❒ เจ้าของข้อมูลถอนความยินยอมในการประมวลผล และเราไม่มีอำนาจในการ
ประมวลผลด้วยฐานอ่นื ทช่ี อบดว้ ยกฎหมายอีกตอ่ ไป
❒ เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผล โดยเราไม่สามารถอ้าง
ความยนิ ยอมในการใหเ้ กบ็ รวบรวมขอ้ มูลได้
❒ เจ้าของข้อมูลส่วนบุคคลทำการคัดค้านการประมวลผลที่มีลักษณะเพื่อ
วตั ถปุ ระสงค์เก่ยี วกบั การตลาดแบบตรง
❒ ข้อมลู ส่วนบคุ คลถกู ประมวลผลโดยไมช่ อบดว้ ยกฎหมาย
❒ เรามีหน้าที่ต้องลบข้อมูลส่วนบุคคลดังกล่าว เพื่อให้เป็นไปตามการปฏิบัติตาม
กฎหมาย [โปรดระบ.ุ ................................................................................................]
ขอ้ สงวนสิทธิของผคู้ วบคมุ ขอ้ มลู
เราขอแจ้งให้ท่านทราบว่า หากเกิดกรณดี ังต่อไปนี้ เราอาจจำเปน็ ต้องปฏเิ สธคำร้องขอของ
ทา่ น เพือ่ ใหเ้ ปน็ ไปตามกฎหมายที่เกีย่ วข้อง
(1) ท่านไมส่ ามารถแสดงใหเ้ ห็นอย่างชัดเจนได้วา่ ผ้ยู ่ืนคำรอ้ งเป็นเจา้ ของข้อมลู หรอื มีอำนาจ
ในการยืน่ คำรอ้ งขอดังกลา่ ว
(2) คำร้องขอดงั กลา่ วไมส่ มเหตสุ มผล อาทิ กรณีท่ผี ูร้ อ้ งขอไมม่ ีสทิ ธใิ นการขอลบข้อมูลส่วน
บุคคล หรือไมม่ ีข้อมูลส่วนบคุ คลนัน้ อยทู่ เี่ รา เปน็ ต้น
(3) คำร้องขอดังกล่าวเป็นคำร้องขอฟุ่มเฟือย อาทิ เป็นคำร้องขอที่มีลักษณะเดียวกัน หรือ
มีเนื้อหาเดียวกันซ้ำๆ กันโดยไมม่ ีเหตอุ ันสมควร
(4) การเก็บรกั ษาขอ้ มูลส่วนบุคคลนั้นเพ่ือวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความ
คิดเห็น หรอื เปน็ ไปตามวัตถปุ ระสงคใ์ นการจดั ทำ เอกสารประวัตศิ าสตร์ หรือจดหมาย
เหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัย หรือสถิติซึ่งได้จัดให้มี
มาตรการปกป้องท่เี หมาะสมเพ่ือคมุ้ ครองสิทธิและเสรีภาพของเจ้าของข้อมูล หรือ เป็น
การจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของเรา
หรือ การใช้อำนาจรัฐที่ได้มอบหมายให้แก่เรา หรือเป็นการเก็บขอ้ มลู ส่วนบุคคลทีเ่ ปน็
ข้อมูลอ่อนไหว (sensitive data) ที่เป็นการจำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย
เพื่อให้บรรลุวัตถุประสงค์ในด้านเวชศาสตร์ป้องกัน อาชีวเวชศาสตร์ ประโยชน์
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 199
สาธารณะด้านการสาธารณสุข ตามมาตรา 26 (5) (ก) และ (ข) แห่งพระราชบัญญัติ
คมุ้ ครองข้อมูลส่วนบุคคล
(5) การเก็บรักษาขอ้ มลู ส่วนบคุ คลน้ันเป็นไปเพอื่ การกอ่ ต้งั สทิ ธิเรียกร้องตามกฎหมาย การ
ปฏบิ ัติตามหรอื การใชส้ ิทธเิ รียกรอ้ งตามกฎหมาย หรอื การยกขนึ้ ตอ่ สู้สิทธิเรียกร้องตาม
กฎหมาย หรือ เพอ่ื ปฏิบัตติ ามกฎหมาย
โดยปกติ ท่านจะไม่เสียค่าใช้จ่ายในการดำเนินการตามคำร้องขอของทา่ น อย่างไรก็ดี หาก
ปรากฏอยา่ งชดั เจนวา่ คำร้องขอของทา่ นเปน็ คำร้องขอทไี่ มส่ มเหตุสมผล หรอื คำรอ้ งขอฟุ่มเฟือย เรา
อาจคิดคา่ ใชจ้ า่ ยในการดำเนินการตามสทิ ธิแกท่ ่านตามสมควร
อนึ่ง ในกรณีที่เราปฏิเสธไม่ดำเนินการตามคำร้องขอของท่าน ท่านสามารถร้องเรียนต่อ
คณะกรรมการคุ้มครองข้อมลู ส่วนบคุ คล ได้ที่ [ช่อื / ท่อี ยู่ / email / โทรศัพท์]
เมื่อพิจารณาเหตุผลในการร้องขอตามสิทธิของท่านเรียบร้อยแล้ว เราจะแจ้งผลในการ
พิจารณาใหท้ า่ นทราบและดำเนินการทีเ่ กีย่ วขอ้ งภายใน 30 วนั นบั แต่วนั ทีไ่ ดร้ ับคำร้องขอ
การรับทราบและยนิ ยอม
ท่านได้อ่านและเข้าใจเนื้อหาของคำร้องขอฉบับนี้อย่างละเอียดแล้ว และยืนยันว่าข้อมูล
ต่างๆ ที่ได้แจ้งให้แก่เราทราบนั้นเป็นความจริง ถูกต้อง ท่านเข้าใจดีว่าการตรวจสอบเพื่อยืนยัน
อำนาจ ตัวตน และถิ่นทีอ่ ยนู่ ้นั เป็นการจำเป็นอยา่ งยง่ิ เพื่อพจิ ารณาดำเนินการตามสิทธิท่ีท่านร้องขอ
หากท่านใหข้ ้อมลู ทผี่ ิดพลาดด้วยเจตนาทจุ ริตทา่ นอาจถูกดำเนินคดีตามกฎหมายได้ และเราอาจขอ
ข้อมูลเพิ่มเติมจากท่านเพื่อการตรวจสอบดังกล่าวเพื่อให้การดำเนินการอนุญาตให้เข้าถึง การทำ
สำเนา หรือการเปดิ เผยการไดม้ าของข้อมลู เปน็ ไปได้อยา่ งถูกต้องครบถ้วนต่อไป
ในการนี้ ท่านจึงไดล้ งนามไว้ เพ่ือเปน็ หลกั ฐาน
ลงช่อื ………………………………………………………ผ้ยู นื่ คำร้อง
(……………………………………………………...)
วนั ท่ี………………………………………………………
200 Thailand Data Protection Guidelines 3.0
หน้าทข่ี องผปู้ ระมวลผลขอ้ มลู เมื่อเจ้าของข้อมลู รอ้ งขอ
(Data Subject Request to the Processor)
D3.16 ผู้ประมวลผลไม่มหี น้าที่โดยตรงต่อเจ้าของข้อมูลที่ร้องขอ อย่างไรกด็ ี หากมีกรณีเจา้ ของ
ข้อมลู มาร้องขอตามสทิ ธติ ่างๆ ของตนแลว้ ผปู้ ระมวลผลก็ยงั ควรจดั ให้มมี าตรการต่างๆ ที่
เพยี งพอสำหรบั การรองรบั ใหผ้ ู้ควบคุมข้อมลู ปฏิบัติหนา้ ทเี่ ม่ือเจา้ ของข้อมูลร้องขอได้ ทั้งน้ี
สิทธิและหน้าที่ของผู้ประมวลผลจะถูกกำหนดไปตามข้อตกลงระหว่างผู้ควบคุมและผู้
ประมวลผลขอ้ มลู ตามท่ไี ด้อธบิ ายโดยละเอยี ดแล้วในหัวข้อ D1. และ D2. โดยจะมขี น้ั ตอน
ดำเนนิ การโดยสงั เขปดงั แผนผงั ด้านลา่ งน้ี
ได้รบั คํารอ้ งขอของเจา้ ของขอ้ มลู
สง่ คาํ ร้องขอให้แกผ่ ้คู วบคุมขอ้ มลู
ผ้คู วบคมุ ข้อมลู พิจารณา
ผู้ควบคุมสั่งให้ดาํ เนนิ การตามคําร้องขอ
รวบรวมข้อมลู ท่ไี ด้รบั การร้องขอใหแ้ กผ่ ้คู วบคมุ ขอ้ มลู
D3.17 หากเป็นกรณีที่ท่านเป็นผู้ประมวลผลข้อมูลที่ให้บริการต่อผู้ควบคุมข้อมูลในลักษณะ
รับผิดชอบในหน้าที่ของผู้ควบคุมข้อมูลทั้งหมดนั้น ท่านก็มีหน้าที่ที่จะต้องปฏิบัติตาม
ขอ้ กำหนด หนา้ ท่ี เง่อื นไขวา่ ดว้ ยสทิ ธิต่างๆ ของเจา้ ของขอ้ มลู ตามท่ไี ด้อธิบายโดยละเอียด
แลว้ ในสว่ นของหน้าทข่ี องผ้คู วบคุมขอ้ มูล
ศนู ยว์ ิจยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 201
D4. แนวปฏิบัตกิ รณีมีคำรอ้ งขอหรอื คำสง่ั ขอเขา้ ถงึ ขอ้ มูลส่วนบคุ คลจากรฐั
(Government Request)
D4.1 กรณีนี้เปน็ กรณที ่หี น่วยงานรฐั หรือองค์กรผูถ้ อื อำนาจรัฐมีคำรอ้ งขอเขา้ ถึงข้อมูลส่วนบุคคล
เทา่ นน้ั ไมร่ วมไปถึงกรณที ่ีผู้ควบคมุ ข้อมูลหรอื ผปู้ ระมวลผลข้อมูลมีหน้าท่ตี ามกฎหมายอยู่
แล้วในการรายงานหรือสง่ ขอ้ มลู ใหแ้ ก่ผกู้ ำกบั ดแู ลตามปกติ เช่น การรายงานธรุ กรรมทตี่ อ้ ง
สงสัยตามกฎหมายฟอกเงนิ กรณนี แี้ ม้ไมม่ กี ารรอ้ งขอกเ็ ป็นหน้าท่ีตามกฎหมายท่ีจะต้องทำ
อยู่แลว้ เปน็ ต้น กรณเี ช่นน้ี เม่อื กฎหมายกำหนดให้ต้องทำจึงเป็นฐานในการประมวลผลที่
ชอบแล้วเพราะเป็นหนา้ ทต่ี ามกฎหมาย (Legal Obligation)
D4.2 ผูค้ วบคุมขอ้ มูลมีหนา้ ทีใ่ ห้หน่วยงานของรัฐ/รฐั บาลเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะเมื่อรัฐ
มีอำนาจตามกฎหมายเท่านั้น หากรัฐไม่มีอำนาจตามกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคล
จะตอ้ งไมใ่ หร้ ฐั เข้าถงึ หรอื เปดิ เผยขอ้ มลู สว่ นบคุ คล มเิ ชน่ น้นั ผูค้ วบคุมข้อมูลสว่ นบุคคลจะมี
ความรับผิดตามกฎหมายจากการให้รัฐเข้าถึงหรือเปิดเผยข้อมูลให้รัฐโดยไม่มีหน้าที่ตาม
กฎหมาย 220
D4.3 ผู้ประมวลผลข้อมูลให้หน่วยงานของรัฐ/รัฐบาลเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะเมื่อรัฐมี
อำนาจตามกฎหมายเท่านั้น ในขณะเดียวกันตนก็มีความผูกพันกับผู้ควบคุมข้อมูลตาม
สัญญาว่าจะไมใ่ ห้เข้าถึงหรอื เปิดเผยข้อมูลแก่บคุ คลอ่ืน หากรัฐไมม่ อี ำนาจตามกฎหมาย ผู้
ควบคุมข้อมูลส่วนบุคคลจะต้องไม่ให้รัฐเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคล มิเช่นนั้นผู้
ประมวลผลข้อมูลอาจมีความรับผิดตามกฎหมาย 221 และความรับผิดทางสัญญาต่อผู้
ควบคุมขอ้ มูลหากใหร้ ัฐเข้าถึงข้อมูลหรอื เปิดเผยขอ้ มูลดงั กล่าวใหร้ ัฐอกี ด้วย
220 การเปดิ เผยข้อมลู โดยไม่ไดร้ ับความยนิ ยอมโดยปราศจากขอ้ ยกเว้นอน่ื ตามกฎหมายยอ่ มเป็นการฝา่ ฝนื
พระราชบัญญัติคุม้ ครองขอ้ มูลสว่ นบุคคล พ.ศ.2562 กรณขี อ้ มลู ทวั่ ไปมโี ทษปรบั ทางปกครองไมเ่ กนิ 3 ล้านบาท
(มาตรา 83) สว่ นกรณีข้อมลู ออ่ นไหวมีโทษปรับทางปกครองไมเ่ กนิ 5 ลา้ นบาท
221 ผู้ควบคมุ ที่เปิดเผยข้อมูลไปโดยไม่ชอบยอ่ มมรี ะวางโทษปรับทางปกครองตาม พระราชบัญญตั ิ คุม้ ครองขอ้ มูลสว่ น
บคุ คล พ.ศ. 2562 โดยในกรณีเปดิ เผยข้อมลู ส่วนบคุ คลทวั่ ไปมรี ะวางโทษปรบั ไมเ่ กิน 3 ล้าน (มาตรา 86) ถา้ เป็นกรณี
ข้อมลู อ่อนไหวมีระวางโทษปรบั ทางปกครองไมเ่ กิน 5 ล้านบาท (มาตรา 87)
202 Thailand Data Protection Guidelines 3.0
D4.4 ขั้นตอนในการพิจารณาดำเนินการเมื่อมีคำร้องขอหรือคำสั่งจากรัฐเพื่อเข้าถึงข้อมูลส่วน
บคุ คล
❒ พิจารณาคำร้องขอ/คำสั่ง โดยระบุหน่วยงาน/องค์กรของรฐั /เจ้าหน้าท่ี ผรู้ ้องขอ
❒ เจา้ หนา้ ที่และตน้ สังกัด
❒ วันท่ีไดร้ บั คำร้องขอ
❒ ขอ้ มูลส่วนบุคคลทต่ี อ้ งการเข้าถงึ หรือให้เปดิ เผย
❒ ตรวจสอบอำนาจของผรู้ อ้ งขอวา่ มอี ำนาจตามกฎหมายหรือไมแ่ ละมีขอ้ ยกเว้นอย่างไร
❒ เจา้ หน้าท่ีไมม่ ีเอกสารมาแสดง
❒ เจ้าหน้าที่มีเอกสารมาแสดง
หมายศาล/คำสงั่ ศาล
อน่ื ๆ ............
