Privacy policies
หมวด 1 บทนำ
1.1 หลักการ
บริษัทความตั้งใจที่จะให้ความคุ้มครองแก่ข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนบุคคล(privacy) แก่เจ้าของข้อมูลส่วนบุคคลโดยให้เป็นไปตามแนวทางของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 ตลอดจนกฎ ประกาศ หรือคำสั่งต่าง ๆที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลบริษัทจึงได้จัดทำแนวปฏิบัติตามนโยบายความเป็นส่วนตัวฉบับนี้ขึ้นเป็นแนวทางในการปฏิบัติเพื่อกำหนดรายละเอียดและหน้าที่ความรับผิดชอบในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่บริษัทดำเนินการประมวลผลข้อมูลส่วนบุคคล
1.2 วัตถุประสงค์
(1) เพื่อเป็นแนวปฏิบัติในการบริหารจัดการระบบสารสนเทศด้านความเป็นส่วนตัวเป็นไปอย่างถูกต้องเหมาะสม
(2) เพื่อกำหนดรายละเอียดและหน้าที่ความรับผิดชอบในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่บริษัทดำเนินการประมวลผลข้อมูลส่วนบุคคล
1.3 ขอบเขต
กระบวนแนวปฏิบัติสำหรับผู้ประมวลผลข้อมูลส่วนบุคคลมีขอบเขตครอบคลุมข้อมูลส่วนบุคคลภายในขอบเขตการบริหารจัดการระบบสารสนเทศด้านความเป็นส่วนตัวในฐานะที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
1.4 ข้อยกเว้นการใช้บังคับ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ใช้บังคับในกรณีดังต่อไปนี้
(1.4.1) การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของเจ้าของข้อมูลส่วนบุคคล
(1.4.2) การดำเนินการตามหน้าที่ในการรักษาความมั่นคงของรัฐซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชนรวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
(1.4.3) ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน
งานศิลปกรรมหรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(1.4.4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎรวุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
(1.4.5) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดีการบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(1.4.6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตแห่งชาติ จำกัด และสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
หมวด 2 หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล (Basis Principles ofProtection Data Processing)
หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล (BasisPrinciples of Protection Data Processing) เป็นพื้นฐานสำคัญที่ผู้บริหารและพนักงานทุกคนควรทราบ เพื่อให้เกิดความรู้ความเข้าใจและสามารถปฏิบัติงานตามขั้นตอนตามการคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องซึ่งหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลประกอบด้วย 7 หลักการดังต่อไปนี้
หลักการที่ 1 :การประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness and Transparency)
การประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายมีความเป็นธรรม และโปร่งใสกล่าวคือในการดำเนินการประมวลผลข้อมูลส่วนบุคคลบริษัทจะต้องสามารถอ้างฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลฐานใดฐานหนึ่งตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เสมอและนอกไปจากนั้นในการประมวลผลข้อมูลส่วนบุคคลบริษัทจะต้องคำนึงว่าการประมวลผลข้อมูลส่วนบุคคลจะไม่ขัดแย้งหรือเป็นการละเมิดต่อกฎหมายอื่น ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลนั้นๆ ด้วย
การประมวลผลข้อมูลส่วนบุคคลต้องมีความเป็นธรรมสมเหตุสมผลไม่นำข้อมูลส่วนบุคคลที่ได้จากเจ้าของข้อมูลส่วนบุคคลไปใช้อย่างเกินความคาดหมายของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ข้อมูลส่วนบุคคลไว้ตอนแรกไม่ละเมิดสิทธิและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล และต้องแสดงรายละเอียดการประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจนด้วยภาษาที่เข้าใจง่ายไม่ซับซ้อน หรือไม่ทำให้เกิดความเข้าใจผิดได้ง่ายเพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบว่าข้อมูลส่วนบุคคลที่ตนให้ไว้กับบริษัทจะถูกนำไปประมวลผลและได้รับการปกป้องดูแลอย่างไรบ้าง
ตัวอย่าง :บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากลูกค้าเพื่อประกอบการทำสัญญาโดยใช้ฐานสัญญาและในตอนและบริษัทได้มีการมีประกาศแจ้งเตือนความเป็นส่วนตัวสำหรับลูกค้า (PrivacyNotice) เกี่ยวกับรายละเอียดการประมวลผลข้อมูลส่วนบุคคลอย่างชัดเจนในกรณีที่ลูกค้าต้องการที่จะสอบถามข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลบริษัทสามารถเข้าถึงข้อมูลและใช้งานได้อย่างทันเวลา
หลักการที่ 2 : วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลต้องมีความเฉพาะเจาะจงและจำกัดเพียงเท่าที่จำเป็น(Purpose Limitation)
การเก็บรวบรวมข้อมูลส่วนบุคคลต้องจัดเก็บบนวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลที่มีความเฉพาะเจาะจง(Specified) ชัดแจ้ง (Explicit) และชอบด้วยกฎหมาย (Legitimate) โดยข้อมูลส่วนบุคคลที่ถูกจัดเก็บจะต้องไม่ถูกนำไปใช้นอกเหนือจากวัตถุประสงค์แรกที่จัดเก็บข้อมูลส่วนบุคคลเข้ามา
ตัวอย่าง: บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากลูกค้าเช่น ข้อมูลชื่อ ที่อยู่ เบอร์โทรศัพท์ เพื่อใช้ในการดำเนินขายและจัดส่งเครื่องใช้ไฟฟ้า (PrimaryUse) การประมวลผลข้อมูลส่วนบุคคลเพียงเพื่อให้สามารถทำการขายและจัดส่งเครื่องใช้ไฟฟ้าได้สำเร็จถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคลบนหลักการการประมวลผลข้อมูลส่วนบุคคลที่จำกัดเพียงเท่าที่จำเป็น(Purpose Limitation) แต่เมื่อใดก็ตามที่บริษัทนำข้อมูลส่วนบุคคลที่ได้จากวัตถุประสงค์ในการดำเนินขายและจัดส่งเครื่องใช้ไฟฟ้าไปใช้หรือประมวลผลในวัตถุประสงค์อื่นเช่น นำข้อมูลที่ได้ในครั้งนั้นส่งต่อให้กับพันธมิตรทางธุรกิจหรือบริษัทอื่นเพื่อใช้ในการวิเคราะห์และนำเสนอขายผลิตภัณฑ์ประเภทอื่นๆ ไปยังเจ้าของข้อมูลฯ (Secondary Use) การประมวลผลข้อมูลส่วนบุคคลในครั้งที่2 นี้จัดเป็นการประมวลผลข้อมูลส่วนบุคคลที่ไม่เจาะจงวัตถุประสงค์
หลักการที่ 3 : การประมวลผลข้อมูลส่วนบุคคลต้องเก็บรวมรวมข้อมูลอย่างน้อยที่สุดเพียงเท่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลในแต่ละวัตถุประสงค์(Data Minimization)
หลักการนี้ไม่ได้เป็นหลักการที่จำกัดองค์กรให้ดำเนินการกิจกรรมการประมวผลข้อมูลส่วนบุคคลหากแต่เป็นการจำกัดให้แต่ละองค์กรดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลให้น้อยที่สุด(Aims for a Reduction of Data Collection)
ตัวอย่าง :บริษัทต้องการข้อมูลส่วนบุคคลลูกค้าเพื่อโทรไปนำเสนอขายผลิตภัณฑ์โดยขอความยินยอมและข้อมูลส่วนบุคคลของลูกค้าผ่านแบบฟอร์มในแบบฟอร์มมีการให้ลูกค้าระบุข้อมูล ชื่อ ที่อยู่ เบอร์โทรศัพท์ เพศ สัญชาติเชื้อชาติ และศาสนา หากพิจารณาจากวัตถุประสงค์ของการดำเนินการในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในกิจกรรมนี้จะเห็นได้ว่าการโทรไปนำเสนอขายผลิตภัณฑ์เพียงแค่จัดเก็บข้อมูลชื่อ และเบอร์โทรศัพท์ก็เพียงพอแล้วที่จะบรรลุวัตุประสงค์มนการดำเนินกิจกรรมในครั้งนี้ดังนั้นการเก็บรวมรวมข้อมูล เพศ สัญชาติ เชื้อชาติ และศาสนา จึงเป็นการประมวลผลข้อมูลส่วนบุคคลที่เกินความจำเป็นไม่ตั้งอยู่บนหลักกาในข้อนี้
หลักการที่ 4 : ข้อมูลส่วนบุคคลมีความถูกต้อง สมบูรณ์ และเป็นปัจจุบัน (Accuracy)
ตัวอย่าง :บริษัทต้องตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคลรวมถึงจัดให้มีช่องทางการติดต่อที่เหมาะสมเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิการแก้ไขหรือขอลบข้อมูลส่วนบุคคลของตนและต้องดำเนินการจัดการข้อมูลส่วนบุคคลให้อยู่ในสภาพถูกต้องสมบูรณ์ และเป็นปัจจุบันโดยทันที
หลักการที่ 5 : การจัดเก็บข้อมูลส่วนบุคคลจำกัดเพียงระยะเวลาที่จำเป็น (StorageLimitation)
การจัดเก็บข้อมูลส่วนบุคคลต้องจัดเก็บเพียงระยะเวลาที่จำเป็นสำหรับการประมวลผลตามวัตถุประสงค์ที่ดำเนินการเก็บรวมรวบมาเท่านั้นดังนั้นองค์กรจึงต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาในการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
ตัวอย่าง :บริษัทเก็บเอกสารเกี่ยวกับใบเสร็จ ใบกำกับภาษีและเอกสารที่เกี่ยวกับการซื้อขายสินค้า เป็นระยะเวลา 5 ปีนับแต่วันที่ได้ยื่นแบบแสดงรายการภาษีหรือวันทำรายงาน แล้วแต่กรณีโดยสอดคล้องกับกฎหมายในขณะที่กลุ่มลูกค้าสินเชื่อบริษัทจะจัดเก็บรักษาข้อมูลส่วนบุคคลในระหว่างที่เจ้าของข้อมูลส่วนบุคคลยังคงเป็นลูกค้าของบริษัทและเก็บเป็นระยะเวลา 10 ปีนับตั้งแต่วันที่มีการปิดบัญชีสินเชื่อหรือยุติความสัมพันธ์กับลูกค้าโดยสอดคล้องกับกฎหมายป้องกันและปราบปรามการฟอกเงินโดยเมื่อพ้นกำหนดระยะเวลาดังกล่าวข้างต้นบริษัทต้องดำเนินการลบข้อมูลส่วนบุคคลนั้นทันทีเนื่องจากไม่มีความจำเป็นในการประมวลผลและไม่มีฐานความชอบด้วยกฎหมายใดมารองรับการประมวลผลข้อมูลนี้ได้
หลักการที่ 6 :มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Integrity andConfidentiality)
ตัวอย่าง 1 : ในการรักษาสภาพความเป็นความลับและความถูกต้องของข้อมูลส่วนบุคคลอาจทำได้โดยการจัดทำกระบวนการควบคุมการเข้าถึงหรือใช้งานข้อมูลส่วนบุคคลโดยควรดำเนินการจัดให้มีมาตรการอย่างน้อยดังต่อไปนี้
(1) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(2) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
(3) การบริหารจัดการการเข้าถึงของผู้ใช้งาน(User Access Management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาต
(4) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน(User Responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตการเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
(5) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึงเปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคลให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ตัวอย่าง 2 :บริษัทมีระบบฐานข้อมูลส่วนบุคคลของลูกค้าซึ่งพนักงานขายและสินเชื่อสามารถเข้าถึงข้อมูลดังกล่าวได้แต่พนักงานหน่วยงานอื่นที่ไม่ได้ทำหน้าที่หรือกิจกรรมใดๆที่เกี่ยวข้องกับลูกค้าไม่ควรที่จะเข้าถึงฐานข้อมูลของลูกค้าดังกล่าวตามหลักการของ Confidentiality
หลักการที่ 7 : การแสดงออกซึ่งความตระหนักที่จะประมวลผลข้อมูลส่วนบุคคลให้อยู่บนหลักการพื้นฐานของการประมวลผลข้อมูลส่วนบุคคลและให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Accountability)
องค์กรที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ในการดำเนินการประมวผลข้อมูลส่วนบุคคลให้ตั้งอยู่บนหลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคลที่กล่าวมาเบื้องต้นทั้ง6ข้อเพื่อเป็นการแสดงออกซึ่งความตระหนักที่จะประมวลผลข้อมูลส่วนบุคคลให้อยู่บนหลักการพื้นฐานของการประมวลผลข้อมูลส่วนบุคคลและให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล(Demonstrate Accountability)
หมวด 3 ประเภทข้อมูลส่วนบุคคล
การจำแนกประเภทข้อมูลส่วนบุคคลจะทำให้ผู้บริหาร และบุคลากรของบริษัทสามารถบริหารจัดการข้อมูลส่วนบุคคลได้ถูกต้อง และมีประสิทธิภาพ และลดความเสี่ยงที่จะดำเนินการประมวลผลข้อมูลส่วนบุคคลโดยละเมิดต่อกฎหมาย
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6ได้ให้ความหมายของคำว่า ข้อมูลส่วนบุคคล (Personal Data) ไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”
3.1 ข้อมูลที่เป็นข้อมูลส่วนบุคคล
ข้อมูลที่สามารถใช้ระบุถึงเจ้าของข้อมูลส่วนบุคคลได้โดยตรงหรือใช้ร่วมกับข้อมูลอื่น ๆประกอบกันแล้วทำให้สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้โดยความสามารถในการระบุไปยังเจ้าของข้อมูลส่วนบุคคลแบ่งเป็น 3 ลักษณะ ได้แก่
(1) การแยกแยะตัวบุคคล (Distinguishability) คือ ข้อมูลใด ๆ ที่สามารถแยกแยะตัวบุคคล
ออกจากกันได้ โดยไม่ต้องใช้ข้อมูลอื่นใดร่วมพิจารณาสามารถบ่งชี้ได้ว่าเป็นบุคคลใดบุคคลหนึ่งได้โดยตรง เช่น ชื่อ นามสกุลเลขประจำตัวประชาชน หมายเลขโทรศัพท์
(2) การเชื่อมโยงถึงตัวบุคคล (Linkability) คือ ข้อมูลใด ๆที่ใช้ร่วมกันแล้วสามารถบ่งชี้ได้ว่าเป็นบุคคลใดบุคคลหนึ่ง เช่น ในกรณีที่บุคคลที่1 และบุคคลที่ 2 มีนามสกุลเดียวกัน หากทราบเฉพาะนามสกุล
เพียงอย่างเดียวจะไม่สามารถระบุตัวบุคคลได้อย่างแน่ชัดแต่หากทราบข้อมูลวันเดือนปีเกิด และใช้ข้อมูล
วันเดือนปีเกิดนั้นเชื่อมโยงกับนามสกุลจะสามารถระบุได้ว่าบุคคลดังกล่าวเป็นบุคคลที่ 1 หรือ 2
(3) การติดตามตัวบุคคล (Traceability) คือ ข้อมูลใด ๆ ที่ถูกใช้ในการติดตามเพื่อระบุลักษณะจำเพาะหรือตรวจสอบพฤติกรรมของบุคคลนั้นได้หรือเป็นข้อมูลกิจกรรมที่เกิดขึ้นโดยการกระทำของบุคคลและสามารถบ่งชี้ได้ว่าเป็นบุคคลใดบุคคลหนึ่ง เช่น ข้อมูล Log การเข้าถึงระบบงาน
จากลักษณะของข้อมูลส่วนบุคคลข้างต้น สามารถแบ่งข้อมูลที่เป็นข้อมูลส่วนบุคคล เป็น
3 ประเภท ดังนี้
4.1.1 ข้อมูลส่วนบุคคลทั่วไป (General Personal Data)
ข้อมูลส่วนบุคคลที่เป็นข้อมูลทั่วไปของบุคคลหรือข้อมูลส่วนบุคคลที่ไม่สุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม
3.1.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
ข้อมูลส่วนบุคคลอ่อนไหวเป็นข้อมูลที่หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคลเช่น ข้อมูลรั่วไหล ข้อมูลเหล่านี้จะเป็นข้อมูลที่เมื่อถูกเปิดเผยหรือเข้าถึงโดยบุคคลที่ไม่มีอำนาจ (UnauthorizedAccess) จะมีความเสี่ยงสูงที่เจ้าของข้อมูลส่วนบุคคลจะได้รับความเสียหายหรือเกิดผลกระทบต่อสิทธิเสรีภาพกับเจ้าของข้อมูลส่วนบุคคลมากเช่น หากข้อมูลด้านสุขภาพของผู้ป่วยที่เป็นโรคติดต่อร้ายแรงรั่วไหลผลกระทบที่เกิดขึ้นอาจทำให้เจ้าของข้อมูลส่วนบุคคลถูกเลือกปฏิบัติจากคนในสังคมเป็นเหตุให้ไม่สามารถดำเนินชีวิตได้อย่างปกติได้
ตัวอย่างข้อมูลส่วนบุคคลที่มีความอ่อนไหว
(1) เชื้อชาติ
(2) เผ่าพันธุ์
(3)ความคิดเห็นทางการเมือง
(4)ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
(5) พฤติกรรมทางเพศ
(6)ประวัติอาชญากรรม
(7) ข้อมูลสุขภาพเช่น ข้อมูลความพิการหรือข้อมูลสุขภาพจิต
(8)ข้อมูลการเป็นสมาชิกสหภาพแรงงาน
(9) ข้อมูลพันธุกรรมเช่น หมู่โลหิต
(10) ข้อมูลชีวภาพเช่น ข้อมูลจำลองลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลจำลองม่านตา ข้อมูลอัตลักษณ์เสียงข้อมูลภาพจำลองใบหน้า
(11)ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
3.1.3 ข้อมูลส่วนบุคคลแฝง (PseudonymousData)
ข้อมูลที่ถูกลดหรือจำกัดความสามารถในการเชื่อมโยงข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคลซึ่งทำให้ระบุตัวบุคคลได้ยากขึ้น
ตัวอย่างข้อมูลส่วนบุคคลแฝง
(1)ชื่อ และนามสกุล ที่ถูกแทนที่ด้วยรหัสที่สร้างขึ้นแบบสุ่ม
(2)เลขประจำตัวประชาชนที่ถูกแทนที่ด้วยสัญลักษณ์ภาษาอังกฤษ เช่น XXXXXXXXXX123
3.2 ข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล
ข้อมูลที่ไม่สามารถใช้ระบุถึงเจ้าของข้อมูลส่วนบุคคลได้ข้อมูลนิติบุคคล และข้อมูลของผู้ถึงแก่กรรม
ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล
(1) เลขทะเบียนบริษัท
(2)ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่นหมายเลขโทรศัพท์ของบริษัท
