คู่มือ PDPA สำหรับประชาชน

คู่มือ PDPA สำหรับประชำชน ฉบับ 23 มิถุนำยน 2565 โดย สำนกั งำนคณะกรรมกำรคุ้มครองขอ้ มลู สว่ นบคุ คล เฟสบ๊คุ : https://www.facebook.com/pdpc.th โทรศพั ท:์ 1111

คมู่ อื PDPA สำหรับประชาชน ฉบบั 23 มิถุนายน 2565 สำนักงานคณะกรรมการคมุ้ ครองขอ้ มูลสว่ นบคุ คล Call Center : 1111 หรอื 02-142-1033 หรือ 02-141-6993 Facebook: https://www.facebook.com/pdpc.th

สารบัญ บทท่ี 1 ทำความเข้าใจเบื้องตน้ เก่ียวกับกฎหมายคมุ้ ครองข้อมลู ส่วนบุคคล.................................................................. 1 บทที่ 2 10 เรื่องที่ประชาชนตอ้ งรเู้ กยี่ วกับ PDPA........................................................................................................ 3 บทที่ 3 4 เรอ่ื งไมจ่ รงิ เกย่ี วกับ PDPA......................................................................................................................... 13

1 บทท่ี 1 ทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายที่มีวัตถุประสงค์เพื่อการคุ้มครองสิทธิเกี่ยวกับข้อมูล ส่วนบุคคลของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลโดยกำหนดหน้าที่และความรับผิดชอบให้องค์กร ปฏิบัติตามกฎหมาย บทบัญญัติใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีลักษณะพิเศษแตกต่างจากกฎหมาย ฉบบั อื่น กล่าวคือ ไมไ่ ดม้ ุง่ เน้นเพียงสภาพบังคับให้กระทำหรือไม่กระทำเท่านั้น แต่บทบัญญัติสง่ เสริมการสร้าง ความตระหนักรู้ และการทบทวนกระบวนการทำงาน เพื่อให้การกระทำใดก็ตามที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นไปอย่างเหมาะสม โดยตระหนักถึงมาตรการด้านความมน่ั คงปลอดภัยของข้อมูลส่วนบุคคล ความเปน็ ธรรม ในการใช้ข้อมูล และความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล สอดคล้องกับวัตถุประสงค์ของกฎหมายในการ ค้มุ ครองสทิ ธิความเป็นส่วนตวั ภายใต้หลกั การของรัฐธรรมนูญ “กฎหมายไม่ได้มุ่งสรา้ งภาระในการเก็บและใชข้ อ้ มลู แตต่ ้องการใหม้ กี ระบวนการเกบ็ รวบรวม ใช้ และ เปดิ เผยข้อมลู ส่วนบคุ คลอยา่ งเหมาะสม ปลอดภยั โดยคำนงึ ถึงสทิ ธิความเปน็ สว่ นตัวของบคุ คลเพ่ือให้ ได้รบั ผลกระทบน้อยทสี่ ุด” ทั้งนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเพื่อประโยชน์ส่วนตัว หรือกิจกรรมใน ครอบครัว ได้รับการยกเว้น ทำให้ไม่ต้องปฏิบัติตาม กฎหมายนี้ กฎหมายฉบับนี้ได้บัญญัติรับรองและยืนยันสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลของประชาชน เอาไว้ โดยคุ้มครองประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลเท่านั้น แต่ยังรวมถึงการกำหนดให้องค์กรต่าง ๆ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการประมวลผล กล่าวคือ ต้องสามารถอ้างได้ว่ามีสิทธิบางประการตามที่กฎหมายกำหนดในการนำขอ้ มูลส่วนบุคคลไปใช้ (ตามมาตรา 24 และมาตรา 26 แลว้ แตก่ รณ)ี การใช้ขอ้ มลู ใหน้ ้อยทีส่ ุด สอดคล้องกับวัตถุประสงคท์ ่ชี อบด้วยกฎหมายและเพียง เท่าที่จำเป็น อีกทั้งประการสำคัญคือ “ความโปร่งใส” ในการประมวลผลข้อมูลส่วนบุคคลที่ต้องคำนึงถึง “ความเป็นธรรม” ต่อเจา้ ของขอ้ มูลสว่ นบคุ คลด้วย

2 ภายใต้ พ.ร.บ. คุม้ ครองขอ้ มูลส่วนบคุ คล ไดก้ ำหนดใหม้ ผี ูเ้ กี่ยวข้อง 3 บทบาท ไดแ้ ก่ • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดาผู้มีสิทธิตามกฎหมาย ซึ่งข้อมูลน้ันบ่งช้ี ไปถงึ บคุ คลดังกลา่ วไม่วา่ ทางตรงหรอื ทางอ้อม • ผู้ควบคุมข้อมูลส่วนบคุ คล (Data Controller) คือ บุคคลหรอื นติ ิบุคคล ซง่ึ มีอำนาจตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปดิ เผยข้อมูลส่วนบคุ คล • ผู้ประมวผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสัง่ หรอื ในนามของผู้ควบคุมข้อมูลส่วนบคุ คล ซง่ึ ไมใ่ ช่ผู้ควบคมุ ขอ้ มลู ส่วนบุคคล ผ้คู วบคมุ ข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล หรือผู้ประกอบธุรกิจฟรีแลนซ์ ที่มี การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าหรือพนักงาน ตัวอย่าง ร้านกาแฟเป็นห้างหุ้นส่วน นิติบุคคลมีการเก็บรวบรวมข้อมูลลูกค้าเพ่ือ ใชท้ ำระบบสมาชิก หน้าที่ส่วนใหญ่ตามกฎหมายนี้กำหนด ใหเ้ ปน็ หน้าที่ของผคู้ วบคุมขอ้ มลู สว่ นบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็น นิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์ที่รับจ้าง หรือให้บริการแก่ผู้ควบคุมข้อมูลส่วนบุคคล ทำกิจกรรมที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมลู ส่วนบุคคล ตัวอย่าง ธุรกิจร้านค้าอาจจ้างบริษัทอื่น ให้จัดการข้อมูลสั่งซื้อสินค้าหรือดูแลเฟซบุ๊กเพจ ของร้าน ซึ่งต้องมีการเก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลของลูกค้า

3 บทท่ี 2 10 เร่ืองท่ีประชาชนต้องรู้เก่ียวกับ PDPA 1. ข้อมูลส่วนบุคคล สามารถแบ่งได้ 2 ประเภท ไดแ้ ก่ - ขอ้ มลู ส่วนบคุ คลท่ัวไป คอื ข้อมูลเก่ียวกับบคุ คล ซง่ึ ทำให้สามารถระบุตวั บคุ คล (บุคคลธรรมดา) น้ันได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของ ผู้ถึงแกก่ รรมโดยเฉพาะ (มาตรา 6) เช่น ชอื่ นามสกุล ทอี่ ยู่ หมายเลขโทรศัพท์ หมายเลข ประจำตวั ประชาชน อีเมล บัญชีธนาคาร ฯลฯ - ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลเกี่ยวกับ บุคคลท่ีโดยสภาพมีความละเอียดอ่อนและสามารถ ก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของ ขอ้ มลู สว่ นบุคคลได้ (มาตรา 26) ไดแ้ ก่ เชอื้ ชาติ เผา่ พันธุ์ ความคิดเหน็ ทางการเมอื ง ความเชอ่ื ในลัทธิ ศาสนาหรอื ปรชั ญา พฤติกรรมทางเพศ ประวตั ิอาชญากรรม ขอ้ มลู สขุ ภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธกุ รรม ข้อมลู ชวี ภาพ 2. ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการให้สอดคล้องกับเหตุหรือฐานตามกฎหมาย ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องอยู่ภายใต้เงื่อนไขข้อจำกัดต่าง ๆ ตามกฎหมาย กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างจำกัด ตามวัตถุประสงค์ที่แจ้งเราไว้ก่อนหรือขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัตถุประสงค์) (มาตรา 21) “วัตถุประสงค์” ของการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล มีความสัมพันธ์กับหลักพื้นฐานของ กฎหมายคมุ้ ครองขอ้ มลู ส่วนบคุ คล คอื หลักการจำกดั วตั ถปุ ระสงค์ และ สทิ ธิในการรับรู้ของเจ้าของขอ้ มลู ส่วนบุคคล “หลกั การจำกดั วตั ถปุ ระสงค์ (Purpose limitation)” คือ การเกบ็ รวบรวมข้อมลู ส่วนบคุ คลจะทำไดเ้ ฉพาะเพื่อ วตั ถปุ ระสงค์ทีเ่ จาะจง ชัดแจง้ และชอบด้วยกฎหมาย และตอ้ งไม่ประมวลผลข้อมูลในลักษณะทไี่ มส่ อดคลอ้ งกับ วัตถุประสงคด์ ังกลา่ ว

4 3. ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็นภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมาย (มาตรา 22) (ใช้ข้อมูลของเราให้น้อยที่สุด) ซ่ึงหลักการน้ีเชื่อมโยงกับหลักการจำกัด วัตถุประสงค์ ดังนั้น การเก็บรวบรวมต้องเป็นไปอย่างจำกัดเท่าที่จำเป็นเฉพาะภายใต้วตั ถุประสงคท์ ี่แจ้งให้เจ้าของ ขอ้ มลู สว่ นบุคคลทราบ “หลกั การใช้ขอ้ มูลของให้น้อยท่ีสดุ เทา่ ทจ่ี ำเป็น (Data minimization)” คอื การเก็บรวมรวมขอ้ มูลสว่ นบคุ คล ให้เกบ็ รวบรวมไดเ้ ท่าที่จำเปน็ ภายใตว้ ตั ถปุ ระสงค์ โดยตอ้ งพิจารณาองค์ประกอบ 3 ประการ คือ เพียงพอ เกยี่ วขอ้ ง และ จำกัด เพอ่ื ปอ้ งกันการเกบ็ รวมรวมข้อมลู มากเกนิ ไป 4. ความยินยอม ความยินยอมเป็นฐานการประมวลผลฐานหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐาน การประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับ เจ้าของข้อมูลส่วนบุคคล ซึ่งในหลาย ๆ กรณีองค์กรอาจใช้ข้อมูลของเราได้จากฐานสัญญา (มีสัญญาต่อกัน) หรือ มปี ระโยชน์โดยชอบดว้ ยกฎหมายอนื่ ๆ ตามทก่ี ฎหมายกำหนด ในการขอความยินความต้องพิจารณาตามมาตรา 19 พจิ ารณาตามนี้ 1. ความยนิ ยอมต้องขอก่อนจะมกี ารประมวลผล 5. ความยนิ ยอมต้องชดั เจนไม่คลมุ เครอื 2. ความยินยอมตอ้ งไมเ่ ป็นเงือ่ นไขในการใหบ้ รกิ าร ต้องมอี สิ ระ 6. ออกแบบทางเลอื กใหส้ ามารถปฏเิ สธทจี่ ะให้ ในการใหค้ วามยินยอม ความยินยอมได้ 3. ความยนิ ยอมตอ้ งอยแู่ ยกสว่ นกบั เง่อื นไขในการให้บรกิ าร 7. เนื้อหาความยินยอมเขา้ ใจงา่ ยและเขา้ ถงึ ง่าย 4. วัตถุประสงค์ของการประมวลผลข้อมูลตอ้ งเฉพาะเจาะจง

5 5. ในการขอความยินยอมผู้ควบคุมข้อมูล สว่ นบุคคล จะตอ้ งคำนงึ อยา่ งท่ีสุดในความเปน็ อสิ ระของเจ้าของข้อมลู ส่วนบุคคล ในการขอความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลนั้น ต้องคำนึงถึงความเป็นอิสระของเจ้าของ ข้อมูลส่วนบุคคล โดยคำว่าอิสระนั้นต้องอยู่บนพื้นฐาน ของการมีทางเลือกอย่างแท้จริง (Real choice) ดังน้ัน ความยินยอมที่เป็นอิสระเป็นกรณีที่เจ้าของข้อมูลส่วน บุคคลเลือกว่าจะยินยอมหรือไม่ แม้เจ้าของข้อมูล ส่วนบุคคลจะไม่ให้ความยินยอมย่อมสามารถเข้ า รั บ บริการได้ “ผลของความยินยอมที่ไม่อิสระย่อมส่งผลให้ ความยินยอมนั้นไม่มีผลผูกพันกับเจ้าของข้อมูล ส่วนบุคคล ทำให้ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถอ้างความยินยอมนั้นเป็นฐานในการ ประมวลผลข้อมูลส่วนบุคคลได้”

6 6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ... หมายเหตุ สทิ ธขิ อ้ 1 เปน็ สิทธทิ เ่ี จา้ ของข้อมลู ส่วนบคุ คลทุกคนได้รับโดยไมต่ ้องมีการรอ้ งขอ วิธกี ารใชส้ ทิ ธิขอ้ 2-8 เป็นไปตามกฎหมายกำหนด 1) สิทธิไดร้ ับการแจง้ ให้ทราบรายละเอียด (Privacy Notice) • เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคน ได้รบั โดยไม่ตอ้ งมีการร้องขอ • ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องแจ้ง วัตถุประสงค์และรายละเอียดของการ ประมวลผลข้อมูลส่วนบุคคลให้เจ้าของ ข้อมูลส่วนบุคคลทราบ ไม่ว่าจะด้วยวิธีการ ใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่า ข้อมลู ของตนจะถูกนำไปใชท้ ำอะไร • การประมวลผล หมายถงึ การเกบ็ รวบรวม ใชห้ รือเปิดเผยขอ้ มลู สว่ นบคุ คล

7 2) สิทธิในการถอนความยนิ ยอม ในกรณีที่ได้ใหค้ วามยินยอมไว้ (Right to Withdraw Consent) • ในกรณที ีไ่ ด้ให้ความยินยอมไว้ เจา้ ของ ข้อมูลส่วนบุคคลมีสทิ ธทิ จ่ี ะเพิกถอนความ ยินยอมเม่ือใดกไ็ ด้ (มาตรา19) • การเพกิ ถอนความยินยอมจะอยูใ่ นรูปแบบ ใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็น เอกสารที่เป็นลายลักษณ์อักษร โดยการ เพิกถอนจะต้อง มีความชัดเจน เข้าใจง่าย และไม่ยากไปกว่าการขอความยนิ ยอม • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ การเพิกถอนจากเจ้าของข้อมูลสว่ นบุคคลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอน ความยินยอมและ “หยุดการประมวลผล” 3) สิทธิขอเข้าถึงและขอรบั สำเนาขอ้ มูล ส่วนบคุ คล (Right to Access) • เจา้ ของข้อมลู มสี ิทธิท่ีจะขอเขา้ ถงึ ขอ้ มลู ท่เี ก่ยี วกับตนได้ • ข้อมลู ที่ขอได้ ได้แก่ 1. ขอเขา้ ถึงและขอรบั สำเนา ข้อมลู ท่ีเกย่ี วกับตน 2. ขอให้เปดิ เผยถึงการได้มาซ่ึง ขอ้ มลู ท่ีตนไม่ได้ให้ความยินยอม 4) สิทธิขอใหโ้ อนข้อมูลส่วนบคุ คล (Right to data portability) เจ้าของข้อมูลส่วนบุคคลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลอื่นในกรณีท่ี (1) ขอ้ มลู ส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทว่ั ไปไดด้ ว้ ยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดย อัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ (2) เป็นข้อมูลส่วนบุคคลที่ประมวลผล โดยฐานความยินยอมหรือฐานสัญญาเท่านั้น และ (3) การใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น (เงือ่ นไขการใชส้ ทิ ธกิ ำหนดไว้ในมาตรา 31)

8 5) สิทธคิ ดั ค้านการเกบ็ รวบรวม ใช้ หรอื เปดิ เผยขอ้ มูลสว่ นบคุ คล (Right to Objection) (มาตรา 32) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการ เกบ็ รวบรวม ใช้ หรือเปดิ เผยข้อมูลสว่ นบุคคล ที่เกยี่ วกับตนไดใ้ น 3 กรณี กลา่ วคอื (1) เป็นการประมวลผลโดยใช้ฐาน ประโยชน์สาธารณะ (หน่วยงานของรัฐ) หรือ ฐานประโยชน์โดยชอบด้วยกฎหมาย (2) เพื่อวัตถุประสงค์เกี่ยวกับการตลาด แบบตรง หรอื (3) เพื่อวัตถุประสงค์เกี่ยวกับการ ศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ แต่องค์กรท่ีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นอาจปฏิเสธการใช้สิทธิดังกล่าวได้ หากแสดงใหเ้ หน็ ถงึ เหตุอนั ชอบด้วยกฎหมายท่สี ำคัญยง่ิ กวา่ เช่น ประโยชนส์ าธารณะท่ีสำคญั ของหน่วยงานรัฐ หรือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือ เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น แต่กรณี ของ “การตลาดแบบตรง” องค์กรต้องยุติการใช้ข้อมูลเพ่ือวตั ถปุ ระสงคด์ ้านการตลาดแบบตรงทนั ที

9 6) สทิ ธิขอให้ลบหรือทาํ ลาย หรือทำใหข้ ้อมูลสว่ นบคุ คลเปน็ ข้อมูลทไ่ี ม่สามารถระบุตัวบคุ คลได้ (Right to Erasure) • เจ้าของข้อมลู ส่วนบุคคลมีสิทธิย่ืนคำร้อง ขอลบหรือทำลาย หรือทำให้ข้อมูล ส่ว นบุคคล ไม่สามารถระบุถึงตนได้ ตามเงื่อนไขทก่ี ฎหมายกำหนด • ในกรณีที่มีการส่งต่อหรือเปิดเผย ข้อมูลส่วนบุคคลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ แจง้ ให้ลบข้อมลู ส่วนบคุ คลดังกล่าวดว้ ย • หากผู้ควบคุมข้อมูลส่วนบุคคล ไม่ดำเนินการตามคำร้องขอ เจ้าของ ข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญเพื่อสั่งให้ ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการได้ *** ในกรณีของการประมวลผลโดยใช้ ฐานประโยชน์สาธารณะโดยหน่วยงาน ของรัฐ ประชาชนไม่สามารถขอใช้สิทธิ ลบขอ้ มลู ได้ 7) สทิ ธิขอให้ระงับการใช้ข้อมูลส่วนบคุ คล (มาตรา 34) สิทธดิ งั กล่าว หมายถึง การท่ีข้อมูลส่วนบุคคลจะถกู เกบ็ ไว้โดยไมม่ กี ารประมวลผลเพม่ิ เตมิ เนอื่ งจากเหตุผล ดังน้ี (1) อยู่ในระหวา่ งการตรวจสอบความถกู ต้องของขอ้ มลู ตามมาตรา 36 (2) การประมวลผลไม่ชอบด้วยกฎหมายแตเ่ จ้าของข้อมูลสว่ นบุคคลขอให้ระงับการใชแ้ ทนการลบ (3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นตามวัตถุประสงค์ เจ้าของข้อมูลส่วนบุคคลขอให้เก็บรกั ษาไว้เพื่อ ใชใ้ นการกอ่ ตั้งสิทธิเรียกรอ้ งตามกฎหมาย ฯลฯ (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ตามมาตรา 32 (1) (กรณีใช้ข้อมูลเพื่อประโยชน์ สาธารณะหรือการใช้ข้อมลู ด้วยฐานประโยชน์โดยชอบด้วยกฎหมาย) หรือตรวจสอบตามมาตรา 32 (3) (การใช้ข้อมูลเพื่อวัตถุประสงค์ก้านการวิจัย) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 32 วรรคสาม

10 8) สิทธขิ อใหแ้ ก้ไขข้อมูลส่วนบคุ คล (มาตรา 35) 7. PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไ ม ่ ว ่ า จ ะ ม ี ส ั ญ ญ า ใ ด ก ็ ต า ม พ ิ จ า ร ณ า ต า ม ม า ต ร า 5 โ ด ย จ ะ แ บ ่ ง เ ป ็ น ส อ ง ก ร ณ ี คื อ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในราชอาณาจักร และ ผคู้ วบคมุ ข้อมลู สว่ นบคุ คลหรอื ผู้ประมวลผลข้อมูลส่วนบคุ คลอยนู่ อกราชอาณาจักร

11 8. เหตุการณ์ละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบคุ คลมีหน้าที่แจ้งเหตุการ ละเมดิ ขอ้ มูลส่วนบุคคลแกส่ ำนักงานโดยไม่ชักช้า ภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะ สามารถกระทำได้ เวน้ แตก่ ารละเมิดดังกล่าวไม่มี ความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพ ของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคล ทราบพร้อมกบั แนวทางการเยียวยาโดยไม่ชักชา้ ด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้ เ ป ็ น ไ ป ต า ม ห ล ั ก เ ก ณ ฑ ์ แ ล ะ ว ิ ธ ี ก า ร ที่ คณะกรรมการประกาศกำหนด 9. การจัดทำบันทึกรายการ ผ้คู วบคมุ ข้อมูลส่วนบุคคลบันทึกรายการ เพ่อื ให้เจ้าของข้อมูลสว่ นบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบนั ทึกเป็นหนังสอื หรือระบบอิเล็กทรอนกิ สก์ ็ได้ อย่างน้อยต้องมีรายละเอยี ดดงั น้ี (1) ข้อมลู ส่วนบคุ คลทมี่ ีการเกบ็ รวบรวม (2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ส่วนบุคคลแตล่ ะประเภท (3) ขอ้ มลู เกย่ี วกบั ผคู้ วบคมุ ข้อมลู ส่วนบคุ คล (4) ระยะเวลาการเกบ็ รักษาข้อมูลส่วนบุคคล ( 5 ) ส ิ ท ธ ิ แ ล ะ ว ิ ธ ี ก า ร เ ข ้ า ถ ึ ง ข ้ อ มู ล สว่ นบุคคล รวมทั้งเงอื่ นไขเกยี่ วกับบุคคลที่มี สิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไข ในการเข้าถึงข้อมลู ส่วนบคุ คลนนั้ (6) การใช้หรือเปดิ เผยตามมาตรา 27 วรรคสาม

12 ทั้งนี้ ผคู้ วบคุมข้อมูลที่เปน็ กิจการขนาดเลก็ (7) การปฏิเสธคำขอหรือการคัดค้านตาม ตามหลักเกณฑ์ทีค่ ณะกรรมการประกาศ มาตรา 30 วรรคสาม มาตรา 31 วรรคสาม กำหนดไดร้ บั ยกเว้นไมต่ ้องบันทกึ รายการ มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนง่ึ 10. สิทธิร้องเรียน (8) คำอธิบายเกี่ยวกับมาตรการรักษาความ มน่ั คงปลอดภัยตามมาตรา 37 (1) เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศฯ ที่ออกตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กระบวนการร้องเรยี นในการยืน่ การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลา ในการพิจารณาคำร้องเรียน ให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนดโดยคำนึงถึง การกำหนดให้ไม่รับเรือ่ งร้องเรยี นหรือยุติเร่ืองในกรณที ่ีมผี ู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แลว้ ตามกฎหมายอ่ืนด้วย

13 บทที่ 3 4 เรื่องไม่จริงเกี่ยวกับ PDPA 1. การถ่ายรปู -ถา่ ยคลิป ติดภาพคนอืน่ โดยเจา้ ตัวไมย่ ินยอมจะผดิ PDPA ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าว ไมไ่ ด้กอ่ ให้เกดิ ความเสยี หายกับผู้ถกู ถ่าย สามารถทำได้ หากเปน็ การใช้เพ่อื วัตถปุ ระสงค์ส่วนตัว 2. ถา้ นำคลปิ หรอื รูปถา่ ยที่ติดคนอื่นไปโพสต์ในโซเชยี ลมเี ดียโดยบคุ คลอน่ื ไม่ยนิ ยอมจะผิด PDPA ตอบ สามารถโพสท์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อใหเ้ กิดความเสียหาย ต่อเจา้ ของขอ้ มูลสว่ นบุคคล 3. ตดิ กล้องวงจรปดิ แล้วไม่มปี ้ายแจ้งเตอื นผิด PDPA ตอบ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษา ความปลอดภยั กับตวั เจ้าของบ้าน 4. เจ้าของข้อมูลส่วนบคุ คลตอ้ งให้ความ ยินยอมทกุ คร้ังก่อนนำข้อมลู ไปใช้ ตอบ ไม่จำเป็นต้องขอความยินยอม หากการใช้ ขอ้ มลู ดงั กลา่ ว (1) เปน็ การทำตามสญั ญา (2) เปน็ การใช้ทม่ี ีกฎหมายให้อำนาจ (3) เป็นการใช้เพื่อรักษาชวี ติ และ/หรือ ร่างกาย ของบุคคล (4) เปน็ การใชเ้ พ่ือการค้นควา้ วิจยั หรอื สถิติ (5) เป็นการใชเ้ พื่อประโยชน์สาธารณะ (6) เปน็ การใชเ้ พ่ือปกป้องผลประโยชน์ หรือ สทิ ธิของตนเอง “ท้งั น้ี ขอ้ มลู ข้างตน้ อาจเปล่ยี นแปลงตามข้อเท็จจรงิ ท่ีเกดิ ข้นึ เปน็ กรณี ๆ ไป”

14 คมู่ ือ PDPA สำหรับประชาชน นายเวทางค์ พว่ งทรพั ย์ คณะผู้จัดทำ นายปฐมพงษ์ ขาวจันทร์ นายณรงคเ์ ดช วัชระภาสร รองปลดั กระทรวงดิจิทลั เพอ่ื เศรษฐกิจและสังคม ทำหน้าท่ี นางสาวพชั ราภรณ์ ลีธ้ นะรุง่ เลขาธิการสำนกั งานคณะกรรมการคุ้มครองข้อมลู ส่วนบคุ คล นางอจั ฉรา จันทร์ชัย สำนกั งานปลัดกระทรวงดิจทิ ัลเพ่อื เศรษฐกจิ และสังคม นายขวญั ชัย คงสขุ ทำหน้าทีส่ ำนกั งานคณะกรรมการคุ้มครองข้อมลู ส่วนบุคคล นางสุนทรีย์ ส่งเสริม สำนกั งานปลัดกระทรวงดจิ ิทัลเพื่อเศรษฐกิจและสงั คม ผศ.ศภุ วัชร์ มาลานนท์ ทำหนา้ ทสี่ ำนกั งานคณะกรรมการคุ้มครองขอ้ มูลส่วนบุคคล นางสาวปิยะลกั ษณ์ ใสเกื้อ สำนกั งานปลดั กระทรวงดจิ ิทัลเพ่ือเศรษฐกิจและสงั คม นายนพรัตน์ ขนนุ อ่อน ทำหน้าท่สี ำนกั งานคณะกรรมการค้มุ ครองข้อมลู ส่วนบคุ คล นางสาวเนติธร โล้วโสภณกุล สำนักงานปลัดกระทรวงดจิ ิทัลเพ่อื เศรษฐกจิ และสงั คม นายธีรธ์ วชั เกรยี งไกรเพ็ชร ทำหน้าทสี่ ำนกั งานคณะกรรมการคมุ้ ครองข้อมลู สว่ นบุคคล นางสาวปัณฑารยี ์ อวยจนิ ดา สำนกั งานปลัดกระทรวงดจิ ทิ ัลเพือ่ เศรษฐกิจและสังคม ทำหนา้ ที่สำนักงานคณะกรรมการคมุ้ ครองขอ้ มลู ส่วนบุคคล สำนกั งานปลดั กระทรวงดจิ ิทัลเพอ่ื เศรษฐกจิ และสงั คม ทำหน้าทส่ี ำนกั งานคณะกรรมการคุ้มครองขอ้ มูลส่วนบคุ คล บัณฑิตวทิ ยาลยั การจดั การและนวัตกรรม มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี บัณฑติ วิทยาลัยการจัดการและนวตั กรรม มหาวทิ ยาลัยเทคโนโลยพี ระจอมเกลา้ ธนบรุ ี บณั ฑิตวทิ ยาลัยการจดั การและนวตั กรรม มหาวิทยาลัยเทคโนโลยพี ระจอมเกล้าธนบรุ ี บัณฑิตวทิ ยาลัยการจดั การและนวตั กรรม มหาวิทยาลยั เทคโนโลยีพระจอมเกล้าธนบุรี บณั ฑติ วทิ ยาลัยการจัดการและนวัตกรรม มหาวิทยาลัยเทคโนโลยีพระจอมเกลา้ ธนบุรี บัณฑิตวทิ ยาลัยการจัดการและนวัตกรรม มหาวทิ ยาลยั เทคโนโลยีพระจอมเกล้าธนบรุ ี

สำนกั งำนปลดั กระทรวงดิจทิ ลั เพ่อื เศรษฐกิจและสงั คม ทำหนำ้ ท่ี สำนกั งำนคณะกรรมกำรคุ้มครองขอ้ มูลส่วนบุคคล 120 หมู่ 3 ศนู ย์รำชกำรเฉลมิ พระเกยี รติฯ อำคำรรฐั ประศำสนภักดี (อำคำรบี) ถนนแจง้ วฒั นะ แขวงทุ่งสองห้อง เขตหลกั ส่ี กรุงเทพฯ 10210 โทรศพั ท์: 1111 หรอื 02-142-1033 หรอื 02-141-6993 เฟสบุค๊ : https://www.facebook.com/pdpc.th เว็บไซต์: http://www.pdpc.or.th