ตารางระบภุ ัยคกุ คาม
ระบบเครอื ขา่ ย ฮาร์ดแวร์และซอฟตแ์ วร์ สถานะ
1 มกี ิจกรรมการประมวลผลใดทด่ี ำเนนิ การผ่านอนิ เทอร์เน็ตหรือไม่ มี
ตัวอย่าง ไมม่ ี
▪ ร้านค้ามกี ารเสนอขายสนิ ค้าผ่านชอ่ งทางออนไลน์
▪ เว็บไซตม์ กี ารเผยแพรข่ ่าวสารให้กบั ลูกค้าท่ีลงทะเบียนผา่ นชอ่ งทาง มี
อีเมล ไมม่ ี
2 เป็นไปได้หรือไม่ที่จะสามารถเขา้ ถงึ ระบบภายในองค์กรผ่านอินเทอรเ์ น็ต
ตวั อยา่ ง มี
▪ บริษัทประกันอนุญาตให้ผู้จัดการสามารถเข้าถึงไฟล์ของลูกค้าจาก ไมม่ ี
ระยะไกลได้ (Remote Access)
▪ บริษัทที่ปรึกษาอนุญาตให้พนักงานสามารถจัดการการลาผ่าน มี
อินเทอรเ์ น็ต ไมม่ ี
▪ บริษัทจัดเตรียมช่องทางการเข้าถึงจากระยะไกลเพื่อให้ผู้ใหบ้ ริการ
ภายนอกสามารถเขา้ มาบำรงุ รกั ษาระบบสารสนเทศ มี
ไม่มี
3 ระบบสารสนเทศที่มีการประมวลผลข้อมลู ส่วนบคุ คลมีการเชอื่ มตอ่ ขอ้ มูล
(ทง้ั ภายในและภายนอก) กบั ระบบสารสนเทศหรือบรกิ ารอืน่ หรอื ไม่
ตัวอย่าง
▪ ร้านขายหนังสือออนไลน์มีการเชื่อมต่อไปยังระบบรับชำระเงิน
ออนไลน์
▪ ระบบสารสนเทศของคลินิกขนาดเล็กมกี ารเช่อื มตอ่ ระบบไปยงั ระบบ
ประกันสุขภาพของบริษทั ประกัน
4 บุคคลท่ไี ม่มสี ิทธิสามารถเขา้ ถึงกิจกรรมการประมวลผลได้หรอื ไม่
ตัวอยา่ ง
▪ องค์กรไม่สามารถแยกห้องสำหรับผู้ดูแลระบบสารสนเทศได้
เน่อื งจากเป็นองค์กรขนาดเล็ก
▪ องค์กรขนาดเล็กมีการว่าจ้างบริษัทในการจัดเก็บสือ่ บันทกึ ข้อมูลไว้
นอกสถานท่ี อย่างไรก็ตามบรษิ ทั ยงั ไมท่ ราบถงึ มาตรการรักษาความ
ม่ันคงปลอดภยั ของผใู้ หบ้ ริการรายนี้
5 การออกแบบ พฒั นา และบำรุงรักษา ระบบทีใ่ ชใ้ นการประมวลผลขอ้ มลู
สว่ นบุคคล ไดด้ ำเนินการตามแนวทางปฏิบตั ทิ ีด่ ีหรือไม่
ตวั อยา่ ง
ศูนยว์ จิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 549
ระบบเครือข่าย ฮารด์ แวร์และซอฟต์แวร์ สถานะ
▪ การออกแบบระบบสารสนเทศแต่ละครั้งจะเป็นลักษณะเฉพาะกิจ
ขน้ึ อยกู่ บั ทักษะของผู้ดแู ลระบบ
กระบวนการหรอื ข้นั ตอนท่เี กีย่ วขอ้ งกบั กิจกรรมการประมวลผลข้อมลู ส่วนบุคคล
6 มกี ารกำหนดหน้าทค่ี วามรบั ผดิ ชอบในการประมวลผลทีช่ ัดเจนหรือไม่ มี
ตัวอยา่ ง ไม่มี
▪ เลขานุการของฝา่ ยการเงินไดร้ บั สิทธริ ะดบั เดียวกับผู้จดั การของฝ่าย
การเงิน นอกจากการป้อนข้อมูลเข้าสู่ระบบ ยังสามารถแก้ไข และ
ลบข้อมูลได้
7 มีการกำหนดเง่ือนไขในการใชง้ านระบบเครือขา่ ย และระบบสารสนเทศไว้ มี
อย่างชัดเจนหรือไม่ ไม่มี
ตัวอย่าง
▪ บริษัทไม่มีข้อห้ามพนักงานของบริษัทในการใช้งานบัญชีอีเมลของ
บริษทั จึงอาจมีการนำไปใช้เพ่อื วตั ถุประสงคส์ ว่ นตัว
8 อนุญาตใหพ้ นกั งานนำอปุ กรณ์ส่วนตวั มาใช้ในการเชอื่ มตอ่ และ มี
ประมวลผลข้อมูลส่วนบคุ คลหรือไม่ ไมม่ ี
ตวั อย่าง
▪ พนักงานสามารถใชแ้ ท็บเลต็ ส่วนตัวในการเข้าถึงระบบสารสนเทศ
ของบริษัทได้
▪ บริษทั อนุญาตให้พนกั งานสามารถนำซอฟตแ์ วร์สำหรับกิจกรรมการ
ประมวลผลข้อมูลส่วนบุคคลของลูกค้ามาติดตั้งในเครื่อง
คอมพิวเตอรส์ ว่ นบุคคลของพนกั งานได้
9 พนักงานไดร้ ับอนญุ าตใหจ้ ดั เกบ็ รบั ส่งข้อมลู สว่ นบุคคลจากภายนอก มี
องคก์ รหรือไม่ ไมม่ ี
ตวั อย่าง
▪ บริษทั ธุรกจิ นำเทีย่ วอนุญาตให้พนกั งานใช้เคร่ืองคอมพิวเตอร์ส่วน
บคุ คลในการประมวลผลข้อมูลลกู คา้ ทใี่ ชบ้ ริการของบรษิ ัท
▪ บริษัทขนส่งพัสดุอนุญาตให้พนักงานสง่ สินค้าสามารถใชแ้ ท็บเล็ต
สว่ นตวั ในการตรวจสอบขอ้ มลู ของผ้รู ับสนิ คา้
10 มีกิจกรรมการประมวลผลทไ่ี มม่ ีการบนั ทึกข้อมลู เหตกุ ารณ์ (Log) หรือไม่ มี
ตวั อย่าง ไม่มี
▪ บรษิ ทั ไมม่ รี ายชือ่ ของบคุ คลท่ีเขา้ ถึงหอ้ งคอมพิวเตอร์ของบรษิ ทั
▪ บริษัทไม่มีการกำหนดนโยบายในการติดตามเฝ้าระวังเหตุการณ์
และไมม่ ีการกำหนดขัน้ ตอนในการตอบสนองตอ่ เหตุการณ์
550 Thailand Data Protection Guidelines 3.0
ระบบเครอื ข่าย ฮาร์ดแวรแ์ ละซอฟตแ์ วร์ สถานะ
บคุ คลทีเ่ ก่ียวข้องในกิจกรรมการประมวลผลข้อมลู สว่ นบคุ คล มี
ไมม่ ี
11 สามารถระบุจำนวนพนกั งานท่ีเก่ียวขอ้ งกับกจิ กรรมการประมวลผลข้อมูล
ส่วนบุคคลอยา่ งชัดเจนหรือไม่ มี
ตวั อย่าง ไมม่ ี
▪ เจ้าหน้าที่เลขานกุ ารของคลนิ กิ สามารถเขา้ ถึงขอ้ มูลการรักษาของ
ผ้ปู ว่ ยในคลีนคิ แห่งน้ันได้ทัง้ หมด มี
ไมม่ ี
12 มีกจิ กรรมการประมวลผลขอ้ มลู ส่วนบุคคลโดยหนว่ ยงานภายนอกหรอื ไม่
ตัวอย่าง มี
▪ โรงเรียนเอกชนใช้บริการศูนยค์ อมพวิ เตอร์จากผใู้ หบ้ รกิ ารภายนอก ไม่มี
▪ คลินิกวา่ จ้างผใู้ หบ้ รกิ ารในการทำลายไฟล์ข้อมูลเอกสารของผู้ป่วย
ทั้งหมด มี
ไม่มี
13 นโยบายหรอื ขอ้ กำหนดเกีย่ วกับการประมวลผลขอ้ มูลส่วนบุคคลมคี วาม
ชัดเจนหรือไม่ มี
ตวั อย่าง ไมม่ ี
▪ บริษัทไม่มีการสื่อสารให้พนักงานทราบถึงข้อห้ามในการเปิดเผย
ขอ้ มลู ท่ีจดั อย่ใู นระดับชัน้ ความลบั ให้กับผู้ที่ไมม่ ีสทิ ธิ
14 บุคลากรท่ีเกยี่ วข้องกบั การประมวลผลขอ้ มลู ส่วนบคุ คลมคี วามรู้ ความ
เข้าใจเกยี่ วกับความมน่ั คงปลอดภยั สารสนเทศหรือไม่
ตัวอยา่ ง
▪ พนกั งานคอลเซน็ เตอร์ของบริษัทยังไมท่ ราบถงึ ภยั คุกคามเกี่ยวกับ
การหลอกลวงเพือ่ เข้าถงึ ขอ้ มูลส่วนบุคคล และ Phishing เปน็ ต้น
15 บคุ ลากรทเ่ี กี่ยวข้องกับการประมวลผลข้อมูลสว่ นบคุ คลละเลยในการ
จัดเกบ็ หรือทำลายข้อมูลสว่ นบคุ คลอยา่ งปลอดภยั หรือไม่
ตัวอยา่ ง
▪ ฝ่ายทรพั ยากรบุคคลไม่ไดเ้ กบ็ เอกสารขอ้ มลู พนักงานไวใ้ นตเู้ อกสารที่
มกี ุญแจล็อค
▪ บริษัทนำเอกสารทมี่ ขี อ้ มูลสว่ นบุคคลของลกู คา้ มาใช้ซำ้
ประเภทของกิจการและขนาดของการประมวลผลข้อมลู สว่ นบุคคล
16 ภาคธรุ กิจของทา่ นอยใู่ นกล่มุ เสีย่ งท่จี ะถูกโจมตีทางไซเบอรห์ รือไม่
ตวั อยา่ ง
▪ บริษัททท่ี ำธุรกจิ ในลักษณะเดียวกันถูกโจมตีทางไซเบอรห์ ลายบริษัท
ในชว่ งปีท่ผี ่านมา
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 551
ระบบเครอื ข่าย ฮาร์ดแวร์และซอฟตแ์ วร์ สถานะ
17 องคก์ รของทา่ นไดร้ บั ผลกระทบจากการโจมตีทางไซเบอร์ หรือเหตุการณ์ มี
ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศอ่ืนๆ หรือไม่ในรอบ 2 ปีทีผ่ ่าน ไม่มี
มา
ตัวอย่าง
▪ ฝ่ายเทคโนโลยีสารสนเทศเฝ้าระวังเหตุการณ์ด้านความมั่นคง
ปลอดภัยและพบความพยายามในการเข้าถึงฐานข้อมูลของบริษัท
จากภายนอก
▪ สื่อบนั ทกึ ขอ้ มลู ซึง่ เป็นสือ่ บันทึกข้อมลู ที่มีข้อมูลส่วนบคุ คลของลูกคา้
สญู หาย
18 ทา่ นได้รับการแจ้งหรือรอ้ งเรยี นเก่ยี วกบั ความมั่นคงปลอดภยั ของระบบ มี
สารสนเทศท่ใี ชใ้ นการประมวลผลขอ้ มูลส่วนบุคคลในปีท่ีผา่ นมาหรอื ไม่ ไมม่ ี
ตวั อย่าง
▪ ลูกค้าที่เข้ามาซื้อสินค้าออนไลน์ผ่านเว็บไซต์ของบริษัทแจ้งว่า พบ
โดยบงั เอญิ ว่าเขาสามารถเข้าถึงขอ้ มลู ของลูกค้ารายอ่ืนได้
▪ ผู้ตรวจสอบจากภายนอกใหข้ ้อเสนอแนะใหป้ รับปรุงนโยบายการต้งั
รหสั ผา่ นของบริษทั ใหม้ ีความปลอดภยั มากยิ่งข้ึน
19 องค์กรของท่านมกี ารประมวลผลขอ้ มลู ส่วนบุคคลเปน็ ปรมิ าณมากหรือไม่ มี
ตัวอย่าง ไม่มี
▪ โรงพยาบาลมีระบบจดั เก็บขอ้ มลู ผ้ปู ว่ ย และประวตั ิการรกั ษาท้ังหมด
โดยมีข้อมลู ผ้ปู ่วยกว่าห้าแสนราย
20 มีแนวปฏิบตั ทิ ดี่ ดี ้านความมนั่ คงปลอดภยั สารสนเทศท่กี ำหนดให้ประเภท มี
กจิ การตอ้ งดำเนินการ แต่ยังไมส่ ามารถดำเนินการได้หรือไม่ ไม่มี
ตัวอย่าง
▪ บริษัทจะต้องปฏิบัติตามแนวทางในการรักษาความมั่นคงปลอดภัย
สารสนเทศที่ออกโดยหน่วยงานกำกับดูแล โดยอยู่ในระหว่าง
การศึกษาทำความเข้าใจ
เมอื่ ตอบคำถามเหล่าน้ีแล้ว องค์กรจะมคี วามเข้าใจภยั คกุ คามท่ีเก่ียวขอ้ งกับกิจกรรมการประมวลผล
ขอ้ มูลสว่ นบุคคลขององค์กร รวมทั้งโอกาสทจ่ี ะเกดิ ภยั คกุ คามนข้ี ้ึน
552 Thailand Data Protection Guidelines 3.0
(2) [การประเมนิ โอกาสทภ่ี ัยคกุ คามจะเกิดขึ้น] เช่นเดียวกบั การประเมินผล
กระทบ การประเมนิ โอกาสทภี่ ยั คกุ คามจะเกิดขึ้นนั้น จะเปน็ การประเมิน
เชิงคุณภาพ (Qualitative) โอกาสทีภ่ ัยคุกคามจะเกิดขึน้ อาจแบง่ เปน็ 3
ระดบั ตามตัวอยา่ ง
เกณฑ์การประเมินโอกาสทีภ่ ัยคกุ คามจะเกิดข้นึ
ระดบั โอกาสท่ภี ัยคกุ คามจะ รายละเอียด
เกิดขึน้
ระดับต่ำ (Low) มีโอกาสน้อยมากทจี่ ะเกิดภัยคุกคาม
ระดับปานกลาง (Medium) มโี อกาสทีจ่ ะเกิดภยั คกุ คาม
ระดบั สงู (High) มีความเปน็ ไปได้สูงทจ่ี ะเกดิ ภยั คกุ คาม
จากเกณฑ์ขา้ งต้น องค์กรจะต้องประเมนิ โอกาสที่จะเกดิ ภยั คุกคามตามรายละเอียดในตารางประเมนิ
เพื่อการระบภุ ยั คกุ คามทง้ั 4 ดา้ นขา้ งต้น โดยระบุขอ้ มลู ในตารางตอ่ ไปน้ี และนำไปเทยี บโอกาสที่ภยั
คุกคามจะเกิดข้ึนในตารางประเมนิ โอกาสส่วนถัดไป
ตารางประเมนิ โอกาสท่ภี ัยคุกคามจะเกิดขนึ้ ในแต่ละด้าน
หวั ข้อในการประเมนิ โอกาสท่ภี ัยคุกคามจะเกิดข้ึน
ระดบั คะแนน
ระดบั ตำ่ (Low) 1
ระบบเครอื ข่าย ฮารด์ แวร์และซอฟต์แวร์ ระดับปานกลาง 2
(Medium)
ระดับสูง (High) 3
ระดบั ต่ำ (Low) 1
กระบวนการหรอื ข้นั ตอนที่เกย่ี วขอ้ งกบั กิจกรรมการ ระดบั ปานกลาง 2
ประมวลผลข้อมูลส่วนบุคคล (Medium)
ระดบั สงู (High) 3
ระดับตำ่ (Low) 1
บคุ คลทีเ่ ก่ยี วขอ้ งในกจิ กรรมการประมวลผลข้อมลู สว่ น ระดบั ปานกลาง 2
บุคคล (Medium)
ระดบั สงู (High) 3
ศนู ยว์ ิจยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 553
ประเภทของกจิ การและปริมาณของการประมวลผลข้อมลู ระดบั ตำ่ (Low) 1
สว่ นบคุ คล ระดบั ปานกลาง 2
(Medium) 3
ระดับสงู (High)
คะแนนรวม
ตารางการประเมนิ โอกาสท่ีจะเกิดภัยคุกคาม
ชว่ งคะแนนในการประเมิน โอกาสทีภ่ ยั คกุ คามจะเกดิ ขึน้
4–5 ระดับต่ำ (Low)
6–8
9 - 12 ระดับปานกลาง (Medium)
ระดับสูง (High)
M3.9.4 [ข้ันตอนที่ 4: การประเมนิ ผลความเส่ียง] หลงั จากประเมนิ ผลกระทบของเจ้าของขอ้ มูล
สว่ นบุคคล และประเมนิ โอกาสท่ีภัยคุกคามจะเกดิ ขน้ึ เราจะสามารถคำนวณคา่ ระดบั
ความเสี่ยงได้ ดว้ ยการคำนวณโดยใชส้ ูตรดงั ภาพและตารางเกณฑป์ ระเมินความเส่ยี ง
ตอ่ ไปน้ี
Threat Impact Risk Level
Occurrence
Probability
ตารางเกณฑ์การประเมนิ ความเสี่ยง
ระดบั ผลกระทบ
ต่ำ ปานกลาง สงู สูงมาก
สเี ขยี ว สแี ดง
ระดบั โอกาสท่ี ต่ำ สีเขยี ว สเี หลอื ง สแี ดง สีแดง
ภยั คุกคามจะ ปานกลาง สเี หลอื ง สแี ดง
สีเหลอื ง สีแดง
เกิดขน้ึ สูง
สีแดง สแี ดง
554 Thailand Data Protection Guidelines 3.0
สเี ขยี ว ระดบั ความ สเี หลอื ง ระดบั ความ สีแดง ระดับความ
เสีย่ งตำ่ เส่ียงปานกลาง เสี่ยงสงู
M3.10 [มาตรการควบคุมดา้ นความม่ันคงปลอดภยั สารสนเทศ] จากผลการประเมินความเส่ียง
ขา้ งตน้ ในกรณที ี่องคก์ รเลือกทางเลอื กในการจดั การความเสีย่ งโดยการบรรเทาความ
เสย่ี ง (Mitigation) องค์กรอาจพจิ ารณามาตรการควบคมุ ดา้ นความมั่นคงปลอดภัย
สารสนเทศในการจัดการความเสยี่ ง ในเอกสารฉบับนี้ไดย้ กตัวอย่างมาตรการควบคมุ ดา้ น
ความมั่นคงปลอดภัยสารสนเทศทีส่ ำคัญ
- หากผลการประเมินความเสยี่ งพบระดับความเส่ยี งสูง องค์กรสามารถพิจารณาใน
การนำมาตรการควบคุมในส่วนที่เป็นสีแดง สีเหลือง และสีเขียวไปใช้ในการ
บรรเทาความเส่ียง
- หากเปน็ ระดบั ความเส่ียงปานกลาง องค์กรสามารถพจิ ารณาในการนำมาตรการ
ควบคมุ ในสว่ นท่ีเป็นสีเหลือง และสเี ขยี วไปใช้ในการบรรเทาความเสี่ยง และ
- หากเปน็ ระดับความเส่ียงต่ำ องคก์ รสามารถพจิ ารณาในการนำมาตรการควบคุม
ในส่วนทเ่ี ป็นสเี ขียวไปใช้ในการบรรเทาความเสยี่ ง
M3.11 ข้อมูลเกี่ยวกับมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่นำเสนอนั้น
เพือ่ ให้องค์กรขนาดกลางและขนาดย่อม (SMEs) สามารถนำไปประยุกต์ใชใ้ นการจัดการ
ความเสี่ยงได้ อย่างไรก็ตามองค์กรควรพิจารณาความเหมาะสมในการนำไปประยุกตใ์ ช้
รวมถึงการปฏิบัติตามข้อกำหนดเฉพาะของภาคธุรกิจ รวมถึงการพิจารณามาตรการ
ควบคมุ ในมาตรฐานอ่ืนๆ เพมิ่ เตมิ เชน่ มาตรฐาน ISO/IEC 27001 หรอื มาตรฐาน NIST
800-53
M3.12 [Organizational security measures] มาตรการควบคมุ ดา้ นความม่นั คงปลอดภัยท่ี
เกีย่ วกบั การจัดการองคก์ ร
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 555
M3.12.1 การบรหิ ารความม่ันคงปลอดภัย (security management)
(1) นโยบายและข้นั ตอนในการดำเนนิ งานทเี่ กย่ี วขอ้ งกบั ความม่ันคงปลอดภัยสำหรับ
การคุ้มครองข้อมูลส่วนบุคคล (Security policy and procedures for the
protection of personal data) เป็นเอกสารที่แสดงให้เห็นถึงทิศทาง และ
หลักการในการรักษาความมั่นคงปลอดภัยของสารสนเทศ ซึ่งรวมถึงข้อมูลส่วน
บุคคล องค์กรอาจมีการจัดทำเอกสารที่อธิบายรายละเอียดเพิ่มเติม เช่น
รายละเอียดเก่ียวกับการควบคุมการเขา้ ถงึ เป็นต้น
A.1 องคก์ รควรระบรุ ายละเอยี ดในนโยบายใหก้ ารประมวลผลข้อมูลสว่ นบุคคลต้องสอดคลอ้ ง สเี ขียว
กับนโยบายการรกั ษาความมัน่ คงปลอดภยั สารสนเทศ สีเหลอื ง
สีแดง
A.2 ควรมกี ารทบทวนนโยบายเมื่อมกี ารเปลี่ยนแปลงที่มีนัยสำคญั อย่างน้อยปลี ะ 1 ครง้ั เชน่
เม่อื องคก์ รมกี ารเปลย่ี นแปลงเทคโนโลยสี ารสนเทศทใี่ ชง้ าน เปน็ ตน้
A.3 องค์กรควรจดั ทำนโยบายความม่นั คงปลอดภยั สำหรบั การประมวลผลข้อมูลสว่ นบคุ คล
นโยบายดงั กลา่ วควรไดร้ ับการพิจารณาและอนมุ ัตจิ ากผู้บรหิ ารสงู สดุ ขององคก์ ร มีการ
ส่อื สารใหก้ ับทุกคนในองค์กรและหนว่ ยงานภายนอกทเี่ กยี่ วขอ้ ง
A.4 นโยบายความมัน่ คงปลอดภยั สารสนเทศทจ่ี ดั ทำควรอา้ งอิงถงึ หนา้ ท่คี วามรบั ผดิ ชอบของ
บุคลากรท่เี กี่ยวข้อง มาตรการเชิงเทคนคิ และมาตรการที่เก่ียวกับการจัดการองคก์ ร และ
หน้าที่ความรบั ผิดชอบของผปู้ ระมวลผลข้อมลู ส่วนบคุ คล หรือหน่วยงานภายนอกอน่ื ๆ ท่ี
เกี่ยวขอ้ งกับการประมวลผลขอ้ มูลสว่ นบคุ คล
A.5 ควรมกี ารจัดทำบัญชีรายการเอกสารนโยบาย และข้ันตอนการดำเนินงานทเ่ี กี่ยวข้องกับ
การประมวลผลข้อมลู สว่ นบคุ คล
A.6 ควรมกี ารทบทวนนโยบายเมอื่ มีการเปล่ียนแปลงทม่ี นี ัยสำคัญ อย่างนอ้ ยทุก 6 เดอื น
มาตรฐานทใ่ี ชอ้ า้ งอิง : ISO/IEC 27001:2013 ในหัวข้อ A.5 Security policy
(2) หน้าที่และความรับผิดชอบ (Roles and responsibilities) หนึ่งในมาตรการใน
การรักษาความมั่นคงปลอดภยั คอื การกำหนดหน้าท่ี ความรับผิดชอบ และการให้
สทิ ธเิ ท่าท่ีจำเปน็ ใหก้ ับบุคลากร รวมทัง้ ผปู้ ระมวลผลข้อมลู สว่ นบคุ คล องคก์ รควร
กำหนดหน้าที่ ความรับผิดชอบสำหรับเจ้าหน้าที่รักษาความมั่นคงปลอดภัย
สารสนเทศ (Information Security Officer) หน้าที่ ความรับผิดชอบของ
เจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบคุ คล (DPO)
556 Thailand Data Protection Guidelines 3.0
B.1 ควรมีการกำหนดหน้าท่ี ความรบั ผิดชอบเกยี่ วกับการประมวลผลข้อมลู สว่ นบุคคลให้ สีเขียว
ชัดเจน และสอดคล้องกับนโยบายความมัน่ คงปลอดภัยสารสนเทศ สีเหลอื ง
B.2 ควรกำหนดแนวทางการจดั การสทิ ธเิ มอื่ มกี ารปรบั เปล่ยี นโครงสรา้ งองค์กร การยกเลกิ หรอื สแี ดง
เปลี่ยนแปลงการจา้ งงาน
B.3 ควรแต่งต้งั บุคคลากรเพ่ือทำหน้าทท่ี ่ีเกย่ี วกบั การรักษาความมัน่ คงปลอดภัยซงึ่ รวมถึง
เจ้าหน้าทร่ี ักษาความม่ันคงปลอดภยั สารสนเทศ (Information Security Officer)
B.4 ควรมหี นังสอื แตง่ ตัง้ เจ้าหนา้ ที่รกั ษาความมน่ั คงปลอดภัยสารสนเทศ (Information
Security Officer) อยา่ งเป็นทางการ โดยควรระบุถงึ หนา้ ที่ และความรับผดิ ชอบ
B.5 ควรแบ่งหนา้ ท่ี และความรับผิดชอบอย่างชดั เจน หลกี เล่ยี งการกำหนดหน้าท่ี ความ
รับผิดชอบซ่ึงอาจนำไปสู่การขาดการตรวจสอบ เพือ่ ลดโอกาสทีจ่ ะนำขอ้ มูลสว่ นบคุ คลไป
ใชง้ านผดิ วตั ถปุ ระสงค์ ตัวอย่างเชน่ การแต่งต้ังเจ้าหน้าท่ีรกั ษาความมน่ั คงปลอดภัย
สารสนเทศ (Information Security Officer) การแต่งตงั้ เจา้ หนา้ ท่ีคมุ้ ครองขอ้ มลู ส่วน
บคุ คล (Data Protection Officer : DPO) และเจ้าหน้าที่ตรวจสอบดา้ นความมัน่ คง
ปลอดภัยสารสนเทศ เปน็ ตน้
มาตรฐานทีใ่ ชอ้ า้ งอิง : ISO/IEC 27001:2013 ในหัวขอ้ A.6.1.1 Information security roles and
responsibilities
(3) นโยบายควบคุมการเข้าถึง (Access control policy) องค์กรควรกำหนด
นโยบายควบคุมการเข้าถึงระบบที่ใช้ในการประมวลผลข้อมูลส่วนบุคคล โดย
พจิ ารณามาตรการควบคุมดังต่อไปนี้
C.1 ควรกำหนดสทิ ธใิ นการเขา้ ถึงระบบสำหรบั การประมวลผลข้อมลู สว่ นบุคคลสอดคล้องกับ สีเขยี ว
หลกั การการใหส้ ทิ ธิเทา่ ทีจ่ ำเปน็ (Need to know principle) สีเหลอื ง
สแี ดง
C.2 ควรจัดทำนโยบายควบคมุ การเข้าถงึ โดยในนโยบายควรกำหนดระเบยี บเก่ยี วกบั การ
เข้าถงึ การกำหนดสทิ ธิในการเข้าถึง โดยจะตอ้ งสอดคล้องกับกระบวนการและขั้นตอน
ดำเนินงานในการประมวลผลข้อมลู สว่ นบุคคล
C.3 ควรมกี ารแบง่ แยกหน้าที่เพื่อควบคมุ การเขา้ ถงึ และกำหนดรายละเอียดเปน็ ลายลักษณ์
อักษร เช่น ผูข้ อใช้งาน ผู้อนุมตั ิ และผู้ดำเนนิ การจดั การสิทธใิ นการเขา้ ถงึ ตอ้ งเป็นคนละ
บคุ คล
C.4 ควรกำหนดการใชง้ านบัญชีผู้ใชง้ านท่มี ีสิทธริ ะดับสูงไว้อยา่ งชดั เจน และจำกัดให้กบั บคุ คล
ที่มีความจำเป็นตอ้ งใชง้ านเทา่ นัน้
มาตรฐานทีใ่ ช้อ้างอิง : ISO/IEC 27001:2013 ในหัวขอ้ A.9.1.1 Access control policy
ศูนยว์ จิ ัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 557
(4) การบริหารทรพั ยากรและทรัพย์สิน (Resource/ asset management) องค์กร
ควรคำนงึ ถงึ การบริหารจัดการทรัพยากรได้แก่ ฮาร์ดแวร์ ซอฟต์แวร์ และระบบ
เครือข่ายอย่างเหมาะสม เนื่องจากทรัพยากรดังกล่าวเป็นเครื่องมือที่สำคัญใน
การควบคมุ การประมวลผลขอ้ มลู สว่ นบคุ คล
D.1 องคก์ รควรมกี ารขนึ้ ทะเบยี นทรพั ยส์ ินสารสนเทศทีใ่ ชใ้ นการประมวลผลขอ้ มูลสว่ นบุคคล สีเขียว
ได้แก่ ฮารด์ แวร์ ซอฟต์แวร์ และระบบเครอื ข่าย ในการขนึ้ ทะเบยี นควรประกอบดว้ ย
ขอ้ มูลอยา่ งน้อยดังนี้ : ขอ้ มูลเก่ยี วกบั ทรัพยส์ ินสารสนเทศ ประเภทของทรพั ยส์ นิ สเี หลอื ง
สารสนเทศ (เชน่ เครือ่ งแมข่ า่ ย และเคร่ืองคอมพิวเตอร์ต้งั โต๊ะ เปน็ ต้น) และสถานท่ตี ิดตั้ง สีแดง
นอกจากนั้นองคก์ รยงั ควรมอบหมายหน้าทคี่ วามรับผิดชอบในการปรับปรงุ ข้อมูลใหเ้ ปน็
ปัจจบุ นั
D.2 ควรทบทวนรายการทรพั ยส์ นิ สารสนเทศเปน็ ประจำ ตามทบี่ รษิ ัทกำหนด
D.3 ควรกำหนดผมู้ หี นา้ ทใ่ี นการบริหารจดั การทรัพยส์ นิ สารสนเทศเป็นลายลักษณอ์ ักษร
D.4 ควรทบทวนรายการทรพั ยส์ นิ สารสนเทศอย่างน้อยปีละ 1 ครง้ั
มาตรฐานทใ่ี ช้อา้ งอิง : ISO/IEC 27001:2013 ในหวั ข้อ A.8 Asset management
(5) การบริหารจัดการการเปลี่ยนแปลง (Change management) การบริหาร
จัดการการเปลี่ยนแปลงมีเป้าหมายในการควบคุมการเปลี่ยนแปลงในระบบ
สารสนเทศที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หากองค์กรไม่มี
มาตรการดงั กล่าว อาจนำไปสู่การเปล่ียนแปลงโดยไม่มีการควบคุม และนำไปสู่
การถกู เปิดเผยข้อมูล ถกู แกไ้ ขข้อมูล และข้อมูลอาจไดร้ บั ความเสียหาย
F.1 องค์กรควรจัดทำแนวทางปฏบิ ตั ิรว่ มกบั ผู้ประมวลผลข้อมูลส่วนบุคคล เพอ่ื ใหก้ าร
ประมวลผลมีความม่นั คงปลอดภยั โดยมาตรการท่ีระบใุ นแนวทางปฏิบัตคิ วรมีระดับความ
ม่นั คงปลอดภัยในระดับเดยี วกับทกี่ ำหนดในนโยบายการรักษาความมนั่ คงปลอดภัยของ
องคก์ ร สเี ขียว
F.2 หากเกดิ เหตุการณ์ละเมิดข้อมลู สว่ นบุคคล ผปู้ ระมวลผลข้อมูลส่วนบคุ คลจะตอ้ งแจง้ ใหก้ บั
ผคู้ วบคุมข้อมูลสว่ นบคุ คลโดยไม่ชกั ช้า เพอ่ื ให้ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลสามารถแจง้
สำนกั งานภายใน 72 ชั่วโมง
558 Thailand Data Protection Guidelines 3.0
F.3 ผคู้ วบคมุ ขอ้ มูลสว่ นบุคคล และผปู้ ระมวลผลข้อมูลสว่ นบคุ คลควรระบุข้อกำหนด และ สีเหลอื ง
ภาระผกู พนั ทเี่ ก่ียวกับการประมวลผลขอ้ มลู สว่ นบุคคล และผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คล สแี ดง
ควรมหี ลักฐานท่แี สดงใหเ้ หน็ ถงึ การประมวลผลที่สอดคลอ้ งกับข้อกำหนด และภาระผกู พนั
F.4 ผคู้ วบคมุ ข้อมูลส่วนบุคคลควรตรวจสอบความสอดคลอ้ งในการปฏบิ ตั งิ านของผู้
ประมวลผลขอ้ มลู สว่ นบุคคลตามระดับขอ้ กำหนด และภาระผกู พันที่เกย่ี วกับการ
ประมวลผลขอ้ มลู สว่ นบุคคล
F.5 จะตอ้ งกำหนดขอ้ ตกลงไม่เปดิ เผยความลบั ของข้อมูล (Non-disclosure agreement) กับ
บคุ ลากรของผูป้ ระมวลผลข้อมลู ส่วนบคุ คล (ที่เกี่ยวข้องกบั การประมวลผลข้อมลู สว่ น
บุคคล)
มาตรฐานที่ใช้อา้ งอิง : ISO/IEC 27001:2013 ในหัวขอ้ A.15 Supplier relationships
M3.12.2 การตอบสนองต่อเหตุการณ์ และการบริหารความต่อเนื่องทางธุรกิจ (Incident
response and business continuity)
(1) การจัดการเหตุขัดข้อง/ เหตุการละเมิดข้อมูลส่วนบุคคล (Incident handling/
Personal data breaches) หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคล เช่น การ
สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย
ปราศจากอำนาจหรือโดยมิชอบ ผู้ควบคุมข้อมูลส่วนบุคคลต้องสามารถปฏิบัติ
ตามมาตรา 37 (4) ของ พ.ร.บ.คมุ้ ครองขอ้ มลู สว่ นบคุ คล ผปู้ ระมวลผลข้อมลู ส่วน
บุคคลพบเหตุการละเมิดข้อมูลส่วนบุคคลก็ต้องแจ้งเหตุการละเมิดให้กับผู้
ประมวลผลขอ้ มลู สว่ นบคุ คลโดยไม่ชกั ช้า และสอดคล้องกับขอ้ กำหนด และภาระ
ผูกพนั ท่ีเก่ยี วกบั การประมวลผลข้อมลู ส่วนบุคคล
G.1 ควรจัดทำแผนตอบสนองตอ่ เหตุการณ์ (Incident Response Plan: IRP) รวมท้ัง
รายละเอยี ดของแผน เพ่ือให้สามารถตอบสนองต่อเหตุการการละเมดิ ขอ้ มูลส่วนบคุ คลได้
อยา่ งเหมาะสม เป็นไปตามลำดบั ขนั้ ตอนท่ีกำหนด สเี ขียว
G.2 ควรรายงานเหตกุ ารณล์ ะเมดิ ขอ้ มูลส่วนบคุ คลให้กบั ผบู้ รหิ ารทราบทนั ที การแจ้งเหตุการ
ละเมิดข้อมลู ส่วนบคุ คลจะตอ้ งสอดคล้องกบั มาตรา ๓๗ (๔) ของ พ.ร.บ.คุม้ ครองข้อมลู
ส่วนบคุ คล
G.3 ควรจัดทำแผนเพอื่ ตอบสนองต่อเหตกุ ารณซ์ ง่ึ ครอบคลุมเน้อื หาเกีย่ วกับการบรรเทา สีเหลือง
ผลกระทบ และการมอบหมายหน้าท่ีความรบั ผดิ ชอบ
ศนู ยว์ ิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย 559
G.4 ควรบันทกึ รายละเอียดของเหตุการละเมิดขอ้ มูลส่วนบุคคล ซึง่ รวมถึงรายละเอยี ดเกี่ยวกบั สแี ดง
เหตุการณ์ และการบรรเทาเหตุการณท์ ่ีดำเนนิ การ
มาตรฐานทใี่ ช้อา้ งองิ : ISO/IEC 27001:2013 ในหวั ขอ้ A.16 Information security incident management
(2) การบริหารความต่อเนื่องทางธุรกิจ (Business continuity) องค์กรควรจัดทำ
แผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) เพ่ือ
กำหนดกระบวนการ และมาตรการทางเทคนิคที่องค์กรจะต้องดำเนินการ เมื่อ
เกิดเหตกุ ารละเมดิ ข้อมลู สว่ นบคุ คล ซ่ึงแผนดงั กล่าวจะตอ้ งสอดคลอ้ งกบั นโยบาย
ความมั่นคงปลอดภัย และแผนตอบสนองต่อเหตุการณ์ (Incident Response
Plan: IRP)
H.1 องค์กรควรจดั ทำขั้นตอนในการดำเนนิ งาน และมาตรการ เพอ่ื ใหม้ ั่นใจได้ว่าองค์กรจะมี
ความสามารถในการบรหิ ารความต่อเนอื่ ง และความพร้อมใช้ของระบบสารสนเทศที่ สีเขยี ว
เก่ียวข้องกบั การประมวลผลข้อมูลส่วนบคุ คล
H.2 ควรกำหนดรายละเอียดเกย่ี วกบั แผนการบรหิ ารความตอ่ เนื่องทางธุรกิจ โดยระบุหนา้ ที่
ความรับผิดชอบ กจิ กรรมท่ตี อ้ งดำเนินการ และสอดคลอ้ งกับนโยบายความม่ันคง
H.3 ปลอดภยั สีเหลือง
ควรกำหนดระดบั ของความมน่ั คงปลอดภยั ท่จี ำเปน็ ในแผนบริหารความตอ่ เนื่องทางธรุ กิจ
H.4 ควรพจิ ารณาความจำเป็นท่จี ะต้องมีศูนย์คอมพิวเตอรส์ ำรอง (ขนึ้ อยูก่ ับระยะเวลาท่ยี อม
ใหร้ ะบบสารสนเทศหยุดชะงกั )
มาตรฐานทใ่ี ช้อ้างองิ : ISO/IEC 27001:2013 ในหวั ขอ้ A.17 Information security aspects of business
continuity management
M3.12.3 การบริหารทรัพยากรบุคคล (Human resources)
(1) การรักษาความลับของบุคลากร (Confidentiality of personnel) เพื่อให้
องคก์ รสามารถรักษาไว้ซง่ึ ความลบั ของข้อมูลส่วนบุคคล องคก์ รควรสือ่ สารหนา้ ที่
ความรับผิดชอบเกี่ยวกับการรักษาความลับของข้อมูลส่วนบุคคล รวมทั้งการ
ปฏิบัติตามนโยบายการบริหารทรพั ยากรบุคคล และบุคลากรท่ีเกี่ยวขอ้ งกับการ
ประมวลผลข้อมลู สว่ นบุคคล
560 Thailand Data Protection Guidelines 3.0
I.1 องคก์ รควรดำเนินการเพ่ือให้มัน่ ใจวา่ บคุ ลากรเข้าใจหน้าทีค่ วามรับผิดชอบ และภาระ สเี ขยี ว
ผูกพันในการประมวลผลขอ้ มูลส่วนบุคคล องคก์ รควรมีการส่อื สารหนา้ ที่ความรบั ผิดชอบ สเี หลือง
ทง้ั ในช่วงกอ่ นการจา้ งงาน และ/หรอื ช่วงปฐมนิเทศ สีแดง
I.2 องค์กรควรรอ้ งขอให้พนักงานทบทวนความเข้าใจเกี่ยวกบั นโยบายความมัน่ คงปลอดภยั
และตกลงที่จะปฏบิ ัติงานใหส้ อดคล้องกับนโยบาย รวมท้ังลงนามขอ้ ตกลงไม่เปิดเผย
ความลับของขอ้ มลู
I.3 องค์กรควรมขี อ้ กำหนดเฉพาะสำหรับบุคลากรท่เี ก่ียวขอ้ งกับกิจกรรมการประมวลผล
ข้อมลู ส่วนบคุ คลทมี่ รี ะดบั ความเส่ยี งสูง โดยควรกำหนดไวใ้ นสัญญา หรือเอกสารอน่ื ๆ ทีม่ ี
ผลบังคบั ทางกฎหมาย
มาตรฐานทใ่ี ชอ้ ้างองิ : ISO/IEC 27001:2013 ในหัวข้อ A.7 Human resource security
(2) การฝึกอบรม (Training) ควรฝึกอบรมบุคลากรเกี่ยวกบั การประมวลผล
ขอ้ มูลสว่ นบคุ คลใหม้ ีความมั่นคงปลอดภยั รวมถงึ ข้ันตอนการดำเนินงาน
ทเ่ี ก่ยี วกับความมนั่ คงปลอดภัยท่ีเกี่ยวข้อง (เช่น การใช้รหัสผ่านและการ
เข้าถึงระบบที่ใช้ในการประมวลผลข้อมลู ส่วนบุคคล) รวมทั้งควรจดั เก็บ
ข้อมูลเกี่ยวกบั กฎหมาย และหนา้ ทก่ี ารประมวลผลขอ้ มูลส่วนบุคคล
J.1 องค์กรควรตรวจสอบให้ม่ันใจวา่ บคุ ลากรทุกคนไดร้ ับการแจ้งเกีย่ วกับมาตรการในการ สีเขียว
รกั ษาความมั่นคงปลอดภัยที่เกีย่ วข้องกบั การทำงาน บคุ ลากรที่เก่ียวขอ้ งกบั การ
ประมวลผลขอ้ มูลสว่ นบุคคลควรได้รับการสร้างความตระหนกั เพอ่ื ใหท้ ราบถงึ ขอ้ กำหนด สเี หลือง
และภาระผกู พันในการคมุ้ ครองขอ้ มูลส่วนบคุ คล สีแดง
J.2 องค์กรควรกำหนดเนอื้ หาเกีย่ วกับการคมุ้ ครองข้อมูลส่วนบคุ คลในการปฐมนเิ ทศ และ
วางแผนเพอ่ื ดำเนนิ การอบรมอยา่ งตอ่ เน่อื ง
J.3 องคก์ รควรกำหนดแผนการฝึกอบรมซึง่ มกี ารกำหนดเป้าหมาย และวัตถปุ ระสงค์ของการ
ฝึกอบรม และควรดำเนินการฝกึ อบรมเป็นประจำทุกปี
มาตรฐานทใี่ ช้อ้างอิง : ISO/IEC 27001:2013 ในหัวข้อ A.7.2.2 Information security awareness,
education and training
ศูนยว์ จิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย 561
M3.13 [Technical security measures] มาตรการควบคุมด้านความมั่นคงปลอดภัยเชิง
เทคนคิ
M3.13.1 การควบคุมการเข้าถึง และการยืนยันตัวตน (Access control and authentication)
การควบคุมการเข้าถึง และการยืนยันตัวตนเป็นมาตรการในการรักษาความมั่นคง
ปลอดภัยเพื่อปอ้ งกันการเขา้ ถึงระบบสารสนเทศทใี่ ช้ในการประมวลผลข้อมูลส่วนบุคคล
โดยไม่ได้รับอนุญาต เพื่อให้สามารถปฏบิ ัติงานได้สอดคล้องกับนโยบายการรักษาความ
มนั่ คงปลอดภยั องคก์ รควรนำมาตรการเชิงเทคนิคมาบงั คบั ใชใ้ นองคป์ ระกอบทเี่ ก่ียวข้อง
รวมถงึ แอพพลเิ คชัน
K.1 ควรนำระบบควบคุมการเขา้ ถึงมาประยุกต์ใชเ้ พ่ือควบคุมผใู้ ชใ้ นการเข้าถึงระบบ สเี ขยี ว
สารสนเทศ ระบบควรรองรบั การสร้าง อนุมัติ ทบทวน และลบบัญชผี ใู้ ช้งาน
สเี หลอื ง
K.2 ควรหลีกเลีย่ งการใชง้ านบญั ชีผใู้ ชท้ ่เี ปน็ ค่าต้ังต้นของระบบ หากมีความจำเป็นตอ้ งใชง้ าน สีแดง
ควรตรวจสอบใหม้ ัน่ ใจว่าผ้ใู ชง้ านทใี่ ชบ้ ัญชีผ้ใู ช้ดังกล่าวมหี น้าที่และความรบั ผิดชอบที่
เหมอื นกัน
K.3 ควรมกี ลไกในการยืนยันตัวตนในการเข้าใชร้ ะบบสารสนเทศ (ซ่งึ สอดคลอ้ งกบั นโยบายการ
ควบคุมการเขา้ ถึง) โดยอยา่ งนอ้ ยควรมีการใช้ ชอ่ื บญั ชผี ู้ใชง้ าน (Username) และ
รหสั ผา่ น (Password) โดยควรมีการกำหนดระดับของความซับซ้อนของรหสั ผา่ น
K.4 ระบบควบคุมการเข้าถึงควรตรวจสอบ และควบคุมไมใ่ หผ้ ใู้ ชใ้ ชร้ หสั ผา่ นท่ไี มส่ อดคล้องกับ
ระดบั ของความซับซอ้ นท่ีกำหนด
K.5 ควรกำหนดนโยบายในการต้งั รหัสผา่ น และกำหนดไว้ในเอกสารอยา่ งชดั เจน รายละเอียด
ของนโยบายควรประกอบดว้ ย ความยาวของรหสั ผ่าน ความซับซอ้ นของรหสั ผา่ น อายขุ อง
รหัสผา่ นท่ใี ช้ และการกำหนดจำนวนครง้ั ของความพยายามในการเข้าสู่ระบบทีไ่ ม่สำเร็จ
(Unsuccessful login attempts)
K.6 ควรจดั เก็บรหสั ผา่ นของผใู้ ชง้ านโดยการแฮช (Hash) โดยใช้ Algorithm ท่ปี ลอดภยั
K.7 ควรใชก้ ารยนื ยนั ตัวตนแบบ 2 ปจั จยั (Two-factor authentication) ในการเข้าถึงระบบ
สารสนเทศท่ีประมวลผลขอ้ มูลส่วนบุคคล ปจั จยั ท่ีใชใ้ นการยืนยนั ตัวตน เชน่ รหัสผ่าน โท
เคน (Token) และขอ้ มูลชวี ภาพ (Biometrics) เป็นตน้
K.8 ควรมีการยนื ยันอปุ กรณ์ท่ใี ชใ้ นการประมวลผลข้อมลู ส่วนบคุ คล เพอ่ื ยนื ยนั วา่ การ
ประมวลผลข้อมูลสว่ นบุคคลเกิดข้ึนบนทรัพยากรท่ีกำหนด
มาตรฐานทีใ่ ช้อา้ งองิ : ISO/IEC 27001:2013 ในหัวขอ้ A.9 Access control
562 Thailand Data Protection Guidelines 3.0
M3.13.2 การบันทึกเหตุการณ์ และการติดตามสถานะ (Logging and monitoring) การเก็บ
ข้อมูลบันทึกเหตุการณ์เป็นมาตรการการรักษาความปลอดภัยซึ่งช่วยในการระบุและ
ตรวจสอบกิจกรรมของผูใ้ ชง้ าน (ในการประมวลผลข้อมลู สว่ นบคุ คล) เพ่อื ใช้เป็นหลักฐาน
หากเกิดเหตุการณ์การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย
ปราศจากอำนาจหรือโดยมิชอบ ซึ่งการเฝ้าระวังข้อมูลบันทึกเหตุการณ์ (Log files) จะ
ชว่ ยใหส้ ามารถตรวจจับเหตุการณซ์ ึง่ อาจทำให้เกิดความเสยี หายกับองค์กร
L.1 ควรตั้งคา่ ให้ระบบ และแอพพลเิ คชนั ที่เกย่ี วกบั การประมวลผลข้อมลู ส่วนบคุ คลเก็บข้อมลู สเี ขยี ว
บนั ทึกเหตกุ ารณ์ โดยข้อมลู บันทกึ เหตุการณค์ วรครอบคลมุ กิจกรรมการเข้าถงึ การแก้ไข สเี หลือง
และการลบขอ้ มลู
L.2 ข้อมลู บนั ทกึ เหตกุ ารณค์ วรครอบคลมุ ถงึ เวลาท่ีเกิดเหตกุ ารณ์ และสามารถปอ้ งกันการ
เข้าถงึ หรือแก้ไขขอ้ มูลบันทกึ เหตกุ ารณโ์ ดยไม่ไดร้ ับอนญุ าต เครอื่ งและอปุ กรณ์ควรเทียบ
เวลาจากแหล่งเดยี วกัน
L.3 ควรบนั ทึกกจิ กรรมทด่ี ำเนินการโดยผู้ดูแลระบบ หรอื เจ้าหน้าท่ที ี่รับผดิ ชอบในการจดั การ
สทิ ธิ ได้แก่ การเพ่ิม ลบ และเปล่ียนแปลงสทิ ธิของผใู้ ช้
L.4 ควรออกแบบการเกบ็ ข้อมลู บนั ทึกเหตกุ ารณใ์ ห้มคี วามปลอดภยั โดยข้อมูลบันทึก
เหตกุ ารณไ์ มค่ วรทจี่ ะสามารถลบหรือแก้ไขได้ และกจิ กรรมการเฝา้ ระวังควรครอบคลมุ ถงึ
การเข้าถึงระบบทีใ่ ช้จดั เกบ็ ขอ้ มลู บันทกึ เหตกุ ารณ์
L.5 ควรใช้ระบบการเฝ้าระวงั ทสี่ ามารถประมวลผลข้อมูลบนั ทกึ เหตุการณ์ และสรปุ รายงาน
สถานะของระบบ รวมถึงสามารถแจง้ เตือนเหตุการณท์ ่ีเกดิ ขน้ึ
มาตรฐานท่ใี ชอ้ ้างองิ : ISO/IEC 27001:2013 ในหัวข้อ A.12.4 Logging and monitoring
M3.13.3 ความปลอดภยั ของขอ้ มลู ที่จัดเก็บ (Security of data at rest) ข้อมูลทจ่ี ัดเกบ็ (Data at
rest) หมายถึงข้อมูลที่ไม่ได้เคลื่อนย้ายจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่ง หรือจาก
ระบบเครือข่ายหนึ่งไปยังอีกระบบเครือข่าย เช่น ข้อมูลที่จัดเก็บอยู่ในฮาร์ดไดร์ฟใน
เคร่ืองคอมพวิ เตอร์ ในแฟลชไดรฟ์ หรอื การจัดเก็บในรูปแบบอนื่ ๆ ดงั นนั้ มาตรการในการ
รักษาความมั่นคงปลอดภัยจะขึ้นอยู่กับรูปแบบการจัดเก็บ เช่น จัดเก็บในระบบ
ฐานขอ้ มูล หรอื จัดเก็บข้อมลู บนระบบคลาวด์ เป็นต้น
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 563
(1) ความปลอดภัยของเครื่องแม่ข่าย และระบบฐานข้อมูล (Server/Database
security) เครื่องแมข่ ่ายและฐานข้อมูลทีเ่ ก่ียวข้องกับการประมวลผลข้อมลู ส่วน
บุคคลควรไดร้ ับการตง้ั คา่ ความมนั่ คงปลอดภยั
M.1 ควรต้งั คา่ บญั ชผี ดู้ แู ลระบบในเคร่ืองแม่ข่ายของแอพพลิเคชัน และฐานข้อมูลของระบบ สีเขยี ว
แยกกัน โดยใหส้ ทิ ธขิ องบญั ชีเท่าที่จำเปน็ ตอ่ การทำงานเท่าน้ัน สเี หลือง
สแี ดง
M.2 เครือ่ งแมข่ ่ายของแอพพลเิ คชนั และฐานข้อมลู ของระบบ ควรประมวลผลขอ้ มลู ส่วน
บุคคลเทา่ ทีจ่ ำเปน็ เพื่อการบรรลวุ ตั ถุประสงคข์ องการประมวลผลเท่านั้น
M.3 ควรพจิ ารณาในการนำผลิตภณั ฑส์ ำหรับการเข้ารหสั (อุปกรณ์ หรอื ซอฟต์แวร)์ มา
ประยกุ ต์ใช้
M.4 ควรพิจารณาในการเข้ารหัสไดร์ฟท่ีใชจ้ ัดเกบ็ ข้อมูล
M.5 ควรนำเทคนคิ การแฝงขอ้ มูล (Pseudonymization) มาประยกุ ตใ์ ชใ้ นการแยกขอ้ มลู ออก
จากขอ้ มูลทใ่ี ช้ระบุตวั บุคคล เพ่ือหลกี เลยี่ งการเชอ่ื มโยงขอ้ มลู มายังเจ้าของขอ้ มลู ส่วน
บคุ คล
M.6 ควรนำเทคนคิ ของระบบฐานขอ้ มูลทสี่ นบั สนุนการคมุ้ ครองขอ้ มูลสว่ นบคุ คลมาประยุกต์ใช้
เช่น authorized queries, privacy preserving data base querying และ
searchable encryption เปน็ ต้น
มาตรฐานทีใ่ ช้อา้ งอิง : ISO/IEC 27001:2013 ในหวั ขอ้ A.12 Operations security
(2) ความปลอดภัยของเครื่องคอมพิวเตอร์ (Workstation security) มาตรการใน
ส่วนนี้เกี่ยวกับการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์และ
อปุ กรณ์อ่ืนๆ ของผูใ้ ช้งาน องค์กรควรกำหนดข้อหา้ มในการดำเนินกจิ กรรมท่อี าจ
ก่อให้เกิดความเสี่ยง เช่น การหยุดการทำงานของซอฟต์แวร์ Anti-malware
หรือการตดิ ตัง้ ซอฟต์แวร์โดยไมไ่ ดร้ บั อนุญาต
N.1 ผู้ใชง้ านไมค่ วรมสี ทิ ธใิ นการยกเลกิ หรือเปล่ยี นแปลงการตงั้ คา่ ในการรกั ษาความมัน่ คง สเี ขียว
ปลอดภัยของเครอ่ื งคอมพวิ เตอร์
N.2 ควรตงั้ คา่ ให้ซอฟต์แวร์ Anti-malware อพั เดทซอฟตแ์ วร์ และปรับปรงุ คา่ Signature
อย่างน้อยสัปดาห์ละ 1 คร้ัง
564 Thailand Data Protection Guidelines 3.0
N.3 ผใู้ ชง้ านไมค่ วรมีสิทธใิ นการตดิ ตัง้ ซอฟตแ์ วร์ท่ีไมไ่ ด้รบั อนุญาต หรอื ยกเลิกการตดิ ตงั้
ซอฟต์แวรบ์ นเคร่อื งคอมพวิ เตอร์
N.4 ควรต้ังค่าระบบให้ตัดการเชื่อมตอ่ กับผใู้ ช้งาน (Session time-out) หากไมม่ กี ารใช้งานใน
ระยะเวลาหน่ึง
N.5 ควรติดตั้งการปรบั ปรุงด้านความมน่ั คงปลอดภยั ของระบบปฏบิ ัตกิ าร (Operating
System) ทส่ี ำคญั เป็นประจำ
N.6 ควรตง้ั ค่าใหซ้ อฟตแ์ วร์ Anti-malware อพั เดทซอฟตแ์ วร์ และปรับปรงุ ค่า Signature สเี หลือง
อยา่ งน้อยวนั ละ 1 คร้ัง
N.7 ไมค่ วรอนุญาตให้สามารถคดั ลอกขอ้ มูลจากเครื่องคอมพวิ เตอร์ลงสอ่ื บันทกึ ขอ้ มูลภายนอก
เชน่ USB แฟลชไดรฟ์ แผน่ DVD หรอื ฮาร์ดดสิ ก์พกพา เป็นตน้
N.8 ไมค่ วรอนญุ าตใหเ้ คร่อื งคอมพวิ เตอรท์ ใ่ี ชใ้ นการประมวลผลขอ้ มูลสว่ นบุคคลเข้าถึง สีแดง
อินเทอร์เน็ตได้ นอกจากองคก์ รมมี าตรการในการปอ้ งกนั การคดั ลอก หรอื แลกเปลย่ี น
ข้อมูลท่จี ดั เก็บไว้
N.9 ควรเปิดใช้งานฟงั กช์ นั การเขา้ รหัสขอ้ มูลบนฮารด์ ไดร์ฟ
มาตรฐานทใ่ี ช้อ้างอิง : ISO/IEC 27001:2013 ในหวั ข้อ A.14.1 Security requirements of information
systems
M3.13.4 ความปลอดภัยของระบบเครือข่าย (Network/Communication security) ความ
มั่นคงปลอดภัยของระบบเครือข่ายเป็นเรื่องที่สำคัญ ซึ่งมาตรการการรักษาความ
ปลอดภัยของระบบเครือข่ายจะครอบคลุมทั้งการเชื่อมต่อกับภายนอก (เช่น
อนิ เทอร์เน็ต) และการเชอื่ มตอ่ กับระบบอื่นๆ (ทง้ั ภายใน และภายนอก)
O.1 ควรเข้ารหัสชอ่ งทางทใ่ี ชใ้ นการสอื่ สารผ่านอนิ เทอรเ์ น็ตโดยใชก้ ลไกการเข้ารหสั ที่มคี วาม สเี ขยี ว
ปลอดภยั เช่น TLS/SSL
O.2 ควรจำกดั ผูใ้ ชง้ านท่ีเชือ่ มตอ่ ระบบสารสนเทศผ่านระบบเครอื ข่ายไรส้ าย และควรเข้ารหัส
ระบบเครือข่ายไร้สายทใ่ี ช้
O.3 ควรจำกัดการเชอื่ มต่อจากระยะไกล (Remote access) เพือ่ เขา้ ถึงระบบสารสนเทศ โดย
ควรอนุญาตเฉพาะเจ้าหน้าที่ที่เกีย่ วข้องเทา่ นัน้ เชน่ ผ้ดู แู ลระบบ/ เจ้าหน้าทีร่ ักษาความ สเี หลอื ง
ปลอดภยั ระบบสารสนเทศ โดยจำกัดอุปกรณท์ ่สี ามารถเชื่อมตอ่ ได้
O.4 ควรตดิ ตั้งอปุ กรณไ์ ฟร์วอลล์ และระบบ Intrusion Detection System (IDS) เพื่อเฝา้
ระวัง และควบคมุ การเชอื่ มต่อของระบบเทคโนโลยสี ารสนเทศ
O.5 ควรแบ่งแยกระบบสารสนเทศตา่ งๆ ออกจากระบบเครือข่ายอน่ื ๆ ขององค์กร
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 565
O.6 ควรกำหนดคา่ ใหส้ ามารถเชื่อมตอ่ เครอื่ งแม่ขา่ ยจากเครือ่ งคอมพวิ เตอร์และอปุ กรณ์ที่
กำหนดไว้เทา่ นัน้ โดยใชเ้ ทคนิค เช่น MAC filtering หรือ Network Access Control
(NAC)
มาตรฐานทีใ่ ชอ้ า้ งองิ : ISO/IEC 27001:2013 ในหวั ขอ้ A.13 Communications security
M3.13.5 การสำรองขอ้ มลู (Back-ups) การสำรองขอ้ มลู เป็นกจิ กรรมทีม่ คี วามสำคัญเพ่อื ใหอ้ งคก์ ร
สามารถกคู้ ืนข้อมูลทเี่ สยี หายกลบั มาได้ ความถี่ในการสำรองข้อมูล รวมท้งั รปู แบบในการ
สำรองข้อมลู อาจขน้ึ อยูก่ ับหลายปัจจัย เชน่ ประเภทธรุ กิจขององค์กร รวมทัง้ ลักษณะการ
ประมวลผลข้อมูล
P.1 ควรกำหนดขัน้ ตอนในการสำรองและก้คู ืนข้อมูล ซง่ึ ควรมีการกำหนดหน้าที่ความ สเี ขียว
รับผิดชอบในขั้นตอนอยา่ งชัดเจน สีเหลอื ง
สแี ดง
P.2 ควรมมี าตรการปอ้ งกันทางกายภาพ และสภาพแวดลอ้ มสำหรับขอ้ มลู ท่สี ำรองไว้ ซง่ึ
มาตรการดงั กลา่ วควรเปน็ ไปตามมาตรฐานเดยี วกับข้อมูลตน้ ทาง (Originating data)
P.3 ควรตดิ ตามสถานะของการสำรองข้อมูลว่าสามารถสำรองข้อมูลไดอ้ ยา่ งสมบรู ณห์ รอื ไม่
P.4 ควรสำรองขอ้ มูลแบบ Full backup เป็นประจำ (ตามความถ่ที ี่องคก์ รกำหนด)
P.5 ควรทดสอบสอ่ื บันทึกข้อมลู เปน็ ประจำ เพื่อให้มน่ั ใจว่าองคก์ รจะสามารถนำสอ่ื บนั ทกึ
ข้อมลู มาใช้งานในกรณฉี กุ เฉิน
P.6 ควรสำรองข้อมูลแบบ Incremental backup อย่างน้อยวนั ละ 1 คร้ัง
P.7 ควรพิจารณาในการจัดเก็บชดุ ข้อมูลสำรองไว้นอกสถานท่ี (ซึ่งยังคงระดับของการรกั ษา
ความมน่ั คงปลอดภยั )
P.8 หากมีการใช้งานบรกิ ารสำรองขอ้ มลู จากผู้ใหบ้ รกิ ารภายนอก ควรเข้ารหสั ขอ้ มลู ก่อนท่จี ะ
สง่ ข้อมูล
P.9 ควรเขา้ รหัสขอ้ มูลที่สำรองไว้ และจัดเกบ็ ข้อมลู ในลักษณะออฟไลน์
มาตรฐานที่ใชอ้ า้ งอิง : ISO/IEC 27001:2013 ในหัวขอ้ A.12.3 Back-up
M3.13.6 อุปกรณ์พกพา (Mobile/Portable devices) การนำอุปกรณ์พกพาเช่น สมาร์ทโฟน
หรือแท็บเล็ต มาใช้ สามารถเพม่ิ ศักยภาพในการดำเนินธุรกิจ แต่อาจเกดิ ความเส่ียงจาก
การนำมาใช้ เช่นถูกจารกรรม หรอื ทำอุปกรณส์ ญู หาย อีกทง้ั อาจมคี วามเสย่ี งจากการนำ
ข้อมูลไปใช้ผดิ วัตถปุ ระสงค์ จึงต้องมีการกำหนดมาตรการเพื่อรักษาความปลอดภัยของ
ขอ้ มลู
566 Thailand Data Protection Guidelines 3.0
Q.1 ควรจัดทำนโยบายและขั้นตอนในการควบคุมการใช้งานอุปกรณ์พกพา โดยกำหนด
กฎระเบียบ และวัตถปุ ระสงคใ์ นการใช้งานใหช้ ัดเจน
Q.2 ควรอนุญาตให้อุปกรณ์พกพาเข้าถึงระบบสารสนเทศเฉพาะอุปกรณ์ที่ลงทะเบียนและ สเี ขยี ว
อนุมตั ิแลว้ เท่านน้ั
Q.3 ควรควบคมุ การเขา้ ถึงระบบสารสนเทศโดยใช้อปุ กรณ์พกพาระดบั เดียวกับท่มี ีการควบคุม
อุปกรณอ์ ่นื ๆ
Q.4 ควรกำหนดหน้าที่ความรับผิดชอบในการบริหารจัดการการใช้งานอุปกรณ์พกพาอย่าง
ชัดเจน
Q.5 องค์กรควรสามารถลบขอ้ มลู สว่ นบุคคลออกจากอปุ กรณ์พกพาในกรณีท่ีอุปกรณ์พกพาสูญ
Q.6 หาย สเี หลือง
องค์กรควรใชซ้ อฟตแ์ วร์เพ่อื สนับสนุนการแบ่งแยกระหว่างการใชอ้ ปุ กรณพ์ กพาเพื่อการใช้
งานส่วนตวั และเพ่ือใชใ้ นการดำเนินธุรกิจ
Q.7 องคก์ รควรมมี าตรการความปลอดภยั ทางกายภาพในการเก็บรักษาอุปกรณ์พกพาท่ีไม่ไดใ้ ช้
งาน
Q.8 ควรควบคุมการเข้าถึงอุปกรณพ์ กพาโดยใช้การยืนยันตัวตนแบบ 2 ปัจจัย (Two factor
Q.9 authentication) สแี ดง
ควรเข้ารหัสข้อมูลส่วนบุคคลที่จัดเก็บในอุปกรณ์พกพา (ในส่วนที่เกี่ยวข้องกับการ
ประมวลผลข้อมลู ขององค์กร)
มาตรฐานทใ่ี ช้อา้ งองิ : ISO/IEC 27001:2013 ในหวั ข้อ A.6.2 Mobile devices and teleworking
M3.13.7 ความมั่นคงปลอดภัยของวงจรการพัฒนาแอพพลิเคชัน (Application lifecycle
security) องค์กรควรพิจารณาถึงการรักษาความมั่นคงปลอดภัยในวงจรของของการ
พัฒนาแอพพลิเคชัน (สอดคล้องกับ GDPR ในมาตรา 25 เรื่อง Data protection by
design and by default)
R.1 องค์กรควรนำหลักการ แนวทางการดำเนนิ งาน หรอื มาตรฐานทเ่ี กีย่ วกับความมน่ั คง สีเขยี ว
ปลอดภยั ในวงจรการพัฒนาแอพพลเิ คชนั มาประยตุ ใ์ ช้
R.2 องคก์ รควรระบคุ วามตอ้ งการดา้ นความมัน่ คงปลอดภยั (Security requirement) ตั้งแต่
ช่วงต้นๆ ของวงจรการพฒั นา
R.3 ควรนำเทคโนโลยี และเทคนิคที่เก่ยี วข้องกับการคุม้ ครองข้อมูลสว่ นบคุ คล มาประยุกตใ์ ช้
ในช่วงของการวเิ คราะห์และออกแบบระบบ
R.4 ควรนำมาตรฐานในการเขยี นโปรแกรม (Secure coding) ให้มคี วามม่ันคงปลอดภัยมา
ประยกุ ตใ์ ช้ในการพัฒนาโปรแกรม
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 567
R.5 ควรมกี ารทดสอบความมั่นคงปลอดภยั ในระหวา่ งการพัฒนาว่าสอดคล้องกบั ความต้องการ
ดา้ นความม่นั คงปลอดภยั (Security requirement) หรอื ไม่
R.6 ควรมีการวเิ คราะห์ชอ่ งโหว่ (Vulnerability Assessment) และทดสอบเจาะระบบ
(Penetration testing) โดยบรษิ ทั ภายนอกทน่ี ่าเช่อื ถอื กอ่ นนำแอพพลเิ คชันไปใช้งาน
และไม่ควรเรม่ิ ใช้งานแอพพลิเคชันหากยงั ไม่สามารถแกไ้ ขขอ้ ตรวจพบทม่ี ีนัยสำคญั สเี หลือง
R.7 ควรทดสอบเจาะระบบเปน็ ระยะ โดยเปน็ ไปตามรอบทีอ่ งค์กรกำหนด
R.8 ควรติดตามขอ้ มูลชอ่ งโหวท่ างเทคนิคของระบบสารสนเทศท่ีองค์กรมีการใช้งาน
R.9 ควรทดสอบและประเมนิ ผลการทดสอบ Patch กอ่ นนำ Patch มาตดิ ตัง้ ในระบบท่ีใช้งาน
มาตรฐานท่ใี ช้อา้ งอิง : ISO/IEC 27001:2013 ในหวั ข้อ A.12.6 Technical vulnerability management &
A.14.2 Security in development and support processes
M3.13.8 การลบ หรือทำลายข้อมูล (Data deletion/ disposal) องค์กรตอ้ งนำมาตรการการลบ
หรือทำลายข้อมูลส่วนบุคคลเพื่อทำให้ไม่สามารถกูค้ ืนกลบั มาได้ ซึ่งมาตรการในการลบ
หรือทำลายนั้น จะขึ้นอยู่กับประเภทของสื่อบันทึกข้อมูลที่นำมาใช้ (รวมถึงข้อมูลส่วน
บุคคลที่อยู่ในรูปแบบเอกสาร) องค์กรต้องดำเนินการให้มั่นใจว่าข้อมูลส่วนบุคคลท่ี
จัดเก็บไวใ้ นอุปกรณ์ตา่ งๆ ได้ถูกลบ หรือทำลาย (สอดคล้องกับพระราชบญั ญัตคิ ุม้ ครอง
ขอ้ มูลสว่ นบุคคลฯ มาตรา 37(3))
S.1 ควรใช้ซอฟต์แวรใ์ นการเขยี นทบั ข้อมลู มาประยกุ ตใ์ ชก้ บั ส่ือบันทึกขอ้ มูลท่ีต้องการลบ หรือ
ทำลายขอ้ มลู ในกรณที ไ่ี ม่สามารถใชซ้ อฟต์แวร์ในการลบหรือทำลายขอ้ มูลได้ (เช่นแผน่ สีเขียว
CD-Rom และ DVD-Rom เปน็ ต้น) ควรดำเนินการทำลายทางกายภาพ
S.2 ควรทำลายเอกสารในรปู แบบกระดาษดว้ ยเครอื่ งทำลายเอกสาร
S.3 ควรใชซ้ อฟตแ์ วรใ์ นการเขยี นทบั ข้อมลู ซ่ึงมีรปู แบบการเขียนทบั ข้อมลู หลายๆ ครง้ั
(Multiple Passes) มาประยกุ ตใ์ ช้กบั ส่ือบันทึกข้อมลู ทตี่ ้องการลบ หรือทำลายขอ้ มูล
S.4 ควรพิจารณาผู้ใหบ้ ริการในการทำลายสอื่ บนั ทกึ ข้อมลู และเอกสารทม่ี คี วามปลอดภยั โดย สเี หลอื ง
ควรมกี ารจดั ทำข้อตกลงอย่างเปน็ ทางการ และสามารถแสดงหลักฐานการทำลายไดอ้ ยา่ ง
ชดั เจน
S.5 นอกจากการนำซอฟต์แวรม์ าประยุกต์ใชใ้ นการลบข้อมลู แล้ว องคก์ รอาจนำอปุ กรณท์ ชี่ ่วย
ในการลบ หรอื ทำลายข้อมูลมาประยกุ ต์ใช้เพ่มิ เติม เช่นอปุ กรณใ์ นการทำ Degaussing สแี ดง
หรืออาจพจิ ารณามาตรการในการทำลายทางกายภาพในบางสถานการณ์
568 Thailand Data Protection Guidelines 3.0
S.6 หากองคก์ รมกี ารว่าจา้ งผใู้ หบ้ ริการภายนอกในการลบ หรอื ทำลายขอ้ มลู (อยู่ในฐานะผู้
ประมวลผลข้อมูลสว่ นบุคคล) องคก์ รควรพิจารณาใหผ้ ใู้ หบ้ ริการภายนอกดำเนินกิจกรรม
ในพน้ื ทขี่ ององคก์ ร (อยใู่ นฐานะผ้คู วบคมุ ข้อมูลสว่ นบคุ คล)
มาตรฐานทใ่ี ช้อ้างอิง : ISO/IEC 27001:2013 ในหัวข้อ A.8.3.2 Disposal of media & A.11.2.7 Secure
disposal or re-use of equipment
M3.13.9 ความมั่นคงปลอดภัยทางกายภาพ (Physical security) ความมั่นคงปลอดภัยทาง
กายภาพนั้นมีความสำคัญไม่น้อยไปกว่ามาตรการในการรักษาความมั่นคงปลอดภัยท่ี
เก่ียวข้องกับเทคโนโลยี และถือเปน็ มาตรการในการรักษาความมัน่ คงปลอดภัยพื้นฐานท่ี
องค์กรจะตอ้ งดำเนนิ การ
T.1 ควรมมี าตรการในการรกั ษาความมนั่ คงปลอดภยั ของพน้ื ท่โี ดยรอบเพ่อื ป้องกนั การเขา้ ถึง สเี ขยี ว
จากบคุ คลทไ่ี ม่ไดร้ บั อนญุ าต
T.2 ควรมมี าตรการในการระบุตวั บุคคล เชน่ กำหนดใหพ้ นักงานตดิ บัตรประจำตวั พนักงานใน
ระหวา่ งปฏิบัติงาน และให้บคุ คลภายนอกติดบัตรบุคคลภายนอกในระหว่างการดำเนิน
กิจกรรมตา่ งๆ ในองค์กร
T.3 องค์กรควรกำหนดโซนพื้นทท่ี ่ตี อ้ งมกี ารรักษาความมน่ั คงปลอดภยั และมีมาตรการในการ
รักษาความม่นั คงปลอดภัยแตล่ ะพืน้ ท่ีอย่างเหมาะสม ควรบันทกึ รายละเอยี ดในการเขา้ ถึง
พ้ืนท่ีสำคัญ และตรวจสอบ (เชน่ การบันทึกลงสมุดบันทกึ หรอื การเก็บ Log ของระบบ
Access Control)
T.4 ควรติดตงั้ ระบบแจง้ เตือนการบุกรกุ ในโซนพื้นทีท่ ี่ต้องรักษาความม่ันคงปลอดภยั สีเหลือง
T.5 องค์กรควรสร้างส่ิงกดี ขวางทางกายภาพ (Physical Barriers) เพอ่ื ป้องกนั การเขา้ ถึงโดย
ไมไ่ ดร้ ับอนญุ าต
T.6 หากในโซนพ้ืนทท่ี ่ีตอ้ งมกี ารรักษาความม่ันคงปลอดภยั มีบางสว่ นไมไ่ ด้ใชง้ าน จะต้องมีการ
ลอ็ คพน้ื ทด่ี ังกล่าว และตรวจสอบอย่างสม่ำเสมอ
T.7 ภายในศนู ย์คอมพวิ เตอร์ควรติดต้งั ระบบดับเพลงิ แบบอตั โนมตั ิ ระบบปรบั อากาศทแ่ี ยก
การควบคมุ ออกจากส่วนกลาง และระบบสำรองไฟฟ้า (UPS)
T.8 บุคคลภายนอกทจี่ ะต้องเข้าดำเนนิ การในพื้นทท่ี ่ีตอ้ งได้รับการรักษาความปลอดภยั จะต้อง
ได้รับอนุญาตก่อนเข้าถงึ พื้นท่ี
มาตรฐานทใ่ี ช้อา้ งอิง : ISO/IEC 27001:2013 ในหวั ข้อ A.11 Physical and environmental security
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลยั 569
N. แนวปฏบิ ตั ิสำหรบั เจา้ หนา้ ทคี่ มุ้ ครองขอ้ มลู สว่ นบุคคล
(Guidelines for Data Protection Officer)
N1. ความจำเป็น ทักษะและคุณสมบตั ิ และเกณฑ์การคดั เลือก
เจ้าหนา้ ที่ค้มุ ครองขอ้ มูลสว่ นบคุ คล
N1.1 [ความจำเปน็ ทอี่ งค์กรต้องจัดให้มีเจา้ หนา้ ทค่ี ุ้มครองขอ้ มูลส่วนบุคคล] องค์กรต้องจัด
ให้มเี จ้าหนา้ ทค่ี มุ้ ครองขอ้ มูลสว่ นบุคคล (Data Protection Officer, “DPO”) ในกรณี691
ดังตอ่ ไปน้ี
(1) ผู้ควบคุมข้อมูลส่วนบุคคล (“ผู้ควบคุมข้อมูล”) หรือผู้ประมวลผลข้อมูลส่วน
บุคคล (ผู้ประมวลผลขอ้ มูล) เป็นหน่วยงานของรฐั ตามที่คณะกรรมการคุม้ ครอง
ขอ้ มลู ส่วนบุคคลประกาศกำหนด หรอื
(2) การดำเนินกิจกรรมหลัก692 ของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลในการ
เก็บรวบรวม ใช้ หรือเปิดเผย ได้มีการใช้ข้อมูลส่วนบุคคลเป็นจำนวนมาก693
691 ตามมาตรา 41 (1) และ (2) พระราชบญั ญตั ิค้มุ ครองข้อมูลส่วนบุคคล พ.ศ. 2562
692 กจิ กรรมหลกั (core activities) คอื การดำเนินการเพ่อื ใหบ้ รรลุวตั ถุประสงคข์ ององคก์ รน้ัน เชน่ การประมวลผล
ข้อมลู ดา้ นสขุ ภาพเปน็ กิจกรรมหลกั ของโรงพยาบาลเพือ่ ใหบ้ รรลวุ ัตถปุ ระสงค์ของโรงพยาบาล จึงตอ้ งมกี ารแตง่ ต้ัง
เจ้าหน้าทคี่ ุม้ ครองขอ้ มูลส่วนบคุ คล เป็นตน้ สว่ นกจิ กรรมที่เป็นการสนับสนุน เชน่ การจา่ ยเงนิ ลูกจา้ ง เปน็ ตน้ แมจ้ ะ
เป็นกจิ กรรมทจี่ ำเป็นทีแ่ ต่ก็ไม่ใชก่ ิจกรรมหลกั ขององคก์ ร, see Article 29 Working Party, Guidelines on Data
Protection Officers (‘DPOs’) (wp243rev.01).
693 การพจิ ารณาวา่ เปน็ การดำเนินการกับขอ้ มูลหรอื เจา้ ของขอ้ มูลจำนวนมาก (large scale) ควรพิจารณาถงึ
องคป์ ระกอบหลายอย่าง ได้แก่ จำนวนเจา้ ของข้อมูลที่เก่ยี วข้องโดยอาจเป็นการคำนวณจำนวนหรอื สัดสว่ นจาก
จำนวนกลมุ่ ท่เี ก่ยี วขอ้ ง จำนวนขอ้ มูลหรือลกั ษณะของขอ้ มูลทมี่ กี ารประมวลผล ระยะเวลาในการประมวลผล
ขอบเขตในเชงิ ภูมศิ าสตรข์ องการประมวลผลข้อมูล ท้ังนก้ี ิจกรรมที่น่าจะเปน็ การประมวลผลข้อมูลจำนวนมาก เชน่
การประมวลผลข้อมูลผปู้ ว่ ยของโรงพยาบาล การประมวลผลขอ้ มลู ลกู ค้าของธนาคารและบรษิ ทั ประกันภัย การ
ประมวลผลขอ้ มลู เพอ่ื การโฆษณาโดยพเิ คราะหจ์ ากพฤตกิ รรมในการใชเ้ ครื่องมือค้นหา (behavioral advertising by
a search engine) การประมวลผลข้อมลู ของผู้ให้บริการอินเทอร์เน็ต (ISP) หรือผ้ใู ห้บรกิ ารโทรคมนาคม, see
Article 29 Working Party, Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01).
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 571
อย่างสม่ำเสมอและเป็นระบบ694 ตามที่ DPA ประกาศ จึงจำเป็นต้องตรวจสอบ
ข้อมูลส่วนบคุ คลหรอื ระบบอย่างสม่ำเสมอ หรือ
(3) กจิ กรรมหลกั ของผู้ควบคุมข้อมูลหรือผู้ประมวลผลขอ้ มลู เป็นการเกบ็ รวบรวม ใช้
หรือเปดิ เผยขอ้ มูลสว่ นบคุ คลตามมาตรา 26
N1.2 องค์กรสามารถแต่งตั้ง DPO เป็นตัวบุคคลหรือคณะบุคคลก็ได้ แล้วแต่ความเหมาะสม
และบริบทขององคก์ ร อย่างไรกด็ ี การตดิ ตอ่ DPO ขององค์กรตอ้ งสามารถกระทำได้งา่ ย
N1.3 การแต่งตั้ง DPO เป็นตัวบุคคลจะทำให้มีอำนาจตัดสินใจอย่างเบ็ดเสร็จเด็ดขาดได้
อย่างไรก็ตาม DPO นั้นเป็นตำแหน่งที่ต้องมีทักษะความรู้ความสามารถหลายด้าน
ประกอบกนั จึงอาจเป็นการยากลำบากที่จะหาบุคคลที่มีความรูค้ รอบคลมุ ทุกดา้ นไดใ้ น
คนเดยี ว
N1.4 การแต่งตั้ง DPO เป็นคณะบุคคลจะสามารถแก้ไขปญั หาเรื่องการหา DPO คนเดียวที่มี
ทักษะความรู้ความพร้อมทุกด้านในคนเดียวกันได้ อย่างไรก็ตามการตั้ง DPO เป็นคณะ
บุคคลจะเกิดปัญหาเรือ่ งอำนาจในการตัดสนิ ใจขึ้น หาก DPO แต่ละท่านมีความเหน็ ไม่
ตรงกนั
N1.5 การแก้ไขปัญหาในข้อ N1.3 และ N1.4 อาจกระทำได้โดยการแต่งตั้ง DPO ขึ้นมาเพียง
คนเดียว แต่มีทีมที่ประกอบไปด้วยบุคคลที่มีความรู้ความสามารถหลากหลายด้านที่
สำคญั ต่อการคุ้มครองข้อมูลส่วนบุคคล เพ่อื ใหค้ ำแนะนำ ปรึกษา และช่วยคิด ก่อนการ
ตดั สนิ ใจสดุ ท้ายของ DPO
694 การติดตามอยา่ งสม่ำเสมอ (regular) และเปน็ ระบบ (systematic) หมายถึง การติดตามหรอื โปรไฟลง่ิ ใน
อินเทอรเ์ น็ตทกุ รปู แบบ ซง่ึ รวมถงึ การโฆษณาโดยพิเคราะห์ถงึ รูปแบบพฤติกรรม (behavioral advertising) ดว้ ย
572 Thailand Data Protection Guidelines 3.0
N1.6 DPO สามารถเป็นพนักงานภายในองค์กรของตนเอง หรือจัดจา้ งบคุ คล/คณะบุคคลจาก
องคก์ รภายนอกก็ได้ ทั้งน้ี อาจมีขอ้ พิจารณาดงั ตอ่ ไปนี้695
ประเดน็ การต้งั DPO จากบุคคลภายใน การตัง้ DPO จากบคุ คลภายนอก
ผรู้ บั ผิดชอบท่ีเหมาะสม ฝา่ ยงานกำกับ (compliance) ฝา่ ยงาน บริษัทให้คำปรึกษากฎหมาย (law firm)
กฎหมาย (legal) ฝ่ายงานบรหิ ารความ บรษิ ัทที่รบั ผิดชอบในการตรวจสอบ
ความเปน็ อสิ ระ เสย่ี ง (risk assessment) ฝ่ายงาน (audit) บรษิ ัทที่ปรกึ ษา หรือบคุ คลหรือ
เทคโนโลยสี ารสนเทศ (IT) ฝ่ายงานใหม่ องค์กรอืน่ ๆ ใดท่มี คี วามเหมาะสม
ความเชยี่ วชาญ ท่รี ับผิดชอบโดยตรงเรื่องคุม้ ครองข้อมลู
ส่วนบคุ คล หรอื บคุ คลอน่ื ใดทเ่ี ห็นว่า ค่อนขา้ งประกันความเป็นอิสระได้เพราะ
การบริหารสญั ญา เหมาะสม เปน็ บุคคลภายนอก จงึ ไมต่ ้องปรบั
โครงสร้างเดมิ อาจไม่มคี วามอสิ ระ หาก โครงสรา้ งองค์กรทีอ่ ยใู่ นปจั จบุ ัน
จะใชโ้ ครงสร้างเดิมอาจจะนำไปสู่การ
ปรบั โครงสรา้ งองคก์ ร ให้ฝ่ายท่ีจะไดร้ บั บริษัทเหลา่ น้มี กั มคี วามเช่ยี วชาญดา้ น
การแตง่ ตง้ั เป็นเจ้าหนา้ ทค่ี ุม้ ครองข้อมูล การตรวจสอบและกฎหมายพรอ้ ม แต่
สว่ นบคุ คลมอี ิสระในการปฏบิ ัตติ าม จะต้องใช้เวลาในการทำความเขา้ ใจ
หนา้ ที่ รปู แบบการประกอบธรุ กจิ ในชว่ งแรกเพอื่
พนกั งานเดิมมกั จะมีความคุ้มเคยกบั ปฏิบัติหนา้ ท่ไี ด้
ระบบการดำเนินการและข้อมลู ของ
องคก์ รอยู่แลว้ จงึ อาจทำใหค้ ลอ่ งตวั ใน 1. สัญญาบริการ
การปฏบิ ตั ิงาน แต่ต้องศกึ ษาความรู้ 2. สญั ญาไมเ่ ปิดเผยความลับ
เก่ียวกบั การตรวจสอบและกฎหมาย
คุ้มครองข้อมลู ส่วนบุคคลเพิม่ เติม
1. สญั ญาจา้ งงาน (เพมิ่ เตมิ อำนาจ
หน้าท)ี่
2. สัญญาไมเ่ ปิดเผยความลบั (ถ้าไม่มี
ระบุในสัญญาจา้ งงาน)
695 ข้อพิจารณาเหลา่ นี้เปน็ ขอ้ พิจารณาเบอื้ งตน้ เท่านน้ั ขอ้ เทจ็ จรงิ ในแตล่ ะกรณอี าจทำใหก้ ารให้เหตผุ ลและความ
เหมาะสมเปลีย่ นแปลงไป เชน่ พจิ ารณาจากรูปแบบทม่ี ีความเฉพาะเจาะจงขององคก์ ร วฒั นธรรมองค์กร อัตรา
กำลงั คนและภาระงานของบคุ ลากรในปัจจบุ นั เปน็ ต้น
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 573
ประเด็น การต้ัง DPO จากบคุ คลภายใน การตง้ั DPO จากบุคคลภายนอก
ข้อกงั วลดา้ นขอ้ มลู การใชบ้ คุ คลภายในทำใหอ้ งค์กรมคี วาม การใชบ้ คุ คลภายนอกจะมขี ้อกังวลเพราะ
รว่ั ไหล ม่นั ใจว่าขอ้ มลู จะไหลเวยี นอยภู่ ายใน ข้อมูลของบรษิ ัทจะอย่ใู นมือของ
องคก์ ร บคุ คลภายนอก
งบประมาณ คา่ ใช้จ่ายในการดำเนินการอาจไมม่ าก ค่าใชจ้ า่ ยในการดำเนินการอาจสงู กวา่
เพราะเป็นจ่ายในรูปแบบเงินเดือน เมื่อเปรยี บเทียบกับการจา้ งพนกั งาน
พนกั งานท่กี ำหนดตายตัวอยู่แล้ว
N1.4 หากพิจารณาบทบาทหน้าที่ของ DPO ตามหลักการ Three lines of defense696 อาจ
พิจารณา DPO อย่ใู น 2nd line ท้งั น้ี พิจารณาตามภาพตอ่ ไปนี้
Board/Audit Committee Risk Committee
Senior Management
1st Line 2nd Line 3rd Line REGULATORS
EXTERNAL AUDIT
IT Risk Management
Operation/Business Units Financial Control Internal Audit
Human Resources Compliance
Chief Data Officer Data Protection Officer
Chief Information Security Officer
N1.8 [ทกั ษะและคณุ สมบตั ิของเจ้าหนา้ ท่คี ้มุ ครองขอ้ มูลส่วนบคุ คล] DPO และคณะทำงาน
ของ DPO ควรมีทกั ษะ ความรู้ความสามารถ และคณุ สมบตั ิในด้านตอ่ ไปนี้ 697
696 Institute of Internal Auditors, The IIA’s Three Lines Model: An update of the Three Lines of
Defense, 2020, at https://global.theiia.org/about/about-internal-auditing/Public%20Documents/
Three-Lines-Model-Updated.pdf
697 Shaw, T. J. Esq. (2018). DPO Handbook Data Protection Officers Under the GDPR, Second Edition,
The Skills and Professions of a DPO, (pp. 12-16). The International Association of Privacy
Professionals (IAPP).
574 Thailand Data Protection Guidelines 3.0
ทักษะ/ ความรู้ คำอธบิ าย
ความสามารถ และ
เนอื่ งด้วย DPO มีหน้าทตี่ อ้ งจดั ทำการประเมินความเสย่ี งของการประมวลผลข้อมูลส่วนบุคคล
คณุ สมบตั ิ และจดั ทำ DPIA ขององคก์ ร ดังนนั้ DPO จงึ มคี วามจำเป็นท่ีจะต้องมปี ระสบการณ์ในด้านการ
1. ความเสย่ี ง และ ประเมินความเสี่ยงด้านความเป็นส่วนตัว และความเสี่ยงด้านเทคโนโลยี รวมถึงแนวทางการ
ป้องกันหรือโอนย้ายความเสี่ยงได้ด้วยทั้งด้านความเป็นส่วนตัว และด้านเทคโนโลยีตาม
เทคโนโลยี มาตรฐานท่ีกฎหมายรบั รอง หรือมาตรฐานสากล เช่น ISO และ NIST เป็นต้น นอกจากน้ี เป็นท่ี
ทราบกนั ดวี า่ ความเส่ยี งนนั้ สามารถเกิดขึน้ ไดท้ กุ เม่ือ ดังนัน้ DPO จะต้องเตรยี มพร้อมในการรับ
2. กฎหมาย ภัยคุกคาม เข้าใจความเปลี่ยนแปลงและวิวฒั นาการของเทคโนโลยีที่จะทำให้ความเส่ียงมีการ
พฒั นาเปล่ยี นแปลงรปู แบบไปจากเดมิ
3. ความเข้าใจธุรกิจ DPO ตอ้ งมีความรดู้ ้านกฎหมายที่เกี่ยวขอ้ งกับการคุ้มครองข้อมูลสว่ นบคุ คล เน่ืองจาก DPO มี
และวฒั นธรรม หน้าที่ในการชว่ ยเหลือฝ่ายงานผู้ควบคุมขอ้ มูล และฝ่ายงานผู้ประมวลผลข้อมูล รวมถึงบคุ คล
องค์กร หรือหน่วยงานภายนอกที่จะนำขอ้ มลู สว่ นบุคคลขององค์กรไปประมวลผลต่อ โดยทำให้มั่นใจได้
วา่ ข้อมลู ส่วนบคุ คลท่อี งคก์ รได้รบั มาน้ันจะถกู รักษาเป็นความลบั และใชป้ ระมวลผลตามหน้าท่ี
4. ความรดู้ ้านการ และภารกิจท่ีไดร้ บั มอบหมาย เป็นไปตามวัตถปุ ระสงคท์ ีแ่ จง้ ต่อเจ้าของขอ้ มลู และเป็นไปตามท่ี
ค้มุ ครองความเป็น กฎหมายกำหนด
ส่วนตัวของ เน่ืองด้วยธรรมชาตขิ อง DPO น้ันจะต้องมีการติดต่อสอื่ สาร ประสานงาน และให้คำปรึกษากับ
ตา่ งประเทศ ฝ่ายงานผู้ควบคมุ ขอ้ มลู และฝ่ายงานผูป้ ระมวลผลขอ้ มูล รวมถึงบคุ คลหรือหนว่ ยงานภายนอกที่
จะนำขอ้ มูลสว่ นบคุ คลขององค์กรไปประมวลผลต่อ รวมถงึ DPA และหน่วยงานอ่ืนที่เก่ียวข้อง
5. ความเป็นผู้นำ ทำให้ DPO จำเป็นตอ้ งเข้าใจธุรกิจและวัฒนธรรมองค์กรขององค์กรเป็นอย่างดี และในการให้
และความ คำปรึกษา DPO ตอ้ งสามารถยกตัวอย่างท่เี ข้าใจไดง้ ่าย และเกย่ี วขอ้ งกบั ธรุ กิจของแตล่ ะฝ่ายงาน
กระตอื รือรน้ ใน ได้
การเรียนรู้สง่ิ ใหม่ เนื่องจากองค์กรมีการติดต่อสื่อสารกับหน่วยงานทั้งในและต่างประเทศ รวมถึงอาจมีการ
ประมวลผลข้อมูลส่วนบุคคลในตา่ งประเทศ ทำให้มคี วามจำเป็นท่จี ะตอ้ งมีความรดู้ ้านกฎหมาย
6. ตดิ ต่อเขา้ ถงึ ทั้งในประเทศ และต่างประเทศ เช่น General Data Protection Regulation (GDPR) ของ
ได้ง่ายตลอดเวลา สหภาพยุโรป และ Personal Data Protection Commission (PDPC) ของประเทศสิงคโปร์
เปน็ ต้น เพื่อจะสามารถมั่นใจไดว้ า่ องค์กรกำลังดำเนินการถกู ตอ้ งตามกฎหมายท้ังในประเทศและ
ต่างประเทศ รวมถึงสามารถแนะนำวิธีปฏิบตั ิของต่างประเทศเพื่อนำมาปรับใช้ให้เหมาะสมกับ
ข้อมลู ส่วนบคุ คลทอี่ งค์กรไดร้ ับ
DPO จำเป็นต้องมีความเป็นผู้นำ และมีประสบการณ์ ตลอดจนความสามารถในการบริหาร
จัดการโครงการ เพ่อื ท่ีจะสามารถร้องขอขอ้ มลู ตดิ ตามงาน และให้คำแนะนำการคุ้มครองข้อมูล
ส่วนบุคคลขององคก์ ร นอกจากนี้ DPO ยังจำเป็นตอ้ งสามารถประเมินตนเองได้วา่ ตนเองขาด
ความรแู้ ละต้องการการอบรมเพม่ิ เติมในประเด็นใด เพือ่ ใหม้ ีความรูค้ วามเข้าใจเพียงพอในการ
ให้คำแนะนำในการดำเนินงานขององค์กรทเี่ ก่ียวข้องกบั การคุ้มครองขอ้ มลู สว่ นบุคคล
เนือ่ งด้วย DPO เปน็ ผูต้ ิดตอ่ ประสานงานหลกั กับฝ่ายงานภายในองค์กร เจา้ ของข้อมูลส่วนบคุ คล
และ DPA ดังนัน้ เม่อื เกิดประเดน็ ปัญหาในการดำเนนิ งานภายในองค์กร หรือเกดิ เหตุละเมดิ หรอื
ศนู ย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 575
ทักษะ/ ความรู้ คำอธิบาย
ความสามารถ และ
ข้อสงสัยอื่นใด DPO จำเป็นต้องสามารถติดต่อได้ตลอดเวลาผ่านทางช่องทางท่ีองค์กรกำหนด
คณุ สมบตั ิ นอกจากน้ี DPO ยังต้องสามารถส่อื สารเป็นภาษาทค่ี นทวั่ ไปเข้าใจไดง้ า่ ย ไมเ่ ปน็ เชิงเทคนิค และ
เชงิ กฎหมายมากเกินไป และไม่ทำใหบ้ คุ คลท่ัวไปเข้าใจผดิ เพ่อื ท่จี ะรับข้อร้องเรียนและร้องขอ
7. สอื่ สารและ จากเจ้าของข้อมลู รวมถงึ การใหค้ วามช่วยเหลอื เจ้าของข้อมลู ส่วนบคุ คลในการตอบคำถามและ
ถ่ายทอดความรู้ แก้ไขปญั หาเบ้อื งตน้ ได้
ความเขา้ ใจได้ การจะทำให้ทุกฝ่ายในองค์กรดำเนินการประมวลผลข้อมูลส่วนบุคคลได้ตามแนวปฏิบัติการ
คุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคล กฎ ระเบียบ ข้อบังคับ และ
8. ความเปน็ อสิ ระ กฎหมายท่เี ก่ยี วข้องกับการคมุ้ ครองข้อมูลส่วนบคุ คลนัน้ DPO มคี วามจำเป็นตอ้ งให้ความรูค้ วาม
เข้าใจในแนวปฏิบัติ และภาระทางกฎหมายแก่ฝ่ายงาน ดังนั้น DPO จึงต้องมีทักษะด้านการ
9. ไมม่ ผี ลประโยชน์ สือ่ สารและถา่ ยทอดความรไู้ ดด้ ว้ ยภาษาท่ีเขา้ ใจง่าย และสามารถยกตวั อยา่ งทีเ่ หน็ ภาพได้
ทบั ซอ้ น และ เนอื่ งดว้ ย DPO มีหน้าทใ่ี ห้คำแนะนำ และตดิ ตามตรวจสอบการดำเนนิ การคุม้ ครองข้อมูลส่วน
นา่ เชอ่ื ถอื บคุ คลตามนโยบาย แนวปฏิบตั ิ กฎ ระเบยี บ และกฎหมายท่ีเกยี่ วข้องกบั การคมุ้ ครองขอ้ มูลส่วน
บคุ คล ซึง่ ความเหน็ ของฝ่ายงานอาจไม่ตรงกับความเห็นของเจา้ หน้าที่คมุ้ ครองข้อมูลส่วนบุคคล
(DPO) รวมถึงการดำเนินการใด ๆ ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แนะนำให้
ดำเนนิ การอาจจะส่งผลเสยี หรือความยากลำบากในมุมของฝ่ายงาน ซ่ึงเปน็ เหตุให้ทั้งสองฝ่าย
เห็นไมต่ รงกนั ดังนน้ั DPO ต้องมคี วามเป็นอสิ ระ สามารถสามารถรายงานไปยังผู้บริหารสูงสุด
ขององค์กรได้
ตามมาตรา 42 พรบ.คุ้มครองข้อมูลส่วนบคุ คลฯกำหนดว่า “เจ้าหน้าทีค่ ุม้ ครองข้อมลู สว่ นบุคคล
อาจปฏิบัติหน้าที่หรือภารกิจอืน่ ได้ แต่ผู้ควบคุมข้อมลู หรือผู้ประมวลผลข้อมูลต้องรับรองกับ
องค์กรวา่ หนา้ ท่ีหรือภารกิจดังกล่าวต้องไม่ขัดหรอื แย้งต่อการปฏิบัติหนา้ ที่ตามพระราชบัญญัติ
น”ี้ ดังนั้นในกรณีท่ี DPO เปน็ เจ้าหน้าท่ีภายในองคก์ รและมีภารกิจของฝ่ายงานหลักของตนอยู่
องคก์ รตอ้ งทำให้มน่ั ใจไดว้ ่าภารกิจของ DPO ต้องไมม่ ีผลประโยชน์ทบั ซ้อนกับภารกิจหลักเมื่อ
DPO กำลังปฏบิ ัตติ ามหนา้ ที่ในการประเมนิ ความเสี่ยง และการใหค้ ำแนะนำเรื่องการดำเนินการ
ปดิ ความเสี่ยงต่างๆ DPO อาจปฏบิ ัติหน้าท่ีหรือภารกิจอ่ืนได้ แตอ่ งคก์ รต้องรบั รองกับ สคส. ว่า
หน้าทห่ี รอื ภารกิจดังกล่าวต้องไมข่ ดั หรือแย้งต่อการปฏบิ ัตหิ น้าท่ีตาม พรบ.คุ้มครองข้อมูลส่วน
บุคคลฯ อย่างไรก็ตาม DPO อาจเป็นตำแหน่งประจำที่แยกออกจากฝ่ายงานอื่น หรือเป็น
บุคคลภายนอกเพือ่ ป้องกนั ผลประโยชน์ทบั ซ้อนได้
N1.9 [เกณฑก์ ารคดั เลอื กเจา้ หนา้ ทีค่ ุ้มครองขอ้ มูลสว่ นบคุ คล]
(1) ในปัจจุบันประเทศไทยยังไม่มีกำหนดเกณฑแ์ ละคุณสมบตั ิของ DPO อยา่ งชัดเจน
ดังนั้นคู่มือนี้จะอ้างอิงเกณฑ์ตามมาตรฐาน GDPR ของสหภาพยุโรปเพื่อเป็น
แนวทางในการคดั เลอื ก DPO ขององคก์ ร ทง้ั น้ี หากบุคคลทอ่ี งคก์ รคดั เลอื กมาไม่
576 Thailand Data Protection Guidelines 3.0
ตรงตามเกณฑ์ต่อไปนี้ก็ไม่ได้มีความผิดทางกฎหมายแต่อย่างไร เป็นเพียง
คำแนะนำเท่านนั้
(2) บุคคลซึ่งไดร้ ับการแต่งตัง้ ให้เป็น DPO ในองค์กรควรมีทั้งคุณสมบัติดา้ นวิชาชีพ
และความรคู้ วามเชี่ยวชาญด้านการปกป้องข้อมูลส่วนบคุ คล และคุณสมบัติส่วน
บคุ คล
N1.10 คุณสมบัติด้านวิชาชีพและความรู้ความเชี่ยวชาญด้านการปกป้องข้อมูลส่วนบุคคลมี
ดงั น้ี698
(1) มีความเชย่ี วชาญดา้ นสิทธิส่วนบุคคลและกฎหมายการคุม้ ครองข้อมูลส่วนบุคคล
ของประเทศไทย และกฎหมายด้านการคุ้มครองข้อมูลอื่น ๆ ที่เกี่ยวข้องทั้งใน
และต่างประเทศ รวมทั้งความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศและความ
ปลอดภยั ดา้ นเทคโนโลยีสารสนเทศ และ
(2) ความเข้าใจทีล่ กึ ซึ้งเก่ียวกับวิธีการดำเนินงานและกจิ กรรมการประมวลผลข้อมูล
ส่วนบุคคลในองค์กรของตน รวมถึงความสามารถในการตีความกฎหมายซึ่ง
เกี่ยวขอ้ งกบั การค้มุ ครองข้อมลู สว่ นบุคคลในแตล่ ะบริบท
N1.11 คุณสมบัตสิ ว่ นบุคคลซึง่ DPO พึงมี699
(1) ความซื่อสัตย์ ความคิดรเิ ริ่มสร้างสรรค์ ความสามารถในการบริหารจัดการ การ
ใช้ดุลพินิจความสามารถในปรับตัวแม้ในสถานการณ์ที่ยากลำบาก ความสนใจ
ด้านการคุ้มครองข้อมูลส่วนบุคคล และมีแรงจูงใจในการปฏิบัติงานในตำแหนง่
DPO
698 Professional Standards for Data Protection Officers of the EU institutions and bodies working
under Regulation (EC) 45/2001. (2010). Network of Data Protection Officers of the EU institutions
and bodies, p.3
699 Id. at p.4
ศนู ยว์ ิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 577
(2) ทักษะในการสร้างสมั พันธภาพระหว่างบุคคล เช่น ความสามารถในการสื่อสาร
เจรจาต่อรอง แก้ปัญหาความขัดแย้ง และการสร้างสัมพันธภาพกับผู้อื่นในการ
ทำงาน
(3) ควรมปี ระสบการณ์ / ความเช่ียวชาญดงั นี้
- ประสบการณท์ ี่เก่ียวขอ้ งกับการคุม้ ครองข้อมูลส่วนบุคคล 700 อย่างน้อย
3 ปใี นองค์กรทกี่ ารค้มุ ครองขอ้ มูลมไิ ดม้ คี วามเกยี่ วข้องเป็นหลักกับธุรกิจ
ขององคก์ ร และ
- ประสบการณ์ท่ีเก่ยี วขอ้ งกับการคุม้ ครองขอ้ มูลสว่ นบุคคลอย่างน้อย 7 ปี
ในองคก์ รทก่ี ารคุม้ ครองข้อมูลส่วนบุคคลมคี วามสมั พันธโ์ ดยตรงกับธุรกิจ
หลักหรือมปี ริมาณการประมวลผลขอ้ มูลส่วนบุคคลเป็นจำนวนมาก
N2. ความตระหนักรูแ้ ละขอ้ พงึ ระวงั ขององค์กรทีม่ ตี ่อการ
ปฏิบตั ิงานของเจ้าหน้าท่คี ุ้มครองขอ้ มลู สว่ นบคุ คล
N2.1 [อิสระในการปฏิบัติงาน] DPO ต้องได้รับความคุ้มครองและองค์กรควรมีมาตรการ
เพื่อให้การปฏิบัติหนา้ ท่ีของ DPO เป็นไปโดยอสิ ระ การใหอ้ อกหรอื เลิกจ้างเพราะเหตุที่
DPO ปฏบิ ัติตามพระราชบญั ญตั ิคุ้มครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562 จะทำมิได้701
N2.2 [ได้รบั การสนบั สนุนในการปฏิบัติงาน] DPO จะต้องไดร้ ับการสนับสนุนการทำงานและ
ได้รบั การอำนวยความสะดวกอย่างเพียงพอ ท้งั น้ี ขนึ้ อยู่กับการดำเนนิ กิจการและขนาด
ขององค์กรดว้ ย เชน่ การสนบั สนนุ จากฝา่ ยบริการงานท่ัวไป การให้เวลาเพยี งพอในการ
700 ประสบการณ์ทเี่ ก่ยี วขอ้ ง หมายรวมถึง ประสบการณใ์ นการปฏิบัตติ ามขอ้ กำหนดดา้ นการค้มุ ครองขอ้ มูล และ
ประสบการณ์จากการปฏิบตั ิงานภายในองคก์ รทตี่ นไดร้ บั การแตง่ ต้ัง ซ่ึงทำใหท้ ราบถงึ หน้าทขี่ องตำแหน่งดงั กลา่ ว ใน
กรณีท่ไี ม่มปี ระสบการณเ์ ปน็ ระยะเวลาตามที่กำหนดขึน้ องค์กรควรมีการเตรียมความพร้อมเพอื่ ให้มรี ะยะเวลาสำหรบั
จัดการฝึกอบรม รวมทั้งการปฏิบัติงานดา้ นการคุ้มครองขอ้ มลู ทย่ี าวนานยง่ิ ขึ้นแกเ่ จา้ หนา้ ทคี่ มุ้ ครองข้อมลู สว่ นบคุ คล
701 การให้เจ้าหนา้ ท่ีค้มุ ครองข้อมลู สว่ นบุคคลออกจากงานหรือเลกิ จ้างเพราะเหตุทป่ี ฏบิ ตั ิตามกฎหมายน้นั เป็นการฝา
ฝนื พระราชบญั ญตั คิ มุ้ ครองข้อมลู สว่ นบุคคล พ.ศ. 2562 ต้องระวางโทษปรับทางปกครองไมเ่ กนิ หน่ึงลา้ นบาท
(มาตรา 82)
578 Thailand Data Protection Guidelines 3.0
ทำงานของ DPO การจดั หาทรพั ยากรในการทำงานให้เพียงพอแก่การทำงาน ไมว่ ่าจะใน
ลักษณะของเงิน โครงสรา้ งพนื้ ฐาน และพนักงานสนบั สนนุ การสอ่ื สารองคก์ ร การเข้าถึง
บริการอื่น ๆ ของกิจการเพื่อสนับสนุนการปฏิบัติหน้าที่ของ DPO การฝึกอบรมอย่าง
ต่อเนอื่ ง เป็นตน้
N2.3 [การพัฒนาความรู้ความเชี่ยวชาญอย่างต่อเนื่อง] DPO ควรได้รับการฝึกอบรมหลัง
ได้รับการแต่งตั้งอย่างสม่ำเสมอ เพื่อธำรงไว้ซึ่งความรู้ความเชี่ยวชาญด้านการคุ้มครอง
ข้อมลู รวมทง้ั พัฒนาทกั ษะความเชี่ยวชาญของตน
N2.4 [ความขัดแย้งด้านผลประโยชน์] ในกรณีท่ี DPO ได้รับมอบหมายให้ทำหน้าที่อื่นใน
องคก์ ร DPO จะต้องพงึ ระวงั เปน็ อยา่ งมากเพื่อมิให้เกิดความขัดแย้งทางผลประโยชน์ขึ้น
ระหว่างหน้าที่การคุ้มครองข้อมูลส่วนบุคคลและหน้าที่อื่น ๆ ที่ตนได้รับมอบหมายใน
องค์กร เช่น DPO จะเป็นบุคคลคนเดียวกับผู้บริหารองค์กรในระดับสูงอย่างประธาน
เจา้ หนา้ ท่บี ริหาร (CEO) ผู้จัดการฝ่ายการตลาด หรือหวั หน้าฝา่ ยบคุ คลไม่ได้ เปน็ ตน้ 702
N2.5 ในทางปฏิบัตินั้น การปฏิบัติหน้าที่โดยอิสระอาจถือเป็นเรื่องยากและท้าทายสำหรับใน
กรณีท่ี DPO เป็นพนกั งานประจำในองคก์ รและทำงานในสว่ นงานอ่นื ควบคู่กันไปดว้ ย
N2.6 [แนวทางปฏบิ ัตเิ พอ่ื หลกี เล่ยี งความขัดแย้งด้านผลประโยชน์ของ DPO]703 มีดังน้ี
702 DPO อาจเปน็ ตำแหนง่ อื่น ๆ ไดห้ ากปรากฏว่าไมไ่ ดม้ ีอำนาจตดั สินใจแตบ่ ทบาทในอยู่ในเชงิ ใหค้ วามคดิ เหน็ หรอื ให้
ข้อเสนอแนะ เช่น Chief Information Officer หรือ Chief Legal Officer ได้ เปน็ ตน้ อยา่ งไรก็ดี จะต้องพจิ ารณา
บทบาทหรอื ลกั ษณะงานของตำแหน่งดงั กลา่ วด้วยวา่ จะถือวา่ มีกรณกี ารขัดกนั ซง่ึ ผลประโยชน์หรอื ไม่ (Conflict of
Interest) ดังนั้นการเรยี กชอ่ื ตำแหนง่ บางตำแหน่งจงึ ไม่อาจสรุปได้อยา่ งแน่นอนว่าบุคคลท่ไี ด้รบั ตำแหนง่ นนั้ จะ
สามารถเปน็ DPO ไปด้วยในขณะเดียวกนั ได้หรอื ไม่
703 European Data Protection Supervisor. (2010). Data Protection Officer (DPO).
https://edps.europa.eu/data-protection/data-protection/reference-library/data-protection-officer-
dpo_en
ศูนย์วิจัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 579
(1) DPO ไม่ควรเป็นบุคคลเดียวกันกับบุคคลที่มีหน้าทีด้านการประมวลผลข้อมูล
เช่น หัวหนา้ ฝ่ายทรัพยากรบุคคล เปน็ ต้น
(2) DPO ไมค่ วรเปน็ พนกั งานแบบสญั ญาจ้างระยะสัน้
(3) DPO ไมค่ วรมสี ายการบังคับบญั ชาทต่ี ้องรายงานตรงกับหวั หนา้ อีกทหี นึ่ง แตค่ วร
รายงานโดยตรงต่อผู้บรหิ ารองคก์ รระดบั สงู
(4) DPO ควรไดร้ ับหน้าทใ่ี นการบรหิ ารงบประมาณของตนเอง
N2.7 [ประเภทสัญญาจ้าง DPO] ในกรณีที่การจ้าง DPO เป็นการจ้างประเภทสัญญาจ้าง
ชวั่ คราว (limited contract) มกั พบว่า DPO ดงั กลา่ วน้ันมีอำนาจน้อยกว่า DPO ที่เป็น
เจา้ หน้าทปี่ ระจำในองคก์ ร เน่ืองจากตอ้ งระมัดระวงั มใิ ห้การกระทำของตนส่งผลกระทบ
เชงิ ลบสำหรับการตอ่ สัญญา
N2.8 [สายบังคับบัญชา] ในกรณีที่ DPO เป็นพนักงานประจำในองค์กรและมีผู้บังคับบญั ชา
โดยตรงที่มิใช่ผูบ้ ังคับบัญชาสูงสุดของฝ่ายบริหารประจำองคก์ ร อาจจะต้องเผชิญความ
กดดันจากทั้งเพื่อนรว่ มงาน ผบู้ งั คับบัญชาโดยตรง และผู้บรหิ ารทม่ี ีตำแหน่งสงู กว่าตนใน
องค์กร เมื่อต้องดำเนินการภารกิจของ DPO เนื่องจากการปฏิบัติงานของ DPO อาจ
ก่อให้เกดิ ความขัดแยง้ หรือผลเสียตอ่ งานของเพื่อนรว่ มงาน ผู้บังคบั บัญชาโดยตรง หรือ
ผูบ้ รหิ ารทม่ี ีตำแหนง่ สงู กว่าตนในองคก์ รได้704
N2.9 อยา่ งไรกต็ าม ในการปฏิบัติงานของ DPO อย่างเหมาะสม DPO จำเปน็ ตอ้ งมีความม่ันคง
และหนักแน่นในการเจรจากับผู้ควบคุมข้อมูลขององค์กรซึ่งอาจอยู่ในตำแหน่งที่สูงกว่า
ตน
N2.10 ดังนั้น DPO ควรปฏิบัติหน้าที่ภายใต้การกำกับดูแลของผู้บังคับบัญชาสูงสุดของฝ่าย
บรหิ ารประจำองค์กร เพื่อหลกี เลี่ยงปัญหาทีอ่ าจเกดิ ขึน้ ในขอ้ N2.7
704 Professional Standards for Data Protection Officers of the EU institutions and bodies working
under Regulation (EC) 45/2001. (2010). Network of Data Protection Officers of the EU institutions
and bodies, p.6
580 Thailand Data Protection Guidelines 3.0
N2.11 [แนวทางปฏิบตั เิ พ่ือรับรองอำนาจของ DPO ในการปฏิบัตงิ าน]705 มีดงั นี้
(1) องค์กรควรจัดตั้งตำแหนง่ DPO ภายในองค์กร ในฐานะที่ปรึกษา หัวหน้าหน่วย
หรอื ผู้อำนวยการ และตำแหน่ง DPO ควรไดร้ ับการจดั ใหอ้ ยู่ในระดับบริหารตาม
แผนผังองค์กรขององค์กรอย่างเปน็ ทางการ
(2) องค์กรควรจัดจา้ ง DPO เปน็ ระยะเวลายาวทสี่ ดุ เทา่ ท่จี ะทำได้ หรอื อย่างนอ้ ยเป็น
ระยะเวลาห้าปี เนื่องจาก DPO มีความจำเป็นจะต้องเข้าใจกิจกรรมการ
ประมวลผลทั้งหมดขององค์กรเพื่อสามารถให้คำปรึกษาและคำแนะนำอย่าง
เหมาะสมแก่องค์กรได้ ในกรณีทีม่ ีการเปลี่ยน DPO บ่อยครั้ง อาจทำให้เกดิ การ
เสียเวลาในการเรียนรู้ของ DPO คนใหม่ และทำให้การดำเนินงานขององค์กร
หยุดชะยัก ไมต่ ่อเน่อื ง หรอื ล่าชา้ ไปได้
(3) องค์กรควรมกี ารจดั ทำสัญญาจ้างถาวรให้แก่ DPO กับองค์กร โดยบุคคลซึ่งได้รับ
การวา่ จ้างตำแหนง่ ดงั กล่าว ควรมีประสบการณเ์ พียงพอต่อการปฏบิ ัติงาน
(4) DPO ต้องอุทิศเวลาให้กับการปฏิบัติหน้าที่ DPO อย่างสุดความสามารถ
โดยเฉพาะอย่างยง่ิ ภายในองค์กรขนาดใหญ่ และในระยะเรม่ิ ต้นสำหรับการสร้าง
ระบบการคมุ้ ครองขอ้ มลู สำหรบั องค์กรขนาดเล็ก โดยผู้บรหิ ารองค์กรควรให้การ
สนับสนุนด้านทรพั ยากร และโครงสรา้ งพืน้ ฐานตามความเหมาะสมแก่ DPO
(5) DPO ในองคก์ รซึ่งการประมวลผลข้อมูลส่วนบุคคลเปน็ กจิ กรรมหลักขององคก์ ร
นั้น โดยทั่วไปแล้วควรมี DPO จำนวนหลายคน และควรมีการรับรอง
ความสามารถของกลมุ่ เจา้ หน้าที่ดงั กล่าว
(6) องค์กรควรมีการกำหนดกฎระเบียบภายในองค์กรเพื่อสร้างความมั่นใจว่า
พนักงานทั้งหมดจะให้ความร่วมมือกับ DPO โดยไม่จำเป็นตอ้ งรอคำส่ังหรือการ
อนมุ ตั จิ ากผูบ้ งั คบั บัญชา
705 Professional Standards for Data Protection Officers of the EU institutions and bodies working
under Regulation (EC) 45/2001. (2010). Network of Data Protection Officers of the EU institutions
and bodies, p.7
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 581
(7) DPO ควรรายงานตอ่ ผบู้ รหิ ารองคก์ รซงึ่ มหี น้าที่รบั ผิดชอบดา้ นการตรวจสอบการ
ปฏิบัติหนา้ ทขี่ อง DPO
(8) ผู้บริหารขององค์กรผู้ซึ่งเป็นผู้ประเมินผลปฏิบัติงานขององค์กรนั้นจะต้อง
ตรวจสอบผลการปฏิบตั ิงานของ DPO และต้องระมัดระวังไม่กล่าวโทษ และไม่
ประเมินผลการปฏิบัตงิ านในระดบั ที่แย่หรอื ไมผ่ ่านดว้ ยเหตผุ ลทีว่ ่า DPO วา่ ดำรง
ตำแหน่งซึ่งไม่เป็นท่ีต้องการ หรือพิจารณาว่าข้อกำหนดด้านการคุ้มครองข้อมูล
เปน็ ภาระต่อการบริหารจัดการ
(9) DPO ควรมีงบประมาณในฝ่ายของตนเอง โดยเป็นไปตามหลักเกณฑ์ซึ่งของ
องคก์ รนัน้ ๆ กำหนดขนึ้ เพ่ือใหก้ ารปฏบิ ัติหน้าทป่ี ระจำเป็นไปอย่างตอ่ เนื่องและ
คลอ่ งตัว
(10) ในกรณีท่ี DPO ต้องการทรัพยากรเพ่ิมเติมใด ๆ จำเป็นต้องได้รบั การอนุมัติจาก
ผบู้ รหิ ารองคก์ ร
(11) ผู้บริหารระดับสูงขององค์กรควรจัดให้มีการเตรียมการอื่น ๆ เพิ่มเติม เพ่ือ
สนับสนุนด้านทรัพยากรซึ่งจำเป็นตอ่ DPO ในการปฏบิ ตั ิหน้าทโ่ี ดยอิสระ
N2.12 [ความรับผิดของเจ้าหนา้ ที่คุม้ ครองข้อมลู ส่วนบคุ คล]
(1) DPO ไม่มีความรับผดิ เปน็ สว่ นตัวต่อการฝา่ ฝนื พระราชบัญญตั คิ ้มุ ครองขอ้ มูลส่วน
บุคคล พ.ศ.2562 เพราะผู้ที่ต้องรับผิดชอบ ได้แก่ ผู้ควบคุมข้อมูล หรือผู้
ประมวลผลขอ้ มลู แลว้ แตก่ รณี
(2) อย่างไรก็ดี หาก DPO ได้รู้ข้อมูลส่วนบุคคลของผูอ้ ื่นเน่ืองจากการปฏิบัติหน้าที่
ตามพระราชบัญญัตินี้ แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษอาญาตาม
กฎหมาย เว้นแตจ่ ะเป็นการเปิดเผยที่ชอบด้วยกฎหมาย706
706 ตัวอย่างเชน่ การเปดิ เผยตามหนา้ ที่ การเปดิ เผยเพือ่ ประโยชนใ์ นการสอบสวนหรือการพจิ ารณาคดี การเปดิ เผยแก่
หนว่ ยงานของรฐั ในประเทศหรอื ตา่ งประเทศท่ีมอี ำนาจหน้าที่ตามกฎหมาย การเปิดเผยทไี่ ด้รบั ความยนิ ยอมเป็น
หนงั สอื เฉพาะคร้งั จากเจา้ ของข้อมูลส่วนบุคคล หรือการเปดิ เผยขอ้ มูลสว่ นบคุ คลที่เกย่ี วกบั การฟ้องรอ้ งคดีตา่ ง ๆ ท่ี
เปิดเผยต่อสาธารณะ เป็นตน้
582 Thailand Data Protection Guidelines 3.0
N3. บทบาทหนา้ ทแ่ี ละความรบั ผิดชอบของเจา้ หนา้ ท่คี มุ้ ครองสว่ นบุคคล
ภาระงานของ DPO มที ้ังหมด 15 ประการ707 ซง่ึ ถูกรวบกลุม่ ไว้ในลักษณะงาน 7 ประเภท708 ดังตอ่ ไปน้ี
ลักษณะงานที่ 1: ภาระงานข้นั ตน้ (Preliminary Task)
ภาระงานท่ี 0 กำหนดของเขตของผูค้ วบคมุ ขอ้ มูล
ลกั ษณะงานท่ี 2: การทำงานขององค์กร
ภาระงานที่ 1* ให้คำแนะนำในการจัดทำบนั ทึกรายการประมวลผลข้อมูลส่วนบุคคล
ภาระงานท่ี 2* ทบทวนกจิ กรรมการประมวลผลข้อมูลสว่ นบคุ คล
ภาระงานท่ี 3* ใหค้ ำแนะนำในการประเมนิ ความเสี่ยงของขอ้ มลู ส่วนบุคคล
ภาระงานท่ี 4* ใหค้ ำแนะนำในการจัดทำการประเมนิ ผลกระทบตอ่ ขอ้ มลู ส่วนบคุ คล (DPIA) เพอื่ หาทางรบั มือกับ
กิจกรรมทีอ่ าจมีความเสี่ยงสูง
ลกั ษณะงานที่ 3: ตรวจสอบการปฏิบตั ติ ามหน้าที่
ภาระงานที่ 5* ปฏบิ ัติตามภาระงานท่ี 1 – 4 อย่างสม่ำเสมอ
ภาระงานที่ 6* การรับมือการร่ัวไหลของขอ้ มลู
ภาระงานที่ 7* การตรวจสอบและการสอบสวน รวมไปถึงการจดั การเร่ืองขอ้ ร้องเรียนภายในและภายนอกองคก์ ร
ลักษณะงานท่ี 4: หน้าทีใ่ หค้ ำปรกึ ษา
ภาระงานท่ี 8* หน้าท่ใี ห้คำปรึกษาทัว่ ไป
ภาระงานที่ 9 ใหก้ ารสนับสนนุ และสง่ เสริมการใช้แนวคิดในการคุ้มครองข้อมลู ต้งั แตก่ ารออกแบบและค่าตั้งต้น (Data
Protection by Design and by Default)
ภาระงานท่ี 10* ให้คำแนะนำและควบคุมดแู ลการปฏิบตั ติ ามนโยบายการคุ้มครองขอ้ มลู สว่ นบุคคลสัญญาระหวา่ งผู้
ควบคุมข้อมูลร่วม (Joint Controller Contract) สัญญาระหวา่ งผคู้ วบคุมขอ้ มูลและผูค้ วบคุมข้อมลู
(Controller-Controller Contract) สญั ญาระหว่างผูค้ วบคมุ ข้อมูลและผู้ประมวลผลข้อมูล
(Controller-Processor Contract) รวมไปถงึ นโยบายหรือกฎเกณฑก์ ารให้ความคุ้มครองข้อมูลส่วน
บคุ คลภายในองคก์ ร (BCR) และเง่อื นการโอนข้อมลู (Data Transfer Clause)
ภาระงานที่ 11 มีส่วนร่วมในการออกจรรยาบรรณ (Code of Conduct) และการรับรองมาตรฐาน (certification)
ดา้ นการค้มุ ครองขอ้ มลู สว่ นบุคคล
ลักษณะงานที่ 5: ให้ความร่วมมือและให้คำปรึกษาแก่หน่วยงานด้านการกับกับดูแลข้อมูลส่วนบุคคล (Data
Protection Authority, DPA)
ภาระงานท่ี 12* ให้ความรว่ มมือและใหค้ ำปรึกษาแก่หนว่ ยงานดา้ นการกำกับดูแลข้อมลู สว่ นบุคคล (DPA)
ลกั ษณะงานท่ี 6: การจัดการคำรอ้ งขอของเจ้าของขอ้ มลู
ภาระงานท่ี 13* จัดการคำรอ้ งขอและข้อรอ้ งเรียนของเจา้ ของขอ้ มลู
707 GDPR, Article 39
708 EDPS, Position paper on the role of Data Protection Officers in ensuring effective compliance
with Regulation (EC) 45/2001, available at: https://edps.europa.eu/sites/edp/files/publication/05-
11-28_dpo_paper_en.pdf, pp. 6 – 7.
ศนู ยว์ จิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 583
ลกั ษณะงานที่ 7: การให้ขอ้ มูลและการสรา้ งความตระหนักรู้
ภาระงานที่ 14 ใหข้ อ้ มูลและการสร้างความตระหนกั รู้
ภาระงานที่ 15 วางแผนและทบทวนกจิ กรรมของ DPO
หมายเหตุ: ภาระงานทมี่ ี * คอื ภาระงานของ DPO จำเปน็ ตอ้ งปฏิบัติตามหน้าที่ทร่ี ะบไุ ว้ในมาตรา 42 พรบ. คุ้มครองข้อมูล
ส่วนบุคคลฯ ทั้งนี้ในกฎหมายไม่ได้ระบุชัดเจนถึงรายละเอียดที่ต้องดำเนินการ องค์กรจึงสามารถปรับเปล่ยี น
รายละเอยี ดได้ตามความเหมาะสมขององค์กร
ลกั ษณะงานท่ี 1 ภาระงานขั้นต้น
N3.1 ภาระงานขั้นต้นของ DPO คือการกำหนดขอบเขตงานของผู้ควบคุมข้อมูล และจัดทำ
แผนผงั อย่างกวา้ งของกิจกรรมการประมวลผลในองคก์ ร
N3.1.1 ในการทำหน้าที่ DPO ได้อย่างมีประสิทธิภาพนั้น DPO จะต้องมีความเข้าใจใน 3
ประเดน็ หลกั 709 ดังนี้
(1) ลักษณะขอบเขตหน้าที่ความรับผิดชอบภายในองค์กรในด้านการประมวลผล
ขอ้ มลู
(2) การเช่อื มโยงขอ้ มูลองค์กรกับองค์กรภายนอก
(3) ประเด็นดา้ นกฎหมายทีเ่ ก่ียวข้องกับองค์กรของตนเองและองคก์ รท่ีเกีย่ วขอ้ ง
N3.1.2 ก่อนที่จะทำภาระงานใด ๆ (ภาระงานท่ี 1-15) น้ัน DPO (โดยความร่วมมือของฝ่ายงานที่
เก่ยี วขอ้ งในองคก์ ร) จะต้องมีการจัดทำแผนผังกระบวนงานและกิจกรรมเกี่ยวข้องกับการ
ประมวลผลข้อมูลสว่ นบุคคลภายในและภายนอกองค์กร โดยแผนผังดังกล่าวนจ้ี ะตอ้ งเข้า
กับสถานการณ์และบรบิ ทขององค์กร เพือ่ ทจี่ ะไดท้ ราบวา่ ข้อมูลสว่ นบุคคลที่องค์กรได้รับ
709 Korff, D. and Georges, M. (2019). The DPO Handbook Guidance for data protection officers in the
public and quasi-public sectors on how to ensure compliance with the European Union General
Data Protection Regulation (Regulation (EU) 2016/679). Retrieved from https://azop.hr/images/
dokumenti/888/the-dpo-_handbook_-t4data.pdf. pp. 145.
584 Thailand Data Protection Guidelines 3.0
มานั้นอยู่ส่วนใด ตำแหน่งใดในองค์กร และข้อมูลดังกล่าวนัน้ มีการเชื่อมโยงกับฝ่ายอืน่
ภายในและภายนอกองค์กรอย่างไร
N3.1.3 DPO จะต้องตระหนักถงึ กฎหมายที่เก่ียวขอ้ งกับขอ้ มูลส่วนบุคคลที่ระบุอยูใ่ นแต่ละส่วน
ในแผนผังกระบวนงานและกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมู ลส่วนบุคคลท่ี
จดั ทำข้ึนดว้ ย
N3.1.4 เมอ่ื จัดทำแผนผงั กระบวนงานและกิจกรรมเก่ียวขอ้ งกับการประมวลผลขอ้ มลู ส่วนบุคคล
แลว้ เสรจ็ DPO จะตอ้ งทำความเขา้ ใจและความคุ้นเคยกับแผนผังดังกล่าวเป็นอยา่ งดี
N3.1.5 DPO มีหน้าที่ต้องศกึ ษาแผนผงั องคก์ รอยา่ งละเอียดก่อนการจัดทำแผนผังกระบวนงาน
และกิจกรรมเก่ียวขอ้ งกับการประมวลผลข้อมูลส่วนบุคคล เพ่อื ทจ่ี ะเขา้ ใจโครงสร้างและ
บทบาทของแต่ละฝา่ ยงานภายในองค์กรอย่างชดั เจน
N3.1.6 อย่างไรก็ดี แผนผังองคก์ รนั้นอาจไมไ่ ด้ให้ข้อมูลในรายละเอียดมากนักและนิยมใช้ศัพท์
โดยทั่วไป เช่น การเงินและบญั ชี ทรัพยกรบุคคล บัญชี เป็นต้น จึงอาจทำให้ไมส่ ามารถ
เข้าใจกระบวนงานและกจิ กรรมของแต่ละฝ่ายงานอย่างชัดเจน ดังนั้น DPO จึงจำเป็นท่ี
จะต้องสอบถามรายละเอียดเพิม่ เติมจากทุกฝ่ายในทุกระดับชั้น ตั้งแต่ผู้บริหารระดับสงู
จนถึงเจ้าหน้าที่ในฝ่ายงาน (Business Unit) ฝ่ายกฎหมาย และฝ่าย IT ที่เกี่ยวข้อง
รวมถึงหากองค์กรเป็นองค์กรขนาดใหญ่ ซึ่งมีสาขากระจายอยู่ในหลายแห่งทั้งในและ/
หรือต่างประเทศแล้วนั้น DPO มีความจำเป็นต้องสอบถามรายละเอียดจากสาขาต่าง ๆ
ให้ครบถ้วน ทั้งนี้ เพื่อให้ทราบว่าแต่ละฝ่ายนั้นมีข้อมูลส่วนบุคคลในครอบครองใน
รูปแบบใด และใช้เทคโนโลยใี ดในการบรหิ ารจัดการ และข้อมูลสว่ นบุคคลดงั กล่าวน้ันได้
มีความเกี่ยวเนือ่ งหรือเชื่อมโยงกับองคก์ รภายนอก และ/หรือเทคโนโลยีภายนอกอย่างไร
N3.1.7 จากภาระงานข้างตน้ จะเห็นไดว้ า่ ในขั้นตอนนจ้ี ะมสี ่วนทับซ้อนกับภาระงานที่ 1 (จัดทำ
บันทึกรายการประมวลผลข้อมูลส่วนบุคคล) ดังนั้นใน ภาระงานขั้นต้นนี้จะสามารถทำ
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย 585
ควบคู่ไปกับภาระงานที่ 1 ได้ ในขณะที่ภาระงานอื่น ๆ (ภาระงานที่ 2-15) จะสามารถ
กระทำได้ก็ต่อเมื่อมีการจัดทำแผนผังกระบวนงานและกิจกรรมเกี่ยวข้องกับการ
ประมวลผลขอ้ มลู ส่วนบุคคลเสรจ็ ส้นิ แล้วเทา่ นั้น
N3.1.8 [ความรบั ผิดชอบภายในองค์กร] DPO ควรมีความเขา้ ใจอยา่ งชดั เจนถงึ หน้าทีแ่ ละความ
รับผิดชอบของแต่ละฝ่ายงานในเรื่องของกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น
ฝา่ ยงานใดเป็นเจ้าของขอ้ มลู ส่วนบคุ คลประเภทใดบ้าง
ตวั อย่าง
❖ ฝ่ายทรัพยากรบุคคลมีหน้าที่ในการรับสมัครและคดั เลือกพนักงานเข้ามาปฏิบัติงานในองค์กร โดยได้รบั
ข้อมูลส่วนบุคคลจากเจ้าของข้อมูลซึ่งประกอบไปด้วย ชื่อ นามสกุล ประวัติการศึกษา ที่อยู่บ้าน เบอร์
โทรศัพท์ อเี มล ศาสนา เป็นต้น
N3.1.9 DPO จำเป็นจะตอ้ งมีความเข้าใจกบั ระบบ IT ซึ่งรวมไปถึงสถาปัตยกรรม ระบบการรกั ษา
ความปลอดภัย การเชื่อมต่อไปยังอุปกรณ์ภายนอก การใช้ Cloud service การเชื่อม
ต่อไปยังต่างประเทศ และนโยบายด้าน IT ขององค์กรอย่างถ่องแท้ด้วย เพื่อที่จะ
ตรวจสอบได้ว่าองค์กรได้มีนโยบายที่เหมาะสมและเพียงพอกับการปฏิบตั ิตามกฎหมาย
ค้มุ ครองข้อมูลสว่ นบุคคลแล้วหรอื ไม่
ตวั อยา่ ง
❖ คอมพิวเตอร์ภายในองค์กรนั้นเป็นแบบเคลื่อนที่ได้ ตั้งโต๊ะ หรือแบบพนักงานนำมาเอง โดย DPO ต้อง
ตรวจสอบว่าองคก์ รมีนโยบายทีต่ รงกบั ประเภทของคอมพิวเตอรใ์ นองค์กรแล้วหรือไม่
❖ องค์กรมีการเชื่อมต่อข้อมูลออกจากประเทศไทยไปยังสหภาพยุโรป DPO ต้องตรวจสอบว่าองค์กรมี
นโยบายการโอนย้ายข้อมูลไปยงั ตา่ งประเทศแลว้ หรือไม่
N3.1.10 DPO ต้องทราบถึงวิธีการประมวลผลข้อมูลส่วนบคุ คลว่ากระทำโดยผู้ประมวลผลข้อมลู
ภายในหรอื ภายนอกองค์กร และมมี าตรการความปลอดภยั เชิงกายภาพอย่างไร ซง่ึ ในที่น้ี
จะหมายรวมถึง ประตู ห้อง เครือข่าย รหัสผ่าน และอื่น ๆ รวมถึงพนักงานในองค์กรมี
การฝึกอบรมดา้ นนโยบายความปลอดภยั หรอื ไม่
586 Thailand Data Protection Guidelines 3.0
N3.1.11 ในภาระงานขั้นต้นนี้ ปัญหาต่าง ๆ ที่ DPO พบนั้น ยังไม่จำเป็นต้องได้รับการแก้ไข แต่
จำเป็นจะต้องถกู ระบุและบันทึกอยา่ งชดั เจน และทำเป็นแผนผงั เพือ่ ให้เข้าใจงา่ ยและเห็น
ภาพปัญหาชดั เจน
N3.1.12 [การเช่ือมต่อกบั องคก์ รภายนอก] โดยปกติจะมี 2 รูปแบบ ดังน้ี
(1) เชื่อมต่อกบั องค์กรแม่หรือลูก หรอื องคก์ รที่มีส่วนเกย่ี วข้องกนั โดยกฎหมาย
- หากองค์กรอยู่ท่ีใด DPO ก็ต้องศกึ ษากฎหมายของท้องท่ีน้ันดว้ ย เช่น บริษัทลูก
อย่ใู นประเทศไทยก็ตอ้ งศกึ ษากฎหมายในประเทศไทย และบรษิ ทั แมอ่ ยู่ประเทศ
สหรัฐอเมรกิ า DPO กจ็ ำเปน็ ต้องศกึ ษากฎหมายประเทศสหรัฐอเมริกา เปน็ ตน้
- DPO จะต้องทราบความเกี่ยวข้องกันของกฎหมายต่าง ๆ ไม่ว่าจะเป็นกฎ
ระเบียบ กฎกระทรวง ระดบั ท้องถิ่น ระดับประเทศ รัฐธรรมนญู
- DPO ควรต้องประสานงานกับ DPO ขององค์กรอื่นที่เกี่ยวข้องด้วย โดยอาจตั้ง
เป็นเครอื ขา่ ย DPO (DPO Network) เพ่ือทจ่ี ะทำงานรว่ มกัน
- DPO จะต้องทำงานใกล้ชิดกับ DPA ซึ่ง DPA ในประเทศไทยคือ สำนักงาน
คณะกรรมการคุ้มครองขอ้ มูลสว่ นบคุ คล (สคส.)
(2) เชอื่ มตอ่ กบั องคก์ รภายนอกที่ไมไ่ ดม้ ีความเกยี่ วข้องกนั
ตัวอย่าง
❖ หนว่ ยงานด้านการศกึ ษาอาจมีการเชอื่ มกบั หน่วยงานประกนั สงั คม หรือหนว่ ยงานการศกึ ษาเชอ่ื มตอ่ กนั เอง
เป็นตน้ ซง่ึ โดยปกติแล้วจะมีกฎหมาย หรือข้อตกลงกำกับอยู่ เชน่ ข้อตกลงแลกเปลีย่ นข้อมลู ด้านการศกึ ษา
กบั องค์กรด้านสวสั ดิการสังคม
- DPO จำเป็นตอ้ งมขี อ้ มูลเรอื่ งการเช่ือมตอ่ กบั องค์กรภายนอกอยา่ งครบถว้ น
- DPO ควรทบทวนข้อตกลงระหว่างองค์กรที่มีอยู่เดิมว่าข้อตกลงเหล่าน้ันเป็นไป
ตามพ.ร.บ. คุม้ ครองขอ้ มลู ส่วนบุคคล และกฎหมายที่เกี่ยวข้องดา้ นการคุ้มครอง
ขอ้ มลู สว่ นบุคคลหรอื ไม่
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 587
- หากพบข้อบกพรอ่ งในข้อตกลงระหวา่ งองค์กร DPO ควรแจ้งใหน้ ายจ้าง และใน
บางกรณีอาจต้องแจง้ ให้ DPA ทราบด้วย
- ในกรณีที่องค์กรยังไม่มีข้อตกลงระหว่างองค์กรอย่างเป็นทางการ DPO ควรทำ
การสื่อสารระหว่างองค์กร บันทึก และจัดทำข้อตกลงให้เป็นทางการอย่าง
เร่งด่วน โดยระบุให้ชัดเจนถึงหน้าที่ของแต่ละองค์กรในการรับผิดชอบดูแลชุด
ข้อมูลใด และใช้วิธีการใดในการดูแล
- ในกรณีที่มีการโอนข้อมูลระหว่างองค์กร โดยเฉพาะกรณีที่ไปประเทศที่ 3 ให้
DPO ตรวจสอบนโยบายด้านการโอนข้อมูลขององค์กรปลายทาง และประเทศ
ปลายทางวา่ มหี รอื ไม่
i. ในกรณีที่องค์กรปลายทางมีนโยบายแล้ว ให้ DPO ตรวจสอบว่า
นโยบายดงั กล่าวเปน็ ไปตามกฎหมายทเ่ี กยี่ วขอ้ งหรือไม่
ii. ในกรณีที่องค์กรปลายทางยังไม่มีนโยบาย ให้ DPO แนะนำให้องค์กร
ร่างนโยบายการโอนย้ายขอ้ มลู โดยเร่งด่วน
N3.1.13 ในกรณีที่มีการทำสัญญาจัดจ้างกับองค์กรภายนอก เช่น บริษัทจัดเลี้ยง ผู้รับเหมา ให้
องค์กรระบุถงึ การประมวลผลขอ้ มลู สว่ นบคุ คลไปในสัญญาด้วย และต้องแยกแยะให้ได้ว่า
ผู้ที่เราจ้างมานั้นมีลักษณะเป็นอย่างไร เช่น เป็นผู้ประมวลผลข้อมูลเท่านั้น หรือเป็นผู้
ควบคุมข้อมูลร่วม เป็นต้น และข้อมูลส่วนบุคคลนั้นจะถูกส่งออกไปยังประเทศที่ 3
หรือไม่ รวมถึงองค์กรถือว่าสัญญาจดั จ้างองค์กรภายนอกฉบบั นี้เป็นสัญญาเรื่องการส่ง
โอนข้อมลู ไปพร้อมกนั ด้วยหรือไม่
N3.1.14 ในขั้นตอนนี้ DPO มีหน้าที่เพียงแค่ระบุว่าสัญญาจัดจ้างบุคคลภายนอกนั้นมีอยู่หรอื ไม่
แตป่ ระเด็นการทบทวนเอกสาร และแกไ้ ขจะอยู่ในภาระงานถัดไป
588 Thailand Data Protection Guidelines 3.0
N3.1.15 การจัดทำแผนผงั กระบวนงานและกิจกรรมเก่ียวข้องกับการประมวลผลขอ้ มลู ส่วนบุคคล
แบบกว้างนั้นจะเป็นกระบวนการสำคัญในการรวบรวมกิจกรรมด้านการประมวลผล
ขอ้ มูลสว่ นบคุ คลอย่างละเอียดที่จะตอ้ งทำในภาระงานที่ 1 ต่อไป
Hospital
Information System
(HIS)
Information System Managerial
for Patient Care Information System
Patient Clinical Information Information
Management System (CIS) Systems for Clinical
System (PMS) Support Services
Patient Care Plans Clinical Decision Order Entry-Task Quality Control Clinical Data
Support Execution Management
Data Data Result Reporting
Patient Information Clinical
Database Documentation
Data Clinical Data
Electronic Medical Display
Data
Record
ศูนยว์ ิจัยกฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 589
ลกั ษณะงานที่ 2 การทำงานขององคก์ ร
N3.2 [ภาระงานท่ี 1 ให้คำแนะนำในการจดั ทำบนั ทกึ รายการประมวลผลขอ้ มลู ส่วนบคุ คล]
N3.2.1 บันทึกรายการประมวลผลข้อมลู ส่วนบคุ คล คือบนั ทึกที่แสดงรายละเอยี ดของการดำเนิน
กิจกรรมในแต่ละครั้ง เช่น ระบุชื่อของผู้ควบคุมข้อมูล วัตถุประสงค์ในการประมวลผล
ขอ้ มลู ประเภทของเจ้าของข้อมูล และผ้รู บั ขอ้ มูลส่วนบคุ คลตอ่ เป็นตน้
N3.2.2 บันทึกรายการประมวลผลข้อมูลส่วนบุคคลต้องครอบคลุมการดำเนินการประมวลผล
ข้อมูลส่วนบุคคลทั้งหมดขององค์กร และได้รับการจัดเก็บไว้ในทกุ กรณี เพื่อช่วยในการ
ประเมินความเสีย่ งด้านสิทธิและเสรีภาพของบุคคล รวมถึงใช้มาตรการทางเทคนิคและ
มาตรการขององค์กรตามความเหมาะสมเพอื่ รบั ประกนั ระดับความปลอดภยั ซึง่ เหมาะสม
กบั ความเสี่ยง710
N3.2.3 หน้าที่การบันทึกบันทึกรายการประมวลผลข้อมูลส่วนบุคคลเบื้องต้นเป็นหน้าที่ของผู้
ควบคุมข้อมูล/ผู้ประมวลผลข้อมูล มิใช่หน้าที่ของ DPO โดยตรง อย่างไรก็ตาม DPO
ควรมสี ่วนรว่ มในการดแู ลและใหค้ ำแนะนำในการจัดทำบันทึกรายการประมวลผลข้อมูล
ส่วนบคุ คลอย่างใกล้ชิด711
N3.2.4 ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลควรเก็บรักษาบันทึกรายการประมวลผลข้อมูล
ส่วนบุคคลภายใต้ความรับผดิ ชอบของตน เพื่อเป็นประโยชน์แก่ สคส. ในการสนับสนนุ
ดา้ นการกำกับดูแลอย่างมีประสทิ ธิภาพ เนือ่ งดว้ ยผ้คู วบคุมขอ้ มลู หรอื ผ้ปู ระมวลผลข้อมูล
มหี น้าทีใ่ ห้ความรว่ มมอื กับ สคส. ในการจดั เตรยี มข้อมูลตามที่ สคส. ร้องขอ และเพ่ือให้
สามารถตรวจสอบการดำเนนิ การประมวลผลข้อมลู สว่ นบุคคลเหล่านน้ั ได้712
710 Korff, D. and Georges, M. (2019), pp.152
711Luigi Carrozzi, presentation to the first “T4DATA” training session, June 2018, slide on “Asset
inventory and the Accountability Principle”.
712 GDPR, Recital (82)
590 Thailand Data Protection Guidelines 3.0
N3.2.5 บันทึกรายการประมวลผลข้อมูลส่วนบุคคลนั้นถือว่าเป็นเครื่องมือชนิดหนึ่งซึ่งช่วยให้
DPO สามารถปฏิบัติภารกิจด้านการติดตามตรวจสอบการปฏิบัติงานโดยสอดคล้องตอ่
ข้อกำหนด การให้ขอ้ มลู และการให้คำแนะนำแก่ผคู้ วบคุมขอ้ มูลหรอื ผูป้ ระมวลผลข้อมูล
และทำให้ทราบถึงภาพรวมของกิจกรรมการประมวลผลขอ้ มูลสว่ นบุคคลทง้ั หมดทอ่ี งค์กร
เป็นผดู้ ำเนินการ
N3.2.6 บนั ทกึ รายการประมวลผลขอ้ มูลสว่ นบคุ คลโดยเบื้องต้นซ่ึงจะเป็นประโยชน์ตอ่ DPO ใหม่
เนอื่ งจากจะทำให้เห็นถึงภาพรวมการประมวลผลขอ้ มูลสว่ นบุคคลในกิจกรรมขององค์กร
N3.2.7 ผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลต้องส่งบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
เบื้องต้นให้แก่ DPO เพื่อให้ DPO พิจารณาและพัฒนาบันทึกรายการประมวลผลข้อมูล
สว่ นบุคคลใหส้ มบรู ณ์
N3.2.8 DPO ร่วมกับผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูล มีหน้าที่ทบทวนบันทึกรายการ
ประมวลผลข้อมลู ส่วนบคุ คลฉบับสมบูรณใ์ ห้เปน็ ปัจจบุ ันอย่างสม่ำเสมอ
N3.2.9 GDPR ระบุว่าในกรณีที่องค์กรมีพนักงานน้อยกว่า 250 คนและการประมวลผลข้อมูล
ส่วนบคุ คลนั้นไดร้ ับการดำเนินการ "เป็นคร้ังคราว" ไดร้ บั การยกเวน้ ในการบันทกึ กิจกรรม
การประมวลผลขอ้ มูลส่วนบคุ คล713 อยา่ งไรกต็ าม การยกเว้นดังกล่าวไมม่ ผี ลบังคับใช้ใน
กรณีตอ่ ไปนี้714 (ทัง้ น้กี ฎหมายไทยยงั ไม่มีการออกกฎหมายลูกเพ่อื ระบุเร่ือง “การยกเว้น
การบนั ทึกกจิ กรรมการประมวลผลข้อมูลส่วนบุคคล”)
(1) การประมวลผลข้อมูลส่วนบุคคลที่องค์กรดำเนินการอยู่นั้นมีแนวโน้มจะส่งผล
กระทบให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล โดยไม่จำเป็นว่า
จะตอ้ งมี “ความเสี่ยงสูง”
713 GDPR, Article 30(5) 591
714 Korff, D. and Georges, M. (2019), p.157
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย
(2) การประมวลผลขอ้ มูลสว่ นบคุ คลนน้ั ไมไ่ ด้เกดิ ขึน้ เพียงช่วั คร้งั ชว่ั คราว หรือ
(3) การประมวลผลข้อมูลส่วนบุคคลประกอบด้วยข้อมูลอ่อนไหว (sensitive data)
หรือข้อมูลการพิสูจน์ความผิดทางอาชญากรรม และการกระทำความผิดทาง
กฎหมาย
N3.2.10 บันทึกรายการประมวลผลขอ้ มลู สว่ นบุคคลแบ่งออกเปน็
(1) บันทึกรายการประมวลผลข้อมลู สว่ นบุคคลเบือ้ งตน้ ของ ผคู้ วบคมุ ข้อมูล และ
(2) บนั ทึกรายการประมวลผลข้อมูลส่วนบุคคลเบอ้ื งต้นของ ผปู้ ระมวลผลข้อมลู
N3.2.11 ผู้ควบคมุ ขอ้ มูลจัดทำบันทึกรายการประมวลผลข้อมลู สว่ นบุคคลเบือ้ งตน้ ของผู้ควบคุม
ข้อมูลโดยการบันทึกการดำเนินการกับข้อมูลส่วนบุคคลในทุกกิจกรรม ซึ่งรายละเอยี ด
การบนั ทึกมดี ังต่อไปนี้ 715
(1) ชื่อและรายละเอียดการติดต่อผู้ควบคุมข้อมูล และผู้ควบคุมข้อมูลร่วม ตัวแทน
ของผู้ควบคุมขอ้ มูล และ DPO (หากมี)
(2) วัตถปุ ระสงค์ในการประมวลผลข้อมูลส่วนบคุ คล
(3) คำอธิบายเกี่ยวกับเจ้าของข้อมูลแต่ละประเภท และเกี่ยวกับข้อมูลส่วนบุคคล
ประเภทต่าง ๆ [รวมถงึ ข้อมูลใด ๆ ซ่ึงจดั อยู่ในประเภท “ขอ้ มลู หมวดหมเู่ ฉพาะ”
หรือ “ข้อมลู ออ่ นไหว”]
(4) ฐานการประมวลผล
(5) ประเภทของผู้รับโอนขอ้ มลู ณ ปจั จบุ ัน หรอื ในอนาคต รวมทงั้ ผู้รับโอนข้อมูลใน
ประเทศที่สาม หรอื ในองคก์ รระหวา่ งประเทศ
(6) การถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม หรือองค์กรระหว่างประเทศ
รวมถงึ การระบถุ งึ ประเทศที่สามหรอื องค์กรระหว่างประเทศนนั้ ๆ (หากมี)
(7) ระบุระยะเวลาท่คี รอบคลมุ สำหรบั ลบข้อมลู ประเภทต่าง ๆ
715 GDPR, Article 30 (1)
592 Thailand Data Protection Guidelines 3.0
(8) รายละเอียดมาตรการค้มุ ครองขอ้ มูลทางเทคนิคและมาตรการค้มุ ครองข้อมูลของ
องคก์ รโดยท่ัวไป716
ตัวอย่างบันทกึ รายการประมวลผลข้อมูลสว่ นบุคคลพ้นื ฐานโดยผ้คู วบคมุ ขอ้ มลู
หมายเหต:ุ ตอ้ งสร้างบันทกึ แยกสำหรับการดำเนินการรายกิจกรรม
ส่วนท่ี 1 – ขอ้ มลู ผู้ควบคมุ ขอ้ มูล และอ่นื ๆ
ข้อมลู ติดตอ่ ผู้ควบคมุ ขอ้ มลู : (ชอื่ ทอ่ี ยู่ อเี มล์ หมายเลขโทรศพั ท์)
ข้อมูลตดิ ตอ่ ผคู้ วบคุมขอ้ มลู ร่วมกัน (ถ้ามี): (ช่อื ท่อี ยู่ อีเมล์ หมายเลขโทรศัพท์)
ข้อมูลตดิ ต่อตัวแทนผูค้ วบคมุ ข้อมูล (ถา้ มี): (ช่ือ ท่ีอยู่ อีเมล์ หมายเลขโทรศพั ท์)
ข้อมูลติดต่อ DPO: (ชอื่ ท่อี ยู่ อเี มล์ หมายเลขโทรศพั ท์)
ส่วนที่ 2 – ข้อมูลพน้ื ฐานดา้ นการประมวลผลข้อมูลส่วนบุคคล
1. ช่ือการประมวลผลขอ้ มูลส่วนบุคคล
2. องคก์ รที่รับผดิ ชอบ (“เจา้ ของธรุ กิจ”)
3. วัตถุประสงค์ในการประมวลผล
ข้อมูลส่วนบคุ คล
4. ประเภทเจ้าของขอ้ มลู
5. ประเภทข้อมลู ส่วนบคุ คล
6. มขี อ้ มลู ออ่ นไหวหรือไม่
7. ฐานทางกฎหมายในการประมวลผล
8. ขอ้ มูลส่วนบุคคลมีการถา่ ยโอนไปยงั ประเทศทส่ี าม หรือ
องคก์ รระหวา่ งประเทศหรือไม่
9. ในกรณที ี่มีการถ่ายโอนขอ้ มลู สว่ นบคุ คลนัน้ มีวิธกี าร
ปอ้ งกันที่เหมาะสมอยา่ งไรบ้าง
10. ระยะเวลาซ่ึงกำหนดในการลบขอ้ มูล
11. รายละเอียดของระบบแอพพลิเคชนั แลtกระบวนการ
(เอกสาร/ ไฟลอ์ ิเล็กทรอนกิ ส์/ แอพพลเิ คชันซงึ่ ได้รับการ
บรหิ ารจดั การจากสว่ นกลาง/ Cloud service/
เครอื ข่ายทอ้ งถนิ่ การถา่ ยโอนขอ้ มูล ฯลฯ ) และ
716 GDPR, Article 32 (1) 593
ศนู ยว์ ิจัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย
มาตรการทางเทคนิครวมทง้ั มาตรการขององคก์ ร (ด้าน
ความปลอดภยั ) ทเี่ กี่ยวข้อง
12. การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องอาศัยผู้
ควบคุมข้อมูลเพียงรายเดียว (หรือมากกว่า 1 ราย)
หรือไม่ หากมีผู้ประมวลผลมากกว่า 1 ราย โปรดระบุ
รายละเอียดพรอ้ มสำเนาการทำสัญญาที่เกี่ยวขอ้ ง
N3.2.12 ผู้ประมวลผลข้อมูลจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคลเบื้องต้นของผู้
ประมวลผลข้อมูลโดยการบันทึกการดำเนินการกับข้อมูลส่วนบุคคลในทุกกิจกรรม ซึ่ง
รายละเอยี ดการบนั ทึกมีดังตอ่ ไปน้ี 717
(1) ชื่อและข้อมูลติดต่อผู้ประมวลผลข้อมูล (1 รายหรือมากกว่า 1 รายขึ้นไป)
รวมทั้งชื่อและขอ้ มลู ติดต่อผู้ควบคมุ ข้อมูลซึ่งปฏิบัตหิ น้าที่กำกับดูแล รวมท้ัง
ตวั แทนผปู้ ระมวลผลขอ้ มลู และ DPO หากมี
(2) ประเภทการประมวลผลข้อมูลสว่ นบุคคลซึง่ ได้รบั การดำเนินการในนามของผู้
ควบคมุ ข้อมลู แต่ละราย
(3) การถา่ ยโอนขอ้ มูลส่วนบุคคลไปยังประเทศทส่ี ามหรอื องคก์ รระหว่างประเทศ
รวมถึงการระบุถึงประเทศที่สามหรือองค์กรระหว่างประเทศนั้น ๆ (หากมี)
และเอกสารเก่ียวกบั มาตรการการป้องกนั ท่ีเหมาะสม
(4) คำอธิบายถึงมาตรการคุ้มครองข้อมูลทางเทคนิคและมาตรการขององค์กร
โดยทว่ั ไป718
717 GDPR, Article 30 (2)
718 GDPR, Article 32 (1)
594 Thailand Data Protection Guidelines 3.0
ตวั อย่างบนั ทกึ การประมวลผลขอ้ มลู ส่วนบุคคลพื้นฐานโดยผู้ประมวลผลข้อมลู ส่วนบคุ คล
หมายเหต:ุ ตอ้ งสรา้ งบันทกึ แยกสำหรบั การดำเนนิ การรายกจิ กรรมและแยกรายผูค้ วบคมุ ข้อมลู
สว่ นท่ี 1 – ขอ้ มูลผปู้ ระมวลผลข้อมลู และประมวลผลขอ้ มูลยอ่ ย (sub-processor)
ข้อมลู ตดิ ต่อผปู้ ระมวลผลขอ้ มลู : (ชื่อ ท่ีอยู่ อเี มล์ หมายเลขโทรศพั ท์)
ข้อมูลติดตอ่ DPO ของผปู้ ระมวลผลขอ้ มูล: (ชื่อ ทอี่ ยู่ อเี มล์ หมายเลขโทรศพั ท์)
ข้อมลู ตดิ ต่อประมวลผลข้อมลู ย่อย (ถา้ มี): (ชือ่ ทีอ่ ยู่ อีเมล์ หมายเลขโทรศพั ท์)
ขอ้ มูลตดิ ตอ่ DPO ของผปู้ ระมวลผลขอ้ มูลย่อย(ถ้ามี): (ชอ่ื ทีอ่ ยู่ อเี มล์ หมายเลขโทรศพั ท์)
สว่ นที่ 2 – ข้อมูลผูค้ วบคุมข้อมลู ของกิจกรรมการประมวลผลน้ี
ข้อมูลติดตอ่ ผูค้ วบคุมขอ้ มลู : (ชอ่ื ที่อยู่ อีเมล์ หมายเลขโทรศพั ท์)
ข้อมูลติดต่อผคู้ วบคุมข้อมูลรว่ มกัน (ถา้ มี): (ช่ือ ท่ีอยู่ อเี มล์ หมายเลขโทรศพั ท์)
ขอ้ มลู ติดตอ่ ตวั แทนผูค้ วบคมุ ข้อมลู (ถ้ามี): (ช่อื ที่อยู่ อเี มล์ หมายเลขโทรศพั ท์)
ข้อมลู ตดิ ต่อ DPO: (ช่อื ทีอ่ ยู่ อเี มล์ หมายเลขโทรศัพท์)
สว่ นท่ี 3 – ข้อมลู พ้ืนฐานดา้ นการประมวลผลข้อมูลสว่ นบุคคล
1. หมวดหมู่ (ประเภท) ของการประมวลผลขอ้ มลู สว่ นบคุ คลทดี่ ำเนินการสำหรับผู้
ควบคมุ ขอ้ มูลทเ่ี ก่ียวข้องกับกจิ กรรมการประมวลผลข้อมูลส่วนบคุ คลโดยรวม ไดแ้ ก่ :
- หมวดหมขู่ องเจ้าของข้อมลู
- หมวดหม่ขู องข้อมูลสว่ นบุคคล และ
- มขี อ้ มูลออ่ นไหวในการประมวลผลนี้หรือไม่
2. มกี ารถ่ายโอนข้อมลู ไปยงั ประเทศท่สี าม หรอื องค์กรระหว่างประเทศหรือไม่
3. ในกรณีท่มี กี ารโอนที่ข้อมูลตามข้อ 2 ไดม้ ีมาตรการการป้องกันทเ่ี หมาะสมหรือไม่
4. รายละเอียดของระบบแอพพลิเคชน่ั และกระบวนการ (เอกสาร/ ไฟล์อเิ ลก็ ทรอนกิ ส์/
แอพพลิเคช่ันซ่ึงได้รับการบริหารจัดการจากสว่ นกลาง/ Cloud service/ เครอื ข่าย
ทอ้ งถ่นิ การถา่ ยโอนขอ้ มลู ฯลฯ ) และมาตรการทางเทคนิครวมทงั้ มาตรการของ
องค์กร (ดา้ นความปลอดภยั ) ทีเ่ กย่ี วข้อง
5. การประมวลผลข้อมูลส่วนบุคคลเกย่ี วข้องกบั การใชผ้ ู้ประมวลผลขอ้ มูลย่อยหรอื ไม่
หากใช่ โปรดระบรุ ายละเอยี ดทัง้ หมดและสำเนาสัญญาที่เก่ยี วข้อง
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 595
เนือ้ หาและโครงสรา้ งของบันทกึ รายการประมวลผลข้อมลู ส่วนบคุ คลฉบบั สมบูรณ์
N3.2.13 ผู้ควบคุมข้อมลู /ผูป้ ระมวลผลข้อมูลมีหนา้ ที่จัดทำบันทกึ รายการประมวลผลข้อมูลสว่ น
บุคคลฉบับสมบูรณ์ตามแบบฟอรม์ ด้านล่าง “ตัวอย่างบันทึกการประมวลผลข้อมูลส่วน
บคุ คลฉบับสมบรู ณ์”
N3.2.14 ผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลมีหน้าที่ส่งบันทึกรายการประมวลผลข้อมูลส่วน
บุคคลฉบบั สมบรู ณ์ใหแ้ ก่ DPO
N3.2.15 DPO มีหน้าที่เก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคลเบื้องตนและฉบับ
สมบูรณ์ รวมถงึ เอกสารทีเ่ ก่ียวขอ้ งกบั บันทกึ การประมวลผลขอ้ มูลสว่ นบคุ คลทง้ั หมดไว้
N3.2.16 DPO ต้องบนั ทกึ ข้อความว่าได้รบั มอบบนั ทกึ การประมวลผลขอ้ มูลส่วนบคุ คลเบื้องต้นแต่
ละฉบบั มาเมอื่ ใด
N3.2.17 DPO ต้องบันทึกรายละเอียด เมื่อมีการตรวจสอบการดำเนินการประมวลผลขอ้ มูลส่วน
บคุ คลทเี่ กีย่ วขอ้ ง พร้อมดว้ ยผลของการตรวจสอบนั้น รวมถึงมาตรการแก้ไขใด ๆ ก็ตาม
ซ่งึ ได้รับการดำเนินการ และให้ระบวุ ันครบกำหนดเพือ่ การตรวจสอบครั้งถัดไป (เช่น การ
ตรวจสอบการดำเนนิ การประจำป)ี
596 Thailand Data Protection Guidelines 3.0
ตวั อยา่ งบนั ทึกการประมวลผลข้อมลู สว่ นบคุ คลฉบบั สมบรู ณ์
โปรดใชแ้ บบฟอร์มสำหรับการดำเนินการประมวลผลขอ้ มลู สว่ นบคุ คลแยกรายกิจกรรม
หมายเหตุ: หากตอ้ งการชแ้ี จงรายละเอียด หรือให้ข้อมลู เพมิ่ เติม กรุณาเพม่ิ หมายเลขในชอ่ ง (Field) ทเ่ี กยี่ วข้องและ
แนบเอกสารพร้อมรายละเอียดหรอื คำช้ีแจงเพ่มิ เตมิ โดยอ้างอิงถงึ หมายเลขขา้ งต้น
(1) ขอ้ มลู ทั่วไป: (จำเปน็ ตอ้ งระบใุ นช่องท่ีมี *)
ผ้คู วบคุมข้อมูล*: (ช่อื สถานประกอบการ ท่อี ยู่ เลขทะเบยี น และอน่ื ๆ)
รายละเอยี ดที่เกย่ี วขอ้ งกับผูค้ วบคมุ ข้อมูล (รายละเอียดใด ๆ ก็ตามท่มี ีความเก่ียวข้องกบั ผู้
ควบคุมขอ้ มูลในการดำเนินการประมวลผลขอ้ มูล เช่น แม่-ลกู บรษิ ทั หรอื องค์กร
สาธารณะท่ีเก่ยี วขอ้ ง ผู้ประมวลผลขอ้ มลู ที่เก่ยี วขอ้ งกับการดำเนินการประมวลผลขอ้ มูล)
หนว่ ยธุรกจิ *: (“ เจา้ ของธรุ กิจ”) (เช่น ฝ่ายบุคคล ฝา่ ยบญั ชี ฝ่ายวจิ ยั และ
พัฒนา ฝา่ ยขาย ฝา่ ยสนบั สนนุ ลกู ค้า เปน็ ต้น)
ผ้ตู ิดต่อภายในหน่วยธรุ กิจ:
วัตถุประสงคห์ ลักในการดำเนนิ การประมวลผลข้อมลู *: โปรดชีแ้ จงรายละเอยี ด
เพ่ิมเตมิ
ขอ้ มลู สว่ นบคุ คลถูกนำมาใช้หรือได้รับการเปดิ เผยเพือ่ วัตถปุ ระสงคร์ อง หรือวัตถุประสงค์
อ่ืน ๆ หรอื ไม*่ : โปรดชแี้ จงรายละเอยี ดเพ่มิ เตมิ รวมถงึ เพ่มิ ลงิ ค์หรอื อา้ งอิงบนั ทกึ ท่ี
เก่ียวข้อง
การดำเนนิ การนเี้ ปน็ ไปเพ่ือผู้ทเี่ กยี่ วขอ้ งทงั้ หมดเชน่ เดยี วกันหรือไม่? มกี ารแยกแยะการ
ดำเนนิ การและ/หรอื ดำเนินการสำหรับผทู้ ีเ่ กีย่ วข้องแตล่ ะรายการหรอื ไม่แตกต่างกนั *
โปรดระบุ – หากมีการดำเนินการสำหรับผทู้ ีเ่ กยี่ วขอ้ งแตล่ ะรายการแยกกนั กรุณาใช้
แบบฟอรม์ แยกสำหรับผู้ที่เกี่ยวขอ้ งแต่ละรายการ
ชแ้ี จงพอสังเขปวา่ การดำเนนิ การประมวลผลน้นั เก่ียวข้องกบั เจา้ ของขอ้ มูลจำนวนก่รี าย [ระบุจำนวนเป็นตัวเลข
(หากทราบจำนวนแน่นอน)* หรือ "ไม่ทราบ"]
วันทสี่ ่งแบบฟอร์มนใี้ ห้แก่ DPO*:
แบบฟอร์มและการดำเนินการประมวลผลได้รับการตรวจสอบจาก DPO แล้วหรอื ไม่: [ใช่ / ไมใ่ ช่ และระบุ
วนั ท่ี DPO ได้มีการ
ตรวจสอบ]
วันครบกำหนดในการแก้ไข / ปรบั ปรุงแบบฟอรม์ : [DPO เป็นผ้กู ำหนด]
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 597
(2) รายละเอียดการดำเนินการประมวลผลข้อมลู สว่ นบคุ คล
2.1 ข้อมูลและแหลง่ ทีม่ าขอ้ มลู
หมายเหต:ุ ทุกช่องถือเปน็ ช่องที่จำเป็นจะตอ้ งเตมิ เว้นแตร่ ะบุไวเ้ ปน็ กรณพี เิ ศษ
1. ข้อมลู สว่ นบุคคลใด หรือขอ้ มลู ส่วน ทำเครื่องหมาย √ ตามความ ได้รับขอ้ มูลมาเม่ือใด อย่างไร
บุคคลประเภทใดซ่งึ ไดร้ บั การ เหมาะสม และใครเปน็ ผใู้ หข้ ้อมูล
รวบรวมและใช้สำหรบั การ เชน่ เจ้าของขอ้ มูล (DS) เมอื่ มี
ประมวลผลในครงั้ นี้ การลงทะเบยี นในการวจิ ยั
‐ ชือ่ -สกลุ (หากมมี ากกว่า 1 โปรดระบ)ุ
‐ วัน เดือน ปเี กิด
‐ ทอี่ ยูบ่ ้าน
‐ หมายเลขโทรศัพท์ทีท่ ำงาน
‐ หมายเลขโทรศัพท์มอื ถือ
‐ อีเมลท่ที ำงาน
‐ อีเมลสว่ นตัว
สามารถระบุข้อมูลเพ่ิมเตมิ ลงในตารางด้านลา่ ง (หากมี):
หมายเหตุ: ทา่ นสามารถเพ่มิ แถวในตาราง หากมขี ้อมูลเพ่ิมเตมิ
2. ข้อมูลการดำเนนิ การท่ีได้รบั การ ทำเคร่ืองหมาย √ หากขอ้ มูลไดร้ บั ไดร้ ับข้อมูลมาเมอื่ ใด อยา่ งไร
รวบรวมและบนั ทึกสำหรับการ การรวบรวมและใช้สำหรับการ และใครเป็นผใู้ ห้ขอ้ มูล
ประมวลผลน้ันมกี ารเปิดเผยขอ้ มูล ดำเนนิ การอยา่ งโปรง่ ใส
ส่วนบคุ คลนั้นเปน็ ขอ้ มลู ออ่ นไหว / ทำเครื่องหมาย √ และระบุ
ขอ้ มูลประเภทพเิ ศษ (“ขอ้ มลู ที่ตอ้ ง (“ทางอ้อม”) หากข้อมลู ไดร้ ับการ
ไดร้ บั การดแู ลเปน็ พเิ ศษ”) เปิดเผยโดยออ้ ม (พร้อมระบุ
คำอธบิ ายในหมายเหตหุ ากจำเปน็ )
เชือ้ ชาติ/ ชาตพิ ันธ์ุ
ความคดิ เหน็ ทางการเมอื งหรอื ความ
เก่ยี วข้องด้านการเมอื ง
ศาสนาหรอื ความเช่ือ
สมาชกิ ภาพประจำสหภาพแรงงาน
ข้อมลู ทางพันธุกรรม
- ข้อมลู ทางชวี ภาพ
ขอ้ มูลด้านสขุ ภาพของบคุ คล
ข้อมูลเกยี่ วกับรสนยิ มทางเพศหรอื เพศ
สภาพของบคุ คลนน้ั
598 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: