ประวัตอิ าชญากรรม
เอกสารระบุสัญชาติ *เช่นหมายเลขบัตร
ประจำตวั ประชาขน หมายเลขประจำตัว
ผเู้ สยี ภาษี
ขอ้ มูลเกย่ี วกับหนี้สนิ / การใช้บตั รเครดิต
ขอ้ มูลเก่ยี วกับผเู้ ยาว์
3. หากทราบหรือพจิ ารณาแลว้ กอ่ น
หน้าน:้ี ข้อมูล (พิเศษและอ่ืน ๆ)
ข้อมลู ดังกล่าวจะไดร้ ับการเก็บ
รักษาเปน็ ระยะเวลาเทา่ ใด จะมกี าร
ดำเนินการกบั ข้อมลู ดงั กลา่ วใน
ภายหลังอย่างไร *
* ระบรุ ะยะเวลาหรือเหตกุ ารณ์เชน่
“ 7 ป”ี หรอื “ จนครบ 5 ปหี ลงั เลิก
จา้ งงาน” รวมทั้งอธบิ ายสงิ่ ที่
ดำเนนิ การกับขอ้ มูลเชน่ ดำเนินการ
ลบ / การทำลายหรือการแสดงผล
โดยไม่ระบตุ วั ตน
หมายเหตุ: หากระยะในเวลาการ
เกบ็ รกั ษาข้อมูลแตกตา่ งกันโปรด
ระบุ
2.2 การเปิดเผยข้อมูล วัตถปุ ระสงค์ทเ่ี ปิดเผยข้อมลู
1. สามารถเปดิ เผยขอ้ มลู ขา้ งตน้ ใหแ้ ก่ บคุ คลที่สามของผู้รับโอนข้อมลู
บคุ คลใดบา้ ง และเพ่ือวตั ถุประสงค์ใด สถานทีร่ วมถึงประเทศทีจ่ ดั ทำ
หมายเหตุ: นอกจากนี้ วธิ ีการดงั กล่าว ข้อมลู :
ยังใช้กับข้อมลู ทส่ี ามารถเขา้ ถงึ โดยตรง
โดยเฉพาะช่องทางออนไลน์/การ
เปิดเผยขอ้ มลู ทเ่ี ก่ยี วขอ้ งกบั การถ่าย
โอนข้อมูลไปยังประเทศทส่ี ามตา่ ง ๆ
(ข้อมลู เพ่ิมเตมิ ในหวั ขอ้ 2.5)
ขอ้ มลู ทงั้ หมดในรายการท่ี 2.1
หรือขอ้ มลู ดงั ต่อไปนี้
(คัดลอกขอ้ มลู จาก1 & 2 ด้านบน)
สามารถระบุข้อมูลเพ่ิมเตมิ ลงใน
ตารางด้านลา่ ง (หากมี)
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 599
หมายเหตุ: ทา่ นสามารถเพิ่มแถวใน
ตาราง หากมีข้อมลู เพิม่ เตมิ
2.3 พ้นื ฐานทางกฎหมายสำหรับการประมวลผลขอ้ มูลสว่ นบุคคล
2. การประมวลผลข้อมูลสว่ นบคุ คลอยบู่ นฐานการ ทำเครื่องหมายถูกหนา้ คำอธิบาย:
ประมวลผลขอ้ ใด? พนื้ ฐานทางกฎหมายที่
หมายเหตุ: กรณที ป่ี รากฏฐานการประมวลผลท่ี เกีย่ วขอ้ งพร้อมชี้แจง
แตกต่างกันสำหรบั การประมวลผลข้อมูลประเภท รายละเอยี ดในคอลัมน์
ต่างกนั หรือเป็นไปเพอ่ื วตั ถุประสงคท์ ีแ่ ตกต่าง ถดั ไปถึงความเก่ยี วข้อง
กัน (วตั ถุประสงค์หลกั วัตถปุ ระสงคร์ อง หรอื อืน่
ๆ ซ่ึงไม่เกีย่ วข้อง) กรณุ าระบุ (หากจำเป็น ให้
คดั ลอกรายการข้อมูลซ่งึ มอี ยูบ่ นพ้ืนฐานทาง
กฎหมายต่างกันจากดา้ นบนและด้านลา่ ง และ
วางข้อมูลลงในคอลมั นท์ ่สี อง)
- เจ้าของข้อมูลยินยอมใหด้ ำเนนิ การประมวลผล
ขอ้ มลู ส่วนบุคคล
หมายเหต:ุ สามารถดูรายละเอียดเพ่ิมเติมไดจ้ าก
คำถามข้อ 6 - 9 ดา้ นล่างน้ี
- การประมวลผลขอ้ มลู สว่ นบคุ คลมีความสำคญั ตอ่
การทำสัญญาระหวา่ งองคก์ รของท่านและเจา้ ของ
ขอ้ มลู (หรือเพือ่ ดำเนนิ การตามคำขอของเจ้าของ
ขอ้ มลู กอ่ นที่จะเข้าสกู่ ระบวนการเซน็ สญั ญา - เชน่
การอ้างองิ )
- การประมวลผลข้อมูลส่วนบุคคลเปน็ ไปเพ่อื ให้
สอดคล้องตอ่ ข้อบงั คบั ทางกฎหมายซ่งึ มีผลบงั คบั
ใชใ้ นองค์กรของทา่ น * เช่น กฎหมายการจ้างงาน
หรอื กฎหมายภาษีอากร-กรณุ าระบุประเภท
กฎหมายในคำถาม
- การประมวลผลขอ้ มลู สว่ นบคุ คลเป็นส่ิงที่จำเปน็
ต่อการปฏิบัติตามขอ้ ผกู มัดทางกฎหมายทอ่ี งค์กร
ของคณุ ตอ้ งปฏิบตั ติ าม *เช่นกฎหมายการจ้างงาน
หรือภาษี - โปรดระบุกฎหมายทเ่ี ป็นปญั หา
600 Thailand Data Protection Guidelines 3.0
- การประมวลผลเปน็ ส่ิงทีจ่ ำเป็นสำหรบั การ 601
ปฏิบัตงิ านเพื่อสาธารณประโยชน์ *
- * โปรดระบแุ หลง่ ท่มี าของงาน (โดยท่วั ไป
กฎหมาย)
- การประมวลผลขอ้ มูลสว่ นบคุ คลไดร้ ับการ
ดำเนนิ การโดยภาครฐั (official authority)
* โปรดระบุแหลง่ ท่ีมาของ Task (โดยทั่วไปอา้ งองิ
จากขอ้ กฎหมาย)
- การประมวลผลขอ้ มูลสว่ นบุคคลมคี วามสำคัญต่อ
Legitimate interest ขององคก์ รของท่าน (หรือ
entity อ่ืน ๆ) และมไิ ดเ้ ปน็ การใหค้ วามสำคัญตอ่
ผลประโยชน์ของเจา้ ของขอ้ มลู แตอ่ ย่างใด เชน่
การทำการตลาดให้แกล่ ูกคา้ ของทา่ น หรือการ
ปอ้ งกนั การปลอมแปลงข้อมูล- โปรดระบุ
การใหค้ วามยินยอม - รายละเอยี ดเพ่มิ เติม
3. กรณที ี่มกี ารประมวลผลข้อมูลส่วนบคุ คลโดย
ไดร้ ับความยนิ ยอมจากเจา้ ของขอ้ มูล โปรดระบุ
ว่าเจ้าของขอ้ มูลได้แสดงความยนิ ยอมด้วย
วิธีการใด พร้อมระบุวัน เดอื น ปี ท่ไี ด้รบั
เอกสารแสดงความยนิ ยอมดงั กลา่ ว
หมายเหต:ุ กรณที มี่ กี ารใหค้ วามยนิ ยอมเป็น
เอกสาร หรือเอกสารอิเลก็ ทรอนิกส์ กรณุ าแนบ
สำเนาข้อความ/ ลิงค์ท่เี กี่ยวขอ้ ง
4. หลกั ฐานเพื่อแสดงว่าเจา้ ของข้อมลู ใหค้ วาม
ยนิ ยอม ไดแ้ ก่อะไรบา้ ง เชน่ สำเนาถูกได้รบั
การจดั เก็บในรปู แบบของเอกสาร หรอื เอกสาร
อเิ ล็กทรอนกิ ส์?
5. หลักฐานดังกล่าวไดร้ บั การเก็บรกั ษาเปน็
ระยะเวลาเทา่ ไหร่
6. ภายใต้บริบทของสัญญา ในกรณีทีท่ างบริษทั ขอ
ข้อมูลเพ่ิมเติมเนือ่ งจากข้อมูลสว่ นนั้นมคี วาม
จำเป็นตอ่ การทำสญั ญา ได้มีการชี้แจงให้
เจ้าของขอ้ มลู ไดร้ บั ทราบเก่ียวกับการขอข้อมลู
เพมิ่ เติมหรือไม่ ?
หมายเหต:ุ สามารถระบุว่า“ ไม่มขี อ้ มูล ” หรอื ใน
ศนู ยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย
กรณที ีก่ ารขอข้อมูลมผี ลบงั คบั ใช้ โปรดใหส้ ำเนา
ขอ้ ความ/ลงิ คท์ ี่เกยี่ วขอ้ ง
2.4 การชีแ้ จงใหเ้ จา้ ของขอ้ มลู ได้รบั ทราบ กรณุ าระบุว่าใช่ / ไม่ใช่ (หรือ“ไม่ อธบิ ายว่ามกี าร
มีข้อมูล ”) หมายเหต:ุ หากมี ดำเนนิ การเม่อื ใดและ
7. เจา้ ของขอ้ มลู ไดร้ ับทราบข้อมูลดังต่อไปน้ี ความเกย่ี วข้อง สามา "ปรากฏ ดว้ ยวิธกี ารใด
หรือไม่ ชดั เจนตามบริบท" และ / หรือ โปรดแนบสำเนาข้อมลู
และกรณีท่เี จ้าของข้อมูลรบั ทราบ มีการแจ้ง "เจ้าของขอ้ มลู มขี ้อมูลนี้อยู่แล้ว" ประกาศหรอื ลิงค์
ข้อมูลดังกล่าวเมื่อใด และดว้ ยวธิ กี ารใด
- องคก์ รของทา่ นเปน็ ผ้คู วบคุมการดำเนินการ
ประมวลผลข้อมลู ส่วนบคุ คลหรอื ไม่?
- รายละเอยี ดขององค์กร (เช่น ช่อื บรษิ ัท และ
เลขทะเบยี นบริษัท)
- รายละเอยี ดของตัวแทนของทา่ นในต่างประเทศ
(หากมี)
- ข้อมูลตดิ ตอ่ DPO
- วัตถปุ ระสงคห์ ลกั ของการประมวลผลขอ้ มูล
สว่ นบคุ คลคืออะไร
- วตั ถุประสงค์อ่นื นอกเหนือจากวัตถปุ ระสงคท์ ่ี
องค์กรต้องการ (หรือต้องการในอนาคต)เพื่อ
ประมวลผลข้อมูลสว่ นบคุ คล
- กรณที ี่องค์กรไม่ไดร้ ับขอ้ มลู โดยตรงจาก
เจ้าของข้อมลู กรณุ าระบุแหลง่ ทม่ี า หรอื
แหลง่ ทม่ี าของข้อมลู รวมทงั้ ระบวุ า่ ข้อมูล
ดงั กลา่ วหมายรวมถงึ ขอ้ มลู สาธารณะหรอื ไม่
- แหล่งทส่ี ามารถเขา้ ถงึ ข้อมูลได้ (เชน่ การจด
ทะเบียนสาธารณะ)
- ผู้รับหรอื ประเภทของผู้รบั การถ่ายโอนข้อมลู
- ข้อมูลดังกลา่ วได้รบั การถ่ายโอน (หรือจะได้รบั
การถา่ ยโอน) ไปยังประเทศ Non-EU/EEA
หรือไม่ (เช่น มีการถา่ ยโอนข้อมูลไปยงั Cloud
server ของประเทศสหรัฐอเมรกิ า)
602 Thailand Data Protection Guidelines 3.0
- หากมกี ารถา่ ยโอนข้อมลู เกิดขนึ้ เป็นจำนวนมาก มี
มาตรการการคมุ้ ครองข้อมลู อย่างไรและเจา้ ของ
ขอ้ มูลสามารถขอรับสำเนาข้อมูลดงั กล่าวได้จาก
ไหน
- มกี ารจัดเก็บข้อมูลเป็นระยะเวลาเท่าใด
- เจา้ ของขอ้ มลู มีสิทธใิ นการเขา้ ถงึ ขอ้ มูล การแก้ไข
ขอ้ มลู หรอื การลบขอ้ มูล รวมทง้ั การขอปิดก้ัน
การเข้าถงึ ขอ้ มูล การคดั ค้านมใิ หป้ ระมวลผล
ขอ้ มูลส่วนบุคคล
- สิทธ์ิของเจ้าของข้อมลู ในการย่ืนเรือ่ งรอ้ งเรยี นต่อ
DPA
8. หากการประมวลผลข้อมูลท้งั หมดหรือบางส่วน
ได้รบั ความยนิ ยอมจากเจ้าของข้อมลู เจ้าของ
ขอ้ มูลไดท้ ราบเนอ้ื หาดังต่อไปนี้หรือไม่
- เจา้ ของขอ้ มูลสามารถเพกิ ถอนความยินยอมได้
ทุกเมอ่ื และทราบถึงวิธดี ำเนนิ การเพกิ ถอนความ
ยนิ ยอม (โดยไมส่ ่งผลกระทบต่อความชอบทาง
กฎหมายสำหรบั การประมวลผลขอ้ มูลสว่ นบุคคล
ในระยะเวลาที่ผา่ นมา)
9. หากการให้ขอ้ มลู ดังกลา่ วเป็นเงื่อนไขการ กรุณาระบุว่าใช่ / ไมใ่ ช่ (หรอื “ไม่มี อธบิ ายว่ามีการ
ขอรับความค้มุ ครอง หรอื เงอื่ นไขตามสญั ญา ข้อมลู ”) หมายเหต:ุ หากมคี วาม ดำเนนิ การเมอื่ ใดและ
(หรอื ขอ้ กำหนดในการทำสัญญา) เจา้ ของ เกี่ยวขอ้ ง สามา "ปรากฏชดั เจนตาม ด้วยวิธีการใด
ข้อมลู ได้รบั ทราบขอ้ มลู ดงั ตอ่ ไปนหี้ รอื ไม่ บรบิ ท" และ / หรือ "เจา้ ของขอ้ มลู มี โปรดแนบสำเนาขอ้ มลู
ขอ้ มลู น้อี ยแู่ ล้ว ประกาศหรือลิงค์
- เจ้าของข้อมูลจำเปน็ ต้องใหข้ อ้ มูลหรอื ไม่ และ
กรณีทไ่ี ม่ยนิ ยอมให้ขอ้ มูลจะสง่ ผลอยา่ งไร
10.หากมกี ารประมวลผลขอ้ มูลท้ังหมดหรอื บาง
ส่วนบนพ้นื ฐานของเกณฑ์ "ผลประโยชนท์ ี่
ชอบด้วยกฎหมาย" หรือ “legitimate
interest” เจ้าของขอ้ มลู ได้รับแจง้ ถึง
ผลประโยชนด์ ังกลา่ วอันจะไดร้ บั เม่อื ตอบขอ้
ซกั ถามหรอื ไม่
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 603
11.ในกรณีท่ีการเจ้าของขอ้ มูลเปน็ ผูท้ รงสทิ ธิ โปรดใหข้ ้อมูลสรปุ โดย
หน้าที่ตามกฎหมายสำหรับ automated- ย่อเก่ียวกบั หลักเหตผุ ล
decision-making หรือ automated ซ่ึงใช้เพอ่ื ดำเนนิ การ
profiling น้ัน เจา้ ของขอ้ มลู ได้รบั ทราบขอ้ มูล automated decision-
เหล่าน้หี รอื ไม่ making หรอื การสรา้ ง
โปรไฟล์ (Profiling)
- ขอ้ มลู จะถูกนำไปใชเ้ พ่อื ดำเนนิ การ automated
decision-making หรือการสรา้ งโปรไฟล์
- โดยรวมแล้วการดำเนินการ automated
decision-making หรือ automated profiling
มีความสำคัญอยา่ งไร และผลจากการดำเนนิ การ
ดังกล่าวคืออะไร
2.5 การส่งขอ้ มลู ตา่ งประเทศ (Transborder data flows)
12.มกี ารถา่ ยโอนขอ้ มูลส่วนบุคคลไปยังประเทศที่ ระบวุ ่า มี / ไมม่ ี และ อธบิ ายวตั ถปุ ระสงคใ์ นการ
สาม [เช่นประเทศ Non-EU / EEA] (หรอื ภาค ประเทศซ่ึงเปน็ ผู้รับโอน ดำเนินการถา่ ยโอนข้อมูล
ส่วนตา่ ง ๆ ซ่งึ ตั้งอยใู่ นประเทศทีส่ าม) หรือไปยงั ขอ้ มูล เชน่ การดำเนินการเป็นส่วน
องค์กรระหวา่ งประเทศซ่ึงองค์กรหรือประเทศ หนึง่ ของภาระหนา้ ท่ขี อง
ปลายทางน้นั มีการคุม้ ครองขอ้ มูลส่วนบุคคลใน กรณีที่การถ่ายโอนข้อมลู องค์กรของทา่ น (เช่น ในการ
ระดับทีเ่ พยี งพอตามพ.ร.บ. คมุ้ ครองข้อมูลสว่ น เกดิ ข้นึ เพยี งบางสว่ น มใิ ช่ ใชซ้ อฟต์แวร์ Cloud-based)
บุคคลหรอื ไม่ ขอ้ มลู ท้ังหมด โปรดระบุ หรอื เป็นสว่ นหนึ่งของการ
ประเภทของขอ้ มูล เปดิ เผยข้อมลู สว่ นบุคคลตอ่
ดงั กล่าว บคุ คลท่ีสาม (โปรดระบุ
บคุ คลผู้รับโอนขอ้ มูล)
ขอ้ มลู ทง้ั หมดดงั ระบุใน 2.1
หรอื : ข้อมูลต่อไปน:ี้
(คดั ลอกขอ้ มูลจาก 1 & 2 ด้านบน)
ท่านสามารถเพ่มิ จำนวนแถวสำหรบั กรอกขอ้ มลู อธิบายวตั ถุประสงค์ในการ
เพมิ่ เตมิ ดำเนินการถ่ายโอนขอ้ มลู
16. มีการถ่ายโอนขอ้ มูลไปยงั ประเทศทสี่ าม [เช่น ระบวุ ่า มี / ไม่มี และ เช่น การดำเนินการเป็นส่วน
หนงึ่ ของภาระหน้าที่ของ
ประเทศ non-EU / EEA] (หรอื ภาคสว่ นตา่ ง ๆ ประเทศซึ่งเป็นผรู้ ับโอน
ซง่ึ ต้ังอยู่ในประเทศทีส่ าม) หรอื องคก์ รระหวา่ ง ขอ้ มลู
ประเทศซึ่งไม่มีการค้มุ ครองข้อมลู ในระดับท่ี
604 Thailand Data Protection Guidelines 3.0
"เพยี งพอ" ภายใต้พ.ร.บ.คมุ้ ครองขอ้ มลู ส่วน กรณที ่ีการถ่ายโอนขอ้ มูล องค์กรของทา่ น (เช่น ในการ
บคุ คลหรือไม่ เกดิ ข้นึ เพียงบางส่วน มใิ ช่ ใช้ซอฟตแ์ วร์ Cloud-based)
ขอ้ มูลทงั้ หมด โปรดระบุ หรือ เป็นสว่ นหนง่ึ ของการ
ประเภทของขอ้ มูลดังกลา่ ว เปดิ เผยข้อมูลสว่ นบคุ คลต่อ
บุคคลทส่ี าม (โปรดระบุ
บคุ คลผ้รู บั โอนขอ้ มลู )
หมายเหต:ุ หากมีการถา่ ยโอนขอ้ มูลดว้ ยวัตถุประสงค์ทแี่ ตกต่างกันไปยงั ผรู้ ับโอนขอ้ มูลรายย่อยในประเทศตา่ ง ๆ
กรณุ าใหข้ ้อมูลเพ่มิ เตมิ เก่ยี วกับการโอนแต่ละรายการ
ข้อมลู ทั้งหมดดังระบุไวใ้ น 2.1
หรอื ข้อมลู ตอ่ ไปนี้ (คัดลอกขอ้ มลู จาก 1 & 2
ด้านบน)
ท่านสามารถเพ่มิ จำนวนแถวสำหรับกรอกขอ้ มลู
เพิม่ เติม
* หมายเหตุ: เน่อื งด้วยพ.ร.บ. ค้มุ ครองข้อมลู สว่ นบคุ คล ในประเทศไทย ยงั ไม่มีเกณฑ์เรอ่ื งการโอนข้อมลู ไปยงั
ตา่ งประเทศอยา่ งชัดเจน ดังน้ันจึงขอใชเ้ กณฑต์ าม GDPR
ภายใตก้ ฎหมาย GDPR การถ่ายโอนข้อมูลไปยงั ประเทศทีไ่ ม่ได้รับการยอมรับวา่ มมี าตรการปอ้ งกนั ที่"เพยี งพอ"
สามารถกระทำได้ในกรณที ี่มี "การปอ้ งกนั ท่ีเหมาะสม" ดงั ระบไุ ว้ในคอลัมน์ช่องซา้ ยด้านล่าง หรือหากการถา่ ย
โอนขอ้ มลู ส่งผลใหเ้ สือ่ มเสยี ชอื่ เสยี ง การปอ้ งกันท่ีเหมาะสมอยใู่ นคอลมั น์ช่องขวาด้านล่าง
การปอ้ งกันตามมาตรา 46 ตามกฎหมาย GDPR: ความเสียหายตามมาตรา 49 กฎหมาย GDPR กรณที ี่
1. ข้อตกลงระหว่างประเทศซ่ึงจดั ทำขึ้นระหวา่ ง ความคมุ้ ครองตามมาตรา 46 ไมส่ ามารถกระทำได้
หน่วยงานของรัฐ 7. ความยินยอม;
2. หลกั Binding Corporate Rules (BCRs) 8. การทำสัญญาระหวา่ งผูค้ วบคมุ ข้อมลู สว่ น
3. มาตรการสำหรบั ถา่ ยโอนข้อมลู ซ่งึ มีการรบั รอง บคุ คลและเจา้ ของข้อมูล
4. จรรยาบรรณ 9. สัญญาระหว่างผูค้ วบคมุ ขอ้ มูลสว่ นบคุ คลและ
5. การรบั รอง บุคคลท่ีสาม
6. คำสัง่ เฉพาะกิจซึง่ ได้รบั การอนุมตั ิ 10. มคี วามจำเปน็ สำหรับเหตผุ ลสำคญั เพอื่
ประโยชนส์ าธารณะ (public interest)
เกีย่ วกับขอ้ เรียกรอ้ งทางกฎหมาย
11. มีความจำเปน็ สำหรับคุ้มครองฐานประโยชน์
สำคญั ของชวี ติ (vital interest) ของเจ้าของ
ขอ้ มูล หรอื บคุ คลอนื่
12. การถ่ายโอนขอ้ มูลซึ่งมาจากการลงทะเบยี น
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย 605
17. มีการใชก้ ฎหมายเพอื่ ดำเนินการกับคำ สามารถเขา้ ถึงไดโ้ ดยสาธารณะ
พพิ ากษาของศาลหรอื ศาลยุติธรรม และการ ระบุวา่ ใช่ / ไมใ่ ช่ และในกรณีที่ใช่ กรุณาแนบสำเนา
ตดั สนิ ใจใด ๆ โดยผู้มอี ำนาจบรหิ ารของ คูม่ ือเพิ่มเติม
ประเทศท่สี ามซึ่งเป็นผคู้ วบคมุ ขอ้ มลู ส่วน
บุคคล หรือการประมวลผลอ่นื ๆ ในการถ่าย
โอนหรอื เปิดเผยขอ้ มูลส่วนบุคคล หรือไม่
(3) ความมน่ั คงปลอดภัยและการเกบ็ รกั ษาความลับของข้อมูลส่วนบุคคล กรณุ าช้แึ จง
รายละเอยี ดเพม่ิ เติม:
หมายเหต:ุ หากคำตอบในแตล่ ะหัวข้อแตกตา่ งกนั เนอื่ งจากมขี อ้ มูลหลากหลายประเภท
กรุณาแนบสำเนา
โปรดตอบคำถามโดยแยกประเภทสำหรับชดุ ขอ้ มลู แตล่ ะชดุ นโยบายดงั กลา่ ว
โปรดใหร้ ายละเอียด
ข้อมูลส่วนบคุ คลที่ระบุไว้ใน 2.1 อยใู่ นรปู แบบเอกสารหรือรปู แบบเอกสาร เพ่ิมเติมหรอื แนบ
อเิ ลก็ ทรอนกิ ส์ หากอย่ใู นรปู แบบเอกสาร ขอ้ มลู ดังกลา่ วมกี ารจดั เก็บอย่างเปน็ ระเบียบ สำเนาข้อตกลงที่
หรือไม่ (แฟม้ ขอ้ มลู ) เกี่ยวข้อง หรอื ข้อ
ข้อมลู ไดร้ บั การจดั เกบ็ ไวท้ ไี่ หน (ทีอ่ งค์กรของท่าน บนเซิรฟ์ เวอรข์ องผคู้ วบคมุ การ สัญญาท่ีเกี่ยวขอ้ ง
ประมวลผลข้อมูลส่วนบคุ คลหลัก หรือที่เซริ ฟ์ เวอรข์ ององค์กรซึ่งทำงานร่วมกัน หรอื
เซริ ฟ์ เวอร์ของบคุ คลทีส่ าม (เช่น ผู้ใหบ้ ริการคลาวด์)
มีมาตรการในการป้องกันมิให้บคุ คลภายนอกซงึ่ ไม่ได้รบั อนญุ าตเข้าถงึ แหลง่ จดั เกบ็
ขอ้ มูลอยา่ งไร มนี โยบายคุม้ ครองความปลอดภยั ของข้อมลู ซึ่งใชใ้ นการควบคมุ มิให้
เหตกุ ารณด์ งั กล่าวเกิดข้ึนหรือไม่ (หากมี เช่นนั้นโปรดจัดเตรียมสำเนานโยบาย
ดังกลา่ ว)
ใชฮ้ ารด์ แวร์ประเภทใดในการประมวลผลข้อมลู สว่ นบคุ คล ใครเปน็ ผู้รับผิดชอบดา้ น
การบริหารจดั การและความปลอดภัยของฮารด์ แวร์ดังกลา่ ว
มขี อ้ มลู ใดซง่ึ ได้รบั การจดั เก็บในสื่อ / อปุ กรณซ์ ่งึ สามารถเคล่อื นยา้ ยได้หรือไม่ สอ่ื /
อุปกรณเ์ หลา่ น้นั ได้แกอ่ ะไรบ้าง ใครคือผถู้ อื ครองอปุ กรณ์ดังกล่าว
ผูไ้ ด้รับอนญุ าตให้เข้าถึงขอ้ มูลสามารถใชอ้ ุปกรณส์ ่วนตวั เพอื่ เข้าถึงหรือเพ่อื ประมวลผล
ข้อมลู สว่ นบคุ คลไดห้ รือไม่ หากสามารถทำได้ มีนโยบาย BYOD บงั คบั ใชก้ ับการ
ดำเนนิ การดงั กล่าวหรอื ไม่
บคุ คลทัง้ หมดซงึ่ ได้รับอนุญาตใหเ้ ขา้ ถงึ ข้อมูลส่วนบคุ คลมหี นา้ ทใ่ี นการรกั ษาขอ้ มลู ให้
เปน็ ความลบั (ไม่วา่ ภายใตบ้ รรทดั ฐานทางกฎหมาย หรือขอ้ ตกลงรว่ มทางวชิ าชพี หรือ
ตามขอ้ สญั ญาซ่ึงระบไุ ว้)
606 Thailand Data Protection Guidelines 3.0
ใช้ซอฟต์แวร์ / แอพพลิเคช่นั ใดในการประมวลผลขอ้ มลู ส่วนบคุ คล (เชน่ ชดุ โปรแกรม
MS Office ซ่งึ เป็นเวอรช์ ัน่ คอมพวิ เตอร์เดสกท์ ็อป แอปพลิเคชนั ซึ่งส่วนกลางเป็นผู้
ควบคุม บรกิ าร cloud service ฯลฯ)
- ซอฟต์แวรด์ ังกล่าวไดร้ ับการบริหารจัดการจากบริษทั ลกู / หนว่ ยงานท้องถิ่น หรือ
จากบรษิ ทั แม่/ หนว่ ยงานส่วนกลาง; กรณที ไ่ี ดร้ บั การบริหารจากสว่ นกลาง ใครคอื ผู้
ควบคุมข้อมูลหลกั (central entity); หากหนา้ ท่ดี ังกล่าวมใิ ชข่ องทา่ น มีการทำ
ข้อตกลงอยา่ งเป็นทางการระหว่าง central entity กบั องค์กรของท่านเกี่ยวกับการ
ใช้งานซอฟตแ์ วรห์ รือไม่; กรุณาจดั เตรยี มสำเนาข้อมูลด้านการเตรียมการดังกลา่ ว
- ซอฟตแ์ วร์ใชง้ าน "คลาวด์" หรอื ไม่ หากใช้ ผใู้ หบ้ ริการระบบคลาวดค์ ือบุคคลใด
และผ้ใู ห้บริการมที ี่ตง้ั อยูอ่ ยแู่ ห่งใด (legally based)
- เซริ ์ฟเวอร์คลาวด์ นน้ั มที ่ีต้ังทางกายภาพอยู่ทใ่ี ด
- ขอ้ มูลบนเซิร์ฟเวอรค์ ลาวด์ได้รับการเข้ารหสั อยา่ งสมบรู ณ์หรอื ไม่ ด้วยวิธีใด (เช่น
ใช้เทคโนโลยใี ดในการเข้ารหสั )
กรุณาจัดเตรยี มสำเนาของสัญญาภายใตก้ ารประมวลผลขอ้ มลู สว่ นบุคคลซง่ึ ได้รับ
การดำเนนิ การ ขา้ งตน้
- ใครเปน็ ผ้รู ับผิดชอบการใชง้ านซอฟทแ์ วร์ (เชน่ ใครเป็นผไู้ ดร้ บั อนญุ าตให้เป็น
"ผู้ดแู ลระบบ") (ท่าน หรอื บุคคลอื่นภายในองค์กรของท่าน หรอื บคุ ลากรท่านอื่นซ่ึง
ทำงานหนว่ ยงานกลางทค่ี ณุ เช่อื มโยงใน entity ส่วนกลางซึง่ ทำงานรว่ มกบั ท่าน
หรอื บคุ คลนอกเหนือจากทก่ี ล่าวมาท้งั หมด)
- มีการถา่ ยโอนข้อมลู ทางอเิ ล็กทรอนิกส์ไปยงั สื่อ ระบบหรอื อปุ กรณอ์ นื่ ในบาง
ช่วงเวลา/ในบางกรณี หรอื ไม่
หากมีการถา่ ยโอนข้อมลู ทางอิเล็กทรอนกิ ส์ มีการดำเนินการดงั ต่อไปน้หี รือไม่:
− ผ่านทางอนิ เตอรเ์ น็ต กรณที ่ใี ช้ช่องทางนี้ ข้อมลู ได้รบั การเข้ารหัสหรือไม่
และดว้ ยวธิ กี ารใด (เช่น ใช้เทคโนโลยีการเข้ารหัสหรอื ไม่ )
− ใช้ File Transfer Protocol (FTP) หรือไม่? วธิ ีการดงั กล่าวสามารถคมุ้ ครองข้อมูล
ไดอ้ ยา่ งไร
− ใช้ Virtual Private Network (VPN) หรือไม่ วิธกี ารดังกล่าวสามารถคมุ้ ครองข้อมลู
ได้อยา่ งไร
− อืน่ ๆ – โปรดระบุ
N3.3 [ภาระงานที่ 2 ทบทวนกิจกรรมการประมวลผลข้อมูลส่วนบุคคล] DPO มีหน้าที่
ทบทวนกระบวนการประมวลผลข้อมลู ส่วนบุคคลทอี่ ยู่ในบนั ทกึ รายการประมวลผลข้อมลู
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 607
ส่วนบุคคลตามภาระงานที่ 1 เพื่อที่จะตรวจสอบว่ากระบวนการเหล่านี้เป็นไปตามกฎ
ระเบยี บ ขอ้ บงั คบั และกฎหมายทเ่ี กยี่ วข้องกับข้อมลู สว่ นบุคคลในประเดน็ ตอ่ ไปนี้719
(1) วัตถุประสงคแ์ ละขอบเขตของการประมวลผลข้อมลู สว่ นบคุ คล
(2) กระบวนการอนุญาตให้ใช้ขอ้ มูลน้ันถกู ต้องหรือไม่ รวมไปถึงเอกสาร การให้การ
อนญุ าต และขอ้ กำหนดกฎหมายต่าง ๆ ท่ีเก่ยี วข้องกบั การประมวลผลข้อมูล
(3) ขอ้ มลู ส่วนบุคคลท่ถี ูกประมวลผลน้ันเป็นไปตามวัตถุประสงค์ที่แจ้งไว้กับเจ้าของ
ข้อมูลหรือไม่
(4) ข้อมูลมีคุณภาพ (ถูกต้อง ความเที่ยงตรง ความเป็นปัจจุบนั และอื่น ๆ) หรือไม่
รวมไปถึงได้จัดเก็บตามหลักการการจัดเก็บเฉพาะที่จำเป็น (Data
Minimization)720 และมกี ารแฝงข้อมูล (Pseudonymization) หรือไม่
(5) ข้อมูลสว่ นบุคคลทีผ่ คู้ วบคมุ ข้อมลู ไดร้ ับมานั้น มาจากเจา้ ของข้อมลู โดยตรง หรือ
มาจากแหลง่ อน่ื
(6) ระยะเวลาในการเกบ็ รักษาข้อมูล ทั้งในรูปแบบท่ีสามารถระบุตัวตนได้และระบุ
ตัวตนไม่ได้
(7) ความปลอดภยั ของข้อมลู ทัง้ เชิงเทคนิค การจัดการ และเชิงกายภาพ อันรวมไป
ถึงขอ้ จำกัดการเขา้ ถึงเชิงกายภาพ เชน่ ห้องเกบ็ เอกสารขอ้ มลู สว่ นบคุ คลมีกุญแจ
ล็อคแน่นหนาปลอดภยั เปน็ ตน้ และเชิงเทคนิค ไมว่ ่าจะเป็น บญั ชผี ใู้ ช้ รหัสผ่าน
Pin การเขา้ รหัสขอ้ มูล (Encryption) และอน่ื ๆ
(8) การโอนยา้ ยขอ้ มลู ข้ามประเทศ อันรวมไปถงึ ข้อผกู มดั ทางสัญญา และกฎหมายท่ี
เก่ยี วข้อง
(9) อ่ืน ๆ
719 หมายเหต:ุ การประเมนิ การปฏิบัตติ ามในขอ้ N3.3 นน้ั มิใชก่ ารประเมินความเสี่ยง เน่อื งจากถงึ แมว้ า่ จะปฏบิ ัตติ าม
หลักการครบทุกประการแลว้ ก็อาจจะยังมคี วามเส่ียงหลงเหลืออยู่
720 หลักการ Data Minimization คือการประมวลผลขอ้ มลู สว่ นบุคคล ผ้คู วบคุมขอ้ มลู จะตอ้ งดำเนินการเท่าทีจ่ ำเปน็
และจำกัดตามวตั ถุประสงคใ์ นการประมวลผลข้อมูล และผ้คู วบคุมข้อมลู จะต้องแจง้ วตั ถปุ ระสงค์ในการเกบ็ รวบรวม
ใช้ หรอื เปิดเผยให้เจ้าของข้อมูลส่วนบคุ คลทราบ
608 Thailand Data Protection Guidelines 3.0
N3.3.1 DPO ควรทำการตรวจสอบให้แนช่ ัดว่ากจิ กรรมการประมวลผลขอ้ มูลโดยรวมขององค์กร
นัน้ แล้วเปน็ ไปตามหลักการแหง่ กฎหมาย (Lawfulness) และมีความยุตธิ รรม (Fairness)
หรอื ไม่
N3.3.2 DPO ควรใชบ้ นั ทึกรายการประมวลผลข้อมูลสว่ นบคุ คลที่ได้จดั ทำตามภาระงานท่ี 1 เพ่ือ
เป็นพนื้ ฐานในการทบทวน ตงั้ คำถาม และตอบคำถามในประเดน็ ต่าง ๆ โดยเฉพาะอย่าง
ยง่ิ ในประเดน็ ดังตอ่ ไปนี้
(1) ในการประมวลผลข้อมูลส่วนบุคคล จะต้องทราบสถานะของผู้ดำเนินการ
ประมวลผลใหแ้ นใ่ จวา่ ใครเปน็ ผู้ควบคุมข้อมลู ใครเปน็ ผูค้ วบคมุ ข้อมลู ร่วม ใครเป็น
ผู้ประมวลผลข้อมูล หรืออื่น ๆ หากไม่แน่ชัด ให้ตรวจสอบว่ามีข้อตกลงอยา่ งเปน็
ทางการเพื่อระบสุ ถานภาพของบคุ คลท่ีทำการประมวลผลข้อมูลหรือไม่
(2) มีการระบไุ วอ้ ย่างชัดแจง้ หรอื ไมว่ ่าแผนกหรือฝ่ายงานใดมีหน้าท่คี วามรับผิดชอบใน
การประมวลผลขอ้ มลู และมกี ารระบไุ ว้อย่างเปน็ ทางการไว้ในเอกสารใด ๆ หรือไม่
(3) ในการประมวลผลข้อมลู ส่วนบคุ คลนนั้ มีการระบไุ ว้อยา่ งชัดเจนหรอื ไมว่ ่าองคก์ รจะ
ประมวลผลเพื่อวัตถุประสงค์เดียว หรือมากกว่า 1 วัตถุประสงค์ และมีการระบุ
วัตถุประสงค์การประมวลผลอยู่ในเอกสารใด หากมีการประมวลผลเพื่อ
วัตถุประสงค์ที่มากกว่า 1 วัตถุประสงค์ องค์กรได้มีการระบุหรือไม่ว่าอะไรคือ
ประสงค์หลัก และอะไรคอื วตั ถุประสงค์รอง รวมถงึ วตั ถุประสงค์รองน้นั เป็นไปตาม
วัตถปุ ระสงค์หลักหรือไม่ และมีความเกีย่ วขอ้ งกันกบั วตั ถปุ ระสงค์หลกั หรือไม่
(4) วัตถุประสงค์หลักในการประมวลผลนั้นเป็นเหตุอันสมควรที่จะประมวลผล (fully
justified) และเปน็ ไปโดยชอบธรรม (legitimate) หรือไม่
(5) ข้อมูลที่ถูกประมวลผลนั้นเพียงพอ เกี่ยวข้อง และจำเป็นกับวัตถุประสงค์หลัก
หรือไม่ และมมี าตรการใดบา้ งเพื่อตรวจสอบว่าข้อมูลน้ันเที่ยงตรงและเป็นปัจจุบัน
รวมถึงมมี าตรการใดเพือ่ ทจ่ี ะแกไ้ ขและทำให้ข้อมูลเป็นปจั จุบัน หรือลบข้อมูลท่ีไม่
ถูกต้องหรือข้อมูลทีไ่ ม่เป็นปัจจุบนั ออกไป นอกจากนี้มาตรการเหล่านี้นั้นเพียงพอ
หรือไม่ และมีทางเลือกอื่นหรือไม่ที่จะสามารถประมวลผลตามวัตถุประสงค์
เดียวกนั โดยมคี วามเส่ียงท่ีเกยี่ วข้องกบั สิทธแิ ละความเปน็ ส่วนตวั ของเจา้ ของข้อมูล
ทนี่ ้อยกวา่ วิธีเดิม
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 609
(6) ข้อมูลส่วนบุคคลใดบ้างที่ถูกใช้หรือเปิดเผยสำหรับวัตถุประสงค์รอง รวมไปถึง
วตั ถุประสงคท์ ่ไี ม่เก่ียวขอ้ ง และข้อมลู เหล่านีเ้ พียงพอ เก่ียวขอ้ งและจำเป็นสำหรับ
การประมวลผลในวัตถุประสงค์รอง วัตถุประสงค์ใหม่ และวัตถุประสงค์ที่ไม่
เก่ียวข้องหรือไม่
ข้อควรระวัง: การประมวลผลตามวัตถุประสงค์รอง หรือ วัตถุประสงค์ใหม่ หรือ
วตั ถุประสงค์ทีไ่ มเ่ ก่ียวขอ้ งอาจส่งผลให้เกดิ การประมวลผลทเ่ี กนิ ความจำเป็นได้
(7) วัตถุประสงค์รอง หรือ วัตถุประสงค์ใหม่ หรือวัตถุประสงค์ที่ไม่เกี่ยวข้องกับ
วัตถุประสงค์หลักในการประมวลผลน้ันเป็นเหตุอันสมควรที่จะประมวลผล (fully
justified) และเปน็ ไปโดยชอบธรรม (legitimate) หรือไม่
(8) ข้อมูลที่ถูกประมวลผลนั้นเพียงพอ เกี่ยวข้อง และจำเป็นกับวัตถุประสงค์รอง
วตั ถุประสงคใ์ หม่ และวตั ถุประสงคท์ ีไ่ ม่เก่ียวขอ้ งหรอื ไม่ และมีมาตรการใดบา้ งเพื่อ
ตรวจสอบว่าขอ้ มลู นัน้ เท่ียงตรงและเปน็ ปจั จุบนั รวมถึงมมี าตรการใดเพื่อทจ่ี ะแก้ไข
และทำให้ขอ้ มลู เป็นปัจจุบันอยู่เสมอ หรือลบข้อมลู ทไี่ ม่ถูกต้องหรือข้อมูลที่ไม่เป็น
ปัจจบุ ันออกไป นอกจากนีม้ าตรการเหลา่ นนี้ ั้นเพยี งพอหรอื ไม่721
(9) ข้อมูลส่วนบุคคลน้ันไดม้ าเมื่อไหร่ อย่างไร จากใคร ในรูปแบบใด722 เช่น ได้รับมา
โดยตรงจากเจ้าของข้อมูล จากหน่วยงานของรัฐบาล และจากพนักงาน เป็นต้น
หรอื ในรปู แบบของกระดาษ และการโอนถ่ายขอ้ มลู ทางอเิ ลกทรอนกิ ส์ เปน็ ต้น
(10) แหล่งที่มาของข้อมูลเหล่านี้เหมาะสมหรือไม่ ข้อมูลบางประเภทนั้นควรได้รับมา
จากเจ้าของขอ้ มูลโดยตรงหรือควรรบั มาจากแหล่งทีส่ ามมากกวา่ กนั
721 หมายเหตุ: หากขอ้ มูลถกู ใช้มากกว่า 1 วัตถุประสงคร์ อง หรอื เพอ่ื วตั ถุประสงคใ์ หม่ DPO จะตอ้ งตอบคำถาม
