คู่มือ PDPA สำหรับประชาชน

คู่มือ PDPA สำหรับประชำชน ฉบับ 23 มิถุนำยน 2565 โดย สำนกั งำนคณะกรรมกำรคุ้มครองขอ้ มลู สว่ นบคุ คล เฟสบ๊คุ : https://www.facebook.com/pdpc.th โทรศพั ท:์ 1111

คมู่ อื PDPA สำหรับประชาชน ฉบบั 23 มิถุนายน 2565 สำนักงานคณะกรรมการคมุ้ ครองขอ้ มูลสว่ นบคุ คล Call Center : 1111 หรอื 02-142-1033 หรือ 02-141-6993 Facebook: https://www.facebook.com/pdpc.th

สารบัญ บทท่ี 1 ทำความเข้าใจเบื้องตน้ เก่ียวกับกฎหมายคมุ้ ครองข้อมลู ส่วนบุคคล.................................................................. 1 บทที่ 2 10 เรื่องที่ประชาชนตอ้ งรเู้ กยี่ วกับ PDPA........................................................................................................ 3 บทที่ 3 4 เรอ่ื งไมจ่ รงิ เกย่ี วกับ PDPA......................................................................................................................... 13

1 บทท่ี 1 ทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายที่มีวัตถุประสงค์เพื่อการคุ้มครองสิทธิเกี่ยวกับข้อมูล ส่วนบุคคลของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลโดยกำหนดหน้าที่และความรับผิดชอบให้องค์กร ปฏิบัติตามกฎหมาย บทบัญญัติใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีลักษณะพิเศษแตกต่างจากกฎหมาย ฉบบั อื่น กล่าวคือ ไมไ่ ดม้ ุง่ เน้นเพียงสภาพบังคับให้กระทำหรือไม่กระทำเท่านั้น แต่บทบัญญัติสง่ เสริมการสร้าง ความตระหนักรู้ และการทบทวนกระบวนการทำงาน เพื่อให้การกระทำใดก็ตามที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นไปอย่างเหมาะสม โดยตระหนักถึงมาตรการด้านความมน่ั คงปลอดภัยของข้อมูลส่วนบุคคล ความเปน็ ธรรม ในการใช้ข้อมูล และความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล สอดคล้องกับวัตถุประสงค์ของกฎหมายในการ ค้มุ ครองสทิ ธิความเป็นส่วนตวั ภายใต้หลกั การของรัฐธรรมนูญ “กฎหมายไม่ได้มุ่งสรา้ งภาระในการเก็บและใชข้ อ้ มลู แตต่ ้องการใหม้ กี ระบวนการเกบ็ รวบรวม ใช้ และ เปดิ เผยข้อมลู ส่วนบคุ คลอยา่ งเหมาะสม ปลอดภยั โดยคำนงึ ถึงสทิ ธิความเปน็ สว่ นตัวของบคุ คลเพ่ือให้ ได้รบั ผลกระทบน้อยทสี่ ุด” ทั้งนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเพื่อประโยชน์ส่วนตัว หรือกิจกรรมใน ครอบครัว ได้รับการยกเว้น ทำให้ไม่ต้องปฏิบัติตาม กฎหมายนี้ กฎหมายฉบับนี้ได้บัญญัติรับรองและยืนยันสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลของประชาชน เอาไว้ โดยคุ้มครองประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลเท่านั้น แต่ยังรวมถึงการกำหนดให้องค์กรต่าง ๆ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล กล่าวคือ ต้องสามารถอ้างได้ว่ามีสิทธิบางประการตามที่กฎหมายกำหนดในการนำขอ้ มูลส่วนบุคคลไปใช้ (ตามมาตรา 24 และมาตรา 26 แลว้ แตก่ รณ)ี การใช้ขอ้ มลู ใหน้ ้อยทีส่ ุด สอดคล้องกับวัตถุประสงคท์ ่ชี อบด้วยกฎหมายและเพียง เท่าที่จำเป็น อีกทั้งประการสำคัญคือ “ความโปร่งใส” ในการประมวลผลข้อมูลส่วนบุคคลที่ต้องคำนึงถึง “ความเป็นธรรม” ต่อเจา้ ของขอ้ มูลสว่ นบคุ คลด้วย

2 ภายใต้ พ.ร.บ. คุม้ ครองข้อมูลสว่ นบุคคล ไดก้ ำหนดใหม้ ผี ้เู กีย่ วขอ้ ง 3 บทบาท ไดแ้ ก่ • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดาผู้มีสิทธิตามกฎหมาย ซึ่งข้อมูลนั้นบ่งชี้ ไปถงึ บคุ คลดังกล่าวไม่ว่าทางตรงหรือทางอ้อม • ผู้ควบคุมข้อมูลส่วนบคุ คล (Data Controller) คือ บคุ คลหรือนติ ิบุคคล ซงึ่ มีอำนาจตัดสินใจเกี่ยวกับ การเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มลู ส่วนบุคคล • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเก่ียวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสัง่ หรือในนามของผู้ควบคุมข้อมูลส่วนบคุ คล ซง่ึ ไม่ใช่ผูค้ วบคมุ ขอ้ มลู สว่ นบคุ คล ผู้ควบคุมขอ้ มูลสว่ นบคุ คล ไดแ้ ก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล หรือผู้ประกอบธุรกิจฟรีแลนซ์ ที่มี การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าหรือพนักงาน ตัวอย่าง ร้านกาแฟเป็นห้างหุ้นส่วน นิติบุคคลมีการเก็บรวบรวมข้อมูลลูกค้าเพ่ือ ใช้ทำระบบสมาชกิ หน้าที่ส่วนใหญ่ตามกฎหมายนี้กำหนด ให้เป็นหน้าทขี่ องผูค้ วบคุมขอ้ มูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์ที่รับจ้าง หรือให้บริการแก่ผู้ควบคุมข้อมูลส่วนบุคคล ทำกิจกรรมที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมลู ส่วนบุคคล ตัวอย่าง ธุรกิจร้านค้าอาจจ้างบริษัทอื่น ให้จัดการข้อมูลสั่งซื้อสินค้าหรือดูแลเฟซบุ๊กเพจ ของร้าน ซึ่งต้องมีการเก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลของลูกค้า

3 บทท่ี 2 10 เร่ืองท่ีประชาชนต้องรู้เกี่ยวกับ PDPA 1. ข้อมูลส่วนบุคคล สามารถแบง่ ได้ 2 ประเภท ไดแ้ ก่ - ข้อมูลส่วนบุคคลทั่วไป คือ ขอ้ มลู เกย่ี วกบั บุคคล ซง่ึ ทำให้สามารถระบุตวั บุคคล (บคุ คลธรรมดา) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของ ผู้ถงึ แก่กรรมโดยเฉพาะ (มาตรา 6) เช่น ชอ่ื นามสกุล ทอี่ ยู่ หมายเลขโทรศพั ท์ หมายเลข ประจำตวั ประชาชน อเี มล บัญชีธนาคาร ฯลฯ - ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลเกี่ยวกับ บุคคลท่ีโดยสภาพมีความละเอียดอ่อนและสามารถ ก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของ ขอ้ มูลสว่ นบุคคลได้ (มาตรา 26) ไดแ้ ก่ เชอ้ื ชาติ เผา่ พนั ธ์ุ ความคิดเหน็ ทางการเมือง ความเชอ่ื ในลทั ธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสขุ ภาพ ความพิการ ข้อมลู สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชวี ภาพ 2. ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการให้สอดคล้องกับเหตุหรือฐานตามกฎหมาย ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องอยู่ภายใต้เงื่อนไขข้อจำกัดต่าง ๆ ตามกฎหมาย กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างจำกัด ตามวัตถุประสงค์ที่แจ้งเราไว้ก่อนหรือขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัตถุประสงค์) (มาตรา 21) “วัตถุประสงค์” ของการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล มีความสัมพันธ์กับหลักพื้นฐานของ กฎหมายคุ้มครองขอ้ มลู ส่วนบคุ คล คอื หลักการจำกัดวตั ถปุ ระสงค์ และ สิทธิในการรบั รู้ของเจ้าของข้อมูลสว่ นบคุ คล “หลกั การจำกดั วตั ถปุ ระสงค์ (Purpose limitation)” คือ การเก็บรวบรวมข้อมลู สว่ นบคุ คลจะทำได้เฉพาะเพือ่ วตั ถปุ ระสงค์ทีเ่ จาะจง ชัดแจง้ และชอบด้วยกฎหมาย และตอ้ งไม่ประมวลผลขอ้ มลู ในลกั ษณะทไ่ี มส่ อดคล้องกบั วตั ถุประสงคด์ ังกลา่ ว

4 3. ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็นภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมาย (มาตรา 22) (ใช้ข้อมูลของเราให้น้อยที่สุด) ซึ่งหลักการน้ีเชื่อมโยงกับหลักการจำกัด วัตถุประสงค์ ดังนั้น การเก็บรวบรวมต้องเป็นไปอย่างจำกัดเท่าที่จำเป็นเฉพาะภายใต้วตั ถุประสงค์ที่แจ้งให้เจ้าของ ขอ้ มูลสว่ นบคุ คลทราบ “หลักการใช้ขอ้ มลู ของใหน้ ้อยทส่ี ดุ เทา่ ทจ่ี ำเป็น (Data minimization)” คือ การเก็บรวมรวมข้อมลู สว่ นบคุ คล ใหเ้ กบ็ รวบรวมไดเ้ ท่าทีจ่ ำเปน็ ภายใต้วตั ถปุ ระสงค์ โดยตอ้ งพิจารณาองค์ประกอบ 3 ประการ คอื เพียงพอ เกยี่ วขอ้ ง และ จำกดั เพอ่ื ปอ้ งกันการเกบ็ รวมรวมข้อมลู มากเกนิ ไป 4. ความยินยอม ความยินยอมเป็นฐานการประมวลผลฐานหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐาน การประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับ เจ้าของข้อมูลส่วนบุคคล ซึ่งในหลาย ๆ กรณีองค์กรอาจใช้ข้อมูลของเราได้จากฐานสัญญา (มีสัญญาต่อกัน) หรือ มีประโยชน์โดยชอบด้วยกฎหมายอื่น ๆ ตามทก่ี ฎหมายกำหนด ในการขอความยินความต้องพิจารณาตามมาตรา 19 พจิ ารณาตามน้ี 1. ความยนิ ยอมตอ้ งขอก่อนจะมกี ารประมวลผล 5. ความยนิ ยอมต้องชดั เจนไมค่ ลมุ เครอื 2. ความยินยอมต้องไมเ่ ปน็ เง่ือนไขในการใหบ้ รกิ าร ต้องมอี สิ ระ 6. ออกแบบทางเลือกใหส้ ามารถปฏเิ สธทจี่ ะให้ ในการให้ความยนิ ยอม ความยนิ ยอมได้ 3. ความยินยอมต้องอยแู่ ยกส่วนกบั เง่อื นไขในการให้บรกิ าร 7. เน้ือหาความยินยอมเข้าใจง่ายและเขา้ ถงึ ง่าย 4. วัตถปุ ระสงคข์ องการประมวลผลข้อมูลตอ้ งเฉพาะเจาะจง

5 5. ในการขอความยินยอมผู้ควบคุมข้อมูล สว่ นบุคคล จะตอ้ งคำนงึ อยา่ งท่ีสุดในความเปน็ อสิ ระของเจ้าของขอ้ มลู ส่วนบุคคล ในการขอความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลนั้น ต้องคำนึงถึงความเป็นอิสระของเจ้าของ ข้อมูลส่วนบุคคล โดยคำว่าอิสระนั้นต้องอยู่บนพื้นฐาน ของการมีทางเลือกอย่างแท้จริง (Real choice) ดังน้ัน ความยินยอมที่เป็นอิสระเป็นกรณีที่เจ้าของข้อมูลส่วน บุคคลเลือกว่าจะยินยอมหรือไม่ แม้เจ้าของข้อมูล ส่วนบุคคลจะไม่ให้ความยินยอมย่อมสามารถเข้ารับ บริการได้ “ผลของความยินยอมที่ไม่อิสระย่อมส่งผลให้ ความยินยอมนั้นไม่มีผลผูกพันกับเจ้าของข้อมูล ส่วนบุคคล ทำให้ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถอ้างความยินยอมนั้นเป็นฐานในการ ประมวลผลข้อมูลส่วนบุคคลได้”

6 6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ... หมายเหตุ สทิ ธขิ อ้ 1 เปน็ สิทธทิ เ่ี จา้ ของข้อมลู ส่วนบคุ คลทุกคนได้รับโดยไมต่ ้องมีการรอ้ งขอ วิธกี ารใชส้ ทิ ธิขอ้ 2-8 เป็นไปตามกฎหมายกำหนด 1) สิทธิไดร้ ับการแจง้ ให้ทราบรายละเอียด (Privacy Notice) • เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคน ได้รบั โดยไม่ตอ้ งมีการร้องขอ • ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้ง วัตถุประสงค์และรายละเอียดของการ ประมวลผลข้อมูลส่วนบุคคลให้เจ้าของ ข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการ ใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่า ข้อมลู ของตนจะถกู นำไปใชท้ ำอะไร • การประมวลผล หมายถงึ การเกบ็ รวบรวม ใชห้ รือเปิดเผยขอ้ มลู สว่ นบคุ คล

7 2) สิทธิในการถอนความยินยอม ในกรณที ี่ไดใ้ ห้ความยนิ ยอมไว้ (Right to Withdraw Consent) • ในกรณที ่ไี ด้ใหค้ วามยนิ ยอมไว้ เจา้ ของ ขอ้ มูลสว่ นบคุ คลมสี ทิ ธิท่จี ะเพิกถอนความ ยินยอมเม่ือใดกไ็ ด้ (มาตรา 19) • การเพกิ ถอนความยินยอมจะอยูใ่ นรูปแบบ ใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็น เอกสารที่เป็นลายลักษณ์อักษร โดยการ เพิกถอนจะต้องมีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยนิ ยอม • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ การเพิกถอนจากเจ้าของข้อมูลส่วนบุคคลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอน ความยนิ ยอมและ “หยดุ การประมวลผล” 3) สิทธขิ อเขา้ ถึงและขอรับสำเนาขอ้ มูล สว่ นบุคคล (Right to Access) • เจา้ ของข้อมลู มสี ิทธทิ ี่จะขอเข้าถึงข้อมูล ท่ีเกี่ยวกบั ตนได้ • ขอ้ มูลที่ขอได้ ได้แก่ 1. ขอเขา้ ถึงและขอรับสำเนา ขอ้ มูลที่เกีย่ วกบั ตน 2. ขอให้เปดิ เผยถึงการได้มาซึ่ง ข้อมูลท่ีตนไม่ไดใ้ ห้ความยนิ ยอม 4) สิทธิขอใหโ้ อนข้อมูลส่วนบคุ คล (Right to data portability) เจ้าของข้อมูลส่วนบุคคลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลอ่ืนในกรณีท่ี (1) ขอ้ มลู ส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปไดด้ ว้ ยเครื่องมือหรืออุปกรณ์ท่ีทำงานได้โดย อัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ (2) เป็นข้อมูลส่วนบุคคลที่ประมวลผล โดยฐานความยินยอมหรือฐานสัญญาเท่านั้น และ (3) การใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอ่ืน (เงือ่ นไขการใชส้ ทิ ธกิ ำหนดไว้ในมาตรา 31)

8 5) สทิ ธิคดั คา้ นการเก็บรวบรวม ใช้ หรอื เปดิ เผยขอ้ มูลส่วนบคุ คล (Right to Objection) (มาตรา 32) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการ เกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มูลสว่ นบุคคล ท่ีเก่ยี วกบั ตนได้ใน 3 กรณี กลา่ วคือ (1) เป็นการประมวลผลโดยใช้ฐาน ประโยชน์สาธารณะ (หน่วยงานของรัฐ) หรือ ฐานประโยชนโ์ ดยชอบดว้ ยกฎหมาย (2) เพื่อวัตถุประสงค์เกี่ยวกับการตลาด แบบตรง หรอื (3) เพื่อวัตถุประสงค์เกี่ยวกับการ ศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรอื สถิติ แต่องค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นอาจปฏิเสธการใช้สิทธิดังกล่าวได้ หากแสดงให้เหน็ ถึงเหตุอนั ชอบด้วยกฎหมายท่ีสำคัญยิ่งกวา่ เช่น ประโยชน์สาธารณะท่ีสำคญั ของหน่วยงานรัฐ หรือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น แต่กรณี ของ “การตลาดแบบตรง” องค์กรตอ้ งยตุ กิ ารใชข้ อ้ มลู เพ่ือวัตถปุ ระสงค์ดา้ นการตลาดแบบตรงทนั ที

9 6) สทิ ธิขอให้ลบหรือทาํ ลาย หรอื ทำใหข้ ้อมูลส่วนบคุ คลเป็นข้อมูลทไ่ี ม่สามารถระบุตัวบคุ คลได้ (Right to Erasure) • เจ้าของข้อมูลส่วนบุคคลมสี ิทธยิ ่ืนคำร้อง ขอลบหรือทำลาย หรือทำให้ข้อมูล ส่ว นบุคคล ไม่สามารถระบุถึงตนได้ ตามเงื่อนไขทก่ี ฎหมายกำหนด • ในกรณีที่มีการส่งต่อหรือเปิดเผย ข้อมูลส่วนบุคคลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ แจง้ ให้ลบข้อมลู สว่ นบคุ คลดงั กล่าวดว้ ย • หากผู้ควบคุมข้อมูลส่วนบุคคล ไม่ดำเนินการตามคำร้องขอ เจ้าของ ข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ *** ในกรณีของการประมวลผลโดยใช้ ฐานประโยชน์สาธารณะโดยหน่วยงาน ของรัฐ ประชาชนไม่สามารถขอใช้สิทธิ ลบขอ้ มลู ได้ 7) สทิ ธิขอให้ระงับการใช้ข้อมูลส่วนบคุ คล (มาตรา 34) สิทธดิ งั กล่าว หมายถึง การที่ข้อมลู สว่ นบุคคลจะถกู เก็บไว้โดยไมม่ กี ารประมวลผลเพม่ิ เตมิ เนอื่ งจากเหตุผล ดังน้ี (1) อยู่ในระหวา่ งการตรวจสอบความถูกตอ้ งของขอ้ มลู ตามมาตรา 36 (2) การประมวลผลไม่ชอบด้วยกฎหมายแต่เจ้าของข้อมลู สว่ นบุคคลขอให้ระงับการใช้แทนการลบ (3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นตามวัตถปุ ระสงค์ เจ้าของข้อมูลส่วนบุคคลขอให้เก็บรกั ษาไว้เพื่อ ใชใ้ นการกอ่ ตั้งสิทธิเรียกรอ้ งตามกฎหมาย ฯลฯ (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ตามมาตรา 32 (1) (กรณีใช้ข้อมูลเพื่อประโยชน์ สาธารณะหรือการใช้ข้อมลู ด้วยฐานประโยชน์โดยชอบด้วยกฎหมาย) หรือตรวจสอบตามมาตรา 32 (3) (การใช้ข้อมูลเพื่อวัตถุประสงค์ด้านการวิจัย) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 32 วรรคสาม

10 8) สิทธขิ อใหแ้ ก้ไขข้อมูลส่วนบคุ คล (มาตรา 35) 7. PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใด ก็ตาม พิจารณาตามมาตรา 5 โดยจะแบ่งเป็นสองกรณี คือ ผู้ควบคมุ ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลอยู่ในราชอาณาจักร และ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอก ราชอาณาจกั ร

11 8. เหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบคุ คลมีหน้าที่แจ้งเหตุการ ละเมดิ ขอ้ มูลสว่ นบุคคลแกส่ ำนักงานโดยไม่ชักช้า ภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะ สามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มี ความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลสว่ นบคุ คล ทราบพร้อมกับแนวทางการเยียวยาโดยไมช่ กั ชา้ ด้วย ทั้งน้ี การแจง้ ดงั กลา่ วและข้อยกเว้นให้เป็นไป ตามหล ั กเกณฑ ์ และว ิ ธ ี การท่ี ค ณ ะ ก ร ร ม ก า ร ประกาศกำหนด 9. การจัดทำบันทึกรายการ ผู้ควบคุมข้อมูลสว่ นบคุ คลบันทึกรายการเพื่อใหเ้ จา้ ของขอ้ มูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทกึ เป็นหนงั สอื หรือระบบอิเล็กทรอนิกส์ก็ได้ อยา่ งนอ้ ยตอ้ งมีรายละเอียดดังน้ี (1) ขอ้ มลู ส่วนบคุ คลที่มีการเกบ็ รวบรวม (2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ส่วนบุคคลแตล่ ะประเภท (3) ข้อมูลเกย่ี วกับผู้ควบคมุ ข้อมลู สว่ นบุคคล (4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล (5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึง ข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึง ขอ้ มลู สว่ นบคุ คลนั้น (6) การใช้หรือเปดิ เผยตามมาตรา 27 วรรคสาม

12 ทั้งนี้ ผคู้ วบคุมข้อมูลที่เปน็ กิจการขนาดเลก็ (7) การปฏิเสธคำขอหรือการคัดค้านตาม ตามหลักเกณฑ์ทีค่ ณะกรรมการประกาศ มาตรา 30 วรรคสาม มาตรา 31 วรรคสาม กำหนดไดร้ บั ยกเว้นไมต่ ้องบันทกึ รายการ มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนง่ึ 10. สิทธิร้องเรียน (8) คำอธิบายเกี่ยวกับมาตรการรักษาความ มน่ั คงปลอดภัยตามมาตรา 37 (1) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศฯ ที่ออกตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กระบวนการร้องเรยี นในการยืน่ การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลา ในการพิจารณาคำร้องเรียน ให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนดโดยคำนึงถึง การกำหนดให้ไม่รับเรือ่ งร้องเรยี นหรือยุติเร่ืองในกรณที ่ีมผี ู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แลว้ ตามกฎหมายอ่ืนด้วย

13 บทท่ี 3 4 เร่ืองไม่จริงเก่ียวกับ PDPA 1. การถา่ ยรปู -ถ่ายคลิป ติดภาพคนอน่ื โดยเจ้าตัวไมย่ ินยอมจะผดิ PDPA? ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าว ไม่ไดก้ ่อใหเ้ กดิ ความเสยี หายกบั ผ้ถู กู ถา่ ย สามารถทำได้ หากเป็นการใช้เพ่อื วตั ถุประสงค์สว่ นตวั 2. ถ้านำคลปิ หรอื รปู ถา่ ยท่ตี ดิ คนอื่นไปโพสต์ในโซเชียลมเี ดียโดยบุคคลอน่ื ไมย่ ินยอมจะผดิ PDPA? ตอบ สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหาย ต่อเจ้าของขอ้ มลู ส่วนบุคคล 3. ตดิ กล้องวงจรปิดแล้วไมม่ ีป้ายแจง้ เตือนผดิ PDPA? ตอบ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษา ความปลอดภัยกับตวั เจา้ ของบา้ น 4. เจ้าของข้อมลู ส่วนบุคคลตอ้ งให้ความ ยนิ ยอมทกุ ครง้ั ก่อนนำข้อมลู ไปใช้? ตอบ ไม่จำเป็นต้องขอความยินยอม หากการใช้ ขอ้ มลู ดังกล่าว (1) เป็นการทำตามสญั ญา (2) เปน็ การใชท้ ีม่ ีกฎหมายให้อำนาจ (3) เปน็ การใช้เพื่อรักษาชีวติ และ/หรือ ร่างกาย ของบุคคล (4) เป็นการใชเ้ พื่อการคน้ คว้าวิจัยหรือสถติ ิ (5) เปน็ การใช้เพื่อประโยชน์สาธารณะ (6) เป็นการใชเ้ พื่อปกป้องผลประโยชน์ หรอื สทิ ธิของตนเอง “ทงั้ น้ี ขอ้ มลู ขา้ งตน้ อาจเปลี่ยนแปลงตามข้อเทจ็ จริง ท่เี กดิ ขนึ้ เป็นกรณี ๆ ไป”

14 ค่มู ือ PDPA สำหรบั ประชาชน นายเวทางค์ พว่ งทรัพย์ คณะผู้จัดทำ นายปฐมพงษ์ ขาวจนั ทร์ นายณรงคเ์ ดช วชั ระภาสร รองปลดั กระทรวงดิจิทัลเพ่ือเศรษฐกจิ และสังคม ทำหน้าท่ี นางสาวพชั ราภรณ์ ลธ้ี นะร่งุ เลขาธกิ ารสำนกั งานคณะกรรมการคุ้มครองข้อมลู ส่วนบคุ คล นางอัจฉรา จันทรช์ ัย สำนักงานปลัดกระทรวงดจิ ทิ ัลเพอ่ื เศรษฐกิจและสงั คม นายขวัญชยั คงสขุ ทำหน้าที่สำนกั งานคณะกรรมการคุ้มครองข้อมูลส่วนบคุ คล นางสนุ ทรยี ์ ส่งเสริม สำนักงานปลดั กระทรวงดจิ ทิ ัลเพ่อื เศรษฐกิจและสังคม ผศ.ศุภวชั ร์ มาลานนท์ ทำหน้าที่สำนกั งานคณะกรรมการคมุ้ ครองข้อมูลส่วนบคุ คล นางสาวปิยะลกั ษณ์ ใสเก้ือ สำนักงานปลดั กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นายนพรตั น์ ขนุนออ่ น ทำหนา้ ทสี่ ำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นางสาวเนตธิ ร โลว้ โสภณกลุ สำนักงานปลดั กระทรวงดจิ ทิ ัลเพื่อเศรษฐกิจและสังคม นายธรี ์ธวชั เกรียงไกรเพ็ชร ทำหน้าทส่ี ำนกั งานคณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล นางสาวปัณฑารยี ์ อวยจินดา สำนักงานปลดั กระทรวงดิจทิ ัลเพอื่ เศรษฐกจิ และสงั คม ทำหน้าท่สี ำนักงานคณะกรรมการคุ้มครองข้อมูลสว่ นบุคคล สำนกั งานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกจิ และสังคม ทำหน้าทส่ี ำนักงานคณะกรรมการคุ้มครองข้อมลู ส่วนบุคคล บัณฑติ วทิ ยาลยั การจดั การและนวตั กรรม มหาวทิ ยาลัยเทคโนโลยพี ระจอมเกล้าธนบุรี บัณฑติ วทิ ยาลยั การจดั การและนวัตกรรม มหาวิทยาลัยเทคโนโลยพี ระจอมเกลา้ ธนบุรี บณั ฑิตวทิ ยาลยั การจดั การและนวตั กรรม มหาวิทยาลยั เทคโนโลยพี ระจอมเกลา้ ธนบุรี บัณฑติ วทิ ยาลยั การจัดการและนวัตกรรม มหาวทิ ยาลยั เทคโนโลยพี ระจอมเกลา้ ธนบุรี บณั ฑติ วทิ ยาลัยการจดั การและนวตั กรรม มหาวทิ ยาลยั เทคโนโลยพี ระจอมเกลา้ ธนบรุ ี บณั ฑิตวทิ ยาลัยการจัดการและนวัตกรรม มหาวทิ ยาลัยเทคโนโลยพี ระจอมเกล้าธนบรุ ี

สำนกั งำนปลดั กระทรวงดิจทิ ลั เพ่อื เศรษฐกิจและสงั คม ทำหนำ้ ท่ี สำนกั งำนคณะกรรมกำรคุ้มครองขอ้ มูลส่วนบุคคล 120 หมู่ 3 ศนู ย์รำชกำรเฉลมิ พระเกยี รติฯ อำคำรรฐั ประศำสนภักดี (อำคำรบี) ถนนแจง้ วฒั นะ แขวงทุ่งสองห้อง เขตหลกั ส่ี กรุงเทพฯ 10210 โทรศพั ท์: 1111 หรอื 02-142-1033 หรอื 02-141-6993 เฟสบุค๊ : https://www.facebook.com/pdpc.th เว็บไซต์: http://www.pdpc.or.th