พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกับงานห้องสมุด

การประชมุ วชิ าการหอสมุดแหง่ ชาติ 19 กรกฎาคม 2565 ความเป็ นส่วนตวั กบั งานหอ้ งสมุด นคร เสรรี กั ษ ์ –1–

–2–

ความเป็นส่วนตวั /หลกั ความยินยอม •Bodily Privacy •Territorial Privacy •Communications Privacy •Data Privacy Consent: Key Principle –3–

ความเป็นส่วนตวั สาคญั อย่างไร??? •Property Rights •Human Dignity •Right to be let alone –4–

–5–

ความเป็นส่วนตวั ค้มุ ครองอย่างไร ? •Legal Approach/Law-Regulation •Social Approach/Public Awareness –6–

การค้มุ ครองข้อมลู ส่วนบคุ คลในกฎหมายต่างประเทศ –7–

การค้มุ ครองข้อมลู ส่วนบคุ คลในข้อตกลงระหว่างประเทศ • Transborder Data Flow: OECD Guideline • Council of Europe Convention • EU-Directive 95/46 EC • Principle of SAFE HARBOR • UN guideline for Computerized Data • APEC – Privacy Framework • GDPR –8–

Privacy Standard • เกบ็ และใช้ข้อมลู อย่างจากดั /เท่าที่จาเป็น • เกบ็ ตามวตั ถปุ ระสงคท์ ่ีกาหนดไว้ล่วงหน้า • แจ้งให้ทราบหรอื ขอความยินยอมจากเจ้าของข้อมลู ก่อน • เจ้าของข้อมลู มีสิทธิยินยอม/ปฏิเสธ/เข้าตรวจดไู ด้ • การเปิ ดเผยต้องกระทบความเป็นส่วนตวั น้อยท่ีสดุ • การส่งข้อมลู ระหว่างประเทศ –9–

การค้มุ ครองข้อมลู ส่วนบคุ คลในกฎหมายไทย •รฐั ธรรมนูญ •พ.ร.บ.ข้อมลู ข่าวสารของราชการ พ.ศ. 2540 •พ.ร.บ.ค้มุ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562 – 10 –

รฐั ธรรมนูญ รฐั ธรรมนูญ 2540 รฐั ธรรมนูญ 2550 รฐั ธรรมนูญ 2560 มาตรา 34 สทิ ธขิ องบุคคลใน มาตรา 35 สทิ ธขิ องบุคคลใน มาตรา 32 บคุ คลยอ่ มมสี ทิ ธใิ น ครอบครวั เกยี รตยิ ศ ชอ่ื เสยี ง หรอื ครอบครวั เกยี รตยิ ศ ชอ่ื เสยี ง ความ ความเป็นอยสู่ ว่ นตวั เกยี รตยิ ศ ความเป็นอยสู่ ว่ นตวั ยอ่ มไดร้ บั ความ เป็นอยสู่ ว่ นตวั ยอ่ มไดร้ บั ความ ช่อื เสยี ง และครอบครวั คมุ้ ครอง คมุ้ ครอง การกระทาอนั เป็นการละเมดิ หรอื การกลา่ วหรอื ไขขา่ วแพรห่ ลาย การเผยแพรข่ อ้ ความหรอื ภาพต่อ กระทบต่อสทิ ธขิ องบคุ คลตามวรรค ซง่ึ ขอ้ ความหรอื ภาพไมว่ า่ ดว้ ยวธิ ใี ด สาธารณชน อนั เป็นการละเมดิ หรอื หน่ึง หรอื การนาขอ้ มลู สว่ นบุคคลไป ไปยงั สาธารณชน อนั เป็นการละเมดิ กระทบความเป็นอยสู่ ว่ นตวั จะกระทา ใชป้ ระโยชน์ไมว่ า่ ในทางใดๆ จะ หรอื กระทบถงึ สทิ ธขิ องบคุ คลใน มไิ ด้ กระทามไิ ด้ เวน้ แตโ่ ดยอาศยั อานาจ ครอบครวั เกยี รตยิ ศ ชอ่ื เสยี ง หรอื ตามบทบญั ญตั แิ หง่ กฎหมายทต่ี รา ความเป็นอยสู่ ว่ นตวั จะกระทามไิ ด้ บุคคลมสี ทิ ธไิ ดร้ บั ความคุม้ ครอง ขน้ึ เพยี งเทา่ ทจ่ี าเป็นเพอ่ื ประโยชน์ เวน้ แตก่ รณีทเ่ี ป็นประโยชน์ตอ่ จากการแสวงประโยชน์โดยมชิ อบจาก สาธารณะ สาธารณะ ขอ้ มลู สว่ นบุคคล – 11 –

พ.ร.บ. ข้อมลู ข่าวสารของราชการ พ.ศ. 2540 1 การพิมพใ์ นราชกิจจานุเบกษา 2 การจดั ไว้ให้ประชาชนตรวจดู 3 การจดั หาให้เอกชนเป็นการ (มาตรา 7) (มาตรา 9) เฉพาะราย (มาตรา 11) (1) โครงสรา้ งและการจดั องคก์ ร (1) ผลการพจิ ารณาทม่ี ผี ลต่อเอกชน (2) อานาจหน้าทแ่ี ละวธิ ดี าเนินงาน (2) นโยบายและการตคี วาม (3) สถานทต่ี ดิ ต่อขอรบั ขอ้ มลู ขา่ วสาร (3) แผนงาน โครงการ งบประมาณ (4) กฎ มติ ค.ร.ม. ขอ้ บงั คบั คาสงั่ ฯ (4) คมู่ อื /คาสงั่ เกย่ี วกบั วธิ ปี ฏบิ ตั งิ าน (5) สง่ิ พมิ พท์ ม่ี กี ารอา้ งองิ ถงึ ในราชกจิ จา นุเบกษา (6) สญั ญาสาคญั ของรฐั - สญั ญาสมั ปทาน - สญั ญาผกู ขาดตดั ตอน - สญั ญารว่ มทุนกบั เอกชน (7) มติ ค.ร.ม. มตคิ ณะกรรมการ (8) ประกาศประกวดราคา/สอบราคา สรุปผล การจดั ซ–อ้ื 1จ2ดั– จา้ งรายเดอื น

หน้าที่ของหน่วยงานของรฐั เก่ียวกบั ข้อมลู ส่วนบคุ คล • จดั เกบ็ ขอ้ มลู เทา่ ทจ่ี าเป็น ตอ้ งยกเลกิ เมอ่ื หมดความจาเป็น • Update ขอ้ มลู อยเู่ สมอ และรกั ษาความปลอดภยั (ม. 23) • เกบ็ ขอ้ มลู โดยตรงจากเจา้ ของขอ้ มลู (ม. 23) • ประกาศในราชกจิ จานุเบกษา (ม. 23) • เปิดเผยขอ้ มลู โดยปราศจากความยนิ ยอมไมไ่ ด้ (ม. 24) • ยอมใหเ้ จา้ ของขอ้ มลู ดขู อ้ มลู เกย่ี วกบั ตนเองได้ (ม. 25) • แกไ้ ขขอ้ มลู ใหต้ รงความจรงิ ตามทเ่ี จา้ ของรอ้ งขอ (ม. 25) – 13 –

