สรุป PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล (อัพเดท 22/05/2021)

ประกาศพรบ.คุ้มครองข้อมูลส่วนบุคคล เลื่อนไปบังคับใช้ 31 พฤษภาคม พ.ศ. 2565

สาระสำคัญ

ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA

กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24 ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นโดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงเพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง

สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม)

ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็น ซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมายเพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น

ตัวอย่าง
การประมวลผลข้อมูลเพื่อซื้อขายสินค้า สามารถทำได้ตามฐานสัญญาโดยไม่ต้องขอความยินยอม แต่หากเสนอบริการเสริมเพิ่มเติม ที่ไม่เกี่ยวข้องกับสัญญาซื้อขายนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

และการขอความยินยอมจะต้องไม่แสร้งว่า เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการ หรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วเจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ

กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง

เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้

ย้ำอีกครั้งว่าตามกฎหมาย PDPA ไม่ได้กำหนดให้ต้องขอความยินยอมในทุกกรณี หากวัตถุประสงค์การประมวลผลข้อมูล เข้าหลักการข้ออื่นโดยชอบด้วยกฎหมายแล้ว ก็ไม่ต้องนำเรื่องความยินยอมมาใช้ (แต่ยังมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลอยู่ดี)

---

การเก็บข้อมูลหน้าที่ตามกฎหมาย Legal Obligations

กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมายหรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจหากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐการประมวลผลเพื่อการดังกล่าว
ไม่ต้องขอความยินยอมอีก(มาตรา 24(6))

อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมายผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม
(Record of Processing Activities: ROP)

ตัวอย่าง

• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้าง
• เพื่อคำนวณจ่ายค่าประกันสังคม
• ส่งให้กับสำนักงานประกันสังคม

---

การเก็บข้อมูลเพื่อประโยชน์อันชอบธรรม Legitimate Interest

การประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรม ของผู้ควบคุมข้อมูลหรือบุคคลอื่นสาระสำคัญคือประโยชน์อันชอบธรรมนั้น
‘ต้องไม่เกินไปกว่าความคาดหมายของเจ้าของข้อมูล’

เช่น การติด CCTV หน้าประตูทางเข้าบริษัท ย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัยผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย“ CCTV กำลังทำงาน ”
.
ผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้ดุลยพินิจชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมไม่ให้ขัดกับสิทธิและประโยชน์เจ้าของข้อมูลส่วนบุคคลดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุได้ว่าอะไรคือประโยชน์อันชอบธรรมที่จะได้รับและความจำเป็นในการประมวลผลข้อมูลทั้งยังมีหน้าที่ปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลให้สมดุลกับประโยชน์อันชอบธรรมที่จะได้รับด้วย
(มาตรา 24(5))
.
ตัวอย่างคือ หากติดกล้อง CCTV ในสถานที่เช่น ภายในห้องน้ำ นอกจากเกินกว่าที่บุคคลทั่วไปจะคาดหมายได้แล้ว ยังก้าวล่วงความเป็นส่วนตัวและสร้างความเสี่ยงต่อเจ้าของข้อมูลมากเกินสมควรกรณีนี้ก็จะไม่สามารถอ้างประโยชน์อันชอบธรรมได้
.
นอกจากนี้ ในการปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัย
ในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย ก็จะเป็นมาตรการที่ช่วยคุ้มครองเจ้าของข้อมูลได้อีกทางหนึ่ง (Safeguard)

---

การเก็บข้อมูลเพื่อปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม

กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย“ข้อมูลส่วนบุคคล (Personal Data)”ที่จำเป็นเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล
เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้น
ให้สามารถดำเนินการตามสัญญาต่อไปได้ดังนั้น เมื่อเข้าหลักการเก็บรวบรวมข้อมูลเพื่อปฏิบัติตามสัญญานี้แล้วจึงไม่ต้องขอความยินยอมเพิ่มเติมอีก(มาตรา 24(3))

แต่หลักการเรื่องสัญญานี้ ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26
จึงอาจต้องขอความยินยอมชัดแจ้งเว้นแต่เป็นกรณีสัญญาให้บริการทางการแพทย์ที่เข้าเงื่อนไขตามกฎหมาย ตามมาตรา 26(5)(ก)
หรือกรณีตามข้อยกเว้นอื่นที่ไม่ต้องขอความยินยอม ตามมาตรา 26

ตัวอย่าง

• การประมวลผลข้อมูลผู้สมัครบัตรเครดิตว่าจะอนุมัติบัตรเครดิตหรือไม่
• การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า
• การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง

---

สิทธิการได้รับแจ้ง Right to be Informed – มาตรา 23

หลักสำคัญของสิทธินี้คือ เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคล ทุกคน ได้รับโดยไม่ต้องมีการร้องขอ

ตามกฎหมายแล้วผู้ควบคุมข้อมูลส่วนบุคคล จะต้อง แจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล
ให้เจ้าของข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการใดก็ตาม
เพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร?
*การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลส่วนบุคคล

รายละเอียดการแจ้งให้ทราบ ต้องมีอย่างน้อย
– เก็บข้อมูลอะไรบ้าง
– เก็บไปทำไม
– เก็บนานแค่ไหน
– ส่งต่อข้อมูลให้ใคร
– ช่องทางติดต่อผู้ควบคุมข้อมูล

* หากเก็บรวบรวมข้อมูลจากแหล่งอื่นก็ต้องแจ้งเจ้าของข้อมูลทราบด้วย (มาตรา 25)
*กรณีมีการแก้ไขวัตถุประสงค์ในภายหลัง จะต้องแจ้งให้ทราบหากวัตถุประสงค์ที่แก้ไขนั้นมีความแตกต่างไปจากวัตถุประสงค์เดิม

หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายแจ้งรายละเอียดให้เจ้าของข้อมูลทราบ
ถือเป็นความผิดตามพระราชบัญญัติฉบับนี้ โดยมีบทลงโทษเป็นโทษปรับทางปกครองไม่เกิน 1,000,000 บาท
(มาตรา 82)

---

สิทธิในการเพิกถอนความยินยอม Right to Withdraw Consent – มาตรา 19

หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ (มาตรา19)
* ในกรณีที่เป็นการเก็บรวบรวมข้อมูลจากการให้ความยินยอม (Consent)

การเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยินยอม

เมื่อผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”

🔥 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอมต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

* การประมวลผล หมายถึง การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

---

สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access) – มาตรา 30

หลักการสำคัญคือ เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงข้อมูลที่เกี่ยวกับตนได้ดังนี้
1. ขอเข้าถึงและขอรับสำเนาข้อมูลที่เกี่ยวกับตน
2. ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม

เมื่อได้รับคำขอแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องตามคำขอให้เจ้าของข้อมูลโดยไม่ชักช้า (ไม่เกิน 30 วัน นับแต่ที่ได้รับคำขอ)

อย่างไรก็ตาม ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้ในกรณีดังต่อไปนี้
1. เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล
2. คำขอจากเจ้าของข้อมูลส่วนบุคคลนั้นส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น

*หากมีการปฏิเสธคำขอจะต้องทำบันทึกรายการเกี่ยวกับการปฏิเสธด้วย ซึ่งมีรายละเอียดตามมาตรา 39

หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำขอ ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)

---

สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) – มาตรา 35 และมาตรา 36

หลักการสำคัญคือ เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอแก้ไขข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ เมื่อเห็นว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์

เมื่อผู้ควบคุมข้อมูลได้รับคำร้องขอแก้ไขข้อมูลส่วนบุคคลจะต้องดำเนินการแก้ไขให้ ‘ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด’

หากผู้ควบคุมข้อมูลปฏิเสธคำร้องขอแก้ไขข้อมูลจะต้องบันทึกรายการและเหตุผลการปฏิเสธไว้ด้วยตามมาตรา 39และเจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ ตามมาตรา 34 วรรคสอง

---

สิทธิในการลบข้อมูลส่วนบุคคล (Right to be Forgotten) ตามมาตรา 33

หลักการสำคัญ เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้องขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด

กรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิได้

ข้อมูลหมดความจำเป็นในการประมวลผลตามวัตถุประสงค์
1.ถอนความยินยอมในการใช้ข้อมูล (ในกรณีนี้ต้องปรากฏว่ามีการเก็บข้อมูลตามฐานความยินยอม มาตรา 24)
2.ข้อมูลถูกใช้ประมวลผลโดยไม่ถูกกฎหมาย

กรณีที่กฎหมายยกเว้นการใช้สิทธิ
1.เป็นข้อมูลที่เกี่ยวกับเสรีภาพในการแสดงความคิดเห็น
2.เป็นข้อมูลที่เกี่ยวกับการทำวิจัย หรือสถิติ (มาตรา 24(1)) หรือเพื่อสาธารณะประโยชน์ (มาตรา 24(4))
3. เป็นข้อมูลที่กฎหมายระบุให้เก็บ

ในกรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลต้องดำเนินการแจ้งให้ลบข้อมูลดังกล่าวด้วย หากผู้ควบคุมข้อมูลไม่ดำเนินการตามคำร้องขอ เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ผู้ควบคุมข้อมูลดำเนินการได้

รวบรวมข้อมูลจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม  และ พระราชบัญญัติ คุ้มครอง ข้อมูล ส่วน บุคคล – ราชกิจจานุเบกษา

---

ติดต่อขอรับคำปรึกษาด้าน Marketing และ Technology

• ให้คำปรึกษาตั้งแต่การวาง Technology Roadmap
• การเลือกเครื่องมือที่ตอบโจทย์ธุรกิจที่สุด
• การวาง Data Foundation ให้รองรับสเกลของธุรกิจ
• การ Implement Platform อย่างมีระบบ
• การทำ Change Management และการติดตามการ Adoption
• ควบคุมการบริหารโครงการด้วยผู้มีประสบการณ์ตรง
• รับจำนวนจำกัดไม่เกิน 2 Projects / เดือน

Line: baron66
Email : [email protected]