❒ พจิ ารณาความถกู ตอ้ งแท้จริงของเอกสาร (ถ้ามี)
❒ กรณหี มายศาล/คำส่ังศาล ใหด้ ำเนินการตามคำรอ้ งขอ
❒ กรณีเอกสารอื่นๆ ใหต้ รวจสอบเป็นพเิ ศษ โดยพจิ ารณาถงึ สถานะของผู้ร้อง
ขอ อำนาจหนา้ ที่ตามกฎหมาย วตั ถปุ ระสงค์ทจี่ ะเข้าถงึ ข้อมลู และแหล่งอา้ งอิงท่ีมาของอำนาจตาม
กฎหมายซงึ่ ต้องเป็นอำนาจเฉพาะ มิใชอ่ ำนาจสืบสวนสอบสวนเปน็ การทว่ั ไปหรืออำนาจท่ีบัญญัติไว้
กว้างๆ ทำนองว่ามีอำนาจหน้าที่อื่นใดเพื่อให้การปฏิบัติหน้าที่บรรลุวัตถุประสงค์ (เช่น
พระราชบัญญัติวา่ ด้วยการกระทำความผดิ เก่ยี วกบั คอมพิวเตอร์ พ.ศ.2550 มาตรา 18(2) เรยี กขอ้ มลู
จราจรคอมพวิ เตอร์ เปน็ ตน้ ) หากพจิ ารณาแล้วมีความนา่ เช่อื ถือและเห็นว่ามีหน้าที่ตามกฎหมายจริง
ให้ดำเนนิ การตามคำร้องขอ
❒ กรณไี ม่มเี อกสารหรอื มีขอ้ สงสยั เกี่ยวกับเอกสาร 222 ให้ไมด่ ำเนินการตาม
คำรอ้ งขอจนกวา่ จะพสิ ูจน์ไดว้ า่ เจา้ หนา้ ทีม่ อี ำนาจตามกฎหมายจริงหรอื มขี ้อยกเวน้ ตามกฎหมาย
ประการอ่ืนท่ีจะทำใหเ้ ข้าถงึ หรอื เปดิ เผยข้อมลู ได้ (เช่น เปิดเผยเพื่อประโยชน์สำคัญของเจ้าของขอ้ มลู
(Vital Interest) เป็นตน้ )
222 ในกรณีเป็นที่สงสัยผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลแล้วแต่กรณีอาจโต้แย้งอำนาจของเจ้าหน้าที่ได้ใน
ลักษณะของการอุทธรณค์ ำสั่งทางปกครองต่อผูบ้ งั คบั บัญชาของผอู้ อกคำสั่ง บุคคลหรือหน่วยงานที่กฎหมายกำหนด
หรือศาลปกครอง แล้วแต่กรณี
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 203
❒ ดำเนินการ 223 ไม่ดำเนนิ การตามคำร้องขอ
❒ เก็บบันทึกเกีย่ วกับการรอ้ งขอและกระบวนการดำเนินการ/ไม่ดำเนินการตามคำรอ้ ง
ขอทั้งหมดตง้ั แต่ตน้ จนสน้ิ สุดกระบวนการ
D4.5 การที่กิจกรรมบางประเภทได้รับยกเว้นไม่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมลู
ส่วนบุคคล พ.ศ.2562 มาตรา 4 นั้น ท่านยังคงมีหน้าที่ตามพระราชบัญญัตินี้ เนื่องจาก
กิจกรรมของหน่วยงานรัฐเท่านั้นที่ได้รับยกเว้น ท่านในฐานะเอกชน องค์กรธุรกิจ หรือ
องค์กรในรูปแบบอื่นใด ไม่ได้รับยกเว้นไปด้วยตามมาตรา 4 การที่ท่านจะเปิดเผยให้
หนว่ ยงานรัฐเข้าถงึ ข้อมลู น้ัน ทา่ นจะต้องมน่ั ใจวา่ ท่านมีหน้าท่ีตามกฎหมายหรือประโยชน์
อนั ชอบธรรมอนื่ ทีจ่ ะเปิดเผยให้แกห่ นว่ ยงานเหลา่ น้ัน มเิ ช่นน้ันกจ็ ะเปน็ การเปดิ เผยข้อมูลท่ี
ไมช่ อบดว้ ยกฎหมาย
D4.6 เพื่อให้ท่านมีหลักฐานในกรณีของการเปิดเผยข้อมลู ส่วนบุคคลให้แก่หน่วยงานของรัฐไป
ท่านอาจใชแ้ บบฟอรม์ ตอ่ ไปนี้ เพอื่ ใหเ้ จ้าหน้าที่หรอื หนว่ ยงานทร่ี อ้ งขอมีคำยืนยันถึงอำนาจ
หน้าที่ของหน่วยงานและหน้าทีต่ ามกฎหมายที่ท่านจะต้องเปิดเผยข้อมูลส่วนบุคคลใหแ้ ก่
หน่วยงานเหล่านั้น 224 ท้ังนข้ี ้อมลู หรือรายละเอยี ดในแบบฟอรม์ อาจแตกต่างออกไปจากน้ี
ไดต้ ามท่ที ่านเห็นเหมาะสม
ตวั อย่างแบบคำขอใหเ้ ปิดเผยข้อมูลแก่หน่วยงานของรัฐ
สว่ นที่ 1 ผ้ขู อ
ชอ่ื -สกลุ ............................................................................... ตำแหนง่ ................................................
ต้นสังกัด................................................................................
223 การส่งเอกสารหรือข้อมูลใด ควรส่งไปยังต้นสังกัดหรือหัวหน้าหน่วยงานรัฐที่ใช้อำนาจตามกระบวนการที่เป็น
ทางการ ไม่ควรสง่ มอบหรือใหข้ ้อมลู แก่เจา้ หนา้ ท่ีท่ีมาตดิ ต่อ
224 เจ้าหน้าที่ของรัฐท่ีมีอำนาจหน้าท่ีในการเข้าถึงข้อมลู อาจจะปฏเิ สธไม่ยอมยืนยันในแบบฟอร์มขา้ งต้นนี้ ในกรณี
เช่นนที้ า่ นควรจะทเ่ี กบ็ หลกั ฐานไว้เพื่อยืนยันว่าทา่ นได้ใชค้ วามพยายามในการรกั ษาข้อมูลสว่ นบุคคลตามกฎหมายใน
ระดบั หนึ่งแลว้
204 Thailand Data Protection Guidelines 3.0
ทอี่ ยู่/ขอ้ มูลตดิ ตอ่ .................................................................................................................................
สว่ นที่ 2 เจา้ ของข้อมลู
ชอื่ -สกุล ..............................................................................................................................................
ขอ้ มลู เบ้ืองตน้
สว่ นท่ี 3 ขอ้ มูลที่ขอเขา้ ถงึ (โปรดระบุ)
..............................................................................................................................................................
............................................................................................................................. .................................
เหตผุ ล/วัตถปุ ระสงคท์ ีจ่ ะนำเอาข้อมูลไปใช้
............................................................................................................................. .................................
..............................................................................................................................................................
............................................................................................................................. .................................
ระยะเวลาทจ่ี ะเก็บข้อมูลส่วนบุคคลไว้
............................................................................................................................. .................................
..............................................................................................................................................................
ส่วนที่ 4 ชอ่ งทางในการจัดส่งข้อมลู
ทางอิเลก็ ทรอนิกสผ์ า่ นทางอเี มลทม่ี ีความมัน่ คงปลอดภัย
เขา้ มารับด้วยตนเอง (ต้องมีการยนื ยันตัวตนเมอ่ื เข้ามาติดตอ่ รับขอ้ มลู ด้วย)
สว่ นที่ 5 ฐานทางกฎหมายในการเปิดเผยขอ้ มลู และคำยืนยนั
ข้าพเจ้า (ผู้ขอ) ขอยืนยันว่าข้าพเจ้ามีอำนาจตามกฎหมายที่จะเข้าถึงข้อมูลส่วนบุคคลตาม
กฎหมายโดยไมต่ ้องขอความยินยอมจากเจ้าของขอ้ มลู ส่วนบคุ คลตาม
............................................................................................................................................................
(ระบุชอ่ื กฎหมายและมาตราที่เกี่ยวขอ้ งหรือคำสงั่ หรือหมายศาลท่ีให้อำนาจ) และ
ศูนย์วิจยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 205
..................................................................................................................................(ผู้ได้รบั คำรอ้ งขอ)
มีหน้าที่ตามกฎหมายที่จะสามารถเปิดเผยข้อมูลดังกล่าวได้เพราะมีหนา้ ที่ตามกฎหมายตามมาตรา
27 ประกอบกบั มาตรา 24 (6) แหง่ พระราชบัญญัตคิ มุ้ ครองข้อมลู ส่วนบคุ คล พ.ศ.2562
ข้าพเจ้า (ผู้ขอ) ยืนยันว่าข้อมูลที่ได้รับจะนำเอาไปใช้เพื่อวัตถุประสงค์อันได้ระบุไว้ข้างต้น
เทา่ นนั้ โดยไม่นำไปใช้เพอ่ื ประโยชนอ์ ื่นใด รวมถงึ ขอยนื ยันว่าข้อมลู ท่ีได้กรอกลงในแบบฟอร์มน้ีเป็น
ความจริงทุกประการ และข้าพเจ้าเข้าใจดวี ่าการกรอกขอ้ มูลท่ีไม่ถูกต้องลงในแบบฟอร์มนี้อาจเป็น
การกระทำฝ่าฝืน พระราชบัญญัติคมุ้ ครองขอ้ มลู สว่ นบุคคล พ.ศ. 2562 หรือกฎหมายอนื่ ท่เี ก่ียวขอ้ ง
ลงชอื่ .................................................(ผรู้ ้องขอ) วนั ที่ ................................
ผู้มอบอำนาจ (ในกรณผี ู้ทรี่ อ้ งขอเปน็ ผใู้ ต้บงั คับบัญชาทอ่ี าจไม่มอี ำนาจในการลงนามหรอื ใชอ้ ำนาจ
ตามกฎหมาย)
ช่อื -สกลุ ............................................... ตำแหน่ง...............................................
ลงช่อื ................................... วันที่ ..................................................................
206 Thailand Data Protection Guidelines 3.0
D5. ความรบั ผิดทางแพง่ ความรับผิดทางอาญา และโทษทางปกครอง
ในส่วนนี้จะได้อธิบายความรับผิดทางแพ่ง ความรับผิดทางอาญา และโทษทางปกครองท่ี
ปรากฏในพระราชบัญญัตคิ ุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จากการปฏิบัติการฝ่าฝนื หรอื ขัดต่อ
กฎหมายดังกลา่ ว ซง่ึ แบ่งออกเปน็ 3 สว่ น ไดแ้ ก่ ความรบั ผิดทางแพ่ง ความรับผดิ ทางอาญา และโทษ
ทางปกครอง
ความรบั ผดิ ทางแพง่
D5.1 หากการกระทำท่ีฝ่าฝนื หรือไม่เปน็ ไปตามกฎหมายแลว้ ย่อมกอ่ ใหเ้ กิดความรบั ผิดทางแพง่ 225
(1) [ค่าสินไหมทดแทนที่แท้จริง] การฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบคุ คล พ.ศ.2562 ที่ทำให้เจ้าของข้อมลู เสียหาย ผู้ควบคุมข้อมูลส่วนบุคคล
หรือผูป้ ระมวลผลขอ้ มูลส่วนบุคคลจะตอ้ งใชค้ ่าสนิ ไหมทดแทนไมว่ ่าการดำเนินการที่ฝ่า
ฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ เว้นแต่จะ
พิสูจน์ได้ว่าความเสียหายเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการ
กระทำของเจา้ ของข้อมูลสว่ นบุคคลน้ันเอง หรอื เปน็ การปฏิบตั ติ ามคำสั่งของเจ้าหน้าที่
ซ่ึงปฏิบัตกิ ารตามหน้าท่แี ละอำนาจตามกฎหมาย ท้งั น้คี า่ สินไหมทดแทนยังหมายความ
รวมถึงค่าใช้จ่ายที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นเพื่อป้องกัน
ความเสยี หายทกี่ ำลงั จะเกดิ ขึ้นหรอื ระงับความเสยี หายทเี่ กดิ ขึน้ แล้วด้วย
(2) [ค่าสินไหมทดแทนเพื่อการลงโทษ] นอกจากค่าสินไหมทดแทนแล้ว ศาลอาจสัง่ ให้มี
การจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่
แทจ้ ริงแตไ่ ม่เกนิ 2 เท่าของค่าสินไหมทดแทนท่ีแท้จริง
(3) [อายุความ] การเรียกร้องค่าเสียหายที่เกิดจากการละเมิดข้อมูลส่วนบุคคลตาม
พระราชบัญญัตินี้มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้
225 พระราชบัญญัติค้มุ ครองขอ้ มลู ส่วนบคุ คล พ.ศ. 2562 มาตรา 77 และ 78 207
ศูนยว์ ิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย
ควบคมุ ข้อมลู ส่วนบคุ คลหรอื ผปู้ ระมวลผลขอ้ มูลส่วนบุคคลท่ีตอ้ งรับผดิ หรือ 10 ปีนับ
แต่วันทมี่ ีการละเมดิ ข้อมลู สว่ นบุคคล
ความรับผดิ ทางอาญา
D5.2 ความรบั ผดิ ทางอาญาของผู้ควบคมุ ข้อมลู สว่ นบคุ คลมีดังตอ่ ไปน้ี
(1) การใช้หรอื เปดิ เผยข้อมลู ส่วนบุคคลท่เี ป็นข้อมลู อ่อนไหวโดยปราศจากฐานทางกฎหมาย
หรือการใชห้ รือเปดิ เผยข้อมลู ส่วนบุคคลซึ่งเป็นข้อมูลอ่อนไหวนอกไปจากวัตถุประสงค์ที่
ได้แจ้งไว้ หรือโอนข้อมลู อ่อนไหวไปยงั ตา่ งประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการ
ทีน่ า่ จะทำให้ผูอ้ ่นื เกดิ ความเสียหาย เสียช่อื เสียง ถูกดหู ม่ิน ถูกเกลียดชัง หรือได้รับความ
อับอาย ต้องระวางโทษจำคกุ ไมเ่ กนิ 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำ
ทง้ั ปรบั
(2) การใช้หรือเปิดเผยข้อมลู ส่วนบคุ คลท่เี ป็นข้อมูลออ่ นไหวโดยปราศจากฐานทางกฎหมาย
หรือการใชห้ รือเปิดเผยข้อมูลส่วนบคุ คลซ่งึ เป็นข้อมูลอ่อนไหวนอกไปจากวัตถุประสงค์ท่ี
ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย เพือ่ แสวงหา
ประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมาย (โดยทุจริต) สำหรับตนเองหรือผู้อื่น ต้อง
ระวางโทษจำคกุ ไมเ่ กนิ 1 ปี หรือปรบั ไมเ่ กิน 1,000,000 บาท หรอื ทัง้ จำท้งั ปรบั
D5.3 ความผิดฐานเปิดเผยข้อมูลส่วนบุคคล ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการ
ปฏิบตั หิ น้าทีต่ ามพระราชบัญญตั ินี้ แลว้ นำไปเปิดเผยแก่ผู้อ่ืน ตอ้ งระวางโทษจำคุกไม่เกิน 6
เดอื น หรือปรับไม่เกนิ 500,000 บาท หรือท้งั จำทง้ั ปรับ เวน้ แต่จะเปน็ การเปิดเผยตามหน้าท่ี
การเปดิ เผยเพื่อประโยชน์แก่การสอบสวนหรือพจิ ารณาคดี การเปดิ เผยแก่หน่วยงานของรัฐ
ในประเทศหรอื ต่างประเทศท่มี ีอำนาจหน้าท่ีตามกฎหมาย การเปดิ เผยที่ได้รับความยินยอม
เป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือการเปิดเผยข้อมูลส่วนบุคคลท่ี
เกยี่ วกับการฟ้องร้องคดีต่างๆ ทเ่ี ปดิ เผยตอ่ สาธารณะ
208 Thailand Data Protection Guidelines 3.0
D5.4 กรณนี ติ บิ คุ คลเป็นผูก้ ระทำความผิด ถา้ การกระทำความผิดของนติ ิบุคคลเกิดจากการส่ังการ
หรือกระทำของกรรมหรอื ผจู้ ัดการ หรือบคุ คลใดซึ่งรับผดิ ชอบในการดำเนนิ งานของนิติบคุ คล
หรือในกรณีที่บุคคลดังกล่าวมหี น้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่
กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้
สำหรบั ความผิดน้ันๆ ดว้ ย
โทษทางปกครอง 226
D5.5 โทษทางปกครองของผคู้ วบคมุ ข้อมลู สามารถสรุปได้ในตารางตอ่ ไปนี้
การกระทำท่ีเป็นความผดิ โทษปรบั ทางปกครอง
การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมลู ส่วนบคุ คลโดยปราศจากฐานทางกฎหมาย ไมเ่ กิน 3,000,000 บาท
(มาตรา 24, มาตรา 27)
การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรอื ไม่แจง้ ผลกระทบจากการถอน ไม่เกิน 1,000,000 บาท
ความยินยอม (มาตรา 19)
การเกบ็ รวบรวม ใชห้ รือเปดิ เผยขอ้ มลู ผดิ ไปจากวตั ถุประสงคท์ ี่ไดแ้ จง้ ไว้โดยไม่ได้ ไมเ่ กิน 3,000,000 บาท
แจ้งวตั ถปุ ระสงคใ์ หมห่ รือมกี ฎหมายให้ทำได้ (มาตรา 21) ไมเ่ กนิ 3,000,000 บาท
การเก็บรวบรวมข้อมูลเกนิ ไปกว่าท่ีจำเปน็ ภายใต้วตั ถปุ ระสงคอ์ นั ชอบด้วย
กฎหมายของผคู้ วบคมุ ข้อมูลส่วนบคุ คล (มาตรา 22)
การเก็บข้อมูลจากแหลง่ อน่ื ที่ไมใ่ ช่เจา้ ของขอ้ มลู โดยตรงทตี่ อ้ งห้ามตามกฎหมาย ไม่เกิน 3,000,000 บาท
(มาตรา 25)
การขอความยนิ ยอมทีเ่ ปน็ การหลอกลวงหรือทำใหเ้ จ้าของข้อมูลสว่ นบคุ คลเข้าใจ ไมเ่ กนิ 3,000,000 บาท
ผิดในวตั ถุประสงค์
การเกบ็ รวบรวม ใช้ หรอื เปดิ เผย การโอนขอ้ มูลอ่อนไหวโดยไมช่ อบด้วยกฎหมาย ไมเ่ กิน 5,000,000 บาท