แนวทางปฏิบตั ิตาม พ.ร.บ.ข้อมลู ข่าวสาร 2540 แนวทางปฏบิ ตั ใิ นการคมุ้ ครองขอ้ มลู สว่ นบคุ คล Data Privacy Guideline 1. แจง้ เจา้ ของขอ้ มลู อยา่ งชดั เจนวา่ จะมกี ารเกบ็ ขอ้ มลู สว่ นบุคคล วตั ถุประสงคก์ ารเกบ็ ประเภทบุคคลหรอื องคก์ รท่ี ขอ้ มลู สว่ นบุคคลอาจไดร้ บั การเปิดเผย ตอ้ งแจง้ สทิ ธขิ องเจา้ ของขอ้ มลู และมาตรการทจ่ี ะใชใ้ นการจากดั การใช้ การ เปิดเผย การเขา้ ถงึ และการแกไ้ ข ทงั้ น้ีตอ้ งแจง้ กอ่ นหรอื ในขณะทเ่ี กบ็ หรอื เรว็ ทส่ี ดุ หลงั การจดั เกบ็ 2. จดั เกบ็ อยา่ งจากดั เทา่ ทเ่ี ป็นไปตามวตั ถุประสงคข์ องการเกบ็ การเกบ็ ตอ้ งทาโดยวธิ ที ถ่ี ูกกฎหมาย และวธิ ที เ่ี ป็นธรรม และเหมาะสม โดยไดแ้ จง้ ตอ่ และไดข้ อคายนิ ยอมจากเจา้ ของขอ้ มลู แลว้ 3. ขอ้ มลู ทเ่ี กบ็ ไวจ้ ะเอาไปใชไ้ ดเ้ ฉพาะตามวตั ถุประสงคข์ องการเกบ็ เทา่ นนั้ เวน้ แต่ไดร้ บั คายนิ ยอมจากเจา้ ของขอ้ มลู 4. เจา้ ของขอ้ มลู มสี ทิ ธเิ ลอื กวา่ จะยนิ ยอมใหม้ กี าร เกบ็ -ใช-้ เปิดเผย ขอ้ มลู สว่ นบุคคล – 14 –

แนวทางปฏิบตั ิตาม พ.ร.บ.ข้อมลู ข่าวสาร 2540 (2) แนวทางปฏบิ ตั ใิ นการคมุ้ ครองขอ้ มลู สว่ นบุคคล Data Privacy Guideline 5. ขอ้ มลู ทจ่ี ดั เกบ็ ตอ้ งมคี วามถูกตอ้ ง สมบูรณ์ เป็นปัจจุบนั ตามความจาเป็นและตามวตั ถุประสงคก์ ารเกบ็ 6. ตอ้ งมมี าตรการคมุ้ ครองขอ้ มลู อยา่ งเหมาะสมเพอ่ื ป้องกนั อนั ตรายทอ่ี าจเกดิ ไมว่ า่ จะเป็นการสญู หาย-เสยี หาย-การ เขา้ ถงึ ขอ้ มลู สว่ นบุคคลโดยไมไ่ ดร้ บั อนุญาต การทาลายโดยไมไ่ ดร้ บั อนุญาต การใช-้ ปรบั เปลย่ี นแกไ้ ข-เปิดเผย โดยมิ ชอบ 7. เจา้ ของขอ้ มลู มสี ทิ ธริ บั รวู้ า่ มกี ารเกบ็ ขอ้ มลู สว่ นบคุ คลของตนหรอื ไม่ และมสี ทิ ธเิ ขา้ ถงึ ขอ้ มลู ของตนเอง และมสี ทิ ธิ ขอใหต้ รวจสอบความถกู ตอ้ งและขอใหป้ รบั ปรงุ แกไ้ ข เพมิ่ เตมิ หรอื ทาลาย ขอ้ มลู ของตน 8. ผเู้ กบ็ ขอ้ มลู จะตอ้ งรบั ผดิ ชอบการจดั มาตรการตา่ งๆ ใหเ้ ป็นไปตามหลกั เกณฑด์ งั กลา่ ว การสง่ ขอ้ มลู สว่ นบุคคลไปยงั บุคคลหรอื องคก์ ารอน่ื ๆ ไมว่ า่ ภายในประเทศหรอื สง่ ไปยงั ต่างประเทศ จะตอ้ งไดร้ บั คายนิ ยอมจากเจา้ ของขอ้ มลู และ จะตอ้ งมมี าตรการทเ่ี หมาะสมทป่ี ระกนั ไดว้ า่ บคุ คลหรอื องคก์ รทไ่ี ดร้ บั ขอ้ มลู ไปแลว้ จะเกบ็ รกั ษาขอ้ มลู ใหเ้ ป็นไปตาม หลกั เกณฑน์ ้ี – 15 –

แนวทางปฏิบตั ิตาม พ.ร.บ.ข้อมลู ข่าวสาร 2540 (3) แนวทางปฏบิ ตั ใิ นการคมุ้ ครองขอ้ มลู สว่ นบคุ คล Data Privacy Guideline 9. ในกรณที เ่ี ป็นการดาเนนิ การทเ่ี กย่ี วกบั ขอ้ มลู ของเดก็ เยาวชน หรอื ผทู้ ย่ี งั ไมบ่ รรลุนติ ภิ าวะ จะตอ้ งคานึงถงึ การใหค้ า ยนิ ยอมทเ่ี หมาะสม ไมว่ า่ จะเป็นการดาเนนิ การโดยตวั ผเู้ ยาวเ์ อง หรอื โดยผปู้ กครองทช่ี อบดว้ ยกฎหมาย รวมทงั้ การใช้ ดลุ ยพนิ จิ ของผปู้ กครองโดยพฤตนิ ยั และสถาบนั ดา้ นการศกึ ษา 10. ในกรณที จ่ี ะตอ้ งมกี ารวา่ จา้ งหรอื มอบหมายใหบ้ คุ คลหรอื หน่วยงานอน่ื (third party) ในลกั ษณะหน่วยใหบ้ รกิ าร (service provider) ใหท้ าหน้าทห่ี รอื จดั การทเ่ี กย่ี วขอ้ งกบั ขอ้ มลู สว่ นบคุ คล บุคคลหรอื หน่วยงานดงั กลา่ วจะตอ้ งมรี ะบบ การคมุ้ ครองขอ้ มลู ทม่ี าตรฐาน และจะตอ้ งมกี ารจดั ทาขอ้ ตกลงทช่ี ดั เจนวา่ บุคคลหรอื องคก์ รดงั กลา่ ว เมอ่ื ไดร้ บั และ ครอบครองขอ้ มลู ไปแลว้ จะเกบ็ รกั ษาขอ้ มลู ใหเ้ ป็นไปตามหลกั เกณฑน์ ้ี. – 16 –

พระราชบญั ญตั ิค้มุ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562 7 หมวด หมวด เนื้อหา มาตรา 96 มาตรา หมวด 1 8-18 หมวด 2 คณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล 19-29 19-21 หมวด 3 การคุม้ ครองขอ้ มลู สว่ นบคุ คล 22-26 หมวด 4 สว่ นท่ี 1 บททวั่ ไป 27-29 สว่ นท่ี 2 การเกบ็ รวบรวมขอ้ มลู สว่ นบุคคล 30-42 หมวด 5 สว่ นท่ี 3 การใชห้ รอื เปิดเผยขอ้ มลู สว่ นบคุ คล 43-70 หมวด 6 หมวด 7 สทิ ธขิ องเจา้ ของขอ้ มลู สว่ นบคุ คล 71-76 77-78 สานกั งานคณะกรรมการคมุ้ ครองขอ้ มลู สว่ น 79-90 บคุ คล การรอ้ งเรยี น ความรบั ผดิ ทางแพง่ บทกาหนดโทษ

พระราชบญั ญตั ิค้มุ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 ขอ้ มูลส่วนบุคคล คืออะไร ? ข้อมูลเกย่ี วกับบุคคล ซง่ึ ทาให้สามารถระบตุ ัวบุคคลน้ันได้ไมว่ ่าทางตรงหรอื ทางออ้ ม แตไ่ ม่รวมถงึ ข้อมูลของผถู้ งึ แก่กรรมโดยเฉพาะ - มาตรา 6 -ชื่อ นามสกุล -เลขประจาตวั ประชาชน -ทีอ่ ยู่ ขอ้ มูลอปุ กรณ์/ -ทะเบยี นรถยนต์ -วนั เกดิ -หนังสือเดินทาง -E-mail เครอ่ื งมือ -โฉนดท่ดี นิ -นา้ หนัก -เลขทบ่ี ัตรประกนั สงั คม -หมายเลขโทรศพั ท์ -IP address -เลขบญั ชธี นาคาร -ส่วนสูง -เลขที่ใบอนญุ าตขับข่ี -Cookie ID -เลขบัตรเครดติ -เลขประจาตัวผูเ้ สยี ภาษี -รหสั เข้าโทรศพั ท/์ IPad/โนต้ บุ๊ค/PC

ข้อมูลส่วนบุคคลที่มคี วามอ่อนไหว (Sensitive Personal Data) ข้อมูลสว่ นบคุ คลของผู้ใช้งานท่ีเก่ียวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเช่ือในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ พันธุกรรม ข้อมูลชีวภาพ ข้อมูลภาพจาลองใบหน้า ม่านตา หรือลายนิ้วมือ ข้อมูลสหภาพ แรงงาน หรือขอ้ มูลอ่ืนใดซง่ึ คณะกรรมการคุม้ ครองข้อมูลสว่ นบุคคลไดป้ ระกาศให้เป็นขอ้ มลู ขอ้ มูลสว่ นบุคคลที่มีความออ่ นไหว เช้อื ชาติ/เผ่าพนั ธุ์ ความเชอ่ื ขอ้ มลู สขุ ภาพ ขอ้ มูลชวี ภาพ ข้อมลู อื่นๆ ลทั ธิ ศาสนา -กรุ๊ปเลอื ด -ข้อมลู ภาพใบหนา้ -ข้อมูลสหภาพแรงงาน -ผลการตรวจสขุ ภาพ -ข้อมลู ภาพม่านตา -ความคิดเหน็ ทางการเมือง -ประวัตกิ ารรกั ษาพยาบาล -ข้อมลู ลายนวิ้ มอื -ประวัตอิ าชญากรรม -ข้อมลู พันธกุ รรม -พฤติกรรมทางเพศ -ข้อมูลอตั ลกั ษณ์เสยี ง

บคุ คลที่เกย่ี วข้องกบั การคมุ้ ครองขอ้ มลู สว่ นบุคคล 1 2 3 เจ้าของขอ้ มูลสว่ นบคุ คล ผคู้ วบคุมข้อมูลส่วนบุคคล ผ้ปู ระมวลผลขอ้ มลู ส่วนบุคคล (Data Subject) (Data Controller) (Data Processor) บคุ คลท่ีข้อมลู ส่วนบุคคลระบุไปถึง บุคคล/นิติบคุ คล ซ่ึงมอี านาจหนา้ ท่ี บุคคล/นิติบุคคล ตัดสินใจเกย่ี วกับการเก็บรวบรวม ซง่ึ ดาเนนิ การเกี่ยวกบั การเกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู ส่วนบคุ คล ใช้ หรือเปิดเผยข้อมูลสว่ นบุคคลตาม คาสงั่ หรอื ในนามของผู้ควบคุมขอ้ มูล ส่วนบคุ คล

การประมวลผลขอ้ มลู ส่วนบุคคล หลักการขอความยนิ ยอม ตามมาตรา 19  ผคู้ วบคุมขอ้ มูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรอื เปิดเผยขอ้ มูลสว่ นบุคคลไดก้ ต็ ่อเม่อื เจา้ ของข้อมูลสว่ นบุคคลให้ความยินยอมไว้ก่อนหรือในขณะนน้ั เว้นแตบ่ ทบัญญตั แิ ห่ง พ.ร.บ.น้ีหรือกฎหมายอ่ืนบัญญตั ิให้กระทาได้  การขอความยินยอมต้องทาโดยชดั แจง้ เปน็ หนงั สือ หรือทาผ่านระบบอเิ ลก็ ทรอนิกส์ เวน้ แตโ่ ดยสภาพไม่อาจขอความยอมได้  ผคู้ วบคมุ ข้อมูลส่วนบุคคลต้องแจ้งวตั ถุประสงคข์ องการเก็บรวบรวม ใช้ หรอื เปิดเผยข้อมลู ส่วนบคุ คล ซ่งึ การขอความยนิ ยอมตอ้ งแยกสว่ นออกจากข้อความอน่ื อยา่ งชัดเจน เขา้ ถึงไดง้ า่ ย ใชภ้ าษาที่อา่ นง่าย การประมวลผลขอ้ มูลตอ้ งเปน็ ไปตามวัตถปุ ระสงค์ มาตรา 21 การประมวลผลขอ้ มลู ทาไดเ้ ท่าท่จี าเป็น ตามมาตรา 22  ผูค้ วบคุมข้อมูลส่วนบุคคลตอ้ งทาการเกบ็ รวบรวม ใช้ หรือเปดิ เผยข้อมลู ส่วนบุคคล  การเก็บรวบรวมขอ้ มลู สว่ นบคุ คล ใหเ้ ก็บรวบรวมไดเ้ ท่าท่ีจาเปน็ ตามวัตถปุ ระสงคท์ ่ีได้แจง้ เจา้ ของขอ้ มลู สว่ นบคุ คลไว้กอ่ นหรอื ในขณะท่ีเกบ็ รวบรวม ภายใต้วตั ถุประสงคอ์ ันชอบด้วยกฎหมายของผูค้ วบคมุ ข้อมูลส่วนบคุ คล  การเกบ็ รวบรวม ใช้ หรอื เปดิ เผยขอ้ มลู สว่ นบุคคลท่ีแตกต่างจากวตั ถปุ ระสงคท์ ี่แจง้ ไว้ จะกระทาไมไ่ ด้ เว้นแต่ 1.ไดแ้ จง้ วตั ถปุ ระสงค์ใหม่ และไดร้ บั ความยินยอมแลว้ 2.กฎหมายนหี้ รือกฎหมายอื่นให้กระทาได้

การเก็บรวบรวมขอ้ มูลส่วนบคุ คล การเก็บรวบรวมข้อมูลส่วนบุคคล ตามมาตรา 24 ข้อมูลอ่อนไหว ตามมาตรา 26 ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วน หา้ มเกบ็ ข้อมูลส่วนบคุ คลเกีย่ วกบั เช้ือชาติ เผา่ พันธ์ุ ความคิดเห็นทางการเมอื ง ความเชื่อ บคุ คล เวน้ แต่ ในลทั ธิ ศาสนาหรอื ปรัชญา พฤตกิ รรมทางเพศ ประวัติอาชญากรรม ขอ้ มลู สขุ ภาพ ความ พิการ ข้อมูลสหภาพแรงงาน ข้อมูลพนั ธุกรรม ขอ้ มูลชวี ภาพ หรือขอ้ มลู อ่นื ใดในทานอง 1. เพือ่ จัดทาเอกสารประวตั ิศาสตร์ จดหมายเหตุ วิจัย สถติ ิ (Historical Document, เดียวกนั โดยไม่ไดร้ ับความยินยอมโดยชดั แจ้งจากเจ้าของข้อมูลสว่ นบุคคล เวน้ แต่ Research or Statistics) 1. เพือ่ ป้องกันหรือระงบั อันตรายต่อชีวติ ร่างกาย สุขภาพ 2. เพือ่ ป้องกันหรือระงับอันตรายตอ่ ชีวติ รา่ งกาย สุขภาพ (Vital Interest) 2. เป็นการดาเนินกจิ กรรมโดยชอบดว้ ยกฎหมายทีม่ ีการคุ้มครองท่เี หมาะสมของมูลนิธิ 3. เพื่อปฏิบตั ติ ามสญั ญาระหว่างผู้ควบคุมขอ้ มูลสว่ นบคุ คลกบั เจ้าของข้อมลู สว่ นบคุ คล สมาคม หรือองคก์ รท่ไี ม่แสวงหากาไร หรือเพ่อื ดาเนินการตามคาขอของเจา้ ของขอ้ มูลส่วนบุคคลกอ่ นเขา้ ทาสญั ญา 3. เปน็ ข้อมลู ท่เี ปดิ เผยต่อสาธารณะดว้ ยความยนิ ยอมโดยชัดแจ้งของเจา้ ของขอ้ มูล (Contract) 4. เปน็ การจาเปน็ เพอื่ กอ่ ตั้งสิทธเิ รียกร้องตามกฎหมาย 4. เพอ่ื ประโยชน์สาธารณะของผ้คู วบคมุ ขอ้ มลู ส่วนบคุ คล หรือปฏิบัตหิ น้าท่ตี ามอานาจ 5. เป็นการจาเปน็ ในการปฏิบัตติ ามกฎหมายเพื่อใหบ้ รรลุวัตถปุ ระสงค์เก่ยี วกับ (ก)-(จ) รัฐท่ไี ด้รับมอบหมาย (Public Task / Official Authority) 5. เพื่อประโยชนโ์ ดยชอบด้วยกฎหมายของผคู้ วบคุมข้อมลู สว่ นบุคคล (Legitimate ขอ้ มูลทจี่ ดั เก็บก่อน พ.ร.บ.บังคับใช้ ตามมาตรา 95 Interest) 6. เปน็ การปฏบิ ัตติ ามกฎหมายของผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล (Legal Obligation) ขอ้ มูลสว่ นบคุ คลทเี่ ก็บรวมรวมกอ่ น พ.ร.บ.บังคับใช้ ผู้ควบคมุ ข้อมลู ส่วนบคุ คลยงั คง สามารถประมวลผลข้อมลู สว่ นบุคคลได้ตามวตั ถุประสงคเ์ ดมิ แตต่ อ้ งกาหนดวธิ ีการยกเลิก ความยนิ ยอมให้แกเ่ จ้าของข้อมูลสว่ นบคุ คล

หน้าท่ีและความรับผิดชอบองคก์ รกบั บุคคลหรอื หน่วยงานอนื่ ท่เี กย่ี วขอ้ ง(บคุ คลท่สี าม) ภาพรวมหนา้ ทค่ี วามรับผดิ ชอบ เปน็ หน่วยงานของรฐั กรณเี กบ็ รวบรวมขอ้ มูลส่วนบคุ คลเอง กรณไี ด้รับข้อมูลสว่ นบคุ คลจากบคุ คลทสี่ าม กรณีส่งหรือโอนขอ้ มลู ส่วนบุคคล ท่ีมีขอ้ มูลสว่ นบุคคลเปน็ จานวนมากและ ไปยังบุคคลทส่ี าม มีการประมวลผลข้อมลู สว่ นบุคคลที่ ออ่ นไหว หนา้ ท่ีแต่งตง้ั เจา้ หนา้ ทคี่ มุ้ ครองขอ้ มลู หนา้ ทีข่ องผ้คู วบคมุ ขอ้ มลู ส่วนบคุ คล หน้าท่ขี องผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คล หน้าทที่ าสัญญารกั ษาความลับของขอ้ มูล สว่ นบุคคล (DPO) ส่วนบุคคลกับบคุ คลทสี่ าม เช่น ตอ้ งจัดใหม้ ีมาตรการในการรกั ษา เชน่ ดาเนนิ การเก็บรวบรวม ใช้ หรอื เชน่ ให้คาแนะนา ประสานงาน และ ความปลอดภยั ของขอ้ มลู มรี ะบบ เปดิ เผยขอ้ มลู ส่วนบคุ คลตามคาส่ังทไี่ ดร้ บั ร่วมมอื ตรวจสอบเพ่อื ดาเนินการลบหรือทาลาย จากผคู้ วบคมุ ข้อมูลสว่ นบคุ คล บันทึกและเกบ็ รกั ษารายการกิจกรรมการ ข้อมูลสว่ นบคุ คล แจง้ เหตุการละเมิดขอ้ มลู ประมวลผลข้อมลู สว่ นบคุ คล ส่วนบคุ คลแกส่ านักงาน

การเกบ็ รวบรวมข้อมูลสว่ นบุคคลเอง มาตรา22 การเกบ็ รวบรวมขอ้ มูลส่วน การเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มลู มาตรา40 วรรคสาม ตอ้ งจดั ให้มีข้อตกลงร่วมกัน บคุ คล ใหเ้ ก็บรวบรวมได้เทา่ ทจี่ าเปน็ กับผู้ประมวลผลขอ้ มลู ส่วนบุคคล เพอ่ื ควบคมุ มาตรา27 ห้ามมิให้ผู้ควบคมุ ข้อมลู สว่ น การดาเนินงาน บุคคลใช้หรอื เปดิ เผยข้อมูลสว่ นบคุ คล โดย ไม่ได้รับความยนิ ยอม มาตรา 41 ต้องจัดให้มเี จ้าหนา้ ทีค่ มุ้ ครองขอ้ มูล ส่วนบคุ คลของตน มาตรา23 แจ้งรายละเอียดต่างๆให้ มาตรา35-36 ตอ้ งปรับปรุงขอ้ มลู ให้เปน็ เจ้าของข้อมูลสว่ นบคุ คลทราบกอ่ นหรอื ปจั จุบนั เสมอ มาตรา 41 วรรคห้า มีหนา้ ทีต่ ้องแจง้ ขอ้ มูล ในขณะเกบ็ รวบรวมขอ้ มลู สว่ นบุคคล เกย่ี วกบั เจา้ หน้าทคี่ ุ้มครองข้อมูล ใหเ้ จา้ ของ หน้าที่ของผู้ควบคุม ขอ้ มูลส่วนบคุ คลและสานกั งานทราบ ข้อมูลส่วนบุคคล มาตรา25 ห้ามมใิ หผ้ ู้ควบคุมข้อมลู ส่วนบคุ คล มาตรา37 ตอ้ งจดั ใหม้ ีมาตรการในการ ทาการเก็บรวบรวมข้อมลู ส่วนบคุ คลจาก รกั ษาความปลอดภัย ระบบตรวจสอบเพอื่ มาตรา42วรรคทา้ ย ตอ้ งสนับสนนุ การปฏิบตั ิ แหลง่ อืน่ ทีไ่ ม่ใช่จากเจ้าของขอ้ มูลส่วนบคุ คล ลบหรือทาลายข้อมูล แจ้งเหตุการณล์ ะเมิด หน้าทขี่ องเจา้ หน้าทค่ี ุ้มครองข้อมูลสว่ นบุคคล โดยตรง มาตรา39 จดั ทาและเก็บรักษาบนั ทึก มาตรา21 ทาการเก็บรวบรวม ใช้ หรือ รายการ เพอ่ื ให้เจา้ ของข้อมูลสว่ นบุคคล เปิดเผยขอ้ มลู สว่ นบุคคลตามวตั ถุประสงค์ และสานักงานสามารถตรวจสอบได้ ทีไ่ ดแ้ จ้งแกเ่ จ้าของขอ้ มูลสว่ นบุคคล

กรณีได้รับข้อมลู ส่วนบคุ คลจากบุคคลที่สาม การเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมลู มาตรา 40 ดาเนินการเกบ็ รวบรวม ใช้ หรือเปดิ เผยขอ้ มูลส่วนบุคคลตาม มาตรา41วรรคหา้ มีหนา้ ทตี่ ้องแจ้งข้อมูลเกยี่ วกับเจ้าหนา้ ทค่ี มุ้ ครองข้อมลู คาสัง่ ท่ไี ดร้ บั จากผคู้ วบคมุ ขอ้ มูลสว่ นบคุ คล จดั ใหม้ ีมาตรการรกั ษาความ สว่ นบคุ คล สถานท่ตี ดิ ต่อ และวธิ ีการติดตอ่ ให้เจา้ ของข้อมลู สว่ นบคุ คลและ มน่ั คงปลอดภัยท่ีเหมาะสม และแจ้งใหผ้ ู้ควบคุมขอ้ มูลสว่ นบคุ คลทราบถงึ เหตุการละเมิดข้อมลู สว่ นบุคคลทเ่ี กิดขนึ้ สานักงานทราบ หนา้ ทขี่ องผู้ มาตรา41วรรคหนึ่ง จดั ใหม้ เี จา้ หน้าท่ีคมุ้ ครองขอ้ มลู สว่ นบคุ คล มาตรา42วรรคทา้ ย ตอ้ งสนบั สนุนการปฏิบตั ิหนา้ ทข่ี องเจ้าหน้าทค่ี ้มุ ครอง ประมวลผล ขอ้ มูลสว่ นบุคคลโดยจัดหาเคร่อื งมอื หรอื อปุ กรณอ์ ยา่ งเพยี งพอ รวมท้งั ขอ้ มูล อานวยความสะดวกในการเขา้ ถงึ ขอ้ มลู สว่ นบุคคลเพอ่ื การปฏบิ ตั หิ นา้ ที่ ส่วนบคุ คล

เจ้าข้อมลู มีสทิ ธติ ่างๆ เกย่ี วกับขอ้ มลู ส่วนบุคคลของตน โดยทาคาร้องต่อผคู้ วบคุม ซ่งึ เมอื่ ได้รบั คารอ้ ง ผูค้ วบคุมข้อมูลกม็ ีหน้าทใ่ี นการดาเนนิ การบรหิ ารขอ้ มลู ส่วนบุคคล สิทธขิ องเจา้ ของขอ้ มูลส่วนบคุ คล 1 มาตรา 23 5 สทิ ธใิ นการคดั คา้ น มาตรา 32 สิทธทิ ่ีได้รบั การแจ้งกอ่ น ผู้ควบคุมข้อมูลสว่ นบคุ คลจะตอ้ งแจง้ ให้เจา้ ของขอ้ มลู การเกบ็ การใช้ การ เจา้ ของข้อมลู ส่วนบคุ คลมสี ทิ ธคิ ดั ค้านการเก็บรวบรวม หรอื ในขณะเก็บขอ้ มูล ทราบวตั ถปุ ระสงค์/ข้อมลู ทจ่ี ะเกบ็ /ระยะเวลา/บคุ คลที่ เปิดเผยขอ้ มูลสว่ นบคุ คล ใช้ หรอื เปิดเผยขอ้ มลู สว่ นบุคคลทเี่ กี่ยวกับตนเมอื่ ใดก็ได้ ข้อมลู อาจถกู เปิดเผย/สถานที่-วธิ ตี ิดตอ่ ผคู้ วบคมุ 2 6 มาตรา 33 มาตรา 19 สทิ ธใิ นการถอน สิทธิในการขอให้ลบหรือ เจ้าของข้อมลู สว่ นบคุ คลมีสิทธิขอใหผ้ ู้ควบคมุ ขอ้ มูลลบ ความยนิ ยอม ผคู้ วบคมุ ขอ้ มูลสว่ นบคุ คลจะเกบ็ รวบรวม ใช้ หรอื เปดิ เผย ทาลายขอ้ มูลสว่ นบคุ คล หรือทาลาย หรอื ทาใหข้ ้อมลู ไมส่ ามารถระบตุ วั บคุ คลได้ ขอ้ มลู ส่วนบคุ คลไมไ่ ด้หากเจา้ ของขอ้ มูลสว่ นบุคคลไมไ่ ดใ้ ห้ ความยนิ ยอมไวก้ อ่ นหรือในขณะนนั้ 7 มาตรา 34 เขจ้อา้ มขูลอvสงว่ขน้อบมลูุคสคว่ลนระบงคุ ับคกลามรีสใชิทข้ ธ้อขิ มอลูใหสผ้่วู้คนวบบคุ คคุมลได้ 3 มาตรา 30 สทิ ธิในการขอระงบั การ ขเจ้อา้ มขลูอสง่วขvน้อบมลูุคสค่วลนหบรคุ ือคขลอมใสีหทิเ้ ปธดิขิ เอผเยขถา้ ถงึ กงึ แารลไะดขม้ อารับสาเนา ใช้ข้อมูลส่วนบุคคล มาตรา 35 สทิ ธใิ นการขอเข้าถึง ผถกูู้คตวบ้อvคงเมุ ปขน็ ้อปมัจลู จตุบ้อนั งดสามเนบนิรู ณกา์ รใหข้ ้อมลู สว่ นบุคคล ข้อมลู ส่วนบคุ คล 4 มาตรา 28,31 8 สทิ ธิในการขอแกไ้ ข ข้อมูลส่วนบุคคล สิทธิในการขอให้โอน ผ้คู วบคมุ ข้อมูลส่วนบคุ คลต้องแจง้ สทิ ธิกอ่ นโอนข้อมลู สว่ น ข้อมลู สว่ นบุคคล บุคคลไปvยงั ต่างประเทศ และเจ้าของขอ้ มลู ส่วนบุคคลมสี ทิ ธิ ขอรับข้อมูลสว่ นบคุ คลทเี่ ก่ยี วกบั ตนได้

ความรับผิดและบทกาหนดโทษตาม พ.ร.บ.คมุ้ ครองขอ้ มลู ส่วนบุคคล พ.ศ. 2562 ความรบั ผิดทางแพ่ง โทษทางอาญา โทษทางปกครอง ตามมาตรา 77 ตามมาตรา 79 - 80 ตามมาตรา 82 - 89 มาตรา77 ผูค้ วบคมุ ขอ้ มูลสว่ นบคุ คล หรอื ผปู้ ระมวลผล มาตรา79 ผ้คู วบคุมข้อมลู สว่ นบคุ คลไมป่ ฏิบัติตามมาตรา27 มาตรา82 -84 ผู้ควบคมุ ขอ้ มูลสว่ นบุคคล ไม่ปฏิบัตติ าม ขอ้ มลู สว่ นบุคคล ฝา่ ฝนื หรอื ไมป่ ฏิบัตติ ามพ.ร.บ.นี้ ไม่วา่ จะ วรรคหนงึ่ หรือวรรคสอง และมาตรา28 อนั เกยี่ วกบั ขอ้ มลู มาตรา19 มาตรา21ถงึ 29 มาตรา32 มาตรา37 มาตรา39 จงใจหรือประมาทเลนิ เล่อ ทาให้เกดิ ความเสยี หายแก่เจ้า สว่ นบคุ คลทอี่ อ่ นไหวตามมาตรา26 ในประการที่นา่ จะเกิด มาตรา41 ถงึ 42 (1-3-5 ลา้ น) ข้อมูลสว่ นบคุ คล ต้องชดใชค้ า่ สินไหมทดแทน เวน้ แตพ่ สิ จู น์ ความเสียหายแกผ่ ูอ้ ่นื (6ด/5แสน) หรือเพือ่ แสวงหา ไดว้ ่า ประโยชนท์ ่มี คิ วรได้โดยชอบด้วยกฎหมายสาหรบั ตนเอง มาตรา 85-87 ผูป้ ระมวลผลข้อมูลสว่ นบุคคล ไมป่ ฏบิ ัติตาม หรอื ผู้อนื่ (1ปี/1ลา้ น) มาตรา 26 มาตรา 29 มาตรา 37(5) มาตรา 38 มาตรา40 (1) ความเสียหายเกิดจากเหตุสุดวิสยั หรอื จากเจ้าของ ถึง42 (1-3-5 ล้าน) ขอ้ มูลส่วนบคุ คลเอง มาตรา80 ผู้ใดล่วงรู้ขอ้ มูลส่วนบคุ คลของผูอ้ ่นื เน่อื งจากการ ปฏบิ ตั หิ น้าที่ แล้วนาไปเปิดเผยแก่ผู้อื่น (6ด/5แสน) มาตรา 88 ตวั แทนของผ้คู วบคมุ ข้อมูลสว่ นบุคคลหรือ (2) ปฏิบตั ิตามคาสง่ั ของเจ้าหน้าที่ ตัวแทนของผูป้ ระมวลผลขอ้ มลู สว่ นบคุ คล ไม่ปฏบิ ัตติ าม มาตรา 39 มาตรา 41 (1ลา้ น) มาตรา 89 ผใู้ ดไม่ปฏิบตั ิตามคาสง่ั ของคณะกรรมการ ผูเ้ ชยี่ วชาญ หรือไมป่ ฏบิ ตั ติ ามมาตรา75-76 (5แสน)

กฎหมายและกฎระเบยี บขอ้ บงั คบั ทางดจิ ิทลั ของประเทศไทย พระราชบัญญัติการพัฒนาดจิ ิทัล พระราชบญั ญัติการรกั ษาความ พระราชบัญญัตคิ มุ้ ครองข้อมลู พระราชบัญญัติการบรหิ ารงานและ เพื่อเศรษฐกิจและสังคม พ.ศ. 2560 ปลอดภัยไซเบอร์ พ.ศ. 2562 ส่วนบคุ คล พ.ศ. 2562 การให้บรกิ ารภาครฐั ผ่านระบบดิจทิ ัล  กาหนดนโยบายระดับชาตดิ ้าน  กาหนดแผนแมบ่ ทและนโยบาย  นาหลกั เกณฑ์ GDPR ของสหภาพ พ.ศ. 2562 เพ่อื ให้เกิดความปลอดภัยของ ยโุ รปมาประยกุ ต์ใช้ เศรษฐกจิ และสังคมดจิ ทิ ลั เครอื ข่ายไซเบอร์  กาหนดหลกั เกณฑ์และวิธีการ  การจดั ตั้งคณะกรรมการเพื่อดาเนนิ  กาหนดหลักเกณฑ์ในการคมุ้ ครอง เชื่อมโยงขอ้ มูลภาครัฐเพ่อื เพมิ่  แนวทางการปอ้ งกันเมอื่ เกิดเหตุ ขอ้ มูลสว่ นบุคคล ประสทิ ธิภาพในการใหบ้ ริการ นโยบาย ภาครัฐเพ่ืออานวยความสะดวกให้  การจดั ต้ังกองทนุ เศรษฐกจิ และ  จดั ตงั้ คณะกรรมการรกั ษาความ  กาหนดหลกั เกณฑ์ในการคมุ้ ครอง ประชาชน ปลอดภยั ทางไซเบอรเ์ ปน็ หนว่ ยงาน ขอ้ มูลข้ามพรมแดน สงั คมดิจทิ ลั หลกั ในการกากับดูแลให้เกดิ ความ  กาหนดใหม้ ีศูนยแ์ ลกเปลย่ี นขอ้ มูล ปลอดภยั ไซเบอร์  จัดตงั้ หน่วยงานกากบั ดแู ล กลางเพื่อแลกเปลีย่ นขอ้ มลู ดิจิทลั (Regulator) และทะเบยี นดิจทิ ัลระหว่าง หน่วยงานของรัฐ

กฎหมายดิจิทลั /กฎหมายเทคโนโลยี พ.ร.บ. การพฒั นาดิจิทลั เพื่อ พ.ร.บ. การรกั ษาความปลอดภยั พ.ร.บ. ค้มุ ครองข้อมลู พ.ร.บ.การบริหารงานและการ เศรษฐกิจและสงั คม พ.ศ. 2560 ไซเบอร์ พ.ศ. 2562 ส่วนบคุ คล พ.ศ. 2562 ให้บริการภาครฐั ผา่ นระบบดิจิทลั  กาหนดนโยบายระดบั ชาตดิ า้ น  กาหนดแผนแมบ่ ทและนโยบาย  นาหลกั เกณฑ์ GDPR ของ พ.ศ. 2562 เศรษฐกจิ และสงั คมดจิ ทิ ลั เพอ่ื ใหเ้ กดิ ความปลอดภยั ของ สหภาพยโุ รปมาประยกุ ตใ์ ช้ เครอื ขา่ ยไซเบอร์  กาหนดหลกั เกณฑแ์ ละวธิ กี าร  การจดั ตงั้ คณะกรรมการเพอ่ื  กาหนดหลกั เกณฑใ์ นการคมุ้ ครอง เชอ่ื มโยงขอ้ มลู ภาครฐั เพอ่ื เพม่ิ ดาเนนิ นโยบาย  แนวทางการป้องกนั เมอ่ื เกดิ เหตุ ขอ้ มลู สว่ นบุคคล ประสทิ ธภิ าพในการใหบ้ รกิ าร ภาครฐั เพอ่ื อานวยความสะดวกให้  การจดั ตงั้ กองทนุ เศรษฐกจิ และ  จดั ตงั้ คณะกรรมการรกั ษาความ  กาหนดหลกั เกณฑใ์ นการคมุ้ ครอง ประชาชน สงั คมดจิ ทิ ลั ปลอดภยั ทางไซเบอรเ์ ป็น ขอ้ มลู ขา้ มพรมแดน หน่วยงานหลกั ในการกากบั ดแู ล  กาหนดใหม้ ศี นู ยแ์ ลกเปลย่ี นขอ้ มลู ใหเ้ กดิ ความปลอดภยั ไซเบอร์  จดั ตงั้ หน่วยงานกากบั ดแู ล กลางเพอ่ื แลกเปลย่ี นขอ้ มลู ดจิ ทิ ลั (Regulator) และทะเบยี นดจิ ทิ ลั ระหวา่ ง หน่วยงานของรฐั – 29 –

กฎหมายอื่นท่ีเก่ียวข้อง ประกาศคณะกรรมการพฒั นารฐั บาลดิจิทลั เรื่อง ธรรมาภิบาลข้อมลู ภาครฐั 12 มีนาคม 2563 พระราชบญั ญตั ิการบริหารงานและการให้บริการ ภาครฐั ผา่ นระบบดิจิทลั พ.ศ. 2562 – 30 –

– 31 –

Data Governance 1 5 การเปิดเผยขอ้ มลู เชน่ หน่วยงาน เจา้ ของขอ้ มลู ไมอ่ นุญาตใหเ้ ขา้ ถงึ การรกั ษาความลบั /ความ ขอ้ มลู กระบวนการขอใชข้ อ้ มลู ปลอดภยั ซบั ซอ้ นและใชเ้ วลานาน ขอ้ มลู ไม่ อยใู่ นรปู แบบทใ่ี ชง้ านต่อไดง้ า่ ย 2คณุ ภาพของขอ้ มลู เชน่ ความถูกตอ้ ง และยงั ไมม่ กี ารนาขอ้ มลู ไปใช้ ประโยชน์อยา่ งเป็นรปู ธรรม ความครบถว้ น ความเป็นปัจจุบนั 4 3 การเขา้ ถงึ ขอ้ มลู การรกั ษาความเป็นสว่ นตวั /การคมุ้ ครองขอ้ มลู สว่ นบคุ คล – 32 –

ธรรมาภิบาลข้อมลู ภาครฐั ใหจ้ ดั ทา “ธรรมาภบิ าลขอ้ มลู ภาครฐั ” ในระดบั หน่วยงาน โดยตอ้ งประกอบดว้ ยเน้ือหาอยา่ งน้อย ในเร่อื งดงั ตอ่ ไปน้ี (1) การกาหนดสทิ ธิ หน้าท่ี และความรบั ผดิ ชอบของผซู้ ง่ึ มหี น้าทเ่ี กย่ี วขอ้ งกบั การบรหิ ารจดั การขอ้ มลู ของหน่วยงาน (2) การวางแผนการดาเนินงาน การปฏบิ ตั ติ ามแผนการดาเนินงาน การตรวจสอบและการรายงานผลการดาเนินงาน และการ ปรบั ปรุงแผนการดาเนินงานอยา่ งตอ่ เน่ือง เพอ่ื ใหร้ ะบบบรหิ าร และกระบวนการจดั การขอ้ มลู มปี ระสทิ ธภิ าพ สามารถเช่อื มโยง แลกเปลย่ี น และบรู ณาการขอ้ มลู ระหวา่ งกนั ทงั้ ภายในและภายนอกหน่วยงาน และคุม้ ครองขอ้ มลู ใหม้ ปี ระสทิ ธภิ าพ (3) การกาหนดมาตรการควบคมุ และพฒั นาคุณภาพขอ้ มลู เพอ่ื ใหข้ อ้ มลู มคี วามถูกตอ้ ง ครบถว้ น เป็นปัจจบุ นั มนั่ คงปลอดภยั และ ไม่ถกู ละเมิดความเป็นส่วนบคุ คล รวมทงั้ สามารถเชอ่ื มโยง แลกเปลย่ี น บรู ณาการ และใชป้ ระโยชน์ไดอ้ ยา่ งมปี ระสทิ ธภิ าพ – 33 –

ธรรมาภิบาลข้อมลู ภาครฐั (2) ใหจ้ ดั ทา “ธรรมาภบิ าลขอ้ มลู ภาครฐั ” ในระดบั หน่วยงาน โดยตอ้ งประกอบดว้ ยเน้ือหาอยา่ งน้อย ในเรอ่ื งดงั ต่อไปน้ี (4) การวดั ผลการบรหิ ารจดั การขอ้ มลู โดยอยา่ งน้อยประกอบดว้ ย การประเมนิ ความพรอ้ มของธรรมาภบิ าลขอ้ มลู ภาครฐั ในระดบั หน่วยงาน การประเมนิ คณุ ภาพขอ้ มลู และการประเมนิ ความมนั่ คงปลอดภยั ของขอ้ มลู (5) การจาแนกหมวดหมขู่ องขอ้ มลู เพอ่ื กาหนดนโยบายขอ้ มลู หรอื กฎเกณฑเ์ กย่ี วกบั ผมู้ สี ทิ ธเิ ขา้ ถงึ และใชป้ ระโยชน์จากขอ้ มลู ตา่ ง ๆ ภายในหน่วยงาน สาหรบั ใหผ้ ซู้ ง่ึ มหี น้าทเ่ี กย่ี วขอ้ งปฏบิ ตั ิ ตามนโยบายหรอื กฎเกณฑไ์ ดอ้ ยา่ งถกู ตอ้ ง และสอดคลอ้ งตามกฎหมายท่ี เกย่ี วขอ้ ง อนั จะนาไปสกู่ ารบรหิ ารจดั การขอ้ มลู ภาครฐั อยา่ งเป็นระบบ (6) การจดั ทาคาอธบิ ายชดุ ขอ้ มลู ดจิ ทิ ลั ของภาครฐั และบญั ชขี อ้ มลู ใหม้ คี วามถกู ตอ้ ง ครบถว้ น และเป็นปัจจุบนั – 34 –

เตรียมความพรอ้ ม 1 มิถนุ ายน 2565 สารวจ/จดั ทารายการข้อมลู ส่วนบคุ คลท่ีจาเป็ นต้องการใช้ เหตผุ ลในการใช้ รวมถึงวิธีการท่ีสามารถใช้ได้ จดั อบรม/สร้างความตระหนักร้/ู ความเข้าใจ เรื่องความปลอดภยั ของข้อมลู ส่วนบคุ คล จดั เตรียมการแจ้งเตือนบคุ คลที่เคยถกู เกบ็ ข้อมลู มาแล้ว และเตรียมวิธีที่ เหมาะสมในการขอความยินยอมในการเกบ็ ข้อมลู ในอนาคต ซ่ึงอาจเป็ นหน้าขอ ความยินยอมบนเวบ็ ไซต์ หรือเอกสารให้ผใู้ ช้บริการลงนามยินยอม ความเข้าใจในกฎหมาย/ความตระหนักร/ู้ ความสาคญั ของการรกั ษาความปลอดภยั ของข้อมลู ในองคก์ ร – 35 –

เตรียมความพรอ้ มรบั PDPA 1 มิถนุ ายน 2565 (2) แต่งตงั้ เจ้าหน้าท่ีค้มุ ครองข้อมลู (DPO) ศึกษาผลของการละเลย PDPA ว่าจะสร้างผลกระทบกบั องคก์ รอย่างไรได้บา้ ง เช่น ความเสี่ยงทางกฎหมาย จนถึงความเสี่ยงท่ีจะเสียโอกาสทางธรุ กิจในอนาคต จดั ทาแผนที่ข้อมลู (Data mapping) วิเคราะหว์ ่าข้อมลู ต่างๆ ถกู จดั เกบ็ ไว้อย่างไร หรือถกู นาไปใช้อะไรบา้ ง จดั ทานโยบายความเป็นส่วนตวั และข้อมลู ส่วนบคุ คล (Privacy policy) – 36 –

เตรียมความพรอ้ มรบั PDPA 1 มิถนุ ายน 2565 (3) จดั เตรียมเอกสารทางกฎหมาย เช่น เอกสารขอคายินยอม เอกสารแจ้งสิทธิของเจ้าของข้อมลู จดั ทาการประเมินผลกระทบต่อข้อมลู ส่วนบคุ คล (DPIA) เพ่ือค้นหา และลดความเส่ียงในดแู ลความปลอดภยั ของข้อมลู จดั ทาระบบแจ้งเตือนข้อมลู รวั่ ไหล (Breach notification) จดั หา/ประยกุ ตใ์ ช้เทคโนโลยีเพ่ือเสริมประสิทธิภาพในการค้มุ ครองข้อมลู – 37 –

เตรียมความพร้อม Knowledge Communication Implementation Regulation – 38 – Policy

Data Management • เกบ็ รวบรวม-ใช้-เปิ ดเผย • Collect (Store) – Process - Use (Disclose/Transfer) • How to manage? what, why, how, for what, how long ??? • Knowledge/Awareness – 39 –

ความร/ู้ ความตระหนักรู้ • หน่วยงาน/สานัก/กอง/แผนก/ฝ่ าย ??? • ผบู้ ริหาร/เจ้าหน้าที่/บคุ ลากร/พนักงาน/ลูกจ้าง ??? • ลกู ค้า/ประชาชน/ผบู้ ริโภค ?????? • ผปู้ ระกอบการ – 40 –

Knowledge Dissemination/Awareness Building • Learning/Training • Organization Communications/Public Relations • Love/Treat/ “TRUST” • ขอความยินยอม ดแู ลให้ดี รกั ษาให้ปลอดภยั • ไม่เอาไปใช้ประโยชน์ในทางไม่ชอบ – 41 –

– 42 –

Data Management Mindset • Love/Treat  “TRUST” • ขอความยนิ ยอม • ดแู ลใหด้ /ี รกั ษาใหป้ ลอดภยั • ไมเ่ อาไปใชใ้ นทางไมช่ อบ – 43 –

44 – 44 –

45 – 45 –

46 – 46 –

47 – 47 –

– 48 –

facebook.com/privacythailand – 49 –

50 facebook.com/privacythailand – 50 –