ที่อยู่สำนักงาน อีเมลของหน่วยงานในบริษัท
(3) ข้อมูลนิรนาม (Anonymous Data)
(4) ข้อมูลผู้ถึงแก่กรรม
หมวด 4 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นหลักการสำคัญที่บริษัทต้องให้ความสำคัญ
เป็นอย่างมาก โดยหน่วยงานเจ้าของข้อมูล (Information Owner)ถือว่าเป็นกลุ่มคนสำคัญที่ต้องประเมินระดับความสำคัญของข้อมูลเพื่อร่วมกำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับผู้ดูแลข้อมูลโดยบริษัทจำแนกข้อมูลเป็นหลายลำดับชั้นตามความเหมาะสมซึ่งนำไปสู่การกำหนดมาตรการรักษาความปลอดภัยตามลำดับชั้นของข้อมูลทั้งในรูปแบบเอกสารและรูปแบบอิเล็กทรอนิกส์ เช่น การจำกัดสิทธิการเข้าถึง การแฝงข้อมูล การเข้ารหัสข้อกำหนดในการรับและการส่งข้อมูลแต่ละลำดับชั้นข้อมูล ทั้งนี้
จึงต้องมีการกำหนดมาตรการรักษาความปลอดภัยที่เหมาะสมตามลำดับชั้นความลับและหลักการด้านความปลอดภัยของข้อมูล 3 ด้าน ได้แก่
(1) การรักษาความลับของข้อมูล (Confidentiality) คือ การจำกัดการเข้าถึง การเปิดเผยข้อมูลรวมถึงการปกป้องความเป็นส่วนตัว และสิทธิของเจ้าของข้อมูลส่วนบุคคล
(2) ความถูกต้องสมบูรณ์ของข้อมูล (Integrity) คือ การรักษาความปลอดภัยของข้อมูลจาก
การดัดแปลง หรือถูกทำลายโดยไม่เหมาะสม และการทำให้มั่นใจว่าข้อมูลมีความถูกต้อง
(3) ความพร้อมใช้งานของข้อมูล (Availability) คือ การทำให้แน่ใจว่าสามารถเข้าถึงข้อมูล
และใช้งานได้อย่างทันเวลา
หมวด 5 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5.1. หลักการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการประมวลผลข้อมูลส่วนบุคคลตาม
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายผ่านช่องทางต่างๆ เช่น แบบฟอร์มการซื้อสินค้าหรือสมัครใช้บริการหรือยื่นขอสินเชื่อกับบริษัทโทรศัพท์ ระบบเว็บไซต์ browser’s cookies และแอปพลิเคชันของบริษัทซึ่งต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคล และข้อควรทราบอื่น ๆให้เจ้าของข้อมูลส่วนบุคคลรับทราบผ่านหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลของบริษัท
กรณีการเก็บรวบรวมข้อมูลส่วนบุคคลของพนักงาน นักศึกษาฝึกงานอดีตพนักงาน สมาชิกในครอบครัว ผู้ค้ำประกันการปฏิบัติงาน ที่ปรึกษาและบุคคลอ้างอิง บริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายผ่านหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลสำหรับพนักงาน
กรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลผ่านการบันทึกภาพของกล้องวงจรปิด(CCTV) จะต้องแจ้งให้คนที่อยู่ในพื้นที่ทราบว่าจะมีการบันทึกภาพเช่น การติดป้ายประกาศว่าบริเวณนี้มีการบันทึกภาพของกล้องวงจรปิด (CCTV) หรือติดป้ายสัญลักษณ์ และมี QR Code เพื่อให้อ่านรายละเอียดเพิ่มเติมได้
โดยหลักการในการเก็บรวบรวมข้อมูลส่วนบุคคลมีดังต่อไปนี้
5.1.1วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลต้องชัดเจน ชอบธรรม ไม่ขัดต่อกฎหมายครอบคลุมถึงการใช้ เปิดเผย การเก็บรักษา และการลบ หรือทำลายข้อมูลส่วนบุคคล ดังตัวอย่างต่อไปนี้
§ การบริหารจัดการด้านทรัพยากรบุคคล
§ การพิสูจน์และยืนยันตัวตนของลูกค้า หรือผู้ใช้บริการหรือคู่ค้า หรือพันธมิตรทางธุรกิจของบริษัท
§ การขอความคิดเห็นความพึงพอใจ การสำรวจที่เกี่ยวข้องทางสถิติ
§ การพัฒนาธุรกิจใหม่การส่งเสริมการขาย และกิจกรรมการประชาสัมพันธ์ต่าง ๆ
§ การแก้ไขปัญหาการใช้งานระบบในกรณีที่ต้องใช้ข้อมูลจริงในการตรวจสอบ
§ การบริหารจัดการความสัมพันธ์ระหว่างบริษัทกับคู่ค้าหรือบุคคลภายนอก
§ การต่อต้านป้องกัน ปราบปราม และสอบสวนการทุจริต
§ การประมวลผลข้อมูลส่วนบุคคลที่เกิดจากพฤติกรรมหรือการกระทำที่มีความผิดร้ายแรง
§ การตรวจสอบเหตุการณ์จากการบันทึกภาพของกล้องวงจรปิด(CCTV)
§ การปฏิบัติตามกฎหมายหลักเกณฑ์ และระเบียบข้อบังคับซึ่งบริษัทต้องปฏิบัติ
5.1.2เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์สำหรับการประมวลผลข้อมูล
ส่วนบุคคลเท่านั้น ตามหลักการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย เป็นธรรมและโปร่งใส (Lawfulness, Fairness and Transparency)หลักการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์อันชอบด้วยกฎหมาย (PurposeLimitation) และหลักการประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเกี่ยวข้อง
และจำกัดตามวัตถุประสงค์ (Data Minimization)
ตัวอย่างของข้อมูลส่วนบุคคลที่เก็บรวบรวม เช่น
§ ข้อมูลเฉพาะบุคคล เช่น ชื่อ ที่อยู่ วันเกิด สัญชาติเอกสารระบุตัวตน อีเมล หมายเลขโทรศัพท์
§ ข้อมูลเกี่ยวข้องกับชีวิตส่วนตัว หรือความสนใจส่วนบุคคล
§ ประวัติการทำงาน เช่น สถานะวิชาชีพ ตำแหน่งงาน
§ ข้อมูลทางการเงิน เช่น เลขที่บัญชีธนาคาร
§ ข้อมูลที่เกี่ยวเนื่องกับบุคคล เช่น ข้อมูล IPaddress
§ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพประวัติอาชญากรรม
§ บทสนทนา และการสื่อสารทางโทรศัพท์ หรืออุปกรณ์อิเล็กทรอนิกส์
§ ข้อมูลภาพวีดิทัศน์กล้องวงจรปิด
อย่างไรก็ตามหากบริษัทมีการเก็บรวบรวมข้อมูลจากสำเนาบัตรประจำตัวประชาชน สำเนาทะเบียนบ้านที่มีข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลบริษัทสามารถเก็บรวบรวมข้อมูลจากเอกสารเหล่านั้นได้แต่จะต้องปกปิดหรือลบข้อมูลส่วนบุคคลที่ไม่จำเป็นดังกล่าวออกไป
สำหรับข้อมูลส่วนบุคคลที่บริษัทได้ขอความยินยอมในการเก็บรวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลตามหลักเกณฑ์ในมาตรา 19ก่อนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้บริษัทสามารถใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ด้วยวัตถุประสงค์เดิมตามความยินยอมที่ได้เคยขอไว้โดยไม่ต้องขอความยินยอมใหม่อีกครั้งโดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นให้ปฏิบัติตามคู่มือวิธีปฏิบัติงานฉบับนี้
5.1.3 การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องระบุฐานการประมวลผลข้อมูลส่วนบุคคลให้ได้อย่างน้อย 1ฐาน เพื่อให้ทราบถึงความจำเป็นและข้อจำกัดที่แตกต่างกันของแต่ละฐานการประมวลผลข้อมูลส่วนบุคคล ทั้งนี้สิทธิของเจ้าของข้อมูลส่วนบุคคลอาจมีความแตกต่างกันในแต่ละฐานการประมวลผลข้อมูลส่วนบุคคลด้วย
5.1.4แจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคล รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลรับทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลผ่านหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลของบริษัทภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บนเว็บไซต์ของบริษัทหากเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีบริบูรณ์คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถต้องแจ้งรายละเอียดดังกล่าวให้ผู้ใช้อำนาจปกครอง ผู้อนุบาล หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถแล้วแต่กรณี
ทั้งนี้บริษัทไม่จำเป็นต้องระบุถึงขั้นตอนหรือกระบวนการปฏิบัติงานทุก ๆ กิจกรรมแต่ให้แจ้งถึงรายละเอียดดังต่อไปนี้
(1) การเก็บรวบรวมข้อมูลส่วนบุคคล
(2) วัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล
(3)หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล
(4) การใช้และเปิดเผยข้อมูลส่วนบุคคล
(5)ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
(6)สิทธิของเจ้าของข้อมูลส่วนบุคคล
(7) การรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคล
(8)ช่องทางการติดต่อบริษัท หรือข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
กรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงกรณีที่ไม่ได้รับการยกเว้นให้ไม่ต้องขอความยินยอมบริษัทจะต้องดำเนินการแจ้งแก่เจ้าของข้อมูลส่วนบุคคลผ่านช่องทางต่าง ๆ เช่น อีเมลเอกสารใส่ซองปิดผนึกที่ส่งโดยบุคคลหรือไปรษณีย์ ภายใน 30 วันนับแต่วันที่เก็บรวบรวมข้อมูลส่วนบุคคลและต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย(พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 25)
นอกจากนี้ หากมีการเปลี่ยนแปลงรายละเอียดใด ๆเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบโดยไม่ล่าช้า
5.1.5ขอความยินยอมจากลูกค้าก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลและบันทึกลงในระบบเพื่อจัดเก็บไว้เป็นหลักฐาน เช่น ในกรณีดังต่อไปนี้
(1)การเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้
(1.1)เพื่อประโยชน์ในการพัฒนาและปรับปรุงการให้บริการของบริษัท
(1.2)เพื่อวัตถุประสงค์ทางการตลาด การส่งเสริมการขายการประชาสัมพันธ์ผลิตภัณฑ์และบริการของบริษัท การรับข้อมูลข่าวสารรวมถึงสิทธิประโยชน์ต่าง ๆ
(1.3)เพื่อการสถิติ ศึกษาวิจัย วิเคราะห์ และประเมินผลข้อมูล เพื่อประโยชน์ใน
การพัฒนาผลิตภัณฑ์และบริการของบริษัท รวมถึงการจัดกิจกรรมต่าง ๆ ของบริษัท
(2) การเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวเช่น ข้อมูลชีวภาพ ได้แก่ ข้อมูลภาพจำลองใบหน้า เพื่อประกอบการสร้างความสัมพันธ์รวมถึงการพิสูจน์และยืนยันตัวตนผู้ขอใช้บริการของบริษัท
(3)การเก็บข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุไม่เกิน 20 ปีบริบูรณ์คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
5.1.6 ขอความยินยอมจากพนักงานหรือบุคคลที่เกี่ยวข้องกับพนักงาน ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีที่บริษัทมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เว้นแต่การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นกระทำภายใต้วัตถุประสงค์ดังต่อไปนี้
(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ไม่ว่าด้วยเหตุใดก็ตาม
(2) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิสมาคมหรือองค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญาหรือสหภาพแรงงาน ให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิกหรือผู้ซึ่งมีการติดต่ออย่างสม่ำเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไรตามวัตถุประสงค์ดังกล่าวโดยไม่เปิดเผยข้อมูลส่วนบุคคลนั้นออกไปภายนอกมูลนิธิสมาคมหรือองค์กรไม่แสวงหากำไรนั้น
(3)เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุลคคล
(4)เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(5)เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์การประเมินความสามารถในการทำงานของลูกจ้างการประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริหารด้านสุขภาพหรือด้านสังคมการรักษาทางการแพทย์ การจัดการด้านสุขภาพหรือระบบและการให้บริการด้านสังคมสงเคราะห์ ทั้งนี้ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมายต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับ
ผู้ประกอบวิชาชีพทางการแพทย์
(ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่นการป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักรหรือการควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ซึ่งได้จัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ
(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติสวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมายการคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคมซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลโดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติหรือประโยชน์สาธารณะอื่น ทั้งนี้ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้นและได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด
(จ) ประโยชน์สาธารณะที่สำคัญโดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้กรณีที่ผู้ที่เกี่ยวข้องกับพนักงานเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีบริบูรณ์ คนไร้ความสามารถ
คนเสมือนไร้ความสามารถ ต้องขอความยินยอมจากผู้มีอำนาจปกครอง ผู้อนุบาลหรือผู้พิทักษ์ แล้วแต่กรณี
การเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีที่มีผลิตภัณฑ์บริการ หรือกิจกรรมที่หน่วยงานจัดทำขึ้นเองจะต้องปรึกษาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อพิจารณาฐานการประมวลผลข้อมูลส่วนบุคคลก่อนเก็บรวบรวมข้อมูลส่วนบุคคล(ดูรายละเอียดเพิ่มเติมที่ข้อ 6.3 ฐานการประมวลผลข้อมูลส่วนบุคคล)
5.2. ประเภทเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
บริษัทมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลแบ่งออกเป็น 3 ประเภท ได้แก่
(1) ลูกค้าบริษัท
(2) พนักงานผู้ที่เกี่ยวข้องกับพนักงาน เช่น สามี ภรรยา บิดา มารดา บุตรของพนักงานผู้ติดต่อฉุกเฉิน
(3) ผู้ให้บริการภายนอก คู่สัญญาหรือบุคคลภายนอกที่เกี่ยวข้อง
5.3. ฐานการประมวลผลข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคลหมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ซึ่งการประมวลผลข้อมูลส่วนบุคคลที่ถูกต้องจะต้องเป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 กล่าวคือการประมวลผลข้อมูลส่วนบุคคลจะเกิดขึ้นได้เมื่อมีฐานการประมวลผลข้อมูลส่วนบุคคล (LawfulBasis) ซึ่งฐานการประมวลผลข้อมูลส่วนบุคคล คือ การแสดงเหตุผลหรือความจำเป็นในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลผู้ปฏิบัติงานต้องมีความรู้ความเข้าใจในหลักการของฐานการประมวลผลข้อมูลส่วนบุคคลเพื่อนำไปใช้ในการปฏิบัติงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ได้แก่การพิจารณาฐานการประมวลผลข้อมูลส่วนบุคคลในขั้นตอนการใช้หรือเปิดเผยข้อมูลส่วนบุคคลการพิจารณาฐานการประมวลผลข้อมูลส่วนบุคคลในกรณีที่สาขาดำเนินการจัดกิจกรรมของสาขาเองโดยไม่ผ่านหน่วยงานส่วนกลางหรือการตอบข้อสงสัยของเจ้าของข้อมูลส่วนบุคคลในกรณีที่มีการสอบถามจากเจ้าของข้อมูลส่วนบุคคล
ฐานการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562แบ่งออกเป็น
7 ฐาน ดังนี้
โดยการประมวลผลข้อมูลส่วนบุคคลแต่ละครั้งหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลจะต้องระบุฐานการประมวลผลข้อมูลส่วนบุคคลให้ได้อย่างน้อย1 ฐานแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงฐานในการประมวลผลข้อมูลส่วนบุคคลและดำเนินการกับข้อมูลส่วนบุคคลนั้น ๆ ตามข้อจำกัดที่แตกต่างกันของแต่ละฐานทั้งนี้ฐานการประมวลผลข้อมูลส่วนบุคคลอาจเปลี่ยนแปลงไปตามลักษณะของกิจกรรมที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลในช่วงเวลานั้น ๆบริษัทต้องแจ้งฐานการประมวลผลข้อมูลส่วนบุคคลใหม่ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบรวมถึงวัตถุประสงค์ใหม่ และสิทธิอื่น ๆ ที่เปลี่ยนแปลงไปให้ชัดเจน
5.3.1 ฐานสัญญา (Contract)
การประมวลผลข้อมูลส่วนบุคคลสามารถดำเนินการโดยอาศัย”ฐานสัญญา” ได้โดยที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่จำเป็นต้องดำเนินการขอความยินยอม(consent) จากเจ้าของข้อมูลส่วนบุคคลได้ในกรณีที่
(1)ผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลเพื่อให้สามารถดำเนินการตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาอยู่ด้วย