(มาตรา 26, มาตรา 27, มาตรา 28, มาตรา 29) ไม่เกนิ 1,000,000 บาท
การไม่ปฏิบัติตามหน้าท่คี วามรบั ผิดชอบ
การไม่แจ้งเจ้าของข้อมลู ทงั้ ในกรณเี กบ็ ขอ้ มลู จากเจ้าของข้อมลู โดยตรงหรือโดย
ออ้ ม (มาตรา 23 หรือมาตรา 25)
การไม่ให้เจ้าของข้อมูลเขา้ ถงึ ขอ้ มลู ตามสทิ ธิ (มาตรา 30) ไมเ่ กิน 1,000,000 บาท
การไม่ดำเนนิ การตามสิทธิคัดคา้ นของเจา้ ของข้อมลู (มาตรา 32 วรรค 2) ไม่เกิน 3,000,000 บาท
226 โทษทางปกครองนั้นสามารถอทุ ธรณ์โต้แยง้ ตามกฎหมายว่าด้วยวธิ ปี ฏบิ ตั ิราชการทางปกครองในฐานะคำส่งั ทาง
ปกครอง
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 209
การกระทำที่เปน็ ความผิด โทษปรับทางปกครอง
การไมจ่ ัดให้มีเจ้าหนา้ ท่คี มุ้ ครองขอ้ มลู ส่วนบุคคล (มาตรา 41) ไมเ่ กิน 1,000,000 บาท
การไมจ่ ดั ให้มกี ารสนบั สนนุ การปฏบิ ัติหน้าท่ขี องเจา้ หน้าทคี่ ุ้มครองขอ้ มูลสว่ น ไม่เกนิ 1,000,000 บาท
บุคคลอย่างเพียงพอ หรอื การให้ออกหรอื เลกิ จ้างเจา้ หนา้ ท่ีค้มุ ครองข้อมูลส่วน
บุคคลเพราะเหตุทีป่ ฏบิ ัตติ ามกฎหมายคุ้มครองข้อมูลสว่ นบคุ คล (มาตรา 42) ไม่เกนิ 3,000,000 บาท
การโอนขอ้ มลู ส่วนบุคคลไปยงั ตา่ งประเทศโดยไมช่ อบดว้ ยกฎหมาย (มาตรา 28,
มาตรา 29) ไมเ่ กิน 3,000,000 บาท
การไม่จัดใหม้ ีมาตรการในการรักษาความมัน่ คงปลอดภยั ท่ีเหมาะสม การไมจ่ ัดให้
มรี ะบบตรวจสอบเพ่อื ลบทำลายข้อมูลหรือไมป่ ฏิบตั สิ ทิ ธิในการลบเม่อื ถอนความ
ยนิ ยอมหรือตามสิทธใิ นการขอลบขอ้ มูลโดยไมม่ ีเหตุตามกฎหมาย การไม่แจ้งเหตุ
ละเมิดขอ้ มลู หรือการไม่ตัง้ ตัวแทนในราชอาณาจกั ร
D5.6 โทษทางปกครองของผู้ประมวลผลขอ้ มลู สามารถสรุปไดใ้ นตารางตอ่ ไปนี้
การกระทำท่ีเป็นความผิด โทษปรับทางปกครอง
การไมจ่ ดั ใหม้ เี จา้ หน้าท่คี มุ้ ครองข้อมลู ส่วนบคุ คล (มาตรา 41) หรือการไมจ่ ัดให้มี ไม่เกิน 1,000,000 บาท
การสนับสนุนการปฏบิ ัติหนา้ ท่ขี องเจ้าหน้าท่คี ุ้มครองขอ้ มลู สว่ นบคุ คลอย่าง
เพียงพอ หรือการให้ออกหรอื เลกิ จา้ งเจา้ หน้าทคี่ ุ้มครองขอ้ มลู ส่วนบุคคลเพราะ
เหตทุ ่ปี ฏิบัติตามกฎหมายคุ้มครองขอ้ มูลสว่ นบุคคล (มาตรา 42)
การไมป่ ฏบิ ัตติ ามคำสั่งของผู้ควบคมุ ขอ้ มูล การไม่จดั ใหม้ มี าตรการรักษาความ ไม่เกิน 3,000,000 บาท
มน่ั คงปลอดภัยทีเ่ หมาะสม การไม่จัดทำบนั ทึกรายการกจิ กรรมการประมวลผล
(มาตรา 40)
การโอนข้อมลู ไปต่างประเทศโดยไมช่ อบด้วยกฎหมาย (มาตรา 29) ไมเ่ กนิ 3,000,000 บาท
การไม่ตงั้ ตัวแทนในราชอาณาจกั รในกรณีที่กฎหมายกำหนด (มาตรา 38 วรรค 2, ไมเ่ กิน 3,000,000 บาท
มาตรา 37(5)) ไม่เกิน 5,000,000 บาท
การโอนขอ้ มูลออ่ นไหวไปตา่ งประเทศโดยไมช่ อบดว้ ยกฎหมาย (มาตรา 29,
มาตรา 26)
D5.7 โทษทางปกครองอ่ืนๆ
(1) [ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล] ตัวแทนซึ่งไม่จัดให้มีบันทึก
รายการประมวลผลข้อมลู ตอ้ งระวางโทษปรบั ทางปกครองไม่เกิน 1,000,000 บาท
210 Thailand Data Protection Guidelines 3.0
(2) [การขดั คำสั่งคณะกรรมการผู้เชี่ยวชาญ] ผูใ้ ดไม่ปฏบิ ัติตามคำส่ังคณะกรรมผู้เช่ียวชาญ
หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ (มาตรา 75,
มาตรา 76(1)) มีระวางโทษปรบั ทางปกครองไม่เกิน 500,000 บาท
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 211
E. แนวปฏบิ ตั ิเพอื่ การประเมินผลกระทบดา้ นการคุม้ ครองขอ้ มลู ส่วนบุคคล
(Guideline on Data Protection Impact Assessment)
E1. ขอบเขตของ DPIA
E1.1 การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA เป็นกระบวนการที่มี
การพัฒนาขึ้นมาและเป็นที่ยอมรับในระดับสากล 227 เพื่อที่จะใช้ความระมัดระวังในการ
ประมวลผลข้อมูลส่วนบุคคลกรณที ีม่ คี วามเสีย่ งสูงทจี่ ะมีผลกระทบตอ่ สิทธิเสรภี าพของบุคคล
(likely to result in a high risk to the rights and freedoms of natural persons) ซ่ึง
จะมีประโยชน์อยา่ งมากโดยเฉพาะแก่การปฏบิ ัติตามกฎหมาย เพราะเป็นวิธีการที่จะทำให้
สามารถประเมินความเส่ยี งและแสดงให้เห็นวา่ ได้มกี ารปฏิบตั ิหลกั เกณฑต์ ่างๆตามกฎหมาย
แล้ว ท้ังนี้เพอื่
- [Description] อธบิ ายขอบเขตและวตั ถุประสงค์ของการประมวลผลข้อมูลส่วนบคุ คล
- [Necessity and Proportionality] ประเมนิ ความจำเป็นประเมินความได้สัดส่วน
ของการประมวลผลข้อมลู ส่วนบคุ คล เพื่อที่จะ
- [Assessment of the Risks] จัดการความเสี่ยงท่จี ะมผี ลกระทบต่อสทิ ธเิ สรภี าพของ
บคุ คลไดด้ ้วย และ
- [Appropriate Measures] กำหนดมาตรการค้มุ ครองข้อมลู สว่ นบุคคลทีเ่ หมาะสม
227 ตวั อย่างเช่น [Germany] Standard Data Protection Model, V.1.0 – Trial version, 201631.
https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf; [Spain] Guía para
una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de
protección de datos (AGPD), 2014. https://www.agpd.es/portalwebAGPD/canaldocumentacion/
publicaciones/common/Guias/ Guia_EIPD.pdf; [France] Privacy Impact Assessment (PIA),
Commission nationale de l’informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/node/
15798; [United Kingdom] Conducting privacy impact assessments code of practice, Information
Commissioner’s Office (ICO), 2014. https://ico.org.uk/media/for-organisations/documents/1595/pia-
code-of-practice.pdf
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 213
E1.2 DPIA เป็นกระบวนการท่ีสำคญั และจำเป็นต้องจัดทำตามพระราชบัญญัตคิ ุม้ ครองข้อมูลส่วน
บุคคล พ.ศ.2562 โดยเฉพาะตามบทบัญญัติดังต่อไปนี้ก็ได้ระบุถึงขั้นตอนที่ต้องทราบถึง
ผลกระทบและมาตรการท่ีเหมาะสมกบั ผลกระทบและความเสี่ยงน้นั 228 ไดแ้ ก่
- มาตรา 30 กำหนดให้ผู้ควบคมุ ข้อมูลต้องให้เหตุผลในการปฏิเสธการเข้าถึงข้อมลู ให้
เจ้าของข้อมูลทราบถึงผลกระทบที่อาจก่อนให้เกิดความเสียหายต่อสิทธิและ
เสรภี าพของบุคคลอ่นื
- มาตรา 37(4) กำหนดให้ผู้ควบคุมข้อมูลต้องแจ้งเหตุละเมิดข้อมูลส่วนบุคคลตาม
ความเสีย่ งที่จะมีผลกระทบตอ่ สิทธิและเสรภี าพของบุคคล
- มาตรา 39 วรรคสาม และมาตรา 40 วรรคสี่ กำหนดให้ผู้ควบคุมข้อมูลและผู้
ประมวลผลข้อมูลจะต้องบนั ทึกรายการโดยคำนงึ ถึงความเสี่ยงท่ีจะมีผลกระทบตอ่
สิทธเิ สรีภาพของเจา้ ของขอ้ มูลส่วนบคุ คล
- มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษา
ความมั่นคงปลอดภัยที่เหมาะสม และต้องทบทวนมาตรการดังกล่าวเมื่อมีความ
จำเปน็ หรอื เมอื่ เทคโนโลยเี ปล่ียนแปลงไป
228 DPIA ก็ถอื เปน็ กระบวนการที่สำคัญและจำเปน็ ตาม GDPR ทกี่ ำหนดเนือ้ หาที่เกย่ี วข้องลกั ษณะเดียวกันไว้ใน
Article 35(7) - The assessment shall contain at least:
(a) a systematic description of the envisaged processing operations and the purposes of the
processing, including, where applicable, the legitimate interest pursued by the controller;
(b) an assessment of the necessity and proportionality of the processing operations in
relation to the purposes;
(c) an assessment of the risks to the rights and freedoms of data subjects referred to in
paragraph 1; and
(d) the measures envisaged to address the risks, including safeguards, security measures
and mechanisms to ensure the protection of personal data and to demonstrate
compliance with this Regulation taking into account the rights and legitimate interests of
data subjects and other persons concerned.
214 Thailand Data Protection Guidelines 3.0
- มาตรา 39(8) และมาตรา 40(2) กำหนดให้ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
จะตอ้ งบันทึกรายการโดยคำอธิบายและจัดให้มีมาตรการรักษาความมัน่ คงปลอดภัย
ทเ่ี หมาะสม
- มาตรา 4 วรรคสาม กำหนดให้ผ้คู วบคุมข้อมลู สว่ นบุคคลทไ่ี ด้รบั ยกเวน้ การดำเนินการ
ตามวรรคก่อน ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลให้
เป็นไปตามมาตรฐานดว้ ย
E1.3 ความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคลอาจเป็นไปได้ใน
หลายระดบั ขึน้ อยกู่ ับ “ความน่าจะเปน็ ” (likelihood) และความร้ายแรง (severity) ของผล
ที่จะเกิดตามมาจากการประมวลผลขอ้ มูลนัน้ ตัวอย่างเช่น การถูกเลือกปฏิบัติ, การถูกสวม
รอยบุคคล (identity theft) หรือฉ้อโกง, ความเสียหายทางการเงนิ , การเสียช่อื เสยี ง, การถูก
เปิดเผยข้อมูลส่วนบุคคลที่ต้องคุ้มครองตามมาตรการรักษาความลับทางวิชาชีพ, การ
ถอดรหสั ข้อมลู แฝงโดยไมไ่ ด้รบั อนญุ าต, หรอื การเสยี ประโยชน์ทางเศรษฐกิจและสังคมอย่าง
มีนัยสำคัญ เป็นต้น อันจะส่งผลให้สิทธิและเสรภี าพของเจ้าของขอ้ มูลสว่ นบุคคลต้องเส่อื ม
เสียไป หรือทำให้ไมส่ ามารถควบคุมข้อมลู สว่ นบคุ คลของตนได้ 229
E1.4 การไมจ่ ดั ใหม้ ี DPIA ตามพระราชบญั ญตั คิ ุ้มครองข้อมลู สว่ นบุคคล พ.ศ.2562 โดยเฉพาะ
อยา่ งย่ิงกับกรณกี ารไม่ปฏบิ ตั ติ ามมาตรา 4, 30, 37, 39 และ 40 อาจนำไปสู่
- ความรบั ผดิ ทางแพ่งตามมาตรา 77 และ 78 และ
- โทษปรับทางปกครองสูงสุดไม่เกิน 3 ลา้ นบาทตามกฎหมายได้
E1.5 DPIA ไม่ใช่ขั้นตอนท่จี ะต้องดำเนินการในทกุ กรณี โดยตามหลักการจัดการความเสี่ยงแล้วจะ
ถอื ว่า DPIA เป็นขั้นตอนท่ีต้องดำเนินการแก่กรณที ี่มีความเส่ียงสูงท่ีจะมีผลกระทบต่อสิทธิ
เสรีภาพของบุคคล ซึ่งผู้ควบคุมข้อมูลจะต้องประเมินความเส่ียงของการประมวลผลข้อมูล
ของตนอยู่ตลอดว่าจะมีความเสีย่ งท่ีจะมีผลกระทบต่อสิทธิเสรีภาพของบุคคลในระดับที่สูง
หรือไม่ โปรดดูแนวทางการประเมินความเสีย่ งในแนวปฏิบัตกิ ารกำหนดและแยกแยะขอ้ มูล
229 อ้างองิ ตาม GDPR, Recital 75 215
ศนู ย์วจิ ัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั
ส่วนบุคคล (Guideline for Personal Data Classification) โดยแนวการพิจารณาเพิ่มเตมิ
กรณีทีม่ ีความเส่ยี งสงู ทีจ่ ะมีผลกระทบตอ่ สทิ ธเิ สรีภาพของบคุ คล ได้แก่
- [Systematic and extensive profiling with significant effects] กรณีที่มี
การประมวลผลข้อมูลส่วนบุคคลอย่างกว้างขวางด้วยระบบอัตโนมัติ รวมถึงการทำ
โปรไฟลง่ิ ซ่งึ การประมวลผลดงั กลา่ วสง่ ผลเป็นการตัดสินใจทส่ี ่งผลทางกฎหมายหรือ
สง่ ผลทม่ี นี ยั สำคัญทำนองเดยี วกนั ต่อบุคคล
- [Processing of sensitive data on a large scale] กรณีที่มีการประมวลผล
ข้อมูลจำนวนมากท่เี ป็นข้อมลู ท่อี ่อนไหวหรือข้อมลู ประวัตอิ าชญากรรม
- [Public monitoring on a large scale] กรณีที่เปน็ การตรวจตราและเฝ้าดูพ้นื ที่
สาธารณะจำนวนมากอย่างเป็นระบบ เช่น ศูนย์การค้า, ถนนและตรอกซอกซอย,
ตลาด, สถานรี ถไฟ, หรอื ห้องสมดุ สาธารณะ เปน็ ตน้ 230
E1.6 กรณีท่มี ีการประมวลข้อมูลจำนวนมากควรพจิ ารณาตามข้อพจิ ารณาตอ่ ไปนี้
- จำนวนบคุ คลทีเ่ กย่ี วข้อง
- ปริมาณขอ้ มลู ท่ีเกยี่ วขอ้ ง
- ความหลายหลายของข้อมลู ทเี่ ก่ยี วข้อง
- ระยะเวลาการประมวลผลข้อมูลทเี่ ก่ียวข้อง
- ขนาดพื้นทท่ี างภูมิศาสตร์ของการประมลผลขอ้ มลู ทเี่ ก่ียวขอ้ ง
E1.7 ตวั อย่างการประมวลผลข้อมลู จำนวนมาก เช่น
- โรงพยาบาลประมวลผลข้อมูลผปู้ ่วย
- การตดิ ตามตำแหนง่ ทอ่ี ยขู่ องบคุ คลในระบบขนส่งมวลชน
- การติดตามตำแหน่งทีอ่ ยู่ของลูกค้าในแอพพลิเคชนั่ ของรา้ นคา้
- ธนาคารและบริษทั ประกันภยั ประมวลผลข้อมลู ลกู คา้
- ระบบค้นหาข้อมูล (search engine) ประมวลผลข้อมูลส่วนบุคคลเพื่อการโฆษณา
ตามพฤติกรรมการใช้งาน
230 อา้ งองิ ตาม GDPR, Article 35(3)
216 Thailand Data Protection Guidelines 3.0
- ผใู้ หบ้ ริการโทรศัพท์หรืออนิ เทอรเ์ นต็ ประมวลผลขอ้ มูลผใู้ ช้บรกิ าร
E1.8 การพิจารณาว่ากรณีใดเป็นกรณีที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของ
บุคคล พึงประกอบด้วยข้อพิจารณาดังต่อไปนี้ ซึ่งโดยทั่วไปแลว้ หากปรากฏว่าเข้าข่ายตาม
ข้อพิจารณาตั้งแต่ 2 ข้อขึ้นไปก็ถือว่ามีแนวโน้มที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิ
เสรภี าพของบคุ คล 231
- [Evaluation or Scoring] เป็นกระบวนการทำโปรไฟล่ิงและประเมนิ เพ่อื คาดการณ์
โดยเฉพาะจากข้อมลู ต่างๆเกี่ยวกับเจ้าของข้อมลู เชน่ ผลงาน, สถานะทางเศรษฐกิจ,
สุขอนามัย, รสนิยมหรือความสนใจ, ความน่าเชื่อถือหรือพฤติกรรม, ตำแหน่งที่อยู่
หรือการเคลื่อนไหว เป็นต้น 232 ตัวอย่างเช่น สถาบันการเงินดำเนินการตรวจสอบ
ประวัติลูกค้าจากฐานข้อมูลเครดิตหรือฐานข้อมูลการฟอกเงินและการก่อการร้าย
(AML/CTF) หรือฐานข้อมูลการฉ้อโกง หรือบริษัทเทคโนโลยีชีวภาพสามารถ
ตรวจสอบพันธุกรรมของลูกค้าเพื่อประเมินความเสี่ยงทางสุขภาพ หรือบริษัท
เทคโนโลยีบางประเภทจัดทำฐานข้อมูลพฤติกรรมหรือข้อมูลการตลาดจากข้อมูลการ
ใช้งานเวบ็ ไซต์ เปน็ ต้น
- [Automated-decision with legal effect] เป็นการประมวลผลข้อมูลเพื่อ
ตัดสนิ ใจต่อตัวเจ้าของข้อมลู ส่วนบุคคลอันส่งผลทางกฎหมายหรือส่งผลที่มีนัยสำคัญ
ทำนองเดียวกันต่อบคุ คล ตวั อย่างเช่น การประมวลผลขอ้ มลู ดงั กล่าวอาจนำไปสู่การ
จำกัดหรือเลือกปฏิบัติต่อบุคคล อย่างไรก็ดีการประมวลผลที่ส่งผลน้อยจนถึงไม่มี
ผลกระทบต่อบุคคล ไมถ่ ือว่าเข้าขา่ ยนี้
- [Systematic monitoring] เป็นการประมวลผลข้อมูลเพือ่ ใชใ้ นการเฝ้าสังเกตหรือ
เฝ้าระวังหรือควบคุมเจ้าของข้อมูลส่วนบุคคล รวมถึงการเก็บรวบรวมข้อมู ลที่
ดำเนนิ การเป็นเครือขา่ ย หรือเฝ้าระวงั อย่างเป็นระบบในพืน้ ท่ีสาธารณะ เนื่องจากการ
231 อา้ งองิ ตาม WP29 Guidelines on Data Protection Impact Assessment (DPIA) and determining
whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679
(WP248 rev.01), pp.9-11.
232 อ้างอิงตาม GDPR, Recital 71 and 91
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 217
เฝ้าระวังลักษณะนี้อาจมีการเก็บรวบรวมข้อมูลทีเ่ จ้าของข้อมูลไม่ทราบว่าใครเป็นผู้
เก็บรวบรวมข้อมูลและข้อมูลนั้นจะถูกนำไปใช้อย่างไร และในหลายกรณีบุคคลไม่
สามารถหลกี เล่ยี งที่จะไม่ถูกเก็บรวบรวมข้อมูลเพอ่ื การประมวลผลในพ้ืนที่สาธารณะ
ได้
- [Sensitive data] เป็นการประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษที่มีความ
อ่อนไหว รวมถึงประวัติอาชญากรรม ตัวอย่างเช่น โรงพยาบาลจัดเก็บข้อมูลทาง
การแพทย์ หรือนักสืบเอกชนเก็บรวบรวมรายละเอียดของผู้กระทำความผิด เป็นต้น
อยา่ งไรกด็ ขี อ้ มลู บางประเภทอาจพจิ ารณาวา่ มีความเส่ียงสงู ทจี่ ะมีผลกระทบต่อสิทธิ
เสรีภาพของบุคคลได้แม้ไม่เข้าเงื่อนไขตามมาตรา 26 ของพระราชบัญญัติคุ้มครอง
ขอ้ มูลส่วนบคุ คล พ.ศ.2562 เชน่ ข้อมูลที่เกีย่ วกับกจิ กรรมในครอบครัวหรือกิจกรรม
ส่วนตัวซึ่งไม่ควรล่วงรู้ไปถึงบุคคลภายนอก หรือข้อมูลตำแหน่งที่อยู่ (location) ที่
อาจกระทบต่อเสรีภาพในการเดินทางและการเลือกถิ่นที่อยู่ 233 หรือกรณีที่ถ้าหากมี
การละเมิดข้อมูลจะทำใหม้ ีผลกระทบร้ายแรงตอ่ ปกตสิ ุขประจำวันของเจ้าของข้อมูล
เช่น ข้อมูลทางการเงนิ ที่อาจถกู ใช้ในการฉ้อโกงการชำระเงินของเจ้าของข้อมูล เป็น
ต้น กรณีเช่นนี้อาจต้องพิจารณาประกอบกับการที่เจ้าของข้อมูลหรือบุคคลอื่นได้
เผยแพรข่ อ้ มูลดังกล่าวไว้แล้วสู่สาธารณะ ซงึ่ จะเปน็ ปัจจยั ในการประเมนิ วา่ ขอ้ มลู ท่ีถูก
เผยแพร่ดังกล่าวจะถกู นำไปใช้เพ่อื วัตถุประสงคห์ น่ึงๆหรอื ไม่ เช่น เอกสารสว่ นบคุ คล,
อีเมล์, บนั ทกึ สว่ นตัว, อปุ กรณส์ ำหรับอา่ นและใช้จดบนั ทึกบนเอกสาร, แอพพลิเคชั่น
ที่เก็บบนั ทึกข้อมูลส่วนบุคคลของผู้ใช้งานในเรื่องต่างๆ เช่น การออกกำลังกาย, การ
นอน, การเดนิ ทาง, ภาพถ่าย เปน็ ต้น
- [Large scale] เปน็ การประมวลผลปริมาณมากโดยพจิ ารณาจากปจั จัยดังต่อไปน้ี 234
o จำนวนเจา้ ของข้อมลู ส่วนบุคคลท่เี ก่ยี วขอ้ ง
o ปริมาณขอ้ มลู หรือขอบเขตของข้อมูลต่างๆทีถ่ กู ประมวลผล
o ระยะเวลาของการประมวลผล
o ขอบเขตทางภมู ิศาสตร์ของการประมวลผล
233 รฐั ธรรมนญู แหง่ ราชอาณาจกั รไทย พ.ศ.2560 มาตรา 38
234 อา้ งองิ ตาม WP29 Guidelines on Data Protection Officers (‘DPOs’) (WP243), p.7.
218 Thailand Data Protection Guidelines 3.0
- [Combining datasets] เป็นการประมวลผลที่ได้มาจากการประมวลผลข้อมูลส่วน
บุคคลตั้งแต่ 2 กระบวนการขึ้นไปที่มีขอบเขตและวัตถุประสงค์แตกต่างกันหรือ
ประมวลผลโดยผคู้ วบคุมข้อมูลคนละรายกัน ซึ่งอาจทำให้การประมวลผลดังกล่าวเกิน
กว่าขอบเขตที่เจ้าของข้อมูลส่วนบุคคลจะคาดหมายได้ว่าจะมีการประมวลผลข้ อมลู
เช่นว่านัน้ 235
- [Vulnerable data subjects] เป็นการประมวลผลขอ้ มลู ที่เก่ียวกบั ผู้เปราะบาง 236
ที่มีข้อจำกัดในทางที่เสียเปรียบที่อาจไม่สามารถให้ความยินยอมหรือปฏิเสธการ
ประมวลผลขอ้ มลู เพื่อการใช้สิทธขิ องตนได้ ผู้เปราะบางอาจรวมถึง เด็กหรือผู้เยาวท์ ี่
อาจไมเ่ ขา้ ใจหรอื ไม่ตัง้ ใจท่จี ะให้ความยินยอมหรือปฏิเสธการประมวลผล หรอื ลูกจ้าง
และพนักงาน หรือบุคคลกลุ่มเฉพาะที่ต้องการความคุ้มครองเป็นพิเศษ เช่น ผู้ป่วย
ทางจิต, ผู้ลภี้ ยั , ผ้สู งู อายุ หรือผู้ปว่ ย เปน็ ต้น หรอื กรณใี ดๆท่ีสามารถระบุขอ้ จำกดั หรอื
ความเสียเปรียบทำนองเดียวกันนีร้ ะหว่างเจา้ ของขอ้ มูลส่วนบุคคลกบั ผู้ควบคุมข้อมูล
สว่ นบุคคล
- [Innovative use] เป็นการประมวลผลทีใ่ ช้เทคโนโลยี เช่น ลายนว้ิ มือและการจดจำ
ใบหนา้ เพ่ือการควบคุมการเข้าออกอาคารสถานท่ี เป็นตน้ เน่อื งจากการใชเ้ ทคโนโลยี
ลกั ษณะน้ีนำไปสู่การเก็บรวบรวมและการใช้ข้อมลู สว่ นบุคคลท่ีคนท่ัวไปไม่คุ้นเคยมา
ก่อนและอาจนำไปสู่ความเสี่ยงระดับสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุ คคล
เพราะการใช้งานลักษณะนั้นไม่เคยปรากฏมาก่อนทำให้ไม่สามารถคาดหมาย
ผลกระทบต่อตัวบุคคลและสังคมโดยรวมได้ ตัวอย่างเช่น การใช้แอพพลิเคชั่นของ
235 อ้างอิงตาม WP29 Opinion 03/2013 on Purpose Limitation (WP203), p.24.
236 สำนักจรยิ ธรรมการวจิ ัย คณะแพทยศาสตร์ มหาวทิ ยาลยั เชียงใหม่, จรยิ ธรรมการวิจัยสำหรับนักวิจยั (Version
1.0 December, 2015): “บคุ คลเปราะบาง” (vulnerable persons)” หมายถึง
(1) บคุ คลท่ขี าดความสามารถในการปกปอ้ งสิทธิและประโยชนข์ องตนเนอื่ งจากขาดอํานาจ การศึกษา
ทรัพยากร, ความเขม้ แขง็ หรืออ่นื ๆ (CIOMS)
(2) บคุ คลทถี่ ูกชักจูงเขา้ ร่วมการวจิ ัยโดยงา่ ยโดยหวงั จะได้ประโยชน์จากการเข้ารว่ ม ไมว่ า่ จะสมเหตสุ มผลหรอื ไม่
กต็ าม หรอื เป็นผู้ตกลงเขา้ รว่ มการวิจยั เพราะเกรงกลัวจะถกู กลั่นแกลง้ จากผ้มู ีอาํ นาจเหนือกว่าหากปฏเิ สธ
(ICH GCP E6) เช่น นกั ศึกษา, ลกู จา้ ง, ทหาร, คนต้องขัง, ผู้ป่วยทร่ี ักษาไม่หาย, ผสู้ งู อายใุ นบา้ นพักคนชรา,
คนตกงาน, คนยากจน, คนไรบ้ า้ น, ผปู้ วยฉุกเฉนิ , ชนกลุม่ น้อย, คนเร่รอ่ น, ผู้อพยพ, เดก็ และผู้เยาว์, ผ้ปู วย
โรคจิต เปน็ ต้น
ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 219
เทคโนโลยี IoT เป็นนวัตกรรมใหมท่ ่ยี ังไม่สามารถคาดหมายผลกระทบท่อี าจเกดิ ข้ึนได้
จงึ จำเป็นต้องทำการประเมนิ DPIA
- [Prevent data subjects’ right or access] เป็นกรณีที่การประมวลผลนั้นๆ
ส่งผลเป็นการให้ เปลี่ยนแปลง หรือปฏิเสธ สิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะ
เข้าถึงบริการหรือสัญญาหนึ่งๆ ตัวอย่างเช่น ธนาคารทำการตรวจสอบประวัติลูกค้า
ด้วยขอ้ มลู เครดติ เพอื่ ทจ่ี ะกำหนดวงเงนิ กู้ เป็นต้น
E1.9 ในบางกรณีแม้ปรากฏวา่ เข้าข่ายตามขอ้ พิจารณา 2 ขอ้ แตก่ ็ไม่จำเปน็ ต้องจดั ทำ DPIA เสมอ
ไป หากมั่นใจว่าการประมวลผลดังกล่าวไม่ก่อให้เกิดความเสี่ยงสงู ท่ีจะมีผลกระทบต่อสิทธิ
เสรีภาพของบุคคล ผูค้ วบคมุ ขอ้ มูลก็เพียงบันทึกเหตผุ ลของการพิจารณาน้ันเอาไว้ อย่างไรก็ดี
หากเป็นกรณีที่ปรากฏวา่ เขา้ ข่ายตามข้อพจิ ารณาเพียง 1 ขอ้ แตผ่ ้คู วบคมุ ข้อมลู ประเมินแล้ว
ว่ามีความเสี่ยงสงู ก็มีความจำเปน็ ทจ่ี ะตอ้ งจดั ทำ DPIA ไว้ด้วย
E1.10 ตัวอยา่ งการพจิ ารณาว่าเขา้ ข่ายตอ้ งทำ DPIA 237
- [New technologies] การประมวลผลขอ้ มลู ส่วนบคุ คลทีม่ ีการใช้เทคโนโลยีใหม่
เชน่ ปัญญาประดิษฐ์ (artificial intelligence)
- [Denial of services] การใชโ้ ปรไฟลง่ิ หรอื ข้อมูลทอ่ี ่อนไหวในการปฏิเสธไมใ่ ห้
เข้าถงึ บริการ;
- [Large-scale profiling] การทำโปรไฟล่ิงของบคุ คลในปริมาณมาก
- [Biometrics] การประมวลผลข้อมูลชีวภาพ
- [Genetic data] การประมวลผลขอ้ มูลพนั ธกุ รรม
- [Data matching] การจับคหู่ รอื เชอื่ มโยงข้อมลู หรอื ชุดข้อมูลจากแหล่งข้อมลู หลาย
แหล่ง
- [Invisible processing] การเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คลจากแหลง่ อ่ืนทไี่ มใ่ ชจ่ าก
เจา้ ของข้อมูลโดยตรงโดยไมม่ กี ารแจ้งเตอื นเกีย่ วกบั ความเป็นสว่ นตัว
237 อ้างองิ ตาม ICO GDPR guidance: Data Protection Impact Assessment (DPIAs) Version 0.6
(Consultation: 22 March – 13 April 2018)
220 Thailand Data Protection Guidelines 3.0
- [Tracking] การติดตามตำแหน่งทอ่ี ยู่หรือพฤติกรรมของบุคคล
- [Targeting of children or other vulnerable individuals] การทำโปรไฟล่งิ
หรือทำการตลาดแบบระบุเป้าหมาย (target marketing) หรือบริการออนไลน์แก่
ผูเ้ ยาว์หรอื ผเู้ ปราะบาง
- [Risk of physical harm] การประมวลผลข้อมูลท่ีอาจเป็นอันตรายตอ่ สขุ อนามยั
หรอื ความปลอดภัยของบุคคลในกรณที ีม่ กี ารรว่ั ไหล
E1.11 กรณีที่กฎหมายกำหนดใหผ้ คู้ วบคุมขอ้ มูลมหี น้าท่ตี ้องประมวลผลข้อมูลสว่ นบคุ คล ทง้ั โดย
ฐานหน้าที่ตามกฎหมาย (legal obligation) หรอื โดยฐานภารกจิ ของรฐั (public task) ท่าน
ไมจ่ ำเปน็ ตอ้ งจดั ทำ DPIA ในกรณดี ังกล่าว
E1.12 DPIA อาจมีขึ้นเพอื่ รองรับการประมวลผลข้อมลู หลายกรณที ี่มลี ักษณะเดียวกันทั้งโดยสภาพ,
วัตถุประสงค์ หรือความเสี่ยง ตัวอย่างเช่น ระบบกล้องวงจรปิดของอาคารสำนักงานหรือ
ร้านค้าที่มีระบบหรือเทคโนโลยีเดียวกันและติดตั้งในลักษณะเดียวกัน อาจจัดท ำ DPIA
ร่วมกันเพื่อครอบคลุมลักษณะการประมวลผลดังกล่าวของผู้ควบคุมข้อมูลหลายราย หรือ
กรณีผู้ควบคุมข้อมูลรายเดียวแต่มีร้านค้าหลายสาขาในลักษณะเดียวกัน กรณีเช่นนี้พึง
เปิดเผยข้อมูลอ้างอิงของ DPIA สู่สาธารณะ รวมถึงมาตรการที่กำหนดและเหตุผลที่จัดทำ
DPIA รวมกนั
E1.13 กรณีที่เป็นผู้ควบคมุ ข้อมูลร่วมกัน DPIA พึงระบุหน้าที่ความรับผิดชอบของผู้ควบคุมแต่ละ
รายและมาตรการที่แต่ละฝ่ายรับผิดชอบ โดยระบุเหตุผลความจำเป็นและข้อมูลของแต่ละ
ฝ่าย แต่ไม่กระทบกระเทือนถึงความลับหรือจุดอ่อนทางธุรกิจของผู้ควบคุมข้อมูล
ตัวอย่างเช่น ผู้ผลิตอุปกรณ์ IoT อย่างสมาร์ทมิเตอร์ และผู้ให้บริการที่ใช้อุปกรณ์ดังกลา่ ว
ย่อมเป็นผู้ควบคุมข้อมูลและจำเป็นต้องจัดให้มี DPIA กรณีเช่นผู้ผลิตอาจจัดเตรียมและใช้
ขอ้ มลู ของผูใ้ หบ้ รกิ ารมาประกอบร่วมกันในการจัดทำ DPIA โดยไมก่ ระทบถงึ ข้อมูลความลับ
หรอื ขอ้ มลู จุดออ่ นอื่นใดทางธุรกจิ ระหวา่ งกัน เปน็ ตน้
ศูนยว์ ิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 221
E1.14 DPIA ไม่ใชก่ ระบวนการที่ทำครง้ั เดียวเสรจ็ เพ่ือประทับรบั รองว่าได้มกี ารดำเนนิ การแล้ว แต่
DPIA เป็นกระบวนการที่ดำเนินการอย่างต่อเนื่องตามหลักการจัดการความเสี่ยงและการ
