TDPG3.0-C5-20201208.pdf

Full Transcript

Thailand Data Protection Guidelines 3.0
แนวปฏิบัตเิ กี่ยวกับการคุมครองขอมูลสวนบุคคล

Final Version 3.0

ธันวาคม 2563

สนับสนุนโดย
ขอมูลทางบรรณานุกรมของสำนักหอสมุดแหงชาติ
National Library of Thailand Cataloging in Publication Data

ปยะบุตร บุญอรามเรือง, พัฒนาพร โกวพัฒนกิจ, พีรพัฒ โชคสุวัฒนสกุล, เสกสิริ นิวัติศัยวงศ,
ปติ เอี่ยมจำรูญลาภ, ชวิน อุนภัทร, ฐิติรัตน ทิพยสมั ฤทธิ์กุล, ภูมศิ ิริ ดำรงวุฒิ,
โมกขพิศุทธิ์ รตารุณ
Thailand Data Protection Guidelines 3.0:
แนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวนบุคคล

ISBN

พิมพครั้งที่ 1 ธันวาคม 2563
จำนวนพิมพ 300 เลม
จำนวนหนา 668 หนา
จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา
คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย
ถนนพญาไท ปทุมวัน กรุงเทพฯ 10330
โทร. 02-218-2017

พิมพที่ โรงพิมพแหงจุฬาลงกรณมหาวิทยาลัย [6112-019D]
โทร. 0 2218 3549-50 โทรสาร 0 2215 3612

2 Thailand Data Protection Guidelines 3.0
จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย
สนับสนุนโดย บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด
บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด
บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด
บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด
บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน)
ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย
ที่ปรึกษา รศ.ธิติพันธุ เชื้อบุญชัย
ผศ.ดร.ปารีณา ศรีวนิชย (คณบดีและ ผอ.ศูนยวิจัยกฎหมายและการพัฒนา)
ผูแตง ผศ.ดร.ปยะบุตร บุญอรามเรือง
รศ.ดร.พัฒนาพร โกวพัฒนกิจ
อ.ดร.พีรพัฒ โชคสุวัฒนสกุล
ผศ.เสกสิริ นิวัติศัยวงศ
อ.ดร.ปติ เอีย่ มจำรูญลาภ
อ.ดร.ชวิน อุนภัทร
อ.ฐิติรัตน ทิพยสมั ฤทธิ์กุล
อ.ดร.ภูมิศิริ ดำรงวุฒิ
โมกขพิศุทธิ์ รตารุณ
ผูจัดการโครงการ รศ.ดร.พัฒนาพร โกวพัฒนกิจ
วันที่เผยแพร ธันวาคม 2563

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 3
ขอปฏิเสธความรับผิด (Disclaimer) ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณ
มหาวิทยาลัย รวมถึงที่ปรึกษาและผูแตงของแนวปฏิบัตินี้ (รวมเรียกวา “ผูแตง”) ไมไดใหการรับรองหรือ
รับประกันใดๆถึงความถูกตองครบถวนของเนื้อหาของงานนี้ และผูแตงขอปฏิเสธอยางชัดแจงวาไมไดให
การรับรองหรือรับประกันใดๆทั้งสิ้นตอเนื้อหาของงานนี้ โดยขอแนะนำที่ปรากฏในงานนี้อาจไมเหมาะสม
ตอสถานการณบางลักษณะ เนื้อหาของงานนี้จึงไมใชการใหคำปรึกษาทางกฎหมายหรือคำปรึกษาทาง
วิชาชีพใดๆทั้งสิ้น หากผูอ านจำเปนตองไดรับคำปรึกษาทีเ่ กี่ยวของ ผูอานจำเปนตองติดตอขอคำปรึกษา
จากผูเชีย่ วชาญในดานนั้นโดยตรง ผูแตงจึงไมมีความรับผิดชอบและไมตองรับผิดใดๆตอความเสียหายที่
อางวาเกิดขึ้นจากการปฏิบัติตามเนื้อหาของงานนี้ และหากมีการอางอิงใดๆถึงงานนี้ไมวาในรูปแบบใด ผู
แตงขอปฏิเสธอยางชัดแจงไมใหการรับรองหรือการรับประกันการอางอิงนั้น การรับรองใดๆที่อาจมีขึ้น
ตองออกเปนหนังสือโดยผูแตงเทานั้น นอกจากนี้ผูอานควรตระหนักไวดวยวาการคุมครองขอมูลสวน
บุคคลเปนเรื่องที่กำลังมีการพัฒนาและปรับปรุงอยางรวดเร็วในปจจุบัน เนื้อหาหลายประการในที่นี้อาจ
ลาสมัยหรือไมเหมาะสมในหลายสถานการณเมื่อเวลาผานไป รายการอางอิงทางเว็บไซตใดๆในงานนี้ก็
อาจมีการเปลี่ยนแปลงหรือสูญหายไปไดเมื่อเวลาที่ทานไดอานงานนี้

ลิ ข สิ ท ธิ ์ ท ั ้ ง หมดของงานนี ้ เ ปน ของผู  แ ต ง และได รั บ ความคุ  มครองตาม
กฎหมายลิขสิทธิ์และกฎหมายอื่นที่ใชบังคับ หามนำงานไปใชอยางอื่น
นอกจากการใชที่ไดรับอนุญาตนี้หรือตามกฎหมายลิขสิทธิ์ หนังสือเลมนี้ไดจัดใหใชไดตามขอตกลงของ
สัญญาอนุญาตสาธารณะของ Creative Commons แบบแสดงที่มา 3.0 ประเทศไทย (CC BY 3.0 TH),
https://creativecommons.org/licenses/by/3.0/th/legalcode

4 Thailand Data Protection Guidelines 3.0
 เมื ่ อ สหภาพยุ โ รปได อ อก GDPR หรื อ General Data Protection Regulation ซึ ่ ง เป น
กฎหมายคุมครองขอมูลสวนบุคคลมาบังคับใชเมื่อเดือนพฤษภาคม 2561 ที่ผานมา โดยมีขอกำหนดให
องคกรตางๆ ที่มีธุรกรรมหรือการดำเนินการบนอินเทอรเน็ตที่มีขอมูลสวนบุคคลของผูบริโภคตองปฏิบัติ
ตามมาตรการตางๆ ที่เขมงวดขึ้นเพื ่อเพิ่ม ความคุมครองข อมูลสว นตั วของบุคคล คณะนิติศาสตร
จุฬาลงกรณมหาวิทยาลัย ในฐานะสถาบันการศึกษาชั้นนำที่มีพันธกิจในการผลิตบัณฑิต วิจัย สรางองค
ความรู รวมทั้งเผยแพร ใหบริการทางวิชาการ และขอเสนอแนะที่เปนประโยชนตอสังคม ตระหนักถึง
ผลกระทบของ GDPR ของสหภาพยุโรปฉบับนี้ตอองคกรธุรกิจและหนวยงานตางๆ ในประเทศไทย จึง
เห็นความสำคัญและความจำเปนที่ควรมีการศึกษาวิจัยเพื่อแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน
บุคคลเพื่อรองรับการมีผลบังคับใชของ GDPR (EU General Data Protection Regulation)
การนี้ ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงรวมกัน
กับองคกรภาครัฐและเอกชน จัดใหมี “โครงการจัดทำคูมือแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน
บุคคล” โดยเริ่มจากการจัดสัมมนาเชิงลึกเมื่อวันจันทรที่ 2 กรกฎาคม 2561 ระดมความคิดเห็น-ประเด็น
ตางๆ และนำมาตอยอด ศึกษา วิจัยและประชุมกลุมยอยของคณะผูวิจัยอีกหลายครั้งจนทำใหได “แนว
ปฏิ บ ั ต ิ เ กี ่ ย วกั บ การคุ  ม ครองข อ มู ล ส ว นบุ ค คล” หรื อ TDPG1.0 (Thailand Data Protection
Guidelines 1.0) ดังที่เราไดเผยแพรและมีผูสนใจนำไปศึกษาเปนจำนวนมาก
คำถามที่มักจะพบบอยในชวงเวลาที่เผยแพร TDPG1.0 คือ ผูประกอบการไทยหากไมไดมี
เปาหมายจะใหบริการในสหภาพยุโรป จะมีความจำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถ
แยกสวนการจัดการขอมูลคนชาติยุโรปออกจากสวนอื่นไดหรือไม ซึ่ง TDPG1.0 ไดชวยตอบคำถาม
ดังกลาวไวแลว ประเด็นที่สำคัญก็คือ การสงผานขอมูลขามพรมแดนซึ่งจะมีนัยสำคัญมากจากนี้ไปเพราะ
ปฏิเสธไมไดวาอินเทอรเน็ตคือสื่อกลางในการสงผานดังกลาว และผูประกอบการทั้งหลายก็ไมอาจปดกั้น
ตัวเองไมสงผานขอมูลทั้งไปและกลับได โดยเฉพาะวาอินเทอรเน็ตเปนเครื่องมือที่ทำใหผูประกอบการ
สามารถเปดตลาดไปยังตลาดทั่วโลกรวมถึงสหภาพยุโรปได ประเด็นจึงไมใชวาเราจะจัดการขอมูลสวน
บุคคลของสหภาพยุโรปอยางไรอีกตอไป หากแตเปนคำถามวาเราจะยกระดับมาตรฐานการคุมครอง
ขอมูลสวนบุคคลใหเปนที่ยอมรับไดอยางไร
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 5
 ต อ มาในป 2562 เราได พ ระราชบั ญ ญั ต ิ คุ ม ครองข อ มู ล ส ว นบุ ค คล พ.ศ.2562 และ
พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร พ.ศ.2562 และเปนที่แนชัดแลววาประเทศไทยจะ
มีมาตรฐานทางธุรกิจใหมทั้งในเรื่องการคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซ
เบอร คำถามที่มักจะพบบอยในปนี้ คือ แนวปฏิบัติที่เกี่ยวของจะดำเนินการอยางไร จะมีมาตรฐานอะไร
อยางไรที่จะเกิดขึ้น เปนคำถามที่ลงไปในทางปฏิบัติมากขึ้น แสดงใหเห็นที่แนวโนมที่ดีและการปรับตัว
ของภาคธุ รกิจ ตั ว อย างที ่น า สนใจในช ว งดัง กลา วก็ คื อ คำถามที่ ว า เราจะแยกแยะ Contract กั บ
Consent อยางไร ซึ่งถือเปนหัวใจในทางปฏิบัติประการหนึ่งในเรื่องนี้
ในสวนที่เกี่ยวกับการสรางมาตรฐานและแนวปฏิบัติของผูประกอบการนั้นปจจุบันยังเปนโจทย
ที่ควรจะตองดำเนินการเองโดยภาคประชาสังคม ไมควรรอแตใหมีการจัดตั้งหนวยงานมาออกมาตรฐาน
และแนวปฏิบัติ ซึ่งอาจตองกินเวลานานหลายป อยางไรก็ดียังมีความกังวลอยูมากในภาคประชาสังคมวา
หากจำเปนตองคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซเบอรก็จะเปนการสราง
ภาระและผูประกอบการขนาดกลางและเล็กอาจไมสามารถดำเนินการได ซึ่งถาหากเราชวยกันกำหนด
มาตรฐานหรือแนวทางที่ควรจะเปนขึ้นมาใหชัดเจนและแนนอนวาหนวยงานขนาดเล็กก็ไมควรจะตอง
ทำงานขนาดใหญเกินตัว ก็จะชวยแกปญหาความไมชัดเจนนี้ไปได จึงนำมาสูการพัฒนาเปน TDPG2.0
(Thailand Data Protection Guidelines 2.0) ที่จะมีเนื้อหาอางอิงกับกฎหมายที่ไดตราขึ้นมาแลว
พรอมทั้งเพิ่มเนื้อหาที่จำเปนตอการประมวลผลขอมูลสวนบุคคลเพิ่มเติมขึ้นตามแผนที่เราไดสัญญาไว
ตั้งแตเวอรชั่นแรก ซึ่งก็ไดรับการตอบรับจากผูสนใจเปนอยางดีในชวงที่ผานมา
อยางไรก็ดีในป 2563 ที่เปนกำหนดการบังคับใชพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.
2562 ไดมีการแพรระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 (COVID-19) โดยยังไมนับวามีปจจัยแทรก
ซอนและความไมเรียบรอยหลายประการเกิดขึ้น นับเปนชวงเวลาที่ยากลำบากของเราทุกคนทั้งในระดับ
ภายในประเทศและระดับโลก รัฐบาลจึงไดตราพระราชกฤษฎีกากำหนดหนวยงานและกิจการที่ผูควบคุม
ขอมูลสวนบุคคลไมอยูภายใตบังคับแหงพระราชบัญญัติคุม ครองขอมูลสวนบุคคล พ.ศ.2562 พ.ศ.2563
เพื่อขยายเวลาการบังคับใชออกไปเปนวันที่ 1 มิถุนายน 2564 เพื่อใหหนวยงานและผูประกอบการ
ทั้งหลายไดมีเวลาเพิ่มขึ้นในเตรียมความพรอมดำเนินการใหเปนไปตามกฎหมาย
ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงมีความตั้งใจที่
จะชวยสรางมาตรฐานในเรื่องดังกลาวใหปรากฎโดยกระบวนการศึกษาคนควาทางวิชาการและการรับฟง
ความเห็ น จากทุ ก ภาคส ว น โดยในครั ้ ง นี้ ม ี เ ป า หมายที ่ จ ะพั ฒ นาเป น TDPG3.0 (Thailand Data
Protection Guidelines 3.0) – Business Functions เพื ่ อ ตอบคำถามเฉพาะของผู  ป ฏิ บ ั ต ิ ใ นราย
ละเอียดของประเภทงานตางๆอันไดแก งานฝายขายและการตลาด, งานดานขอมูล, งานดานทรัพยากร

6 Thailand Data Protection Guidelines 3.0
บุคคล, งานดานเทคโนโลยีสารสนเทศ, งานดานจัดซื้อจัดจาง และประเด็นเฉพาะเกี่ยวกับขอมูลออนไหว
โดยในเวอรชั่นยังไดรับการสนับสนุนใหจัดทำแนวปฏิบัติของกลุมวานิชธนกิจเพิ่มเติมดวย
คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย หวังเปนอยางยิ่งวา “แนวปฏิบัติเกี่ยวกับการ
คุมครองขอมูลสวนบุคคล” ที่เปนผลงานของศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร ชิ้นนี้ จะ
ก อ ให เ กิ ด การตระหนั ก รู  ข องภาครั ฐ และภาคเอกชน รวมทั ้ ง เกิ ด ประโยชน แ ก อ งค ก รต า งๆ และ
ผูประกอบการของไทย ที่จะสามารถนำแนวปฏิบัตินี้ไปใชไดจริงเพื่อใหการดำเนินการคุมครองขอมูลสวน
บุคคลเปนไปตามมาตรฐานซึ่งเปนที่ยอมรับตามความมุงหมายและวัตถุประสงคของโครงการนี้
สุดทายนี้ คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ขอขอบคุณ บริษัท อารแอนดที เอเชีย
(ประเทศไทย) จำกัด, บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด, บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่น
แนล จำกัด, บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด, บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน),
ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย, วิทยากร ผูลงทะเบียนเขารวมสัมมนา และผูสนับสนุน
จำนวนมาก ที่ทำใหโครงการนี้สำเร็จลุลวงดวยดี รวมทั้งขอขอบคุณสำนักปลัดกระทรวงดิจิทัลเพื่อ
เศรษฐกิจและสังคม ทำหนาที่ สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล ที่รวมจัดงานสัมมนา
เพื่อเผยแพรแนวปฏิบัตินี้สูสาธารณะ

ผศ.ดร.ปารีณา ศรีวนิชย
(คณบดีและ
ผูอำนวยการศูนยวิจัยกฎหมายและการพัฒนา)
ธันวาคม 2563

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 7
 ขอขอบคุณ

โครงการฯขอขอบคุณผูสนับสนุนหลักของโครงการที่เล็งเห็นความสำคัญและสนับสนุนการ
จัดทำแนวปฏิบัตินี้เพื่อประโยชนสาธารณะ ไดแก

ผูสนับสนุน TDPG3.0
บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด
บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน)
บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด
บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด
บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด
ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย

ขอขอบคุ ณ ผู  ส นั บ สนุ น และช ว ยเหลื อ การจั ด ทำโครงการสั ม มนาฯ ร ว มให ค วามรู  แ ละ
แลกเปลี่ยนมุมมองเกี่ยวกับการจัดทำแนวปฏิบัติในงานสัมมนา และการจัดทำแนวปฏิบัตินี้อยางเขมขน
มาตั้งแตเริ่มจุดประเด็นการจัดทำแนวปฏิบัติ TDPG1.0 ขึ้นมา ไดแก

ผูสนับสนุน
คุณสมยศ สุธรี พรชัย (ฬ30)
คุณพันชนะ วัฒนเสถียร (ฬ31)
ดร.เยาวลักษณ ชาติบัญชาชัย
คุณประเสริฐ ปอมปองศึก
คุณชื่นกมล ศรีสมโภชน
คุณณัฐชา วิวัฒนศิริกลุ

แนวปฏิบัตินี้จะไมสามารถดำเนินการไดสำเร็จลุลวงโดยปราศจากผูชวยในทุกๆดานที่เกี่ยวของ
ตั้งแตการจัดงานสัมมนาจนถึงการจัดทำแนวปฏิบัติมาทุกเวอรชั่น โครงการขอขอบคุณผูชวยที่นารัก
ดังตอไปนี้

8 Thailand Data Protection Guidelines 3.0
 ผูชวยวิจัย
พาขวัญ นุกูลกิจ
พชร ตันชีวะวงศ
กฤษณะ ขาวเรือง
ภริษา นนทศิริชญากุล
กนกนันท ชนาทรธรรม
ปาลิตา รุงระวี
ปริยากร รุงเรือง
กฤษ เลิศอริยานนท

โครงการฯขอขอบคุณผูสนับสนุนโครงการ TDPG1.0 ซึ่งเปนพื้นฐานสำคัญ ไดแก สำนักงาน
พัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน), บมจ. เอพี (ไทยแลนด) บจ. อารแอนดที เอเชีย
(ประเทศไทย) และขอขอบคุณผูสนับสนุนและวิทยากรที่ไดใหความกรุณารวมใหความรูและแลกเปลี่ยน
มุมมองในการจัดทำ TDPG มาโดยตลอด ไดแก ดร.พิเชฐ ดุรงคเวโรจน (รัฐมนตรีวาดวยกระทรวงดิจทิ ัล
เพื่อเศรษฐกิจและสังคม), คุณสุรางคณา วายุภาพ (ผูอำนวยการสำนักงานธุรกรรมอิเล็กทรอนิก ส
(องคการมหาชน)), ดร.สิทธินัย จันทรานนท (ผูอำนวยการสำนักรองกรรมการผูอำนวยการใหญสาย
บริหารงานกฎหมายและบริหารทั่วไป บมจ.การบินไทย), คุณณัฏฐกานต ครรภาฉาย (ผูชวยผูจัดการใหญ
Legal Function ธนาคารไทยพาณิชย จำกัด (มหาชน)), Ms. Kristina Nesset Kjerstad (VP Privacy
Europe, Telenor Group), คุณวิศิษยศักดิ์ อรุณสุรัตนภักดี และคุณศุภวัฒก ศรีรุงเรือง (ทนายความ
หุนสวน บจ. อาร แอนด ที เอเชีย (ประเทศไทย)), ดร.พณชิต กิตติปญญางาม (นายกสมาคมการคาเพื่อ
สงเสริมผูประกอบการเทคโนโลยีรายใหม), คุณมนตรี สถาพรกุล (เจาหนาที่คุมครองขอมูลสวนบุคคล
บมจ.โทเทิ ่ ล แอ็ ค เซ็ ส คอมมู น ิ เ คชั ่ น ), คุ ณ พิ ช ิ ต พล เอี ่ ย มมงคลชั ย และคุ ณ สุ ท ธิ พ งศ คู ห าเสน ห
(ทนายความหุนสวนผูจัดการ และทนายความ บจ.ลิ้งคเลเทอรส (ประเทศไทย)), คุณอัญชลี กลิ่นเกษร
(ทนายความ บจ.สำนักงานกฎหมายสากล ธีรคุปต), คุณอัครพล พิเชษฐวณิชยโชค และคุณปราณัตต
เลาหไพโรจน (ทนายความหุนสวนผูจัดการ และทนายความ บจ.แชนดเลอร เอ็มเอชเอ็ม), คุณปรามาศ
ขวัญชื้น (บมจ.เอพี (ไทยแลนด)), ดร.ปริญญา หอมอเนก (ประธานกรรมการบริหาร บจ.เอซิส โปร
เฟสชั่นนัล เซ็นเตอร), คุณสมศักดิ์ ศิริชัยนฤมิตร (ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย), คุณ
อธิ ษ ฐา จิ ต รานุ เ คราะห (ทนายความหุ น ส ว น บจ.ติ ล ลิก ี แ อนด ก ิบ บิ นส อิ น เตอร เ นชั ่ น แนล) และ
ขอขอบคุณผูทรงคุณวุฒิและผูเชี่ยวชาญที่ใหโอกาสผูแตงหารือและสัมภาษณเชิงลึกเพื่อนำมาปรับปรุง
รางแนวปฏิบัติจนสำเร็จลุลวงลงไดดังตอไปนี้ คุณกิตติเมศร สกุลลีลารัศมี, คุณจิตราภรณ หวั่งหลี, คุณ
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 9
เถลิงศักดิ์ ศรีพันธุ, คุณณรงคฤทธิ์ สลีสวยสม, คุณณัฐวุฒิ มหัทธเมธากิจ, คุณปาลธรรม เกษมทรัพย, คุณ
สรีรัช แขงขันดี และคุณอาทิตย สุริยะวงศกุล
หากแนวปฏิบัตินี้มีขอผิดพลาดหรือไมครบถวนสมบูรณในสวนใด ความบกพรองนั้นเปนของผู
แตงแตเพียงผูเดียว

พัฒนาพร โกวพัฒนกิจ
(ผูจัดการโครงการ)
ธันวาคม 2563

10 Thailand Data Protection Guidelines 3.0
 สารบัญ

ขอขอบคุณ.................................................................................................................................................................. 8
สารบัญ...................................................................................................................................................................... 11
A. บทนำและคำนิยาม................................................................................................................................................ 17
A1. บทนำ............................................................................................................................................................ 17
A2. คำนิยาม......................................................................................................................................................... 22
B. แนวปฏิบัตกิ ารกำหนดและแยกแยะขอมูลสวนบุคคล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)... 25
B1. ขอบเขตของขอมูลสวนบุคคล (SCOPE)............................................................................................................ 26
B2. การกำหนดและแยกแยะขอมูลสวนบุคคลตามความเสี่ยงและความรายแรงที่อาจกระทบตอสิทธิและเสรีภาพของ
บุคคล................................................................................................................................................................... 34
B3. การประมวลผลขอมูลสวนบุคคลที่มคี วามออนไหวเปนพิเศษ (SPECIAL CATEGORIES OR SENSITIVE DATA)........... 48
C. แนวปฏิบัติเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล (GUIDELINE ON LAWFUL BASIS FOR PROCESSING
PERSONAL DATA).................................................................................................................................................. 65
C1. ฐานสัญญา (CONTRACT)................................................................................................................................. 68
ขอควรระวังเกี่ยวกับ “ความจำเปนในการปฏิบัติตามสัญญา”..................................................................................... 69
C2. ฐานความยินยอม (CONSENT)......................................................................................................................... 70
เงื่อนไขของความยินยอม (Requirements of Consent)......................................................................................... 71
ความยินยอมที่เก็บรวบรวมไวกอน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 จะมีผลบังคับใช (กอน
มิถุนายน พ.ศ. 2563)................................................................................................................................................. 78
ขอควรระวังเกี่ยวกับความยินยอม ระหวางบุคคลที่มีอำนาจตอรองไมเทากัน.............................................................. 81
การทำการตลาดแบบตรง (Direct Marketing)......................................................................................................... 82
ระบบสมาชิกสะสมแตม (Loyalty Program)........................................................................................................... 83
การใชขอมูลเครือขายสังคมเพื่อกระตุนยอดขาย (Social Network)......................................................................... 84
การโฆษณาตามพฤติกรรมออนไลน (Online Behavioural Advertisement)......................................................... 85
การขอความยินยอมจากผูเยาว................................................................................................................................... 85
C3. ฐานประโยชนสำคัญตอชีวิต (ระงับอันตรายตอชีวิต ราง กาย สุขภาพ) (VITAL INTEREST).................................. 87
C4. ฐานหนาที่ตามกฎหมาย (LEGAL OBLIGATION).................................................................................................. 87
C5. ฐานภารกิจของรัฐ (PUBLIC TASK).................................................................................................................... 88
 C6. ฐานประโยชนอันชอบธรรม (LEGITIMATE INTEREST)......................................................................................... 90
C7. ฐานจดหมายเหตุ/วิจัย/สถิติ............................................................................................................................ 93
D. แนวปฏิบัติเกี่ยวกับหนาที่และความรับผิดชอบของผูควบคุมและผูป ระมวลผลขอมูล (GUIDELINE ON DUTIES AND
RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)............................................................................... 95
D1. แนวปฏิบัติเกี่ยวกับสิทธิหนาที่โดยทัว่ ไปของผูค วบคุมและผูประมวลผลขอมูล................................................. 104
ผูควบคุมขอมูล (Data Controller)........................................................................................................................104
ตัวอยางขอความแจงเมือ่ ใชกลองวงจรปด...........................................................................................................108
ตัวอยางบันทึกรายการประมวลผลขอมูล (Record of Processing Activities).................................................. 124
ตัวอยางบันทึกรายการประมวลผลยอย...............................................................................................................125
ตัวอยางนโยบายคุมครองขอมูลสวนบุคคล (Data Protection Policy)..............................................................131
ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบยอ) Privacy Notice (Abridged).................................. 138
ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบละเอียด) Privacy Notice............................................. 140
ผูประมวลผลขอมูล (Data Processor)..................................................................................................................145
ตัวอยางบันทึกรายการประมวลผลขอมูล (record of processing activities)................................................... 149
D2. แนวปฏิบัติเกี่ยวกับการจัดทำขอตกลงระหวางขอตกลงระหวาง ผูควบคุมขอมูลสวนบุคคลและผูป ระมวลผลขอมูล
(DATA PROCESSING AGREEMENT).......................................................................................................................... 154
ตัวอยางขอตกลงใหประมวลผลขอมูล (Data Processing Agreement)..........................................................168
D3. แนวปฏิบัติเกี่ยวกับการจัดการคำรองขอของเจาของขอมูล (DATA SUBJECT REQUEST).................................... 172
หนาที่ของผูควบคุมขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Controller)....................... 172
ตัวอยางแบบคำรองขอใชสิทธิในการเขาถึงขอมูล (Right of Access Request Form)...................................... 191
ตัวอยางแบบคำรองขอใชสิทธิในการลบขอมูล (Right to Erasure Request Form)......................................... 196
หนาที่ของผูประมวลผลขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Processor)................... 201
D4. แนวปฏิบัติกรณีมีคำรองขอหรือคำสั่งขอเขาถึงขอมูลสวนบุคคลจากรัฐ (GOVERNMENT REQUEST).................... 202
ตัวอยางแบบคำขอใหเปดเผยขอมูลแกหนวยงานของรัฐ......................................................................................204
D5. ความรับผิดทางแพง ความรับผิดทางอาญา และโทษทางปกครอง.................................................................. 207
ความรับผิดทางแพง.................................................................................................................................................207
ความรับผิดทางอาญา...............................................................................................................................................208
โทษทางปกครอง.....................................................................................................................................................209
E. แนวปฏิบัติเพื่อการประเมินผลกระทบดานการคุมครองขอมูลสวนบุคคล (GUIDELINE ON DATA PROTECTION
IMPACT ASSESSMENT)........................................................................................................................................ 213
E1. ขอบเขตของ DPIA........................................................................................................................................ 213
E2. ขั้นตอนของ DPIA......................................................................................................................................... 223
ตัวอยางแบบฟอรมการทำ DPIA.........................................................................................................................232
12 Thailand Data Protection Guidelines 3.0
F. แนวปฏิบัติเกี่ยวกับการโอนขอมูลสวนบุคคลไปยัง ตางประเทศหรือองคการระหวางประเทศ (GUIDELINE ON
CROSS-BORDER DATA TRANSFER).................................................................................................................... 243
F1. การสงหรือโอนขอมูลสวนบุคคลไปยังตางประเทศปลายทางหรือองคการระหวางประเทศตามพระราชบัญญัติ
คุมครองขอมูลสวนบุคคล พ.ศ. 2562 (TRANSFER OR TRANSIT)............................................................................. 245
F2. กรณีที่ตองสงหรือโอนขอมูลไปยังตางประเทศ หรือองคการระหวางประเทศ.................................................... 249
ตัวอยางนโยบายคุมครองขอมูลสวนบุคคลของเครือกิจการ (Binding Corporate Rules)................................. 257
G. แนวปฏิบัติเกี่ยวกับการการจัดทำขอมูลนิรนาม (GUIDELINE FOR ANONYMIZATION)..................................... 265
G1. การจัดทำขอมูลนิรนาม................................................................................................................................. 267
G2. การพิจารณาสถานการณของขอมูล............................................................................................................. 276
G3. การวิเคราะหความเสี่ยงและมาตรการจัดการความเสี่ยง................................................................................. 279
G4. การตัดสินใจถึงระดับของการจัดทำขอมูลนิรนาม.......................................................................................... 293
k-anonymization.................................................................................................................................................295
Differential Privacy..............................................................................................................................................300
H. แนวปฏิบัติเกี่ยวกับขอมูลออนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL
CATEGORIES OF PERSONAL DATA)................................................................................................................... 305
H1. เงื่อนไขพิเศษในการประมวลผลขอมูลออนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA
OR SPECIAL CATEGORIES OF PERSONAL DATA)......................................................................................................... 305
H2. การจัดการกับขอมูลออนไหว (DEALING WITH SENSITIVE DATA)........................................................................ 328
I. แนวปฏิบัติสำหรับฝายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES)..................................... 353
I1. ความสัมพันธของการประมวลผลขอมูลสวนบุคคลและการทำการตลาด.......................................................... 353
I2. ลักษณะของขอมูลสวนบุคคลตามเสนทางการทำการตลาด.............................................................................. 355
I3. เสนทางขอมูล (DATA JOURNEY)...................................................................................................................... 357
I4. ฐานการประมวลผลที่เกี่ยวของและขอควรระวัง.............................................................................................. 360
I5. บทบาทของหนวยงานตางๆ........................................................................................................................... 363
J. แนวปฏิบัติเกี่ยวกับฝายวิเคราะหขอมูล (GUIDELINE ON DATA ANALYTICS).................................................... 367
J1. หลักการคุมครองขอมูลสวนบุคคลในการประมวลผลขอมูลมหัต...................................................................... 374
J2. ตัวอยางกิจกรรมการประมวลผลขอมูลมหัต.................................................................................................... 398
J3. การจัดทำขอมูลนิรนามและผลกระทบ............................................................................................................ 408
J4. การอธิบายการตัดสินใจโดยปญญาประดิษฐ................................................................................................... 412
K. แนวปฏิบัติเกี่ยวกับฝายทรัพยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT).................. 421

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 13
 K1. การรับสมัครและการคัดเลือก........................................................................................................................ 421
K2. การเก็บรวบรวม ใช และเปดเผยขอมูลสวนบุคคลของลูกจางในระหวางการจางงาน....................................... 438
K3. การตรวจสอบในที่ทำงาน............................................................................................................................. 457
K4. ขอมูลเกี่ยวกับสุขภาพลูกจาง........................................................................................................................ 467
K5. ตัวอยางเอกสาร............................................................................................................................................ 475
ตัวอยางหนังสือแจงนโยบายการคุมครองขอมูลสวนบุคคลสำหรับเจาหนาที่และลูกจาง....................................... 476
ตัวอยางขอบังคับเกี่ยวกับการทำงาน..................................................................................................................482
L. แนวปฏิบัติเกี่ยวกับฝายจัดซื้อจัดจาง (GUIDELINE FOR PROCUREMENT DEPARTMENT)................................ 487
L1. การจัดซื้อจัดจางใหม.................................................................................................................................... 487
กอนทำสัญญา (Prior to Contracting)..................................................................................................................487
ตัวอยางสิ่งที่ตองระบุในเอกสารแจงขอมูลการประมวลผลขอมูลเพื่อการจัดซื้อจัดจาง......................................... 493
ตัวอยางแบบสอบถามดานการคุมครองขอมูลสวนบุคคล.....................................................................................494
การทำสัญญา (Contracting).................................................................................................................................497
ตัวอยางสัญญาผูประมวลผลขอมูลสวนบุคคล (Data Processing Agreement)................................................. 498
ประเด็นในสัญญาที่จะตองเจรจาตอรองกัน.........................................................................................................500
ตัวอยางหัวขอที่สำคัญในสัญญาระหวางผูควบคุมขอมูลสวนบุคคล......................................................................502
หลังทำสัญญา (Post Contracting)........................................................................................................................505
L2. แนวทางการจัดซื้อจัดจางที่มีผลบังคับใชแลว................................................................................................. 506
L3. ขอควรพิจารณาในการจัดซื้อจัดจางบริการประเภททีน่ าสนใจ........................................................................ 508
M. แนวปฏิบัติสำหรับฝายเทคโนโลยีสารสนเทศ (GUIDELINE FOR IT DEPARTMENT)........................................... 515
M1. งานดานเทคโนโลยีสารสนเทศและการคุมครองขอมูลสวนบุคคล.................................................................... 515
M2. มาตรฐานสำหรับระบบบริหารจัดการขอมูลสวนบุคคล.................................................................................. 523
M3. แนวทางการประเมินผลกระทบและความเสี่ยงที่เกี่ยวกับขอมูลสวนบุคคล...................................................... 526
N. แนวปฏิบัติสำหรับเจาหนาที่คุมครองขอมูลสวนบุคคล (GUIDELINES FOR DATA PROTECTION OFFICER)..... 559
N1. ความจำเปน ทักษะและคุณสมบัติ และเกณฑการคัดเลือก เจาหนาที่คุมครองขอมูลสวนบุคคล........................ 559
N2. ความตระหนักรูและขอพึงระวังขององคกรที่มีตอ การปฏิบตั ิงานของเจาหนาที่คุมครองขอมูลสวนบุคคล.......... 566
N3. บทบาทหนาที่และความรับผิดชอบของเจาหนาที่คุมครองสวนบุคคล............................................................. 571
ลักษณะงานที่ 1 ภาระงานขั้นตน.............................................................................................................................572
ลักษณะงานที่ 2 การทำงานขององคกร....................................................................................................................578
ตัวอยางบันทึกรายการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูควบคุมขอมูล................................................... 581
ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูประมวลผลขอมูลสวนบุคคล................................... 583
ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลฉบับสมบูรณ..............................................................................585

14 Thailand Data Protection Guidelines 3.0
 ลักษณะงานที่ 3: ตรวจสอบการปฏิบัตติ ามหนาที่.....................................................................................................612
ลักษณะงานที่ 4: หนาที่ใหคำปรึกษา........................................................................................................................633
ลักษณะงานที่ 5: ใหความรวมมือและใหคำปรึกษาแก สคส......................................................................................638
ลักษณะงานที่ 6: การจัดการคำรองขอของเจาของขอมูล..........................................................................................641
ลักษณะงานที่ 7: การใหขอมูลและการสรางความตระหนักรู....................................................................................642
N4. มาตรฐานทางจริยธรรม................................................................................................................................ 644
คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION...................................................... 647
[TDPG2.0B] DATA CLASSIFICATION..................................................................................................................... 647
[TDPG2.0C] LAWFUL BASIS................................................................................................................................ 649
[TDPG2.0D] CONTROLLERS & PROCESSORS......................................................................................................... 656
[TDPG2.0E] DPIA............................................................................................................................................. 665
[TDPG2.0F] CROSS-BORDER DATA TRANSFER...................................................................................................... 665
[TDPG2.0G] ANONYMIZATION............................................................................................................................ 666

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 15
 A. บทนำและคำนิยาม

A1. บทนำ

แนวปฏิบัติเปนเครื่องมือสำคัญประการหนึ่งที่ชวยใหการดำเนินการตามกฎหมายหรือหลักการ
ใดๆที่มีกำหนดขึ้นเปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลวการบัญญัติกฎหมาย
หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ใหทำ” (prescriptive), “ไมใหทำ”
(proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ยอมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติวาควร
ทำ “อยางไร” โดยเฉพาะอยางยิ่งกับกฎหมายที่โดยทั่วไปแลวสามารถกำหนดไดเพียงในระดับที่กำหนด
“หาม” เปนหลักการไวเทานั้น แตในขั้นตอนปฏิบัติยอมไมสามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะ
ทั้งปวงได เพราะจะทำใหกฎหมายนั้นมีความเครงครัดมากเสียจนไมอาจนำไปใชไดจริง
ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถ
กำหนดวิ ธี ป ฏิบ ั ติ ในรายละเอี ยดลงไปโดยสมบู รณได จึ ง มี ค ำถามเกี ่ย วกั บวิ ธี ก ารปฏิ บั ติ ว าควรทำ
“อยางไร” มีขอสังเกตวากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไป “ขอมูลสวน
บุคคล” (Personal Data) ไมใช “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุมครองขอมูลสวนบุคคลนั้นจะมี
ผลเปนการปกปอง “บุคคล” จากผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีก
ชั้นหนึ่ง อันเปนแนวทางตามแบบสหภาพยุโรป กลาวคือ จะสามารถประมวลผลขอมูลสวนบุคคลโดย
ชอบดวยกฎหมายก็ตอไปมี “ฐานทางกฎหมาย” (lawful basis) ใหทำได หลักการพื้นฐานของการ
คุมครองขอมูลสวนบุคคลจึงไดแก

“หามประมวลผลขอมูลสวนบุคคล เวนแตจะมีฐานหรือเหตุแหงการ
ประมวลผลใหทำไดตามกฎหมาย” (รายละเอียดปรากฏในสวน C)

เมื่อสหภาพยุโรปไดออกกฎหมายฉบับใหมเกี่ยวกับการคุมครองขอมูลสวนบุคคลหรือที่เรียกกัน
วา “GDPR” (EU General Data Protection Regulation) ซึ่งเปนการปรับปรุงกฎหมายเดิม (EU Data
Protection Directive 95/46/EC) ซึ่งใชบังคับมานานมากวา 20 ป ทำใหเกิดการเปลี่ยนแปลงหลักการ
ที่สำคัญ เชน
 - กำหนดการใชอำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคือ ขอมูลสวน
บุคคลของสหภาพยุโรปอยูภายใตความคุมครองไมวาจะอยูในที่ใดในโลก
- กำหนดบทลงโทษสูงขึ้น โดยองคกรที่กระทำผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ 4
ของผลประกอบการรายไดทั่วโลก
- กำหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and
affirmative consent)
- กำหนดการแจงเตือนเมื่อเกิดเหตุขอมูลรั่วไหล หนวยงานผูควบคุมขอมูลและผูประมวลผล
ขอมูลตองแจงใหหนวยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
- กำหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมูลทราบ
วาขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทำสำเนาขอมูลใหกับเจาของ
ขอมูลในรูปแบบอิเล็กทรอนิกส โดยหามเก็บคาใชจายเพิ่ม
- กำหนดรับรองสิทธิในการโอนขอมูลไปยังผูประกอบการอื่น (Right to data portability)
- กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจาของขอมูลสามารถขอให
หนวยงานควบคุมขอมูลลบขอมูลของตัวเองออกได

GDPR มีผลบังคับใชเมื่อวันที่ 25 พฤษภาคม 2561 ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแก
การสงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สำหรับผูประกอบการไทยหากจะทำการติดตอรับ-
สงขอมูลกับบุคคลของประเทศสมาชิก ก็ตองมีมาตรการคุมครองขอมูลสวนบุคคลที่เหมาะสมเพียงพอ
เชนเดียวกัน เปนเหตุใหผูประกอบการไทยตองปรับตัวเพื่อรองรับมาตรฐานการคุมครองขอมูลสวนบุคคล
ดังกลาว
เปนเวลากวา 20 ปที่รัฐบาลไดพยายามผลักดันกฎหมายการคุมครองขอมูลสวนบุคคลจน
ประสบความสำเร็จและประกาศในราชกิจจานุเบกษาเมื่อ 28 พฤษภาคม 2562 และจะมีผลบังคับใชตาม
กฎหมายในวันที่ 1 มิถุนายน 2564 โดยไดรับอิทธิพลสำคัญจาก GDPR หนวยงานภาครัฐและเอกชนจึง
ควรเตรียมความพรอมเพื่อรองรับการจัดการขอมูลสวนบุคคลในความครอบครองของตนเพื่อใหเปนไป
ตามหลักเกณฑดังกลาว ซึ่งปจจุบันถือวาเปนมาตรฐานใหมของการคุมครองขอมูลสวนบุคคลของโลก
แนวปฏิบัตินี้ (ซึ่งตอไปจะเรียกวา “TDPG3.0”) จึงมีเจตนาที่จะตอบคำถามเกี่ยวกับวิธีการวา
ควรทำ “อยางไร” สำหรับประเทศไทยซึ่งยังไมเคยมีแนวปฏิบัติใดๆในเรื่องนี้มากอน โดยมี GDPR เปน
ตนแบบ ซึ่งหมายความวาแนวปฏิบัตินี้เปนเพียงคำอธิบายของวิธีการปฏิบัติเพื่อการคุมครองขอมูลสวน
18 Thailand Data Protection Guidelines 3.0
บุคคลซึ่งจำเปนตองพัฒนาอยางตอเนื่องตอไป การปฏิบัติตามแนวปฏิบัตินี้จึงไมใชการปฏิบัติตาม
กฎหมายหรือมาตรฐาน GDPR ที่ครบถวน แตเปนเพียงขอแนะนำที่ควรจะตองปฏิบัติและพัฒนาปรับปรุง
อยางตอเนื่อง
ตอคำถามวาผูประกอบการไทยหากไมไดมีเปาหมายจะใหบริการในสหภาพยุโรป จะมีความ
จำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถแยกสวนการจัดการขอมูลคนชาติยุโรปออกจาก
สวนอื่นไดหรือไมนั้น ดวยเหตุที่ผูประกอบการไทยจะตองดำเนินการตามพระราชบัญญัติคุมครองขอมูล
สวนบุคคล พ.ศ.2562 และสถานการณของไทยนั้นอยูในขั้นที่เรียกวาแทบจะเริม่ ตนจากศูนย กลาวคือ ยัง
ไมเคยมีมาตรฐานการคุมครองขอมูลสวนบุคคลใดๆมากอน ที่ผานมามีประกาศของบางหนวยงานที่
ประกาศเฉพาะแกบางภาคธุรกิจ แตก็เปนเพียงการกำหนดหลักการกวางๆเทานั้นและอยูเปนสวนเล็กๆ
ของมาตรการความปลอดภัยไซเบอร (network security) ยังไมถึงขนาดเปนการวางแนวปฏิบัติหรือ
มาตรฐานในเรื่องนี้ได 1 และที่ผานมารายงานของคณะทำงานดานพาณิชยอิเล็กทรอนิกสของ APEC ระบุ
0

วาจากสมาชิก APEC จำนวน 21 เขตเศรษฐกิจ มีเพียง 5 เขตเศรษฐกิจที่ยังไมมีกฎหมายคุมครองขอมูล
สวนบุคคล ไดแก บรูไน, จีน, อินโดนีเซีย, ปาปวนิวกินี และไทย และยอมรวมถึงวาเขตเศรษฐกิจดังกลาว
ไมมีหนวยงานกำกับดูแลการคุมครองขอมูลสวนบุคคลไปดวย ทำใหประเทศไทยไมสามารถเขารวม
โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที ่ จ ะเป น กลไกให ห น ว ยงานและองคกร
ทั้งหลายเขารวมแบบสมัครใจเพื่อรับการรับรองวามีการคุมครองขอมูลสวนบุคคลเปนที่ยอมรับ 2

1 ที่ถือวาใกลเคียงที่สุดไดแก
- [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุมครองสิทธิของผูใชบริการโทรคมนาคมเกี่ยวกับขอมูล
สวนบุคคล สิทธิในความเปนสวนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม พ.ศ.2549
- [ภาครัฐ] ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยดานสารสนเทศของหนวยงานของรัฐ พ.ศ.2553
- [ภาคการเงิน] เอกสารแนบ 6 ประกาศธนาคารแหงประเทศไทย ที่ สกส2. 4/2563 เรื่อง การบริหารจัดการ
ดานการใหบริการแกลกู คาอยางเปนธรรม (Market conduct) โดยปรับปรุงจากหลักเกณฑเดิมใหมี
สาระสำคัญการขอความยินยอมที่ตอ งแยกสวนระหวางวัตถุประสงคทางการตลาดและวัตถุประสงคอื่นและ
กำหนดการเปดเผยขอมูลลูกคาตามฐานการประมวลผลที่สอดคลองกับพระราชบัญญัติคุมครองขอมูลสวน
บุคคล พ.ศ.2562
2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM

- CBPRS (2017), https://www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross-
Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018).
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 19
 การดำเนิ น การใดๆในเรื่ อ งนี ้จ ึ ง มี แ ต จะทำให สถานะของประเทศไทยดี ขึ ้ น อย างแนนอน
นอกจากนีผ้ ูทรงคุณวุฒิก็มีความเห็นตรงกันในเรื่องนี้วามีความจำเปนตองมีมาตรฐานในเรื่องนี้ขึ้นมา และ
ไมมีความคุมคาในทางปฏิบัติที่จะแยกสวนการจัดการขอมูลสวนบุคคลตามมาตรฐานพระราชบัญญัติ
คุมครองขอมูลสวนบุคคล พ.ศ.2562 และ GDPR ออกจากกัน
TDPG3.0 จึงอธิบายแนวปฏิบัติพื้นฐานที่จำเปนตอการดำเนินการเพื่อการคุมครองขอมูลสวน
บุคคลตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยสอดคลองกันกับมาตรฐานสากล
เทียบเทากับ GDPR ตอไป TDPG3.0 จึงเปนความพยายามที่จะไดวางแนวปฏิบัติที่เกี่ยวกับการคุมครอง
ขอมูลสวนบุคคลอยางเปนระบบและมีแนวทางใหดำเนินการที่ชัดเจนนำไปปฏิบัติได โดยหวังเปนอยางยิ่ง
วาผูประกอบการและหนวยงานที่เกี่ยวของจะไดใชเปนประโยชนในการพัฒนานโยบายการคุม ครองขอมูล
สวนบุคคลของตนเองตอไป ในเวอรชั่นนี้ TDPG3.0 จึงเปนการปรับปรุงเพิ่มเติมจากเวอรชั่นกอน โดย
แผนภาพตอไปแสดงใหเห็นแนวคิดรวบยอดของ TDPG3.0 ซึ่งจะชวยใหผูอานเห็นภาพวาเนื้อหาของสวน
ตางๆในแนวปฏิบัติมีความเชื่อมโยงกันอยางไร

20 Thailand Data Protection Guidelines 3.0
 Contract
Data Classification
Consent
Special Categories / Sensitive Data
Vital Interest
Lawful Basis for Processing
Legal Obligation
Public Task
Legitimate Interest
Duties & Responsibilities
Data Processing Agreement
Controllers & Processors
User Requests
Government Requests
DPIA (Data Protection Impact Assessment)
Cross-Border Data Transfer
Anonymization
Marketing & Sales
Data Analytics
Human Resources
IT Department
Procurement
Investment Bank (Forthcoming)

TDPG1.0 TDPG2.0 TDPG3.0

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 21
 A2. คำนิยาม

Th En คำอธิบาย
การจัดทำขอมูล Anonymization กระบวนการที่ทำใหความเสี่ยงในการระบุตัวตนของเจาของขอมูลนั้น
นิรนาม นอยมากจนแทบไมตองใหความสำคัญกับความเสี่ยง (negligible risk)
รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำขอมูลนิรนาม
การแฝงขอมูล Pseudonymization การประมวลผลขอมูลสวนบุคคลในลักษณะที่ขอมูลสวนบุคคลไม
สามารถระบุตัวเจาของขอมูลไดหากปราศจากการใชขอมูลเพิ่มเติม
ประกอบ ทั้งนี้ขอมูลเพิ่มเติมนี้มีการเก็บรักษาไวแยกออกจากกันและอยู
ภายใตมาตรการเชิงเทคนิคและมาตรเชิงบริหารจัดการเพื่อประกันวา
ขอมูลสวนบุคคลจะไมสามารถระบุไปถึงบุคคลธรรมดาได (GDPR,
Article 4(5)) รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำ
ขอมูลนิรนาม
การประมวลผล Processing การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำตอขอมูลสวน
ขอมูล บุคคลหรือชุดขอมูลสวนบุคคล ไมวาจะโดยวิธีการอัตโนมัติหรือไม เชน
การเก็บ บันทึก จัดระบบ จัดโครงสราง เก็บรักษา เปลีย่ นแปลงหรือ
ปรับเปลี่ยน การรับ พิจารณา ใช เปดเผยดวยการสงตอ เผยแพร หรือ
การกระทำอื่นใดซึ่งทำใหเกิดดความพรอมใชงาน การจัดวางหรือผสม
เขาดวยกัน การจำกัด การลบ หรือการทำลาย (GDPR Article 4(2))
ขอมูลออนไหว Sensitive Personal เปนขอมูลสวนบุคคลที่เปนเรื่องสวนตัวโดยแทของบุคคล แตมีความ
Data ละเอียดออนและสุมเสี่ยงตอการถูกใชในการเลือกปฏิบัติอยางไมเปน
ธรรม จึงจำเปนตองดำเนินการดวยความระมัดระวังเปนพิเศษ
ขอมูลสวน Personal Data ขอมูลใดๆที่ระบุไปถึง “เจาของขอมูล” (Data Subject) ได
บุคคล
ขอมูลสวน Personal Data การรั่วไหลหรือละเมิดมาตรการความมัน่ คงปลอดภัยตอขอมูลสวน
บุคคลรั่วไหล Breach บุคคลทำใหเกิด ความเสียหาย, สูญหาย, เปลี่ยนแปลง, เปดเผยโดย
ไมไดรับอนุญาต, หรือเขาถึงขอมูลสวนบุคคลที่ใชงาน (GDPR, Article
4 (12))
ขอมูลสวน Pseudonymous ขอมูลที่ทำการแฝงขอมูลแลว (ดู “การแฝงขอมูล”)
บุคคลแฝง Data
ขอมูลนิรนาม Anonymous Data ขอมูลที่ผานกระบวนการจัดทำขอมูลนิรนามแลว (ดู “การจัดทำขอมูล
นิรนาม”)

22 Thailand Data Protection Guidelines 3.0
Th En คำอธิบาย
เจาของขอมูล Data Subject มีความหมายในลักษณะเปนบุคคลที่ขอมูลนั้นบงชี้ไปถึง ไมใชเปน
เจาของในลักษณะทรัพยสิทธิ หรือเปนคนสรางขอมูลนั้นขึ้นมา มีความ
แตกตางจาก data owner ในกฎหมาย (บางตัว) ของสหรัฐอเมริกา
โปรไฟลิ่ง Profiling รูบแบบการประมวลผลขอมูลสวนบุคคลใดๆ ซึ่งมีการใชขอมูลสวน
บุคคลในการประเมินแงมุมเกี่ยวกับบุคคล โดยเฉพาะอยางยิ่งเพื่อ
วิเคราะหหรือคาดการณเกี่ยวกับบุคคลธรรมดาในเรื่องประสิทธิภาพใน
การทำงาน สถานะทางเศรษฐกิจ สุขภาพของบุคคล ความชื่นชอบสวน
บุคคล ประโยชนของบุคคล พฤติกรรมของบุคคล ความนาเชื่อถือของ
บุคคล ตำแหนงทางภูมิศาสตร หรือความเคลื่อนไหวของบุคคล
ผูควบคุมขอมูล Data Controller บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร
ใดซึ่งเปนผูกำหนดวัตถุประสงคและวิธกี ารในการประมวลผลขอมูลสวน
บุคคล (GDPR 4(7))
ผูประมวลผล Data Processor บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร
ขอมูล ใดซึ่งประมวลผลขอมูลแทนผูควบคุมขอมูล (GDPR 4(8))
สคส. OPDPC สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล
GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27
April 2016 on the protection of natural persons with regard to the processing of
personal data and on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88
ICO UK Information Commissioner’s Office
SGPDPA Singapore Personal Data Protection Act 2012
UKDPA UK Data Protection Act 2018

ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 23
 B. แนวปฏิบัติการกำหนดและแยกแยะขอมูลสวนบุคคล
(Guideline on Personal Data Classification)

ผูประกอบการทุกรายยอมไดรับผลกระทบจากการปรับปรุงหรือเปลี่ยนผานวิธีการทำงานของ
ตนเพื่อใชงานเทคโนโลยีดิจิทัล ยิ่งผูประกอบการตองใชขอมูลดิจิทัลมากเทาใด ยิ่งทำใหเกิดประเด็นการ
บริหารจัดการเกี่ยวกับขอมูลที่ตนเองใช โดยเฉพาะอยางยิ่งการบริหารความเสี่ยงของการใชขอมูล
ทั้งหลาย รวมถึงขอมูลสวนบุคคล ผูประกอบการจึงตองสามารถระบุขอมูลและจัดการขอมูลตางๆบน
พื้นฐานของความเสี่ยงไดอยางเหมาะสม แนวปฏิบัตินี้จึงเปนขั้นตอนพื้นฐานที่สุดเพื่อการจัดการขอมูล
สวนบุคคลในประเด็นอื่นๆตอไป โดยแบงออกเปน 2 สวนไดแก
(1) ขอบเขตของขอมูลสวนบุคคล ซึ่งจะชวยใหทราบวาขอมูลใดเปนขอมูลที่อยูในขอบเขต
ความหมายของขอมูลสวนบุคคล (in-scope)
(2) การกำหนดและแยกแยะขอมูลสวนบุคคล ซ