คำถามที่พบบ่อยเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับประชาชน

คำถามที่พบบ่อยเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับประชาชน

FAQs, PDPA

คำถามที่พบบ่อยเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
สำหรับประชาชน

1. หมวดหลักการเก็บรวบรวมข้อมูลส่วนบุคคล
2. หมวดหลักเกณฑ์หรือวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล / ร้องเรียน
3. หมวดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
4. หมวดบทนิยาม / ขอบเขตการบังคับใช้ของกฎหมาย
5. หมวดโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ​
​6. หมวดสิทธิของเจ้าของข้อมูลส่วนบุคคล
7. หมวดฐานที่ชอบด้วยกฎหมาย
8. ศูนย์ให้คำปรึกษาและรับเรื่องร้องเรียน หมายเลข 02 111 8800 กด 2

1. หมวดหลักการเก็บรวบรวมข้อมูลส่วนบุคคล

ตอบ โดยทั่วไปแล้วกฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่ จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่กรณีตามมาตรา 25 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกฎหมายบัญญัติให้สามารถทำได้โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติ ดังนี้

  1. จะต้องแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคล ทราบโดยไม่ชักช้าแต่ไม่เกิน 30 วัน และได้รับความยินยอม
  2. หากเป็นกรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลโดยได้รับการยกเว้น ไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอ ความยินยอม

ตอบ มาตรา 95 ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม 

ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย 

การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ หน้าที่ตามกฎหมายของผู้ ประมวลผลข้อมูลส่วนบุคคลเป็นไปตาม มาตรา 40 โดยบัญญัติไว้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับ จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วน บุคคลตามพระราชบัญญัตินี้

(2) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลีjยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

(3) จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

ดังนั้น ผู้ประมวลข้อมูลส่วนบุคคลจึงมิได้มีหน้าที่ต้องตรวจสอบความถูกต้องของการเก็บ ข้อมูลส่วนบุคคลกับเจ้าของข้อมูล

ตอบ หากบริษัทพิจารณาแล้วว่าข้อมูลศาสนาไม่มีความจำเป็นในการเก็บรวบรวมข้อมูล ส่วนบุคคล ตามมาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วน บุคคลสามารถดำเนินการขีดฆ่าข้อมูลศาสนาออก หรือดำเนินการทางเทคนิคเพื่อทำการลบหรือเบลอข้อมูลศาสนาเสียก็ได้ และในการเก็บรวบรวมข้อมูลส่วนบุคคลก็อาจกำหนดให้เจ้าของข้อมูลส่วนบุคคลดำเนินการขีดฆ่าข้อมูลดังกล่าวออกก่อนที่จะจัดส่งข้อมูลดังกล่าวมาให้ผู้ควบคุมข้อมูลส่วนบุคคลก็ได้   เพื่อความง่ายในการเก็บรวบรวมข้อมูลส่วนบุคคล และถ้าบริษัทไม่มีความประสงค์จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลศาสนา บริษัทไม่ควรขอความยินยอม เนื่องจากอาจเป็นการขัดต่อหลักความยินยอมและหลักการแจ้งวัตถุประสงค์

ตอบ กรณีบริษัทได้ทำการแก้ไขข้อมูลส่วนบุคคลดังกล่าว เป็นเพียงการนำข้อมูลส่วนบุคคล ชุดเดิมที่ได้เก็บรวบรวมมาก่อนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ และข้อมูลส่วนบุคคล ดังกล่าวยังใช้ในวัตถุประสงค์เดิม จึงถือได้ว่าเป็นข้อมูลส่วนบุคคลที่ได้มีการเก็บรวบรวมก่อนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ

ดังนั้นบริษัทจึงสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลได้ ตามวัตถุประสงค์เดิมตามมาตรา 95 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ หากบริษัทมีการแจ้งวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคลไว้ใน Privacy Notice แล้ว บริษัท สามารถดำเนินการตามวัตถุประสงค์ดังกล่าวได้โดยมิต้องขอความยินยอม แต่ในกรณีที่ต้องการ เปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่เคยได้แจ้งไว้ใน ใน Privacy Notice บริษัท จะต้องแจ้ง วัตถุประสงค์ใหม่ใน Privacy Notice และดำเนินการขอความยินยอมตามมาตรา 19 หรืออาจพิจารณาฐาน ทางกฎหมายที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณีเพื่อ ดำเนินการเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ตอบ กรณีที่ต้องการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศนั้น ถือเป็นวัตถุประสงค์ หนึ่งในการประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ท่านได้แจ้งวัตถุประสงค์ดังกล่าวไว้ใน Privacy Notice โดย มีรายละเอียดตามมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว ก็ย่อมต้อง พิจารณาฐานทางกฎหมายที่สอดคล้องกับวัตถุประสงค์ดังกล่าวเพื่อดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล โดยอาจพิจารณาฐานความยินยอมตามมาตรา 19 หรือฐานทางกฎหมายที่ได้รับการยกเว้นไม่ต้องขอความ ยินยอมตามมาตรา 26 ซึ่งหากเป็นกรณีที่ดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลด้วยฐานความยินยอม ท่านจะต้องขอความยินยอมในวัตถุประสงค์ดังกล่าวเพื่อดำเนินการส่งหรือโอนข้อมูลส่วนบุคคล แต่หากเป็น กรณีใดกรณีหนึ่งได้รับการยกเว้นไม่ต้องขอความยินยอมตามมาตรา 26 ก็สามารถส่งหรือโอนข้อมูลส่วนบุคคล ไปยังต่างประเทศได้ ทั้งนี้จะต้องพิจารณาหลักเกณฑ์การส่งหรือโอนตามมาตรา 28 และมาตรา 29 แล้วแต่กรณีด้วย

ตอบ ข้อมูลสุขภาพเป็นข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 กรณีที่มีการเก็บรวบรวมข้อมูลสุขภาพนั้น ต้องได้รับความยินยอมจาก เจ้าข้อมูลส่วนบุคคลโดยชัดแจ้ง เว้นแต่ได้รับข้อยกเว้นสามารถเก็บรวบรวมข้อมูลสุขภาพโดยไม่ต้องขอ ความยินยอมตามมาตรา 26 (1) – (5) ซึ่งการที่บริษัทเห็นว่าการเก็บรวบรวมข้อมูลดังกล่าวนำไปใช้เป็นการ จำเป็นเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับสถิติ บริษัทเองควรมีการพินิจและพิจารณาว่าการเก็บเพื่อไปทำสถิติ เป็นลักษณะไม่ได้มุ่งหมายที่จะนำข้อมูลหรือผลการดำเนินการดังกล่าวมามีผลต่อการตัดสินใจหรือดำเนินการ ใดเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลผู้ใดผู้หนึ่ง หากเป็นเพื่อการลักษณะในข้อยกเว้นดังข้างต้นให้พิจารณา เพิ่มเติมจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการที่เหมาะสมสำหรับการเก็บ รวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

ตอบ การเก็บรวบรวมข้อมูลส่วนบุคคลโดยใช้ฐานประโยชน์โดยชอบด้วยกฎหมายตามมาตรา 24 (5) จะต้องพิจารณาโดยการประเมินตามหลักเกณฑ์ 3 ข้อ ดังนี้

  • องค์กรสามารถระบุประโยชน์ที่ชอบด้วยกฎหมายได้หรือไม่ (Purpose Test)
  • องค์กรมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ เพื่อประโยชน์โดยชอบด้วยกฎหมาย และไม่สามารถใช้วิธีการอื่นได้ ( Necessity Test) โดยที่ประโยชน์ โดยชอบด้วยกฎหมายจะต้องมีความสำคัญไม่น้อยกว่าสิทธิดังกล่าว
  • สิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีน้อยกว่าประโยชน์ โดยชอบด้วยกฎหมายขององค์กรหรือไม่ (Balancing Test)

หากผู้ควบคุมข้อมูลส่วนบุคคลสามารถประเมินตามหลักเกณฑ์ทั้ง 3 ข้อได้ จึงสามารถเก็บรวบรวมข้อมูลส่วนบุคคล โดยใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย ตามมาตรา 24 (5) ได้

ตอบ กรณีผู้ ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมข้อมูลส่วนบุคคลไว้ก่อนวันที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลต่อไปตามวัตถุประสงค์เดิมได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิก ความยินยอมและประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บ รวบรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมโดยง่าย ตามมาตรา 95 แห่งพระราชบัญญัติดังกล่าว

ตอบ หากข้อมูลศาสนาเป็นข้อมูลส่วนบุคคลที่เกินความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลควรจัดให้มีระบบการตรวจสอบ เพื่อในดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ตามมาตรา  37  (3)  เช่น  การขีดฆ่าข้อความ  เพื่อให้ เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่ความจำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตามมาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2652

ตอบ เนื่องจาก สำนักงานฯ ไม่มีข้อเท็จจริงที่ชัดเจนพอ จึงขออธิบายหลักการตามกฎหมาย ดังนี้ โดยทั่วไปแล้วกฎหมายห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคล โดยตรง ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของ ข้อมูลส่วนบุคคลโดยตรง หากเข้าข้อยกเว้นกรณีตามมาตรามาตรา 25 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกฎหมายบัญญัติให้สามารถทำได้โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติดังนี้

  1. จะต้องแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ไม่เกิน 30 วันและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  2. เป็นกรณีที่เก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26

ตอบ การแต่งตั้งตัวแทนของผู ้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 37 (5) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะต้องเป็นกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลซึ่ง อยู่นอกราชอาณาจักร แต่ยังต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เนื่องจากมีการเสนอขาย สินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรหรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของ ข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักรเท่านั้น ซึ่งหน่วยงานของรัฐไม่ได้มีลักษณะดังกล่าวจึงไม่ต้องแต่งตั้ง ตัวแทนตามมาตรา 37 (5) แห่งพระราชบัญญัตินี้

2.หมวดหลักเกณฑ์หรือวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล / ร้องเรียน

ตอบ เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคลมายังสำนักงานฯ เว้นแต่ ได้มีการประเมินความเสี่ยงของเหตุการการละเมิดดังกล่าว พบว่า ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ตามมาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งข้อยกเว้นดังกล่าว ผู้ ควบคุมข้อมูลส่วนบุคคลยังมีหน้าที่ให้ข้อมูล หรือส่งเอกสารหรือหลักฐานที่เกี่ยวกับเหตุที่ควรได้รับการยกเว้นรวมถึงรายละเอียดเกี่ยวกับมาตรการ รักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดมายังสำนักงานฯเพื่อพิจารณา ตามข้อ 9 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีในการแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคล พ.ศ. 2565

ตอบ ผู้ควบคุมข้อมูลส่วนบุคคลต้องประเมินความน่าเชื่อถือและความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคล เมื่อพิจารณาแล้วพบว่ามีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมายังสำนักงานฯ ตามมาตรา 37 (4) หากประเมินความน่าเชื่อถือ และความเสี่ยงของเหตุละเมิดข้อมูลส่วนบุคคลและพบว่าไม่มีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพ ของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลยังมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหรือหลักฐาน ที่เกี่ยวกับเหตุที่ควรได้รับการยกเว้นรวมถึงรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดมายังสำนักงานฯเพื่อพิจารณา ตามข้อ 9 ของประกาศคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 โดยสามารถ ส่งได้ทางอีเมล saraban@pdpc.or.th โดยมีรายละเอียดตามข้อ 6 ของประกาศฯ

ตอบ เมื่อบริษัทมีการตรวจสอบเหตุการละเมิดข้อมูลส่วนบุคคลแล้วพบว่ามีความเสี่ยง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง และหากเหตุการละเมิดข้อมูล ส่วนบุคคลนั้นมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลทราบพร้อมแนวทางในการเยียวยาโดยไม่ชักช้าด้วย ตามมาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ กรณีเหตุการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคลผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พร้อมกับแนวทางการเยี ยวยาโดยไม่ ชั กช้ าแก่ เจ้ าของข้ อมู ลส่ วนบุ คคลด้ วยตามมาตรา 37 (4) ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 10 (4) อย่างไรก็ดี กฎหมายกำหนดให้แจ้งรายละเอียดเหล่านั้น แก่เจ้าของข้อมูลส่วนบุคคลเท่านั้น และมีรายละเอียดบางส่วนซ้ำกับรายละเอียดที่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอยู่แล้ว ดังนั้น หากมีความประสงค์ที่จะแจ้ง ข้อมูลดังกล่าวมายังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็สามารถกระทำได้ ประกอบคู่มือ แนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เวอร์ชั่น 1.0

ตอบ เหตุการละเมิดข้อมูลส่วนบุคคล ได้แก่ เหตุการณ์ที่เกิดจากการละเมิดมาตรการรักษา ความมั่นคงปลอดภัย ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยปราศจากอำนาจ โดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์และความบกพร่องหรืออุบั ติเหตุ ทั้งนี้ สามารถจำแนกเหตุอันเกี่ยวข้องกับเหตุการละเมิดได้ 3 ประเภทดังนี้

  1. การละเมิดความลับของข้อมูลส่วนบุคคล
  2. การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล
  3. การละเมิดความพร้อมใช้งานของ ข้อมูลส่วนบุคคลตามข้อ 4 ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการ ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ตอบ กรณีผู้ควบคุมข้อมูลส่วนบุคคลได้รับการแจ้งเหตุละเมิดจากผู้ประมวลผลข้อมูลส่วน บุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ตามข้อ 5 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วน บุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 และเมื่อการประเมินความ น่าเชื่อถือของข้อมูลและตรวจสอบข้อเท็จจริงโดยไม่ชักช้าเท่าที่สามารถกระทำได้ และเมื่อพิจารณาจาก ข้อเท็จจริงแล้วมีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูลส่วนบุคคลจริง ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเหตุการ ละเมิดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เท่าที่จะสามารถกระทำได้  และว่าด้วยหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 37  (4)  แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีหน้าที่ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลด้วยอยู่ แล้วนั้น

ตอบ ตามข้อ 12 ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ในการประเมินความเสี่ยงสำหรับเหตุการ ละเมิดข้อมูลส่วนบุคคล ว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด ผู้ควบคุมข้อมูล ส่วนบุคคลอาจพิจารณาจากปัจจัย ดังต่อไปนี้

  1. ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล
  2. ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด
  3. ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิดซึ่งอาจพิจารณาจากจำนวน เจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records) ของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด
  4. ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบรวมถึง ข้อเท็จจริงว่าเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ ประกอบด้วยผู้เยาว์ ผู้พิการ ผู้ไร้ความสามารถ ผู้เสมือนไร้ความสามารถ หรือบุคคลเปราะบาง (vulnerable persons) ที่ขาดความสามารถในการปกป้อง สิทธิและประโยชน์ของตนเนื่องจากข้อจำกัดต่าง ๆ ด้วยหรือไม่ เพียงใด
  5. ความร้ายแรงของผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูล ส่วนบุคคลจากการละเมิดข้อมูลส่วนบุคคล และประสิทธิผลของมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้ หรือ จะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหายต่อการบรรเทา ผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล
  6. ผลกระทบในวงกว้างต่อธุรกิจหรือการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล หรือต่อสาธารณะจากเหตุการละเมิดข้อมูลส่วนบุคคล
  7. ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด และมาตรการ รักษาความมั่นคงปลอดภัยที่เกี่ยวข้องของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งที่เป็นมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) รวมถึงมาตรการทางกายภาพ (physical measures)
  8. สถานะทางกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลว่าเป็นบุคคลธรรมดาหรือนิติบุคคล รวมทั้งขนาดและลักษณะของกิจการของผู้ควบคุมข้อมูลส่วนบุคคล

ตอบ หากมีการดำเนินการพบเจอเหตุการละเมิดข้อมูลส่วนบุคคล และต้องการแจ้งเบาะแส อาจดำเนินการแจ้งเบาะแสได้ที่ช่องทาง Page Facebook: PDPC Eagle Eye หรือโทร 02-111-8800 ต่อ 3 หรือสามารถยื่นผ่านทางไปรษณีย์อิเล็กทรอนิกส์ (E-mail) saraban@pdpc.or.th

ตอบ หากมีความประสงค์ต้องการร้องเรียน สามารถกรอกข้อมูลร้องเรียนเพิ่มเติมได้ตาม “ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่องการพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565”

โดยให้กรอก รายละเอียดข้อเท็จจริงลงในแบบ ครร.1 ได้ ที่ https://www.pdpc.or.th โดยเข้าไปที่หัวข้อ “แจ้งเรื่องร้องเรียน” และสามารถโหลดแบบ ครร.1 โดยเข้า ไปที่ “ประกาศสำนักงาน” และเข้าทำรายการที่ “ช่องทางการยื่นคำร้องเรียนผ่านช่องทางอิเล็กทรอนิกส์และ แบบคำร้องเรียน พ.ศ. 2566” พร้อมแนบเอกสารที่เกี่ยวข้องไปยังสำนักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล โดยวิธีการใดวิธีการหนึ่ง 3 ช่องทาง ดังนี้

  • ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • ยื่นผ่านทางไปรษณีย์ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ชั้น 7  อาคารรัฐประศาสนภักดี ศูนย์ราชการฯ ถนนแจ้งวัฒนะ เขตหลักสี่ กรุงเทพฯ 10120
  • ยื่นผ่านทางไปรษณีย์อิเล็กทรอนิกส์ (E-mail) saraban@pdpc.or.th

ทั้งนี้ ท่านสามารถดำเนินการร้องเรียนผ่านช่องทางอิเล็กทรอนิกส์ ตามเว็บไซต์ของสำนักงาน ฯ ได้ ตามลิ้งค์ที่ปรากฏนี้ https://complaint.pdpc.or.th/

ตอบ  เจ้ าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อสำนักงานฯ ได้ ตามมาตรา 73 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศที่ออกตามพระราชบัญญัตินี้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัตินี้   แม้จะได้ดำเนินการตามกระบวนยุติธรรมทางศาลแพ่งไปแล้วก็ไม่ตัดสิทธิในการดำเนินกระบวนยุติธรรมทางปกครอง

ตอบ เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการ ละเมิดข้อมูลส่วนบุคคลมายังสำนักงานฯ เว้นแต่ ได้มีการประเมินความเสี่ยงของเหตุการละเมิดดังกล่าวแล้ว พบว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ตามมาตรา 37 (4) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งข้อยกเว้นดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลยังมีหน้าที่ให้ข้อมูลหรือ ส่งเอกสารหรือหลักฐานที่เกี่ยวกับเหตุที่ควรได้รับการยกเว้นรวมถึงรายละเอียดเกี่ยวกับมาตรการรักษา ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดมายังสำนักงานฯ เพื่อให้สำนักงานพิจารณา ตามข้อ 9 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีในการแจ้งเหตุการ ละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ตอบ จากกรณีดังกล่าวถือได้ว่ามีเหตุการละเมิดข้อมูลส่วนบุคคลแล้วตามมาตรา 37 (4) และ บริษัทพิจารณาว่ากรณีดังกล่าวมีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลมากน้อยเพียงใด หากประเมินแล้วมี ความเสี่ยงก็ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ กรณีที่พบว่าไม่มีความเสี่ยงที่จะมีผลกระทบ ต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหรือหลักฐาน ที่เกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลที่ควรได้รับการยกเว้น รวมถึงรายละเอียดเกี่ยวกับมาตรการ รักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดมายังสำนักงาน ฯ เพื่อพิจารณา ตามข้อ 9 และสามารถส่งได้ทางอีเมล saraban@pdpc.or.th โดยมีรายละเอียดตามข้อ 6 ของประกาศคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ตอบ   ผู้ควบคุมข้อมูลส่วนบุคคลต้องประเมินความน่าเชื่อถือและความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคล เมื่อพิจารณาแล้วพบว่ามีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ส่วนบุคคล ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมายังสำนักงานฯ ตามมาตรา 37 (4) หากประเมินความ น่าเชื่อถือและความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคลแล้วพบว่าไม่มีความเสี่ยงที่จะกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลยังมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหรือ หลักฐานที่เกี่ยวกับเหตุที่ควรได้รับการยกเว้นรวมถึงรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใดมายังสำนักงานฯเพื่อพิจารณา ตามข้อ 9 ของประกาศคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 โดยสามารถส่งได้ทางอีเมล saraban@pdpc.or.th โดยมีรายละเอียดตามข้อ 6 ของประกาศฯ

ตอบ บริษัทฯ ต้องดำเนินการประเมินความน่าเชื่อถือของข้อมูล และตรวจสอบข้อเท็จจริง เกี่ยวกับเหตุการละเมิดก่อนว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่ รวมทั้งประเมินความ เสี ่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลตามข้อ 5 (1) ของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วน บุคคล พ.ศ. 2565 ว่ามีความเสี่ยงหรือไม่ และเสี่ยงแค่ไหน หากบริษัทฯ ดำเนินการตามที่กล่าวมาข้างต้นแล้ว พบว่ามีความเสี่ยง ให้บริษัทฯ ดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสอง ชั ่วโมงนับแต่ทราบเหตุเท่าที่สามารถกระทำได้ตามข้อ 5 (3) แต่หากพิจารณาแล้วว่ากรณีดังกล่าว มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้บริษัทฯ ดำเนินการ แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางเยียวยาโดยไม่ชักช้าด้วย โดยรายละเอียดเกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลเป็นไปตามข้อ 6 ของประกาศฯ

3.หมวดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

ตอบ กรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องทำการแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล    สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานฯ ทราบ ซึ่งปัจจุบันนี้ยังไม่มีประกาศฯ กำหนดหลักเกณฑ์และคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO) แต่ในเบื้องต้นจะต้องเป็น ผู้ มีความรู้ ความเชี่ยวชาญในการจัดการเกี่ยวกับข้อมูลส่วนบุคคล เนื่องจากมีหน้าที่ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สามารถปฏิบัติหน้าที่อื่นได้แต่ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัตินี้

ตอบ หากผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลจะต้องทำการแจ้งข้อมูลต่าง ๆ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมายัง สำนักงานคณะกรรมการคุ้ มครองข้อมูลส่วนบุคคลโดยช่องทาง อี เมล saraban@pdpc.or.th 

ทั้งนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ไม่ได้กำหนดหลักเกณฑ์หรือคุณสมบัติว่าเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลจะต้องเป็นคนไทยหรือชาวต่างชาติ   ดังนั้นสามารถให้ชาวต่างชาติเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้

ตอบ   เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้  แต่ผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าหน้าที่หรือภารกิจดังกล่าวไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามมาตรา 42 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 โดยวิธีการรับรองดังกล่าวอาจทำได้โดยการระบุมาพร้อมกับการแจ้งเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลให้สำนักงานฯ ทราบ

ตอบ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวผลข้อมูลส่วนบุคคลใดแม้ไม่ได้มีหน้าที่โดยตรงที่ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด แต่หากมีความพร้อมในการจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก็สามารถแจ้งรายละเอียดตามมาตรา 41 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยผ่านช่องทาง อีเมล saraban@pdpc.or.th

ตอบ มาตรา 41 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้บัญญัติเกี่ยวกับ หลักเกณฑ์ที่บริษัทต้องพิจารณาในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนี้ 

1. การดำเนินกิจกรรม นั้น มีความจำเป็นที่ต้องตรวจสอบข้อมูลส่วนบุคคลจำนวนมาก 

2. กิจกรรมหลักของผู้ควบคุมข้อมูลส่วน บุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่มีความหมายของคำว่า “จำนวนมาก” โดยตรง และตามข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ให้ถือเป็นกรณีที่มี ข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale )

  1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป
  2. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณา ตามพฤติกรรม (behavioral advertising) ผ่านโปรแกรมค้นหา (search engine) หรือสื่อสังคมออนไลน์ (social media) ที่มีผู้ใช้งานอย่างกว้างขวาง
  3. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการ ตามการ ดำเนินงานปกติโดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต    บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย  ผู้ ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ทั้งนี้ ไม่รวมถึงการดำเนินการกับข้อมูล ของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
  4. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับ ใบอนุญาต ประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม

ตอบ ตามพระราชบัญญัติคุ้ มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีการกำหนด ให้ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกรณีต่าง ๆ ตามมาตรา 41 (1) – (3) เมื่อผู้ควบคุม ข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลได้พิจารณาแล้วเข้าหลักเกณฑ์ จะต้องดำเนินการแจ้ง ข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้แก่เจ้าของข้อมูลส่วน บุคคลและสำนักงานทราบตามมาตรา 41 วรรคห้า ประกอบมาตรา 42 วรรคสี่ โดยจะต้องกรอกแบบฟอร์มใน https://www.pdpc.or.th/1719/ และดำเนินการแจ้งมายังไปรษณีย์อิเล็กทรอนิกส์ saraban@pdpc.or.th

ตอบ   เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้  แต่ผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าหน้าที่หรือภารกิจดังกล่าวไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามมาตรา 42  แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.  2562 โดยวิธีการรับรองดังกล่าวอาจทำได้โดยการระบุ มาพร้อมกับการแจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้สำนักงานฯ ทราบ

ตอบ บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ยังคงมีหน้าที่และความรับผิดตามมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการ แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิด ดังกล่าว ทั้งนี้ เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 37 (4) โดยกำหนดให้ผู้ควบคุม ข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้     เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะกระทบต่อสิทธิ และเสรีภาพของบุคคล

ตอบ คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในปัจจุบันนี้ยังไม่มีประกาศกำหนด หลักเกณฑ์และคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) แต่เบื้องต้นเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลควรมีความรู้หรือความเชี่ยวชาญด้านกฎหมายต่าง ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วน บุคคล มีความเข้าใจในเรื่องมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และเข้าใจบริบทการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในองค์กร โดยมาตรา 41 วรรคเจ็ดแห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ดังนั้น ในการพิจารณาคัดเลือกเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลจากบุคคลภายในองค์กรหรือบุคคลภายนอกที่เป็นผู้รับจ้างตามสัญญา ( Outsourced DPO) ผู้ควบคุมข้อมูลส่วนบุคคลจึงควรพิจารณาตามความเหมาะสมและความจําเป็นขององค์กรว่าสามารถจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยวิธีใด เพื่อให้การปฏิบัติหน้าที่ตามมาตรา 42 แห่งพระราชบัญญัติ ดังกล่าวเป็นไปอย่างมีประสิทธิภาพ เนื่องจากมีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ ประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถปฏิบัติหน้าที่อื่นได้แต่ต้องไม่ขัด หรือแย้งต่อการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ ขณะนี้ สำนักงานฯ ได้มี ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มี  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ที่กำหนดให้หน่วยงานของรัฐต้องจัดให้มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วน บุคคล ทั้งนี้ หากทางหน่วยงานใดมีความพร้อมก็สามารถจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และแจ้ง เข้ามายังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ ตามมาตรา 41 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) มีหน้าที่ดังต่อไปนี้

  1. ให้คำแนะนำแก่ผู้ ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง หรือผู้ รับจ้างของผู้ ควบคุมข้อมูลส่วนบุคคลหรือผู้ ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ  ตามพระราชบัญญัตินี้
  2. ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้
  3. ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้ง ลูกจ้างผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  4. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฎิบัติหน้าที่ตามพระราชบัญญัตินี้

ตอบ การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐเป็นไปตาม มาตรา 41 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งหากหน่วยงานมีความจำเป็นต้องจัดให้ มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 วรรคสอง ก็จำเป็นต้องจัดให้มี เนื่องจากเป็นหน้าที่ตาม กฎหมาย สำหรับประเด็นว่า หน่วยงานต้องมีผู้ประมวลผลข้อมูลส่วนบุคคลหรือไม่ เห็นว่า ผู้ประมวลผลข้อมูล ส่วนบุคคลนั้นเป็นสถานะที่เป็นไปโดยผลของกฎหมาย หากบุคคลหรือนิติบุคคลนั้นมีลักษณะตามที่กำหนดไว้ ตามมาตรา 6 เช่น หากสามารถตัดสินใจเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองจะมี ฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล แต่หากการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นเพียงการทำตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลก็จะมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัตินี้ ด้วยเหตุดังกล่าวการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีผู้ ประมวลผลข้อมูลส่วนบุคคลหรือไม่จึงต้องพิจารณาจากข้อเท็จจริง และข้อกฎหมายดังกล่าวมาแล้วข้างต้น

ตอบ ตอบ ปัจจุบันยังไม่มีประกาศฯ กำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) แต่โดยเบื้องต้นจะต้องมีคุณสมบัติ ได้แก่ จะต้องเป็นผู้ที่มีความรู้ ความเชี่ยวชาญในการจัดการเกี่ยวกับข้อมูลส่วนบุคคลเนื่องจากมีหน้าที่ให้คำแนะนำแก่ผู้  ควบคุม ข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถ ปฏิบัติหน้าที่อื่นได้แต่ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามมาตรา 42  พระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562

4. หมวดบทนิยาม / ขอบเขตการบังคับใช้ของกฎหมาย

ตอบ ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุม ข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุม ข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามบท นิยามดังกล่าว  ผู้ควบคุมข้อมูลส่วนบุคคลนั้นมีความแตกต่างจากผู้ประมวลผลข้อมูลส่วนบุคคล  คือมีอำนาจ หน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ผู้ประมวลผลข้อมูลส่วนบุคคลนั้น  มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล   เพียงแต่ทำตามคำสั่งหรือในนาม ของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

ตอบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายซึ่งให้ความคุ้มครอง เจ้าของข้อมูลส่วนบุคคล  โดยข้อมูลส่วนบุคคล  หมายความว่า  ข้อมูลที่สามารถระบุตัวบุคคลนั้นได้  ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลส่วนบุคคลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น หากหมายเลขโทรศัพท์ ดังกล่าวสามารถระบุถึงตัวบุคคลได้ ก็ถือว่าได้ว่าข้อมูลเบอร์โทรศัพท์นั้นเป็นข้อมูลส่วนบุคคลตามนิยามแห่ง พระราชบัญญัตินี้

ตอบ ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการประกาศกำหนด

ตอบ การเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562 กำหนดว่า หากจะเปิดเผยข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ใหม่จะต้องมีฐานทางกฎหมาย ในการเปิดเผยตามมาตรา 24 หรือมาตรา 26 หรือเป็นการเปิดเผยตามบทบัญญัติแห่งพระราชบัญญัตินี้ หรื อ กฎหมายอื่นบัญญัติให้กระทำได้ จึงจะไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ข้อมูลผู้ป่วย เป็นข้อมูลสุขภาพตามมาตรา 26 ซึ่งกรณี ดังกล่าวสามารถพิจารณาฐานทางกฎหมายตามมาตรา 26 (1) คือ การเปิดเผยข้อมูลส่วนบุคคลไปเพื่อวัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ในการเปิดเผยให้กับ โรงพยาบาลอื่น โดยที่ การเปิดเผยข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ – นามสกุล เพื่อให้บรรลุวัตถุประสงค์ดังกล่าว ก็สามารถเปิดเผย ข้อมูลส่วนบุคคลได้ตามมาตรา 24 (2)

ตอบ ข้อมูลส่วนบุคคลประเภทอ่อนไหวหรือข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการ ประกาศกำหนด

ตอบ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 5 มีหลักการที่สำคัญ คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ ตามมาตรา 5 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม ดังนั้นการที่บริษัทเอกชนได้จัดตั้งอยู่ในราชอาณาจักรและมีการเก็บข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ต่างประเทศก็ตาม บริษัทเอกชนก็เป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 5 ที่ต้องปฏิบัติภายใต้พระราชบัญญัตินี้

ตอบ มาตรา 95 ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่ พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไป ได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

ตอบ มาตรา 5 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการกำหนดการบังคับใช้กฎหมายตามหลักดินแดน   ซึ่งมีหลักเกณฑ์คือต้องอยู่ในราชอาณาจักร  ดังนั้น จึงอาจถือได้ว่าเป็นไปตามหลักดินแดนของประเทศไทย ต้องอยู่ภายในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม

ตอบ ผู้ประมวลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้น กรณีของเจ้าหน้าที่ผู้ปฏิบัติงานของหน่วยงาน จึงไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากเจ้าหน้าที่ผู้ปฏิบัติงานในองค์กรดังกล่าวปฏิบัติงานในลักษณะ เป็นส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล

ตอบ การที่บริษัทลูกโอนข้อมูลส่วนบุคคลให้แก่บริษัทภายนอกปฏิบัติงานเพื่อวัตถุประสงค์ ของตนเองโดยมิได้มีการโอนข้อมูลส่วนบุคคลไปยังบริษัทแม่ กรณีนี้ถือไม่ได้ว่าบริษัทแม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากบริษัทแม่ไม่ได้เป็นผู้ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จึงไม่ได้มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และบริษัทแม่ไม่ได้ ดำเนินการเกี่ยวกับการเก็บรวบรวม  ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัทลูก  จึง ไม่ได้มีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ตอบ การติดกล้องวงจรปิดในบ้านซึ่งเป็นพื้นที่ส่วนบุคคลเพื่อวัตถุประสงค์ในการป้องกันทรัพย์สิน ของตน ถือเป็นการเก็ยรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 4 (1) เท่านั้น โดยมิได้เป็นลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่าง เป็นประจำสม่ำเสมอ เพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งของบุคคลนั้น ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น กรณีการติดตั้งกล้องวงจรปิดที่บ้านตนเองจึงไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัตินี้

ตอบ ผู้ประเมินมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการ เก็ บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้คุมข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัตินี้ ซึ่งสถานภาพความเป็นผู้ประมวลผลข้อมูลส่วนบุคคลเกิดจากองค์ประกอบ ตามบทบัญญัติแห่งมาตราดังกล่าว โดยไม่ต้องมีการแต่งตั้ง หรือจ้างบุคคลคนใดเพื่อปฏิบัติหน้าที่นั้น ซึ่งบริษัท ที่มีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองถือเป็นผู้ควบคุม ข้อมูลส่วนบุคคล แต่อย่างไรก็ตาม บริษัทอาจว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อให้ดำเนินการแทน ในนามหรือตามคำสั่งของตนก็ได้ เช่น การว่าจ้างบริษัทอื่นให้ดำเนินการเฉพาะเรื่องที่บริษัทของตน ไม่สามารถดำเนินการเองได้ทั้งหมด เป็นต้น

ตอบ การมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นเป็น สถานะที่เป็นไปโดยผลของกฎหมาย หากบุคคลหรือนิติบุคคลนั้นมีลักษณะตามที่กำหนดไว้ตามมาตรา 6 เช่น หากสามารถตัดสินใจเพื่อเก็บรวบรวม ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองจะมีฐานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล แต่หากการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นเพียงการ ทำตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลก็จะมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัตินี้ ทั้งนี้ พนักงานในบริษัทจะไม่มีฐานะเป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากเป็นเพียงบุคคลที่เป็นส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลแล้วแต่กรณี

5. หมวดโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ตอบ การส่งหรือโอนข้อมูลส่วนบุคคลเป็นการเปิดเผยข้อมูลส่วนบุคคล พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 ห้ามไม่ให้เปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลเว้นแต่จะเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยได้รับการยกเว้นไม่ต้อง ขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัตินี้ ดังนั้น การส่งหรือโอนข้อมูลส่วนบุคคล ซึ่งเป็นข้อมูลส่วนบุคคลตามมาตรา 26 จะต้องพิจารณาจากฐานทางกฎหมายในการจัดเก็บข้อมูลส่วนบุคคลตามมาตรา 19 และมาตรา 26 และต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวม ข้อมูลส่วนบุคคลถึงวัตถุประสงค์และรายละเอียดต่าง ๆ ตามมาตรา 23 ทั้งนี้ การส่งหรือโอนนั้น ต้องพิจารณา หลักเกณฑ์การส่งหรือโอนตามมาตรา 28 และมาตรา 29 แล้วแต่กรณีเช่นกัน

ตอบ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรไทย สามารถส่งหรือโอนข้อมูลไปยังต่างประเทศไปยังผู้รับข้อมูลส่วนบุคคลซึ่งอยู่ในต่างประเทศและอยู่ในเครือ กิจการหรือเครือธุรกิจเดียวกันได้ หากผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลได้กำหนด นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (Binding Corporate Rules: BCRs) ซึ่งนโยบายดังกล่าวต้องได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงสามารถส่งหรือโอนข้อมูลส่วนบุคคลได้ แม้ประเทศปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรฐานการคุ้มครอง ข้อมูลส่วนบุคคลที่ไม่เพียงพอ หรือไม่มีคำวินิจฉัยของคณะกรรมการว่ามีมาตรฐานที่เพียงพอ ตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยให้ยื่นนโยบายดังกล่าวเพื่อให้สำนักงาน ตรวจสอบและรับรองโดยวิธีการในวิธีการหนึ่งต่อไปนี้

  • ยื่นโดยตรงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • ยื่นผ่านทางไปรษณีย์มายังสำนักงานฯ ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการฯ ถนนแจ้งวัฒนะ เขตหลักสี่ กรุงเทพฯ 10120
  • ยื่นผ่านทางช่องทางอิเล็กทรอนิกส์ (E-mail) saraban@pdpc.or.th

ตอบ ผู้ ให้บริการระบบคลาวด์ (cloud computing service provider) หมายความว่าผู้ให้บริการเก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร โดยมีระบบที่บริหาร จัดการข้อมูลบนอินเทอร์เน็ต โดยอาจให้บริการในรูปแบบต่างๆ ซึ่งการส่งข้อมูลส่วนบุคคลไปยังผู้ให้บริการ ระบบคลาวด์นั้น ผู้ให้บริการระบคลาวด์ไม่ควรมีการเข้าถึงข้อมูลส่วนบุคคลนั้น ตามข้อ 3 ของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไป ยังต่างประเทศตามมาตรา 29 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ศ.2566

ตอบ เนื่องจากปัจจุบันสำนักงานฯ ได้มี ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลที่ส่งถึงต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่จะส่ง หรือโอนข้อมูลไปยังต่างประเทศซึ่งเป็นเครือกิจการหรือเครือธุรกิจเดียวกันจึงสามารถเสนอนโยบายในการ คุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อให้สำนักงานตรวจสอบและรับรองตาม ประกาศนี้ได้ใน ข้อ 6 แห่งประกาศฯ

ตอบ มาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 กำหนดให้ ผู้ส่งหรือโอนข้อมูลส่วนบุคคลนั้น อาจหมายถึงผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือบุคลากร  พนักงาน  หรือลูกจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  ดังนั้น การจ้างบุคคลภายนอกให้ดำเนินการโอนข้อมูลไปยังต่างประเทศนั้น สามารถทำได้

6. หมวดสิทธิของเจ้าของข้อมูลส่วนบุคคล

ตอบ มาตรา 30 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการใช้สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลซึ่งตน ไม่ได้ให้ความยินยอม ถ้าการขอเข้าถึงข้อมูลส่วนบุคคลนั้น ไม่มีกฎหมายหรือคำสั่งศาลห้ามไว้ หรือไม่ได้กระทบ ที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ผู้ควบคุมข้อมูลส่วนบุคคลก็ไม่อาจปฏิเสธได้ ต้องดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่ได้รับคำขอ

ตอบ การที่ผู้ควบคุมข้อมูลส่วนบุคคลจะเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลหรือนิติบุคคล อื่นนั้น ถือเป็นหนึ่งในวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งไว้ใน Privacy Notice ซึ่งหากผู้ควบคุม ข้อมูลส่วนบุคคลได้พิจารณาใช้ฐานความยินยอมตามมาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ท่านอาจถอนความยินยอมในวัตถุประสงค์ ที่เกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้าได้ แต่หากเป็นฐานทางกฎหมายที่ได้รับการ ยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 ท่านจะต้องพิจารณาตามหลักเกณฑ์และเง่ือนไข ตามสิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้เพิ่มเติม

ตอบ ตามมาตรา 33 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุม ข้อมูลส่วนบุคคลมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลที่ขอให้ดำเนินการลบหรือทำลาย ข้อมูลส่วนบุคคล หากข้อมูลดังกล่าวเก็บรวบรวมไว้เพื่อในวัตถุประสงค์ ดังนี้

  1. การใช้เสรีภาพในการแสดงความคิดเห็น
  2. การเก็บรักษาไว้เพื่อวัตถุประสงค์ตาม 24 (1) หรือ (4) หรือ มาตรา 26 (5) (ก) หรือ (ข)
  3. การใช้เพื่อการก่อสิทธิเรียกร้องตามกฎหมาย
  4. การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
  5. การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  6. เพื่อการปฏิบัติตามกฎหมาย

ตอบ ข้อมูลส่วนบุคคลดังกล่าวซึ่งอยู่ในความครอบครองของการประปาส่วนภูมิภาค (หน่วยงานรัฐวิสาหกิจ) ซึ่งมีฐานะเป็นเป็นหน่วยงานของรัฐกรณีจึงถือได้ว่าข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูล ข่าวสารของราชการ จึงเป็นกรณีที่มีกฎหมายบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้เป็นการเฉพาะ แล้ว การเปิดเผยข้อมูลส่วนบุคคลตามกรณีนี้จึงต้องพิจารณาตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 เสียก่อน แล้วจึงนำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาใช้บังคับเป็นการ เพิ่มเติม กล่าวคือ เมื่อพิจารณาตามมาตรา 30 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 แล้วนั้น

การประปาส่วนภูมิภาคในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะปฏิเสธการขอใช้สิทธิดังกล่าวได้เฉพาะกรณีที่ ปฏิเสธตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้นจะส่งผล กระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่นเท่านั้น ดังนั้น หากการขอใช้สิทธิของ เจ้าของข้อมูลส่วนบุคคลนั้น ไม่ได้ขัดต่อกฎหมายหรือคำสั่งศาล หรือกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น การประปาส่วนภูมิภาคจะต้องปฏิบัติตามคำขอของเจ้าของส่วนบุคคลตามมาตรา 33 แห่งพระราชบัญญัตินี้ และในการปฏิเสธนั้นให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกการปฏิเสธคำขอดังกล่าวพร้อมด้วยเหตุผลไว้ใน รายการตามมาตรา 39

ตอบ การที่บริษัททวงหนี้ได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจาก แหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงนั้นไม่สามารถดำเนินการได้ เว้นแต่ ได้แจ้งการเก็บ รวบรวมข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอม หรือเป็นการเก็บรวบรวม ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 และต้องดำเนินการแจ้ง วัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบตามมาตรา 25 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่ง ในการนี้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบหรือทำลาย  หรือทำให้เป็น ข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวบุคคลได้ตามมาตรา 33

ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการตอบสนองต่อคำร้องขอหรือไม่ อาจจะต้อง พิจารณาตามความจำเป็นในการจัดเก็บข้อมูล สามารถปฏิเสธได้หากเป็นกรณีที่เก็บรักษาไว้เพื่อวัตถุประสงค์ ตามมาตรา 33 วรรคสอง

7. หมวดฐานที่ชอบด้วยกฎหมาย

ตอบ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องเป็นไปตามฐานทางกฎหมาย ที่ผู้ควบคุมข้อมูลส่วนบุคคลพิจารณาขณะทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยสอดคล้องกับวัตถุประสงค์ ตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้วแต่กรณี ดังนั้น การเปิดเผยข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคลรายใหม่จึงอาจจะไม่ต้องขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หากอยู่ภายใต้วัตถุประสงค์ที่เคยแจ้งไว้กับเจ้าของข้อมูลส่วนบุคคลตั้งแต่แรกแล้ว ทั้งนี้  ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล  ( DPA)  เพื่อควบคุม การดำเนินงานตามหน้าที่ของผู้ประเมินผลข้อมูลส่วนบุคคลตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัตินี้

ตอบ การที่บริษัทจะติดกล้องวงจรปิดโดยมีวัตถุประสงค์เพื่อสร้างความความปลอดภัย ในร่างกายและทรัพย์สิน กรณีดังกล่าวเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยใช้ฐานความจำเป็น เพื่อประโยชน์โดยชอบด้วยกฎหมาย ตามมาตรา 24 (5) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยจะต้องพิจารณาตามหลักเกณฑ์ 3 ข้อ พิจารณาใช้ฐานทางกฎหมายนี้ ดังนี้

  1. การตรวจสอบวัตถุประสงค์ (purpose test) องค์กรสามารถระบุประโยชน์ที่ชอบด้วยกฎหมายได้หรือไม่
  2. การตรวจสอบความจำเป็น (necessity  test)  องค์กรมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ตามข้อ 1 และไม่สามารถใช้วิธีการอื่นได้
  3. การตรวจสอบความสมดุลแห่งสิทธิ (balancing test) สิทธิขั้นพื้นฐาน ในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีน้อยกว่าประโยชน์โดยชอบด้วยกฎหมายขององค์กรหรือไม่

ทั้งนี้ บริษัทต้องมีการจัดทำประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อแจ้งให้เจ้าของข้อมูล ส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยติดในพื้นที่ที่อาจคาดหมายได้ว่าเจ้าของข้อมูล ส่วนบุคคลสามารถพบเห็นได้ง่าย ดังนั้น จึงอาจไม่ต้องขอความยินยอมจากพนักงาน

ตอบ การเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562 กำหนดว่า หากจะเปิดเผยข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ใหม่จะต้องมีฐานทางกฎหมาย ในการเปิดเผยตามมาตรา 24 หรือมาตรา 26 หรือเป็นการเปิดเผยตามบทบัญญัติแห่งพระราชบัญญัตินี้ หรื อ กฎหมายอื่นบัญญัติให้กระทำได้ จึงจะไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ข้อมูลผู้ป่วย เป็นข้อมูลสุขภาพตามมาตรา 26 ซึ่งกรณี ดังกล่าวสามารถพิจารณาฐานทางกฎหมายตามมาตรา 26 (1) คือ การเปิดเผยข้อมูลส่วนบุคคลไปเพื่อวัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ในการเปิดเผยให้กับ โรงพยาบาลอื่น โดยที่ การเปิดเผยข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ – นามสกุล เพื่อให้บรรลุวัตถุประสงค์ดังกล่าว ก็สามารถเปิดเผย ข้อมูลส่วนบุคคลได้ตามมาตรา 24 (2)

ตอบ กรณีที่บริษัทจะเปิดเผยข้อมูลส่วนบุคคลของพนักงานจะต้องหาฐานทางกฎหมายในการ เปิดเผยข้อมูลส่วนบุคคลของพนักงานตามมาตรา 24 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากไม่มีฐานทางกฎหมายใดที่มีความสอดคล้อง ก็มีความจำเป็นต้องขอความยินยอมจากพนักงาน ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 และแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล หรือ Privacy Notice ตามมาตรา 23 ทั้งนี้ หากไม่ได้รับความยินยอมและไม่มีฐานทางกฎหมายในการเปิดเผยข้อมูลส่วนบุคคล ก็จะเปิดเผยไม่ได้

ตอบ กรณีที่บริษัทซึ่งเป็นนายจ้างของพนักงานจะเปิดเผยข้อมูลส่วนบุคคลของพนักงานให้กับ บริษัทที่ดำเนินการเบิกเงินล่วงหน้า อาจใช้ฐานการจำเป็นเพื่อการปฏิบัติตามสัญญาตามมาตรา 24 (3) เนื่องจาก การจ่ายเงินเดือนเป็นหน้าที่ของบริษัทที่เป็นนายจ้าง เมื่อไม่สามารถดำเนินการจ่ายล่วงหน้าให้ได้จึงให้บริษัท อื่นมาทำการแทนเพื่อให้บรรลุวัตถุประสงค์ในการจ่ายเงินเดือนที่เป็นไปตามสัญญาในการจ้างพนักงานของบริษัท

8. ศูนย์ให้คำปรึกษาและรับเรื่องร้องเรียน หมายเลข 02 111 8800 กด 2

ตอบ สามารถยื่นคำร้องเรียนผ่านช่องทาง ดังต่อไปนี้

  1. ยื่นโดยตรงต่อสำนักงาน
  2. ยื่นผ่านทางไปรษณีย์มายังสำนักงาน
  3. ยื่นผ่านช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นใดตามที่สานักงานประกาศกำหนด หรือแจ้งเรื่องร้องเรียนผ่านเว็บไซต์ www.pdpc.or.th
  4. ช่องทางการส่งเอกสารหลักฐานเพิ่มเติม สามารถส่งมาที่ saraban@pdpc.or.th

ตอบ ติดต่อสอบถามผ่านหมายเลขโทรศัพท์ 02 111 8800 กด 2 เรื่องร้องเรียน

ตอบ กรณีที่มีการยื่นเรื่องร้องเรียนมายัง สคส. จะเป็นการร้องเรียนเพื่อให้คณะกรรมผู้เชี่ยวชาญพิจารณาแล้วออกคำสั่งทางปกครอง

  • โดยหากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญจะมีการออกคำสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลกระทำการหรือหยุดกระทำการเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น การสั่งให้ผู้ควบคุมข้อมูล ลบข้อมูลส่วนบุคคลของผู้ร้องเรียน หรือหยุดใช้ข้อมูลของผู้ร้องเรียน
  • กรณีที่เกิดความเสียหายเป็นจำนวนมาก คณะกรรมการผู้เชี่ยวชาญอาจพิจารณาโทษปรับทางปกครองเพื่อบังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคล
  • ซึ่งกรณีที่เกิดความเสียหายหรือผู้ร้องเรียนต้องการเรียกค่าเสียหายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้เสียหายจะต้องดำเนินการทางแพ่งหรือฟ้องร้องต่อศาลแพ่งที่อยู่ในเขตพิจารณาเรื่องดังกล่าว

ตอบ ตามระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กาหนดให้การยื่นเรื่องร้องเรียนต้องระบุข้อมูลส่วนบุคคลของผู้ร้องเรียน

ตอบ มาตรา 4(1) พระราชบัญญัติฉบับนี้ไม่บังคับใช้แก่ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลเท่านั้น กรณีการติดตั้งกล้องวงจรปิดที่จับภาพติดผู้อื่นสามารถทาได้ไม่ผิด PDPA หากเป็นการตั้งตั้งเพื่อรักษา ความปลอดภัยอันเป็นการกระทาเพื่อประโยชน์ส่วนตนมิใช่เพื่อหน่วยงาน/องกรค์/สถาบัน ทั้งนี้ต้องไม่กระทบสิทธิหรือเสรีภาพของผู้อื่นเกินสมควรซึ่งจะต้องพิจารณาแล้วแต่กรณี

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
Post Views: 616