ข้างต้นแยกจากกนั
722 หมายเหต:ุ คำถามน้ีใชก้ บั ข้อมูลส่วนบคุ คลท่ัวไป และข้อมูลออ่ นไหว (sensitive data) และหากขอ้ มูลได้รับมา
จากหลายแหล่ง ต้องมีการระบุแหลง่ ทมี่ า (สามารถใช้แบบฟอรม์ ประมวลผลขอ้ มูลสว่ นบคุ คลไดจ้ าก 2.1 และ 2.2 ใน
ภาระงานท่ี 1)
610 Thailand Data Protection Guidelines 3.0
(11) ข้อมูลส่วนบุคคลทั่วไป และข้อมูลอ่อนไหว (sensitive data) ถูกเก็บไว้นาน
เพยี งใด723 และมวี ิธกี ารหลังจากการเก็บอย่างไร เช่น ลบ ทำลาย การทำให้เป็น
นิรนาม (anonymous) หรือ การใช้นามแฝง (pseudonymous)724
(12) ระยะเวลาในการเกบ็ ข้อมลู นนั้ เหมาะสมหรือไม่
(13) การลบหรือทำลายข้อมูลนั้นเป็นไปตามมาตรฐานภายในประเทศและระหว่าง
ประเทศหรอื ไม่
(14) หากข้อมูลถูกเก็บไว้ในรูปแบบของ anonymous หรือ pseudonymous เป็น
การกระทำที่เหมาะสมหรือไม่ และข้อมูลที่เก็บไว้แบบ pseudonymous นั้น
สามารถเปล่ยี นเป็นการเก็บในแบบ fully-anonymous725 ไดห้ รอื ไม่
(15) เมื่อข้อมูลได้รับการ anonymous จะทราบได้อย่างไรว่ามีการ anonymous
จริงหรือไม่
(16) ข้อมูลเหล่านี้ถูกเปิดเผยไปยังบุคคลที่สามใดบ้าง ด้วยเหตุผลอะไร และข้อมูล
เหลา่ น้ีถกู ตอ้ ง เกีย่ วข้อง เปน็ ปัจจบุ นั และจำเป็นต่อวัตถปุ ระสงค์ใน การโอนให้
บคุ คลท่สี ามหรอื ไม่ และมีมาตรการใด ๆ เพ่ือทำใหม้ น่ั ใจว่าขอ้ มลู นน้ั ถกู ต้อง และ
เป็นปัจจุบัน
(17) การประมวลผลข้อมูลสว่ นบุคคลนั้นเป็นบนฐานการประมวลผล(Legal basis) ใด
(18) ถ้าข้อมูลส่วนบุคคลถูกประมวลผลบนพื้นฐานของความยินยอมของเจ้าของ
ขอ้ มูล ใหพ้ ิจารณาประเด็นดังต่อไปนี้726
723 หมายเหต:ุ ระยะเวลาในการจัดเกบ็ ขอ้ มูล อาจถกู ระบุเปน็ ช่วงระยะเวลา หรอื เหตุการณ์ เช่น 7 ปี หรอื ภายใน 5 ปี
หลังถกู เลิกจา้ ง อย่างไรกด็ มี วี ิธีปฏบิ ัตมิ าตรฐานสำหรับการลบ ทำลายข้อมูลแตล่ ะประเภท DPO ต้องตรวจสอบให้
แนใ่ จว่ามกี ารปฏบิ ตั ิตาม โดยเฉพาะอย่างยง่ิ ขอ้ มลู ออ่ นไหว ไม่วา่ จะทางกฎหมาย สงั คม หรอื ทางการเมอื ง
724 สำหรบั วธิ ี anonymous หรือ pseudonymous นน้ั ยังถอื วา่ ขอ้ มลู ยงั มีอยู่ และระบุตวั ตนได้ หากเลือกทจี่ ะ
จัดเกบ็ ดว้ ยสองวิธนี ้ี จะต้องระบุใหไ้ ด้วา่ ทำไมจึงเลอื กสองวิธีน้ี เช่น เพ่ือการวจิ ยั หรือเก็บไวเ้ พื่อเป็นบันทึกทาง
ประวตั ศิ าสตร์ ในกรณเี หล่านจ้ี ะตอ้ งมีการประเมินวัตถุประสงค์เหลา่ นแี้ ยกใหเ้ ปน็ ไปตาม พ.ร.บ. ค้มุ ครองขอ้ มลู ส่วน
บุคคล และกฎหมายท่เี ก่ียวขอ้ ง
725 Fully anonymous เปน็ สิง่ ทท่ี ำไดอ้ ย่างยุ่งยาก โดยเฉพาะอยา่ งยงิ่ เมื่อมีชุดขอ้ มูลจำนวนมาก และชดุ ขอ้ มลู เหล่านี้
มีการเชอื่ มโยงไปยงั ชุดขอ้ มูลอ่ืน ๆ
726 GDPR, Article 6 (non-sensitive data) and Article 9 (sensitive data)
ศูนยว์ ิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 611
- องค์กรได้รับความยินยอมนั้นเมื่อใด และโดยวิธีใด เช่น โดยรูปแบบของ
กระดาษ อเิ ลกทรอนิกส์ โดยการสอบถามโดยตรง หรอื การทำเครอ่ื งหมายถูก
ในกลอ่ ง
- หลักฐานการใหค้ วามยินยอมมใี นรูปแบบใดบ้าง เช่น สำเนา หรอื log เปน็ ตน้
- หลักฐานการใหค้ วามยินยอมน้ันถกู เกบ็ ไว้นานเท่าใด
- ในกรณีทอี่ งค์กรเก็บรวบรวมข้อมูลส่วนบุคคลมากกว่าทีจ่ ำเป็นมาประมวลผล
องค์กรได้แจ้งเจ้าของข้อมูลหรือไม่ว่าเจ้าของข้อมูลไม่จำเป็นต้องให้ข้อมูล
ส่วนเกินดงั กลา่ ว
(19) เจ้าของข้อมูลนั้นได้รับแจ้งถึงประเด็นต่างๆที่ควรไดร้ ับแจง้ หรือไม่727 และได้รับ
การแจ้งเมื่อใด และด้วยวิธีใด รวมถึงข้อมูลที่ได้รับแจ้งเหล่านี้ถูกแจง้ ในรูปแบบ
และเวลาทีเ่ หมาะสมท่สี ดุ หรือไม่ และมกี ารแยกประเด็นระหว่างประเด็นที่จำเป็น
และประเด็นทางเลอื กอยา่ งชดั เจนหรอื ไม่
(20) ข้อมูลที่ถูกส่งไปยังประเทศสามรวมถึงองค์กรระหว่างประเทศนั้นเป็นไปตาม
มาตรการ (safeguard) ท่ีกฎหมายระบุหรือไม่728
(21) หากข้อมูลท่ีถูกสง่ ไปยังประเทศสามรวมถึงองคก์ รระหว่างประเทศนั้นมิได้เป็นไป
ตามมาตรการ (safeguard) ที่ระบุในกฎหมายแล้วนั้น ประเทศสาม รวมถึง
องค์กรระหว่างประเทศเหล่านั้นได้ใช้มาตรการ (safeguard) ใดบ้าง หรือได้รับ
การยกเวน้ ใด ๆ บ้างหรือไม่
(22) มาตรการ (safeguard) หรอื ข้อยกเวน้ ทีถ่ ูกใช้นน้ั ใช้ไดอ้ ยา่ งถกู ต้องหรอื ไม่729
(23) หากมีการส่งข้อมูลไปยังประเทศที่สาม การส่งข้อมูลนี้เป็นไปตามคำสั่งของศาล
หรือตามอำนาจของรฐั ของประเทศท่สี ามหรอื ไม่
(24) ผู้ควบคุมข้อมูลจะส่งข้อมูลไปยังประเทศที่สามตามคำร้องของศาล หรือตาม
อำนาจรฐั ของประเทศที่สามไดก้ ต็ ่อเมื่อทง้ั สองประเทศมีขอ้ ตกลงของท้ังสองฝ่าย
อย่างเป็นทางการ (International Agreement) หากไม่มีข้อตกลงอย่างเป็น
727 GDPR, Article 13 and 14
728 GDPR, Article 45
729 GDPR, Article 46 and 48
612 Thailand Data Protection Guidelines 3.0
ทางการ ผู้ควบคุมข้อมูลไมม่ ีความจำเป็นต้องสง่ ข้อมูลแตอ่ ยา่ งใด อย่างไรก็ตาม
ในการตัดสินใจสง่ ข้อมูลหรือไม่ ให้องค์กรขอรับคำปรึกษาจากผู้บริหารระดับสูง
และ DPO ขององคก์ ร และอาจขอความเหน็ เพม่ิ เติมจาก DPA
(25) หากองค์กรต้องส่งข้อมูลไปยังประเทศที่สาม ต้องตรวจสอบนโยบายและ
รายละเอียดของมาตรการทางเทคนิคของประเทศปลายทาง เพ่ือทำใหม้ ่นั ใจได้ว่า
ข้อมูลมีความปลอดภยั และเปน็ ความลบั 730
(26) หมายเหตุ: การส่งข้อมูลไปยังต่างประเทศต้องให้ความสำคัญกับเรื่องความ
ปลอดภัยของข้อมูลมากกว่าเรื่อง data minimization หรือ การจัดเก็บเพ่ือ
วัตถปุ ระสงคท์ ีม่ ีความเฉพาะเจาะจง (purpose limitation)
(27) DPO ต้องทราบและเข้าใจถึงมาตรฐานต่าง ๆ ทีเ่ กี่ยวข้องกับความปลอดภัยของ
ขอ้ มลู เชน่
- ISO/IEC 27001:2013, 29100, 27018, 29134, 29151, 20889, 29184
- UNI Reference Practice
- JIS 15001:2006
- BS10012:2017
- อ่นื ๆ ท่ีอาจมีเพิม่ เตมิ ในอนาคต
(28) หากมีการใช้ระบบ Cloud ในการประมวลผลจะต้องตรวจสอบว่า Cloud ที่ใช้
บรกิ ารน้นั ได้รับการรับรองหรอื ไม่731
(29) DPO มีหน้าที่ตรวจสอบว่าผู้ควบคุมข้อมูลมีความเข้าใจและตระหนักรูเ้ กี่ยวกับ
มาตรฐานขา้ งต้นเหล่าน้ีหรือไม่ รวมไปถงึ มีแผนทีจ่ ะมีการนำมาตรฐานเหล่านี้มา
ใชก้ ับองคก์ รหรอื ไม่ หากใช่ องค์กรจะมกี ารรบั รองมาตรฐานเมื่อใด732
(30) หาก DPO พบว่าการประมวลผลข้อมูลส่วนบุคคลนั้นไม่ได้เป็นไปตาม พ.ร.บ.
คุ้มครองขอ้ มูลสว่ นบคุ คล ไม่วา่ จะในประเดน็ ใดกต็ าม DPO มหี นา้ ท่ีแจง้ ใหบ้ ุคคล
730 GDPR, Article 23
731 อาจพิจารณาจาก “Trusted Cloud – Data Protection Profile for Cloud Services (TCDP)”
732 หมายเหต: ในภาระงานที่ 2 น้ี จะพจิ ารณาเพียงแคอ่ งค์กรมีความเขา้ ใจและจะนำมาตรฐานมาใช้หรือไม่ และมี
มาตรฐานใดบ้างที่มีการนำมาใช้ แตก่ ารตรวจสอบวา่ มีการปฏิบัติตามอยา่ งครบถ้วนหรือไม่น้ันจะทำในภาระงานท่ี 3
ศนู ยว์ ิจยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 613
ที่มีความรับผิดชอบในองค์กรรับรูถ้ ึงข้อบกพร่องและเสนอข้อแก้ไข ในบางกรณี
อาจหมายถงึ การต้องระงับการปฏบิ ตั ิการ
(31) หากคำแนะนำของ DPO ถูกละเลย DPO ควรแจ้งใหผ้ ู้บริหารสูงสุดรบั ทราบ (ดู
เรอื่ งการใหค้ ำแนะนำเพ่มิ เติมในภาระงานท่ี 8) 733
N3.3.3 DPO มหี น้าท่บี ันทกึ ผลการทบทวน ผลการประเมนิ รวมไปถึงคำแนะนำตา่ ง ๆ ทใี่ ห้ไว้กับ
ทุกฝ่าย
N3.4 [ภาระงานท่ี 3 ให้คำแนะนำในการประเมินความเส่ยี งของข้อมลู ส่วนบคุ คล] ผคู้ วบคุม
ข้อมูล734 มีหน้าทีใ่ นการประเมินความเสี่ยงท่ัวไป ซึ่งอาจรวมถึงความเส่ียงจะเกิดขึ้นต่อ
สิทธิและเสรีภาพของเจ้าของข้อมูลได้ ทั้งในด้านความน่าจะเป็น และความรุนแรง ซ่ึง
ต้องพิจารณาจากลักษณะของข้อมลู ขอบเขต และวัตถุประสงคใ์ นการประมวลผลข้อมูล
ส่วนบคุ คล
N3.4.1 หน้าที่ในการประเมินความเสี่ยงทั่วไปนั้นไม่ใช่หน้าที่ของ DPO โดยตรง ซึ่งตามหลัก
GDPR นั้น DPO มีหน้าที่ที่เกี่ยวข้องกับการให้คำแนะนำในการจดั ทำ DPIA (ตามภาระ
งานท่ี 4)735 แตม่ ไิ ด้มหี นา้ ทีห่ รือส่วนร่วมในการประเมนิ ความเสี่ยงโดยทั่วไป
อย่างไรกด็ ี ในความเป็นจริงแล้ว DPO ควรมบี ทบาทในการประเมินความเสีย่ งโดยท่ัวไป
ด้วย เพราะในหลายกรณีนั้นการประเมินความเสี่ยงขององค์การอาจต้องขอความเห็น
จาก DPO
N3.4.2 หน้าที่ของ DPO คือให้คำแนะนำแก่ผู้ควบคุมข้อมูลสามารถในการประเมินความเสี่ยง
และในทางปฏิบัติ DPO ควรอยู่ในกระบวนการประเมินความเสี่ยงของผู้ควบคุมข้อมูล
อย่างใกลช้ ดิ ตั้งแตต่ ้นจนจบกระบวนการ
733 หมายเหต:ุ ในภาระงานที่ 2 นี้เปน็ การทบทวนกระบวนการปฏิบตั กิ าร ไมใ่ ช่จัดการกับการละเมิดข้อมูลสว่ นบคุ คล
โดยการจดั การการละเมิดขอ้ มลู ส่วนบคุ คลจะกล่าวถงึ ในภาระงานที่ 6
734 GDPR, Article 24(1) and 25(1)
735 GDPR, Article 35(2)
614 Thailand Data Protection Guidelines 3.0
N3.4.3 ในการประเมนิ ความเสี่ยงนั้น ควรกระทำตั้งแต่ระหวา่ งทป่ี ฏิบัตงิ านในภาระงานที่ 1 และ
ภาระงานที่ 2 (ทำควบคู่กันไปเพ่ือไม่เป็นการเสยี เวลาทำงานหลายรอบ)
ตวั อยา่ ง
❖ หากพบว่าการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปตามกฎหมาย แต่มีการเก็บข้อมูลเกินความ
จำเป็น ซึ่งการกระทำดังกล่าวจะขัดกับหลัก data minimization ให้นับว่าเป็นความเสี่ยงหน่ึง
เพราะว่าขอ้ มูลท่ีไมเ่ กี่ยวขอ้ งนัน้ อาจจะถกู นำไปใช้ในทางที่ผิด ซึ่งในกรณีนี้องค์กรควรมีมาตรการใน
การจำกัดการเกบ็ ขอ้ มูล และลบข้อมลู ทีไ่ ม่จำเปน็ ทม่ี ีอยูท่ งิ้ ไป
❖ องค์กรควรพิจารณาว่าข้อมูลที่บ่งชี้ตัวตนได้จะสามารถนำไป pseudonymize หรือ fully-
anonymize ก่อนที่จะดำเนินการประมวลผลทางสถิติได้หรือไม่ หากสามารถกระทำได้ องค์กรมี
มาตรการใดที่ทำให้มาตรการใดที่ทำให้วิธี pseudonymize หรือ fully-anonymize เป็นไปอย่าง
ปลอดภัย
N3.4.4 DPO และผู้ควบคุมข้อมูลจะต้องทราบวา่ การประเมินความเสีย่ งนั้น มิได้พิจารณาเพียง
การประเมนิ ความเสีย่ งดา้ นความปลอดภัย (เช่น การรัว่ ไหลของขอ้ มลู ) เท่านัน้ แต่รวมไป
ถึงความเสี่ยงด้านสิทธิและเสรีภาพของเจ้าของข้อมูลซึ่งอาจเกิดขึ้นในการประมวลผล
ขอ้ มูล ซึ่งสทิ ธแิ ละเสรภี าพของบุคคลนนั้ นอกเหนอื จากสิทธิและเสรีภาพทวั่ ไปแล้วยังรวม
ไปถึงสิทธิในการแสดงความเห็น สิทธิในการย้ายถิ่นฐาน (Freedom of movement)
สิทธดิ ้านความเท่าเทียม สิทธิทางประชาธปิ ไตย สิทธิท่ีจะไม่ถูกตรวจสอบจากทางรัฐเกิน
ความจำเป็น สิทธิที่จะได้รับการแก้ไข เป็นต้น ซึ่งสิทธิดังกล่าวนั้นเป็นเรื่องที่ค่อนข้าง
กว้างแตอ่ าจถูกละเลย
N3.4.5 หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลี “Garante” ได้แนะนำให้ใช้
วิธีการประเมินความเสี่ยงทจ่ี ัดทำขึ้นโดย EU Agency for Network and Information
Security (ENISA)736 โดยให้พิจารณาองค์ประกอบดังนี้ (ดูรายละเอียดส่วน M – แนว
ปฏบิ ัติเกีย่ วกบั ฝ่ายเทคโนโลยสี ารสนเทศ)
(1) ทรพั ยส์ นิ (Asset) – จุดออ่ นและจุดควบคมุ
736 ENISA Threat Landscape Report 2016, https://www.enisa.europa.eu/publications/enisa-threat-
landscapereport-2016.
ศูนย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย 615
(2) ภยั คุกคาม (Threat) - ลกั ษณะผู้คุมคาม และความเปน็ ไปได้
(3) ผลกระทบ (Impact)
N3.4.6 Garante (2016) ได้ระบุว่ากระบวนการประเมินความเส่ยี งมีท้ังหมด 4 ข้นั ตอน737
(1) การนยิ ามกระบวนการประมวลผลข้อมูลและเหตผุ ลในการประเมินความเสยี่ ง
(2) ทำความเข้าใจและประเมินผลกระทบ
(3) นิยามความเป็นไปได้ท่ีจะเกดิ ความคกุ คามและประเมินความน่าจะเป็นท่ีจะเกิด
ภัยคกุ คาม
(4) ประเมินความเสย่ี ง (เปน็ การรวมระหวา่ งความนา่ จะเป็นกบั ผลกระทบ)
N3.4.7 [การนยิ ามกระบวนการประมวลผลข้อมูลและเหตุผลในการประเมินความเสีย่ ง] ควร
ถูกจดั ทำข้นึ ระหวา่ งดำเนินงานในภาระงานที่ 1 และ 2
N3.4.8 การประเมินความเสี่ยงนั้นควรทำอย่างสม่ำเสมอ เพราะความเสี่ยงนั้นอาจจะมีการ
เปลี่ยนแปลงเป็นระยะ ๆ (ดูรายละเอียดส่วน M – แนวปฏิบัติเกี่ยวกับฝ่ายเทคโนโลยี
สารสนเทศ)
N3.4.9 [ความเสี่ยงที่เกี่ยวข้องกับความสิทธิและเสรีภาพของเจ้าของข้อมูล] นอกจากความ
เสี่ยงด้านความปลอดภัยของข้อมลู แล้ว ยังมีความเส่ียงที่เกี่ยวข้องกับสิทธิและเสรีภาพ