ติดตามตรวจสอบจำเป็นต้องมีขึ้นอย่างต่อเนื่อง โดยเฉพาะว่าหากมีการเปลี่ยนแปลงใดๆ
เกิดขึ้น เช่น มีการปรับปรุงกระบวนการประมวลผลข้อมูลส่วนบุคคลในขั้นตอนใดขั้นตอน
การหน่ึง กจ็ ำเป็นจะต้องแสดงให้เห็นว่าไดม้ ีการประเมินความเส่ียงจากการเปล่ียนแปลงนั้น
รวมถึงการเปลี่ยนแปลงที่เกิดจากปัจจัยภายนอก เช่น การตรวจพบช่องโหว่ของมาตรการ
ความปลอดภัย หรือ มีเทคโนโลยีใหม่เกิดขึ้น หรือมีข้อวิตกกังวลใหม่เกิดขึ้นแก่สาธารณะ
เป็นต้น
222 Thailand Data Protection Guidelines 3.0
E2. ขน้ั ตอนของ DPIA
E2.1 ในกรณีที่จำเป็นต้องจัดทำ DPIA ผู้ควบคุมข้อมูลควรกำหนดให้ผู้ที่มีหน้าที่รับผิดชอบเร่ิม
ดำเนินการก่อนหรือระหว่างเตรียมการที่จะเริ่มโครงการหรือเริ่มกระบวนการประมวลผล
ข้อมูลส่วนบุคคลน้ัน ในบางกรณีอาจกำหนดใหผ้ ปู้ ระมวลผลข้อมลู จดั ทำ DPIA แทนกไ็ ด้ โดย
ควรประกอบด้วยข้ันตอนต่อไปน้ตี ามภาพ
DPIA Identification
Monitoring and Description
review
Documentation ann Consultation
planning
Measures to mitigate Necessity and
Risk assessment proportionality
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 223
E2.2 ผู้เกย่ี วข้องกับการจัดทำ DPIA ได้แก่
- เจา้ หนา้ ท่ีคุม้ ครองข้อมลู สว่ นบคุ คล หรือ “DPO” (Data Protection Officer) (ถา้ ม)ี
- บุคลากรดา้ นความมั่นคงปลอดภยั ทางสารสนเทศ
- ผู้ประมวลข้อมลู
- ท่ีปรึกษากฎหมาย หรอื ผเู้ ชยี่ วชาญอนื่ ๆทเี่ กีย่ วขอ้ ง
E2.3 [DPIA Identification] กรณีทมี่ ีโครงการหรือมีกระบวนการทจี่ ะต้องประมวลผลขอ้ มูลสว่ น
บุคคล ผู้ควบคมุ ข้อมูลจำเป็นต้องประเมินว่าจะตอ้ งจัดทำ DPIA หรือไม่ ซึ่งโดยทั่วไปแล้วผู้
ควบคุมข้อมูลควรขอความเห็นจาก DPO ของตนเป็นลำดับแรก กรณีที่ไม่มี DPO ก็
จำเปน็ ต้องดำเนินการดังต่อไปน้ี
- ตรวจสอบกบั ประกาศหรือบญั ชรี ายชอ่ื การประมวลผลขอ้ มูลส่วนบุคคลของสำนักงาน
คมุ้ ครองข้อมลู สว่ นบคุ คลทจ่ี ำเป็นตอ้ งจดั ทำ DPIA ซงึ่ ตามแนวปฏิบัตินไี้ ดย้ กตวั อย่าง
ไว้ให้แล้วในสว่ น E1 และจะไดอ้ พั เดตเปน็ ระยะต่อไป
- ตรวจสอบตามแบบฟอร์มในสว่ น E3 เพอ่ื ชว่ ยกลัน่ กรองตามปจั จัยตา่ งๆท่อี าจทำให้มี
ความเสยี่ งสงู ทจ่ี ะมผี ลกระทบต่อสทิ ธเิ สรีภาพของบุคคล
- หากตรวจสอบแล้วปรากฏวา่ ไม่มคี วามจำเปน็ ต้องจัดทำ DPIA ผคู้ วบคุมข้อมลู ก็
จะต้องบนั ทึกเหตุผลและการตัดสินใจดงั กล่าวเอาไว้ รวมถึงความเหน็ ของ DPO ด้วย
(ถ้ามี) เช่น เกบ็ บันทึกตามแบบฟอร์ม E3 เป็นต้น
- ในกรณีทมี่ ขี ้อสงสัยหรือไมแ่ น่ใจ แนวปฏบิ ตั ิน้ีแนะนำให้จดั ทำ DPIA
E2.4 [Description] การอธิบายรายละเอยี ดของกระบวนการประมวลผลขอ้ มูลสว่ นบคุ คลอย่าง
นอ้ ยตอ้ งประกอบด้วย สภาพ (nature), ขอบเขต (scope), บรบิ ท (context) และ
วัตถปุ ระสงค์ (purpose) ของการประมวลผล
(1) [Nature] อธบิ ายสภาพของการประมวลผลขอ้ มูล โดยรวมถึงรายละเอยี ดต่อไปน้ี
- การเกบ็ รวมรวมข้อมลู
- การจดั เก็บข้อมลู
- การใช้ข้อมลู
224 Thailand Data Protection Guidelines 3.0
- ผู้ทสี่ ามารถเข้าถึงข้อมลู
- ผทู้ ่ไี ด้รับข้อมลู
- ผู้ประมวลผลข้อมลู
- ระยะเวลาจัดเก็บข้อมูล
- มาตรการความปลอดภัย
- เทคโนโลยใี หมท่ ่ีใช้ในการประมวลผลขอ้ มูล
- กระบวนการแบบใหม่ท่ใี ช้ในประมวลผลข้อมูล
- ปัจจัยที่ทำให้มีความเส่ียงสูงท่จี ะมผี ลกระทบตอ่ สิทธเิ สรีภาพของบุคคล
(2) [Scope] ระบขุ อบเขตของการประมวลผลขอ้ มูล โดยรวมถงึ รายละเอียดต่อไปน้ี
- สภาพและลักษณะของข้อมลู ส่วนบุคคล
- ปรมิ าณและความหลากหลายของข้อมูลส่วนบุคคล
- ความออ่ นไหวของขอ้ มลู ส่วนบุคคล
- ระดบั และความถ่ขี องการประมวลผลขอ้ มลู
- ระยะเวลาของการประมวลผลขอ้ มูล
- จำนวนของเจา้ ของขอ้ มูลสว่ นบุคคลทเี่ ก่ียวขอ้ ง
- พน้ื ทีเ่ ชิงภมู ิศาสตรท์ ี่การประมวลผลขอ้ มูลครอบคลุมไปถงึ
(3) [Context] อธบิ ายบริบทของการประมวลผลขอ้ มลู ท้ังปัจจยั ภายในและภายนอกท่ี
อาจส่งผลตอ่ ความคาดหวงั และผลกระทบของการประมวลผลขอ้ มูล โดยรวมถึง
รายละเอยี ดตอ่ ไปนี้
- แหลง่ ข้อมลู ส่วนบุคคล
- ลักษณะของความสมั พันธก์ ับเจ้าของข้อมลู สว่ นบคุ คล
- ระดบั ความสามารถในการควบคมุ ขอ้ มลู ส่วนบคุ คลของเจา้ ของขอ้ มลู ส่วนบุคคล
- ระดับความคาดหวังของเจ้าของขอ้ มลู ท่ีมีตอ่ การประมวลผลขอ้ มูล
- มขี ้อมลู สว่ นบคุ คลของผเู้ ยาวห์ รือผู้เปราะบางหรือไม่
- ประสบการณท์ ี่ผ่านมาของการประมวลผลขอ้ มลู แบบเดียวกัน
- ความก้าวหน้าทางเทคโนโลยีหรือมาตรการความปลอดภยั ทางสารสนเทศที่
เก่ยี วข้อง
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 225
- ประเด็นทเ่ี ป็นขอ้ วิตกกงั วลของสาธารณะ
- มกี ารปฏบิ ัติตามมาตรฐานหรอื แนวปฏิบตั ทิ เ่ี กยี่ วขอ้ งหรือไม่
(4) [Purpose] อธิบายวตั ถปุ ระสงค์ของการประมวลผลขอ้ มลู โดยรวมถึงรายละเอียด
ตอ่ ไปนี้
- ฐานประโยชนอ์ นั ชอบธรรม (legitimate interest) (ถา้ มี)
- ผลลัพธท์ ีต่ อ้ งการสำหรบั บคุ คล
- ประโยชนท์ ี่คาดว่าจะไดร้ บั สำหรบั ผ้คู วบคุมข้อมูลหรอื สงั คมโดยรวม
E2.5 [Consultation]
(1) [Data subject]
- โดยท่วั ไปแล้วผคู้ วบคมุ ข้อมลู ควรตอ้ งรับฟงั ความเห็นจากเจ้าของข้อมลู ส่วน
บคุ คล เวน้ แตจ่ ะมเี หตผุ ลความจำเปน็ ทไ่ี มส่ ามารถดำเนนิ การได้ ในกรณีเชน่ นนั้ ผู้
ควบคุมข้อมลู จะต้องบนั ทึกการตัดสนิ ใจพร้อมเหตผุ ลคำอธบิ ายดังกลา่ วไว้ใน
DPIA ตัวอยา่ งเช่น ผู้ควบคุมขอ้ มูลอาจตัดสินใจไม่รบั ฟังความเหน็ จากเจ้าของ
ข้อมลู เพราะการรับฟังความเห็นจะเปน็ การเปิดเผยความลับทางธรุ กจิ , เปน็ การ
บั่นทอนระบบความปลอดภยั ทางสารสนเทศ หรือ ไมไ่ ดส้ ดั สว่ น หรือเปน็ ไปไมไ่ ด้
ในทางปฏิบตั ิ
- ในกรณจี ดั ทำ DPIA ทีค่ รอบคลุมการประมวลผลขอ้ มูลส่วนบคุ คลทม่ี อี ยูเ่ ดมิ ผู้
ควบคุมข้อมลู ควรออกแบบวิธกี ารรับฟังความเหน็ จากเจ้าของข้อมูลหรือตัวแทน
ของเขาเหล่านั้น แต่ในกรณีท่จี ัดทำ DPIA สำหรับการประมวลผลข้อมูลส่วน
บุคคลใหม่ทีย่ ังไม่ทราบตวั เจา้ ของข้อมูล ผคู้ วบคมุ ขอ้ มูลควรออกแบบวิธีการรับ
ฟงั ความเหน็ สาธารณะ หรอื จดั ทำเปน็ งานวจิ ัยสำหรับกลมุ่ เป้าหมาย ในลักษณะ
เดียวกันกับการวิจัยตลาด เปน็ ต้น
- หากผลของการจัดทำ DPIA ไมส่ อดคลอ้ งกับความเหน็ ของเจา้ ของข้อมลู สว่ น
บุคคลทีไ่ ดร้ ับฟังมา ผคู้ วบคมุ ขอ้ มูลก็จำเปน็ ตอ้ งบนั ทึกเหตุผลท่ไี มร่ บั เอา
ความเห็นน้นั ไวพ้ จิ ารณาด้วย
226 Thailand Data Protection Guidelines 3.0
(2) [Data processor] ในกรณีที่มกี ารใชผ้ ปู้ ระมวลผลขอ้ มลู สว่ นบคุ คล ผคู้ วบคุมข้อมูล
ควรจดั ทำ DPIA ประกอบกับข้อมลู ทีเ่ ก่ียวข้องของผปู้ ระมวลผลขอ้ มูล ในกรณนี ี้
ข้อตกลงให้ประมวลผลข้อมูล (Data Processing Agreement) ควรระบุหน้าท่ีใน
เรอื่ งนี้ไวด้ ้วย
(3) [Internal stakeholders] ผู้ควบคุมขอ้ มูลควรรบั ฟังความเห็นจากผเู้ ก่ยี วขอ้ งภายใน
องค์กร โดยเฉพาะอย่างยงิ่ ผทู้ ี่มีหน้าท่รี ับผดิ ชอบต่อมาตรการความปลอดภัยทาง
สารสนเทศ
(4) [Independent experts] ในกรณีทสี่ มควร ผู้ควบคุมข้อมูลควรรบั ฟงั ความเห็นจาก
ผเู้ ชีย่ วชาญทางกฎหมายและผู้เชี่ยวชาญดา้ นที่เกี่ยวขอ้ งจากภายนอก เช่น
ผเู้ ชย่ี วชาญดา้ นสารสนเทศ, ผู้เชยี่ วชาญด้านสงั คมวิทยา, ผเู้ ชย่ี วชาญดา้ นชาติพันธุ์
เป็นต้น
(5) [Data Protection Agency] ในบางกรณีผ้คู วบคมุ ขอ้ มลู อาจขอความเห็นจาก
สำนักงานคณะกรรมการคุ้มครองข้อมูลสว่ นบคุ คล
E2.6 [Necessity and proportionality]
(1) ผคู้ วบคุมขอ้ มลู จำเปน็ ต้องแสดงใหเ้ หน็ ความจำเปน็ และความได้สดั ส่วนของการ
ประมวลผลขอ้ มลู โดยอาจพิจารณาตอบคำถามดงั ต่อไปนี้
- การประมวลผลขอ้ มลู ส่วนบคุ คลดงั กลา่ วช่วยใหไ้ ดผ้ ลลพั ธ์ท่ปี ระสงคห์ รือไม่
อยา่ งไร
- มชี ่องทางอ่ืนหรอื ไม่ท่ีสามารถดำเนนิ การได้ตามสมควรเพือ่ ให้ได้ผลลพั ธท์ ี่
ประสงคเ์ ดียวกนั
(2) ในการประเมินความจำเปน็ และความได้สัดสว่ นควรระบถุ ึงรายละเอยี ดดงั ตอ่ ไปนี้
ด้วย
- ฐานในการประมวลผลข้อมลู ตามกฎหมาย
- แนวทางปอ้ งกันไม่ให้มกี ารประมวลผลข้อมูลทไ่ี มเ่ หมาะสม
- แนวทางดำเนินการเพ่อื ประกันคณุ ภาพของขอ้ มูล
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 227
- แนวทางดำเนินการเพื่อประกันการจัดเกบ็ ขอ้ มลู เท่าท่ีจำเปน็ (data
minimization)
- แนวทางการแจง้ ข้อมูลการประมวลผลข้อมลู ทเี่ กย่ี วขอ้ งแก่เจา้ ของข้อมูล
- แนวทางดำเนินการเพอ่ื รองรบั การใชส้ ทิ ธิของเจา้ ของขอ้ มลู
- มาตรการเพอื่ ประกนั การปฏิบัติตามขนั้ ตอนของผปู้ ระมวลผลขอ้ มูลสว่ นบคุ คล
- มาตรการคุ้มครองการสง่ ขอ้ มูลระหว่างประเทศ
E2.7 [Risk assessment] ในการประเมินความเสี่ยง ผู้ควบคุมข้อมลู ควรจะได้ประเมินเบื้องต้น
มาแล้วตามส่วน B ว่าดว้ ยแนวปฏบิ ตั กิ ารกำหนดและแยกแยะขอ้ มลู ส่วนบุคคล ซึ่งหากพบว่า
มีความเสย่ี งสูงกจ็ ะสง่ มาถึงข้นั ตอน DPIA โดยการประเมนิ ในขั้นน้ีกจ็ ะคำนงึ ถงึ “ความน่าจะ
เป็น” (likelihood) และ “ความร้ายแรง” (severity) ประกอบกัน โดยไม่จำเป็นว่า
ผลกระทบที่มคี วามร้ายแรงมากจะถอื เปน็ ความเสี่ยงสงู เสมอไป แตค่ วรจะตอ้ งมีความน่าจะ
เป็นที่จะเกิดขึ้นอย่างมีนัยสำคัญด้วย ในทำนองเดียวกันหากความร้ายแรงน้อยแต่มีความ
นา่ จะเป็นสูงกถ็ ือเป็นความเส่ียงสูงไดเ้ ช่นกัน การประเมนิ ความเสย่ี งจงึ เป็นข้ันตอนที่ต้องการ
ข้อมลู ทคี่ อ่ นขา้ งชัดเจนและเป็นระบบ โดยอาจใชแ้ ผนผงั ตอ่ ไปน้ีชว่ ยในการประเมนิ ได้