(2)เพื่อการเข้าสู่การเป็นคู่สัญญาของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานสัญญาต้องเป็นไปอย่างเฉพาะเจาะจงตามที่ระบุในคำขอหรือสัญญานั้นๆ เท่านั้น โดยไม่สามารถนำข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ระบุไว้ในสัญญา เช่นการนำข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์ทางการตลาดและการส่งเสริมการขายเนื่องจากการกระทำดังกล่าวไม่ถือว่าเป็นการจำเป็นต่อการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคลหรือเพื่อปฏิบัติตามสัญญา
นอกจากนี้การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานสัญญา จำกัดเฉพาะข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ยื่นคำขอหรือคู่สัญญาเท่านั้นการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวและการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่สามเช่น คู่สมรส บุตร ผู้รับผลประโยชน์ ไม่สามารถกระทำได้ภายใต้ฐานสัญญาดังนั้นบริษัทจึงต้องพิจารณาฐานการประมวลผลข้อมูลส่วนบุคคลอื่น เช่น ฐานความยินยอมหรือฐานประโยชน์อันชอบธรรม (แล้วแต่กรณี)
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานสัญญามีดังนี้
(1)การเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าที่ซื้อสินค้าและบริการ
(2) การเก็บรวบรวมและใช้ข้อมูลบัญชีธนาคารของพนักงานเพื่อการจ่ายเงินเดือนให้แก่พนักงานตามสัญญาจ้างแรงงาน
ข้อสรุปโดยสังเขป
§ ฐานสัญญาจะต้องเป็นกรณีที่มีความจำเป็นต่อการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนที่จะเข้าสู่การทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างบริษัทกับเจ้าของข้อมูลส่วนบุคคลอย่างเฉพาะเจาะจง
§ จำกัดเฉพาะข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ยื่นคำขอหรือคู่สัญญาเท่านั้น
§ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวและข้อมูลส่วนบุคคลของบุคคลที่สามไม่สามารถประมวลผลด้วยฐานสัญญาได้
5.3.2 ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
ผู้ควบคุมข้อมูลส่วนบุคคลสามารถประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลโดยอาศัยฐานความชอบด้วยกฎหมายนี้ได้เมื่อวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลในกิจกรรมนั้นๆ เป็นไปเพื่อประโยชน์โดยชอบธรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลที่สามทั้งนี้ต้องไม่เป็นการรบกวนหรือกระทบต่อสิทธิความเป็นส่วนตัวและเกินความคาดหมาย (data subject’s expectation)ของเจ้าของข้อมูลส่วนบุคคลเกินไป เช่น การส่งข้อมูลส่วนบุคคลให้หน่วยงานภายในองค์กรเพื่อการบริหารจัดการข้อมูลดังนั้นหากประโยชน์อันชอบธรรมที่บริษัทจะได้รับมีความสำคัญน้อยกว่าสิทธิและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลบริษัทจะไม่สามารถประมวลผลข้อมูลส่วนบุคคลด้วยฐานนี้ได้
บริษัทต้องใช้ดุลยพินิจในการชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมที่บริษัทจะได้รับไม่ให้ขัดกับสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล(Legitimate Interest Assessments - LIA)
โดยพิจารณาถึงปัจจัยดังต่อไปนี้
ประโยชน์ของบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
1. ประโยชน์โดยชอบด้วยกฎหมายของบริษัท
- วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล คือ เพื่อประโยชน์ในการดำเนินงานของบริษัท
2. ความจำเป็น
- การประมวลผลข้อมูลส่วนบุคคลนี้มีความสำคัญต่อบริษัทอย่างมาก
- การประมวลผลข้อมูลส่วนบุคคลนี้เป็นทางเลือกสุดท้ายเพื่อให้บรรลุวัตถุประสงค์
- บริษัทไม่สามารถประมวลผลข้อมูลส่วนบุคคลนี้ด้วยฐานอื่นได้แล้ว (ทั้งนี้ ต้องไม่ใช่กรณีที่บริษัทมีความจำเป็นต้องขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล)
สิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
3. การชั่งน้ำหนักระหว่างผลประโยชน์อันชอบธรรมของบริษัทและสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลว่าจะเกิดการประมวลผลข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลส่วนบุคคลเป็นการสร้างประโยชน์ให้สินค้า/บริการที่เจ้าของข้อมูลส่วนบุคคลใช้อยู่
- การประมวลผลข้อมูลส่วนบุคคลไม่ส่งผลกระทบในเชิงลบสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล
4. มาตรการคุ้มครองและการชดเชย
- บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลมาจากเจ้าของข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลนี้ไม่ใช่ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- การประมวลผลข้อมูลส่วนบุคคลไม่รุกล้ำความเป็นส่วนตัวมากเกินสมควร
- บริษัทมีการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงการประมวลผลข้อมูลส่วนบุคคลนี้แล้ว
- บริษัทมีมาตรการป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้ข้อมูลส่วนบุคคลนี้
จากปัจจัยดังกล่าวข้างต้นสรุปได้ว่าการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมายต้องเป็นกรณีที่ประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นไม่รุกล้ำความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลมากเกินไปและเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผลว่าจะมีการประมวลผลข้อมูลส่วนบุคคลของตนเอง
อย่างไรก็ตามหากเกิดข้อโต้แย้งเกี่ยวกับความถูกต้องของการประมวลผลข้อมูลส่วนบุคคล ภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมาย บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องพิสูจน์ถึงเหตุผลอันสมควรเบื้องต้นเนื่องจากกฎหมายไม่ได้ให้คำจำกัดความในเรื่องนี้ไว้เป็นการเฉพาะ
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมายมีดังนี้
(1) การเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่จำเป็น การบริหารจัดการภายในองค์กรการกำกับดูแลและตรวจสอบ ให้แก่หน่วยงานต่าง ๆ เกี่ยวข้องภายในบริษัท
(2)การติดตั้งกล้อง CCTV ภายในบริเวณอาคาร เพื่อการรักษาความปลอดภัย อย่างไรก็ดีบริษัทควรติดประกาศให้บุคคลที่เข้ามาใช้บริการของบริษัททราบว่ามีการติดตั้งกล้อง CCTVและมีการบันทึกภาพในบริเวณดังกล่าวในพื้นที่ที่สังเกตเห็นได้ง่าย
(3)การเปิดเผยข้อมูลที่อยู่จัดส่งสินค้าและข้อมูลติดต่อของลูกค้าให้กับบริษัทขนส่งสินค้าเพื่อให้ดำเนินการจัดส่งสินค้า
(4)การเก็บรวบรวมข้อมูลส่วนบุคคลของครอบครัวของพนักงานเพื่อใช้ในการติดต่อกรณีฉุกเฉิน
ข้อสรุปโดยสังเขป
ฐานประโยชน์โดยชอบด้วยกฎหมายต้องเป็นกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของบริษัทหรือของบุคคล หรือนิติบุคคลอื่นโดยเจ้าของข้อมูลส่วนบุคคล สามารถคาดหมายได้อย่างสมเหตุสมผลรวมถึงไม่กระทบสิทธิและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลมากเกินไป
5.3.3 ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
บริษัทสามารถดำเนินการจัดเก็บรวบรวบ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้หากมีหน้าที่ตามกฎหมายที่ต้องปฏิบัติและการดำเนินการจัดเก็บรวบรวบ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อให้บริษัทสามารถปฏิบัติหน้าที่ได้ตามที่กฎหมายกำหนดหรือตามคำสั่งของหน่วยงานรของรัฐที่มีอำนาจ
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานหน้าที่ตามกฎหมายมีดังนี้
(1) การนำข้อมูลส่วนบุคคลของลูกค้าไปใช้เพื่อการปฏิบัติตามมาตรการที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศตามกฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์
(2)การเปิดเผยข้อมูลเงินเดือนของพนักงานให้แก่กรมสรรพากรเพื่อตรวจสอบความถูกต้องของการคำนวณภาษีเงินได้บุคคลธรรมดาของพนักงานตามคำสั่งกรมสรรพากรที่ออกภายใต้ประมวลรัษฎากร
(3)การเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานให้หน่วยงานที่มีอำนาจตามกฎหมายเช่น กรมสรรพากร สำนักงานประกันสังคม กองทุนเงินให้กู้ยืมเพื่อการศึกษา (กยศ.)
ข้อสรุปโดยสังเขป
ฐานหน้าที่ตามกฎหมายต้องเป็นกรณีที่จำเป็นต่อการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดโดยหน่วยงานจะต้องทราบว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติของกฎหมายใด หรือตามคำสั่งของหน่วยงานของรัฐที่มีอำนาจหน่วยงานใด
5.3.4 ฐานภารกิจของรัฐ (Public Task)
การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานภารกิจของรัฐเป็นการประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะที่กำหนดไว้ตามกฎหมายโดยอำนาจหน้าที่อันเป็นที่มาของภารกิจต้องมีความชัดเจน ผู้ที่จะประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานนี้จึงมักเป็นเจ้าหน้าที่หรือองค์กรของภาครัฐ ดังนั้น ในกรณีที่บริษัทได้รับมอบหมายให้ใช้อำนาจรัฐในการประมวลผลข้อมูลส่วนบุคคลเพื่อการปฏิบัติภารกิจของรัฐบริษัทต้องสามารถอ้างอิงถึงกฎหมายที่ให้อำนาจได้อย่างเฉพาะเจาะจง
ข้อสรุปโดยสังเขป
ฐานภารกิจของรัฐต้องเป็นกรณีที่จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะที่กำหนดไว้ตามกฎหมาย
5.3.5 ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)
การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานประโยชน์สำคัญต่อชีวิตเป็นการประมวลผลข้อมูลส่วนบุคคลที่มีความจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลรวมถึงการรักษาประโยชน์สาธารณะของบุคคลอื่น
ในกรณีที่เป็นการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวภายใต้ฐานประโยชน์สำคัญต่อชีวิตต้องปรากฏว่าเจ้าของข้อมูลส่วนบุคคลไม่อยู่ในสภาวะที่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตามและไม่มีวิธีอื่นใดที่สามารถปกป้องชีวิต ร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลได้ นอกจากการประมวลผลข้อมูลส่วนบุคคลนี้แล้ว
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลด้วยฐานประโยชน์สำคัญต่อชีวิตมีดังนี้
(1) กรณีที่เจ้าของข้อมูลส่วนบุคคลประสบอุบัติเหตุร้ายแรงไม่มีสติที่จะให้ความยินยอมได้ และแพทย์ผู้รักษาจำเป็นต้องประมวลผลข้อมูลสุขภาพ(ข้อมูลส่วนบุคคลที่มีความอ่อนไหว) เพื่อประกอบการรักษาไม่เช่นนั้นเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นอาจมีอันตรายถึงชีวิต
อย่างไรก็ตามในกรณีที่โรงพยาบาลหรือหน่วยงานที่เกี่ยวข้องร้องขอให้บริษัทเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบริษัท บริษัทควรตรวจสอบให้แน่ชัดก่อนว่าข้อมูลส่วนบุคคลที่อยู่ในความครอบครองมีความครบถ้วนถูกต้อง และได้รับการยืนยันจากเจ้าของข้อมูลส่วนบุคคลครั้งล่าสุดเมื่อใดเพื่อประโยชน์ในการดำเนินงานและป้องกันความคลาดเคลื่อนของข้อมูลส่วนบุคคล
ข้อสรุปโดยสังเขป
§ ฐานประโยชน์สำคัญต่อชีวิตต้องเป็นกรณีที่มีความจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลรวมถึงการรักษาประโยชน์สาธารณะของบุคคลอื่น
§ ในกรณีที่เป็นการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวภายใต้ฐานประโยชน์สำคัญต่อชีวิตต้องปรากฏว่าเจ้าของข้อมูลส่วนบุคคลไม่อยู่ในสภาวะที่สามารถให้ความยินยอมได้
5.3.6ฐานการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ (Historical Document/Statistic/Research)
การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ/วิจัย/สถิติเป็นการประมวลผลข้อมูลส่วนบุคคลที่ในทางปฏิบัติผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถอ้างอิงฐานนี้เพียงฐานเดียวได้เนื่องจากการจัดทำเอกสารประวัติศาสตร์จดหมายเหตุ และการศึกษาวิจัยและสถิติ โดยทั่วไปถูกมองว่าเป็นเพียง “วิธีการ”ในการประมวลผลข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์อย่างใดอย่างหนึ่ง อีกทั้งแนวทางของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General DataProtection Regulation : GDPR)กำหนดให้การศึกษาวิจัยและสถิติต้องมีฐานใดฐานหนึ่งใน 6 ฐาน มาประกอบด้วยเสมอ
อย่างไรก็ตามการประมวลผลข้อมูลส่วนบุคคลด้วยฐานนี้อาจมีความสำคัญกับบริษัทน้อยกว่าฐานอื่นๆเนื่องจากการศึกษาวิจัยหรือสถิติโดยทั่วไปของบริษัทมีลักษณะที่เป็นการกระทำเพื่อวัตถุประสงค์ทางการตลาดและการพัฒนาผลิตภัณฑ์หรือบริการของบริษัทซึ่งจำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ข้อสรุปโดยสังเขป
ฐานจดหมายเหตุ/วิจัย/สถิติไม่สามารถอ้างอิงฐานเดียวได้ ต้องมีฐานใดฐานหนึ่งใน 6 ฐานมาประกอบด้วยเสมอ
5.3.7 ฐานความยินยอม (Consent)
ในกรณีที่ไม่สามารถระบุให้เข้ากับฐานการประมวลผลข้อมูลส่วนบุคคลทั้ง 6 ฐานข้างต้นได้ จะต้องใช้ฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานความยินยอมจะกระทำได้อย่างถูกต้องต่อเมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมหรืออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ได้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ความยินยอม บริษัทก็จะไม่สามารถประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ได้ทั้งนี้ บริษัทควรตระหนักถึงความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานความยินยอมเนื่องจากเจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้ตลอดเวลา
ด้วยลักษณะของฐานความยินยอมขึ้นอยู่กับความสมัครใจของเจ้าของข้อมูลส่วนบุคคลการประมวลผลข้อมูลส่วนบุคคลด้วยฐานนี้จึงมีความเสี่ยงมากเนื่องจากเจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้และหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลจะต้องหยุดการประมวลผลทันที ดังนั้น หากสามารถประมวลผลข้อมูลส่วนบุคคลด้วยฐานอื่นๆ ได้ บริษัทไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด
การขอความยินยอมที่ถูกต้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 บริษัทต้องพิจารณาถึงหลักเกณฑ์ดังต่อไปนี้
(1) บริษัทต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะที่กระทำการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(2)เจ้าของข้อมูลส่วนบุคคลต้องมีสิทธิที่จะให้ความยินยอมหรือไม่ให้ความยินยอมก็ได้กรณีที่ให้ความยินยอม ต้องมีการกระทำที่แสดงถึงการให้ความยินยอมอย่างชัดเจน (ClearAffirmative Action)
เช่น การทำเครื่องหมายในช่องว่าง การกดให้ความยินยอม โดยช่องที่ขอความยินยอมต้องเป็นช่องว่างให้เจ้าของข้อมูลส่วนบุคคลเลือกให้ความยินยอม(opt-in) เท่านั้นไม่สามารถทำในลักษณะที่ให้เจ้าของข้อมูลส่วนบุคคลมาเลือกถอนความยินยอมได้ (opt-out)
(3)การให้หรือไม่ให้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลต้องไม่เป็นเงื่อนไขในการให้บริการหรือผูกติดกับความจำเป็นในการปฏิบัติตามสัญญาหรือส่งผลต่อการพิจารณาการใช้บริการ/ผลิตภัณฑ์
(4)ความยินยอมต้องแยกส่วนออกมาจากเงื่อนไขในการให้บริการอย่างชัดเจน
(5) ภาษาที่ใช้ในการขอความยินยอมต้องเป็นภาษาที่อ่านและเข้าใจได้โดยง่ายไม่ทำให้ลูกค้าสับสนในการเลือกที่จะให้หรือไม่ให้ความยินยอม
(6)การขอความยินยอมจะทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ก็ได้
(7)วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลต้องเฉพาะเจาะจงไม่สามารถระบุว่าเพื่อวัตถุประสงค์ตามความจำเป็นหรือตามที่บริษัทเห็นสมควรได้
(9)ต้องมีทางเลือกให้สามารถปฏิเสธการให้ความยินยอมได้ หรือมีโอกาสถอนความยินยอมได้โดยไม่กระทบเนื้อหาการให้บริการหลัก และการถอนความยินยอมต้องสามารถถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม
(10) กรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกบริษัทต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย
ทั้งนี้ บริษัทสามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยได้รับการยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้
(1)เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุหรือ
เพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการป้องกันที่เหมาะสม
เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยอาศัยฐานอื่นประกอบ เช่นฐานสัญญา ฐานประโยชน์โดยชอบด้วยกฎหมาย ฐานปฏิบัติตามกฎหมาย ฐานภารกิจรัฐหรือฐานประโยชน์สำคัญต่อชีวิต
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพของบุคคล
(3)เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(4)เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
(5)เป็นการจำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัทเว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) เป็นการปฏิบัติตามกฎหมาย
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลของบริษัทที่ต้องขอความยินยอมในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล มีดังนี้
(1) เพื่อวัตถุประสงค์ทางการตลาดการส่งเสริมการขาย การประชาสัมพันธ์ผลิตภัณฑ์และบริการของบริษัทการรับข้อมูลข่าวสาร รวมถึงสิทธิประโยชน์ต่าง ๆ
(2) เพื่อการสถิติ ศึกษาวิจัย วิเคราะห์และประเมินผลข้อมูล เพื่อประโยชน์ในการพัฒนาผลิตภัณฑ์และบริการ รวมถึงการจัดกิจกรรมต่างๆ ของบริษัท
(3)เพื่อประโยชน์ในการพัฒนาและปรับปรุงการให้บริการแอปพลิเคชั่นของบริษัท
(4)เพื่อนำข้อมูลไปประมวลผลและนำเสนอขายผลิตภัณฑ์หรือบริการอื่น ๆ เช่นจัดทำรายงานการขาย เพื่อส่งเสริมการนำเสนอขายโปรโมชั่นในอนาคต เป็นต้น
(5) การประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเช่น ข้อมูลสุขภาพของพนักงาน และผู้ที่เกี่ยวข้องกับพนักงานเพื่อประโยชน์ในการตรวจสอบและการขอรับใช้สิทธิสวัสดิการเบิกเงินค่ารักษาพยาบาลตามหลักเกณฑ์และระเบียบข้อบังคับของบริษัท หรือข้อมูลทางชีวภาพ (BiometricData) เช่น ข้อมูลภาพจำลองใบหน้าเพื่อพิสูจน์และยืนยันตัวตนผู้ขอใช้บริการระบบของบริษัท
(6)การประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุไม่เกิน 20 ปีบริบูรณ์คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ
ข้อสรุปโดยสังเขป
(1)ฐานความยินยอมจะต้องเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมหรืออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลนั้นๆ ได้
(2) เจ้าของข้อมูลส่วนบุคคลสามารถแสดงเจตนาเพิกถอนความยินยอมเมื่อใดก็ได้
(1)การขอความยินยอมการประมวลผลข้อมูลส่วนบุคคลทั่วไปของลูกค้าของบริษัท
ปัจจุบันบริษัทมีการประมวลผลข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมากโดยในบางกรณีบริษัทต้องได้รับความยินยอมจากลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะกระทำการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้านั้น ๆ เช่นกรณีบริษัทนำข้อมูลส่วนบุคคลของลูกค้าไปใช้เพื่อวัตถุประสงค์ทางการตลาดการประชาสัมพันธ์ผลิตภัณฑ์และบริการของบริษัทการศึกษาวิจัย วิเคราะห์และประเมินผลข้อมูล เป็นต้น
การขอความยินยอมจากลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลแบ่งได้ดังนี้
(1)บริษัทสามารถนำข้อมูลส่วนบุคคลของลูกค้าไปประมวลผลได้ภายใต้วัตถุประสงค์ที่ลูกค้าเคยให้ความยินยอมไว้แล้วเท่านั้นซึ่งการให้ความยินยอมนั้นต้องเป็นไปตามหลักเกณฑ์ในมาตรา 19 และบริษัทต้องประชาสัมพันธ์ให้ลูกค้าทราบถึงสิทธิการขอถอนความยินยอมด้วย
ในกรณีที่บริษัทมีความประสงค์นำข้อมูลส่วนบุคคลของลูกค้าไปประมวลผลเพื่อวัตถุประสงค์อื่นหรือการให้ความยินยอมนั้นไม่เป็นไปตามหลักเกณฑ์ในมาตรา 19 บริษัทต้องขอความยินยอมจากลูกค้าใหม่โดยดำเนินการเช่นเดียวกับการขอความยินยอมจากลูกค้าใหม่ของบริษัทกล่าวคือขอความยินยอมจากลูกค้าโดยตรง หรือ ผ่านระบบอิเล็กทรอนิกส์ของบริษัท
(2) กรณีลูกค้าใหม่ของบริษัทบริษัทขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าโดยนำหนังสือให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปประกอบกับแบบคำขอหลักของผลิตภัณฑ์หรือบริการที่ลูกค้าขอใช้บริการกับบริษัทหรือนำข้อความการให้ความยินยอมในหนังสือให้ความยินยอมไปเพิ่มลงบนแบบคำขอหลักต่างๆ ของบริษัท (แล้วแต่กรณี) โดยข้อความการให้ความยินยอมนั้นต้องไม่เป็นเงื่อนไขของการให้บริการหรือสัญญาทั้งนี้ บริษัทสามารถขอความยินยอมจากลูกค้าโดยตรง หรือผ่านระบบอิเล็กทรอนิกส์ของบริษัท
บริษัทจะต้องขอความยินยอมจากลูกค้าก่อนหรือในขณะเก็บรวบรวมข้อมูลในกรณีดังต่อไปนี้
(1) การเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้
§ เพื่อประโยชน์ในการพัฒนาและปรับปรุงการให้บริการหรือผลิตภัณฑ์ของบริษัท
§ เพื่อวัตถุประสงค์ทางการตลาดการส่งเสริมการขาย การประชาสัมพันธ์ผลิตภัณฑ์และบริการทาง การรับข้อมูลข่าวสารรวมถึงสิทธิประโยชน์ต่าง ๆ ของบริษัท
§ เพื่อการสถิติศึกษาวิจัย วิเคราะห์ และประเมินผลข้อมูลเพื่อประโยชน์ในการพัฒนาผลิตภัณฑ์และบริการทาง รวมถึงการจัดกิจกรรมต่าง ๆของบริษัท
§ เพื่อการนำเสนอและขายผลิตภัณฑ์ประกันภัยประเภทต่างๆ ของพันธมิตรทางธุรกิจของบริษัท
(2) การเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวเช่น ข้อมูลชีวภาพ เพื่อประกอบการสร้างความสัมพันธ์รวมถึงการพิสูจน์และยืนยันตัวตนผู้ขอใช้บริการของบริษัท
(3)การเก็บข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุไม่เกิน 20ปีบริบูรณ์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
ข้อสรุปโดยสังเขป
§ กรณีลูกค้าปัจจุบันบริษัทสามารถนำข้อมูลส่วนบุคคลของลูกค้าไปประมวลผลได้ภายใต้วัตถุประสงค์เดิมโดยไม่ต้องขอความยินยอมทั้งนี้ บริษัทต้องแจ้งให้ลูกค้าทราบถึงสิทธิในการถอนความยินยอม
§ กรณีลูกค้าใหม่ บริษัทสามารถขอความยินยอมจากลูกค้าโดยตรงหรือ ผ่านระบบอิเล็กทรอนิกส์ของบริษัท
(2) การขอความยินยอมการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นข้อมูลที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมต่อตัวเจ้าของข้อมูลส่วนบุคคลดังนั้น ในกรณีที่บริษัทมีความประสงค์ที่จะประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเช่น ข้อมูลเชื้อชาติ ศาสนา ประวัติอาชญากรรม สุขภาพ ความพิการการเป็นสมาชิกสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพหรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลอย่างมีนัยสำคัญบริษัทต้องใช้ความระมัดระวังเป็นพิเศษ และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลทุกกรณี เว้นแต่เข้าข้อยกเว้นตามมาตรา 26แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้
(1) กรณีเพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
(2)กรณีเพื่อดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมขององค์กรที่ไม่แสวงหาผลกำไรโดยกรณีนี้จะต้องไม่มีการเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่สาม
(3)กรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่อสาธารณะโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
(4)กรณีที่เป็นการจำเป็นเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(5) กรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์บางประการ เช่น เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์การประเมินความสามารถในการทำงานของลูกจ้าง ประโยชน์สาธารณะด้านการสาธารณสุขการคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมายการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติหรือประโยชน์สาธารณะอื่นที่สำคัญ ทั้งนี้ต้องกระทำเพื่อบรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้นและได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวของลูกค้าบริษัท เช่น
(1) การประมวลผลข้อมูลทางชีวภาพ (BiometricData) เช่น ข้อมูลภาพจำลองใบหน้า เพื่อพิสูจน์และยืนยันตัวตนผู้ขอใช้บริการแอปพลิเคชั่นของบริษัท
ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวของพนักงานและผู้ที่เกี่ยวข้องกับพนักงานเช่น
การประมวลผลข้อมูลสุขภาพของพนักงานและผู้ที่เกี่ยวข้องกับพนักงาน เพื่อประโยชน์ในการรักษาพยาบาลรวมถึงการตรวจสอบและการขอรับใช้สิทธิสวัสดิการเบิกเงินค่ารักษาพยาบาลตามหลักเกณฑ์และระเบียบข้อบังคับของบริษัท
ข้อสรุปโดยสังเขป
การประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวบริษัทต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลทุกกรณีเว้นแต่เข้าข้อยกเว้นตามมาตรา 26แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(3)การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปีบริบูรณ์
กรณีเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์การขอความยินยอมจากผู้เยาว์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ยังคงถือปฏิบัติเช่นเดียวกันกับเจ้าของข้อมูลส่วนบุคคลอื่นๆหากแต่ด้วยสภาพบุคคลที่ยังไม่บรรลุนิติภาวะหรือเสมือนบรรลุนิติภาวะตามประมวลกฎหมายแพ่งและพาณิชย์พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
กรณีผู้เยาว์มีอายุไม่เกิน 20 ปี บริษัทต้องขอความยินยอมจากผู้ใช้อำนาจปกครอง คือ บิดา มารดาหรือผู้ปกครองซึ่งเป็นบุคคลอื่นนอกจากบิดามารดาที่ได้รับแต่งตั้งตามคำสั่งศาลโดยใช้หนังสือให้ความยินยอมตามแบบฟอร์มหนังสือให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวกรณีผู้เยาว์อายุไม่เกิน20 ปีบริบูรณ์/คนไร้ความสามารถ/คนเสมือนไร้ความสามารถ
โดยเอกสารหลักฐานในการยืนยันตัวตนของผู้ใช้อำนาจปกครองหรือผู้ปกครอง ได้แก่
(1) กรณีผู้ใช้อำนาจปกครองเป็นมารดา
§ สำเนาทะเบียนบ้านของผู้เยาว์หรือสำเนาสูติบัตรของผู้เยาว์ และ
§ บัตรประจำตัวประชาชนของมารดา
(2) กรณีผู้ใช้อำนาจปกครองเป็นบิดา
§ สำเนาทะเบียนบ้านของผู้เยาว์หรือสำเนาสูติบัตรของผู้เยาว์ และ
§ บัตรประจำตัวประชาชนของบิดา และ
§ ทะเบียนสมรสของบิดามารดา หรือกรณีที่บิดามารดาไม่ได้จดทะเบียนสมรสกันหรือไม่ได้มีการระบุชื่อของบิดาในสูติบัตรจะต้องมีเอกสารการจดทะเบียนว่าเป็นบุตรหรือคำพิพากษา/คำสั่งศาลถึงที่สุดรับรองว่าผู้เยาว์เป็นบุตร
(3)กรณีที่ผู้ปกครองซึ่งเป็นบุคคลอื่นนอกจากบิดาหรือมารดา
§ บัตรประจำตัวประชาชนของผู้ปกครอง และ
§ คำพิพากษา/คำสั่งศาลถึงที่สุดแต่งตั้งให้เป็นผู้ปกครอง
ข้อสรุปโดยสังเขป
กรณีที่ผู้เยาว์มีอายุไม่เกิน20 ปีต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ทุกกรณี
(4)การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เป็นคนไร้ความสามารถ/คนเสมือนไร้ความสามารถ
(1)ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถบริษัทต้องขอความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของคนไร้ความสามารถจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถโดยใช้หนังสือให้ความยินยอมกรณีผู้เยาว์/คนไร้ความสามารถ/คนเสมือนไร้ความสามารถ
(2)ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถบริษัทต้องขอความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของคนเสมือนไร้ความสามารถจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถโดยใช้หนังสือให้ความยินยอมกรณีผู้เยาว์/คนไร้ความสามารถ/คนเสมือนไร้ความสามารถ
ในการทำนิติกรรมสัญญา บุคคลทุกคนมีสิทธิเข้าทำนิติกรรมสัญญาแต่มีบุคคลบางประเภทที่หย่อนความสามารถ เช่น คนไร้ความสามารถคนเสมือนไร้ความสามารถ ที่กฎหมายให้ความคุ้มครองเป็นพิเศษโดยจะต้องมีผู้อนุบาลและผู้พิทักษ์อย่างไรก็ดี ในการพิจารณาว่านิติกรรมมีความสมบูรณ์หรือไม่ให้พิจารณาความสามารถของบุคคลขณะเข้าทำสัญญา เพราะฉะนั้นหากบุคคลใดที่ทำกิจกรรมใดๆ กับบริษัทก่อนที่ศาลสั่งให้เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ ถือได้ว่าบุคคลนั้นยังมีความสามารถกระทำการได้เองนิติกรรมมีความสมบูรณ์และมีผลผูกพันระหว่างคู่สัญญากับบริษัทเพราะฉะนั้นบริษัทจึงไม่ต้องขอความยินยอมเพิ่มเติมหากบริษัทยังใช้ข้อมูลส่วนบุคคลไปประมวลผลภายใต้ขอบเขตวัตถุประสงค์เดิม เว้นแต่การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่บริษัทจะต้องได้รับความยินยอมจากผู้อนุบาลหรือผู้พิทักษ์
ทั้งนี้หลักเกณฑ์ในการขอความยินยอมจากคนไร้ความสามารถและคนเสมือนไร้ความสามารถดังกล่าวข้างต้นจะนำมาใช้กับการถอนความยินยอม การใช้สิทธิ การร้องเรียน การแจ้งให้ทราบและการอื่นใดที่เกี่ยวข้องกับสิทธิของเจ้าของข้อมูลส่วนบุคคลโดยอนุโลมด้วย
ข้อสรุปโดยสังเขป
§ กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถต้องขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
§ กรณีเจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถต้องขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
(5) การขอความยินยอมจัดเก็บคุกกี้ (Cookies)
คุกกี้เป็นข้อมูลตัวอักษรเล็ก ๆ (textfile) ที่ถูกดาวน์โหลดและจัดเก็บไว้ในอุปกรณ์ เช่นเครื่องคอมพิวเตอร์ หรือสมาร์ทโฟนของผู้ที่เข้ามาเยี่ยมชมหน้าเว็บไซต์ (terminalequipment) โดยคุกกี้จะสามารถจดจำอุปกรณ์ของผู้เข้าชมเว็บไซต์และจัดเก็บข้อมูลบางประเภทเกี่ยวกับความต้องการของผู้บริโภค
(user’s preferences) และประวัติการเข้าชมบนหน้าเว็บไซต์ (pastactions)
(5.1) การแจ้งรายละเอียดการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการเก็บคุกกี้แก่เจ้าของข้อมูลส่วนบุคคล
สามารถแจ้งผ่านหนังสือแจ้งเตือนการประมวลผลข้อมูลส่วนบุคคล(Privacy Notice) บนเว็บไซต์ของบริษัทหรือระบบที่มีการจัดเก็บคุกกี้ ซึ่งประกอบด้วยหัวข้ออย่างน้อย ดังนี้
ความหมายของคุกกี้
เนื้อหาในส่วนนี้อธิบายถึงความหมายของคุกกี้เพื่อให้เจ้าของข้อมูลส่วนบุคคลเข้าใจข้อมูลที่จัดเก็บ
ตัวอย่างความหมายของคุกกี้
คุกกี้ คือ ไฟล์คอมพิวเตอร์เล็ก ๆที่จะทำการเก็บข้อมูลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของผู้ใช้บริการเพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสารมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น คุกกี้จะหมดอายุหรือสิ้นผลเมื่อสิ้นสุดการใช้งานระบบเว็บไซต์หรือการเชื่อมโยงข้อมูลของบริษัทหรือจนกว่าผู้ใช้บริการจะทำการลบคุกกี้นั้นเสียหรือกระทำการที่ไม่อนุญาตให้คุกกี้นั้นทำงานอีกต่อไป
วัตถุประสงค์การจัดเก็บคุกกี้
เนื้อหาในส่วนนี้อธิบายถึงวัตถุประสงค์การจัดเก็บคุกกี้และการประมวลผลคุกกี้
ตัวอย่างวัตถุประสงค์การจัดเก็บคุกกี้
(1)เพื่อความสะดวกในการเข้าใช้งานระบบเว็บไซต์ของผู้ใช้บริการบริษัทจะใช้คุกกี้ในการตรวจสอบความถูกต้องของข้อมูลตัวตนของผู้ใช้งาน
(2) เพื่อการโฆษณาประชาสัมพันธ์
ประเภทของคุกกี้
เนื้อหาในส่วนนี้อธิบายถึงประเภทของคุกกี้ที่ใช้บนเว็บไซต์ได้แก่
(1) คุกกี้ที่จำเป็น (StrictlyNecessary Cookies) คุกกี้ประเภทนี้มีความจำเป็นต่อการทำงานของเว็บไซต์เพื่อให้เว็บไซต์สามารถทำงานได้เป็นปกติ มีความปลอดภัยและทำให้เจ้าของข้อมูลสามารถเข้าใช้เว็บไซต์ได้ เช่น การ log in เข้าสู่เว็บไซต์ การยืนยันตัวตนเจ้าของข้อมูลไม่สามารถปิดการใช้งานของคุกกี้ประเภทนี้ผ่านระบบของเว็บไซต์ของบริษัทได้
(2) คุกกี้เพื่อการวิเคราะห์ (AnalyticCookies)คุกกี้ประเภทนี้จะเก็บข้อมูลการใช้งานเว็บไซต์ของเจ้าของข้อมูลเพื่อให้เราสามารถวัดผล ประเมิน ปรับปรุงและพัฒนาเนื้อหาสินค้า/บริการและเว็บไซต์ของบริษัทเพื่อเพิ่มประสบการณ์ที่ดีในการใช้เว็บไซต์ทั้งนี้ หากเจ้าของข้อมูลไม่ยินยอมให้บริษัทใช้คุกกี้ประเภทนี้ บริษัทจะไม่สามารถวัดผลประเมิน และพัฒนาเว็บไซต์ได้
(3) คุกกี้เพื่อช่วยในการใช้งาน (FunctionalCookies) คุกกี้ประเภทนี้จะช่วยจดจำข้อมูล
คอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ที่เจ้าของข้อมูลใช้เข้าชมเว็บไซต์ข้อมูลการลงทะเบียนหรือล็อคอินข้อมูลการตั้งค่าหรือตัวเลือกที่เคยเลือกไว้บนเว็บไซต์เช่น ภาษาที่แสดงบนเว็บไซต์ ที่อยู่สำหรับจัดส่งสินค้าเพื่อให้สามารถใช้งานเว็บไซต์ได้สะดวกยิ่งขึ้น โดยไม่ต้องให้ข้อมูลหรือตั้งค่าใหม่ทุกครั้งที่เจ้าของข้อมูลเข้าใช้เว็บไซต์ทั้งนี้ หากเจ้าของข้อมูล ไม่ยินยอมให้บริษัทใช้คุกกี้ประเภทนี้เจ้าของข้อมูลอาจใช้งานเว็บไซต์ได้ไม่สะดวกและไม่เต็มประสิทธิภาพ
(4)คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย (Targeting Cookies) คุกกี้ประเภทนี้จะเก็บข้อมูลต่างๆซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลและสร้างโปรไฟล์เกี่ยวกับตัวเจ้าของข้อมูลเพื่อให้บริษัทสามารถวิเคราะห์และนำเสนอเนื้อหาสินค้าบริการ และหรือ โฆษณาที่เหมาะสมกับความสนใจของเจ้าของข้อมูลได้ ทั้งนี้หากเจ้าของข้อมูลไม่ยินยอมให้บริษัทใช้ คุกกี้ประเภทนี้เจ้าของข้อมูลอาจได้รับข้อมูลและโฆษณาทั่วไปที่ไม่ตรงกับความสนใจของเจ้าของข้อมูล
อย่างไรก็ตามบริษัทอาจจัดเก็บคุกกี้ประเภทอื่นเพิ่มเติม ตามวัตถุประสงค์ใหม่ได้ในอนาคตโดยจะต้องแจ้งประเภทของคุกกี้และวัตถุประสงค์ดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลรับทราบ
การจัดการคุกกี้
บริษัทต้องแจ้งวิธีการจัดการคุกกี้ให้เจ้าของข้อมูลส่วนบุคคลรับทราบเช่นการตั้งค่าปิดการใช้งานคุกกี้ของแต่ละเว็บเบราว์เซอร์ที่เจ้าของข้อมูลส่วนบุคคลเลือกใช้รวมถึงแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการปิดการใช้งานคุกกี้ดังกล่าวด้วย
(5.2) การขอความยินยอมการจัดเก็บคุกกี้
บริษัทต้องมีการแจ้งเตือน (Notification)ให้เจ้าของข้อมูลส่วนบุคคลทราบว่าจะมีการจัดเก็บคุกกี้ในการใช้บริการเว็บไซต์โดยสามารถแสดงรายละเอียดในหนังสือแจ้งการประมวลผลคุกกี้ (Cookie Notice)หรือหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลเพิ่มเติมได้ในรูปแบบของลิ้งค์ในการแจ้งเตือน(เอกสารแนบ 4)
ตัวอย่างการแจ้งเตือน(Notification)
(1)เว็บไซต์นี้จะจัดเก็บคุกกี้เพื่อวัตถุประสงค์ในการปรับปรุงประสบการณ์ของผู้ใช้ให้ดียิ่งขึ้นท่านสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับประเภทของคุกกี้ที่บริษัทจัดเก็บวัตถุประสงค์การใช้คุกกี้ และวิธีการตั้งค่าคุกกี้ได้ที่หนังสือแจ้งเตือนการประมวลผลข้อมูลส่วนบุคคล(Privacy Notice)
การจัดเก็บคุกกี้นอกเหนือจากคุกกี้ประเภทที่มีความจำเป็นสำหรับเว็บไซต์เพื่อให้สามารถใช้งานขั้นพื้นฐานได้(Strictly Necessary Cookies) จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้งผ่านbrowser’s cookies นอกจากนี้การขอความยินยอมจะต้องสามารถให้เจ้าของข้อมูลส่วนบุคคลเลือกให้ความยินยอมในการเก็บคุกกี้ได้ด้วย
ข้อสรุปโดยสังเขป
§ คุกกี้ที่มีความจำเป็นสำหรับการเข้าใช้บริการเว็บไซต์ของบริษัทบริษัทไม่ต้องขอความยินยอมในการใช้งานคุกกี้ประเภทนี้แต่ยังคงต้องทำการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่ามีการใช้งานคุกกี้ประเภทนี้อยู่
§ คุกกี้ที่จัดเก็บเพื่อการวิเคราะห์(Analytic Cookies) คุกกี้เพื่อช่วยในการใช้งาน (Functional Cookies) คุกกี้เพื่อปรับเนื้อหาให้เข้ากับกลุ่มเป้าหมาย(Targeting Cookies) หรือนอกเหนือจากคุกกี้ประเภทที่มีความจำเป็นสำหรับเว็บไซต์เพื่อให้สามารถใช้งานขั้นพื้นฐานได้(Strictly Necessary Cookies) ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการประมวลผลข้อมูลส่วนบุคคล
6.4. หลักการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้จากการเก็บรวบรวมตามหลักการข้อ 6.1 ทั้งนี้หากบริษัทให้หน่วยงานหรือบุคคลภายนอกดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแทนบริษัทเช่นการวิเคราะห์เชิงสถิติ บริษัทจะต้องกำหนดให้หน่วยงานหรือบุคคลภายนอกดังกล่าวเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าวรวมถึงป้องกันมิให้นำข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้หรือเปิดเผยเพื่อการอื่นใดโดยไม่มีอำนาจ หรือโดยขัดต่อกฎหมาย
6.5.การเปิดเผยหรือส่งข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคล
กรณีบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีการเปิดเผยหรือส่งข้อมูลส่วนบุคคลให้บุคคลภายนอกในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล เช่นสัญญาจ้างระหว่างบริษัทและหน่วยงานภายนอก เป็นต้นบริษัทจะต้องจัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลให้เป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562โดยให้หน่วยงานแจ้งบุคคลหรือหน่วยงานภายนอกที่มีการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัทจัดทำ“ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคล (DataProcessing Agreement : DPA)” ซึ่งข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลควรประกอบด้วยเนื้อหาดังนี้
(1) เงื่อนไขและคำสั่งในการประมวลผลข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอก
(2) การดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
(3) การเก็บรักษาและการใช้ข้อมูลส่วนบุคคล
(4) การส่งหรือโอนถ่ายข้อมูลส่วนบุคคลไปยังบุคคลอื่นหรือสถานที่อื่น
(5) หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
(6) มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
(7) การรักษาความลับของข้อมูลส่วนบุคคล
(8) การลบหรือการทำลายข้อมูลส่วนบุคคล
(9)การแจ้งเตือนเมื่อเกิดปัญหาด้านความปลอดภัยหรือเกิดเหตุการละเมิดข้อมูลส่วนบุคคล
(10)ความรับผิดของผู้ประมวลผลข้อมูลส่วนบุคคล
โดยบริษัทสามารถใช้ข้อตกลงเพิ่มเติมว่าด้วยการประมวลผลข้อมูลส่วนบุคคล(Data Processing Agreement : DPA) (เอกสารแนบ 6)เป็นเอกสารแนบท้ายสัญญาและให้ถือว่าข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของสัญญาจ้าง ทั้งนี้บริษัทต้องจัดให้คู่สัญญาของบริษัทเพื่อลงนามในข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคล
6.6 การเปิดเผยหรือส่งข้อมูลส่วนบุคคลให้ผู้ควบคุมข้อมูลส่วนบุคคลอื่น
กรณีบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีการเปิดเผยโอนหรือส่งข้อมูลส่วนบุคคลให้บุคคลภายนอกในฐานะผู้ควบคุมข้อมูลส่วนบุคคลผู้รับการเปิดเผยโอน หรือส่งข้อมูลส่วนบุคคลจากบริษัท
(“ผู้ควบคุมข้อมูลส่วนบุคคลผู้รับการเปิดเผย”) เช่นการเปิดเผยข้อมูลไปยังพันธมิตรทางธุรกิจของบริษัทบริษัทจะต้องจัดให้มีข้อตกลงกับผู้ควบคุมข้อมูลส่วนบุคคลผู้รับการเปิดเผยเพื่อควบคุมการดำเนินงาน หรือการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูลส่วนบุคคลจากบริษัทให้เป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562โดยให้หน่วยงานแจ้งผู้ควบคุมข้อมูลส่วนบุคคลผู้รับการเปิดเผยหรือหน่วยงานภายนอกที่มีการประมวลผลข้อมูลส่วนบุคคลให้จัดทำ“บันทึกข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล” (Data Sharing Agreement : DSA) ซึ่งข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลผู้รับการเปิดเผยควรประกอบด้วยเนื้อหาดังนี้
(1) ข้อมูลส่วนบุคคลที่คู่สัญญาแบ่งปันกัน
(2) วัตถุประสงค์ในการแบ่งปันข้อมูลส่วนบุคคลแต่ละประเภท
(3) ฐานความชอบด้วยกฎหมายในการแบ่งปันข้อมูลส่วนบุคคลแต่ละประเภท
(4) หน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคล
(5) การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
(6) การลบ หรือทำลายข้อมูลส่วนบุคคล
หมวด 6 การเก็บรักษาข้อมูลส่วนบุคคลและระยะเวลาการจัดเก็บ
บริษัทต้องเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์จากการเก็บรวบรวมข้อมูลส่วนบุคคลและรักษาความปลอดภัยข้อมูลส่วนบุคคลตามรูปแบบการเก็บรักษา และชั้นความลับของข้อมูลโดยหลักการในการเก็บรักษาข้อมูลส่วนบุคคลมีรายละเอียดดังนี้
1. การเก็บรักษาข้อมูลส่วนบุคคลต้องจัดเก็บในสถานที่หรือรูปแบบที่มีการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันการเข้าถึง เปลี่ยนแปลง แก้ไขข้อมูลโดยมิชอบหรือถูกนำไปใช้นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเช่น จัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลในตู้เอกสารที่ล็อคและกันไฟ จัดเก็บเอกสาร ณคลังเอกสาร จัดเก็บข้อมูลส่วนบุคคลในคอมพิวเตอร์ของบริษัทที่จำกัดการเข้าถึงโดยการพิสูจน์ตัวตนเฉพาะผู้มีสิทธิในการเข้าถึงเท่านั้น
2. การเก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาการจัดเก็บที่กำหนดไว้ซึ่งปัจจุบันบริษัทได้กำหนดระยะเวลาการจัดเก็บไว้ในบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล(Records of Processing Activity: RoPA/DataInventory) ของแต่ละแผนก ดังตัวอย่างในตารางต่อไปนี้
ประเภทข้อมูลส่วนบุคคล
วิธีปฏิบัติงานที่เกี่ยวข้อง
ข้อมูลและเอกสารทางบัญชี
10 ปี อ้างอิงจาก ประมวลรัษฎากร มาตรา 87/3 และอำนาจการตรวจสอบย้อนหลังของสรรพากร
ข้อมูลทะเบียนและเอกสารต่างๆที่เกี่ยวข้องกับการว่าจ้างลูกจ้าง
อย่างน้อย 2 ปีนับแต่วันสิ้นสุดของการจ้างลูกจ้าง
สำหรับข้อมูลส่วนบุคคลที่จัดเก็บในสื่อบันทึกข้อมูลหรือคอมพิวเตอร์ของบริษัทผู้ดูแลสื่อบันทึกข้อมูลหรือผู้ใช้คอมพิวเตอร์ของบริษัทต้องลบข้อมูลส่วนบุคคลทันทีหลังจากใช้ข้อมูลส่วนบุคคลดังกล่าวแล้วเสร็จ
อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดข้อยกเว้นแม้ข้อมูลส่วนบุคคล
นั้นจะพ้นระยะเวลาเก็บรักษา หรือไม่เกี่ยวข้องกับวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลแต่ยังสามารถเก็บรักษาไว้ได้เพื่อวัตถุประสงค์บางประการ ได้แก่
(1) การจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของบริษัท
หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัท
(2) การจำเป็นเพื่อปฏิบัติตามกฎหมายให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์หรือประโยชน์สาธารณะด้านสาธารณสุข
(3) การก่อตั้งสิทธิเรียกร้องตามกฎหมาย
(4) การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย
(5) การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
หมวด 7 สิทธิของเจ้าของข้อมูลส่วนบุคคล
จากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 เจ้าของข้อมูลส่วนบุคคลมีสิทธิดังต่อไปนี้
7.1 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Rightto Access)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนเองรวมถึงมีสิทธิให้บริษัทเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม
เจ้าของข้อมูลส่วนบุคคลอาจสามารถเข้าถึงข้อมูลส่วนบุคคลดังนี้
§ สำเนาข้อมูลส่วนบุคคล
§ วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคคลของตน
§ การได้มาซึ่งข้อมูลส่วนบุคคล
§ ประเภทของข้อมูลส่วนบุคคลที่ถูกนำไปใช้ประมวลผล
§ ชื่อของบุคคลที่สามที่ข้อมูลส่วนบุคคลถูกปิดเผยไปยัง
บริษัทอาจปฏิเสธการขอใช้สิทธิการขอเข้าถึงฯของเจ้าของเจ้าของข้อมูลส่วนบุคคลดังนี้
§ ปฏิเสธตามกฎหมาย
§ ปฏิเสธตามคำสั่งศาล
§ การเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
เมื่อบริษัทได้รับคำขอใช้สิทธิดังกล่าวบริษัทต้องดำเนินการตามคำขอ หรือหากปฏิเสธการดำเนินการตามคำขอบริษัทต้องดำเนินการแจ้งผลการดำเนินการ หรือ เหตุของการปฏิเสธคำร้องขอไปยังเจ้าของข้อมูลส่วนบุคคลภายใน 30 วันนับแต่วันที่ได้รับการร้องขอ
7.2 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Rightto Rectification)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้บริษัทแก้ไขและเพิ่มเติมข้อมูลส่วนบุคคลให้ถูกต้อง
เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
(1)กรณีที่ข้อมูลไม่ถูกต้อง คือ ข้อมูลที่ไม่ตรงกับความจริง
(2)กรณีที่ข้อมูลไม่สมบูรณ์ คือ บริษัทมีข้อมูลส่วนบุคคลที่ถูกต้อง แต่ไม่ครบถ้วนจึงไม่เพียงพอต่อการนำไปประมวลผลข้อมูลส่วนบุคคลได้
7.3 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Rightto Data Portability)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากบริษัทขอให้บริษัทส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นในกรณีที่ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่าน ใช้งานและเปิดเผยได้ด้วยวิธีการอัตโนมัติ รวมถึงขอรับข้อมูลส่วนบุคคลดังกล่าวที่บริษัทส่งหรือโอนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นในกรณีที่สามารถกระทำได้โดยสภาพทางเทคนิค
ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลจะขอใช้สิทธิให้โอนย้ายต้องเป็นข้อมูลส่วนบุคคลที่บริษัทประมวลผลโดยอาศัยฐานความยินยอม ฐานสัญญาหรืออาศัยฐานทางกฎหมายอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
อย่างไรก็ตามบริษัทสามารถปฏิเสธคำขอได้ในกรณีที่
(1) การใช้สิทธินั้นทำให้บริษัทไม่สามารถปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะหรือไม่สามารถปฏิบัติหน้าที่ตามกฎหมายได้ หรือ
(2)การใช้สิทธินั้นจะก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของบุคคลอื่น
(3) เป็นการขอใช้สิทธิโดยไม่สุจริต เช่น เป็นการขอใช้สิทธิมากเกินความจำเป็นหรือเพื่อหวังจะสร้างความเดือดร้อนรำคาญแก่บริษัท
7.4 สิทธิในการเพิกถอนความยินยอม (Right toWithdraw Consent)
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้และการถอนความยินยอมจะต้องทำได้โดยง่ายเช่นเดียวกับการให้ความยินยอมทั้งนี้หากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใดผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งผลกระทบดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคลทราบก่อนด้วย
การถอนความยินยอมต้องไม่กระทบต่อการประมวลผลข้อมูลส่วนบุคคลก่อนหน้าที่ได้กระทำโดยชอบแล้ว
7.5 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Rightto Object)
กรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิในการขอคัดค้านการประมวลผลฯผู้ควบคุมข้อมูลส่วนบุคคลต้องหยุดการประมวลผลไปจนกว่าจะสามารถชี้แจ้งได้ถึงความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลนั้นๆ
อย่างไรก็ตาม บริษัทสามารถปฏิเสธคำร้องในแต่ละกรณีข้างต้นได้หากพิสูจน์ได้ว่า
(1) ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัทหรือของบุคคลหรือนิติบุคคลอื่นหรือเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือใช้อำนาจรัฐนั้นบริษัทมีเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า หรือการประมวลผลข้อมูลส่วนบุคคลเป็นไปเพื่อก่อตั้งปฏิบัติตาม ใช้ หรือยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย
(2) ในกรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลเพื่อการวิจัยวิทยาศาสตร์ประวัติศาสตร์ หรือสถิตินั้น บริษัทจำเป็นต้องกระทำเพื่อประโยชน์สาธารณะ
ในกรณีที่บริษัทได้รับคำขอใช้สิทธิคัดค้านข้างต้นบริษัทต้องหยุดการประมวลผลข้อมูลส่วนบุคคลและแยกส่วนข้อมูลส่วนบุคคลดังกล่าวออกจากข้อมูลอื่นอย่างชัดเจนในทันที
7.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (Rightto Restriction of Processing)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
(1)ระหว่างรอการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคลตามที่ได้ร้องขอให้แก้ไขข้อมูลดังกล่าวให้ถูกต้อง
(2)ระหว่างรอการพิสูจน์ของบริษัทเพื่อปฏิเสธการใช้สิทธิคัดค้านของเจ้าของข้อมูลส่วนบุคคล
(3) ขอระงับการใช้แทนการลบข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นในการเก็บรักษาต่อไปแต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้บริษัทยังคงเก็บรักษาไว้เพื่อใช้ในการก่อตั้งปฏิบัติตาม ใช้ หรือยกข้อต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย
(4) ขอระงับการใช้แทนการลบข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยไม่ชอบด้วยกฎหมาย
ผู้ควบคุมข้อมูลส่วนบุคคลต้องระงับการประมวลผลข้อมูลส่วนบุคคลดังกล่าวจนกว่า
(1) เจ้าของข้อมูลจะยกเลิกคำขอระงับการประมวลผล
(2) มีความจำเป็นตามกฎหมายที่ต้องประมวลผล
(3)การประมวลผลเป็นไปเพื่อปกป้องสิทธิเสรีภาพของบุคคลอื่นหรือประโยชน์สาธารณะ
7.7 สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (Rightto Erasure)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้บริษัทลบหรือทำลายข้อมูลส่วนบุคคลของตนหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ในกรณีดังต่อไปนี้
(1)ข้อมูลส่วนบุคคลไม่มีความจำเป็นที่จะเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(2) เมื่อเจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอมแล้วและบริษัทไม่มีอำนาจหรือความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลบนฐานความชอบด้วยกฎหมายใดๆ ที่จะประมวลผลข้อมูลส่วนบุคคลนั้นต่อไป
(3) ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการประมวลผลข้อมูลส่วนบุคคลบางประการและบริษัทไม่สามารถอ้างเหตุปฏิเสธการคัดค้านได้
(4) ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลดังกล่าวไม่ชอบด้วยกฎหมาย
อย่างไรก็ตาม บริษัทสามารถปฏิเสธคำร้องได้หากพิสูจน์ได้ว่าบริษัทจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคล
(1) เพื่อใช้เสรีภาพในการแสดงความคิดเห็น
(2) เพื่อวัตถุประสงค์ตามฐานจดหมายเหตุ วิจัยสถิติ หรือฐานภารกิจของรัฐ
(3)เพื่อปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพหรือระบบและการให้บริการด้านสังคมสงเคราะห์หรือเพื่อประโยชน์สาธารณะด้านสาธารณะสุข
(4) เพื่อก่อตั้ง ปฏิบัติตาม ใช้หรือยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย หรือ
(5) เพื่อปฏิบัติตามกฎหมาย
การใช้สิทธิต่าง ๆ ที่กล่าวมานั้นหากเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ที่มีอายุไม่เกิน 20 ปี
คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ การใช้สิทธิดังกล่าวจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ผู้อนุบาลหรือผู้พิทักษ์ ที่มีอำนาจกระทำการแทนผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือน
ไร้ความสามารถ แล้วแต่กรณี
การยื่นขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลแบ่งตามประเภทของเจ้าของข้อมูลส่วนบุคคลได้
3 ประเภท ดังต่อไปนี้
ประเภทของ
เจ้าของข้อมูลส่วนบุคคล
ช่องทางการยื่นขอใช้สิทธิ
ลูกค้า
ฝ่ายลูกค้าสัมพันธ์
(กรณียื่นคำร้องที่สำนักงานใหญ่)
ช่องทางอื่น ๆ ที่บริษัทกำหนด
พนักงาน
ฝ่ายบริหารงานทรัพยากรบุคคล
ช่องทางอื่น ๆ ที่บริษัทกำหนด
ผู้ให้บริการภายนอก/คู่สัญญา
หน่วยงานของบริษัทที่เป็นคู่สัญญา
ฝ่ายลูกค้าสัมพันธ์
หมวด 8 การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ(Cross-border data transfer)
8.1 ความหมายของการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศหมายถึง การส่งต่อหรือโอนข้อมูลส่วนบุคคลที่เก็บรวบรวมอยู่ในประเทศไทยไปยังต่างประเทศให้พิจารณาว่าประเทศที่รับข้อมูลส่วนบุคคลได้นำข้อมูลส่วนบุคคลนี้ไปประมวลผลมิใช่เป็นเพียงช่องทางการส่งผ่านข้อมูลหรือเป็นประเทศแม่ข่ายเครื่องคอมพิวเตอร์เท่านั้น
8.2 ข้อกำหนดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศและแนวปฏิบัติเมื่อบริษัทต้องโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในกรณีที่บริษัทมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ ให้บริษัทพิจารณาหลักเกณฑ์ในการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562กำหนดว่าประเทศปลายทางที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ(Adequacy Decision) โดยบริษัทสามารถพิจารณาแนวทางการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์กรระหว่างประเทศได้ดังนี้
บริษัทสามารถส่งต่อหรือโอนข้อมูลส่วนบุคคลที่จำเป็นไปยังต่างประเทศหรือองค์กรระหว่างประเทศได้หากพิจารณาแล้วพบว่าประเทศปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอโดยบริษัทสามารถพิจารณาได้ดังนี้
แนวทางการพิจารณา
คำอธิบาย
กฎหมาย
พิจารณาจากกฎหมายของประเทศผู้รับข้อมูลส่วนบุคคลว่ามีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งแสดงถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
องค์กร/หน่วยงานอิสระ
พิจารณาการมีอยู่ขององค์กร/หน่วยงานอิสระในต่างประเทศหรือหน่วยงานระหว่างประเทศที่รับโอนข้อมูลส่วนบุคคลที่มีอำนาจตรวจสอบและบังคับใช้กฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยสามารถช่วยเหลือ ให้คำปรึกษาแก่เจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิ และมีอำนาจหน้าที่ในการปฏิบัติงานร่วมกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือการโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือ
ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบธุรกิจหรือกิจการร่วมกัน หากนโยบายในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงาน
พันธกรณีระหว่างประเทศ
พิจารณาถึงข้อผูกพันระหว่างประเทศ โดยเฉพาะที่เกี่ยวข้องกับ การคุ้มครองข้อมูลส่วนบุคคล เช่น อนุสัญญาที่มีผลผูกพันทางกฎหมายหรือการเข้าร่วมในระบบพหุภาคีหรือภูมิภาค
ทั้งนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศรายชื่อประเทศที่ถือว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเพื่อให้ยึดถือเป็นแนวทางการปฏิบัติ นอกจากนี้บริษัทสามารถเสนอต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นรายกรณีเพื่อให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลวินิจฉัยว่าผู้ที่รับโอนข้อมูลส่วนบุคคลประเทศปลายทางนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่
เมื่อพิจารณาตามหลักเกณฑ์ดังกล่าวข้างต้นแล้วพบว่าประเทศปลายทางที่บริษัทจะส่งข้อมูล
ส่วนบุคคลไปให้ยังไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ บริษัทอาจสามารถส่งต่อหรือโอนข้อมูลไปยังประเทศปลายทางได้หากเป็นกรณีที่ได้รับการยกเว้นตามกฎหมาย ซึ่งพิจารณาได้ดังต่อไปนี้
ข้อยกเว้น
คำอธิบาย
1. เป็นการปฏิบัติตามกฎหมาย
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยมีกฎหมายมารองรับเพื่อการดำเนินการเพื่อปฏิบัติตามกฎหมาย เช่น การดำเนินการฟ้องร้องคดีระหว่างประเทศ
2. ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางที่รับข้อมูลส่วนบุคคล
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยบริษัทต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางแล้ว
3. เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยใช้ฐานสัญญา เพื่อวัตถุประสงค์ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น หรือเพื่อวัตถุประสงค์ในการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล
4. เป็นการกระทำตามสัญญาระหว่างบริษัทกับบุคคล หรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยเป็นการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ต้องเป็นกรณีที่ได้รับประโยชน์จากสัญญาที่เกิดขึ้นแล้วเท่านั้น มิใช่กรณีที่เกิดก่อนจะมีสัญญา
5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อป้องกันอันตรายต่อชีวิต ร่างกายหรือสุขภาพ ที่อาจเกิดแก่เจ้าของข้อมูลส่วนบุคคล เช่น การส่งต่อข้อมูลทางการแพทย์ของพนักงานที่ได้รับอุบัติเหตุร้ายแรงในต่างประเทศ ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้
6. เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
เป็นการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ เมื่อเป็นการอันจำเป็นเพื่อประโยชน์สาธารณะ ซึ่งบริษัทต้องพิจารณาด้วยว่าเป็นประโยชน์สาธารณะที่เข้าตามหลักกฎหมายไทย โดยอาจพิจารณาจากพันธกรณีระหว่างประเทศที่ประเทศไทยเป็นภาคี
หมวด 9 การลบหรือทำลายข้อมูลส่วนบุคคล
บริษัทจะลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการเก็บรักษาตามกฎหมายสัญญา ระเบียบ คำสั่งของบริษัทหรือข้อมูลที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งการลบหรือการทำลายนั้นจะต้องทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลและไม่สามารถกู้คืนข้อมูลส่วนบุคคลนั้นได้อีกต่อไป โดยการลบหรือการทำลายข้อมูลส่วนบุคคล สามารถแบ่งได้เป็น 2กรณีตามรูปแบบการจัดเก็บข้อมูล ได้แก่ การจัดเก็บในรูปแบบเอกสารและการจัดเก็บในระบบงาน
อย่างไรก็ตามสำหรับข้อมูลส่วนบุคคลที่จัดเก็บในสื่อบันทึกข้อมูลหรือคอมพิวเตอร์ของบริษัทผู้ดูแลสื่อบันทึกข้อมูล/ผู้ใช้คอมพิวเตอร์ของบริษัทต้องลบข้อมูลส่วนบุคคลทันทีหลังจากใช้ข้อมูลดังกล่าวแล้วเสร็จ
หมวด 10 การจัดทำทะเบียนข้อมูลส่วนบุคคล(Data Inventory) และผังข้อมูลส่วนบุคคล (Data Flow)
10.1 ขั้นตอนการจัดทำทะเบียนข้อมูลส่วนบุคคลและผังข้อมูลส่วนบุคคล
ทะเบียนข้อมูลส่วนบุคคลเป็นการแสดงรายละเอียดการประมวลผลข้อมูลส่วนบุคคลและแสดงภาพรวมการไหลของข้อมูลส่วนบุคคลในแต่ละกระบวนการปฏิบัติงานของแต่ละฝ่ายตั้งแต่ขั้นตอนการเก็บรวบรวมใช้ เปิดเผย เก็บรักษา ลบ หรือทำลายข้อมูลส่วนบุคคล
โดยฝ่ายที่มีการประมวลผลข้อมูลส่วนบุคคลต้องจัดทำทะเบียนข้อมูลส่วนบุคคลหรับแต่ละกระบวนการทำงานที่มีการประมวลผลข้อมูลส่วนบุคคลเพื่อใช้ประกอบการเก็บรวบรวม ใช้ เปิดเผย เก็บรักษา ลบ หรือทำลายข้อมูลส่วนบุคคลทะเบียนข้อมูลส่วนบุคคลมีรายละเอียดดังนี้
§ ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ชื่อ และ รายละเอียดการติดต่อขององค์กร รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
§ วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
§ หมวดหมู่ของเจ้าของข้อมูลส่วนบุคคล (categories of individual) หรือหมวดหมู่ข้อมูลส่วนบุคคล(categories of personal data) ที่องค์กรทำการประมวลผล
§ ฐานทางกฎหมายในการประมวลผล
§ การเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก
§ ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
§ คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา37 (1)
§ สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลรวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
10.2 การจัดทำและทบทวนทะเบียนข้อมูลส่วนบุคคล
ให้ทุกหน่วยงานของบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลมีหน้าที่จัดทำและทบทวนทะเบียนข้อมูลส่วนบุคคล ดังนี้
11.2.1 ทบทวนทะเบียนข้อมูลส่วนบุคคลและผังข้อมูลส่วนบุคคลอย่างน้อยปีละ1 ครั้ง
11.2.2 จัดทำทะเบียนข้อมูลส่วนบุคคลเมื่อมีกระบวนการปฏิบัติงานใหม่ที่มีการประมวลผลข้อมูลส่วนบุคคล
11.2.3 จัดทำทะเบียนข้อมูลส่วนบุคคลเมื่อมีการเปลี่ยนแปลงรายละเอียดภายในทะเบียนข้อมูลส่วนบุคคล
ทั้งนี้ ประธานคณะทำงานPDPA มีหน้าที่ส่งหนังสือหรืออีเมลให้ทุกฝ่ายของบริษัทจัดทำและทบทวนทะเบียนข้อมูลส่วนบุคคลและผังข้อมูลส่วนบุคคลตามข้อ11.2.1
เมื่อหน่วยงานดำเนินการตามข้อ 11.2.1 -11.2.3 เสร็จเรียบร้อยให้จัดส่งรายงานการเปลี่ยนแปลง/แก้ไขดังกล่าวให้แก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นผู้เก็บรวบรวมทะเบียนข้อมูลส่วนบุคคล
หมวด 11 การจัดการเหตุละเมิดข้อมูลส่วนบุคคล
การละเมิดข้อมูลส่วนบุคคลเป็นการทำให้ข้อมูลส่วนบุคคลถูกทำลาย เสียหาย สูญหาย เปลี่ยนแปลงแก้ไข เปิดเผยเข้าถึง ส่งต่อ เก็บรักษา หรือถูกประมวลผลอย่างอื่นโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุไม่ว่าจะเป็นการกระทำของบุคลากรภายในหรือบุคคลภายนอกองค์และการกระทำดังกล่าวทำให้ข้อมูลส่วนบุคคลเสียไปซึ่งสภาพอย่างใดอย่างหนึ่งของข้อมูลสภาพความเป็นความลับ (confidentiality) สภาพความถูกต้อง (integrity)และ สภาพความพร้อมใช้งาน (availability) ดังนั้นเหตุการละเมิดข้อมูลส่วนบุคคลจึงสามารถแบ่งออกเป็น 3 ลักษณะ ดังต่อไปนี้
(1) การละเมิดความลับของข้อมูล (ConfidentialityBreach) หมายถึงการเข้าถึงหรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ เช่นใบแจ้งหนี้ของฝ่ายเร่งรัดหนี้สินของลูกค้ารายหนึ่งได้ส่งไปยังลูกค้าอีกรายหนึ่ง และฐานข้อมูลลูกค้าของบริษัทถูกเข้าถึงจากผู้ไม่ประสงค์ดีจากภายนอกองค์กรและนำออกไปเผยแพร่
(2) การละเมิดความถูกต้อง (IntegrityBreach) หมายถึงการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ เช่นพนักงานบริษัทเข้าไปเปลี่ยนที่อยู่ และเบอร์โทรศัพท์ของลูกค้าโดยไม่ได้รับอนุญาตและทำให้ข้อมูลดังกล่าวของลูกค้าไม่ถูกต้องตามที่ได้ให้ไว้กับบริษัท
(3) การละเมิดความพร้อมใช้งาน (AvailabilityBreach) หมายถึงการทำให้เข้าถึงข้อมูลไม่ได้หรือการทำให้ข้อมูลสูญหายหรือถูกทำลายไป ไม่ว่าจะกระทำโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุเช่น อุปกรณ์ที่เก็บฐานข้อมูลของลูกค้าสูญหายหรือถูกขโมยไป ข้อมูลถูกผู้ที่ไม่ได้รับอนุญาตลบไปกุญแจ (Key) สำหรับ
การถอดรหัส (Decryption)ของข้อมูลที่ได้เข้ารหัส (Encrypted) ไว้ได้สูญหายไปทำให้เข้าถึงข้อมูลไม่ได้ การถูกโจมตีโดยการปฏิเสธการให้บริการ (Denial ofService: DoS) ทำให้ระบบไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ และการถูกโจมตีด้วยมัลแวร์(Ransomware) ทำให้เข้าถึงข้อมูลไม่ได้
เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลบริษัทซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาความเสี่ยงของเหตุการละเมิดที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลรวมถึงต้องพิจารณาการรายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ/หรือเจ้าของข้อมูลส่วนบุคคล
กรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคลที่ถูกละเมิดให้แจ้งเหตุต่อผู้ควบคุมข้อมูลส่วนบุคคลตามระยะเวลาที่ได้ตกลงกันไว้ในบันทึกข้อตกลงการประมวลผลข้อมูลส่วนบุคคล(DPA) ที่มีต่อผู้ควบคุมข้อมูลส่วนบุคคลรายนั้นๆ
หมวด 12 การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล
บริษัทมีแนวทางในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้การบริหารจัดการข้อมูลส่วนบุคคลและการบริหารความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีประสิทธิภาพและประสิทธิผลโดยแบ่งหน้าที่เรื่องการควบคุม กำกับและตรวจสอบการป้องกันและรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างชัดเจน เพื่อให้แน่ใจว่าผู้บริหารและพนักงานทุกคนทราบและตระหนักถึงหน้าที่และความรับผิดชอบของตนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างเหมาะสม
บริษัทแบ่งผู้รับผิดชอบในการควบคุมกำกับและตรวจสอบ (Three Lines of Defense) ออกเป็น
3 ระดับ ดังนี้
1. ผู้รับผิดชอบระดับแรก (1stLine of Defense) หรือหน่วยงานปฏิบัติงาน (OperationalFunction)ผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล หน่วยงานภายในบริษัทที่มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลครอบคลุมถึง การเก็บรวบรวม การใช้ การเปิดเผย การเก็บรักษา การลบ หรือการทำลายข้อมูลส่วนบุคคลที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล โดยครอบคลุมหน้าที่ดังต่อไปนี้
(1) จัดทำทะเบียนข้อมูลส่วนบุคคล และผังข้อมูลส่วนบุคคลโดยครอบคลุมถึงข้อมูลส่วนบุคคลที่เก็บรวบรวม ประเภทของข้อมูลส่วนบุคคลวัตถุประสงค์ในการเก็บรวบรวม หน่วยงานที่จัดเก็บ และมาตรการรักษาความปลอดภัย
(2) บันทึกข้อมูลส่วนบุคคลลงในระบบฐานข้อมูลของบริษัท
(3) ยืนยันความถูกต้อง ครบถ้วน และความเป็นปัจจุบันของข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลก่อนการทำธุรกรรมหรือใช้บริการของลูกค้าหรือตามรอบการทบทวนข้อมูลส่วนบุคคลของบริษัทในปัจจุบัน
(4) กำหนดวัตถุประสงค์และวิธีการในการดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
(5) ตรวจสอบคุณภาพของข้อมูลที่เก็บรวบรวม
(6) สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่
(7) ปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562คำสั่ง และ
วิธีปฏิบัติของบริษัทที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
2. ผู้รับผิดชอบระดับที่ 2 (2ndLine of Defense) คณะทำงาน PDPA ผู้ทำหน้าที่เป็นแนวป้องกันระดับที่สองควบคุมกำกับดูแลบริษัทในภาพรวม โดยครอบคลุมถึงการทำหน้าที่ วางแนวทางกรอบแนวคิด เงื่อนไข และขั้นตอนปฏิบัติงานให้กับผู้รับผิดชอบระดับแรก (1stLine of Defense) เพื่อกำหนดแนวทางป้องกัน แก้ไข และมาตรการจัดการกับความเสี่ยงที่อาจเกิดขึ้นประกอบด้วย หัวหน้าคณะทำงาน PDPA ตัวแทนจากทุกแผนกภายในบริษัทแผนกละหนึ่งราย
(1) วางแนวทาง กรอบแนวคิด เงื่อนไข และขั้นตอนปฏิบัติงานให้กับผู้รับผิดชอบระดับแรก
(2) ติดตามและบริหารความเสี่ยงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
(3) พัฒนาและส่งเสริมให้ทุกคนในบริษัทตระหนักถึงความสำคัญและความรับผิดชอบต่อ
การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(4) จัดทำรายงานกำกับการปฏิบัติงานประจำปี (complianceannual report) และรายงานตามที่บริษัทหรือหน่วยงานที่กำกับดูแลในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
(5) ทบทวนแนวทาง กรอบแนวคิด เงื่อนไข และขั้นตอนปฏิบัติงานให้กับผู้รับผิดชอบระดับแรก
แต่งตั้งขึ้น มีทำหน้าที่ดังต่อไปนี้
(1) การให้คำแนะนำ
§ ให้คำแนะนำแก่คณะกรรมการบริษัทผู้บริหาร พนักงาน ลูกจ้างหรือผู้รับจ้างของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562
§ ให้คำแนะนำและตอบข้อซักถามให้กับเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
§ ให้คำแนะนำในการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล(Data Protection ImpactAssessment : DPIA)แก่หน่วยงานที่มีการประมวลข้อมูลส่วนบุคคลในการพิจารณาถึงความเสี่ยงที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลจากการประมวลผลข้อมูลส่วนบุคคล
§ ให้คำปรึกษาแก่หน่วยงานที่ต้องการลบหรือทำลายข้อมูลส่วนบุคคล และเป็นศูนย์กลางในการจัดเก็บทะเบียนข้อมูลส่วนบุคคล การบันทึกการลบ หรือการทำลายข้อมูลส่วนบุคคล
(2) การจัดทำและทบทวนทะเบียนข้อมูลส่วนบุคคล (DataInventory) และผังข้อมูลส่วนบุคคล (Data Flow)
§ แจ้งและติดตามให้หน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลจัดทำและทบทวนรายการทะเบียนข้อมูลส่วนบุคคล(DataInventory) และผังข้อมูลส่วนบุคคล (Data Flow)ให้มีความครบถ้วนถูกต้องเป็นประจำทุกปีเพื่อให้เป็นไปตามกฎหมายและเพื่อให้หน่วยงานที่เกี่ยวข้องตรวจสอบ
§ เป็นศูนย์กลางในการจัดเก็บรวบรวมรายการทะเบียนข้อมูลส่วนบุคคล(Data Inventory) และผังข้อมูลส่วนบุคคล (DataFlow) ของบริษัททั้งนี้เพื่อให้เป็นไปตามกฎหมายและเพื่อให้หน่วยงานที่เกี่ยวข้องตรวจสอบ
(3) การจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
§ พิจารณาและตรวจสอบการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562
§ ประสานงานไปยังหน่วยงานที่เกี่ยวข้องให้ดำเนินการตามสิทธิ
§ แจ้งผลการพิจารณาสิทธิให้เจ้าของข้อมูลส่วนบุคคลทราบ
§ เป็นศูนย์กลางในการเก็บรวบรวมบันทึกรายละเอียดคำร้องขอที่ได้รับจากสาขาและหน่วยงานที่เกี่ยวข้องเพื่อใช้ในการตรวจสอบการดำเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
(4) การจัดการเหตุละเมิดข้อมูลส่วนบุคคล
§ บันทึกรายละเอียดการละเมิดข้อมูลส่วนบุคคล
§ ตรวจสอบหาสาเหตุการละเมิดของข้อมูลส่วนบุคคลและประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
§ กำหนดและออกมาตรการเยียวยาเหตุการละเมิดข้อมูลส่วนบุคคล
§ แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าเมื่อทราบถึงการละเมิดหรือตรวจสอบพบว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นภายใน 72 ชั่วโมงและแจ้งเจ้าของข้อมูลส่วนบุคคลกรณีมีการละเมิดข้อมูลส่วนบุคคลที่มีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในระดับสูงพร้อมแจ้งแนวทางเยียวยาให้กับเจ้าของข้อมูลส่วนบุคคล
(5) การควบคุม กำกับดูแลและติดตามการดำเนินการตามพระราชบัญญัติ
§ ศึกษา วิเคราะห์ กฎระเบียบ และประกาศใหม่ ๆ ที่ออกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
§ กำกับดูแลการปฏิบัติงานของหน่วยงานเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562/นโยบาย/คำสั่งและคู่มือวิธีปฏิบัติที่ออกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
§ สอบทานการปฏิบัติงานของหน่วยงานเกี่ยวกับการปฏิบัติตามพระราชบัญญัติ/นโยบาย/คำสั่งและคู่มือวิธีปฏิบัติที่ออกตามพระราชบัญญัตินี้
§ จัดทำและทบทวนนโยบายคุ้มครองข้อมูลส่วนบุคคลรวมถึงแจ้งหน่วยงานที่เกี่ยวข้องให้ปรับปรุง แก้ไข หรือยกเลิก กฎ ระเบียบ คำสั่งและวิธีปฏิบัติ ข้อบังคับของบริษัทที่เกี่ยวข้อง
(6) การประสานงาน
§ ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของคณะกรรมการบริษัท ผู้บริหาร พนักงาน ลูกจ้าง และผู้รับจ้างของบริษัทในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562
§ ชี้แจงข้อเท็จจริงต่อคณะกรรมการพิจารณาเรื่องร้องเรียนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กรณีบริษัทในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างถูกเจ้าของข้อมูลส่วนบุคคลร้องเรียนว่าฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 และประกาศที่ออกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
§ ประสานและดำเนินการแก้ไขการกระทำ ห้ามกระทำการก่อให้เกิดความเสียหายรวมถึงระงับความเสียหายภายในระยะเวลาที่คณะกรรมการพิจารณาเรื่องร้องเรียนกำหนดกรณีตรวจสอบแล้วเห็นว่าเรื่องที่ร้องเรียนบริษัทในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างเป็นผู้ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
(7) การให้ความรู้ และสร้างความตระหนัก
§ สร้างความรู้ความเข้าใจและความตระหนักในการคุ้มครองข้อมูลส่วนบุคคลรวมถึงการสร้างวัฒนธรรมในการคุ้มครองข้อมูลส่วนบุคคลให้เกิดขึ้นภายในองค์กร
(8) การรายงาน
§ รายงานไปยังบริษัทโดยตรง เมื่อพบปัญหาในการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562
หมวด 13 การปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนบริษัทเกี่ยวกับการฝ่าฝืนหรือไม่ปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ไปยังคณะกรรมการผู้เชี่ยวชาญซึ่งคณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งการให้บริษัทดำเนินการ และบริษัทมีหน้าที่ดำเนินการตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญรวมถึงชี้แจงข้อเท็จจริงและแสดงหลักฐานที่เกี่ยวข้องเพื่อสนับสนุนการตรวจสอบข้อเท็จจริงของคณะกรรมการผู้เชี่ยวชาญโดยอาจประสานงานกับหน่วยงานอื่น ๆ ภายในบริษัทเพื่อรวบรวมหรือจัดทำเอกสารประกอบการชี้แจงโดยมีขั้นตอนการดำเนินงานดังนี้
14.1 คณะกรรมการผู้เชี่ยวชาญส่งหนังสือแจ้งเรื่องร้องเรียนและคำสั่งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทคณะกรรมการผู้เชี่ยวชาญมีอำนาจดังนี้
(1) สั่งให้บริษัทดำเนินการแก้ไขการกระทำให้ถูกต้องภายในระยะเวลาที่กำหนด
(2) สั่งห้ามบริษัทกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคลหรือกระทำการใดเพื่อระงับความเสียหายนั้นภายในระยะเวลาที่กำหนด
(3) สั่งให้ชี้แจงข้อเท็จจริง
14.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลส่งหนังสือจากคณะกรรมการผู้เชี่ยวชาญไปยังหน่วยงานที่เกี่ยวข้องเพื่อดำเนินการตามคำสั่ง
14.3 หน่วยงานที่เกี่ยวข้องดำเนินการตามคำสั่ง
14.4 หน่วยงานที่เกี่ยวข้องแจ้งผลการดำเนินการต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
14.5 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแจ้งผลการดำเนินการตามคำสั่งต่อคณะกรรมการผู้เชี่ยวชาญ
หมวด 14 วิธีปฏิบัติในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
เพื่อให้การปฏิบัติงานของบริษัทมีการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตั้งแต่ขั้นตอนการเก็บรวบรวม การใช้ การเปิดเผย การจัดเก็บจนถึงการลบและทำลายข้อมูลส่วนบุคคล โดยคำนึงถึงหลักการด้านความปลอดภัยของข้อมูล 3ด้าน ได้แก่ การรักษาความลับของข้อมูล (confidentiality)ความถูกต้องสมบูรณ์ของข้อมูล (integrity) และความพร้อมใช้งานของข้อมูล (availability)ให้เป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และต้องมีมาตรฐานการจัดทำขั้นต่ำไม่น้อยไปกว่าประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลพ.ศ. 2565รวมถึงหน่วยงานของบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลสามารถนำไปพิจารณาใช้เป็นแนวทางในการปฏิบัติงานได้อย่างเหมาะสมมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องครอบคลุมการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์หรือรูปแบบอื่นใดก็ตาม บริษัทจึงมีวิธีปฏิบัติในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังนี้
14.1 การรักษาความปลอดภัยในการเก็บรวบรวมข้อมูลส่วนบุคคล
หน่วยงานและสาขาสามารถเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายผ่านช่องทางต่าง ๆ ที่บริษัทกำหนด เช่นแบบฟอร์มของบริษัท โทรศัพท์ เว็บไซต์ และอีเมลของบริษัท
เป็นต้น โดยมีวิธีปฏิบัติ ดังนี้
(1) กำหนดผู้รับผิดชอบในการเก็บรวมรวมข้อมูลส่วนบุคคลและหน่วยงานเจ้าของข้อมูล(Information Owner)และจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและเป็นไปตามวิธีปฏิบัติตามความมั่นคงปลอดภัยสารสนเทศของบริษัท
(2) ไม่วางเอกสารหรือจัดเก็บข้อมูลส่วนบุคคลที่ทำให้ผู้ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลได้โดยง่ายเช่น บนโต๊ะทำงาน เครื่องถ่ายเอกสาร เครื่องพิมพ์ เครื่องโทรสาร และกระดาษโน้ตโดยไม่มีการจัดเก็บที่ปลอดภัย เป็นต้น
(3) ระบุชั้นความลับของข้อมูลและทบทวนอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง
14.2 การรักษาความปลอดภัยในการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
หน่วยงานและสาขาสามารถใช้ข้อมูลส่วนบุคคลที่ได้จากการเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานที่เกี่ยวข้องเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมาย และมีมาตรการรักษาความปลอดภัยเพื่อควบคุมการใช้งานหรือเปิดเผยข้อมูลส่วนบุคคลที่เหมาะสมโดยมีวิธีปฏิบัติ ดังนี้
(1) กำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลโดยอนุญาตให้ผู้ปฏิบัติงานใช้ข้อมูลส่วนบุคคลตามชั้นความลับที่กำหนดทั้งข้อมูลในรูปแบบเอกสารและข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยหน่วยงานเจ้าของข้อมูล (InformationOwner) เป็นผู้พิจารณากำหนดสิทธิตามความจำเป็นทางธุรกิจ
(2) การใช้ข้อมูลส่วนบุคคลด้วยคอมพิวเตอร์หรือซอฟต์แวร์ต้องมีการตรวจสอบว่าคอมพิวเตอร์หรือซอฟต์แวร์ดังกล่าวว่าไม่มีไวรัสคอมพิวเตอร์หรือโปรแกรมที่ไม่พึงประสงค์แฝงอยู่
(3) ไม่วางเอกสารหรือจัดเก็บข้อมูลส่วนบุคคลที่ทำให้ผู้ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลได้โดยง่าย
เช่น บนโต๊ะทำงาน เครื่องถ่ายเอกสาร เครื่องพิมพ์ เครื่องโทรสารและกระดาษโน้ต โดยไม่มีการจัดเก็บที่ปลอดภัย เป็นต้น
(4) กำหนดให้มีการป้องกันหน้าจอพร้อมการใส่รหัสผ่านคอมพิวเตอร์เมื่อไม่ใช้งานตามระยะเวลาที่กำหนด
(5) เมื่อเสร็จจากการใช้งานข้อมูลส่วนบุคคลผู้ใช้งานข้อมูลส่วนบุคคลต้องจัดเก็บ ลบหรือทำลายข้อมูลส่วนบุคคลให้เหมาะสมตามระเบียบของบริษัท
(6) หน่วยงานเจ้าของข้อมูล (InformationOwner) ต้องพิจารณาความจำเป็นและเหตุผลใน
การเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานภายในบริษัทหรือหน่วยงานภายนอกบริษัท และต้องเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นเท่านั้น
(7) การเปิดเผยข้อมูลส่วนบุคคลผู้ปฏิบัติงานต้องใช้ช่องทาง และปกป้องข้อมูลส่วนบุคคลตามระเบียบของบริษัท เช่นการส่งข้อมูลส่วนบุคคลในรูปแบบเอกสารต้องมีการใส่เอกสารในซองทึบ 2 ชั้น และปิดผนึกเอกสาร หรือการส่งข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ต้องมีการเข้ารหัสข้อมูลก่อนการจัดส่งข้อมูล
(8) การรักษาความปลอดภัยในการใช้และเปิดเผยข้อมูลส่วนบุคคล ต้องเป็นไปตามวิธีปฏิบัติตามความมั่นคงปลอดภัยสารสนเทศของบริษัท
14.3 การรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคล
หน่วยงานและสาขาต้องเก็บรักษาและปกป้องข้อมูลส่วนบุคคลทั้งข้อมูลในรูปแบบเอกสารข้อมูลในรูปแบบอิเล็กทรอนิกส์ และข้อมูลในระบบงาน ให้มีความปลอดภัยที่เหมาะสมตามชั้นความลับของข้อมูลโดยมี
วิธีปฏิบัติ ดังนี้
(1) เก็บรักษาข้อมูลส่วนบุคคลในรูปแบบเอกสารหรือสื่อการบันทึกข้อมูลต้องจัดเก็บในรูปแบบหรือสถานที่ที่มีการรักษาความปลอดภัยของข้อมูลและเหมาะสมตามลำดับชั้นความลับของข้อมูลเช่น จัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลในตู้เอกสารที่ล็อกกุญแจจัดเก็บเอกสารที่คลังเก็บเอกสาร
(2) ตรวจสอบการจัดเก็บเอกสารหรือสื่อการบันทึกข้อมูลโดยตรวจสอบการมีอยู่ สภาพและสถานที่จัดเก็บของเอกสารหรือสื่อการบันทึกข้อมูลยังอยู่ในสภาพที่เหมาะสมหรือไม่
(3) จัดเก็บข้อมูลส่วนบุคคลในคอมพิวเตอร์ของบริษัทต้องกำหนดให้มีรหัสผ่านในการจัดเก็บข้อมูลส่วนบุคคล
(4) จัดเก็บข้อมูลส่วนบุคคลบนระบบงานของบริษัทที่มีการจำกัดการเข้าถึงข้อมูลโดยการพิสูจน์ตัวตนตามสิทธิในการเข้าถึงข้อมูล
(5) เก็บรักษาข้อมูลส่วนบุคคลตามระยะเวลาการจัดเก็บที่บริษัทกำหนด
(6) สำรองข้อมูลส่วนบุคคลที่จัดเก็บในระบบงานหรือคอมพิวเตอร์ของบริษัท รวมถึงจัดให้มี
การทดสอบกู้คืนข้อมูลสำรองอย่างน้อยปีละ 1 ครั้ง
(7) รักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลให้เป็นไปตามวิธีปฏิบัติตามความมั่นคงปลอดภัยสารสนเทศของบริษัท
14.4 การรักษาความปลอดภัยในการลบหรือการทำลายข้อมูลส่วนบุคคล
หน่วยงานต้องลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นระยะเวลาการเก็บรักษาตามกฎหมาย ระเบียบคำสั่งของบริษัท (สามารถตรวจสอบได้จาก Records of Processing Activity: RoPA) รวมทั้งลบหรือทำลายข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล โดยกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลนั้นต้องมั่นใจได้ว่ามีมาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยมีวิธีปฏิบัติ ดังนี้
(1) ลบหรือทำลายข้อมูลส่วนบุคคลทันทีหลังจากใช้ข้อมูลดังกล่าวแล้วเสร็จ
(2) ลบหรือทำลายข้อมูลส่วนบุคคลตามวิธีปฏิบัติของบริษัท พร้อมทั้งตรวจสอบการลบหรือทำลายข้อมูลส่วนบุคคลว่าไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลและไม่สามารถกู้คืนข้อมูลส่วนบุคคลนั้นได้อีกต่อไปโดยต้องจัดทำบันทึกรายละเอียดการลบหรือทำลายข้อมูลส่วนบุคคลเพื่อการตรวจสอบในอนาคต
(3) การแจ้งผู้ให้บริการภายนอกลบหรือทำลายข้อมูลส่วนบุคคลของบริษัทต้องมีมาตรการเพื่อให้มั่นใจได้ว่ามีการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลก่อนการลบหรือทำลายข้อมูลส่วนบุคคลพร้อมทั้งมีกระบวนการตรวจสอบการลบ หรือทำลายข้อมูลส่วนบุคคลของผู้ให้บริการภายนอกว่าไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลและไม่สามารถกู้คืนข้อมูลส่วนบุคคลนั้นได้อีกต่อไปพร้อมทั้งบันทึกรายละเอียดการทำลายเพื่อการตรวจสอบในอนาคต
ทั้งนี้สามารถดูรายละเอียดการรักษาความปลอดภัยของข้อมูลส่วนบุคคลเพิ่มเติมได้ที่วิธีปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศ
หมวด 15 ความรับผิดและบทลงโทษตามกฎหมาย
เพื่อเป็นการคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและเพื่อป้องกันไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดความรับผิดและบทลงโทษของการฝ่าฝืนหรือไม่ปฏิบัติตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ไว้ ตั้งแต่มาตรา 77 ถึง มาตรา 90 โดยสามารถแบ่งออกเป็น 3 ส่วน ได้แก่ความรับผิดทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้ต่อไปนี้
16.1 ความรับผิดทางแพ่ง
มาตรา 77
ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใดๆเกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตามเว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัยหรือเกิดจากการกระทำหรือละเว้นการกระทำของ เจ้าของข้อมูลส่วนบุคคลนั้นเอง
(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
ความรับผิด/บทลงโทษต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ค่าสินไหมทดแทนให้หมายความรวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วย
มาตรา 78
ให้ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่ศาลเห็นสมควรทั้งนี้ โดยคำนึงถึง พฤติการณ์ต่าง ๆ เช่น ความร้ายแรงของความเสียหายที่เจ้าของข้อมูลส่วนบุคคลได้รับผลประโยชน์ที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับสถานะทางการเงินของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลการที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้บรรเทาความเสียหายที่เกิดขึ้นหรือการที่เจ้าของข้อมูลส่วนบุคคลมีส่วนในการก่อให้เกิดความเสียหายด้วย
ความรับผิด/บทลงโทษไม่เกิน 2 เท่าของค่าสินไหมทดแทน ที่แท้จริง
หมายเหตุ :สิทธิเรียกร้องค่าเสียหายทางแพ่งอันเกิดจากการละเมิดข้อมูลส่วนบุคคลเป็นอันขาดอายุความดังนี้
1. เมื่อพ้น 3 ปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้กระทำละเมิดผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ
2. เมื่อพ้น 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
16.2. โทษทางอาญา
มาตรา 79
ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (มาตรา 27วรรคหนึ่ง)
ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น (มาตรา 27 วรรคสอง)
ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปยังต่างประเทศโดยที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและไม่เข้าข้อยกเว้น(มาตรา 28) ดังต่อไปนี้
(1) เพื่อการปฏิบัติตามกฎหมาย
(2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอนั้นแล้ว
(3) เป็นการจำเป็นเพื่อทำตามคำขอก่อนเข้าทำสัญญาหรือเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
(4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นเมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
(6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
ความรับผิด/บทลงโทษ
ระวางโทษจำคุกไม่เกิน6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับหากการกระทำความผิดเป็นเหตุที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียงถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย
ระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน1,000,000 บาท หรือทั้งจำทั้งปรับหากการกระทำความผิดเป็นการแสวงหาประโยชน์ที่ไม่ควรได้โดยชอบด้วยกฎหมายสำหรับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้อื่น
มาตรา 80
ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นอันเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562และนำไปเปิดเผยแก่ผู้อื่น เว้นแต่เป็นการเปิดเผยในกรณีดังต่อไปนี้
(1) การเปิดเผยตามหน้าที่
(2) การเปิดเผยเพื่อประโยชน์แก่การสอบสวนหรือการพิจารณาคดี
(3) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย
(4) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(5) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ
ความรับผิด/บทลงโทษระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาทหรือทั้งจำทั้งปรับ
มาตรา 81
กรรมการ หรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคล กระทำการในกรณีต่อไปนี้
(1) การหรือกระทำการ หรือ
(2) มีหน้าที่ต้องสั่งการหรือกระทำการแต่ละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด
ความรับผิด/บทลงโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ เช่นเดียวกับนิติบุคคลที่ต้องรับผิด
16.3. โทษทางปกครอง
16.3.1 โทษสำหรับผู้ควบคุมข้อมูลส่วนบุคคล
มาตรา 82
ไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดตามที่กฎหมายกำหนดเว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบรายละเอียดนั้นอยู่แล้ว (มาตรา 23) โดยมีรายละเอียดดังต่อไปนี้
(1) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
(2) การให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญารวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
(3) ข้อมูลส่วนบุคคลที่จะเก็บรวบรวมและระยะเวลาในการเก็บ
(4) ประเภทของบุคคลหรือหน่วยงานที่อาจจะถูกเปิดเผยข้อมูลส่วนบุคคล
(5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลสถานที่ติดต่อและวิธีการติดต่อในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(6) สิทธิของเจ้าของข้อมูลส่วนบุคคล
ไม่ดำเนินการตามคำขอใช้สิทธิเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมภายใน 30 วันนับแต่วันที่ได้รับคำขอ(เฉพาะกรณีที่ไม่อาจปฏิเสธคำขอได้) (มาตรา 30 วรรคสี่)
ไม่บันทึกรายการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดเช่น ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวมเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ (มาตรา 39 วรรคหนึ่ง)
ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(มาตรา 41 วรรคหนึ่ง)
ไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(มาตรา 42 วรรคสอง)
ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 (มาตรา 42 วรรคสาม)
ไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศกำหนด(มาตรา 19 วรรคสาม)
ไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม(มาตรา 19 วรรคหก)
เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่มิใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง และไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบถึงรายละเอียดตามที่กฎหมายกำหนดเช่น วัตถุประสงค์และระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล และไม่ขอความยินยอม(มาตรา 25 วรรคสอง (นำมาตรา 23มาบังคับใช้โดยอนุโลม))
ความรับผิด/บทลงโทษระวางโทษปรับทางปกครอง ไม่เกิน 1,000,000 บาท
มาตรา 83
ไม่ทำการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวมเว้นแต่ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมแล้วหรือบทบัญญัติตามพระราชบัญญัตินี้ หรือกฎหมายอื่นให้กระทำได้ (มาตรา 21)
ไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย(มาตรา 22)
เก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่เข้าข้อยกเว้นของฐานการประมวลผลข้อมูลส่วนบุคคล (มาตรา 24)
ไม่แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้เจ้าของข้อมูลส่วนบุคคลทราบ ภายใน 30 วันนับแต่วันที่เก็บรวบรวม และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม(มาตรา 25 วรรคหนึ่ง)
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา24 และ 26 (มาตรา 27 วรรคหนึ่ง)
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น(มาตรา 27วรรคสอง)
ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและไม่เข้าข้อยกเว้นตามที่กฎหมายกำหนด(มาตรา 28)
เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิคัดค้าน (มาตรา 32 วรรคสอง)
ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล(มาตรา 37)
ขอความยินยอมโดยการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์(มาตรา 83)
เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่มิใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง และไม่แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบและไม่ขอความยินยอม (มาตรา 25 วรรคสอง (นำมาตรา 21 มาบังคับใช้โดยอนุโลม))
ส่งหรือโอนข้อมูลส่วนบุคคลไปยังเครือกิจการหรือเครือธุรกิจเดียวกันในต่างประเทศโดยที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้รับการตรวจสอบและรับรองจากสำนักงานหรือไม่จัดให้มีมาตรการคุ้มครองที่เหมาะสมที่สามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้รวมถึงไม่จัดให้มีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ (มาตรา 29 วรรคหนึ่งและวรรคสาม)
ความรับผิด/บทลงโทษระวางโทษปรับทางปกครอง ไม่เกิน 3,000,000 บาท
มาตรา 84
เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมเว้นแต่เข้าข้อยกเว้นตามที่กฎหมายกำหนด (มาตรา 26 วรรคหนึ่ง)
ไม่กระทำการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายหรือไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด(มาตรา 26วรรคสาม)
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม(มาตรา 27วรรคหนึ่ง ประกอบมาตรา 26)
ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น(มาตรา 27 วรรคสอง ประกอบมาตรา 26)
ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปยังต่างประเทศโดยที่ประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและไม่เข้าข้อยกเว้นตามที่กฎหมายกำหนด(มาตรา 28ประกอบมาตรา 26)
ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปยังเครือกิจการหรือเครือธุรกิจเดียวกันในต่างประเทศโดยที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้รับการตรวจสอบและรับรองจากสำนักงานหรือไม่จัดให้มีมาตรการคุ้มครองที่เหมาะสมที่สามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้รวมถึงไม่จัดให้มีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ (มาตรา 29 วรรคหนึ่งและวรรคสามประกอบมาตรา 26)
ความรับผิด/บทลงโทษระวางโทษปรับทางปกครอง ไม่เกิน 5,000,000 บาท
15.3.2 โทษสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล
มาตรา 85
ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(มาตรา 41วรรคหนึ่ง)
ไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(มาตรา 42 วรรคสอง)
ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 (มาตรา 42 วรรคสาม)
ความรับผิด/บทลงโทษ ระวางโทษปรับทางปกครอง ไม่เกิน 1,000,000 บาท
มาตรา 86
ไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลโดยไม่มีเหตุอันควร(มาตรา 40)
ส่งหรือโอนข้อมูลส่วนบุคคลไปยังเครือกิจการหรือเครือธุรกิจเดียวกันในต่างประเทศโดยที่นโยบายในการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้รับการตรวจสอบและรับรองจากสำนักงานหรือไม่จัดให้มีมาตรการคุ้มครองที่เหมาะสมที่สามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้รวมถึงไม่จัดให้มีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ (มาตรา 29วรรคหนึ่งและวรรคสาม)
กรณีผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักรและไม่แต่งตั้งตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในราชอาณาจักร (มาตรา 38วรรคสอง (นำมาตรา 37(5) มาบังคับใช้โดยอนุโลม))
ความรับผิด/บทลงโทษระวางโทษปรับทางปกครอง ไม่เกิน 3,000,000 บาท
มาตรา 87
ส่งหรือโอนข้อมูลส่วนบุคคลที่มีความอ่อนไหวไปยังเครือกิจการหรือเครือธุรกิจเดียวกันในต่างประเทศโดยที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้รับการตรวจสอบและรับรองจากสำนักงานหรือ
จัดให้มีมาตรการคุ้มครองที่เหมาะสมที่สามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้รวมถึงไม่จัดให้มีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ (มาตรา 29วรรคหนึ่งและวรรคสาม ประกอบมาตรา 26)
ความรับผิด/บทลงโทษ ระวางโทษปรับทางปกครองไม่เกิน 5,000,000 บาท
15.3.3 โทษสำหรับตัวแทนผู้ควบคุมข้อมูลส่วนบุคคล(Agent of Data Controller)หรือตัวแทนผู้ประมวลผลข้อมูลส่วนบุคคล (Agent of Data Processor)
มาตรา 88
ไม่บันทึกรายการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดเช่น ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวมเพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานสามารถตรวจสอบได้ (มาตรา 39 วรรคสอง(นำมาตรา 39 วรรคหนึ่งมาบังคับใช้โดยอนุโลม)
ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(มาตรา41 วรรคสี่ (นำมาตรา 41 วรรคหนึ่งมาบังคับใช้โดยอนุโลม))
ความรับผิด/บทลงโทษระวางโทษปรับทางปกครอง ไม่เกิน 1,000,000 บาท
15.3.4 โทษที่ใช้บังคับเป็นการทั่วไป
มาตรา 89
ผู้ใดไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญหรือไม่มาชี้แจงข้อเท็จจริง หรือให้ข้อมูล หรือส่งเอกสารหลักฐานใด ๆเกี่ยวกับการดำเนินการหรือการกระทำความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่
ความรับผิด/บทลงโทษ ระวางโทษปรับทางปกครองไม่เกิน 500,000 บาท
หมวด 16 การติดต่อสอบถามข้อสงสัยเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
กรณีมีปัญหาหรือข้อสงสัยเกี่ยวกับคู่มือวิธีปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบริษัทหรือการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องสามารถติดต่อสอบถามเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ผ่านช่องทางดังต่อไปนี้
(1) โทรศัพท์+66 2539 9120
(2) เว็บไซต์https://www.cinspire.co.th
(3) อีเมลinfo@cinspire.co.th
%2022.png)
C INSPIRE CO.,LTD.
1999/11-12 District Sriwara, Soi Ladproa 94 (Panjamitr)Plubpla,Wang Thonglang, Bangkok 10310
T: +66 2539 9120
F: +66 2539 9122
E: info@cinspire.co.th