Thailand Data Protection Guidelines 3.0
แนวปฏิบัติเกย่ี วกับการคุ้มครองขอ้ มลู สว่ นบุคคล
Version 3.0 Extension
เมษายน 2564
สนับสนนุ ทางวิชาการโดย
สนับสนนุ โดย
ขอ้ มลู ทางบรรณานุกรมของสำนกั หอสมดุ แหง่ ชาติ
National Library of Thailand Cataloging in Publication Data
ปยิ ะบตุ ร บุญอร่ามเรอื ง, พัฒนาพร โกวพัฒนกิจ, พีรพัฒ โชคสวุ ฒั นสกลุ , เสกสิริ นวิ ัตศิ ยั วงศ์,
ปติ ิ เอีย่ มจำรญู ลาภ, ชวนิ อุ่นภทั ร, ฐติ ริ ตั น์ ทิพย์สมั ฤทธ์ิกลุ , ภูมศิ ริ ิ ดำรงวุฒิ,
โมกข์พศิ ุทธ์ิ รตารณุ , ปริญญา หอมเอนก, นพิ นธ์ นาชนิ , อนันต์ โซนี่,
ธีระยศุ วร์ ศรีเป่ียมลาภ
Thailand Data Protection Guidelines 3.0:
แนวปฏบิ ตั เิ กย่ี วกับการคมุ้ ครองขอ้ มูลส่วนบุคคล
ISBN 978-616-407-566-5
พิมพค์ รั้งท่ี 3 เมษายน 2564
จำนวนพมิ พ์ 100 เลม่
จำนวนหนา้ 682 หน้า
จดั ทำโดย ศนู ยว์ ิจัยกฎหมายและการพัฒนา
คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั
ถนนพญาไท ปทุมวนั กรุงเทพฯ 10330
โทร. 02-218-2017
พิมพท์ ี่ โรงพมิ พ์แหง่ จฬุ าลงกรณม์ หาวิทยาลยั [6112-019D]
โทร. 0 2218 3549-50 โทรสาร 0 2215 3612
2 Thailand Data Protection Guidelines 3.0
จดั ทำโดย ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั
สนับสนนุ โดย บรษิ ทั อาร์แอนดท์ ี เอเชยี (ประเทศไทย) จำกัด
บรษิ ทั แชนดเ์ ล่อร์ เอม็ เอชเอ็ม จำกดั
ท่ีปรึกษา บริษทั ติลลิกีแอนดก์ ิบบนิ ส์ อินเตอร์เนชั่นแนล จำกดั
ผ้แู ต่ง บริษทั เอซิส โปรเฟสช่นั นลั เซน็ เตอร์ จำกัด
บริษทั เอพี (ไทยแลนด)์ จำกดั (มหาชน)
ผู้จัดการโครงการ ชมรมวาณิชธนกจิ สมาคมบรษิ ทั หลกั ทรพั ยไ์ ทย
วนั ท่ีเผยแพร่ รศ.ธติ พิ ันธุ์ เชื้อบุญชยั
ผศ.ดร.ปารณี า ศรวี นชิ ย์ (คณบดีและ ผอ.ศนู ย์วิจยั กฎหมายและการพฒั นา)
ดร.เยาวลกั ษณ์ ชาตบิ ัญชาชยั
ปรญิ ญา หอมเอนก
ผศ.ดร.ปิยะบตุ ร บญุ อร่ามเรอื ง
รศ.ดร.พฒั นาพร โกวพัฒนกิจ
อ.ดร.พรี พฒั โชคสวุ ัฒนสกลุ
ผศ.เสกสริ ิ นิวตั ศิ ัยวงศ์
อ.ดร.ปิติ เอี่ยมจำรญู ลาภ
อ.ดร.ชวนิ อุ่นภัทร
อ.ฐติ ิรัตน์ ทิพยส์ ัมฤทธิก์ ุล
อ.ดร.ภมู ิศริ ิ ดำรงวุฒิ
โมกขพ์ ศิ ทุ ธิ์ รตารุณ
ปริญญา หอมเอนก
ดร. นิพนธ์ นาชนิ
อนนั ต์ โซนี่
ธรี ะยุศวร์ ศรีเป่ยี มลาภ
รศ.ดร.พฒั นาพร โกวพัฒนกิจ
เมษายน 2564
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 3
ข้อปฏิเสธความรับผิด (Disclaimer) ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์
มหาวทิ ยาลยั รวมถึงท่ปี รกึ ษาและผู้แตง่ ของแนวปฏบิ ตั ิน้ี (รวมเรยี กวา่ “ผแู้ ต่ง”) ไม่ได้ให้การรบั รองหรือ
รับประกนั ใดๆถึงความถกู ต้องครบถ้วนของเนอื้ หาของงานน้ี และผแู้ ตง่ ขอปฏิเสธอย่างชัดแจ้งว่าไม่ได้ให้
การรบั รองหรอื รบั ประกันใดๆทงั้ ส้นิ ตอ่ เนือ้ หาของงานนี้ โดยขอ้ แนะนำทีป่ รากฏในงานนี้อาจไม่เหมาะสม
ต่อสถานการณ์บางลักษณะ เนื้อหาของงานนี้จึงไม่ใช่การให้คำปรึกษาทางกฎหมายหรอื คำปรึกษาทาง
วิชาชพี ใดๆท้งั สิ้น หากผู้อ่านจำเปน็ ต้องได้รับคำปรกึ ษาท่ีเกย่ี วข้อง ผอู้ า่ นจำเปน็ ต้องติดต่อขอคำปรึกษา
จากผ้เู ชี่ยวชาญในด้านนั้นโดยตรง ผู้แต่งจึงไม่มีความรบั ผดิ ชอบและไมต่ ้องรบั ผิดใดๆต่อความเสียหายท่ี
อา้ งวา่ เกดิ ข้ึนจากการปฏิบัติตามเน้ือหาของงานน้ี และหากมกี ารอ้างองิ ใดๆถึงงานนไ้ี มว่ ่าในรปู แบบใด ผู้
แต่งขอปฏิเสธอย่างชัดแจ้งไม่ให้การรบั รองหรือการรับประกันการอ้างอิงนั้น การรับรองใดๆที่อาจมีข้ึน
ต้องออกเป็นหนังสือโดยผู้แต่งเท่านั้น นอกจากนี้ผู้อ่านควรตระหนักไว้ด้วยว่าการคุ้มครองข้อมูลส่วน
บุคคลเปน็ เรือ่ งทก่ี ำลงั มกี ารพัฒนาและปรับปรงุ อยา่ งรวดเร็วในปจั จบุ ัน เน้ือหาหลายประการในท่ีน้ีอาจ
ล้าสมัยหรือไม่เหมาะสมในหลายสถานการณ์เมื่อเวลาผ่านไป รายการอ้างอิงทางเว็บไซต์ใดๆในงานน้ีก็
อาจมีการเปล่ยี นแปลงหรอื สูญหายไปได้เมอ่ื เวลาท่ีทา่ นไดอ้ า่ นงานนี้
ลิขสิทธิ์ทั้งหมดของงานนี้เป็นของผู้แต่งและได้รับความคุ้มครองตาม
กฎหมายลิขสิทธิ์และกฎหมายอื่นที่ใช้บังคับ ห้ามนำงานไปใช้อย่างอื่น
นอกจากการใช้ที่ได้รับอนุญาตนี้หรอื ตามกฎหมายลิขสิทธิ์ หนังสือเล่มนี้ได้จัดใหใ้ ช้ได้ตามขอ้ ตกลงของ
สัญญาอนญุ าตสาธารณะของ Creative Commons แบบแสดงทีม่ า 3.0 ประเทศไทย (CC BY 3.0 TH),
https://creativecommons.org/licenses/by/3.0/th/legalcode
4 Thailand Data Protection Guidelines 3.0
เมื่อสหภาพยุโรปได้ออก GDPR หรือ General Data Protection Regulation ซึ่งเป็น
กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาบังคบั ใช้เมื่อเดือนพฤษภาคม 2561 ที่ผ่านมา โดยมีข้อกำหนดให้
องค์กรต่างๆ ทม่ี ีธุรกรรมหรอื การดำเนินการบนอินเทอร์เน็ตทมี่ ีข้อมูลส่วนบุคคลของผูบ้ ริโภคต้องปฏิบัติ
ตามมาตรการต่างๆ ที่เข้มงวดขึ้นเพื่อเพิ่มความคุ้มครองข้อมูลส่วนตัวของบุคคล คณะนิติศาสตร์
จฬุ าลงกรณ์มหาวิทยาลัย ในฐานะสถาบันการศึกษาชน้ั นำทมี่ ีพันธกจิ ในการผลิตบัณฑิต วิจัย สร้างองค์
ความรู้ รวมทั้งเผยแพร่ ให้บริการทางวิชาการ และข้อเสนอแนะที่เป็นประโยชน์ต่อสังคม ตระหนักถึง
ผลกระทบของ GDPR ของสหภาพยุโรปฉบับนี้ต่อองค์กรธุรกิจและหน่วยงานต่างๆ ในประเทศไทย จึง
เห็นความสำคัญและความจำเป็นทีค่ วรมีการศึกษาวิจัยเพื่อแนวปฏิบัติเกี่ยวกบั การคุ้มครองข้อมูลส่วน
บคุ คลเพอื่ รองรับการมีผลบังคับใชข้ อง GDPR (EU General Data Protection Regulation)
การนี้ ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย จึงร่วมกัน
กับองค์กรภาครัฐและเอกชน จัดให้มี “โครงการจัดทำคู่มือแนวปฏิบัติเก่ียวกับการคุ้มครองข้อมูลส่วน
บุคคล” โดยเร่ิมจากการจดั สมั มนาเชงิ ลึกเมื่อวันจนั ทร์ที่ 2 กรกฎาคม 2561 ระดมความคดิ เห็น-ประเด็น
ตา่ งๆ และนำมาต่อยอด ศกึ ษา วจิ ยั และประชุมกลุ่มย่อยของคณะผู้วจิ ัยอกี หลายครง้ั จนทำให้ได้ “แนว
ปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” หรือ TDPG1.0 (Thailand Data Protection
Guidelines 1.0) ดงั ทเ่ี ราได้เผยแพร่และมผี ู้สนใจนำไปศกึ ษาเป็นจำนวนมาก
คำถามที่มักจะพบบ่อยในช่วงเวลาที่เผยแพร่ TDPG1.0 คือ ผู้ประกอบการไทยหากไม่ได้มี
เป้าหมายจะใหบ้ ริการในสหภาพยุโรป จะมีความจำเป็นต้องปฏิบัติตาม GDPR หรือไม่ และจะสามารถ
แยกส่วนการจัดการข้อมูลคนชาติยุโรปออกจากส่วนอื่นได้หรือไม่ ซึ่ง TDPG1.0 ได้ช่วยตอบคำถาม
ดังกล่าวไวแ้ ลว้ ประเดน็ ทส่ี ำคัญก็คอื การส่งผา่ นข้อมูลขา้ มพรมแดนซึง่ จะมนี ัยสำคญั มากจากนี้ไปเพราะ
ปฏิเสธไมไ่ ด้วา่ อนิ เทอร์เน็ตคือสือ่ กลางในการสง่ ผ่านดังกล่าว และผู้ประกอบการทง้ั หลายก็ไม่อาจปิดกั้น
ตัวเองไม่ส่งผ่านข้อมูลทั้งไปและกลับได้ โดยเฉพาะว่าอินเทอร์เน็ตเป็นเครื่องมือที่ทำให้ผู้ประกอบการ
สามารถเปิดตลาดไปยงั ตลาดท่ัวโลกรวมถึงสหภาพยุโรปได้ ประเด็นจึงไม่ใช่ว่าเราจะจัดการข้อมูลส่วน
บุคคลของสหภาพยุโรปอย่างไรอีกต่อไป หากแต่เป็นคำถามว่าเราจะยกระดับมาตรฐานการคุ้มครอง
ข้อมลู สว่ นบคุ คลใหเ้ ปน็ ทย่ี อมรับไดอ้ ยา่ งไร
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 5
ต่อมาในปี 2562 เราได้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และ
พระราชบญั ญตั ิการรักษาความมัน่ คงปลอดภัยไซเบอร์ พ.ศ.2562 และเป็นท่ีแน่ชดั แล้วว่าประเทศไทยจะ
มีมาตรฐานทางธุรกิจใหมท่ ้ังในเรื่องการคุ้มครองข้อมลู ส่วนบุคคลและการรกั ษาความมัน่ คงปลอดภัยไซ
เบอร์ คำถามทีม่ กั จะพบบอ่ ยในปีนี้ คือ แนวปฏบิ ัติทเ่ี ก่ียวข้องจะดำเนินการอย่างไร จะมีมาตรฐานอะไร
อย่างไรทีจ่ ะเกิดขึ้น เป็นคำถามทีล่ งไปในทางปฏบิ ัติมากขึ้น แสดงให้เห็นที่แนวโน้มที่ดีและการปรับตวั
ของภาคธุรกิจ ตัวอย่างที่น่าสนใจในช่วงดังกล่าวก็คือ คำถามที่ว่า เราจะแยกแยะ Contract กับ
Consent อยา่ งไร ซึง่ ถือเปน็ หวั ใจในทางปฏิบัติประการหน่งึ ในเรือ่ งน้ี
ในสว่ นที่เกี่ยวกบั การสรา้ งมาตรฐานและแนวปฏิบัติของผู้ประกอบการนั้นปัจจุบันยังเป็นโจทย์
ทคี่ วรจะต้องดำเนนิ การเองโดยภาคประชาสงั คม ไม่ควรรอแต่ใหม้ ีการจัดตั้งหน่วยงานมาออกมาตรฐาน
และแนวปฏบิ ัติ ซ่ึงอาจต้องกินเวลานานหลายปี อย่างไรก็ดยี งั มคี วามกังวลอยูม่ ากในภาคประชาสังคมว่า
หากจำเป็นต้องคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภยั ไซเบอร์ก็จะเป็นการสร้าง
ภาระและผู้ประกอบการขนาดกลางและเลก็ อาจไม่สามารถดำเนินการได้ ซึ่งถ้าหากเราช่วยกันกำหนด
มาตรฐานหรือแนวทางที่ควรจะเป็นขึ้นมาให้ชัดเจนและแน่นอนว่าหน่วยงานขนาดเล็กก็ไม่ควรจะต้อง
ทำงานขนาดใหญ่เกินตัว ก็จะช่วยแก้ปัญหาความไมช่ ัดเจนนี้ไปได้ จึงนำมาสู่การพัฒนาเป็น TDPG2.0
(Thailand Data Protection Guidelines 2.0) ที่จะมีเนื้อหาอ้างอิงกับกฎหมายที่ได้ตราขึ้นมาแล้ว
พร้อมทั้งเพิ่มเนื้อหาที่จำเป็นต่อการประมวลผลข้อมูลสว่ นบุคคลเพิ่มเติมขึ้นตามแผนที่เราได้สัญญาไว้
ตง้ั แตเ่ วอรช์ ั่นแรก ซง่ึ กไ็ ดร้ ับการตอบรบั จากผู้สนใจเปน็ อย่างดีในช่วงทีผ่ า่ นมา
อยา่ งไรก็ดีในปี 2563 ที่เปน็ กำหนดการบังคับใชพ้ ระราชบัญญตั ิคมุ้ ครองขอ้ มลู ส่วนบุคคล พ.ศ.
2562 ได้มีการแพร่ระบาดของโรคติดเช้ือไวรสั โคโรนา 2019 (COVID-19) โดยยงั ไมน่ ับว่ามีปัจจัยแทรก
ซ้อนและความไม่เรยี บร้อยหลายประการเกดิ ข้ึน นับเปน็ ชว่ งเวลาท่ยี ากลำบากของเราทุกคนท้ังในระดับ
ภายในประเทศและระดับโลก รัฐบาลจงึ ไดต้ ราพระราชกฤษฎกี ากำหนดหน่วยงานและกจิ การท่ีผู้ควบคุม
ขอ้ มลู สว่ นบคุ คลไม่อย่ภู ายใต้บังคบั แหง่ พระราชบัญญัติค้มุ ครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ศ.2563
เพื่อขยายเวลาการบังคับใช้ออกไปเป็นวันที่ 1 มิถุนายน 2564 เพื่อให้หน่วยงานและผู้ประกอบการ
ทง้ั หลายได้มีเวลาเพ่ิมขึน้ ในเตรยี มความพร้อมดำเนินการใหเ้ ปน็ ไปตามกฎหมาย
ศูนยว์ ิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย จึงมีความต้ังใจท่ี
จะช่วยสร้างมาตรฐานในเรือ่ งดังกล่าวให้ปรากฎโดยกระบวนการศึกษาคน้ ควา้ ทางวิชาการและการรับฟัง
ความเห็นจากทุกภาคส่วน โดยในครั้งนี้มีเป้าหมายที่จะพัฒนาเป็น TDPG3.0 (Thailand Data
Protection Guidelines 3.0) – Business Functions เพื่อตอบคำถามเฉพาะของผู้ปฏิบัติในราย
ละเอยี ดของประเภทงานตา่ งๆอันได้แก่ งานฝา่ ยขายและการตลาด, งานด้านขอ้ มลู , งานด้านทรัพยากร
6 Thailand Data Protection Guidelines 3.0
บุคคล, งานดา้ นเทคโนโลยสี ารสนเทศ, งานดา้ นจดั ซือ้ จดั จ้าง และประเดน็ เฉพาะเกีย่ วกบั ข้อมูลอ่อนไหว
โดยในเวอร์ชน่ั ยังไดร้ ับการสนบั สนนุ ให้จัดทำแนวปฏิบตั ิของกลมุ่ วาณิชธนกิจเพิ่มเตมิ ดว้ ย
คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย หวังเป็นอย่างยิ่งว่า “แนวปฏิบัติเกี่ยวกับการ
คุม้ ครองข้อมลู สว่ นบคุ คล” ทเ่ี ปน็ ผลงานของศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ ช้ินนี้ จะ
ก่อให้เกิดการตระหนักรู้ของภาครัฐและภาคเอกชน รวมทั้งเกิดประโยชน์แก่องค์กรต่างๆ และ
ผปู้ ระกอบการของไทย ท่จี ะสามารถนำแนวปฏิบตั ินไ้ี ปใช้ได้จริงเพอ่ื ใหก้ ารดำเนนิ การคมุ้ ครองข้อมูลส่วน
บุคคลเปน็ ไปตามมาตรฐานซ่งึ เป็นท่ยี อมรบั ตามความม่งุ หมายและวัตถปุ ระสงคข์ องโครงการน้ี
สุดท้ายนี้ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ขอขอบคุณ บริษัท อาร์แอนด์ที เอเชีย
(ประเทศไทย) จำกัด, บรษิ ทั แชนดเ์ ล่อร์ เอ็มเอชเอม็ จำกัด, บรษิ ัท ติลลิกแี อนดก์ บิ บินส์ อินเตอร์เนชั่น
แนล จำกัด, บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด, บริษัท เอพี (ไทยแลนด์) จำกัด (มหาชน),
ชมรมวาณิชธนกจิ สมาคมบรษิ ัทหลักทรัพย์ไทย, วิทยากร ผู้ลงทะเบียนเข้าร่วมสัมมนา และผู้สนับสนุน
จำนวนมาก ที่ทำให้โครงการนี้สำเร็จลุล่วงด้วยดี รวมทั้งขอขอบคุณ สำนักปลัดกระทรวงดิจิทัลเพื่อ
เศรษฐกิจและสังคม ทำหน้าที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงาน
คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ให้การสนับสนุนทางวิชาการและร่วมจัดงาน
สมั มนาเพอ่ื เผยแพร่แนวปฏบิ ตั นิ ส้ี ูส่ าธารณะ
ผศ.ดร.ปารีณา ศรวี นิชย์
(คณบดีและ
ผอู้ ำนวยการศนู ยว์ ิจยั กฎหมายและการพัฒนา)
ธันวาคม 2563
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 7
ขอขอบคณุ
โครงการฯขอขอบคุณผู้สนับสนุนหลักของโครงการที่เล็งเห็นความสำคัญและสนับสนุนการ
จดั ทำแนวปฏิบัติน้เี พื่อประโยชนส์ าธารณะ ได้แก่
ผสู้ นับสนุน TDPG3.0
สำนกั งานคณะกรรมการกำกบั หลักทรัพย์และตลาดหลักทรพั ย์
บริษัท อารแ์ อนด์ที เอเชยี (ประเทศไทย) จำกัด
บรษิ ัท เอพี (ไทยแลนด์) จำกดั (มหาชน)
บรษิ ัท แชนด์เลอ่ ร์ เอ็มเอชเอ็ม จำกัด
บริษทั ตลิ ลกิ แี อนด์กิบบนิ ส์ อินเตอรเ์ นช่นั แนล จำกดั
บริษทั เอซสิ โปรเฟสช่นั นลั เซน็ เตอร์ จำกดั
ชมรมวาณชิ ธนกจิ สมาคมบรษิ ทั หลักทรัพยไ์ ทย
ขอขอบคุณผู้สนับสนุนและช่วยเหลือการจัดทำโครงการสัมมนาฯ ร่วมให้ความรู้และ
แลกเปล่ียนมมุ มองเก่ียวกบั การจัดทำแนวปฏิบัตใิ นงานสัมมนา และการจดั ทำแนวปฏิบัตินี้อย่างเข้มข้น
มาตั้งแตเ่ รม่ิ จดุ ประเด็นการจดั ทำแนวปฏิบัติ TDPG1.0 ขนึ้ มา ไดแ้ ก่
ผูส้ นับสนุน
คณุ สมยศ สุธรี พรชยั (ฬ30)
คณุ พันชนะ วฒั นเสถียร (ฬ31)
ดร.เยาวลักษณ์ ชาติบัญชาชัย
คุณประเสรฐิ ปอ้ มปอ้ งศึก
คุณชืน่ กมล ศรสี มโภชน์
คุณณัฐชา วิวัฒน์ศริ ิกุล
แนวปฏบิ ตั นิ จ้ี ะไมส่ ามารถดำเนินการได้สำเรจ็ ลุลว่ งโดยปราศจากผชู้ ว่ ยในทุกๆด้านที่เก่ียวข้อง
ตั้งแต่การจัดงานสัมมนาจนถึงการจัดทำแนวปฏิบัติมาทุกเวอร์ชั่น โครงการขอขอบคุณผู้ช่วยที่น่ารัก
ดงั ต่อไปน้ี
8 Thailand Data Protection Guidelines 3.0
ผชู้ ่วยวิจยั
กฤษณะ ขาวเรือง พชร ตันชีวะวงศ์
กนกนันท์ ชนาทรธรรม ภรษิ า นนทศริ ิชญากลุ
ปาลิตา รุ่งระวี ปริยากร รุ่งเรือง
กฤษ เลศิ อรยิ านนท์ พิชญา รุ่งโรจน์สถาพร
โครงการฯขอขอบคุณผู้สนับสนุนโครงการ TDPG1.0 ซึ่งเป็นพื้นฐานสำคัญ ได้แก่ สำนักงาน
พัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน), บมจ. เอพี (ไทยแลนด์) บจ. อาร์แอนด์ที เอเชีย
(ประเทศไทย) และขอขอบคุณผสู้ นับสนุนและวิทยากรที่ได้ให้ความกรุณาร่วมให้ความรู้และแลกเปล่ียน
มุมมองในการจดั ทำ TDPG มาโดยตลอด ไดแ้ ก่ ดร.พเิ ชฐ ดรุ งคเวโรจน์ (รัฐมนตรีวา่ ด้วยกระทรวงดิจิทัล
เพื่อเศรษฐกิจและสังคม), คุณสุรางคณา วายุภาพ (ผู้อำนวยการสำนักงานธุรกรรมอิเล็กทรอนิกส์
(องค์การมหาชน)), ดร.สิทธินัย จันทรานนท์ (ผู้อำนวยการสำนักรองกรรมการผู้อำนวยการใหญ่สาย
บรหิ ารงานกฎหมายและบริหารทัว่ ไป บมจ.การบินไทย), คณุ ณฏั ฐกานต์ ครรภาฉาย (ผ้ชู ว่ ยผ้จู ดั การใหญ่
Legal Function ธนาคารไทยพาณิชย์ จำกัด (มหาชน)), Ms. Kristina Nesset Kjerstad (VP Privacy
Europe, Telenor Group), คุณวิศิษย์ศักดิ์ อรุณสุรัตน์ภักดี และคุณศุภวัฒก์ ศรีรุ่งเรือง (ทนายความ
ห้นุ ส่วน บจ. อาร์ แอนด์ ที เอเชยี (ประเทศไทย)), ดร.พณชติ กิตตปิ ัญญางาม (นายกสมาคมการค้าเพื่อ
ส่งเสริมผู้ประกอบการเทคโนโลยีรายใหม่), คุณมนตรี สถาพรกุล (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
บมจ.โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น), คุณพิชิตพล เอี่ยมมงคลชัย และคุณสุทธิพงศ์ คูหาเสน่ห์
(ทนายความหุ้นส่วนผู้จัดการ และทนายความ บจ.ลิ้งคเ์ ลเทอร์ส (ประเทศไทย)), คุณอัญชลี กลิ่นเกษร
(ทนายความ บจ.สำนักงานกฎหมายสากล ธีรคุปต์), คุณอัครพล พิเชษฐวณิชย์โชค และคุณปราณัตต์
เลาหไพโรจน์ (ทนายความหุน้ ส่วนผู้จัดการ และทนายความ บจ.แชนด์เล่อร์ เอ็มเอชเอ็ม), คุณปรามาศ
ขวัญชื้น (บมจ.เอพี (ไทยแลนด์)), ดร.ปริญญา หอมเอนก (ประธานกรรมการบริหาร บจ.เอซิส โปร
เฟสชัน่ นลั เซน็ เตอร)์ , คุณสมศกั ดิ์ ศิริชัยนฤมติ ร (ชมรมวาณชิ ธนกิจ สมาคมบรษิ ทั หลักทรัพย์ไทย), คุณ
อธิษฐา จิตรานุเคราะห์ (ทนายความหุ้นส่วน บจ.ติลลิกีแอนด์กิบบินส์ อินเตอร์เนชั่นแนล) และ
ขอขอบคุณผู้ทรงคุณวุฒแิ ละผู้เชี่ยวชาญที่ให้โอกาสผู้แต่งหารือและสัมภาษณ์เชิงลึกเพื่อนำมาปรับปรงุ
ร่างแนวปฏิบัติจนสำเร็จลุลว่ งลงได้ดังตอ่ ไปนี้ คุณกิตติเมศร์ สกุลลลี ารัศมี, คุณจิตราภรณ์ หวั่งหลี, คุณ
เถลิงศักดิ์ ศรพี นั ธุ์, คณุ ณรงคฤ์ ทธ์ิ สลีสวยสม, คณุ ณัฐวุฒิ มหัทธเมธากิจ, คณุ ปาลธรรม เกษมทรพั ย์, คุณ
สรรี ชั แข่งขันดี และคุณอาทิตย์ สุรยิ ะวงศก์ ลุ
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 9
ใน TDPG 3.0 นีเ้ ป็นเลม่ ปรบั ปรุง TDPG3.0 พมิ พค์ รั้งท่ี 3 ซงึ่ มกี ารเพมิ่ เติมเน้ือหาบางส่วนให้
สมบูรณ์ยิ่งขึ้นโดยเฉพาะเนื้อหาของฝ่าย IT (ส่วน M) เพิ่มเนื้อหาสำคัญใหม่ คือ แนวปฏิบัติสำหรับ
ผบู้ รหิ ารระดบั สูง กรรมการบรหิ าร และกรรมการบรษิ ทั (สว่ น O) และการประเด็นเรอื่ งการจัดเก็บข้อมูล
สถานะการได้รับวัคซีนของลูกจ้าง ซึ่งเป็นประเด็นที่ได้รับความสนใจทั่วโลกในช่วงเวลานี้ นอกจากน้ี
ทีมงานยงั ได้จัดทำ TDPG3.1 – Investment Banking ซ่ึงเป็นเลม่ เฉพาะกลุ่มธรุ กจิ เลม่ แรกแยกออกเป็น
เล่มต่างหากอกี เลม่ หนง่ึ
หากแนวปฏบิ ัตินม้ี ีข้อผิดพลาดหรอื ไมค่ รบถว้ นสมบูรณใ์ นส่วนใด ความบกพร่องน้ันเป็นของผู้
แตง่ แตเ่ พียงผู้เดยี ว
พฒั นาพร โกวพัฒนกิจ
(ผูจ้ ดั การโครงการ)
มนี าคม 2564
10 Thailand Data Protection Guidelines 3.0
สารบญั
ขอขอบคุณ..................................................................................................................................................................... 8
สารบญั .........................................................................................................................................................................11
A. บทนำและคำนิยาม..................................................................................................................................................17
A1. บทนำ...............................................................................................................................................................17
A2. คำนยิ าม...........................................................................................................................................................22
B. แนวปฏบิ ัติการกำหนดและแยกแยะข้อมลู สว่ นบคุ คล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)
..................................................................................................................................................................................... 25
B1. ขอบเขตของข้อมลู ส่วนบุคคล (SCOPE) ...........................................................................................................26
B2. การกำหนดและแยกแยะขอ้ มูลสว่ นบุคคลตามความเสยี่ งและความร้ายแรงทอ่ี าจกระทบตอ่ สทิ ธิและเสรภี าพ
ของบคุ คล...............................................................................................................................................................34
B3. การประมวลผลขอ้ มลู สว่ นบคุ คลทมี่ ีความอ่อนไหวเป็นพเิ ศษ (SPECIAL CATEGORIES OR SENSITIVE DATA).... 48
C. แนวปฏิบตั ิเก่ยี วกับฐานในการประมวลผลข้อมลู สว่ นบุคคล (GUIDELINE ON LAWFUL BASIS FOR
PROCESSING PERSONAL DATA)...........................................................................................................................65
C1. ฐานสญั ญา (CONTRACT) .................................................................................................................................68
ขอ้ ควรระวังเกยี่ วกับ “ความจำเป็นในการปฏบิ ตั ิตามสัญญา”............................................................................. 69
C2. ฐานความยินยอม (CONSENT).........................................................................................................................70
เง่ือนไขของความยินยอม (Requirements of Consent) ................................................................................. 71
ความยนิ ยอมท่ีเก็บรวบรวมไวก้ อ่ น พระราชบญั ญัติค้มุ ครองขอ้ มลู ส่วนบคุ คล พ.ศ. 2562 จะมผี ลบงั คบั ใช้ (ก่อน
มิถนุ ายน พ.ศ. 2563)......................................................................................................................................... 78
ขอ้ ควรระวงั เกยี่ วกับความยินยอม ระหว่างบคุ คลที่มีอำนาจต่อรองไม่เท่ากัน ...................................................... 81
การทำการตลาดแบบตรง (Direct Marketing)................................................................................................. 82
ระบบสมาชิกสะสมแตม้ (Loyalty Program)................................................................................................... 83
การใช้ขอ้ มลู เครอื ขา่ ยสงั คมเพ่อื กระต้นุ ยอดขาย (Social Network) ................................................................. 84
การโฆษณาตามพฤติกรรมออนไลน์ (Online Behavioural Advertisement) ................................................. 85
การขอความยนิ ยอมจากผ้เู ยาว์........................................................................................................................... 85
C3. ฐานประโยชน์สำคญั ตอ่ ชีวิต (ระงับอนั ตรายต่อชีวติ รา่ ง กาย สขุ ภาพ) (VITAL INTEREST)............................87
C4. ฐานหนา้ ท่ตี ามกฎหมาย (LEGAL OBLIGATION).................................................................................................87
C5. ฐานภารกจิ ของรัฐ (PUBLIC TASK) ...................................................................................................................88
C6. ฐานประโยชนอ์ ันชอบธรรม (LEGITIMATE INTEREST).......................................................................................90
C7. ฐานจดหมายเหตุ/วจิ ัย/สถิติ............................................................................................................................93
D. แนวปฏบิ ตั เิ กยี่ วกับหนา้ ทแ่ี ละความรบั ผดิ ชอบของผูค้ วบคุมและผูป้ ระมวลผลข้อมลู (GUIDELINE ON DUTIES
AND RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)...................................................................95
D1. แนวปฏิบัตเิ ก่ยี วกับสิทธิหนา้ ท่ีโดยท่ัวไปของผ้คู วบคุมและผ้ปู ระมวลผลขอ้ มลู ............................................104
ผู้ควบคมุ ขอ้ มลู (Data Controller)................................................................................................................ 104
ตัวอยา่ งข้อความแจ้งเม่อื ใช้กล้องวงจรปิด.................................................................................................... 108
ตัวอยา่ งบนั ทึกรายการประมวลผลขอ้ มลู (Record of Processing Activities)........................................... 124
ตวั อย่างบนั ทึกรายการประมวลผลย่อย ....................................................................................................... 125
ตวั อย่างนโยบายค้มุ ครองข้อมลู ส่วนบคุ คล (Data Protection Policy)....................................................... 131
ตวั อย่างเอกสารแจ้งขอ้ มลู การประมวลผลข้อมลู (แบบย่อ) Privacy Notice (Abridged) .......................... 138
ตัวอยา่ งเอกสารแจง้ ขอ้ มูลการประมวลผลข้อมูล (แบบละเอียด) Privacy Notice...................................... 140
ผู้ประมวลผลข้อมลู (Data Processor)........................................................................................................... 145
ตวั อย่างบนั ทึกรายการประมวลผลข้อมลู (record of processing activities)............................................ 149
D2. แนวปฏิบัตเิ ก่ียวกับการจัดทำข้อตกลงระหว่างขอ้ ตกลงระหวา่ ง ผคู้ วบคมุ ข้อมูลสว่ นบคุ คลและผูป้ ระมวลผล
ขอ้ มลู (DATA PROCESSING AGREEMENT)..............................................................................................................154
ตวั อย่างขอ้ ตกลงให้ประมวลผลข้อมูล (Data Processing Agreement) .................................................. 168
D3. แนวปฏบิ ตั ิเก่ยี วกบั การจดั การคำรอ้ งขอของเจ้าของขอ้ มูล (DATA SUBJECT REQUEST)..............................172
หนา้ ทีข่ องผู้ควบคุมข้อมูลเมอ่ื เจา้ ของข้อมลู ร้องขอ (Data Subject Request to the Controller) ............... 172
ตัวอย่างแบบคำรอ้ งขอใช้สทิ ธิในการเข้าถงึ ข้อมูล (Right of Access Request Form) .............................. 191
ตัวอย่างแบบคำรอ้ งขอใชส้ ทิ ธิในการลบขอ้ มูล (Right to Erasure Request Form) ................................. 196
หนา้ ทข่ี องผู้ประมวลผลข้อมูลเมื่อเจา้ ของข้อมูลร้องขอ (Data Subject Request to the Processor) ........... 201
D4. แนวปฏบิ ตั ิกรณมี คี ำรอ้ งขอหรือคำสงั่ ขอเข้าถึงข้อมลู ส่วนบคุ คลจากรฐั (GOVERNMENT REQUEST)..............202
ตัวอย่างแบบคำขอให้เปิดเผยข้อมูลแกห่ นว่ ยงานของรฐั .............................................................................. 204
D5. ความรบั ผดิ ทางแพ่ง ความรบั ผดิ ทางอาญา และโทษทางปกครอง...............................................................207
ความรับผิดทางแพง่ .......................................................................................................................................... 207
ความรับผิดทางอาญา....................................................................................................................................... 208
โทษทางปกครอง ............................................................................................................................................. 209
E. แนวปฏบิ ตั ิเพือ่ การประเมินผลกระทบด้านการค้มุ ครองขอ้ มูลส่วนบคุ คล (GUIDELINE ON DATA
PROTECTION IMPACT ASSESSMENT) ...............................................................................................................213
12 Thailand Data Protection Guidelines 3.0
E1. ขอบเขตของ DPIA.........................................................................................................................................213
E2. ขน้ั ตอนของ DPIA..........................................................................................................................................223
ตวั อยา่ งแบบฟอรม์ การทำ DPIA ................................................................................................................. 232
F. แนวปฏบิ ัตเิ กี่ยวกบั การโอนขอ้ มูลสว่ นบุคคลไปยงั ต่างประเทศหรอื องคก์ ารระหว่างประเทศ (GUIDELINE ON
CROSS-BORDER DATA TRANSFER) ....................................................................................................................243
F1. การสง่ หรอื โอนขอ้ มลู ส่วนบุคคลไปยงั ตา่ งประเทศปลายทางหรอื องคก์ ารระหวา่ งประเทศตามพระราชบัญญัติ
คมุ้ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562 (TRANSFER OR TRANSIT)..........................................................................245
F2. กรณีท่ีต้องส่งหรือโอนขอ้ มูลไปยังต่างประเทศ หรือองคก์ ารระหว่างประเทศ ................................................249
ตัวอยา่ งนโยบายคมุ้ ครองขอ้ มลู ส่วนบคุ คลของเครอื กจิ การ (Binding Corporate Rules).......................... 257
G. แนวปฏบิ ตั เิ กยี่ วกบั การการจดั ทำข้อมูลนิรนาม (GUIDELINE FOR ANONYMIZATION) ...............................265
G1. การจดั ทำขอ้ มูลนิรนาม .................................................................................................................................267
G2. การพจิ ารณาสถานการณ์ของขอ้ มลู .............................................................................................................276
G3. การวิเคราะห์ความเสีย่ งและมาตรการจดั การความเสี่ยง ..............................................................................279
G4. การตัดสนิ ใจถงึ ระดับของการจัดทำข้อมูลนริ นาม ........................................................................................293
k-anonymization.......................................................................................................................................... 295
Differential Privacy ...................................................................................................................................... 300
H. แนวปฏบิ ตั เิ ก่ยี วกับข้อมลู อ่อนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL
CATEGORIES OF PERSONAL DATA) ..................................................................................................................305
H1. เงอ่ื นไขพเิ ศษในการประมวลผลข้อมูลอ่อนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL
DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)..............................................................................................305
H2. การจดั การกบั ขอ้ มูลออ่ นไหว (DEALING WITH SENSITIVE DATA).....................................................................328
I. แนวปฏบิ ัตสิ ำหรับฝ่ายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES)................................355
I1. ความสัมพันธ์ของการประมวลผลขอ้ มลู สว่ นบุคคลและการทำการตลาด.......................................................355
I2. ลกั ษณะของขอ้ มูลสว่ นบคุ คลตามเส้นทางการทำการตลาด ...........................................................................357
I3. เส้นทางข้อมูล (DATA JOURNEY)......................................................................................................................359
I4. ฐานการประมวลผลท่ีเก่ียวขอ้ งและขอ้ ควรระวงั ............................................................................................362
I5. บทบาทของหน่วยงานตา่ งๆ............................................................................................................................365
J. แนวปฏิบตั ิเก่ยี วกับฝ่ายวิเคราะห์ข้อมูล (GUIDELINE ON DATA ANALYTICS)................................................371
J1. หลักการคุม้ ครองข้อมูลสว่ นบคุ คลในการประมวลผลขอ้ มลู มหัต...................................................................378
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 13
J2. ตัวอยา่ งกจิ กรรมการประมวลผลขอ้ มลู มหตั ...................................................................................................402
J3. การจดั ทำข้อมลู นิรนามและผลกระทบ ...........................................................................................................412
J4. การอธิบายการตัดสินใจโดยปัญญาประดษิ ฐ์..................................................................................................416
K. แนวปฏิบตั ิเกีย่ วกบั ฝ่ายทรพั ยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT)............425
K1. การรับสมัครและการคดั เลือก ........................................................................................................................425
K2. การเกบ็ รวบรวม ใช้ และเปิดเผยขอ้ มูลส่วนบคุ คลของลกู จ้างในระหวา่ งการจ้างงาน ..................................442
K3. การตรวจสอบในท่ีทำงาน ..............................................................................................................................461
K4. ขอ้ มลู เกยี่ วกบั สุขภาพลกู จา้ ง.........................................................................................................................471
K5. ตัวอย่างเอกสาร .............................................................................................................................................479
ตัวอย่างหนังสือแจ้งนโยบายการคุ้มครองข้อมูลสว่ นบคุ คลสำหรบั เจา้ หน้าทแี่ ละลูกจา้ ง ............................... 480
ตัวอยา่ งขอ้ บงั คบั เก่ยี วกบั การทำงาน........................................................................................................... 486
L. แนวปฏิบตั เิ ก่ยี วกับฝ่ายจัดซื้อจดั จ้าง (GUIDELINE FOR PROCUREMENT DEPARTMENT) ..........................491
L1. การจัดซอื้ จดั จา้ งใหม่ .....................................................................................................................................491
ก่อนทำสญั ญา (Prior to Contracting) .......................................................................................................... 491
ตัวอยา่ งสงิ่ ท่ตี อ้ งระบุในเอกสารแจ้งข้อมลู การประมวลผลข้อมลู เพอ่ื การจดั ซ้อื จัดจา้ ง.................................. 497
ตวั อย่างแบบสอบถามด้านการคุม้ ครองขอ้ มูลส่วนบุคคล ............................................................................. 498
การทำสญั ญา (Contracting).......................................................................................................................... 501
ตวั อยา่ งสญั ญาผ้ปู ระมวลผลข้อมลู ส่วนบุคคล (Data Processing Agreement) ......................................... 502
ประเด็นในสญั ญาที่จะต้องเจรจาต่อรองกนั ................................................................................................. 504
ตัวอย่างหวั ขอ้ ทส่ี ำคญั ในสัญญาระหว่างผู้ควบคุมขอ้ มลู ส่วนบุคคล .............................................................. 506
หลังทำสญั ญา (Post Contracting)................................................................................................................ 509
L2. แนวทางการจัดซ้อื จัดจา้ งทีม่ ผี ลบังคับใชแ้ ล้ว................................................................................................510
L3. ข้อควรพจิ ารณาในการจัดซอ้ื จัดจา้ งบรกิ ารประเภททนี่ ่าสนใจ .....................................................................512
M. แนวปฏบิ ตั สิ ำหรบั ฝ่ายเทคโนโลยสี ารสนเทศ (GUIDELINE FOR IT DEPARTMENT) ......................................519
M1. งานดา้ นเทคโนโลยีสารสนเทศและการคุม้ ครองข้อมลู ส่วนบคุ คล ................................................................519
M2. มาตรฐานสำหรบั ระบบบรหิ ารจัดการข้อมูลสว่ นบคุ คล................................................................................527
M3. แนวทางการประเมินผลกระทบและความเสีย่ งท่ีเกี่ยวกบั ขอ้ มูลสว่ นบุคคล..................................................530
N. แนวปฏบิ ตั สิ ำหรับเจ้าหน้าที่คุ้มครองขอ้ มูลสว่ นบุคคล (GUIDELINES FOR DATA PROTECTION OFFICER)
...................................................................................................................................................................................571
N1. ความจำเปน็ ทักษะและคุณสมบัติ และเกณฑก์ ารคัดเลอื ก เจา้ หนา้ ทค่ี ุ้มครองขอ้ มูลส่วนบคุ คล...................571
14 Thailand Data Protection Guidelines 3.0
N2. ความตระหนกั รแู้ ละขอ้ พงึ ระวังขององคก์ รที่มตี อ่ การปฏบิ ตั ิงานของเจ้าหนา้ ทีค่ มุ้ ครองขอ้ มูลสว่ นบุคคล ...578
N3. บทบาทหน้าทแ่ี ละความรับผดิ ชอบของเจ้าหนา้ ทคี่ ้มุ ครองสว่ นบคุ คล..........................................................583
ลกั ษณะงานที่ 1 ภาระงานข้ันต้น...................................................................................................................... 584
ลักษณะงานที่ 2 การทำงานขององค์กร............................................................................................................ 590
ตวั อยา่ งบันทึกรายการประมวลผลข้อมูลส่วนบุคคลพืน้ ฐานโดยผ้คู วบคุมข้อมูล ........................................... 593
ตัวอย่างบนั ทกึ การประมวลผลข้อมูลสว่ นบคุ คลพ้ืนฐานโดยผู้ประมวลผลข้อมูลสว่ นบคุ คล........................... 595
ตัวอยา่ งบนั ทึกการประมวลผลขอ้ มูลสว่ นบคุ คลฉบับสมบูรณ์....................................................................... 597
ลกั ษณะงานที่ 3: ตรวจสอบการปฏบิ ัตติ ามหน้าท่ี............................................................................................. 624
ลักษณะงานท่ี 4: หน้าทใี่ ห้คำปรึกษา................................................................................................................ 645
ลักษณะงานที่ 5: ให้ความร่วมมือและใหค้ ำปรึกษาแก่ สคส. ............................................................................. 650
ลกั ษณะงานท่ี 6: การจัดการคำรอ้ งขอของเจา้ ของขอ้ มลู .................................................................................. 653
ลกั ษณะงานท่ี 7: การใหข้ ้อมลู และการสรา้ งความตระหนกั รู้............................................................................. 654
N4. มาตรฐานทางจรยิ ธรรม.................................................................................................................................656
O. แนวปฏบิ ตั ิเกยี่ วกบั การคุม้ ครองข้อมลู สว่ นบุคคลสำหรบั ผู้บรหิ ารระดบั สงู กรรมการบริหาร และกรรมการบริษทั
(GUIDELINE FOR SENIOR MANAGEMENT, BOARD OF EXECUTIVE DIRECTORS AND BOARD OF
DIRECTORS).............................................................................................................................................................659
O1. ผ้บู รหิ ารระดบั สงู กรรมการบริหาร และกรรมการบรษิ ทั ..............................................................................659
O2. กรรมการบรษิ ทั .............................................................................................................................................663
คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION ..................................................665
[TDPG2.0B] DATA CLASSIFICATION.....................................................................................................................665
[TDPG2.0C] LAWFUL BASIS.................................................................................................................................667
[TDPG2.0D] CONTROLLERS & PROCESSORS........................................................................................................674
[TDPG2.0E] DPIA...............................................................................................................................................682
[TDPG2.0F] CROSS-BORDER DATA TRANSFER.....................................................................................................683
[TDPG2.0G] ANONYMIZATION ............................................................................................................................684
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 15
A. บทนำและคำนิยาม
A1. บทนำ
แนวปฏิบตั ิเป็นเครือ่ งมอื สำคญั ประการหน่ึงท่ีช่วยใหก้ ารดำเนนิ การตามกฎหมายหรือหลักการ
ใดๆท่มี ีกำหนดข้ึนเปน็ ไปในอย่างสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลว้ การบัญญัติกฎหมาย
หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ให้ทำ” (prescriptive), “ไม่ให้ทำ”
(proscriptive) หรือ “อธบิ าย” (descriptive) สิง่ นั้น ย่อมตามมาซงึ่ คำถามเกี่ยวกบั วิธีการปฏิบัติว่าควร
ทำ “อย่างไร” โดยเฉพาะอย่างย่งิ กับกฎหมายที่โดยท่ัวไปแล้วสามารถกำหนดได้เพยี งในระดับที่กำหนด
“หา้ ม” เปน็ หลกั การไว้เทา่ น้นั แต่ในขนั้ ตอนปฏบิ ตั ยิ ่อมไมส่ ามารถลงรายละเอียดวิธกี ารหรอื กรณีเฉพาะ
ท้ังปวงได้ เพราะจะทำให้กฎหมายนั้นมคี วามเครง่ ครดั มากเสียจนไม่อาจนำไปใชไ้ ด้จรงิ
ในกรณีของ “การคุ้มครองข้อมูลส่วนบุคคล” ก็เช่นเดียวกัน เนื่องจากกฎหมายไม่สามารถ
กำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณ์ได้ จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ
“อย่างไร” มีข้อสังเกตว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายระบุโดยตรงไป “ข้อมูลส่วน
บคุ คล” (Personal Data) ไมใ่ ช่ “ตวั บุคคล” (Person) โดยตรง ซงึ่ การคมุ้ ครองขอ้ มูลส่วนบุคคลนนั้ จะมี
ผลเป็นการปกป้อง “บุคคล” จากผลร้ายที่อาจเกิดขึ้นจากการประมวลผล “ข้อมูลส่วนบุคคล” อีก
ชั้นหนึ่ง อันเป็นแนวทางตามแบบสหภาพยุโรป กล่าวคือ จะสามารถประมวลผลข้อมูลส่วนบุคคลโดย
ชอบด้วยกฎหมายก็ต่อไปมี “ฐานทางกฎหมาย” (lawful basis) ให้ทำได้ หลักการพื้นฐานของการ
คมุ้ ครองข้อมูลส่วนบุคคลจึงได้แก่
“หา้ มประมวลผลขอ้ มูลส่วนบุคคล เว้นแต่จะมีฐานหรอื เหตแุ หง่ การ
ประมวลผลให้ทำได้ตามกฎหมาย” (รายละเอยี ดปรากฏในสว่ น C)
เมอื่ สหภาพยโุ รปไดอ้ อกกฎหมายฉบบั ใหม่เกีย่ วกบั การคมุ้ ครองข้อมลู ส่วนบคุ คลหรือที่เรียกกัน
วา่ “GDPR” (EU General Data Protection Regulation) ซ่งึ เปน็ การปรบั ปรุงกฎหมายเดมิ (EU Data
Protection Directive 95/46/EC) ซ่งึ ใช้บังคบั มานานมากวา่ 20 ปี ทำให้เกดิ การเปลีย่ นแปลงหลักการ
ทีส่ ำคญั เช่น
- กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลา่ วคอื ขอ้ มลู ส่วน
บคุ คลของสหภาพยโุ รปอยูภ่ ายใต้ความคมุ้ ครองไมว่ ่าจะอย่ใู นที่ใดในโลก
- กำหนดบทลงโทษสงู ขึน้ โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถงึ อตั ราร้อยละ 4
ของผลประกอบการรายไดท้ ว่ั โลก
- กำหนดให้การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and
affirmative consent)
- กำหนดการแจ้งเตอื นเมอ่ื เกิดเหตขุ ้อมูลรว่ั ไหล หนว่ ยงานผคู้ วบคุมข้อมลู และผู้ประมวลผล
ขอ้ มลู ต้องแจ้งให้หนว่ ยงานกำกบั ดูแล และประชาชนทราบภายใน 72 ช่วั โมง
- กำหนดขอบเขตสทิ ธิของเจา้ ของข้อมูล ใหผ้ ู้ควบคมุ ข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบ
ว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของ
ขอ้ มูลในรูปแบบอิเลก็ ทรอนิกส์ โดยหา้ มเก็บคา่ ใชจ้ ่ายเพิ่ม
- กำหนดรบั รองสทิ ธิในการโอนข้อมลู ไปยังผู้ประกอบการอนื่ (Right to data portability)
- กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้
หนว่ ยงานควบคุมขอ้ มูลลบข้อมูลของตวั เองออกได้
GDPR มผี ลบงั คบั ใช้เม่ือวนั ที่ 25 พฤษภาคม 2561 ทผี่ า่ นมา ซ่งึ นอกจากการมีผลบังคับใช้แก่
การสง่ ข้อมูลภายในประเทศสมาชิกสหภาพยโุ รปแล้ว สำหรบั ผู้ประกอบการไทยหากจะทำการติดต่อรับ-
ส่งข้อมูลกับบคุ คลของประเทศสมาชิก ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอ
เชน่ เดยี วกัน เปน็ เหตใุ หผ้ ปู้ ระกอบการไทยตอ้ งปรบั ตวั เพ่ือรองรบั มาตรฐานการคมุ้ ครองขอ้ มลู สว่ นบุคคล
ดงั กลา่ ว
เป็นเวลากว่า 20 ปีที่รัฐบาลได้พยายามผลักดันกฎหมายการคุ้มครองข้อมูลส่วนบุคคลจน
ประสบความสำเรจ็ และประกาศในราชกจิ จานุเบกษาเมอ่ื 28 พฤษภาคม 2562 และจะมผี ลบงั คับใชต้ าม
กฎหมายในวันที่ 1 มิถุนายน 2564 โดยได้รบั อิทธิพลสำคัญจาก GDPR หน่วยงานภาครัฐและเอกชนจงึ
ควรเตรียมความพร้อมเพือ่ รองรับการจัดการข้อมูลส่วนบคุ คลในความครอบครองของตนเพื่อให้เป็นไป
ตามหลกั เกณฑ์ดงั กล่าว ซง่ึ ปจั จบุ ันถือวา่ เปน็ มาตรฐานใหม่ของการคมุ้ ครองข้อมูลสว่ นบคุ คลของโลก
แนวปฏิบัตนิ ้ี (ซ่ึงตอ่ ไปจะเรยี กว่า “TDPG3.0”) จงึ มีเจตนาทจี่ ะตอบคำถามเกี่ยวกับวิธีการว่า
ควรทำ “อย่างไร” สำหรับประเทศไทยซึ่งยังไม่เคยมแี นวปฏิบตั ิใดๆในเรือ่ งน้ีมาก่อน โดยมี GDPR เป็น
ตน้ แบบ ซง่ึ หมายความว่าแนวปฏิบัติน้ีเป็นเพียงคำอธบิ ายของวิธีการปฏบิ ัติเพือ่ การคุ้มครองข้อมูลส่วน
18 Thailand Data Protection Guidelines 3.0
บุคคลซึ่งจำเป็นต้องพัฒนาอย่างต่อเนื่องต่อไป การปฏิบัติตามแนวปฏิบัตินี้จึงไม่ใช่การปฏิบัติตาม
กฎหมายหรอื มาตรฐาน GDPR ทค่ี รบถว้ น แต่เปน็ เพียงขอ้ แนะนำที่ควรจะต้องปฏิบตั ิและพฒั นาปรบั ปรุง
อยา่ งต่อเน่อื ง
ต่อคำถามว่าผู้ประกอบการไทยหากไม่ได้มีเป้าหมายจะให้บริการในสหภาพยุโรป จะมีความ
จำเป็นต้องปฏิบัติตาม GDPR หรือไม่ และจะสามารถแยกส่วนการจัดการข้อมูลคนชาติยุโรปออกจาก
ส่วนอื่นได้หรือไม่น้ัน ด้วยเหตทุ ่ีผ้ปู ระกอบการไทยจะต้องดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูล
ส่วนบคุ คล พ.ศ.2562 และสถานการณ์ของไทยน้ันอยู่ในขนั้ ท่ีเรยี กว่าแทบจะเร่มิ ตน้ จากศนู ย์ กลา่ วคือ ยงั
ไม่เคยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใดๆมาก่อน ที่ผ่านมามีประกาศของบางหน่วยงานที่
ประกาศเฉพาะแก่บางภาคธรุ กจิ แตก่ เ็ ป็นเพียงการกำหนดหลักการกวา้ งๆเท่าน้ันและอยู่เป็นส่วนเล็กๆ
ของมาตรการความปลอดภัยไซเบอร์ (network security) ยังไม่ถึงขนาดเป็นการวางแนวปฏิบัติหรือ
มาตรฐานในเรือ่ งน้ไี ด้ 1 และทผี่ า่ นมารายงานของคณะทำงานด้านพาณชิ ย์อเิ ล็กทรอนิกส์ของ APEC ระบุ
ว่าจากสมาชิก APEC จำนวน 21 เขตเศรษฐกจิ มีเพยี ง 5 เขตเศรษฐกจิ ท่ียงั ไม่มกี ฎหมายคุ้มครองข้อมูล
ส่วนบคุ คล ได้แก่ บรูไน, จีน, อินโดนเี ซยี , ปาปัวนวิ กินี และไทย และย่อมรวมถงึ ว่าเขตเศรษฐกจิ ดังกล่าว
ไม่มีหน่วยงานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลไปด้วย ทำให้ประเทศไทยไม่สามารถเข้าร่วม
โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที่จะเป็นกลไกให้หน่วยงานและองค์กร
ทงั้ หลายเข้ารว่ มแบบสมัครใจเพอ่ื รบั การรบั รองวา่ มกี ารคมุ้ ครองข้อมลู สว่ นบุคคลเป็นท่ียอมรับ 2
1 ทถี่ ือว่าใกลเ้ คียงทีส่ ุดได้แก่
- [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุ้มครองสทิ ธิของผ้ใู ชบ้ รกิ ารโทรคมนาคมเกี่ยวกับข้อมลู
สว่ นบคุ คล สทิ ธใิ นความเป็นสว่ นตัว และเสรภี าพในการสอื่ สารถึงกนั โดยทางโทรคมนาคม พ.ศ.2549
- [ภาครัฐ] ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ เร่ือง แนวนโยบายและแนวปฏิบัติในการรักษา
ความม่ันคงปลอดภยั ด้านสารสนเทศของหน่วยงานของรฐั พ.ศ.2553
- [ภาคการเงนิ ] เอกสารแนบ 6 ประกาศธนาคารแหง่ ประเทศไทย ที่ สกส2. 4/2563 เร่ือง การบริหารจัดการ
ด้านการใหบ้ ริการแก่ลกู คา้ อยา่ งเปน็ ธรรม (Market conduct) โดยปรับปรงุ จากหลกั เกณฑเ์ ดมิ ให้มี
สาระสำคญั การขอความยนิ ยอมท่ตี อ้ งแยกสว่ นระหว่างวัตถปุ ระสงคท์ างการตลาดและวัตถุประสงคอ์ น่ื และ
กำหนดการเปิดเผยข้อมูลลกู ค้าตามฐานการประมวลผลทส่ี อดคลอ้ งกับพระราชบญั ญัตคิ ุ้มครองขอ้ มลู ส่วน
บคุ คล พ.ศ.2562
2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM
- CBPRS (2017), https://www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross-
Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018).
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 19
การดำเนินการใดๆในเรื่องนี้จึงมีแต่จะทำให้สถานะของประเทศไทยดีขึ้นอย่างแน่นอน
นอกจากนี้ผทู้ รงคุณวุฒกิ ็มคี วามเห็นตรงกนั ในเรือ่ งนว้ี า่ มคี วามจำเปน็ ต้องมมี าตรฐานในเรือ่ งนข้ี ้ึนมา และ
ไม่มีความคุ้มค่าในทางปฏิบัติที่จะแยกส่วนการจัดการข้อมูลส่วนบุคคลตามมาตรฐาน พระราชบัญญัติ
ค้มุ ครองขอ้ มลู ส่วนบุคคล พ.ศ.2562 และ GDPR ออกจากกนั
TDPG3.0 จงึ อธิบายแนวปฏบิ ัติพื้นฐานทจ่ี ำเป็นตอ่ การดำเนินการเพ่ือการคุ้มครองข้อมูลส่วน
บุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยสอดคล้องกันกับมาตรฐานสากล
เทยี บเทา่ กบั GDPR ตอ่ ไป TDPG3.0 จงึ เปน็ ความพยายามที่จะได้วางแนวปฏบิ ัตทิ ่ีเกี่ยวกับการคุ้มครอง
ข้อมูลสว่ นบุคคลอย่างเป็นระบบและมีแนวทางใหด้ ำเนนิ การที่ชัดเจนนำไปปฏิบัติได้ โดยหวงั เปน็ อย่างยิ่ง
ว่าผู้ประกอบการและหน่วยงานทเ่ี ก่ยี วข้องจะไดใ้ ชเ้ ปน็ ประโยชนใ์ นการพฒั นานโยบายการคมุ้ ครองข้อมูล
ส่วนบุคคลของตนเองต่อไป ในเวอร์ชั่นนี้ TDPG3.0 จึงเป็นการปรับปรงุ เพิ่มเติมจากเวอร์ชั่นก่อน โดย
แผนภาพต่อไปแสดงใหเ้ หน็ แนวคิดรวบยอดของ TDPG3.0 ซง่ึ จะช่วยใหผ้ อู้ ่านเห็นภาพวา่ เนือ้ หาของส่วน
ต่างๆในแนวปฏบิ ัตมิ คี วามเช่ือมโยงกันอยา่ งไร
20 Thailand Data Protection Guidelines 3.0
Data Classification Contract
Special Categories / Sensitive Data Consent
Vital Interest
Lawful Basis for Processing Legal Obligation
Public Task
Legitimate Interest
Duties & Responsibilities
Controllers & Processors Data Processing Agreement
User Requests
Government Requests
DPIA (Data Protection Impact Assessment)
Cross-Border Data Transfer
Anonymization
Marketing & Sales
Data Analytics
Human Resources
Procurement
IT Department
Data Protection Officer
Directors & Executives
Investment Bank (TDPG3.1)
TDPG1.0 TDPG2.0 TDPG3.0
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 21
A2. คำนิยาม
Th En คำอธิบาย
การจัดทำข้อมลู Anonymization กระบวนการท่ีทำให้ความเส่ยี งในการระบตุ ัวตนของเจ้าของขอ้ มูลนนั้
นริ นาม น้อยมากจนแทบไม่ต้องให้ความสำคัญกบั ความเสี่ยง (negligible risk)
รายละเอยี ดดใู นส่วน G แนวปฏิบตั เิ ก่ียวกบั การจัดทำข้อมลู นริ นาม
การแฝงขอ้ มลู Pseudonymization การประมวลผลข้อมลู สว่ นบคุ คลในลักษณะทีข่ ้อมลู ส่วนบคุ คลไม่
สามารถระบตุ วั เจ้าของข้อมลู ได้หากปราศจากการใชข้ อ้ มูลเพมิ่ เตมิ
การประมวลผล Processing ประกอบ ทง้ั นีข้ ้อมูลเพม่ิ เตมิ น้ีมกี ารเกบ็ รักษาไว้แยกออกจากกนั และอยู่
ข้อมูล ภายใต้มาตรการเชิงเทคนคิ และมาตรเชงิ บริหารจัดการเพอ่ื ประกนั ว่า
ขอ้ มลู ส่วนบุคคลจะไมส่ ามารถระบไุ ปถึงบุคคลธรรมดาได้ (GDPR,
ขอ้ มลู ออ่ นไหว Sensitive Personal Article 4(5)) รายละเอยี ดดูในสว่ น G แนวปฏบิ ัติเก่ยี วกบั การจัดทำ
Data ข้อมลู นริ นาม
การดำเนนิ การหรอื ชุดการดำเนินการใดๆ ซึ่งกระทำตอ่ ข้อมูลส่วน
ขอ้ มูลส่วน Personal Data บคุ คลหรือชดุ ขอ้ มลู ส่วนบุคคล ไม่วา่ จะโดยวิธกี ารอัตโนมัติหรอื ไม่ เช่น
บุคคล การเกบ็ บนั ทกึ จดั ระบบ จัดโครงสร้าง เกบ็ รักษา เปล่ียนแปลงหรอื
ขอ้ มลู สว่ น Personal Data ปรบั เปลี่ยน การรบั พิจารณา ใช้ เปดิ เผยดว้ ยการสง่ ต่อ เผยแพร่ หรอื
บุคคลรั่วไหล Breach การกระทำอื่นใดซ่งึ ทำให้เกิดดความพร้อมใชง้ าน การจัดวางหรอื ผสม
เข้าดว้ ยกัน การจำกดั การลบ หรือการทำลาย (GDPR Article 4(2))
ขอ้ มูลสว่ น Pseudonymous เปน็ ขอ้ มูลส่วนบคุ คลที่เปน็ เรือ่ งส่วนตัวโดยแทข้ องบคุ คล แตม่ คี วาม
บคุ คลแฝง Data ละเอียดออ่ นและสุ่มเสยี่ งต่อการถูกใชใ้ นการเลือกปฏบิ ัตอิ ยา่ งไมเ่ ปน็
ขอ้ มูลนิรนาม Anonymous Data ธรรม จงึ จำเป็นตอ้ งดำเนินการด้วยความระมดั ระวังเปน็ พเิ ศษ
ข้อมูลใดๆทรี่ ะบไุ ปถงึ “เจ้าของขอ้ มลู ” (Data Subject) ได้
การรว่ั ไหลหรือละเมดิ มาตรการความมนั่ คงปลอดภยั ต่อขอ้ มูลสว่ น
บคุ คลทำใหเ้ กิด ความเสยี หาย, สูญหาย, เปลย่ี นแปลง, เปิดเผยโดย
ไมไ่ ด้รับอนุญาต, หรือเข้าถงึ ขอ้ มลู ส่วนบุคคลที่ใชง้ าน (GDPR, Article
4 (12))
ข้อมลู ทีท่ ำการแฝงข้อมลู แล้ว (ดู “การแฝงข้อมูล”)
ขอ้ มลู ท่ผี า่ นกระบวนการจัดทำขอ้ มลู นริ นามแล้ว (ดู “การจัดทำขอ้ มลู
นิรนาม”)
22 Thailand Data Protection Guidelines 3.0
Th En คำอธบิ าย
เจ้าของขอ้ มูล
Data Subject มคี วามหมายในลักษณะเปน็ บคุ คลที่ข้อมลู น้ันบ่งชไ้ี ปถงึ ไมใ่ ชเ่ ปน็
โปรไฟลงิ่
เจ้าของในลกั ษณะทรัพยสทิ ธิ หรอื เปน็ คนสร้างขอ้ มลู น้นั ขึ้นมา มีความ
ผู้ควบคุมขอ้ มลู
แตกตา่ งจาก data owner ในกฎหมาย (บางตวั ) ของสหรัฐอเมริกา
ผปู้ ระมวลผล
ขอ้ มลู Profiling รบู แบบการประมวลผลขอ้ มูลสว่ นบุคคลใดๆ ซงึ่ มกี ารใช้ขอ้ มูลส่วน
สคส.
GDPR บคุ คลในการประเมนิ แง่มุมเกยี่ วกบั บคุ คล โดยเฉพาะอย่างยิง่ เพ่ือ
ICO วิเคราะห์หรอื คาดการณ์เก่ียวกับบุคคลธรรมดาในเรอ่ื งประสิทธิภาพใน
SGPDPA
UKDPA การทำงาน สถานะทางเศรษฐกิจ สขุ ภาพของบคุ คล ความชน่ื ชอบส่วน
บุคคล ประโยชนข์ องบคุ คล พฤติกรรมของบคุ คล ความน่าเช่ือถือของ
บคุ คล ตำแหน่งทางภมู ศิ าสตร์ หรือความเคลื่อนไหวของบคุ คล
Data Controller บุคคลธรรมดาหรือนิตบิ ุคคล หนว่ ยงานของรัฐ หน่วยงาน หรือองคก์ ร
ใดซ่งึ เป็นผ้กู ำหนดวตั ถุประสงค์และวธิ ีการในการประมวลผลขอ้ มลู สว่ น
บุคคล (GDPR 4(7))
Data Processor บคุ คลธรรมดาหรือนิติบุคคล หน่วยงานของรฐั หน่วยงาน หรอื องคก์ ร
ใดซง่ึ ประมวลผลข้อมูลแทนผคู้ วบคมุ ข้อมูล (GDPR 4(8))
OPDPC สำนักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบคุ คล
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27
April 2016 on the protection of natural persons with regard to the processing of
personal data and on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88
UK Information Commissioner’s Office
Singapore Personal Data Protection Act 2012
UK Data Protection Act 2018
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 23
B. แนวปฏบิ ัติการกำหนดและแยกแยะขอ้ มลู สว่ นบคุ คล
(Guideline on Personal Data Classification)
ผู้ประกอบการทุกรายยอ่ มได้รับผลกระทบจากการปรับปรุงหรือเปล่ียนผ่านวิธีการทำงานของ
ตนเพอื่ ใช้งานเทคโนโลยีดจิ ทิ ัล ยิง่ ผู้ประกอบการตอ้ งใช้ข้อมลู ดจิ ทิ ลั มากเท่าใด ย่ิงทำให้เกิดประเด็นการ
บริหารจัดการเกี่ยวกับข้อมูลที่ตนเองใช้ โดยเฉพาะอย่างยิ่งการบริหารความเสี่ยงของ การใช้ข้อมูล
ทั้งหลาย รวมถึงข้อมูลส่วนบุคคล ผู้ประกอบการจึงต้องสามารถระบุข้อมูลและจัดการข้อมูลต่างๆบน
พื้นฐานของความเสี่ยงได้อยา่ งเหมาะสม แนวปฏิบัตินี้จึงเป็นขั้นตอนพื้นฐานท่ีสุดเพ่ือการจดั การข้อมลู
ส่วนบุคคลในประเด็นอ่นื ๆตอ่ ไป โดยแบง่ ออกเปน็ 2 ส่วนไดแ้ ก่
(1) ขอบเขตของขอ้ มูลสว่ นบคุ คล ซง่ึ จะชว่ ยให้ทราบว่าข้อมูลใดเป็นข้อมูลทอี่ ยใู่ นขอบเขต
ความหมายของขอ้ มูลสว่ นบุคคล (in-scope)
(2) การกำหนดและแยกแยะขอ้ มลู ส่วนบุคคล ซึง่ จะชว่ ยให้สามารถระบขุ อ้ มูลสว่ นบคุ คลตาม
กระบวนการทำงานตา่ งๆขององคก์ รและจัดการตามความเส่ยี งของแนวปฏิบตั ิน้ี โดยมี
ข้นั ตอนท่ีสำคญั 5 ขั้นตอน
Data Data Data Data Risk Data
Policy Discovery Prolifera- Level Protec-
tion tion
B1. ขอบเขตของขอ้ มลู ส่วนบุคคล
(Scope)
B1.1 [Personal Data] “ขอ้ มลู สว่ นบุคคล” หมายถึง ข้อมลู ใดๆทร่ี ะบไุ ปถึง “เจา้ ของขอ้ มูล”
(Data Subject) ได้ไม่ว่าทางตรงหรือทางออ้ ม โดยไมร่ วมถงึ ข้อมลู ของผู้ทถ่ี งึ แก่กรรม 3
B1.2 [Data Subject] “เจ้าของข้อมูล” หมายถงึ บคุ คลท่ขี ้อมลู ส่วนบุคคลน้นั ระบไุ ปถงึ
- ไมใ่ ช่กรณีทบี่ คุ คลมคี วามเป็นเจา้ ของ (Ownership) ข้อมูล หรือเป็นผูส้ ร้างหรือเกบ็
รวบรวมขอ้ มูลน้นั เองเทา่ นัน้
- “บุคคล” (Natural Person) ในทนี่ ้ีหมายถงึ บุคคลธรรมดาทมี่ ีชวี ติ อยู่ 4 ไม่รวมถึง “นิติ
บคุ คล” (Juridical Person) ที่จดั ตงั้ ขึ้นตามกฎหมาย เช่น บริษัท, สมาคม, มูลนิธิ หรือ
องคก์ รอ่นื ใด
B1.3 [Identifiability] ความสามารถในการระบไุ ปถึงเจา้ ของข้อมลู มีอยา่ งนอ้ ย 3 ลักษณะ 5
- [Distinguishability] การแยกแยะ หมายถึง การทีข่ ้อมูลสามารถระบแุ ยกแยะตัวบคุ คล
ออกจากกนั ได้ เช่น ชอื่ นามสกุล หรอื เลขประจำตัวประชาชน แต่ข้อมูลคะแนนเครดติ
เพียงอยา่ งเดยี วไม่สามารถใช้แยกแยะบุคคลได้
- [Traceability] การติดตาม หมายถงึ การทีข่ อ้ มลู สามารถถกู ใชใ้ นการติดตามพฤติกรรม
หรอื กิจกรรมท่บี คุ คลนั้นทำได้ เชน่ log file
3 พระราชบญั ญตั ิคมุ้ ครองขอ้ มูลส่วนบุคคล พ.ศ.2562 มาตรา 6
4 พระราชบัญญตั ิคุ้มครองข้อมลู ส่วนบุคคล พ.ศ.2562 มาตรา 6 กำหนดให้การคมุ้ ครองข้อมูลสว่ นบคุ คลไม่รวมถึงผู้ถงึ แก่
กรรม อย่างไรกด็ มี ีความแตกต่างกันในแตล่ ะประเทศ เชน่
- GDPR, Recital (27) ไมค่ รอบคลุมถงึ ผูต้ าย แตเ่ ปิดใหร้ ัฐสมาชกิ ออกกฎหมายเฉพาะของตนเอง
- UKDPA § 3(2) ครอบคลุมเฉพาะขอ้ มลู ส่วนบุคคลของผู้ทม่ี ชี ีวิตอยูเ่ ท่านัน้
- SGPDPA § 4 กฎหมายของสงิ คโปร์กำหนดให้คมุ้ ครองขอ้ มลู สว่ นบุคคลของผู้ตายเปน็ ระยะเวลา 10 ปี แตก่ ็
เป็นไปอยา่ งจำกัด
- ร่าง พรบ.ค้มุ ครองข้อมลู ส่วนบคุ คลฯ มาตรา 6 ไมค่ รอบคลมุ ถงึ ผตู้ าย โดยระบุวา่ ““ข้อมลู สว่ นบุคคล”
หมายความวา่ ขอ้ มลู เกยี่ วกบั บุคคลซ่งึ ทาใหส้ ามารถระบตุ ัวบุคคลน้นั ได้ไมว่ ่าทางตรงหรือทางออ้ ม”
5 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST SPECIAL PUBLICATION 800-122): GUIDE TO PROTECTING THE
CONFIDENTIALITY OF PERSONALLY IDENTIFIABLE INFORMATION (PII) (2010), at 2.1
26 Thailand Data Protection Guidelines 3.0
- [Linkability] การเชือ่ มโยง หมายถงึ การท่ขี ้อมลู สามารถถูกใชเ้ ชอื่ มโยงกันเพือ่ ระบไุ ปถึง
ตวั บคุ คลได้ โดยแบ่งออกเป็น 2 กรณี
o ข้อมลู ทถี่ ูกเช่ือมโยงแล้ว (linked) เป็นกรณหี ากมขี ้อมูลท่ีเกยี่ วขอ้ งกับข้อมูลท่ีเมอ่ื ใช้
ด้วยกันแลว้ สามารถระบถุ ึงตัวบคุ คล เช่น ชุดข้อมูล 2 ชดุ แตล่ ะชุดมีขอ้ มูลแยกกัน
แต่หากมีบุคคลท่สี ามารถเขา้ ถงึ ข้อมลู ทัง้ 2 ชุดนั้นได้ก็จะสามารถเช่อื มโยงและระบุ
ไปถึงตวั บคุ คลได้
o ขอ้ มูลที่อาจถูกเชือ่ มโยง (linkable) เป็นกรณหี ากมชี ดุ ข้อมลู ท่ีหากใชร้ ว่ มกนั กบั
ขอ้ มลู อ่นื แล้วก็จะสามารถระบตุ วั บคุ คลได้ แตโ่ ดยท่ีขอ้ มูลอ่ืนท่ีจะนำมาใช้รว่ มนนั้ ไม่
อยใู่ นระบบ หรอื อย่ใู นอินเทอรเ์ น็ต หรอื อยู่ทอ่ี ่ืนใด
B1.4 [Data] “ข้อมูล” นั้นอาจเป็นข้อมลู ในลักษณะใดๆกไ็ ด้ท้ังท่ีเปน็ ขอ้ มลู ทมี่ นุษยเ์ ข้าใจไดห้ รอื ไมก่ ็
ได้ โดยเป็นข้อมลู ท่ีคอมพวิ เตอร์หรอื อปุ กรณต์ ่างๆสามารถเขา้ ถึงได้โดยอัตโนมัติหรอื ถูกจัดไว้
อย่างเปน็ ระบบพร้อมใหเ้ ขา้ ถึงข้อมูลเพื่อใชใ้ น
- การเก็บรวบรวมเพือ่ การประมวลผลของคอมพวิ เตอร์หรอื อปุ กรณน์ น้ั หรอื เพอื่ เปน็ สว่ น
หน่งึ ของระบบขอ้ มลู เพ่อื การประมวลผลน้นั
- การประมวลผลโดยคอมพวิ เตอร์หรอื อปุ กรณ์น้ันตามคำสั่งหรอื โปรแกรมทกี่ ำหนดไว้
B1.5 “ข้อมูลส่วนบุคคล” จึงเป็น “ข้อมูล” ทั้งหลายท่ีสามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของ
ข้อมูล” ได้
- แม้ว่าจะเป็นขอ้ มลู ทีอ่ ยู่ในรปู แบบกระดาษหรือในรูปแบบอืน่ ๆ แต่ไดม้ ไี วเ้ พอ่ื จะนำไปใช้
ประมวลผลตอ่ ไป
- แม้ว่าตัวข้อมูลทีม่ อี ยู่นั้นจะไม่สามารถใชร้ ะบถุ ึงบุคคลไดแ้ ต่หากใช้ร่วมกันกบั ข้อมลู หรือ
สารสนเทศอื่นๆประกอบกันแล้วก็จะสามารถระบุถึงตัวบุคคลได้ โดยไม่จำเป็นว่าข้อมูล
หรือสารสนเทศอน่ื นัน้ ไดม้ อี ยู่ดว้ ยกัน
- โดยไมข่ ้นึ อยู่กบั ว่าข้อมูลนนั้ จะเป็นจริงหรือเปน็ เทจ็
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 27
B1.6 ตวั อย่างขอ้ มูลทีเ่ ป็นข้อมูลส่วนบุคคล
(1) ช่อื -นามสกลุ หรอื ช่ือเลน่
(2) เลขประจำตัวประชาชน, เลขหนงั สือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนญุ าตขบั
ข่ี, เลขประจำตวั ผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเกบ็ เป็นภาพสำเนา
บัตรประชาชนหรือสำเนาบัตรอ่นื ๆทีม่ ีขอ้ มลู ส่วนบุคคลทีก่ ล่าวมายอ่ มสามารถใช้ระบุ
ตัวบคุ คลได้โดยตวั มันเอง จงึ ถอื เป็นขอ้ มลู สว่ นบุคคล)
(3) ที่อย,ู่ อเี มล์, เลขโทรศัพท์
(4) ขอ้ มลู อุปกรณห์ รือเครอ่ื งมือ เช่น IP address, MAC address, Cookie ID
(5) ข้อมลู ทางชวี มติ ิ (Biometric) เชน่ รปู ภาพใบหน้า, ลายนิ้วมอื , ฟิลม์ เอกซเรย์, ข้อมูล
สแกนม่านตา, ข้อมูลอัตลกั ษณ์เสยี ง, ขอ้ มลู พันธุกรรม
(6) ข้อมูลระบทุ รพั ยส์ ินของบคุ คล เช่น ทะเบยี นรถยนต์, โฉนดท่ดี ิน
(7) ข้อมูลท่สี ามารถเช่ือมโยงไปยงั ขอ้ มลู ขา้ งตน้ ได้ เช่น วนั เกิดและสถานทีเ่ กิด, เชอ้ื ชาติ,
สญั ชาติ, น้ำหนกั , สว่ นสูง, ข้อมูลตำแหนง่ ทอี่ ยู่ (location), ข้อมูลการแพทย์, ข้อมูล
การศกึ ษา, ข้อมูลทางการเงิน, ขอ้ มลู การจ้างงาน
(8) ขอ้ มลู หมายเลขอา้ งอิงท่ีเก็บไวใ้ นไมโครฟิลม์ แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่
หากใช้รว่ มกบั ระบบดัชนีข้อมูลอกี ระบบหนงึ่ ก็จะสามารถระบุไปถึงตัวบคุ คลได้ ดังนัน้
ข้อมูลในไมโครฟิลม์ จึงเปน็ ขอ้ มลู สว่ นบคุ คล
(9) ข้อมูลการประเมนิ ผลการทำงานหรือความเห็นของนายจ้างตอ่ การทำงานของลูกจา้ ง
(10) ข้อมลู บันทกึ ต่างๆทีใ่ ช้ติดตามตรวจสอบกิจกรรมต่างๆของบคุ คล เช่น log file
(11) ข้อมูลทสี่ ามารถใช้ในการค้นหาข้อมูลสว่ นบคุ คลอน่ื ในอินเทอรเ์ น็ต
B1.7 ตัวอยา่ งขอ้ มูลที่ไมเ่ ป็นขอ้ มลู ส่วนบคุ คล
(1) เลขทะเบยี นบรษิ ัท
(2) ขอ้ มลู สำหรบั การติดตอ่ ทางธุรกจิ ทไี่ มไ่ ดร้ ะบถุ งึ ตัวบคุ คล เชน่ หมายเลขโทรศัพท์ หรือ
แฟกซ์ทท่ี ำงาน, ทอี่ ยสู่ ำนกั งาน, อเี มล์ท่ใี ช้ในการทำงาน, อีเมล์ของบรษิ ทั เช่น
[email protected] เปน็ ต้น
(3) ขอ้ มูลนริ นาม (Anonymous Data) หรือขอ้ มลู แฝง (Pseudonymous Data) หมายถึง
ข้อมลู หรือชุดขอ้ มลู ทถ่ี กู ทำให้ไม่สามารถระบุตวั บคุ คลไดอ้ กี โดยวิธกี ารทางเทคนคิ
(4) ขอ้ มูลผู้ตาย
28 Thailand Data Protection Guidelines 3.0
B1.8 หนว่ ยงานหรือองคก์ รท้งั หลายจงึ ไม่ต้องขอความยินยอมเพื่อทจ่ี ะเก็บรวบรวม ใช้ หรอื เปิดเผย
ขอ้ มลู สำหรับการติดต่อทางธรุ กจิ และไม่ตอ้ งปฏบิ ัติตามแนวปฏบิ ตั ินใี้ นส่วนท่เี ก่ียวข้องกับ
ข้อมูลสำหรบั การตดิ ตอ่ ทางธรุ กจิ
B1.9 ข้อมูลตดิ ต่อทางธุรกิจท่รี ะบถุ งึ ตวั บุคคลย่อมเป็นขอ้ มูลสว่ นบคุ คลตามความหมายของแนว
ปฏบิ ตั ิน้ี
B1.10 [Sensitive Personal Data] ข้อมูลอ่อนไหวเปน็ ขอ้ มลู ส่วนบุคคลทเ่ี ปน็ เรื่องส่วนตัวโดยแท้
ของบุคคล แต่มีความละเอียดอ่อนและสมุ่ เส่ียงตอ่ การถกู ใชใ้ นการเลอื กปฏบิ ตั ิอยา่ งไม่เปน็
ธรรม จึงจำเปน็ ตอ้ งดำเนนิ การดว้ ยความระมัดระวงั เป็นพเิ ศษ (รายละเอยี ดดสู ว่ น B3)
B1.11 ข้อมลู สว่ นบุคคลทเ่ี ป็นข้อมูลอ่อนไหว 6
(1) เชือ้ ชาติ
(2) เผา่ พันธุ์
(3) ความคดิ เห็นทางการเมือง
(4) ความเช่อื ในลัทธิ ศาสนาหรือปรชั ญา
(5) พฤตกิ รรมทางเพศ
(6) ประวัติอาชญากรรม
(7) ขอ้ มูลสุขภาพ ความพิการ หรอื ข้อมูลสขุ ภาพจิต
(8) ขอ้ มูลสหภาพแรงงาน
(9) ขอ้ มลู พันธกุ รรม
(10) ข้อมลู ชีวภาพ
(11) ขอ้ มูลอ่ืนใดซึ่งกระทบต่อเจา้ ของข้อมลู ในทำนองเดยี วกันตามท่ีคณะกรรมการประกาศ
กำหนด
6 พระราชบญั ญตั คิ ้มุ ครองข้อมูลสว่ นบุคคล พ.ศ.2562 มาตรา 26 29
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั
B1.12 [Anonymization] ข้อมูลส่วนบุคคลที่ผ่านกระบวนการทำให้ไม่สามารถระบุตัวบุคคลได้
กลายเป็น ข้อมูลนิรนาม (anonymous data) ย่อมไม่ถือว่าเป็นข้อมูลส่วนบุคคลตาม
ความหมายนี้ 7 อย่างไรก็ดีกระบวนการทำให้ไม่สามารถระบุตัวบุคคลได้เป็นการประมวลผล
ข้อมูลอย่างหนึ่ง (further processing) 8 จำเป็นต้องมีฐานการประมวลผลข้อมูลที่ชอบด้วย
กฎหมาย และกระบวนการหรือวธิ ีท่จี ะรับรองความไมส่ ามารถระบุตวั ตนได้ (รายละเอียดดูส่วน
G ว่าด้วยแนวปฏบิ ตั ิเก่ียวกับการจดั ทำข้อมูลนริ นาม)
B1.13 [Pseudonymization] การแฝงข้อมลู ไมใ่ ชก่ ระบวนการทำให้ขอ้ มูลไมส่ ามารถระบุตัวบุคคล
ได้ ข้อมูลที่ได้ยังคงเป็นข้อมูลส่วนบุคคลตามความหมายนี้ แต่เป็นการลดหรือจำกัด
ความสามารถในการเชอื่ มโยงข้อมูลสว่ นบุคคลกบั ชุดข้อมูลตัง้ ตน้ ซ่งึ ถือเปน็ มาตรการเพ่ือการ
รักษาความปลอดภัยของข้อมูลส่วนบุคคลแบบหนึ่ง 9 โดยอาจใช้วิธีเปลี่ยนข้อมูลที่ระบุตัว
บุคคล (Identifier) ดว้ ยข้อมูลอ่ืน หรอื เลขทก่ี ำหนดใหม่ข้ึนมาได้ (รายละเอียดดูสว่ น G ว่าด้วย
แนวปฏบิ ตั เิ กีย่ วกบั การจดั ทำขอ้ มลู นิรนาม)
B1.14 ในเชงิ หลักการแลว้ การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยจึงไม่ด้อยไปกว่า
การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในที่อื่นหรือในสหภาพยุโรป เพราะยึดถือ
หลกั การและมาตรฐานเดยี วกัน
B1.15 [Material Scope] ในเชิงเนื้อหา การประมวลผลข้อมูลส่วนบุคคลใดๆจะต้องเป็นไปตาม
มาตรฐานของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยไม่มีข้อยกเว้น 10
อย่างไรกด็ ีการประมวลผลในกรณีดงั ตอ่ ไปน้ไี ด้รับยกเว้นไม่ต้องขอความยินยอม
(1) การเก็บรวบรวมข้อมูลสว่ นบคุ คลเพอ่ื ประโยชนส์ ว่ นตนหรอื เพื่อกจิ กรรมในครอบครัวของ
บุคคลน้นั เท่าน้นั 11
(2) การดำเนนิ การของหน่วยงานของรัฐท่ีมหี นา้ ท่ใี นการรักษาความมั่นคงของรัฐ ซ่งึ รวมถึง
ความมั่นคงทางการคลังของรัฐ หรอื การรักษาความปลอดภัยของประชาชน รวมทัง้ หนา้ ท่ี
7 พระราชบัญญตั คิ มุ้ ครองข้อมูลส่วนบคุ คล พ.ศ.2562 มาตรา 33
8 WP29 Opinion 05/2014 on Anonymisation Techniques (WP216), p.7.
9 Id., pp.10-11.
10 พระราชบัญญัตคิ มุ้ ครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 4 วรรคสาม, สอดคลอ้ งกนั กบั GDPR, Article 2.1
11 พระราชบญั ญตั ิค้มุ ครองขอ้ มลู ส่วนบคุ คล พ.ศ.2562 มาตรา 4(1), สอดคลอ้ งกนั กบั GDPR, Article 2.2(c)
30 Thailand Data Protection Guidelines 3.0
เกี่ยวกบั การป้องกนั และปราบปรามการฟอกเงิน นติ ิวทิ ยาศาสตร์ หรอื การรกั ษาความ
ม่ันคงปลอดภัยไซเบอร์ 12
(3) กิจการส่ือมวลชน งานศิลปกรรม หรืองานวรรณกรรมอนั เปน็ ไปตามจริยธรรมแหง่ การ
ประกอบวชิ าชีพหรือเป็นประโยชนส์ าธารณะเท่าน้นั 13
(4) การพจิ ารณาตามหนา้ ทแ่ี ละอำนาจของสภาผแู้ ทนราษฎร วฒุ สิ ภา และรฐั สภา รวมถงึ
คณะกรรมาธกิ ารที่แต่งตง้ั โดยสภาดงั กลา่ ว 14
(5) การพิจารณาพพิ ากษาคดีของศาลและการดำเนนิ งานของเจ้าหน้าทใ่ี นกระบวนการ
พิจารณาคดี การบังคับคดี และการวางทรพั ย์ รวมทัง้ การดำเนินงานตามกระบวนการ
ยุตธิ รรมทางอาญา 15
(6) การดำเนินการกบั ข้อมลู ของบริษทั ข้อมลู เครดติ และสมาชกิ ตามกฎหมายวา่ ด้วยการ
ประกอบธรุ กจิ ขอ้ มูลเครดติ 16
B1.16 [Territorial Scope] ในเชิงพื้นที่ การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปตาม
มาตรฐานของพระราชบญั ญัตคิ มุ้ ครองข้อมลู ส่วนบุคคล พ.ศ.2562 ในกรณตี อ่ ไปน้ี
(1) ผู้ประกอบการมีบรษิ ทั หรือสาขาท่ีจัดตั้งในประเทศไทย ไม่ว่าการประมวลผลข้อมูลส่วน
บคุ คลน้ันจะเกดิ ขน้ึ ในประเทศไทยหรอื ไมก่ ็ตาม 17
(2) ผ้ปู ระกอบการทีไ่ ม่มบี รษิ ทั หรือสาขาทจ่ี ดั ตัง้ ในประเทศไทย แต่
12 พระราชบญั ญตั คิ ุ้มครองข้อมลู สว่ นบุคคล พ.ศ.2562 มาตรา 4(2), สอดคลอ้ งกันกับ GDPR, Article 2.2(d), 23(a):
national security, 23(b): defence, 23(c): public security and 23(e): important economic interest ที่
กำหนดใหต้ อ้ งมีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามทจี่ ำเป็นและไดส้ ดั ส่วน
13 พระราชบัญญัตคิ ุ้มครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 มาตรา 4(3), สอดคล้องกนั กบั GDPR, Article 85 ท่ีกำหนดใหต้ ้อง
มมี าตรการคุ้มครองข้อมูลสว่ นบคุ คลไปพร้อมๆกนั
14 พระราชบญั ญัตคิ มุ้ ครองข้อมูลสว่ นบุคคล พ.ศ.2562 มาตรา 4(4), สอดคลอ้ งกันกับ GDPR, Article 86 ท่ีกำหนดใหต้ อ้ ง
มมี าตรการคมุ้ ครองข้อมูลส่วนบุคคลไปพรอ้ มๆกัน
15 พระราชบญั ญัติคมุ้ ครองข้อมลู ส่วนบุคคล พ.ศ.2562 มาตรา 4(5), สอดคลอ้ งกันกบั GDPR, Article 2.2(d), 23(d):
prosecution of criminal offences, 23(f): judicial proceedings and 23(j): enforcement of civil claims ที่
กำหนดให้ต้องมีมาตรการค้มุ ครองข้อมลู สว่ นบคุ คลตามท่ีจำเป็นและได้สดั ส่วน
16 พระราชบัญญัติคุ้มครองข้อมูลสว่ นบุคคล พ.ศ.2562 มาตรา 4(6)
17 พระราชบญั ญตั คิ ุ้มครองขอ้ มูลส่วนบุคคล พ.ศ.2562 มาตรา 5 วรรคแรก, สอดคล้องกนั กบั GDPR, Article 3.1
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 31
- เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลในประเทศไทยไม่ว่าจะมีการชำระเงนิ
หรอื ไม่ก็ตาม หรอื
- มีการติดตามและจัดเก็บข้อมูลพฤติกรรมของเจ้าของข้อมูลในประเทศไทย ตราบ
เทา่ ที่พฤติกรรมท่ีจัดเก็บนัน้ เกดิ ข้นึ ในประเทศไทย 18
B1.17 [Filing System] GDPR กำหนดขอบเขตของการคุ้มครองข้อมลู ส่วนบคุ คลไว้วา่ ครอบคลุมถึง
การประมวลผลข้อมูลส่วนบุคคลที่อยูใ่ นรูปแบบอัตโนมัติหรือไม่อัตโนมัติท่ีเป็นส่วนหนึ่งของ
ระบบหรอื เจตนาใหเ้ ปน็ ส่วนหนึ่งของระบบ หรอื ทเ่ี รียกวา่ "filing system" 19 จึงมคี วามหมาย
ในลักษณะที่ตั้งใจจะครอบคลุมถึงข้อมูลในรูปแบบเอกสารทีม่ ีการจัดเรียงอย่างใดอย่างหนึ่ง
ข้อมูลที่ไม่ได้จัดเรียงหรือทำ index ที่ทำให้ไม่สามารถสืบค้นเอกสารได้ก็จะไม่อยู่ในการ
คุม้ ครองนี้ อยา่ งไรกด็ ีเปน็ เร่อื งไมง่ ่ายนักที่จะแบ่งแยกระหว่างสิง่ ที่เรียกวา่ filing system กับ
สงิ่ ท่ไี ม่ใช่ 20
- ท่ีผ่านมามีบททดสอบท่เี รียกว่า "temp test' หมายความว่า ถ้าเดก็ ฝึกงานของบรษิ ัท
สามารถค้นหาเอกสารหรือข้อมูลนั้นได้ตามสมควร คือ ไม่ต้องมีความรู้ แสดงว่า
บริษทั มี filing system
- พงึ สังเกตว่า filing system ไมใ่ ชน่ ิยามของขอ้ มลู สว่ นบคุ คล หากพจิ ารณาตามนยิ าม
ของขอ้ มลู สว่ นบคุ คลที่รวมถึงข้อมลู ทีส่ ามารถระบุตัวบคุ คลไดแ้ มท้ างออ้ ม ซง่ึ สะทอ้ น
คุณลกั ษณะของ filing system ประการหน่งึ
- พรบ.คุม้ ครองขอ้ มูลสว่ นบุคคลฯแมไ้ ม่ได้ระบุเรื่องนี้ไว้ แต่ก็ไม่ได้หมายความว่าจะมี
เจตนารมณ์ที่จะคุ้มครองข้อมูลทุกอย่างแม้มันจะเป็นกองข้อมูลขยะ ที่จริงแล้ว
กฎหมายกไ็ ด้กำหนดข้อยกเวน้ มากบา้ งนอ้ ยบา้ งไว้แลว้ ตามสมควร
- กระบวนการประมวลผลข้อมูลมีหลายขั้นตอนในทางปฏิบัติ ย่อมมีส่วนที่เปน็ filing
system และกม็ ีสว่ นท่ีไมเ่ ป็นในความเปน็ จริง ดังนนั้ จึงเปน็ ธรรมชาติท่จี ะไมส่ ามารถ
18 พระราชบญั ญัตคิ ุ้มครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 5 วรรคสอง
19 GDPR, Article 2 (1): “This Regulation applies to the processing of personal data wholly or partly by
automated means and to the processing other than by automated means of personal data which
form part of a filing system or are intended to form part of a filing system.”
20 ICO, Frequently asked questions and answers about relevant filing systems (2011),
https://ico.org.uk/media/for-organisations/documents/1592/relevant_filing_systems_faqs.pdf (last
visited Dec 8, 2020).
32 Thailand Data Protection Guidelines 3.0
ใช้คุณลักษณะ filing system มาแบ่งแยกและจัดกลุ่มอะไรได้มากนัก เช่น ข้อมูลที่
เคยอยู่ในระบบเอกสาร พอถูกคัดทิ้งแล้ว ก็ไม่ได้ทำให้กลายเป็นข้อมูลนอกความ
คมุ้ ครองเป็นได้ ผูค้ วบคมุ ข้อมลู ก็มหี นา้ ทที่ ำลายตามปกติ
- กฎหมายย่อมวางหลักโดยกว้างเพื่อให้อธิบายให้เหตุผลตอ่ ในรายละเอียดแต่ละกรณี
ในทางปฏิบัติ จึงจำเป็นที่จะต้องพิจารณาในรายละเอียดและสิ่งที่เกิดขึ้นจริง
เปรยี บเทียบกับกิจกรรมต่างๆท่มี ีอยู่จริงในปจั จุบนั และอา้ งอิงกบั มาตรฐานในแต่ละ
เร่อื งเป็นสำคญั
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 33
B2. การกำหนดและแยกแยะขอ้ มลู สว่ นบคุ คลตามความเส่ียงและ
ความร้ายแรงทอี่ าจกระทบต่อสทิ ธแิ ละเสรภี าพของบคุ คล
B2.1 โดยหลักการแล้วผูป้ ระกอบการมีความรับผิดชอบในขอ้ มลู ส่วนบุคคลที่ตนเองได้เก็บรวบรวม
และใช้ นอกจากกฎหมายคมุ้ ครองขอ้ มูลสว่ นบุคคลแล้ว ผู้ประกอบการยังมีความรบั ผิดจากการ
ไม่บริหารจัดการข้อมลู ที่ดีพอด้วย เช่น การนำขอ้ มูลส่วนบคุ คลของบุคคลอื่นไปเผยแพร่เพ่ือหา
ประโยชน์โดยไม่ได้รับอนุญาต ย่อมมีความรับผิดต่อเจ้าของข้อมูลฐานละเมิดสิทธิตาม
รัฐธรรมนญู 21 และอาจเป็นการใชส้ ิทธิซึ่งมีแต่จะใหเ้ กิดเสยี หายแก่บุคคลอน่ื 22
รัฐธรรมนูญแหง่ ราชอาณาจักรไทย พ.ศ.2560 มาตรา 32
“บคุ คลย่อมมสี ทิ ธิในความเปน็ อย่สู ว่ นตัว เกียรติยศ ช่ือเสยี ง และครอบครวั
การกระทาํ อนั เปน็ การละเมดิ หรือกระทบตอ่ สทิ ธิของบคุ คลตามวรรคหน่ึง หรือการ
นําข้อมูลสว่ นบคุ คลไปใชป้ ระโยชนไ์ ม่วา่ ในทางใดๆ จะกระทํามไิ ด้ เว้นแต่โดยอาศัยอาํ นาจตาม
บทบญั ญัตแิ หง่ กฎหมายทีต่ ราขึน้ เพียงเท่าท่ีจําเปน็ เพอื่ ประโยชน์สาธารณะ”
ประมวลกฎหมายแพ่งและพาณิชย์
“มาตรา 420 ผู้ใดจงใจหรอื ประมาทเลินเล่อ ทำตอ่ บคุ คลอืน่ โดยผดิ กฎหมายใหเ้ ขา
เสียหายถงึ แกช่ ีวติ ก็ดี แกร่ า่ งกายก็ดี อนามัยก็ดี เสรภี าพก็ดี ทรพั ย์สินหรือสทิ ธิอย่างหน่ึงอยา่ ง
ใดกด็ ี ทา่ นว่าผ้นู นั้ ทำละเมิดจำตอ้ งใชค้ ่าสินไหมทดแทนเพ่ือการน้นั ”
“มาตรา 421 การใชส้ ทิ ธิซึ่งมีแต่จะใหเ้ กิดเสยี หายแกบ่ คุ คลอ่ืนนน้ั ท่านวา่ เปน็ การ
อันมิชอบดว้ ยกฎหมาย”
21 บทบญั ญตั ลิ กั ษณะเดยี วกันนี้มปี รากฏในรฐั ธรรมนูญแหง่ ราชอาณาจกั รไทย พ.ศ.2540 มาตรา 34 และ พ.ศ.2550
มาตรา 35
22 ประมวลกฎหมายแพง่ และพาณชิ ย์ มาตรา 420 - 421
34 Thailand Data Protection Guidelines 3.0
B2.2 โดยทวั่ ไปแล้วผปู้ ระกอบการจดั เก็บข้อมลู ตา่ งๆเอาไว้ในสว่ นต่างๆขององค์กรของตน ซ่งึ กระจัด
กระจายแยกกนั อยู่ แลว้ แตง่ านของสว่ นงานนน้ั ๆ แล้วแต่พฒั นาการของเทคโนโลยใี นเรื่องนั้นๆ
และแลว้ แตส่ ถานการณท์ เ่ี กดิ ขนึ้ จริงทจี่ ะทำให้สามารถจดั เกบ็ ข้อมูลไวไ้ ดม้ ากน้อยแค่ไหน ซง่ึ ไม่
ว่าจะอย่างไรดังได้กล่าวมาแล้วในเร่ืองขอบเขตของข้อมูล จึงมีความเป็นไปได้มากว่าข้อมลู
ทั้งหลายนั้นไมว่ ่าจะอยูท่ ี่ใดในรูปแบบใดยอ่ มตกอยู่ในขอบเขตของข้อมูลส่วนบุคคลแทบ
ท้ังส้ินไม่มากกน็ ้อย
B2.3 ผปู้ ระกอบการจึงจำเป็นต้องมมี าตรฐานการจัดการเกี่ยวกับข้อมูลส่วนบคุ คลเพ่ือที่จะสามารถ
แสดงให้เหน็ ได้ว่าตนเองนั้นได้ใช้ความระมัดระวังทีเ่ พียงพอแล้ว โดยสามารถอ้างองิ ตามแนว
ปฏิบัตินี้และแนวปฏิบัติในส่วนอื่นๆได้ มาตรฐานสากลที่สำคัญประการหนึ่งในการจัดการ
ข้อมลู ส่วนบุคคลในส่วนน้ี ได้แก่ “การกำหนดและแยกแยะข้อมูลส่วนบุคคลตามความเส่ียง
และความร้ายแรงของผลกระทบตอ่ สิทธิและเสรีภาพของบุคคล”
B2.4 ผู้ประกอบการจำเปน็ ต้องแสดงใหเ้ ห็นว่ามขี ั้นตอนการกำหนดขอ้ มลู ให้เป็นขอ้ มูลสว่ นบคุ คลใน
องค์กร โดยอย่างนอ้ ยประกอบดว้ ย
(1) [Data Policy] การกำหนดนโยบายและนยิ ามความหมายของขอ้ มลู ส่วนบคุ คล
(2) [Data Discovery] การกำหนดข้นั ตอนการตรวจสอบข้อมูลส่วนบคุ คล
(3) [Data Proliferation] การระบคุ วามเชอื่ มโยงและเสน้ ทางการส่งข้อมูลสว่ นบุคคลทจี่ ะ
เกิดขน้ึ ในองค์กร รวมถงึ ระบุแหล่งทจี่ ะไดม้ าซึง่ ขอ้ มูลส่วนบคุ คลทง้ั หลาย
(4) [Data Risk Level] การกำหนดความเส่ยี งของขอ้ มลู สว่ นบุคคลชดุ ตา่ งๆ
(5) [Data Protection] มีมาตรการคมุ้ ครองข้อมูลส่วนบุคคล
Data Data Data Data Risk Data
Policy Discovery Prolifera- Level Protection
tion
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 35
B2.5 [Data Policy] ผูป้ ระกอบการตอ้ งกำหนดนโยบายและขอบเขตของข้อมลู ส่วนบุคคลของตน
โดยอาจเลอื กกำหนดนโยบายของตนตาม TDPG (Thailand Data Protection Guidelines)
ฉบับนี้กไ็ ด้ ในกรณีเชน่ นี้ผู้ประกอบการก็จะไม่ตอ้ งกำหนดนโยบายของตนเองแต่สามารถใช้
TDPG เป็นนโยบายของตนเองได้เลย
B2.6 [Data Discovery] ผู้ประกอบการกำหนดขั้นตอนการตรวจสอบข้อมลู สว่ นบคุ คลตามท่ีระบุ
ไว้ในสว่ น B1 โดย
- คร้ังท่หี นึ่ง อาจดำเนนิ การเองหรือโดยระบบอตั โนมตั ิ
- คร้งั ตอ่ ๆไป เป็นกระบวนการตอ่ เน่ือง
B2.7 [Data Proliferation] ผปู้ ระกอบการจะตอ้ งมขี นั้ ตอนต่อไปนเ้ี พ่อื 23
(1) [Actors and Roles] ระบุตัวบคุ คลต่างๆทเี่ กี่ยวขอ้ งกับกระบวนการทั้งหลายทเ่ี ก่ียวข้อง
กับการคุ้มครองข้อมลู สว่ นบุคคลโดยอยา่ งน้อยประกอบด้วยบุคคลทเ่ี ก่ยี วขอ้ ง 4 ประเภท
- เจ้าของข้อมลู (Data Subjects)
- ผคู้ วบคมุ ขอ้ มลู (Controllers)
- ผ้ปู ระมวลผลข้อมลู (Processors)
- บุคคลภายนอก (Third Parties)
(2) [Interactions] ระบคุ วามสมั พันธ์ระหว่างบุคคลตา่ งๆทเี่ กยี่ วขอ้ ง โดยระบุถึง
ความสัมพันธท์ อ่ี าจมขี ้ึนดงั ต่อไปน้ี
A. เจ้าของข้อมลู สง่ ขอ้ มลู ส่วนบคุ คลให้กบั ผ้คู วบคมุ ข้อมูล เชน่ เมื่อมกี ารลงทะเบยี นเพอ่ื
ใช้บริการของผคู้ วบคุมขอ้ มลู เป็นตน้
B. ผู้ควบคุมขอ้ มูลส่งขอ้ มลู สว่ นบคุ คลใหก้ บั ผู้ประมวลผลข้อมูล เชน่ ตามข้อตกลงจ้าง
งานภายนอก (Outsourcing) เปน็ ตน้
C. เจา้ ของขอ้ มลู สง่ ข้อมูลส่วนบคุ คลใหก้ บั ผู้ประมวลผลขอ้ มลู ซึง่ เปน็ ส่วนหนึ่งของการ
ดำเนนิ งานในนามของผคู้ วบคุมขอ้ มูล
D. ผู้ควบคุมข้อมูลส่งข้อมูลสว่ นบุคคลใหก้ ับเจา้ ของข้อมูล เชน่ การดำเนินการตามท่ี
เจ้าของขอ้ มลู รอ้ งขอ เปน็ ต้น
23 ปรับปรุงจาก ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework
36 Thailand Data Protection Guidelines 3.0
E. ผปู้ ระมวลผลขอ้ มูลสง่ ข้อมลู สว่ นบคุ คลให้กับเจ้าของข้อมลู เช่น ตามที่ผคู้ วบคุมสง่ั
การ เป็นต้น
F. ผปู้ ระมวลผลขอ้ มลู สง่ ขอ้ มูลส่วนบุคคลให้กบั ผคู้ วบคุมขอ้ มูล เชน่ เมอื่ ไดท้ ำงานตาม
ข้อตกลงแลว้ เสรจ็ เปน็ ตน้
G. ผคู้ วบคุมขอ้ มูลสง่ ขอ้ มลู สว่ นบคุ คลให้กบั บคุ คลภายนอก เช่น การดำเนินการตาม
ขอ้ ตกลงทางธุรกิจ เป็นตน้
H. ผปู้ ระมวลผลขอ้ มลู สง่ ขอ้ มลู สว่ นบุคคลใหก้ บั บคุ คลภายนอก เช่น ตามทผี่ ้คู วบคุมสั่ง
การ เป็นตน้
Data Subject Controller Processor Third Parties
A. Provider Recipient
B. Provider Recipient Recipient
C. Provider Recipient Recipient
D. Recipient Provider
E. Recipient Provider
F. Recipient Provider
G. Provider
H. Provider
(3) [Identifiers] ระบุขอ้ มลู สว่ นบุคคลตามทก่ี ำหนดในสว่ น B1 รวมถึง ข้อมูลที่ใชแ้ ยกแยะ
(distinguishability), ข้อมูลท่ใี ช้ติดตาม (traceability) และข้อมูลที่ใช้เช่ือมโยง
(linkability) ด้วย
B2.8 หากผู้ประกอบการได้มกี ารสง่ ตอ่ หรืออนญุ าตใหเ้ ขา้ ถงึ ข้อมูลแกร่ ะบบสารสนเทศภายนอก
ผู้ประกอบการต้องมีขอ้ ตกลงเกย่ี วกบั บทบาทหนา้ ท่แี ละความรับผดิ ชอบทเี่ หมาะสม รวมถงึ
การจำกดั ไม่ใหม้ กี ารส่งต่อข้อมูลไปยังบุคคลอื่น, การแจง้ เตือนเมือ่ มกี ารร่ัวไหลหรือละเมิด
ข้อมลู ส่วนบคุ คล, มาตรการความมนั่ คงปลอดภัยข้ันต่ำ, และขอ้ ตกลงอนื่ ๆทเ่ี ก่ยี วข้อง เช่น
BCR (Binding Corporate Rules) รายละเอยี ดดูสว่ น D2 และ D5
B2.9 ความเสี่ยงและความร้ายแรงของผลกระทบ (harm) ท่อี าจจะเกดิ ขน้ึ จากการรั่วไหลหรือการ
ละเมดิ ขอ้ มลู สว่ นบคุ คล อาจประเมินได้ใน 2 กล่มุ
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 37
- ระดบั บุคคล เชน่ การแบลค็ เมล์, การถูกสวมรอยบคุ คล (identity theft), การถูกทำร้าย
ร่างกาย, การถูกเลือกปฏบิ ตั ิ หรอื ความเสียหายทางจิตใจ เป็นต้น
- ระดับองค์กร เช่น การสูญเสยี ความสามารถในการรักษาความลบั , ความเสียหายทางการ
เงนิ , การสญู เสยี ช่อื เสยี งและความเชอ่ื มน่ั หรอื ความรับผดิ ทางกฎหมายต่างๆ เชน่ ทาง
แพ่ง, ทางอาญา และทางปกครอง เปน็ ต้น
B2.10 [Data Risk Level] การกำหนดความเสี่ยงและความร้ายแรงของผลกระทบ (Impact
Levels) อาจแบ่งไดเ้ ป็น 3 ระดบั ตามมาตรฐานความมน่ั คงปลอดภัยระบบสารสนเทศ 24
ได้แก่
(1) ระดบั ตำ่ (Low) ไดแ้ ก่ กรณีทผ่ี ลกระทบจากการสญู เสียการรักษาความลับของขอ้ มลู
(Confidentiality), ความถกู ต้องสมบูรณ์ (Integrity) และความพรอ้ มใช้งาน
(Availability) มีแนวโน้มที่จะมอี ยู่อย่างจำกัด (limited adverse effect) ทง้ั ในระดบั
บคุ คลและระดับองคก์ ร เช่น
- เกิดผลกระทบเล็กน้อยต่อระบบสารสนเทศทำให้สังเกตเหน็ ไดว้ า่ ดอ้ ยประสทิ ธภิ าพ
ลง แตย่ งั คงสามารถทำหนา้ ท่หี รือใหบ้ ริการพนื้ ฐานขององค์กรได้
- เกดิ ความเสยี หายเล็กน้อยต่อสนิ ทรพั ย์ขององคก์ ร
- เกดิ ความเสยี หายทางการเงินเพียงเล็กนอ้ ย
- เกดิ ผลกระทบเล็กนอ้ ยตอ่ บุคคล เช่น ทำให้ตอ้ งเปล่ียนเลขหมายโทรศพั ท์ เป็นต้น
(2) ระดบั กลาง (Moderate) ได้แก่ กรณีท่ผี ลกระทบจากการสูญเสยี การรกั ษาความลบั ของ
ขอ้ มูล (Confidentiality), ความถูกตอ้ งสมบรู ณ์ (Integrity) และความพร้อมใชง้ าน
(Availability) มแี นวโนม้ ทจี่ ะมีผลกระทบมาก (serious adverse effect) ท้งั ในระดับ
บุคคลและระดบั องค์กร เชน่
- เกิดผลกระทบมากต่อระบบสารสนเทศทำใหด้ อ้ ยประสทิ ธภิ าพลงอยา่ งมีนยั สำคญั
แตย่ งั คงสามารถทำหนา้ ท่หี รือใหบ้ ริการพนื้ ฐานขององค์กรได้
- เกดิ ความเสียหายมากอย่างมนี ยั สำคญั ตอ่ สนิ ทรัพย์ขององค์กร
- เกดิ ความเสียหายทางการเงนิ มากอยา่ งมนี ัยสำคญั
- เกดิ ผลกระทบมากอยา่ งมีนยั สำคัญต่อบคุ คล แต่ไม่ถึงขนาดท่ีเก่ียวกบั ความเป็น
ความตาย หรือไดร้ ับบาดเจบ็ ขั้นร้ายแรงถึงชวี ติ เช่น ทำใหเ้ กดิ ความเสยี หายทางการ
24 อา้ งองิ ตาม US Federal Information Processing Standards (FIPS) Publication 1999, Standards for Security
Categorization of Federal Information and Information Systems
38 Thailand Data Protection Guidelines 3.0
เงนิ เพราะถกู สวมรอยบคุ คลหรือถกู ปฏิเสธไมใ่ ห้ประโยชนบ์ างอยา่ ง, ทำใหต้ อ้ งอับ
อายแก่สาธารณะ, ทำให้ถกู เลือกปฏิบัติ, ทำให้ถูกแบล็คเมล์ เป็นต้น
(3) ระดบั สูง (High) ได้แก่ กรณีท่ผี ลกระทบจากการสูญเสยี การรกั ษาความลับของขอ้ มูล
(Confidentiality), ความถูกต้องสมบรู ณ์ (Integrity) และความพร้อมใช้งาน
(Availability) มแี นวโน้มท่ีจะมีความร้ายแรงหรอื เปน็ หายนะ (severe or catastrophic
adverse effect) ทง้ั ในระดับบคุ คลและระดบั องค์กร เชน่
- เกดิ ผลกระทบร้ายแรงตอ่ ระบบสารสนเทศทำใหด้ ้อยประสิทธิภาพลงอย่างมากจนถงึ
ขนาดที่ไม่สามารถทำหนา้ ท่ีหรือให้บรกิ ารพนื้ ฐานหน่ึงหรอื มากกว่านั้นขององคก์ รได้
- เกดิ ความเสยี หายร้ายแรงต่อสินทรัพย์ขององคก์ ร
- เกิดความเสยี หายรา้ ยแรงทางการเงนิ
- เกดิ ผลกระทบรา้ ยแรงต่อบคุ คล ถึงขนาดท่ีเก่ียวกับความเป็นความตาย หรอื ได้รับ
บาดเจ็บข้ันรา้ ยแรงถึงชีวติ เชน่ ความเสยี หายร้ายแรงทางรา่ งกาย, สังคม หรอื
ทางการเงิน ทำใหต้ อ้ งสญู เสียชวี ิต, สญู เสยี ความเป็นอยอู่ ันปกตสิ ขุ หรือถกู หน่วง
เหน่ียวกกั ขงั เปน็ ต้น
B2.11 ความเส่ยี งระดบั สงู (High) นัน้ รวมถึงความเสีย่ งทจ่ี ะเกดิ ผลกระทบตอ่ “สิทธิและเสรภี าพของ
เจ้าของข้อมลู ” (to the rights and freedom of data subjects) ซ่ึงรวมถงึ สทิ ธิและ
เสรภี าพดังตอ่ ไปนี้
- สิทธใิ นการไม่ถูกเลือกปฏิบัติ (right to non-discrimination)
- เสรภี าพในการแสดงความคดิ เหน็ (freedom of speech)
- เสรีภาพทางความคิดความเชอื่ และศาสนา (freedom of thought, conscience and
religion)
- เสรภี าพในการเคลื่อนยา้ ยถนิ่ ฐาน (freedom of movement) 25
B2.12 หากชุดข้อมูลใดมคี วามเสีย่ งระดบั สูง (High) กจ็ ำเปน็ ตอ้ งมกี ระบวนการ DPIA (Data
Protection Impact Assessment) ต่อไป (รายละเอียดดสู ว่ น E แนวปฏบิ ัติเพ่ือการ
ประเมนิ ผลกระทบด้านการคุ้มครองข้อมลู สว่ นบคุ คล)
25 Article 29 Data Protection Working Party, STATEMENT ON THE ROLE OF A RISK-BASED APPROACH IN DATA 39
PROTECTION LEGAL FRAMEWORKS (2014), at paragraph 8.
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั
B2.13 การกำหนดความเสี่ยงของข้อมลู สว่ นบุคคลชุดต่างๆโดยอย่างนอ้ ยคำนงึ ถึง
Identifiability
Volume
Access & Activity
Adverse Effects to Data Subjects
Adverse Effects to Organization
- [Identifiability] ผ้ปู ระกอบการตอ้ งมกี ารประเมินว่าข้อมูลสว่ นบุคคลน้นั สามารถใชเ้ พ่อื
ระบุตวั บุคคลไดง้ า่ ยเพยี งใด เชน่ ชุดข้อมลู ท่มี ี ช่ือและนามสกุล, ลายน้วิ มือ หรอื เลข
ประจำตัวประชาชน ย่อมถอื วา่ สามารถระบุตัวบุคคลไดโ้ ดยตรง ในขณะท่ชี ดุ ขอ้ มลู ท่มี ี
รหสั ไปรษณยี ์ และวันเกิด สามารถใชเ้ พื่อระบตุ ัวบคุ คลได้โดยอ้อม 26
- [Volume] ผู้ประกอบการต้องประเมินว่าจะมีผู้ไดร้ ับผลกระทบโดยถูกระบุตวั ตนไดเ้ ปน็
จำนวนมากเพยี งใด เพราะชดุ ขอ้ มลู ขนาดใหญเ่ มอ่ื เกิดเหตุร่ัวไหลของข้อมลู ส่วนบุคคล
ยอ่ มสร้างผลกระทบตอ่ บุคคลเปน็ จำนวนมาก และสรา้ งผลกระทบตอ่ ชอ่ื เสยี งขององคก์ ร
กรณีเชน่ น้กี ็จำเปน็ ทจี่ ะกำหนดระดบั ความเส่ยี งทส่ี งู เอาไว้ แต่ก็ไม่ไดห้ มายความวา่ ถ้ามีชุด
ข้อมูลขนาดเล็กกจ็ ะมรี ะดบั ความเสีย่ งที่ตำ่
- [User Access and Activity] ผู้ประกอบการตอ้ งประเมินว่ามผี ใู้ ชง้ านไดแ้ ก่ใครบ้าง
และใช้งานบอ่ ยและมากแคไ่ หน ย่งิ มผี ทู้ ี่สามารถเข้าถงึ ขอ้ มูลได้มากและบ่อยย่อมทำใหม้ ี
26 มีผลงานวิจยั พบว่า 97% ของบุคคลท่มี ี ช่อื และทีอ่ ยู่ ตามบญั ชีผมู้ สี ิทธิเลือกตง้ั สามารถใชเ้ พียงข้อมูลรหสั ไปรษณยี ์และ
วันเกดิ ในการระบุตัวบุคคลตามบัญชีได้, Latanya Sweeney, Computational disclosure control : a primer on
data privacy protection, 2001, http://dspace.mit.edu/handle/1721.1/8589; see also Paul Ohm, Broken
Promises of Privacy: Responding to The Surprising Failure of Anonymization, UCLA LAW REVIEW 77;
Arvind Narayanan & Edward W Felten, No silver bullet: De-identification still doesn’t work,
http://randomwalker.info/ publications/no-silver-bullet-de-identification.pdf; Contra. Ann Cavoukian &
Daniel Castro, Big Data and Innovation, Setting the Record Straight: De-identification Does Work,
(2014), http://www2.itif.org/2014-big-data-deidentification.pdf
40 Thailand Data Protection Guidelines 3.0
ความเสย่ี งทจี่ ะรั่วไหลได้ ทำนองเดียวกันกบั การเขา้ ถงึ ขอ้ มูลจากส่วนงานต่างๆกนั ด้วย
อุปกรณต์ า่ งๆกนั ดว้ ยแอพพลิเคชั่นต่างๆกนั ทั้งจากภายในและภายนอกองคก์ ร หรอื
แม้แตภ่ ายนอกประเทศ ยอ่ มทำใหม้ คี วามเส่ียงท่จี ะรั่วไหลไดม้ ากกวา่ นอกจากนกี้ รณที ่ี
ต้องมกี ารจัดเก็บข้อมูลและโอนย้ายข้อมลู ออกจากระบบย่อมมคี วามเส่ียงมากกว่าเช่นกัน
- [Adverse Effects to Data Subjects] ผ้ปู ระกอบการต้องประเมินความออ่ นไหวของ
ข้อมูลสว่ นบุคคลทม่ี อี ยู่ ขอ้ มูลเลขบตั รประชาชน, ข้อมลู ทางการแพทย์ หรอื ข้อมลู ทาง
การเงนิ ย่อมถือเปน็ ข้อมลู ที่มคี วามออ่ นไหวมากกว่าเลขหมายโทรศัพท์ หรือ
รหัสไปรษณีย์ ตัวอย่างเช่น
i. หากมขี ้อมูลเลขบัตรประชาชนในชุดขอ้ มลู ย่อมตอ้ งกำหนดระดับความเสย่ี งไว้ใน
ระดบั กลาง (moderate)
ii. หากมขี ้อมูลเลขบัตรประชาชนกับเลขบตั รเครดติ ย่อมตอ้ งกำหนดระดับความเสี่ยงไว้
ในระดบั กลาง (moderate)
iii. หากมขี อ้ มลู สถานทเี่ กิดหรอื ชอ่ื บดิ ามารดา ซ่ึงมักถูกใชเ้ ป็นข้อมูลยนื ยนั ตัวตนในการ
ขอ้ กรู้ หสั ผ่านของเวบ็ ไซต์จำนวนมาก ย่อมตอ้ งกำหนดระดับความเส่ยี งไว้ใน
ระดับกลาง (moderate)
- [Adverse Effects to Organization] ผปู้ ระกอบการอาจตอ้ งรับผดิ ต่อความเสยี หาย
ทอี่ าจเกดิ ขน้ึ จากขอ้ มูลรว่ั ไหลหรอื ถกู ละเมิด รวมถงึ ความรบั ผดิ ตามกฎหมายตา่ งๆ เชน่
กฎหมายคุม้ ครองขอ้ มูลส่วนบุคคล, กฎหมายอ่ืนทีก่ ำหนดความรบั ผิดกรณขี ้อมลู รัว่ ไหล
หรอื ความรับผดิ ตามกฎหมายตา่ งประเทศ เช่น GDPR เป็นต้น
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 41
B2.14 ตวั อยา่ งการกำหนดความเสยี่ งขอ้ มูล
ตัวอยา่ งบันทกึ เขา้ ออกอาคาร
บริษัทจดั เกบ็ ขอ้ มลู ของบุคคลท่เี ข้าและออกอาคารสำนกั งานของตนด้วยระบบสแกน
บตั รพนกั งาน และการแลกบตั รประจำตวั ประชาชนของบคุ คลภายนอก เพ่อื บันทกึ การเข้าออก
เพือ่ ความปลอดภยั และตรวจสอบได้เม่อื มีเหตทุ ่ไี มป่ ลอดภัย ทำใหม้ ีการจัดเก็บ ชอื่ -นามสกลุ
หนว่ ยงานที่สังกัด ตำแหน่งงาน เลขประจำตวั พนักงาน และเลขบัตรประจำตวั ประชาชน พรอ้ ม
ลงเวลาเข้าและออก โดยบันทึกไวใ้ นระบบคอมพิวเตอร์เปน็ log file
[Identifiability] การจัดเก็บข้อมูลดังกลา่ วยอ่ มระบุถึงตัวบคุ คลเจ้าของข้อมลู ได้
โดยตรง
[Volume] ข้อมลู มีประมาณ 100 รายการต่อวัน ถือว่ามีปรมิ าณมาก
[User Access and Activity] ขอ้ มลู สามารถเขา้ ถึงได้จากเจา้ หนา้ ทท่ี ่ีมหี น้าที่
ตรวจสอบเรอื่ งการเขา้ ออกเท่านน้ั โดยเปน็ การเขา้ ถงึ ภายในองค์กรเท่านั้นและไมเ่ ชือ่ มตอ่ ข้อมลู
ดงั กลา่ วไปยงั ส่วนอน่ื ใด บุคคลอ่นื ไม่สามารถเข้าถึงได้ เว้นแตไ่ ด้รับอนญุ าตจาก ผู้บริหารระดบั สงู
[Adverse Effects to Data Subjects] ขอ้ มูลสว่ นบคุ คลที่จดั เกบ็ ไว้อาจสรา้ ง
ผลกระทบทำให้เกิดความอับอาย เช่น ข้อมูลการเข้าออกกอ่ นเวลาทำงาน แตเ่ นื่องจากเป็นข้อมลู
ทีจ่ ำกัดเฉพาะการใชง้ านภายในองค์กร โอกาสทจี่ ะสร้างผลกระทบดงั กล่าวจึงมีอย่จู ำกัด
[Adverse Effects to Organization] หากเกดิ การรวั่ ไหลหรือละเมดิ อาจต้อง
รับผดิ ชอบชดเชยความเสยี หาย ซง่ึ มโี อกาสเกดิ ขน้ึ ไมม่ าก
ระดบั ความเส่ียง: ต่ำ เพราะมีผลกระทบน้อยและค่อนข้างจำกัด
42 Thailand Data Protection Guidelines 3.0
ตวั อยา่ งการจดั เกบ็ ข้อมูลการใช้งานภายในองคก์ ร (Intranet Activity Tracking) 27
ผ้ปู ระกอบการจัดเก็บขอ้ มูลการใชง้ านเว็บไซตภ์ ายในองค์กร (intranet) ของ
พนักงานโดยจัดเก็บขอ้ มูลได้แก่ IP Address, URL ทีใ่ ชง้ านก่อนท่จี ะสเู่ วบ็ ไซต์ดงั กล่าว, วัน
และเวลาทีใ่ ช้, หน้าเว็บหรือหวั ข้อที่ใช้งานภายในเว็บไซต์องค์กร
[Identifiability] ข้อมลู ทจี่ ดั เก็บไม่ใชข่ ้อมูลที่สามารถระบุตัวบคุ คลไดโ้ ดยตรง แตก่ ็มี
ระบบ login ทม่ี ีขอ้ มลู ทเ่ี ชอ่ื มโยงได้แก่ ขอ้ มลู User ID และ IP Address ซง่ึ ถ้าหากสามารถ
เขา้ ถงึ ข้อมูลทัง้ สองไดก้ จ็ ะทำใหส้ ามารถระบตุ วั บุคคลได้ อยา่ งไรก็ดีข้อมลู ทจ่ี ัดเกบ็ สว่ นใหญ่
เป็นขอ้ มูลเกีย่ วกบั การใชง้ านเวบ็ ไซต์ภายในองค์กร และมี ผู้ดูแลระบบจำนวนนอ้ ยท่ีสามารถ
เขา้ ถึงข้อมลู ได้ทงั้ 2 ระบบ
[Volume] ขอ้ มูลมปี ริมาณมาก
[User Access and Activity] ข้อมูลสามารถเขา้ ถึงได้จากผดู้ แู ลระบบจำนวนนอ้ ย
และเป็นการเข้าถึงจากระบบภายในองค์กรเทา่ นน้ั
[Adverse Effects to Data Subjects] ขอ้ มลู ทจ่ี ัดเกบ็ อาจสรา้ งผลกระทบทำใหเ้ กดิ
ความอบั อาย เช่น ข้อมูลค้นหาการใช้งานโปรแกรมทไ่ี ม่เหมาะสม แต่เนอ่ื งจากเป็นขอ้ มลู ที่
จำกดั เฉพาะการใชง้ านภายในองคก์ ร จำนวนข้อมูลทจ่ี ะสรา้ งผลกระทบดงั กล่าวจงึ มีอยจู่ ำกดั
[Adverse Effects to Organization] หากเกิดการรั่วไหลหรอื ละเมดิ บรษิ ัทอาจมี
ภาระต้องบรหิ ารจดั การปญั หาภายในองคก์ รท่ีอาจเกดิ ข้ึนตามมา
ระดบั ความเสี่ยง: ต่ำ เพราะมผี ลกระทบน้อยและคอ่ นขา้ งจำกดั
ตัวอย่างการเฝ้าระวงั การปฏบิ ตั ิงานของพนักงานบริษัท 28
บริษทั จดั เกบ็ ขอ้ มลู กิจกรรมตา่ งๆของพนักงานเพอ่ื การเฝา้ ระวัง (systematic
monitoring) รวมถึง การนงั่ ทำงานทีโ่ ต๊ะทำงาน หรือการใชง้ านอนิ เทอรเ์ น็ต เป็นตน้
[Identifiability] การจัดเกบ็ ข้อมลู ดังกลา่ วย่อมระบถุ ึงตัวบคุ คลเจ้าของข้อมูลได้
โดยตรง
27 NIST SPECIAL PUBLICATION 800-122, at 3.3.2
28 Article 29 Data Protection Working Party (WP29) Guidelines on Data Protection Impact Assessment
(DPIA) (wp248rev.01), p.11
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 43
[Volume] ข้อมูลมปี รมิ าณมาก
[User Access and Activity] ขอ้ มูลสามารถเขา้ ถึงไดจ้ ากผู้บริหารตามสายงาน ซึ่ง
ถือว่าค่อนข้างเปิดโอกาสให้มกี ารเขา้ ถึงไดง้ า่ ย
[Adverse Effects to Data Subjects] ขอ้ มูลสว่ นบุคคลทีจ่ ดั เกบ็ ไวอ้ าจสร้าง
ผลกระทบทำใหเ้ กดิ ความอับอาย เช่น ข้อมลู การเขา้ ออกกอ่ นเวลาทำงาน หรือการเข้าถงึ
เวบ็ ไซต์ทไ่ี ม่เหมาะสม หรือพฤติกรรมอ่นื ๆท่อี าจตรวจพบ ทำใหอ้ าจไม่สามารถใช้ชวี ติ อยา่ ง
ปกตสิ ขุ อกี ตอ่ ไปได้
[Adverse Effects to Organization] หากเกดิ การรัว่ ไหลหรือละเมดิ จะสง่ ผลเป็น
การทำลายความไวว้ างใจในองคก์ ร บริษทั อาจตอ้ งรบั ผดิ ชอบชดเชยความเสยี หาย และรบั ผดิ
ตามกฎหมายทีเ่ กยี่ วข้องซ่ึงมคี วามเป็นไปได้ต่างๆนาๆ
ระดบั ความเส่ยี ง: สงู เพราะมผี ลกระทบรา้ ยแรง จำเป็นต้องทำ DPIA ต่อไป
ตัวอยา่ งทำโปรไฟล์ขอ้ มูลสอื่ สังคมออนไลน์ 29
บรษิ ัทจัดเก็บขอ้ มลู ส่อื สังคมออนไลนส์ าธารณะเพื่อจดั ทำโปรไฟล่ิง (profiling)
[Identifiability] การจดั เก็บขอ้ มูลดงั กลา่ วย่อมระบถุ ึงตัวบคุ คลเจา้ ของขอ้ มลู ได้
โดยงา่ ย
[Volume] ข้อมูลมีปรมิ าณมาก
[User Access and Activity] ขอ้ มลู ถูกใชเ้ พ่อื การทำงานของบริษัทเกอื บทัง้ หมด
โดยไมไ่ ด้มีการแฝงข้อมลู (pseudonymization) หรอื ผสมขอ้ มลู (aggregation) เพือ่ ไม่ให้
ระบุตัวบุคคลเจ้าของขอ้ มูลได้ นอกจากน้ยี งั มีการเชอ่ื มโยงขอ้ มลู ระหวา่ งชดุ ข้อมูลโดยตลอด
[Adverse Effects to Data Subjects] ข้อมูลสว่ นบคุ คลบนสื่อสังคมออนไลนม์ ี
ลกั ษณะเป็นข้อมูลสว่ นบุคคลที่เป็นเรื่องส่วนตวั โดยแท้ของบุคคล มีความละเอยี ดออ่ นและสุม่
เสย่ี งตอ่ การถูกใช้ในการเลอื กปฏบิ ัตอิ ยา่ งไม่เปน็ ธรรม
29 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11
44 Thailand Data Protection Guidelines 3.0
[Adverse Effects to Organization] หากเกดิ การร่วั ไหลหรอื ละเมดิ จะสง่ ผลเป็น
การทำลายความไวว้ างใจในองค์กร บริษัทอาจต้องรบั ผิดชอบชดเชยความเสียหาย และรบั ผดิ
ตามกฎหมายทเ่ี กีย่ วข้องซง่ึ มีความเปน็ ไปได้มากมาย
ระดบั ความเสีย่ ง: สูง เพราะมผี ลกระทบรา้ ยแรง จำเปน็ ตอ้ งทำ DPIA ต่อไป
ตวั อยา่ งขอ้ มลู การรายงานการประพฤติมิชอบ 30
ฐานขอ้ มูลจดั เกบ็ การร้องเรยี นการประพฤติมชิ อบ ซ่งึ บางรายการเกย่ี วขอ้ งกบั ฐาน
ความผดิ รา้ ยแรง เช่น การกลา่ วหาวา่ รบั สนิ บน หรอื การละเลยไมบ่ งั คับใช้มาตรการเพอ่ื ความ
ปลอดภยั นอกจากนย้ี ังมกี ารจัดเกบ็ ขอ้ มลู ชื่อที่อยู่เพื่อการตดิ ตอ่ ซ่ึงผรู้ อ้ งเรยี นก็มักจะกรอก
ขอ้ มูลส่วนบุคคลไว้ให้ โดยเวบ็ ไซต์นจ้ี ดั เกบ็ IP Address และเวบ็ ไซตอ์ า้ งองิ ด้วย
[Identifiability] แม้ระบบจะไม่ได้กำหนดให้ผใู้ ช้งานตอ้ งให้ข้อมลู สว่ นบุคคล แต่
ผใู้ ชง้ านจำนวนมากเลอื กที่จะให้ข้อมูลสว่ นบคุ คลเอาไว้ นอกจากนีย้ ังจัดเก็บ IP Address แม้
จะไมไ่ ด้เชือ่ มโยงข้อมูลอ่ืนเพอื่ ระบุตัวบคุ คลเอาไว้
[Volume] ขอ้ มลู ประมาณ 50 รายการมขี อ้ มลู สว่ นบุคคลจากท้งั หมดประมาณ
1,000 รายการ
[User Access and Activity] ข้อมูลสามารถเข้าถงึ ไดจ้ ากผ้ทู ีม่ หี น้าทตี่ รวจสอบเรื่อง
รอ้ งเรยี นซงึ่ มจี ำนวนนอ้ ย โดยเป็นการเขา้ ถงึ ภายในองคก์ รเท่าน้นั
[Adverse Effects to Data Subjects] ข้อมลู สว่ นบุคคลทจี่ ัดเกบ็ ไวม้ ี ชือ่ ที่อยู่
อเี มล์ และเลขหมายโทรศัพท์ ซ่งึ มคี วามออ่ นไหวในแงท่ ่ีบุคคลตามขอ้ มูลดังกล่าวอาจไดร้ บั
ผลกระทบรา้ ยแรง เช่น การแบล็คเมล์ ความเครยี ดขัน้ รนุ แรง การออกจากงาน หรอื อาจได้รับ
อันตรายแกก่ ายหรือจติ ใจ
[Adverse Effects to Organization] หากเกิดการร่วั ไหลหรอื ละเมิด จะสง่ ผลเป็น
การทำลายความไวว้ างใจในองคก์ ร บริษทั อาจตอ้ งรบั ผดิ ชอบชดเชยความเสยี หาย และรบั ผดิ
ตามกฎหมายทีเ่ กี่ยวขอ้ ง
ระดับความเส่ียง: สูง เพราะมผี ลกระทบรา้ ยแรง จำเปน็ ต้องทำ DPIA ต่อไป
30 NIST SPECIAL PUBLICATION 800-122, at 3.3.3 45
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั
ตวั อยา่ งส่งอีเมล์ข่าวสารประจำวนั เพือ่ การประชาสมั พนั ธ์ 31
บริษัทจดั เกบ็ อเี มล์ของผเู้ ข้าชมเวบ็ ไซต์เพอ่ื จดั สง่ อีเมล์ขา่ วสารประจำวัน (daily
digest) แก่ผูส้ มัคร
[Volume] ขอ้ มลู มปี รมิ าณมาก
[Identifiability] การจัดเกบ็ ขอ้ มูลดังกลา่ วย่อมระบถุ ึงตวั บุคคลเจา้ ของข้อมูลได้
โดยงา่ ย
[User Access and Activity] ข้อมลู ถูกใช้เพ่อื การส่งอีเมลข์ ่าวโดยระบบอตั โนมัติ
และไมไ่ ด้เชอื่ มโยงไปยงั ระบบอื่นๆ
[Adverse Effects to Data Subjects] ขอ้ มูลอเี มลด์ ังกลา่ วทำใหเ้ กิดความรำคาญ
สำหรับผู้ทไ่ี มป่ ระสงค์จะรบั อีเมล์ข่าวดงั กล่าว
[Adverse Effects to Organization] หากเกิดการรัว่ ไหลหรอื ละเมดิ บริษัทอาจมี
ภาระต้องดำเนนิ การและรบั ผิดชอบตามกฎหมายค้มุ ครองข้อมูลสว่ นบคุ คล
ระดบั ความเสีย่ ง: ตำ่ เพราะมีผลกระทบน้อยและคอ่ นข้างจำกัด
B2.15 [Data Protection] ผปู้ ระกอบการตอ้ งมกี ระบวนการขั้นตอนรองรับการคุม้ ครองข้อมูลสว่ น
บคุ คลให้เหมาะสมตามความเสีย่ งและความร้ายแรงของผลกระทบ
(1) เง่อื นไขการเขา้ ถงึ ข้อมูลส่วนบุคคล เช่น การกำหนดชัน้ ข้อมลู การจำกดั การเขา้ ถงึ ขอ้ มลู
ส่วนบคุ คล รวมถงึ การควบคมุ การเข้าถงึ ขอ้ มูลตาม เวลา สถานท่ี และบทบาทของผ้เู ขา้ ถึง
ข้อมลู และรบั ผิดชอบ เปน็ ตน้
(2) กระบวนการรองรบั การเกบ็ รักษาข้อมลู ส่วนบุคคลทางกายภาพ (Physical Security)
เช่น
- การกำหนดพน้ื ทเี่ พอ่ื ความปลอดภัย (secure areas)
- การกำหนดหน่วยเกบ็ ข้อมูลเพือ่ ความปลอดภยั (secure storage)
- การกำหนดกระบวนการกำจดั ข้อมูลและอปุ กรณเ์ พอื่ ความปลอดภยั (secure
disposal)
(3) กระบวนการรองรับการจดั การข้อมูลส่วนบุคคลตลอดการพัฒนาระบบเทคโนโลยี
สารสนเทศ เชน่ การแฝงข้อมลู (pseudonymization) หรอื การเขา้ รหัสขอ้ มลู
(encryption) และการปลดระวางข้อมูล เปน็ ต้น
31 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11
46 Thailand Data Protection Guidelines 3.0
(4) แผนเผชญิ เหตเุ มือ่ มกี ารรว่ั ไหลหรือละเมดิ ขอ้ มลู สว่ นบุคคล
(5) มาตรการเมื่อมีการไมป่ ฏิบตั ติ ามขนั้ ตอนการคุ้มครองขอ้ มลู สว่ นบุคคล
(6) กระบวนการฝกึ อบรมพนกั งาน
B2.16 ในกรณีที่จะมีการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ
ผู้ประกอบการที่เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลจะต้องทำใหแ้ น่ใจว่ามีมาตรการ
คุม้ ครองขอ้ มูลส่วนบคุ คลที่เพียงพอ (appropriate safeguards) และจะสามารถบังคับใช้สิทธิ
ของเจ้าของข้อมูล รวมทั้งมีมาตรการเยยี วยาตามกฎหมายที่จะบังคับใช้ได้ 32 (รายละเอียดดู
สว่ น D5)
32 GDPR, Article 46.1
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 47
B3. การประมวลผลข้อมูลสว่ นบคุ คลท่ีมีความออ่ นไหวเป็นพเิ ศษ
(Special Categories or Sensitive Data)
B3.1 การประมวลผลขอ้ มูลส่วนบคุ คลท่ีเกีย่ วกับเชอ้ื ชาติ เผ่าพนั ธุ์ ความคิดเห็นทางการเมือง ความเชอ่ื
ในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสขุ ภาพ ความพิการ
ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของ
ข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ
กำหนด โดยหลักจะตอ้ งไดร้ ับความยินยอมโดยชดั แจง้ จากเจ้าของขอ้ มลู ส่วนบุคคล เว้นแต่จะมี
ข้อยกเว้นตามที่กฎหมายกำหนด33 โปรดดูรายละเอยี ดของข้อยกเว้นหรือเง่ือนไขพิเศษของการ
ประมวลผลข้อมูลออ่ นไหวเพิ่มเตมิ ได้ท่ีหวั ขอ้ G ของคู่มอื ฉบับนี้
(1) [คำอธิบายทั่วไป] กฎหมายไม่ได้กำหนดคำเรียกข้อมูลข้างต้นไว้อย่างชัดเจน แต่ใน
วงการคุ้มครองข้อมูลส่วนบุคคลจะเรียกข้อมูลประเภทดังกล่าวว่า “ข้อมูลอ่อนไหว
(sensitive data)” กันอย่างแพร่หลาย ส่วน GDPR ได้เรียกข้อมูลประเภทดังกล่าวว่า
“ข้อมลู ส่วนบุคคลประเภทพเิ ศษ (special categories of personal data)”34
(2) [ข้อสังเกตเกี่ยวกับประเภทข้อมูล] ประเภทของข้อมูลอ่อนไหวตามกฎหมายไทย มี
ความแตกต่างจาก GDPR เล็กน้อย คอื
(2.1) GDPR ได้แยกข้อมูลประเภทประวัติอาชญากรรม (personal data relating to
criminal convictions and offences) ไว้เป็นข้อมูลอีกประเภทหนึ่ง โดย
จะต้องไดร้ บั การประมวลผลโดยหน่วยงานเฉพาะที่กฎหมายกำหนด และภายใต้
กฎหมายเฉพาะที่ถูกสร้างขึ้นเพื่อการปกป้องคุ้มครองสิทธิเสรีภาพของเจ้าของ
ขอ้ มลู สว่ นบุคคลอย่างเพียงพอ (appropriate safeguard) แต่ตามกฎหมายไทย
ข้อมูลประวัติอาชญากรรมถอื เป็นข้อมลู อ่อนไหวเชน่ กันและโดยหลักจะตอ้ งได้รับ
ความยินยอมโดยชัดแจ้งก่อนถึงจะสามารถประมวลผลข้อมูลได้ซึ่งจะได้อธิบาย
ตอ่ ไป
33 พระราชบัญญัติคุ้มครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562 มาตรา 26, 27
34 GDPR, Article 9
48 Thailand Data Protection Guidelines 3.0
(2.2) GDPR ไม่ได้กำหนดว่าข้อมูลความพิการเป็นข้อมูลส่วนบุคคลประเภทพิเศษ
อย่างไรกด็ ี ขอ้ มลู ความพิการกถ็ ือเป็นข้อมูลสขุ ภาพ (data concerning health)
ประเภทหน่ึง35
(3) [เหตุผลที่ข้อมูลได้รับความคุ้มครองเป็นพิเศษ] เหตุผลที่กฎหมายได้กำหนดให้ข้อมูล
ออ่ นไหวน้ันจะตอ้ งได้รบั การจดั การเป็นพเิ ศษและไดร้ บั ความคุ้มครองมากกวา่ ข้อมูลส่วน
บุคคลปกติ คอื การประมวลผลข้อมูลสว่ นบุคคลประเภทข้อมูลอ่อนไหวนัน้ อาจก่อให้เกิด
ความเสี่ยงอย่างแจ้งชัดต่อสทิ ธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความ
เชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูก
เลือกปฏบิ ตั ิ เปน็ ตน้ ซ่ึงการประมวลผลข้อมูลสว่ นบุคคลประเภทขอ้ มลู อ่อนไหวนั้น อาจ
กอ่ ใหเ้ กดิ การแทรกแซงซงึ่ สทิ ธเิ สรีภาพ การเลอื กปฏบิ ัตติ อ่ การใช้สิทธเิ สรภี าพของบุคคล
ได้36 ทั้งนี้ โดยไม่ได้คำนึงถึงความอ่อนไหวตามธรรมชาติของข้อมูล เช่น ข้อมูลทางการ
เงนิ ขอ้ มลู ส่วนตัวบางประการ แมจ้ ะมีความอ่อนไหวก็ตามแต่กไ็ ม่ถือว่าการประมวลผล
ข้อมูลดังกลา่ วจะทำใหเ้ กิดการกระทบต่อสิทธเิ สรภี าพขั้นพื้นฐานของบุคคลที่ควรได้รบั
ความคุ้มครองตาม GDPR แตอ่ ยา่ งใด37
B3.2 การพิจารณาว่าข้อมูลส่วนบุคคลใดแม้โดยสภาพจะสื่อให้เห็นถึงลักษณะที่เป็นข้อมูลอ่อนไหว
(เช่น ชื่อที่มีลักษณะเฉพาะของศาสนาหรือรูปภาพบุคคลที่ทำใหส้ ื่อให้เห็นถงึ เชื้อชาติหรอื ความ
เชื่อทางศาสนาได้) แต่ไม่ใช่ทุกกรณีที่ข้อมูลดังกล่าวจะเป็นข้อมูลอ่อนไหว ต้องพิจารณาว่า
“กิจกรรม” การใช้หรือประมวลผลข้อมูลส่วนบุคคลดังกลา่ วใช้เพื่อวัตถุประสงคใ์ ด หากถูกใช้
เพื่อวัตถุประสงค์ในการบ่งชีส้ ิ่งทีข่ ้อมูลนัน้ เป็น เช่น เชื้อชาติหรือศาสนา เป็นต้น ก็จะทำให้การ
ประมวลผลในลักษณะดังกล่าวเป็นการประมวลผลขอ้ มูลสว่ นบุคคลประเภทขอ้ มูลอ่อนไหว แต่
หากถกู ใช้เพ่ือการยนื ยันตัวตนหรือระบุตัวตนเฉยๆ กรณีดงั กลา่ วจะถอื เป็นการประมวลผลข้อมูล
35 GDPR, Recital 3
36 GDPR, Recital 51
37 Information Commissioner’s Office, Guideline to GDPR - Lawful basis for processing Special category
data, 2019 at https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/special-category-data/what-is-special-category-data/
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 49
ส่วนบุคคลธรรมดา38 นอกจากน้ี หากการอนมุ าน (inference) ขอ้ มูลส่วนบุคคลประเภทอื่นๆ ที่
ถูกนำมาใช้ร่วมกันกับหรือเพื่อเชื่อมโยงข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว เพื่อให้บรรลุ
วัตถุประสงค์บางอย่างเพิ่มเติมก็ถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูล
อ่อนไหวเชน่ กัน39
B3.3 ข้อมูลส่วนบุคคลที่เกี่ยวกบั เชือ้ ชาติ เผ่าพันธ์ุ (personal data revealing racial or ethnic
origin)
[นยิ ามเบื้องตน้ ] กฎหมายไม่ไดก้ ำหนดคำนยิ ามของคำว่า “เชอ้ื ชาต”ิ และ “เผา่ พันธ์ุ” ไว้อย่าง
ชัดเจน อย่างไรก็ดี ตามสารานุกรมไทยสำหรับเยาวชนได้ให้คำนิยามของคำศัพท์ที่ใกล้เคียงไว้
ดังนี้
(1) “เชื้อชาติ (race) คือ ลักษณะทางชีวภาพของคน ซึ่งเห็นได้อย่างชัดเจนจากลักษณะ
รูปพรรณ สีผิว เส้นผม และตา” โดยการแบ่งกลุ่มเชื้อชาติ (racial group) มักแบ่ง
ออกเป็น 3 กลุ่ม คือ นิกรอยด์ (Negroid) มองโกลอยด์ (Mongoloid) และคอเคซอยด์
(Caucasoid) ในตอนหลังไดเ้ พ่ิมออสตราลอยด์ (Australoid) โพลนิ ีเชียน (Polynesian)
ฯลฯ อกี ด้วย40
(2) “ชาติพันธุ์ (ethnicity) คือ การมีวัฒนธรรมขนบธรรมเนียมประเพณี ภาษาพูดเดียวกนั
และเชื่อว่าสืบเชื้อสายมาจากบรรพบรุ ุษกลุ่มเดียวกัน เช่น ไทย พม่า กะเหรี่ยง จีน ลาว
เป็นต้น” นอกจากนี้ ตามพจนานุกรมศัพท์สังคมวิทยาได้ให้ความหมายของคำว่า “ชาติ
พันธุ์ (ethnos)” ไว้ว่า “กลุ่มที่มีพันธะเกี่ยวข้องกัน และที่แสดงเอกลักษณ์ออกมาโดย
การผูกพันลักษณะการของเชื้อชาติ และสัญชาติ เข้าด้วยกัน...ถ้าจะใช้ให้ถูกต้องจะมี
ความหมายเฉพาะใชก้ บั กลุ่มทม่ี พี นั ธะทางเชื้อชาติและทางวัฒนธรรม ประสานกันเข้าจน
สมาชิกของกล่มุ เอง ไม่รสู้ ึกถงึ พันธะของทง้ั สองนีแ้ ละคนภายนอก ทีไ่ มม่ ีความเชี่ยวชาญ
จะไมแ่ ลเหน็ ถึงความแตกตา่ งกนั " กลมุ่ ชาตพิ นั ธ์หุ รอื กลุ่มวฒั นธรรมมีลกั ษณะเด่นคือ เป็น
38 Information Commissioner’s Office, Guideline to GDPR - Lawful basis for processing Special category
data, 2019 at https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/special-category-data/what-is-special-category-data/
39 Information Commissioner’s Office, Guideline to GDPR - Lawful basis for processing Special category
data, 2019 at https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/special-category-data/what-is-special-category-data/
40 มลู นิธโิ ครงการสารานุกรมไทยสำหรับเยาวชนฯ, สารานกุ รมไทยสำหรับเยาวชนฯ เลม่ ท่ี 23, 2550,
http://saranukromthai.or.th/sub/book/book.php?book=23&chap=5&page=t23-5-infodetail01.html
50 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: