1 ( ( ( ) 2 ( 1 ( ( ( . .
3 1. . 2562 2. 3. 4. 4 1 2566 2566 2566 2566 23 2566 ( ( -
( 1 2 4 9.00-12.00 . - . . 13.00- . 2566 9.00-12.00 . ( ( . 13.00- . 12 . 2562 3 2566 9.00-12.00 . ( . . 13.00- . 4 ( 2 2 4 16 2566 9.00-12.00 . ( . ( ) 13.00- . 5 23 2566 9.00-12.00 . ( Workshop 6 13.00- . (1 – (
(1 (2 70 (3 4 ( - ( (
1 กฎหมายว ่ าด ้ วยการค ุ ้ มครอง ข ้ อม ู ลส ่ วนบ ุคคลและกฎหมาย อ ืˑ นท ีˑ เก ีˑ ยวข ้ อง ผศ.ดร.ประพันธ์พงษ์ข ํ าอ่อน รองคณบดีฝ˳ายวิชาการ คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย 1. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตวิาดวยการกระทําความผิด ทางคอมพิวเตอรพ.ศ. 2550 และที่แกไขเพิ่มเติม 2. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตการริ ักษาความมั่นคง ปลอดภัยไซเบอรพ.ศ. 2562 3. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตขิอมูลขาวสารของราชการ พ.ศ. 2540 4. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตการบริ ิหารงานและการ ใหบริการภาครัฐผานระบบดิจิทัล พ.ศ. 2562 5. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตวิาดวยธุรกรรมทาง อิเล็กทรอนิกสพ.ศ. 2544 และที่แกไขเพิ่มเติม 6. หลักการและมาตราที่สาคํ ัญของพระราชบัญญัตบิัตรประจําตัวประชาชน พ.ศ. 2526 และที่แกไขเพิ่มเติม 7. สรุปความสําคัญและความเกี่ยวของของกฎหมายฉบับตาง ๆ กับการ คุมครองขอมูลสวนบุคคล 2 Learning Content (LC) 1: กฎหมายตาง ๆ ที่มีความ เกี่ยวของกับการคุมครองขอมูลสวนบุคคล Learning Content (LC) 2: หลักการและสาระสําคัญของ พระราชบัญญัติคุมครองขอมูลสวนบุคคล 1. ที่มา ความสําคัญ ภาพรวมของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 และความเชื่อมโยงกับธรรมาภิบาลขอมูลภาครัฐ 2. คํานิยามของการคุมครองขอมูลสวนบุคคล 3. หลักการสําคัญของพระราชบัญญตัิคุมครองขอมูลสวนบุคคล พ.ศ. 2562 4. หนาที่และความรับผิดชอบของผูควบคุมขอมูลสวนบุคคล (Data Controller) และผู ประมวลผลขอมูลสวนบุคคล (Data Processor) 5. มาตราสําคัญของพระราชบัญญัติคุมครองขอมูลสวนบคคลุพ.ศ. 2562 6. สิทธิของเจาของขอมูลและการจัดการคํารองขอของเจาของขอมูล (Data Subject Right and Subject Access Request) 7. หลักเกณฑการพิจารณาอนุมัติหรือปฏเสธคิ ํารองขอ 8. การตรวจสอบการดําเนินการเกี่ยวกับขอมูลสวนบุคคล 9. การสงโอนขอมูลตามขอกําหนดของกฎหมายหรือหนวยงานกากํ ับดูแลที่เกี่ยวของ 10. สาระสําคัญของกฎหมายลําดบรองภายใต ั พ.ร.บ.ฯ ที่มีการบังคับใชแลว
34
56
7 ที่มาของรูป: www.brandbuffet.in.th 8 + ในปค.ศ. 2018 Facebook สงขอมูลสวนบุคคลของ User มากกวา 50 ลาน คนใหบริษัท Cambridge Analytica ซึ่งเปนบริษัทวิเคราะหความคิดเห็นของ ประชาชนดานการเมือง โดยที่ไมไดขอความยินยอมจาก User กอน ปค.ศ. 2019 ประเทศตางๆ มีคําตัดสินดังนี้ + Federal Trade Commission ปรับ Facebook $5,000 ลาน + องคกรคุมครองขอมูลสวนบุคคลของอิตาลีปรับ Facebook € 1 ลาน + องคกรคุมครองขอมูลสวนบุคคลของอังกฤษปรับ Facebook £ 500,000
9 10
11 12
13 14
15 Maximillian Schrems v Data Protection Commissioner Schrems I (2015) Screms II (2020) + Schrems ในฐานะผูใชบัญชี facebook เชื่อวาขอมูลที่เขาโพสตลง ใน facebook ถูกสอดแนมโดยสํานักงานความมั่นคงของสหรัฐฯ + ศาลยุโรปตัดสินวาการสอดแนมของรัฐบาล US ในขอมูลสวนบุคคล ใน Facebook ที่โอนจาก EU ไปถึง US ละเมิดสิทธิในความเปนสวนตัว และทําใหความตกลงโอนขอมูลสวนบุคคลระหวาง US และ EU เปน โมฆะ (Safe Harbour จากผลของคําตัดสิน Schrems I และ US-EU Privacy Shield จากผลคําตัดสินของ Schrems II) 16 Google v. AEPD and Gonzáles 2014 ECJ Ruling C-131/12 (Right to be forgotten) + Gonzáles ขอศาลใหบริษัท Google ลบขอมูลที่บงบอกวา Gonzáles เปน บุคคลลมละลายซึ่งในปจจุบันไมเปนความจริงอีกตอไป + ศาลยุโรปตัดสินวา บริษัท Google ในฐานะผูควบคุมขอมูลมีหนาที่ตองลบขอมูล สวนบุคคลที่ไมถูกตอง หรือไมครบถวนตามจริง (inaccurate, inadequate, irreverent or excessive) ถาหากขอมูลสวนบุคคลเชนวานั้นสามารถนําไป ประมวลผลไดเมื่อบริษัท Google เพิกเฉยตอหนาที่นี้ถือวาละเมิดกฎหมาย สหภาพยุโรปวาดวยการคุมครองขอมูลสวนบุคคล
17 พรบ.คุมครองขอมูลสวนบุคคล (PDPA): หลักการ พรบ.อื่น ๆ ที่มีการกําหนดการคุมครองขอมูลสวนบุคคล • พรบ. วาดวยการกระทําความผิดทางคอมพิวเตอรพ.ศ. 2550 และที่แกไขเพิ่มเติม • พรบ. การรักษาความมั่นคงปลอดภัยไซเบอรพ.ศ. 2562 • พรบ. ขอมูลขาวสารของราชการ พ.ศ. 2540 • พรบ. การบริหารงานและการใหบริการภาครัฐผานระบบดิจิทัล พ.ศ. 2562 • พรบ. วาดวยธุรกรรมทางอิเล็กทรอนิกสพ.ศ. 2544 และที่แกไขเพิ่มเติม • พรบ. บัตรประจาตํ ัวประชาชน พ.ศ. 2526 และที่แกไขเพิ่มเติม PDPA เปนกฎหมายกลางดานการคุมครองขอมูลสวนบุคคล PDPA ม. 3: กําหนดใหบังคับใช PDPA เปนการเพิ่มเติมในการคุมครองขอมูลสวนบุคคล ถึงแมจะซํ้ากับกฎหมายอื่น ตัวอยาง: พรบ.ขอมูลขาวสารฯ กําหนดใหหนวยงานของรัฐจัดระบบการเก็บรวบรวมและใชขอมูลสวนบุคคลไดเทาที่จําเปน และตองมีมาตรการดานความมั่นคงปลอดภัย แตไมไดอธิบายวามาตรการเหลานั้นตองทําอยางไร ซึ่งกฎหมาย PDPA จะมี รายละเอียดในมาตรการเหลานั้น ทําใหหนวยงานของรัฐตองดําเนินการตาม PDPA เปนการเพิ่มเติม 18 ปองกันการใชคอมพิวเตอรในทางที่ผิด ปองกันการลวงรูขอมูลหรือทําลายขอมูลโดยมิชอบ แกปญหาการการใชคอมพิวเตอรหรือการดําเนินการทาง คอมพิวเตอรที่กอใหเกิดความเดือดรอนและเปนอันตรายตอ บุคคลอื่น ปองกันการใชวิธีการใด ๆ เขาลวงรูขอมูล แกไข หรือทําลาย ขอมูลของบุคคลอื่นในระบบคอมพิวเตอรโดยมิชอบ ปองกันการใชระบบคอมพิวเตอรเผยแพรขอมูลอันเปน เท็จ ปองกันใชระบบคอมพิวเตอรเพื่อเผยแพร ขอมูลคอมพิวเตอรอันเปนเท็จ หลักการ
19 ปองกันการใชคอมพิวเตอรในทางที่ผิด มิติดานการคุมครองขอมูล (Data Protection) กําหนดหามกระทําการละเมิดดานความมั่นคงปลอดภัย (Security) ของระบบ • มาตรา 5: หามการเขาถึงโดยมชอบิเชน การ Hack ระบบ (โทษ: จําคุกไมเกิน 6 เดือน หรือปรับไมเกิน 10,000 บาท หรือทั้งจําทั้งปรับ) • มาตรา 6: หามการเปดเผยมาตรการความปลอดภัยโดยมิชอบ เชน เปดเผย password ของผูอื่น ทําใหผูอื่นเสียหาย (โทษ: จําคุกไมเกิน 2 ปหรือปรับไมเกิน 40,000 บาท หรือทั้งจําทั้งปรับ) หามการกระทําที่เปนการเปลี่ยนแปลงขอมูลของผูอื่น • มาตรา 9: หามทําใหเสียหาย ทําลาย แกไข เปลี่ยนแปลง หรือเพิ่มเติม ซึ่งขอมูลคอมพิวเตอรของผูอื่นโดยมิชอบ (โทษ: จําคุกไมเกิน 5 ปหรือปรับไมเกิน 100,000 บาท หรือทั้งจําทั้งปรับ) • มาตรา 11: หามหลอกลวงใหผูอื่นหลงเชื่อในขอมูลที่สงผานในระบบคอมพิวเตอรเชน หลอกผูรับขอมูลวาเปนขอมูลที่มาจากบริษัทที่นาเชื่อถือทําใหผูรับ ขอมูลหลงเชื่อจนเกิดความเสียหาย (โทษ: ปรับไมเกิน 100,000 บาท) • มาตรา 11 วรรค 2 (แกไขป 2560): กําหนดโทษสําหรับการสงขอมูล หรือ Email ที่สรางความรําคาญ และไมเปดโอกาสใหผูรับปฏิเสธ เชน การไมเปด โอกาสให Unsubscribe (โทษ: ปรับไมเกิน 200,000 บาท) หลักการ และ มาตราทีˑ สําคัญ 20 ปองกันการใชระบบคอมพิวเตอรเผยแพรขอมูลอันเปนเท็จ • มาตรา 14: กําหนดโทษสําหรับการนําเขาขอมูลที่เปนเท็จในระบบคอมพิวเตอรที่ นาจะเกิดความเสียหายตอประชาชน/ เปนภัยตอความมั่นคง/ มีลักษณะลามาก อนาจาร เชน การเผยแพรขอมูล Fake news ตอสาธารณะ (โทษ: จําคุกไมเกิน 5 ปหรือปรับไมเกิน 100,000 บาท หรือทั้งจําทั้งปรับ) หลักการ และ มาตราทีˑ สําคัญ
2. หลักการและมาตราที่สําคญของพระราชบั ัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอรพ.ศ. 2562 21 คุมครองความปลอดภัยทางไซเบอร (Cybersecurity) หนวยงาน CII คุมครองความปลอดภัยของเครือขายไซเบอร (Cybersecurity) จากภัยคุกคามทางไซ เบอรเชน ภัยคุกคาม Malaware ไวรัส รวมถึงอาชญากรรมทางคอมพิวเตอรที่จะทําให ระบบของหนวยงานโครงสรางพื้นฐานที่สาคํ ัญ (Critical Information Infrastructure: CII) ไมสามารถทํางานไดปกติหรือกระทบตอการใหบริการประชาชน ประกอบดวย 7 ดาน ไดแกดานความมั่นคงภาครัฐ ดานบริการภาครัฐที่สําคัญ ดาน การเงินการธนาคาร ดานเทคโนโลยีสารสนเทศและโทรคมนาคม ดานการขนสงและโลจิ สติกสดานพลังงานและสาธารณูปโภค และดานสาธารณสุข หลักการ 2. หลักการและมาตราที่สําคญของพระราชบั ัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอรพ.ศ. 2562 22 คุมครองความปลอดภัยทางไซเบอร (Cybersecurity) มิติดานการคุมครองขอมูล (Data Protection) • มาตรา 43: กําหนดใหมี“นโยบายและแผนปฏิบัติการวาดวยการรักษาความมั่นคง ปลอดภัยไซเบอร 2565-2570” เพื่อกําหนดมาตรการจัดการดาน Cybersecurity ของประเทศ และกําหนดกไกการประสานงานระหวางรัฐและเอกชน และสรางความ ตระหนักดาน Cybersecurity • มาตรา 63-64: กําหนดกระบวนการการเผาระวัง การปกปอง กาารับมือ และการลด ความเสี่ยงจากภัยไซเบอรใน 3 ระดับ ภัยระดับไมรายแรง ภัยระดับรายแรง และภัย ระดับวิกฤติ (โทษ: สําหรับหนวยงานที่ไมแกไขภัยคุกคามโดยไมมีเหตุอันควร จะมี การปรับไมเกิน 300,000 บาท หรือจําคุก 1-3 ป) • มาตรา 73: กําหนดใหหนวยงาน CII ตองรายงานเหตุละเมิดดาน Cybersecurity ถา ไมรายงานโดยไมมีเหตุอันควรจะมีโทษ (ปรับไมเกิน 200,000 บาท) • มาตรา 70-71: พนักงานเจาหนาที่ที่ลวงรูขอมูลจากการปฏิบัติ หนาที่แลวไปเปดเผยตอ (จําคุกไมเกิน 3 ปหรือปรบไม ั เกิน 60,000 บาท หรือทั้งจําทั้งปรับ) • มาตรา 72: ผูใดลวงรูขอมูลที่พนักงานเจาหนาที่ไดมาจากการ ปฏิบัติงาน และไปเปดเผยตอ (จําคุกไมเกิน 2 ปหรือปรับไม เกิน 40,000 บาท หรือทั้งจําทั้งปรับ) มิ • หลักการ และ มาตราทีˑ สําคัญ
3. หลักการและมาตราที่สําคญของพระราชบั ัญญัติขอมูลขาวสารของราชการ พ.ศ. 2540 23 ความโปรงใสของการใหขอมูลจากหนวยงานของรัฐ การคุมครองขอมูลความลับของราชการ ใหหนวยงานของรัฐทําขอมูลขาวสารของราชการใหประชาชนไดรับรูเพื่อใหเกิดความ โปรงใส กําหนดมาตรการคุมครองขอมูลความลับของราชการ และคุมครองขอมูลขาวสารสวน บุคคล หลักการ 3. หลักการและมาตราที่สําคญของพระราชบั ัญญัติขอมูลขาวสารของราชการ พ.ศ. 2540 24 ความโปรงใสของการใหขอมูลจากหนวยงานของรัฐ มิติดานการคุมครองขอมูลสวนบคคลุ (Personal Data Protection) • มาตรา 7-9: หนวยงานของรัฐตองจัดใหประชาชนเขาถึงขอมูลขาวสารของราชการที่ สําคัญไดเชน ผลคําวินิจฉัย แผนงาน โครงการ งบประมาณ วิธีปฏิบัติงานที่มี ผลกระทบตอสิทธิหนาที่ของเอกชน ฯลฯ • มาตรา 23: หนวยงานของรัฐตองจัดระบบขอมูลขาวสารสวนบุคคลใหมีการเก็บรวบรวมและใชเทาที่จําเปน ตามวัตถุประสงคตรวจสอบแกไขใหขอมูลถูกตอง เสมอ และจัดระบบการรักษาความปลอดภัย • มาตรา 24: การเปดเผยขอมูลขาวสารสวนบุคคลไปใหหนวยงานของรัฐอื่นจะตองขอความยินยอมจากเจาของขอมูลเสียกอน เวนแตเปนการใชเพื่อใหบรรลุ วัตถุประสงคของการจัดใหมีขอมูลนั้น หรือเปนการปองกันการฝาฝนกฎหมาย • มาตรา 40: การไมปฏิบัตตามคิ ําสั่งของคณะกรรมการขอมูลขาวสารของราชการ ที่เรียกใหเจาหนาที่มาใหขอมูล หรือหลักฐานการประกอบการพิจารณา จําคุกไมเกิน 3 เดือน หรือปรับไมเกิน 5,000 บาท หรือทั้งจําและปรับ มิ • หลักการ และ มาตราทีˑ สําคัญ
4. หลักการและมาตราที่สําคญของพระราชบั ัญญัติการบริหารงานและการ ใหบริการภาครัฐผานระบบดิจิทัล พ.ศ. 2562 25 การเชื่อมโยงขอมูลของหนวยงานของรัฐ Open Government Data กําหนดหลักเกณฑและวิธีการเชื่อมโยงขอมูลภาครัฐเพื่อเพิ่ม ประสิทธิภาพในการใหบริการภาครัฐและเพื่ออํานวยความสะดวก ใหประชาชน กําหนดใหหนวยงานของรัฐจัดทําขอมูลและบริการในรูปแบบดิจิทัล และมีการเปดเผยขอมูลในรูปแบบ Open Government Data หลักการ ศูนยแลกเปลี่ยนขอมูลกลาง กําหนดใหมีศูนยแลกเปลี่ยนขอมูลกลางเพื่อแลกเปลยนขี่อมูล ดิจิทัลและทะเบียนดิจิทัลระหวางหนวยงานของรัฐเพื่อเพิ่ม ประสิทธิภาพในการใหบริการตั้งแตตนนํ้าจนถึงปลายนํ้า 4. หลักการและมาตราที่สําคญของพระราชบั ัญญัติการบริหารงานและการ ใหบริการภาครัฐผานระบบดิจิทัล พ.ศ. 2562 26 มิติของการกําหนดใหมีแผนพัฒนารัฐบาลดิจิทัล มิติของการใหบริการในรูปแบบดิจิทัลที่ตองมระบบความมีนคงั่ ปลอดภัย (Security) มาตรา 5: กําหนดใหมีแผนพัฒนารัฐบาลดิจิทัลเพื่อกําหนดกรอบ และทิศทางการบริหารงานภาครัฐ และจัดทําบริการในรูปแบบ ดิจิทัล มาตรา 4: การบริหารงานภาครัฐและการใหบริการของหนวยงาน ภาครัฐทางดิจิทัลจะตองมีการพัฒนามาตรฐาน สรางระบบความ มั่นคงปลอดภัยในการคุมครองขอมูลสวนบุคคล มาตรา 12: ใหหนวยงานของรัฐดําเนินการใหมีระบบการรักษา ความมั่นคงปลอดภัย (Security) ในการเขาสูบริการดิจิทัลที่เปนไป ตามธรรมาภิบาลขอมูลภาครัฐ (Data Governance) หลักการ และ มาตราทีˑ สําคัญ มิติของการคุมครองขอมูลสวนบุคคล (Personal Data Protection) มาตรา 16: การเชื่อมโยงขอมูลสวนบุคคลเพื่อประโยชนในการ บริการแผนดินระหวางหนวยงานของรัฐ สามารถขอขอมูลสวน บุคคลระหวางกัน หรือเชื่อมโยงขอมูลกันได
5. หลักการและมาตราที่สําคญของพระราชบั ัญญัติวาดวยธุรกรรมทาง อิเล ็ กทรอนิกสพ.ศ. 2544 และที่แกไขเพิ่มเติม 27 รับรองผลทางกฎหมายของขอมูลอิเล็กทรอนิกส กําหนดมาตรฐานเรื่องลายเซ็นตและรหัสทางดจิิทัล • รับรองผลบังคับทางกฎหมายของขอมูลอิเล็กทรอนิกส • หามปฏิเสธการรับฟงขอมูลอิเล็กทรอนิกสเปนพยานหลักฐาน ในชั้นศาล • กําหนดมาตรฐานและรับรองลายเซ็นอิเล็กทรอนิกส • กําหนดมาตรฐานและรับรองความถูกตองของรหัสดิจิทัลที่ทํา ดวยวิธีการทางอิเล็กทรอนิกส หลักการ พัฒนาธุรกิจ e-service ปรับปรุงขอกําหนดการลงทะเบียนสําหรับธุรกิจ e-service 5. หลักการและมาตราที่สําคญของพระราชบั ัญญัติวาดวยธุรกรรมทาง อิเล ็ กทรอนิกสพ.ศ. 2544 และที่แกไขเพิ่มเติม 28 มิติการมีผลบังคับใชของขอมูลอิเล็กทรอนิกส มิติของการมีผลบังคับใชของลายเซ็นตอิเล็กทรอนิกส • มาตรา 7 และมาตรา 11: หามปฎิเสธการรับฟงพยานหลักฐานที่ เปนขอมูลอิเล็กทรอนิกส • มาตรา 35: การอนุญาต คําสั่งทางปกครอง หรือการดําเนินการใด ๆ ของหนวยงานของรัฐในรูปแบบอเลิ ็กทรอนสกิ สามารถใช ไดถา ดําเนินการตามมาตรฐานที่กําหนดไว • มาตรา 9 และมาตรา 26: ลายมือชื่อทางอิเล็กทรอนิกสมีผลบังคับ ใชไดถาสามารถระบุตัวตนของคนนั้น และทําโดยวิธีการที่สามารถ ยืนยันตัวตนของเจาของลายมือชื่อได หลักการ และ มาตราทีˑ สําคัญ มิติของการคุมครองขอมูลสวนบุคคลเรื่องการทําขอมูลให ถูกตอง (Data Accuracy) และสิทธิในการเขาถึงขอมูล (Data Access) • มาตรา 28: ผูใหบริการออกใบรับรองลายมือชื่อ อิเล็กทรอนิกสจะตองดําเนินการใหขอมูลที่เกี่ยวกับการ ยืนยันตัวตนทางดิจิทัลเปนขอมูลที่ถูกตองและสมบูรณ และจัดใหมีวิธีการเขาถึงใหคูกรณีที่เกี่ยวของตรวจสอบ ขอเท็จจริงได
6. หลักการและมาตราที่สําคญของพระราชบั ัญญัติบัตรประจําตัว ประชาชน พ.ศ. 2526 และที่แกไขเพิ่มเติม 29 หลักการของกฎหมาย มิติของการคุมครองขอมูลสวนบุคคล (Personal Data Protection) กําหนดวิธีการ และรายละเอียดในการจัดทําบัตรประชาชน • มาตรา 7: ขอมูลที่อยูในบัตรจะตองประกอบไปดวย ชื่อ นามสกุล วันเดือนปเกิด ที่อยู ตามทะเบียนบาน รูปถาย และเลขประจําตัวประชาชน สวนขอมูลศาสนาจะมีหรือไม ก็ได • มาตรา 7/1: ขอมูลในหนวยความจํา (นอกเหนือจากที่ปรากฎบนบัตร) เชน ขอมูล ทะเบียนสมรถ ทะเบียนหยา หรือประวัติการเปลี่ยนชื่อ สกุล ฯลฯ จะไมสามารถ เปดเผยตอบุคคลภายนอกไดเวนแตเปดเผยตอหนวยงานของรัฐที่จําเปนตองทราบ ขอมูลนั้นโดยไดรับความยินยอมจากผูถือบัตร หรือเพื่อประโยชนของรัฐ หรือเพื่อ ความสงบเรียบรอยของบานเมือง หลักการ และ มาตราทีˑ สําคัญ 7. สรุปความสําคญและความเกั ี่ยวของของกฎหมายฉบับตาง ๆ กับการ คุมครองขอมูลสวนบุคคล 30 1. พระราชบัญญัติวาดวยการกระทาความผํ ิดทางคอมพิวเตอรพ.ศ. 2550 และที่แกไขเพิ่มเติม มิติดานการคุมครองขอมูล (Data Protection) • หามการกระทําที่เปนการเปลี่ยนแปลงขอมูลของผูอื่น เชน การทําลาย แกไข เปลี่ยนแปลง หรือเพิ่มเติม ซึ่งขอมูลคอมพิวเตอรของผูอื่นโดยมิชอบ • หามการลอกลวงใหผูอื่นหลงเชื่อในขอมูลที่สงผานในระบบคอมพิวเตอร มิติดานความมั่นคงปลอดภัย (Security) • ปองกันการเขาถึงหรือการเปดเผยโดยมิชอบซึ่งระบบคอมพิวเตอร • มิ • สรุป หลักการ 2. พระราชบัญญัติการรักษาความมั่นคงปลอดภยไซเบอร ั พ.ศ. 2562 มิติดานการคุมครองขอมูล (Data Protection) • กําหนดหามพนักงานเจาหนาที่ที่ลวงรูขอมูลจากการปฏิบัติหนาที่แลวไปเปดเผยตอกับผูอื่น สรุป หลักการ 3. พระราชบัญญัติขอมูลขาวสารของราชการ พ.ศ. 2540 3 มิติดานการคุมครองขอมูลสวนบุคคล (Personal Data Protection) • หนวยงานของรัฐตองจัดระบบขอมูลขาวสารสวนบุคคลใหมีการเก็บรวบรวมและใชเทาที่จําเปน ตามวัตถุประสงคตรวจสอบแกไขใหขอมูลถูกตองเสมอ และจัดระบบการ รักษาความปลอดภัย • การเปดเผยขอมูลขาวสารสวนบุคคลไปใหหนวยงานของรัฐอื่นจะตองขอความยินยอมจากเจาของขอมูลเสียกอน เวนแตเปนการใชเพื่อใหบรรลุวัตถุประสงคของการจัดให มีขอมูลนั้น หรือเปนการปองกันการฝาฝนกฎหมาย • สรุป หลักการ
7. สรุปความสําคญและความเกั ี่ยวของของกฎหมายฉบับตาง ๆ กับการ คุมครองขอมูลสวนบุคคล 31 4. พระราชบัญญัติการบริหารงานและการใหบริการภาครัฐผานระบบดจิิทัล พ.ศ. 2562 มิติดานการคุมครองขอมูลสวนบุคคล (Personal Data Protection) • การเชื่อมโยงขอมูลสวนบุคคลเพื่อประโยชนในการบริการแผนดินระหวางหนวยงานของรัฐ สามารถขอขอมูลสวนบุคคลระหวางกัน หรือเชื่อมโยงขอมลกูันได มิติดานความมั่นคงปลอดภัย (Security) • การบริหารงานภาครัฐและการใหบริการของหนวยงานภาครัฐทางดิจิทัลจะตองมีการพัฒนามาตรฐาน สรางระบบความมั่นคงปลอดภัยในการคุมครองขอมูลสวนบุคคล • ใหหนวยงานของรัฐดําเนินการใหมีระบบการรักษาความมั่นคงปลอดภัย (Security) ในการเขาสูบริการดิจิทัลตามธรรมาภิบาลขอมูลภาครัฐ (Data Governance) ม • • สรุป หลักการ 5. พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนกสิ พ.ศ. 2544 และที่แกไขเพิ่มเติม มิติของการคุมครองขอมูลสวนบุคคลเรื่องการทําขอมูลใหถูกตอง (Data Accuracy) และสิทธิในการเขาถึงขอมูล (Data Access) • ผูใหบริการออกใบรับรองลายมือชื่ออิเล็กทรอนิกสจะตองดําเนินการใหขอมูลที่เกี่ยวกับการยืนยันตัวตนทางดิจิทัลเปนขอมูลที่ถูกตองและสมบูรณและจัดใหมีวิธีการ เขาถึงใหคูกรณีที่เกี่ยวของตรวจสอบขอเท็จจริงได สรุป หลักการ 6. พระราชบัญญัติบัตรประจําตวประชาชน ัพ.ศ. 2526 และที่แกไขเพิ่มเติม 3 มิติดานการคุมครองขอมูลสวนบุคคล (Personal Data Protection) • ขอมูลที่อยูในบัตรจะตองประกอบไปดวย ชื่อ นามสกุล วันเดือนปเกิด ที่อยูตามทะเบียนบาน รูปถาย และเลขประจําตัวประชาชน สวนขอมูลศาสนาจะมีหรือไมก็ได • ขอมูลในหนวยความจํา (นอกเหนือจากที่ปรากฎบนบัตร) เชน ขอมูลทะเบียนสมรถ ทะเบียนหยา หรือประวัติการเปลี่ยนชื่อ สกุล ฯลฯ จะไมสามารถเปดเผยตอ บุคคลภายนอกไดเวนแตเปดเผยตอหนวยงานของรัฐที่จําเปนตองทราบขอมูลนั้นโดยไดรับความยินยอมจากผูถือบัตร หรือเพื่อประโยชนของรฐ หรั ือเพื่อความสงบ เรียบรอยของบานเมือง • สรุป หลักการ 7. สรุปความสําคญและความเกั ี่ยวของของกฎหมายฉบับตาง ๆ กับการ คุมครองขอมูลสวนบุคคล 32 พรบ.คุมครองขอมูลสวนบุคคล (PDPA): หลักการ พรบ.อื่น ๆ ที่มีการกําหนดการคุมครองขอมูลสวนบุคคล • พรบ. วาดวยการกระทําความผิดทางคอมพิวเตอรพ.ศ. 2550 และที่แกไขเพิ่มเติม • พรบ. การรักษาความมั่นคงปลอดภัยไซเบอรพ.ศ. 2562 • พรบ. ขอมูลขาวสารของราชการ พ.ศ. 2540 • พรบ. การบริหารงานและการใหบริการภาครัฐผานระบบดิจิทัล พ.ศ. 2562 • พรบ. วาดวยธุรกรรมทางอิเล็กทรอนิกสพ.ศ. 2544 และที่แกไขเพิ่มเติม • พรบ. บัตรประจาตํ ัวประชาชน พ.ศ. 2526 และที่แกไขเพิ่มเติม PDPA เปนกฎหมายกลางดานการคุมครองขอมูลสวนบุคคล PDPA ม. 3: กําหนดใหบังคับใช PDPA เปนการเพิ่มเติมในการคุมครองขอมูลสวนบุคคล ถึงแมจะซํ้ากับกฎหมายอื่น ตัวอยาง: พรบ.ขอมูลขาวสารฯ กําหนดใหหนวยงานของรัฐจัดระบบการเก็บรวบรวมและใชขอมูลสวนบุคคลไดเทาที่จําเปน และตองมีมาตรการดานความมั่นคงปลอดภัย แตไมไดอธิบายวามาตรการเหลานั้นตองทําอยางไร ซึ่งกฎหมาย PDPA จะมี รายละเอียดในมาตรการเหลานั้น ทําใหหนวยงานของรัฐตองดําเนินการตาม PDPA เปนการเพิ่มเติม
33 หลักการและสาระสําคัญของพระราชบัญญัติค ุ มครองข อม ู ลสวนบ ุ คคล 34 Learning Content (LC) 2: หลักการและสาระสําคัญของพระราชบัญญัติคุมครองขอมูลสวนบุคคล 1. ที่มา ความสําคัญ ภาพรวมของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 และความเชื่อมโยงกับธรรมาภิบาลขอมูล ภาครัฐ 2. คํานิยามของการคุมครองขอมูลสวนบุคคล 3. หลักการสาคํ ัญของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 4. หนาที่และความรับผิดชอบของผูควบคุมขอมูลสวนบุคคล (Data Controller) และผูประมวลผลขอมูลสวนบุคคล (Data Processor) 5. มาตราสําคัญของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 6. สิทธิของเจาของขอมูลและการจัดการคํารองขอของเจาของขอมูล (Data Subject Right and Subject Access Request) 7. หลักเกณฑการพิจารณาอนุมัติหรือปฏิเสธคํารองขอ 8. การตรวจสอบการดําเนินการเกี่ยวกับขอมูลสวนบุคคล 9. การสงโอนขอมูลตามขอกาหนดของกฎหมายหรํ ือหนวยงานกํากับดูแลที่เกี่ยวของ 10.สาระสําคัญของกฎหมายลําดับรองภายใตพ.ร.บ.ฯ ที่มีการบังคับใชแลว
35 36 1980 2010 2011-2012 2016 2019-2023 OECD Malaysia PDPA APEC ASEAN Thailand Years OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data Personal Data Protection Act Cross-Border Privacy Rules (CBPR) 2011 Personal Data Protection Framework Personal Data Protection Act (PDPA 2019) Philippines Data Privacy Act 2012 Singapore EU General Data Protection Regulation (GDPR) Personal Data Protection Act 2012 Indonesia Personal Data Protection Act (PDPA 2022)
37 สร้างความเชืÉอมนัÉ (Trust) ยกระดบการธรรมาภั ิบาลข้อมลู (Better data governance) ยกระดบสั ่มาตรฐานสากล ู (Connecting with global standards) ความสําคัญในการคุมครองขอมูลสวนบุคคล คํานิยามของการคุมครองขอมูลสวนบคคลุ 38
คํานิยามของการคุมครองขอมูลสวนบคคลุ 39 คํานิยามของ: Data Privacy (ความเปนสวนตัวของขอมูล) v. Personal Data Protection (การคุมครองขอมูลสวนบุคคล) Data Privacy: สิทธิของปจเจกในการควบคุมการใชงานและการเปดเผยขอมูลสวนบุคคลของตน รวมถึงการ ใหองคกรใชงานขอมูลสวนบุคคลของตนใหปลอดภัย Personal Data Protection: การจัดการ (Management) การใชขอมูลสวนบุคคลใหเปนไปตามหลักเกณฑ ที่นโยบายองคกรและตามที่กฎหมายกําหนด ซึ่งตองสะทอนถึงการเคารพสิทธิในขอมูลสวนบุคคลของปจเจก EU (GDPR), Thailand (PDPA): Personal data protection คํานิยามของการคุมครองขอมูลสวนบคคลุ 40 คํานิยาม ของขอมูล สวน บุคคล ขอมูลสวนบุคคล Standard • ชื่อ นามสกุล • เพศ • อายุวันเดือนปเกิด • สถานภาพการสมรส • IP address • อีเมลสวนตัว พรบ. คุมครองขอมูลสวนบุคคล พ.ศ. 2562 (PDPA): ขอมูลเกี่ยวกับบุคคลซึ่งทาให ํ สามารถระบุตัวบุคคลนั้น ไดไมวาทางตรงหรือทางออม แตไม รวมถึงขอมูลของผถูึงแกกรรมโดยเฉพาะ ขอมูลสวนบุคคล ขอมูลสวนบุคคลที่ออนไหว • เชื้อชาติ • ความคิดเห็นทางการเมือง • ความเชื่อในลัทธิศาสนา หรือปรัชญา • พฤติกรรมทางเพศ • ขอมูลสุขภาพ • ขอมูลพันธุกรรม • ขอมูลชีวภาพ • ขอมูลสหภาพแรงงาน • ประวัติอาชญากรรม ทั้ง Offline และ Online
คํานิยามของการคุมครองขอมูลสวนบคคลุ 41 ขอมูลดังตอไปนี้ถือเปนขอมูลสวนบุคคลหรือไม 1. ผูชายชาวไทย อายุ40 ป Discussion#1 2. ผูชายชาวไทย อายุ 40 ปมีตําแหนงเปนอาจารยกฎหมาย และรองคณบดีฝายวิชาการ คณะนิติศาสตรม. หอการคาไทย คํานิยามของการคุมครองขอมูลสวนบคคลุ 42 กรณีศึกษาที่เกี่ยวกับการใชขอมูลสวนบุคคลที่ออนไหว พนักงานโรงพยาบาลหลายสิบคนเขาดูผลตรวจโรคของบุคคลผูมชีื่อเสยงในประเทศเนเธอร ี แลนดจนเรื่องไปสูสาธารณะวาบุคคลที่มีชื่อเสียงนนเป ั้ นโรคอะไร ทําใหบุคคลนั้นไดรับ ความอับอายและเสียชื่อเสยงี โรงพยาบาลจึงถูกปรับเพราะไมมีมาตรการดานองคกรในการคุมครองขอมูลสวนบุคคล (Organisational measures) ที่จะปองกันไมใหขอมูลที่เปน Sensitive Data รั่วไหลออกไปสูคนภายนอก Haga Hospital in the Netherlands € 450,000 (17.6 Million THB) Basis: Insufficient technical and organisational measures to ensure information security
43 44 Data protection authority Data controller Data processor Data subject หนวยงานผูกํากับดูแล – สํานักงานคณะกรรมการคุมครอง ขอมูลสวนบุคคล (สคส.) ผูควบคุมขอมูลสวนบุคคล ผูประมวลผลขอมูลสวนบุคคล เจาของขอมูลสวนบุคคล
45 Data controller ขอมูลสวนบุคคลของ ผูรับบริการ ขอมูลสวนบุคคลของ ขอมูลสวนบุคคลของ คนที่มาติดตอ/คูสัญญา พนักงาน ยกตัวอยาง - บริษัทหรือหนวยงานภายนอกที่ Data Controller สั่ง หรือจางใหสํารวจ (Survey) ความพึงพอใจของ ผูรับบริการใหกับ Data Controller Data Processor สั่งการให Data Processor: ขอมูลสวนบุคคลของ ผูรับบริการ ขอมูลสวนบุคคลของ ขอมูลสวนบุคคลของ คนที่มาติดตอ/คูสัญญา พนักงาน เจาของขอมูลสวนบุคคล (Data Subject) ของ Data Controller บุคคลหรือนิติบุคคลที่มีอานาจํ “ตัดสินใจ” เก็บรวบรวม ใช หรือเปดเผยขอมลสูวนบคคลของุ : บุคคลหรือนิติบุคคลที่ดําเนินการ “ตามคําสั่งของ” Data Controller ในการเก็บรวบรวม ใชหรือเปดเผย ขอมูลสวนบุคคลของ Data Subject ของ Data Controller 46 ఎการใชขอมูลสวนบุคคลโดยสวนตัว (เพื่อประโยชนสวนตน: personal use) หรือเพื่อกิจกรรมในครอบครัวของ บุคคล ఎการใชขอมูลสวนบุคคลเพื่อการดําเนินการของหนวยงานของรัฐที่มีหนาท ี่ในการรักษาความมั่นคงของรัฐ หรือความ ปลอดภัยของประชาชน ఎการใชขอมูลสวนบุคคลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเปนไปตามจริยธรรมแหงการ ประกอบวิชาชีพหรือเปนประโยชนสาธารณะ ఎการใชขอมูลสวนบุคคลเพื่อการดําเนินของสภาผูแทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการ ఎการใชขอมูลสวนบุคคลเพื่อการพิจารณาพิพากษาคดีของศาล และการดําเนินงานตามกระบวนการยุติธรรม ఎการใชขอมูลสวนบุคคลเพื่อการดําเนินการกับขอมูลของบริษัทขอมูลเครดิตและสมาชิกตามกฎหมายวาดวยการ ประกอบธุรกิจขอมูลเครดิต ขอมูลสวนบุคคลที่เก็บไวกอนที่ PDPA มีผล บังคับใช(ม. 95) Data Controller สามารถเก็บรวบรวมและใช ขอมูลสวนบุคคลที่เก็บรวบรวมไวกอนวันที่ PDPA บังคับใชไดแตตอง: • เก็บรวมรวมและใชตามวัตถุประสงคเดิม • กําหนดวิธีการยกเลิกความยินยอม และ ประชาสัมพันธวิธีการยกเลิกความยินยอม ดังกลาวเพื่อใหคนที่ไมประสงคให Data Controller เก็บรวมรวมและใชขอมูลฯ เพื่อ วัตถุประสงคดังกลาวมาแจงยกเลิกไดโดยงาย *ถึงแมกิจกรรมขางตนจะไดรับยกเวน แตหนวยงานตองจัดใหมีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลใหเปนไปตามมาตรฐาน PDPA ไมใชบังคับกับ: Grandfathering Rule
การถายรูปเพื่อนรวมงานไปลงใน Social Media โดยเพื่อนรวมงาน ยินยอมแลว เรื่องนี้เขาขายตองดําเนินการใดๆ ภายใต PDPA หรือไม? ขอควรพิจารณา: Discussion#2 • เขาขอยกเวนเรื่องการใชขอมูลสวนบุคคลโดยสวนตัว (personal use) หรือไม? คําตอบ: เขาขอยกเวน (ซึ่งหมายถึง PDPA ไมบังคับใชในกรณีนี้) • แตถาเจาของขอมูลสวนบุคคลมาขอใหลบรูป ก็ควรเคารพสิทธิของเจาของขอมูลสวนบุคคลดวย 47 YouTuber ที่ทํา Content ลง YouTube เปนอาชีพ ถายทํารายการ “กินแหลก” แตมีภาพของคนอื่น ๆ ที่มาทานอาหารใน Clip จํานวนหนึ่ง ที่มีภาพที่เห็นหนาและอิริยาบถของคนเหลานั้นชัดเจน YouTuber นั้น ตองเขาขายปฏิบัติตาม PDPA หรือไม? ขอควรพิจารณา: Discussion#3 • เขาขอยกเวนเรื่องการใชขอมูลสวนบุคคลโดยสวนตัว (personal use) หรือไม? คําตอบ: ไมเขาขอยกเวน (ซึ่งหมายถึง PDPA บังคับใชในกรณ ีนี้) • YouTuber ถือเปน Data Controller ที่จะตองพิจารณาถึงความเปนสวนตัวของคนอื่น ๆ ที่ ติดมาจากการถายทํา เชน การเบลอหนาคนที่ไมเกี่ยวของ Photo source: thaismescenter.com 48
49 50 PDPA 1. Lawful processing and transparency มีความชอบ ธรรมและความโปรงใสในการ ประมวลผลขอมูลสวนบุคคล 2. Necessity and Purpose Limitation ใชขอมูลสวนบุคคลตาม วัตถุประสงคและเทาท ี่จําเปน 3. Data Accuracy ตองทําขอมูล สวนบุคคลใหถูกตองและเปน ปจจุบัน 4. Limitation of Storage มีระยะเวลาในการเก็บขอมูลสวน บุคคลที่แนนอน 5. Security มีมาตรการรักษาความ มั่นคงปลอดภัยที่เหมาะสม 6. Data Subject Rights เคารพสิทธิของเจาของ ขอมูลสวนบุคคล
• มีความโปรงใส (Transparency) ไดแกการแจงวัตถุประสงค การเก็บรวบรวมขอมูลใหกับ Data Subject • เก็บเทาที่จําเปนและเปนไปตามวัตถุประสงค(Necessity and Purpose) CUDS CUDS Data Life Cycle Management: C-U-D-S (การจัดการตามวงจรชวีิตของขอมลู ) เก ็ บ ใช เก ็ บรักษา เปดเผย • ใชขอมูลสวนบุคคล (ประมวลผล) โดยชอบธรรม (Lawful processing) • ใชขอมูลสวนบุคคลเทาที่จําเปนและเปนไปตาม วัตถุประสงคที่ไดแจงไวกับ Data Subject (Necessity and Purpose) • ทําขอมูลสวนบุคคลใหเปนขอมูลที่ถูกตอง (Data Accuracy) • เปดเผยโดยชอบธรรม (Lawful processing) • เปดเผยเทาที่จําเปนและเปนไปตามวัตถุประสงคที่ไดแจงไวกับ Data Subject (Necessity and Purpose) • เปดเผยอยางมีความมั่นคงปลอดภัย (Security) • เก็บรักษาขอมูลสวนบุคคอยางมั่นคงปลอดภัย (Security) • กําหนดระยะเวลาในการเก็บรักษาขอมูลสวน บุคคล (Limitation of storage) เคารพสิทธิ Data Subject Rights บทบาท หนาที่และความรับผิดชอบของ Data Controller 51 52 ฐานทางกฎหมายสําหรับการประมวลผลขอมูลสวนบุคคล (Lawful basis) ฐานทางกฎหมายสําหรับการประมวลผลขอมูลสวนบุคคล (Lawful basis) หมายถึงการที่ Data Controller ตองสามารถอางความชอบธรรม (Lawful Basis) ในการประมวลผลขอมูลสวนบคคลใหุไดวาในแตละกิจกรรมที่ Data Controller ดําเนินการนั้นมีฐานการประมวลผลที่ชอบธรรมตามที่กม. PDPA กําหนดไวอยางไรဨ กม. PDPA กําหนดให Data Controller ตองมี Lawful Basis ในการประมวลผลขอมูลสวนบุคคล • Lawful basis สําหรับประมวลผลขอมูลสวนบุคคลแบบทั่วไป กําหนดใน ม. 24 • Lawful basis สําหรับประมวลผลขอมูลสวนบุคคลที่ออนไหว กําหนดใน ม. 26 โทษสําหรับ Data Controller ที่ไมมี Lawful basis ในการประมวลผลขอมูลสวนบุคคลนั้น ไดแก • สูงสุด 3 ลานบาท สําหรับการไมมี Lawful basis ในการประมวลผลขอมูลสวนบุคคลแบบทั่วไป (ม. 83) • สูงสุด 5 ลานบาท สําหรับการไมมี Lawful basis ในการประมวลผลขอมูลสวนบุคคลที่ออนไหว (ม. 84)
53 ฐานทางกฎหมาย (Lawful basis) สําหรับการประมวลผลขอมูลสวนบุคคลทั่วไป (ม.24) ฐานการขอความยินยอม Consent #01 ฐานการระงับอันตรายตอชีวิต Vital Interest #02 ฐานการจัดทําเอกสารประวัติศาสตรเพื่อประโยชนสาธารณะหรือการวิจยั Historical Archive & Research #03 ฐานจําเปนเพื่อปฏิบัติตามสัญญา Contract #04 ฐานปฏิบัติตามกฎหมาย Legal Obligation #05 ฐานผลประโยชนอันชอบธรรมที่ไมละเมิด สิทธิขั้นพื้นฐานของ Data Subject Legitimate Interest #06 ฐานภารกิจรัฐหรือฐานเพื่อประโยชนสาธารณะ Public Task #07 54 ฐานทางกฎหมาย (Lawful basis) สําหรับการประมวลผลขอมูลสวนบุคคล • กระทรวงยุติธรรมเก็บขอมูลประชาชนเพื่อภารกิจการใหคําปรึกษาปญหากฎหมายแกประชาชน และตองมีการเปดเผยขอมูลสวน บุคคลไปใหบุคลากรในกระทรวงเพื่อใหคําปรึกษาปญหากฎหมายแกประชาชนดังกลาว • กระทรวงยุติธรรมใชขอมูลสวนบุคคลตามฐานความชอบธรรมในการประมวลผลขอมูลสวนบุคคล (Lawful Basis) ฐานใด? Discussion#4 ตอบ: ฐานภารกิจรัฐ (Public Task)
55 ฐานทางกฎหมาย (Lawful basis) สําหรับการประมวลผลขอมูลสวนบุคคล การใชกลอง CCTV ตรวจตราความเรียบรอยขององคกรในการปองกันเหตุอันไมพึงประสงคเปนการใชขอมูลสวนบุคคลตามฐาน ความชอบธรรมในการประมวลผลขอมูลสวนบุคคล (Lawful Basis) ฐานใด? Discussion#5 ตอบ: ฐานผลประโยชนอันชอบธรรม (Legitimate Interest) ซึ่งการใชขอมูลสวนบุคคลในกิจกรรมนี้ตองไมละเมิดสิทธิขั้นพื้นฐานของ Data Subject 56 ฐานทางกฎหมาย (Lawful basis) สําหรับการประมวลผลขอมูลสวนบุคคลที่ ออนไหว (ม. 26) ฐานการขอความยินยอมโดยชัดแจง Explicit Consent #01 ฐานการระงับอันตรายตอชีวิต Vital Interest #02 ฐานจําเปนเพื่อปฏิบัติตามสัญญากับ ผูประกอบวิชาชีพทางการแพทย Medical Contract #04 ฐานจําเปนเพื่อกอตั้งสิทธิเรียกรอง ตามกฎหมาย Claim of Legal Rights #05 ฐานจําเปนในการปฏิบัติตาม กฎหมายเพื่อประโยชนดาน การแพทยดานสาธารณสุข การ คุมครองแรงงาน การศึกษาวิจัย และ ประโยชนสาธารณะที่สําคัญ Legal Obligations with Specific Purposes #06 ฐานการเก็บรวบรวมประวัติอาชญากรรมภายใตการควบคุมของ หนวยงานที่มีอํานาจดานกฎหมาย Criminal Records #07 ฐานดําเนินกิจกรรมโดยชอบดวย กฎหมายที่มีวัตถุประสงคเกี่ยวกับ การเมือง ศาสนา ปรัชญา หรือ สหภาพแรงงาน Special Objectives #03
57 ฐานทางกฎหมาย (Lawful basis) สําหรับการประมวลผลขอมูลสวนบุคคล นาย ก. ไปรักษาโรค Covid 19 ซึ่งโรงพยาบาลตองสงขอมูลนาย ก. ซึ่งเปนคนไขไปใหกรมควบคมโรคุกระทรวงสาธารณสุข ตาม พรบ.โรคติดตอพ.ศ. 2558 เพื่อใหกระทรวงฯ เก็บเปนขอมูล สถิติและวางแผนการลดการแพรกระจายของเชื้อ คําถาม: • โรงพยาบาลมความชอบธรรมี (Lawful Basis) ในการเปดเผยขอมูลการติดเชื้อ Covid 19 ของนาย ก. ใหกับกรมควบคุมโรคหรือไม? Discussion#6 คําตอบ: • มี Lawful basis ในเรื่องฐานจําเปนในการปฏิบัติตาม กฎหมายเพื่อประโยชนดานการแพทยดานสาธารณสขุ (Legal Obligations with Specific Purposes) 58 ดําเนินการตามคําสั่งที่ไดรับจากผูควบคุมขอมูลสวนบุคคล จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม แจงเหตุละเมิดขอมูลสวนบุคคลให data controller ทราบ ทําบันทึกรายการการประมวลผลขอมูล (RoPA) (ถาเปนไปตามเกณฑตองจัดทํา) Data processor Data controller แตงตั้ง DPO (ถาเปนไปตามเกณฑตองแตงตั้ง) เชน บริษัท A ไดรับการวาจางโดย data controller ใหสํารวจขอมูผูรับบริการของ Data Controller บริษัท A = Data processor หนาที่ของ Data processor ดําเนินการตามคําสั่งที่ไดรับจากผูควบคุมขอมูลสวนบุคคล จดใัหมมาีตรการรักษาความมั่นคงปลอดภยทั ี่เหมาะสม แจงเหตุละเมิดขอมูลสวนบุคคลใหdata controller ทราบ ทําบันทึกรายการการประมวลผลขอมูล (RoPA) (ถาเปนไปตามเกณฑตองจัดทํา) แตงตั้ง DPO (ถาเปนไปตามเกณฑตองแตงตั้ง) หนาที่ของ Data processor “สั่งการ หรือจางให Data Processor ดําเนินการใด ๆ ที่เกี่ยวกับขอมูลสวนบุคคล”
59 • หนวยงาน ก. จางบริษัท ABC ใหเปน Data Warehouse (เก็บขอมูลของผูรับบริการของหนวยงาน ก. ไวในฐานขอมูลทั้ง Online และ Offline) เนื่องจากหนวยงาน ก. ไมมีสถานที่เก็บขอมูล • ตอมามีขโมยมาบุกรุกโกดังเก็บขอมูลของบริษัท ABC เนื่องจากบริษัทไมไดลอกกุญแจโกดังไวและเอา ขอมูลใบสมัคร+สําเนาบัตรประชาชนของผูรับบริการของหนวยงาน ก. ไปไดถึง 5,000 ราย และตอนนี้ ตามหาขอมูลเหลานั้นคืนมาไมได • หนวยงาน ก. บอกวาบริษัท ABC ในฐานะผูประมวลผลขอมูลสวนบุคคลมความผี ิดตาม PDPA ดวย แต บริษัท ABC บอกบริษัทแคเก็บขอมูล ไมไดมีการประมวลผล จึงไมถือเปนผูประมวลผลขอมลสูวนบุคคล ตาม PDPA จึงไมตองรับผิด Discussion #7 คําถาม: บริษัท ABC มีความผิดตาม PDPA หรือไม คําตอบ: บริษัท ABC มีความผิดตาม PDPA ในฐานะผูประมวลผลขอมูลสวนบุคคล เนื่องจากมีหนาที่ตองมีมาตรการ รักษาความมั่นคงปลอดภัย (Security) ที่เหมาะสม 5. มาตราสําคัญของพระราชบญญั ัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 60
มาตราสําคัญที่กําหนดหนาที่ของ Data Controller ตามกฎหมาย PDPA Data controller จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม Appropriate Security (ม.37 (1)) ปองกนมั ิใหบุคคลหรือองคกรอื่นที่รับขอมูลจาก data controller นําขอมูล ไปใชหรือเปดเผยโดยมิชอบ Preventing others from unlawful use or disclosure: (ม.37(2)) มีการตรวจสอบเพื่อลบขอมูลที่ไมจําเปน และมีการจัดการสิทธิเจาของขอมูลสวนบุคคล Data Check and Data Subject Rights Management: (ม.37(3)) แจงเหตุละเมิดขอมูลสวนบุคคลใหผูกํากับดูแลทราบภายใน 72 ชั่วโมง Breach Notification: ม.37 (4)) ทําบันทึกรายการกจกรรมทิ ี่ใชขอมูลสวนบุคคล Records of Processing Activity (RoPA) (ม.39) ทําสัญญาประมวลผลขอมูลสวนบุคคล (Data Processing Agreement) หนวยงาน B ไดรับการวาจางโดย Data Controller ให สํารวจขอมูลผูรับบริการของ Data Controller บริษัท B = Data processor Data processor แจงวัตถุประสงคการประมวลผลขอมูลสวนบุคคล Privacy Notice (ม.23) แตงตั้งเจาหนาที่คุมครองขอมูลสวนบุคคล - DPO (ม.41) 1 3 5 6 7 9 10 หนาที่ของ Data Controller ตามกฎหมาย PDPA 1 แจงวัตถุประสงคการประมวลผลขอมูลสวนบุคคล Privacy Notice (ม.23) 3 มีการตรวจสอบเพ่อลบขื อมูลที่ไมจําเปน และมีการจัดการสิทธิเจาของขอมูลสวนบุคคล Data Check and Data Subject Rights Management: (ม.37(3)) ทําบันทึกรายการกจกรรมทิ ี่ใชขอมูลสวนบุคคล Records of Processing Activity (RoPA) (ม.39) แตงตั้งเจาหนาที่คุมครองขอมูลสวนบุคคล - DPO (ม.41) 9 10 จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม Appropriate Security (ม.37 (1)) ปองกนมั ิใหบุคคลหรือองคกรอื่นที่รับขอมูลจาก data controller นําขอมูล ไปใชหรือเปดเผยโดยมิชอบ Preventing others from unlawful use or disclosure: (ม.37(2)) แจงเหตุละเมิดขอมูลสวนบุคคลใหผกูํากับดูแลทราบภายใน 72 ชั่วโมง Breach Notification: ม.37 (4)) 5 6 7 เปนธรรมและ โปรงใส เก็บ ใชเปดเผยเทาที่ จําเปน และเปนไปตาม วัตถุประสงคที่ไดแจงไว มีความมั่นคง ปลอดภัย มีการกํากับดูแลที่ดตามี การธรรมาภิบาลขอมูล และเคารพสิทธิของ Data Subject เก็บ ใชเปดเผยเทาที่จําเปนและตามวัตถุประสงคPurpose Limitation (ม.22, 27) 4 ทําขอมูลสวนบุคคลใหถูกตอง Data Accuracy (ม.35) 8 2 มีความชอบธรรมในการประมวลผล Lawful basis (ม.24, 26) 61 การลงโทษผ ู ไมปฏิ บ ั ต ิ ตาม 1. ความรับผิดทางแพง (ม.77-78) • (เมื่อมีการเรียกรองโดยผูเสียหายผานกระบวนการทางศาลยุติธรรมเทานั้น) คาสินไหมทดแทนจากความเสียหายที่ไดรับจริง แตไมเกินสองเทาของคาส ินไหม ทดแทนที่แทจริง 2. โทษทางอาญา (ม.79-81) โทษจําคุก 6 เดือน - 1 ปและโทษปรับ 5 แสน - 1 ลานบาท) • (เฉพาะกรณีที่เขาองคประกอบความผิดทางอาญาเทานั้น) มีโทษอาญาถาความผิดเรื่อง (1) แสวงหาผลประโยชนจากขอมูล หรือ (2) ทําใหเกิดการเสียชื่อเสียง ถูกดู หมิ่น เกลียดชัง หรือไดรับความอับอายจากการใชขอมูลสวนบุคคลที่ออนไหว • โทษอาญาสามารถยอมความได 3. การปรับทางปกครอง (ม.82-90) (1-5 ลานบาท) • คณะกรรมการผูเชี่ยวชาญมีอํานาจสั่งโทษปรับทางปกครองไดโดยคํานึงถึงความรายแรงของพฤติกรรม ขนาดของกิจการ ฯลฯ โดยอาจตักเตือนกอนก็ได (ม. 90) 62
เจาหนาที่หนวยงาน ก. เปนเจาหนาที่ฝาย HR มีการสง Email ที่แนบไฟลเงินเดือนของเจาหนาที่รายอื่นจํานวน 1 ราย ไปยังบุคคลภายนอกที่ไมเกี่ยวของจํานวน 10 ราย จนถูกมิจฉาชีพนําไปปลอมเอกสารทําใหเจาหนาที่รายนั้นดีรับความเสียหาย ในกรณีนี้หนวยงาน ก. ผิด หรือ เจาหนาที่ฝาย HR ที่ทําการสง Email เปนคนผิด? Discussion#8 ประเด็นที่ตองพิจารณาคือ • หนวยงาน ก. รับผิด? • เจาหนาที่ตองรับผิด? คําตอบ: • หนวยงาน ก. รับผิด แตจะมากจะนอย ขึ้นอยูกับมาตรการของหนวยงานในการคุมครองขอมูลสวนบุคคล ประกอบไปดวย หลักฐานดานการดําเนินการ เชน หลักฐานเรื่องการบังคับใชนโยบายคุมครองขอมูลสวนบุคคล หรือหลักฐานการจัดอบรม ฯลฯ • เมื่อหนวยงาน ก. รับผิดไปแลว สามารถไลเบี้ยกับเจาหนาที่ที่กระทําความผิดไดเชน การลงโทษกับเจาหนาที่คน นั้นตามระเบียบภายใน และ/หรือลงโทษทางวินัย • นอกจากนี้หนวยงาน ก. มีหนาที่ตองแจงเหตุละเมิดขอมูลสวนบุคคลนี้ใหสคส. (ตามหนาที่ใน ม. 37 (4)) Photo source: verticalresponse.com 63 ผูที่อาจมีความรับผิด หนวยงาน (ในฐานะ Data Controller หรือ Data Processor): o ถาหนวยงานไมสามารถพิสูจน (โดยหลักฐาน) ไดวา มีมาตรการคุมครองขอมูลสวนบุคคลที่เปนไปตาม PDPA หนวยงาน (ในฐานะ Data Controller หรือ Data แนวทางการลงโทษ หนวยงานตองจัดใหมีมาตรการตามที่กฎหมาย PDPA กําหนด มาตรการที่สคส. จะทํามาพิจารณาโทษปรับปกครอง ดูจากพฤติกรรมของ หนวยงาน (ม. 8. ประกาศฯ เรื่องแนวทางพิจารณาโทษปรับปกครอง) ใน ดานตอไปน:ี้ • เจตนาหรือความจงใจในการกระทําผิด • ความระมัดระวัง • มูลคาความเสียหายและความรายแรงของเหตุ • ระดับความรับผิดชอบและมาตรฐานดาน PDPA ขณะที่เหตุเกิด • การดําเนินการตามแนวปฏิบัติทางธุรกิจ หรือมาตรฐานดานความมั่นคง ปลอดภัย • การเยียวยาและบรรเทาเหตุขณะที่เหตุเกิดขึ้น หนวยงานตองจดใหมมาตรการตามทกฎหมาย ัใ ี ี่ PDPA กาหนดํ 64 บุคลากรในหนวยงานที่กระทําการใหหนวยงานตองรับผิด: o หนวยงานที่รับผิดไปสามารถไลเบี้ยกับเจาหนาที่ที่ กระทําความผิดไดเชน การลงโทษกับเจาหนาที่คน นั้นตามระเบียบภายใน และ/หรือลงโทษทางวินัย
6. สิทธิของเจาของขอมูลและการจัดการคํารองขอของเจาของ ขอมูล (Data Subject Right and Subject Access Request) 65 เจาของขอมูลสวนบุคคลมีสิทธิดังตอไปนี้ + สิทธิในการเพิกถอนความยินยอมที่เคยใหไวเมื่อใดก็ได + สิทธิขอเขาถึงขอมูลสวนบุคคลและขอรับสําเนาขอมูลสวนบุคคล (Right of access) + สิทธิในการขอแกไขใหขอมูลสวนบุคคลมีความถกตูอง (Right to Rectification) + สิทธิขอใหลบหรือทําลาย หรือทําใหขอมูลสวนบุคคลเปนขอมูลทไมี่สามารถระบุตัวบุคคล (Right to erasure) + สิทธิในการระงับการใชขอมูลสวนบุคคล (right to restrict processing) + สิทธิในการขอใหโอนขอมูลสวนบุคคลไปยัง data controller อื่น (Right to data portability) + สิทธิขอคัดคานการเก็บรวบรวม ใชหรือเปดเผยขอมูลสวนบุคคล (Right to object) สิทธิของเจาของขอมูลสวนบุคคล (Data Subject Rights) 66
7. หลักเกณฑการพิจารณาอนุมัติหรือปฏิเสธคํารองขอ 67 Flow ทั่วไปในการจัดการคําขอเรื่องสิทธิของเจาของขอมูลสวนบุคคล (Data Subject Rights Management) 68
ฐานการใชขอมูล (1) ขอถอน ความ ยินยอม (ม.19) (2) ขอเขาถึง ขอมูลสวน บุคคล (ม. 30)* (3) ขอแกไข ขอมูลสวน บุคคลใหถูกตอง (ม.35) (4) ขอลบขอมูลสวนบุคคล (ม.33)* (5) ขอระงับการใชขอมูล (ม.34)* (6) ขอโอนยาย ขอมูลสวนบุคคล (ม.31)* (7) ขอคัดคาน การเก็บรวบรวม ขอมูล (ม.32) ไดรับความยินยอม (ม.24 หรือ ม.26) ได ได ได ได ได ได ได การศึกษาวิจัย หรือสถิติ(ม.24 (1)) N/A ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล ไมได ได*** ระงับอันตรายตอชีวิต (ม.24 (2)) N/A ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล ไมได ไมได เปนการกระทําตามสัญญา (ม.24 (3)) N/A ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล ไดโดยมีเงื่อนไข* ไมได อํานาจรัฐ/ประโยชนสาธารณะ (ม.24 (4)) N/A ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล** ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล** ไมได ได*** ผลประโยชนอันชอบดวยกฎหมาย (ม.24 (5)) N/A ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล** ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล** ไมได ได*** ปฏิบัติตามกฎหมาย (ม.24 (6)) N/A ไมได ได ไมได ไมได ไมได ไมได ทําการตลาดแบบตรง ได ได ได ไดเฉพาะกรณีที่หมดความจําเปน ในการใชขอมูล ไดเฉพาะกรณีที่หมดความจําเปนในการ ใชขอมูล ไมได ได N/A = ใชไมไดกับทางเลือกนี้ (Not applicable) * คณะกรรมการอาจประกาศหลักเกณฑเพิ่มเติม ** ถาหากจะปฏิเสธคําขอจะตองบันทึกการปฏิเสธพรอมใหเหตุผล *** เวนแตมีเหตุอันชอบดวยกฎหมายที่สําคัญกวาหรือเพื่อปฏิบัติตาม กฎหมายหรือกอตั้งสิทธิเรียกรองตามกฎหมาย และถาผูควบคุมขอมูลปฏิเสธการคัดคาน ตองบันทึกการปฏิเสธพรอมใหเหตุผล 69 8. การตรวจสอบการดําเนินการเกี่ยวกับขอมูลสวนบุคคล 70
Protect: 4. Policies (การจัดทํานโยบายในองคกร) 5. Protecting personal data (การคุมครองขอมูลสวนบุคคล) Assess: 3. Data assessment (การประเมินการใชงานและความเสี่ยงของขอมูล) Sustain: 6. Training and awareness (การอบรมและสรางความตระหนัก) 7. Measuring, monitoring, and auditing programme performance (ประเมินผลการดําเนินงาน การติดตาม และปรับปรุงแกไขแผนงาน) Respond: 8. Data subject rights (สิทธิของเจาของขอมูลสวนบุคคล) 9. Data breach incident plans (แผนการแจงเหตุละเมิดขอมูลสวนบุคคล) G-APSR Governance: 1. Policy governance (ออกแผนงานองคกรในการจัดการขอมูล) 2. Applicable laws and regulations (ศึกษากฎหมายที่เกี่ยวของทั้ง PDPA และกฎหมายของ Sector/ business) G-APSR 71 Privacy Operational Life Cycle: G-APSR (การจัดการตามวงจรดานการปฏิบัติการ) Data Governance Framework Checklist Checklist ในการดําเนินงานเพื่อใหกํากับติดตามไดอย างครบถวน กําหนดหนาที่และความ รับผิดชอบของ ผูดําเนินการดาน PDPA ขององคกร ระบุความเสี่ยงที่อาจ เกิดขึ้นจากจากการ ดําเนินงาน มีการอบรม บุคลากร มีกระบวนการแจง เหตุละเมิดขอมูล สวนบุคคล ระบุ Gap ในการ จัดการดาน Privacy มีแผนการติดตามการ ดําเนินงานดาน PDPA ขององคกร สื่อสารและ Update นโยบายใหคนในองคกร และบุคคลภายนอก ดําเนินมาตรการที่ PDPA กําหนด มีกระบวนการรับ เรื่องรองเรียนและ การจัดการสิทธิของ เจาของขอมูลสวน บุคคล Governance Assess/ Protect Sustain Respond สํารวจการใชขอมูล ขององคกร 72
9. การสงโอนขอมูลตามขอกาหนดของกฎหมายหรํ ือหนวยงานกากํ ับดูแลที่เกยวขี่อง 73 • มีความโปรงใส (Transparency) ไดแกการแจงวัตถุประสงค การเก็บรวบรวมขอมูลใหกับ Data Subject • เก็บเทาที่จําเปนและเปนไปตามวัตถุประสงค(Necessity and Purpose) CUDS CUDS Data Life Cycle Management: C-U-D-S (การจัดการตามวงจรชวีิตของขอมลู ) เก ็ บ ใช เก ็ บรักษา เปดเผย • ใชขอมูลสวนบุคคล (ประมวลผล) โดยชอบธรรม (Lawful processing) • ใชขอมูลสวนบุคคลเทาที่จําเปนและเปนไปตาม วัตถุประสงคที่ไดแจงไวกับ Data Subject (Necessity and Purpose) • ทําขอมูลสวนบุคคลใหเปนขอมูลที่ถูกตอง (Data Accuracy) • เปดเผยโดยชอบธรรมโดยมีฐานกฎหมายที่ใหเปดเผยได(Lawful processing) • เปดเผยเทาที่จําเปนและเปนไปตามวัตถุประสงคที่ไดแจงไว กับ Data Subject (Necessity and Purpose) • เปดเผยอยางมีความมั่นคงปลอดภัย (Security) • เก็บรักษาขอมูลสวนบุคคอยางมั่นคงปลอดภัย (Security) • กําหนดระยะเวลาในการเก็บรักษาขอมูลสวน บุคคล (Limitation of storage) เคารพสิทธิ Data Subject Rights บทบาท หนาที่และความรับผิดชอบของ Data Controller เปดเผย • เปดเผยโดยชอบธรรมโดยมฐานกฎหมายที่ใหี เปดเผยได(Lawful processing) • เปดเผยเทาที่จําเปนและเปนไปตามวัตถุประสงคที่ไดแจงไวกับ Data Subject (Necessity and Purpose) • เปดเผยอยางมีความมั่นคงปลอดภยั (Security) 74
การโอนข อม ู ลสวนบุคคลข ามพรมแดน 1. กรณีทั่วไป (ม.28): ประเทศผูรับขอมูลตองมีมาตรฐานคมครองขุ อมูลสวนบุคคลที่เพียงพอตามที่สคส. กําหนด หรือมี มาตรการคุมครองที่เหมาะสมตามที่กฎหมายกําหนด หรือเขาขอยกเวนที่ทําใหโอนขอมูลไปได สงหรือโอนขอมูลสวนบุคคลขามพรมแดน (กรณีทั่วไป) 1. มาตรฐานคุมครองขอมูลสวนบุคคลที่เพียงพอของประเทศปลายทาง (Adequacy) หรือ 2. เขาขอยกเวน สงหรือโอนขอมูลสวนบุคคลระหวางกิจการในเครือ (Intra-Group Transfer) 2. มีมาตรการคุมครองที่เหมาะสม 1. Binding Corporate Rules (BCRs) หรือตางประเทศหรือองคการ ระหวางประเทศ กิจการหรือธุรกิจใน เครือในตางประเทศ ผูควบคุมขอมูลสวน บุคคลในไทย ผูควบคุมขอมูลสวน บุคคลในไทย 1 2 เป็นการปฏบิตัตามกฎหมายิ ไดร้บความยันยอมจากเจิาของข้อมู้ล การปฏบิตัตามสิญญาซังÉึ data subject เป็น ค่สู ญญาัหรอดืาเนํ ินการตามคาขอขอํ data subject ก่อนเขาท้าสํญญาั ทาตามสํญญาระหวัาง่ ผควบคูุ้มขอม้ลกูบบัุคคลหรอนื ิตบิุคคลอÉนื เพÉอประโยชน ื ์ของ data subject เพÉอปื ้องกนหรัอระงืบอันตรายตั ่อชวีติ ร่างกายหรอสืุขภาพ ประโยชน์สาธารณะ ทสÉีาคํญั เป็นการปฏบิตัตามกฎหมาิย ไดร้บความยันยอมจากเจิาของข้อมู้ล การปฏบิตัตามสิญญาซังÉึ data subject เป็น ค่สู ญญาัหรอดืาเนํ ินการตามคาขอขอํ data subject ก่อนเขาท้าสํญญัา ทาตามสํญญัาระหวา่ง ผควบคูุ้มขอม้ลกูบบัุคคลหรอนื ิตบิุคคลอÉนื เพÉอประโยชน ื ์ของ data subject เพÉอปื ้องกนหรัอระงืบอันตรายตัอช่วีติ ร่างกายหรอสืุขภาพ ประโยชน์สาธารณะ ทสÉีาํคญั 2. กรณีโอนขอมูลสวนบุคคลระหวางกิจการในเครอื (ม.29): องคกรจะตองกําหนดนโยบายในการคุมครองขอมูล สวนบุคคล (Binding Corporate Rules) ที่ไดรับการตรวจสอบและรบรองจาก สคสั . หรือมมาตรการที ี่เหมาะสม รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มประส ีทธิ ิภาพ เชน มีการจัดทําสัญญาโอนขอมูลสวนบุคคลระหวาง องคกร ตองใหสคส. รับรอง 75 10. สาระสําคญของกฎหมายลั ําดับรองภายใตพ.ร.บ.ฯ ที่มีการบังคับใชแลว 76
Timeline of PDPA 2565 2566 PDPA กฎหมายลําดับรอง ประมาณ 20+ ฉบับ แนวปฏิบัติ กฎหมายบังคับใช1 มิ.ย. 2565 ประกาศใชแลว: - เกณฑการยกเวนการบันทึก records of processing activity สําหรับองคกรบาง ประเภทและ SMEs - หลักการบันทึก records of processing activity สําหรับผูประมวลผลขอมูลสวน บุคคล - มาตรการรักษาความมั่นคงปลอดภัยสําหรับผูควบคุมขอมูลสวนบุคคล - เกณฑการพิจารณาการออกคําสั่งโทษทางปกครอง - หลักการและขั้นตอนการแจงเหตุละเมิดขอมูลสวนบุคคล จัดทําโดย สคส. - การขอความยินยอม - การแจงวัตถุประสงคในการเกบ็ รวบรวมขอมูลสวนบุคคล (Privacy Notice) - คูมือ PDPA สําหรับประชาชน - คูมือ PDPA สําหรับ SMEs จัดทําโดยภาคธุรกิจ - Thai bank association - Thai life insurance association - Association of investment management companies - Thai general insurance association - Association of Thai securities companies แนวปฏิบัติ Sector-Specific จัดทําโดย สคส. (อยูใน Timeline สําหรับการ ประกาศใชในป 2566): - Healthcare - Tourism - Education - Transportation - Retail and e commerce - Real estate - Government อยูใน Timeline สําหรับการประกาศใชในป 2566 - หลักการโอนขอมูลสวนบุคคลขามพรมแดน - การจัดตั้ง DPO และคุณสมบัติของ DPO - ฯลฯ 77 กฎหมายลําดับรองภายใตพ.ร.บ.ฯ ที่มีการบังคับใชแลว 1. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง การยกเวนการบันทึกรายการของผูควบคุมขอมูลสวน บุคคลซึ่งเปนกิจการขนาดเล็ก พ.ศ. 2565 (มีผลใชบังคับเมื่อวันท 21 ี่มิถุนายน 2565 เปนตนไป) 2. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑและวิธีการในการจัดทําและเก็บรักษาบันทึก รายการของกิจกรรมการประมวลผลขอมูลสวนบุคคลสําหรับผูประมวลผลขอมูลสวนบุคคล พ.ศ. 2565 (มี ผลใชบังคับในวันที่ 17 ธันวาคม 2565 เปนตนไป) 3. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผูควบคุม ขอมูลสวนบุคคล พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป ) 4. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑการพิจารณาออกคําสั่งลงโทษปรับทาง ปกครองของคณะกรรมการผูเชี่ยวชาญ พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) 5. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักการและวิธีการในการแจงเหตุละเมิดขอมูลสวน บุคคล (มีผลใชบังคับเมื่อวันที่ 15 ธันวาคม 2565 เปนตนไป) 78
1. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง การยกเวนการบันทึกรายการของผูควบคุมขอมูลสวนบุคคลซึ่ง เปนกิจการขนาดเล็ก พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) 79 “การบันทึกรายการ” หมายถึงการบันทึกรายการกิจกรรมการประมวลผลขอมูลสวนบุคคล (Records of Processing Activities: ROPA) – ม. 39 ของ PDPA • หนวยงานที่เปนผูควบคุมขอมลสูวนบุคคล (Data Controller) ตองบันทึกกิจกรมการใชขอมูลสวนบุคคลของ หนวยงานเพื่อใหเจาของขอมลสูวนบุคคล หรือ สคส. ตรวจสอบได (กลาวคือ การบันทึกวาแตละกิจกรรมของ หนวยงานมีการใชขอมูลสวนบุคคลอยางไรบาง) โดยในแตละกิจกรรม ตองมีการบันทึกรายการเหลานี้เปนอยางนอย: • ขอมูลสวนบุคคลที่มีการเก็บรวบรวม • วัตถุประสงคของการเก็บรวบรวม • ขอมูลเกี่ยวกับผูควบคุมขอมูลสวนบุคคล • ระยะเวลาเก็บรักษาขอมูลสวนบุคคล • สิทธิและวิธีการเขาถึงขอมูลสวนบุคคล • การเปดเผยขอมูลสวนบุคคลใหบุคคลภายนอก หรือองคกรภายนอก • การปฏิเสธคําขอใชสิทธิของเจาของขอมูลสวนบุคคล • มาตรการรักษาความมั่นคงปลอดภัย 1. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง การยกเวนการบันทึกรายการของผูควบคุมขอมูลสวนบุคคลซึ่ง เปนกิจการขนาดเล็ก พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) กิจการขนาดเล็กที่ไดรับการยกเวนไมตองท ําบันทึกรายการ (การประมวลผลขอมูลสวนบคคลุ RoPA) ไดแก • วิสาหกิจขนาดยอมหรือวิสาหกิจขนาดกลางตามกฎหมายวาดวยการสงเสริมวิสาหกิจขนาดกลางและขนาดยอม • วิสาหกิจชุมชนหรือเครือขายวิสาหกิจชุมชน • วิสาหกิจเพื่อสังคมหรือกลุมกิจการเพื่อสังคม • สหกรณชุมนุมสหกรณหรือกลุมเกษตรกรตามกฎหมายวาดวยสหกรณ • มูลนิธิสมาคม องคกรศาสนา หรือองคกรที่ไมแสวงหากําไร • กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน 80
2. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑและวิธีการในการจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลขอมูลสวน บุคคลสําหรับผูประมวลผลขอมูลสวนบุคคล พ.ศ. 2565 (มีผลใชบังคับในวันที่ 17 ธันวาคม 2565 เปนตนไป) ผูประมวลผลขอมูลสวนบุคคล ตองจัดทําบันทึกรายการของกิจกรรมการประมวลผลขอมูลสวนบุคคล ซึ่งมีรายละเอียดดังนี้ • ชื่อและขอมูลเกี่ยวกับผูประมวลผลขอมูลสวนบุคคล • ชื่อและขอมูลเกี่ยวกับผูควบคุมขอมลสูวนบุคคลที่ผประมวลผลขู อมูลสวนบุคคลรับจางดําเนินการให • ชื่อและขอมูลเกี่ยวกับเจาหนาที่คุมครองขอมูลสวนบุคคล (ถาเขาขายตองมีตามกฎหมายลาดํ ับรองประกาศ) • ประเภทหรือลักษณะของกิจกรรมการประมวลผล รวมถึงขอมูลสวนบุคคล และวัตถุประสงคของการเก็บรวบรวม ใชหรือเปดเผย • ประเภทของหนวยงานที่ไดรับขอมูล ในกรณีที่มีการสงหรือโอนขอมูลสวนบุคคลไปยงตั างประเทศ • คําอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย 81 82 3. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผูควบคุมขอมูลสวนบุคคล พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) มาตรการดาน Security ตองครอบคลุมประเด็นตอไปนี้ 1. มาตรการดานการรักษาความมั่นคงปลอดภยทั ั้งมาตรการเชิงองคกร (Organizational Measures) และมาตรการเชิงเทคนิค (Technical Measures) รวมถึง • การแฝงขอมูล (Pseudonymization) หรือการเขารหัส (Encryption) • มีการธํารงไวซึ่งความลับของขอมูล (Confidentiality) ความถูกตองของขอมูล (Integrity) และสภาพที่พรอมใชงาน (Availability) • มีการทดสอบและประเมินความมีประสิทธิภาพของมาตรการเชิงองคกร (Organizational Measures) และมาตรการเชิงเทคนิค (Technical Measures) 2. มาตรการจัดการดานการเข าถึง (Access) รวมถึง • ตองควบคุมการเขาถึงอุปกรณ • มีการอนุญาตการเขาถึงของผูใช (User) • มีการบริหารจัดการการเขาถึงได • กําหนดหนาที่ความรับผิดชอบของผูใช (User) • มีวิธีการตรวจสอบยอนหลังไดวาใครเขาถึง เปลี่ยนแปลง ลบ หรือโอนขอมูล 3. แจงมาตรการ Security นใหี้แกบุคลากร พนักงาน ลูกจาง หรือคนที่เกี่ยวของ และสรางความตระหนักรูใหเห็นถึงความสําคัญ
83 4. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑการพิจารณาออกคําสั่งลงโทษปรับทางปกครองของคณะกรรมการผูเชี่ยวชาญ พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) 84 4. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักเกณฑการพิจารณาออกคําสั่งลงโทษปรับทางปกครองของ คณะกรรมการผูเชี่ยวชาญ พ.ศ. 2565 (มีผลใชบังคับเมื่อวันที่ 21 มิถุนายน 2565 เปนตนไป) ผูที่อาจมีความรับผิด หนวยงาน (ในฐานะ Data Controller หรือ Data Processor): o ถาหนวยงานไมสามารถพิสูจน (โดยหลักฐาน) ไดวา มีมาตรการคุมครองขอมูลสวนบุคคลที่เปนไปตาม PDPA หนวยงาน (ในฐานะ Data Controller หรือ Data แนวทางการลงโทษ หนวยงานตองจัดใหมีมาตรการตามที่กฎหมาย PDPA กําหนด มาตรการที่สคส. จะทํามาพิจารณาโทษปรับปกครอง ดูจากพฤติกรรมของ หนวยงาน (ม. 8. ประกาศฯ เรื่องแนวทางพิจารณาโทษปรับปกครอง) ใน ดานตอไปนี้: • เจตนาหรือความจงใจในการกระทําผิด • ความระมัดระวัง • มูลคาความเสียหายและความรายแรงของเหตุ • ระดับความรับผิดชอบและมาตรฐานดาน PDPA ขณะที่เหตุเกิด • การดําเนินการตามแนวปฏิบัติทางธุรกิจ หรือมาตรฐานดานความมั่นคง ปลอดภัย • การเยียวยาและบรรเทาเหตุขณะที่เหตุเกิดขึ้น หนวยงานตองจดใหมมาตรการตามทกฎหมา ัใ ี ี่ย PDPA กาหนํด บุคลากรในหนวยงานที่กระทําการใหหนวยงานตองรับผดิ: o หนวยงานที่รับผิดไปสามารถไลเบี้ยกับเจาหนาที่ที่ กระทําความผิดไดเชน การลงโทษกับเจาหนาที่คน นั้นตามระเบียบภายใน และ/หรือลงโทษทางวินัย
1 2 3 Data Controller รับทราบ เหตุและประเมินแลววามี Data Breach DPO แจง สคส. และ/หรือ Data Subject ตาม (1) หรือ (2) พรอมบันทึกรายละเอียดเหตุที่ เกิดขึ้น DPO รายงานผูบริหาร และรวมกับฝายที่เกี่ยวของเพื่อประเมินความเสี่ยงที่มี ผลกระทบตอสิทธิและเสรีภาพของเจาของขอมูลสวนบุคคล (1) มีความเสี่ยง: - DPO ตองแจง สคส. พรอมรายละเอียด (2) มีความเสี่ยงสูง: - DPO ตองแจง สคส. + Data Subject พรอมรายละเอียดและแนวทางการเยียวยา ภายใน 72 ชั่วโมง ไมมีความเสี่ยง: - DPO ไมมีหนาที่ตองแจง สคส. 5. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักการและวิธีการในการแจงเหตุละเมิดขอมูลสวนบุคคล (มีผลใชบังคับเมื่อวันที่ 15 ธันวาคม 2565 เปนตนไป) 85 5. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักการและวิธีการในการแจงเหตุละเมิดขอมูลสวนบุคคล (มีผลใชบังคับเมื่อวันที่ 15 ธันวาคม 2565 เปนตนไป) 86
5. ประกาศคณะกรรมการคุมครองขอมูลสวนบุคคล เรื่อง หลักการและวิธีการในการแจงเหตุละเมิดขอมูลสวนบุคคล (มีผลใชบังคับเมื่อวันที่ 15 ธันวาคม 2565 เปนตนไป) 87 88 THANK YOU. ผศ.ดร.ประพนธั พงษขําออน รองคณบดีฝายวิชาการ คณะนิติศาสตรมหาวิทยาลัยหอการคาไทย