Thailand Data Protection Guidelines 3.0 PDF

Document Details

RosyObsidian6881

Uploaded by RosyObsidian6881

Chulalongkorn University

2020

Piyabutr Bunarramreung, Photthaporn Kowapatanakij, Peerapat Choksawatnakul, Seksiri Niwattisaiwong, Piti Eiamjarunlap, Chawin Unnupat, Thitirat Tipyasamritkul, Phoomsiri Damrongvuthi, Mokkhopit Rattharun

Tags

data protection guidelines personal data protection thailand regulations digital economy

Summary

This document, Thailand Data Protection Guidelines 3.0, was published in December 2020 by Chulalongkorn University's law faculty. It provides guidelines related to personal data protection in Thailand, including references to the GDPR and practical application examples for businesses.

Full Transcript

Thailand Data Protection Guidelines 3.0 แนวปฏิบัตเิ กี่ยวกับการคุมครองขอมูลสวนบุคคล Final Version 3.0 ธันวาคม 2563 สนับสนุนโดย ขอมูลทางบรรณานุกรมของสำนักหอสมุดแหงชาติ National Library of Thailand Cataloging in Publication Data ป...

Thailand Data Protection Guidelines 3.0 แนวปฏิบัตเิ กี่ยวกับการคุมครองขอมูลสวนบุคคล Final Version 3.0 ธันวาคม 2563 สนับสนุนโดย ขอมูลทางบรรณานุกรมของสำนักหอสมุดแหงชาติ National Library of Thailand Cataloging in Publication Data ปยะบุตร บุญอรามเรือง, พัฒนาพร โกวพัฒนกิจ, พีรพัฒ โชคสุวัฒนสกุล, เสกสิริ นิวัติศัยวงศ, ปติ เอี่ยมจำรูญลาภ, ชวิน อุนภัทร, ฐิติรัตน ทิพยสมั ฤทธิ์กุล, ภูมศิ ิริ ดำรงวุฒิ, โมกขพิศุทธิ์ รตารุณ Thailand Data Protection Guidelines 3.0: แนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวนบุคคล ISBN พิมพครั้งที่ 1 ธันวาคม 2563 จำนวนพิมพ 300 เลม จำนวนหนา 668 หนา จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ถนนพญาไท ปทุมวัน กรุงเทพฯ 10330 โทร. 02-218-2017 พิมพที่ โรงพิมพแหงจุฬาลงกรณมหาวิทยาลัย [6112-019D] โทร. 0 2218 3549-50 โทรสาร 0 2215 3612 2 Thailand Data Protection Guidelines 3.0 จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย สนับสนุนโดย บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน) ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย ที่ปรึกษา รศ.ธิติพันธุ เชื้อบุญชัย ผศ.ดร.ปารีณา ศรีวนิชย (คณบดีและ ผอ.ศูนยวิจัยกฎหมายและการพัฒนา) ผูแตง ผศ.ดร.ปยะบุตร บุญอรามเรือง รศ.ดร.พัฒนาพร โกวพัฒนกิจ อ.ดร.พีรพัฒ โชคสุวัฒนสกุล ผศ.เสกสิริ นิวัติศัยวงศ อ.ดร.ปติ เอีย่ มจำรูญลาภ อ.ดร.ชวิน อุนภัทร อ.ฐิติรัตน ทิพยสมั ฤทธิ์กุล อ.ดร.ภูมิศิริ ดำรงวุฒิ โมกขพิศุทธิ์ รตารุณ ผูจัดการโครงการ รศ.ดร.พัฒนาพร โกวพัฒนกิจ วันที่เผยแพร ธันวาคม 2563 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 3 ขอปฏิเสธความรับผิด (Disclaimer) ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณ มหาวิทยาลัย รวมถึงที่ปรึกษาและผูแตงของแนวปฏิบัตินี้ (รวมเรียกวา “ผูแตง”) ไมไดใหการรับรองหรือ รับประกันใดๆถึงความถูกตองครบถวนของเนื้อหาของงานนี้ และผูแตงขอปฏิเสธอยางชัดแจงวาไมไดให การรับรองหรือรับประกันใดๆทั้งสิ้นตอเนื้อหาของงานนี้ โดยขอแนะนำที่ปรากฏในงานนี้อาจไมเหมาะสม ตอสถานการณบางลักษณะ เนื้อหาของงานนี้จึงไมใชการใหคำปรึกษาทางกฎหมายหรือคำปรึกษาทาง วิชาชีพใดๆทั้งสิ้น หากผูอ านจำเปนตองไดรับคำปรึกษาทีเ่ กี่ยวของ ผูอานจำเปนตองติดตอขอคำปรึกษา จากผูเชีย่ วชาญในดานนั้นโดยตรง ผูแตงจึงไมมีความรับผิดชอบและไมตองรับผิดใดๆตอความเสียหายที่ อางวาเกิดขึ้นจากการปฏิบัติตามเนื้อหาของงานนี้ และหากมีการอางอิงใดๆถึงงานนี้ไมวาในรูปแบบใด ผู แตงขอปฏิเสธอยางชัดแจงไมใหการรับรองหรือการรับประกันการอางอิงนั้น การรับรองใดๆที่อาจมีขึ้น ตองออกเปนหนังสือโดยผูแตงเทานั้น นอกจากนี้ผูอานควรตระหนักไวดวยวาการคุมครองขอมูลสวน บุคคลเปนเรื่องที่กำลังมีการพัฒนาและปรับปรุงอยางรวดเร็วในปจจุบัน เนื้อหาหลายประการในที่นี้อาจ ลาสมัยหรือไมเหมาะสมในหลายสถานการณเมื่อเวลาผานไป รายการอางอิงทางเว็บไซตใดๆในงานนี้ก็ อาจมีการเปลี่ยนแปลงหรือสูญหายไปไดเมื่อเวลาที่ทานไดอานงานนี้ ลิ ข สิ ท ธิ ์ ท ั ้ ง หมดของงานนี ้ เ ปน ของผู  แ ต ง และได รั บ ความคุ  มครองตาม กฎหมายลิขสิทธิ์และกฎหมายอื่นที่ใชบังคับ หามนำงานไปใชอยางอื่น นอกจากการใชที่ไดรับอนุญาตนี้หรือตามกฎหมายลิขสิทธิ์ หนังสือเลมนี้ไดจัดใหใชไดตามขอตกลงของ สัญญาอนุญาตสาธารณะของ Creative Commons แบบแสดงที่มา 3.0 ประเทศไทย (CC BY 3.0 TH), https://creativecommons.org/licenses/by/3.0/th/legalcode 4 Thailand Data Protection Guidelines 3.0 เมื ่ อ สหภาพยุ โ รปได อ อก GDPR หรื อ General Data Protection Regulation ซึ ่ ง เป น กฎหมายคุมครองขอมูลสวนบุคคลมาบังคับใชเมื่อเดือนพฤษภาคม 2561 ที่ผานมา โดยมีขอกำหนดให องคกรตางๆ ที่มีธุรกรรมหรือการดำเนินการบนอินเทอรเน็ตที่มีขอมูลสวนบุคคลของผูบริโภคตองปฏิบัติ ตามมาตรการตางๆ ที่เขมงวดขึ้นเพื ่อเพิ่ม ความคุมครองข อมูลสว นตั วของบุคคล คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ในฐานะสถาบันการศึกษาชั้นนำที่มีพันธกิจในการผลิตบัณฑิต วิจัย สรางองค ความรู รวมทั้งเผยแพร ใหบริการทางวิชาการ และขอเสนอแนะที่เปนประโยชนตอสังคม ตระหนักถึง ผลกระทบของ GDPR ของสหภาพยุโรปฉบับนี้ตอองคกรธุรกิจและหนวยงานตางๆ ในประเทศไทย จึง เห็นความสำคัญและความจำเปนที่ควรมีการศึกษาวิจัยเพื่อแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน บุคคลเพื่อรองรับการมีผลบังคับใชของ GDPR (EU General Data Protection Regulation) การนี้ ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงรวมกัน กับองคกรภาครัฐและเอกชน จัดใหมี “โครงการจัดทำคูมือแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน บุคคล” โดยเริ่มจากการจัดสัมมนาเชิงลึกเมื่อวันจันทรที่ 2 กรกฎาคม 2561 ระดมความคิดเห็น-ประเด็น ตางๆ และนำมาตอยอด ศึกษา วิจัยและประชุมกลุมยอยของคณะผูวิจัยอีกหลายครั้งจนทำใหได “แนว ปฏิ บ ั ต ิ เ กี ่ ย วกั บ การคุ  ม ครองข อ มู ล ส ว นบุ ค คล” หรื อ TDPG1.0 (Thailand Data Protection Guidelines 1.0) ดังที่เราไดเผยแพรและมีผูสนใจนำไปศึกษาเปนจำนวนมาก คำถามที่มักจะพบบอยในชวงเวลาที่เผยแพร TDPG1.0 คือ ผูประกอบการไทยหากไมไดมี เปาหมายจะใหบริการในสหภาพยุโรป จะมีความจำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถ แยกสวนการจัดการขอมูลคนชาติยุโรปออกจากสวนอื่นไดหรือไม ซึ่ง TDPG1.0 ไดชวยตอบคำถาม ดังกลาวไวแลว ประเด็นที่สำคัญก็คือ การสงผานขอมูลขามพรมแดนซึ่งจะมีนัยสำคัญมากจากนี้ไปเพราะ ปฏิเสธไมไดวาอินเทอรเน็ตคือสื่อกลางในการสงผานดังกลาว และผูประกอบการทั้งหลายก็ไมอาจปดกั้น ตัวเองไมสงผานขอมูลทั้งไปและกลับได โดยเฉพาะวาอินเทอรเน็ตเปนเครื่องมือที่ทำใหผูประกอบการ สามารถเปดตลาดไปยังตลาดทั่วโลกรวมถึงสหภาพยุโรปได ประเด็นจึงไมใชวาเราจะจัดการขอมูลสวน บุคคลของสหภาพยุโรปอยางไรอีกตอไป หากแตเปนคำถามวาเราจะยกระดับมาตรฐานการคุมครอง ขอมูลสวนบุคคลใหเปนที่ยอมรับไดอยางไร ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 5 ต อ มาในป 2562 เราได พ ระราชบั ญ ญั ต ิ คุ ม ครองข อ มู ล ส ว นบุ ค คล พ.ศ.2562 และ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร พ.ศ.2562 และเปนที่แนชัดแลววาประเทศไทยจะ มีมาตรฐานทางธุรกิจใหมทั้งในเรื่องการคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซ เบอร คำถามที่มักจะพบบอยในปนี้ คือ แนวปฏิบัติที่เกี่ยวของจะดำเนินการอยางไร จะมีมาตรฐานอะไร อยางไรที่จะเกิดขึ้น เปนคำถามที่ลงไปในทางปฏิบัติมากขึ้น แสดงใหเห็นที่แนวโนมที่ดีและการปรับตัว ของภาคธุ รกิจ ตั ว อย างที ่น า สนใจในช ว งดัง กลา วก็ คื อ คำถามที่ ว า เราจะแยกแยะ Contract กั บ Consent อยางไร ซึ่งถือเปนหัวใจในทางปฏิบัติประการหนึ่งในเรื่องนี้ ในสวนที่เกี่ยวกับการสรางมาตรฐานและแนวปฏิบัติของผูประกอบการนั้นปจจุบันยังเปนโจทย ที่ควรจะตองดำเนินการเองโดยภาคประชาสังคม ไมควรรอแตใหมีการจัดตั้งหนวยงานมาออกมาตรฐาน และแนวปฏิบัติ ซึ่งอาจตองกินเวลานานหลายป อยางไรก็ดียังมีความกังวลอยูมากในภาคประชาสังคมวา หากจำเปนตองคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซเบอรก็จะเปนการสราง ภาระและผูประกอบการขนาดกลางและเล็กอาจไมสามารถดำเนินการได ซึ่งถาหากเราชวยกันกำหนด มาตรฐานหรือแนวทางที่ควรจะเปนขึ้นมาใหชัดเจนและแนนอนวาหนวยงานขนาดเล็กก็ไมควรจะตอง ทำงานขนาดใหญเกินตัว ก็จะชวยแกปญหาความไมชัดเจนนี้ไปได จึงนำมาสูการพัฒนาเปน TDPG2.0 (Thailand Data Protection Guidelines 2.0) ที่จะมีเนื้อหาอางอิงกับกฎหมายที่ไดตราขึ้นมาแลว พรอมทั้งเพิ่มเนื้อหาที่จำเปนตอการประมวลผลขอมูลสวนบุคคลเพิ่มเติมขึ้นตามแผนที่เราไดสัญญาไว ตั้งแตเวอรชั่นแรก ซึ่งก็ไดรับการตอบรับจากผูสนใจเปนอยางดีในชวงที่ผานมา อยางไรก็ดีในป 2563 ที่เปนกำหนดการบังคับใชพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 ไดมีการแพรระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 (COVID-19) โดยยังไมนับวามีปจจัยแทรก ซอนและความไมเรียบรอยหลายประการเกิดขึ้น นับเปนชวงเวลาที่ยากลำบากของเราทุกคนทั้งในระดับ ภายในประเทศและระดับโลก รัฐบาลจึงไดตราพระราชกฤษฎีกากำหนดหนวยงานและกิจการที่ผูควบคุม ขอมูลสวนบุคคลไมอยูภายใตบังคับแหงพระราชบัญญัติคุม ครองขอมูลสวนบุคคล พ.ศ.2562 พ.ศ.2563 เพื่อขยายเวลาการบังคับใชออกไปเปนวันที่ 1 มิถุนายน 2564 เพื่อใหหนวยงานและผูประกอบการ ทั้งหลายไดมีเวลาเพิ่มขึ้นในเตรียมความพรอมดำเนินการใหเปนไปตามกฎหมาย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงมีความตั้งใจที่ จะชวยสรางมาตรฐานในเรื่องดังกลาวใหปรากฎโดยกระบวนการศึกษาคนควาทางวิชาการและการรับฟง ความเห็ น จากทุ ก ภาคส ว น โดยในครั ้ ง นี้ ม ี เ ป า หมายที ่ จ ะพั ฒ นาเป น TDPG3.0 (Thailand Data Protection Guidelines 3.0) – Business Functions เพื ่ อ ตอบคำถามเฉพาะของผู  ป ฏิ บ ั ต ิ ใ นราย ละเอียดของประเภทงานตางๆอันไดแก งานฝายขายและการตลาด, งานดานขอมูล, งานดานทรัพยากร 6 Thailand Data Protection Guidelines 3.0 บุคคล, งานดานเทคโนโลยีสารสนเทศ, งานดานจัดซื้อจัดจาง และประเด็นเฉพาะเกี่ยวกับขอมูลออนไหว โดยในเวอรชั่นยังไดรับการสนับสนุนใหจัดทำแนวปฏิบัติของกลุมวานิชธนกิจเพิ่มเติมดวย คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย หวังเปนอยางยิ่งวา “แนวปฏิบัติเกี่ยวกับการ คุมครองขอมูลสวนบุคคล” ที่เปนผลงานของศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร ชิ้นนี้ จะ ก อ ให เ กิ ด การตระหนั ก รู  ข องภาครั ฐ และภาคเอกชน รวมทั ้ ง เกิ ด ประโยชน แ ก อ งค ก รต า งๆ และ ผูประกอบการของไทย ที่จะสามารถนำแนวปฏิบัตินี้ไปใชไดจริงเพื่อใหการดำเนินการคุมครองขอมูลสวน บุคคลเปนไปตามมาตรฐานซึ่งเปนที่ยอมรับตามความมุงหมายและวัตถุประสงคของโครงการนี้ สุดทายนี้ คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ขอขอบคุณ บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด, บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด, บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่น แนล จำกัด, บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด, บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน), ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย, วิทยากร ผูลงทะเบียนเขารวมสัมมนา และผูสนับสนุน จำนวนมาก ที่ทำใหโครงการนี้สำเร็จลุลวงดวยดี รวมทั้งขอขอบคุณสำนักปลัดกระทรวงดิจิทัลเพื่อ เศรษฐกิจและสังคม ทำหนาที่ สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล ที่รวมจัดงานสัมมนา เพื่อเผยแพรแนวปฏิบัตินี้สูสาธารณะ ผศ.ดร.ปารีณา ศรีวนิชย (คณบดีและ ผูอำนวยการศูนยวิจัยกฎหมายและการพัฒนา) ธันวาคม 2563 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 7 ขอขอบคุณ โครงการฯขอขอบคุณผูสนับสนุนหลักของโครงการที่เล็งเห็นความสำคัญและสนับสนุนการ จัดทำแนวปฏิบัตินี้เพื่อประโยชนสาธารณะ ไดแก ผูสนับสนุน TDPG3.0 บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน) บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย ขอขอบคุ ณ ผู  ส นั บ สนุ น และช ว ยเหลื อ การจั ด ทำโครงการสั ม มนาฯ ร ว มให ค วามรู  แ ละ แลกเปลี่ยนมุมมองเกี่ยวกับการจัดทำแนวปฏิบัติในงานสัมมนา และการจัดทำแนวปฏิบัตินี้อยางเขมขน มาตั้งแตเริ่มจุดประเด็นการจัดทำแนวปฏิบัติ TDPG1.0 ขึ้นมา ไดแก ผูสนับสนุน คุณสมยศ สุธรี พรชัย (ฬ30) คุณพันชนะ วัฒนเสถียร (ฬ31) ดร.เยาวลักษณ ชาติบัญชาชัย คุณประเสริฐ ปอมปองศึก คุณชื่นกมล ศรีสมโภชน คุณณัฐชา วิวัฒนศิริกลุ แนวปฏิบัตินี้จะไมสามารถดำเนินการไดสำเร็จลุลวงโดยปราศจากผูชวยในทุกๆดานที่เกี่ยวของ ตั้งแตการจัดงานสัมมนาจนถึงการจัดทำแนวปฏิบัติมาทุกเวอรชั่น โครงการขอขอบคุณผูชวยที่นารัก ดังตอไปนี้ 8 Thailand Data Protection Guidelines 3.0 ผูชวยวิจัย พาขวัญ นุกูลกิจ พชร ตันชีวะวงศ กฤษณะ ขาวเรือง ภริษา นนทศิริชญากุล กนกนันท ชนาทรธรรม ปาลิตา รุงระวี ปริยากร รุงเรือง กฤษ เลิศอริยานนท โครงการฯขอขอบคุณผูสนับสนุนโครงการ TDPG1.0 ซึ่งเปนพื้นฐานสำคัญ ไดแก สำนักงาน พัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน), บมจ. เอพี (ไทยแลนด) บจ. อารแอนดที เอเชีย (ประเทศไทย) และขอขอบคุณผูสนับสนุนและวิทยากรที่ไดใหความกรุณารวมใหความรูและแลกเปลี่ยน มุมมองในการจัดทำ TDPG มาโดยตลอด ไดแก ดร.พิเชฐ ดุรงคเวโรจน (รัฐมนตรีวาดวยกระทรวงดิจทิ ัล เพื่อเศรษฐกิจและสังคม), คุณสุรางคณา วายุภาพ (ผูอำนวยการสำนักงานธุรกรรมอิเล็กทรอนิก ส (องคการมหาชน)), ดร.สิทธินัย จันทรานนท (ผูอำนวยการสำนักรองกรรมการผูอำนวยการใหญสาย บริหารงานกฎหมายและบริหารทั่วไป บมจ.การบินไทย), คุณณัฏฐกานต ครรภาฉาย (ผูชวยผูจัดการใหญ Legal Function ธนาคารไทยพาณิชย จำกัด (มหาชน)), Ms. Kristina Nesset Kjerstad (VP Privacy Europe, Telenor Group), คุณวิศิษยศักดิ์ อรุณสุรัตนภักดี และคุณศุภวัฒก ศรีรุงเรือง (ทนายความ หุนสวน บจ. อาร แอนด ที เอเชีย (ประเทศไทย)), ดร.พณชิต กิตติปญญางาม (นายกสมาคมการคาเพื่อ สงเสริมผูประกอบการเทคโนโลยีรายใหม), คุณมนตรี สถาพรกุล (เจาหนาที่คุมครองขอมูลสวนบุคคล บมจ.โทเทิ ่ ล แอ็ ค เซ็ ส คอมมู น ิ เ คชั ่ น ), คุ ณ พิ ช ิ ต พล เอี ่ ย มมงคลชั ย และคุ ณ สุ ท ธิ พ งศ คู ห าเสน ห (ทนายความหุนสวนผูจัดการ และทนายความ บจ.ลิ้งคเลเทอรส (ประเทศไทย)), คุณอัญชลี กลิ่นเกษร (ทนายความ บจ.สำนักงานกฎหมายสากล ธีรคุปต), คุณอัครพล พิเชษฐวณิชยโชค และคุณปราณัตต เลาหไพโรจน (ทนายความหุนสวนผูจัดการ และทนายความ บจ.แชนดเลอร เอ็มเอชเอ็ม), คุณปรามาศ ขวัญชื้น (บมจ.เอพี (ไทยแลนด)), ดร.ปริญญา หอมอเนก (ประธานกรรมการบริหาร บจ.เอซิส โปร เฟสชั่นนัล เซ็นเตอร), คุณสมศักดิ์ ศิริชัยนฤมิตร (ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย), คุณ อธิ ษ ฐา จิ ต รานุ เ คราะห (ทนายความหุ น ส ว น บจ.ติ ล ลิก ี แ อนด ก ิบ บิ นส อิ น เตอร เ นชั ่ น แนล) และ ขอขอบคุณผูทรงคุณวุฒิและผูเชี่ยวชาญที่ใหโอกาสผูแตงหารือและสัมภาษณเชิงลึกเพื่อนำมาปรับปรุง รางแนวปฏิบัติจนสำเร็จลุลวงลงไดดังตอไปนี้ คุณกิตติเมศร สกุลลีลารัศมี, คุณจิตราภรณ หวั่งหลี, คุณ ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 9 เถลิงศักดิ์ ศรีพันธุ, คุณณรงคฤทธิ์ สลีสวยสม, คุณณัฐวุฒิ มหัทธเมธากิจ, คุณปาลธรรม เกษมทรัพย, คุณ สรีรัช แขงขันดี และคุณอาทิตย สุริยะวงศกุล หากแนวปฏิบัตินี้มีขอผิดพลาดหรือไมครบถวนสมบูรณในสวนใด ความบกพรองนั้นเปนของผู แตงแตเพียงผูเดียว พัฒนาพร โกวพัฒนกิจ (ผูจัดการโครงการ) ธันวาคม 2563 10 Thailand Data Protection Guidelines 3.0 สารบัญ ขอขอบคุณ.................................................................................................................................................................. 8 สารบัญ...................................................................................................................................................................... 11 A. บทนำและคำนิยาม................................................................................................................................................ 17 A1. บทนำ............................................................................................................................................................ 17 A2. คำนิยาม......................................................................................................................................................... 22 B. แนวปฏิบัตกิ ารกำหนดและแยกแยะขอมูลสวนบุคคล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)... 25 B1. ขอบเขตของขอมูลสวนบุคคล (SCOPE)............................................................................................................ 26 B2. การกำหนดและแยกแยะขอมูลสวนบุคคลตามความเสี่ยงและความรายแรงที่อาจกระทบตอสิทธิและเสรีภาพของ บุคคล................................................................................................................................................................... 34 B3. การประมวลผลขอมูลสวนบุคคลที่มคี วามออนไหวเปนพิเศษ (SPECIAL CATEGORIES OR SENSITIVE DATA)........... 48 C. แนวปฏิบัติเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล (GUIDELINE ON LAWFUL BASIS FOR PROCESSING PERSONAL DATA).................................................................................................................................................. 65 C1. ฐานสัญญา (CONTRACT)................................................................................................................................. 68 ขอควรระวังเกี่ยวกับ “ความจำเปนในการปฏิบัติตามสัญญา”..................................................................................... 69 C2. ฐานความยินยอม (CONSENT)......................................................................................................................... 70 เงื่อนไขของความยินยอม (Requirements of Consent)......................................................................................... 71 ความยินยอมที่เก็บรวบรวมไวกอน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 จะมีผลบังคับใช (กอน มิถุนายน พ.ศ. 2563)................................................................................................................................................. 78 ขอควรระวังเกี่ยวกับความยินยอม ระหวางบุคคลที่มีอำนาจตอรองไมเทากัน.............................................................. 81 การทำการตลาดแบบตรง (Direct Marketing)......................................................................................................... 82 ระบบสมาชิกสะสมแตม (Loyalty Program)........................................................................................................... 83 การใชขอมูลเครือขายสังคมเพื่อกระตุนยอดขาย (Social Network)......................................................................... 84 การโฆษณาตามพฤติกรรมออนไลน (Online Behavioural Advertisement)......................................................... 85 การขอความยินยอมจากผูเยาว................................................................................................................................... 85 C3. ฐานประโยชนสำคัญตอชีวิต (ระงับอันตรายตอชีวิต ราง กาย สุขภาพ) (VITAL INTEREST).................................. 87 C4. ฐานหนาที่ตามกฎหมาย (LEGAL OBLIGATION).................................................................................................. 87 C5. ฐานภารกิจของรัฐ (PUBLIC TASK).................................................................................................................... 88 C6. ฐานประโยชนอันชอบธรรม (LEGITIMATE INTEREST)......................................................................................... 90 C7. ฐานจดหมายเหตุ/วิจัย/สถิติ............................................................................................................................ 93 D. แนวปฏิบัติเกี่ยวกับหนาที่และความรับผิดชอบของผูควบคุมและผูป ระมวลผลขอมูล (GUIDELINE ON DUTIES AND RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)............................................................................... 95 D1. แนวปฏิบัติเกี่ยวกับสิทธิหนาที่โดยทัว่ ไปของผูค วบคุมและผูประมวลผลขอมูล................................................. 104 ผูควบคุมขอมูล (Data Controller)........................................................................................................................104 ตัวอยางขอความแจงเมือ่ ใชกลองวงจรปด...........................................................................................................108 ตัวอยางบันทึกรายการประมวลผลขอมูล (Record of Processing Activities).................................................. 124 ตัวอยางบันทึกรายการประมวลผลยอย...............................................................................................................125 ตัวอยางนโยบายคุมครองขอมูลสวนบุคคล (Data Protection Policy)..............................................................131 ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบยอ) Privacy Notice (Abridged).................................. 138 ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบละเอียด) Privacy Notice............................................. 140 ผูประมวลผลขอมูล (Data Processor)..................................................................................................................145 ตัวอยางบันทึกรายการประมวลผลขอมูล (record of processing activities)................................................... 149 D2. แนวปฏิบัติเกี่ยวกับการจัดทำขอตกลงระหวางขอตกลงระหวาง ผูควบคุมขอมูลสวนบุคคลและผูป ระมวลผลขอมูล (DATA PROCESSING AGREEMENT).......................................................................................................................... 154 ตัวอยางขอตกลงใหประมวลผลขอมูล (Data Processing Agreement)..........................................................168 D3. แนวปฏิบัติเกี่ยวกับการจัดการคำรองขอของเจาของขอมูล (DATA SUBJECT REQUEST).................................... 172 หนาที่ของผูควบคุมขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Controller)....................... 172 ตัวอยางแบบคำรองขอใชสิทธิในการเขาถึงขอมูล (Right of Access Request Form)...................................... 191 ตัวอยางแบบคำรองขอใชสิทธิในการลบขอมูล (Right to Erasure Request Form)......................................... 196 หนาที่ของผูประมวลผลขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Processor)................... 201 D4. แนวปฏิบัติกรณีมีคำรองขอหรือคำสั่งขอเขาถึงขอมูลสวนบุคคลจากรัฐ (GOVERNMENT REQUEST).................... 202 ตัวอยางแบบคำขอใหเปดเผยขอมูลแกหนวยงานของรัฐ......................................................................................204 D5. ความรับผิดทางแพง ความรับผิดทางอาญา และโทษทางปกครอง.................................................................. 207 ความรับผิดทางแพง.................................................................................................................................................207 ความรับผิดทางอาญา...............................................................................................................................................208 โทษทางปกครอง.....................................................................................................................................................209 E. แนวปฏิบัติเพื่อการประเมินผลกระทบดานการคุมครองขอมูลสวนบุคคล (GUIDELINE ON DATA PROTECTION IMPACT ASSESSMENT)........................................................................................................................................ 213 E1. ขอบเขตของ DPIA........................................................................................................................................ 213 E2. ขั้นตอนของ DPIA......................................................................................................................................... 223 ตัวอยางแบบฟอรมการทำ DPIA.........................................................................................................................232 12 Thailand Data Protection Guidelines 3.0 F. แนวปฏิบัติเกี่ยวกับการโอนขอมูลสวนบุคคลไปยัง ตางประเทศหรือองคการระหวางประเทศ (GUIDELINE ON CROSS-BORDER DATA TRANSFER).................................................................................................................... 243 F1. การสงหรือโอนขอมูลสวนบุคคลไปยังตางประเทศปลายทางหรือองคการระหวางประเทศตามพระราชบัญญัติ คุมครองขอมูลสวนบุคคล พ.ศ. 2562 (TRANSFER OR TRANSIT)............................................................................. 245 F2. กรณีที่ตองสงหรือโอนขอมูลไปยังตางประเทศ หรือองคการระหวางประเทศ.................................................... 249 ตัวอยางนโยบายคุมครองขอมูลสวนบุคคลของเครือกิจการ (Binding Corporate Rules)................................. 257 G. แนวปฏิบัติเกี่ยวกับการการจัดทำขอมูลนิรนาม (GUIDELINE FOR ANONYMIZATION)..................................... 265 G1. การจัดทำขอมูลนิรนาม................................................................................................................................. 267 G2. การพิจารณาสถานการณของขอมูล............................................................................................................. 276 G3. การวิเคราะหความเสี่ยงและมาตรการจัดการความเสี่ยง................................................................................. 279 G4. การตัดสินใจถึงระดับของการจัดทำขอมูลนิรนาม.......................................................................................... 293 k-anonymization.................................................................................................................................................295 Differential Privacy..............................................................................................................................................300 H. แนวปฏิบัติเกี่ยวกับขอมูลออนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)................................................................................................................... 305 H1. เงื่อนไขพิเศษในการประมวลผลขอมูลออนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)......................................................................................................... 305 H2. การจัดการกับขอมูลออนไหว (DEALING WITH SENSITIVE DATA)........................................................................ 328 I. แนวปฏิบัติสำหรับฝายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES)..................................... 353 I1. ความสัมพันธของการประมวลผลขอมูลสวนบุคคลและการทำการตลาด.......................................................... 353 I2. ลักษณะของขอมูลสวนบุคคลตามเสนทางการทำการตลาด.............................................................................. 355 I3. เสนทางขอมูล (DATA JOURNEY)...................................................................................................................... 357 I4. ฐานการประมวลผลที่เกี่ยวของและขอควรระวัง.............................................................................................. 360 I5. บทบาทของหนวยงานตางๆ........................................................................................................................... 363 J. แนวปฏิบัติเกี่ยวกับฝายวิเคราะหขอมูล (GUIDELINE ON DATA ANALYTICS).................................................... 367 J1. หลักการคุมครองขอมูลสวนบุคคลในการประมวลผลขอมูลมหัต...................................................................... 374 J2. ตัวอยางกิจกรรมการประมวลผลขอมูลมหัต.................................................................................................... 398 J3. การจัดทำขอมูลนิรนามและผลกระทบ............................................................................................................ 408 J4. การอธิบายการตัดสินใจโดยปญญาประดิษฐ................................................................................................... 412 K. แนวปฏิบัติเกี่ยวกับฝายทรัพยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT).................. 421 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 13 K1. การรับสมัครและการคัดเลือก........................................................................................................................ 421 K2. การเก็บรวบรวม ใช และเปดเผยขอมูลสวนบุคคลของลูกจางในระหวางการจางงาน....................................... 438 K3. การตรวจสอบในที่ทำงาน............................................................................................................................. 457 K4. ขอมูลเกี่ยวกับสุขภาพลูกจาง........................................................................................................................ 467 K5. ตัวอยางเอกสาร............................................................................................................................................ 475 ตัวอยางหนังสือแจงนโยบายการคุมครองขอมูลสวนบุคคลสำหรับเจาหนาที่และลูกจาง....................................... 476 ตัวอยางขอบังคับเกี่ยวกับการทำงาน..................................................................................................................482 L. แนวปฏิบัติเกี่ยวกับฝายจัดซื้อจัดจาง (GUIDELINE FOR PROCUREMENT DEPARTMENT)................................ 487 L1. การจัดซื้อจัดจางใหม.................................................................................................................................... 487 กอนทำสัญญา (Prior to Contracting)..................................................................................................................487 ตัวอยางสิ่งที่ตองระบุในเอกสารแจงขอมูลการประมวลผลขอมูลเพื่อการจัดซื้อจัดจาง......................................... 493 ตัวอยางแบบสอบถามดานการคุมครองขอมูลสวนบุคคล.....................................................................................494 การทำสัญญา (Contracting).................................................................................................................................497 ตัวอยางสัญญาผูประมวลผลขอมูลสวนบุคคล (Data Processing Agreement)................................................. 498 ประเด็นในสัญญาที่จะตองเจรจาตอรองกัน.........................................................................................................500 ตัวอยางหัวขอที่สำคัญในสัญญาระหวางผูควบคุมขอมูลสวนบุคคล......................................................................502 หลังทำสัญญา (Post Contracting)........................................................................................................................505 L2. แนวทางการจัดซื้อจัดจางที่มีผลบังคับใชแลว................................................................................................. 506 L3. ขอควรพิจารณาในการจัดซื้อจัดจางบริการประเภททีน่ าสนใจ........................................................................ 508 M. แนวปฏิบัติสำหรับฝายเทคโนโลยีสารสนเทศ (GUIDELINE FOR IT DEPARTMENT)........................................... 515 M1. งานดานเทคโนโลยีสารสนเทศและการคุมครองขอมูลสวนบุคคล.................................................................... 515 M2. มาตรฐานสำหรับระบบบริหารจัดการขอมูลสวนบุคคล.................................................................................. 523 M3. แนวทางการประเมินผลกระทบและความเสี่ยงที่เกี่ยวกับขอมูลสวนบุคคล...................................................... 526 N. แนวปฏิบัติสำหรับเจาหนาที่คุมครองขอมูลสวนบุคคล (GUIDELINES FOR DATA PROTECTION OFFICER)..... 559 N1. ความจำเปน ทักษะและคุณสมบัติ และเกณฑการคัดเลือก เจาหนาที่คุมครองขอมูลสวนบุคคล........................ 559 N2. ความตระหนักรูและขอพึงระวังขององคกรที่มีตอ การปฏิบตั ิงานของเจาหนาที่คุมครองขอมูลสวนบุคคล.......... 566 N3. บทบาทหนาที่และความรับผิดชอบของเจาหนาที่คุมครองสวนบุคคล............................................................. 571 ลักษณะงานที่ 1 ภาระงานขั้นตน.............................................................................................................................572 ลักษณะงานที่ 2 การทำงานขององคกร....................................................................................................................578 ตัวอยางบันทึกรายการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูควบคุมขอมูล................................................... 581 ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูประมวลผลขอมูลสวนบุคคล................................... 583 ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลฉบับสมบูรณ..............................................................................585 14 Thailand Data Protection Guidelines 3.0 ลักษณะงานที่ 3: ตรวจสอบการปฏิบัตติ ามหนาที่.....................................................................................................612 ลักษณะงานที่ 4: หนาที่ใหคำปรึกษา........................................................................................................................633 ลักษณะงานที่ 5: ใหความรวมมือและใหคำปรึกษาแก สคส......................................................................................638 ลักษณะงานที่ 6: การจัดการคำรองขอของเจาของขอมูล..........................................................................................641 ลักษณะงานที่ 7: การใหขอมูลและการสรางความตระหนักรู....................................................................................642 N4. มาตรฐานทางจริยธรรม................................................................................................................................ 644 คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION...................................................... 647 [TDPG2.0B] DATA CLASSIFICATION..................................................................................................................... 647 [TDPG2.0C] LAWFUL BASIS................................................................................................................................ 649 [TDPG2.0D] CONTROLLERS & PROCESSORS......................................................................................................... 656 [TDPG2.0E] DPIA............................................................................................................................................. 665 [TDPG2.0F] CROSS-BORDER DATA TRANSFER...................................................................................................... 665 [TDPG2.0G] ANONYMIZATION............................................................................................................................ 666 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 15 A. บทนำและคำนิยาม A1. บทนำ แนวปฏิบัติเปนเครื่องมือสำคัญประการหนึ่งที่ชวยใหการดำเนินการตามกฎหมายหรือหลักการ ใดๆที่มีกำหนดขึ้นเปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลวการบัญญัติกฎหมาย หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ใหทำ” (prescriptive), “ไมใหทำ” (proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ยอมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติวาควร ทำ “อยางไร” โดยเฉพาะอยางยิ่งกับกฎหมายที่โดยทั่วไปแลวสามารถกำหนดไดเพียงในระดับที่กำหนด “หาม” เปนหลักการไวเทานั้น แตในขั้นตอนปฏิบัติยอมไมสามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะ ทั้งปวงได เพราะจะทำใหกฎหมายนั้นมีความเครงครัดมากเสียจนไมอาจนำไปใชไดจริง ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถ กำหนดวิ ธี ป ฏิบ ั ติ ในรายละเอี ยดลงไปโดยสมบู รณได จึ ง มี ค ำถามเกี ่ย วกั บวิ ธี ก ารปฏิ บั ติ ว าควรทำ “อยางไร” มีขอสังเกตวากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไป “ขอมูลสวน บุคคล” (Personal Data) ไมใช “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุมครองขอมูลสวนบุคคลนั้นจะมี ผลเปนการปกปอง “บุคคล” จากผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีก ชั้นหนึ่ง อันเปนแนวทางตามแบบสหภาพยุโรป กลาวคือ จะสามารถประมวลผลขอมูลสวนบุคคลโดย ชอบดวยกฎหมายก็ตอไปมี “ฐานทางกฎหมาย” (lawful basis) ใหทำได หลักการพื้นฐานของการ คุมครองขอมูลสวนบุคคลจึงไดแก “หามประมวลผลขอมูลสวนบุคคล เวนแตจะมีฐานหรือเหตุแหงการ ประมวลผลใหทำไดตามกฎหมาย” (รายละเอียดปรากฏในสวน C) เมื่อสหภาพยุโรปไดออกกฎหมายฉบับใหมเกี่ยวกับการคุมครองขอมูลสวนบุคคลหรือที่เรียกกัน วา “GDPR” (EU General Data Protection Regulation) ซึ่งเปนการปรับปรุงกฎหมายเดิม (EU Data Protection Directive 95/46/EC) ซึ่งใชบังคับมานานมากวา 20 ป ทำใหเกิดการเปลี่ยนแปลงหลักการ ที่สำคัญ เชน - กำหนดการใชอำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคือ ขอมูลสวน บุคคลของสหภาพยุโรปอยูภายใตความคุมครองไมวาจะอยูในที่ใดในโลก - กำหนดบทลงโทษสูงขึ้น โดยองคกรที่กระทำผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ 4 ของผลประกอบการรายไดทั่วโลก - กำหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and affirmative consent) - กำหนดการแจงเตือนเมื่อเกิดเหตุขอมูลรั่วไหล หนวยงานผูควบคุมขอมูลและผูประมวลผล ขอมูลตองแจงใหหนวยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง - กำหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมูลทราบ วาขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทำสำเนาขอมูลใหกับเจาของ ขอมูลในรูปแบบอิเล็กทรอนิกส โดยหามเก็บคาใชจายเพิ่ม - กำหนดรับรองสิทธิในการโอนขอมูลไปยังผูประกอบการอื่น (Right to data portability) - กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจาของขอมูลสามารถขอให หนวยงานควบคุมขอมูลลบขอมูลของตัวเองออกได GDPR มีผลบังคับใชเมื่อวันที่ 25 พฤษภาคม 2561 ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแก การสงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สำหรับผูประกอบการไทยหากจะทำการติดตอรับ- สงขอมูลกับบุคคลของประเทศสมาชิก ก็ตองมีมาตรการคุมครองขอมูลสวนบุคคลที่เหมาะสมเพียงพอ เชนเดียวกัน เปนเหตุใหผูประกอบการไทยตองปรับตัวเพื่อรองรับมาตรฐานการคุมครองขอมูลสวนบุคคล ดังกลาว เปนเวลากวา 20 ปที่รัฐบาลไดพยายามผลักดันกฎหมายการคุมครองขอมูลสวนบุคคลจน ประสบความสำเร็จและประกาศในราชกิจจานุเบกษาเมื่อ 28 พฤษภาคม 2562 และจะมีผลบังคับใชตาม กฎหมายในวันที่ 1 มิถุนายน 2564 โดยไดรับอิทธิพลสำคัญจาก GDPR หนวยงานภาครัฐและเอกชนจึง ควรเตรียมความพรอมเพื่อรองรับการจัดการขอมูลสวนบุคคลในความครอบครองของตนเพื่อใหเปนไป ตามหลักเกณฑดังกลาว ซึ่งปจจุบันถือวาเปนมาตรฐานใหมของการคุมครองขอมูลสวนบุคคลของโลก แนวปฏิบัตินี้ (ซึ่งตอไปจะเรียกวา “TDPG3.0”) จึงมีเจตนาที่จะตอบคำถามเกี่ยวกับวิธีการวา ควรทำ “อยางไร” สำหรับประเทศไทยซึ่งยังไมเคยมีแนวปฏิบัติใดๆในเรื่องนี้มากอน โดยมี GDPR เปน ตนแบบ ซึ่งหมายความวาแนวปฏิบัตินี้เปนเพียงคำอธิบายของวิธีการปฏิบัติเพื่อการคุมครองขอมูลสวน 18 Thailand Data Protection Guidelines 3.0 บุคคลซึ่งจำเปนตองพัฒนาอยางตอเนื่องตอไป การปฏิบัติตามแนวปฏิบัตินี้จึงไมใชการปฏิบัติตาม กฎหมายหรือมาตรฐาน GDPR ที่ครบถวน แตเปนเพียงขอแนะนำที่ควรจะตองปฏิบัติและพัฒนาปรับปรุง อยางตอเนื่อง ตอคำถามวาผูประกอบการไทยหากไมไดมีเปาหมายจะใหบริการในสหภาพยุโรป จะมีความ จำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถแยกสวนการจัดการขอมูลคนชาติยุโรปออกจาก สวนอื่นไดหรือไมนั้น ดวยเหตุที่ผูประกอบการไทยจะตองดำเนินการตามพระราชบัญญัติคุมครองขอมูล สวนบุคคล พ.ศ.2562 และสถานการณของไทยนั้นอยูในขั้นที่เรียกวาแทบจะเริม่ ตนจากศูนย กลาวคือ ยัง ไมเคยมีมาตรฐานการคุมครองขอมูลสวนบุคคลใดๆมากอน ที่ผานมามีประกาศของบางหนวยงานที่ ประกาศเฉพาะแกบางภาคธุรกิจ แตก็เปนเพียงการกำหนดหลักการกวางๆเทานั้นและอยูเปนสวนเล็กๆ ของมาตรการความปลอดภัยไซเบอร (network security) ยังไมถึงขนาดเปนการวางแนวปฏิบัติหรือ มาตรฐานในเรื่องนี้ได 1 และที่ผานมารายงานของคณะทำงานดานพาณิชยอิเล็กทรอนิกสของ APEC ระบุ 0 วาจากสมาชิก APEC จำนวน 21 เขตเศรษฐกิจ มีเพียง 5 เขตเศรษฐกิจที่ยังไมมีกฎหมายคุมครองขอมูล สวนบุคคล ไดแก บรูไน, จีน, อินโดนีเซีย, ปาปวนิวกินี และไทย และยอมรวมถึงวาเขตเศรษฐกิจดังกลาว ไมมีหนวยงานกำกับดูแลการคุมครองขอมูลสวนบุคคลไปดวย ทำใหประเทศไทยไมสามารถเขารวม โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที ่ จ ะเป น กลไกให ห น ว ยงานและองคกร ทั้งหลายเขารวมแบบสมัครใจเพื่อรับการรับรองวามีการคุมครองขอมูลสวนบุคคลเปนที่ยอมรับ 2 1 ที่ถือวาใกลเคียงที่สุดไดแก - [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุมครองสิทธิของผูใชบริการโทรคมนาคมเกี่ยวกับขอมูล สวนบุคคล สิทธิในความเปนสวนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม พ.ศ.2549 - [ภาครัฐ] ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภัยดานสารสนเทศของหนวยงานของรัฐ พ.ศ.2553 - [ภาคการเงิน] เอกสารแนบ 6 ประกาศธนาคารแหงประเทศไทย ที่ สกส2. 4/2563 เรื่อง การบริหารจัดการ ดานการใหบริการแกลกู คาอยางเปนธรรม (Market conduct) โดยปรับปรุงจากหลักเกณฑเดิมใหมี สาระสำคัญการขอความยินยอมที่ตอ งแยกสวนระหวางวัตถุประสงคทางการตลาดและวัตถุประสงคอื่นและ กำหนดการเปดเผยขอมูลลูกคาตามฐานการประมวลผลที่สอดคลองกับพระราชบัญญัติคุมครองขอมูลสวน บุคคล พ.ศ.2562 2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM - CBPRS (2017), https://www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross- Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018). ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 19 การดำเนิ น การใดๆในเรื่ อ งนี ้จ ึ ง มี แ ต จะทำให สถานะของประเทศไทยดี ขึ ้ น อย างแนนอน นอกจากนีผ้ ูทรงคุณวุฒิก็มีความเห็นตรงกันในเรื่องนี้วามีความจำเปนตองมีมาตรฐานในเรื่องนี้ขึ้นมา และ ไมมีความคุมคาในทางปฏิบัติที่จะแยกสวนการจัดการขอมูลสวนบุคคลตามมาตรฐานพระราชบัญญัติ คุมครองขอมูลสวนบุคคล พ.ศ.2562 และ GDPR ออกจากกัน TDPG3.0 จึงอธิบายแนวปฏิบัติพื้นฐานที่จำเปนตอการดำเนินการเพื่อการคุมครองขอมูลสวน บุคคลตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยสอดคลองกันกับมาตรฐานสากล เทียบเทากับ GDPR ตอไป TDPG3.0 จึงเปนความพยายามที่จะไดวางแนวปฏิบัติที่เกี่ยวกับการคุมครอง ขอมูลสวนบุคคลอยางเปนระบบและมีแนวทางใหดำเนินการที่ชัดเจนนำไปปฏิบัติได โดยหวังเปนอยางยิ่ง วาผูประกอบการและหนวยงานที่เกี่ยวของจะไดใชเปนประโยชนในการพัฒนานโยบายการคุม ครองขอมูล สวนบุคคลของตนเองตอไป ในเวอรชั่นนี้ TDPG3.0 จึงเปนการปรับปรุงเพิ่มเติมจากเวอรชั่นกอน โดย แผนภาพตอไปแสดงใหเห็นแนวคิดรวบยอดของ TDPG3.0 ซึ่งจะชวยใหผูอานเห็นภาพวาเนื้อหาของสวน ตางๆในแนวปฏิบัติมีความเชื่อมโยงกันอยางไร 20 Thailand Data Protection Guidelines 3.0 Contract Data Classification Consent Special Categories / Sensitive Data Vital Interest Lawful Basis for Processing Legal Obligation Public Task Legitimate Interest Duties & Responsibilities Data Processing Agreement Controllers & Processors User Requests Government Requests DPIA (Data Protection Impact Assessment) Cross-Border Data Transfer Anonymization Marketing & Sales Data Analytics Human Resources IT Department Procurement Investment Bank (Forthcoming) TDPG1.0 TDPG2.0 TDPG3.0 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 21 A2. คำนิยาม Th En คำอธิบาย การจัดทำขอมูล Anonymization กระบวนการที่ทำใหความเสี่ยงในการระบุตัวตนของเจาของขอมูลนั้น นิรนาม นอยมากจนแทบไมตองใหความสำคัญกับความเสี่ยง (negligible risk) รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำขอมูลนิรนาม การแฝงขอมูล Pseudonymization การประมวลผลขอมูลสวนบุคคลในลักษณะที่ขอมูลสวนบุคคลไม สามารถระบุตัวเจาของขอมูลไดหากปราศจากการใชขอมูลเพิ่มเติม ประกอบ ทั้งนี้ขอมูลเพิ่มเติมนี้มีการเก็บรักษาไวแยกออกจากกันและอยู ภายใตมาตรการเชิงเทคนิคและมาตรเชิงบริหารจัดการเพื่อประกันวา ขอมูลสวนบุคคลจะไมสามารถระบุไปถึงบุคคลธรรมดาได (GDPR, Article 4(5)) รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำ ขอมูลนิรนาม การประมวลผล Processing การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำตอขอมูลสวน ขอมูล บุคคลหรือชุดขอมูลสวนบุคคล ไมวาจะโดยวิธีการอัตโนมัติหรือไม เชน การเก็บ บันทึก จัดระบบ จัดโครงสราง เก็บรักษา เปลีย่ นแปลงหรือ ปรับเปลี่ยน การรับ พิจารณา ใช เปดเผยดวยการสงตอ เผยแพร หรือ การกระทำอื่นใดซึ่งทำใหเกิดดความพรอมใชงาน การจัดวางหรือผสม เขาดวยกัน การจำกัด การลบ หรือการทำลาย (GDPR Article 4(2)) ขอมูลออนไหว Sensitive Personal เปนขอมูลสวนบุคคลที่เปนเรื่องสวนตัวโดยแทของบุคคล แตมีความ Data ละเอียดออนและสุมเสี่ยงตอการถูกใชในการเลือกปฏิบัติอยางไมเปน ธรรม จึงจำเปนตองดำเนินการดวยความระมัดระวังเปนพิเศษ ขอมูลสวน Personal Data ขอมูลใดๆที่ระบุไปถึง “เจาของขอมูล” (Data Subject) ได บุคคล ขอมูลสวน Personal Data การรั่วไหลหรือละเมิดมาตรการความมัน่ คงปลอดภัยตอขอมูลสวน บุคคลรั่วไหล Breach บุคคลทำใหเกิด ความเสียหาย, สูญหาย, เปลี่ยนแปลง, เปดเผยโดย ไมไดรับอนุญาต, หรือเขาถึงขอมูลสวนบุคคลที่ใชงาน (GDPR, Article 4 (12)) ขอมูลสวน Pseudonymous ขอมูลที่ทำการแฝงขอมูลแลว (ดู “การแฝงขอมูล”) บุคคลแฝง Data ขอมูลนิรนาม Anonymous Data ขอมูลที่ผานกระบวนการจัดทำขอมูลนิรนามแลว (ดู “การจัดทำขอมูล นิรนาม”) 22 Thailand Data Protection Guidelines 3.0 Th En คำอธิบาย เจาของขอมูล Data Subject มีความหมายในลักษณะเปนบุคคลที่ขอมูลนั้นบงชี้ไปถึง ไมใชเปน เจาของในลักษณะทรัพยสิทธิ หรือเปนคนสรางขอมูลนั้นขึ้นมา มีความ แตกตางจาก data owner ในกฎหมาย (บางตัว) ของสหรัฐอเมริกา โปรไฟลิ่ง Profiling รูบแบบการประมวลผลขอมูลสวนบุคคลใดๆ ซึ่งมีการใชขอมูลสวน บุคคลในการประเมินแงมุมเกี่ยวกับบุคคล โดยเฉพาะอยางยิ่งเพื่อ วิเคราะหหรือคาดการณเกี่ยวกับบุคคลธรรมดาในเรื่องประสิทธิภาพใน การทำงาน สถานะทางเศรษฐกิจ สุขภาพของบุคคล ความชื่นชอบสวน บุคคล ประโยชนของบุคคล พฤติกรรมของบุคคล ความนาเชื่อถือของ บุคคล ตำแหนงทางภูมิศาสตร หรือความเคลื่อนไหวของบุคคล ผูควบคุมขอมูล Data Controller บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร ใดซึ่งเปนผูกำหนดวัตถุประสงคและวิธกี ารในการประมวลผลขอมูลสวน บุคคล (GDPR 4(7)) ผูประมวลผล Data Processor บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร ขอมูล ใดซึ่งประมวลผลขอมูลแทนผูควบคุมขอมูล (GDPR 4(8)) สคส. OPDPC สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88 ICO UK Information Commissioner’s Office SGPDPA Singapore Personal Data Protection Act 2012 UKDPA UK Data Protection Act 2018 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 23 B. แนวปฏิบัติการกำหนดและแยกแยะขอมูลสวนบุคคล (Guideline on Personal Data Classification) ผูประกอบการทุกรายยอมไดรับผลกระทบจากการปรับปรุงหรือเปลี่ยนผานวิธีการทำงานของ ตนเพื่อใชงานเทคโนโลยีดิจิทัล ยิ่งผูประกอบการตองใชขอมูลดิจิทัลมากเทาใด ยิ่งทำใหเกิดประเด็นการ บริหารจัดการเกี่ยวกับขอมูลที่ตนเองใช โดยเฉพาะอยางยิ่งการบริหารความเสี่ยงของการใชขอมูล ทั้งหลาย รวมถึงขอมูลสวนบุคคล ผูประกอบการจึงตองสามารถระบุขอมูลและจัดการขอมูลตางๆบน พื้นฐานของความเสี่ยงไดอยางเหมาะสม แนวปฏิบัตินี้จึงเปนขั้นตอนพื้นฐานที่สุดเพื่อการจัดการขอมูล สวนบุคคลในประเด็นอื่นๆตอไป โดยแบงออกเปน 2 สวนไดแก (1) ขอบเขตของขอมูลสวนบุคคล ซึ่งจะชวยใหทราบวาขอมูลใดเปนขอมูลที่อยูในขอบเขต ความหมายของขอมูลสวนบุคคล (in-scope) (2) การกำหนดและแยกแยะขอมูลสวนบุคคล ซ

Use Quizgecko on...
Browser
Browser