TDPG3.0-Extension-20210413

- การออก patch แก้ไข software ต่าง ๆ
- อน่ื ๆ
(2) ออกข้อตกลงการบริหาร (Administrative Agreement) ร่วมกันกับองค์กร
ภาครัฐตา่ ง ๆ โดยเฉพาะอยา่ งยิ่งในกรณที ่ีเปน็ ผคู้ วบคุมร่วม (Joint Controller)
ในการประมวลผลขอ้ มูลตา่ ง ๆ
(3) ร่างสัญญาและทำขอ้ ตกลงกับผ้คู วบคุมขอ้ มลู และผู้ประมวลผลข้อมูลอื่น ๆ
(4) เขา้ ร่วมหรือร่างมาตรฐานหรือสัญญาสำหรับการโอนข้อมูล

N3.11.2 หน้าที่เหล่านี้ตามข้อ N3.148 นั้นเป็นความรับผิดชอบของผู้ควบคุมข้อมูล มิใช่หน้าที่
ของ DPO

N3.11.3 อยา่ งไรก็ดี DPO เองกค็ วรมสี ่วนร่วมอย่างใกลช้ ิด อยา่ งน้อยท่สี ุด DPO ใหม่ โดยเฉพาะ
องค์กรทไ่ี ม่เคยมี DPO มาก่อน ควรทบทวนเอกสารและมาตรการต่าง ๆ ทม่ี อี ย่เู ดมิ เพ่ือ
ตรวจสอบว่าเอกสารและมาตรการที่มีอยู่เดิมนั้นเป็นไปตามข้อบังคับกฎหมายอย่าง
สมบูรณ์หรือไม่

N3.11.4 ในการทบทวนนั้น DPO ควรใหค้ ำแนะนำว่าควรมีการแก้ไขเอกสารและมาตรการต่าง ๆ
อย่างไร โดยเฉพาะอย่างยิ่งหากเอกสารและมาตรการต่าง ๆ เหล่านั้นถูกใช้มาก่อนท่ี
พ.ร.บ. คุม้ ครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562 จะถกู บังคบั ใช้

N3.11.5 ผู้ควบคุมข้อมูลมีหนา้ ที่ร่างเอกสารและมาตรการต่าง ๆ ที่ยังขาดไป ตามข้อสังเกตของ
DPO และอาจขอคำแนะนำจาก DPO ได้

N3.11.6 DPO มีหนา้ ทอ่ี ยา่ งเปน็ ทางการในการตรวจสอบการปฏบิ ัตติ ามนโยบาย ข้อตกลง สญั ญา
ต่าง ๆ ที่ผู้ควบคุมขอ้ มูลเข้าร่วมท่เี กยี่ วกบั การประมวลผลขอ้ มลู ส่วนบุคคล779

779 GDPR, Article 39(1)(b) 649
ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย

N3.12 [ภาระงานที่ 11 มีส่วนร่วมในการออกจรรยาบรรณ (Code of Conduct) และการ
รบั รองมาตรฐาน (certification) ด้านการคุ้มครองขอ้ มลู ส่วนบุคคล]

N3.12.1 การจัดทำจรรยาบรรณและการรับรองมาตรฐานเป็นหน้าที่ของผู้ควบคุมข้อมูล รวมถึง
การตดั สนิ ใจเข้าร่วมมาตรฐานทางจริยธรรมใด ๆ ท่ีอาจเก่ยี วข้องกบั องคก์ ร และการเข้า
รับการรบั รองมาตรฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล780 มิใช่หน้าที่ของ
DPO อย่างไรกด็ ี DPO สามารถใหค้ ำแนะนำแก่ผ้คู วบคมุ ขอ้ มูลในประเด็นเหลา่ น้ีได้

N3.12.2 DPO ในองค์กรบางประเภทอาจมีส่วนรว่ มในการร่างจรรยาบรรณสำหรบั กิจการประเภท
นัน้ ๆ แต่ตอ้ งไดร้ บั คำแนะนำทางกฎหมายและพนกั งานท่ีทำหน้าทใ่ี นกจิ การประเภทนั้น
โดยเฉพาะอย่างยิ่งกิจการ ICT ที่อาจมีประเด็นทางเทคนิคหลายอย่าง เช่น ความ
ปลอดภยั encryption และอ่ืน ๆ เป็นต้น

N3.12.3 DPO สามารถมีส่วนร่วมในการขอรับรองมาตรฐานขององค์กร โดยให้ข้อมูลและการ
เข้าถึงกิจกรรมการประมวลผลข้อมูลต่าง ๆ ที่จะทำให้การขอรับรองมาตรฐานสำเร็จ
ลลุ ่วงได้781

ลักษณะงานที่ 5: ใหค้ วามร่วมมอื และให้คำปรึกษาแก่ สคส.

N3.13 [ภาระงานที่ 12 ใหค้ วามร่วมมือและใหค้ ำปรึกษาแก่ สคส.]

N3.13.1 DPO มีหน้าทีต่ อบสนองต่อคำรอ้ งขอของ สคส.782

780 GDPR, Article 40-43
781 GDPR, Article 42(6)
782 GDPR, Article 39(1)(d)
650 Thailand Data Protection Guidelines 3.0

N3.13.2 DPO ทำหนา้ ท่เี ปน็ ผูป้ ระสานงานหลกั กับ สคส.783 เมอื่ สคส. ต้องการขอ้ มลู หรอื เอกสาร
ใดเพอ่ื ปฏิบตั ิหนา้ ท่ใี นการสอบสวน แกไ้ ข อนมุ ัติ และให้คำแนะนำแก่ DPO

N3.13.3 ในด้านความสัมพนั ธร์ ะหวา่ ง DPO กบั สคส. จะถกู กำหนดโดยลักษณะการทำงานของทั้ง
สองฝา่ ย784 โดย DPO ควรถูกมองวา่ เป็นเจ้าหน้าที่ขององค์กร มใิ ชต่ วั แทนของ สคส. ใน
องค์กร เพราะหน้าที่ของ DPO คือ ตรวจสอบจากภายในว่าองค์กรทำตามกฎระเบียบ
และให้คำแนะนำและจัดการแก้ไขเมื่อพบการไมป่ ฏิบัตติ าม เพือ่ ที่ไมใ่ ห้ สคส. ตอ้ งเข้ามา
จัดการเอง ในขณะเดียวกัน สคส. เองก็อาจให้ความช่วยเหลือต่าง ๆ แก่ DPO ในการ
ปฏิบัติหน้าที่ ดังนั้น สคส. ควรจะพัฒนาความร่วมมือกับ DPO เพื่อสร้างการทำงาน
ร่วมกนั ในการปกป้องข้อมลู สว่ นบคุ คลอยา่ งมปี ระสิทธภิ าพ

N3.13.4 [ทำให้มัน่ ใจว่าเกดิ การปฏิบัติ] DPO มีหน้าทเี่ ร่ิมจากการสร้างความตระหนักรู้เกี่ยวกับ
การคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร ทำให้ สคส. สามารถปฏิบัติงานได้อย่างมี
ประสทิ ธภิ าพ เพราะเน้นการป้องกนั มากกว่าการใช้อำนาจในการดูแลข้อมูลสว่ นบุคคล

N3.13.5 DPO อาจให้คำแนะนำด้านการพัฒนา ปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลภายใน
องค์กร รวมถึงการตีความของกฎหมายและการนำมาใช้ โดยหน้าที่นี้อาจทำร่วมกับ
สคส.785

N3.13.6 ในบางกรณี สคส. อาจถูกร้องขอให้แนะนำ DPO เป็นรายกรณีไป รวมไปถึง สคส. อาจ
ออกเอกสารแนะนำ รวมถงึ แนวปฏิบตั แิ ก่องคก์ รด้วย

783 Id. at WP29, Guidelines on DPOs, p. 18
784EDPS, Position paper on the role of Data Protection Officers in ensuring effective compliance
with Regulation (EC) 45/2001. Retrieved from https://edps.europa.eu/sites/edp/files/publication/

05‐11‐28_dpo_paper_en.pdf, p. 6.
785 GDPR, Article 57(1)(c)

ศนู ย์วจิ ัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 651

N3.13.7 [การตรวจสอบก่อนการออกกฎ ระเบียบ ข้อบังคับ หรือกฎหมายใด ๆ] สคส. ควรมี
การรบั ฟงั ความคดิ เห็นและขอ้ เสนอแนะจาก DPO กอ่ นการออกกฎหมายใด ๆ และก่อน
การบังคบั ใชก้ ฎหมาย

N3.13.8 [การบังคับใช้] DPO มีหน้าที่จัดการข้อร้องเรียนต่าง ๆ ในเบื้องต้นซึ่งรวมถึงการ
สอบสวนและการหาข้อปรบั ปรงุ ด้วยตนเอง หากไม่สามารถแก้ไขได้ ควรขอรบั คำปรกึ ษา
จาก สคส. อยา่ งไรกด็ เี จา้ ของขอ้ มลู มสี ทิ ธริ ้องเรยี นต่อ สคส. โดยตรง

N3.13.9 เนื่องด้วย DPO มีอำนาจบังคับใช้อย่างจำกัด ทำให้บางกรณีนั้นข้อร้องเรียนอาจถูกสง่
ต่อไปยัง สคส. ดังนั้นในกรณีนี้ สคส. จึงมีบทบาทสำคัญในด้านการบังคับใช้ ซึ่ง DPO
ตอ้ งใหค้ วามร่วมมอื ในการให้ข้อมลู ต่าง ๆ ตามท่ี สคส. ร้องขอ

N3.13.10 [การวัดประสิทธิภาพ] DPO มีบทบาทสำคัญในการประเมินผลของการประมวลผล
ข้อมูลส่วนบุคคลขององค์กร ซึ่ง DPO จะต้องหาวิธีการประเมินผลและพัฒนาวิธีการ
ประเมินผล โดยสามารถขอรับคำปรึกษาจาก สคส. ได้

N3.13.11 DPO ในภาครัฐอาจถูก สคส. ร้องขอคำแนะนำ ในการร่างกฎหมาย หรือมาตรการตา่ ง ๆ
ทเี่ กีย่ วข้องกับการปฏิบัติหนา้ ที่ของ DPO

N3.13.12 DPO มีหน้าที่ช่วย สคส. ในการตรวจสอบหน้างาน โดยปกติแล้ว สคส. จะมีการแจ้ง
ล่วงหน้าแก่องค์กรหากต้องการตรวจสอบ ณ จุดปฏิบัติงาน ซึ่ง DPO มีหน้าที่
ประสานงานกับผู้ทีม่ หี น้าที่รบั ผิดชอบโดยตรง และให้ความรว่ มมือกบั สคส. ในแต่ละจุด
และในแต่ละระบบที่จะถูกตรวจสอบ โดยเฉพาะอย่างยิ่งในหน่วยงานที่ต้องใช้ความรู้
เฉพาะทางอย่างมาก เช่น IT เป็นต้น นอกจากนี้ สคส. สามารถสอบถามข้อมูลเพิ่มเติม
ภายในองค์กร เช่น วิธีการทำงาน กระบวนการดำเนินงานภายในองค์กรจาก DPO ได้
เพื่อที่จะได้ทราบถึงข้อมูลภายในองค์กร รวมถึงเรียกประชุมกับผู้ที่เกี่ยวข้องเพื่อหา
คำตอบ ข้อหารอื

652 Thailand Data Protection Guidelines 3.0

ลักษณะงานที่ 6: การจัดการคำร้องขอของเจา้ ของขอ้ มลู

N3.14 [ภาระงานท่ี 13 การจดั การคำรอ้ งขอและขอ้ ร้องเรยี นของเจ้าของขอ้ มูล]

N3.14.1 เจ้าของข้อมูลส่วนบุคคลควรติดต่อ DPO เมื่อต้องการใช้สิทธิในการเข้าถึง แก้ไข ลบ
ขอ้ มลู ของเจ้าของขอ้ มลู ระงับการใช้ การโอนยา้ ยข้อมูล จำกดั การใช้ขอ้ มลู การไม่ตกอยู่
ภายใตก้ ารตัดสนิ ใจอัตโนมัติ และการจำแนกข้อมูล หรอื เมอื่ เจ้าของข้อมูลมคี ำถามท่ัวไป
ต่าง ๆ และข้อรอ้ งเรยี น

N3.14.2 ในกรณที ี่เจา้ ของข้อมูลตอ้ งการใช้สิทธิ หรือต้องการรอ้ งเรียน หรอื ตดิ ต่อผใู้ ดในองค์กรใน
ประเดน็ ท่ีเกี่ยวขอ้ งกบั ข้อมูลส่วนบุคคคล ใหต้ ิดต่อผ่านช่องทางทอ่ี งคก์ รกำหนด

N3.14.3 ในการจัดการข้อร้องเรียนหรือข้อสงสัย DPO จะต้องจัดการอย่างเป็นธรรม โดย
ปราศจากอคตติ อ่ เจา้ ของขอ้ มูลและไม่เอื้อผลประโยชนต์ อ่ องค์กร

N3.14.4 DPO มีหน้าทีต่ อบข้อสงสัยและขอ้ รอ้ งเรียนต่อเจา้ ของขอ้ มลู และให้ขอ้ แนะนำแก่เจ้าของ
ข้อมูล และแจ้งให้เจ้าของข้อมูลทราบว่าหากเจ้าของข้อมูลไม่พอใจกับคำตอบที่ได้รับ
เจ้าของขอ้ มลู สามารถติดต่อและรอ้ งเรียนกับ สคส. โดยตรงได้

N3.14.5 DPO และ สคส. มีสถานะเสมือนพันธมิตรที่เท่าเทียมกัน ดังนั้นในเบื้องต้น สคส. อาจ
แนะนำให้เจ้าของข้อมลู แกป้ ัญหาโดยตรงกับ DPO ซึ่ง DPO จะต้องทำงานประสานกบั
สคส. เพื่อที่จะให้คำตอบและจัดการข้อร้องเรียนอย่างเหมาะสม และอาจนำไปสู่การ
เปลย่ี นแปลงวิธกี ารปฏิบตั ิงานของผคู้ วบคมุ ข้อมลู

N3.14.6 DPO จะตอ้ งใหข้ ้อมลู ตา่ ง ๆ ตามท่ี สคส. รอ้ งขอ ในขณะเดยี วกนั สคส. ตอ้ งให้คำแนะนำ
DPO หากมกี ารเปลีย่ นแปลงวิธีการและบังคบั ใช้

ศูนยว์ ิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 653

ลกั ษณะงานที่ 7: การใหข้ อ้ มลู และการสร้างความตระหนักรู้

N3.15 [ภาระงานที่ 14 การให้ข้อมลู และการสรา้ งความตระหนักรู้]

N3.15.1 [ด้านภายในองค์กร] DPO มีหน้าที่ให้ความรู้พนักงานด้านสิทธิของพนักงาน ใน
ขณะเดยี วกัน DPO มีหนา้ ทีฝ่ กึ อบรม และย้ำเตอื นด้านภาระหน้าท่คี วามรับผิดชอบของ
องคก์ รทม่ี ีตอ่ ข้อมลู ส่วนบคุ คลใหแ้ กผ่ ูค้ วบคมุ ข้อมูล พนกั งาน หวั หน้างาน เจา้ ของกิจการ
ซง่ึ หนา้ ทีส่ รา้ งการตระหนักร้นู ้ีถอื เปน็ มาตรการปอ้ งกนั มิใช่มาตรการแก้ไขปญั หา

N3.15.2 มาตรการที่ DPO สามารถทำได้เพื่อเพิ่มความตระหนักรู้ ได้แก่ การออกแผ่นพับและ
สิ่งพิมพ์ประกอบการอธิบาย จัดฝึกอบรมด้านการคุ้มครองข้อมูลภายใน ซึ่งการอบรมนี้
จะเน้นการสร้างความตระหนักรู้ด้านการรกั ษาข้อมูลสว่ นบุคคล การรักษาสิทธิ ซึ่งจะมี
ผลกระทบตอ่ ทงั้ ประชาชนทัว่ ไป พนกั งาน หัวหน้างาน และผู้บรหิ าร

N3.15.3 DPO อาจจัดตั้ง internal website เพื่อที่จะให้ความรู้เกี่ยวกับการคุม้ ครองข้อมูลส่วน
บคุ คลภายในองค์กร

N3.15.4 [ดา้ นภายนอกองคก์ ร] DPO มีหนา้ ทที่ ำใหม้ นั่ ใจวา่ เจ้าของขอ้ มูลรบั ทราบถึงนโยบายการ
คุ้มครองข้อมูลส่วนบุคคลขององค์กรและข้อมูลที่เกี่ยวข้องที่ถูกจัดทำขึ้นโดยผู้ควบคมุ
ขอ้ มูล เชน่ ประกาศความเปน็ ส่วนตวั (Privacy notice) เป็นตน้

N3.15.5 DPO ต้องตรวจสอบด้วยว่าการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปอย่างโปร่งใส
กล่าวถึงมกี ารชี้แจงถึงวัตถปุ ระสงคข์ องการจัดเกบ็ ขอ้ มลู กระบวนการประมวลผลข้อมูล
ประเภทของเจา้ ของข้อมลู ประเภทของข้อมลู ผรู้ บั ขอ้ มูลเพือ่ ไปใช้ต่อ และการโอนย้าย
ข้อมลู ไปประเทศที่ 3 (ถ้าม)ี

654 Thailand Data Protection Guidelines 3.0

N3.15.6 DPO อาจจะนำบันทึกรายการประมวลผลข้อมูลส่วนบุคคลมาเปิดเผยต่อสาธารณชน
หรอื ไมก่ ไ็ ด้

N3.15.7 ข้อดีของการเผยแพรบ่ นั ทึกรายการประมวลผลขอ้ มูลสว่ นบคุ คลมีดงั น้ี
(1) เปน็ การเพม่ิ ความโปรง่ ใสของการประมวลผลข้อมูล
(2) เพิม่ ความเชือ่ มัน่ ของประชาชนทั่วไป
(3) ทำใหก้ ารแบง่ ปันความรูร้ ะหวา่ งองค์กรงา่ ยขนึ้

N3.15.8 ในกรณีท่ีเผยแพร่บันทึกรายการประมวลผลขอ้ มูลส่วนบุคคลออกไปแล้วมีผลกระทบต่อ
ความปลอดภัย และการละเมิดข้อมูลส่วนบุคคลขององค์กร องค์กรอาจพิจารณาไม่
เผยแพรไ่ ด้

N3.15.9 องค์กรควรจัดให้มีการให้ความรู้ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและ
คุ้มครองข้อมูลส่วนบุคคลขององค์กรที่เข้าถึงได้ง่าย ในรูปแบบของ website สิ่งพิมพ์
และแบบฟอร์ม (รวมไปถึงรปู แบบที่ผู้พิการสามารถเขา้ ถงึ ได้)

N3.15.10 ใน website สิ่งพิมพ์ และแบบฟอร์มควรมีข้อมูลเรื่องสิทธิของเจ้าของข้อมูล ช่องทาง
ติดต่อ DPO แต่ไม่จำเป็นต้องระบุชือ่ จรรยาบรรณ การรับรองมาตรฐานที่องค์กรได้รับ
อาจมีตราหรือสญั ลกั ษณ์ขององค์กรที่ให้การรับรองมาตรฐานประกอบ และอื่น ๆ

N3.16 [ภาระงานท่ี 15 วางแผนและทบทวนกจิ กรรม] DPO ควรมีการจดั ทำแผนงานประจำปี
ซง่ึ มกี ารระบถุ ึงหว้ งเวลาในการปฏบิ ัติกิจกรรมและภารกิจต่าง ๆ ทีเ่ กิดขนึ้ และอาจเกิดข้ึน
รวมไปถึงกำหนดเวลาสำรองสำหรบั เหตุการณ์ไม่คาดคิด โดยแผนงานประจำปคี วรได้รับ
การแก้ไขและปรบั ปรุงให้เปน็ ปัจจุบนั อย่างสมำ่ เสมอ

ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 655

N4. มาตรฐานทางจริยธรรม786

N4.1 [ความซือ่ ตรง] DPO ต้องมีความซือ่ ตรงในการคมุ้ ครองข้อมูลสว่ นบคุ คลขององค์กรท่ีตน
ได้รบั การแตง่ ตงั้

N4.2 DPO ต้องดำเนินการตามขั้นตอนทั้งหมดที่จำเป็นเพื่อรับรองว่าองค์กรนั้นได้มีการ
ดำเนินการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรของตนตาม พ.ร.บ. คุ้มครองข้อมูล
สว่ นบคุ คล และกฎหมายที่เก่ียวข้อง รวมท้ังเปน็ ไปตามกฎระเบียบ ข้อบังคับ มาตรฐาน
การทำงานขององคก์ รของตน

N4.3 DPO จะใช้วิจารณญาณโดยอาศัยความเชี่ยวชาญในการปฏิบัติหน้าโดยอิสระ และให้
คำแนะนำอย่างตรงไปตรงมาต่อองค์กรของตนในประเด็นที่เกี่ยวข้องกับการคุ้มครอง
ข้อมูลสว่ นบุคคล

N4.4 ในการจดั การข้อรอ้ งเรียนของเจา้ ของข้อมูล DPO ต้องดำเนินการดว้ ยความรอบคอบและ
รวดเร็วเพื่อการวิเคราะห์ปัญหาที่เกิดขึ้นอย่างเป็นกลาง เพื่อพิจารณาว่ามีการละเมิด
ข้อกำหนดตามกฎ ระเบยี บ ขอ้ บังคบั และกฎหมายที่เกย่ี วขอ้ งกับการคุม้ ครองขอ้ มูลส่วน
บคุ คลหรอื ไม่

N4.5 กรณีทม่ี กี ารละเมิดข้อกำหนด DPO ต้องแก้ไขปญั หาดงั กล่าวร่วมกบั ฝ่ายงานที่เก่ียวข้อง
ในองค์กรโดยไม่ล่าช้า หลังจากน้ันจึงรายงานแนวทางการแก้ไขปัญหาใหผ้ ู้บรหิ าร และ/
หรอื ผู้รอ้ งเรยี น และ/หรอื สคส. และ/หรือเจา้ ของขอ้ มลู ส่วนบุคคล (แล้วแต่กรณี) ได้รับ
ทราบโดยไม่ล่าช้า

786 Professional Standards for Data Protection Officers of the EU institutions and bodies working
under Regulation (EC) 45/2001. (2010). Network of Data Protection Officers of the EU institutions
and bodies, p.14-15
656 Thailand Data Protection Guidelines 3.0

N4.6 DPO จะไม่ให้คำปรึกษาหรือให้ความช่วยเหลือองค์กรของตนในการแก้ไข ทำลาย หรือ
ปกปิดข้อมลู เอกสาร หรือวัสดุอื่น ๆ ซ่ึงเกยี่ วข้องกบั การร้องเรียน

N4.8 [หน้าที่ในการรักษาความลับ] DPO ต้องไม่เปิดเผยข้อมูลหรือเอกสารซ่ึงตนได้รับขณะ
ปฏิบัติหน้าที่ และต้องปฏิบัติงานภายใต้ข้อกำหนดด้านการรักษาความลับอย่าง
เครง่ ครดั 787

N4.9 [ความขดั แย้งด้านผลประโยชน์] เพ่ือมใิ ห้เกิดความขดั แยง้ ทางผลประโยชน์ข้ึนระหว่าง
หนา้ ทก่ี ารคมุ้ ครองข้อมลู ส่วนบคุ คลและหนา้ ท่อี นื่ ๆ ที่ตนไดร้ บั มอบหมายในองคก์ ร จึงมี
แนวปฏบิ ตั ิที่ DPO พงึ ระมดั ระวังดังน้ี
(1) ในกรณีที่ DPO ได้รับมอบหมายให้ทำหน้าทีอ่ ื่นในองค์กร DPO จะต้องพึงระวงั
เป็นอย่างมากเพื่อมิให้เกิดความขัดแย้งทางผลประโยชน์ขึ้นระหว่างหน้าที่การ
ค้มุ ครองขอ้ มูลสว่ นบคุ คลและหนา้ ท่ีอน่ื ๆ ที่ตนไดร้ บั มอบหมายในองค์กร
(2) เมื่อ DPO พบความขัดแย้งด้านผลประโยชน์ในระหว่างที่ปฏิบัติงานคุ้มครอง
ข้อมูลส่วนบุคคลและหน้าที่อื่น ๆ ที่ตนได้รับมอบหมายในองค์กร ให้ DPO แจ้ง
เรอ่ื งให้ผูม้ ีอำนาจแตง่ ต้ังเจ้าหน้าท่ีไดร้ บั ทราบโดยไมล่ ่าชา้

787 พระราชบญั ญัตคิ มุ้ ครองข้อมลู สว่ นบุคคล พ.ศ. 2562 มาตรา42 657
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย



O. แนวปฏบิ ัตเิ กี่ยวกับการคุ้มครองข้อมูลส่วนบคุ คลสำหรับผูบ้ รหิ ารระดับสงู กรรมการบริหาร
และกรรมการบริษทั

(Guideline for Senior Management, Board of Executive Directors and
Board of Directors)

ผู้บริหารระดับสูง (Senior Management including C-Level) กรรมการบริหาร และ
กรรมการบริษัทมบี ทบาทสำคญั ในการสนบั สนุนองค์กรให้มกี ารดำเนนิ การค้มุ ครองข้อมูลส่วนบุคคล
ให้สอดคลอ้ งกับกฎหมาย จึงควรมแี นวทางการจดั การขอ้ มลู สว่ นบคุ คลในระดบั นโยบายท่ชี ดั เจนจาก
กลุ่มคนผู้ซึ่งเป็นหัวใจสำคัญขององค์กรเหล่านี้ ดังนั้น จึงควรมีการบรรจุเรื่องนโยบายการคุ้มครอง
ข้อมูลส่วนบุคคลและนโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy)
เข้าเป็นส่วนหนึ่งของนโยบายการกำกบั ดูแลกิจการ (Corporate Governance Policy)

O1. ผ้บู รหิ ารระดบั สงู กรรมการบริหาร และกรรมการบริษัท

O.1.1 [ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษทั ] มีความจำเปน็ ที่ต้องรู้หน้าที่
ความรับผิดชอบของตน ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คำมั่นสัญญาของ
ผบู้ ริหาร (Management Commitment) ในการบริหารจดั การเรอ่ื งความม่นั คงปลอดภัย
สารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล โดยความรับผิดชอบของผู้บริหารระดับสูง
กรรมการบริหาร และ กรรมการบริษัท สามารถนำมาสรุปได้ดังน้ี 788

O1.1.1 [Data Protection Officer หรือ DPO] สนับสนุนให้องค์กรมีเจ้าหน้าที่คุ้มครองข้อมูล
สว่ นบุคคล สบื เน่อื งจากที่ พ.ร.บ.ค้มุ ครองข้อมลู สว่ นบคุ คล มาตรา 41 กำหนดใหผ้ ู้ควบคุม
ข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าท่ีคุ้มครองข้อมลู
ส่วนบุคคล (ศึกษารายละเอียดเพิ่มเติมได้จาก หัวข้อ N.3 บทบาทหน้าที่และความ

788 Personal Data Protection Commission Singapore (PDPC), GUIDE TO DEVELOPING A DATA 659
PROTECTION MANAGEMENT PROGRAMME, 1 Nov 2017, p.5.

ศูนยว์ ิจัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั

รับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ผู้บริหารระดับสูง กรรมการบริหาร
และกรรมการบรษิ ัท จึงควรสงั่ การ และสนบั สนุนให้องค์กรมีการแต่งตง้ั เจา้ หน้าท่ีคุ้มครอง
ข้อมูลส่วนบคุ คล เพื่อให้คำแนะนำกับผู้ทีเ่ กี่ยวข้องในการดำเนินกิจกรรมให้สอดคล้องกับ
พ.ร.บ.คุ้มครองข้อมลู ส่วนบคุ คล 789

O1.1.2 [Data Protection Policy and Privacy Policy] พิจารณาอนุมัติ สื่อสารนโยบายการ
คุ้มครองข้อมลู สว่ นบุคคล และ นโยบายความเป็นส่วนตัว หากกล่าวถึงนโยบายความเปน็
ส่วนตัว (Privacy Policy) ได้แก่ นโยบายที่บริษัทได้ประกาศเพื่อสื่อสารให้กับเจ้าของ
ขอ้ มลู สว่ นบุคคลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล รวมท้งั ระยะเวลาในการ
เก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นส่วนที่ผู้บริหารระดับสูง กรรมการบริหาร และ
กรรมการบรษิ ัท ตอ้ งพจิ ารณา และประกาศให้เจ้าของข้อมลู ส่วนบคุ คลทราบ หากแต่ยังมี
นโยบายอีกฉบับหนึ่ง ได้แก่ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection
Policy) ซึ่งองค์กรควรดำเนินการ (สำหรับบางองค์กรอาจเรียกแนวปฏิบัติการคุ้มครอง
ข้อมูลส่วนบุคคล) เพื่อให้บุคลากรทราบถึงกรอบในการดำเนินกิจกรรมเกี่ยวกับการ
คุ้มครองข้อมูลส่วนบุคคล สิง่ ทตี่ อ้ งปฏิบตั ิ สงิ่ ที่ต้องระมดั ระวัง เพอ่ื ปอ้ งกันความเสียหายท่ี
อาจเกิดขน้ึ กบั องคก์ ร และเจ้าของขอ้ มูลสว่ นบคุ คล เป็นตน้ 790

O1.1.3 [Privacy Management Programme] พิจารณาอนุมัติแผนงานบริหารจัดการการ
คุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร ผู้บริหารระดับสูง กรรมการบริหาร และ
กรรมการบริษทั ควรสนับสนุนการดำเนินโครงการบริหารจัดการการคุม้ ครองข้อมูลส่วน
บุคคลในระดบั องค์กร เพอ่ื ทำให้การดำเนนิ กิจกรรมที่เก่ียวข้องกับการคุ้มครองข้อมูลส่วน
บุคคลบรรลุเปา้ ประสงค์ 791

789 Id.
790 Id. at p.6.
791 Id. at p.5.
660 Thailand Data Protection Guidelines 3.0

O1.1.4 [Data Protection Impact Assessment หรือ DPIA] ผู้บริหารระดับสูง กรรมการ
บริหาร และ กรรมการบริษัทควรกำหนดให้องค์กรมีการประเมินผลกระทบด้านการ
คุ้มครองข้อมูลสว่ นบุคคลสำหรับกจิ กรรมทม่ี ีความเสี่ยงสูงทจ่ี ะเกิดผลกระทบต่อสิทธิและ
เสรีภาพกับเจ้าของข้อมูลส่วนบุคคล พร้อมทั้งติดตามสถานะของการดำเนินการ รวมท้ัง
สถานะของการจัดการความเสยี่ งให้อยใู่ นระดับความเสย่ี งท่ียอมรบั ได้ 792

O1.1.5 [PDPA Awareness Training] สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครอง
ข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ สิ่งสำคัญที่จะทำให้องค์กร
สามารถดำเนินการสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บุคลากรขององค์กร
จะต้องมีความรู้ความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในส่วนของ พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล และส่วนที่องค์กรได้กำหนดขึ้น เช่น นโยบาย แนวปฏิบัติ
กระบวนการ ขั้นตอนปฏิบัติ รวมถึงคู่มือในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนให้มีการฝกึ อบรม
เรื่องการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับหน้าที่ความรับผิดชอบ เช่น การ
ฝึกอบรมใหผ้ ูป้ ฏบิ ัติงานมีความเขา้ ใจในขั้นตอนการเก็บรวบรวม ใช้ หรอื เปิดเผยขอ้ มูลส่วน
บุคคล หรือการสนับสนุนให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับการอบรมเพื่อให้มี
ความรูใ้ นการปฏิบตั หิ น้าท่ี เป็นต้น 793

O1.1.6 [จัดสรรทรัพยากรใหเ้ พียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล] ใน
การดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหาร ระดับสูง
กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนทรัพยากรทีจ่ ำเป็น ได้แก่ บุคลากรที่
เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอำนวยความสะดวก และ
เทคโนโลยสี ารสนเทศท่ีใชใ้ นกจิ กรรมการประมวลผลข้อมูลสว่ นบคุ คล 794

792 Id.
793 Id. at p.6.
794 Id.

ศูนยว์ จิ ัยกฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 661

O1.1.7 [กลยทุ ธใ์ นการบริหารจัดการการคุ้มครองข้อมูลสว่ นบคุ คลทง้ั ในระยะส้นั และระยะยาว]
การค้มุ ครองขอ้ มูลส่วนบุคคลเป็นกจิ กรรมท่ีตอ้ งดำเนินการอย่างตอ่ เนือ่ ง ดังนั้น ผู้บริหาร
ระดบั สูง กรรมการบรหิ าร และ กรรมการบรษิ ทั ควรวางกลยทุ ธส์ ำหรบั การบรหิ ารจัดการ
การคุ้มครองข้อมูลส่วนบุคคลทงั้ ในระยะส้ัน และระยะยาว เพ่อื ใหเ้ ป็นไปตามหลักการการ
คุ้มครองข้อมลู สว่ นบคุ คล และกฎหมาย 795

O1.1.8 [กำหนดทิศทางการทำงานของ DPO] ในการตอบรับการร้องเรียนจากลูกค้าและ
พนักงาน เมื่อมีการรัว่ ไหลของขอ้ มูลสว่ นบคุ คล รวมถึงการกำหนดมาตรฐานในการเผชญิ
เหตเุ มือ่ มีการร่วั ไหลของขอ้ มลู สว่ นบุคคล 796

O1.1.9 [กำหนดทศิ ทางให้ DPO] ในการทำการสอ่ื สาร ประสานงาน รายงานข้อมูลกับสำนักงาน
คณะกรรมการคุม้ ครองขอ้ มลู สว่ นบุคคล 797

O1.1.10 [พิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ] นอกจาก
นโยบายการคมุ้ ครองข้อมลู ส่วนบุคคล ผบู้ ริหารระดับสงู กรรมการบรหิ าร และ กรรมการ
บริษัท ควรให้ความสำคัญในการพิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคง
ปลอดภยั สารสนเทศ ซ่ึงถอื เป็นหนงึ่ ในหลกั การของการคมุ้ ครองข้อมลู สว่ นบุคคล 798

O1.1.11 [จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ] ใน
การประมวลผลขอ้ มลู ส่วนบคุ คล และมาตรฐานความมัน่ คงปลอดภัยสารสนเทศของข้อมูล
สว่ นบคุ คล 799

795 Id.
796 Id.
797 Id.
798 ISO/IEC 27001:2013 Information technology — Security techniques — Information security
management systems — Requirements, CL.5.2.
799 Id.
662 Thailand Data Protection Guidelines 3.0

O1.1.12 [จัดให้มีการตรวจสอบความเข้าใจ] ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการ
บริษัท ต้องจัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของ
พนักงานในทุกระดบั 800

O1.1.13 [จัดให้มกี ารสื่อสารกบั ลกู ค้า] เพอ่ื ใหเ้ กดิ ความเขา้ ใจในการดำเนินการด้านการรกั ษาความ
มั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลของ
องคก์ ร

O1.1.14 [บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ] โดยลดผลกระทบในกรณีท่ี
สำนักงานคณะกรรมการคมุ้ ครองข้อมลู สว่ นบคุ คลอาจส่ังปรับตามความผดิ พ.ร.บ.ค้มุ ครอง
ข้อมูลส่วนบุคคล เพื่อลดความเสี่ยงด้านการเงิน (Financial Risk) ขององค์กร และลด
ความเสีย่ งเรอ่ื งการเสียชอ่ื เสียงองคก์ ร (Reputation Risk)

O2. กรรมการบริษัท

O2.1 [Project Sponsorship] มีความจำเป็นอย่างยิ่งยวดที่จะต้องให้การสนับสนุน
กรรมการบรหิ ารและผูบ้ ริหารระดับสูง ดงั น้ี
(1) จัดสรรงบประมาณ บุคลากร เวลา ให้คำมั่นสัญญาในการปฏิบัติตามกฎหมาย
คมุ้ ครองข้อมูลส่วนบคุ คล โดยไม่มขี อ้ ยกเว้น
(2) แสดงภาวะผู้นำในการประเมิน กำหนดทิศทาง/สั่งการ และ ติดตามผล
(Evaluate , Direct and Monitor) 801 ตามมาตรฐาน ISO/IEC 38500:2015
Information technology — Governance of IT for the organization และ

800 Ben Hancock, What Does GDPR Mean for Senior Management?, https://www.businesswest.co.uk
/members/blog/what-does-gdpr-mean-senior-management (last visited Mar 15, 2021).
801 ISO/IEC 38500:2015 Information technology — Governance of IT for the organization, CL.4.2.

ศนู ยว์ จิ ัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 663

(3) สนับสนุนการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วน
บุคคลและการคุ้มครองข้อมูลส่วนบุคคลของฝ่ายจัดการ ให้เป็นไปตามนโยบาย
ขององค์กร

O2.2 [Multi-disciplinary approach] เนื่องจากการรักษาความมั่นคงปลอดภัยของข้อมูล
ส่วนบุคคลและการคุ้มครองขอ้ มูลส่วนบุคคล ไม่ใช่ความรับผิดชอบเฉพาะฝ่ายสารสนเทศ
หากแต่เป็นความรับผิดชอบของทุกฝ่าย (Multi-disciplinary approach) 802 ดังน้ัน
ผู้บริหารระดับสูง กรรมการบริหารและกรรมการบริษัทจึงต้องร่วมกันรับผิดชอบใน
ภาพรวมอยา่ งหลีกเล่ียงไม่ได้ โดยผบู้ รหิ ารระดับสูง กรรมการบรหิ ารและกรรมการบริษัท
ควรดำเนนิ การดังตอ่ ไปน้ี
(1) กำหนดเปา้ หมายและระยะเวลาของโครงการการบริหารจดั การข้อมูลส่วนบุคคล
ใหช้ ดั เจน เป็นรปู ธรรม
(2) กำหนดความเสย่ี งทีย่ อมรับได้
(3) ตรวจสอบการดำเนินงานของโครงการเปน็ ระยะ และ
(4) วางแผนกลยุทธในระยะสั้นและระยะยาวในการบริหารจัดการเรื่องการรักษา
ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลให้
เปน็ ปัจจบุ นั และรองรับการดำเนินงานการรกั ษาความมนั่ คงปลอดภยั ของข้อมูล
ส่วนบุคคล และการคุม้ ครองปอ้ งกนั ขอ้ มลู สว่ นบคุ คลขององค์กรในอนาคต

802 Guy Pearce, Reporting on GDPR Compliance to the Board, ISACA JOURNAL (2019), p.32.
664 Thailand Data Protection Guidelines 3.0

คำถามจากงาน
TDPG 2.0 : Building Trust with Data Protection

วนั ที่ 22 ตลุ าคม 2562
ณ หอประชมุ ศาสตราจารย์สงั เวยี น อนิ ทรวิชัย ช้ัน 7

ตลาดหลักทรัพยแ์ ห่งประเทศไทย

[TDPG2.0B] Data Classification

Q: ภาพจากกล้องวงจรปดิ ถือว่าเป็นข้อมลู สว่ นบุคคลหรอื ไม่ หากใชค่ วรดำเนนิ การอยา่ งไร
A1: เป็น
A2: ควรประเมนิ ความจำเป็นขอ้ การจดั เกบ็ ข้อมลู ประเมินความเส่ยี ง กำหนดมาตรฐานในการจัดเกบ็
แจง้ ให้เจ้าของข้อมูลทราบว่ามี operation of CCTV อยู่ (เช่นโดยการตดิ ปา้ ยประกาศเปน็ การทั่วไป)

Q: ภาพทเ่ี กบ็ ขนาดไหนจะถอื ว่าเป็นข้อมลู ชีวภาพตามกฎหมาย
A1: มกี ารใชเ้ ทคนคิ หรือเทคโนโลยีทเ่ี กยี่ วข้องกับลกั ษณะเดน่ ทางกายภาพหรอื ทางพฤตกิ รรมมาใชเ้ พ่ือระบุ
ตวั ตน เช่น ข้อมลู ภาพจำลองใบหน้า (มาตรา 26 วรรค 2)

Q: หากเจ้าของข้อมลู มาขอตรวจสอบภาพ/ขอรบั สำเนา ต้องปกปดิ ภาพใบหนา้ คนอน่ื ๆทไี่ มใ่ ช่เจา้ ของข้อมูล
ดว้ ย หรือไม่ เนอ่ื งจากเปน็ ขอ้ มลู ส่วนบุคคลของคนอื่นๆที่ไม่ใช่เจ้าของข้อมลู

A1: ทำไดบ้ นฐาน legitimate interest (การปอ้ งกันอาชญากรรม การตรวจสอบอาชญากรรม ฯลฯ) แต่
ต้องระมัดระวงั การนำภาพไปใชต้ อ่ และระวงั ผลกระทบต่อสทิ ธิและประโยชน์ของตัวเจ้าของขอ้ มูลคน
อืน่ ๆ ทไ่ี มไ่ ดเ้ กีย่ วข้องโดยตรง (โดยมากขอ้ มลู เพียงการน้ไี มก่ ระทบสิทธิมากนกั )

A2: ตอ้ งแยกความเสย่ี งของการตรวจสอบภาพโดยทไ่ี มไ่ ด้นำออกไปจากระบบ ในการรบั สำเนา (การรับ
สำเนามคี วามเสีย่ งมากกวา่ ) หากสามารถจัดการระบบให้ปกปิดใบหน้าผ้ทู ่ีไม่เกยี่ วข้องได้กย็ ่ิงดี (=
technical measure) แตถ่ า้ ทำไมไ่ ด้ใช้มาตรการอนื่ ๆ แทนได้ เช่น จำกดั ขอบเขตการนำไปใช้งานให้
ชัดเจน (=organizational measure)

Q: ภาพจากกลอ้ งไม่น่าเปน็ sensitive data เพราะไม่ไดท้ ำ face recognition
A1: โดยทั่วไปไมใ่ ช่ หากไมไ่ ด้มวี ัตถปุ ระสงคน์ ำไปเพื่อใชจ้ ัดทำระบบ face recognition
A2: ขอ้ มลู ชีวภาพตามมาตรา 26 วรรค 2 “ขอ้ มลู สว่ นบุคคลท่ีเกดิ จากการใชเ้ ทคนคิ หรือเทคโนโลยที ่ี
เก่ียวข้องกบั การนำลกั ษณะเดน่ ทางกายภาพหรอื ทางพฤติกรรมของบุคคลมาใชท้ ำใหส้ ามารถยนื ยัน
ตวั ตนของบคุ คลนน้ั ท่ีไมเ่ หมือนกับบคุ คลอ่ืนได้”

ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 665

Q: ตามท่ีวิทยากรตอบว่าต้องขอความยนิ ยอมโดยการแจ้ง น่าจะขัดกฎหมายนะคะ การแจ้งตอ้ งใช้เฉพาะ
กรณเี ข้าข้อยกเว้นไมต่ ้องขอความยนิ ยอม

A1: หน้าที่ต้องแจง้ เมื่อเก็บข้อมลู ตามมาตรา 23 และ 25 ไมว่ า่ จะเกบ็ มาด้วยฐานใดก็ต้องแจ้ง เวน้ แตเ่ ข้า
ข้อยกเว้นตามที่มาตราเหล่านั้นกำหนด กรณีขอความยนิ ยอมก็ตอ้ งแจ้งรายละเอยี ดใหค้ รบเชน่ เดยี วกนั
เพราะอาจทำใหค้ วามยนิ ยอมไม่ผูกพนั เจ้าของข้อมูลผใู้ หค้ วามยนิ ยอม

Q: การสมคั รบรกิ ารแลว้ ขอบตั รประชาชนของลกู ค้า ที่มีขอ้ มูลศาสนาอยู่ ถือเปน็ การเก็บข้อมูลประเภท
ออ่ นไหวหรือไม่ แล้วต้องขอความยนิ ยอมโดยชัดแจง้ หรอื ไม่

A1: ใช่ ไมจ่ ำเปน็ ก็ควรตัดออก ไม่ควรเก็บขอ้ มลู ศาสนา
A2: ปจั จุบันไมม่ คี วามจำเปน็ ต้องเกบ็ สำเนาบัตรประชาชนแลว้ ควรใชว้ ธิ กี ารอา้ งองิ ตามเลขบตั ร

ประชาชนแทน

Q: ในกรณีทมี่ ีการบันทึก VDO นั้น จะถือว่าเปน็ ขอ้ มลู ส่วนบคุ คลใช่หรอื ไมค่ รบั ซึ่งถา้ เปน็ ขอ้ มลู ส่วนบุคคล
แลว้ ในกรณีท่ีเราตดิ กล้องทห่ี นา้ รถ หรือกลอ้ งท่ีตู้ atm เราจะทำอย่างไรครบั

A1: เป็น contract กรณที ำตามหนา้ ทใ่ี นการใหบ้ รกิ าร หรือเปน็ legitimate interest ในกรณที ี่จำเป็น
เพือ่ ประโยชน์โดยชอบของผ้คู วบคุมขอ้ มลู

A2: ควรประเมนิ ความจำเปน็ ขอ้ การจดั เกบ็ ข้อมลู ประเมินความเส่ียง กำหนดมาตรฐานในการจัดเก็บ
แจง้ ใหเ้ จา้ ของข้อมูลทราบวา่ มี operation of CCTV อยู่ (เชน่ โดยการติดป้ายประกาศเปน็ การ
ท่วั ไป)

Q: การอดั เสียงการประชุมกรรมการหรือประชุมผ้ถู ือหุ้นและนำมาบนั ทกึ เป็นรายงานประชุมเปน็ ข้อมลู ส่วน
บุคคลหรือไม่ และต้องขอความยนิ ยอมหรอื ไม่

A1: ดเู รอื่ งการจำแนกประเภทข้อมลู สว่ นบคุ คล (คำถามนไ้ี ม่สามารถตอบโดยท่วั ไปได้ ตอ้ งดู
รายละเอียด)

A2: โดยหลักการประชุมเป็นงานของบริษัทที่ไมต่ อ้ งขอความยนิ ยอม แตต่ ้องแจ้งวา่ มีการอดั เสียง

Q: ขอ้ มลู ผลตรวจสุขภาพพนักงานบรษิ ทั มีสทิ ธิรู้ และจดั เกบ็ ไว้หรอื ไม่
A1: แล้วแตค่ วามจำเปน็ ของแต่ละบริษทั ตอบเปน็ การทว่ั ไปไมไ่ ด้ ให้ระมัดระวังเพราะเปน็ ข้อมูล
sensitive

Q: Sick leave ของลูกจ้าง เป็นขอ้ มูลตามมาตรา 26 หรือไม่ ถา้ ใชแ่ ลว้ จะบนั ทกึ ได้อยา่ งไร ตอ้ งขอความ
ยินยอมทกุ กรณีหรือไม่
666 Thailand Data Protection Guidelines 3.0

A1: ข้นึ อยู่กับบนั ทกึ ขอ้ มลู อะไรบ้าง ถา้ บนั ทึกรายละเอียดของโรคหรืออาการกม็ ีแนวโน้มจะเปน็ ขอ้ มูล
ตามมาตรา 26

Q: ข้อมลู ของผูท้ ำประกนั กรณีเสียชวี ิตแลว้ ซึง่ บรษิ ทั ตอ้ งใชต้ รวจสอบอยู่ภายใต้ PDPA หรือไม่ เนือ่ งจาก
เจ้าของข้อมลู เสียชีวติ แลว้

A1: ข้อมูลคนทถ่ี ึงแกก่ รรมแล้วไมอ่ ยู่ภายใตบ้ งั คบั ของกฎหมายนี้ แต่ถ้าขอ้ มูลดังกล่าวมขี อ้ มูลของคนท่ี
ยงั มชี ีวิตรวมอยูด่ ว้ ย นบั ว่าเป็นขอ้ มูลส่วนบคุ คลทอี่ ยใู่ นบงั คบั ของ พ.ร.บ.น้ีอยู่

Q: พ.ร.บ ค้มุ ครองข้อมูลสว่ นบุคคล ไดร้ ะบุวิธีการจำแนกระดับความเส่ยี งตอ่ สทิ ธขิ องเจ้าของข้อมลู ไว้
หรอื ไม่ หากมี จำแนกออกเป็นกรี่ ะดบั อะไรบา้ ง

A1: ไม่มี เพยี งแตแ่ ยกขอ้ มูลธรรมดากับข้อมูลออ่ นไหวออกจากกัน
A2: ดเู พ่ิมเตมิ TDPG 2.0 ส่วน A

Q: รายการธรุ กรรมทางการเงนิ ถอื ว่าเป็นขอ้ มูลส่วนบคุ คล หรือไม่
A1: เป็น

[TDPG2.0C] Lawful Basis

Q: ปกติเราจะขอหนังสอื รบั รองบริษัทในการทำสัญญา ซง่ึ เอกสารดงั กลา่ ว ช่อื ของกรรมการในหนงั สือ
รบั รองบรษิ ัทถือวา่ เปน็ ขอ้ มูลส่วนบุคคลหรอื ไม่ ถา้ เป็น ควรทำอย่างไร และทเ่ี คยขอมาก่อนหน้านี้ ควรจะ
ทำอย่างไร

A1: ใชฐ้ าน Contract ทก่ี รรมการตอ้ งทำหน้าทใ่ี หก้ ับบรษิ ัทของเขา กรณีนีเ้ ป็นเรือ่ งภายในบรษิ ัท
A2: ใช้ฐาน legitimate interest ได้ (เจา้ ของขอ้ มลู คาดหมายได้ และไมไ่ ด้กระทบสทิ ธิมากนัก) กรณีนี้

เป็นงานของผู้ควบคุมข้อมูล
Q: หากเราขอใหบ้ รษิ ทั คู่ค้าสง่ สำเนาบตั รประจำตัวประชาชนของกรรมการให้ดว้ ย เพอ่ื แนบสญั ญา จะต้อง
แจ้งรายละเอยี ดตามมาตรา 19 และขอความยินยอมเป็นลายลกั ษณ์อกั ษรจากตัวเจา้ ของข้อมูลอีกหรือไม่

A1: ผคู้ วบคมุ ข้อมลู มหี นา้ ทตี่ ้องแจ้งตามกฎหมาย แต่ในทางปฏิบตั ิวธิ ีการแจง้ สามารถทำไดด้ ้วยการแจ้ง
ไปต้งั แต่ตน้ เพอื่ ใหบ้ ริษทั คู่คา้ ดำเนินการ

A2: กรณนี ไ้ี มจ่ ำเป็นตอ้ งขอความยนิ ยอม
Q: หากขอใหส้ ่งสำเนาบัตรประชาชนของกรรมการมาดว้ ย ซ่งึ มขี ้อมูลศาสนา ที่เป็น sensitive data และ
ไมไ่ ด้จำเปน็ ตอ่ การปฏิบตั ติ ามสญั ญา ควรดำเนินการอย่างไร

A1: ไมค่ วรเก็บขอ้ มลู ศาสนา

ศนู ย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 667

A2: ปัจจบุ ันไม่มคี วามจำเปน็ ตอ้ งเกบ็ สำเนาบัตรประชาชนแล้ว ควรใชว้ ธิ ีการอ้างอิงตามเลขบตั ร
ประชาชนแทน

Q: ถอื เปน็ legal obligation ไดไ้ หม เพราะกรรมการเป็นผแู้ ทนนติ ิบคุ คล
A1: ไมใ่ ชก่ รณนี ้ี กฎหมายไมไ่ ด้บงั คบั ใหก้ รรมการตอ้ งให้ข้อมูลสว่ นบุคคล (legal obligation คอื หน้าท่ี
ตามกฎหมาย) กรรมการมีหน้าท่ีตอ่ บรษิ ทั ตามสญั ญา

Q: ฐานทางกฎหมายในเร่อื งผลประโยชน์โดยชอบธรรม (legitimate interest) มกี รอบในการใช้แค่ไหน
เชน่ ในการเกบ็ ขอ้ มลู พฤติกรรมลกู ค้าเพ่อื นำมาประเมนิ ผล สามารถใชฐ้ านนีไ้ ด้หรอื ไม่

A1: กรอบการใชต้ ามความจำเปน็ และผลประโยชน์โดยชอบของผคู้ วบคมุ ขอ้ มูลและต้องชั่งน้ำหนกั กบั
สิทธิและผลประโยชน์ของฝ่งั เจา้ ของขอ้ มูลสว่ นบคุ คลดว้ ย

Q: ม.24(5) ประโยชน์โดยชอบดว้ ยกฎหมายของผคู้ วบคุมข้อมูลมอี ะไรบา้ ง
A1: ตัวอย่างเชน่ การยนื ยนั ตัวตนลูกคา้ , ข้อมูลการทำงานของลกู จ้าง, ข้อมูลเพื่อชว่ ยเหลอื ผลู้ ภี้ ยั ,
industry watch-list, ข้อมูลเพอื่ การปรับปรุงการใหบ้ ริการ ฯลฯ แต่ตอ้ งพิจารณาอยเู่ สมอวา่
ประโยชน์ดังกลา่ วไม่สำคัญไปกว่าสิทธิเสรีภาพของเจา้ ของข้อมูล

Q: ตอ้ งการทราบแนวโน้มการนำหลักการเก็บขอ้ มลู เพอื่ ประโยชน์โดยชอบธรรมมาใช้ เน่ืองจากเดมิ การ
ช้แี จงของหน่วยงานกำกับม่งุ เนน้ ไปทีฐ่ าน consent ทำให้ทางธุรกิจทำได้ยาก

A1: ดู TDPG 2.0 หนา้ 79 มตี ัวอย่างให้

Q: กรณีมีการถ่ายภาพในงาน TDPG2.0 น้ี ซง่ึ มีภาพของผอู้ ื่นตดิ เข้าไปดว้ ย จำเปน็ ต้องขอความยินยอม
ก่อนหรือไม่ กอ่ นทำการเผยแพรข่ ้อมูลสู่สาธารณะ เนอื่ งจากคนมาฟงั อาจโดดงานมา

A1: งานท่ีจดั ในรูปแบบสาธารณะและมกี ารถา่ ยภาพโดยเปดิ เผยน้ัน ผเู้ ขา้ ร่วมยอ่ มมคี วามคาดหมาย
(expectation) ว่ารูปภาพอาจถกู นำไปใชไ้ ด้ เป็น legitimate interest ของผู้ควบคมุ ข้อมลู แต่
ควรเปิดชอ่ งให้ผูเ้ ข้ารว่ มแสดงเจตจำนงไมย่ ินยอม/คัดค้านการเปิดเผยรปู ได้

A2: แตข่ น้ึ อย่กู บั บริบทดว้ ย เชน่ ถ้าเปน็ event ที่มเี น้อื หาอ่อนไหว เช่น การอบรมสขุ ภาพจิต กิจกรรมที่
มเี ดก็ เข้าร่วมเยอะๆ ผ้จู ัดงานกต็ ้องระมดั ระวงั ถ่ายภาพทใ่ี นลักษณะท่ไี ม่ตดิ หน้าของผเู้ ข้ารว่ มอย่าง
ชัดเจนเกนิ ไปนกั เช่น ใชเ้ ทคนิคเบลอ ใช้เทคนคิ ถ่ายระยะไกล)

Q: กรณีบรษิ ทั ถ่ายภาพผชู้ นะรางวลั และลงรายละเอียดข้อมลู ส่วนบุคคลผู้รบั รางวลั ประกาศโฆษณาบน
เวบ็ ไซตข์ องบริษทั เป็นการเกบ็ รวบรวมและใช้ข้อมูลส่วนบคุ คลเเลว้ อา้ งฐานอะไรได้บ้าง

A1: Consent ก็ได้ (ถ้านอ้ ยราย ขอความยนิ ยอมไปเลยงา่ ยกวา่ )

668 Thailand Data Protection Guidelines 3.0

A2: Legitimate interest กไ็ ด้ ประเมินความคาดหวังและสทิ ธิ/ผลประโยชนข์ องเจ้าของข้อมูลที่อาจ
ได้รับผลกระทบด้วย

Q: บริษทั แมส่ ามารถ share ชื่อลกู ค้า blacklist ใหแ้ กบ่ รษิ ัทลกู โดยถอื เปน็ legitimate interest ใน
การบริหารความเสยี่ งในกลมุ่ ไดไ้ หม

A1: ทำได้ หากอธบิ ายความจำเป็นได้ และตอ้ งมมี าตรฐานในการคมุ้ ครองขอ้ มูล เปดิ เผยเท่าที่จำเป็น

Q: ผลติ ภณั ฑป์ ระกันภัยกลุ่ม ผูข้ อเอาประกนั ภัยจะตอ้ งแจง้ ข้อมลู ส่วนบุคคลของผทู้ ่ีอยู่ในกลุ่ม เช่นนี้กรณี
ขอความยนิ ยอม ผู้ขอเอาประกันภัยสามารถให้แทนได้หรอื ไม่ หรือต้องขอความยนิ ยอมตอ่ เจา้ ของข้อมูล
โดยตรง

A1: กรณีนี้ไมใ่ ช่ Consent แต่เปน็ Contract ทจ่ี ะต้องแจ้งให้ทราบ โดยผูข้ อเอาประกนั ภยั แบบกลุม่ มี
ขนั้ ตอนทจี่ ะต้องแจ้งให้สมาชิกสมคั รหรือแจ้งเขา้ อยใู่ นกลุ่มอยแู่ ลว้

Q: กรณีประกันชวี ติ ผทู้ ำประกนั ตอ้ งแจง้ ข้อมลู ของผรู้ ับประโยชน.์ บริษัทต้องขอความยินยอมจากผรู้ บั
ประโยชนด์ ว้ ยหรือไม่

A1: เป็น legitimate interest ไม่ต้องขอความยินยอม

Q: บริษัทประกนั ชวี ิตมี basis ในการตรวจสอบข้อมูลลูกค้าจากประวตั ิสุขภาพจากโรงพยาบาล ได้หรือไม่
และ โรงพยาบาลจะสามารถเปดิ เผยขอ้ มลู คนไขไ้ ด้หรือไม่ ใช้ basis อะไร แลว้ ตอ้ งได้รบั ความยินยอมโดย
ชดั แจง้ จากเจ้าของข้อมลู หรอื ไม่

A1: ขอ้ มลู สขุ ภาพต้องไดร้ บั ความยนิ ยอมโดยชัดแจ้งเปน็ sensitive data กจ็ ะทำให้ รพ.เปิดเผยได้ถ้า
ไดร้ บั ความยนิ ยอม

Q: เน่ืองจากธุรกิจประกันจำเป็นตอ้ งใชข้ อ้ มูลสขุ ภาพของลูกคา้ เพือ่ พิจารณารบั ประกนั กรณบี รษิ ัทจะใช้
หลกั การประมวลผลโดยชอบธรรมโดยไม่ต้องขอความยนิ ยอมได้หรอื ไม่ เนอื่ งจากการขอทำประกันลูกคา้
ต้องเปดิ เผยสขุ ภาพ

A1: ขอ้ มลู อ่อนไหวต้องใช้ความยินยอม ใชฐ้ านสัญญาไมไ่ ด้ ดู TDPG 2.0 หนา้ 45
A2: ในสว่ นการพจิ ารณารับประกนั การขอความยินยอมไม่นา่ จะยาก

Q: ข้อมลู ตามมาตรา 26 ทจี่ ำเป็นตอ่ การปฏิบัตติ ามสัญญา หากตอ้ งขอความยนิ ยอม สามารถกำหนด
ความยนิ ยอมให้เป็นเง่ือนไขของการเขา้ ทำสญั ญาไดห้ รือไม่ เพราะมาตรา 19 บอกเพียงวา่ ห้ามกำหนด
ความยนิ ยอมเป็นเงอ่ื นไขทไ่ี ม่จำเปน็

ศนู ย์วิจัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 669

A1: Sensitive data ใช้ฐานสัญญาทวั่ ไปไมไ่ ด้ ต้องขอความยนิ ยอมแยก แต่ถา้ เป็นข้อมูลที่ “จำเป็น”
ตอ่ การปฏิบตั ติ ามสญั ญา หากไมใ่ ห้ความยนิ ยอมสามารถใช้เปน็ เหตุผลปฏเิ สธการเขา้ สสู่ ัญญาได้

Q: ขอ้ มูลพนักงานที่ HR ใหเ้ กบ็ ไวเ้ พือ่ เปน็ ข้อมูล เขา้ ข่ายหรือไม่คะ หากเข้าข่ายตอ้ งมกี ารดำเนินการ
อย่างไรคะ

A1: ขอ้ มูล HR เป็น ข้อมลู สว่ นบคุ คลแนน่ อน
A2: สว่ นใหญ่ใชฐ้ าน contract ได้ แต่ถา้ เปน็ ขอ้ มูล sensitive ตอ้ งขอความยนิ ยอมดว้ ย ดำเนินการดว้ ย

ความระมดั ระวงั มมี าตรการคุ้มครองขอ้ มูล เชน่ กำหนดหลกั เกณฑใ์ นการเปิดเผย จำกัดผทู้ ีส่ ามารถ
เขา้ ถึงขอ้ มูล

Q: HR รา่ ง Employee Consent โดยใส่ประเดน็ “อำนาจนายจา้ งตรวจสอบการใชค้ อมพิวเตอร์
พนักงาน” (IT Monitoring) ได้หรอื ไม่ อย่างไร

A1: พิจารณาตามลักษณะความจำเปน็ ทเี่ กีย่ วข้องกบั เนอื้ งานได้
A2: ดูหนา้ 82 TDPG 2.0

Q: การกรอกข้อมูลสว่ นตวั ของลูกค้า จำเป็นต้องมี choice ใหล้ ูกค้าเลือกหรือไม่วา่ อนญุ าตให้เปดิ เผย
ขอ้ มลู กับ third parties หรือไม่ หากไม่มแี ล้วนำขอ้ มูลของลกู คา้ ไปใช้ กับ third parties ผิดตาม พ.ร.บ.
หรอื ไม่

A1: หากใช้ฐานความยินยอมต้องมี choice ใหเ้ ลอื ก หากไมม่ ีคือไมเ่ ปน็ ความยนิ ยอมที่สมบรู ณ์ ใชเ้ ปน็
ฐานในการประมวลผลข้อมูลไมไ่ ด้

A2: หากใชฐ้ านสญั ญาไม่ต้องมี choice

Q: การเก็บรวบรวม ใช้ ขอ้ มูลพวกการดำเนินคดี negative news โดยมวี ัตถุประสงค์เพอื่ ใช้ในการverify
ตัวตนลกู คา้ กรณนี อี้ า้ ง Legitimate Interest ได้หรือไม่

A1: อาจเปน็ ได้ ดคู วามจำเป็น ความคาดหมายได้ (expectation) ของเจ้าของขอ้ มลู สิทธแิ ละ
ประโยชน์ของลกู คา้ ทก่ี ระทบ (ซึ่งหลายกรณกี ระทบมาก จงึ ต้องระมดั ระวังในสว่ นของคุณภาพของ
ข้อมูล และการเปดิ เผยข้อมลู ด้วย)

Q: ขน้ึ automated popup แบบ opt-in ใหล้ ูกค้า กดแค่ consent ถือว่า enforce ลกู ค้าให้ยนิ ยอม
หรือไม่

A1: ต้องมที างเลือกให้กด “ไม่ยอมรับ” ดว้ ย หนา้ 61 TDPG 2.0

670 Thailand Data Protection Guidelines 3.0

Q: การแลกบัตรประชาชนเขา้ อาคารสำนกั งานหรอื ถา่ ยรูปพร้อมแลกบตั รประชาชน เพือ่ ความปลอดภัย
สามารถทำได้แคไ่ หนและตอ้ งขอ consent อยา่ งไร

A1: ทำได้ ถา้ มีความจำเป็นสำหรับการควบคุมความปลอดภยั จริงๆ (ต้องพจิ ารณาใหร้ อบคอบ) หากเป็น
อาคารทีม่ เี หตใุ หต้ อ้ งระมัดระวงั ด้านความปลอดภยั มากๆ อาจอ้าง legitimate interest ได้

A2: ขอ consent ในจดุ ที่ขอแลกบัตร
A3: เก็บข้อมลู ไวเ้ ทา่ ที่จำเปน็ จำกดั การเข้าถงึ และลบทงิ้ เม่อื หมดความจำเป็น

Q: กรณีผปู้ กครองทำธุรกรรมแทนผ้เู ยาว์ ซ่งึ ข้อมลู สว่ นบคุ คลของผเู้ ยาวผ์ ปู้ กครองเป็นผู้แถลง กรณนี ี้
บริษทั สามารถเกบ็ ใช้ เปิดเผยได้หรอื ไม่ เน่อื งจากกฎหมายกำหนดว่าตอ้ งขอความยนิ ยอมจากเจา้ ของ
ข้อมูล

A1: ทำได้ ดมู าตรา 20

Q: ผู้เยาวอ์ ายุไม่ถึง 20 ไมส่ ามารถให้ความยินยอมในการเปิดเผยขอ้ มลู ใชห่ รอื ไม่ ตอ้ งใหบ้ ิดามารดาให้
ความยนิ ยอมใชห่ รอื ไม่ ถ้าเชน่ น้ัน Cookie consent จะตรวจอายุอย่างไร

A1: ดตู ามมาตรา 20 และหน้า 73 TDPG 2.0

Q: สญั ญาประเภท click-wrap หรอื shrink-wrap เพยี งพอตอ่ การขอ consent หรอื ไม่ ถา้ สญั ญา
favour ผคู้ วบคมุ ข้อมลู จะมปี ระเดน็ ข้อสัญญาไม่เปน็ ธรรมหรอื ไม่

A1: อาจพอหรอื ไม่เพียงพอก็ได้ เพราะการขอ consent ตอ้ งครบตามเงอื่ นท่มี าตรา 19 วางไว้ สว่ น
ประเดน็ สัญญาไมเ่ ป็นธรรมนน้ั จะเป็นคนละเร่อื งกบั การขอ consent

Q: การสง่ ขอ้ มลู ส่วนตวั ของกรรมการไปตา่ งประเทศ เพือ่ วตั ถุประสงค์ทางธุรกจิ ของบรษิ ัท ตอ้ งไดร้ บั ความ
ยินยอมจากกรรมการทกุ ครั้งหรอื ไม่ สามารถยนิ ยอมครั้งเดียวตอนรับตำแหน่งเป็นการท่ัวไปไดห้ รือไม่

A1: กรณถี า้ เปน็ หน้าทข่ี องกรรมการก็เปน็ ไปตามฐาน Contract ไมใ่ ชฐ่ าน Consent และกำหนดให้
รบั ทราบตามสญั ญาไดใ้ นตอนรับตำแหน่ง

Q: ถา้ เปน็ การดำเนินการทางธุรกิจ แตบ่ ุคคลธรรมดา (วญิ ญูชน) ไม่อาจทราบได้เชน่ ในกรณีของธนาคาร
หากสมคั รบรกิ ารเงินฝากออมทรัพย์ธรรมดา แตธ่ นาคารเอาขอ้ มลู ไปประเมินข้อมูลเครดติ เพอ่ื เสนอสินเชอ่ื
จะอ้าง Legitimate interest ได้หรอื ไม่

A1: ถ้าคาดหมายไม่ไดไ้ มเ่ ปน็ legitimate interest

ศนู ย์วิจัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 671

Q: การบันทึกเสียงสนทนาทางโทรศพั ท์ มักบอกวา่ เพอื่ นำไปพฒั นาปรบั ปรงุ บริการ ถา้ ไมย่ ินยอมใหบ้ ันทกึ
ได้หรือไม่ แน่นอนวา่ เสียงระบุอตั ลักษณ์ได้ครบั

A1: โดยหลกั เป็นการขอ consent ท่แี จ้งไมย่ นิ ยอมหรือใชส้ ิทธปิ ฏเิ สธได้

Q: เดย๋ี วน้ีเวลาบริจาคเงินทำบุญ ทางวดั ตอ้ งขอเลขบตั รประจำตวั ประชาชนดว้ ย ต้องขอ consent ด้วย
ไหม

A1: ต้องขอ Consent

Q: การถ่ายคลปิ ผ่านมอื ถอื ของเราเอง และนำไปโพสลงยูทปู ซ่งึ เห็นหนา้ ผคู้ นรอบขา้ งในสถานท่ีต่างๆ
แบบนตี้ ้องมีแนวปฏบิ ตั ิอยา่ งไร

A1: อ้าง Legitimate interest ได้ ต้องระวังว่าผูค้ นในพืน้ ทแ่ี บบน้ันคาดหมายการถกู ถา่ ยภาพมากนอ้ ย
แคไ่ หน (เชน่ ในสถานพยาบาล ผ้คู นคาดหมายความเป็นสว่ นตวั มากกวา่ บนทอ้ งถนน)

Q: การเก็บขอ้ มูลเพ่อื นำไปวิจัยตลาด จะเข้าตามมาตรา 24(1) หรือไม่
A1: สามารถใช้ฐาน legitimate interest หรือฐาน consent ได้ดว้ ย
A2: ไมแ่ นะนำให้ใช้ฐานวจิ ัยตามมาตรา 24(1) เพราะต้องรอคณะกรรมการกำหนด และอาจกำหนดไม่
ครอบคลุมถงึ กรณนี ี้

Q: การตอบแบบสอบถาม (questionnaire) ในสว่ นของขอ้ มูลสว่ นบุคคล เช่น ช่อื อายุ เบอรโ์ ทร อาชพี
เงนิ เดอื น เป็นต้น ต้องทำ consent กับลกู คา้ หรือไม่

A1: ต้อง

Q: การนำข้อมลู ลกู คา้ มาวเิ คราะหเ์ พ่ือพฒั นาผลติ ภัณฑอ์ ่นื ๆ ตอ้ งขอความยนิ ยอมหรอื ไม่ เนอื่ งจากไม่ได้
นำไปเผยแพร่ทีใ่ ด

A1: ต้องมฐี านในการประมวลผลเสมอไมว่ า่ จะเผยแพรห่ รอื ไม่เผยแพร่กต็ าม
A2: หากประเมนิ ว่าใช้ Legitimate interest ได้ก็ไม่ต้องใชค้ วามยนิ ยอม

Q: การทร่ี ัฐมนตรมี คี วามคดิ จะให้รถตดิ ต้ัง GPS น้นั เปน็ การละเมดิ สิทธิสว่ นบุคคลหรือไม่อยา่ งไร
A1: ตอ้ งใช้ฐาน public task คอื ตอ้ งมีกฎหมายรองรับ และพสิ ูจน์ความจำเปน็ ในการทำเพ่อื บรรลุ
วัตถุประสงคแ์ ห่งกฎหมายนนั้

672 Thailand Data Protection Guidelines 3.0

Q: รา้ นคา้ สามารถติดตัง้ กลอ้ งวงจรปิดบนั ทึกภาพและเสียงโดยไมต่ อ้ งแจง้ หรือขอความยินยอมจากลกู คา้
ได้หรอื ไม่ สามารถปรับใช้มาตรา 24(2) ได้หรือไม่

A1: ไม่ตอ้ งขอความยนิ ยอม น่าจะอาศยั legitimate interest ได้ แต่ต้องแจ้ง
A2: ใช้ vital interest ไมไ่ ด้

Q: จำเปน็ ต้องไดร้ ับความยินยอมจากลกู ค้าก่อนหรือไม่กรณบี รษิ ทั นำขอ้ มลู ลูกค้าให้ outsource วิจยั
ค้นคว้าเเละสรา้ ง base ข้อมลู ให้กบั บริษทั กรณที ี่มลี ูกคา้ 1000 คนข้ึนไป

A1: ลองวิเคราะห์กอ่ นวา่ จำเปน็ ต้องใช้ฐานความยินยอมจริงหรือไม่ อ่าน TDPG2.0 บทที่วา่ ด้วยฐานใน
การประมวลผล

Q: การเปดิ เผยขอ้ มลู ตามฐานสัญญา มาตรา 24(3) ทผ่ี รู้ ับข้อมลู ไม่ไดเ้ ป็นค่สู ญั ญากบั เจ้าของข้อมูลจะต้อง
ขอความยนิ ยอมหรือไม่? เพราะเขา้ ใจวา่ การเปดิ เผยข้อมลู ตาม มาตรา 25(2) ผรู้ บั ขอ้ มูลต้องเปน็ ผรู้ บั ทม่ี ี
สทิ ธติ าม มาตรา 24(3) ดว้ ย

A1: ต้องพจิ ารณาว่าการเปดิ เผยดังกล่าวจะอา้ งฐานสญั ญาไดห้ รอื ไม่ ต้องดูวา่ จำเปน็ ในการปฏิบัตติ าม
สญั ญาหรอื ไม่ ถ้าจำเปน็ ก็ไมต่ อ้ งขอความยินยอม แต่ถ้าไมจ่ ำเป็นตอ้ งขอความยนิ ยอม ส่วนการแจ้ง
กแ็ จ้งเขาต้ังแต่ทำสัญญาไปเลย

Q: การเปดิ เผยข้อมูลธรุ กรรมทางการเงินลูกคา้ ของธนาคารให้กับหนว่ ยงานของรฐั ทีม่ ีอำนาจตามกฎหมาย
ควรมขี อบเขตในการเปดิ เผยเพยี งใด มีกฎหมายใดควบคมุ หรือไม่ เพราะแบงกม์ หี นา้ ท่ตี ้องรับผิดชอบตอ่
ขอ้ มูลลกู คา้ เช่นกนั

A1: ขอบเขตเป็นไปตามกฎหมายทเ่ี กีย่ วข้องทบี่ ัญญัตวิ า่ ใหเ้ ปน็ หน้าทขี่ องธนาคารท่จี ะตอ้ งทำ (legal
obligation) เช่น กฎหมายฟอกเงิน กฎหมายภาษี เปน็ ต้น

A2: การปฏิบัติตามกฎหมายไมไ่ ด้หมายความว่าไมต่ อ้ งทำตามมาตรฐานความปลอดภยั ของขอ้ มลู ยงั คง
ตอ้ งมี data security อยู่ให้เหมาะสมตามความเสยี่ ง

Q: กรณผี ู้อยอู่ าศยั ในคอนโดมเี นยี ม และนติ ิบุคคลมขี ้อกำหนด/ประกาศว่าต้องใหม้ ีการสแกนลายน้วิ มอื
เพ่ิมเติมจากการใชค้ ยี ์การ์ด เพ่อื เขา้ ใช้งานส่งิ อำนวยความสะดวกเช่น สระว่ายน้ำ กรณดี งั กล่าวสามารถ
กระทำได้หรือไม่

A1: ทำได้ แตต่ ้องอาศัยความยนิ ยอมโดยชดั แจ้งตามมาตรา 26
A2: และต้องพิจารณาความจำเป็นใหถ้ ีถ่ ้วนดว้ ย

ศนู ยว์ ิจยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 673

Q: สถิตขิ องผเู้ ลน่ จากการแข่งขันกีฬา เชน่ ในกฬี าฟุตบอล ผเู้ ลน่ ยงิ เขา้ กี่ลูก ไม่เข้าก่ลี ูก ใชฐ้ านประมวลผล
แบบสญั ญาจา้ งได้ใช่หรอื ไม่ ซึ่งสามารถเปิดเผยขอ้ มูลให้สาธารณะทราบไดใ้ ช่หรือไม่

A1: ได้
A2: ได้ (อยา่ ลมื ประเมินผลกระทบและความคาดหมายของเจ้าของข้อมูล)

[TDPG2.0D] Controllers & Processors

Q: การระบุระยะเวลาเพอ่ื เกบ็ ข้อมลู สว่ นบุคคลจำเป็นตอ้ งกำหนดเป็นจำนวนปีใหช้ ัดเจนเลยหรอื ไม่ ถ้าระบวุ ่า
ตลอดระยะเวลาการปฏบิ ตั ติ ามสญั ญาทีเ่ ก่ียวขอ้ งหรือกฎหมายที่เกย่ี วขอ้ ง แค่น้ีเพยี งพอหรอื ไม่

A1: ระยะเวลาเปน็ ไปตามความจำเปน็ (ถา้ กำหนดไม่ได้ ให้แจ้ง criteria ในการกำหนดระยะเวลา)
A2: ดงั นน้ั เพอ่ื ปอ้ งกันขอ้ สงสยั ว่าเกบ็ เกินจำเปน็ พยายามกำหนดเป็นจำนวนปีใหไ้ ด้ตามลกั ษณะการใช้

งาน
A3: แต่ตอ้ งต้องระวงั ในกรณีที่สญั ญาใหบ้ รกิ ารมีระยะเวลาบงั คบั ใช้ ้นาน
A4: ดรู ายละเอียดของหน้าที่ในการปฏิบัติตามกฎหมายแต่ละฉบบั ไป
Q: การประมาณระยะเวลาในการเก็บใช้เกณฑ์อะไร
A1: ตามความจำเป็นของการใชข้ อ้ มลู หรอื
A2: ตามท่กี ฎหมายอืน่ กำหนดใหเ้ กบ็
Q: กรณี loyalty program สามารถระบวุ า่ จะเก็บขอ้ มลู เชน่ ข้อมูลส่วนตัว payment data ตราบเท่าที่
ลูกค้ายงั มีสถานะเปน็ สมาชิกไดห้ รือไม่ (จนกวา่ ลูกคา้ จะแจ้งยกเลิกสถานะสมาชิกเอง)
A1: ข้อมูลส่วนตวั ท่เี ก็บควรแบ่งตามความจำเปน็ ว่าอะไรจำเปน็ ต้องเก็บเป็นระยะเวลานาน หรืออะไรที่

เกบ็ แค่ระยะหนึ่งก็พอ (ไม่ควรเหมารวม)
A2: ส่วนทจี่ ำเปน็ ตอ้ งเกบ็ ตลอดระยะเวลาการเป็นสมาชกิ กแ็ จง้ ไว้เชน่ นนั้ ได้ เชน่ ความจำเปน็ เพ่ือการ

ตรวจสอบรายการชำระเงิน เป็นต้น
A3: แต่ควรมีการ review สถานะสมาชิกด้วย เพื่ออพั เดทข้อมลู ให้เป็นปจั จุบนั และปอ้ งกนั claim หรือ

ขอ้ พิพาทกับลูกคา้ ท่ีเข้าใจผิดคิดวา่ ตวั เองไม่ได้เป็นสมาชกิ ไปแล้ว
Q: ตามมาตรา 23 ทบ่ี อกว่าให้ระยะเวลาอิงมาตรฐานการเกบ็ จะมีมาตรฐานใดที่พอจะนำมาใช้ไดบ้ ้าง ขอ
ตวั อย่างหนอ่ ยครบั

A1: แจ้งความจำเป็น และ “หลกั เกณฑใ์ นการกำหนดระยะเวลาทส่ี ามารถอ้างองิ ได้” เช่น ภายใน 12
รอบของการเกบ็ เงินค่าบรกิ าร, ตามมาตรฐานท่ี regulator กำหนด, ตามแนวปฏบิ ัติของกลุ่ม
อุตสาหกรรม

Q: ตอ้ งขอ consent เพอ่ื การทำ anonymize หรอื ไม่
A1: ไมต่ ้อง

674 Thailand Data Protection Guidelines 3.0

A2: WP29 Opinion 05/2014 on Anonymization Techniques --
“The Working Party considers that anonymization as an instance of further

processing of personal data can be considered to be compatible with the original purposes of
the processing but only on condition the anonymization process is such as to reliably produce
anonymised information in the sense described in this paper.”

Q: ในกรณีทำสญั ญาจ้าง หรือสัญญาอน่ื ๆ ท่ีจะต้องขอข้อมูลผู้ตดิ ตอ่ ฉกุ เฉนิ ซึง่ ถือเป็นบุคคลท่ี 3 กรณีนผ้ี ู้
ควบคมุ ข้อมลู สามารถเกบ็ ขอ้ มลู โดยอาศัยมาตรา 25(2) ประกอบมาตรา 27 ได้หรอื ไม่

A1: ผู้ควบคุมขอ้ มลู อาจขอข้อมูลผ้ตู ดิ ตอ่ ฉุกเฉนิ ตามท่จี ำเป็น เปน็ legitimate interest ท่ผี ้คู วบคุม
ขอ้ มลู ประมวลผลได้

A2: โดยมหี นา้ ท่ีตอ้ งแจง้ ตามมาตรา 21 และ 23 (รอู้ ยแู่ ลว้ หรอื คนทำสญั ญาจา้ งแจ้งไวแ้ ล้ว)

Q: ตัวแทนหรือนายหนา้ ประกันชวี ิตถอื วา่ เปน็ processor หรือ controller ต้องจัดใหม้ ี DPO หรอื ไม่
อยา่ งไร

A1: เปน็ ลูกจา้ งของ controller หรอื Processor ในกรณที ไ่ี มไ่ ด้เปน็ ลกู จา้ ง)
A2: บริษทั ทีใ่ ชข้ ้อมลู สว่ นบคุ คลแบบ sensitive ต้องมี DPO อยู่แลว้ ดมู าตรา 41(3)
Q: จากคำตอบเข้าใจวา่ นายหนา้ ตัวแทนประกันไม่ใช่คนคอนโทรลขอ้ มลู แตถ่ า้ ในทางปฏบิ ตั หิ ากธรุ กิจ
นายหนา้ ตวั แทน มกี ารเกบ็ ขอ้ มูลลูกคา้ ไวเ้ พื่อประมวลผลเพื่อวตั ถปุ ระสงคอ์ ื่น นอกจากการประกันของ
ลกู คา้ ต้องขอความยินยอมถกู ต้องใชไ่ หมคะ
A1: แลว้ แตก่ รณี
A2: ในกรณีท่ีเป็น processor หากประมวลผลนอกเหนือไปจากขอบเขตคำส่ังในการประมวลผลขอ้ มลู

ของ controller กจ็ ะมคี วามรับผิดตามสัญญาต่อ controller และอาจต้องรับผดิ อยา่ ง controller
ด้วย

Q: การขีดฆ่าข้อมูลในเอกสารทำให้ไมส่ ามารถอ่านเขา้ ใจในข้อมูลดงั กล่าวได้ ทำให้ถือว่าเราไมไ่ ด้จัดเก็บ
ข้อมลู ดังกล่าวแลว้ ใชห่ รือไม่ เช่น บตั รประชาชนทีข่ อ้ มูลตรงศาสนาถูกลบด้วยปากกาลบคำผดิ

A1: ได้

Q: ขอ้ มูลสว่ นบุคคลทเี่ คยเกบ็ รวบรวมซึ่งยังไม่เคยแจง้ วตั ถปุ ระสงค์ทช่ี ัดเจน เม่ือกฎหมายมผี ลบงั คับ
บริษทั ต้องทำลายเท่าน้นั ใช่หรอื ไม่. มีแนวทางแกไ้ ขอยา่ งไร

A1: แจ้งให้เขามา opt-out ได้
A2: ถ้าเป็นฐานความยินยอม ดมู าตรา 95

ศูนย์วิจัยกฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย 675

A3: ถา้ เป็นสัญญากใ็ ชต้ ่อได้เลย
A4: ถา้ ฐานอื่น เช่น legitimate interest ก็ดวู ่ายงั มีความชอบธรรมอยหู่ รอื ไม่

Q: มาตรการรักษาความปลอดภยั สามารถใช้ ISO 27001 ไดห้ รอื ไม่ และดำเนนิ การอยา่ งไร ถา้ บริษทั ได้
ISO 27001 ถอื วา่ ปฏิบตั ติ าม PDPA เพยี งพอแล้วหรือไมอ่ ยา่ งไร

A1: ISO27001 เป็นมาตรฐานความปลอดภัยของขอ้ มลู ในองคก์ ร ซ่งึ สว่ นมากใช้กับ data center
A2: ปจั จุบนั มี ISO27701 ทีเ่ ป็นเรอ่ื งข้อมลู ส่วนบุคคลมากกว่า
A3: ถามว่าเพยี งพอหรือไม่ ขนึ้ อยกู่ บั บรบิ ทแตล่ ะกรณี

Q: การกระทำความผดิ ทาง พ.ร.บ. ถ้าเปิดเผย 1 ครง้ั แต่มีผู้เสียหายหลายคน ถือเป็นความผิดกีก่ รรม
A1: กรรมเดยี ว แต่นา่ จะมีผลตอ่ การใชด้ ุลพนิ จิ ในการกำหนดอัตราโทษทางปกครองหรืออาญา

Q: หากเจ้าของขอ้ มลู ขอใชส้ ทิ ธทิ ำใหข้ อ้ มลู ไมส่ ามารถระบุตัวตนไดแ้ ล้ว ยังจะขอใช้สิทธใิ หท้ ำลายหรือลบ
ขอ้ มูลได้อีกหรอื ไม่ครบั

A1: ถ้าทำขอ้ มูลให้ไม่อาจระบตุ ัวตนั ได้อีกตอ่ ไป (anonymous) ข้อมลู ดังกล่าวก็ไมอ่ ยู่ภายใต้บังคบั แหง่
พ.ร.บ.น้ีอกี ต่อไป

Q: กรณีแลกนามบัตรของบรษิ ทั จะแจ้งรายละเอียดตามกฎหมายอย่างไร
A1: การแลกเพอ่ื ทำงาน เจ้าตัวทราบอยแู่ ล้ว ไม่ตอ้ งแจ้งได้ โดยความคาดหวังท่วั ไปคอื ไว้ใช้ติดตอ่ งาน
กนั
A2: แตห่ ากบรษิ ัทมี privacy policy เปน็ การทว่ั ไปก็ยง่ิ ดี

Q: พนกั งานในบรษิ ัท ถือว่าเปน็ ผ้ปู ระมวลผล หรอื เป็นผูค้ วบคุม หรือไม่เป็นอะไรเลย มองเป็นบคุ คล
เดยี วกบั นติ บิ ุคคลครบั

A1: ไมเ่ ปน็ ท้งั controller และ processor
A2: เปน็ ลกู จา้ งของ controller

Q: การแจง้ สทิ ธติ ามกฎหมายในการขอ consent เพยี งแจง้ แหลง่ ใหเ้ จา้ ของขอ้ มูลไปศึกษาได้หรือไม่ เชน่
การแจง้ ลิงค์ในเว็บไซต์

A1: ได้

676 Thailand Data Protection Guidelines 3.0

Q: การเกบ็ ขอ้ มูลหรอื Data Retention ณ ตอนนห้ี ากยงั ไมม่ ี Implementing Rules ให้ใช้กฎหมายทีม่ ี
อยู่ เชน่ หลกั อายุความ ปพพ. หรือ ตาม พ.ร.บ. บัญชีได้ไหม

A1: หากกฎหมายทม่ี ีอยู่บงั คบั กบั ข้อมูลประเภทนั้นๆ กต็ ้องเก็บตามน้นั อยู่แลว้ (ฐานปฏบิ ัติตาม
กฎหมาย)

A2: นอกเหนอื จากน้นั ใหด้ ูตามความจำเป็น (ซ่ึงก็คอื หลกั data minimization)

Q: การจัดเกบ็ log ทเี่ กี่ยวกับข้อมลู ส่วนบคุ คลตามกฎหมายตอ้ งลงรายละเอียดแคไ่ หน ทุกการดำเนินการ
หรอื ไม่ เช่น บรษิ ัทไดส้ ่งข้อมลู ของลูกค้าให้ outsource เพ่ืออะไร เม่อื วันท่ีเทา่ ใด ประมวลผลขอ้ มูลโดยใช้
ฐานใด

A1: ดูมาตรา 39

Q: การแจง้ ตามมาตรา 23 มีหลกั เกณฑอ์ ยา่ งไรคะ
A1: ดู TDPG 2.0 สว่ น D1

Q: การแจ้งตามมาตรา 23 จำเป็นตอ้ งบอกลึกขนาดไหน เชน่ มาตรา 23(2) กำหนดใหพ้ ดู ถึงผลกระทบ
ของการไม่ให้ขอ้ มลู ทจ่ี ำเปน็ ต่อสัญญา/กฎหมาย เราสามารถพูดคลุมไปได้หรือไม่วา่ “หากท่านไม่ให้ เรา
อาจปฏิบตั ติ ามกฎหมายไมไ่ ด้”

A1: ไมไ่ ด้ การแจง้ ต้องเฉพาะเจาะจง หากแจ้งแบบคลมุ เครือ เจ้าของขอ้ มลู อาจใช้สิทธใิ นการเขา้ ถึง
สอบถามกลับมาได้อยูด่ ี วา่ อา้ งกฎหมายอะไร

Q: การแจง้ สทิ ธิตามมาตรา 23(6) จำเปน็ ต้องบอกทกุ สิทธิทม่ี ีในพ.ร.บ. เลยหรอื ไม่ เพราะสิทธบิ างสทิ ธิ
เช่น data portability ไมจ่ ำเป็นต้องให้แกเ่ จ้าของขอ้ มูลทุกคน

A1: บอกทุกสิทธิตามรายละเอยี ด แต่สามารถบอกกว้างๆ ได้ วา่ รายละเอียดในการใช้สทิ ธิบางอยา่ ง ไม่
applicable กับของเรา

Q: ขอ้ มูลของลกู ค้าท่ีเก็บไว้จะมชี ือ่ ลูกค้าติดอย่ทู ้งั หมดโดยจะรวมถึงขอ้ มูลที่ลกู ค้าไม่ไดใ้ หแ้ ต่เกิดจากการท่ี
เราวิเคราะห์ข้ึนมาด้วย อยากถามว่า Right to Access จะมขี อบเขตแคไ่ หน รวมขอ้ มลู เหลา่ นนั้ ด้วย
หรอื ไม่

A1: มี แต่อาจอ้างเหตปุ ฏเิ สธไมใ่ ห้เข้าถงึ ขอ้ มลู บางสว่ นไดห้ ากกระทบสทิ ธแิ ละประโยชน์ของผคู้ วบคมุ

ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 677

Q: การเกบ็ ข้อมูลจากแหล่งทไ่ี ม่ใช่เจ้าของขอ้ มูลตามมาตรา 25(2) ที่ไม่ต้องขอความยนิ ยอม จะตอ้ งทำ
การแจ้งมาตรา 23 หรอื ไม่ เพราะมาตรา 25 ไมไ่ ดบ้ อกให้เอามาตรา 23 มาปรับใชก้ บั การเก็บข้อมูล
ทางอ้อมทไ่ี ม่ตอ้ งขอความยินยอม

A1: ต้องแจ้งตามมาตรา 23 ดูเชิงอรรถที่ 67 หนา้ 95 TDPG2.0

Q: การเกบ็ ขอ้ มูลจากแหลง่ อืน่ ทไ่ี ดร้ ับยกเวน้ หลักยินยอมมาตรา 24, 26 ต้องแจง้ รายละเอยี ดมาตรา 23
อย่างไร โดยเฉพาะกรณีท่ีอาศัยขอ้ ยกเว้นไปเก็บขอ้ มูลมาจากผคู้ วบคุมท่เี ก็บขอ้ มลู โดยตรงมาจากเจา้ ของ
เพราะไม่เคยติดตอ่ เจา้ ของ

A1: ในทางปฏบิ ตั ิผูค้ วบคมุ ข้อมูลคนท่ี 2 ท่ีได้รบั ขอ้ มูลต่อจากผู้ควบคุมขอ้ มูลคนที่ 1 ไม่ตอ้ งแจง้
รายละเอียดตามมาตรา 23 แล้ว เพราะผู้ควบคมุ คนท่ี 1 ต้องแจ้งใหท้ ราบไว้แลว้ แต่แรก

A2: หากไม่มีการแจง้ เอาไว้ ท่านต้องแจง้ รายละเอียดใหม่ ซ่งึ ไมแ่ นะนำใหท้ ำในทางปฏบิ ัติ เพราะแทบ
จะเปน็ ไปไม่ได้ ควรกลบั ไปใหผ้ คู้ วบคมุ คนท่ี 1 แจ้งจะดีกว่า

Q: เมอื่ กฎหมายมผี ลแล้ว การประชาสัมพนั ธ์ privacy policy ทางเว็บไซต์ และสง่ sms ให้ลกู ค้าทราบ
เพยี งพอกับการปฏิบัตติ าม มาตรา 95 หรอื ไม่

A1: เพยี งพอ แตต่ อ้ งเปดิ ชอ่ งให้ opt-out ได้

Q: มาตรการรักษาความมัน่ คงปลอดภัยทเี่ หมาะสม ตามมาตรา 37 หมายความรวมถงึ Employee
Computer Usage Policy นโยบายการใช้คอมพวิ เตอร์ของพนกั งาน และ สญั ญาห้ามเปดิ เผยขอ้ มูล
(Non-Disclosure Agreement) ด้วยหรอื ไม่

A1: รวมดว้ ย เพราะจะอยูใ่ นความหมายของ organizational measures

Q: กรณีท่หี นว่ ยงานกำกับขอข้อมูลส่วนบุคคลจากภาคธุรกิจตอ้ งอา้ งอำนาจตามกฎหมายใหช้ ดั เจนหรอื ไม่
หากโทรศพั ท์หรือส่งอีเมลม์ าขอความร่วมมอื ใหส้ ง่ ข้อมลู บรษิ ัทนำสง่ ผิดหรือไม่

A1: ตอ้ งมี ถา้ เพียงขอความรว่ มมอื บริษัทจะไมม่ ฐี านในการเปิดเผยขอ้ มลู ให้และจะเป็นการฝ่าฝืน
มาตรา 27 รายละเอยี ดนี้ ควรดู TDPG 2.0 ในสว่ นทีว่ ่าด้วยกรณีทมี่ ีคำรอ้ งขอจากรัฐ

Q: สิทธิในการลบขอ้ มลู /ทำลาย/ทำใหไ้ ม่สามารถระบุตวั ตนได้ ผคู้ วบคุมข้อมลู สามารถเลือกวธิ ีการใด
วธิ ีการหน่งึ ได้หรือไม่ ข้อมูลทเ่ี กบ็ รวบรวมมาเปน็ Paper แตจ่ ดั เกบ็ เป็น Electronic ด้วย จะดำเนนิ การ
อย่างไร

A1: ขน้ึ อยูก่ บั การใช้สิทธทิ ่เี จ้าของข้อมลู เลอื ก ถา้ ตอ้ งดำเนินการดังกลา่ วก็จะตอ้ งดำเนินการทัง้ ทำลาย
เอกสารและลบข้อมูลอเิ ล็กทรอนิกส์

678 Thailand Data Protection Guidelines 3.0

Q: บรษิ ทั ต้องลบขอ้ มลู ในทันทไี หมหากลูกค้าแจง้ ยกเลิกข้อมูลภายหลัง และจะหากมหี นสี้ ินที่คา้ งชำระ
สามารถส่งโนติสตามข้อมลู ท่ีใหไ้ วต้ อนยนิ ยอมในครง้ั แรกหรอื ไม่

A1: ถ้ามเี หตุปฏิเสธ ไมล่ บได้ดู TDPG 2.0 สว่ น D3.8, D3.9
A2: หรอื อาจพิจารณาระงบั การประมวลผลในส่วนที่ลูกค้าต้องการใหร้ ะงับการประมวลผล ดู TDPG

2.0 สว่ น D3.10-3.11
A3: สามารถส่ง notice ได้เพ่อื ทวงหนีต้ าม Contract หรือ Legitimate Interest

Q: ในกรณีทเ่ี ราเก็บข้อมูลในอุปกรณ์ท่ลี บขอ้ มูลไม่ได้ เช่น block chain เป็นต้น เราจะต้องทำอย่างไร
A1: ข้อจำกัดทางเทคโนโลยีอาจเป็นเหตปุ ฏิเสธในการลบขอ้ มูลได้

Q: ถ้าโพสต์รูปหาค่บู นเว็ปไซต์ ต่อมาต้องการขอถอนความยนิ ยอมกับ webmaster แตต่ ดิ เง่อื นไขว่า ถ้า
เตมิ เงนิ เขา้ มา สัญญาจะลบขอ้ มลู ให้ อยากทราบว่าสัญญาดังกล่าวขัดตอ่ พรบ. คมุ้ ครองขอ้ มูลสว่ นบุคคล
หรอื ไม่

A1: การถอนความยนิ ยอมตอ้ งไมย่ ากไปกว่าตอนทีใ่ หค้ วามยินยอม ต้องดูในตอนแรกว่าใหค้ วามยินยอม
ไปอย่างไร

Q: กรณีทม่ี กี ารเปดิ เผยขอ้ มลู ไปยงั บคุ คลที่ 3 และขอ้ มูลดงั กล่าวอยบู่ นฐาน consent และถกู ร้องขอโดย
data subject เพอื่ ทำการลบขอ้ มูลดงั กล่าว พ.ร.บ.คุม้ ครองข้อมูลสว่ นบคุ คล กำหนดหนา้ ที่ controller
ในการแจ้งข้อมูลไปยงั บคุ คลทสี่ ามหรอื ไม่

A1: ใช่ การลบขอ้ มูลกรณนี ้ใี ชส้ ทิ ธิตามที่ได้รบั Consent มาซง่ึ รวมถึงบุคคลท่ีสามท่ีสง่ ข้อมูลไปดว้ ย

Q: กรณที จี่ ้างบริษทั พฒั นาคลังขอ้ มูลและมกี ารเซ็น NDA แล้ว และบริษทั นน้ั ทำขอ้ มลู รวั่ ไหลหรือนำขอ้ มูล
ไปใช้ผิดประเภทโดยไม่ได้รับอนญุ าต ผ้จู า้ งตอ้ งรบั ผดิ ชอบหรือไม่

A1: อาจมไี ดถ้ า้ เลือกหา processor ที่ไมด่ ี แต่กส็ ามารถไลเ่ บยี้ เอากบั บริษทั น้ันไดเ้ ชน่ กัน

Q: กรณีที่เกดิ Data breach จากความประมาทเลินเลอ่ ของ controller จะถอื มาตรา 77 ของ พ.ร.บ.
เพ่อื ใหก้ ารตีความนิยามของ data breach ครอบคลุมรวมไปถงึ กรณีดังกล่าวไดห้ รือไม่

A1: มาตรา 77 ครอบคลมุ กรณปี ระมาทเลินเลอ่ อยู่แลว้

Q: ข้อมูลปดิ สมดุ ทะเบียนผู้ถือหุ้นทีบ่ ริษัทได้จาก TSD และบริษทั จะต้องส่งขอ้ มูลใหผ้ ู้ให้บรกิ ารระบบ
ลงทะเบียน บรษิ ัทจะต้องดำเนินการอยา่ งไรให้ถูกต้องตาม พ.ร.บ.นี้

ศูนยว์ ิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 679

A1: รายช่ือผู้ถอื หุ้นในระบบ TSD เปน็ ระบบทบี่ รษิ ัทจำเป็นตอ้ งใช้
A2: ผู้ถือหนุ้ ตอ้ งทราบและยอมรับให้ใชข้ อ้ มลู ในฐาน Contract
A3: กรณนี ้ไี ม่สามารถตอบไดว้ า่ สามารถดำเนินการดว้ ยวธิ กี ารหรือระบบอนื่ หรอื ไมท่ ี่ไม่ตอ้ งผา่ น TSD

Q: นิติบุคคลหมบู่ ้าน ต้องจัดการอย่างไร เพราะเข้าถงึ ตัวตนลกู บ้านได้เลย
A1: นติ ิบคุ คลหมบู่ ้านยอ่ มมคี วามจำเปน็ ใชข้ อ้ มูลลกู บ้านเพอ่ื การจดั การต่างๆ
A2: หากทา่ นไม่ต้องการใหใ้ ชข้ ้อมลู สว่ นใดหรือดำเนนิ การใด ต้องกำหนดเป็น Privacy Policy ของ
หมู่บ้านขึ้นมา

Q: ในขน้ั ตอนการรับสมัครงาน เอกสารทพี่ นักงานตอ้ งย่ืนมีหลายอยา่ ง รวมท้งั สำเนาทะเบยี นบ้าน ใน
สำเนาทะเบียนบา้ นมีขอ้ มลู ส่วนบคุ คลของพอ่ แมพ่ นักงานคนนน้ั ถือวา่ บรษิ ัทเกบ็ ข้อมลู ของพอ่ แม่พนักงาน
มาแลว้ หรือไม่

A1: ใช่
Q: ถามตอ่ นะคะ ถา้ พนกั งานติดตอ่ พอ่ หรอื แม่ไมไ่ ด้ หรือไมย่ อมใหข้ อ้ มูลของพอ่ แม่ บรษิ ทั ต้องทำอยา่ งไร

A1: ตัดข้อมลู สว่ นท่ไี ม่จำเปน็ ออก

Q: การมรี ะบบรักษาความปลอดภยั ขอ้ มูลสว่ นบุคคลท่คี ดิ วา่ เพียงพอมีการใส่ password or access
code แล้ว ยงั ถกู Hack ระบบเข้าข้อมลู ส่วนบคุ คลอกี ถือว่ามรี ะบบรกั ษาความปลอดภยั ขอ้ มูลสว่ นบคุ คล
พอเพยี งตาม PDPA ไหม

A1: ถ้าได้รกั ษาความปลอดภัยเพยี งพอตามมาตรฐานทว่ั ไปแล้วถือว่าเพยี งพอ แตห่ ากมี unauthorised
access คอื breach ท่ีจะต้องแจง้ ประเมนิ ผลกระทบต่อตัวเจ้าของขอ้ มูลและตอ่ คณะกรรมการฯ ดู
TDPG 2.0 หนา้ 100

Q: หลักเกณฑ์ในการทำ processor agreement ทดี่ คี ืออะไรบ้าง
A1: ดู TDPG 2.0 หนา้ 138

Q: DPO สามารถกำหนดเป็น คณะกรรมการได้ไหม หรอื ต้องเปน็ บคุ คล
A1: ดู TPDG 2.0 หน้า 131

Q: DPO มคี วามรับผิดอะไรบ้าง
A1: ถ้าทำหน้าท่ีตามกฎหมายจะไมม่ ีความรบั ผดิ แต่ถา้ ทำผดิ หนา้ ทก่ี ม็ ีความรับผิดตามกฎหมายน้ี หรือ
ผดิ ตามสัญญาจ้างหรือสัญญาใหบ้ รกิ ารที่ผู้ควบคุมขอ้ มูลจ้างมาทำหนา้ ท่ี

680 Thailand Data Protection Guidelines 3.0

Q: ธรุ กิจอสังหารมิ ทรัพย์ ต้องมี DPO หรอื ไม่
A1: ยงั ไมแ่ น่ ตอ้ งรอหลกั เกณฑท์ ี่ออกโดยคณะกรรมการกอ่ น

Q: DPO มาจากหนว่ ยงาน IT security ถือเปน็ conflict ไหม
A1: ไมเ่ ป็น เพราะ DPO กบั IT Security มีหลกั การสอดคลอ้ งกนั

Q: ภาครฐั สามารถกำหนดแนวปฏบิ ตั ติ ามกฎหมายนเ้ี ปน็ มาตรฐานกลางได้หรอื ไม่ เพื่อให้สะดวกในการ
ปฏิบัตติ าม

A1: กฎหมายนโี้ ดยตวั มันเองคือมาตรฐานกลางอยแู่ ล้ว
A2: แนวปฏบิ ัติที่ละเอยี ดกวา่ นีอ้ าจะเกิดขึ้นจากความรว่ มมือของหนว่ ยงานต่างๆ ได้

Q: การโอนข้อมูลไป data controller อ่นื มาตรา 31(1) ควรทำอยา่ งไร
A1: Data portability
A2: เตรียมขอ้ มลู ไว้ให้พรอ้ มสำหรับการโอนหรอื ส่งมอบให้กบั ผู้ควบคุมขอ้ มลู รายอืน่ (เช่น ให้อยใู่ นที่
เดยี วกนั ทสี่ ามารถดงึ มาได้งา่ ย) สว่ นการส่งมอบนั้นกระทำในรูปแบบอิเลก็ ทรอนกิ สก์ ็เพยี งพอ

Q: ใหเ้ จา้ ของข้อมลู มาใชส้ ิทธิเข้าถึงข้อมูลที่สำนกั งานใหญ่แล้วส่งกลบั เป็น email ได้หรือไม่ ด้วยเหตผุ ล
คอื ปอ้ งกันการแอบอ้าง

A1: ได้

Q: ในระหวา่ งทยี่ งั ไม่ไดบ้ ังคบั ใชก้ ฎหมายในหมวดอ่นื กรณที ่ีมคี วามผดิ เกดิ ขน้ึ ตามหมวดท่ยี ังไมบ่ ังคับใช้
จะดำเนินการอย่างไรได้บ้าง

A1: ฝัง่ เจา้ ของข้อมูล : กฎหมายยงั ไมบ่ งั คับใช้ ทำอะไรไม่ได้ แต่อาจแจง้ คณะกรรมการเพือ่ ให้เฝา้ ระวงั
ได้

A2: ฝ่งั ผคู้ วบคุมขอ้ มูล : ควรแกไ้ ขใหถ้ กู ตอ้ งเพื่อเตรียมพร้อมสำหรับวันทก่ี ฎหมายบังคับใช้

Q: การที่ เจ้าของขอ้ มูล ใช้สิทธขิ อลบขอ้ มูลส่วนบคุ คลของตวั เอง การลบในระบบเพยี งพอหรือไม่ จำเป็น
จะตอ้ งลบในสว่ นท่ีbackup ไวท้ ัง้ หมดหรือไม่ อย่างไร

A1: ตอ้ งลบทง้ั หมด
Q: ถา้ เราไม่สามารถลบได้ทุกท่แี ล้ว จะมคี วามผิดหรอื ไม่

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 681

A1: มีแนวทางดำเนินการในกรณนี ีท้ ี่สามารถทำไดม้ ากมาย ทา่ นสามารถติดต่อขอคำปรึกษาจากบริษทั
ทป่ี รกึ ษาได้

A2: กรณจี งใจไม่ดำเนนิ การใหม้ ีความระมดั ระวงั ย่อมมีความผิด

Q: ในฐานะบุคคลธรรมดานน้ั จะเป็นผคู้ วบคมุ ขอ้ มลู ในสถานการณใ์ ดไดบ้ ้าง
A1: เช่น เปน็ เจา้ ของธรุ กจิ ท่ีเกบ็ ขอ้ มูลลูกคา้ ในระบบ แต่ไมไ่ ดจ้ ดั ต้ังเป็นบรษิ ัทหรือหา้ งหุน้ สว่ นท่ีมี
สถานะเปน็ นิตบิ ุคคล

Q: กิจการขนาดเลก็ ทีร่ ะบใุ น พ.ร.บ. มีลักษณะอยา่ งไร
A1: ต้องรอคณะกรรมการประกาศกำหนด

Q: คอนเซปต์ของ joint controller มใี นกฎหมายไทยไหม
A1: กฎหมายไม่ไดร้ ะบไุ ว้โดยตรง แตโ่ อกาสทสี่ องหน่วยงานจะสามารถเปน็ controller ใน
transaction ครงั้ เดียวกันนัน้ เปน็ ไปได้ และการตกลงเพ่ือแบง่ ความรบั ผิดชอบระหวา่ งกันได้ แต่
ตอ้ งไม่ขัดกับหลกั การอื่นๆ ของพรบ.คุ้มครองขอ้ มลู ส่วนบคุ คล

Q: ตอบคำถามบนเวทีแบบน้ี เรามัน่ ใจไดอ้ ย่างไรวา่ จะถูก ถา้ ทำตามแล้วผดิ จะทำอย่างไร ไม่เหน็ กระทรวง
ตอบเลย

A1: TDPG2.0 จดั ทำขึ้นโดยเนื้อหาทั้งหมดอ้างอิงมาจากแหลง่ อา้ งอิงและมาตรฐานสากลในเร่ืองนี้
โดยเฉพาะอย่างย่งิ จาก GDPR Guidelines, ISO และ NIST ดงั ที่ทา่ นไดเ้ ห็นจากเน้อื หาแล้ว

A2: การสอบถามความเหน็ จากผูเ้ ชย่ี วชาญและเลือกตัดสนิ ใจว่าจะเช่ือถอื หรอื ไม่นัน้ เป็นความ
รบั ผิดชอบส่วนบคุ คลของผ้ดู ำเนนิ ธุรกจิ ท่านจงึ ไมค่ วรเช่อื ตามคำทผี่ ้อู ื่นบอก แตค่ วรศกึ ษาและทำ
ความเข้าใจตามมาตรฐานจะดที ีส่ ุด

A3: วัตถุประสงคข์ องกฎหมายและโดยสภาพของเรอ่ื ง ไมใ่ ช่การช้ถี กู และผิดแบบไม่มีขอ้ โตแ้ ยง้ ใดๆ แต่
เปน็ การกำหนดใหท้ ำตามหน้าท่ีในความระมัดระวังเป็นสำคญั กรณีคอื ทา่ นต้องใชค้ วามระมัดระวัง
ไม่ใช่การไม่ดำเนนิ การใดๆ เพราะไมม่ คี วามแน่ใจ

[TDPG2.0E] DPIA

Q: ขอ้ มูลจากระบบ image recognition สำหรบั การนบั คนเขา้ ออก ควรมีการจดั การอย่างไร สามารถทำ
data Anonymize ไดห้ รือไม่

A1: การใช้เทคโนโลยีแบบนีค้ วรทำ DPIA ก่อน
682 Thailand Data Protection Guidelines 3.0

A2: ใช้มาตรการรักษาความปลอดภัย ควรทำ data anonymization ตอนเก็บรกั ษาขอ้ มูล

Q: ผเู้ ก็บขอ้ มลู สว่ นบคุ คลจำเป็นต้องมี privacy impact assessment เพอ่ื ปฏิบตั ติ าม PDPR หรอื ไม่
A1: ควร
A2: ทำแคไ่ หนดู TDPG 2.0 หนา้ 195

[TDPG2.0F] Cross-border Data Transfer

Q: ข้อยกเวน้ การสง่ ข้อมลู ไปตา่ งประเทศ ในกรณีท่ีจำเป็นต้องปฏบิ ตั ติ ามสัญญาน้ัน ครอบคลุมถึงการท่ี
บริษัทต้องสง่ ข้อมูลไปจดั เก็บท่ีบรษิ ทั แม่ในต่างประเทศหรอื ไม่ อย่างไร

A1: เมือ่ เป็นนติ บิ ุคคลแยกกัน ถอื เปน็ การโอน อาจพจิ ารณาใช้ binding corporate rules ดูมาตรา 28
Q: เพม่ิ เติมประเด็นว่า ครอบคลมุ การประมวลผลขอ้ มลู สว่ นบคุ คลในต่างประเทศ ดว้ ยหรือไม่? เช่น การ
ตรวจรายชอ่ื คนในฐานข้อมลู ที่จดั เกบ็ ในตา่ งประเทศ

A1: บรษิ ทั ในไทยไม่วา่ การประมวลผลข้อมลู จะทำต่างประเทศหรอื ไม่ กอ็ ยู่ภายใตบ้ งั คบั ของกฎหมายนี้
Q: ถามเพม่ิ เติมวา่ ถ้าระบใุ นสญั ญา (โดยอาจไมจ่ ำเป็น) ว่าจะสง่ ต่อข้อมูลใหต้ า่ งประเทศ โดยระบุ
วตั ถปุ ระสงคก์ วา้ ง ๆ แค่ว่าเพื่อปฏิบัตติ ามสญั ญา สามารถทำได้หรือไม่

A1: ดูเรือ่ งส่งข้อมลู ไปตา่ งประเทศ

Q: การส่งข้อมูลข้นึ ระบบ cloud ไปยงั บรษิ ัท outsource ท่อี ยตู่ ่างประเทศเปน็ cross-border transfer
ใชห่ รือไม่ หากเราไมร่ ู้วา่ บน cloud น้นั เกบ็ ขอ้ มูลทปี่ ระเทศใดจะแจง้ data subject อยา่ งไร

A1: ถ้าไม่ประสงคจ์ ะใหม้ ี access จากตรงน้นั กไ็ ม่ใช่ transfer เป็นเพยี ง transmit
A2: แจ้งว่าอยูท่ ่ี cloud ถา้ เป็นไปได้กค็ วรแจง้ ว่าใครเปน็ processor ในกรณีนี้ เพราะในกฎหมาย

มาตรา 23 หรอื 25 ก็ดี ตอ้ งบอกคนที่ข้อมูลอาจเปิดเผยไปถงึ รวมถงึ processor ดว้ ย พจิ ารณา
รายละเอยี ดตามมาตรา 23 และ 25

Q: ขอ้ มูลลกู คา้ ท้ังหมดจะต้องเก็บอย่ทู บ่ี ริษัทแมใ่ นตา่ งประเทศ บรษิ ัทจะสามารถกำหนดเป็นเงอื่ นไขใน
สัญญาใหบ้ ริการที่ทำกับลูกค้าเพือ่ ให้เป็นฐานการปฏบิ ตั หิ น้าทส่ี ัญญาโดยไม่ขอความยินยอมจากลูกคา้ ได้
หรือไม่

A1: การเก็บขอ้ มลู ทบ่ี รษิ ทั แมใ่ นตา่ งประเทศ หากเปน็ ความจำเปน็ ก็สามารถใชฐ้ าน Contract ได้โดย
แจ้งข้อมลู ใหล้ กู ค้าทราบ

ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 683

A2: กรณีน้ีอาจต้องพิจารณาประเด็นสง่ หรือโอนขอ้ มูลไปยังตา่ งประเทศด้วย

Q: ถ้าส่งข้อมลู ไปท่ีประเทศในยโุ รป สามารถสรปุ ได้ไหมวา่ เป็นประเทศปลายทางท่ีมมี าตรการความ
ปลอดภัยเพยี งพอ

A1: ยงั ไมไ่ ด้ เพราะคณะกรรมการใน EU ยงั ไม่มี adequacy decision เลย

Q: ขอ้ ยกเวน้ การส่งขอ้ มลู ไปตา่ งประเทศเร่ืองการปฏบิ ตั ติ ามกฎหมาย รวมถึงการปฏบิ ัติตามกฎหมายของ
ต่างประเทศด้วยหรือไม่

A1: ความหมายไมจ่ ำกดั เฉพาะกฎหมายประเทศใด
A2: ประเดน็ จะเป็นเร่ืองขอบเขตเชงิ เน้อื หาของความจำเป็นในการดำเนินการมากกว่า ดู TDPG2.0

หน้า 233

[TDPG2.0G] Anonymization

Q: ขอ้ มูล pseudonymize และข้อมลู anonymize ถือเปน็ ขอ้ มลู สว่ นบคุ คลหรอื ไม่
A1: Pseudonymized data ยงั เปน็ ข้อมลู ส่วนบุคคลอยู่ แต่ anonymous data ไมเ่ ปน็ แลว้ แต่การ
ทำ anonymization อาจไมท่ ำใหข้ ้อมลู เปน็ anonymous data ได้ จึงอาจยังถือเป็นขอ้ มลู สว่ น
บุคคลอยู่

Q: สิทธิของเจ้าของขอ้ มลู ในการขอใหท้ ำใหก้ ลายเป็นขอ้ มูลท่ีไม่ระบุตัวตนหมายถึง pseudonymization
หรอื anonymization

A1: anonymous data

Q: Anonymization / Encryption / Tokenization ตา่ งกันอยา่ งไร แลว้ แต่ละ่ แบบจะใชก้ รณีไหน
A1: ดแู นวปฏบิ ัตเิ กยี่ วกับการจัดทำขอ้ มูลนริ นาม TDPG2.0

Q: ข้อมูลที่ผา่ นกระบวนการ anonymization แลว้ ยงั ถอื เป็นขอ้ มูลสว่ นบุคคลอย่หู รอื ไม่
A1: การทำ anonymization อาจไม่ทำใหข้ อ้ มลู เป็น anonymous data ได้ เสมอไป จงึ อาจยงั ถือเป็น
ข้อมูลสว่ นบุคคลอยู่ ตอ้ งดูว่ายงั ระบุตัวตนได้แคไ่ หน

684 Thailand Data Protection Guidelines 3.0