร.บ. การประกอบธรุ กจิ ขอ้ มลู เครดิต พ.ศ. 2545 • The Philippines : Data privacy act 2012
- พ.ร.บ. สขุ ภาพแห่งชาติ พ.ศ. 2550 • Thailand : Personal data protection act 2019
- พ.ร.บ. กสทช. พ.ศ. 2553 • Indonesia : draft personal data protection act

ทม่ี า: amended 2020

ตวั อยา่ งเหตลุ ะเมดิ ข้อมลู สว่ นบุคคลของไทย

วตั ถปุ ระสงคก์ ารคมุ้ ครองขอ้ มลู สว่ นบคุ คลของไทย

ประโยชนท์ ไ่ี ดร้ ับจากกฎหมายคมุ้ ครองขอ้ มลู ส่วนบคุ คล

ประชาชน

- รับทราบวตั ถปุ ระสงคข์ องการจดั เก็บ ใช้ หรือเผยแพร่ข้อมลู ส่วนบคุ คลอย่างแจง้ ชดั
- ขอให้ลบ ทาลาย หรือขอให้ระงบั การใชข้ อ้ มูลส่วนบคุ คลได้
- สามารถร้องเรยี นและขอใหช้ ดใชค้ ่าสนิ ไหมทดแทน หากมีการใชข้ อ้ มลู ฯ นอกเหนอื จากวัตถุประสงค์ทแ่ี จง้ ไวแ้ ตแ่ รก
- ลดความเดอื ดรอ้ นราคาญ หรอื ความเสยี หายอันเกดิ จากการละเมดิ ขอ้ มลู สว่ นบุคคล

หนว่ ยงานรฐั และเอกชน

- ยกระดับความเชือ่ มั่นในมาตรฐานการจดั เก็บ ใช้ หรอื เผยแพรข่ ้อมูลส่วนบคุ คลในระดับนานาชาติ
- มีขอบเขตในการจดั เก็บ ใช้ หรือเผยแพรข่ อ้ มูลสว่ นบุคคลท่ีชดั เจน
- การดาเนินการเก่ียวกับขอ้ มูลส่วนบคุ คลมคี วามโปรง่ ใส รับผดิ ชอบต่อสังคม ตรวจสอบได้

ประเทศ

- มีมาตรการในการกากบั ดแู ลการคมุ้ ครองข้อมูลสว่ นบคุ คล ส่งเสริมภาพลกั ษณท์ ี่ดขี องประเทศ
- มีเครื่องมือในการกากบั การดาเนินงานดา้ นการคมุ้ ครองขอ้ มูลสว่ นบคุ คล
- สามารถสรา้ งสงั คมท่ีเขม้ แข็ง เนอื่ งจากสามารถตรวจสอบการดาเนินงานภาครฐั และภาคธรุ กจิ
เกย่ี วกบั การคุม้ ครองขอ้ มูลส่วนบคุ คลใหม้ ีความถกู ต้องเหมาะสม

รายละเอียด

ความเป็นมาของการค้มุ ครองข้อมลู ส่วนบุคคล

วธิ ีการใช้ PDPA (Personal Data Protection

Act) หรอื พ.ร.บ. คุ้มครองขอ้ มูลส่วนบุคคล

PDPA สาหรับองค์การหรอื ผูป้ ระกอบการ และ HR

การบงั คับใชก้ ฎหมายวา่ ดว้ ยการคมุ้ ครองขอ้ มลู สว่ นบคุ คล

พ.ร.บ. คมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ประกาศในราชกิจจาฯ 27 พ.ค. 62

ระยะเวลาใชบ้ ังคบั

มีผลใชบ้ งั คบั ตงั้ แต่วันถัดจากวันประกาศในราชกจิ จานุเบกษาเป็ นต้นปป
(ประกาศลงในราชกิจจานเุ บกษา วนั ท่ี 27 พฤษภาคม 2562)
• หมวด 1 คณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล
• หมวด 4 สานกั งานคณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล

ยกเวน้

หมวด 2 (การคมุ้ ครองขอ้ มลู สว่ นบคุ คล) หมวด 3 (สิทธิของเจา้ ของขอ้ มลู สว่ นบคุ คล)
หมวด 5 (การรอ้ งเรยี น) หมวด 6 (ความรบั ผิดทางแพง่ ) หมวด 7 (บทกาหนดโทษ) และความใน
มาตรา 95 (การดาเนินการกบั ขอ้ มลู เดิม) และมาตรา 96 (การตรากฎหมายลาดบั รอง) ใหใ้ ชบ้ งั คบั
เม่ือพน้ กาหนดหนึ่งปี นบั แตว่ นั ประกาศในราชกิจจานเุ บกษาเป็นตน้ ไป

ขอบเขตการบังคบั ใช้

• ใช้บงั คับแก่การเกบ็ รวบรวม การใช้ หรือการเปดิ เผย หนว่ ยงานภาครฐั
ขอ้ มูลสว่ น บคุ คลโดยผูค้ วบคุมข้อมลู ส่วนบุคคลหรือผู้ หน่วยงานภาคเอกชน
ประมวลผลข้อมูล ส่วนบคุ คลซงึ่ อยใู่ นราชอาณาจักร
บคุ คลธรรมดา
• มผี ลใชบ้ งั คบั ถึงกรณีผูค้ วบคุมข้อมูลส่วนบุคคลและผู้ ขอ้ มลู ในรูปแบบดจิ ิทลั
ประมวลผลขอ้ มูลสว่ นบุคคลทอี่ ยู่นอกราชอาณาจักร
หากมี กิจกรรมดงั น้ี ขอ้ มลู ในรูปแบบกระดาษ

(1) เสนอขายสนิ คา้ หรือบรกิ ารแก่เจา้ ของข้อมูลซึ่งอยู่ ใน
ราชอาณาจกั รไม่ว่าจะมีการช าระเงินหรือไม่

(2) การเฝ้าติดตามพฤติกรรมของเจา้ ของข้อมูลท่ีเกิดข้นึ ใน
ราชอาณาจักร

ขอ้ ยกเวน้ การใชบ้ ังคบั

มาตราท่ี 4 พระราชบญั ญตั ินี้ ไมใ่ ชบ้ งั คบั กบั

1) การเกบ็ รวบรวม ใช้ หรอื เปิดเผย เพ่อื ประโยชนส์ ่วนตน หรือ เพอื่ กจิ กรรมในครอบครวั ของบุคคลน้ัน
2) การดาเนนิ การของหน่วยงานรฐั ทม่ี ีหน้าท่ใี นการรกั ษาความมน่ั คงของรฐั ความมัน่ คงทางการคลงั ของรฐั
การรักษาความปลอดภยั ของประชาชน การป้องกนั และปราบปรามการฟอกเงนิ นิติวทิ ยาศาสตร์ การรักษา
ความมน่ั คงปลอดภยั ทางไซเบอร์
3) การเก็บรวบรวมเพื่อกิจการสอื่ สารมวลชน งานศลิ ปกรรม หรืองานวรรณกรรมอนั เป็นไปตามจรยิ ธรรม
แห่งการประกอบวชิ าชีพ หรอื เปน็ ประโยชนส์ าธารณะเท่าน้ัน
4) สภาผ้แู ทนราษฎร วฒุ สิ ภา รัฐสภา คณะกรรมาธกิ าร ตามอานาจและหนา้ ทข่ี องสภาผแู้ ทนราษฎร
วฒุ สิ ภา รฐั สภา และคณะกรรมาธิการ
5) การพจิ ารณาพพิ ากษาคดีของศาล การดาเนนิ งานของเจ้าหนา้ ท่ใี นกระบวนการพิจารณาคดี การบงั คับ
คดี การวางทรัพย์ การดาเนินงานตามกระบวนการยตุ ิธรรมทางอาญา
6) การดาเนินการกับขอ้ มลู ของบรษิ ัทข้อมูลเครดติ และสมาชิกตามกฎหมายว่าดว้ ยการประกอบธุรกจิ ขอ้ มลู
เครดติ

ขอ้ มูลส่วนบคุ คล Personal Data

“ขอ้ มลู สว่ นบคุ คล” หมายความวา่ ข้อมูลเกีย่ วกับบุคคล
ซึง่ ทาใหส้ ามารถระบตุ ัวบุคคลนั้นได้ ไม่ว่าทางตรงหรอื
ทางอ้อม แต่ไมร่ วมถึงข้อมลู ของผถู้ งึ แกก่ รรมโดยเฉพาะ

ผ้เู กี่ยวขอ้ งกบั ขอ้ มลู ส่วนบคุ คล

ผู้เกี่ยวขอ้ งกบั ขอ้ มลู สว่ นบคุ คล

ผคู้ วบคุมขอ้ มลู ส่วนบคุ คล

บคุ คลหรอื นิตบิ คุ คลซง่ึ มีอานาจหนา้ ท่ีตดั สนิ ใจเก่ียวกบั
การเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คล

ผู้ประมวลผลข้อมลู สว่ นบคุ คล

บุคคลหรอื นิตบิ ุคคลซง่ึ ดาเนนิ การเกีย่ วกบั การเกบ็ รวบรวม
ใช้ หรอื เปิดเผย ขอ้ มูลสว่ นบุคคลตามคาสั่งหรือในนาม
ของผ้คู วบคุมข้อมูลส่วนบคุ คล ท้งั นี้ บคุ คลหรอื นิตบิ ุคคลซง่ึ
ดาเนินการดังกล่าวไม่เปน็ ผูค้ วบคุมข้อมูลส่วนบุคคล

ใครเป็นใครใน PDPA

Personal
Data
Protection
Act

ท่มี า: สานักงานคณะกรรมการคุ้มครองขอ้ มูลส่วนบคุ คล(2563)

พนกั งาน ไม่ใช่ ผคู้ วบคมุ ขอ้ มูลสว่ นบุคคล หรอื ผู้ประมวลผลขอ้ มลู สว่ นบคุ คล
ตามนิยามใน กฎหมายแตพ่ นักงาน ต้องปฏิบัตติ ามข้อกาหนและหลักเกณฑก์ าร
คุ้มครองข้อมลู สว่ นบคุ คลตามท่ีองค์กรกาหนด

ท่มี า: สานกั งานคณะกรรมการคุ้มครองข้อมูลส่วนบคุ คล(2563)

การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมลู สว่ นบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คลโดยชอบ
มขี อ้ ปฏิบตั ิ ดังนี้

ไดร้ ับความ การจดั ทาเอกสารประวตั ิศาสตร์ ป้องกนั หรือระงับ จาเป็นเพ่ือการ
ยินยอม หรอื จดหมายเหตุเพอื่ ประโยชน์ อนั ตรายต่อชีวติ ปฏบิ ตั ติ าม
สาธารณะ หรือท่เี กยี่ วกับ การ ร่างกาย หรอื สขุ ภาพ สญั ญา

ศกึ ษาวิจัยหรือสถิติ ของบคุ คล

จาเป็นเพ่ือประโยชน์ สาธารณะ/ จาเปน็ เพื่อประโยชน์ โดย การปฏบิ ตั ติ าม
การปฏบิ ตั ิ หนา้ ท่ีในการใช้ ชอบด้วยกฎหมายของ ผู้ กฎหมาย
อานาจรฐั ควบคุมข้อมูลส่วนบุคคล

หรอื ของบคุ คลอน่ื

การเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คล

หลกั การเก็บรวบรวม ใช้ หรอื เปิดเผยขอ้ มลู สว่ นบคุ คลทอี่ อ่ นไหว

หา้ มมใิ ห้เก็บรวบรวมข้อมูลสว่ นบุคคลเกีย่ วกับเชอ้ื ชาติ เผา่ พันธ์ุ ความคดิ เหน็ ทางการเมือง ความเช่อื ในลทั ธิ
ศาสนาหรอื ปรัชญา พฤตกิ รรมทางเพศประวตั อิ าชญากรรม ขอ้ มลู สุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน
ขอ้ มลู พนั ธกุ รรม ขอ้ มลู ชีวภาพ หรอื ข้อมลู อื่นใดซ่ึงกระทบตอ่ เจ้าของข้อมลู ส่วนบุคคลในทานองเดยี วกันตามท่ี
คณะกรรมการประกาศก าหนด โดยไมไ่ ดร้ ับความยินยอมโดยชดั แจ้งจากเจ้าของขอ้ มูลส่วนบคุ คล

เว้นแต่

1. ป้องกนั หรือระงบั 2. ชอบด้วยกฎหมายของ 3. เป็นขอ้ มูลท่ีเปิดเผยต่อสาธารณะ
อันตรายต่อชวี ติ มลู นธิ ิ สมาคม องค์กร ด้วยความยนิ ยอมโดยชัดแจง้

4. การก่อต้ังสิทธเิ รยี กรอ้ ง ตามกฎหมาย 5. จาเป็นในการปฏิบตั ิตามกฎหมาย
การปฏบิ ัติตามหรือการใชส้ ทิ ธเิ รยี กร้อง
ตามกฎหมาย

การเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คล

การเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คลจากแหลง่ อืน่

หา้ มเกบ็ รวบรวม ข้อยกเว้น
ขอ้ มลู ส่วนบคุ คล
จากแหล่งอ่ืนทไ่ี ม่ใช่ (1) แจ้งเจา้ ของข้อมูลส่วนบคุ คล
จากเจ้าของ ขอ้ มูล ทราบโดยไมช่ ักชา้ แต่ต้องไมเ่ กนิ
ส่วนบคุ คลโดยตรง สามสบิ วนั นับแต่วันที่เกบ็ รวบรวม
และไดร้ ับความยนิ ยอมจากเจา้ ของ
ข้อมูลส่วนบคุ คล
(2) เปน็ การเก็บรวบรวมขอ้ มูล ส่วน
บุคคลทไ่ี ด้รับยกเวน้ ไม่ต้อง ขอความ
ยินยอม

การเกบ็ รวบรวมข้อมลู สว่ นบคุ คล

เกบ็ รวบรวมไดเ้ ทา่ ท่ีจาเป็น ภายใตว้ ตั ถปุ ระสงคอ์ นั ชอบดว้ ยกฎหมาย

ตอ้ งแจง้ ใหเ้ จา้ ของขอ้ มลู สว่ นบคุ คลทราบกอ่ นหรอื ในขณะเก็บรวบรวมขอ้ มลู
สว่ นบคุ คลถงึ รายละเอยี ด ดงั ตอ่ ไปนี้

• วตั ถปุ ระสงคข์ องการเกบ็ รวบรวม
• แจง้ ใหท้ ราบถงึ กรณีท่ีเจา้ ของขอ้ มลู สว่ นบคุ คลตอ้ งใหข้ อ้ มลู สว่ นบุคคลเพ่ือปฏิบตั ิ

ตามกฎหมายหรอื สญั ญา
• ขอ้ มลู สว่ นบคุ คลท่ีจะมีการเก็บรวบรวมและระยะเวลาในการเกบ็ รวบรวม
• ประเภทของบคุ คลหรอื หน่วยงานซง่ึ ขอ้ มลู สว่ นบคุ คลท่ีเก็บรวบรวมอาจจะถกู เปิดเผย
• ขอ้ มลู เก่ียวกบั ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล สถานท่ีติดต่อ และวิธีการตดิ ตอ่
• สทิ ธิของเจา้ ของขอ้ มลู สว่ นบคุ คล

การเกบ็ รวบรวมข้อมลู สว่ นบคุ คล

หลกั การ เกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมลู ส่วนบคุ คลท่ัวไป

หา้ ม มใิ ห้ผคู้ วบคุมขอ้ มลู ส่วนบุคคลเกบ็ รวบรวมข้อมลู ส่วนบคุ คล โดยไมไ่ ดร้ ับความ
ยินยอมจากเจา้ ของข้อมลู สว่ นบุคคล เวน้ แต่

1. เพอ่ื จัดทาเอกสารประวตั ิศาสตร์ จดหมายเหตุ วิจยั สถติ ิ (Scientific or research)
2. เพ่ือปอ้ งกันหรอื ระงับอันตรายตอ่ ชวี ติ (Vital Interest)
3. มคี วามจาเปน็ เพือ่ ปฏิบตั ิตามสัญญาระหวา่ งผคู้ วบคุมข้อมูลกับเจา้ ของขอ้ มูล (Necessary for the
performance of contracts)
4. มีความจาเป็นเพือ่ ดาเนนิ การเพ่อื ประโยชนส์ าธารณะของผู้ควบคมุ ขอ้ มลู (Public Task)หรอื ปฏิบตั หิ นา้ ท่ีใน
การใช้อานาจรัฐทไี่ ดร้ บั มอบหมายแก่ผ้คู วบคมุ ข้อมลู สว่ นบุคคล
5. มคี วามจาเปน็ ในการดาเนนิ การเพือ่ ผลประโยชนอ์ ันชอบดว้ ยกฎหมายของผู้ควบคุมข้อมูล แต่ตอ้ งไม่ก่อให้เกดิ
การละเมินสทิ ธิและเสรีภาพขั้นพ้ืนฐานของเจ้าของข้อมูล (Legitimate Interest)
6. เปน็ การปฏิบัตติ ามกฎหมายของผูค้ วบคมุ ข้อมลู (Legal Obligation)

การใชห้ รอื การเปดิ เผยข้อมลู สว่ นบคุ คล

ห้ามใช้หรอื เปิดเผย บคุ คลหรอื นติ ิบคุ คล การใช้หรอื เปดิ เผย
ขอ้ มูลส่วนบคุ คลโดย ที่ไดร้ ับข้อมลู ส่วน ข้อมูลสว่ นบคุ คลท่ี
ไม่ได้รับความยินยอม บุคคล จากผคู้ วบคมุ ได้รบั ยกเว้นไมต่ ้องขอ
เว้นแตเ่ ป็นขอ้ มูล สว่ น ขอ้ มูล ส่วนบุคคล ความยินยอม ผู้
บคุ คลทเี่ ก็บรวบรวม จะตอ้ งไมใ่ ช้ หรอื ควบคุมข้อมลู สว่ น
ไดโ้ ดยได้รับยกเว้น เปดิ เผยข้อมูล สว่ น บคุ คลตอ้ งบนั ทึก การ
ไม่ต้องขอความยินยอม ใชห้ รือเปดิ เผยน้ันไว้
บคุ คลเพอื่
วัตถุประสงค์อ่ืน

การสง่ หรอื โอนขอ้ มลู สว่ นบคุ คลไปยงั ตา่ งประเทศ

การส่งหรือโอนขอ้ มลู สว่ นบุคคลไปยงั ตา่ งประเทศ ประเทศปลายทางหรอื องค์การระหว่าง
ประเทศ ท่ีรบั ข้อมูลสว่ นบคุ คลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลท่เี พียงพอ

เว้นแต่ การปฏิบัตติ ามสัญญา ได้รบั ความยินยอมจาก
การปฏิบัติตามกฎหมาย เจ้าของขอ้ มูล

การทาตามสัญญาระหวา่ ง เพ่ือป้องกันหรอื ระงบั ประโยชนส์ าธารณะ
ผคู้ วบคมุ ข้อมลู กบั บุคคล อันตรายต่อชวี ติ รา่ งกาย ท่ีสาคญั

หรอื นิติบคุ คลอน่ื หรอื สุขภาพ

สิทธขิ องเจา้ ของขอ้ มลู สว่ นบคุ คล (Data Subject Right)

สิทธิได้รับการแจ้งใหท้ ราบ (Right to be informed)
สิทธขิ อเขา้ ถึงข้อมลู ส่วนบุคคล (Right of access)

สิทธิในการขอให้โอนขอ้ มลู ส่วนบุคคล (Right to data portability)
สิทธิคัดคา้ นการเก็บรวบรวม ใช้ หรอื เปดิ เผยข้อมูลส่วนบคุ คล (Right to object)
สิทธขิ อใหล้ บหรอื ทาลาย หรือทาให้ขอ้ มลู ส่วนบุคคลเป็นข้อมลู ทไี่ มส่ ามารถระบตุ ัวบุคคล
(Right to erasure (also known as right to be forgotten)
สิทธิขอใหร้ ะงบั การใช้ข้อมูล (Right to restrict processing)

สทิ ธใิ นการขอให้แกไ้ ขข้อมลู สว่ นบุคคล (Right of rectification)

ผ้เู กี่ยวขอ้ งกบั ขอ้ มลู ส่วนบคุ คล

เจา้ หนา้ ทค่ี มุ้ ครองข้อมลู สว่ นบคุ คล Data Protection Officer (DPO)

ผู้ควบคมุ ขอ้ มูลสว่ นบคุ คลและผู้ประมวลผล หนา้ ท่ี DPO
ขอ้ มลู ส่วนบคุ คลจดั ใหม้ ี DPO
(1) ใหค้ าแนะนา
(1) หนว่ ยงานของรัฐ ตามที่ประกาศกาหนด (2) ตรวจสอบการดาเนนิ งานเกยี่ วกับ
(2) การดาเนินกจิ กรรมในการเกบ็ รวบรวม ใช้ หรือ
เปดิ เผยจาเป็นตอ้ งตรวจสอบข้อมูลส่วน บุคคลหรอื ระบบ การเก็บรวบรวม การใช้ หรือ
อย่างสม่าเสมอ โดยเหตทุ ี่มี ข้อมูลสว่ นบุคคลเป็นจานวน การเปิดเผย ข้อมูล่วนบคุ คล
มากตามที่ประกาศกาหนด (3) ประสานงานและให้ความรว่ มมือ
(3) กจิ กรรมหลักของผู้ควบคุมขอ้ มลู ส่วนบคุ คล หรือผู้ กับสานักงานฯ
ประมวลผลข้อมลู สว่ นบุคคลเป็นการเกบ็ รวบรวม ใช้ หรอื (4) รักษาความลบั ของข้อมูลสว่ น
เปิดเผย Sensitive Personal Data บุคคลที่ตนลว่ งรหู้ รือได้มา
เนื่องจากการปฏิบตั ิหนา้ ท่ีตาม
กฎหมายนี้

หนา้ ทข่ี องผู้ควบคมุ ขอ้ มลู สว่ นบคุ คล & ผูป้ ระมวลผลขอ้ มลู สว่ นบคุ คล

หนา้ ทผ่ี ปู้ ระมวลผลขอ้ มลู สว่ นบคุ คล

ดาเนินการตามคาสงั่ ท่ีได้รบั จากผคู้ วบคุมขอ้ มลู ส่วนบุคคลเทา่ นั้น เวน้ แต่คาสัง่ นนั้ ขดั ต่อ
กฎหมายหรือบทบญั ญตั ิในการค้มุ ครองขอ้ มลู สว่ นบุคคล
จัดใหม้ มี าตรการรกั ษาความม่ันคงปลอดภยั รวมทั้งแจ้งใหผ้ ู้ควบคุมขอ้ มูลสว่ นบคุ คล
ทราบถึงเหตุ การละเมดิ ขอ้ มูลสว่ นบคุ คลที่เกิดขึน้
จดั ทาและเก็บรกั ษาบนั ทกึ รายการของกิจกรรมการประมวลผลขอ้ มลู สว่ นบุคคล

แต่งตัง้ ตวั แทนภายในราชอาณาจักร
ผปู้ ระมวลผลข้อมลู ส่วนบุคคลซึง่ ไม่ปฏิบตั ิตามคาสั่งท่ไี ดร้ บั จากผคู้ วบคุมขอ้ มลู สว่ นบุคคล
ให้ถือว่า ผปู้ ระมวลผลขอ้ มลู สว่ นบุคคลเปน็ ผ้คู วบคุมขอ้ มลู สว่ นบุคคล

หนา้ ทข่ี องผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล & ผู้ประมวลผลขอ้ มลู สว่ นบคุ คล

หนา้ ทผ่ี คู้ วบคมุ ขอ้ มลู ส่วนบคุ คล

จัดใหม้ มี าตรการรกั ษาความมนั่ คงปลอดภัย
ดาเนนิ การเพ่ือปอ้ งกันมิใหผ้ ้อู ่ืนใชห้ รือเปดิ เผยข้อมลู สว่ นบคุ คลโดยมชิ อบ
จดั ให้มีระบบการตรวจสอบเพือ่ ดาเนนิ การลบหรอื ทาลายขอ้ มลู ส่วนบุคคล
แจง้ เหตุการละเมดิ ขอ้ มลู ส่วนบคุ คล
แต่งต้ังตัวแทนภายในราชอาณาจักร
จัดทาบันทกึ รายการ

การรอ้ งเรยี น

คณะกรรมการผเู้ ชย่ี วชาญ 3 ตรวจสอบการกระทาใด ๆ ของ
1 พจิ ารณาเร่อื งรอ้ งเรียน ผู้ควบคมุ ข้อมูลสว่ นบคุ คล หรือ
ผูป้ ระมวลผลข้อมลู สว่ นบุคคล
2 ไกล่เกลย่ี ข้อพพิ าทเก่ยี วกบั ขอ้ มูลสว่ นบุคคล รวมทง้ั ลกู จ้างหรือผูร้ บั จ้างของผู้
ควบคมุ ขอ้ มูลสว่ นบุคคลหรอื ผู้
พนักงานเจ้าหนา้ ท่ี ประมวลผลขอ้ มลู สว่ นบุคคล

1 มหี นังสือแจ้งใหบ้ คุ คลมาใหข้ ้อมูล หรอื สง่ เอกสารหรือหลักฐานใด ๆ

2 ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานตอ่ คณะกรรมการผเู้ ชย่ี วชาญ
ในกรณตี ามข้อ (2) หากมคี วามจาเป็นเพือ่ คมุ้ ครองประโยชน์ของเจ้าของขอ้ มลู หรอื เพอื่ ประโยชน์สาธารณะ

ให้พนกั งานเจา้ หนา้ ทย่ี ่นื ขอหมายศาล เพื่อเขา้ ไปในสถานท่ีของผคู้ วบคุม ผปู้ ระมวลผลหรอื ผู้ใด ในระหว่าง

พระอาทิตย์ข้ึนถึงพระอาทติ ยต์ กหรอื ในเวลาทาการของสถานท่นี ัน้

การรอ้ งเรยี น

บทลงโทษของ PDPA

บทลงโทษของ PDPA มี 3 ประเภท คือ

1. โทษทางแพง่ เกดิ จากมีการกระทาความผดิ ทางแพ่ง พดู ใหเ้ ขา้ ใจง่ายๆ คือ มกี าราให้ผ้อู ื่นเกดิ ความเสียหายทางใดทางหนงึ่
เช่น เสียหายทางรา่ งกาย ชือ่ เสียง หรือสทิ ธขิ องบุคคลน้ัน ผูก้ ระทาความผดิ จงึ จะตอ้ งชดใชค้ า่ เสียหาย (ค่าสินไหมทดแทน)
เปน็ ตัวเงิน

2. โทษทางอาญา เกิดจากมกี ารกระทาความผิดตอ่ สว่ นรวมซง่ึ สง่ ผลกระทบต่อความสงบเรยี บรอ้ ยของสงั คมและประชาชน รฐั
จงึ กาหนดโทษไวส้ าหรบั ลงโทษผกู้ ระทาความผิดประเภทนี้ โดยโทษทางอาญามี 5 อย่างคอื ประหารชวี ติ จาคกุ กกั ขัง
ปรับ และริบทรัพย์สนิ

3. โทษทางปกครอง คือการลงโทษผูก้ ระทาความผิดทฝี่ ่าฝืนขอ้ หา้ มตามกฎหมาย หรือไมป่ ฏบิ ตั ิตามบทบัญญตั ทิ ก่ี ฎหมาย
บัญญัตใิ ห้ต้องกระทา แตย่ งั ไม่รา้ ยแรงถึงระดับความผดิ ทางอาญาทส่ี ง่ ผลกระทบตอ่ ความสงบเรยี บรอ้ ยของสงั คม

ดงั นน้ั HR ขององคก์ าร และบรษิ ทั ของทงั้ รฐั และเอกชนทงั้ หลายจึงตอ้ งต่ืนตัว และใหค้ วามสาคญั กับการปฏิบตั ติ าม
กฎหมายคุ้มครองข้อมลู ส่วนบุคคล หรือ PDPA กันเพ่ิมมากขึ้น โดยเรม่ิ จากการจัดฝกึ อบรมเพอ่ื เพ่ิมความรู้เกย่ี วกบั
PDPA หรืออาจจะมกี ารจ้างเจา้ หนา้ ทีค่ ุ้มครองขอ้ มูลส่วนบคุ คล หรอื data protection officer: DPO ซึ่งอาจจะมที ้ัง
รูปแบบของพนกั งานประจา หรอื เปน็ การใช้บริการจากผู้เชย่ี วชาญเฉพาะด้าน PDPA มาช่วยใหค้ าแนะนาและตรวจสอบ
การดาเนินงานขององคก์ รหรอื บรษิ ทั ให้เปน็ ไปตามขอ้ กาหนดของ PDPA เพราะหากโดนโทษทงั้ หมดที่ว่ามาน้ียอมสง่ ผล
เสยี เป็นอย่างมากกับองค์การอย่างแน่นอน

ขอ้ มูลส่วนบคุ คลทเ่ี กบ็ รวบรวมไว้ก่อนวนั ท่ี พ.ร.บ. นใี้ ช้บงั คบั

1 ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลสามารถเกบ็ รวบรวมและใชข้ อ้ มลู สว่ น
บคุ คลนนั้ ตอ่ ไปได้ ตามวตั ถปุ ระสงคเ์ ดิม

ตอ้ งกาหนดวิธีการยกเลกิ ความยินยอมและเผยแพร่
2 ประชาสมั พนั ธใ์ หเ้ จา้ ของขอ้ มลู สว่ นบคุ คลท่ีไม่ประสงคใ์ หผ้ ู้

ควบคมุ ขอ้ มลู สว่ นบคุ คลเก็บรวมรวมและใชข้ อ้ มลู ส่วน
บคุ คล ดงั กลา่ วสามารถแจง้ ยกเลิกความยินยอมไดโ้ ดยงา่ ย

3 การเปิดเผยและการด าเนินการอ่ืนท่ีมิใช่การเกบ็ รวบรวมและ
การใชข้ อ้ มลู สว่ นบคุ คลใหเ้ ป็นไปตามพระราชบญั ญตั ินี้

รายละเอียด

ความเปน็ มาของการคุ้มครองข้อมลู ส่วนบุคคล

วธิ ีการใช้ PDPA (Personal Data Protection

Act) หรอื พ.ร.บ. คุ้มครองข้อมลู ส่วนบุคคล

PDPA สาหรับองค์การหรอื ผู้ประกอบการ และ HR

PDPA สาหรับองคก์ าร หรือผปู้ ระกอบการ

ส่งิ ท่อี งค์กรต้องเตรียมพร้อมกบั พระราชบญั ญัติ คุ้มครองขอ้ มลู ส่วนบุคลคอื ทา Privacy policy และ
บนั ทึกกจิ กรรมการประมวลผลข้อมูลส่วนบคุ ลโดยต้องจดั ใหม้ ีมาตรการในการรกั ษาความม่ันคงปลอดภยั อย่างเหมาะสม
เพื่อป้องกันการสูญหาย เขา้ ถงึ ใช้ เปล่ียนแปลง แกไ้ ข หรือเปดิ เผยขอ้ มูลสว่ นบคุ คลโดยปราศจากอานาจโดยมชิ อบ เช่น

• มนี โยบายการรักษาความมน่ั คงปลอดภัยขอ้ มลู ส่วนบคุ คล (Privacy Policies)
• มีการขอความยินยอมจากเจ้าของขอ้ มูลกอ่ นการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)
• มีการประเมนิ ความเสีย่ งของขอ้ มลู สว่ นบคุ คล (Personal Data Risk Assessment)
ดังนั้น การบริหารจัดการขอ้ มลู สว่ นบคุ คลจงึ เป็นเร่ืองที่เกย่ี วขอ้ งกบั ทุกภาคสว่ นในองค์กรและจาเป็นตอ้ งดาเนินการอยา่ งต่อเนอ่ื ง
การบริหารจัดการขอ้ มูลส่วนบุคคลใหม้ ปี ระสิทธภิ าพและประสิทธผิ ลท่ีดนี น้ั ขนึ้ อยกู่ ับดงั ต่อไปนี้
• การกากับดแู ลของกรรมการและผบู้ ริหารและการมสี ว่ นร่วมของบคุ คลในองคก์ ร
• การออกแบบกระบวนการท่มี กี ารสอดแทรกมาตรการการคมุ้ ครองขอ้ มลู สว่ นบุคคล
• การนาเทคโนโลยีเขา้ มาชว่ ยในการตดิ ตามตรวจสอบการปฏิบัตงิ าน การฝา่ ฝนื นโยบาย และมาตรการทก่ี าหนดไว้ รวมถึงการวิเคราะห์
ตรวจสอบ ค้นหาและตอบสนองตอ่ ภัยคุกคามจากภายนอก

PDPA สาหรบั HR

ทุกองคก์ รล้วนตอ้ งเก็บข้อมูลส่วนบคุ คลของพนกั งานตามข้อบงั คับของกฎหมาย แต่ปจั จุบนั ได้
มกี ารประกาศใช้กฎหมาย PDPA จึงตอ้ งมีการปรับปรุงเพอ่ื สอดคลอ้ งกับ พ.ร.บ คมุ้ ครองขอ้ มูลสว่ น
บุคคล (PDPA) ปี 2562

ตวั อย่างขอ้ มลู สว่ นบคุ คลท่ี HR ต้องเจอ

ชื่อ นามสกลุ ทอี่ ยู่ รายละเอยี ดติดตอ่ ของพนักงาน
ต้งั แต่ระดบั ปฏบิ ัติการจนถึงระดบั บรหิ าร

Resume หรือ CV ของผสู้ มัครงานท่ียืน่ เขา้ มายังองค์กร

บนั ทกึ ประวตั กิ ารทางานของผ้ทู อี่ อกจากองค์กรไปแลว้ (อาจยา้ ยงาน ลาออก
หรอื ถกู ไลอ่ อก) เกบ็ รักษาไวเ้ ป็นฐานข้อมลู ในกรณีมีการสอบถามเขา้ มาจาก
องค์กรสงั กดั ใหมข่ องพนกั งาน

ข้อมลู ติดตอ่ ประสานงานวิทยากรจากภายนอกสาหรับงานฝึกอบรม