ร้ายแรงมาก ระดบั ต่ำ ระดับสงู ระดบั สูง
ร้ายแรงพอสมควร ระดับต่ำ ระดับกลาง ระดับสูง
ระดบั ตำ่ ระดับต่ำ ระดบั ต่ำ
ร้ายแรงน้อย โอกาสตำ่ โอกาสพอสมควร โอกาสสูง
228 Thailand Data Protection Guidelines 3.0
E2.8 [Risk assessment] ผู้ควบคุมข้อมูลต้องประเมินความเสี่ยงของผลกระทบจากกการ
ประมวลผลข้อมลู ดังกล่าวทีจ่ ะมตี ่อเจ้าของขอ้ มลู สว่ นบุคคล ทั้งในเชิงร่างกาย จิตใจ และทรัพยส์ ิน
โดยควรคำนงึ ถงึ ประเด็นเฉพาะต่อไปนี้ว่าจะมีผลกระทบต่อเจา้ ของข้อมูลหรอื ไม่
- ทำใหไ้ ม่สามารถใชส้ ิทธไิ ดต้ ามสมควร ทัง้ ที่เปน็ สทิ ธคิ วามเป็นส่วนตัว และสิทธิอ่ืนๆ
- ทำให้ไม่สามารถเข้าถงึ บริการ หรือเสียโอกาสบางอย่าง
- ทำใหไ้ ม่สามารถควบคมุ การใชง้ านขอ้ มลู สว่ นบคุ คลของตนได้
- ทำให้ถูกเลอื กปฏิบตั ิ
- ทำใหถ้ กู สวมรอยบคุ คล (identity theft) หรือหลอกลวงได้
- ทำใหเ้ กิดความเสียหายทางการเงนิ
- ทำให้เกดิ ความเสียหายแกช่ ่ือเสยี ง
- ทำให้เกดิ ความเสียหายแกร่ า่ งกาย
- ทำให้สูญเสยี ความลบั
- ทำให้ขอ้ มูลส่วนบคุ คลท่ผี ่านกระบวนการแฝงข้อมลู (pseudonymization) สามารถ
ระบตุ วั บุคคลได้
- ผลกระทบอืน่ ๆทางเศรษฐกิจและสงั คมทม่ี นี ัยสำคญั
E2.9 [Risk assessment] ในการประเมินความเสี่ยงควรจะไดป้ ระเมนิ กรณีท่ีจะเกิดเหตุการณท์ ี่
กระทบต่อความปลอดภัยทางสารสนเทศ โดยควรระบุถึง บ่อเกิดของความเสี่ยงต่างๆ และ
ความน่าจะเป็นที่จะเกิดเหตุการณ์และผลกระทบจากเหตุการณ์เหล่านั้น เช่น การเข้าถึง
ระบบโดยมิชอบ, การดดั แปลงหรือสญู เสียขอ้ มลู เป็นต้น
E2.10 [Mitigating measures] เมอื่ ผ้คู วบคุมข้อมูลได้ระบุความเสย่ี งตา่ งๆทม่ี ีและไดบ้ ันทึกพรอ้ ม
บอ่ เกิดของความเส่ยี งไวแ้ ล้ว ในขน้ั ตอนนีค้ วรจะได้ระบมุ าตรการเพ่ือลดความเส่ียงดงั กลา่ ว
โดยควรระบวุ า่ มาตรการดงั กลา่ วสามารถลดหรือกำจัดความเสย่ี งได้หรอื ไม่ อย่างไร ข้อดแี ละ
ข้อเสียของแตล่ ะมาตรการทเ่ี ลอื กใช้ และควรไดร้ ับคำปรกึ ษาจาก DPO ตัวอย่างเชน่
- การไมจ่ ดั เก็บขอ้ มูลบางประเภท
- การลดขอบเขตของการประมวลผลข้อมูล
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 229
- การลดระยะเวลาการจดั เก็บขอ้ มูล
- การเพม่ิ มาตรการทางเทคโนโลยีเพอื่ ความปลอดภัย
- การฝกึ อบรมบคุ ลากรใหส้ ามารถประเมนิ ความเสย่ี งและจดั การความเสีย่ งได้
- การแฝงข้อมลู หรือการทำให้ขอ้ มูลไม่สามารถระบุตวั บคุ คลได้
- การกำหนดแนวปฏบิ ตั ิภายในเพื่อลดความเสยี่ ง
- การเพ่มิ ขั้นตอนทด่ี ำเนินการโดยมนุษยเ์ พื่อทบทวนการประมวลผลด้วยระบบอัตโนมัติ
- การใช้เทคโนโลยที ี่แตกต่างกัน
- การจัดให้มีข้อตกลงการใชข้ ้อมูลรว่ มกนั (data sharing) ท่ชี ดั เจน
- การปรับปรงุ ข้อมลู แจง้ เตอื นเกี่ยวกับนโยบายการคุ้มครองขอ้ มูลส่วนบุคคล
- การจดั ใหม้ ชี ่องทางท่เี จา้ ของข้อมลู ส่วนบุคคลสามารถเลอื กที่จะไม่ใหค้ วามยนิ ยอม
- การจดั ใหม้ รี ะบบอำนวยความสะดวกแก่เจา้ ของข้อมูลสว่ นบคุ คลในการใชส้ ทิ ธขิ องเขา
E2.11 [Documentation and planning] ในขนั้ ตอนน้เี ป็นขนั้ ตอนสรุปการจดั ทำ DPIA โดยควร
จะต้องบันทึกรายละเอียดของแต่ละขั้นตอนที่ผ่านมาข้างต้น โดยไม่จำเป็นที่จะต้องกำจัด
ความเสี่ยงทั้งหมดที่มี แต่อาจจะระบุว่าความเสี่ยงบางกรณีอยู่ในระดับที่ยอมรับได้เมื่อ
เปรียบเทียบกับประโยชน์ที่ได้จากการประมวลผลและต้นทุนที่จะต้องจัดให้มีมาตรการ
เพิ่มเติม โดยควรปรึกษาหารือกับ DPO ว่าการดำเนินการตามแผนที่สรุปมาเป็นไปตาม
นโยบายการคมุ้ ครองข้อมูลส่วนบคุ คลหรอื ไม่ รวมถงึ
- แผนที่จะดำเนินมาตรการเพิ่มเติม
- ความเสยี่ งตา่ งๆได้รบั การจดั การให้ลดลงหรอื กำจัดใหห้ มดไปหรอื อยใู่ นระดบั ยอมรับได้
- ภาพรวมของความเสยี่ งท่ีเหลอื อยู่ (residual risk) ภายหลงั จากท่มี กี ารเพิ่มมาตรการ
ตา่ งๆ
- เหตุผลทีไ่ ม่ดำเนนิ การตามความเหน็ ของ DPO หรอื เจ้าของขอ้ มูลสว่ นบุคคล หรอื ท่ี
ปรึกษาอน่ื ๆ
- กรณที ี่มคี วามเสย่ี งสงู เหลอื อยู่ มีความจำเป็นที่จะต้องปรกึ ษาหารอื กบั สำนักงาน
ค้มุ ครองขอ้ มูลส่วนบุคคลก่อนที่จะสามารถดำเนนิ การตอ่ ไปได้
230 Thailand Data Protection Guidelines 3.0
E2.12 [Documentation and planning] ในขั้นตอนนี้ผู้ควบคมุ ขอ้ มูลจะต้องกำหนดให้ผลสรุป
ที่ไดจ้ าก DPIA เขา้ เปน็ สว่ นหน่ึงของแผนการดำเนินการตามโครงการที่พจิ ารณา โดยควรระบุ
เป็นแผนปฏบิ ตั กิ ารและผูร้ บั ผิดชอบในแตล่ ะกิจกรรมเพอ่ื ให้แผนสามารถดำเนินการได้อย่าง
บรรลผุ ล
E2.13 [Monitoring and review] เมื่อได้ดำเนินการผ่านขั้นตอนต่างๆข้างต้นมาแล้ว ในขั้นตอน
สุดทา้ ยนี้คือข้นั ตอนการตดิ ตามตรวจสอบและทบทวนการดำเนินการตามแผนและมาตรการ
ที่ได้จากการทำ DPIA ซึ่งบางกรณีอาจจำเป็นต้องทบทวนกระบวนการทั้งหมดใหม่อีกครั้ง
ก่อนที่จะสรุปผลการดำเนินการ และภายหลังจากการดำเนินการโครงการตามแผนแล้ว ก็
อาจจำเปน็ ต้องมกี ารทบทวน DPIA ใหม่หากมีการปรับปรุงเปล่ยี นแปลงการประมวลผลอยา่ ง
มีนัยสำคัญที่กระทบต่อ สภาพ (nature), ขอบเขต (scope), บริบท (context) และ
วตั ถุประสงค์ (purpose) ของการประมวลผล
E2.14 เอกสารบันทึกผลการจัดทำ DPIA ควรจะได้มกี ารเผยแพร่สู่สาธารณะเพ่ือความโปร่งใสและ
ตรวจสอบได้ ใน กรณีทอ่ี าจมผี ลกระทบตอ่ ข้อมูลความลับทางการค้าหรือข้อมูลอ่ืนใดท่ีอาจ
กระทบต่อความมั่นคงปลอดภัยหรือความเสี่ยงต่างๆ ผู้ควบคุมข้อมูลอาจดำเนินการโดย
ปกปดิ เฉพาะขอ้ มูลส่วนนน้ั หรือตดั ขอ้ มลู ส่วนนัน้ ออกจากการเผยแพรก่ ไ็ ด้
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย 231
ตวั อย่างแบบฟอร์มการทำ DPIA
ขัน้ ตอนที่ 1 [DPIA Identification] การระบุความจำเป็นในการทำ DPIA ตามประเภทของการประมวลผล
ข้อมูล หรอื โครงการท่จี ะมกี ารประมวลผลขอ้ มลู ทั้งท่เี ป็นโครงการใหมห่ รือท่มี กี ารปรบั ปรงุ เปลย่ี นแปลงการ
ประมวลผลขอ้ มูลที่มอี ยูเ่ ดมิ โดยระบุลกั ษณะทแ่ี สดงถงึ ความจำเปน็ รวมถึงแหลง่ อ้างอิงท่เี หมาะสม
จำเป็น อา้ งอิงตาม
ประกาศหรอื บญั ชรี ายชือ่ การประมวลผลขอ้ มลู ส่วนบุคคลของสำนกั งานคมุ้ ครองขอ้ มูลส่วนบคุ คล
ทจ่ี ำเป็นตอ้ งจดั ทำ DPIA
Thailand Data Protection Guidelines 2.0 สว่ นที่ E1
[บนั ทึกลักษณะท่จี ำเป็นตอ้ งจดั ทำ DPIA]
[Scoring]
[Automated-decision with legal effect]
[Systematic monitoring]
[Sensitive data]
[Large scale]
[Combining datasets]
[Vulnerable data subjects]
[Innovative use]
[Prevent data subjects’ right or access]
ไมจ่ ำเปน็ [บนั ทึกเหตุผลทีไ่ ม่จำเปน็ ต้องจัดทำ DPIA]
232 Thailand Data Protection Guidelines 3.0
ข้ันตอนที่ 2 [Description] อธิบายรายละเอยี ดของกระบวนการประมวลผลข้อมูลส่วนบุคคลอยา่ งน้อยตอ้ ง
ประกอบด้วย สภาพ (nature), ขอบเขต (scope), บรบิ ท (context) และวตั ถุประสงค์ (purpose) ของการ
ประมวลผล
2.1 [Nature] อธิบายสภาพของการประมวลผลขอ้ มลู โดยรวมถึงรายละเอียดตอ่ ไปน้ี
การเก็บรวมรวมขอ้ มูล
การจดั เกบ็ ข้อมลู
การใช้ข้อมูล
ผทู้ ่ีสามารถเข้าถึงขอ้ มูล
ผู้ทไ่ี ดร้ บั ขอ้ มูล
ผูป้ ระมวลผลข้อมลู
ระยะเวลาจัดเกบ็ ข้อมูล
มาตรการความปลอดภยั
เทคโนโลยใี หมท่ ี่ใชใ้ นการประมวลผลข้อมูล
กระบวนการแบบใหม่ท่ใี ชใ้ นประมวลผลข้อมูล
ปจั จัยท่ที ำให้มคี วามเส่ียงสงู ที่จะมีผลกระทบตอ่ สทิ ธเิ สรภี าพของบคุ คล
[บนั ทกึ รายละเอยี ดสภาพของการประมวลผลข้อมลู ]
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 233
2.2 [Scope] ระบุขอบเขตของการประมวลผลข้อมูล โดยรวมถึงรายละเอยี ดตอ่ ไปนี้
สภาพและลักษณะของขอ้ มลู ส่วนบคุ คล
ปรมิ าณและความหลากหลายของขอ้ มลู ส่วนบคุ คล
ความอ่อนไหวของขอ้ มูลสว่ นบคุ คล
ระดับและความถี่ของการประมวลผลข้อมูล
ระยะเวลาของการประมวลผลขอ้ มลู
จำนวนของเจา้ ของขอ้ มลู สว่ นบคุ คลท่เี กี่ยวขอ้ ง
พน้ื ทเ่ี ชงิ ภูมิศาสตร์ทกี่ ารประมวลผลขอ้ มูลครอบคลุมไปถึง
[บนั ทึกรายละเอยี ดขอบเขตของการประมวลผลข้อมลู ]
234 Thailand Data Protection Guidelines 3.0
2.3 [Context] อธบิ ายบริบทของการประมวลผลข้อมูล ทัง้ ปจั จยั ภายในและภายนอกทอ่ี าจส่งผลต่อความ
คาดหวังและผลกระทบของการประมวลผลข้อมูล โดยรวมถึงรายละเอยี ดต่อไปน้ี
แหลง่ ขอ้ มลู สว่ นบคุ คล
ลกั ษณะของความสัมพนั ธก์ ับเจ้าของขอ้ มลู ส่วนบคุ คล
ระดับความสามารถในการควบคมุ ข้อมูลสว่ นบคุ คลของเจา้ ของขอ้ มลู สว่ นบุคคล
ระดบั ความคาดหวังของเจา้ ของขอ้ มูลที่มตี ่อการประมวลผลขอ้ มูล
มีขอ้ มูลส่วนบคุ คลของผเู้ ยาวห์ รอื ผเู้ ปราะบางหรือไม่
ประสบการณท์ ่ผี ่านมาของการประมวลผลขอ้ มูลแบบเดียวกนั
ความกา้ วหน้าทางเทคโนโลยหี รือมาตรการความปลอดภยั ทางสารสนเทศทเ่ี กีย่ วข้อง
ประเดน็ ท่เี ป็นข้อวิตกกงั วลของสาธารณะ
มกี ารปฏบิ ัตติ ามมาตรฐานหรอื แนวปฏิบตั ิทเี่ กีย่ วข้องหรอื ไม่
[บันทึกรายละเอยี ดบรบิ ทของการประมวลผลขอ้ มูล]
ศูนย์วิจยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 235
2.4 [Purpose] อธิบายวตั ถุประสงค์ของการประมวลผลขอ้ มูล โดยรวมถงึ รายละเอียดตอ่ ไปน้ี
ผลลพั ธท์ ่ตี อ้ งการสำหรับผคู้ วบคมุ ข้อมลู
ฐานประโยชน์อนั ชอบธรรม (legitimate interest) (ถา้ มี)
ผลลพั ธ์ท่ีต้องการสำหรบั บุคคล
ประโยชน์ทค่ี าดว่าจะไดร้ บั สำหรบั ผู้ควบคุมขอ้ มลู หรือสงั คมโดยรวม
[บันทึกรายละเอยี ดวตั ถุประสงคข์ องการประมวลผลข้อมูล]
236 Thailand Data Protection Guidelines 3.0
ขน้ั ตอนท่ี 3 [Consultation] ระบุ เหตผุ ล, วธิ กี าร, และช่วงเวลาท่จี ะปรึกษาหารือและรบั ฟังความเหน็ รวมถงึ
กรณที ่จี ะไมป่ รึกษาหารือและรบั ฟงั ความเห็นดว้ ย อย่างน้อยจากผู้เกย่ี วขอ้ งต่อไปนี้
[Data subject] เจ้าของข้อมูลส่วนบคุ คล
[Data processor] ผปู้ ระมวลผลข้อมูลสว่ นบคุ คล
[Internal stakeholders] ผู้เกี่ยวข้องภายในองค์กร รวมถงึ เจ้าหนา้ ที่คุ้มครองขอ้ มูลส่วนบคุ คล (DPO)
[Independent experts] ผ้เู ชย่ี วชาญทางกฎหมายและผูเ้ ชี่ยวชาญดา้ นท่เี ก่ียวขอ้ งจากภายนอก
[Data Protection Agency] สำนักงานคณะกรรมการค้มุ ครองข้อมูลส่วนบคุ คล
อืน่ ๆ (โปรดระบุ)
[บนั ทกึ รายละเอียดการปรกึ ษาหารอื และรับฟังความเหน็ ]
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 237
ขน้ั ตอนที่ 4 [Necessity and proportionality] อธิบายความจำเป็นและความไดส้ ดั สว่ นของการประมวลผล
ขอ้ มลู โดยอาจระบุเนอื้ หาดังต่อไปน้ี
การประมวลผลขอ้ มูลสว่ นบคุ คลดงั กล่าวช่วยใหไ้ ด้ผลลัพธท์ ป่ี ระสงค์หรือไม่ อยา่ งไร
มชี อ่ งทางอน่ื หรอื ไมท่ ่สี ามารถดำเนินการได้ตามสมควรเพอ่ื ให้ได้ผลลัพธท์ ี่ประสงคเ์ ดียวกนั
ฐานในการประมวลผลข้อมลู ตามกฎหมาย
แนวทางปอ้ งกันไมใ่ หม้ กี ารประมวลผลข้อมลู ท่ีไม่เหมาะสม
แนวทางดำเนินการเพอื่ ประกนั คณุ ภาพของข้อมลู
แนวทางดำเนนิ การเพ่อื ประกันการจัดเกบ็ ข้อมลู เทา่ ทจ่ี ำเปน็ (data minimization) ทั้งในแงข่ อง
ประเภทข้อมูลและระยะเวลาการจัดเก็บขอ้ มูล
แนวทางการแจ้งขอ้ มูลการประมวลผลข้อมลู ท่ีเก่ยี วข้องแก่เจ้าของขอ้ มูล
แนวทางดำเนนิ การเพือ่ รองรับการใช้สิทธขิ องเจา้ ของข้อมูล
มาตรการเพ่อื ประกันการปฏบิ ตั ิตามขั้นตอนของผปู้ ระมวลผลขอ้ มูลสว่ นบุคคล
มาตรการคมุ้ ครองการสง่ ข้อมูลระหวา่ งประเทศ
[บนั ทึกรายละเอียดการพิจารณาความจำเปน็ และความได้สดั ส่วน]
238 Thailand Data Protection Guidelines 3.0
ข้นั ตอนท่ี 5 [Risk assessment] การประเมนิ ความเสีย่ งท่ีจะมีผลกระทบตอ่ สทิ ธเิ สรภี าพของบุคคล ทง้ั ใน
เชงิ ร่างกาย จิตใจ และทรพั ยส์ ิน โดยคำนงึ ถึง “ความนา่ จะเปน็ ” (likelihood) และ “ความร้ายแรง”
(severity) โดยแต่ละความเสยี่ งอยา่ งน้อยควรระบถุ งึ รายละเอยี ดตอ่ ไปน้ี
- บ่อเกดิ ของความเสยี่ งต่างๆ และความน่าจะเป็นท่ีจะเกิดเหตุการณ์และผลกระทบจากเหตุการณเ์ หลา่ นั้น
เช่น การเขา้ ถงึ ระบบโดยมิชอบ, การดดั แปลงหรอื สูญเสยี ขอ้ มลู เปน็ ตน้
- ผลกระทบจากกการประมวลผลขอ้ มูลดงั กลา่ วที่จะมีตอ่ เจา้ ของข้อมูลสว่ นบคุ คล ท้ังในเชงิ รา่ งกาย จติ ใจ
และทรัพยส์ ิน วา่ จะมีผลกระทบตอ่ เจา้ ของข้อมูลหรอื ไม่
- ความน่าเป็น (ต่ำ / พอสมควร / สงู )
- ความร้ายแรง (น้อย / พอสมควร / มาก)
- ผลการประเมนิ ความเส่ยี ง (ตำ่ / กลาง / สงู )
[บนั ทกึ รายละเอยี ดการประเมนิ ความเส่ยี ง]
บอ่ เกดิ ของ ผลกระทบ ความน่าเปน็ ความรา้ ยแรง ผลการ
ความเสยี่ ง (ต่ำ/ (น้อย/ ประเมนิ
ความเส่ยี ง
ความเสี่ยงท่ี (1) พอสมควร/สงู ) พอสมควร/ (ตำ่ /กลาง/
ความเสย่ี งที่ (2) มาก)
ความเสย่ี งท่ี (3) สงู )
ความเสี่ยงที่ (4)
ความเสี่ยงที่ (5) ตวั อยา่ งเชน่
- ทำให้ไมส่ ามารถใชส้ ทิ ธไิ ด้ตาม
สมควร ท้ังท่ีเปน็ สิทธคิ วามเป็น
ส่วนตวั และสทิ ธอิ ่ืนๆ
- ทำใหไ้ มส่ ามารถเข้าถงึ บริการ หรือ
เสียโอกาสบางอย่าง
- ทำให้ไมส่ ามารถควบคมุ การใชง้ าน
ขอ้ มูลส่วนบุคคลของตนได้
- ทำให้ถกู เลอื กปฏบิ ัติ
- ทำให้ถกู สวมรอยบุคคล (identity
theft) หรือหลอกลวงได้
- ทำให้เกิดความเสียหายทางการเงนิ
- ทำใหเ้ กิดความเสยี หายแก่ช่ือเสยี ง
ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลัย 239
- ทำใหเ้ กดิ ความเสยี หายแก่รา่ งกาย
- ทำให้สญู เสยี ความลบั
- ทำให้ข้อมูลสว่ นบุคคลทผี่ า่ น
กระบวนการแฝงขอ้ มลู
(pseudonymization) สามารถ
ระบุตวั บคุ คลได้
- ผลกระทบอน่ื ๆทางเศรษฐกิจและ
สังคมทีม่ นี ัยสำคัญ
ขน้ั ตอนท่ี 6 [Mitigating measures] ระบมุ าตรการเพือ่ ลดความเสยี่ งแต่ละรายการจากขั้นตอนที่ 5 โดยควร
ระบวุ า่ มาตรการดงั กล่าวสามารถลดหรือกำจัดความเสีย่ งไดห้ รือไม่ อย่างไร ข้อดีและข้อเสยี ของแต่ละ
มาตรการทเ่ี ลอื กใช้
[บนั ทึกรายละเอยี ดมาตรการเพ่ือลดความเสีย่ ง]
ความเสีย่ ง มาตรการทจ่ี ะดำเนินการ ผลตอ่ ความ ความเสย่ี งที่ ผลการ
เส่ียง เหลืออยู่ พจิ ารณา
(ต่ำ/กลาง/ (อนุมตั /ิ ไม่
(หมดไป/ สงู ) อนุมตั )ิ
ลดลง/ยอมรบั
ได้)
ความเสีย่ งท่ี (1) ตวั อยา่ งเชน่
ความเสี่ยงที่ (2) - การไมจ่ ดั เก็บข้อมลู บางประเภท
ความเสีย่ งท่ี (3) - การลดขอบเขตของการ
ความเสี่ยงท่ี (4)
ความเส่ียงท่ี (5) ประมวลผลข้อมูล
- การลดระยะเวลาการจัดเกบ็ ขอ้ มลู
- การเพิ่มมาตรการทางเทคโนโลยี
เพื่อความปลอดภัย
- การฝึกอบรมบุคลากรใหส้ ามารถ
ประเมินความเส่ยี งและจดั การ
ความเสี่ยงได้
- การแฝงขอ้ มลู หรอื การทำใหข้ ้อมลู
ไมส่ ามารถระบตุ วั บคุ คลได้
- การกำหนดแนวปฏิบตั ิภายในเพื่อ
ลดความเสยี่ ง
240 Thailand Data Protection Guidelines 3.0
- การเพิ่มข้นั ตอนท่ดี ำเนินการโดย
มนุษยเ์ พอื่ ทบทวนการประมวลผล
ดว้ ยระบบอัตโนมัติ
- การใชเ้ ทคโนโลยที ่ีแตกต่างกัน
- การจดั ให้มีขอ้ ตกลงการใช้ขอ้ มูล
ร่วมกนั (data sharing) ทีช่ ดั เจน
- การปรับปรงุ ขอ้ มลู แจ้งเตอื น
เกย่ี วกับนโยบายการคมุ้ ครอง
ข้อมลู สว่ นบคุ คล
- การจดั ใหม้ ีชอ่ งทางท่ีเจา้ ของข้อมลู
ส่วนบุคคลสามารถเลือกท่จี ะไมใ่ ห้
ความยินยอม
- การจดั ให้มรี ะบบอำนวยความ
สะดวกแก่เจา้ ของข้อมูลสว่ นบุคคล
ในการใช้สทิ ธิของเขา
ขั้นตอนที่ 7 [Documentation and planning] บนั ทกึ รายละเอยี ดของแตล่ ะขั้นตอนทผ่ี า่ นมาข้างตน้ โดย
ระบวุ า่ ความเสย่ี งบางกรณีอยใู่ นระดบั ทีย่ อมรบั ได้ โดยควรปรึกษาหารอื กบั DPO ว่าการดำเนินการตามแผน
ท่สี รปุ มาเปน็ ไปตามนโยบายการค้มุ ครองขอ้ มูลสว่ นบคุ คลหรอื ไม่
[บนั ทกึ รายละเอียดและแผนงาน]
ความเหน็ / คำสัง่ ผู้มีอำนาจ
ตดั สนิ ใจ /
วันท่ี
มาตรการทเี่ สนอดำเนินการ [เช่น ใหก้ ำหนดไวใ้ นแผนการดำเนนิ งานของ
(1) โครงการ
(2) ..................................................................................
(3) ต้ังแต่วนั ที่
...............................................................................
ผู้รับผดิ ชอบคอื
.......................................................................]
ศนู ย์วจิ ัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 241
ความเส่ียงทเ่ี หลอื อยู่ [เหน็ ดว้ ย / ไม่เหน็ ดว้ ย พรอ้ มเหตผุ ลประกอบ]
(1)
(2)
(3)
ความเหน็ ของ DPO
ผลจากการปรึกษาหารือและรบั ฟัง [เห็นด้วย / ไมเ่ ห็นดว้ ย พรอ้ มเหตุผลประกอบ]
ความเห็น
ขั้นตอนท่ี 8 [Monitoring and ใหต้ ดิ ตามตรวจสอบโดย
review] - DPO หรอื หน่วยงาน..................................................
การติดตามตรวจสอบและทบทวน - ผู้รบั ผิดชอบโครงการหรือการประมวลผลข้อมลู ตาม
ตาม DPIA ฉบับนี้
DPIA นม้ี หี นา้ ทร่ี ายงาน DPO หรือหนว่ ยงาน
การเผยแพรเ่ อกสาร DPIA ฉบับนี้ ................................................................................
เมื่อมีการปรบั ปรงุ เปลี่ยนแปลงการประมวลผล
ใหเ้ ผยแพร่ทาง
........................................................................
โดยปกปิดเฉพาะขอ้ มลู
...........................................................
242 Thailand Data Protection Guidelines 3.0
F. แนวปฏบิ ตั ิเกยี่ วกบั การโอนขอ้ มูลสว่ นบคุ คลไปยัง
ตา่ งประเทศหรือองค์การระหว่างประเทศ
(Guideline on Cross-border Data Transfer)
ผู้ควบคุมข้อมลู ส่วนบุคคลท่ตี กอยู่ในบงั คับของพระราชบญั ญัติคุม้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ.
2562 อาจมีความจำเป็นจะต้องส่งหรอื โอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองคก์ ารระหวา่ ง
ประเทศที่รับข้อมูลส่วนบุคคลเพ่ือประกอบกิจการหรอื ดำเนินธุรกจิ ของตน ตัวอย่างเช่น ผู้ควบคุม
ข้อมูลส่วนบุคคลมีความประสงค์ที่จะโอนข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมในประเทศไทยไปยัง
บริษัทในเครอื ซ่งึ ตั้งอยู่ในประเทศญ่ีปนุ่ และประเทศเมยี นมา
ผ้คู วบคมุ ข้อมลู บรษิ ัทในเครอื ซ่งึ
ส่วนบคุ คลใน ต้ังอยูใ่ นประเทศ
ประเทศไทย
ญีป่ นุ่
บริษัทในเครือซง่ึ
ตัง้ อยู่ในประเทศ
เมยี นมา
ตามพระราชบัญญัตคิ ุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การส่งหรือโอนข้อมูลส่วนบุคคล
ดังกลา่ วจะต้องเป็นไปตามหลักเกณฑ์และเง่ือนไขทีก่ ฎหมายกำหนด ซงึ่ มปี ระเดน็ ที่จะต้องพิจารณา
ดังต่อไปนี้
ลำดบั การพจิ ารณา รายละเอียด
1. [Transfer or Transit] เป็นการสง่ • ถ้าไม่เป็นการส่งข้อมูลไปยังต่างประเทศหรือองค์การระหว่าง
หรอื โอนขอ้ มลู สว่ นบคุ คลไปยัง ประเทศก็สามารถดำเนินการโดยโดยไม่ต้องปฏิบัติตาม
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 243
ลำดับการพจิ ารณา รายละเอียด
ตา่ งประเทศหรอื องค์การระหว่าง หลักเกณฑ์และเงื่อนไขที่กำหนดในมาตรา 28 และมาตรา 29
ประเทศตามพระราชบญั ญัตคิ ุม้ ครอง ของพระราชบัญญัติคมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562
ขอ้ มูลสว่ นบุคคล พ.ศ.2562 หรือไม่ • ถ้าเป็นกรณีที่ตกอยู่ในบังคับของกฎหมายให้พิจารณา ข้อ 2.
ต่อไป
2. กรณีทต่ี อ้ งสง่ หรือโอนขอ้ มูลไปยงั ต่างประเทศ
2.1 [Adequacy Decision] ประเทศ • ถ้าประเทศปลายทางหรือองค์การระหวา่ งประเทศท่ีรบั ขอ้ มูลสว่ น
ปลายทางหรอื องคก์ ารระหวา่ ง บคุ คลมมี าตรฐานคุ้มข้อมูลส่วนบุคคลท่ีเพยี งพอ ผู้ควบคุมข้อมูล
ประเทศที่รับข้อมูลส่วนบุคคลมี ส่วนบคุ คลสามารถโอนขอ้ มลู สว่ นบุคคลได้
มาตรฐานคุ้มข้อมูลส่วนบุคคลที่
เพียงพอหรอื ไม่ • ถ้าไม่ปรากฏว่ามีมาตรฐานคุ้มข้อมูลส่วนบุคคลที่เพียงพอ ผู้
ควบคุมข้อมูลส่วนบุคคลยงั ไมส่ ามารถโอนขอ้ มลู ส่วนบุคคได้ และ
จะต้องพจิ ารณา ข้อ 3. ตอ่ ไป
2.2 [Derogations] เปน็ กรณีทไ่ี ดร้ ับการ • ถ้าเป็นกรณีที่เข้าข้อยกเว้นตามกฎหมาย ผู้ควบคุมข้อมูลส่วน
ยกเวน้ ตามกฎหมายใหส้ ่งหรอื โอนได้ บุคคลสามารถโอนข้อมูลส่วนบุคคลได้แม้ว่าประเทศปลายทาง
แม้ว่าประเทศปลายทางหรือองคก์ าร ห รืออง ค ์การร ะห ว ่าง ป ร ะเท ศ ท ี่ ร ับ ข ้ อมู ลส่ วนบ ุค ค ลจ ะ ไ ม ่ มี
ระหวา่ งประเทศทรี่ บั ข้อมูลส่วนบคุ คล มาตรฐานคมุ้ ขอ้ มลู ส่วนบุคคลทเ่ี พยี งพอ
จะไมม่ มี าตรฐานค้มุ ข้อมูลส่วนบุคคลที่
เพยี งพอหรอื ไม่ • ถ้าไม่สามารถปรับใช้ข้อยกเว้นตามกฎหมายได้ ผู้ควบคุมข้อมูล
ส่วนบุคคลยังไม่สามารถโอนข้อมูลส่วนบุคคได้ และจะต้อง
พจิ ารณา ข้อ 4. ตอ่ ไป
2.3 [Appropriate Safeguards] มี • มีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอน
นโยบายในการคุ้มครองขอ้ มลู สว่ น ข้อมูลส่วนบคุ คลทีไ่ ด้รับการตรวจสอบและรับรองจากสำนักงาน
บุคคลเพอื่ การส่งหรือโอนข้อมลู สว่ น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วน
บุคคลทไ่ี ดร้ บั การตรวจสอบและ บุคคลสามารถโอนข้อมูลส่วนบุคคลได้แม้ว่าประเทศปลายทาง
รบั รองจากสำนกั งานคณะกรรมการ หรือองค์การระหว ่างป ระเทศ ที่ รับข้ อมู ลส่ วนบ ุคค ลจ ะไ ม ่ มี
คมุ้ ครองข้อมูลสว่ นบุคคลหรอื ไม่ มาตรฐานคมุ้ ขอ้ มลู ส่วนบคุ คลทีเ่ พียงพอ
• ถ้าไม่ปรากฏนโยบายดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลไม่
สามารถโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางหรือ
องค์การระหว่างประเทศทรี่ ับข้อมลู ได้
244 Thailand Data Protection Guidelines 3.0
F1. การสง่ หรอื โอนข้อมูลส่วนบุคคลไปยงั ตา่ งประเทศปลายทางหรอื องคก์ ารระหว่างประเทศ
ตามพระราชบัญญัติค้มุ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562
(Transfer or Transit)
พระราชบญั ญัตคิ มุ้ ครองข้อมูลสว่ นบุคคล พ.ศ.2562 มวี ัตถุประสงคท์ ่ีจะคุ้มครองข้อมูลส่วน
บุคคลที่จะมีการ “ส่ง” หรือ “โอน” ไปยังต่างประเทศหรือองค์การระหว่างประเทศ โดยกำหนด
เงื่อนไขว่าประเทศปลายทางหรือองค์การระหว่างประเทศนั้นจะต้องมมี าตรฐานการคุ้มครองข้อมูล
สว่ นบคุ คลทเ่ี พียงพอ อย่างไรก็ตามพระราชบัญญตั ิคมุ้ ครองขอ้ มูลสว่ นบุคคล พ.ศ.2562 ไม่ไดก้ ำหนด
บทนิยามของการสง่ หรือโอนข้อมูลส่วนบุคคลจึงต้องพิจารณาว่าการสง่ หรอื โอนขอ้ มูลส่วนบุคคลใน
กรณใี ดทจ่ี ะตกอยใู่ นบงั คบั ของกฎหมาย (หรอื อาจเรียกได้ว่าเป็น “restricted transfer”)
โดยหลักการแลว้ “การสง่ หรอื โอน” (transfer) ไมใ่ ชส่ ิ่งเดียวกันกับ “การสง่ ผา่ น” (transit)
จงึ ต้องเขา้ ใจดว้ ยวา่ การสื่อสารข้อมลู ที่เพียงแคเ่ ดินทางผา่ นประเทศทส่ี ามไม่ได้ทำให้เป็นการส่งหรือ
โอนท่ีตอ้ งมีการคมุ้ ครองข้อมูลส่วนบุคคลตามความหมายน้ี เวน้ แตจ่ ะมีการประมวลผลข้อมูลอย่างมี
นยั สำคญั ณ ประเทศทสี่ ามน้ัน 238
F1.1 [Transfer] กรณีเป็นการส่งหรือโอนข้อมูลบุคคลไปยงั ต่างประเทศหรือองค์การระหว่าง
ประเทศ ในทางทฤษฎี ข้อมูลที่ถูกส่งหรือโอนผ่านทางอินเทอร์เน็ตไปยังต่างประเทศนั้นจะ
เกดิ ขึ้นในลักษณะของการส่งหน่วยยอ่ ยของข้อมลู (data packets) ไปยงั ประเทศปลายทาง
โดยผ่านเครือขา่ ยอินเทอร์เน็ต การส่งขอ้ มูลผา่ นทางเครอื ขา่ ยอนิ เทอร์เน็ตนั้นจะเริ่มต้นจาก
การที่ข้อมูลในประเทศผู้สง่ นัน้ ถูกแปลงให้กลายเป็นหน่วยย่อย (packets) (ในลักษณะของ
การบรรจุสนิ ค้าลงกล่องโดยระบุหมายเลขท่ีใช้สำหรับระบุตวั ตนของเครือ่ งคอมพิวเตอร์ (IP
address) ของผู้สง่ ) เพื่อกระบวนการดังกล่าวเสร็จสนิ้ หนว่ ยยอ่ ยของขอ้ มลู ดังกล่าวจะถูกส่ง
จากเครื่องคอมพิวเตอร์ไปยังเครื่องคอมพิวเตอร์ของผู้รับโดยผ่านเครือข่ายต่าง ๆ ซึ่งจะ
แสดงผลโดยประกอบ (assemble) หน่วยย่อยของข้อมูลในรูปแบบที่ถูกจัดเรียงเอาไว้ก่อน
หนา้ นี้ (pre-specified sequence) 239
238 PETER CAREY, DATA PROTECTION: A PRACTICAL GUIDE TO UK AND EU LAW 108 (5 ed. 2018)
239 Francesca Casalini and Javier López González, ‘Trade and Cross-Border Data Flows’ (OECD,
January 2019) <https://www.oecd-ilibrary.org/docserver/b2023a47-en.pdf?expires=1567943331&
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 245
ในกรณขี องการส่งข้อมลู ส่วนบุคคลผ่านทางอเี มลกรณสี ามารถอธบิ ายได้เช่น ผคู้ วบคมุ ข้อมูล
ส่วนบุคคลในประเทศไทยเก็บรวบรวมข้อมูลส่วนบุคคลของพนักงานและมีความประสงค์ที่จะส่ง
ข้อมูลดังกล่าวไปยังบริษัทแม่ที่ตั้งอยู่ที่ประเทศสหรัฐอเมริกา การส่งข้อมูลส่วนบุคคลดังกล่าวจะ
เริ่มต้นจากการที่ข้อมูลถูกแปลงให้กลายเป็นหน่วยย่อย และถูกส่งจากเครื่องคอมพิวเตอร์ของผู้ส่ง
โดยผ่านเครื่องคอมพิวเตอร์แม่ข่าย (Server) ที่ทำหน้าที่ใหบ้ ริการรับหรอื ส่ง และจัดเก็บอีเมลของ
บุคคลหรือองค์กร (mail server) ไปยังเครือ่ งคอมพิวเตอร์ของผู้รับ
บรษิ ทั ลูกในไทย อินเดีย บรษิ ัทแม่ในสหรัฐอเมริกา
ผรู้ บั ขอ้ มูล
ผู้ควบคมุ ข้อมูลสง่ ขอ้ มลู เครื่องคอมพวิ เตอรแ์ ม่ข่าย
สว่ นบุคคลทางอีเมล์ (Server)
กรณตี ามตวั อย่างข้างตน้ ถือเป็นการสง่ หรือโอนข้อมูลสว่ นบคุ คลไปยังต่างประเทศ เน่อื งจาก
ผู้รับข้อมูลซึ่งตั้งอยู่ต่างประเทศนั้นสามารถเข้าถึงข้อมูลส่วนบุคคลที่ส่งผ่านอีเมลและเครือข่าย
อินเทอรเ์ น็ตได้ ทั้งนี้ แม้วา่ จะเป็นการส่งและรับขอ้ มูลของบรษิ ทั ในเครอื ธรุ กจิ เดียวก็ตาม นอกจากนี้
การเข้าถึงข้อมูลส่วนบคุ คลของบคุ คลที่อยู่ต่างประเทศโดยวิธีการเขา้ ถึงทางไกล (remote access)
กม็ ลี ักษณะเดยี วกันเพียงแตเ่ ปล่ยี นเครื่องมือและวิธกี ารในการสง่ ขอ้ มูลจากอีเมลเป็นการใช้วิธีเข้าถึง
อย่างอื่น จงึ ถอื เป็นการส่งหรอื โอนข้อมูลสว่ นบุคคลไปยงั ต่างประเทศเช่นกัน
ข้อพจิ ารณาทส่ี ำคญั ก็คอื การที่ผู้รับข้อมลู ไมใ่ ช่นิตบิ คุ คลเดยี วกันกับผคู้ วบคมุ ขอ้ มลู และผรู้ ับ
ไม่ได้อยู่ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบคุ คล พ.ศ.2562 ทำให้ข้อมูลส่วนบุคคลที่ได้รบั
การคุ้มครองตามกฎหมาย (material scope) ไดร้ ับการกระทบกระเทือนเพราะถูกสง่ ออกนอกพ้ืนท่ี
ที่กฎหมายสามารถบังคับใช้ได้ (territorial scope) จึงต้องมีการดำเนินการคุ้มครองในกรณีการสง่
หรอื โอนข้อมูลไปยังผรู้ ับในต่างประเทศ
id=id&accname=guest&checksum=FF39F6FE0B3372F9BB730B964 D8ECCF9> accessed 8 September
2019, 9.
246 Thailand Data Protection Guidelines 3.0
F1.2 [Transit] กรณที ีไ่ มเ่ ปน็ การสง่ หรือโอนข้อมูลบุคคลไปยงั ตา่ งประเทศ
ตามท่ีไดอ้ ธิบายในหัวข้อ 1.1 การส่งหรือโอนข้อมูลส่วนบคุ คลไปยังต่างประเทศในกรณีของ
การสง่ อเี มลหรอื วธิ ีการเขา้ ถงึ ทางไกลแบบอนื่ น้ันจะเป็นกรณีที่ข้อมูลส่วนบคุ คลท่ีถูกเก็บรวบรวมใน
ประเทศไทยนั้นถูกแปลงเป็นหน่วยย่อยและถูกส่งไปเพื่อแสดงผลบนอุปกรณ์ (เช่นเครื่อง
คอมพิวเตอร์) ของผู้รับข้อมูล จากลักษณะของการส่งหรือโอนข้อมูลข้างต้น การส่งหรือโอนข้อมูล
สว่ นบคุ คลโดยผูค้ วบคมุ ขอ้ มลู ทีอ่ ยู่ในประเทศไทยโดยทางอีเมลไปยงั ผู้รบั โอนข้อมลู ซ่งึ อยู่ในประเทศ
ไทยน้ันยอ่ มไมม่ ลี กั ษณะเป็นการส่งหรือโอนข้อมูลบุคคลไปยังต่างประเทศตามกฎหมาย แม้ว่าข้อมูล
สว่ นบคุ คลจากเดนิ ทางผ่านเครอ่ื งคอมพวิ เตอร์แม่ข่าย (Server) ซ่ึงตัง้ อยู่ตา่ งประเทศ เนือ่ งจากไม่ได้
มีการแสดงผลหรอื เขา้ ถงึ ข้อมูลสว่ นบุคคลในประเทศที่เคร่ืองคอมพิวเตอรแ์ มข่ า่ ย (Server) ตัง้ อยู่
บรษิ ัทในไทย อินเดยี บริษทั ในไทย
ผรู้ บั ข้อมลู
ผูค้ วบคุมขอ้ มลู สง่ ข้อมลู เครื่องคอมพิวเตอร์แม่ข่าย
ส่วนบคุ คลทางอีเมล์ (Server)
จะเห็นได้ว่าการส่งอีเมลในกรณีนี้ ข้อมูลส่วนบุคคลนั้นจะเดินทางผ่านเครื่องเครื่อง
คอมพิวเตอร์แม่ข่าย (Server) ที่ประเทศอินเดียเพื่อแสดงผลในประเทศไทย ซึ่งอาจเรียกได้ว่า
ประเทศอินเดยี เปน็ เพยี งประเทศทางผา่ น (transit) ของขอ้ มูลเท่านั้น ดังน้นั การสง่ อเี มลในกรณีนี้
จึงไม่ใชก่ ารส่งหรือโอนขอ้ มูลส่วนบุคคลไปยงั ตา่ งประเทศ
ในกรณีการเข้าถึงข้อมูลทางไกล (remote access) โดยที่ผู้ควบคุมข้อมูลเข้าถึงข้อมูลส่วน
บุคคลของตนเองจากต่างประเทศจะถือเป็นการส่งข้อมูลไปยังต่างประเทศหรือไม่ เช่น กรณีท่ี
พนักงานของบริษัทผู้ควบคุมเดินทางไปต่างประเทศและเปิดอีเมลของตนเองซึ่งมีไฟล์ข้อมูลส่วน
บุคคลท่ถี กู เก็บรวมรวมในประเทศไทย กรณนี ีไ้ มถ่ ือว่าเป็นการเขา้ ถึงข้อมูลส่วนบคุ คลในต่างประเทศ
ตราบเท่าที่พนักงานคนนั้นได้ปฏิบัติงานของผู้ควบคุมข้อมูลและดำเนินการตามมาตรฐานและวิธี
ปฏบิ ัตเิ พ่อื การคุ้มครองข้อมลู ส่วนบุคคลของผคู้ วบคุมขอ้ มลู กรณนี ีก้ ารเดนิ ทางไปยงั ตา่ งประเทศของ
พนกั งานจึงเปน็ เพียงทางผ่าน (transit) ของข้อมูลเท่านั้น การเขา้ ถงึ ขอ้ มูลสว่ นบคุ คลดังกล่าวเป็น
ศูนย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลัย 247
การเข้าถึงข้อมูลในลักษณะการดำเนินการตามปกติขององค์กรธุรกิจ กล่าวคือไม่ได้เป็นกรณีท่ี
บุคคลภายนอกเขา้ ถงึ ขอ้ มลู สว่ นบุคคล
บริษทั ในไทย อนิ เดีย พนักงานของบรษิ ัทเดินทางไป
ต่างประเทศ
ผู้ควบคมุ ข้อมูลส่งขอ้ มูล เครือ่ งคอมพวิ เตอร์แมข่ า่ ย
ส่วนบคุ คลทางอเี มล์ (Server) ผูร้ ับขอ้ มลู
ขอ้ พิจารณาที่สำคญั ก็คือ การทผ่ี ู้รบั ขอ้ มูลเปน็ นิตบิ คุ คลเดยี วกันกับผู้ควบคมุ ขอ้ มลู และผู้รับ
ยังคงอยูภ่ ายใต้พระราชบัญญัติคุ้มครองขอ้ มูลส่วนบุคคล พ.ศ.2562 ทำให้ข้อมูลส่วนบคุ คลทีไ่ ด้รบั
การคุ้มครองตามกฎหมาย (material scope) ไม่ได้รับการกระทบกระเทือนจากการส่งออกนอก
พนื้ ทที่ ี่กฎหมายสามารถบังคบั ใชไ้ ด้ (territorial scope) จึงไมใ่ ช่กรณีส่งข้อมูลออกไปยังตา่ งประเทศ
ทีต่ อ้ งดำเนนิ การอะไรเพิม่ เติมอกี
248 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: