Thailand Data Protection Guidelines 3.0 PDF
Document Details
Uploaded by RosyObsidian6881
Chulalongkorn University
2020
Piyabutr Bunarramreung, Photthaporn Kowapatanakij, Peerapat Choksawatnakul, Seksiri Niwattisaiwong, Piti Eiamjarunlap, Chawin Unnupat, Thitirat Tipyasamritkul, Phoomsiri Damrongvuthi, Mokkhopit Rattharun
Tags
Summary
This document, Thailand Data Protection Guidelines 3.0, was published in December 2020 by Chulalongkorn University's law faculty. It provides guidelines related to personal data protection in Thailand, including references to the GDPR and practical application examples for businesses.
Full Transcript
Thailand Data Protection Guidelines 3.0 แนวปฏิบัตเิ กี่ยวกับการคุมครองขอมูลสวนบุคคล Final Version 3.0 ธันวาคม 2563 สนับสนุนโดย ขอมูลทางบรรณานุกรมของสำนักหอสมุดแหงชาติ National Library of Thailand Cataloging in Publication Data ป...
Thailand Data Protection Guidelines 3.0 แนวปฏิบัตเิ กี่ยวกับการคุมครองขอมูลสวนบุคคล Final Version 3.0 ธันวาคม 2563 สนับสนุนโดย ขอมูลทางบรรณานุกรมของสำนักหอสมุดแหงชาติ National Library of Thailand Cataloging in Publication Data ปยะบุตร บุญอรามเรือง, พัฒนาพร โกวพัฒนกิจ, พีรพัฒ โชคสุวัฒนสกุล, เสกสิริ นิวัติศัยวงศ, ปติ เอี่ยมจำรูญลาภ, ชวิน อุนภัทร, ฐิติรัตน ทิพยสมั ฤทธิ์กุล, ภูมศิ ิริ ดำรงวุฒิ, โมกขพิศุทธิ์ รตารุณ Thailand Data Protection Guidelines 3.0: แนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวนบุคคล ISBN พิมพครั้งที่ 1 ธันวาคม 2563 จำนวนพิมพ 300 เลม จำนวนหนา 668 หนา จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ถนนพญาไท ปทุมวัน กรุงเทพฯ 10330 โทร. 02-218-2017 พิมพที่ โรงพิมพแหงจุฬาลงกรณมหาวิทยาลัย [6112-019D] โทร. 0 2218 3549-50 โทรสาร 0 2215 3612 2 Thailand Data Protection Guidelines 3.0 จัดทำโดย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย สนับสนุนโดย บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน) ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย ที่ปรึกษา รศ.ธิติพันธุ เชื้อบุญชัย ผศ.ดร.ปารีณา ศรีวนิชย (คณบดีและ ผอ.ศูนยวิจัยกฎหมายและการพัฒนา) ผูแตง ผศ.ดร.ปยะบุตร บุญอรามเรือง รศ.ดร.พัฒนาพร โกวพัฒนกิจ อ.ดร.พีรพัฒ โชคสุวัฒนสกุล ผศ.เสกสิริ นิวัติศัยวงศ อ.ดร.ปติ เอีย่ มจำรูญลาภ อ.ดร.ชวิน อุนภัทร อ.ฐิติรัตน ทิพยสมั ฤทธิ์กุล อ.ดร.ภูมิศิริ ดำรงวุฒิ โมกขพิศุทธิ์ รตารุณ ผูจัดการโครงการ รศ.ดร.พัฒนาพร โกวพัฒนกิจ วันที่เผยแพร ธันวาคม 2563 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 3 ขอปฏิเสธความรับผิด (Disclaimer) ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณ มหาวิทยาลัย รวมถึงที่ปรึกษาและผูแตงของแนวปฏิบัตินี้ (รวมเรียกวา “ผูแตง”) ไมไดใหการรับรองหรือ รับประกันใดๆถึงความถูกตองครบถวนของเนื้อหาของงานนี้ และผูแตงขอปฏิเสธอยางชัดแจงวาไมไดให การรับรองหรือรับประกันใดๆทั้งสิ้นตอเนื้อหาของงานนี้ โดยขอแนะนำที่ปรากฏในงานนี้อาจไมเหมาะสม ตอสถานการณบางลักษณะ เนื้อหาของงานนี้จึงไมใชการใหคำปรึกษาทางกฎหมายหรือคำปรึกษาทาง วิชาชีพใดๆทั้งสิ้น หากผูอ านจำเปนตองไดรับคำปรึกษาทีเ่ กี่ยวของ ผูอานจำเปนตองติดตอขอคำปรึกษา จากผูเชีย่ วชาญในดานนั้นโดยตรง ผูแตงจึงไมมีความรับผิดชอบและไมตองรับผิดใดๆตอความเสียหายที่ อางวาเกิดขึ้นจากการปฏิบัติตามเนื้อหาของงานนี้ และหากมีการอางอิงใดๆถึงงานนี้ไมวาในรูปแบบใด ผู แตงขอปฏิเสธอยางชัดแจงไมใหการรับรองหรือการรับประกันการอางอิงนั้น การรับรองใดๆที่อาจมีขึ้น ตองออกเปนหนังสือโดยผูแตงเทานั้น นอกจากนี้ผูอานควรตระหนักไวดวยวาการคุมครองขอมูลสวน บุคคลเปนเรื่องที่กำลังมีการพัฒนาและปรับปรุงอยางรวดเร็วในปจจุบัน เนื้อหาหลายประการในที่นี้อาจ ลาสมัยหรือไมเหมาะสมในหลายสถานการณเมื่อเวลาผานไป รายการอางอิงทางเว็บไซตใดๆในงานนี้ก็ อาจมีการเปลี่ยนแปลงหรือสูญหายไปไดเมื่อเวลาที่ทานไดอานงานนี้ ลิ ข สิ ท ธิ ์ ท ั ้ ง หมดของงานนี ้ เ ปน ของผู แ ต ง และได รั บ ความคุ มครองตาม กฎหมายลิขสิทธิ์และกฎหมายอื่นที่ใชบังคับ หามนำงานไปใชอยางอื่น นอกจากการใชที่ไดรับอนุญาตนี้หรือตามกฎหมายลิขสิทธิ์ หนังสือเลมนี้ไดจัดใหใชไดตามขอตกลงของ สัญญาอนุญาตสาธารณะของ Creative Commons แบบแสดงที่มา 3.0 ประเทศไทย (CC BY 3.0 TH), https://creativecommons.org/licenses/by/3.0/th/legalcode 4 Thailand Data Protection Guidelines 3.0 เมื ่ อ สหภาพยุ โ รปได อ อก GDPR หรื อ General Data Protection Regulation ซึ ่ ง เป น กฎหมายคุมครองขอมูลสวนบุคคลมาบังคับใชเมื่อเดือนพฤษภาคม 2561 ที่ผานมา โดยมีขอกำหนดให องคกรตางๆ ที่มีธุรกรรมหรือการดำเนินการบนอินเทอรเน็ตที่มีขอมูลสวนบุคคลของผูบริโภคตองปฏิบัติ ตามมาตรการตางๆ ที่เขมงวดขึ้นเพื ่อเพิ่ม ความคุมครองข อมูลสว นตั วของบุคคล คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ในฐานะสถาบันการศึกษาชั้นนำที่มีพันธกิจในการผลิตบัณฑิต วิจัย สรางองค ความรู รวมทั้งเผยแพร ใหบริการทางวิชาการ และขอเสนอแนะที่เปนประโยชนตอสังคม ตระหนักถึง ผลกระทบของ GDPR ของสหภาพยุโรปฉบับนี้ตอองคกรธุรกิจและหนวยงานตางๆ ในประเทศไทย จึง เห็นความสำคัญและความจำเปนที่ควรมีการศึกษาวิจัยเพื่อแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน บุคคลเพื่อรองรับการมีผลบังคับใชของ GDPR (EU General Data Protection Regulation) การนี้ ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงรวมกัน กับองคกรภาครัฐและเอกชน จัดใหมี “โครงการจัดทำคูมือแนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวน บุคคล” โดยเริ่มจากการจัดสัมมนาเชิงลึกเมื่อวันจันทรที่ 2 กรกฎาคม 2561 ระดมความคิดเห็น-ประเด็น ตางๆ และนำมาตอยอด ศึกษา วิจัยและประชุมกลุมยอยของคณะผูวิจัยอีกหลายครั้งจนทำใหได “แนว ปฏิ บ ั ต ิ เ กี ่ ย วกั บ การคุ ม ครองข อ มู ล ส ว นบุ ค คล” หรื อ TDPG1.0 (Thailand Data Protection Guidelines 1.0) ดังที่เราไดเผยแพรและมีผูสนใจนำไปศึกษาเปนจำนวนมาก คำถามที่มักจะพบบอยในชวงเวลาที่เผยแพร TDPG1.0 คือ ผูประกอบการไทยหากไมไดมี เปาหมายจะใหบริการในสหภาพยุโรป จะมีความจำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถ แยกสวนการจัดการขอมูลคนชาติยุโรปออกจากสวนอื่นไดหรือไม ซึ่ง TDPG1.0 ไดชวยตอบคำถาม ดังกลาวไวแลว ประเด็นที่สำคัญก็คือ การสงผานขอมูลขามพรมแดนซึ่งจะมีนัยสำคัญมากจากนี้ไปเพราะ ปฏิเสธไมไดวาอินเทอรเน็ตคือสื่อกลางในการสงผานดังกลาว และผูประกอบการทั้งหลายก็ไมอาจปดกั้น ตัวเองไมสงผานขอมูลทั้งไปและกลับได โดยเฉพาะวาอินเทอรเน็ตเปนเครื่องมือที่ทำใหผูประกอบการ สามารถเปดตลาดไปยังตลาดทั่วโลกรวมถึงสหภาพยุโรปได ประเด็นจึงไมใชวาเราจะจัดการขอมูลสวน บุคคลของสหภาพยุโรปอยางไรอีกตอไป หากแตเปนคำถามวาเราจะยกระดับมาตรฐานการคุมครอง ขอมูลสวนบุคคลใหเปนที่ยอมรับไดอยางไร ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 5 ต อ มาในป 2562 เราได พ ระราชบั ญ ญั ต ิ คุ ม ครองข อ มู ล ส ว นบุ ค คล พ.ศ.2562 และ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร พ.ศ.2562 และเปนที่แนชัดแลววาประเทศไทยจะ มีมาตรฐานทางธุรกิจใหมทั้งในเรื่องการคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซ เบอร คำถามที่มักจะพบบอยในปนี้ คือ แนวปฏิบัติที่เกี่ยวของจะดำเนินการอยางไร จะมีมาตรฐานอะไร อยางไรที่จะเกิดขึ้น เปนคำถามที่ลงไปในทางปฏิบัติมากขึ้น แสดงใหเห็นที่แนวโนมที่ดีและการปรับตัว ของภาคธุ รกิจ ตั ว อย างที ่น า สนใจในช ว งดัง กลา วก็ คื อ คำถามที่ ว า เราจะแยกแยะ Contract กั บ Consent อยางไร ซึ่งถือเปนหัวใจในทางปฏิบัติประการหนึ่งในเรื่องนี้ ในสวนที่เกี่ยวกับการสรางมาตรฐานและแนวปฏิบัติของผูประกอบการนั้นปจจุบันยังเปนโจทย ที่ควรจะตองดำเนินการเองโดยภาคประชาสังคม ไมควรรอแตใหมีการจัดตั้งหนวยงานมาออกมาตรฐาน และแนวปฏิบัติ ซึ่งอาจตองกินเวลานานหลายป อยางไรก็ดียังมีความกังวลอยูมากในภาคประชาสังคมวา หากจำเปนตองคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัยไซเบอรก็จะเปนการสราง ภาระและผูประกอบการขนาดกลางและเล็กอาจไมสามารถดำเนินการได ซึ่งถาหากเราชวยกันกำหนด มาตรฐานหรือแนวทางที่ควรจะเปนขึ้นมาใหชัดเจนและแนนอนวาหนวยงานขนาดเล็กก็ไมควรจะตอง ทำงานขนาดใหญเกินตัว ก็จะชวยแกปญหาความไมชัดเจนนี้ไปได จึงนำมาสูการพัฒนาเปน TDPG2.0 (Thailand Data Protection Guidelines 2.0) ที่จะมีเนื้อหาอางอิงกับกฎหมายที่ไดตราขึ้นมาแลว พรอมทั้งเพิ่มเนื้อหาที่จำเปนตอการประมวลผลขอมูลสวนบุคคลเพิ่มเติมขึ้นตามแผนที่เราไดสัญญาไว ตั้งแตเวอรชั่นแรก ซึ่งก็ไดรับการตอบรับจากผูสนใจเปนอยางดีในชวงที่ผานมา อยางไรก็ดีในป 2563 ที่เปนกำหนดการบังคับใชพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 ไดมีการแพรระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 (COVID-19) โดยยังไมนับวามีปจจัยแทรก ซอนและความไมเรียบรอยหลายประการเกิดขึ้น นับเปนชวงเวลาที่ยากลำบากของเราทุกคนทั้งในระดับ ภายในประเทศและระดับโลก รัฐบาลจึงไดตราพระราชกฤษฎีกากำหนดหนวยงานและกิจการที่ผูควบคุม ขอมูลสวนบุคคลไมอยูภายใตบังคับแหงพระราชบัญญัติคุม ครองขอมูลสวนบุคคล พ.ศ.2562 พ.ศ.2563 เพื่อขยายเวลาการบังคับใชออกไปเปนวันที่ 1 มิถุนายน 2564 เพื่อใหหนวยงานและผูประกอบการ ทั้งหลายไดมีเวลาเพิ่มขึ้นในเตรียมความพรอมดำเนินการใหเปนไปตามกฎหมาย ศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย จึงมีความตั้งใจที่ จะชวยสรางมาตรฐานในเรื่องดังกลาวใหปรากฎโดยกระบวนการศึกษาคนควาทางวิชาการและการรับฟง ความเห็ น จากทุ ก ภาคส ว น โดยในครั ้ ง นี้ ม ี เ ป า หมายที ่ จ ะพั ฒ นาเป น TDPG3.0 (Thailand Data Protection Guidelines 3.0) – Business Functions เพื ่ อ ตอบคำถามเฉพาะของผู ป ฏิ บ ั ต ิ ใ นราย ละเอียดของประเภทงานตางๆอันไดแก งานฝายขายและการตลาด, งานดานขอมูล, งานดานทรัพยากร 6 Thailand Data Protection Guidelines 3.0 บุคคล, งานดานเทคโนโลยีสารสนเทศ, งานดานจัดซื้อจัดจาง และประเด็นเฉพาะเกี่ยวกับขอมูลออนไหว โดยในเวอรชั่นยังไดรับการสนับสนุนใหจัดทำแนวปฏิบัติของกลุมวานิชธนกิจเพิ่มเติมดวย คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย หวังเปนอยางยิ่งวา “แนวปฏิบัติเกี่ยวกับการ คุมครองขอมูลสวนบุคคล” ที่เปนผลงานของศูนยวิจัยกฎหมายและการพัฒนา คณะนิติศาสตร ชิ้นนี้ จะ ก อ ให เ กิ ด การตระหนั ก รู ข องภาครั ฐ และภาคเอกชน รวมทั ้ ง เกิ ด ประโยชน แ ก อ งค ก รต า งๆ และ ผูประกอบการของไทย ที่จะสามารถนำแนวปฏิบัตินี้ไปใชไดจริงเพื่อใหการดำเนินการคุมครองขอมูลสวน บุคคลเปนไปตามมาตรฐานซึ่งเปนที่ยอมรับตามความมุงหมายและวัตถุประสงคของโครงการนี้ สุดทายนี้ คณะนิติศาสตร จุฬาลงกรณมหาวิทยาลัย ขอขอบคุณ บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด, บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด, บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่น แนล จำกัด, บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด, บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน), ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย, วิทยากร ผูลงทะเบียนเขารวมสัมมนา และผูสนับสนุน จำนวนมาก ที่ทำใหโครงการนี้สำเร็จลุลวงดวยดี รวมทั้งขอขอบคุณสำนักปลัดกระทรวงดิจิทัลเพื่อ เศรษฐกิจและสังคม ทำหนาที่ สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล ที่รวมจัดงานสัมมนา เพื่อเผยแพรแนวปฏิบัตินี้สูสาธารณะ ผศ.ดร.ปารีณา ศรีวนิชย (คณบดีและ ผูอำนวยการศูนยวิจัยกฎหมายและการพัฒนา) ธันวาคม 2563 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 7 ขอขอบคุณ โครงการฯขอขอบคุณผูสนับสนุนหลักของโครงการที่เล็งเห็นความสำคัญและสนับสนุนการ จัดทำแนวปฏิบัตินี้เพื่อประโยชนสาธารณะ ไดแก ผูสนับสนุน TDPG3.0 บริษัท อารแอนดที เอเชีย (ประเทศไทย) จำกัด บริษัท เอพี (ไทยแลนด) จำกัด (มหาชน) บริษัท แชนดเลอร เอ็มเอชเอ็ม จำกัด บริษัท ติลลิกีแอนดกิบบินส อินเตอรเนชั่นแนล จำกัด บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร จำกัด ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย ขอขอบคุ ณ ผู ส นั บ สนุ น และช ว ยเหลื อ การจั ด ทำโครงการสั ม มนาฯ ร ว มให ค วามรู แ ละ แลกเปลี่ยนมุมมองเกี่ยวกับการจัดทำแนวปฏิบัติในงานสัมมนา และการจัดทำแนวปฏิบัตินี้อยางเขมขน มาตั้งแตเริ่มจุดประเด็นการจัดทำแนวปฏิบัติ TDPG1.0 ขึ้นมา ไดแก ผูสนับสนุน คุณสมยศ สุธรี พรชัย (ฬ30) คุณพันชนะ วัฒนเสถียร (ฬ31) ดร.เยาวลักษณ ชาติบัญชาชัย คุณประเสริฐ ปอมปองศึก คุณชื่นกมล ศรีสมโภชน คุณณัฐชา วิวัฒนศิริกลุ แนวปฏิบัตินี้จะไมสามารถดำเนินการไดสำเร็จลุลวงโดยปราศจากผูชวยในทุกๆดานที่เกี่ยวของ ตั้งแตการจัดงานสัมมนาจนถึงการจัดทำแนวปฏิบัติมาทุกเวอรชั่น โครงการขอขอบคุณผูชวยที่นารัก ดังตอไปนี้ 8 Thailand Data Protection Guidelines 3.0 ผูชวยวิจัย พาขวัญ นุกูลกิจ พชร ตันชีวะวงศ กฤษณะ ขาวเรือง ภริษา นนทศิริชญากุล กนกนันท ชนาทรธรรม ปาลิตา รุงระวี ปริยากร รุงเรือง กฤษ เลิศอริยานนท โครงการฯขอขอบคุณผูสนับสนุนโครงการ TDPG1.0 ซึ่งเปนพื้นฐานสำคัญ ไดแก สำนักงาน พัฒนาธุรกรรมทางอิเล็กทรอนิกส (องคการมหาชน), บมจ. เอพี (ไทยแลนด) บจ. อารแอนดที เอเชีย (ประเทศไทย) และขอขอบคุณผูสนับสนุนและวิทยากรที่ไดใหความกรุณารวมใหความรูและแลกเปลี่ยน มุมมองในการจัดทำ TDPG มาโดยตลอด ไดแก ดร.พิเชฐ ดุรงคเวโรจน (รัฐมนตรีวาดวยกระทรวงดิจทิ ัล เพื่อเศรษฐกิจและสังคม), คุณสุรางคณา วายุภาพ (ผูอำนวยการสำนักงานธุรกรรมอิเล็กทรอนิก ส (องคการมหาชน)), ดร.สิทธินัย จันทรานนท (ผูอำนวยการสำนักรองกรรมการผูอำนวยการใหญสาย บริหารงานกฎหมายและบริหารทั่วไป บมจ.การบินไทย), คุณณัฏฐกานต ครรภาฉาย (ผูชวยผูจัดการใหญ Legal Function ธนาคารไทยพาณิชย จำกัด (มหาชน)), Ms. Kristina Nesset Kjerstad (VP Privacy Europe, Telenor Group), คุณวิศิษยศักดิ์ อรุณสุรัตนภักดี และคุณศุภวัฒก ศรีรุงเรือง (ทนายความ หุนสวน บจ. อาร แอนด ที เอเชีย (ประเทศไทย)), ดร.พณชิต กิตติปญญางาม (นายกสมาคมการคาเพื่อ สงเสริมผูประกอบการเทคโนโลยีรายใหม), คุณมนตรี สถาพรกุล (เจาหนาที่คุมครองขอมูลสวนบุคคล บมจ.โทเทิ ่ ล แอ็ ค เซ็ ส คอมมู น ิ เ คชั ่ น ), คุ ณ พิ ช ิ ต พล เอี ่ ย มมงคลชั ย และคุ ณ สุ ท ธิ พ งศ คู ห าเสน ห (ทนายความหุนสวนผูจัดการ และทนายความ บจ.ลิ้งคเลเทอรส (ประเทศไทย)), คุณอัญชลี กลิ่นเกษร (ทนายความ บจ.สำนักงานกฎหมายสากล ธีรคุปต), คุณอัครพล พิเชษฐวณิชยโชค และคุณปราณัตต เลาหไพโรจน (ทนายความหุนสวนผูจัดการ และทนายความ บจ.แชนดเลอร เอ็มเอชเอ็ม), คุณปรามาศ ขวัญชื้น (บมจ.เอพี (ไทยแลนด)), ดร.ปริญญา หอมอเนก (ประธานกรรมการบริหาร บจ.เอซิส โปร เฟสชั่นนัล เซ็นเตอร), คุณสมศักดิ์ ศิริชัยนฤมิตร (ชมรมวานิชธนกิจ สมาคมบริษัทหลักทรัพยไทย), คุณ อธิ ษ ฐา จิ ต รานุ เ คราะห (ทนายความหุ น ส ว น บจ.ติ ล ลิก ี แ อนด ก ิบ บิ นส อิ น เตอร เ นชั ่ น แนล) และ ขอขอบคุณผูทรงคุณวุฒิและผูเชี่ยวชาญที่ใหโอกาสผูแตงหารือและสัมภาษณเชิงลึกเพื่อนำมาปรับปรุง รางแนวปฏิบัติจนสำเร็จลุลวงลงไดดังตอไปนี้ คุณกิตติเมศร สกุลลีลารัศมี, คุณจิตราภรณ หวั่งหลี, คุณ ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 9 เถลิงศักดิ์ ศรีพันธุ, คุณณรงคฤทธิ์ สลีสวยสม, คุณณัฐวุฒิ มหัทธเมธากิจ, คุณปาลธรรม เกษมทรัพย, คุณ สรีรัช แขงขันดี และคุณอาทิตย สุริยะวงศกุล หากแนวปฏิบัตินี้มีขอผิดพลาดหรือไมครบถวนสมบูรณในสวนใด ความบกพรองนั้นเปนของผู แตงแตเพียงผูเดียว พัฒนาพร โกวพัฒนกิจ (ผูจัดการโครงการ) ธันวาคม 2563 10 Thailand Data Protection Guidelines 3.0 สารบัญ ขอขอบคุณ.................................................................................................................................................................. 8 สารบัญ...................................................................................................................................................................... 11 A. บทนำและคำนิยาม................................................................................................................................................ 17 A1. บทนำ............................................................................................................................................................ 17 A2. คำนิยาม......................................................................................................................................................... 22 B. แนวปฏิบัตกิ ารกำหนดและแยกแยะขอมูลสวนบุคคล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)... 25 B1. ขอบเขตของขอมูลสวนบุคคล (SCOPE)............................................................................................................ 26 B2. การกำหนดและแยกแยะขอมูลสวนบุคคลตามความเสี่ยงและความรายแรงที่อาจกระทบตอสิทธิและเสรีภาพของ บุคคล................................................................................................................................................................... 34 B3. การประมวลผลขอมูลสวนบุคคลที่มคี วามออนไหวเปนพิเศษ (SPECIAL CATEGORIES OR SENSITIVE DATA)........... 48 C. แนวปฏิบัติเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล (GUIDELINE ON LAWFUL BASIS FOR PROCESSING PERSONAL DATA).................................................................................................................................................. 65 C1. ฐานสัญญา (CONTRACT)................................................................................................................................. 68 ขอควรระวังเกี่ยวกับ “ความจำเปนในการปฏิบัติตามสัญญา”..................................................................................... 69 C2. ฐานความยินยอม (CONSENT)......................................................................................................................... 70 เงื่อนไขของความยินยอม (Requirements of Consent)......................................................................................... 71 ความยินยอมที่เก็บรวบรวมไวกอน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562 จะมีผลบังคับใช (กอน มิถุนายน พ.ศ. 2563)................................................................................................................................................. 78 ขอควรระวังเกี่ยวกับความยินยอม ระหวางบุคคลที่มีอำนาจตอรองไมเทากัน.............................................................. 81 การทำการตลาดแบบตรง (Direct Marketing)......................................................................................................... 82 ระบบสมาชิกสะสมแตม (Loyalty Program)........................................................................................................... 83 การใชขอมูลเครือขายสังคมเพื่อกระตุนยอดขาย (Social Network)......................................................................... 84 การโฆษณาตามพฤติกรรมออนไลน (Online Behavioural Advertisement)......................................................... 85 การขอความยินยอมจากผูเยาว................................................................................................................................... 85 C3. ฐานประโยชนสำคัญตอชีวิต (ระงับอันตรายตอชีวิต ราง กาย สุขภาพ) (VITAL INTEREST).................................. 87 C4. ฐานหนาที่ตามกฎหมาย (LEGAL OBLIGATION).................................................................................................. 87 C5. ฐานภารกิจของรัฐ (PUBLIC TASK).................................................................................................................... 88 C6. ฐานประโยชนอันชอบธรรม (LEGITIMATE INTEREST)......................................................................................... 90 C7. ฐานจดหมายเหตุ/วิจัย/สถิติ............................................................................................................................ 93 D. แนวปฏิบัติเกี่ยวกับหนาที่และความรับผิดชอบของผูควบคุมและผูป ระมวลผลขอมูล (GUIDELINE ON DUTIES AND RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)............................................................................... 95 D1. แนวปฏิบัติเกี่ยวกับสิทธิหนาที่โดยทัว่ ไปของผูค วบคุมและผูประมวลผลขอมูล................................................. 104 ผูควบคุมขอมูล (Data Controller)........................................................................................................................104 ตัวอยางขอความแจงเมือ่ ใชกลองวงจรปด...........................................................................................................108 ตัวอยางบันทึกรายการประมวลผลขอมูล (Record of Processing Activities).................................................. 124 ตัวอยางบันทึกรายการประมวลผลยอย...............................................................................................................125 ตัวอยางนโยบายคุมครองขอมูลสวนบุคคล (Data Protection Policy)..............................................................131 ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบยอ) Privacy Notice (Abridged).................................. 138 ตัวอยางเอกสารแจงขอมูลการประมวลผลขอมูล (แบบละเอียด) Privacy Notice............................................. 140 ผูประมวลผลขอมูล (Data Processor)..................................................................................................................145 ตัวอยางบันทึกรายการประมวลผลขอมูล (record of processing activities)................................................... 149 D2. แนวปฏิบัติเกี่ยวกับการจัดทำขอตกลงระหวางขอตกลงระหวาง ผูควบคุมขอมูลสวนบุคคลและผูป ระมวลผลขอมูล (DATA PROCESSING AGREEMENT).......................................................................................................................... 154 ตัวอยางขอตกลงใหประมวลผลขอมูล (Data Processing Agreement)..........................................................168 D3. แนวปฏิบัติเกี่ยวกับการจัดการคำรองขอของเจาของขอมูล (DATA SUBJECT REQUEST).................................... 172 หนาที่ของผูควบคุมขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Controller)....................... 172 ตัวอยางแบบคำรองขอใชสิทธิในการเขาถึงขอมูล (Right of Access Request Form)...................................... 191 ตัวอยางแบบคำรองขอใชสิทธิในการลบขอมูล (Right to Erasure Request Form)......................................... 196 หนาที่ของผูประมวลผลขอมูลเมื่อเจาของขอมูลรองขอ (Data Subject Request to the Processor)................... 201 D4. แนวปฏิบัติกรณีมีคำรองขอหรือคำสั่งขอเขาถึงขอมูลสวนบุคคลจากรัฐ (GOVERNMENT REQUEST).................... 202 ตัวอยางแบบคำขอใหเปดเผยขอมูลแกหนวยงานของรัฐ......................................................................................204 D5. ความรับผิดทางแพง ความรับผิดทางอาญา และโทษทางปกครอง.................................................................. 207 ความรับผิดทางแพง.................................................................................................................................................207 ความรับผิดทางอาญา...............................................................................................................................................208 โทษทางปกครอง.....................................................................................................................................................209 E. แนวปฏิบัติเพื่อการประเมินผลกระทบดานการคุมครองขอมูลสวนบุคคล (GUIDELINE ON DATA PROTECTION IMPACT ASSESSMENT)........................................................................................................................................ 213 E1. ขอบเขตของ DPIA........................................................................................................................................ 213 E2. ขั้นตอนของ DPIA......................................................................................................................................... 223 ตัวอยางแบบฟอรมการทำ DPIA.........................................................................................................................232 12 Thailand Data Protection Guidelines 3.0 F. แนวปฏิบัติเกี่ยวกับการโอนขอมูลสวนบุคคลไปยัง ตางประเทศหรือองคการระหวางประเทศ (GUIDELINE ON CROSS-BORDER DATA TRANSFER).................................................................................................................... 243 F1. การสงหรือโอนขอมูลสวนบุคคลไปยังตางประเทศปลายทางหรือองคการระหวางประเทศตามพระราชบัญญัติ คุมครองขอมูลสวนบุคคล พ.ศ. 2562 (TRANSFER OR TRANSIT)............................................................................. 245 F2. กรณีที่ตองสงหรือโอนขอมูลไปยังตางประเทศ หรือองคการระหวางประเทศ.................................................... 249 ตัวอยางนโยบายคุมครองขอมูลสวนบุคคลของเครือกิจการ (Binding Corporate Rules)................................. 257 G. แนวปฏิบัติเกี่ยวกับการการจัดทำขอมูลนิรนาม (GUIDELINE FOR ANONYMIZATION)..................................... 265 G1. การจัดทำขอมูลนิรนาม................................................................................................................................. 267 G2. การพิจารณาสถานการณของขอมูล............................................................................................................. 276 G3. การวิเคราะหความเสี่ยงและมาตรการจัดการความเสี่ยง................................................................................. 279 G4. การตัดสินใจถึงระดับของการจัดทำขอมูลนิรนาม.......................................................................................... 293 k-anonymization.................................................................................................................................................295 Differential Privacy..............................................................................................................................................300 H. แนวปฏิบัติเกี่ยวกับขอมูลออนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)................................................................................................................... 305 H1. เงื่อนไขพิเศษในการประมวลผลขอมูลออนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)......................................................................................................... 305 H2. การจัดการกับขอมูลออนไหว (DEALING WITH SENSITIVE DATA)........................................................................ 328 I. แนวปฏิบัติสำหรับฝายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES)..................................... 353 I1. ความสัมพันธของการประมวลผลขอมูลสวนบุคคลและการทำการตลาด.......................................................... 353 I2. ลักษณะของขอมูลสวนบุคคลตามเสนทางการทำการตลาด.............................................................................. 355 I3. เสนทางขอมูล (DATA JOURNEY)...................................................................................................................... 357 I4. ฐานการประมวลผลที่เกี่ยวของและขอควรระวัง.............................................................................................. 360 I5. บทบาทของหนวยงานตางๆ........................................................................................................................... 363 J. แนวปฏิบัติเกี่ยวกับฝายวิเคราะหขอมูล (GUIDELINE ON DATA ANALYTICS).................................................... 367 J1. หลักการคุมครองขอมูลสวนบุคคลในการประมวลผลขอมูลมหัต...................................................................... 374 J2. ตัวอยางกิจกรรมการประมวลผลขอมูลมหัต.................................................................................................... 398 J3. การจัดทำขอมูลนิรนามและผลกระทบ............................................................................................................ 408 J4. การอธิบายการตัดสินใจโดยปญญาประดิษฐ................................................................................................... 412 K. แนวปฏิบัติเกี่ยวกับฝายทรัพยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT).................. 421 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 13 K1. การรับสมัครและการคัดเลือก........................................................................................................................ 421 K2. การเก็บรวบรวม ใช และเปดเผยขอมูลสวนบุคคลของลูกจางในระหวางการจางงาน....................................... 438 K3. การตรวจสอบในที่ทำงาน............................................................................................................................. 457 K4. ขอมูลเกี่ยวกับสุขภาพลูกจาง........................................................................................................................ 467 K5. ตัวอยางเอกสาร............................................................................................................................................ 475 ตัวอยางหนังสือแจงนโยบายการคุมครองขอมูลสวนบุคคลสำหรับเจาหนาที่และลูกจาง....................................... 476 ตัวอยางขอบังคับเกี่ยวกับการทำงาน..................................................................................................................482 L. แนวปฏิบัติเกี่ยวกับฝายจัดซื้อจัดจาง (GUIDELINE FOR PROCUREMENT DEPARTMENT)................................ 487 L1. การจัดซื้อจัดจางใหม.................................................................................................................................... 487 กอนทำสัญญา (Prior to Contracting)..................................................................................................................487 ตัวอยางสิ่งที่ตองระบุในเอกสารแจงขอมูลการประมวลผลขอมูลเพื่อการจัดซื้อจัดจาง......................................... 493 ตัวอยางแบบสอบถามดานการคุมครองขอมูลสวนบุคคล.....................................................................................494 การทำสัญญา (Contracting).................................................................................................................................497 ตัวอยางสัญญาผูประมวลผลขอมูลสวนบุคคล (Data Processing Agreement)................................................. 498 ประเด็นในสัญญาที่จะตองเจรจาตอรองกัน.........................................................................................................500 ตัวอยางหัวขอที่สำคัญในสัญญาระหวางผูควบคุมขอมูลสวนบุคคล......................................................................502 หลังทำสัญญา (Post Contracting)........................................................................................................................505 L2. แนวทางการจัดซื้อจัดจางที่มีผลบังคับใชแลว................................................................................................. 506 L3. ขอควรพิจารณาในการจัดซื้อจัดจางบริการประเภททีน่ าสนใจ........................................................................ 508 M. แนวปฏิบัติสำหรับฝายเทคโนโลยีสารสนเทศ (GUIDELINE FOR IT DEPARTMENT)........................................... 515 M1. งานดานเทคโนโลยีสารสนเทศและการคุมครองขอมูลสวนบุคคล.................................................................... 515 M2. มาตรฐานสำหรับระบบบริหารจัดการขอมูลสวนบุคคล.................................................................................. 523 M3. แนวทางการประเมินผลกระทบและความเสี่ยงที่เกี่ยวกับขอมูลสวนบุคคล...................................................... 526 N. แนวปฏิบัติสำหรับเจาหนาที่คุมครองขอมูลสวนบุคคล (GUIDELINES FOR DATA PROTECTION OFFICER)..... 559 N1. ความจำเปน ทักษะและคุณสมบัติ และเกณฑการคัดเลือก เจาหนาที่คุมครองขอมูลสวนบุคคล........................ 559 N2. ความตระหนักรูและขอพึงระวังขององคกรที่มีตอ การปฏิบตั ิงานของเจาหนาที่คุมครองขอมูลสวนบุคคล.......... 566 N3. บทบาทหนาที่และความรับผิดชอบของเจาหนาที่คุมครองสวนบุคคล............................................................. 571 ลักษณะงานที่ 1 ภาระงานขั้นตน.............................................................................................................................572 ลักษณะงานที่ 2 การทำงานขององคกร....................................................................................................................578 ตัวอยางบันทึกรายการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูควบคุมขอมูล................................................... 581 ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลพื้นฐานโดยผูประมวลผลขอมูลสวนบุคคล................................... 583 ตัวอยางบันทึกการประมวลผลขอมูลสวนบุคคลฉบับสมบูรณ..............................................................................585 14 Thailand Data Protection Guidelines 3.0 ลักษณะงานที่ 3: ตรวจสอบการปฏิบัตติ ามหนาที่.....................................................................................................612 ลักษณะงานที่ 4: หนาที่ใหคำปรึกษา........................................................................................................................633 ลักษณะงานที่ 5: ใหความรวมมือและใหคำปรึกษาแก สคส......................................................................................638 ลักษณะงานที่ 6: การจัดการคำรองขอของเจาของขอมูล..........................................................................................641 ลักษณะงานที่ 7: การใหขอมูลและการสรางความตระหนักรู....................................................................................642 N4. มาตรฐานทางจริยธรรม................................................................................................................................ 644 คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION...................................................... 647 [TDPG2.0B] DATA CLASSIFICATION..................................................................................................................... 647 [TDPG2.0C] LAWFUL BASIS................................................................................................................................ 649 [TDPG2.0D] CONTROLLERS & PROCESSORS......................................................................................................... 656 [TDPG2.0E] DPIA............................................................................................................................................. 665 [TDPG2.0F] CROSS-BORDER DATA TRANSFER...................................................................................................... 665 [TDPG2.0G] ANONYMIZATION............................................................................................................................ 666 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 15 A. บทนำและคำนิยาม A1. บทนำ แนวปฏิบัติเปนเครื่องมือสำคัญประการหนึ่งที่ชวยใหการดำเนินการตามกฎหมายหรือหลักการ ใดๆที่มีกำหนดขึ้นเปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลวการบัญญัติกฎหมาย หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ใหทำ” (prescriptive), “ไมใหทำ” (proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ยอมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติวาควร ทำ “อยางไร” โดยเฉพาะอยางยิ่งกับกฎหมายที่โดยทั่วไปแลวสามารถกำหนดไดเพียงในระดับที่กำหนด “หาม” เปนหลักการไวเทานั้น แตในขั้นตอนปฏิบัติยอมไมสามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะ ทั้งปวงได เพราะจะทำใหกฎหมายนั้นมีความเครงครัดมากเสียจนไมอาจนำไปใชไดจริง ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถ กำหนดวิ ธี ป ฏิบ ั ติ ในรายละเอี ยดลงไปโดยสมบู รณได จึ ง มี ค ำถามเกี ่ย วกั บวิ ธี ก ารปฏิ บั ติ ว าควรทำ “อยางไร” มีขอสังเกตวากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไป “ขอมูลสวน บุคคล” (Personal Data) ไมใช “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุมครองขอมูลสวนบุคคลนั้นจะมี ผลเปนการปกปอง “บุคคล” จากผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีก ชั้นหนึ่ง อันเปนแนวทางตามแบบสหภาพยุโรป กลาวคือ จะสามารถประมวลผลขอมูลสวนบุคคลโดย ชอบดวยกฎหมายก็ตอไปมี “ฐานทางกฎหมาย” (lawful basis) ใหทำได หลักการพื้นฐานของการ คุมครองขอมูลสวนบุคคลจึงไดแก “หามประมวลผลขอมูลสวนบุคคล เวนแตจะมีฐานหรือเหตุแหงการ ประมวลผลใหทำไดตามกฎหมาย” (รายละเอียดปรากฏในสวน C) เมื่อสหภาพยุโรปไดออกกฎหมายฉบับใหมเกี่ยวกับการคุมครองขอมูลสวนบุคคลหรือที่เรียกกัน วา “GDPR” (EU General Data Protection Regulation) ซึ่งเปนการปรับปรุงกฎหมายเดิม (EU Data Protection Directive 95/46/EC) ซึ่งใชบังคับมานานมากวา 20 ป ทำใหเกิดการเปลี่ยนแปลงหลักการ ที่สำคัญ เชน - กำหนดการใชอำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคือ ขอมูลสวน บุคคลของสหภาพยุโรปอยูภายใตความคุมครองไมวาจะอยูในที่ใดในโลก - กำหนดบทลงโทษสูงขึ้น โดยองคกรที่กระทำผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ 4 ของผลประกอบการรายไดทั่วโลก - กำหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and affirmative consent) - กำหนดการแจงเตือนเมื่อเกิดเหตุขอมูลรั่วไหล หนวยงานผูควบคุมขอมูลและผูประมวลผล ขอมูลตองแจงใหหนวยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง - กำหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมูลทราบ วาขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทำสำเนาขอมูลใหกับเจาของ ขอมูลในรูปแบบอิเล็กทรอนิกส โดยหามเก็บคาใชจายเพิ่ม - กำหนดรับรองสิทธิในการโอนขอมูลไปยังผูประกอบการอื่น (Right to data portability) - กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจาของขอมูลสามารถขอให หนวยงานควบคุมขอมูลลบขอมูลของตัวเองออกได GDPR มีผลบังคับใชเมื่อวันที่ 25 พฤษภาคม 2561 ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแก การสงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สำหรับผูประกอบการไทยหากจะทำการติดตอรับ- สงขอมูลกับบุคคลของประเทศสมาชิก ก็ตองมีมาตรการคุมครองขอมูลสวนบุคคลที่เหมาะสมเพียงพอ เชนเดียวกัน เปนเหตุใหผูประกอบการไทยตองปรับตัวเพื่อรองรับมาตรฐานการคุมครองขอมูลสวนบุคคล ดังกลาว เปนเวลากวา 20 ปที่รัฐบาลไดพยายามผลักดันกฎหมายการคุมครองขอมูลสวนบุคคลจน ประสบความสำเร็จและประกาศในราชกิจจานุเบกษาเมื่อ 28 พฤษภาคม 2562 และจะมีผลบังคับใชตาม กฎหมายในวันที่ 1 มิถุนายน 2564 โดยไดรับอิทธิพลสำคัญจาก GDPR หนวยงานภาครัฐและเอกชนจึง ควรเตรียมความพรอมเพื่อรองรับการจัดการขอมูลสวนบุคคลในความครอบครองของตนเพื่อใหเปนไป ตามหลักเกณฑดังกลาว ซึ่งปจจุบันถือวาเปนมาตรฐานใหมของการคุมครองขอมูลสวนบุคคลของโลก แนวปฏิบัตินี้ (ซึ่งตอไปจะเรียกวา “TDPG3.0”) จึงมีเจตนาที่จะตอบคำถามเกี่ยวกับวิธีการวา ควรทำ “อยางไร” สำหรับประเทศไทยซึ่งยังไมเคยมีแนวปฏิบัติใดๆในเรื่องนี้มากอน โดยมี GDPR เปน ตนแบบ ซึ่งหมายความวาแนวปฏิบัตินี้เปนเพียงคำอธิบายของวิธีการปฏิบัติเพื่อการคุมครองขอมูลสวน 18 Thailand Data Protection Guidelines 3.0 บุคคลซึ่งจำเปนตองพัฒนาอยางตอเนื่องตอไป การปฏิบัติตามแนวปฏิบัตินี้จึงไมใชการปฏิบัติตาม กฎหมายหรือมาตรฐาน GDPR ที่ครบถวน แตเปนเพียงขอแนะนำที่ควรจะตองปฏิบัติและพัฒนาปรับปรุง อยางตอเนื่อง ตอคำถามวาผูประกอบการไทยหากไมไดมีเปาหมายจะใหบริการในสหภาพยุโรป จะมีความ จำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถแยกสวนการจัดการขอมูลคนชาติยุโรปออกจาก สวนอื่นไดหรือไมนั้น ดวยเหตุที่ผูประกอบการไทยจะตองดำเนินการตามพระราชบัญญัติคุมครองขอมูล สวนบุคคล พ.ศ.2562 และสถานการณของไทยนั้นอยูในขั้นที่เรียกวาแทบจะเริม่ ตนจากศูนย กลาวคือ ยัง ไมเคยมีมาตรฐานการคุมครองขอมูลสวนบุคคลใดๆมากอน ที่ผานมามีประกาศของบางหนวยงานที่ ประกาศเฉพาะแกบางภาคธุรกิจ แตก็เปนเพียงการกำหนดหลักการกวางๆเทานั้นและอยูเปนสวนเล็กๆ ของมาตรการความปลอดภัยไซเบอร (network security) ยังไมถึงขนาดเปนการวางแนวปฏิบัติหรือ มาตรฐานในเรื่องนี้ได 1 และที่ผานมารายงานของคณะทำงานดานพาณิชยอิเล็กทรอนิกสของ APEC ระบุ 0 วาจากสมาชิก APEC จำนวน 21 เขตเศรษฐกิจ มีเพียง 5 เขตเศรษฐกิจที่ยังไมมีกฎหมายคุมครองขอมูล สวนบุคคล ไดแก บรูไน, จีน, อินโดนีเซีย, ปาปวนิวกินี และไทย และยอมรวมถึงวาเขตเศรษฐกิจดังกลาว ไมมีหนวยงานกำกับดูแลการคุมครองขอมูลสวนบุคคลไปดวย ทำใหประเทศไทยไมสามารถเขารวม โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที ่ จ ะเป น กลไกให ห น ว ยงานและองคกร ทั้งหลายเขารวมแบบสมัครใจเพื่อรับการรับรองวามีการคุมครองขอมูลสวนบุคคลเปนที่ยอมรับ 2 1 ที่ถือวาใกลเคียงที่สุดไดแก - [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุมครองสิทธิของผูใชบริการโทรคมนาคมเกี่ยวกับขอมูล สวนบุคคล สิทธิในความเปนสวนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม พ.ศ.2549 - [ภาครัฐ] ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภัยดานสารสนเทศของหนวยงานของรัฐ พ.ศ.2553 - [ภาคการเงิน] เอกสารแนบ 6 ประกาศธนาคารแหงประเทศไทย ที่ สกส2. 4/2563 เรื่อง การบริหารจัดการ ดานการใหบริการแกลกู คาอยางเปนธรรม (Market conduct) โดยปรับปรุงจากหลักเกณฑเดิมใหมี สาระสำคัญการขอความยินยอมที่ตอ งแยกสวนระหวางวัตถุประสงคทางการตลาดและวัตถุประสงคอื่นและ กำหนดการเปดเผยขอมูลลูกคาตามฐานการประมวลผลที่สอดคลองกับพระราชบัญญัติคุมครองขอมูลสวน บุคคล พ.ศ.2562 2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM - CBPRS (2017), https://www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross- Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018). ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 19 การดำเนิ น การใดๆในเรื่ อ งนี ้จ ึ ง มี แ ต จะทำให สถานะของประเทศไทยดี ขึ ้ น อย างแนนอน นอกจากนีผ้ ูทรงคุณวุฒิก็มีความเห็นตรงกันในเรื่องนี้วามีความจำเปนตองมีมาตรฐานในเรื่องนี้ขึ้นมา และ ไมมีความคุมคาในทางปฏิบัติที่จะแยกสวนการจัดการขอมูลสวนบุคคลตามมาตรฐานพระราชบัญญัติ คุมครองขอมูลสวนบุคคล พ.ศ.2562 และ GDPR ออกจากกัน TDPG3.0 จึงอธิบายแนวปฏิบัติพื้นฐานที่จำเปนตอการดำเนินการเพื่อการคุมครองขอมูลสวน บุคคลตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยสอดคลองกันกับมาตรฐานสากล เทียบเทากับ GDPR ตอไป TDPG3.0 จึงเปนความพยายามที่จะไดวางแนวปฏิบัติที่เกี่ยวกับการคุมครอง ขอมูลสวนบุคคลอยางเปนระบบและมีแนวทางใหดำเนินการที่ชัดเจนนำไปปฏิบัติได โดยหวังเปนอยางยิ่ง วาผูประกอบการและหนวยงานที่เกี่ยวของจะไดใชเปนประโยชนในการพัฒนานโยบายการคุม ครองขอมูล สวนบุคคลของตนเองตอไป ในเวอรชั่นนี้ TDPG3.0 จึงเปนการปรับปรุงเพิ่มเติมจากเวอรชั่นกอน โดย แผนภาพตอไปแสดงใหเห็นแนวคิดรวบยอดของ TDPG3.0 ซึ่งจะชวยใหผูอานเห็นภาพวาเนื้อหาของสวน ตางๆในแนวปฏิบัติมีความเชื่อมโยงกันอยางไร 20 Thailand Data Protection Guidelines 3.0 Contract Data Classification Consent Special Categories / Sensitive Data Vital Interest Lawful Basis for Processing Legal Obligation Public Task Legitimate Interest Duties & Responsibilities Data Processing Agreement Controllers & Processors User Requests Government Requests DPIA (Data Protection Impact Assessment) Cross-Border Data Transfer Anonymization Marketing & Sales Data Analytics Human Resources IT Department Procurement Investment Bank (Forthcoming) TDPG1.0 TDPG2.0 TDPG3.0 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 21 A2. คำนิยาม Th En คำอธิบาย การจัดทำขอมูล Anonymization กระบวนการที่ทำใหความเสี่ยงในการระบุตัวตนของเจาของขอมูลนั้น นิรนาม นอยมากจนแทบไมตองใหความสำคัญกับความเสี่ยง (negligible risk) รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำขอมูลนิรนาม การแฝงขอมูล Pseudonymization การประมวลผลขอมูลสวนบุคคลในลักษณะที่ขอมูลสวนบุคคลไม สามารถระบุตัวเจาของขอมูลไดหากปราศจากการใชขอมูลเพิ่มเติม ประกอบ ทั้งนี้ขอมูลเพิ่มเติมนี้มีการเก็บรักษาไวแยกออกจากกันและอยู ภายใตมาตรการเชิงเทคนิคและมาตรเชิงบริหารจัดการเพื่อประกันวา ขอมูลสวนบุคคลจะไมสามารถระบุไปถึงบุคคลธรรมดาได (GDPR, Article 4(5)) รายละเอียดดูในสวน G แนวปฏิบัติเกีย่ วกับการจัดทำ ขอมูลนิรนาม การประมวลผล Processing การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำตอขอมูลสวน ขอมูล บุคคลหรือชุดขอมูลสวนบุคคล ไมวาจะโดยวิธีการอัตโนมัติหรือไม เชน การเก็บ บันทึก จัดระบบ จัดโครงสราง เก็บรักษา เปลีย่ นแปลงหรือ ปรับเปลี่ยน การรับ พิจารณา ใช เปดเผยดวยการสงตอ เผยแพร หรือ การกระทำอื่นใดซึ่งทำใหเกิดดความพรอมใชงาน การจัดวางหรือผสม เขาดวยกัน การจำกัด การลบ หรือการทำลาย (GDPR Article 4(2)) ขอมูลออนไหว Sensitive Personal เปนขอมูลสวนบุคคลที่เปนเรื่องสวนตัวโดยแทของบุคคล แตมีความ Data ละเอียดออนและสุมเสี่ยงตอการถูกใชในการเลือกปฏิบัติอยางไมเปน ธรรม จึงจำเปนตองดำเนินการดวยความระมัดระวังเปนพิเศษ ขอมูลสวน Personal Data ขอมูลใดๆที่ระบุไปถึง “เจาของขอมูล” (Data Subject) ได บุคคล ขอมูลสวน Personal Data การรั่วไหลหรือละเมิดมาตรการความมัน่ คงปลอดภัยตอขอมูลสวน บุคคลรั่วไหล Breach บุคคลทำใหเกิด ความเสียหาย, สูญหาย, เปลี่ยนแปลง, เปดเผยโดย ไมไดรับอนุญาต, หรือเขาถึงขอมูลสวนบุคคลที่ใชงาน (GDPR, Article 4 (12)) ขอมูลสวน Pseudonymous ขอมูลที่ทำการแฝงขอมูลแลว (ดู “การแฝงขอมูล”) บุคคลแฝง Data ขอมูลนิรนาม Anonymous Data ขอมูลที่ผานกระบวนการจัดทำขอมูลนิรนามแลว (ดู “การจัดทำขอมูล นิรนาม”) 22 Thailand Data Protection Guidelines 3.0 Th En คำอธิบาย เจาของขอมูล Data Subject มีความหมายในลักษณะเปนบุคคลที่ขอมูลนั้นบงชี้ไปถึง ไมใชเปน เจาของในลักษณะทรัพยสิทธิ หรือเปนคนสรางขอมูลนั้นขึ้นมา มีความ แตกตางจาก data owner ในกฎหมาย (บางตัว) ของสหรัฐอเมริกา โปรไฟลิ่ง Profiling รูบแบบการประมวลผลขอมูลสวนบุคคลใดๆ ซึ่งมีการใชขอมูลสวน บุคคลในการประเมินแงมุมเกี่ยวกับบุคคล โดยเฉพาะอยางยิ่งเพื่อ วิเคราะหหรือคาดการณเกี่ยวกับบุคคลธรรมดาในเรื่องประสิทธิภาพใน การทำงาน สถานะทางเศรษฐกิจ สุขภาพของบุคคล ความชื่นชอบสวน บุคคล ประโยชนของบุคคล พฤติกรรมของบุคคล ความนาเชื่อถือของ บุคคล ตำแหนงทางภูมิศาสตร หรือความเคลื่อนไหวของบุคคล ผูควบคุมขอมูล Data Controller บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร ใดซึ่งเปนผูกำหนดวัตถุประสงคและวิธกี ารในการประมวลผลขอมูลสวน บุคคล (GDPR 4(7)) ผูประมวลผล Data Processor บุคคลธรรมดาหรือนิติบุคคล หนวยงานของรัฐ หนวยงาน หรือองคกร ขอมูล ใดซึ่งประมวลผลขอมูลแทนผูควบคุมขอมูล (GDPR 4(8)) สคส. OPDPC สำนักงานคณะกรรมการคุมครองขอมูลสวนบุคคล GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88 ICO UK Information Commissioner’s Office SGPDPA Singapore Personal Data Protection Act 2012 UKDPA UK Data Protection Act 2018 ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 23 B. แนวปฏิบัติการกำหนดและแยกแยะขอมูลสวนบุคคล (Guideline on Personal Data Classification) ผูประกอบการทุกรายยอมไดรับผลกระทบจากการปรับปรุงหรือเปลี่ยนผานวิธีการทำงานของ ตนเพื่อใชงานเทคโนโลยีดิจิทัล ยิ่งผูประกอบการตองใชขอมูลดิจิทัลมากเทาใด ยิ่งทำใหเกิดประเด็นการ บริหารจัดการเกี่ยวกับขอมูลที่ตนเองใช โดยเฉพาะอยางยิ่งการบริหารความเสี่ยงของการใชขอมูล ทั้งหลาย รวมถึงขอมูลสวนบุคคล ผูประกอบการจึงตองสามารถระบุขอมูลและจัดการขอมูลตางๆบน พื้นฐานของความเสี่ยงไดอยางเหมาะสม แนวปฏิบัตินี้จึงเปนขั้นตอนพื้นฐานที่สุดเพื่อการจัดการขอมูล สวนบุคคลในประเด็นอื่นๆตอไป โดยแบงออกเปน 2 สวนไดแก (1) ขอบเขตของขอมูลสวนบุคคล ซึ่งจะชวยใหทราบวาขอมูลใดเปนขอมูลที่อยูในขอบเขต ความหมายของขอมูลสวนบุคคล (in-scope) (2) การกำหนดและแยกแยะขอมูลสวนบุคคล ซ