ของบุคคล738 ซึ่งความเสี่ยงและวิธีการจัดการความเสี่ยงประเภทนี้จะกล่าวถึงในภาระ
งานท่ี 4, 5, 10, และ 12
N3.4.10 ความเส่ยี งเก่ียวข้องกบั สิทธแิ ละเสรีภาพของบคุ คลอาจมาในรปู แบบของ
(1) การใช้ระบบอตั โนมัติในการประมวลผล และการจำแนกประเภท (profiling) ซึ่ง
ผลท่ีไดม้ านน้ั จะมีผลตอ่ การตดั สนิ ใจทางกฎหมายตอ่ บุคคล
737 Giuseppe d’Acquisto, ในการนำเสนองาน “T4DATA” training session on data security, June 2018.
738 GDPR, Article 34, 35 and 36
616 Thailand Data Protection Guidelines 3.0
(2) การประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ739 หรือข้อมูลส่วนบุคคลที่
เกยี่ วข้องกบั ประวตั อิ าชญากรรม740
(3) ระบบการติดตามและตรวจสอบในพื้นที่สาธารณะ ซึ่งเป็นการเก็บข้อมูลขนาด
ใหญ่ เช่น CCTV ในพ้ืนทีส่ าธารณะ เป็นต้น
ในกรณเี หลา่ น้ีถือว่าเป็นกรณที ่มี คี วามเสย่ี งสูง มีความจำเปน็ จะตอ้ งจัดทำ DPIA และใน
บางกรณีอาจตอ้ งหารอื กับ DPA ต่อไป
N3.4.11 ในการใช้ระบบอัตโนมัติในการจำแนกประเภทข้อมูลต้องมีความระมดั ระวังเป็นอยา่ งสูง
เนื่องจากอาจเกิดการตัดสินใจที่ไม่ยตุ ิธรรมบางประการ หรือเป็นการตัดสินใจที่ไม่เปน็
ประชาธิปไตย เกดิ การแบง่ แยก กีดกนั ไม่ว่าจะจงใจหรือไมจ่ งใจก็ตาม เชน่ การใชข้ อ้ มูล
ด้านการขายน้ันอาจทำให้ทราบถึงสุขภาวะหรอื การตั้งครรภ์ของเจา้ ของข้อมูล และการ
ใช้ระบบการตดิ ตามและตรวจสอบในพนื้ ทีส่ าธารณะในสถานท่สี าธารณะ (เชน่ CCTV ใน
พ้นื ท่ีสาธารณะ) อาจเป็นการละเมดิ สทิ ธเิ สรภี าพพ้ืนฐาน เชน่ สิทธิในการแสดงออก สิทธิ
ในการประทว้ ง และสทิ ธใิ นการรวมกลุ่ม เป็นต้น
N3.4.12 ความเสยี่ งตอ่ สทิ ธแิ ละเสรภี าพของเจ้าของข้อมูลเหล่านอี้ าจเกดิ ข้ึนไดโ้ ดยไมจ่ ำเป็นต้องมี
การละเมิด/ร่ัวไหลของข้อมลู ส่วนบคุ คล เนื่องจากการปฏบิ ตั ิงานในบางประเภทมีความ
เสี่ยงในตัวอยู่แล้ว และอาจไม่สามารถพบได้โดยการใช้วิธีการประเมินความเสี่ยงของ
Garante (2016)
ตวั อยา่ ง
❖ การนำข้อมูลที่เก็บไว้เพื่อวัตถุประสงค์หน่ึงไปใช้ในอีกวัตถุประสงค์หนึ่ง โดยไม่อยู่ในกรอบกฎหมายท่ี
ถูกตอ้ ง และไมไ่ ด้แจ้งใหเ้ จ้าของขอ้ มลู ทราบถงึ วัตถุประสงคร์ อง (ซึ่งยังอาจนำไปสูก่ ารท่ีนำขอ้ มลู ไปเปดิ เผย
แกบ่ ุคคลท่ีสาม)
- ในกรณีนี้ทำให้เจ้าของข้อมูลไม่มีโอกาสที่จะให้ความยินยอมหรือปฏิเสธที่จะให้นำข้อมูลส่วนบุคคลไป
ประมวลผลเพอ่ื วตั ถุประสงค์รอง ซ่งึ อาจเกดิ ผลลบตอ่ เจ้าของข้อมลู
739 GDPR, Article 9 (1) 617
740 GDPR, Article 10
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั
- มีความเปน็ ไปได้ว่าขอ้ มลู ท่ีเก็บไว้เพื่อวัตถุประสงค์หนงึ่ เมื่อนำไปใช้ในอีกวตั ถปุ ระสงคห์ นึ่งอาจทำให้เกิด
ปญั หาทจ่ี ะไมต่ รงตามวัตถปุ ระสงคห์ ลัก (out of context)
❖ การเก็บหรือการใช้ขอ้ มูลสว่ นบุคคลในรูปแบบ pseudonymize หรอื anonymize
- เนื่องจากมีความเป็นไปได้ที่ข้อมูลจะถูกแปลงกลับมาแล้วระบุตัวตนได้ ( reidentify) ข้อมูลที่ถูก
pseudonymize หรือ anonymize จึงนับว่ามคี วามเสยี่ งต่อสิทธิและเสรภี าพตอ่ เจา้ ของขอ้ มลู (อาจนับได้
วา่ เป็นความเส่ียงสูง ซง่ึ ต้องมกี ารจัดทำ DPIA ตามท่ีระบไุ วใ้ นภาระงานท่ี 4)
- DPO ต้องตรวจสอบความเสี่ยงเรื่อง reidentification และหามาตรการป้องกัน (differential privacy)
ตามแตก่ รณี หรอื อาจปฏเิ สธไมใ่ หใ้ ชข้ อ้ มลู ในการประมวลผลอีกตอ่ ไป
- การใชข้ อ้ มูลทไ่ี มเ่ กี่ยวข้อง ไมถ่ กู ตอ้ ง หรือไม่เป็นปัจจบุ ัน ซึง่ อาจสง่ ผลกระทบเชิงลบ
- ไม่คำนงึ ถงึ ผลได้ผลเสยี หรือสทิ ธพิ ืน้ ฐานและเสรภี าพของเจ้าของข้อมลู ที่ต้องได้รับการคุ้มครองด้านข้อมูล
ส่วนบุคคล โดยเฉพาะอย่างยิ่งเมื่อเจ้าของข้อมูลส่วนบุคคลเป็นผูเ้ ยาว์ เมื่อมีการประมวลผลข้อมูลส่วน
บคุ คลบนพน้ื ฐานของ legitimate interest
❖ การใช้ legitimate interest ในการประมวลผลข้อมูลส่วนบคุ คลอาจเกิดผลกระทบทางลบแกเ่ จา้ ของข้อมลู
ส่วนบคุ คลได้ ดงั น้นั DPO จงึ ตอ้ งตรวจสอบอย่างใกลช้ ดิ
- โดยปกติแล้วองค์กรของรัฐไม่ได้ใช้ legitimate interest แต่อย่างไรก็ดีอาจมีบางกรณีที่รัฐต้องใช้
legitimate interest เชน่ รัฐสง่ อเี มลถงึ ประชาชนเพ่ือประชาสมั พันธเ์ ทศกาลผ่านทางฐานข้อมูลประชากร
เชน่ แจ้งให้มารบั หนา้ กากอนามัยทอี่ ำเภอ เป็นตน้
❖ ไมไ่ ด้แจ้งข้อมลู ต่าง ๆ ทเ่ี กย่ี วขอ้ งกบั การประมวลผลขอ้ มลู แกเ่ จ้าของขอ้ มลู อย่างครบถ้วนตามกฎหมาย
- ในกรณนี ้เี จา้ ของข้อมลู อาจจะไมส่ ามารถใช้สิทธิอยา่ งครบถว้ นตามที่ระบุใน กฎหมาย
❖ การโอนย้ายข้อมูลไปยงั ประเทศทีส่ ามโดยไม่ได้มีมาตรการป้องกนั ที่เพยี งพอ หรือไม่ปฏิบัติตาม Binding
Corporate Rule (BCR) หรือการไม่ปฏบิ ัตติ ามข้อยกเว้น โดยในทนี่ ้ีรวมไปถึงการใช้ cloud ในประเทศที่
สามดว้ ย
- ระบบ cloud มีความเสี่ยงเฉพาะทางหลายประเภทที่จะต้องถูกควบคุมโดยผู้ควบคุมข้อมูล และระบบ
cloud เปน็ ระบบทมี่ ีความเสยี่ งในตัวสูง จำเป็นต้องจัดทำ DPIA
❖ การที่องค์กรของรัฐจัดจ้างผู้ประมวลผลภายนอก โดยเฉพาะในกรณีที่ข้อมูลประเภทพิเศษหรือข้อมูล
ออ่ นไหว เช่น ข้อมลู ทางการเงิน เป็นตน้
- การที่องค์กรไปจ้างบุคคลภายนอกมาประมวลข้อมูลสว่ นบคุ คล หรอื การใช้ระบบประมวลผล cloud ของผู้
ให้บริการภายนอก ถอื เป็นกระบวนการทม่ี คี วามเสย่ี งในตัวอยูแ่ ล้ว
N3.4.13 เมื่อทำการประเมินความเสี่ยงแล้วพบว่ามีความเสี่ยงเกิดขึ้นต่อข้อมูลส่วนบุคคล DPO
ต้องใหค้ ำแนะนำกับผเู้ กี่ยวข้องภายในทมี่ หี นา้ ที่รบั ผิดชอบกจิ กรรมทีม่ ีความเสี่ยง รวมถึง
นำเสนอมาตรการแก้ไขและปรับปรุง หากฝ่ายงานละเลยคำแนะนำของ DPO ให้ DPO
แจง้ ให้ผ้บู ริหารระดับสงู รบั ทราบ
618 Thailand Data Protection Guidelines 3.0
N3.4.14 DPO ควรเก็บบันทกึ ผลของการประเมนิ ความเสีย่ งและคำแนะนำท่ีได้ใหไ้ ว้กับในทกุ กรณี
N3.4.15 DPO ควรแนะนำให้ผ้คู วบคมุ ขอ้ มูลจัดทำ DPIA ในกรณที ี่กจิ กรรมการประมวลผลขอ้ มูล
ส่วนบุคคลใดได้รับการประเมินผลว่ามีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของ
ขอ้ มลู
N3.4.16 DPO ควรตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูล
ถงึ แม้ว่ากิจกรรมการประมวลผลข้อมูลส่วนบุคคลจะไมร่ ับการประเมินว่ามีความเส่ียงสูง
ต่อสิทธแิ ละเสรภี าพและไมต่ อ้ งจัดทำ DPIA
N3.4.17 DPO และ/หรือผู้ควบคุมข้อมูลมีหน้าที่ที่จะนำกฎ ระเบียบ ข้อบังคับพิเศษต่าง ๆ ไป
พิจารณาในการประเมินความเสี่ยง ก่อนที่จะระบุว่าความเสี่ยงที่เกิดขึ้นนั้นสามารถ
ยอมรับไดห้ รอื ไม่
N3.5 [ภาระงานที่ 4 การให้คำแนะนำในการจัดทำ DPIA] เพื่อหาทางรับมือกับกิจกรรมท่ี
อาจมคี วามเสย่ี งสูง
N3.5.1 เม่ือกระทำภาระงานที่ 3 เสรจ็ สมบรู ณ์แล้ว จะพบวา่ มกี ิจกรรมดา้ นการประมวลผลขอ้ มลู
ส่วนบคุ คลบางประเภทมคี วามเส่ียงสูง โดยเฉพาะอย่างยง่ิ เมือ่ มีการนำเทคโนโลยีใหม่มา
ใช้ สำหรบั กรณีท่ีเกิดความเสยี่ งสงู นัน้ องค์กรจะตอ้ งจัดทำ DPIA
ทั้งนี้ ในปัจจุบันกฎหมายในประเทศไทยยังไม่มีการระบุว่าหน่วยงานต้องมีการจัดทำ
DPIA อยา่ งไรก็ตาม การจัดทำ DPIA ตามหลกั ของ GDPR จะเป็นเครือ่ งมอื ท่ีช่วยในการ
หาทางรับมอื กบั กิจกรรมที่อาจมีความเส่ยี งสูงได้เปน็ อย่างดี
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั 619
N3.5.2 ตามหลัก GDPR องค์กรจะต้องทำ DPIA ทุกครั้งหากมีการใช้ตัดสินใจจำแนกประเภท
อัตโนมัติ (Automated Profile-Based Decision Making) การประมวลขอ้ มูลอ่อนไหว
สงู เปน็ จำนวนมาก และการติดตามตรวจสอบในพ้นื ทสี่ าธารณะเปน็ บรเิ วณกวา้ ง741
N3.5.3 เกณฑ์ในการตรวจสอบว่าการประมวลผลข้อมูลส่วนบุคคลขององค์กรในแต่ละกิจกรรม
นน้ั จะทำใหเ้ กิดความเสี่ยงสูงต่อสทิ ธิและเสรภี าพของเจ้าของขอ้ มลู หรอื ไม่ มีหลักเกณฑ์
9 ประการ ดังอธิบายรายละเอียดในข้อ N3.55 โดยหากกิจกรรมการประมวลผลของ
องค์กรกิจกรรมใดน้นั เข้าเกณฑ์ 2 จาก 9 ขอ้ ให้องคก์ รจดั ทำ DPIA742
N3.5.4 บทบาทและหน้าที่ของผู้ควบคุมข้อมูล และ DPO ในกระบวนการจัดทำ DPIA การ
จดั ทำ DPIA นัน้ เป็นหน้าทข่ี องผคู้ วบคุมข้อมูล มใิ ชห่ นา้ ท่ีของ DPO743
อย่างไรก็ดี DPO อาจให้ความช่วยเหลือผู้ควบคุมข้อมูลได้ตามหลักการ Data
Protection by Design และผู้ควบคุมข้อมูลสามารถขอรับคำแนะนำจาก DPO ในการ
จัดทำ DPIA744
N3.5.5 DPO มีหน้าที่ให้คำแนะนำเกี่ยวกับการจัดทำ DPIA ตามคำร้องขอของผู้ควบคุมข้อมูล
และตดิ ตามผลการปฏิบตั งิ านของกจิ กรรมใน DPIA745
N3.5.6 ใหผ้ ู้ควบคมุ ข้อมลู ขอคำแนะนำจาก DPO ในประเดน็ ดังตอ่ ไปนี้746
741 GDPR, Article 35(3)
742 WP29 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether
processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. wp248rev.01.
(2017). Retrieved from http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
หลงั จากนี้ไปจะเรียกว่า “WP29 Guidelines on DPIAs”
743 GDPR, Article 35(1)
744 GDPR, Article 35(2)
745 GDPR, Article 39(1) (4)
746 GDPR, Article 39 (1)
620 Thailand Data Protection Guidelines 3.0
(1) ควรจะจดั ทำ DPIA ในกจิ กรรมน้ัน ๆ หรือไม่
(2) ควรใช้วธิ ีการใดในการจัดทำ DPIA
(3) ควรจัดทำ DPIA ด้วยตนเองหรือจา้ ง outsource เป็นผจู้ ดั ทำ
(4) มีมาตรการใดที่จะลดความเส่ียงหรือจัดการความเสีย่ งต่อสิทธิและผลประโยชน์
ของเจา้ ของขอ้ มลู ทัง้ ทางเทคนิคและทางองคก์ ร
(5) DPIA ถูกกระทำอย่างถูกต้อง สมบูรณ์หรือไม่ และผลสรุปของ DPIA ในการ
ประมวลผลขอ้ มลู สว่ นบุคคลนน้ั เป็นไปตามหลักกฎหมายหรอื ไม่ และมมี าตรการ
ปอ้ งกนั อย่างไร
N3.5.7 DPO ให้คำแนะนำกับผู้ควบคุมข้อมูลอย่างชัดเจน หากผู้ควบคุมข้อมูลไม่เห็นด้วยกับ
คำแนะนำของ DPO ให้ระบุเปน็ ลายลักษณอ์ ักษรไว้อย่างชัดเจนในเอกสาร DPIA พร้อม
เหตุผลวา่ ทำไมผูค้ วบคุมขอ้ มลู ถงึ เลอื กท่ีจะไม่ปฏิบตั ิตามคำแนะนำของ DPO
N3.5.8 วิธีการประเมินกระบวนการประมวลผลข้อมูลส่วนบุคคลที่จะทำนั้นว่ามีความเสี่ยงสูง
หรอื ไม่ ผคู้ วบคมุ ขอ้ มลู จะตอ้ งเข้าใจถึงท่ีมาและเบ้ืองหลงั เพ่ือที่จะจดั การความเสี่ยงด้าน
การประมวลผลข้อมูลส่วนบุคคลได้อย่างตรงจุด (ดูรายละเอียดส่วน E แนวปฏิบัติเพื่อ
การประเมินผลกระทบด้านการคมุ้ ครองขอ้ มูลส่วนบุคคล)
ตัวอย่างสถานการณ์ท่ีมคี วามเสย่ี งสงู
❖ สถานการณ์ที่มีความเสี่ยงสูง เช่น การตัดสินใจจำแนกประเภทอัตโนมัติ (Automated Profile-Based
Decision Making) ที่จะมีผลทางกฎหมาย หรือผลอื่น ๆ ที่สำคัญ หรือเมื่อผู้ควบคุมข้อมูลประมวลผล
ข้อมลู อ่อนไหว หรอื ข้อมูลอาชญากรรมเปน็ ประมาณมาก หรอื การตดิ ตามตรวจสอบในพน้ื ทสี่ าธารณะเป็น
บรเิ วณกวา้ ง
❖ สถาบนั ทางการเงนิ ทีต่ รวจสอบเครดติ บูโรของลกู คา้ หรือขอ้ มูลป้องกันการฟอกเงนิ ฐานขอ้ มลู ด้านการกอ่
การรา้ ย และฐานข้อมูลประวตั กิ ารฉ้อโกงของลกู คา้
❖ ธนาคารตรวจสอบรายการการทำธุรกรรมตามกฎหมายป้องกันการฉ้อโกง
❖ บรษิ ทั ไบโอเทคท่ีใหบ้ รกิ ารตรวจสอบพนั ธกุ รรมโดยตรงแก่ลูกคา้ เพ่ือหาโอกาสและความเสีย่ งในการเกิดโรค
หรือปัญหาสุขภาพ
❖ การทบี่ รษิ ัทพยายามจะจำแนกพฤติกรรมลกู คา้ หรอื พฤตกิ รรมทางการตลาดตามการเข้าใชง้ าน website
ของลูกค้า
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 621
ตวั อย่างระบบการตดั สนิ ใจอัตโนมตั ิทม่ี ผี ลทางกฎหมายหรือผลกระทบสำคัญ
❖ ระบบประเมินผลงานพนักงานอัตโนมัติ (เช่น หากพนกั งานคนใดไดร้ ับผลประเมินอยู่ใน lowest 10% of
the team จะไดร้ ับผลการประเมินเป็น “ไม่พอใจ” โดยไม่มโี อกาสได้ชีแ้ จง)
❖ การใช้ระบบอตั โนมตั ิในการระบผุ ทู้ ีอ่ าจจะเป็นผหู้ นีภาษีตามประวัตขิ องผูเ้ สยี ภาษี
❖ การใชร้ ะบบอัตโนมัติในการระบผุ ทู้ ่ีอาจจะเปน็ ผู้ฉ้อโกงประกนั สงั คมตามประวัตขิ องผูป้ ระกนั ตน
❖ การใช้ประวตั ิส่วนบุคคลเพอ่ื ท่ีจะระบเุ ดก็ ท่มี ีความเสยี่ งจะเป็นโรคอว้ น หรอื อาชญากร รวมไปถงึ แม่วยั ใส
❖ การท่ีระบุตวั ตนผู้เยาว์หรือผ้ใู หญ่ที่มีความเสย่ี งในการเขา้ สมาชิกกลมุ่ การกอ่ การร้าย
ตัวอย่างการเฝา้ ตรวจสอบอยา่ งเปน็ ระบบ
❖ กล้องโทรทัศนว์ งจรปิด (CCTV)
❖ กล้องโทรทัศน์วงจรปดิ อจั ฉริยะ (มเี ทคโนโลยีจับใบหน้า)
❖ การประมวลผลขอ้ มลู ขนาดใหญ่ เช่น การประมวลผลธุรกรรมทางการเงินของธนาคารเพอื่ ใช้งานในองค์กร
หรอื จดั ทำงบประมาณ
ตัวอยา่ งขอ้ มลู ออ่ นไหวหรอื ขอ้ มลู ที่มีความเปน็ สว่ นตัวสูง
❖ โรงพยาบาลเก็บประวัตกิ ารรกั ษาของผู้ปว่ ยไว้
❖ นกั สบื เอกชนเกบ็ ขอ้ มลู ดา้ นประวัติอาชญากรรมไว้
❖ องคก์ รของรัฐ เช่น สถาบนั การศึกษาเก็บขอ้ มูลด้านอาชญากรรมของนกั เรยี นไว้
❖ ในกรณีที่มีการเข้าถึงเอกสารส่วนบุคคลต่าง ๆ เช่น อีเมล สมุดบันทึก บันทึกประจำวัน จากเครื่อง e-
reader ทส่ี ามารถจดบันทึกได้ของพนักงานในองคก์ ร
❖ ในกรณที ่ีนายจา้ งเขา้ ไปดสู ่อื สังคมออนไลน์ (Social Media) ของผู้มาสมคั รงาน
❖ การตรวจสขุ ภาพและตรวจประวตั อิ าชญากรรมก่อนเข้าทำงาน
❖ กระบวนการสอบสวนและการลงโทษทางวนิ ัย
❖ การใช้ข้อมูลชวี ภาพเพื่อการระบตุ ัวตน
❖ รูปที่ใช้เพื่อทำ facial recognition หรือเพื่อเปิดเผยข้อมูลอ่อนไหว โดยเฉพาะอย่างยิ่งข้อมูลนี้อาจ
กอ่ ใหเ้ กิดผลเสยี ตอ่ ผู้สมคั รงาน เชน่ บรษิ ทั ไม่รับพนักงานผหู้ ญิง ไมร่ บั พนักงานผิวสี เป็นต้น
ตวั อย่างการประมวลผลขอ้ มูลจำนวนมาก
❖ ฐานขอ้ มูลด้านการสำรวจโรค
❖ การแลกเปล่ยี นข้อมลู จำนวนมากระหวา่ งผ้คู วบคุมข้อมลู ขององค์กรภาครัฐ เชน่ ระหวา่ งกระทรวง ระหวา่ ง
หน่วยงานท้องถ่นิ ผา่ นระบบโครงขา่ ยอเิ ลกทรอนิกส์
622 Thailand Data Protection Guidelines 3.0
❖ การเกบ็ ข้อมลู ทางพันธุกรรมขนาดใหญข่ องกลุม่ คนในศาสนาใดศาสนาหนง่ึ
❖ การตั้งฐานข้อมูลด้านวิถีชวี ิตของคนเพ่ือวัตถปุ ระสงค์ทางการตลาด (ซึง่ อาจถูกนำไปใชใ้ นวัตถุประสงค์อื่น
ด้วย)
ตวั อย่างการรวมหรือจับคู่ฐานข้อมลู
❖ การเขา้ ตรวจสอบบนั ทกึ (log) ของคอมพวิ เตอรต์ ่าง ๆ เพ่ือตรวจการหนงี านของพนักงาน
❖ การท่สี รรพากรตรวจสอบรายการการจา่ ยภาษีเทียบกบั รายการสนิ ทรัพยข์ องผ้เู สียภาษี ในกรณที ี่สงสยั วา่ มี
การโกง/หนภี าษีเกดิ ขึ้น
ตวั อย่างท่ีเกี่ยวขอ้ งเจา้ ของข้อมลู ท่ีมคี วามเสีย่ งสงู ผูเ้ ปราะบาง (Vulnerable Person)
❖ การใช้ระบบ VDO เพื่อตรวจสอบความเคลื่อนไหวและระบบ GPS เพื่อตรวจสอบความเคลื่อนไหวของ
พนกั งานทางไกล
❖ การประมวลของเจ้าของขอ้ มลู ทีม่ คี วามเสย่ี งสูงและผู้เปราะบางดังท่ีอธบิ ายไว้ข้างต้น ใหถ้ อื ว่ามีความเส่ียง
สงู ท้ังหมด
ตัวอย่างการนำเทคโนโลยีใหม่มาใช้
❖ การรวมเทคโนโลยีลายนิ้วมอื และจดจำใบหน้าเพื่อใชใ้ นการเข้าถงึ อาคารสถานท่ี
❖ เทคโนโลยีไบโอเมตรกิ ซแ์ ละ mobile device tracking ในการตดิ ตามการเขา้ งานของพนักงาน
❖ การประมวลผลขอ้ มลู จากเทคโนโลยี internet of things (IoT) ไม่วา่ จะเป็น application smart devices
และอืน่ ๆ ท่ีอาจมีผลกระทบตอ่ ชวี ิตประจำวนั และความเป็นส่วนตัว
❖ Machine Learning
❖ การตรวจสอบส่อื สงั คมออนไลน์ของผู้สมัครงาน
ตวั อย่างการประมวลผลขอ้ มลู ทำให้เกดิ การปฏเิ สธไมใ่ หส้ ิทธิ
❖ การท่ธี นาคารใช้เครดติ บูโรในการพจิ ารณาให้ก้เู งนิ แกล่ กู คา้
❖ การที่สถาบนั ทางการเงนิ ประเมินอายทุ ี่แตกต่างของคคู่ รองเพ่อื ท่จี ะระบคุ วามนา่ เชอื่ ถอื ทางการเงนิ
(ซึ่งถอื วา่ เปน็ การละเมดิ สิทธใิ นการแต่งงานของคน และถูกหา้ มไวใ้ นกฎหมายฝรงั่ เศส)
❖ ฐานบญั ชีดำลกู คา้
❖ เครดิตบโู ร
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลยั 623
ลกั ษณะงานที่ 3: ตรวจสอบการปฏิบัตติ ามหนา้ ที่
N3.6 [ภาระงานที่ 5 ปฏิบัติตามภาระงานที่ 1 – 4 อย่างสม่ำเสมอ] DPO มีหน้าที่ติดตาม
และตรวจสอบการปฏิบัติตาม กฎ ระเบียบ ข้อบังคับภายในองค์กร และกฎหมายที่
เก่ยี วขอ้ งกับการคุม้ ครองข้อมลู ส่วนบคุ คล
N3.6.1 หนา้ ท่ีในการติดตามและตรวจสอบการปฏิบตั ิตามของฝา่ ยงานภายในองค์กรน้ันเป็นงาน
ตอ่ เน่ืองท่ตี อ้ งดำเนินการเป็นประจำ มิใชง่ านที่ทำเพยี งครั้งเดยี วแล้วเสร็จสนิ้
N3.6.2 DPO จะต้องติดตามการเปลี่ยนแปลงของกฎ ระเบียบ ข้อบังคับภายในองค์กร และ
กฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคคลอย่างสม่ำเสมอ เพื่อที่ DPO จะ
สามารถระบุผลกระทบของการเปลี่ยนแปลงดังกล่าวที่มีต่อกิจกรรมการประมวลผลของ
องค์กรได้อย่างถูกต้อง และสามารถให้คำแนะนำและคำปรึกษาที่เหมาะสมแก่บุคคลท่ี
เกย่ี วข้องในองคก์ รได้
N3.6.3 [ข้อควรจำ] ผู้ควบคุมข้อมูลเป็นผู้ที่ต้องรับผิดชอบในการปฏิบัติตามกฎ ระเบียบ
ข้อบังคับภายในองคก์ ร และกฎหมายทเี่ ก่ียวข้องกับการคุ้มครองข้อมูลส่วนบคุ คคล มิใช่
หน้าที่ของ DPO โดย DPO มีหน้าที่ในการติดตามและตรวจสอบเท่านั้น ดังนั้นหาก
DPO พบการไม่ปฏิบตั ิตาม ผูท้ มี่ ีหน้าทร่ี บั ผดิ ชอบคอื ผ้คู วบคมุ ข้อมลู 747
N3.6.4 ในการปฏบิ ัติหน้าที่การติดตามและตรวจสอบการปฏบิ ัติ DPO อาจทำกิจกรรมดงั ต่อไปนี้
อย่างต่อเน่ือง
- เก็บรวบรวมขอ้ มลู เพือ่ ระบกุ จิ กรรมการประมวลผล
747 Article 29 Working Party Guidelines on Data Protection Officers (‘DPOs’), originally adopted on
13 December 2016, as last revised and adopted on 5 April 2017 (WP243 rev.01). Retrieved from
http://ec.europa.eu/newsroom/article29/item‐detail.cfm?item_id=612048
หลงั จากนไี้ ปจะเรียกว่า “WP29 Guidelines on DPOs”
624 Thailand Data Protection Guidelines 3.0
- วเิ คราะหแ์ ละตรวจสอบการปฏบิ ัติตามในแต่ละกจิ กรรมการประมวลผล และ
- แจ้งให้ทราบ ให้คำปรึกษา และให้ข้อแนะนำเกี่ยวกับประเด็นทีพ่ บแก่ผู้ควบคมุ
ขอ้ มูล หรือผู้ประมวลผลขอ้ มูล
N3.6.5 ในกรณที ก่ี ิจกรรมการประมวลผลขององค์กรในนน้ั ไมม่ ีความเส่ยี งหรอื มีความเส่ียงน้อย
ท่จี ะกระทบตอ่ สิทธิและเสรภี าพของเจ้าของข้อมูลส่วนบุคคล องค์กรไม่มีความจำเป็นที่
จะตอ้ งจดั ทำ DPIA และ DPO สามารถตดิ ตามและตรวจสอบการปฏิบัตติ ามของฝ่ายใน
องคก์ รตามปกติ
N3.6.6 ในกรณีที่กิจกรรมการประมวลผลขององค์กรในนั้นมีความเสี่ยงสงู ที่จะกระทบต่อสิทธิ
และเสรีภาพของเจ้าของข้อมลู ส่วนบุคคล องค์กรควรจัดทำ DPIA (ดูส่วน E แนวปฏิบัติ
เพือ่ การประเมนิ ผลกระทบดา้ นการคมุ้ ครองข้อมูลส่วนบคุ คล)
N3.7 [ภาระงานท่ี 6 การรับมือการรว่ั ไหลของข้อมลู ] การรับมือการรว่ั ไหลขอ้ มูลส่วนบุคคล
ในคู่มือนี้ได้อ้างอิงมาจาก WP29748 ซึ่งกล่าวถึงหลักเกณฑ์ในการรับมือกับการรั่วไหล
ข้อมลู สว่ นบคุ คลโดยละเอยี ด
N3.7.1 การรั่วไหลข้อมูล หมายถึง การรั่วไหลของการรักษาความปลอดภัยซึ่งนำไปสู่ความ
เสยี หายโดยมิได้เจตนาและขัดกฎหมาย การสญู หายของข้อมูล การเปลยี่ นแปลงข้อมูล
การเปดิ เผยหรือการเข้าถงึ ข้อมลู สว่ นบคุ คลซ่ึงมกี ารถ่ายโอน เกบ็ รกั ษา หรือประมวลผล
โดยไมไ่ ดร้ บั อนญุ าต749
748 WP29, Guidelines on Personal data breach notification under Regulation 2016/679 (WP250
rev.01, adopted on 3 October 2017, as last revised and adopted on 6 February 2018 (hereafter:
“WP29 Guidelines on Data Breach Notification or, in this section, simply “the WP29 Guidelines”).
Retrieved from
https://ec.europa.eu/newsroom/article29/item‐detail.cfm?item_id=612052
หลงั จากนไ้ี ปจะเรยี กวา่ “WP29 Opinion on breach notification”
749 GDPR, Article 4(12)
ศนู ย์วจิ ัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย 625
N3.7.2 การร่ัวไหลขอ้ มลู สว่ นบุคคลสามารถแยกออกเปน็ 3 ประเภท750 คอื
(1) การรัว่ ไหลตอ่ การธำรงไวซ้ ึง่ ความลับ (Confidentiality)
(2) การร่ัวไหลต่อความถูกต้องครบถว้ น (Integrity) และ
(3) การรั่วไหลตอ่ สภาพพรอ้ มใช้งานของขอ้ มูล (Availability)
ตวั อย่าง
❖ การรั่วไหลตอ่ การธำรงไวซ้ ง่ึ ความลบั (Confidentiality):
- อปุ กรณ์ซ่ึงเก็บบันทึกสำเนาฐานขอ้ มูลของลกู คา้ ของผคู้ วบคุมการประมวลผลขอ้ มูลส่วนบคุ คลเกดิ การสญู
หายหรอื ถกู ขโมยทำให้ความลับของเจ้าของข้อมลู ส่วนบุคคลถูกเปดิ เผย
❖ การรวั่ ไหลตอ่ สภาพพรอ้ มใชง้ านของขอ้ มูล (Availability):
- ข้อมลู ถกู ลบโดยมไิ ดต้ ้ังใจหรือโดยบคุ คลทไี่ มไ่ ด้รับอนญุ าต หรือผู้ควบคมุ ทำคยี ถ์ อดรหัสหายไปในชดุ
ข้อมลู ที่ถูกเขา้ รหสั และผู้ควบคมุ ข้อมูลไมส่ ามารถก้คู นื การเขา้ ถงึ ขอ้ มลู ได้ ซึง่ จะถอื วา่ เปน็ การสูญเสีย
ความพรอ้ มใชง้ านอยา่ งถาวร
หมายเหตุ: แม้การสญู เสียความพร้อมใชง้ านนั้นเกดิ ขึน้ เพยี งชว่ั คราวกต็ าม การกระทำดังกล่าวถือว่าเปน็ การ
ละเมิดขอ้ มลู สว่ นบุคคล เชน่ หากโรงพยาบาลไม่สามารถเข้าถึงข้อมลู ทางการแพทย์ซ่ึงจำเปน็ ต่อการใหบ้ ริการ
แกผ่ ู้ป่วยไดแ้ ม้เปน็ การชวั่ คราวกต็ าม เหตกุ ารณ์ดงั กล่าวอาจก่อให้เกดิ ความเสยี หายตอ่ สิทธิและเสรีภาพของ
บคุ คลผนู้ น้ั เช่น ทางโรงพยาบาลต้องยกเลกิ การผ่าตัดซ่งึ อาจก่อใหเ้ กดิ ความเสี่ยงต่อชีวติ ของผู้ป่วยได้
N3.7.3 [การแจ้งเหตุต่อ สคส.] ในกรณีที่พบว่ามีการรั่วไหลข้อมูลส่วนบุคคล DPO/ผู้ควบคุม
ขอ้ มูล ต้องรบี ดำเนินการแจง้ ถงึ เหตรุ ั่วไหลต่อ สคส. โดยไมล่ ่าชา้ หรือภายในระยะเวลา
ไม่เกิน 72 ชั่วโมง หลังได้รับการแจ้งเตือนว่าพบการรั่วไหลข้อมูลส่วนบุคคล เว้นแต่ใน
กรณีทก่ี ารร่วั ไหลขอ้ มลู ส่วนบคุ คลท่ีเกิดข้ึนไมม่ ีแนวโนม้ ก่อใหเ้ กิดความเสี่ยงต่อสิทธิและ
เสรีภาพของเจ้าของข้อมูล751
N3.7.4 ในกรณีที่ไม่สามารถแจ้งเหตุรั่วไหลข้อมูลส่วนบุคคลต่อ สคส. ภายในระยะเวลา 72
ชัว่ โมง DPO/ผู้ควบคมุ ข้อมลู ต้องชแ้ี จงถึงสาเหตทุ ดี่ ำเนินการลา่ ชา้ 752
750 Id. at WP29 Opinion on breach notification, p.7
751 GDPR, Article 33(1)
752 GDPR, Article 33(1)
626 Thailand Data Protection Guidelines 3.0
N3.7.5 การแจง้ เตือนควรไดร้ บั การดำเนินการภายในระยะเวลาอันรวดเรว็ หลังพบเหตุการรวั่ ไหล
โดยคำนึงถึง
(1) ลักษณะและความรนุ แรงของเหตุร่วั ไหลขอ้ มูลสว่ นบุคคล
(2) ผลท่ีตามมา และ
(3) ผลกระทบอันไม่พงึ ประสงค์ตอ่ เจา้ ของขอ้ มลู
N3.7.6 ในกรณีทผี่ ปู้ ระมวลผลเป็นผพู้ บเหตรุ ัว่ ไหลของขอ้ มูลส่วนบคุ คล
(1) ผปู้ ระมวลผลข้อมูลต้องแจ้งต่อ DPO/ผู้ควบคมุ ขอ้ มลู โดยทนั ทหี ลังทราบว่ามีการ
รั่วไหลข้อมูลส่วนบุคคล753 พร้อมชี้แจงเกี่ยวกับเหตุรั่วไหลข้อมูลส่วนบุคคลใน
รายละเอียดใหท้ ราบเปน็ ระยะเม่อื ไดร้ บั เบาะแสเพิม่ เติม754
(2) เมื่อ DPO/ผู้ควบคุมข้อมูลได้รับแจ้งการรั่วไหลของข้อมูลส่วนบุคคลจากผู้
ประมวลผลข้อมลู แล้วน้ัน DPO/ผู้ควบคมุ ข้อมลู มีหน้าที่แจ้งเหตุร่ัวไหลดังกล่าว
ตอ่ สคส. เวน้ แตเ่ หตุดังกล่าวมิได้กอ่ ใหเ้ กดิ ความเสี่ยงต่อสิทธแิ ละเสรีภาพของ
บุคคลแต่อย่างใด
(3) ผปู้ ระมวลผลข้อมูลอาจสามารถดำเนินการแทน DPO/ผคู้ วบคมุ ขอ้ มูลได้ในกรณี
ท ี ่ ผ ู ้ ค วบ ค ุ ม ข้ อ ม ู ล ม อ บ อ ำ น า จ ใ น ก า ร ด ำ เ น ิ น ก า ร ต า ม ค วา ม เ ห ม า ะ ส ม แ ก ่ ผู้
ประมวลผลข้อมูล โดยระบุไว้เป็นหนึ่งในข้อตกลงตามสัญญาระหว่างผู้ควบคุม
ข้อมูลและผ้ปู ระมวลผลขอ้ มลู
(4) พึงระลึกเสมอว่าหน้าที่รับผิดชอบในการแจ้งเตือนตามกฎหมายนั้นเป็นของผู้
ควบคุมข้อมูลมิใชห่ นา้ ที่ของผู้ประมวลผลข้อมูล755
N3.7.7 การแจง้ เตอื นการร่วั ไหลขอ้ มลู ส่วนบุคคลไปยงั สคส. ต้องดำเนนิ การเบือ้ งตน้ ดงั นี้756
(1) อธิบายลักษณะของเหตุรั่วไหลข้อมูลส่วนบุคคล และหากเป็นไปได้ ให้รายงาน
จำนวนเจ้าของข้อมูลผู้ได้รับผลกระทบจากเหตุการณ์ดังกล่าว รวมทั้งจำนวน
753 GDPR, Article 33(2) 627
754 Id. at WP29 Opinion on breach notification, p.14
755 Id. at WP29 Opinion on breach notification, p.14
756 Id. at WP29 Opinion on breach notification, p.16-18
ศนู ยว์ ิจัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลัย
รายการของบันทกึ ข้อมลู ส่วนบคุ คลท่ีเกี่ยวข้อง
(2) รายงานชือ่ และขอ้ มูลติดต่อ DPO หรือผูป้ ระสานงานอื่น ๆ ของผู้ควบคุมขอ้ มลู
ซ่ึง สคส. สามารถขอข้อมูลเพิม่ เติมได้
(3) อธิบายถึงแนวโน้มของผลกระทบซึ่งอาจเกดิ ขน้ึ หลงั การรว่ั ไหลข้อมลู สว่ นบุคคล
(4) อธิบายถึงมาตรการการรับมือกับสถานการณ์การรั่วไหลข้อมูลส่วนบุคคลท่ี
เกิดขึ้น รวมถึงมาตรการเพอื่ บรรเทาผลกระทบซ่ึงอาจเกดิ ขนึ้ ตามความเหมาะสม
N3.7.8 ในบางกรณี DPO ของผู้ควบคมุ ข้อมลู ควรระบุรายละเอียดเพิ่มเติมแก่ สคส. เนื่องจาก
การรั่วไหลข้อมูลส่วนบุคคลในแต่ละประเภท (Confidentiality Integrity หรือ
Availability) จำเป็นต้องอาศัยขอ้ มูลเพิม่ เติมเพื่อให้สามารถอธิบายแต่ละกรณที ี่เกิดขึ้น
อยา่ งครบถว้ นสมบรู ณท์ ่แี ตกตา่ งกัน757
ตัวอย่าง
❖ ในการแจง้ เตือนถงึ เหตุรว่ั ไหลนั้น ในบางกรณผี คู้ วบคุมขอ้ มูลควรแจง้ ช่ือผปู้ ระมวลผลขอ้ มูลแก่ สคส. ใน
กรณที ่ีเหตรุ ั่วไหลนน้ั เกดิ จากทางผ้ปู ระมวลผลขอ้ มลู ที่ผู้ควบคุมข้อมูลไดม้ กี ารว่าจ้างมาเพอ่ื ประมวลผล
ขอ้ มลู ส่วนบคุ คลแทน
N3.7.9 สคส. สามารถสอบถามรายละเอยี ดเพ่มิ เติมโดยถอื เป็นสว่ นหนง่ึ ของกระบวนการ
สอบสวนการร่วั ไหลขอ้ มูลส่วนบุคคลได้ในทุกกรณี
N3.7.10 ในกรณีที่ DPO/ผู้ควบคุมขอ้ มลู ไม่สามารถให้ขอ้ มลู ท้งั หมดพร้อมกนั ในทีเดียวไดน้ ั้น
DPO/ผู้ควบคุมข้อมูล สามารถรายงานขอ้ มูลให้ สคส. ทราบเป็นระยะ ๆ โดยไมล่ า่ ชา้
หลงั จากทราบข้อมลู เพิม่ เตมิ 758
ตัวอย่าง
❖ ผู้ควบคมุ ขอ้ มูลตรวจพบวา่ USB Key ซ่งึ บรรจสุ ำเนาข้อมลู ส่วนบคุ คลของลกู คา้ บางรายหายไป
- ผู้ควบคุมขอ้ มลู แจ้งเหตุรว่ั ไหลแก่ สคส. รบั ทราบภายในระยะเวลา 72 ชว่ั โมงหลงั พบเหตรุ ว่ั ไหลของ
757 Id. at WP29 Opinion on breach notification, p.15
758 GDPR, Article 33(4)
628 Thailand Data Protection Guidelines 3.0
ขอ้ มลู สว่ นบคุ คล
- ตอ่ มาผคู้ วบคมุ ขอ้ มูลพบวา่ USB Key เกิดความผิดพลาด ไม่ได้ถกู ขโมยไป และได้รับการกคู้ นื ภายในพ้นื ที่
ของผู้ควบคมุ ขอ้ มูล ผคู้ วบคมุ ขอ้ มูลตอ้ งชแี้ จงขอ้ มลู ล่าสดุ ดังกลา่ วแก่ สคส. พร้อมทั้งแจง้ ให้แกไ้ ขการแจ้ง
เตือน
N3.7.11 [ระยะเวลาในการแจ้งเตือน] เม่ือเกดิ เหตรุ ่วั ไหลของขอ้ มลู ส่วนบคุ คลข้นึ DPO/ผู้ควบคมุ
ขอ้ มลู จะต้องแจ้งเหตรุ ว่ั ไหลดังกล่าวต่อ สคส. ทนั ที หรอื ภายในระยะเวลาไมเ่ กนิ 72
ชัว่ โมงหลงั ทราบวา่ เกดิ เหตรุ ัว่ ไหลของขอ้ มลู
N3.7.12 DPO/ผคู้ วบคมุ ข้อมูลจะถือวา่ ตน "รบั ทราบ" ว่าเกิดเหตุร่วั ไหลของข้อมลู ส่วนบคุ คล เม่ือ
DPO/ผู้ควบคุมขอ้ มูลมคี วามมน่ั ใจในระดบั หนงึ่ วา่ มีเหตกุ ารณ์ทสี่ ง่ ผลกระทบต่อความ
ปลอดภยั เกิดขึ้นและอาจนำไปสกู่ ารรัว่ ไหลของข้อมลู ส่วนบคุ คล759
N3.7.13 ในการกลา่ ววา่ DPO/ผ้คู วบคมุ ขอ้ มลู "รับทราบ" ถึงเหตุร่วั ไหลแลว้ นนั้ จะขน้ึ อยกู่ ับ
ลกั ษณะของเหตุร่วั ไหลแตล่ ะคร้งั ในบางกรณีจะสามารถเหน็ ไดอ้ ยา่ งชดั เจนตัง้ แต่ต้นว่า
เกิดเหตุรวั่ ไหล ขณะท่บี างกรณีอาจต้องใช้เวลาระยะหนงึ่ ในการตรวจสอบวา่ ขอ้ มลู สว่ น
บคุ คลมกี ารร่วั ไหลจริงหรอื ไม่
N3.7.14 ผ้คู วบคุมข้อมูลตอ้ งดำเนินการหามาตรการปอ้ งกนั ทางเทคนคิ และจัดทำนโยบายของ
องค์กรตามความเหมาะสมเพื่อให้ทราบโดยทันทีว่ามเี หตุรว่ั ไหลเกิดขนึ้ หรอื ไม่ โดย
สามารถขอคำแนะนำไดจ้ าก DPO
ตวั อยา่ ง
❖ ในกรณีที่การทำ USB Key สูญหายพร้อมกับข้อมูลส่วนบุคคลที่ไม่ได้รับการencrypt และไม่สามารถ
ตรวจสอบไดว้ ่าบคุ คลภายนอกซ่ึงไมไ่ ด้รบั อนุญาตสามารถเข้าถงึ ข้อมลู น้นั ได้หรือไม่
- แม้ผู้ควบคุมข้อมูลจะไม่สามารถระบุได้ว่ามีการละเมิดการธำรงไวซ้ ่ึงความลับเกิดขึ้นหรือไม่ แต่ผู้ควบคมุ
ข้อมูลยังคงต้องทำการแจ้งเตือนเนื่องจากเหตดุ ังกล่าวอยู่ในระดับซ่ึงสามารถกล่าวได้ว่าเกดิ เหตุล ร่วั ไหล
759 Id. at WP29 Opinion on breach notification, p. 10-11 629
ศนู ย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั
ความพร้อมใช้งานของขอ้ มลู และผคู้ วบคุมขอ้ มูลจะถอื วา่ "รับทราบ" เมอ่ื ตะหนักวา่ USB Key เกิดการสูญ
หายข้นึ
❖ บุคคลทสี่ ามแจ้งให้ผู้ควบคุมข้อมูลทราบว่าตนได้รบั ข้อมูลส่วนบุคคลของลูกค้ารายใดรายหน่ึงโดยบังเอิญ
และไดแ้ สดงหลกั ฐานวา่ มกี ารเปดิ เผยข้อมูลของลูกค้าโดยไม่ได้รับอนญุ าต
- เม่อื ผู้ควบคุมขอ้ มลู ไดร้ บั หลกั ฐานเชงิ ประจกั ษ์เกยี่ วกับการละเมิดการธำรงไวซ้ ง่ึ ความลบั จึงสามารถยืนยัน
ได้ว่าเกิดการ "รับทราบ" ถึงเหตุร่ัวไหลดงั กล่าว
❖ ผู้ควบคมุ ข้อมลู ตรวจพบว่าอาจมีการบุกรุกภายในเครือข่าย และผู้ควบคมุ ข้อมลู ได้ดำเนินการตรวจสอบ
ระบบเพ่ือคน้ หาวา่ มกี ารรุกล้ำข้อมูลส่วนบุคคลของผู้ใช้บริการในระบบดงั กล่าวหรือไม่ พร้อมท้ังยืนยันถึง
การเกิดเหตุรัว่ ไหลข้อมลู
- เม่ือตรวจสอบและยนื ยันเป็นที่เรยี บร้อยแล้ว มีหลกั ฐานทีแ่ น่ชัดว่ามีเหตลุ ะเมดิ ขอ้ มลู ส่วนบคุ คล จงึ กลา่ วได้
ว่าผู้ควบคุมข้อมลู ได้ "รบั ทราบ"ถึงเหตุการณ์รัว่ ไหลแลว้
❖ อาชญากรไซเบอรต์ ิดต่อผูค้ วบคมุ ข้อมลู หลงั จากทำการแฮ็กระบบเพ่ือเรยี กค่าไถ่
- หลังจากตรวจสอบระบบเพ่อื ให้ทราบแนช่ ัดว่าระบบถูกโจมตีจรงิ จะถือว่าผู้ควบคุมข้อมูลมีหลักฐานแน่ชัด
วา่ เกิดเหตรุ ัว่ ไหลของขอ้ มลู และสามารถกลา่ วได้วา่ ได้รับทราบถึงเหตลุ ะเมิดดงั กลา่ วอย่างแนน่ อน
❖ ผคู้ วบคมุ ข้อมลู ไดร้ ับแจง้ จากเหตุจากบคุ คลทัว่ ไปวา่ ตนไดร้ ับอเี มลจากผู้สง่ ซึง่ อา้ งวา่ เปน็ ผู้ควบคุมข้อมลู ซ่งึ มี
ข้อมูลสว่ นตัวเก่ียวกับการใช้บรกิ ารจากผู้ควบคุมขอ้ มลู (ตามจริง) ซึ่งบง่ ชี้ว่าเกิดการรุกล้ำระบบซึ่งได้รบั
การรกั ษาความปลอดภัย
- ผู้ควบคุมข้อมูลดำเนินการตรวจสอบเป็นระยะเวลาสั้น ๆ และระบุการบุกรุกเข้าไปในเครือข่ายของผู้
ควบคมุ ขอ้ มูล และหลกั ฐานการเข้าถงึ ข้อมลู สว่ นบคุ คลโดยไมไ่ ด้รบั อนญุ าต
- ในกรณีน้ใี หพ้ จิ ารณาว่าผู้ควบคุมข้อมูล "รบั ทราบ" และจำเป็นต้องรายงานเหตุร่ัวไหลต่อ สคส. เว้นแต่
กรณที ี่เหตุดงั กล่าวไมก่ ่อให้เกดิ ความเสีย่ งต่อสทิ ธแิ ละเสรีภาพของบุคคล
- หลงั จากการแจ้งตอ่ สคส. แล้ว ใหผ้ ู้ควบคุมข้อมูลดำเนินการแกไ้ ขเหตรุ ่ัวไหลอย่างเหมาะสม
N3.7.15 [การบนั ทึกขอ้ มูลและการประเมินเหตรุ ว่ั ไหล] DPO/ผูค้ วบคุมข้อมูลจะต้องบันทึกเหตุ
รวั่ ไหลข้อมูลส่วนบุคคลเป็นลายลักษณอ์ ักษร โดยประกอบไปด้วย
(1) ขอ้ เทจ็ จริงเกย่ี วกบั เหตุร่วั ไหลของข้อมูลสว่ นบุคคล
(2) ผลกระทบ และ
(3) การดำเนนิ การแก้ไขปญั หาดังกลา่ ว
630 Thailand Data Protection Guidelines 3.0
N3.7.16 บันทึกเหตุรัว่ ไหลข้อมูลส่วนบุคคลในข้อ N3.7.15 นั้นเป็นการบันทึกเหตุการณ์ร่ัวไหล
ของข้อมูลส่วนบุคคลทั้งหมด ทุกเหตุการณ์ ไม่ว่าเหตุการณ์นั้นจะมีแนวโน้มเสี่ยงต่อ
สทิ ธิและเสรภี าพของเจา้ ของข้อมูลส่วนบคุ คลหรอื ไมก่ ็ตาม
N3.7.17 บนั ทึกเหตุร่วั ไหลในข้อ N3.7.15 น้ีจะเปน็ เครือ่ งมือซง่ึ ชว่ ยให้ สคส. สามารถตรวจสอบ
การปฏิบตั ติ ามหลักเกณฑ์ได้อย่างชดั เจน
N3.7.18 ในทางปฏบิ ัติ DPO จะต้องเข้าไปตรวจสอบเหตรุ ่วั ไหลเหลา่ น้ีโดยละเอียดอย่างใกลช้ ดิ
N3.7.19 หลังจากได้รับการแจ้งถึงเหตุรั่วไหลของข้อมูลส่วนบุคคลแล้วนั้น DPO ต้องทำการ
ประเมินรายการต่อไปนี้โดยทันที ซึ่งจะดำเนินการไปพร้อมกับเจ้าหน้าที่อื่นๆ ที่
เกย่ี วข้องในองค์กร
(1) เหตุรั่วไหลของข้อมูลส่วนบุคคลนั้นมีลักษณะตามที่กฎ ระเบียบ ข้อบังคับ หรือ
กฎหมายท่ีเกยี่ วข้องได้ระบุไวห้ รือไม่ และเหตดุ งั กล่าวถือเป็นเหตรุ ว่ั ไหลจริงหรือไม่
หรอื มแี นวโนม้ ว่าอาจเกิดเหตรุ ่วั ไหลหรอื ไม่
(2) (ประเภทของ) เจา้ ของข้อมูลแบบใดทไ่ี ด้รับหรือมีแนวโนม้ ได้รบั ผลกระทบจากเหตุ
รั่วไหลและ (ประเภทของ) ข้อมูลส่วนบุคคลใดที่อาจเกิดการสูญหายหรือได้รับ
ผลกระทบ
(3) ระบุว่าเหตุรว่ั ไหลน้ัน“ มีแนวโน้ม” หรือ“ ไม่มแี นวโนม้ ” ท่จี ะสง่ ผลกระทบต่อสทิ ธิ
และเสรีภาพของเจ้าของข้อมลู
N3.7.20 หากเหตุการณ์รัว่ ไหลของขอ้ มูลสว่ นบคุ คลนน้ั ไม่มแี นวโน้มเสีย่ งตอ่ สทิ ธแิ ละเสรีภาพของ
เจ้าของข้อมูล DPO/ผคู้ วบคุมขอ้ มูลไมจ่ ำเป็นต้องรายงานตอ่ สคส.
N3.7.21 หากเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลนัน้ มีแนวโน้มเสี่ยงต่อสิทธิและเสรีภาพของ
เจา้ ของข้อมูล DPO/ผู้ควบคุมขอ้ มูลตอ้ งรายงานต่อ สคส.
ศนู ย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 631
N3.7.22 หากเหตุการณร์ ัว่ ไหลของขอ้ มูลส่วนบุคคลนนั้ มีแนวโนม้ เสยี่ งสงู ตอ่ สิทธิและเสรีภาพของ
เจา้ ของข้อมลู DPO/ผ้คู วบคมุ ขอ้ มูลตอ้ งรายงานต่อทัง้ สคส. และเจา้ ของข้อมูล
N3.7.23 DPO ร่วมกับผู้ควบคุมข้อมูลควรตรวจสอบให้แน่ใจว่าองค์กรมีการใชเ้ ทคโนโลยีในการ
ป้องกัน รวมถึงมาตรการขององค์กรที่เหมาะสมในการตัดสินว่าเกิดเหตุรั่วไหลข้อมูล
ส่วนบุคคลเกดิ ขึ้นหรือไม่ ภายในระยะเวลาอันรวดเร็ว และแจ้งให้ สคส. (ในบางกรณี
ต้องแจง้ ต่อเจ้าของข้อมูลด้วย) ทราบโดยทนั ที
N3.7.24 ในกรณีที่การประเมินได้ชี้ชัดว่าเกิดเหตุรั่วไหลของข้อมูลส่วนบุคคลแลส่งผลให้เกิด
ความเสี่ยงต่อสิทธแิ ละเสรีภาพของเจ้าของข้อมูล DPO ร่วมกับผูค้ วบคุมข้อมูลควรหา
มาตรการเพื่อบรรเทาผลกระทบอย่างเร่งด่วน และส่งเรื่องต่อไปยังผู้บริหารสูงสุด
ภายในระยะเวลารวดเรว็ ทีส่ ดุ เท่าทส่ี ามารถทำได้
N3.7.25 หลังจากการประเมินเหตุรั่วไหลได้รับการดำเนินการและสิ้นสุดลงแล้ว DPO และผู้
ควบคุมขอ้ มูลตอ้ งรว่ มกัน
(1) เก็บบนั ทกึ เหตรุ ว่ั ไหล
(2) รายงานผลลัพธ์หลังการประเมินความเสี่ยงและสาเหตุที่ต้องมีการประเมิน
ความเสย่ี ง
(3) มาตรการบรรเทาผลกระทบซึง่ ไดพ้ ิจารณา
- การรายงานผู้บริหารสูงสุดเกี่ยวกับการประเมินและมาตรการบรรเทา
ผลกระทบท่ีไดน้ ำเสนอตามจริง
- มาตรการตามจริงซึ่งไดร้ ับการอนุมัติจากฝ่ายบริหารพร้อมระบุระยะเวลาใน
การดำเนนิ การทีแ่ นน่ อน
(2) ในกรณที เ่ี หตรุ วั่ ไหลดงั กลา่ วต้องมีการแจ้งต่อ สคส. จะต้องระบุวนั -เวลาท่ีได้
แจ้ง พร้อมทงั้ เก็บสำเนาการแจง้ เตอื น
632 Thailand Data Protection Guidelines 3.0
(3) ในกรณที ี่เหตุร่ัวไหลดงั กลา่ วต้องมีการแจ้งตอ่ เจ้าของขอ้ มลู จะตอ้ งระบุวันเวลที่
ไดแ้ จ้ง และวธิ ีการในการแจง้ พร้อมสำเนาการแจง้ เตือน
(4) การประชาสัมพันธ์ทเี่ ก่ยี วข้อง
N3.7.26 DPO มีบทบาทสำคัญในการจดั การเหตรุ ่วั ไหลของขอ้ มลู โดยหน้าที่หลักของ DPO เมื่อ
เกิดเหตรุ ่ัวไหลของข้อมูลส่วนบคุ คล คอื
(1) การให้คำแนะนำและรายละเอยี ดในการคมุ้ ครองขอ้ มลู แกผ่ ู้ควบคมุ ข้อมูลหรือผู้
ประมวลผลขอ้ มูล
(2) การตรวจสอบเพื่อรับรองการปฏบิ ัติตามกฎ ระเบยี บ ข้อบังคับ และกฎหมายที่
เก่ยี วข้อง
(3) การให้คำแนะนำเกยี่ วกบั การจดั ทำ DPIA
(4) DPO ตอ้ งใหค้ วามรว่ มมอื กบั สคส.
(5) ทำหน้าทผ่ี ้ปู ระสานงานและแจ้งเหตุรวั่ ไหลให้แก่ สคส. และเจา้ ของขอ้ มลู
N3.7.27 DPO ควรได้รับแจ้งทันทีที่เกิดเหตุรั่วไหลของข้อมูลส่วนบุคคล และควรมีส่วนร่วมใน
การบรหิ ารจดั การเหตรุ ่ัวไหลทั้งกระบวนการตงั้ แต่ตน้
N3.7.28 องค์กรไม่ควรเตรียมแก้ไขปัญหาเพียงอย่างเดียวเท่านั้น แต่ควรกำหนดนโยบายด้าน
ความปลอดภยั และแผนรับมอื เหตุรัว่ ไหลขอ้ มูลก่อนเกดิ เหตุรั่วไหลจรงิ เพ่ือป้องกันมิให้
เกิดเหตุรั่วไหลข้อมูล รวมทั้งวางแผนเพื่อบรรเทาและยุติเหตุการณ์อันไม่พึงประสงค์
ดังกล่าว และในส่วนที่เกี่ยวข้องกับการดำเนินการประมวลผลข้อมูลส่วนบุคคลซึ่งมี
แนวโน้มเกิด "ความเสี่ยงสูง" ต่อสิทธิและเสรีภาพของเข้าของข้อมูล การกำหนด
นโยบายดังกลา่ วข้ึนถือเปน็ ส่วนหนึ่งของหน้าที่ที่เกยี่ วขอ้ งกับ DPIA
N3.7.29 [การแจง้ เหตุละเมดิ แกเ่ จ้าของขอ้ มูล] DPO/ผู้ควบคมุ ข้อมลู มหี น้าทีแ่ จง้ เหตุรั่วไหลของ
ข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลเฉพาะเหตุรั่วไหลมีความเสี่ยงสูงต่อสทิ ธแิ ละเสรีภาพ
ศนู ย์วิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 633
ของเจ้าของขอ้ มูล ดงั นัน้ เกณฑ์ในการแจ้งเหตุละเมิดตอ่ บคุ คลจึงค่อนข้างเขม้ งวดกว่าการ
แจ้งเหตุละเมิดต่อ สคส.
N3.7.30 การสอ่ื สารเพอื่ แจง้ เหตรุ ั่วไหลของข้อมลู ส่วนบคุ คลแก่เจ้าของข้อมลู ควรกระทำโดย “ไม่
ลา่ ช้าจนเกินเหตุ” หรือ “เรว็ ท่สี ดุ เท่าทสี่ ามารถทำได้”
N3.7.31 วัตถปุ ระสงคห์ ลักของการแจง้ เตือนเหตรุ ั่วไหลของข้อมลู ส่วนบุคคลแก่เจ้าของข้อมูล คือ
เพื่อให้เจ้าของข้อมูลแต่ละรายรู้ตวั และหาทางป้องกันตนเองจากผลกระทบร้ายแรงจาก
เหตุรัว่ ไหลได้ในทันที
N3.7.32 ข้อมลู สำคัญท่ีผ้คู วบคุมข้อมลู ตอ้ งชีแ้ จงแก่เจา้ ของขอ้ มลู ในเบ้อื งต้น760 มีดงั ตอ่ ไปน้ี
(1) คำอธบิ ายถึงลักษณะของเหตรุ ่วั ไหลของขอ้ มูลส่วนบคุ คล
(2) ช่ือและขอ้ มลู ติดตอ่ DPO หรือผู้ประสานงานเรือ่ งข้อมลู สว่ นบุคคลอน่ื ในองค์กร
(3) คำอธบิ ายถึงผลกระทบซึ่งอาจเกดิ จากเหตุรว่ั ไหลดังกล่าว และ
(4) คำอธิบายรายละเอียดของมาตรการที่ดำเนินการ หรือมาตรการที่นำเสนอที่ผู้
ควบคุมขอ้ มูลจะดำเนินการกับเหตุร่ัวไหลดังกลา่ ว รวมถงึ มาตรการเพ่ือบรรเทา
ผลกระทบซง่ึ อาจเกดิ ขึน้ ภายหลังตามความเหมาะสม
N3.7.33 โดยหลักการแล้ว DPO/ผู้ควบคุมข้อมูลควรแจ้งเหตุรั่วไหลของข้อมูลส่วนบุคคลแก่ท่ี
เจ้าของข้อมูลซึ่งได้รับผลกระทบโดยตรง เว้นแต่การทำเช่นนั้นเป็นการกระทำที่เป็น
อุปสรรคต่อการดำเนนิ การ หรอื เกนิ กำลังท่ี DPO/ผคู้ วบคุมขอ้ มูลจะทำได้
N3.7.34 ในกรณที ่ี DPO/ผูค้ วบคมุ ขอ้ มูลไมส่ ามารถแจ้งเหตุรวั่ ไหลแก่เจ้าของข้อมลู ไดโ้ ดยตรงเป็น
รายบุคคลไป DPO/ผ้คู วบคุมข้อมลู อาจจะต้องใชก้ ารสือ่ สารสาธารณะ หรอื มาตรการอื่น
ๆ ในรูปแบบท่คี ลา้ ยคลึงกันแทนโดยการแจง้ ข้อมลู ทม่ี ีประสิทธิภาพเท่ากัน761 ซึ่ง DPO/
760 Id. at WP29 Opinion on breach notification, Section III.B, p. 20
761 GDPR, Article 34(3)(c)
634 Thailand Data Protection Guidelines 3.0
ผูค้ วบคุมข้อมลู อาจขอปรกึ ษาวธิ ใี นการแจ้งเจ้าของขอ้ มลู ทีเ่ หมาะสมจาก สคส.
N3.7.35 การแจ้งเตือนเหตุรั่วไหลควรพิจารณาถึง “legitimate interests” ของหน่วยงานผู้
บังคบั ใช้กฎหมาย เนอื่ งดว้ ยการเปิดเผยขอ้ มูลอาจเป็นอุปสรรคต่อการสืบสวนเหตุร่ัวไหล
ข้อมูลส่วนบุคคลอันเกินกว่าเหตุ ดังนั้นในบางสถานการณ์ซึ่งอยู่ระหว่างการตรวจสอบ
เหตุรั่วไหลของข้อมูล ผู้ควบคุมข้อมูลอาจพิจารณาแจ้งเหตุรั่วไหลดังกล่าวให้เจ้าของ
ข้อมูลได้รับทราบหลังจากที่มีการยืนยันเหตุดังกล่าวเพื่อจะได้ไม่ส่งผลกระทบต่อการ
สืบสวนสอบสวน โดยสามารถขอรับคำปรกึ ษาเรื่องเวลาในการแจ้งเจ้าของขอ้ มูลได้จาก
หนว่ ยงานทม่ี ีอำนาจทางกฎหมาย หรือ สคส. 762
N3.7.36 [ข้อยกเว้นที่ไม่ต้องแจ้งให้เจ้าของข้อมูลรับทราบ763764] หากเหตุการณ์รั่วไหลของ
ข้อมูลส่วนบุคคลที่เกิดขึ้นมีลักษณะตรงตามเงื่อนไขต่อไปนี้ DPO/ผู้ควบคุมข้อมูลไม่
จำเป็นตอ้ งแจง้ ให้เจา้ ของข้อมูลทราบถงึ เหตุละเมิด
(1) ผู้ควบคมุ ขอ้ มูลได้ใช้มาตรการทางเทคนิคและมาตรการขององค์กรทีเ่ หมาะสมใน
การคุ้มครองข้อมูลสว่ นบคุ คลกอ่ นเกดิ เหตุรั่วไหลโดยเฉพาะอย่างยง่ิ มาตรการที่
ใช้ในการ render ข้อมูลส่วนบุคคลซึ่งมีความซับซ้อน ทำให้บุคคลภายนอกซ่ึง
ไม่ไดร้ ับอนุญาตไมส่ ามารถเขา้ ถึงข้อมูลได้ ซ่งึ อาจหมายรวมถึงการคมุ้ ครองข้อมลู
สว่ นบุคคลด้วยวธิ กี ารเข้ารหัสซง่ึ มีความทนั สมัยหรือการใช้ token
(2) ทันทีที่เกิดเหตุรั่วไหลของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลได้ดำเนิน การเพ่ือ
ป้องกนั มิให้มแี นวโน้มเกิดความเส่ียงสงู ต่อสิทธิและเสรีภาพของบุคคลในอนาคต
เช่น ผู้ควบคุมข้อมูลสามารถตรวจพบและดำเนินการกับบุคคลซึ่งเข้าถึงข้อมูล
ส่วนบุคคลในทันทีก่อนเกิดเหตุรั่วไหลข้อมูล เนื่องจากบุคคลดังกล่าวถูกพบ
ระหวา่ งกำลังดำเนินการบางอยา่ งกบั ขอ้ มลู เป็นตน้
(3) เนื่องจากพบอุปสรรคในการติดต่อบุคคลซึ่งเป็นเจ้าของข้อมูล อาจเนื่องจาก
ข้อมูลติดตอ่ สูญหายจากเหตรุ ั่วไหลขอ้ มลู หรือไมท่ ราบสาเหตุท่ีข้อมูลติดต่อสูญ
762 GDPR, Recital 88 635
763 GDPR, Article 34(3)
764 Id. at WP29 Opinion on breach notification, Section III.D, p. 22
ศนู ยว์ ิจยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย
หายตั้งแต่ต้น เช่น ข้อมูลได้รับการจัดเก็บในรูปแบบเอกสารเพียงอย่างเดียว
ดังนัน้ ผู้ควบคมุ ข้อมูลจะตอ้ งทำการสื่อสารสาธารณะหรือใช้มาตรการทีค่ ลา้ ยคลึง
กันโดยท่เี จา้ ของขอ้ มูลจะไดร้ ับแจ้งในลักษณะท่ีมีประสิทธภิ าพเท่าเทียมกัน
N3.7.37 [การประเมินความเสี่ยงและความเสี่ยงสูง] ทันทีที่ทราบว่าเกิดเหตุรั่วไหลของข้อมลู
ส่วนบุคคล ผู้ควบคุมข้อมูลไม่เพียงแต่ต้องพยายามควบคุมสถานการณ์เท่านั้น แต่ต้อง
ประเมินความเส่ยี งท่จี ะกระทบต่อสทิ ธแิ ละเสรภี าพของเจ้าของข้อมลู อาจเกดิ ข้ึนจากเหตุ
รวั่ ไหลดังกล่าวดว้ ย โดยสามารถขอคำปรกึ ษาจาก DPO ในการประเมินความเสี่ยงได้
N3.7.38 วตั ถปุ ระสงคใ์ นการประเมนิ ความเส่ยี งเม่อื เกิดเหตุรว่ั ไหลของขอ้ มูล
(1) เพอ่ื ใหท้ ราบถึงแนวโน้มและความรา้ ยแรงของผลกระทบที่มีตอ่ เจ้าของข้อมูลแต่
ละบุคคล ซึ่งข้อมูลเหล่านีช้ ว่ ยให้ DPO/ผู้ควบคุมข้อมูลสามารถดำเนินการตาม
ขั้นตอนอย่างมีประสิทธิภาพเพื่อควบคุมและจัดการเหตุรั่วไหลได้อย่างมี
ประสทิ ธิภาพและทันทว่ งที
(2) ช่วยให้สามารถพิจารณาว่าการรั่วไหลดังกล่าวนั้นจำเป็นต้องรายงานเหตุการณ์
ให้แก่ สคส. หรือไม่ และจำเป็นต้องรายงานเหตุรั่วไหลดังกล่าวให้เจ้าของ
ขอ้ มูลทราบหรือไม่
ตัวอยา่ ง
❖ ตัวอยา่ งของความเสียหายจากเหตุร่ัวไหลของข้อมูลสว่ นบคุ คล เช่น การเลือกปฏิบัติ การโจรกรรมข้อมูล
สว่ นบคุ คล หรอื การปลอมแปลงขอ้ มลู การฉ้อโกง และการทำให้เกดิ ความเสียหายตอ่ ชือ่ เสียง
❖ เมอ่ื เหตรุ ั่วไหลน้นั มีส่วนเก่ียวข้องกบั ขอ้ มลู สว่ นบคุ คลซงึ่ แสดงให้เหน็ ถึงเช้ือชาตหิ รือชาติพนั ธ์ุ ความคิดเหน็
ทางการเมอื ง ศาสนา หรือปรัชญาท่ศี รัทธา หรอื การเปน็ สมาชกิ สหภาพแรงงาน กระท่งั รหัสพันธกุ รรม
ขอ้ มลู ด้านสุขภาพ หรอื ขอ้ มูลเกีย่ วกบั ค่านิยมทางเพศ หรือประวตั อิ าชญากรรม และการกระทำความผดิ
ทางกฎหมาย หรอื มาตรการรักษาความปลอดภยั ท่ีเกย่ี วขอ้ ง ข้อมลู ดงั กลา่ วมีความเสีย่ งสงู ท่ีจะกระทบต่อ
สิทธแิ ละเสรภี าพของเจ้าของข้อมูล จึงมคี วามจำเป็นต้องแจ้งเหตรุ ่ัวไหลแก่ สคส.
636 Thailand Data Protection Guidelines 3.0
N3.7.39 [ปจั จยั สำหรบั พิจารณาเม่ือประเมนิ ความเสี่ยง] ในการประเมนิ ความเสี่ยงนน้ั
โดยท่ัวไปแลว้ ควรพิจารณาทัง้ แนวโนม้ และความรนุ แรงของความเสียหายตอ่ สทิ ธิและ
เสรภี าพของเจ้าของข้อมลู
N3.7.40 ในการประเมนิ ความเส่ียงนั้นควรคำนึงถงึ ประเดน็ ดังน้ี765
(1) ประเภทของเหตรุ วั่ ไหล – ประเภทของเหตุรวั่ ไหลอาจสง่ ผลตอ่ ระดบั ความเสี่ยง
ซึ่งอาจเกดิ ขึน้ กับเจ้าของข้อมลู
ตวั อยา่ ง
❖ เหตรุ ่ัวไหลของขอ้ มูลส่วนบคุ คลตอ่ การธำรงไวซ้ ง่ึ ความลับของประวตั ิการรักษาถูกเปิดเผยต่อบคุ คลซ่ึงไม่ได้
รบั อนุญาต
- เหตุรั่วไหลนี้สามารถก่อให้เกิดผลกระทบต่อรายละเอียดด้านการรักษาของเจ้าของข้อมูลแต่ละรายใน
ภายหลัง เช่น ประวัตกิ ารรักษาเกิดการสญู หาย หรอื ประวัติการรักษาถกู เปลี่ยนแปลง เปน็ ตน้
(2) ลักษณะโดยทั่วไป ระดับความอ่อนไหว และปริมาณของข้อมูลส่วนบุคคล
โดยทว่ั ไปแล้วข้อมูลที่มีระดับความอ่อนไหวสงู มแี นวโน้มก่อให้เกิดความเสี่ยงต่อ
เจ้าของข้อมูลมากยิ่งขึ้น อย่างไรก็ตามควรพิจารณาถึงข้อมูลส่วนบุคคลอื่น ๆ
ของเจ้าของข้อมูลซึ่งมีอยู่ด้วยประกอบกันไป นอกจากนี้เหตุรั่วไหลที่ส่งผล
กระทบต่อข้อมูลส่วนบุคคลจำนวนมากของเจ้า ของข้อมูลหลายคนจะทำให้มี
จำนวนผูไ้ ดร้ ับผลกระทบเพ่มิ ขึ้น
ตวั อย่าง
❖ การเปิดเผยชื่อและที่อยูข่ องเจ้าของข้อมูลในสถานการณ์ปกติถือว่าไม่มีแนวโน้มก่อให้เกิดความเสียหาย
ร้ายแรง อย่างไรก็ตามหากมีการเปิดเผยชื่อและที่อยู่ของพ่อแม่บุญธรรมให้แก่พ่อแม่ผู้ให้กำเนิดอาจ
กอ่ ให้เกิดผลกระทบรุนแรงต่อท้ังพ่อแมบ่ ญุ ธรรมรวมทัง้ บตุ รอีกดว้ ย เป็นตน้
❖ เหตุรั่วไหลที่เกี่ยวข้องกบั ข้อมูลด้านสุขภาพ เอกสารระบุตัวตน หรือข้อมูลด้านการเงิน เช่น รายละเอียด
ของบัตรเครดิต อาจก่อให้เกิดอันตรายได้ด้วยตัวข้อมูลเองอยูแ่ ลว้ แต่หากนำข้อมูลทัง้ หมดมาใช้รว่ มกันก็
765 Article 3.2, Regulation 611/2013. Retrieved from http://eur‐ 637
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:en:PDF.
ศูนยว์ จิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย
สามารถสง่ ผลให้เกดิ การโจรกรรมขอ้ มลู ส่วนบุคคลได้ ซึ่งการนำขอ้ มูลส่วนบคุ คลหลายประเภทมารวมกัน
ส่งผลให้ขอ้ มูลมรี ะดบั ความอ่อนไหงสงู กวา่ ขอ้ มลู สว่ นบุคคลเพียงประเภทเดยี ว
❖ ข้อมูลส่วนบุคคลบางประเภท ในเบื้องต้นอาจดูเหมือนไม่มีอันตรายใด ๆ เช่น รายชื่อลูกค้าซึ่งใช้บริการ
จดั สง่ สนิ คา้ เป็นประจำอาจไมถ่ อื เป็นขอ้ มูลทมี่ รี ะดับความอ่อนไหวสงู นัก แตข่ ้อมูลเดียวกนั เกย่ี วกบั ลูกค้าซง่ึ
ขอระงับบริการจดั สง่ ในช่วงวนั หยดุ ถอื เปน็ ข้อมูลทเ่ี ป็นประโยชน์อย่างย่ิงสำหรับอาชญากร
❖ ข้อมูลส่วนบุคคลที่มีระดับความอ่อนไหวสูงจำนวนเล็กน้อยอาจส่งผลกระทบอย่างมากต่อเจ้าของข้อมูล
รายบุคคลและยิง่ รายละเอยี ดมากเท่าไหรก่ ็ยิง่ บ่งบอกตวั ตนของบคุ คลนัน้ ไดล้ ะเอยี ดยิ่งขนึ้
(3) ความสะดวกในการระบุตัวบุคคล ปัจจัยสำคัญที่ต้องพิจารณาคือ บุคคลอื่น
สามารถเขา้ ถึงเข้ามูลส่วนบคุ คลโดยไม่ได้รับอนุญาตเพอ่ื ระบุตัวบุคคลได้สะดวก
มากน้อยเพียงใด หรือสามารถนำข้อมูลสองประเภทมาใช้ร่วมกันเพื่อระบุตัว
บุคคลได้อย่างง่ายดายหรือไม่ ทั้งนี้ การระบุตัวตนอาจเกิดขึ้นจากเหตุรั่วไหล
ข้อมูลส่วนบุคคลโดยตรงโดยไม่จำเป็นต้องใช้วิธีการค้นหาข้อมูลระบุตัวบุคคล
เพมิ่ เตมิ หรืออาจมีระดับความยากเพิ่มขนึ้ เน่อื งจากต้องจับคขู่ ้อมูลสว่ นบุคคลกับ
บุคคลใดบคุ คลหน่งึ
(4) ความรุนแรงของผลกระทบที่เกิดขึน้ ตอ่ เจ้าของขอ้ มูลในภายหลัง ผลกระทบ
นั้นขึ้นอยู่กับลักษณะของข้อมูลส่วนบุคคลซึ่งถูกละเมิด เช่น ข้อมูลซึ่งจัดอยู่ใน
ประเภทขอ้ มูลเฉพาะ หรือประเภทข้อมูลออ่ นไหว ข้อมูลเหลา่ น้มี แี นวโน้มความ
เสียหายทอี่ าจเกดิ ขน้ึ กับเจา้ ของข้อมลู จะคอ่ นขา้ งร้ายแรง โดยเฉพาะอย่างย่งิ เม่ือ
เหตุรั่วไหลนั้นส่งผลให้เกิดการโจรกรรมข้อมูลส่วนบุคคลหรือการปลอมแปลง
ข้อมูล การทำร้ายร่างกายหรือจติ ใจ เป็นการลบหลูเ่ กียรตหิ รือสร้างความเสื่อม
เสียต่อชื่อเสียง หากเหตุรั่วไหลดังกล่าวเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้
เปราะบาง เหตุละเมิดสามารส่งผลกระทบร้ายแรงมากยิ่งขึ้น นอกจากนี้ควร
พิจารณาถึงความยาวนานของผลกระทบที่มีต่อเจ้าของข้อมูลรายบุคคลด้วย
เนื่องจากผลกระทบบางประเภทอาจส่งผลต่อตัวบุคคลในระยะยาว เช่น
ผลกระทบทางด้านจติ ใจ
(5) จำนวนผู้ได้รับผลกระทบ เหตุรั่วไหลของข้อมูลส่วนบุคคลอาจส่งผลกระทบ
ตอ่ บุคคลเพียงรายเดียวหรือเกนิ กวา่ น้นั โดยทว่ั ไปแลว้ ผลกระทบจากเหตรุ วั่ ไหล
น้ันจะยิ่งทวีความรุนแรงมากขน้ึ ตามจำนวนผูไ้ ด้รบั ผลกระทบ อย่างไรกต็ ามการ
638 Thailand Data Protection Guidelines 3.0
รวั่ ไหลอาจสง่ ผลกระทบอย่างรนุ แรงต่อเจ้าของข้อมลู แม้มจี ำนวนพียงรายเดียว
ทั้งน้ี ขน้ึ อยกู่ บั ลักษณะของข้อมูลสว่ นบุคคลและบริบททีข่ อ้ มูลนั้นถกู บกุ รกุ
(6) ลักษณะเฉพาะของเจ้าของข้อมลู รายบคุ คล เหตุรั่วไหลอาจส่งผลกระทบตอ่
ขอ้ มูลสว่ นบคุ คลทเ่ี กย่ี วข้องกับเด็กหรอื บคุ คลเปราะบางประเภทอ่นื ๆ ซ่ึงอาจทำ
ให้เสี่ยงต่อการได้รับอันตรายหรือผลกระทบรุนแรงขึ้น และอาจมีปัจจัยอื่น ๆ
เกี่ยวกับเจ้าของข้อมูลรายบุคคลซึ่งอาจส่งผลต่อระดับความรุนแรงของ
ผลกระทบจากเหตุละเมดิ ท่ีเกิดข้นึ
(7) ลักษณะเฉพาะของผู้ควบคุมข้อมูล ลักษณะและบทบาทโดยทั่วไปของผู้
ควบคุมข้อมลู และกจิ กรรมของผู้ควบคมุ ข้อมูลอาจส่งผลต่อระดับความเส่ยี งที่มี
ต่อเจ้าของข้อมูลซึ่งเป็นผลมาจากเหตุละเมิด เช่น องค์กรทางการแพทย์จะ
ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลเฉพาะ ดังนั้นหากข้อมูลส่วนบุคคล
เหล่านร้ี ่ัวไหลออกไปจะก่อให้เกดิ ความเสี่ยงมากยิง่ ขึน้ เมื่อเทียบกับข้อมูลรายชื่อ
ผรู้ บั หนงั สอื พิมพ์จากทางไปรษณีย์
(8) ข้อสังเกตโดยทั่วไป ในการประเมินความเสี่ยงที่อาจเกิดจากเหตุรั่วไหล ผู้
ควบคมุ ข้อมูลควรพิจารณาระดบั ความรนุ แรงของผลกระทบท่อี าจเกิดข้นึ ต่อสิทธิ
และเสรภี าพของเจา้ ของข้อมูลรายบุคคลรวมถงึ แนวโนม้ เกิดเหตกุ ารณ์ดังกลา่ ว
N3.7.41 ห น ่ ว ย ง า น European Union Agency for Network and Information Security
(ENISA) ได้จัดทำคำแนะนำสำหรับวธิ ีการในการประเมินความรุนแรงของเหตุละเมิดซึง่
อาจเป็นประโยชน์สำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลในการออกแบบ
แผนการเพื่อรับมือกับเหตรุ ่วั ไหลซึ่งอาจเกิดข้ึนในอนาคต766
ตวั อยา่ งการรัว่ ไหลข้อมลู ส่วนบคุ คลและจะต้องแจง้ ต่อผูใ้ ด
766 ENISA, Recommendations for a methodology of the assessment of severity of personal data
breaches. Retrieved from https://www.enisa.europa.eu/publications/dbn‐severity
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 639
ตวั อยา่ ง จำเปน็ ตอ้ งแจง้ ตอ่ จำเป็นตอ้ งแจ้งให้ หมายเหตุ/
สำนักงานฯหรอื ไม่ เจ้าของขอ้ มลู ทราบ ขอ้ เสนอแนะ
1.ผคู้ วบคุมข้อมูลไดจ้ ดั เก็บ ไมจ่ ำเป็น
ขอ้ มูลสำรองจากขอ้ มูลสว่ น หรอื ไม่ ตราบใดทข่ี อ้ มูลสว่ น
บุคคลโดยทำการเข้ารหสั ใน จำเป็น ไมจ่ ำเป็น บุคคลไดร้ ับการเข้ารหัส
USB Key จากน้ัน Key ใหแ้ จง้ ไปยัง สคส. ด้วยอลั กอริทึมที่
ดงั กลา่ วถูกขโมยระหว่าง หากมแี นวโนม้ ส่ง จำเป็น ทันสมยั การสำรอง
การบกุ รกุ ผลกระทบต่อลกู ค้าซงึ่ ให้แจง้ ตอ่ เจา้ ของข้อมูล ขอ้ มลู ใช้ Key ซงึ่ ไม่ซ้ำ
เปน็ เจา้ ของขอ้ มูล รายบคุ คลโดยขนึ้ อยูก่ บั กบั ตวั เดมิ จะช่วย
2.ผคู้ วบคุมขอ้ มูลเปน็ ผดู้ แู ล รายบคุ คล ลักษณะของข้อมลู ส่วน ปอ้ งกนั ไมใ่ หผ้ ไู้ ม่ไดร้ บั
ความเรียบร้อยให้กับงาน ไม่จำเป็น บคุ คลทไ่ี ด้รับผลกระทบ อนญุ าตเข้าถึงขอ้ มูลได้
บริการออนไลน์ ต่อมา รวมถงึ ระดบั ความ และสามารถกู้คนื ข้อมูล
หน่วยงานดงั กลา่ วประสบ จำเปน็ รุนแรงท่อี าจจะเกิดขึ้น ไดใ้ นเวลาอนั เหมาะสม
ปญั หาจากการโจมตที างไซ ใหแ้ จง้ ตอ่ สคส. หาก ไม่จำเปน็ ดงั นนั้ ในกรณีนไี้ มใ่ ช่
เบอร์ สง่ ผลใหข้ อ้ มูลสว่ น มแี นวโนม้ ท่จี ะสง่ ผล เหตุรัว่ ไหลซ่งึ
บคุ คลของเจา้ ของข้อมลู ถูก จำเป็น จำเปน็ ต้องแจ้ง
นำออกไป ให้แจง้ ตอ่ เจา้ ของข้อมลู
รายบุคคลโดยข้ึนอยกู่ บั เหตุละเมดิ ประเภทน้ี
3.เกิดเหตไุ ฟฟ้าขัดข้องเป็น ไม่จำเปน็ ต้องแจง้ ให้
ระยะเวลา 2-3 นาที ณ ทราบ แต่เป็น
call center ของผคู้ วบคุม เหตุการณ์ทีผ่ ูค้ วบคมุ
ข้อมูล ซ่ึงสง่ ผลใหล้ ูกคา้ ไม่ ข้อมลู ควรเกบ็ บนั ทึกไว้
สามารถโทรหาผูค้ วบคุม ตามความเหมาะสม
ขอ้ มูลหรือเขา้ ถึงบนั ทกึ
ข้อมลู ของตนได้ หากมีขอ้ มูลสำรองและ
สามารถกู้คืนข้อมลู
4.ผู้ควบคมุ ขอ้ มลู ไดร้ ับความ ภายในระยะเวลา
เดือดร้อนจากการโจมตขี อง
ransomware ซง่ึ ส่งผลให้
640 Thailand Data Protection Guidelines 3.0
ตัวอยา่ ง จำเปน็ ตอ้ งแจ้งต่อ จำเปน็ ตอ้ งแจง้ ให้ หมายเหตุ/
สำนกั งานฯหรือไม่ เจา้ ของข้อมูลทราบ ข้อเสนอแนะ
ข้อมูลท้ังหมดถูกเข้ารหสั กระทบกบั เจา้ ของ หรอื ไม่ อนั รวดเรว็ ไม่
โดยท่ีไมม่ ีการสำรองข้อมลู ข้อมลู รายบุคคล จำเปน็ ต้องรายงานเหตุ
และไมส่ ามารถก้คู ืนข้อมูล เนอ่ื งจากสง่ ผลให้ ลกั ษณะของขอ้ มลู ส่วน ละเมดิ ไปยงั สคส.
ได้ จากการตรวจสอบพบ สูญเสยี ความพรอ้ มตอ่ บุคคลท่ไี ดร้ ับผลกระทบ หรอื เจ้าของข้อมูล
หลกั ฐานแนช่ ดั ว่าการ การใชง้ าน ระดบั ความรนุ แรง รายบุคคลเนือ่ งจาก
ทำงานของ ransomware รวมทัง้ ผลกระทบอนื่ ๆ เหตกุ ารณด์ งั กลา่ วไม่
เพยี งอยา่ งเดียวคือการ ซง่ึ อาจเกดิ ข้ึนเนอื่ งจาก กอ่ ให้เกิดการสญู เสีย
เขา้ รหสั ข้อมูลโดยท่ไี ม่ ขอ้ มูลไมม่ ีความพรอ้ ม ต่อความพรอ้ มใช้งาน
มีมัลแวรต์ ัวอื่นภายในระบบ ต่อการใช้งาน หรอื การธำรงไว้ซึ่ง
เชน่ เดยี วกบั ผลกระทบ ความลับเป็นการถาวร
อน่ื ๆ ซึง่ อาจตามมา
5.บุคคลตดิ ตอ่ ศนู ย์บริการ จำเป็น ธนาคารแจ้งเตือนบุคคล หากภายหลงั จากการ
Call center ของธนาคาร ซ่งึ ได้รบั ผลกระทบ ตรวจสอบเพมิ่ เติม
เพอ่ื รายงานเหตุละเมิด จำเปน็ เท่านั้นในกรณีทีพ่ บว่า พบว่ามบี คุ คลซงึ่ ไดร้ บั
ข้อมูลส่วนบุคคล โดยบคุ คล ใหร้ ายงานตอ่ สคส. เหตรุ ัว่ ไหลนัน้ มคี วาม ผลกระทบจำนวน
ดงั กลา่ วไดร้ ับใบแจง้ ยอด หากเหตลุ ะเมิดทีเ่ กิดข้นึ เสีย่ งสูงและสามารถ เพมิ่ ขึน้ จะตอ้ งมกี าร
ค่าใช้จา่ ยรายเดอื นของ ยืนยนั ได้วา่ บคุ คลอ่ืนจะ update ข้อมลู ไปยงั
บุคคลอ่นื ไม่ไดร้ ับผลกระทบ สคส. และผูค้ วบคมุ ล
* ผู้ควบคุมข้อมูล (ในทนี่ ี้คือ ขอ้ มลู จะมีขน้ั ตอน
ธนาคาร) ได้ดำเนินการ จำเป็น ดำเนนิ การเพ่มิ เติมเพอื่
ตรวจสอบโดยใชร้ ะยะเวลา แจง้ เตอื นเหตรุ ั่วไหลแก่
เพียงสน้ั ๆ (เช่น เสรจ็ สิ้น เจ้าของขอ้ มูลอื่นกรณที ่ี
ภายใน ระยะเวลา 24 พบวา่ มีความเสย่ี งสงู
ชว่ั โมง) และยนื ยันวา่ เกดิ
เหตรุ ั่วไหลของขอ้ มูลเกิดข้ึน ผคู้ วบคุมข้อมูลควร
จรงิ รวมทงั้ ช้ีแจงว่าเกิดจาก ดำเนนิ การ เช่น บังคบั
ระบบดำเนนิ งานมี ให้ตัง้ ค่ารหสั ผ่านของ
ข้อบกพร่อง
6.ผคู้ วบคมุ ข้อมูลทำการตลาด
ออนไลน์และมลี ูกค้าจาก
หลายประเทศ ตอ่ มาตลาด
ศูนย์วิจัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 641
ตัวอย่าง จำเปน็ ตอ้ งแจ้งต่อ จำเป็นตอ้ งแจ้งให้ หมายเหตุ/
สำนักงานฯหรอื ไม่ เจ้าของขอ้ มูลทราบ ข้อเสนอแนะ
ออนไลน์ไดร้ ับผลกระทบ บญั ชที ่ไี ดร้ บั ผลกระทบ
ร้ายแรงจากเหตโุ จมตีทางไซ เก่ียวข้องกับการ หรอื ไม่ ตลอดจนขนั้ ตอนอ่ืน ๆ
เบอรซ์ ่ึงทำใหช้ ื่อผใู้ ช้ ประมวลข้อมลู ส่วน เนื่องจากเหตุร่ัวไหลอาจ เพอ่ื ลดความเสี่ยง
รหสั ผ่าน และประวัตกิ ารซ้ือ บคุ คลผลขา้ มพรมแดน ก่อให้เกดิ ความเส่ยี งสงู
ของเจ้าของข้อมลู ถกู ผู้โจมตี ในภายหลัง การแจ้งเตอื นไม่ถือเปน็
เผยแพร่ทางออนไลน์ จำเปน็ สิ่งจำเปน็ หากไม่มีการ
7. เวชระเบียนในโรงพยาบาล เน่ืองจากโรงพยาบาลมี จำเป็น เปิดเผยข้อมลู ที่
ไมส่ ามารถใชง้ านได้เปน็ หนา้ ท่ตี อ้ งแจ้งแก่ ใหร้ ายงานต่อเจา้ ของ อ่อนไหวและหากการ
ระยะเวลา 30 ชัว่ โมง เจ้าของขอ้ มลู หรอื คนไข้ ข้อมลู ผ้ซู ึง่ ไดร้ ับ เปิดเผยทอี่ ยูอ่ ีเมล์
เนื่องจากถูกโจมตที างไซ วา่ เหตดุ ังกลา่ วมคี วาม ผลกระทบ จำนวนไม่มากนัก
เบอร์ เส่ียงสูงต่อความเปน็ อยู่
ท่ีดแี ละความเป็น จำเปน็
8.ขอ้ มูลสว่ นบคุ คลของ ส่วนตวั ของผู้ป่วย ให้แจง้ ต่อเจา้ ของข้อมูล
นักเรยี นจำนวนมากถกู ส่งไป จำเป็น รายบคุ คลโดยขนึ้ อยู่กับ
ยังรายชื่ออเี มลทีไ่ มถ่ ูกตอ้ ง ลักษณะของขอ้ มลู สว่ น
โดยมจี ำนวนผู้รบั กวา่ จำเปน็ ใหแ้ จง้ ตอ่ สคส. บุคคลทไ่ี ด้รับผลกระทบ
1,000 ราย เน่อื งจากบางกรณอี าจมี รวมถงึ ระดบั ความ
ขอ้ มลู สว่ นบุคคลไดร้ ับ รนุ แรงที่อาจจะเกิดขน้ึ
9.อเี มลจากฝา่ ยการตลาดทาง ผลกระทบอย่างรุนแรง จำเป็น
ถกู ส่งไปยงั ผูร้ ับในชอ่ ง "ถึง และเปน็ จำนวนมาก ใหแ้ จง้ ตอ่ เจ้าของข้อมลู
(to):" หรอื "cc:" ซง่ึ จะทำให้ จากเหตุร่วั ไหลน้ี เช่น รายบุคคลโดยข้นึ อยู่กบั
ลูกคา้ รายบุคคลสามารถดทู ี่ เมอื่ มกี ารเปิดเผยขอ้ มูล ลักษณะของข้อมลู สว่ น
อยอู่ ีเมลของผรู้ ับรายอื่นได้ ที่เป็นขอ้ มูลออ่ นไหว บคุ คลทไี่ ด้รับผลกระทบ
(เช่น รายชือ่ ผู้รบั รวมถึงระดับความ
จดหมายของนักจติ รนุ แรงท่ีอาจจะเกิดขึ้น
642 Thailand Data Protection Guidelines 3.0
ตัวอยา่ ง จำเป็นต้องแจ้งต่อ จำเป็นตอ้ งแจง้ ให้ หมายเหตุ/
สำนักงานฯหรอื ไม่ เจ้าของขอ้ มลู ทราบ ข้อเสนอแนะ
หรือไม่
อายุรเวช) หรือหาก
ปจั จยั อนื่ ๆ มีความ
เสยี่ งสงู (เช่น เมล์ซึง่ มี
การระบุพาสเวิร์ด
เริ่มตน้ เปน็ ต้น)
ที่มา: WP29 Opinion on breach notification
N3.8 [ภาระงานท่ี 7 การตรวจสอบและการสอบสวน รวมไปถงึ การจัดการเร่ืองข้อร้องเรียน
ภายในและภายนอกองค์กร]
N3.8.1 [การสอบสวน] การสอบสวนนั้นเป็นไปตามหน้าที่พื้นฐานของ DPO ในด้านของการ
ตรวจสอบการปฏิบัติตาม767 กล่าวคือ DPO จะต้องทำการสอบสวนและรายงานสิ่ง
ผิดปกติตามคำร้องขอของบุคคลต่าง ๆ ทั้งในและนอกองค์กร และรายงานให้ผู้บริหาร
ทราบ
N3.8.2 DPO จะต้องได้รับข้อมูล เอกสาร การเข้าถึงข้อมูล สถานที่ รหัสผ่านตา่ ง ๆ ที่เกี่ยวข้อง
กบั ขอ้ มลู ส่วนบุคคลขององคก์ ร เพ่อื ท่ี DPO จะทำหน้าท่ีสอบสวนไดอ้ ย่างสมบรู ณ์768
N3.8.3 นอกเหนือจาก DPO แลว้ องคก์ รยังสามารถแต่งตง้ั เจ้าหน้าที่ตา่ ง ๆ เช่นเจ้าหน้าท่ีของผู้
ควบคุมข้อมลู เจา้ หนา้ ท่จี ากองคก์ รภายนอก โดยเฉพาะอย่างยิ่งผ้ปู ระมวลผลข้อมลู (ซ่ึง
อาจรวมไปถึงผู้ให้บริการคลาวน์) เจ้าหน้าที่เหล่านี้ต้องให้ความช่วยเหลือ DPO ในการ
สวบสวนในประเด็นตา่ ง ๆ โดยต้องให้ขอ้ มลู อยา่ งครบถว้ นตามท่ี DPO รอ้ งขอ
767 GDPR, Article 39(1)(b) 643
768 GDPR, Article 38(2)
ศนู ยว์ ิจัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั
N3.8.4 ผู้ควบคุมขอ้ มลู ต้องจัดทำแนวปฏิบตั ิสำหรบั คนท้งั ภายในและภายนอกองค์กรว่าในกรณีที่
เกิดเหตุสอบสวนใด ๆ เจ้าหน้าที่ทั้งภายในและภายนอกองค์กรต้องให้ความร่วมมือกบั
DPO ในการสอบสวน
N3.8.5 [การบังคับใช้] หาก DPO พบว่ามีบุคคลใดทั้งภายในและภายนอกองค์กรไม่ปฏิบัตติ าม
ให้ DPO รายงานต่อผู้บริหารระดับสูงขององค์กร ซึ่งผู้บริหารระดับสูงมีหน้าที่แก้ไข
ปรบั ปรุง รวมไปถึงลงโทษพนกั งาน หรอื ผปู้ ระมวลผลข้อมลู หรอื ใครกต็ ามทีป่ ฏิบตั ิหนา้ ท่ี
บกพร่อง เชน่ ออกคำเตือน หรือมาตรการลงโทษตา่ ง ๆ หรือในกรณีรา้ ยแรงอาจให้ออก
จากงาน หรือยกเลกิ สญั ญา
ตวั อย่าง
❖ หากองค์กรใช้บริษัทภายนอกในการจัดเก็บข้อมูลส่วนบคุ คล และพบว่าเกิดการละเมิดข้อมูลส่วนบุคคล
บรษิ ัทควรพจิ ารณาเปลี่ยนบรษิ ทั จดั เก็บขอ้ มลู
N3.8.6 หากองคก์ รมีการละเลยการตรวจสอบอาจถกู สคส. ลงโทษได้หากถกู พบเจอ769 เช่น เสีย
ค่าปรับ เป็นตน้
N3.8.7 ในกรณีที่ DPO พบว่าอาจมีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลใดขององค์กรที่
พิจารณาแล้วเหน็ ว่าอาจมีการละเมิดกฎหมาย แต่องค์กรยังยืนยนั ทีจ่ ะดำเนินการต่อไป
ให้ DPO หารือกับ สคส. ในกรณีดังกลา่ ว เมื่อ สคส. รับทราบแล้วนั้นอาจมีการใช้
อำนาจของ สคส. ในการสอบสวนและบังคับใช้กฎหมายซ่ึงอาจนำไปสู่การระงับการ
ปฏิบตั งิ านขององค์กรได้ตามดุลยพนิ จิ ของ สคส. 770
769 GDPR, Article 83
770 GDPR, Article 58(2)(d) and (f)
644 Thailand Data Protection Guidelines 3.0
ลกั ษณะงานที่ 4: หนา้ ทใี่ ห้คำปรึกษา
N3.9 [ภาระงานที่ 8 หน้าที่ให้คำปรึกษาท่ัวไป] DPO มีหน้าที่ตรวจสอบว่าองค์กรได้ปฏบิ ัติ
กฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือไม่ รวมถึงให้คำแนะนำแก่องค์กรว่าควร
ปฏบิ ตั ติ ามด้วยวิธใี ด
N3.9.1 DPO มีหน้าที่ให้คำแนะนำและให้คำปรึกษาด้านการปฏิบัติการเกี่ยวกับการคุ้มครอง
ข้อมูลส่วนบุคคลขององค์กร หรือประเด็นต่าง ๆ เกี่ยวกับกฎระเบียบด้านการคุ้มครอง
ข้อมลู ส่วนบุคคล เช่น พ.ร.บ. คมุ้ ครองข้อมลู ส่วนบุคคล เปน็ ต้น
N3.9.2 DPO มหี น้าทใี่ ห้คำแนะนำแก่ผคู้ วบคุมขอ้ มลู ในการปรบั ปรงุ แกไ้ ขนโยบายและข้อปฏิบัติ
เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร เพื่อให้เป็นไปตามกฎหมาย หรือ
มาตรการตา่ ง ๆ ทีเ่ ปล่ียนแปลงไป771
N3.9.3 DPO จำเปน็ ทจ่ี ะต้องตดิ ตามการเปลี่ยนแปลงด้านกฎหมาย มาตรการ กฎระเบยี บต่าง ๆ
ที่เกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลส่วนบุคคลซึ่งอาจมีการ
เปลี่ยนแปลงตลอดเวลา เพื่อที่จะแจ้งและให้คำแนะนำแก่ผู้บริหารและผู้ปฏิบัติหน้าที่
ทราบถึงกฎระเบยี บใหม่ ๆ ซึ่งอาจจะรวมไปถึงคำพิพากษา แนวปฏิบัติ มาตรการ และ
ข้อแนะนำทีอ่ อกโดยรัฐบาล รวมถึงแนวทางค้มุ ครองข้อมลู ส่วนบุคคลในตา่ งประเทศด้วย
N3.9.4 ผ้คู วบคุมขอ้ มูลจำเปน็ ท่ีจะต้องจดั ให้มีทรพั ยากรท่ีเพียงพอเพ่อื ให้ DPO รกั ษาและพฒั นา
ความรู้ความสามารและความเชี่ยวชาญ772 นอกจากนี้ DPO ควรได้รับอนุญาตและ
สนบั สนนุ ให้เขา้ ร่วมประชมุ สมั มนา อบรมต่าง ๆ ซ่งึ จัดขึ้นโดย สคส. ไมว่ ่าจะระดับใน
ประเทศหรอื ต่างประเทศ
771 GDPR, Article 39 (1)(a) 645
772 GDPR, Article 38(2) และมาตรา 42 พ.ร.บ. คมุ้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั
N3.9.5 DPO มีหน้าที่ให้คำปรึกษาแก่ผู้บริหาร ตัวแทนพนักงาน สหภาพแรงงาน หรือตัว
พนักงานในประเด็นใดก็ตามท่ีเก่ียวข้องกับการคุม้ ครองขอ้ มลู ส่วนบคุ คลตามแตจ่ ะถูกร้อง
ขอ773
N3.9.6 DPO องค์กรมหี น้าทีด่ งั น้ี774
(1) ให้ DPO มีส่วนร่วมในการเข้าประชมุ กับผู้บริหารระดับสูงและระดับกลางอย่าง
สม่ำเสมอ
(2) ควรให้ DPO เข้ารว่ มประชุมเมื่อมกี ารตดั สนิ ใจใด ๆ ก็ตามทีม่ ีผลกบั การคมุ้ ครอง
ข้อมูลส่วนบุคคล และ DPO จะต้องไดร้ บั ขอ้ มูลทีเ่ กี่ยวกับการตัดสนิ ใจในเวลาท่ี
เหมาะสมและเพียงพอเพอื่ ทจ่ี ะให้คำปรึกษาได้
(3) องค์กรจะต้องนำความเห็นของ DPO ไปพิจารณา หากมีข้อขัดแย้งกัน ให้จด
บันทึกเหตผุ ลไว้เสมอว่าทำไมองค์กรจึงไมป่ ฏบิ ัติตามคำแนะนำของ DPO
(4) เมอื่ เกิดเหตกุ ารณ์ละเมิดขอ้ มลู ส่วนบุคคล หรือเหตกุ ารณท์ ่ีผดิ ปกติใด ๆ องค์กร
จะต้องแจ้งและรบั คำปรกึ ษาจาก DPO ในทนั ที
N3.9.7 ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลควรออกนโยบายและแนวปฏบิ ตั ิในการคุ้มครอง
ข้อมูลส่วนบุคคลภายใตก้ ารให้คำแนะนำของ DPO
N3.10 [ภาระงานท่ี 9 ใหก้ ารสนบั สนนุ และส่งเสริมการใชแ้ นวคิดในการคุ้มครองข้อมูลตั้งแต่
การออกแบบและค่าต้ังตน้ (Data Protection by Design and by Default)]
N3.10.1 ผู้ควบคุมข้อมูลต้องนำหลักการ Data Protection by Design and by Default มาใช้
ในการปฏบิ ัติการเกี่ยวกับขอ้ มลู สว่ นบคุ คลทุกประเภท775
773 GDPR, Article 7
774 Id. at WP29, Guidelines on DPOs, p. 13 – 14.
775 GDPR, Article 25
646 Thailand Data Protection Guidelines 3.0
N3.10.2 European Data Protection Supervisor (EDPS) ได้ให้คำอธบิ ายเกี่ยวกับแนวคิดและ
ทม่ี าของ Data Protection by Design and by Default776
N3.10.3 Privacy by Design มาจาก 7 หลักการซึ่งเน้นความเป็นส่วนตัวของข้อมูลในรูปแบบ
Proactive ซึ่งจะครอบคลมุ การออกแบบตลอดวงจรชีวติ ข้อมูลซึ่งจะถูกฝังรากลึกอย่ใู น
การออกแบบและโครงสรา้ งของระบบ IT วิธีการดำเนินธุรกิจ โดยไม่กดี ขวางการปฏบิ ตั ิ
หน้าที่ขององค์กร เมื่อความเป็นส่วนตัวถูกจัดเป็นค่าตั้งต้นแล้ว จะทำให้เกิดความ
ปลอดภัยตั้งแต่ต้นจนจบกระบวนการ อันรวมไปถึงการทำลายข้อมูลอย่างปลอดภัย
ความโปรง่ ใสของการตรวจสอบขอ้ มลู การตรวจสอบขอ้ มูลอยา่ งเปน็ อิสระ
N3.10.4 หลกั การ Privacy by Default มีไว้เพ่อื ใหม้ ั่นใจวา่ ข้อมลู ส่วนบุคคลนัน้ จะถูกปกป้องโดย
อตั โนมัติ ภายใต้ระบบปฏิบตั ิการ IT และนโยบายการดำเนินธุรกิจ ถึงแม้วา่ จะไม่มีใครสั่ง
การกต็ าม อาจกลา่ วได้ว่าการป้องกันความเปน็ ส่วนตวั นน้ั ถูกสรา้ งเขา้ มาในระบบเพ่ือเป็น
ค่าตง้ั ต้นแตแ่ รก
N3.10.5 ในกรณีนี้ Data Protection by Design ถือว่ามีหลายมิติ777 ซึ่งทั้ง 4 มิติต่อไปน้ีน้ีล้วนมี
ความสำคญั อยา่ งเท่าเทยี มกนั และอาจจำเป็นต้องมกี ารกำกับดแู ลโดย สคส. หากจำเป็น
กลา่ วคอื
(1) กระบวนการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นผลจากการออกแบบที่
ครอบคลมุ ตลอดทัง้ วงจรชีวติ ขอ้ มูล อนั มกี ารระบถุ งึ ความเส่ียงและมาตรการต่าง
ๆ ไวอ้ ย่างชดั เจน
776 EDPS, Preliminary Opinion on privacy by design (Opinion 5/2018), (2018), p. 4, para.17. Retrieved
from https://edps.europa.eu/sites/edp/files/publication/18‐05‐
31_preliminary_opinion_on_privacy_by_design_en_0.pdf
777 Id. at EDPS, Preliminary Opinion 5/2018, p. 6 – 7 (paras. 27 – 32)
ศนู ย์วิจัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย 647
(2) กระบวนการออกแบบควรต้งั อยบู่ นพื้นฐานของการบริหารความเส่ียง โดยท่ีมีการ
ประมวลขอ้ มูลสว่ นบคุ คลทมี่ ีการคำนงึ ถงึ หลกั สิทธแิ ละเสรภี าพของเจ้าของขอ้ มลู
(3) มาตรการทีใ่ ช้ปกปอ้ งสิทธิและเสรีภาพของเจ้าของขอ้ มูลจะต้องเหมาะสมและมี
ประสทิ ธิภาพ
(4) ในกระบวนการประมวลผลข้อมูลส่วนบุคคล องค์กรต้องจัดให้มีมาตราการ
ป้องกันตงั้ แต่ต้น
N3.10.6 ในกรณีที่มีการว่าจ้างบริษัทภายนอกมาดำเนินการประมวลผลข้อมลู สว่ นบุคคล องค์กร
ควรให้ความสำคัญกับบริษทั ที่มีการใช้ Data Protection by Design and by Default
มากกว่าบริษัททไ่ี ม่สามารถทำได้ DPO ควรทำความเข้าใจเก่ยี วกับวธิ ีในการนำหลักน้ีมา
ใช้เพื่อให้บุคลากรภายในและภายนอกองค์กรที่มีส่วนร่วมในการดำเนินการมีทักษะ
ความรู้ และได้รบั การอบรมในเรือ่ งเทคโนโลยี และวธิ กี ารทำท่ีเกี่ยวขอ้ งตงั้ แตเ่ ร่มิ ตน้
N3.11 [ภาระงานท่ี 10 การให้คำแนะนำและควบคุมดูแลการปฏบิ ตั ิตามนโยบายการคมุ้ ครอง
ข้อมลู ส่วนบคุ คล สญั ญาระหวา่ งผคู้ วบคุมขอ้ มูลรว่ ม สญั ญาระหวา่ งผู้ควบคุมข้อมูล
และผูค้ วบคุมขอ้ มลู สัญญาระหว่างผ้คู วบคุมขอ้ มลู และผู้ประมวลผลขอ้ มูล รวมไปถึง
นโยบายหรอื กฎเกณฑ์การให้ความคุ้มครองข้อมูลสว่ นบุคคลภายในองค์กร และเงื่อน
การโอนขอ้ มลู ]
N3.11.1 ผ้คู วบคมุ ข้อมูลควรนำมาตรการตา่ ง ๆ มาใชด้ งั นี้
(1) จัดทำนโยบายคุม้ ครองขอ้ มลู ภายในองค์กรและนำไปใชเ้ พอ่ื ที่จะควบคุมประเด็น
ดังต่อไปนี้778
- การใชแ้ บบฟอร์มขององคก์ รท้งั รูปแบบกระดาษ หรือ website และขอ้ ความ
ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล/ข้อความที่เกี่ยวกับความเป็น
ส่วนตัวบน website การใช้คุกก้ีและระบบตดิ ตามอืน่ ๆ
- การเข้าถงึ และเปล่ียนแปลง log ทั้ง software และ hardware
778 GDPR, Article 24(2)
648 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: