(1.2) ผู้ท่ีมกี จิ กรรมหลัก 157 เป็นการประมวลผลขอ้ มูลซงึ่ มีการติดตามเจ้าของข้อมูลจำนวน
มาก 158 อย่างสม่ำเสมอและเป็นระบบ 159 ตามท่คี ณะกรรมการประกาศกำหนด
(1.3) ผทู้ ี่มกี ิจกรรมหลักเปน็ การประมวลผลขอ้ มลู ออ่ นไหว
(2) [การแต่งตั้งเจ้าหน้าท่คี ้มุ ครองขอ้ มลู ส่วนบุคคลร่วมกนั ]
(2.1) หน่วยงานของรัฐซึ่งมีขนาดใหญ่หรือที่ทำการหลายแห่ง โดยที่ทำการแต่ละแหล่ง
จะต้องติดตอ่ เจ้าหน้าทคี่ ุ้มครองขอ้ มูลส่วนบุคคลไดง้ า่ ย
(2.2) กิจการหรือธุรกิจที่อยู่ในเครือเดียวกัน โดยกิจการหรือธุรกิจในเครือจะต้องติดต่อ
เจา้ หนา้ ทค่ี ้มุ ครองข้อมูลสว่ นบุคคลไดง้ ่าย
(3) [สถานะและคณุ สมบัติของเจา้ หน้าทค่ี มุ้ ครองขอ้ มูลสว่ นบคุ คล]
(3.1) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นพนักงานหรือลูกจ้างก็ได้ หรือจะเป็นผู้
รับจา้ งตามสัญญาให้บรกิ ารก็ได้
(3.2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลควรจะมีคุณสมบัติเป็นผู้มีความรู้ด้านกฎหมาย
คมุ้ ครองข้อมูลส่วนบคุ คล เข้าใจกิจกรรมการประมวลผลข้อมูลขององคก์ ร เขา้ ใจงาน
ด้านเทคโนโลยสี ารสนเทศและการรักษาความม่นั คงปลอดภัย มคี วามรู้เก่ียวกับภาค
ธรุ กิจและองคก์ ร และมีความสามารถท่ีจะสร้างวฒั นธรรมค้มุ ครองข้อมูลส่วนบุคคล
ภายในองค์กร
(4) [การปฏิบัตหิ น้าทข่ี องเจา้ หนา้ ทีค่ มุ้ ครองขอ้ มูลสว่ นบุคคล]
157 กจิ กรรมหลัก (core activities) คือการดำเนินการเพอ่ื ใหบ้ รรลุวัตถุประสงคข์ ององคก์ รน้ัน เชน่ การประมวลผลข้อมูล
ด้านสุขภาพเป็นกิจกรรมหลักของโรงพยาบาลเพื่อใหบ้ รรลุวัตถุประสงค์ของโรงพยาบาล จึงต้องมีการแต่งตั้งเจ้าหนา้ ท่ี
ค้มุ ครองขอ้ มูลสว่ นบคุ คล เป็นต้น สว่ นกิจกรรมท่ีเป็นการสนับสนุน เช่น การจา่ ยเงินลูกจ้าง เปน็ ต้น แมจ้ ะเป็นกิจกรรมท่ี
จำเป็นที่แต่ก็ไม่ใช่กิจกรรมหลักขององค์กร, see Article 29 Working Party, Guidelines on Data Protection
Officers (‘DPOs’) (wp243rev.01).
158 การพิจารณาวา่ เป็นการดำเนนิ การกับขอ้ มูลหรือเจา้ ของข้อมลู จำนวนมาก (large scale) ควรพิจารณาถงึ องคป์ ระกอบ
หลายอย่าง ไดแ้ ก่ จำนวนเจา้ ของขอ้ มูลทีเ่ กี่ยวข้องโดยอาจเปน็ การคำนวณจำนวนหรือสัดส่วนจากจำนวนกลุม่ ที่เกี่ยวข้อง
จำนวนข้อมูลหรอื ลักษณะของข้อมูลที่มีการประมวลผล ระยะเวลาในการประมวลผล ขอบเขตในเชิงภูมิศาสตร์ของการ
ประมวลผลข้อมูล ทั้งนี้กิจกรรมที่น่าจะเป็นการประมวลผลข้อมูลจำนวนมาก เช่น การประมวลผลข้อมูลผู้ป่วยของ
โรงพยาบาล การประมวลผลข้อมูลลูกค้าของธนาคารและบริษัทประกันภัย การประมวลผลข้อมูลเพื่อการโฆษณาโดย
พิเคราะห์จากพฤติกรรมในการใช้เคร่อื งมอื ค้นหา (behavioral advertising by a search engine) การประมวลผลข้อมูล
ของผู้ให้บรกิ ารอนิ เทอร์เนต็ (ISP) หรอื ผู้ให้บรกิ ารโทรคมนาคม, , see Article 29 Working Party, Guidelines on Data
Protection Officers (‘DPOs’) (wp243rev.01).
159 การตดิ ตามอยา่ งสมำ่ เสมอ (regular) และเปน็ ระบบ (systematic) หมายถึง การตดิ ตามหรือโปรไฟลิ่งในอินเทอร์เน็ต
ทกุ รปู แบบ ซงึ่ รวมถึงการโฆษณาโดยพเิ คราะหถ์ งึ รูปแบบพฤตกิ รรม (behavioral advertising) ด้วย
150 Thailand Data Protection Guidelines 3.0
(4.1) เจ้าหน้าที่คุม้ ครองข้อมูลส่วนบุคคลจะต้องได้รับการสนับสนุนการทำงานและได้รับ
การอำนวยความสะดวกอย่างเพียงพอ ทั้งนี้ ขึ้นอยู่กับการดำเนินกิจการและขนาด
ขององคก์ รดว้ ย เชน่ การสนบั สนนุ จากฝ่ายบริการงานท่ัวไป การใหเ้ วลาเพียงพอใน
การทำงานของเจา้ หน้าทีค่ ุ้มครองข้อมลู ส่วนบุคคล การจัดหาทรัพยากรในการทำงาน
ให้เพยี งพอแกก่ ารทำงาน ไมว่ า่ จะในลกั ษณะของเงนิ โครงสรา้ งพ้ืนฐาน และพนกั งาน
สนับสนุน การสื่อสารองค์กร การเข้าถึงบริการอื่นๆ ของกิจการเพื่อสนับสนุนการ
ปฏิบัตหิ น้าทข่ี องเจ้าหนา้ ทีค่ ุ้มครองข้อมูลสว่ นบคุ คล การฝกึ อบรมอยา่ งต่อเนอ่ื ง เป็น
ต้น
(4.2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับความคุ้มครองและควรมีมาตรการเพื่อให้
การปฏิบัติหนา้ ทีข่ องเจา้ หน้าท่คี ุ้มครองข้อมลู ส่วนบุคคลเปน็ ไปโดยอิสระ การให้ออก
หรือเลิกจ้างเพราะเหตุที่เจ้าหน้าที่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วน
บคุ คล พ.ศ. 2562 จะทำมิได้ 160
(4.3) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของ
องคก์ รได้
(4.4) เจา้ หนา้ ทค่ี มุ้ ครองข้อมลู ส่วนบุคคลอาจได้รบั มอบหมายให้ปฏิบัติภารกิจอ่ืน แต่ต้อง
ไม่ขัดหรือแย้งกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (conflict of
interest) เช่น เจ้าหน้าทค่ี ุม้ ครองข้อมูลส่วนบคุ คลจะเป็นบคุ คลคนเดียวกับผู้บริหาร
องค์กรในระดบั สูงอย่างประธานเจ้าหนา้ ท่ีบริหาร (CEO) ผ้จู ดั การฝ่ายการตลาด หรือ
หัวหนา้ ฝา่ ยบุคคลไม่ได้ เปน็ ตน้ 161
(5) [ภารกจิ ของเจ้าหนา้ ทคี่ ุ้มครองขอ้ มลู ส่วนบคุ คล]
160 การให้เจา้ หน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรอื เลกิ จา้ งเพราะเหตุที่ปฏบิ ัตติ ามกฎหมายนน้ั เป็นการฝาฝืน
พระราชบัญญัตคิ ้มุ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562 ตอ้ งระวางโทษปรบั ทางปกครองไมเ่ กินหนึง่ ลา้ นบาท (มาตรา 82)
161 เจ้าหน้าท่คี มุ้ ครองขอ้ มลู สว่ นบคุ คลอาจเป็นตำแหน่งอ่นื ๆ ได้หากปรากฏวา่ ไมไ่ ดม้ ีอำนาจตดั สินใจแต่บทบาทในอยใู่ น
เชงิ ใหค้ วามคดิ เห็นหรือใหข้ อ้ เสนอแนะ เชน่ Chief Information Officer หรอื Chief Legal Officer ได้ เปน็ ตน้ อยา่ งไร
กด็ ี จะต้องพิจารณาบทบาทหรอื ลักษณะงานของตำแหน่งดงั กล่าวด้วยวา่ จะถอื วา่ มกี รณีการขดั กันซึง่ ผลประโยชนห์ รอื ไม่
(Conflict of Interest) ดังน้ันการเรยี กชอื่ ตำแหน่งบางตำแหน่งจงึ ไม่อาจสรปุ ไดอ้ ย่างแน่นอนว่าบคุ คลทไี่ ด้รบั ตำแหนง่ นน้ั
จะสามารถเป็นเจา้ หน้าทค่ี ุ้มครองข้อมูลส่วนบคุ คลไปดว้ ยในขณะเดียวกนั ได้หรือไม่
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 151
(5.1) ให้คำแนะนำและตรวจสอบการดำเนินงานใหก้ ารประมวลผลข้อมูลสว่ นบคุ คลเป็นไป
ตามพระราชบัญญัติคุม้ ครองขอ้ มลู ส่วนบุคคล พ.ศ. 2562 162
(5.2) เป็นบุคคลที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครอง
ขอ้ มลู ส่วนบคุ คล
(5.3) รกั ษาความลบั ที่ไดม้ าเน่ืองจากการปฏิบตั ิหน้าท่ี
(6) [ความรบั ผิดของเจ้าหน้าทคี่ มุ้ ครองขอ้ มูลส่วนบคุ คล]
(6.1) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่มีความรับผิดเป็นส่วนตัวต่อการฝ่าฝืน
พระราชบญั ญตั ิคมุ้ ครองข้อมูลสว่ นบคุ คล พ.ศ.2562 เพราะผูท้ ี่ต้องรับผิดชอบได้แก่ผู้
ควบคมุ ขอ้ มลู หรือผปู้ ระมวลผลขอ้ มูลแล้วแตก่ รณี
(6.2) อย่างไรก็ดีถ้าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รู้ข้อมูลส่วนบุคคลของผู้อ่ืน
เนื่องจากการปฏบิ ัติหน้าที่ตามพระราชบญั ญัตินี้ แล้วไปเปิดเผยแก่ผู้อ่ืน ต้องระวาง
โทษอาญาตามกฎหมาย 163 เว้นแต่จะเปน็ การเปดิ เผยท่ีชอบดว้ ยกฎหมาย 164
D1.20 ผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักรแต่อยู่ภายในบังคับของพระราชบัญญัติคุ้มครอง
ขอ้ มูลส่วนบุคคล พ.ศ. 2562 จะต้องตั้งตวั แทนในราชอาณาจกั ร 165
(1) [ผู้ประมวลผลขอ้ มูลที่จะตอ้ งตั้งตัวแทนในราชอาณาจักร] ผู้ประมวลผลข้อมูลที่อยู่นอก
ราชอาณาจักรแต่มีการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ใน
ราชอาณาจักร ไม่ว่าจะมีการชำระเงินแล้วหรือไม่ก็ตาม หรือมีการเฝ้าติดตามพฤติกรรม
ของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักรมีหน้าที่ที่จะต้องตั้งตัวแทนใน
ราชอาณาจักร โดยได้รับมอบอำนาจให้กระทำการแทนผู้ประมวลผลข้อมลู ส่วนบุคคลโดย
ไมม่ ีข้อจำกดั ความรบั ผิดใดๆ ท่ีเกย่ี วกบั การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามวตั ถปุ ระสงคข์ องผปู้ ระมวลผลข้อมูลสว่ นบคุ คล
162 การตรวจสอบและให้คำแนะนำนั้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยปกติจะต้องทราบถึงกระบวนการและ
กิจกรรมทั้งหมดท่ีมกี ารประมวลผลข้อมูลขององค์กร เมอื่ นำมาวเิ คราะหแ์ ละตรวจสอบวา่ กิจกรรมต่างๆ เหล่าน้ันเป็นไป
ตามกฎหมายหรือไม่ หลงั จากน้นั จึงแจง้ และใหค้ ำแนะนำแกอ่ งค์กรเพือ่ ปฏบิ ตั ใิ หเ้ ป็นไปตามกฎหมายตอ่ ไป
163 จำคกุ ไม่เกินหกเดือน หรือปรบั ไม่เกนิ ห้าแสนบาท หรือท้งั จำทง้ั ปรบั (มาตรา 80)
164 ตัวอย่างเช่น การเปิดเผยตามหน้าที่ การเปิดเผยเพื่อประโยชน์ในการสอบสวนหรือการพิจารณาคดี การเปิดเผยแก่
หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหนา้ ที่ตามกฎหมาย การเปดิ เผยทีไ่ ดร้ ับความยินยอมเป็นหนังสือ
เฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยขอ้ มูลส่วนบุคคลทีเ่ กีย่ วกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อ
สาธารณะ เปน็ ตน้
165 พระราชบัญญัตคิ ุม้ ครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562 มาตรา 37(5) และ 38
152 Thailand Data Protection Guidelines 3.0
(2) [ข้อยกเว้นไม่ต้องตั้งตัวแทน] ผู้ประมวลผลส่วนบุคคลที่อยู่นอกราชอาณาจักรที่ได้รับ
ยกเวน้ ไม่ต้องต้ังตัวแทนในราชอาณาจกั รได้แก่
(2.1) หนว่ ยงานของรัฐตามทคี่ ณะกรรมการประกาศกำหนด
(2.2) ผู้ประมวลผลขอ้ มูลที่คณะกรรมการประกาศกำหนด ที่ไม่ได้ดำเนินการเกีย่ วข้องกบั
ขอ้ มูลออ่ นไหว และไม่ไดด้ ำเนนิ การกับขอ้ มูลสว่ นบุคคลเป็นจำนวนมาก
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 153
D2. แนวปฏิบตั ิเกีย่ วกบั การจดั ทำข้อตกลงระหวา่ งขอ้ ตกลงระหวา่ ง
ผู้ควบคุมข้อมลู สว่ นบคุ คลและผปู้ ระมวลผลข้อมลู
(Data Processing Agreement)
พระราชบญั ญัตคิ ุม้ ครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดหนา้ ท่ีใหผ้ คู้ วบคมุ ข้อมูลส่วนบุคคล
(Data controller) คุ้มครองข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ
เจ้าของข้อมูลส่วนบุคคล 166 โดยผู้ควบคุมข้อมูลส่วนบุคคลอาจมอบหมายให้บุคคลหรือนิติบุคคลอ่ืน
ดำเนนิ การเก่ยี วกับการเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมลู สว่ นบุคคลตามคำสง่ั หรือในนามของผู้ควบคุม
ข้อมูล ในกรณีนี้ บคุ คลหรอื นิตบิ ุคคลที่ได้รับการมอบหมายใหป้ ระมูลผลข้อมลู ส่วนบคุ คลจะมีสถานะเป็น
“ผู้ประมวลผลข้อมูลส่วนบุคคล” (“Data processor”) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 โดยอาจแสดงตัวอย่างความสัมพันธ์ระหว่างเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วน
บุคคลและผปู้ ระมวลผลขอ้ มลู สว่ นบุคคลได้ตามภาพดงั ตอ่ ไปน้ี
ผใู้ ชบ้ ริการเว็บไซต์ สมคั รเข้าเป็นสมาชิกของเวบ็ ไซต์และยอมรับเง่อื นไข
(เจา้ ของข้อมลู ส่วนบคุ คล) การใชง้ านเว็บไซต์
ข้อตกลงการใช้บรกิ าร
ผูใ้ ห้บรกิ ารเว็บไซต์ซ้อื ขายสนิ คา้ เก็บรวบรวมข้อมลู ส่วนบคุ คลของผใู้ ช้บริการ เชน่ ข้อมลู
(ผูค้ วบคุมข้อมลู สว่ นบุคคล) เก่ียวกับการซอื้ สินค้าและประวตั กิ ารคน้ หา
สัญญาว่าจ้างให้วเิ คราะห์ข้อมลู
ผใู้ หบ้ รกิ ารวิเคราะหข์ ้อมลู รับจ้างวเิ คราะหข์ ้อมลู ตามคำสั่งของผู้ว่าจา้ ง
ทถี่ กู เกบ็ รวบรวมจากเว็บไซต์
(ผปู้ ระมวลผลข้อมลู )
166 พระราชบัญญตั ิคมุ้ ครองขอ้ มลู ส่วนบคุ คล พ.ศ.2562 หมวด 2
154 Thailand Data Protection Guidelines 3.0
ผู้ให้บริการวิเคราะหข์ ้อมูลที่ถูกเก็บรวบรวมจากเว็บไซต์ซื้อขายสินค้าของผู้ควบคุมข้อมลู นั้นมี
หน้าทต่ี ามพระราชบัญญตั ิคุ้มครองขอ้ มูลสว่ นบคุ คล พ.ศ.2562 ท่ีจะต้อง
- ดำเนนิ การเก่ียวกบั การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบคุ คลตามคำส่ังท่ีได้รับจากผู้
ใหบ้ รกิ ารเว็บไซตซ์ ือ้ ขายสนิ ค้าเทา่ น้ัน (เว้นแตค่ ำสง่ั นัน้ ขัดตอ่ กฎหมายหรอื บทบัญญัติในการ
ค้มุ ครองข้อมูลส่วนบคุ คลตามพระราชบญั ญตั ิค้มุ ครองขอ้ มลู ส่วนบุคคล พ.ศ.2562) 167
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้
เปลย่ี นแปลง แก้ไข หรือเปิดเผยขอ้ มลู สว่ นบุคคลโดยปราศจากอำนาจหรอื โดยมิชอบ รวมทั้ง
แจ้งใหผ้ ูค้ วบคุมขอ้ มูลส่วนบุคคลทราบถงึ เหตุการละเมิดข้อมลู ส่วนบุคคลทเ่ี กิดข้นึ 168 และ
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตาม
หลักเกณฑแ์ ละวิธกี ารทค่ี ณะกรรมการคุ้มครองขอ้ มูลสว่ นบคุ คลประกาศกำหนด 169
นอกจากหนา้ ท่ีตามกฎหมายในการคุ้มครองข้อมูลส่วนบคุ คลของผใู้ ชบ้ ริการเว็บไซต์ข้างต้นแล้ว
พระราชบญั ญัติคุ้มครองข้อมูลสว่ นบคุ คล พ.ศ.2562 ยังกำหนดให้ผูใ้ หบ้ ริการเว็บไซตซ์ อื้ ขายสนิ คา้ ซึง่ เป็น
ผู้ควบคุมข้อมูลทำข้อตกลงกับผู้ให้บริการวิเคราะห์ข้อมูลซึ่งมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล
เพื่อควบคมุ การดำเนนิ งานตามหน้าที่ทีก่ ำหนดในสัญญาว่าจ้างให้วิเคราะห์ข้อมูล 170 อีกด้วย ด้วยเหตุนี้
ผู้ให้บริการวิเคราะห์ข้อมูลที่ถูกเก็บรวบรวมจากเว็บไซต์จึงมีหน้าที่ต้องทำการประมวลผลข้อมูลส่วน
บุคคลทั้งตามหน้าท่ีที่กฎหมายบญั ญัติและตามข้อตกลงที่ได้ทำกับผู้ให้บริการเว็บไซตซ์ ื้อขายสินค้า ซ่ึง
แสดงได้ตามแผนภาพดงั น้ี
หนา้ ทต่ี ามกฎหมาย (legal obligations) เช่น หน้าที่ตามมาตรา 40 ของ
พระราชบัญญตั คิ ุม้ ครองข้อมลู สว่ นบุคคล พ.ศ. 2562
หนา้ ทตี่ ามขอ้ ตกลง (contracutal obligations) ท่ีไดท้ าํ กบั ผูค้ วบคมุ
ขอ้ มลู ส่วนบุคคล
167 พระราชบัญญัติค้มุ ครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 มาตรา 40วรรคหน่งึ (1) 155
168 พระราชบญั ญัติคมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 มาตรา 40 วรรคหน่งึ (2)
169 พระราชบญั ญตั คิ ุ้มครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 มาตรา 40 วรรคหนึง่ (3)
170 พระราชบัญญตั คิ มุ้ ครองข้อมูลสว่ นบุคคล พ.ศ. 2562, มาตรา 40 วรรคสาม.
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั
กรณีที่ผู้ให้บริการเว็บไซต์ซื้อขายสนิ ค้าได้ทำสัญญาว่าจ้างให้ผู้ให้บริการทำการวิเคราะห์ข้อมูล
ตามสัญญาว่าจ้างให้วิเคราะห์ข้อมูล ซึ่งโดยทั่วไปแล้วสัญญาว่าจ้างดังกล่าวจะกำหนดสิทธิหน้าที่ของ
คู่สัญญาในฐานะผู้ว่าจ้างและผู้รับจ้างในเรื่องของหน้าที่และวิธีการในการวิเคราะห์ข้อมูล การชำระ
คา่ บริการ ความรับผดิ และสทิ ธิในทรพั ย์สนิ ทางปญั ญา 171 และอาจไมม่ ีขอ้ กำหนดในสญั ญาเกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล ด้วยเหตุนี้ กรณีจงึ มีประเด็นว่า “ข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคล
และผู้ประมวลผลข้อมลู ส่วนบุคคล” ตามพระราชบัญญัตคิ ุ้มครองข้อมูลส่วนบคุ คล พ.ศ. 2562 น้ันจะมี
โครงสร้างและเนอื้ หาอย่างไร
ในทางปฏิบัติ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลสามารถทำสัญญาประมวลผล
ข้อมูล (Data Processing Agreement) ในฐานะเป็นสัญญาอุปกรณ์ของสัญญาให้บริการหลัก
(Principal Agreement) ดังเช่น ตามกรณีตัวอย่างนั้นผู้ให้บรกิ ารเว็บไซต์ซื้อขายสินค้าและผู้ให้บรกิ าร
วิเคราะห์ข้อมูลไม่จำเป็นต้องยกเลิกสัญญาว่าจ้างให้วิเคราะห์ข้อมูลที่มีอยู่เดิม และสามารถทำสัญญา
ประมวลผลข้อมูลแยกต่างหากอีกหนึ่งฉบับโดยกำหนดให้สัญญาประมวลผลข้อมูลนี้เป็นสว่ นหนึ่งของ
สัญญาให้บริการหลัก โดยสัญญาประมวลผลข้อมูลดังกล่าวอาจมกี ารกำหนดโครงสร้างและเนื้อหาของ
สัญญาตามทปี่ รากฏในตารางดังต่อไปน้ี
171 ยกตัวอย่าง เช่น @UK Data Analysis Service Agreement โปรดดู @UK PLC, ‘@UK Data Analysis Service
Agreement’ (@UK PLC) <http://static.uk-plc.net/library/uk-plc/resources/pdfs/data-analysis-tnc.pdf>
accessed 9 August 2019.
156 Thailand Data Protection Guidelines 3.0
โครงสร้างและประเด็นของข้อตกลงระหว่าง
ผูค้ วบคุมข้อมลู สว่ นบคุ คลและผู้ประมวลผลข้อมูลสว่ นบุคคล
(Data Processing Agreement) 172
โครงสร้าง ข้อสญั ญา ประเดน็
บทท่ัวไป อารมั บท • สญั ญาฉบับนี้เป็นสว่ นหน่งึ ของสัญญาการให้บรกิ ารหลัก 173
หน้าทีข่ อง นิยาม • ค่สู ญั ญา (ระหว่างผูค้ วบคมุ ขอ้ มูลและผู้ประมวลผลข้อมลู )
ค่สู ญั ญา • คู่สัญญามีความประสงค์ที่จะทำข้อตกลงระหว่างผู้ควบคุมข้อมลู ส่วนบุคคลและผู้
หน้าทใ่ี น
การ ประมวลผลขอ้ มลู ตามพระราชบัญญตั ิคุ้มครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562
ประมวลผล • ข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยผู้ประมวลผลข้อมูลตามคำสั่งของผู้ควบคมุ
ข้อมูล ขอ้ มูล
• ขอ้ มลู ส่วนบุคคล
• การล่วงละเมิดข้อมูลสว่ นบุคคล
• การประมวลผลขอ้ มลู
• ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่ประมวลผลข้อมูลส่วนบุคคล
นอกเหนอื ไปจากคำส่งั ของผู้ควบคมุ ข้อมลู (ทเี่ ป็นลายลกั ษณ์อกั ษร) 174
• ผู้ประมวลผลข้อมูลส่วนบุคคลมหี น้าที่ต้องพิจารณาว่าคำสั่งให้ประมวลผลข้อมูล
ส่วนบคุ คลนน้ั เป็นคำสงั่ ทชี่ อบดว้ ยกฎหมายหรอื ไม่ 175
• ผู้ควบคุมข้อมลู สว่ นบคุ คลให้คำรับรองวา่ คำสั่งของผูค้ วบคุมข้อมูลให้ประมวลผล
ขอ้ มลู น้ันเป็นคำสั่งทไี่ ม่เกนิ วตั ถปุ ระสงคข์ องการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูล
ส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (ผู้ควบคุมข้อมูลส่วนบุคคลและผู้
ประมวลผลข้อมูลสว่ นบคุ คลอาจตกลงกันในรายละเอยี ดของคำรับรองดังกล่าว)
172 สรุปตวั อยา่ งมากจาก GDPR.EU, ‘Data Processing Agreement (Template)’ (GDPR.EU, 2019)
<https://gdpr.eu/data-processing-agreement/> accessed 9 August 2018; Linkedin, ‘Linkedin Data
Processing Agreement’ (Linkedin, October 2018) <https://legal.linkedin.com/dpa> accessed 9 August
2019.
173 ISO/EC 27701: 2019 (E) (8.2.1)
174 ISO/EC 27701: 2019 (E) (8.2.2)
175 ISO/EC 27701: 2019 (E) (8.2.3)
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 157
โครงสร้าง ข้อสัญญา ประเดน็
หนา้ ที่ของ มาตรการ • ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูล
คู่สัญญา รักษาความ ส่วนบุคคลจำกดั เฉพาะลูกจ้างหรือบคุ คลที่ไดร้ ับมอบหมายทีม่ ีความจำเป็นในการ
(ตอ่ ) เข้าถึงข้อมูลส่วนบุคคลภายในวัตถุประสงค์ของสัญญาประธาน และดำเนินการให้
ม่ันคง ลูกจ้างหรือบุคคลที่ได้รับมอบหมายมีหน้าที่ในการรักษาความลับของข้อมูลส่วน
ปลอดภัยท่ี บคุ คลที่ถกู ประมวลผล
เหมาะสม
สทิ ธิของ • ผปู้ ระมวลผลข้อมลู สว่ นบคุ คลดำเนินการจัดหามาตรการคุ้มครองข้อมูลส่วนบุคคล
เจา้ ของ ที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผย
ข้อมลู สว่ น ข้อมลู ส่วนบคุ คลโดยปราศจากอำนาจหรอื โดยมชิ อบ
บุคคล • ทั้งนี้ โดยพิจารณาถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการดำเนินการ
ลกั ษณะ ขอบเขต บริบท และวตั ถปุ ระสงคข์ องการประมวลผลขอ้ มูล
การแจ้ง
เตอื น • ผู้ประมวลผลข้อมูลมีหน้าที่ดำเนินการเพื่อช่วยเหลือหรือสนับสนุนให้ผู้ควบคุม
การลบและ ข้อมลู สว่ นบคุ คลสามารถตอบสนองต่อคำร้องของเจ้าของข้อมลู ส่วนบุคคลอันเป็น
เกบ็ รกั ษา การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วน
ขอ้ มลู สว่ น บคุ คล พ.ศ. 2562 ที่ถกู ย่ืนต่อผคู้ วบคมุ ขอ้ มูลสว่ นบุคคล
บคุ คล
• ผปู้ ระมวลผลข้อมลู มีหนา้ ทแี่ จ้งต่อผู้ควบคุมข้อมลู ในกรณที ี่มีคำร้องเก่ียวกับข้อมูล
สว่ นบคุ คลซ่ึงถูกยืน่ โดยเจ้าของขอ้ มูลสว่ นบคุ คล
• ผปู้ ระมวลผลขอ้ มูลมีหนา้ ท่ีแจ้งผคู้ วบคุมข้อมลู สว่ นบุคคลโดยไม่ชกั ช้าหากทราบถึง
เหตุการละเมิดข้อมูลส่วนบคุ คล 176
• “การลบ” หมายถงึ การทำใหข้ อ้ มูลส่วนบุคคลนน้ั ถูกลบออกระบบและไมอ่ าจกู้คืน
ได้โดยตัวเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผล
ขอ้ มูลส่วนบุคคล ทั้งน้ี ไมว่ า่ ในเวลาใดๆ
• ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ลบหรือทำลายข้อมูลส่วนบุคคลที่ถูก
ประมวลผลภายในเวลา [..] วัน นบั แตว่ ันทีส่ ญั ญาประธานสิ้นสุดลง และมีหนา้ ท่ลี บ
ข้อมูลส่วนบคุ คลตามขอ้ ตกลงน้ีทันทีเมื่อหมดความจำเป็นจะต้องเก็บรกั ษาขอ้ มูล
ส่วนบคุ คลเพอ่ื ประมวลผลข้อมลู ส่วนบคุ คล 177
• ผู้ประมวลผลข้อมูลสว่ นบุคคลมีหน้าที่เกบ็ รักษาข้อมูลส่วนบคุ คลเท่าที่จำเป็นเพอ่ื
แสดงถงึ การปฏิบัติการตามข้อตกลงน้ไี ด้ 178
176 ISO/EC 27701: 2019 (E) (8.2.4)
177 ISO/EC 27701: 2019 (E) (8.4.2)
178 ISO/EC 27701: 2019 (E) (8.2.6)
158 Thailand Data Protection Guidelines 3.0
โครงสร้าง ข้อสญั ญา ประเดน็
การสง่ หรือ • ผู้ประมวลผลข้อมูลส่วนบุคคลอาจเก็บข้อมูลส่วนบุคคลเพื่อการการก่อตั้งสิทธิ
โอนข้อมลู เรียกรอ้ งตามกฎหมาย การปฏิบตั ติ ามหรือการใชส้ ทิ ธิเรยี กร้องตามกฎหมาย หรือ
การยกขึน้ ต่อสู้สิทธเิ รียกรอ้ งตามกฎหมาย หรอื เพอ่ื การปฏบิ ัติตามกฎหมาย
• ผู้ประมวลผลข้อมูลส่วนบุคคลอาจทำให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตาม
ขอ้ ตกลงนี้เป็นข้อมูลนิรนามและประมวลผลขอ้ มูลดังกล่าวตอ่ ไปได้ 179
• ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่จัดทำนโยบายเกี่ยวกับการลบข้อมูลส่วน
บุคคล และแจ้งให้ผู้ควบคุมข้อมลู ทราบถึงนโยบายดงั กล่าว โดยนโยบายเก่ยี วกับ
การลบข้อมูลส่วนบคุ คลดังกล่าวจะมเี นือ้ หาท่ีครอบคลุมถึงระยะเวลาการเก็บรักษา
ขอ้ มลู ส่วนบคุ คลก่อนทจ่ี ะถูกลบหลังจากการยกเลกิ ข้อตกลงการประมวลผลข้อมูล
ทั้งนี้ เพื่อคุม้ ครองเจา้ ของข้อมูลสว่ นบุคคลมิให้สูญเสียข้อมูลสว่ นบคุ คลของตนไป
โดยอบุ ัติเหตเุ พราะเหตทุ ขี่ อ้ ตกลงสน้ิ สดุ ลง 180
• ห้ามมิให้ผู้ประมวลผลข้อมูลส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศหรือ
องค์การระหวา่ งประเทศ เวน้ แต่จะไดร้ บั ความยินยอมจากผคู้ วบคมุ ข้อมูลเป็นลาย
ลักษณอ์ กั ษร
• การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศ
จะต้องเป็นไปตามเงื่อนไขที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และประกาศท่เี กีย่ วขอ้ ง 181
ตามตารางขา้ งตน้ หน้าที่ประการสำคัญของผปู้ ระมวลผลข้อมลู ส่วนบคุ คลไดแ้ กก่ ารเก็บรวบรวม
ใช้ หรือเปดิ เผยขอ้ มูลส่วนบุคคลตามคำสงั่ ที่ได้รบั จากผคู้ วบคุมข้อมลู ส่วนบคุ คลเท่าน้ัน 182 และมีหน้าที่
อื่นตามที่ระบุในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล เช่น การดำเนินการตอบสนองต่อคำร้อง
เกี่ยวกับสิทธิของเจ้าของข้อมูลหรือหน้าที่ในการแจ้งเตือนในกรณีมีการละเมิดข้อมูลส่วนบุคคล
179 อย่างไรก็ตาม ISO/EC 27701: 2019 (E) (8.2.3) ไดใ้ ห้คำแนะนำวา่ ผปู้ ระมวลผลข้อมลู ส่วนบุคคลไม่ควรจะประมวลผล
ข้อมูลส่วนบคุ คลเพอ่ื ประโยชนด์ ้านการตลาดหรือการโฆษณาเว้นแตจ่ ะได้รับความยนิ ยอมลว่ งหนา้ จากผู้ประมวลผลข้อมูล
และผ้ปู ระมวลผลขอ้ มลู สว่ นบุคคลไม่ควรยกเอาความยนิ ยอมดังกลา่ วมาเป็นเงอ่ื นไขการใหบ้ รกิ ารประมวลผลขอ้ มูลสว่ น
บุคคล
180 ISO/EC 27701: 2019 (E) (8.4.2)
181 ISO/EC 27701: 2019 (E) (8.5.1) ได้ใหค้ ำแนะนำวา่ ในกรณีที่เปน็ การโอนข้อมลู ส่วนบุคคลระหวา่ งประเทศ ผคู้ วบคุม
ข้อมลู ส่วนบุคคลและผูป้ ระมวลผลข้อมลู สว่ นบุคคลควรจะระบถุ งึ ขอ้ ตกลงในการโอนข้อมูลส่วนบุคคล เช่น Model
Contract Clauses, Binding Corporate Rules หรือ Cross Border Privacy Policy
182 พระราชบญั ญตั ิคุ้มครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 40 วรรคหนึง่ (1)
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 159
ยกตวั อยา่ งเช่น กรณีที่เจา้ ของข้อมูลสว่ นบคุ คลประสงคท์ จี่ ะใหผ้ ใู้ หบ้ ริการเวบ็ ไซตซ์ ้ือขายของออนไลน์ซ่ึง
ได้ทำการเก็บรวบรวมข้อมูลส่วนบุคคลของตนลบหรือทำลายข้อมูลส่วน บุคคลที่ใช้เพื่อเปิดบั ญชี
ผู้ใช้บริการเนื่องจากเจ้าของข้อมูลส่วนบุคคลได้ยุติการใช้บริการเว็บไซต์ดังกล่าวแล้ว หรือประสงค์ที่
จะแจ้งให้ผู้ให้บริการเว็บไซต์เก่ียวกบั การท่ีขอ้ มูลส่วนบคุ คลถูกละเมิด เพื่อแสดงเจตนาดังกล่าวเจ้าของ
ข้อมูลส่วนบุคคลจึงไดท้ ำคำร้องผ่านเว็บไซต์หรอื ส่งอเี มลไปยงั ผู้ให้บริการเว็บไซต์ คำร้องดงั กล่าวถูกส่ง
เข้าไปที่บริษัทผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์ตามคำสั่งของอีกบริษัทท่ี
เป็นผู้ลงทนุ ในการพัฒนาเว็บไซต์ซึ่งมีสถานะเป็นผู้ควบคุมข้อมลู ส่วนบุคคล เพื่อให้การตอบสนองต่อคำ
ร้องของเจ้าของข้อมูลส่วนบุคคลเป็นไปโดยไม่ชักช้า ผู้ควบคุมข้อมูลสว่ นบุคคลอาจกำหนดในข้อตกลง
ระหวา่ งผู้ควบคมุ ขอ้ มูลส่วนบุคคลและผปู้ ระมวลผลข้อมลู สว่ นบุคคลใหผ้ ู้ประมวลดังกลา่ วดำเนินการลบ
หรือทำลายข้อมูลสว่ นบุคคลและดำเนินการแจ้งผู้ควบคุมขอ้ มลู ส่วนบุคคลเก่ียวกับการละเมิดข้อมูลส่วน
บุคคลโดยพลนั
ทั้งนี้ แม้ว่าจะมีข้อกำหนดหน้าที่ของผู้ประมวลผลข้อมูลในการดำเนินการเกี่ยวกับคำร้องของ
เจ้าของข้อมูลส่วนบุคคลแล้ว แต่อย่างไรกต็ าม ผู้ควบคุมขอ้ มูลส่วนบุคคลก็ไมส่ ามารถอ้างข้อกำหนดใน
ข้อตกลงดังกล่าวเพื่อให้ตนหลุดพ้นจากความรับผิดตามกฎหมาย ยกตัวอย่างเช่น ในกรณีที่บริษัทผู้
ประมวลข้อมูลได้รับคำร้องจากเจ้าของข้อมูลสว่ นบุคคลให้ดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
แล้ว แต่ผู้ประมวลข้อมูลส่วนบุคคลกลับละเลยที่จะดำเนินการต่อคำร้องดังกล่าว ผู้ควบคุมข้อมูลส่วน
บคุ คลซ่ึงเป็นบคุ คลผู้มหี น้าทีใ่ นการลบหรือทำลายขอ้ มลู ส่วนบคุ คลตามกฎหมาย 183 กย็ งั มหี น้าที่ต้องรับ
ผิดชดใช้คา่ สินไหมทดแทนเพื่อความเสียหายที่เกิดจากการฝา่ ฝืนหนา้ ท่ีดังกลา่ ว 184 โดยผู้ควบคุมข้อมลู
ส่วนบุคคลอาจเรยี กร้องค่าสนิ ไหมทดแทนจากผู้ประมวลผลข้อมูลส่วนบุคคลของตนในฐานผิดสัญญาได้
ซ่ึงสามารถอธิบายไดต้ ามแผนภาพดา้ นล่างนี้
ผู้ ความรับผิด ผู้ควบคมุ ความรับผดิ เจา้ ของ
ประมวลผล ทางแพ่งใน ข้อมลู ส่วน ทางแพง่ ตาม ขอ้ มลู ส่วน
ข้อมูลสว่ น
ฐานผดิ บุคคล กฎหมาย บุคคล
บุคคล สัญญา
183 พระราชบัญญตั ิคมุ้ ครองข้อมลู สว่ นบคุ คล พ.ศ. 2562 มาตรา 33
184 พระราชบญั ญตั คิ ุม้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 มาตรา 77
160 Thailand Data Protection Guidelines 3.0
ในปจั จบุ ันการประมวลผลขอ้ มูลสามารถทำได้ในรูปของการประมวลผลแบบกลุม่ เมฆ (Cloud
Computing) กล่าวคือ ผู้ใช้คอมพิวเตอร์สามารถรับบริการประมวลผลข้อมูลผ่านอินเทอร์เน็ต (หรือ
เครือข่ายเฉพาะ) โดยผู้ให้บริการ (service provider) จะแบ่งปันทรัพยากรให้กับผู้ต้องการใช้งานนั้น
(โดยอาจมีการคิดค่าบริการ) หรือกล่าวอีกนัยหนึ่งคือ ระบบโปรแกรมคอมพิวเตอร์ที่ประมวลผลบ น
เครือข่ายอินเทอร์เน็ต และ รับข้อมูลแสดงผลผ่านเว็บเบราว์เซอร์ โดยที่ผู้รับบริการไม่จำเป็นต้อง
ติดตงั้ โปรแกรมและเปิดใช้งานบนเครือ่ งคอมพวิ เตอร์ของตน
ขอบเขตของการประมวลผลข้อมูลผ่าน Cloud Computing ในปัจจุบันสามารถแบ่งออกได้
เปน็ 3 ประเภทหลกั ๆ ไดแ้ ก่
(1) การใหบ้ ริการดา้ นซอฟตแ์ วร์และแอปพลิเคชนั ผ่านทางอนิ เทอรเ์ นต็ คล้ายกบั การเชา่ ใช้ คิด
ค่าบรกิ ารตามลักษณะการใชง้ าน (Pay as you go) ซง่ึ เรยี กว่า Software as a Service หรอื “SaaS”
(2) การให้บริการด้านแพลตฟอร์ม สำหรับการพัฒนาซอฟต์แวร์และแอปพลิเคชันโดยผู้
ให้บรกิ ารจะจดั เตรยี มสง่ิ ท่ีจำเป็นต้องใช้ในการพฒั นาซอฟต์แวร์และแอปพลิเคชันซึ่งเรียกว่า Platform
as a Service หรือ “PaaS” และ
(3) การให้บริการเฉพาะโครงสร้างพื้นฐาน เช่น เซิร์ฟเวอร์สว่ นต่อประสานกับผู้ใช้และระบบ
จัดเก็บข้อมูลซึ่งเรียกว่า Infrastructure as a Service หรือ “IaaS” ซึ่งสามารถอธิยายไดต้ ามแผนภาพ
ด้านล่างน้ี 185
Hosting for Developing SaaS IaaS
Webs and Tools PaaS
Network
Apps OS Security
Storage
Information
Center
(Physical)
185 พฒั นาขึ้นจากขอ้ มูลของ Microsoft Azure, ‘What is SaaS?’ (Microsoft Azure, 2018) <https://azure. 161
microsoft.com/en-in/overview/what-is-saas/> accessed 23 August 2018.
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั
โดยทั่วไปแล้ว ข้อตกลงที่เกี่ยวกับสิทธิและหน้าที่ในเรื่องการประมวลผลข้อมูล (Data
Processing Agreement หรือ “DPA”) นั้นมักจะถกู ผนวกรวมเข้าเป็นสว่ นหนึ่งของสญั ญาการใหบ้ ริการ
เช่น Customer Agreement หรือสัญญาที่ก่อตงั้ นิตสิ ัมพันธ์ระหว่างผูใ้ ห้บริการกับผูใ้ ช้บริการในชื่ออ่ืนๆ
ยกตัวอย่างเช่น หากบุคคลคนหนึ่งมีความประสงค์ที่จะให้ผู้ประมวลผลข้อมูล เช่น Salesforce หรือ
AWS ให้บริการประมวลผลข้อมูล บุคคลดังกล่าวสามารถทำสัญญาเพื่อก่อตั้งสถานะผู้ใช้บริการและผู้
ให้บริการตลอดจนกำหนดขอบเขตของการบริการได้กับ Salesforce หรือ AWS ได้ ดังสามารถแสดง
ตวั อย่างไดต้ ามแผนภาพด้านลา่ งน้ี
Controller Service Agreements Processors
You Salesforce
Master Subscription
Agreement AWS
Customer Agreement
การเข้าเป็นคู่สัญญาตาม Master Subscription Agreement และ AWS Customer
Agreement จะทำให้ผู้ใช้บริการเกิดนิติสัมพันธ์ขึ้นกับ Salesforce และ AWS ขึ้นตามลำดับ สัญญา
ดังกลา่ วจะกำหนดสทิ ธิและหน้าทรี่ ะหว่างคู่สัญญา เช่น ประเดน็ เรื่องขอบเขตของการให้บริการ โดยใน
กรณขี อง Master Subscription Agreement มีการกำหนดนยิ ามของ “บรกิ าร (services)” ทั้งที่มีการ
คิดค่าตอบแทนและไมค่ ิดค่าตอบแทน 186 สว่ น AWS Customer Agreement ก็ไดม้ กี ารกล่าวถึงการใช้
ส่ิงทีถ่ ูกเสนอเพอ่ื ใหบ้ รกิ าร (Use of Service Offerings) 187 นอกจากนี้ จะมกี ารกำหนดสทิ ธหิ นา้ ที่อนื่ ๆ
เช่น หน้าที่ในการชำระค่าบริการ 188 สิทธิในทางทรัพย์สิน (Proprietary Rights) 189 และการยกเลิก
186 Salesforce Master Subscription Agreement (2018), Clauses 1.
187 AWS Customer Agreement (2018), Clause 1.
188 Salesforce Master Subscription Agreement (2018), Clauses 6 แ ล ะ AWS Customer Agreement (2018),
Clause 5.
189 Salesforce Master Subscription Agreement (2018), Clauses 7 แ ล ะ AWS Customer Agreement (2018),
Clause 8.
162 Thailand Data Protection Guidelines 3.0
สัญญา (Termination) 190 เป็นต้น อย่างไรก็ตาม ทั้ง Master Subscription Agreement และ AWS
Customer Agreement น้นั ไมไ่ ดก้ ำหนดรายละเอียดเก่ียวการประมวลผลข้อมูลส่วนบคุ คลเอาไว้
เพอื่ ปฏบิ ตั ิหน้าท่ีเกี่ยวกับการประมวลผลข้อมลู ส่วนบุคคลตามท่ีกำหนดตามนโยบายคุ้มครอง
ข้อมูลส่วนบุคคลซึง่ โดยหลักแล้วทั้ง Salesforce และ AWS ต่างก็ไดก้ ำหนดตามมาตรฐาน GDPR ไว้ใน
“ภาคผนวกของสัญญาว่าด้วยการประมวลข้อมูล” (Data Processing Addendum) ขึ้นโดยให้
ภาคผนวกดังกล่าวเป็นส่วนเสริมหรือถือเป็นส่วนหนึ่งของสัญญาหลัก เช่น Master Subscription
Agreement 191 และ AWS Customer Agreement 192 โดยภาคผนวกดังกล่าวจะมีเนื้อหาเฉพาะเรื่อง
เกี่ยวกับการประมวลผลข้อมลู โดยเฉพาะ เช่น การกำหนดหน้าที่ในการประมวลข้อมลู เฉพาะตามคำสั่ง
ของผู้ใช้บริการเท่าน้ัน (กำหนดสถานะการเป็นผู้ควบคุมข้อมูลและประมวลผลข้อมูลข้ึน) หน้าที่ในการ
รกั ษาความลบั ของขอ้ มลู สว่ นบุคคล และ หน้าทใ่ี นรกั ษาความปลอดภยั ของขอ้ มลู ส่วนบุคคล เป็นตน้ ซึ่ง
สามารถอธบิ ายได้ตามแผนภาพดา้ นล่างน้ี
Controller Service Data Processing Processors
You Agreements Addendum Salesforce
Master Data Processing AWS
Subscription Addendum
Agreement
GDPR Data
Customer Processing
Agreement Addendum
สำหรับประเด็นว่าภาคผนวกนั้นจะถูกปรับใช้เมื่อใดนั้น ตัวอย่างของ AWS GDPR Data
Processing Addendum นั้นได้สร้างความชัดเจนขึ้นโดยกำหนดเอาไว้อย่างชัดเจนว่าภาคผนวกของ
190 Salesforce Master Subscription Agreement (2018), Clauses 12 และ AWS Customer Agreement (2018),
Clause 7.
191 Salesforce Master Subscription Agreement กำหนดว่า “This Data Processing Addendum, including its
Schedules and Appendices, (“DPA”) forms part of the Master Subscription Agreement...”
192 AWS Customer Agreement (2018) กำหนดว่า “This Data Processing Addendum (“DPA”) supplements
the AWS Customer Agreement...”
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 163
สัญญาฉบับนี้จะมีผลใช้เฉพาะเมือ่ การใช้บริการของลูกค้าเพื่อประมวลผลข้อมูลน้ันตกอยู่ในบังคับของ
GDPR 193
ดงั น้นั การที่บคุ คลผ้ซู ง่ึ สามารถตัดสนิ ใจได้ว่าจะให้มีการดำเนินการอย่างไรกบั ข้อมูลส่วนบุคคล
(“ผคู้ วบคมุ ขอ้ มูล”) กำหนดใหบ้ ุคคลอีกคนหนงึ่ ทำการ เชน่ เกบ็ รวบรวม และวเิ คราะหข์ ้อมูลส่วนบุคคล
(“ผู้ประมวลผลข้อมลู ”) อาจเกิดขึ้นในรูปแบบของสัญญาว่าจ้างใหท้ ำการประมวลผลข้อมูลโดยเฉพาะ
(ในรูปของสัญญาจ้างทำของตามประมวลกฎหมายแพ่งและพาณิชย์) 194 หรืออาจทำขึ้นในรูปของ
ภาคผนวกท้ายสัญญาจ้างดังกล่าว (Data Processing Addendum) ก็ได้ ดังนั้น ในการก่อนิติสัมพันธ์
ข้างต้นจำเป็นที่จะต้องมีการกล่าวถึงคู่กรณีหรือคูส่ ญั ญา/ข้อตกลงใหป้ ระมวลผลขอ้ มูลก่อนซึ่งสามารถ
ยกตวั อยา่ งไดเ้ ช่น
สญั ญา/ขอ้ ตกลงใหป้ ระมวลผลข้อมูลฉบับน้ีทำข้ึน ณ วันที่ [..] เดอื น [..] พ.ศ. [..]
ระหวา่ ง
(1) [บริษัท] ซึ่งจดทะเบียนจัดตั้งขึ้นตามกฎหมายของประเทศไทย และมีสำนักงานตั้งอยู่ที่ [..] โดยมีเลข
ทะเบยี นนติ บิ ุคคลคือ [..] (ซึง่ ต่อไปนจ้ี ะเรยี กว่า “ผใู้ หบ้ รกิ าร/ผ้ปู ระมวลผลขอ้ มูล”)
(2) [บริษัท] ซึ่งจดทะเบียนจัดตั้งขึ้นตามกฎหมายของประเทศไทย และมีสำนักงานตั้งอยู่ที่ [..] โดยมีเลข
ทะเบยี นนิติบุคคลคอื [..] (ซ่ึงต่อไปนจี้ ะเรียกว่า “ผู้รบั บริการ/ผู้ควบคมุ ข้อมลู ”)
ในสัญญาฉบบั นี้ คำวา่ “ค่สู ญั ญาฝ่ายหนึ่ง” หมายถึง ผ้ปู ระมวลผลข้อมลู หรอื ผคู้ วบคุมข้อมูลเพียงฝ่ายหนึ่ง
ฝา่ ยใด หากเปน็ กรณีท่หี มายถงึ คสู่ ัญญาท้งั สองฝ่ายจะใช้คำวา่ “คูส่ ญั ญา”
เนื้อหาส่วนต่อมาของสัญญาอาจมีการกล่าวถึงอารัมภบท (Recital) เพื่อบรรยายถึง
วัตถุประสงค์ของสัญญา/ข้อตกลง ซึ่งเป็นการบรรยายถึงข้อมูลเบื้องต้นสำหรับการตีความสัญญา หรือ
การกล่าวรบั รองคุณสมบตั ิ หรอื ความเขา้ ใจของคู่สญั ญาได้ 195 ซ่งึ มตี วั อยา่ งดงั ต่อไปน้ี
โดยที่
193 AWS GDPR Data Processing Agreement ก ำ ห น ด ว ่ า “ This Data Processing Addendum (“DPA”)
supplements the AWS Customer Agreement available at http://aws.amazon.com/agreement, as
updated from time to time between Customer and AWS, or other agreement between Customer and
AWS governing Customer’s use of the Service Offerings (the “Agreement”) when the GDPR applies to
your use of the AWS Services to process Customer Data. …”
194 มาตรา 587 บญั ญตั ิวา่ อนั ว่าจ้างทำของนน้ั คือสญั ญาซึ่งบคุ คลคนหนึง่ เรียกวา่ ผู้รบั จา้ ง ตกลงจะทำการงานส่งิ ใดสิ่ง
หนง่ึ จนสำเร็จใหแ้ ก่บคุ คลอกี คนหนง่ึ เรียกว่าผู้วา่ จ้าง และผ้วู ่าจา้ งตกลงจะใหส้ นิ จ้างเพอ่ื ผลสำเร็จแหง่ การทีท่ ำน้นั
195 อธกึ อัศวานันท.์ เจรจาและร่างสญั ญาธุรกิจ (กรงุ เทพฯ: สำนกั พิมพ์วิญญชู น 2552) หน้า 61-62.
164 Thailand Data Protection Guidelines 3.0
(1) ผู้ให้บริการเป็นผู้ให้บริการประมวลข้อมูลซึ่งมีมาตรการคุ้มครองข้อมูลส่วนบุคคลท่ีมีความเหมาะสม
และเป็นผดู้ ำเนนิ การเกยี่ วกบั การเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูลสว่ นบุคคลตามคำส่ังของผู้ควบคมุ ขอ้ มูลสว่ นบคุ คล
โดยไมไ่ ด้เปน็ ผคู้ วบคุมข้อมลู สว่ นบุคคล
(2) ผู้ใช้บริการมีความประสงค์ที่จะให้ผู้ประมวลผลข้อมูลให้บริการเกี่ยวกับ [..] ซึ่งมีส่วนทีเ่ กี่ยวข้องกบั
ข้อมลู สว่ นบคุ คล โดยเป็นผมู้ อี ำนาจหนา้ ทตี่ ดั สินใจเก่ียวกับการเกบ็ รวบรวม ใช้ หรือเปิดเผยข้อมลู ส่วนบุคคล
ดว้ ยเหตุนี้ คู่สญั ญาจงึ ได้ทำสญั ญาซ่งึ กำหนดสทิ ธิและหนา้ ทไ่ี ว้มขี อ้ ความดังต่อไปนี้
กรณีมีขอ้ สงั เกตเพม่ิ เตมิ ว่าการกล่าวรับรองคณุ สมบัติของคสู่ ัญญา เชน่ การกลา่ วรับรองว่าตน
เปน็ ผมู้ ีประสบการณ์และสามารถจัดหามาตรการท่ีเหมาะสมในการคมุ้ ครองความปลอดภยั ของข้อมูลได้
นั้น เป็นเรื่องที่ผู้กล่าวจะต้องระมัดระวังว่าตนเป็นผู้มีคุณสมบัติตามคำรับรองจริง มิฉะนั้นอาจทำให้
สญั ญาตกเปน็ โมฆียะเพราะการแสดงความเทจ็ (กลฉ้อฉล) ได้ 196
นอกจากนี้ เพื่อความสะดวกในการกล่าวถึงถ้อยคำที่อาจมีนิยามเฉพาะหรือที่ต้องการความ
ชัดเจน คู่กรณีอาจกำหนดให้มีข้อสัญญาที่กำหนดนิยามของคำศัพท์ที่จะใช้ในสัญญาหรือข้อตกลงให้
ประมวลผลขอ้ มูลส่วนบุคคลได้ เชน่
196 ประมวลกฎหมายแพง่ และพาณิชย์ มาตรา 159 วรรคหนึ่ง 165
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั
ตวั อยา่ งคำนิยาม
หากไม่ได้มีการกำหนดไว้เปน็ อยา่ งอื่นในสัญญาฉบับนี้ ใหถ้ ้อยคำในสัญญาฉบับนม้ี ีความหมายดังต่อไปน้ี
“สญั ญา” หมายถงึ สญั ญาให้ประมวลผลขอ้ มูลและเอกสารแนบทา้ ย
“ขอ้ มูลที่เปน็ ความลับ” หมายถึง ขอ้ มลู อย่างใดอย่างหนงึ่ หรือท้งั หมดท่เี กี่ยวกับการให้บริการ ซ่ึง
บริษัทฯได้จัดหาหรือเปิดเผยให้ผู้รับข้อมูลได้ทราบ โดยเป็นข้อมูลที่บริษัทฯ เป็นเจ้าของหรือมีสิทธิ
ครอบครองโดยชอบด้วยกฎหมาย
“บรกิ าร” หมายถึง การใหบ้ รกิ าร [..] ซงึ่ รวมถงึ การประมวลผลขอ้ มูลอกี ดว้ ย ทั้งน้ี ตามรายละเอียด
ท่กี ำหนดในเอกสารแนบทา้ ยสัญญาหมายเลข [..]
“เจา้ ของข้อมลู ” หมายถึง บคุ คลธรรมดาซ่ึงเป็นเจ้าของข้อมูลสว่ นบคุ คล และใหห้ มายรวมถงึ ผู้ใช้
อำนาจปกครองทีม่ ีอำนาจกระทำการแทนผเู้ ยาว์ ผู้อนบุ าลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
หรือ ผพู้ ทิ กั ษท์ ่มี อี ำนาจกระทำการแทนคนเสมอื นไร้ความสามารถ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า
ทางตรงหรือทางอ้อม แตไ่ มร่ วมถงึ การระบุเฉพาะช่อื ตำแหนง่ สถานทีท่ ำงาน หรือ ทอี่ ยูท่ างธุรกิจ และ
ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“การประมวลผลข้อมลู ” หมายถงึ การปฏิบัติการหรอื สว่ นหน่งึ ชองการปฏิบัติการซ่ึงได้กระทำต่อ
ข้อมูลส่วนบคุ คลไม่วา่ โดยวิธีการอัตโิ นมัตหิ รือไม่ เช่น การเก็บรวบรวม การบันทกึ การจัดระเบียบ การ
จัดโครงสร้าง การจัดเก็บ การดัดแปลง ปรับเปล่ียน การกู้คืน การให้คำปรึกษา การใช้ การเปิดเผยโดย
การส่ง การแพร่กระจาย หรือทำให้มีอยู่ การจัดวางให้ถูกตำแหน่งหรือการรวม การจำกัด การลบ และ
การทำลาย 197
ในลำดับถัดไป คู่กรณีอาจกำหนดถึงสิทธิหน้าที่ในส่วนที่เกี่ยวกับการประมวลผลข้อมูล
โดยเฉพาะ ซงึ่ หากคกู่ รณปี ระสงค์ทจ่ี ะทำใหค้ วามตกลงเก่ียวกับการประมวลผลขอ้ มลู ส่วนบคุ คลมีเน้ือหา
หรือมมี าตรฐานท่ีสอดคลอ้ งกบั กฎหมายของสหภาพยุโรปว่าด้วยการคมุ้ ครองขอ้ มูลส่วนบุคคล (General
Data Protection Regulation (GDPR)) การกำหนดสิทธิและหน้าที่ก็จะต้องสะท้อนเงื่อนไขในการ
ประมวลผลขอ้ มูลส่วนบุคคลตามท่ี GDPR กำหนดโดยเฉพาะอย่างยิ่งตามมาตรา 28 ของ GDPR ซึ่งให้
ความสำคัญกับประเด็นตา่ ง ๆ ดงั ต่อไปนี้
197 GDPR, Article 4.
166 Thailand Data Protection Guidelines 3.0
- การประมวลผลข้อมูลสว่ นบุคคลนนั้ จะต้องเป็นกรณีที่มคี ำสั่งเป็นเอกสารจากผู้ควบคุมข้อมูล
แล้วเทา่ นั้น โดยพิจารณาถงึ ข้อกำหนดตามกฎหมายทเ่ี กี่ยวขอ้ ง
- การทำให้แน่ใจว่าบุคคลผู้ทำการประมวลผลข้อมูลสว่ นบุคคล (เช่น บุคลากรหรือบริษัทใน
เครือของ ผู้ประมวลผลข้อมลู ) นั้นมีหน้าท่ี (ที่สามารถบังคับได้ตามกฎหมาย) ในการรกั ษาความลบั
ของขอ้ มูลส่วนบุคคลทถ่ี กู ประมวลผล
- หน้าที่ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล เช่น มาตรการทัง้ ในเชิงองค์กรและ
เชิงเทคนคิ ทีม่ ีความเหมาะสม
- การลบและส่งคืนข้อมลู ส่วนบุคคล
- การสนับสนุนให้ผู้ควบคุมข้อมูลสามารถปฏิบัติตามหน้าที่ที่กฎหมายกำหนดเกี่ยวกับการ
ควบคมุ ข้อมลู ส่วนบุคคลได้ และ
- การให้ผูค้ วบคมุ ข้อมลู ไดร้ บั ข้อมลู ใด ๆ ท่แี สดงถึงการปฏบิ ตั ติ ามหนา้ ที่ทก่ี ฎหมาย เปน็ ตน้
ซึ่งสามารถยกตัวอย่างตามประเภทของการประมวลผลข้อมูลแบบ Cloud Computing ได้
ตามตวั อยา่ งดงั ตอ่ ไปนี้
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 167
ตัวอยา่ งข้อตกลงใหป้ ระมวลผลขอ้ มลู
(Data Processing Agreement) 198
1. ขอบเขตการบงั คบั ใช้
ขอ้ ตกลงให้ประมวลผลขอ้ มลู นี้ใชบ้ ังคับกบั การประมวลผลข้อมลู สว่ นบคุ คลของผใู้ ชบ้ ริการ โดย
ขอ้ ตกลงน้ถี ือเป็นส่วนหนึ่งของสญั ญาการใหบ้ ริการ
2. ความสัมพนั ธร์ ะหวา่ งค่สู ัญญา
2.1 ผู้ใชบ้ รกิ าร
ผ้ใู ชบ้ ริการจะอยใู่ นฐานะผู้ควบคมุ ข้อมลู ตลอดระยะเวลาของสัญญาให้บรกิ าร โดยผู้ใช้บริการ
ในฐานะผคู้ วบคมุ ขอ้ มูลมหี น้าท่ีต้องปฏิบัติตามกฎหมายเกยี่ วกบั การควบคุมข้อมูลที่มผี ลใช้บังคบั กับกรณี
2.2 ผู้ให้บริการ
ผู้ให้บริการจะอยู่ในฐานะของผู้ประมวลข้อมูลตลอดระยะเวลาของสัญญาให้บริการ โดยผู้
ให้บริการในฐานะผคู้ วบคุมข้อมลู มีหน้าที่ตอ้ งปฏบิ ตั ิตามกฎหมายเก่ียวกับการประมวลผลข้อมูลท่ีมีผลใช้
บงั คบั กบั กรณี
3. ประเภทของข้อมูลสว่ นบุคคล
ผใู้ ช้บริการตระหนักและยอมรับว่าการใช้บรกิ ารแพลตฟอร์มตามสญั ญาใหบ้ ริการถือเป็นการสง่ั
ให้ผ้ใู ห้บรกิ ารอาจทำการประมวลขอ้ มูลสว่ นบุคคลดังตอ่ ไปน้ไี มว่ ่าท้งั หมดหรอื เพียงบางสว่ น
- ข้อมูลสำหรับการติดต่อ (contact information) เช่น ที่อยู่ เบอร์โทรศัพท์บ้านหรือมอื ถอื
อเี มล์ หรอื รหสั ต่าง ๆ
- ข้อมูลทเี่ กีย่ วกับครอบครวั เชน่ วถิ ชี ีวติ อายุ วันเกดิ สถานภาพ จำนวนบุตร
- ข้อมูลเกี่ยวกับการจ้างงาน เช่น ชื่อของนายจ้าง ตำแหน่ง หน้าที่ ประวัติการทำงาน
เงนิ เดือน และ
- ขอ้ มลู ทางเงนิ เปน็ ตน้
198 ปรบั ปรงุ มาจากตวั อยา่ งของ Salesforce, AWS, Microsoft Azure และ Oracle
168 Thailand Data Protection Guidelines 3.0
4. หนา้ ทีใ่ นการประมวลขอ้ มูล
4.1 คำส่ังใหป้ ระมวลผลข้อมลู
ผู้ให้บริการจะทำการประมวลผลข้อมูลส่วนบุคคลเมือ่ ได้รับคำส่ังที่เปน็ ลายลักษณ์อักษรจาก
ผู้ใช้บรกิ ารแลว้ เทา่ นั้น
4.2 คำส่ังใหป้ ระมวลผลขอ้ มลู เพม่ิ เติม
ผ้ใู ชบ้ ริการอาจสั่งใหผ้ ใู้ ห้บริการประมวลผลข้อมูลเพ่ิมเตมิ ได้ภายใตข้ อบเขตที่กฎหมายกำหนด
โดยผู้ให้บริการจะทำการประมวลข้อมูลดังกล่าวโดยพลัน ทั้งนี้ จะต้องเป็นกรณีมีความจำเป็นเพื่อให้
บรกิ าร หรือเป็นการช่วยให้ผ้ใู ชบ้ รกิ ารสามารถปฏบิ ตั ิหน้าทตี่ ามท่กี ฎหมายกำหนดได้
4.3 การออกคำส่งั ใหป้ ระมวลผลข้อมลู โดยมชิ อบ
ในกรณีท่ผี ู้ใหบ้ รกิ ารพจิ ารณาแล้วเห็นว่า การออกคำสง่ั ตามขอ้ 4.1 และ 4.2 นั้นเป็นการออก
คำสั่งที่ละเมิดต่อกฎหมาย ผู้ให้บริการจะทำการแจ้งผู้ใช้บริการโดยพลัน แต่ทั้งนี้ ผู้ใช้บริการตระหนัก
และยอมรับว่าผูใ้ หบ้ รกิ ารนั้นไมไ่ ดม้ หี น้าที่ให้คำปรึกษาทางกฎหมายใด ๆ แก่ผู้ใช้บริการ
5. สทิ ธขิ องเจ้าของขอ้ มลู
5.1 การเขา้ ถึงข้อมลู
ผู้ให้บรกิ ารจะสนบั สนุนให้ผู้ใช้บรกิ ารสามารถเข้าถึงข้อมูลส่วนบคุ คลของเจ้าของขอ้ มลู ได้ ท้ังน้ี
เพ่อื ให้ผู้ใช้บรกิ ารสามารถตอบสนองต่อคำร้องขอข้อมลู ของเจ้าของข้อมูลซึง่ อาจมีสิทธิทจ่ี ะเรียกดู แก้ไข
หรือลบข้อมลู ส่วนบคุ คลของตนไดต้ ามกฎหมาย
5.2 การร้องขอโดยเจา้ ของขอ้ มลู
ในกรณที ผ่ี ู้ให้บรกิ ารไดร้ ับคำร้องขอจากเจา้ ของขอ้ มลู ซึ่งไดร้ ะบุว่าผู้ใชบ้ ริการน้ันเป็นผู้ควบคุม
ข้อมูล ผู้ให้บริการจะทำการส่งคำร้องขอนั้นต่อไปยังผู้ใช้บริการ โดยจะไม่ทำการตอบสนองต่อคำร้อง
ดังกล่าว
6. การถา่ ยโอนขอ้ มูลส่วนบคุ คล
6.1 สถานทเ่ี กบ็ รกั ษาขอ้ มลู
ภายในบังคับของข้อ 6.2 ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของผู้ให้บริการจะถกู
เก็บรักษาในภมู ิภาคท่ีกำหนดไวใ้ นสัญญาหรือท่ีผู้ใชบ้ รกิ ารไดก้ ำหนด โดยผ้ใู หบ้ รกิ ารจะไมท่ ำการโอนถา่ ย
ขอ้ มลู สว่ นบุคคลไปยังภมู ภิ าคอื่นเว้นแตจ่ ะได้รบั คำอนุญาตเป็นลายลกั ษณอ์ กั ษรจากผ้ใู ชบ้ ริการ
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 169
6.2 ข้อยกเว้นเร่ืองการโอนถา่ ยขอ้ มูล
อย่างไรก็ตาม ในกรณีมีความจำเป็นเพื่อให้บริการและเป็นกรณีที่ได้รับคำสั่งให้ประมวลผล
ขอ้ มลู ส่วนบคุ คลจากผูใ้ ช้บรกิ ารแล้ว ผใู้ หบ้ รกิ ารสามารถเขา้ ถงึ และประมวลผลข้อมลู ส่วนบุคคลจากพนื้ ท่ี
หรอื ตำแหนง่ นอกภูมิภาคทก่ี ำหนดในขอ้ 6.1 ได้
7. หนา้ ทข่ี องบริษทั ในเครือและผปู้ ระมวลผลขอ้ มลู ช่วง
7.1 การต้งั ผู้ประมวลผลข้อมลู ช่วง
ภายใต้บังคบั ของสทิ ธแิ ละหนา้ ที่ทีก่ ำหนดในข้อตกลงนี้ ถือว่าผใู้ ช้บรกิ ารไดใ้ ห้คำอนุญาตแก่ผู้ให้
บริการในการให้บุคคลภายนอก (ผู้ประมวลผลข้อมูลช่วง) ให้มีส่วนช่วยหรือสนับสนุนในการให้บริการ
ตามสญั ญา
7.2 หน้าทข่ี องบริษัทในเครือและผู้ประมวลผลข้อมลู ชว่ ง
บริษัทในเครอื ของผู้ให้บริการและผูป้ ระมวลผลข้อมูลชว่ งท่ีผู้ให้บรกิ ารกำหนดให้เข้ามามีสว่ น
ร่วมในการให้บริการจะต้องมีการทำความตกลงเพื่อกำหนดหน้าที่ในการคุ้มครองและรักษาความ
ปลอดภยั ของขอ้ มูลสว่ นบคุ คลในระดับเดียวกับหนา้ ที่ของผใู้ ห้บริการตามขอ้ ตกลงน้ี
ทงั้ น้ี ผ้ใู ห้บริการยังคงมหี นา้ ท่ีรบั ผิดชอบให้บริษทั ในเครอื และผู้ประมวลผลข้อมูลช่วงดังกล่าว
ปฏบิ ัตหิ นา้ ทต่ี ามท่ีขอ้ ตกลงไดก้ ำหนดขนึ้ ตลอดจนตามทีก่ ฎหมายท่ีบงั คับกบั กรณีกำหนด
8. มาตรการคมุ้ ครองความปลอดภัยของข้อมลู
8.1 มาตรการรักษาความปลอดภยั
ผู้ให้บริการมีหน้าที่จะต้องจัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับ
การประมวลผลขอ้ มลู ท่มี ีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิค มาตรการข้างตน้ จะต้องคำนึงถึง
ลกั ษณะ ขอบเขต และวัตถปุ ระสงคข์ องการประมวลผลข้อมลู ตามท่ีกำหนดในสัญญา โดยมีวัตถุประสงค์
เพือ่ คุม้ ครองข้อมลู ส่วนบุคคลจากความเสี่ยงอนั เกยี่ วเน่ืองกับการประมวลผลข้อมลู สว่ นบุคคล เชน่ ความ
เสีย่ งอันเกดิ จากอบุ ัตเิ หตุ การทำลาย การสญู หาย การเปลย่ี นแปลง การเปิดเผย การโอน การเก็บข้อมูล
สว่ นบุคคลโดยไม่ชอบด้วยกฎหมาย
8.2 การรักษาความลับของขอ้ มูล
ผู้ให้บริการ บริษัทในเครือและผู้ประมวลผลช่วงตามข้อ 7. มีหน้าที่ทำการประมวลผลข้อมลู
ส่วนบุคคลภายใตข้ ้อตกลงเรื่องการรกั ษาความลับที่เป็นลายลักษณอ์ ักษร
170 Thailand Data Protection Guidelines 3.0
9. การแจง้ เตือนหากเกดิ ปญั หาดา้ นความปลอดภยั
9.1 กรณมี กี ารละเมิดตอ่ มาตรการรกั ษาความปลอดภยั
ผใู้ ห้บริการมหี นา้ ที่ทำการประเมนิ และตอบสนองตอ่ การกระทำใด ๆ ซง่ึ อาจมีลักษณะเป็นการ
เขา้ ถึงหรอื ประมวลผลข้อมลู ส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ท้งั นี้ บคุ ลากรของผูใ้ ห้บริการตลอดจน
บริษัทในเครือของผใู้ หบ้ รกิ ารถูกกำหนดให้มหี นา้ ที่ท่จี ะตอบสนองต่อเหตกุ ารณข์ ้างตน้
9.2 กระบวนการแจ้งเตอื น
ในกรณีที่ผู้ให้บริการตระหนักได้ว่ามีการกระทำอันเป็นการละเมิดต่อความปลอดภัยซ่ึง
กอ่ ให้เกิดความเส่ียงอันเกดิ จากอุบัตเิ หตุ การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย การโอน
การเก็บข้อมูลส่วนบุคคล โดยไม่ชอบด้วยกฎหมาย ผู้ให้บริการจะทำการแจ้งต่อผูใ้ ช้บริการโดยไมช่ ักช้า
ท้ังน้ีภายในระยะเวลา 24 ชั่วโมง
9.3 การดำเนนิ การ
ผู้ให้บริการจะใช้มาตรการตามที่เห็นสมควรในการระบุถึงสาเหตุของการละเมิด และป้องกัน
ปัญหาดงั กล่าวมิใหเ้ กิดซ้ำ และจะใหข้ ้อมูลแกผ่ ู้ใช้บรกิ ารภายใต้ขอบเขตท่ีกฎหมายกำหนดดังต่อไปน้ี
- รายละเอียดของลกั ษณะและผลที่อาจเกิดข้นึ ของการละเมดิ
- มาตรการท่ีถกู ใชเ้ พ่ือลดกระทบของการละเมิด
- ประเภทของขอ้ มูลสว่ นบคุ คลและเจา้ ของขอ้ มูลทถ่ี กู ละเมิด (หากเป็นไปได)้ และ
- ข้อมลู อืน่ ๆ ท่ีเกย่ี วขอ้ งกบั การละเมดิ
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 171
D3. แนวปฏิบตั เิ กี่ยวกบั การจดั การคำรอ้ งขอของเจา้ ของขอ้ มูล
(Data Subject Request)
แนวปฏิบัติเกีย่ วกบั การจัดการคำรอ้ งขอของเจ้าของข้อมูลนนั้ เพ่ือให้ผคู้ วบคมุ ขอ้ มูลหรอื ผู้
ประมวลผลข้อมลู สามารถดำเนนิ การเพอื่ ใหเ้ ปน็ ไปตามสทิ ธิของเจ้าของข้อมูลตามกฎหมายได้อย่าง
เหมาะสม
หน้าท่ีของผ้คู วบคุมข้อมลู เมอื่ เจ้าของข้อมูลร้องขอ
(Data Subject Request to the Controller)
D3.1 ขั้นตอนสำหรบั การปฏบิ ัติหน้าท่ีของผคู้ วบคุมข้อมูลเมื่อเจา้ ของข้อมลู ร้องขอ สามารถสรุปพอ
สงั เขปได้ดงั น้ี
ได้รบั คํารอ้ งขอของเจา้ ของขอ้ มูล
ตรวจสอบตวั ตนของผูย้ นื่ คาํ ร้องขอ
พจิ ารณาความถกู ตอ้ งของคําขอ
พิจารณาดําเนินการตามสิทธทิ ร่ี อ้ งขอ
แจ้งผลการพิจารณาดาํ เนินการตามสทิ ธทิ ี่ร้องขอ
รวบรวมขอ้ มลู ทไี่ ด้รับการร้องขอให้ชีแ้ จง
ดาํ เนนิ การตามสิทธิที่ร้องขอ
172 Thailand Data Protection Guidelines 3.0
D3.2 โดยในแตล่ ะขั้นตอนสำหรับการดำเนนิ การตามคำขอของเจ้าของขอ้ มูล ทา่ นจะต้องดำเนินการ
ทกุ ข้ันตอนใหแ้ ล้วเสร็จโดยไม่ชักช้า และจะต้องไมเ่ กนิ 30 วนั นบั แต่ไดร้ ับคำขอ 199 ซ่งึ สามารถ
อธิบายรายละเอียดไดด้ งั ต่อไปนี้
ขนั้ ตอน คำอธิบาย บุคคลท่ีเกี่ยวขอ้ ง
ไดร้ บั คำร้อง • เจา้ ของข้อมูลยน่ื คำรอ้ งขอตอ่ ทา่ น ฝา่ ยบรหิ ารจัดการ
ขอของเจา้ ของ - การยื่นคำขอดังกล่าวในรูปแบบต่างๆ เช่น อิเล็กทรอนิกส์ (อีเมล ข้อมูล/ฝา่ ยที่
ข้อมูล หรอื เวบ็ ไซต์) วาจา (โทรศพั ท์ หรอื ตอ่ หนา้ บุคคล) ลายลกั ษณอ์ ักษร รับผดิ ชอบ
- ท่านอาจพิจารณาจัดทำแบบฟอร์มคำร้องขอเป็นลายลักษณ์อักษร
และแจ้งให้แก่เจ้าของข้อมูลทราบในเอกสารขอความยินยอม หรือ พนักงานทกุ ราย
เอกสารแจ้งการประมวลผลข้อมูล (ถา้ มี) ใหต้ ดิ ตอ่ และย่ืนคำร้องขอ
ให้แกท่ า่ นตามรปู แบบที่กำหนดไว้เพื่อให้ง่ายต่อการดำเนินการตาม ฝา่ ยบรหิ ารจัดการ
สิทธิที่รอ้ งขอ และการจัดทำระบบสำหรบั บันทึกข้อมูลเกี่ยวกับการ ขอ้ มูล/ฝา่ ยท่ี
ร้องขอต่อไป รับผิดชอบ
• บุคลากรหรอื ฝา่ ยที่ได้รับคำร้องขอดงั กล่าว จะตอ้ งดำเนินการส่งเรื่องต่อ
ใหแ้ กฝ่ ่ายบริหารจัดการข้อมูล/ฝา่ ยทร่ี บั ผิดชอบของท่านเพื่อดำเนินการ
ข้นั ตอนต่อไปทนั ที
• ทา่ นจะตอ้ งจดั ใหม้ ีระบบบนั ทกึ รายการเกีย่ วกบั คำร้องขอ เชน่ วนั ทไ่ี ด้รับ
ผู้ขอ ผู้รับเรื่อง เป็นต้น โดยอาจพิจารณาจดั ทำระบบการบันทกึ รายการ
เกย่ี วกับคำร้องขอ ในรปู แบบ
(1) บันทึกใหอ้ ยู่ในไฟล์เดียวกับตวั ข้อมลู ท่เี จา้ ของข้อมลู รอ้ งขอ
(2) จัดทำเปน็ เอกสารหรือระบบการบนั ทึกแยกจากข้อมลู ที่เจ้าของข้อมูล
ร้องขอ โดยอาจทำเป็นลักษณะตารางท่ีมีรายละเอียดอย่างน้อย คือ
เรื่อง วันที่ไดร้ ับเร่ือง ผู้ขอ ผู้รับเรื่อง ความคืบหน้าในการดำเนนิ การ
เป็นต้น
199 พระราชบัญญตั คิ ุ้มครองข้อมูลสว่ นบุคคล พ.ศ.2562 มาตรา 30 กำหนดกรอบระยะเวลาท่ีตอ้ งดำเนินการสำหรับสิทธิ
ในการเขา้ ถงึ ขอ้ มูลของเจ้าของข้อมลู เทา่ น้ัน โดยจะต้องดำเนินการตามโดยไม่ชักช้า แต่ต้องไมเ่ กิน 30 วันนับแต่วนั ที่ได้
รับคำขอ อย่างไรกด็ ีเพือ่ ให้สอดคล้องกับแนวปฏิบัติของ GDPR และตามพระราชบัญญัติคุ้มครองข้อมลู ส่วนบุคคล พ.ศ.
2562 การดำเนินและการพิจารณาคำรอ้ งขอ หรือการปฏบิ ัติตามคำร้องขอสำหรบั ทกุ ข้ันตอนจงึ ควรเป็นไปโดยไมช่ ักช้าแต่
จะตอ้ งไม่เกิน 30 วนั นบั แต่นบั แต่ไดร้ บั คำขอ สอดคลอ้ งกบั Article 12 (3) แห่ง GDPR กำหนดให้ผู้ควบคมุ ข้อมูลจะต้อง
ดำเนินการตามคำร้องขอของเจ้าของข้อมูลโดยไม่ชักช้า และภายใน 1 เดอื นนับแตไ่ ด้รบั คำร้องขอจากเจ้าของข้อมูลส่วน
บคุ คล ซ่ึงใชบ้ ังคบั กับการดำเนินการตามคำรอ้ งขอสำหรบั ทกุ สทิ ธขิ องเจ้าของขอ้ มูล
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 173
ขนั้ ตอน คำอธิบาย บุคคลที่เก่ยี วขอ้ ง
ตรวจสอบ • นอกจากน้ี ทา่ นอาจจัดให้มบี คุ ลากรผ้รู ับผิดชอบสำหรบั การติดตามความ ฝ่ายบริหารจัดการ
ตัวตนของผู้ยน่ื คืบหนา้ ของการดำเนินการตามคำร้องขอ เพ่ือมใิ ห้เกดิ การตกหล่นในการ ขอ้ มูล/ฝ่ายที่
คำรอ้ งขอ ดำเนนิ การตามคำร้องขอ รบั ผดิ ชอบ
พจิ ารณาความ • ท่านจะต้องตรวจสอบตัวตนของผู้ยื่นคำร้อง โดยในกรณีที่เป็นเจ้าของ ฝ่ายบริหารจัดการ
ถูกต้องของคำ ข้อมูลยื่นคำร้องขอด้วยตนเอง ก็ให้พิจารณาเอกสารทีเ่ กี่ยวข้องเพ่ือระบุ ขอ้ มลู /ฝา่ ยท่ี
ขอ ตัวตนวา่ เปน็ เจา้ ของขอ้ มลู ที่แท้จริง รบั ผดิ ชอบ
• ในกรณีที่ผยู้ ืน่ คำรอ้ งขอเปน็ บคุ คลอื่น ท่านจะตอ้ งพจิ ารณาต่อไปวา่ บคุ คล
ดงั กล่าวเปน็ บุคคลท่มี ีอำนาจในการดำเนินการแทนเจ้าของข้อมูลหรือไม่
อาทิ หนังสือมอบอำนาจ (กรณีมอบอำนาจ) หรือผู้ปกครอง (ในกรณี
เจา้ ของขอ้ มูลเป็นเดก็ ) หรอื ผูอ้ นุบาล ผู้พิทักษ์ (ในกรณีเจา้ ของขอ้ มูลเป็น
คนไรค้ วามสามารถหรือเสมอื นไร้ความสามารถ)
• หากท่านมีความจำเป็นให้ผู้ยื่นคำร้องขอหรือเจ้าของข้อมูลจัดเตรียม
ข้อมูลเพิ่มเติมเพื่อพิจารณายืนยันตัวตน ท่านจะต้องแจ้งให้แก่บุคคล
ดังกล่าวทราบโดยไมช่ กั ช้า
• เมื่อท่านได้ดำเนินการตรวจสอบตัวตนเรียบร้อยแล้ว ท่านอาจพิจารณา
เก็บข้อมลู เทา่ ทจี่ ำเปน็ เกีย่ วกบั การพิจารณายืนยนั ตัวตน เช่น log ในการ
ขอใชส้ ทิ ธิ วนั เวลา รปู แบบคำขอ ผลสำเรจ็ ในการตรวจสอบตัวตน เพื่อ
เป็นหลักฐานไว้พิสูจน์ความน่าเชื่อถือ และมาตรการในการตรวจสอบ
ตวั ตนของทา่ น หากเกิดกรณมี ีการฟอ้ งรอ้ งคดีในอนาคต
• โดยหลกั แลว้ เมอ่ื เจ้าของข้อมูลรอ้ งขอให้ทา่ นดำเนินการประการใดตาม
สิทธิที่เจา้ ของข้อมลู มี ท่านจะตอ้ งดำเนินการตามคำร้องขอน้ัน โดยไม่คิด
ค่าใช้จ่าย อย่างไรก็ดี ท่านอาจปฏิเสธการดำเนินการตามสิทธิหรือคิด
ค่าใช้จ่ายเพิ่มเติมได้หากเป็นไปตามเหตแุ ห่งการปฏิเสธทีก่ ำหนดไว้ตาม
กฎหมาย
• ท่านต้องพิจารณาว่าคำร้องขอดังกล่าวถกู ต้อง สมบูรณ์จะเปน็ คำร้องขอท่ี
มีอาศัยสิทธติ ามท่ีกฎหมายรับรองหรือไม่ และมีข้อยกเว้นในการปฏิเสธ
อาทิ คำขอน้ันไม่สมเหตสุ มผล (unfounded) 200 หรือฟ่มุ เฟือยเกนิ ความ
200 คำขอไม่สมเหตุสมผล (unfounded) ต้องเป็นคำขอที่ไม่สมเหตุสมผลตั้งแต่แรกที่มีการร้องขอ โดยความไม่
สมเหตสุ มผลนน้ั อาจเกิดขึ้นในกรณที ี่เจ้าของข้อมูลร้องขอให้ลบขอ้ มูล ซง่ึ ผู้ควบคุมข้อมลู ไม่ไดม้ หี รอื จดั เก็บหรือประมวลผล
ข้อมลู ชุดดงั กลา่ ว
174 Thailand Data Protection Guidelines 3.0
ขนั้ ตอน คำอธิบาย บคุ คลทีเ่ กีย่ วขอ้ ง
พิจารณา จำเป็น (excessive) 201 อย่างชัดแจ้ง หรือเหตุอื่นๆ หรือไม่ (โปรดดู ฝ่ายบริหารจัดการ
ดำเนินการตาม ตารางเปรียบเทียบเหตุแห่งการปฏิเสธการดำเนินการตามคำร้องของ ข้อมูล/ฝ่ายที่
สทิ ธิทร่ี ้องขอ เจ้าของขอ้ มูล) รับผดิ ชอบ
แจ้งผลการ • หากเป็นไปตามเง่ือนไขแห่งการปฏเิ สธข้างต้น ท่านมีสทิ ธิที่จะปฏิเสธไม่ ฝา่ ยบรหิ ารจดั การ
พจิ ารณา ดำเนินการตามคำร้องขอหรอื คดิ คา่ ใชจ้ า่ ยตามสมควร (reasonable fee) ขอ้ มูล/ฝา่ ยท่ี
ดำเนินการตาม สำหรบั การดำเนนิ การดงั กล่าวได้ รับผดิ ชอบ
สิทธทิ ี่ร้องขอ
• ในกรณีที่มีการปฏิเสธไม่ดำเนินการตามคำร้องขอนั้นท่านจะต้องแจ้งให้ ฝา่ ยบริหารจดั การ
รวบรวมข้อมูลท่ี เจ้าของข้อมูลทราบถึงเหตุผลแห่งการปฏิเสธ สิทธิในการร้องทุกข์ต่อ ขอ้ มลู /ฝา่ ยที่
ไดร้ บั การร้อง หน่วยงานกำกับดูแล และสิทธิในการเรียกร้องค่าสินไหมทดแทนทางศาล
ขอให้ชแ้ี จง (judicial remedy) ให้แก่เจา้ ของขอ้ มลู ทราบ ดว้ ย รับผิดชอบ/ฝ่ายที่
เกยี่ วขอ้ งกบั การ
• ในกรณีทีท่ า่ นประสงค์จะคิดค่าใช้จ่ายสำหรับการดำเนินการตามคำรอ้ ง เกบ็ รักษาข้อมลู
ขอน้นั ทา่ นจะตอ้ งแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชกั ชา้ และท่านมสี ิทธิ
ยงั ไม่ดำเนนิ การตามคำรอ้ งขอจนกว่าจะไดร้ บั ชำระเงนิ คา่ ใช้จา่ ยดงั กลา่ ว
• เมอ่ื พิจารณาแลว้ คำรอ้ งขอน้ันเขา้ เกณฑ์ทจ่ี ะต้องดำเนินการนัน้ ทา่ นอาจ
พจิ ารณาการดำเนินการตามสทิ ธใิ นประเดน็ ดังนี้
(1) คา่ ใช้จ่ายสำหรบั การดำเนินการตามคำร้องขอ
(2) ระยะเวลาสำหรับการดำเนนิ การ
(3) บุคคลทเ่ี ก่ยี วขอ้ งสำหรับการดำเนินการตามคำร้องขอ
• ในกรณีที่มีการปฏิเสธ การกำหนดเง่อื นไขเพม่ิ เตมิ เชน่ การคิดค่าใช้จ่าย
เพิ่มเติมกับเจ้าของข้อมูล หรือเกิดความล่าช้าในการดำเนินการตามคำ
ร้องขอ ท่านจะตอ้ งแจง้ ใหเ้ จา้ ของข้อมลู ทราบถงึ เหตผุ ลสนบั สนนุ ของการ
นน้ั โดยจะต้องระบถุ ึงสทิ ธขิ องเจา้ ของขอ้ มลู ในการรอ้ งทกุ ข์ตอ่ หน่วยงาน
กำกับดูแลทีเ่ ก่ียวขอ้ งต่อไปได้ และสทิ ธิในการเรียกร้องค่าสินไหมทดแทน
ทางศาล (judicial remedy) ดว้ ย
• เมื่อพิจารณาแล้วท่านเห็นว่าจะต้องดำเนินการตามคำร้องขอแล้ว ท่าน
จะตอ้ งติดตอ่ กับฝ่ายท่ีเกย่ี วขอ้ งเพื่อรวบรวมข้อมูลตา่ งๆ ที่เก่ียวข้องเพื่อ
แจง้ และดำเนนิ การตามคำรอ้ งขอของเจา้ ของขอ้ มูล
201 คำขอฟุ่มเฟอื ย (excessive) เป็นคำขอทม่ี ลี ักษณะเปน็ การร้องขอซ้ำๆ ในเร่อื งเดยี วกนั (repetitive character) หลาย
คร้งั โดยไม่มีเหตอุ นั สมควร
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 175
ขั้นตอน คำอธบิ าย บคุ คลทีเ่ กยี่ วขอ้ ง
• ดำเนนิ การตามสิทธิทีร่ ้องขอ ตามรายละเอยี ดในหัวขอ้ D3.5 – D3.14
ดำเนินการตาม ฝ่ายบริหารจัดการ
สิทธิที่รอ้ งขอ ข้อมลู /ฝ่ายท่ี
รับผิดชอบ/ ฝา่ ยที่
เกี่ยวขอ้ งกบั การ
จดั เก็บรักษาข้อมลู
D3.3 สิทธขิ องเจ้าของขอ้ มูลทไ่ี ด้รับการรับรองตามแนวปฏิบัตนิ ี้ ไดแ้ ก่ 202
(1) สทิ ธใิ นการเพิกถอนความยินยอม (right to withdraw consent)
(2) สิทธกิ ารไดร้ ับแจ้งขอ้ มลู (right to be informed)
(3) สทิ ธิในการเขา้ ถงึ ขอ้ มูลสว่ นบคุ คล (right of access)
(4) สทิ ธิในการแกไ้ ขข้อมลู ส่วนบคุ คลใหถ้ กู ต้อง (right to rectification)
(5) สทิ ธิในการลบข้อมลู ส่วนบุคคล (right to erasure)
(6) สทิ ธใิ นการหา้ มมใิ หป้ ระมวลผลขอ้ มลู สว่ นบุคคล (right to restriction of processing)
(7) สิทธิในการใหโ้ อนย้ายข้อมลู สว่ นบคุ คล (right to data portability)
(8) สิทธใิ นการคดั คา้ นการประมวลผลขอ้ มูลสว่ นบคุ คล (right to object)
(9) สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว (right not to be
subject to automated individual decision-making, including profiling)
D3.4 นอกจากสิทธิในการได้รับแจ้งข้อมูล (right to be informed) ซึ่งผู้ควบคุมข้อมูลจะต้อง
ดำเนินการโดยไมต่ ้องมีการร้องขอแล้ว ผู้ควบคมุ ข้อมูลยังมีหนา้ ที่จะต้องดำเนนิ การตามสิทธิ
อื่นๆข้างต้นเม่ือเจ้าของข้อมูลร้องขอ (Data Subject’s Request) การจัดการการร้องขอของ
เจ้าของข้อมลู ในส่วนนี้จึงครอบคลุมสทิ ธิ 8 ประการ มีรายละเอยี ดและแนวทางในการปฏิบัติ
ตามคำรอ้ งขอตามสิทธิตา่ งๆ พอสงั เขปดงั นี้
D3.5 หน้าท่ีในการหยดุ การดำเนินการประมวลผลข้อมูลสว่ นบุคคลเม่อื เจ้าของขอ้ มลู เพกิ ถอนความ
ยนิ ยอม
202 สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว (right not to be subject to automated
individual decision-making, including profiling) สิทธิที่ได้รับการรับรองตาม GDPR เท่านั้น แต่ยังมิได้รับรองไว้ใน
พระราชบญั ญัติคมุ้ ครองข้อมูลสว่ นบคุ คล พ.ศ.2562
176 Thailand Data Protection Guidelines 3.0
(1) [เงื่อนไข] เมื่อเจ้าของข้อมูลเพิกถอนความยินยอมในการประมวลผลข้อมูลแล้ว ท่าน
จะต้องหยุดประมวลผลขอ้ มูลดังกลา่ ว เวน้ แต่ กรณีมเี หตุให้การดำเนินการประมวลผลไม่
จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูล (ดูแนวปฏิบัติเกี่ยวกับฐานในการ
ประมวลผลข้อมูลสว่ นบุคคล) เช่น การประมวลผลอันเน่ืองมาจากการปฏบิ ตั ิตามสัญญา
ระหว่างท่านและเจ้าของข้อมูล หรือกรณีการประมวลผลเพื่อปกป้องสิทธิในชีวิตของ
เจ้าของขอ้ มูล เปน็ ต้น 203
(2) [การปฏิบัติตามสิทธิ] การเพิกถอนความยินยอมนั้นอาจทำในรูปแบบใดก็ได้ ซึ่งต้อง
สามารถกระทำได้ด้วยขั้นตอนทไ่ี ม่ยากไปกวา่ การใหค้ วามยนิ ยอม อาทิ การเพกิ ถอนความ
ยินยอมทางอิเล็กทรอนิกส์ เป็นต้น ทั้งนี้ ความยินยอมที่มีลักษณะเป็นลายลักษณ์อักษร
ควรกำหนดให้การเพิกถอนมีลักษณะเป็นลายลักษณ์อักษรเช่นกัน เพื่อให้มีหลักฐานท่ี
ชดั เจน
(3) [กรณีเจา้ ของข้อมูลเป็นผ้เู ยาว์] ในกรณที ่เี จา้ ของขอ้ มูลเป็นผู้เยาว์ซึ่งมีอายตุ ่ำกว่า 20 ปี
การเพิกถอนความยินยอมอาจต้องไดร้ บั ความยินยอมจากผูป้ กครอง ผ้แู ทนโดยชอบธรรม
หรือบุคคลที่มีอำนาจตามกฎหมาย เว้นแต่กรณีที่การถอนความยินยอมนั้นมีลักษณะที่
กฎหมายกำหนดใหผ้ ู้เยาว์อาจเพกิ ถอนความยินยอมได้เอง 204
203 พระราชบัญญัติคุม้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 19
204 พระราชบัญญัติคุ้มครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 20 กำหนดให้การให้ความยินยอมของผ้เู ยาว์จะต้องได้รับ
ความยินยอมจากผู้ใช้อำนาจปกครองด้วยโดยอ้างอิงหลักการเรื่องผู้เยาว์ตามประมวลกฎหมายแพ่งและพาณิชย์ (ซ่ึง
หมายถงึ บคุ คลท่มี ีอายุไม่ครบ 20 ปบี รบิ รู ณ์ หรือไมไ่ ด้จดทะเบียนสมรสกันก่อนอายุ 20 ปีโดยอายุไมต่ ่ำกว่า 17 ปี) โดย
ประมวลกฎหมายแพ่งและพาณิชย์มาตรา 22-24 กำหนดให้ในบางกรณผี ู้เยาว์อาจเพิกถอนความยนิ ยอมของผู้แทนโดย
ชอบธรรมได้เอง ดังน้ันการใชส้ ทิ ธิในการถอนความยินยอมไมจ่ ำเป็นต้องใชโ้ ดยบคุ คลเดยี วกันกับคนที่ใหค้ วามยินยอมก็ได้
ในกรณที ผ่ี ู้ท่ใี หค้ วามยนิ ยอมเป็นผแู้ ทนโดยชอบธรรม ผู้เยาวก์ ็อาจจะเปน็ ผู้ท่ีถอนความยินยอมกไ็ ด้ ตวั อยา่ งเช่น เจ้าของ
ขอ้ มลู ท่เี คยเปน็ เด็กโตขึ้นและมคี วามรู้สกึ นึกคิดโดยสามารถใช้สิทธขิ องตนเองไดก้ ็ไมจ่ ำเปน็ ทจ่ี ะต้องขอความยินยอมจาก
ผู้แทนโดยชอบธรรมอีกต่อไป ในทำนองเดยี วกันกรณที เ่ี ดก็ พอมีความสามารถให้ความยินยอมไดแ้ ละใช้สทิ ธิได้ด้วยตนเอง
ผู้ควบคุมข้อมูลที่ได้รับคำร้องขอใช้สิทธิจากผู้แทนโดยชอบธรรมก็จะต้องเอาความต้องการของเด็กมาพิจารณา
ประกอบดว้ ย มิใช่จะปฏิบตั ติ ามแต่คำรอ้ งขอของผแู้ ทนโดยชอบธรรมเท่าน้ัน จึงเปน็ ไปไดท้ ่อี าจมีกรณที ่ีความตอ้ งการของ
เด็กหรือผู้เยาว์นั้นขัดกับความต้องการของผู้แทนโดยชอบธรรมในเรื่องการถอนความยินยอมหรือลบข้อมูล หรือกรณีท่ี
ผ้เู ยาวต์ ้องการลบขอ้ มลู โดยทไี่ ม่ตอ้ งการให้ผแู้ ทนโดยชอบธรรมรู้ ในกรนเี ชน่ น้ีระดับความเข้าใจของเดก็ และประโยชน์ของ
เดก็ ย่อมตอ้ งนำมาพิจารณาประกอบดว้ ย เช่นเดียวกับกรณีซึง่ มีผู้ใชอ้ ำนาจปกครองหรือผแู้ ทนโดยชอบธรรมเด็กมากกว่า
หน่ึงคนและมีขอ้ ขดั แย้งระหว่างบรรดาผใู้ ชอ้ ำนาจปกครองเหล่านั้นในประเดน็ ที่จะใช้สิทธใิ นการขอถอนความยนิ ยอมหรือ
ลบข้อมูลออกไป ผู้ควบคุมข้อมูลจึงจำเป็นตอ้ งนำมุมมองหรือประโยชน์ของเด็กมาพิจารณาประกอบเพื่อให้การคุ้มครอง
ประโยชน์ของเด็กนั้นมากที่สุด, see Information Commissioner’s Office, Children and the GDPR, INFORMATION
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 177
(4) [การดำเนินการเมื่อเพิกถอนความยินยอมแล้ว] เมื่อเจ้าของข้อมูลได้เพิกถอนความ
ยินยอมแล้ว หากท่านไม่มีความจำเป็นหรือไม่มีฐานโดยชอบด้วยกฎหมายอื่นๆ ที่จะ
ประมวลผลขอ้ มูลสว่ นบคุ คลดังกล่าวอกี ต่อไป ท่านจะต้องดำเนนิ การลบข้อมูลส่วนบุคคล
นั้นออกจากระบบการจัดเก็บข้อมูลของท่านทั้งหมด ทั้งนี้ เนื่องจากการประมวลผลโดย
นยิ ามแล้วรวมถึงการจดั เก็บข้อมลู ด้วย อย่างไรกต็ าม การเพิกถอนความยินยอมไมก่ ระทบ
ต่อการประมวลผลที่เกิดขึ้นก่อนหน้าอันเนื่องมาจากการให้ความยินยอมที่ชอบด้วย
กฎหมายแลว้
ตวั อยา่ ง
❖ ธนาคารได้รับข้อมูลของลูกค้าในการสมัครเพื่อใช้บริการตามสัญญาใช้บัตรเครดิต ลูกค้าได้ให้ความยินยอมแก่
ธนาคารที่จะเปิดเผยข้อมูลแก่บริษัทในเครือเพื่อนำเสนอสินค้าหรือบริการใหม่ๆ รวมถึงการทำการตลาด
(marketing) เมือ่ ลกู ค้าใชส้ ทิ ธิขอเพิกถอนความยินยอมแก่ธนาคาร ธนาคารจะต้องแจ้งไปยงั บริษทั ในเครือเพ่ือให้
ดำเนนิ การตามสทิ ธใิ นการเพกิ ถอนความยินยอมของลูกคา้ โดยบริษัทในเครือจะตอ้ งลบข้อมูลน้ันไปหากไม่มีฐานที่
ชอบด้วยกฎหมายประการอ่นื ในการเกบ็ ขอ้ มูลเหลา่ นั้นไว้ แตก่ ารใช้ขอ้ มลู ของลกู คา้ ในการติดต่อลูกค้าก่อนหน้านั้น
นับวา่ เป็นการประมวลผลข้อมลู ส่วนบคุ คลทช่ี อบดว้ ยกฎหมายเพราะอาศยั ความยินยอมท่ีมอี ยูก่ ่อนหนา้
(5) [ข้อแนะนำ] นอกจากการมีกลไกในการเพิกถอนความยินยอมแลว้ ผู้ควบคุมข้อมูลอาจ
เพิ่มกลไกเพื่อเปลี่ยนแปลงแก้ไข (modify) ความยินยอมไปด้วยก็ได้ ในกรณีที่เจ้าของ
ข้อมูลต้องการเพิกถอนความยนิ ยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลในบางเรือ่ ง
ไม่ใช่เพิกถอนความยินยอมทั้งหมด ซึ่งการเปลี่ยนแปลงเกี่ยวกับความยินยอมนีก้ ็จะตอ้ ง
แจ้งไปยงั บคุ คลท่ีเก่ียวขอ้ งด้วย 205
D3.6 หน้าทใ่ี นการให้เจา้ ของขอ้ มลู เขา้ ถึงข้อมลู สว่ นบคุ คลท่ีอยูใ่ นครอบครองของท่าน 206
(1) [การปฏิบัตติ ามสิทธิ] เมอ่ื ทา่ นได้รับคำรอ้ งขอจากเจา้ ของข้อมูลเพ่อื ขอเข้าถึงข้อมูลส่วน
บุคคลของตนท่ีอยูใ่ นความครอบครองของท่าน ท่านจะต้องจัดเตรียมข้อมูลทีเ่ กี่ยวข้อง
ขอ้ มูลส่วนบคุ คลและการประมวลผลข้อมลู กลา่ วคือ
COMMISSIONER’S OFFICE (2019), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-
general-data-protection-regulation-gdpr/children-and-the-gdpr/ (last visited Oct 8, 2019).
205 ISO/IEC 27701:2019 (E) (7.3.4)
206 พระราชบัญญัติคุ้มครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 มาตรา 30
178 Thailand Data Protection Guidelines 3.0
(2.1) คำรับรองว่าท่านไดป้ ระมวลผลข้อมูลสว่ นบคุ คลน้นั และเปิดเผยการไดม้ าซึง่ ขอ้ มลู
สว่ นบุคคลที่เจา้ ของข้อมูลไม่ได้ใหค้ วามยนิ ยอม
(2.2) สำเนาของขอ้ มูลส่วนบคุ คลดังกล่าวใหแ้ ก่เจา้ ของขอ้ มูล และ
(2.3) ข้อมลู ประกอบทีเ่ กีย่ วขอ้ ง ดังต่อไปน้ี
- วตั ถุประสงค์ในการประมวลผลขอ้ มูล
- ประเภทของขอ้ มูลส่วนบุคคล
- ผู้รับข้อมูลหรือประเภทของผู้รับข้อมูลส่วนบุคคลที่ได้รับหรือจะได้รับข้อมูล
โดยเฉพาะอย่างยิ่ง ผู้รับข้อมูลที่อยู่ในประเทศที่สามหรือองค์การระหว่าง
ประเทศ
- ระยะเวลาที่จะจัดเก็บข้อมูลส่วนบุคคล หรือ เกณฑ์ในการกำหนดระยะเวลา
จัดเก็บขอ้ มลู
- สิทธิในการแก้ไขข้อมูล ลบข้อมูล ห้ามหรือคัดค้านมิให้ประมวลผลข้อมูลส่วน
บุคคล
- สิทธใิ นการยน่ื คำร้องทกุ ข์ตอ่ หน่วยงานกำกบั ดูแล
- แหล่งทมี่ าของขอ้ มูลส่วนบุคคล (กรณีได้รบั มาจากแหล่งอ่นื )
- รายละเอียดที่เกี่ยวข้องกับการตัดสินใจอัตโนมัติ และโปรไฟลิ่ง (profiling)
รวมถึง ตรรกะเหตุผลที่ใช้ และผลที่คาดว่าจะเกิดขึ้นจากการประมวลผลด้วย
วธิ ีการดังกล่าว
ทงั้ นี้ ข้อมลู ขา้ งตน้ ทจี่ ะต้องส่งให้แกเ่ จ้าของข้อมูลควรเปน็ ข้อมลู ท่ีมีอยู่ในขณะท่ีส่งข้อมูล
ให้แก่เจ้าของข้อมูล (แม้ว่าจะมีการแก้ไขข้อมูลในระหว่างที่ได้รับคำร้องขอกับการ
ดำเนนิ การแจ้งข้อมูลตามคำรอ้ งขอก็ตาม)
(2) [เหตแุ หง่ การปฏิเสธ]
(2.1) เป็นการปฏิเสธตามกฎหมาย หรือ ตามคำสงั่ ศาล
(2.2) การขอเข้าถึงข้อมูลของเจ้าของข้อมูลในลักษณะการขอสำเนาเอกสารข้อมูลส่วน
บุคคลนั้น อาจถูกปฏิเสธ หากการดำเนินการดังกล่าวกระทบในด้านลบต่อสิทธิ
เสรีภาพของบุคคลอื่นๆ เช่น การเปิดเผยข้อมูลที่มีความลับทางการค้า (trade
secret) หรอื มีทรพั ยส์ นิ ทางปัญญาของบคุ คลอ่ืนเปน็ สว่ นหนึง่ ของข้อมูลดงั กลา่ ว
(2.3) กรณีที่มีการปฏิเสธการปฏิบัติตามสิทธิในการเข้าถึงข้อมูล ท่านจะต้องบันทึกคำ
รอ้ งขอของเจ้าของขอ้ มูลไวต้ ามท่รี ะบใุ นหัวขอ้ D1.7
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 179
(3) [เหตแุ หง่ การปฏเิ สธ] สำหรับการเปดิ เผยข้อมลู ท่ีมีข้อมูลของบุคคลท่ีสามอย่ดู ้วยน้ัน ทา่ น
มีสิทธิที่จะปฏิเสธไม่เปิดเผยข้อมูลเฉพาะในส่วนที่เกี่ยวข้องกับบุคคลที่สามนั้นให้แก่
เจา้ ของขอ้ มูลได้ แต่ไม่สามารถอ้างเหตผุ ลดังกลา่ วเพอ่ื ปฏิเสธการเข้าถึงข้อมลู ท้ังหมด ซึ่ง
มีข้อมูลส่วนบุคคลของเจ้าของข้อมลู รวมอยู่ด้วยตามสิทธิในข้อนี้ได้ กรณีที่มีการปฏิเสธ
การปฏิบัติตามสิทธิในการเขา้ ถึงข้อมูล ท่านจะต้องบันทึกคำร้องขอของเจ้าของข้อมูลไว้
ตามทร่ี ะบุในหวั ข้อ D1.7
(4) [แนวปฏิบัติที่ดี] ทา่ นอาจพจิ ารณาจัดให้มรี ะบบในการตรวจสอบ เข้าถึงขอ้ มลู สว่ นบุคคล
ทางไกล (remote access) ของเจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลสามารถรับรู้และ
เข้าถึงข้อมูลส่วนบุคคลของตนได้ตลอดเวลา เช่น การเข้าถึงข้อมูลผ่านระบบออนไลน์ใน
เว็บไซต์ของท่าน (website interface) โดยจะต้องมีการยืนยันตัวตนผ่านชื่อผู้ใช้
(username) และรหัส (password)
D3.7 หน้าท่ีในการแกไ้ ขขอ้ มูลสว่ นบุคคลใหถ้ ูกตอ้ ง
(1) [หน้าที่ตามกฎหมาย] ท่านมีหน้าที่จะต้องดำเนินการให้ข้อมูลส่วนบุคคลของเจ้าของ
ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (แม้จะไม่มีเจ้าของ
ข้อมูลรอ้ งขอ) 207
(2) [การปฏิบตั ติ ามสิทธิ] ท่านจะตอ้ งแกไ้ ขข้อมูลสว่ นบคุ คลให้ถกู ต้อง หรอื เพิ่มเติมให้ข้อมูล
ส่วนบุคคลดังกล่าวให้ครบถ้วนสมบูรณ์เป็นปัจจุบัน รวมถึงการจัดทำรายละเอียด
ประกอบการแก้ไขข้อมูล (supplementary statement) เกี่ยวกับข้อมูลส่วนบคุ คลท่ไี ม่
สมบรู ณ์ ตามทเี่ จา้ ของข้อมูลรอ้ งขอ
ขอ้ มูลท่ไี มถ่ กู ต้อง (inaccurate) คอื ขอ้ มูลทไ่ี มถ่ ูกตอ้ งตรงกับความเปน็ จรงิ
ข้อมูลทไ่ี มส่ มบูรณ์ (incomplete) คือ ขอ้ มลู ทถี่ ูกต้องตรงกบั ความเปน็ จริง แตม่ ไี ม่ครบถว้ นสมบรู ณ์
(3) [คำแนะนำ] ท่านอาจกำหนดหลักเกณฑ์ให้เจ้าของข้อมูลนำหลักฐานหรือเอกสารท่ี
เกี่ยวข้องมาเพื่อพิสูจน์ประกอบการพิจารณาว่าข้อมูลส่วนบุคคลที่ท่านมีอยู่ไม่ถูกต้อง
หรือไมส่ มบูรณอ์ ย่างไร
(4) [การเก็บข้อมูลการแก้ไข] ในกรณีที่ข้อมูลนั้นไม่ถูกต้องในตัวเองอันเนื่องมาจากความ
ผิดพลาดในการพิจารณาข้อมลู ดังกล่าวและมีการแก้ไขเพม่ิ เติมให้ถูกต้องนน้ั ท่านจะต้อง
207 พระราชบญั ญตั ิคมุ้ ครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 35
180 Thailand Data Protection Guidelines 3.0
เกบ็ ขอ้ มลู ทง้ั 2 ชุดไวเ้ พอ่ื เปน็ หลักฐานแสดงความมีอยขู่ องข้อมลู ส่วนบคุ คลนน้ั อาทิ กรณี
มีการวินิจฉยั โรคของผูป้ ่วยผิดพลาดในตอนแรก และมีการวินิจฉัยอีกครัง้ หนึง่ ใหถ้ ูกตอ้ ง
นั้น ขอ้ มูลท้ัง 2 ชดุ จะต้องถกู เกบ็ ไว้เพ่อื เป็นหลกั ฐาน
(5) [แจง้ การแกไ้ ขไปยังบุคคลท่ีสาม] ในกรณีทีข่ อ้ มลู ส่วนบคุ คลได้ถูกเผยแพร่ไปยังบุคคลที่
สาม เมื่อมีการแก้ไขเพิ่มเติมความถูกต้องหรือความสมบูรณ์ ท่านจะต้องแจ้งรายการ
ดังกล่าวใหแ้ กผ่ ้รู บั ข้อมูลทราบดว้ ย
(6) [แนวปฏิบัติที่ดี] ท่านอาจพิจารณาจัดให้มีระบบงานดังต่อไปนี้ เพื่อเป็นแนวทางในการ
ปฏบิ ตั งิ านทด่ี ี
- ในกรณีที่เจ้าของข้อมูลร้องขอให้ตรวจสอบข้อมูลส่วนบุคคลนั้น ท่านควรจะต้อง
ระงบั การประมวลผลขอ้ มลู ดังกล่าว ในระหว่างการตรวจสอบข้อมลู สว่ นบุคคล ไม่ว่า
เจา้ ของขอ้ มลู จะใช้สทิ ธิในการหา้ มมใิ ห้ประมวลผลแลว้ หรือไมก่ ต็ าม
- จัดให้มีระบบหรือขั้นตอนในการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลตั้งแต่
ขณะที่ได้รับขอ้ มูลดังกล่าว หรือตรวจสอบในชว่ งเวลาอื่นๆ แมจ้ ะยงั มไิ ด้มีการร้องขอ
จากเจา้ ของข้อมูลกต็ าม
- จัดให้มีบันทึกการร้องขอให้มีการแก้ไขหรือตรวจสอบความถูกต้องของข้อมูลส่วน
บคุ คลนน้ั พร้อมด้วยเหตผุ ลของเจา้ ของข้อมูลประกอบ
(7) [การปฏิเสธสิทธิ] กรณีที่มีการปฏิเสธการปฏิบัติตามสิทธิในการแก้ไขข้อมูล อาทิ ไม่มี
เหตผุ ลเพยี งพอเพราะข้อมลู ถกู ต้องอยู่แล้ว ท่านจะต้องบันทึกคำรอ้ งขอของเจา้ ของข้อมูล
ไว้ตามที่ระบุในหัวข้อ D1.7 นอกจากน้ี เจ้าของข้อมูลมีสิทธิในการร้องเรียนต่อ
คณะกรรมการผเู้ ชยี่ วชาญเพอื่ ส่งั ให้ทา่ นดำเนินการตามสิทธิได้ (อยา่ งไรกด็ ี ในปัจจุบันยัง
ไม่มีการตั้งคณะกรรมการผู้เช่ียวชาญ และการกำหนดหลักเกณฑ์การร้องเรียนแต่อย่าง
ใด)208
D3.8 หนา้ ทใ่ี นการดำเนนิ การตามสิทธกิ ารขอให้ลบข้อมลู สว่ นบคุ คล 209
(1) [การปฏิบัติตามสิทธิ] ท่านจะต้องดำเนินการลบ หรือ ทำลาย หรือ ทำให้ข้อมูลส่วน
บุคคลนั้นเปน็ ข้อมลู ท่ีไม่สามารถระบุตัวบคุ คลท่ีเป็นเจ้าของข้อมูลได้ หากปรากฏเหตุตาม
คำร้องขอของเจา้ ของขอ้ มลู ดงั น้ี
208 พระราชบญั ญัติค้มุ ครองข้อมลู สว่ นบคุ คล พ.ศ.2562 มาตรา 34 วรรคสอง และมาตรา 36 181
209 พระราชบัญญตั คิ ุ้มครองขอ้ มูลส่วนบคุ คล พ.ศ.2562 มาตรา 33
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั
- ขอ้ มลู สว่ นบคุ คลดงั กลา่ วไมม่ คี วามจำเป็นสำหรับการเก็บรวบรวมหรอื ประมวลผลตาม
วตั ถปุ ระสงคท์ ไ่ี ด้เกบ็ รวบรวมข้อมลู ส่วนบคุ คลอกี ตอ่ ไป
- เจ้าของข้อมูลเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล และท่านไม่
สามารถอ้างฐานในการประมวลผลอื่นได้
- เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผล โดยท่านไม่สามารถอา้ งความ
ยินยอมในการให้เกบ็ รวบรวมข้อมลู ได้
- เจ้าของข้อมูลใช้สิทธิในการคัดค้านการประมวลผล และท่านไม่มีเหตุอันชอบด้วย
กฎหมายหรือ เพ่ือการกอ่ ตง้ั สิทธเิ รียกรอ้ งตามกฎหมาย การปฏิบตั ติ ามหรอื การใช้สิทธิ
เรยี กร้องตามกฎหมาย หรอื การยกข้นึ ต่อสสู้ ิทธเิ รียกรอ้ งตามกฎหมาย หรือ เพือ่ ปฏิบัติ
ตามกฎหมาย เพ่ือใชอ้ า้ งเพื่อประมวลผลได้
- เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผลที่มีลักษณะเพื่อวัตถุประสงค์
เกยี่ วกับการตลาดแบบตรง
- การประมวลผลขอ้ มลู สว่ นบุคคลนนั้ ไมช่ อบด้วยกฎหมาย
- การลบขอ้ มลู เปน็ ไปตามหนา้ ที่ตามกฎหมายของทา่ น
(2) [การปฏิบัติตามสิทธิ] ท่านจะต้องลบ หรือ ทำลาย หรือ ทำให้ข้อมูลส่วนบคุ คลนั้นเป็น
ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เปน็ เจ้าของข้อมูลได้ ในลักษณะที่ทำให้บุคคลอืน่ ไม่
สามารถเขา้ ถงึ อ่าน หรือประมวลผลขอ้ มูลสว่ นบุคคลดงั กล่าวได้ รวมถึงทำให้ไม่สามารถ
นำกลับมาใช้ได้อีกด้วย
(3) [การปฏบิ ตั ิตามสิทธิ] ในกรณที ี่ข้อมูลส่วนบคุ คลถูกเปดิ เผยให้แก่บุคคลทีส่ าม หรือ ท่าน
ได้ทำให้ข้อมูลดังกล่าวเผยแพร่สู่สาธารณะ ท่านจะต้องจัดให้มีมาตรการทางเทคโนโลยี
สำหรบั การแจ้งใหบ้ ุคคลอน่ื ลบขอ้ มลู ดังกล่าวดว้ ย ไม่วา่ ข้อมูลน้นั จะอยใู่ นรูปแบบใด ไม่ว่า
ต้นฉบับหรือสำเนา หรือลิงค์ใดๆ ที่เชื่อมโยงถึงข้อมูลส่วนบุคคลนั้น ด้วยค่าใช้จ่ายของ
ทา่ นเอง อาทิ กรณีมกี ารเปิดเผยข้อมูลสว่ นบคุ คลทางออนไลน์
(4) [เหตุแห่งการปฏิเสธ] หากมีกรณีดังต่อไปนี้ ท่านสามารถปฏเิ สธไม่ดำเนินการลบขอ้ มูล
ตามคำรอ้ งขอได้
- เมื่อการประมวลผลมีความจำเป็นในการแสดงออกหรือการใช้สิทธิเสรีภาพในข้อมูล
ท้งั น้ี ควรพจิ ารณาความจำเป็นและความเหมาะสมในการนำข้อมลู สว่ นบุคคลมาใช้เพื่อ
แสดงออก เชน่ ข้อมลู ดงั กลา่ วเกา่ เกนิ สมควรท่จี ะนำมาใชแ้ ลว้ หรอื ไม่
- การประมวลผลเป็นไปตามวัตถุประสงค์ในการจัดทำ เอกสารประวัติศาสตร์ หรือ
จดหมายเหตุเพือ่ ประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถติ ิซึ่งได้จดั
182 Thailand Data Protection Guidelines 3.0
ใหม้ มี าตรการปกป้องทเ่ี หมาะสมเพื่อคุม้ ครองสิทธแิ ละเสรภี าพของเจ้าของข้อมูล หรือ
เป็นการจำเป็นเพื่อการปฏิบัติหน้าท่ีในการดำเนินภารกิจเพ่ือประโยชนส์ าธารณะของ
ทา่ น หรือ การใช้อำนาจรัฐท่ีไดม้ อบหมายให้แกท่ ่าน หรอื เปน็ การเกบ็ ขอ้ มูลส่วนบุคคล
ที่เป็นข้อมูลอ่อนไหว (sensitive data) ที่เป็นการจำเป็นในการปฏิบัติหน้าที่ตาม
กฎหมายเพื่อให้บรรลุวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์
ประโยชน์สาธารณะด้านการสาธารณสุข ตามมาตรา 26 (5) (ก) และ (ข) แห่ง
พระราชบญั ญตั คิ ุ้มครองขอ้ มูลสว่ นบุคคล พ.ศ.2562
- เปน็ การเก็บรกั ษาข้อมูลส่วนบุคคลน้ันเป็นไปเพ่ือการกอ่ ต้งั สิทธิเรียกร้องตามกฎหมาย
การปฏบิ ัตติ ามหรอื การใชส้ ิทธเิ รยี กรอ้ งตามกฎหมาย หรือการยกขึน้ ตอ่ สู้สิทธิเรียกร้อง
ตามกฎหมาย หรอื เพ่ือปฏิบัตติ ามกฎหมาย
- กรณีที่มีการปฏิเสธการปฏิบัติตามสิทธิในการลบข้อมูล ท่านจะต้องบันทึกคำร้องขอ
ของเจ้าของข้อมูลไว้ตามที่ระบใุ นหัวข้อ D 1.7 นอกจากนี้ เจ้าของข้อมลู มีสิทธิในการ
ร้องเรยี นตอ่ คณะกรรมการผเู้ ชีย่ วชาญเพ่อื ส่งั ใหท้ ่านดำเนนิ การตามสทิ ธไิ ด้ (อย่างไรก็ดี
ในปัจจุบันยังไม่มีการตั้งคณะกรรมการผู้เชี่ยวชาญ และการกำหนดหลักเกณฑ์การ
ร้องเรียนแต่อยา่ งใด)
D3.9 หนา้ ที่ในการระงับการประมวลผลข้อมลู ส่วนบุคคลแบง่ ออกเป็น 2 กรณี คือ กรณีทีค่ ือกรณีที่
เจ้าของขอ้ มูลหา้ มมิให้ประมวลผล และกรณีทเี่ จา้ ของข้อมลู คดั คา้ นการประมวลผล
D3.10 หน้าทีใ่ นการระงับการประมวลผลเมอ่ื เจา้ ของขอ้ มลู หา้ มมิให้ประมวลผล 210
(1) [การปฏิบัติตามสิทธิ] เมื่อเจ้าของข้อมูลห้ามมิให้ประมวลข้อมูลส่วนบุคคลด้วยเหตุ
ดังต่อไปนี้ ท่านจะต้องระงับการประมวลผล (โดยส่วนใหญ่แล้วจะเป็นการห้ามมิให้
ประมวลผลเป็นช่วงระยะเวลาใดเวลาหนึ่ง อันเนื่องมาจากความถูกต้องของข้อมูล หรือ
ลักษณะของการประมวลผลไมถ่ ูกต้อง)
- เจ้าของข้อมูลโต้แย้งความถูกต้องของข้อมูลส่วนบุคคล และอยู่ในระหว่างการ
ตรวจสอบความถกู ต้อง
- การประมวลผลขอ้ มลู ส่วนบุคคลเป็นไปโดยมิชอบดว้ ยกฎหมาย และเจ้าของขอ้ มูลได้
รอ้ งขอให้มีการหา้ มมใิ หป้ ระมวลผลแทนการขอให้ลบข้อมูลส่วนบคุ คล
210 พระราชบญั ญัติค้มุ ครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 34 183
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั
- ท่านไม่มีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป แต่เจ้าของ
ข้อมูลได้เรียกร้องให้ท่านเก็บข้อมูลไว้เพื่อใช้ในการก่อตั้ง ใช้ หรือป้องกันสิทธิ
เรยี กรอ้ งทางกฎหมายของเจ้าของขอ้ มูล
- เจ้าของข้อมูลคัดค้านการประมวลผลข้อมูลเพื่อรอการพิสูจน์ข้ออ้างตามกฎหมาย
ของท่านว่ามีสทิ ธใิ นการประมวลผลขอ้ มลู เหนอื กวา่ เจา้ ของขอ้ มูลหรอื ไม่
(2) [การปฏิบัติตามสิทธิ] ทั้งนี้ เจ้าของข้อมูลอาจห้ามมิให้ประมวลผลได้ แม้จะได้ใช้สิทธิ
อื่นๆ อยู่แลว้ ก็ตาม เช่น กรณกี ารขอห้ามมใิ หป้ ระมวลผลในระหว่างท่านตรวจสอบความ
ถกู ต้องของขอ้ มูลตามสิทธิ หรืออยู่ในระหวา่ งการพจิ ารณาการระงบั การประมวลผลข้อมูล
ส่วนบคุ คลตามสิทธิในการคัดค้านการประมวลผล ในหัวขอ้ D3.11
(3) [การดำเนินการระงบั การประมวลผล] การระงบั การประมวลผลนัน้ อาจกระทำไดห้ ลาย
วิธี ขึ้นอยู่กับลักษณะการประมวลผลในรูปแบบต่างๆ โดยท่านอาจระงับการประมวลผล
ด้วยวธิ ีการดงั ต่อไปนี้
- การเคล่ือนย้ายขอ้ มลู สว่ นบคุ คลช่ัวคราวไปไวท้ ่รี ะบบการประมวลผลอ่ืน
- การระงบั การใหผ้ ใู้ ช้ข้อมูลเขา้ ถงึ ขอ้ มลู ชั่วคราว
- การถอนขอ้ มูลออกจากหน้าเวบ็ ไซต์ หรอื ระบบชัว่ คราว
(4) [แจ้งบุคคลที่สามให้ระงับการประมวลผลด้วย] ในกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผย
ให้แก่บุคคลทส่ี าม ทา่ นจะต้องแจง้ ให้บุคคลอื่นระงับการประมวลผลดว้ ย
(5) [เหตุแห่งการปฏิเสธ] ข้อยกเว้นท่ีท่านสามารถปฏิเสธไม่ดำเนินการระงบั การประมวลผล
ได้อาจเปน็ ไปตามทค่ี ณะกรรมการประกาศกำหนดในอนาคต 211
(6) [เหตุแหง่ การปฏเิ สธ] กรณีทมี่ ีการระงบั การประมวลผลขอ้ มูลส่วนบุคคลแล้ว หากเกิด
กรณีดังต่อไปน้ี ท่านอาจพิจารณาในการยกเลกิ การระงบั การประมวลผลและแจง้ ใหแ้ ก่
เจา้ ของขอ้ มลู ทราบกอ่ นการยกเลิกการระงบั การประมวลผล พรอ้ มทั้งแจง้ สทิ ธิในการ
ดำเนินการต่างๆ ในลกั ษณะเดียวกบั การแจ้งการปฏิเสธสทิ ธติ ามทร่ี ะบุไวใ้ นตารางขา้ งต้น
211 คณะกรรมการอาจประกาศกำหนดให้เหตดุ ังต่อไปนีเ้ ปน็ เหตุปฏเิ สธในการระงับการประมวลผล
- การเก็บข้อมูล (storage) ในระหวา่ งระงับการประมวลผล
- ทา่ นได้รับความยินยอมจากเจ้าของข้อมูล
- การประมวลผลเป็นไปเพอ่ื กอ่ ตั้ง ใช้ หรอื ป้องกนั สิทธทิ างกฎหมาย
- การประมวลผลเปน็ ไปเพ่อื ปอ้ งกนั สทิ ธขิ องบุคคลท่สี าม
- การประมวลผลเปน็ ไปเพ่ือประโยชนส์ าธารณะทส่ี ำคญั
184 Thailand Data Protection Guidelines 3.0
- กรณีที่ท่านตรวจสอบข้อมูลส่วนบุคคลที่ร้องขอแล้วเห็นว่าข้อมูลดังกล่าวถูกต้อง
ครบถ้วนสมบูรณ์ หรือ ท่านเหน็ วา่ ท่านมสี ทิ ธปิ ฏเิ สธไมล่ บขอ้ มูลตามคำร้องขอ
- กรณีเจ้าของข้อมูลคัดค้านการประมวลผลแล้วท่านเห็นว่าท่านมีสิทธิในการ
ดำเนินการประมวลผลต่อไปตามเหตุแห่งการปฏิเสธ อาทิ การปฏิบัติหน้าที่เพื่อ
ประโยชนส์ าธารณะ หรือการอา้ งผลประโยชนโ์ ดยชอบธรรมเพอ่ื ประมวลผล เป็นต้น
- กรณีที่มีการปฏิเสธการปฏิบัติตามสิทธิในการระงับการประมวลผลข้อมูล ท่าน
จะต้องบันทึกคำร้องขอของเจ้าของข้อมูลไว้ตามที่ระบุในหัวข้อ D1.7 นอกจากน้ี
เจ้าของข้อมูลมีสิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ท่าน
ดำเนินการตามสิทธิได้ (อย่างไรก็ดี ในปัจจุบันยังไม่มีการตั้งคณะกรรมการ
ผู้เช่ียวชาญ และการกำหนดหลกั เกณฑ์การรอ้ งเรียนแต่อยา่ งใด)
(7) [แนวปฏบิ ตั ิที่ดี] ทา่ นควรจะต้องระงบั การประมวลผลทนั ทีทม่ี กี ารรอ้ งขอจากเจา้ ของ
ข้อมูลหรอื จดั ใหม้ ผี ู้รบั ผิดชอบ หรือระบบในการติดตามการระงับการประมวลผล เพอ่ื
ตรวจสอบความถกู ตอ้ งข้อมูล หรอื อยใู่ นระหวา่ งการพิจารณาฐานตามกฎหมายในการ
ปฏบิ ตั หิ รือไม่ปฏบิ ตั ิตามสิทธิของเจา้ ของขอ้ มูล
D3.11 หนา้ ทใ่ี นการระงับการประมวลผลเมือ่ เจ้าของข้อมลู คัดค้านการประมวลผลข้อมลู 212
(1) [การปฏิบัติตามสิทธิ] เมื่อเจ้าของข้อมูลคัดค้านการประมวลข้อมูลส่วนบุคคลด้วยเหตุ
ดังต่อไปนี้ ทา่ นจะตอ้ งระงบั การประมวลผล
- กรณีที่มีการประมวลผล หรือโปรไฟลิ่ง (profiling) ที่มีวัตถุประสงค์เพื่อการตลาด
แบบตรง (direct marketing) (ไม่มีขอ้ ยกเวน้ สำหรบั การประมวลผลในลกั ษณะน)้ี
- กรณีที่มีการประมวลผล หรือโปรไฟลิ่ง (profiling) โดยทั่วไป ซึ่งรวมถึงกรณีการ
ปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ การปฏิบัติตามคำสั่งของเจ้าหน้าที่รัฐ การ
ประมวลผลโดยใช้ฐานผลประโยชน์โดยชอบธรรมของท่าน ตามมาตรา 24(4) และ
(5) ท้ังน้ี เว้นแตก่ ารประมวลผลนั้นสำคัญกว่าผลประโยชน์ สิทธิ เสรีภาพของเจา้ ของ
ข้อมูล หรือ เป็นการประมวลผลเพอ่ื การกอ่ ตัง้ สิทธิเรียกร้องตามกฎหมาย การปฏิบัติ
ตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม
กฎหมาย
212 พระราชบญั ญตั คิ มุ้ ครองข้อมลู สว่ นบคุ คล พ.ศ.2562 มาตรา 32 185
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั
- กรณีข้อมูลที่ประมวลผล หรือโปรไฟลิ่ง (profiling) นั้นเป็นข้อมูลทางการวิจัย
เกี่ยวกับวิทยาศาสตร์ ประวัติศาสตร์ หรือ ข้อมูลทางสถิติ ซึ่งมีความเกี่ยวข้องกับ
ข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งนี้ เว้นแต่ เป็นการประมวลผลเพื่อประโยชน์
สาธารณะ
(2) [การปฏิบัติตามสิทธิ] ท่านจะต้องแจ้งสิทธิในการคัดค้านการประมวลผลให้แก่เจ้าของ
ข้อมลู ทราบ อย่างชา้ ทีส่ ุด ณ เวลาแรกท่ีท่านไดต้ ิดต่อกบั เจ้าของข้อมูล
(3) [ข้อแนะนำ] โดยทั่วไปแลว้ เมอื่ ทา่ นต้องระงบั การประมวลผลข้อมูลตามสิทธิการคัดค้าน
การประมวลผล ทา่ นจะตอ้ งดำเนินการลบขอ้ มูลสว่ นบคุ คลดงั กล่าวดว้ ย (ไม่ไดม้ ขี ้อยกเว้น
ใหเ้ กบ็ ขอ้ มูลได้เช่นเดียวกับกรณีการระงับการประมวลผลข้อมลู ตามสทิ ธิในการห้ามการ
ประมวลผลตามข้อย่อยข้างต้น) อย่างไรก็ดี อาจมีบางกรณีที่ท่านไม่ต้องลบข้อมูลส่วน
บุคคลดังกล่าว หากท่านยังคงมีความจำเป็นในการประมวลผลตามวัตถุประสงค์อื่นท่ี
เจา้ ของขอ้ มูลมิไดค้ ดั คา้ น หรือไม่มสี ทิ ธิคดั คา้ น
(4) [เหตุแหง่ การปฏเิ สธ] กรณีที่มีการปฏเิ สธการปฏิบตั ิตามสทิ ธใิ นการระงับการประมวลผล
ข้อมูล ท่านจะต้องบันทึกคำร้องขอของเจ้าของข้อมูลไว้ตามที่ระบุในหัวข้อ D1.7
นอกจากนี้ เจ้าของข้อมูลมีสิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้
ทา่ นดำเนินการตามสิทธิได้ (อยา่ งไรก็ดี ในปจั จบุ ันยังไมม่ กี ารตง้ั คณะกรรมการผเู้ ช่ียวชาญ
และการกำหนดหลักเกณฑ์การรอ้ งเรียนแต่อยา่ งใด)
D3.12 หนา้ ทใ่ี นการโอนย้ายข้อมลู สว่ นบุคคล 213
(1) [การปฏิบัติตามสิทธิ] ท่านจะต้องจัดเตรียมข้อมูลส่วนบุคคลให้อยู่ในรูปแบบที่มีการ
จัดเรียงแล้ว (structured) ใช้กันทั่วไป และเครื่องคอมพิวเตอร์สามารถอ่านได้ เพื่อ
เตรียมพร้อมกรณีที่มีการร้องข้อให้มีการโอนย้ายข้อมูลสว่ นบุคคลให้แก่ผูค้ วบคุมข้อมลู
รายอื่น โดยการโอนย้ายข้อมูลนั้นจะต้องไม่มีลักษณะที่เป็นอุปสรรคต่อการประมวลผล
ของผู้รับโอนย้ายข้อมลู
(2) [การปฏิบตั ิตามสทิ ธิ] ทงั้ นี้ ขอ้ มลู สว่ นบคุ คลท่ีท่านต้องปฏบิ ัติตามขอ้ นี้ จะต้องเป็นข้อมูล
ส่วนบุคคลที่ได้รับมาจากเจ้าของข้อมูลเท่านั้น ซึ่งรวมถึงกรณีการสอดส่องพฤติกรรม
กิจกรรมของเจ้าของข้อมูลด้วย เช่น ข้อมูลการค้นหาข้อมูลทางอินเตอร์เน็ต ข้อมูล
การจราจร ข้อมูลของตำแหน่งของเจ้าของข้อมูล ข้อมูลดิบที่ได้รับการประมวลผลจาก
เครื่องมือวัด หรือ อุปกรณ์สวมใส่ (อาทิ เครื่องวัดอัตราการเต้นของหัวใจในอุปกรณ์วิง่
213 พระราชบัญญัติคุ้มครองข้อมูลส่วนบคุ คล พ.ศ.2562 มาตรา 31
186 Thailand Data Protection Guidelines 3.0
เป็นต้น) เทา่ น้ัน อย่างไรกด็ ี ข้อมลู ดังกล่าวไมร่ วมถงึ ขอ้ มูลทม่ี ีการทำให้ไมส่ ามารถบ่งบอก
ถึง ตัวตนของ เจ ้าของ ข้อมูล ได้ ( anonymization) แต่ห า กเป็นแฝ ง ข้อมูล
(pseudonymize) จะต้องตกอยู่ภายใต้เรื่องนี้หากสามารถเช่ือมโยงกับเจ้าของข้อมูลได้
อย่างชัดเจน
(3) [การปฏิบัติตามสิทธิ] การโอนย้ายข้อมูลส่วนบุคคลสามารถกระทำได้ เฉพาะกรณี
ดงั ต่อไปนี้
- ได้รับความยินยอมจากเจ้าของขอ้ มูล และเป็นข้อมูลที่เกิดจากการประมวลผลด้วย
วธิ กี ารอัตโนมตั ิ (automated means)
- เป็นการปฏิบัติหน้าที่ตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมขอ้ มูล และเป็น
ขอ้ มูลที่เกดิ จากการประมวลผลด้วยวธิ ีการอัตโนมตั ิ (automated means)
(4) [เหตแุ หง่ การปฏิเสธ] ข้อยกเวน้ ในการปฏิเสธไม่ดำเนนิ การโอนย้ายข้อมูล มีดงั น้ี
- การประมวลผลนนั้ เป็นการดำเนินการตามหนา้ ทเ่ี กยี่ วกับประโยชน์สาธารณะ
- ผู้ควบคมุ ขอ้ มูลเปน็ หนว่ ยงานรัฐท่ใี ช้อำนาจรฐั เอง
- การดำเนินการดังกล่าวกระทบในด้านลบต่อสิทธิ เสรีภาพของบุคคลอื่นๆ เช่น การ
เปิดเผยข้อมูลที่มีความลับทางการค้า (trade secret) หรือ มีทรัพย์สินทางปัญญา
ของบุคคลอื่นเป็นส่วนหนง่ึ ของข้อมูลดังกล่าว
- กรณีที่มีการปฏิเสธการปฏิบตั ิตามสิทธิในการโอนย้ายข้อมูล ท่านจะต้องบันทึกคำ
ร้องขอของเจ้าของข้อมลู ไวต้ ามที่ระบใุ นหวั ข้อ D1.7 นอกจากนี้ เจา้ ของขอ้ มูลมีสิทธิ
ในการร้องเรียนต่อคณะกรรมการผู้เช่ียวชาญเพื่อสั่งให้ท่านดำเนินการตามสิทธิได้
(อย่างไรก็ดี ในปัจจุบันยังไม่มีการตั้งคณะกรรมการผู้เชี่ยวชาญ และการกำหนด
หลักเกณฑก์ ารรอ้ งเรยี นแตอ่ ย่างใด)
D3.13 หน้าทใี่ นการไม่ใชก้ ระบวนการตัดสินใจอตั โนมตั ิและโปรไฟล่ิง (profiling) เพียงอย่างเดยี ว
(automated individual decision-making) 214
(1) [การปฏิบัติตามสิทธิ] ในกรณีที่ท่านใช้กระบวนการตัดสินใจอัตโนมัติและโปรไฟล่ิง
(profiling) ทก่ี ่อให้เกิดผลทางกฎหมาย หรอื ผลในลักษณะเดียวกันตอ่ เจา้ ของข้อมูล ซึ่งมี
ผลในทางด้านลบอย่างรุนแรง อาทิ การอนุมัติเงินกู้ออนไลน์ การจ้างงานออนไลน์ การ
214 สิทธิในการไม่ตกอยภู่ ายใตก้ ารตดั สนิ ใจอตั โนมตั ิเพียงอย่างเดียวนนั้ ยงั ไม่ถูกรบั รองในพระราชบญั ญตั ิคมุ้ ครองขอ้ มลู
ส่วนบคุ คล พ.ศ.2562
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 187
ประมวลผลการทดสอบต่างๆ การประมวลผลข้อมูลเพื่อกำหนดรสนิยมของบุคคล หรือ
พฤติกรรมของเจ้าของข้อมูล ซึ่งส่วนใหญ่จะเกิดขึ้นในธุรกิจเกี่ยวกับการตลาด การเงิน
การศกึ ษา สุขภาพ เป็นตน้ ซ่งึ เจา้ ของขอ้ มลู มีสิทธิทีจ่ ะรอ้ งขอให้ทา่ นจดั ให้มีบุคคลเข้าไป
มีส่วนร่วมในการพิจารณาและตัดสินใจในเรื่องนั้นๆ ด้วย โดยไม่ใช้แค่กระบวนการ
ตดั สินใจอตั โนมตั ิเพยี งอย่างเดียว
(2) [เหตุแหง่ การปฏเิ สธ] หากมกี รณีดังต่อไปน้ี ท่านสามารถท่ีจะดำเนินการใช้กระบวนการ
ตัดสนิ ใจอตั โนมัติเพียงอย่างเดยี วได้แม้เป็นเร่ืองทีก่ ระทบต่อผลทางกฎหมาย หรือ ผลใน
ลักษณะเดียวกันต่อเจ้าของข้อมูลก็ตาม แต่ท่านจะต้องมีมาตรการเพื่อปกป้องสิทธิของ
เจ้าของข้อมูลจากการประมวลผลในรูปแบบดังกล่าว ซึ่งอย่างน้อยจะต้องมีการให้สิทธิ
เจ้าของข้อมูลในการให้มีบุคคลเข้ามามีส่วนร่วมในการตัดสินใจด้วย หรือ มีสิทธิในการ
โต้แย้งการตัดสนิ ใจดังกล่าวได้
- กรณีการเข้าทำสัญญา หรือ การปฏิบัติหน้าที่ตามสัญญาระหว่างเจา้ ของข้อมูลกบั
ท่าน
- ไดร้ ับความยนิ ยอมโดยชัดแจ้งจากเจ้าของขอ้ มลู
(3) [เหตุแห่งการปฏิเสธ] หากเป็นกรณีมีกฎหมายกำหนดให้สามารถใช้การประมวลผล
รปู แบบดังกลา่ วได้เพียงอยา่ งเดียว อาทิ กรณีการพจิ ารณาเรือ่ งการฉอ้ โกง หรอื การเลี่ยง
ภาษี ทา่ นก็สามารถท่ีจะดำเนินการใช้กระบวนการตัดสินใจอัตโนมัตเิ พียงอย่างเดียวได้แม้
เปน็ เร่อื งท่ีกระทบต่อผลทางกฎหมาย หรอื ผลในลกั ษณะเดยี วกันต่อเจา้ ของข้อมูลกต็ าม
(4) [เหตุแห่งการปฏิเสธ] หากเป็นกรณีข้อมูลที่ประมวลผลนั้นเป็นข้อมูลส่วนบุคคลชนิด
พิเศษ จะไมส่ ามารถกระทำการประมวลผลด้วยกระบวนการตัดสนิ ใจอัตโนมัติเพียงอย่าง
เดียวได้ เวน้ แต่
- ไดร้ ับความยนิ ยอมโดยชดั แจ้งจากเจ้าของข้อมูล
- การประมวลผลมีความจำเปน็ เพอื่ ประโยชนส์ าธารณะ
(5) [แนวปฏบิ ตั ิทีด่ ี] อยา่ งไรกด็ ี แม้วา่ ทา่ นจะสามารถใชแ้ คก่ ระบวนการตัดสนิ ใจอัตโนมัติ
เพียงอยา่ งเดียวได้ แต่ทา่ นควรคำนงึ ถึงความรูค้ วามเข้าใจ และหลกั เกณฑใ์ นการตัดสนิ ใจ
ซงึ่ มผี ลกระทบทางดา้ นกฎหมายตอ่ เจา้ ของขอ้ มูลด้วย โดยทา่ นอาจจดั ให้มสี ิง่ ดงั ต่อไปน้ี
- จัดเตรียมข้อมูลเกี่ยวกับการประมวลผลและกระบวนการตัดสินใจอัตโนมัติเพียง
อย่างเดียว เช่น ตรรกะทางการตัดสินใจ หรือ กระบวนการทางคณิตศาสตร์ สถิติ
เพ่ือชีแ้ จงต่อเจ้าของขอ้ มูล รวมถงึ ต้องไม่มอี คติ หรือเลอื กปฏิบัติในการตัดสินใจ
- ใหส้ ทิ ธิเจ้าของข้อมลู ในการโต้แย้ง หรือใหค้ วามเห็นต่อการตดั สนิ ใจดงั กลา่ วได้
188 Thailand Data Protection Guidelines 3.0
- จดั ให้มมี าตรการทางเทคนิค หรอื ในเชงิ บริหารจัดการ ท่เี หมาะสม รวมถึงมาตรการ
ในการคุ้มครองสิทธิเสรีภาพ รวมถึงผลประโยชน์โดยชอบธรรมของเจ้าของข้อมูล
เพื่อตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล และลดความเสี่ยงของความ
ผิดพลาดของการตดั สนิ ใจ
D3.14 ตารางเปรยี บเทียบสทิ ธิของเจ้าของข้อมูลและเหตุในการปฏิเสธไม่ดำเนินการตามคำร้องขอ
ของเจา้ ของขอ้ มูล ดังต่อไปนี้
- คำขอไมส่ มเหตสุ มผล
- คำขอฟมุ่ เฟือย
- เจา้ ของขอ้ มูลมีขอ้ มลู อยูแ่ ล้ว
- เก็บรวบรวมข้อมลู เพ่ือเสรีภาพในการแสดงความคิดเหน็
- เกยี่ วกับการทำตามสัญญา หรอื การเขา้ ทำสญั ญาระหวา่ งเจ้าของข้อมูลกับผู้ควบคมุ ข้อมูล
- ตามกฎหมาย หรือ คำสงั่ ศาล
- การประมวลผลก่อใหเ้ กิดผลกระทบด้านลบแกบ่ ุคคลอนื่
- ข้อมลู นัน้ จำเป็นสำหรบั การประมวลผล
- ประมวลผลเก็บรวบรวมข้อมูลเพื่อประโยชน์สาธารณะ การวิจัยด้านวิทยาศาสตร์
ประวัติศาสตร์ สถิติ หรือ เป็นการใช้อำนาจรัฐ หรือ เป็นหน้าที่ตามกฎหมาย
- ก่อตง้ั ใช้ หรอื ปอ้ งกันสิทธทิ างกฎหมาย
- ประโยชน์โดยชอบดว้ ยกฎหมายของผู้ควบคุมข้อมูล หรือบุคคลอืน่ อยู่เหนือกว่าสิทธิของ
เจา้ ของขอ้ มลู
D3.15 ตัวอย่างแบบฟอรม์ คำขอใชส้ ทิ ธติ ามกฎหมายคุ้มครองขอ้ มลู ส่วนบุคคล แนวปฏิบตั ิฉบับน้ีได้
จดั ทำตวั อย่างแบบคำรอ้ งขอใชส้ ทิ ธิ 2 รูปแบบ ไดแ้ ก่ คำรอ้ งขอใช้สิทธิในการเขา้ ถึงข้อมลู สว่ น
บุคคล และคำรอ้ งขอใชส้ ทิ ธิในการลบขอ้ มูลตามท่ีปรากฏดา้ นลา่ งน้ี (ทัง้ นี้ทา่ นอาจปรับเปล่ียน
ใหเ้ หมาะสมกบั การดำเนนิ งานของทา่ นได้ตามทเ่ี ห็นสมควร)
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 189
เหตุแห
สทิ ธิ คำขอไม่ คำขอ เจ้าของ เก็บเพ่ือ
สมเหตสุ มผล ฟ่มุ เฟอื ย ขอ้ มูลมี เสรีภาพใน
ขอ้ มลู อยู่ การแสดง
แล้ว ความ
คดิ เห็น
1.การเพิกถอนความยินยอม
2.การเข้าถงึ ขอ้ มลู ส่วนบคุ คล ✓ ✓
3.การแก้ไขขอ้ มลู ส่วนบุคคลใหถ้ ูกตอ้ ง ✓ ✓
4.การลบข้อมูลสว่ นบุคคล ✓ ✓ ✓
5.การระงับการประมวลผลข้อมลู 215 ✓ ✓
6.การใหโ้ อนย้ายข้อมูลสว่ นบคุ คล ✓ ✓
7.การคดั คา้ นการประมวลผลขอ้ มูล ✓ ✓
8.การไม่ตกอยู่ภายใต้การตดั สินใจอัตโนมัติ ✓ ✓
เพียงอยา่ งเดียว
215 กฎหมายใหค้ ณะกรรมการประกาศกำหนดหลกั เกณฑ์ ซง่ึ อาจจะมีแนวโนม้ ไปในทศิ ทางเดียวกบั
หง่ การปฏิเสธการปฏิบัตติ ามคำรอ้ งของเจ้าของข้อมลู ประโยชน์ ก่อตัง้ ใช้ ประโยชน์
สาธารณะ หรือป้องกนั โดยชอบ
เกย่ี วกบั การ กฎหมาย เกิดผลกระทบ จำเป็น หรอื อำนาจ สทิ ธทิ าง
ทำตาม อนญุ าต ด้านลบแก่ สำหรับการ รัฐ หรือ กฎหมาย ดว้ ย
สัญญา บคุ คลอื่น ประมวลผล หน้าท่ตี าม กฎหมาย
กฎหมาย
✓✓
✓
✓ ✓ ✓
✓ ✓
✓ ✓
✓ ✓
✓
✓
✓✓ ✓
บเหตุปฏเิ สธสทิ ธิทป่ี รากฏใน GDPR จงึ ไดส้ รุปแนวทางดงั กล่าวไวใ้ นตารางนี้
ตวั อย่างแบบคำร้องขอใช้สทิ ธิในการเขา้ ถึงข้อมลู
(Right of Access Request Form)
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ให้สิทธิแก่เจ้าของข้อมูลในการ
ร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ ซึ่งรวมถึง “สิทธิในการเข้าถึงข้อมูล” ที่ได้
ระบุไวใ้ นมาตรา 30 แหง่ พระราชบญั ญัติดังกล่าว โดยมขี ้อความดังน้ี
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่
เกี่ยวข้องกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ขอให้
เปดิ เผยถึงการได้มาซง่ึ ข้อมูลสว่ นบุคคลดงั กล่าวทตี่ นไม่ได้ให้ความยนิ ยอม”
ดังนั้น เจ้าของข้อมูลจึงมีสิทธิร้องขอให้เราอนุญาตให้เข้าถึง จัดทำสำเนา หรือเปิดเผยการ
ไดม้ าซง่ึ ข้อมลู สว่ นบุคคลของเจา้ ของข้อมลู ส่วนบุคคลได้ โดยจะต้องใหข้ ้อมูลกับเราดงั ต่อไปนี้
ข้อมูลของผู้ยื่นคำร้องขอ
รายละเอียดผยู้ ื่นคำขอ
ชอ่ื : [ชอ่ื ภาษาไทย และอังกฤษ (ถา้ ม)ี ]
ทีอ่ ยู่: [ท่ีอยู่]
เบอร์ติดตอ่ : [โทรศพั ท์]
Email: [email]
ท่านเป็นเจา้ ของขอ้ มลู หรือไม่?
❒ ผู้ย่ืนคำรอ้ งเปน็ บคุ คลเดียวกับเจ้าของข้อมลู
ทั้งนี้ ข้าพเจ้าได้แนบเอกสารดังต่อไปนี้ เพื่อการตรวจสอบตัวตน และถิ่นที่อยู่
ของผ้ยู นื่ คำร้อง เพอ่ื ให้เราสามารถดำเนินการตามสิทธทิ ร่ี ้องขอไดอ้ ยา่ งถกู ตอ้ ง
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย 191
เอกสารพสิ ูจน์ตวั ตนและ/หรือพิสูจน์ถ่ินทอ่ี ยู่ 216
❒ สำเนาบตั รประจำตวั ประชาชน (กรณสี ญั ชาตไิ ทย)
❒ สำเนา Passport (กรณตี า่ งชาติ)
❒ สำเนาทะเบียนบ้าน
❒ ใบเสร็จชำระค่าน้ำ / คา่ ไฟฟา้
❒ ใบเสร็จชำระค่าบตั รเครดิต (ย้อนหลังไม่เกนิ 3 เดือน)
❒ [อืน่ ๆ (ถ้ามี)]
❒ ผยู้ ่นื คำรอ้ งเปน็ ตวั แทนของเจ้าของข้อมลู
รายละเอยี ดเจา้ ของข้อมลู
ชอื่ : [ชอ่ื ภาษาไทย และองั กฤษ (ถา้ ม)ี ]
ทีอ่ ย:ู่ [ท่ีอยู่]
เบอรต์ ดิ ตอ่ : [โทรศัพท์]
Email: [email]
ทั้งน้ี ข้าพเจา้ ได้แนบเอกสารดงั ต่อไปนี้ เพอ่ื การตรวจสอบอำนาจ ตวั ตน และถ่ิน
ทอ่ี ยู่ของผูย้ ่นื คำร้องและเจ้าของข้อมลู เพ่อื ให้เราสามารถดำเนินการตามสิทธิที่ร้องขอไดอ้ ย่างถกู ต้อง
เอกสารพิสูจน์อำนาจดำเนินการแทน
❒ หนังสือมอบอำนาจ
หมายเหตุ: หนงั สอื มอบอำนาจจะตอ้ งมลี ักษณะดังนี้
(1) เนื้อความอย่างน้อยระบุ “ให้อำนาจผู้ยืน่ คำร้องในการดำเนินการติดต่อรอ้ งขอให้ผู้ควบคุมข้อมูลดำเนินการ
อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลหรือทำสำเนาข้อมูลส่วนบุคคล เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลท่ี
เจา้ ของข้อมูลส่วนบุคคลผู้มอบอำนาจไม่ได้ให้ความยินยอม รวมถึงดำเนินการที่เกยี่ วขอ้ งจนเสร็จการ”
(2) มกี ารลงนามโดยผู้มอบอำนาจอยา่ งชดั เจน
(3) ลงวันที่กอ่ นวันท่ียนื่ คำร้องขอ
216 พิจารณาตามความเหมาะสมของสถานการณว์ า่ เอกสารหรือหลกั ฐานใดบา้ งที่สามารถบง่ ชต้ี วั ตนของผู้มาติดต่อยื่น
คำรอ้ งขอได้ หรอื ทา่ นอาจพจิ ารณาตามบญั ชผี ูใ้ ช้ (user account) ที่มีอยู่แล้ว ซึ่งมกี ารยนื ยนั ตวั ตนของผู้มาติดต่อย่ืน
คำร้องขออยแู่ ลว้ ตามข้นั ตอนของระบบการสมัครการใช้บรกิ ารของทา่ น
192 Thailand Data Protection Guidelines 3.0
เอกสารพิสจู นต์ วั ตนและ/หรอื ถ่ินทอี่ ยู่ 217
❒ สำเนาบตั รประจำตัวประชาชนของท่านและเจ้าของขอ้ มูล (กรณสี ัญชาตไิ ทย)
❒ สำเนา Passport ของทา่ นและเจา้ ของข้อมลู (กรณีต่างชาต)ิ
❒ สำเนาทะเบยี นบา้ นของเจ้าของข้อมลู
❒ ใบเสร็จชำระคา่ น้ำ / คา่ ไฟฟ้าของเจ้าของขอ้ มูล
❒ ใบเสรจ็ ชำระค่าบัตรเครดิต (ยอ้ นหลงั ไมเ่ กนิ 3 เดอื น) ของเจ้าของขอ้ มลู
❒ [อ่ืนๆ (ถ้ามี)]
เราขอสงวนสทิ ธใิ นการสอบถามข้อมูล หรือเรียกเอกสารเพิม่ เติมจากผู้ยืน่ คำรอ้ ง หากข้อมูลที่
ไดร้ บั ไม่สามารถแสดงให้เห็นอยา่ งชัดเจนได้ว่าผูย้ น่ื คำรอ้ งเป็นเจา้ ของขอ้ มูลหรอื มีอำนาจในการยื่นคำ
รอ้ งขอดังกลา่ ว เราขอสงวนสิทธิในการปฏเิ สธคำรอ้ งขอของท่าน
ขอ้ มูลส่วนบคุ คลท่ีประสงค์จะขอเขา้ ถึง / ขอทำสำเนา / เปดิ เผยการได้มา
ลำดบั ที่ ข้อมลู ส่วนบุคคล การดำเนนิ การ
ข้อมูลทอี่ ยู่ (เข้าถงึ / ทำสำเนา / เปดิ เผยการไดม้ า)
1.
2. ทำสำเนา
เหตุผลประกอบคำรอ้ งขอ
กรณุ าชีแ้ จงเหตุผลประกอบในการรอ้ งขอใหด้ ำเนนิ การขอเข้าถงึ ขอ้ มูลสว่ นบุคคลของเจ้าของ
ข้อมูล พร้อมทั้งเอกสาร ข้อมูล หลักฐานประกอบเพื่อให้ผู้รับผิดชอบพิจารณาและดำเนินการตาม
สทิ ธิของทา่ นตอ่ ไป
❒ เจ้าของข้อมูลประสงค์จะขอเข้าถึงข้อมูลส่วนบุคคลเพื่อ……………………………………
…………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………
217 พิจารณาตามความเหมาะสมของสถานการณว์ า่ เอกสารหรือหลักฐานใดบ้างทีส่ ามารถบง่ ชตี้ วั ตนของเจ้าของขอ้ มลู
และผรู้ บั มอบอำนาจได้
ศูนย์วิจัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย 193
❒ เจ้าของข้อมูลประสงค์จะขอรับสำเนาข้อมูลส่วนบคุ คล เพื่อ……………………………………
…………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………
❒ เจ้าของข้อมูลประสงค์จะขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้รับความ
ยินยอมจากเจา้ ของข้อมูลส่วนบุคคล เพอ่ื ………………………………………………………………
…………………………………………………………………………………………………………………………
ขอ้ สงวนสทิ ธิของผ้คู วบคุมขอ้ มลู
เราขอแจ้งใหท้ ่านทราบว่า หากเกิดกรณีดังต่อไปนี้ เราอาจจำเป็นต้องปฏิเสธคำร้องขอของ
ท่าน เพ่อื ใหเ้ ป็นไปตามกฎหมายที่เก่ยี วขอ้ ง
(1) ท่านไมส่ ามารถแสดงให้เห็นอยา่ งชัดเจนได้ว่าผยู้ ่ืนคำร้องเป็นเจ้าของขอ้ มูลหรือมีอำนาจ
ในการยน่ื คำร้องขอดงั กล่าว
(2) คำร้องขอดังกล่าวไม่สมเหตุสมผล อาทิ กรณีที่ผู้ร้องขอไม่มีสิทธิในการขอเข้าถึงข้อมลู
ส่วนบคุ คล หรือไม่มขี ้อมลู สว่ นบุคคลนนั้ อย่ทู ีเ่ รา เปน็ ตน้
(3) คำรอ้ งขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย อาทิ เป็นคำร้องขอท่มี ีลกั ษณะเดยี วกัน หรือ มี
เน้ือหาเดยี วกันซ้ำๆ กนั โดยไมม่ เี หตุอนั สมควร
(4) เราไม่สามารถใหท้ า่ นเข้าถงึ ข้อมูล ทำสำเนา หรอื เปดิ เผยการไดม้ าซ่ึงข้อมูลส่วนบคุ คลได้
เนื่องจากเป็นการปฏิบัติตามกฎหมายหรือคำสั่งศาล และการปฏิบัติตามคำขอนั้นจะ
ส่งผลกระทบที่อาจก่อใหเ้ กดิ ความเสียหายต่อสทิ ธิและเสรีภาพของบุคคลอื่น อาทิ การ
เปิดเผยข้อมูลนั้นเป็นการเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่สามด้วย หรือ เป็นการ
เปิดเผยทรัพยส์ ินทางปญั ญา หรอื ความลบั ทางการคา้ ของบุคคลทีส่ ามน้นั
โดยปกติ ท่านจะไม่เสียค่าใช้จ่ายในการดำเนินการตามคำร้องขอของท่าน อย่างไรก็ดี หาก
ปรากฏอย่างชดั เจนวา่ คำร้องขอของทา่ นเปน็ คำร้องขอทีไ่ มส่ มเหตุสมผล หรือ คำร้องขอฟมุ่ เฟอื ย เรา
อาจคดิ คา่ ใชจ้ า่ ยในการดำเนนิ การตามสทิ ธแิ ก่ท่านตามสมควร
อนึ่ง ในกรณีที่เราปฏิเสธไม่ดำเนินการตามคำร้องขอของท่าน ท่านสามารถร้องเรียนต่อ
คณะกรรมการคุม้ ครองขอ้ มลู ส่วนบุคคล ไดท้ ี่ [ช่อื / ทีอ่ ยู่ / email / โทรศัพท์]
เมื่อพิจารณาเหตุผลในการร้องขอตามสิทธิของท่านเรียบร้อยแล้ว เราจะแจ้งผลในการ
พิจารณาใหท้ า่ นทราบและดำเนนิ การทเ่ี กยี่ วขอ้ งภายใน 30 วนั นบั แตว่ ันท่ีไดร้ ับคำรอ้ งขอ
194 Thailand Data Protection Guidelines 3.0
การรับทราบและยินยอม
ท่านได้อ่านและเข้าใจเนื้อหาของคำร้องขอฉบับนี้อย่างละเอียดแล้ว และยืนยันว่าข้อมูล
ต่างๆ ที่ได้แจ้งให้แก่เราทราบนั้นเป็นความจริง ถูกต้อง ท่านเข้าใจดีว่าการตรวจสอบเพื่อยืนยัน
อำนาจ ตัวตน และถิน่ ทีอ่ ยนู่ ้นั เป็นการจำเป็นอยา่ งยิง่ เพื่อพจิ ารณาดำเนนิ การตามสิทธิที่ท่านร้องขอ
หากท่านใหข้ ้อมูลทีผ่ ิดพลาดด้วยเจตนาทุจริตทา่ นอาจถูกดำเนินคดีตามกฎหมายได้ และเราอาจขอ
ข้อมูลเพิ่มเติมจากท่านเพื่อการตรวจสอบดังกล่าวเพื่อให้การดำเนินการอนุญาตให้เข้าถึง การทำ
สำเนา หรือการเปดิ เผยการไดม้ าของข้อมลู เป็นไปได้อยา่ งถกู ต้องครบถว้ นตอ่ ไป
ในการนี้ ท่านจึงได้ลงนามไว้ เพ่อื เปน็ หลักฐาน
ลงชอื่ ………………………………………………………ผู้ย่นื คำร้อง
(……………………………………………………...)
วนั ท…่ี ……………………………………………………
ศูนยว์ จิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 195
ตัวอย่างแบบคำร้องขอใช้สทิ ธิในการลบขอ้ มูล
(Right to Erasure Request Form)
ตามพระราชบัญญตั ิคุม้ ครองข้อมลู สว่ นบุคคล พ.ศ.2562 ได้ให้สิทธิแก่เจา้ ของข้อมูลในการ
ร้องขอใหผ้ คู้ วบคมุ ข้อมลู ดำเนนิ การตามสทิ ธิทีร่ อ้ งขอ ซงึ่ รวมถงึ “สทิ ธใิ นการลบขอ้ มูล” ทไี่ ดร้ ะบุไว้
ในมาตรา 33 แห่งพระราชบญั ญตั ดิ งั กล่าว โดยมขี ้อความดงั น้ี
“เจ้าของข้อมลู ส่วนบุคคลมีสิทธิขอให้ผูค้ วบคุมข้อมลู ส่วนบุคคลดำเนินการลบ หรือ
ทำลาย หรอื ทำให้ข้อมลู สว่ นบคุ คลเป็นข้อมูลท่ีไมส่ ามารถระบุตัวบุคคลทเี่ ป็นเจ้าของ
ข้อมลู ส่วนบคุ คลได้…”
ดังนั้น เจ้าของข้อมูลจึงมีสิทธิร้องขอให้เราลบข้อมูลส่วนบุคคลของท่านได้ โดยจะต้องให้
ข้อมูลกับเราดงั ต่อไปน้ี
ขอ้ มลู ของผยู้ ่ืนคำรอ้ งขอ
รายละเอียดผู้ยน่ื คำขอ
ชอ่ื : [ชอื่ ภาษาไทย และอังกฤษ (ถา้ มี)]
ทอ่ี ยู่: [ทอี่ ย]ู่
เบอรต์ ดิ ต่อ: [โทรศพั ท์]
Email: [email]
ท่านเปน็ เจ้าของข้อมลู หรือไม่?
❒ ผยู้ น่ื คำรอ้ งเปน็ บคุ คลเดยี วกบั เจา้ ของข้อมูล
ทั้งนี้ ข้าพเจ้าได้แนบเอกสารดังต่อไปนี้ เพื่อการตรวจสอบตัวตน และถิ่นที่อยู่
ของผู้ย่นื คำรอ้ ง เพ่อื ใหเ้ ราสามารถดำเนนิ การตามสิทธิทร่ี ้องขอไดอ้ ยา่ งถกู ต้อง
196 Thailand Data Protection Guidelines 3.0
เอกสารพสิ จู นต์ ัวตนและ/หรือพสิ จู น์ถิน่ ทีอ่ ยู่ 218
❒ สำเนาบตั รประจำตวั ประชาชน (กรณีสญั ชาตไิ ทย)
❒ สำเนา Passport (กรณีต่างชาต)ิ
❒ สำเนาทะเบียนบา้ น
❒ ใบเสร็จชำระค่านำ้ / คา่ ไฟฟ้า
❒ ใบเสร็จชำระคา่ บัตรเครดติ (ย้อนหลังไมเ่ กิน 3 เดอื น)
❒ [อ่ืนๆ (ถา้ มี)]
❒ ผยู้ ื่นคำรอ้ งเป็นตัวแทนของเจ้าของขอ้ มูล
รายละเอียดเจา้ ของข้อมูล
ชอื่ : [ช่ือภาษาไทย และองั กฤษ (ถ้าม)ี ]
ท่อี ยู่: [ที่อย]ู่
เบอรต์ ดิ ตอ่ : [โทรศัพท์]
Email: [email]
ทงั้ น้ี ข้าพเจ้าได้แนบเอกสารดงั ตอ่ ไปนี้ เพอ่ื การตรวจสอบอำนาจ ตัวตน และถ่ิน
ท่อี ยู่ของผูย้ น่ื คำรอ้ งและเจ้าของข้อมูล เพือ่ ใหเ้ ราสามารถดำเนินการตามสิทธทิ รี่ ้องขอไดอ้ ย่างถูกต้อง
เอกสารพสิ ูจนอ์ ำนาจดำเนนิ การแทน
❒ หนังสอื มอบอำนาจ
หมายเหตุ: หนงั สอื มอบอำนาจจะตอ้ งมีลกั ษณะดงั น้ี
(1) เนื้อความอย่างน้อยระบุ “ให้อำนาจผู้ยื่นคำร้องในการดำเนินการติดต่อร้องขอให้ผู้ควบคุมข้อมูลดำเนินการ
อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลหรือทำสำเนาข้อมูลส่วนบุคคล เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่
เจา้ ของขอ้ มูลส่วนบคุ คลผ้มู อบอำนาจไมไ่ ด้ใหค้ วามยินยอม รวมถึงดำเนินการท่เี กย่ี วข้องจนเสร็จการ”
(2) มกี ารลงนามโดยผมู้ อบอำนาจอย่างชัดเจน
(3) ลงวนั ท่ีกอ่ นวนั ท่ยี ่ืนคำรอ้ งขอ
218 พิจารณาตามความเหมาะสมของสถานการณ์ว่าเอกสารหรอื หลกั ฐานใดบา้ งท่สี ามารถบง่ ช้ีตัวตนของผูม้ าติดต่อยื่น
คำร้องขอได้ หรอื ทา่ นอาจพจิ ารณาตามบญั ชีผู้ใช้ (user account) ทมี่ อี ยู่แลว้ ซงึ่ มกี ารยืนยันตวั ตนของผมู้ าติดต่อย่ืน
คำรอ้ งขออยู่แลว้ ตามข้ันตอนของระบบการสมัครการใช้บรกิ ารของท่าน
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 197
เอกสารพิสจู น์ตัวตนและ/หรือถนิ่ ทอี่ ยู่ 219
❒ สำเนาบัตรประจำตัวประชาชนของท่านและเจ้าของขอ้ มูล (กรณีสญั ชาตไิ ทย)
❒ สำเนา Passport ของทา่ นและเจ้าของข้อมลู (กรณีตา่ งชาติ)
❒ สำเนาทะเบยี นบ้านของเจา้ ของขอ้ มลู
❒ ใบเสรจ็ ชำระคา่ นำ้ / ค่าไฟฟ้าของเจ้าของข้อมูล
❒ ใบเสร็จชำระคา่ บัตรเครดิต (ยอ้ นหลังไม่เกนิ 3 เดือน) ของเจ้าของขอ้ มลู
❒ [อ่ืนๆ (ถ้าม)ี ]
เราขอสงวนสิทธใิ นการสอบถามขอ้ มูล หรือเรยี กเอกสารเพมิ่ เตมิ จากผู้ยนื่ คำร้อง หากข้อมลู ที่
ได้รบั ไม่สามารถแสดงให้เหน็ อยา่ งชัดเจนไดว้ ่าผู้ยื่นคำร้องเป็นเจ้าของขอ้ มูลหรือมอี ำนาจในการย่ืนคำ
รอ้ งขอดังกลา่ ว เราขอสงวนสิทธิในการปฏิเสธคำร้องขอของทา่ น
ข้อมูลสว่ นบุคคลที่ประสงค์จะใหล้ บ
ลำดับท่ี ข้อมลู ส่วนบุคคล การดำเนนิ การ แหล่งทพ่ี บ
ขอ้ มูลทีอ่ ยู่ (ลบ / ทำลาย / ทำใหไ้ มส่ ามารถ
1. เชน่ URL, Link ในwebsite
2. ระบตุ ัวเจา้ ของข้อมลู ) ของผ้คู วบคมุ ขอ้ มูล
ลบ
เหตุผลประกอบคำรอ้ งขอ
กรณุ าชี้แจงเหตผุ ลประกอบในการรอ้ งขอใหด้ ำเนินการขอเขา้ ถึงขอ้ มูลส่วนบคุ คลของเจ้าของ
ข้อมูล พร้อมทั้งเอกสาร ข้อมูล หลักฐานประกอบเพื่อให้ผู้รับผิดชอบพิจารณาและดำเนินการตาม
สิทธิของทา่ นตอ่ ไป
❒ ข้อมูลส่วนบุคคลของเจ้าของข้อมูลหมดความจำเป็นในการเก็บรักษาไว้ตาม
วตั ถปุ ระสงคใ์ นการประมวลผลท่ีเราได้แจง้ ไว้
219 พิจารณาตามความเหมาะสมของสถานการณ์ว่าเอกสารหรอื หลักฐานใดบ้างท่สี ามารถบง่ ชต้ี วั ตนของเจ้าของขอ้ มลู
และผู้รบั มอบอำนาจได้
198 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: