ขอขอบคณุ .................................................................................................................................................................. 8
สารบญั ...................................................................................................................................................................... 11
- บทนำและคำนยิ าม................................................................................................................................................ 17
A1. บทนำ ............................................................................................................................................................ 17 A2. คำนิยาม......................................................................................................................................................... 22
- แนวปฏิบตั กิ ารกำหนดและแยกแยะขอ มลู สวนบุคคล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)... 25
B1. ขอบเขตของขอมลู สว นบคุ คล (SCOPE) ............................................................................................................ 26 B2. การกำหนดและแยกแยะขอมลู สวนบคุ คลตามความเสย่ี งและความรายแรงที่อาจกระทบตอ สิทธแิ ละเสรีภาพของ บคุ คล................................................................................................................................................................... 34 B3. การประมวลผลขอ มูลสว นบคุ คลทีม่ คี วามออนไหวเปนพเิ ศษ (SPECIAL CATEGORIES OR SENSITIVE DATA) ........... 48
- แนวปฏบิ ตั ิเก่ียวกับฐานในการประมวลผลขอ มูลสว นบุคคล (GUIDELINE ON LAWFUL BASIS FOR PROCESSING PERSONAL DATA) .................................................................................................................................................. 65
C1. ฐานสญั ญา (CONTRACT)................................................................................................................................. 68 ขอ ควรระวงั เกีย่ วกบั “ความจำเปนในการปฏบิ ตั ติ ามสญั ญา”.....................................................................................69
C2. ฐานความยนิ ยอม (CONSENT)......................................................................................................................... 70 เงอื่ นไขของความยินยอม (Requirements of Consent).........................................................................................71 ความยนิ ยอมท่ีเก็บรวบรวมไวก อน พระราชบญั ญตั คิ ุมครองขอ มลู สวนบุคคล พ.ศ. 2562 จะมีผลบงั คบั ใช (กอ น มิถนุ ายน พ.ศ. 2563).................................................................................................................................................78 ขอ ควรระวังเก่ยี วกับความยินยอม ระหวา งบุคคลทมี่ ีอำนาจตอ รองไมเทากนั ..............................................................81 การทำการตลาดแบบตรง (Direct Marketing).........................................................................................................82 ระบบสมาชิกสะสมแตม (Loyalty Program)...........................................................................................................83 การใชขอมูลเครอื ขา ยสงั คมเพื่อกระตนุ ยอดขาย (Social Network).........................................................................84 การโฆษณาตามพฤตกิ รรมออนไลน (Online Behavioural Advertisement).........................................................85 การขอความยินยอมจากผเู ยาว...................................................................................................................................85
C3. ฐานประโยชนสำคญั ตอ ชีวิต (ระงบั อนั ตรายตอ ชีวิต รา ง กาย สุขภาพ) (VITAL INTEREST).................................. 87 C4. ฐานหนาท่ีตามกฎหมาย (LEGAL OBLIGATION) .................................................................................................. 87 C5. ฐานภารกจิ ของรัฐ (PUBLIC TASK).................................................................................................................... 88
C6. ฐานประโยชนอ ันชอบธรรม (LEGITIMATE INTEREST)......................................................................................... 90 C7. ฐานจดหมายเหตุ/วิจัย/สถิติ............................................................................................................................ 93
- แนวปฏบิ ตั เิ ก่ียวกบั หนา ทแี่ ละความรบั ผิดชอบของผูค วบคุมและผปู ระมวลผลขอ มูล (GUIDELINE ON DUTIES AND RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)............................................................................... 95
D1. แนวปฏบิ ตั ิเก่ยี วกบั สิทธหิ นาทโี่ ดยทวั่ ไปของผคู วบคมุ และผปู ระมวลผลขอ มลู ................................................. 104 ผูควบคมุ ขอ มลู (Data Controller)........................................................................................................................104 ตวั อยา งขอ ความแจง เมอ่ื ใชกลองวงจรปด...........................................................................................................108 ตวั อยา งบนั ทึกรายการประมวลผลขอมลู (Record of Processing Activities) ..................................................124 ตัวอยางบันทึกรายการประมวลผลยอย...............................................................................................................125 ตวั อยา งนโยบายคมุ ครองขอ มลู สว นบคุ คล (Data Protection Policy) ..............................................................131 ตวั อยางเอกสารแจงขอ มูลการประมวลผลขอมลู (แบบยอ ) Privacy Notice (Abridged)..................................138 ตวั อยางเอกสารแจงขอมูลการประมวลผลขอ มูล (แบบละเอียด) Privacy Notice .............................................140 ผูประมวลผลขอมูล (Data Processor) ..................................................................................................................145 ตัวอยา งบนั ทกึ รายการประมวลผลขอ มูล (record of processing activities) ...................................................149
D2. แนวปฏบิ ตั เิ ก่ียวกับการจัดทำขอ ตกลงระหวา งขอ ตกลงระหวาง ผคู วบคมุ ขอ มลู สว นบุคคลและผปู ระมวลผลขอ มลู (DATA PROCESSING AGREEMENT).......................................................................................................................... 154
ตวั อยา งขอ ตกลงใหประมวลผลขอมลู (Data Processing Agreement) ..........................................................168 D3. แนวปฏบิ ัติเก่ยี วกับการจัดการคำรอ งขอของเจา ของขอ มลู (DATA SUBJECT REQUEST).................................... 172
หนาท่ีของผูควบคมุ ขอมลู เม่ือเจาของขอ มูลรอ งขอ (Data Subject Request to the Controller) .......................172 ตวั อยา งแบบคำรองขอใชส ิทธใิ นการเขาถึงขอ มลู (Right of Access Request Form)......................................191 ตัวอยางแบบคำรอ งขอใชสิทธใิ นการลบขอมลู (Right to Erasure Request Form).........................................196
หนา ทีข่ องผูประมวลผลขอมูลเมอ่ื เจาของขอ มูลรอ งขอ (Data Subject Request to the Processor) ...................201 D4. แนวปฏบิ ัติกรณมี คี ำรอ งขอหรอื คำส่ังขอเขา ถงึ ขอ มลู สวนบคุ คลจากรฐั (GOVERNMENT REQUEST) .................... 202
ตวั อยางแบบคำขอใหเ ปดเผยขอ มลู แกห นวยงานของรัฐ......................................................................................204 D5. ความรับผดิ ทางแพง ความรับผดิ ทางอาญา และโทษทางปกครอง .................................................................. 207
ความรับผิดทางแพง .................................................................................................................................................207 ความรับผิดทางอาญา...............................................................................................................................................208 โทษทางปกครอง .....................................................................................................................................................209
- แนวปฏบิ ตั เิ พือ่ การประเมนิ ผลกระทบดานการคุมครองขอมลู สวนบคุ คล (GUIDELINE ON DATA PROTECTION IMPACT ASSESSMENT) ........................................................................................................................................ 213
E1. ขอบเขตของ DPIA........................................................................................................................................ 213 E2. ข้นั ตอนของ DPIA......................................................................................................................................... 223
ตวั อยางแบบฟอรม การทำ DPIA.........................................................................................................................232
12 Thailand Data Protection Guidelines 3.0
- แนวปฏบิ ตั ิเกี่ยวกบั การโอนขอมูลสวนบคุ คลไปยงั ตางประเทศหรือองคก ารระหวา งประเทศ (GUIDELINE ON CROSS-BORDER DATA TRANSFER) .................................................................................................................... 243
F1. การสงหรอื โอนขอ มลู สว นบคุ คลไปยงั ตางประเทศปลายทางหรอื องคก ารระหวางประเทศตามพระราชบญั ญัติ คมุ ครองขอมลู สวนบุคคล พ.ศ. 2562 (TRANSFER OR TRANSIT)............................................................................. 245 F2. กรณที ตี่ องสงหรอื โอนขอมลู ไปยังตางประเทศ หรือองคก ารระหวางประเทศ.................................................... 249
ตัวอยา งนโยบายคุมครองขอมูลสวนบุคคลของเครือกิจการ (Binding Corporate Rules) .................................257
- แนวปฏบิ ัติเก่ยี วกับการการจดั ทำขอมลู นิรนาม (GUIDELINE FOR ANONYMIZATION)..................................... 265
G1. การจดั ทำขอมลู นริ นาม................................................................................................................................. 267 G2. การพิจารณาสถานการณของขอ มูล ............................................................................................................. 276 G3. การวิเคราะหค วามเสยี่ งและมาตรการจัดการความเสีย่ ง................................................................................. 279 G4. การตัดสินใจถึงระดบั ของการจดั ทำขอมูลนริ นาม .......................................................................................... 293
k-anonymization .................................................................................................................................................295 Differential Privacy..............................................................................................................................................300
- แนวปฏิบตั เิ ก่ยี วกบั ขอ มูลออนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)................................................................................................................... 305
H1. เงื่อนไขพิเศษในการประมวลผลขอ มลู ออนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA) ......................................................................................................... 305 H2. การจดั การกับขอ มูลออนไหว (DEALING WITH SENSITIVE DATA) ........................................................................ 328
- แนวปฏบิ ตั ิสำหรับฝายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES) ..................................... 353
I1. ความสมั พนั ธของการประมวลผลขอมลู สว นบคุ คลและการทำการตลาด .......................................................... 353 I2. ลกั ษณะของขอ มูลสว นบคุ คลตามเสน ทางการทำการตลาด.............................................................................. 355 I3. เสนทางขอมลู (DATA JOURNEY)...................................................................................................................... 357 I4. ฐานการประมวลผลท่เี กย่ี วของและขอ ควรระวัง.............................................................................................. 360 I5. บทบาทของหนวยงานตางๆ ........................................................................................................................... 363
- แนวปฏิบตั ิเก่ียวกับฝายวิเคราะหข อมลู (GUIDELINE ON DATA ANALYTICS).................................................... 367
J1. หลักการคุมครองขอมลู สวนบุคคลในการประมวลผลขอมูลมหตั ...................................................................... 374 J2. ตวั อยางกจิ กรรมการประมวลผลขอ มลู มหตั .................................................................................................... 398 J3. การจัดทำขอมูลนริ นามและผลกระทบ............................................................................................................ 408 J4. การอธิบายการตดั สนิ ใจโดยปญญาประดษิ ฐ................................................................................................... 412
- แนวปฏบิ ตั ิเก่ยี วกับฝา ยทรพั ยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT) .................. 421
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 13
K1. การรบั สมคั รและการคดั เลอื ก........................................................................................................................ 421 K2. การเกบ็ รวบรวม ใช และเปดเผยขอ มูลสว นบคุ คลของลูกจางในระหวา งการจา งงาน ....................................... 438 K3. การตรวจสอบในทีท่ ำงาน ............................................................................................................................. 457 K4. ขอมลู เกี่ยวกับสขุ ภาพลูกจาง ........................................................................................................................ 467 K5. ตวั อยางเอกสาร............................................................................................................................................ 475
ตัวอยางหนงั สอื แจง นโยบายการคมุ ครองขอ มลู สวนบคุ คลสำหรับเจา หนา ที่และลูกจาง.......................................476 ตัวอยางขอ บังคับเกย่ี วกับการทำงาน ..................................................................................................................482
- แนวปฏบิ ัตเิ กย่ี วกบั ฝายจดั ซ้อื จดั จา ง (GUIDELINE FOR PROCUREMENT DEPARTMENT)................................ 487
L1. การจัดซ้ือจัดจางใหม .................................................................................................................................... 487 กอนทำสญั ญา (Prior to Contracting)..................................................................................................................487 ตวั อยางสง่ิ ท่ีตองระบุในเอกสารแจง ขอมลู การประมวลผลขอมลู เพอื่ การจดั ซ้อื จดั จาง .........................................493 ตวั อยา งแบบสอบถามดานการคมุ ครองขอมูลสว นบุคคล.....................................................................................494 การทำสญั ญา (Contracting) .................................................................................................................................497 ตวั อยางสัญญาผปู ระมวลผลขอ มลู สว นบคุ คล (Data Processing Agreement).................................................498 ประเดน็ ในสัญญาทีจ่ ะตองเจรจาตอรองกัน.........................................................................................................500 ตวั อยา งหัวขอท่ีสำคญั ในสญั ญาระหวา งผูค วบคุมขอ มลู สวนบคุ คล......................................................................502 หลังทำสัญญา (Post Contracting)........................................................................................................................505
L2. แนวทางการจดั ซือ้ จัดจางทมี่ ีผลบงั คับใชแลว ................................................................................................. 506 L3. ขอควรพิจารณาในการจดั ซอ้ื จัดจา งบรกิ ารประเภททนี่ า สนใจ ........................................................................ 508
- แนวปฏิบตั สิ ำหรบั ฝา ยเทคโนโลยสี ารสนเทศ (GUIDELINE FOR IT DEPARTMENT) ........................................... 515
M1. งานดานเทคโนโลยสี ารสนเทศและการคมุ ครองขอ มลู สว นบคุ คล.................................................................... 515 M2. มาตรฐานสำหรบั ระบบบริหารจดั การขอ มลู สวนบุคคล.................................................................................. 523 M3. แนวทางการประเมนิ ผลกระทบและความเส่ียงท่ีเก่ียวกบั ขอ มูลสวนบคุ คล...................................................... 526
- แนวปฏิบัติสำหรบั เจา หนา ทคี่ ุมครองขอมลู สวนบคุ คล (GUIDELINES FOR DATA PROTECTION OFFICER)..... 559
N1. ความจำเปน ทักษะและคณุ สมบัติ และเกณฑการคัดเลือก เจา หนา ท่คี ุมครองขอ มูลสว นบคุ คล ........................ 559 N2. ความตระหนกั รแู ละขอ พงึ ระวังขององคก รทีม่ ตี อ การปฏิบตั งิ านของเจา หนา ท่คี ุมครองขอ มูลสว นบคุ คล.......... 566 N3. บทบาทหนา ทแ่ี ละความรับผดิ ชอบของเจาหนาทค่ี มุ ครองสวนบคุ คล ............................................................. 571
ลักษณะงานที่ 1 ภาระงานขั้นตน .............................................................................................................................572 ลักษณะงานที่ 2 การทำงานขององคกร....................................................................................................................578
ตัวอยา งบันทกึ รายการประมวลผลขอมูลสวนบคุ คลพนื้ ฐานโดยผูควบคมุ ขอมลู ...................................................581 ตัวอยา งบนั ทกึ การประมวลผลขอมูลสว นบคุ คลพ้ืนฐานโดยผูประมวลผลขอมูลสวนบคุ คล...................................583 ตัวอยางบนั ทึกการประมวลผลขอ มลู สว นบคุ คลฉบับสมบูรณ..............................................................................585
14 Thailand Data Protection Guidelines 3.0
ลักษณะงานท่ี 3: ตรวจสอบการปฏิบตั ติ ามหนาที่.....................................................................................................612 ลักษณะงานที่ 4: หนาท่ีใหคำปรึกษา........................................................................................................................633 ลกั ษณะงานที่ 5: ใหความรวมมอื และใหคำปรึกษาแก สคส......................................................................................638 ลักษณะงานที่ 6: การจดั การคำรองขอของเจา ของขอ มลู ..........................................................................................641 ลกั ษณะงานท่ี 7: การใหขอมูลและการสรา งความตระหนักรู ....................................................................................642 N4. มาตรฐานทางจริยธรรม ................................................................................................................................ 644
คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION ...................................................... 647
[TDPG2.0B] DATA CLASSIFICATION..................................................................................................................... 647 [TDPG2.0C] LAWFUL BASIS................................................................................................................................ 649 [TDPG2.0D] CONTROLLERS & PROCESSORS......................................................................................................... 656 [TDPG2.0E] DPIA ............................................................................................................................................. 665 [TDPG2.0F] CROSS-BORDER DATA TRANSFER ...................................................................................................... 665 [TDPG2.0G] ANONYMIZATION ............................................................................................................................ 666
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 15
- บทนำและคำนยิ าม
A1. บทนำ
แนวปฏบิ ตั เิ ปน เครอ่ื งมอื สำคญั ประการหนึง่ ที่ชวยใหการดำเนนิ การตามกฎหมายหรือหลักการ ใดๆที่มกี ำหนดขึน้ เปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจรงิ แลว การบัญญัตกิ ฎหมาย หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ใหทำ” (prescriptive), “ไมใหทำ” (proscriptive) หรอื “อธิบาย” (descriptive) สิ่งนัน้ ยอมตามมาซง่ึ คำถามเก่ยี วกับวิธีการปฏิบัติวาควร ทำ “อยางไร” โดยเฉพาะอยางยิง่ กับกฎหมายที่โดยทั่วไปแลวสามารถกำหนดไดเพยี งในระดับที่กำหนด “หา ม” เปนหลักการไวเทาน้นั แตใ นขนั้ ตอนปฏิบตั ิยอ มไมสามารถลงรายละเอียดวิธกี ารหรือกรณีเฉพาะ ทง้ั ปวงได เพราะจะทำใหกฎหมายนน้ั มีความเครงครัดมากเสยี จนไมอาจนำไปใชไ ดจรงิ
ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถ กำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณได จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติวาควรทำ “อยางไร” มีขอสังเกตวากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไป “ขอมูลสวน บุคคล” (Personal Data) ไมใ ช “ตวั บุคคล” (Person) โดยตรง ซง่ึ การคมุ ครองขอมูลสว นบคุ คลน้ันจะมี ผลเปนการปกปอง “บุคคล” จากผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีก ชั้นหนึ่ง อันเปนแนวทางตามแบบสหภาพยุโรป กลาวคือ จะสามารถประมวลผลขอมูลสวนบุคคลโดย ชอบดวยกฎหมายก็ตอไปมี “ฐานทางกฎหมาย” (lawful basis) ใหทำได หลักการพื้นฐานของการ คมุ ครองขอ มูลสวนบคุ คลจึงไดแก
“หามประมวลผลขอ มลู สว นบคุ คล เวนแตจะมีฐานหรอื เหตแุ หงการ ประมวลผลใหทำไดตามกฎหมาย” (รายละเอียดปรากฏในสว น C)
เมอ่ื สหภาพยุโรปไดออกกฎหมายฉบับใหมเก่ยี วกับการคุม ครองขอ มูลสวนบุคคลหรือที่เรียกกัน วา “GDPR” (EU General Data Protection Regulation) ซง่ึ เปนการปรบั ปรงุ กฎหมายเดมิ (EU Data Protection Directive 95/46/EC) ซึ่งใชบังคับมานานมากวา 20 ป ทำใหเกิดการเปลีย่ นแปลงหลกั การ ท่สี ำคัญ เชน
- กำหนดการใชอ ำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคอื ขอมูลสวน บุคคลของสหภาพยุโรปอยูภายใตค วามคมุ ครองไมว า จะอยูในทใ่ี ดในโลก
- กำหนดบทลงโทษสงู ขึ้น โดยองคกรที่กระทำผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ 4 ของผลประกอบการรายไดทั่วโลก
- กำหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and affirmative consent)
- กำหนดการแจง เตอื นเม่ือเกดิ เหตุขอมูลร่ัวไหล หนว ยงานผูค วบคมุ ขอ มูลและผูป ระมวลผล ขอ มูลตองแจงใหหนวยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
- กำหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมลู ทราบ วาขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทำสำเนาขอมูลใหกับเจาของ ขอมูลในรปู แบบอเิ ล็กทรอนิกส โดยหามเก็บคา ใชจ ายเพ่มิ
- กำหนดรับรองสทิ ธิในการโอนขอ มูลไปยังผปู ระกอบการอืน่ (Right to data portability) - กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจาของขอมูลสามารถขอให
หนวยงานควบคมุ ขอมลู ลบขอมลู ของตวั เองออกได
GDPR มีผลบังคับใชเมื่อวันท่ี 25 พฤษภาคม 2561 ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแก การสงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สำหรับผปู ระกอบการไทยหากจะทำการติดตอรับ- สงขอมูลกับบุคคลของประเทศสมาชิก ก็ตองมีมาตรการคุมครองขอมูลสวนบุคคลที่เหมาะสมเพียงพอ เชนเดยี วกัน เปนเหตุใหผ ูประกอบการไทยตอ งปรบั ตวั เพื่อรองรับมาตรฐานการคุมครองขอ มูลสว นบุคคล ดงั กลา ว
เปนเวลากวา 20 ปที่รัฐบาลไดพยายามผลักดันกฎหมายการคุมครองขอมูลสวนบุคคลจน ประสบความสำเรจ็ และประกาศในราชกิจจานุเบกษาเมอื่ 28 พฤษภาคม 2562 และจะมผี ลบงั คับใชต าม กฎหมายในวันที่ 1 มิถุนายน 2564 โดยไดรับอทิ ธิพลสำคัญจาก GDPR หนวยงานภาครัฐและเอกชนจงึ ควรเตรียมความพรอมเพื่อรองรับการจัดการขอมูลสวนบุคคลในความครอบครองของตนเพื่อใหเปนไป ตามหลกั เกณฑด ังกลาว ซ่งึ ปจ จุบันถอื วา เปนมาตรฐานใหมของการคุมครองขอ มลู สว นบุคคลของโลก
แนวปฏิบัตินี้ (ซึ่งตอไปจะเรียกวา “TDPG3.0”) จึงมีเจตนาที่จะตอบคำถามเกี่ยวกับวธิ ีการวา ควรทำ “อยางไร” สำหรับประเทศไทยซึ่งยังไมเคยมีแนวปฏิบัติใดๆในเรื่องนี้มากอน โดยมี GDPR เปน ตนแบบ ซึ่งหมายความวาแนวปฏิบัตินี้เปนเพียงคำอธิบายของวธิ ีการปฏิบัติเพื่อการคุมครองขอมูลสวน
18 Thailand Data Protection Guidelines 3.0
บุคคลซึ่งจำเปนตองพัฒนาอยางตอเนื่องตอไป การปฏิบัติตามแนวปฏิบัตินี้จึงไมใชการปฏิบัติตาม กฎหมายหรอื มาตรฐาน GDPR ทคี่ รบถว น แตเปน เพียงขอ แนะนำท่ีควรจะตอ งปฏิบตั ิและพัฒนาปรบั ปรงุ อยา งตอเนือ่ ง
ตอคำถามวาผูประกอบการไทยหากไมไดมีเปาหมายจะใหบริการในสหภาพยุโรป จะมีความ จำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถแยกสวนการจัดการขอมูลคนชาติยุโรปออกจาก สวนอื่นไดหรือไมนั้น ดวยเหตุทีผ่ ูประกอบการไทยจะตองดำเนินการตามพระราชบัญญัติคุมครองขอมลู สวนบคุ คล พ.ศ.2562 และสถานการณของไทยนั้นอยใู นข้ันท่เี รียกวาแทบจะเรม่ิ ตน จากศูนย กลาวคือ ยัง ไมเคยมีมาตรฐานการคุมครองขอมูลสวนบุคคลใดๆมากอน ที่ผานมามีประกาศของบางหนวยงานท่ี ประกาศเฉพาะแกบ างภาคธุรกิจ แตก็เปนเพียงการกำหนดหลักการกวางๆเทานั้นและอยูเปนสวนเล็กๆ ของมาตรการความปลอดภัยไซเบอร (network security) ยังไมถึงขนาดเปนการวางแนวปฏิบัติหรือ มาตรฐานในเรื่องน้ไี ด 01 และที่ผา นมารายงานของคณะทำงานดา นพาณชิ ยอเิ ลก็ ทรอนิกสข อง APEC ระบุ วาจากสมาชกิ APEC จำนวน 21 เขตเศรษฐกิจ มีเพียง 5 เขตเศรษฐกิจทีย่ ังไมมีกฎหมายคุมครองขอ มลู สว นบคุ คล ไดแ ก บรไู น, จีน, อินโดนเี ซยี , ปาปวนวิ กนิ ี และไทย และยอมรวมถึงวา เขตเศรษฐกิจดังกลาว ไมมีหนวยงานกำกับดูแลการคุมครองขอมูลสวนบุคคลไปดวย ทำใหประเทศไทยไมสามารถเขารวม โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที่จะเปนกลไกใหหนวยงานและองคกร ท้ังหลายเขา รว มแบบสมคั รใจเพอื่ รบั การรับรองวามกี ารคมุ ครองขอมลู สว นบคุ คลเปนที่ยอมรบั 2
1 ทถี่ ือวา ใกลเคียงทสี่ ุดไดแ ก
- [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุมครองสิทธิของผูใ ชบริการโทรคมนาคมเก่ียวกบั ขอมลู
สว นบคุ คล สทิ ธิในความเปน สว นตวั และเสรีภาพในการส่อื สารถึงกันโดยทางโทรคมนาคม พ.ศ.2549
- [ภาครัฐ] ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส เรอ่ื ง แนวนโยบายและแนวปฏบิ ตั ิในการรักษา
ความม่ันคงปลอดภัยดา นสารสนเทศของหนว ยงานของรฐั พ.ศ.2553
- [ภาคการเงิน] เอกสารแนบ 6 ประกาศธนาคารแหงประเทศไทย ที่ สกส2. 4/2563 เรอ่ื ง การบริหารจัดการ
ดา นการใหบ ริการแกลกู คา อยา งเปนธรรม (Market conduct) โดยปรับปรุงจากหลักเกณฑเ ดิมใหม ี
สาระสำคญั การขอความยนิ ยอมท่ีตอ งแยกสวนระหวา งวตั ถุประสงคทางการตลาดและวตั ถปุ ระสงคอืน่ และ
กำหนดการเปด เผยขอ มูลลูกคา ตามฐานการประมวลผลท่ีสอดคลอ งกบั พระราชบญั ญัตคิ ุมครองขอมูลสว น
บคุ คล พ.ศ.2562
2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM
- CBPRS (2017), //www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross-
Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018).
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 19
การดำเนินการใดๆในเรื่องนี้จึงมีแตจะทำใหสถานะของประเทศไทยดีขึ้นอยางแนนอน นอกจากนผี้ ทู รงคุณวุฒกิ ม็ คี วามเหน็ ตรงกนั ในเร่อื งนีว้ า มคี วามจำเปนตอ งมีมาตรฐานในเรอ่ื งน้ีข้นึ มา และ ไมมีความคุมคาในทางปฏิบัติที่จะแยกสวนการจัดการขอมูลสวนบุคคลตามมาตรฐานพระราชบัญญัติ คุม ครองขอ มลู สวนบุคคล พ.ศ.2562 และ GDPR ออกจากกัน
TDPG3.0 จึงอธิบายแนวปฏิบัติพื้นฐานที่จำเปนตอการดำเนินการเพ่ือการคุมครองขอมลู สวน บุคคลตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยสอดคลองกันกับมาตรฐานสากล เทียบเทากับ GDPR ตอไป TDPG3.0 จึงเปนความพยายามทีจ่ ะไดวางแนวปฏิบัตทิ ี่เกี่ยวกับการคุมครอง ขอ มลู สวนบุคคลอยา งเปน ระบบและมีแนวทางใหด ำเนนิ การท่ีชดั เจนนำไปปฏิบตั ิได โดยหวงั เปน อยา งยิ่ง วาผปู ระกอบการและหนว ยงานท่เี กย่ี วขอ งจะไดใชเ ปนประโยชนในการพฒั นานโยบายการคมุ ครองขอ มลู สวนบุคคลของตนเองตอไป ในเวอรชั่นนี้ TDPG3.0 จึงเปนการปรับปรุงเพิ่มเติมจากเวอรชั่นกอน โดย แผนภาพตอไปแสดงใหเห็นแนวคิดรวบยอดของ TDPG3.0 ซง่ึ จะชวยใหผอู านเหน็ ภาพวา เนือ้ หาของสวน ตา งๆในแนวปฏิบตั มิ ีความเชอ่ื มโยงกนั อยา งไร
20 Thailand Data Protection Guidelines 3.0
Data Classification Contract Special Categories / Sensitive Data Consent Vital Interest Lawful Basis for Processing Legal Obligation
Public Task
Legitimate Interest
Duties & Responsibilities
Controllers & Processors Data Processing Agreement User Requests
Government Requests
DPIA (Data Protection Impact Assessment)
Cross-Border Data Transfer
Anonymization
Marketing & Sales
Data Analytics
Human Resources
IT Department
Procurement
Investment Bank (Forthcoming)
TDPG1.0 TDPG2.0 TDPG3.0
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 21
A2. คำนยิ าม
Th En คำอธิบาย การจัดทำขอมูล Anonymization กระบวนการทท่ี ำใหความเสี่ยงในการระบุตัวตนของเจา ของขอ มูลน้นั นริ นาม นอ ยมากจนแทบไมตองใหค วามสำคัญกบั ความเสยี่ ง (negligible risk) รายละเอียดดูในสว น G แนวปฏิบัติเกยี่ วกบั การจดั ทำขอ มูลนริ นาม การแฝงขอ มูล Pseudonymization การประมวลผลขอ มลู สวนบุคคลในลักษณะท่ขี อ มูลสวนบุคคลไม สามารถระบตุ วั เจา ของขอมลู ไดหากปราศจากการใชขอมูลเพิ่มเติม การประมวลผล Processing ประกอบ ท้งั นี้ขอมลู เพิม่ เตมิ นม้ี กี ารเก็บรักษาไวแยกออกจากกันและอยู ขอมูล ภายใตมาตรการเชงิ เทคนคิ และมาตรเชิงบรหิ ารจัดการเพือ่ ประกันวา ขอมูลสว นบคุ คลจะไมส ามารถระบุไปถงึ บุคคลธรรมดาได (GDPR, ขอ มลู ออ นไหว Sensitive Personal Article 4(5)) รายละเอียดดูในสว น G แนวปฏบิ ัติเกย่ี วกบั การจัดทำ Data ขอมลู นิรนาม การดำเนนิ การหรอื ชุดการดำเนินการใดๆ ซง่ึ กระทำตอ ขอ มูลสว น ขอ มลู สวน Personal Data บคุ คลหรือชุดขอมลู สวนบุคคล ไมวาจะโดยวธิ ีการอตั โนมัติหรอื ไม เชน บุคคล การเก็บ บนั ทกึ จดั ระบบ จัดโครงสรา ง เก็บรักษา เปลยี่ นแปลงหรอื Personal Data ปรบั เปลย่ี น การรบั พิจารณา ใช เปด เผยดวยการสง ตอ เผยแพร หรอื ขอ มลู สวน Breach การกระทำอนื่ ใดซง่ึ ทำใหเกิดดความพรอ มใชงาน การจัดวางหรอื ผสม บคุ คลร่ัวไหล เขาดวยกนั การจำกดั การลบ หรอื การทำลาย (GDPR Article 4(2)) เปน ขอมูลสว นบคุ คลทเ่ี ปนเรือ่ งสว นตัวโดยแทของบุคคล แตมีความ ขอ มลู สวน Pseudonymous ละเอยี ดออนและสมุ เส่ียงตอการถกู ใชใ นการเลอื กปฏิบตั อิ ยา งไมเปน บคุ คลแฝง Data ธรรม จงึ จำเปนตอ งดำเนนิ การดว ยความระมัดระวงั เปน พิเศษ ขอมูลใดๆทร่ี ะบไุ ปถึง “เจาของขอมูล” (Data Subject) ได ขอ มูลนิรนาม Anonymous Data การรวั่ ไหลหรอื ละเมิดมาตรการความมนั่ คงปลอดภัยตอ ขอมูลสว น บคุ คลทำใหเกดิ ความเสียหาย, สูญหาย, เปลย่ี นแปลง, เปด เผยโดย ไมไ ดรับอนุญาต, หรอื เขาถงึ ขอมลู สว นบคุ คลท่ใี ชงาน (GDPR, Article 4 (12)) ขอมลู ที่ทำการแฝงขอมลู แลว (ดู “การแฝงขอมูล”)
ขอมูลทผ่ี านกระบวนการจดั ทำขอ มูลนริ นามแลว (ดู “การจดั ทำขอ มลู นิรนาม”)
22 Thailand Data Protection Guidelines 3.0
Th En คำอธิบาย เจาของขอ มลู Data Subject มคี วามหมายในลักษณะเปน บคุ คลท่ขี อ มูลนัน้ บง ชี้ไปถึง ไมใชเ ปน โปรไฟลิ่ง เจาของในลกั ษณะทรพั ยสิทธิ หรอื เปนคนสรางขอมลู นั้นขึ้นมา มคี วาม ผูค วบคมุ ขอ มูล แตกตา งจาก data owner ในกฎหมาย (บางตวั ) ของสหรฐั อเมรกิ า ผปู ระมวลผล ขอ มลู Profiling รูบแบบการประมวลผลขอมลู สว นบุคคลใดๆ ซึง่ มีการใชข อ มลู สว น สคส. GDPR บุคคลในการประเมินแงม ุมเกยี่ วกบั บุคคล โดยเฉพาะอยางยง่ิ เพือ่
ICO วเิ คราะหหรือคาดการณเ ก่ียวกับบคุ คลธรรมดาในเรอื่ งประสิทธิภาพใน SGPDPA UKDPA การทำงาน สถานะทางเศรษฐกิจ สขุ ภาพของบคุ คล ความช่นื ชอบสว น
บุคคล ประโยชนข องบคุ คล พฤตกิ รรมของบุคคล ความนา เช่อื ถอื ของ
บุคคล ตำแหนง ทางภมู ิศาสตร หรือความเคลอ่ื นไหวของบุคคล
Data Controller บุคคลธรรมดาหรือนติ บิ คุ คล หนว ยงานของรฐั หนว ยงาน หรอื องคก ร
ใดซงึ่ เปน ผกู ำหนดวัตถุประสงคแ ละวธิ กี ารในการประมวลผลขอ มลู สว น
บุคคล (GDPR 4(7))
Data Processor บุคคลธรรมดาหรอื นติ บิ คุ คล หนว ยงานของรัฐ หนว ยงาน หรือองคกร
ใดซึง่ ประมวลผลขอมูลแทนผคู วบคุมขอมูล (GDPR 4(8))
OPDPC สำนกั งานคณะกรรมการคมุ ครองขอ มูลสวนบคุ คล
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27
April 2016 on the protection of natural persons with regard to the processing of
personal data and on the free movement of such data, and repealing Directive
95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88
UK Information Commissioner’s Office
Singapore Personal Data Protection Act 2012
UK Data Protection Act 2018
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 23
- แนวปฏิบตั กิ ารกำหนดและแยกแยะขอมูลสวนบุคคล (Guideline on Personal Data Classification)
ผูประกอบการทกุ รายยอมไดรับผลกระทบจากการปรับปรุงหรือเปล่ียนผานวิธกี ารทำงานของ ตนเพื่อใชงานเทคโนโลยีดจิ ทิ ัล ยิ่งผูประกอบการตองใชขอมูลดจิ ิทลั มากเทาใด ยิ่งทำใหเ กดิ ประเดน็ การ บริหารจัดการเกี่ยวกับขอมูลที่ตนเองใช โดยเฉพาะอยางยิ่งการบริหารความเสี่ยงของการใชขอมูล ทั้งหลาย รวมถึงขอมูลสวนบุคคล ผูประกอบการจึงตองสามารถระบุขอมูลและจัดการขอมูลตางๆบน พื้นฐานของความเสี่ยงไดอยางเหมาะสม แนวปฏิบัตินี้จึงเปนขั้นตอนพื้นฐานที่สุดเพื่อการจัดการขอมูล สวนบคุ คลในประเด็นอื่นๆตอไป โดยแบงออกเปน 2 สวนไดแ ก
(1) ขอบเขตของขอมูลสว นบุคคล ซ่งึ จะชว ยใหท ราบวาขอ มลู ใดเปน ขอมลู ท่ีอยใู นขอบเขต ความหมายของขอมูลสวนบคุ คล (in-scope)
(2) การกำหนดและแยกแยะขอ มลู สวนบคุ คล ซ่งึ จะชว ยใหส ามารถระบขุ อมูลสวนบุคคลตาม กระบวนการทำงานตา งๆขององคก รและจดั การตามความเส่ยี งของแนวปฏบิ ัตนิ ้ี โดยมี ขน้ั ตอนทส่ี ำคญั 5 ขน้ั ตอน
Data Data Data Data Risk Data Policy Discovery Prolifera- Level Protec-
tion tion
B1. ขอบเขตของขอมลู สวนบุคคล (Scope)
B1.1 [Personal Data] “ขอมลู สว นบคุ คล” หมายถงึ ขอ มลู ใดๆที่ระบุไปถงึ “เจา ของขอ มลู ” (Data Subject) ไดไ มว า ทางตรงหรือทางออ ม โดยไมรวมถึงขอมลู ของผทู ี่ถึงแกกรรม 23
B1.2 [Data Subject] “เจา ของขอ มลู ” หมายถงึ บุคคลที่ขอมูลสว นบคุ คลนัน้ ระบุไปถึง - ไมใ ชกรณีที่บคุ คลมคี วามเปนเจา ของ (Ownership) ขอ มลู หรือเปนผูสรา งหรือเกบ็ รวบรวมขอ มลู นั้นเองเทานนั้ - “บคุ คล” (Natural Person) ในทนี่ หี้ มายถงึ บุคคลธรรมดาทมี่ ีชวี ิตอยู 34 ไมร วมถงึ “นติ ิ บคุ คล” (Juridical Person) ทจี่ ดั ตัง้ ขนึ้ ตามกฎหมาย เชน บรษิ ทั , สมาคม, มลู นธิ ิ หรอื องคก รอืน่ ใด
B1.3 [Identifiability] ความสามารถในการระบไุ ปถึงเจา ของขอมูลมอี ยา งนอย 3 ลักษณะ 45 - [Distinguishability] การแยกแยะ หมายถึง การที่ขอ มูลสามารถระบุแยกแยะตัวบุคคล ออกจากกนั ได เชน ช่ือนามสกลุ หรือเลขประจำตัวประชาชน แตขอ มลู คะแนนเครดิต เพียงอยางเดยี วไมส ามารถใชแ ยกแยะบุคคลได - [Traceability] การตดิ ตาม หมายถงึ การทีข่ อมลู สามารถถูกใชใ นการตดิ ตามพฤตกิ รรม หรือกิจกรรมทบี่ คุ คลนน้ั ทำได เชน log file
3 พระราชบัญญัติคุมครองขอ มูลสวนบคุ คล พ.ศ.2562 มาตรา 6 4 พระราชบัญญัติคุมครองขอ มลู สวนบคุ คล พ.ศ.2562 มาตรา 6 กำหนดใหก ารคมุ ครองขอมูลสว นบคุ คลไมรวมถงึ ผูถ ึงแก กรรม อยา งไรก็ดมี ีความแตกตา งกนั ในแตล ะประเทศ เชน
- GDPR, Recital (27) ไมครอบคลมุ ถึงผูตาย แตเ ปดใหรัฐสมาชิกออกกฎหมายเฉพาะของตนเอง - UKDPA § 3(2) ครอบคลมุ เฉพาะขอมลู สว นบคุ คลของผทู ่ีมีชีวติ อยเู ทาน้นั - SGPDPA § 4 กฎหมายของสงิ คโปรก ำหนดใหค มุ ครองขอมูลสวนบุคคลของผตู ายเปนระยะเวลา 10 ป แตก ็
เปน ไปอยา งจำกัด - ราง พรบ.คมุ ครองขอ มลู สว นบคุ คลฯ มาตรา 6 ไมครอบคลมุ ถงึ ผูต าย โดยระบวุ า ““ขอ มูลสวนบคุ คล”
หมายความวา ขอ มูลเกี่ยวกับบคุ คลซ่ึงทาใหส ามารถระบตุ วั บคุ คลนน้ั ไดไมว าทางตรงหรอื ทางออม” 5 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST SPECIAL PUBLICATION 800-122): GUIDE TO PROTECTING THE CONFIDENTIALITY OF PERSONALLY IDENTIFIABLE INFORMATION (PII) (2010), at 2.1 26 Thailand Data Protection Guidelines 3.0
- [Linkability] การเช่อื มโยง หมายถงึ การทีข่ อ มูลสามารถถกู ใชเ ชือ่ มโยงกนั เพื่อระบไุ ปถึง ตัวบุคคลได โดยแบงออกเปน 2 กรณี o ขอมูลทถี่ ูกเชอ่ื มโยงแลว (linked) เปนกรณหี ากมีขอ มลู ทีเ่ กย่ี วขอ งกับขอ มูลท่ีเมอื่ ใช ดวยกันแลว สามารถระบถุ งึ ตัวบุคคล เชน ชดุ ขอ มลู 2 ชดุ แตล ะชดุ มขี อ มลู แยกกัน แตหากมบี ุคคลทส่ี ามารถเขาถงึ ขอมลู ทั้ง 2 ชุดน้นั ไดกจ็ ะสามารถเชือ่ มโยงและระบุ ไปถงึ ตวั บคุ คลได o ขอ มลู ท่ีอาจถกู เชือ่ มโยง (linkable) เปนกรณหี ากมีชดุ ขอ มลู ทีห่ ากใชรว มกันกับ ขอมูลอ่นื แลว กจ็ ะสามารถระบตุ ัวบคุ คลได แตโ ดยท่ขี อมลู อ่นื ทีจ่ ะนำมาใชรวมน้ันไม อยูในระบบ หรอื อยูในอินเทอรเ นต็ หรืออยทู ่ีอื่นใด
B1.4 [Data] “ขอ มูล” นน้ั อาจเปน ขอ มลู ในลกั ษณะใดๆกไ็ ดท ง้ั ที่เปน ขอ มลู ทมี่ นุษยเ ขาใจไดห รือไมก็ ได โดยเปนขอ มลู ที่คอมพิวเตอรหรอื อปุ กรณต า งๆสามารถเขาถึงไดโ ดยอตั โนมตั ิหรอื ถกู จดั ไว อยางเปน ระบบพรอมใหเ ขา ถึงขอ มูลเพือ่ ใชใ น - การเกบ็ รวบรวมเพื่อการประมวลผลของคอมพิวเตอรหรืออุปกรณน นั้ หรอื เพอื่ เปนสวน หน่ึงของระบบขอ มูลเพ่อื การประมวลผลนัน้ - การประมวลผลโดยคอมพิวเตอรห รอื อปุ กรณน ั้นตามคำสั่งหรือโปรแกรมท่กี ำหนดไว
B1.5 “ขอมูลสวนบุคคล” จึงเปน “ขอมูล” ทั้งหลายท่ีสามารถใชระบุถึงบุคคลที่เปน “เจาของ ขอ มูล” ได - แมว าจะเปน ขอมลู ทีอ่ ยูในรปู แบบกระดาษหรือในรูปแบบอืน่ ๆ แตไ ดม ไี วเพอ่ื จะนำไปใช ประมวลผลตอ ไป - แมวาตัวขอมูลที่มีอยูนั้นจะไมสามารถใชระบุถึงบุคคลไดแตหากใชรวมกันกับขอมูลหรอื สารสนเทศอื่นๆประกอบกันแลวก็จะสามารถระบุถึงตัวบุคคลได โดยไมจำเปนวาขอมูล หรือสารสนเทศอืน่ นนั้ ไดมอี ยดู ว ยกนั - โดยไมข ้นึ อยกู ับวาขอ มลู นนั้ จะเปน จรงิ หรอื เปนเทจ็
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 27
B1.6 ตวั อยา งขอ มลู ทเี่ ปน ขอ มลู สวนบุคคล (1) ช่อื -นามสกุล หรอื ช่ือเลน (2) เลขประจำตัวประชาชน, เลขหนังสอื เดินทาง, เลขบัตรประกนั สงั คม, เลขใบอนญุ าตขับ ขี่, เลขประจำตวั ผเู สยี ภาษ,ี เลขบญั ชีธนาคาร, เลขบัตรเครดติ (การเก็บเปนภาพสำเนา บัตรประชาชนหรอื สำเนาบัตรอื่นๆที่มีขอ มูลสวนบคุ คลท่กี ลาวมายอ มสามารถใชร ะบุ ตวั บคุ คลไดโ ดยตัวมันเอง จึงถือเปนขอมลู สว นบคุ คล) (3) ทอ่ี ยู, อเี มล, เลขโทรศพั ท (4) ขอ มลู อุปกรณห รอื เครือ่ งมือ เชน IP address, MAC address, Cookie ID (5) ขอมูลทางชวี มิติ (Biometric) เชน รปู ภาพใบหนา , ลายน้ิวมอื , ฟล ม เอกซเรย, ขอมลู สแกนมานตา, ขอ มูลอัตลกั ษณเ สยี ง, ขอมลู พันธกุ รรม (6) ขอ มลู ระบุทรัพยสนิ ของบุคคล เชน ทะเบียนรถยนต, โฉนดทด่ี นิ (7) ขอมลู ท่สี ามารถเช่อื มโยงไปยงั ขอ มูลขา งตน ได เชน วนั เกิดและสถานทีเ่ กิด, เชอ้ื ชาติ, สญั ชาต,ิ น้ำหนัก, สว นสงู , ขอมลู ตำแหนงท่อี ยู (location), ขอมูลการแพทย, ขอมลู การศึกษา, ขอมูลทางการเงิน, ขอมูลการจางงาน (8) ขอ มูลหมายเลขอา งองิ ท่เี ก็บไวในไมโครฟล ม แมไ มส ามารถระบไุ ปถงึ ตัวบุคคลได แต หากใชรวมกับระบบดัชนขี อมูลอกี ระบบหน่งึ กจ็ ะสามารถระบไุ ปถึงตวั บคุ คลได ดังนนั้ ขอ มูลในไมโครฟล มจึงเปนขอมลู สว นบคุ คล (9) ขอ มลู การประเมินผลการทำงานหรอื ความเห็นของนายจางตอการทำงานของลูกจาง (10) ขอ มูลบนั ทกึ ตางๆที่ใชตดิ ตามตรวจสอบกจิ กรรมตางๆของบคุ คล เชน log file (11) ขอมลู ท่สี ามารถใชใ นการคนหาขอมลู สวนบคุ คลอ่นื ในอนิ เทอรเ นต็
B1.7 ตัวอยางขอมลู ท่ีไมเปน ขอ มลู สวนบุคคล (1) เลขทะเบยี นบริษทั (2) ขอ มูลสำหรับการติดตอ ทางธรุ กิจท่ไี มไดระบุถงึ ตวั บคุ คล เชน หมายเลขโทรศพั ท หรอื แฟกซท ี่ทำงาน, ทีอ่ ยูสำนักงาน, อีเมลท่ีใชในการทำงาน, อเี มลข องบริษทั เชน [email protected] เปน ตน (3) ขอมูลนิรนาม (Anonymous Data) หรอื ขอ มลู แฝง (Pseudonymous Data) หมายถงึ ขอ มูลหรอื ชุดขอ มลู ทถี่ ูกทำใหไ มส ามารถระบตุ ัวบคุ คลไดอ ีกโดยวิธีการทางเทคนิค (4) ขอ มูลผตู าย
28 Thailand Data Protection Guidelines 3.0
B1.8 หนวยงานหรือองคก รท้งั หลายจงึ ไมตอ งขอความยนิ ยอมเพือ่ ท่ีจะเกบ็ รวบรวม ใช หรอื เปดเผย ขอ มูลสำหรบั การตดิ ตอทางธรุ กจิ และไมต อ งปฏิบตั ิตามแนวปฏบิ ัตนิ ้ีในสว นทีเ่ กยี่ วขอ งกับ ขอมลู สำหรับการติดตอทางธรุ กิจ
B1.9 ขอ มลู ติดตอทางธรุ กิจทรี่ ะบุถึงตัวบคุ คลยอ มเปน ขอ มูลสวนบคุ คลตามความหมายของแนว ปฏบิ ตั ินี้
B1.10 [Sensitive Personal Data] ขอ มูลออ นไหวเปนขอ มลู สวนบุคคลท่เี ปนเร่ืองสวนตวั โดยแท ของบคุ คล แตมคี วามละเอียดออนและสมุ เส่ียงตอการถกู ใชในการเลอื กปฏิบตั ิอยา งไมเ ปน ธรรม จึงจำเปนตอ งดำเนินการดว ยความระมัดระวงั เปนพเิ ศษ (รายละเอียดดสู วน B3)
B1.11 ขอมูลสว นบคุ คลทเี่ ปนขอ มลู ออนไหว 56 (1) เชื้อชาติ (2) เผาพันธุ (3) ความคดิ เห็นทางการเมอื ง (4) ความเชอื่ ในลัทธิ ศาสนาหรือปรัชญา (5) พฤติกรรมทางเพศ (6) ประวัติอาชญากรรม (7) ขอมลู สขุ ภาพ ความพิการ หรอื ขอมูลสุขภาพจติ (8) ขอ มูลสหภาพแรงงาน (9) ขอ มลู พันธกุ รรม (10) ขอ มลู ชีวภาพ (11) ขอ มลู อื่นใดซ่งึ กระทบตอเจา ของขอมูลในทำนองเดียวกันตามท่ีคณะกรรมการประกาศ กำหนด
6 พระราชบญั ญตั ิคุม ครองขอมลู สว นบคุ คล พ.ศ.2562 มาตรา 26 29 ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั
B1.12 [Anonymization] ขอมูลสวนบุคคลที่ผานกระบวนการทำใหไมสามารถระบุตัวบุคคลได กลายเปน ขอมูลนิรนาม (anonymous data) ยอมไมถือวาเปนขอมูลสวนบุคคลตาม ความหมายนี้ 7 อยางไรก็ดีกระบวนการทำใหไมสามารถระบุตัวบุคคลไดเปนการประมวลผล ขอมูลอยางหนึ่ง (further processing) 78 จำเปนตองมีฐานการประมวลผลขอมูลที่ชอบดวย
กฎหมาย และกระบวนการหรือวธิ ีทีจ่ ะรับรองความไมส ามารถระบตุ ัวตนได (รายละเอียดดสู ว น
G วาดวยแนวปฏบิ ัตเิ ก่ยี วกับการจดั ทำขอมลู นริ นาม)
B1.13 [Pseudonymization] การแฝงขอมูลไมใชกระบวนการทำใหข อ มูลไมสามารถระบตุ ัวบคุ คล
ได ขอมูลที่ไดยังคงเปนขอมูลสวนบุคคลตามความหมายน้ี แตเปนการลดหรือจำกัด
ความสามารถในการเช่ือมโยงขอมูลสวนบุคคลกับชุดขอมูลตั้งตน ซึ่งถือเปนมาตรการเพื่อการ
รักษาความปลอดภัยของขอมูลสวนบุคคลแบบหนึ่ง 9 โดยอาจใชวิธีเปลี่ยนขอมูลที่ระบุตัว
8
บคุ คล (Identifier) ดวยขอ มูลอ่ืน หรอื เลขที่กำหนดใหมขึน้ มาได (รายละเอยี ดดสู วน G วา ดวย
แนวปฏบิ ตั ิเกีย่ วกบั การจัดทำขอ มลู นริ นาม)
B1.14 ในเชิงหลักการแลวการปฏิบัติตามกฎหมายคุมครองขอมูลสวนบคุ คลของไทยจงึ ไมด อ ยไปกวา การปฏิบัติตามกฎหมายคุมครองขอมูลสวนบุคคลในที่อื่นหรือในสหภาพยุโรป เพราะยึดถือ หลักการและมาตรฐานเดยี วกัน
B1.15 [Material Scope] ในเชิงเนื้อหา การประมวลผลขอมูลสวนบุคคลใดๆจะตองเปนไปตาม 10 มาตรฐานของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยไมมีขอยกเวน 9
อยา งไรกด็ ีการประมวลผลในกรณีดงั ตอ ไปน้ไี ดรบั ยกเวนไมตอ งขอความยินยอม
(1) การเก็บรวบรวมขอ มลู สวนบคุ คลเพ่อื ประโยชนสวนตนหรือเพ่ือกจิ กรรมในครอบครัวของ
บุคคลนัน้ เทา นน้ั 11
10
(2) การดำเนินการของหนวยงานของรัฐท่ีมหี นาท่ีในการรักษาความม่นั คงของรฐั ซึ่งรวมถงึ
ความมั่นคงทางการคลังของรัฐ หรอื การรกั ษาความปลอดภยั ของประชาชน รวมทัง้ หนา ที่
7 พระราชบัญญัติคมุ ครองขอ มลู สวนบุคคล พ.ศ.2562 มาตรา 33 8 WP29 Opinion 05/2014 on Anonymisation Techniques (WP216), p.7. 9 Id., pp.10-11. 10 พระราชบัญญตั คิ มุ ครองขอ มูลสว นบุคคล พ.ศ.2562 มาตรา 4 วรรคสาม, สอดคลอ งกันกบั GDPR, Article 2.1 11 พระราชบญั ญัติคุม ครองขอ มลู สว นบุคคล พ.ศ.2562 มาตรา 4(1), สอดคลองกนั กับ GDPR, Article 2.2(c) 30 Thailand Data Protection Guidelines 3.0
เกีย่ วกับ การปองกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร หรือการรกั ษาความ มน่ั คงปลอดภยั ไซเบอร 12 (3) กจิ การสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอนั เปน ไปตามจรยิ ธรรมแหงการ ประกอบวชิ าชีพหรอื เปน ประโยชนสาธารณะเทานน้ั 13 (4) การพิจารณาตามหนาที่และอำนาจของสภาผแู ทนราษฎร วุฒสิ ภา และรัฐสภา รวมถงึ คณะกรรมาธิการที่แตงต้งั โดยสภาดงั กลา ว 14 (5) การพจิ ารณาพิพากษาคดีของศาลและการดำเนนิ งานของเจาหนา ทใ่ี นกระบวนการ พจิ ารณาคดี การบงั คับคดี และการวางทรัพย รวมท้ังการดำเนนิ งานตามกระบวนการ ยุตธิ รรมทางอาญา 15 (6) การดำเนินการกบั ขอมลู ของบริษัทขอ มูลเครดติ และสมาชกิ ตามกฎหมายวาดว ยการ ประกอบธรุ กจิ ขอ มลู เครดติ 1516
B1.16 [Territorial Scope] ในเชิงพื้นที่ การประมวลผลขอมูลสวนบุคคลจะตองเปนไปตาม มาตรฐานของพระราชบัญญตั คิ มุ ครองขอมูลสวนบุคคล พ.ศ.2562 ในกรณตี อไปน้ี (1) ผูประกอบการมีบริษัทหรือสาขาที่จัดตั้งในประเทศไทย ไมวาการประมวลผลขอมูลสวน บคุ คลนนั้ จะเกดิ ข้นึ ในประเทศไทยหรือไมกต็ าม 1617 (2) ผปู ระกอบการทไ่ี มมีบริษทั หรือสาขาท่จี ัดตง้ั ในประเทศไทย แต
12 พระราชบัญญัติคมุ ครองขอ มลู สวนบุคคล พ.ศ.2562 มาตรา 4(2), สอดคลองกนั กบั GDPR, Article 2.2(d), 23(a):
national security, 23(b): defence, 23(c): public security and 23(e): important economic interest ท่ี
กำหนดใหต อ งมีมาตรการคมุ ครองขอมลู สวนบุคคลตามที่จำเปนและไดสัดสว น
13 พระราชบญั ญัติคุมครองขอ มูลสว นบุคคล พ.ศ.2562 มาตรา 4(3), สอดคลองกันกบั GDPR, Article 85 ทก่ี ำหนดใหต อง
มีมาตรการคุมครองขอ มลู สวนบคุ คลไปพรอมๆกัน
14 พระราชบัญญัตคิ ุม ครองขอ มลู สว นบุคคล พ.ศ.2562 มาตรา 4(4), สอดคลอ งกนั กบั GDPR, Article 86 ทีก่ ำหนดใหต อ ง
มมี าตรการคุมครองขอมูลสวนบุคคลไปพรอมๆกนั
15 พระราชบัญญัตคิ มุ ครองขอ มูลสวนบคุ คล พ.ศ.2562 มาตรา 4(5), สอดคลอ งกันกบั GDPR, Article 2.2(d), 23(d):
prosecution of criminal offences, 23(f): judicial proceedings and 23(j): enforcement of civil claims ที่
กำหนดใหต อ งมมี าตรการคุม ครองขอ มลู สวนบคุ คลตามทีจ่ ำเปนและไดส ดั สว น
16 พระราชบญั ญัติคุมครองขอมลู สวนบุคคล พ.ศ.2562 มาตรา 4(6)
17 พระราชบญั ญัตคิ มุ ครองขอมูลสวนบุคคล พ.ศ.2562 มาตรา 5 วรรคแรก, สอดคลองกนั กบั GDPR, Article 3.1
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 31
- เสนอขายสินคาหรือบริการแกเจาของขอมูลในประเทศไทยไมวาจะมีการชำระเงิน
หรือไมกต็ าม หรือ
- มีการติดตามและจัดเก็บขอมูลพฤติกรรมของเจาของขอมูลในประเทศไทย ตราบ เทาทพี่ ฤตกิ รรมทจี่ ัดเก็บนน้ั เกิดข้นึ ในประเทศไทย 1718
B1.17 [Filing System] GDPR กำหนดขอบเขตของการคมุ ครองขอมลู สว นบคุ คลไววา ครอบคลุมถึง
การประมวลผลขอมูลสวนบุคคลที่อยูในรูปแบบอัตโนมัติหรือไมอัตโนมัติที่เปนสวนหนึ่งของ
ระบบหรือเจตนาใหเปน สว นหน่งึ ของระบบ หรือที่เรียกวา "filing system" 19 จงึ มคี วามหมาย
ในลักษณะที่ตั้งใจจะครอบคลุมถึงขอมูลในรูปแบบเอกสารที่มีการจัดเรียงอยางใดอยางหนึ่ง
ขอมูลที่ไมไดจัดเรียงหรือทำ index ที่ทำใหไมสามารถสืบคนเอกสารไดก็จะไมอยูในการ
คุมครองนี้ อยางไรกด็ ีเปนเรื่องไมงายนักที่จะแบงแยกระหวางสิ่งท่ีเรยี กวา filing system กับ
สิ่งท่ไี มใช 20
19
- ท่ผี า นมามบี ททดสอบท่เี รียกวา "temp test' หมายความวา ถา เดก็ ฝก งานของบริษัท
สามารถคนหาเอกสารหรือขอมูลนั้นไดตามสมควร คือ ไมตองมีความรู แสดงวา
บรษิ ทั มี filing system
- พึงสังเกตวา filing system ไมใ ชน ยิ ามของขอ มลู สว นบคุ คล หากพจิ ารณาตามนยิ าม
ของขอมลู สว นบคุ คลท่ีรวมถึงขอมูลทส่ี ามารถระบตุ วั บคุ คลไดแมทางออม ซึ่งสะทอน
คุณลกั ษณะของ filing system ประการหนง่ึ
- พรบ.คุมครองขอมูลสวนบุคคลฯแมไมไดระบุเรื่องนี้ไว แตก็ไมไดหมายความวาจะมี
เจตนารมณที่จะคุมครองขอมูลทุกอยางแมมันจะเปนกองขอมูลขยะ ที่จริงแลว
กฎหมายก็ไดก ำหนดขอยกเวนมากบา งนอยบางไวแลวตามสมควร
- กระบวนการประมวลผลขอมูลมีหลายขั้นตอนในทางปฏิบัติ ยอมมีสวนที่เปน filing
system และก็มีสว นทไ่ี มเ ปนในความเปนจริง ดังนน้ั จึงเปน ธรรมชาติทจ่ี ะไมสามารถ
18 พระราชบญั ญตั ิคุมครองขอมูลสว นบุคคล พ.ศ.2562 มาตรา 5 วรรคสอง 19 GDPR, Article 2 (1): “This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.” 20 ICO, Frequently asked questions and answers about relevant filing systems (2011), //ico.org.uk/media/for-organisations/documents/1592/relevant_filing_systems_faqs.pdf (last visited Dec 8, 2020). 32 Thailand Data Protection Guidelines 3.0
ใชคุณลักษณะ filing system มาแบงแยกและจัดกลุมอะไรไดมากนัก เชน ขอมูลที่ เคยอยูในระบบเอกสาร พอถูกคัดทิ้งแลว ก็ไมไดทำใหกลายเปนขอมูลนอกความ คุมครองเปน ได ผคู วบคุมขอ มูลก็มหี นา ที่ทำลายตามปกติ - กฎหมายยอมวางหลักโดยกวางเพ่ือใหอ ธิบายใหเหตุผลตอ ในรายละเอยี ดแตละกรณี ในทางปฏิบัติ จึงจำเปนที่จะตองพิจารณาในรายละเอียดและสิ่งที่เกิดขึ้นจริง เปรยี บเทียบกับกิจกรรมตางๆทม่ี อี ยูจริงในปจ จุบัน และอา งอิงกับมาตรฐานในแตละ เร่อื งเปน สำคญั
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 33
B2. การกำหนดและแยกแยะขอมลู สวนบุคคลตามความเส่ยี งและ ความรา ยแรงทอ่ี าจกระทบตอ สทิ ธิและเสรีภาพของบคุ คล
B2.1 โดยหลักการแลวผูประกอบการมีความรับผิดชอบในขอมูลสวนบุคคลที่ตนเองไดเก็บรวบรวม
และใช นอกจากกฎหมายคุม ครองขอ มลู สว นบุคคลแลว ผปู ระกอบการยังมคี วามรบั ผิดจากการ
ไมบริหารจดั การขอมลู ท่ีดีพอดวย เชน การนำขอ มูลสว นบคุ คลของบคุ คลอนื่ ไปเผยแพรเพ่ือหา
ประโยชนโดยไมไดรับอนุญาต ยอมมีความรับผิดตอเจาของขอมูลฐานละเมิดสิทธิตาม
รฐั ธรรมนญู 21 และอาจเปนการใชส ทิ ธิซ่ึงมแี ตจะใหเ กิดเสียหายแกบ คุ คลอ่นื 22
21
รฐั ธรรมนญู แหง ราชอาณาจกั รไทย พ.ศ.2560 มาตรา 32 “บคุ คลยอมมสี ทิ ธใิ นความเปนอยสู วนตัว เกียรตยิ ศ ชือ่ เสยี ง และครอบครวั
การกระทําอนั เปนการละเมิดหรอื กระทบตอ สทิ ธิของบุคคลตามวรรคหน่งึ หรือการ นาํ ขอมลู สวนบคุ คลไปใชประโยชนไ มวาในทางใดๆ จะกระทาํ มไิ ด เวน แตโดยอาศยั อํานาจตาม
บทบญั ญัติแหง กฎหมายทต่ี ราข้ึนเพยี งเทาที่จาํ เปน เพ่อื ประโยชนส าธารณะ”
ประมวลกฎหมายแพงและพาณชิ ย “มาตรา 420 ผใู ดจงใจหรอื ประมาทเลนิ เลอ ทำตอบุคคลอ่ืนโดยผดิ กฎหมายใหเ ขา
เสยี หายถึงแกชวี ิตกด็ ี แกรางกายกด็ ี อนามัยกด็ ี เสรภี าพกด็ ี ทรัพยส นิ หรือสทิ ธอิ ยา งหน่ึงอยา ง ใดกด็ ี ทานวาผนู น้ั ทำละเมดิ จำตอ งใชคา สนิ ไหมทดแทนเพ่อื การนั้น”
“มาตรา 421 การใชส ทิ ธิซ่ึงมแี ตจ ะใหเ กดิ เสียหายแกบ คุ คลอน่ื น้ัน ทานวา เปนการ อันมชิ อบดวยกฎหมาย”
21 บทบัญญตั ิลักษณะเดียวกนั นี้มปี รากฏในรฐั ธรรมนูญแหงราชอาณาจกั รไทย พ.ศ.2540 มาตรา 34 และ พ.ศ.2550 มาตรา 35 22 ประมวลกฎหมายแพง และพาณชิ ย มาตรา 420 - 421 34 Thailand Data Protection Guidelines 3.0
B2.2 โดยทัว่ ไปแลว ผูประกอบการจัดเก็บขอมูลตางๆเอาไวใ นสวนตางๆขององคกรของตน ซึง่ กระจัด กระจายแยกกันอยู แลวแตง านของสวนงานนน้ั ๆ แลว แตพ ฒั นาการของเทคโนโลยีในเร่อื งนั้นๆ และแลว แตสถานการณท่ีเกดิ ขึน้ จรงิ ที่จะทำใหสามารถจัดเก็บขอ มลู ไวไ ดม ากนอยแคไหน ซง่ึ ไม วาจะอยางไรดังไดกลาวมาแลวในเรื่องขอบเขตของขอมูล จึงมีความเปนไปไดมากวาขอมูล ทั้งหลายนั้นไมวาจะอยูที่ใดในรูปแบบใดยอมตกอยูในขอบเขตของขอมูลสวนบุคคลแทบ ทงั้ สิ้นไมม ากกน็ อย
B2.3 ผูประกอบการจึงจำเปนตองมีมาตรฐานการจัดการเกี่ยวกับขอมลู สวนบุคคลเพื่อที่จะสามารถ แสดงใหเห็นไดวาตนเองนั้นไดใชความระมัดระวังที่เพียงพอแลว โดยสามารถอางอิงตามแนว ปฏิบัตินี้และแนวปฏิบัติในสวนอื่นๆได มาตรฐานสากลที่สำคัญประการหนึ่งในการจัดการ ขอมูลสวนบุคคลในสวนน้ี ไดแก “การกำหนดและแยกแยะขอมูลสวนบุคคลตามความเสี่ยง และความรา ยแรงของผลกระทบตอ สิทธิและเสรีภาพของบคุ คล”
B2.4 ผปู ระกอบการจำเปน ตองแสดงใหเ ห็นวา มีขั้นตอนการกำหนดขอมลู ใหเปนขอ มูลสวนบคุ คลใน องคกร โดยอยางนอ ยประกอบดวย (1) [Data Policy] การกำหนดนโยบายและนยิ ามความหมายของขอ มูลสว นบุคคล (2) [Data Discovery] การกำหนดขน้ั ตอนการตรวจสอบขอมลู สว นบุคคล (3) [Data Proliferation] การระบคุ วามเช่ือมโยงและเสน ทางการสง ขอมูลสวนบคุ คลทีจ่ ะ เกิดขึ้นในองคกร รวมถงึ ระบแุ หลงทจี่ ะไดม าซง่ึ ขอ มลู สว นบคุ คลทงั้ หลาย (4) [Data Risk Level] การกำหนดความเส่ียงของขอมูลสวนบุคคลชุดตา งๆ (5) [Data Protection] มมี าตรการคมุ ครองขอ มลู สว นบคุ คล
Data Data Data Data Risk Data Policy Discovery Prolifera- Level Protection
tion
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 35
B2.5 [Data Policy] ผูประกอบการตองกำหนดนโยบายและขอบเขตของขอ มลู สว นบคุ คลของตน โดยอาจเลือกกำหนดนโยบายของตนตาม TDPG (Thailand Data Protection Guidelines) ฉบับนี้กไ็ ด ในกรณเี ชนนีผ้ ปู ระกอบการก็จะไมต องกำหนดนโยบายของตนเองแตส ามารถใช TDPG เปน นโยบายของตนเองไดเ ลย
B2.6 [Data Discovery] ผปู ระกอบการกำหนดขัน้ ตอนการตรวจสอบขอ มลู สว นบคุ คลตามที่ระบุ ไวในสว น B1 โดย - ครั้งท่หี น่งึ อาจดำเนนิ การเองหรือโดยระบบอตั โนมตั ิ - ครง้ั ตอๆไป เปน กระบวนการตอ เนื่อง
B2.7 [Data Proliferation] ผูป ระกอบการจะตอ งมีข้ันตอนตอ ไปนเี้ พ่อื 23 (1) [Actors and Roles] ระบุตัวบุคคลตา งๆท่ีเกย่ี วของกับกระบวนการท้ังหลายทเ่ี ก่ียวขอ ง กับการคุม ครองขอมลู สวนบคุ คลโดยอยา งนอยประกอบดวยบุคคลทเ่ี กีย่ วขอ ง 4 ประเภท - เจา ของขอ มลู (Data Subjects) - ผคู วบคมุ ขอ มลู (Controllers) - ผปู ระมวลผลขอ มลู (Processors) - บุคคลภายนอก (Third Parties) (2) [Interactions] ระบคุ วามสมั พันธร ะหวางบุคคลตางๆทเ่ี กยี่ วของ โดยระบุถึง ความสัมพนั ธท่อี าจมขี ึน้ ดงั ตอไปน้ี
- เจา ของขอ มูลสงขอ มลู สวนบคุ คลใหก บั ผูควบคุมขอ มลู เชน เมอื่ มีการลงทะเบยี นเพอื่ ใชบริการของผคู วบคุมขอมลู เปนตน
- ผูควบคมุ ขอมลู สง ขอ มลู สวนบคุ คลใหกับผปู ระมวลผลขอมลู เชน ตามขอตกลงจา ง งานภายนอก (Outsourcing) เปน ตน
- เจาของขอ มลู สง ขอ มลู สวนบคุ คลใหกบั ผปู ระมวลผลขอ มูล ซงึ่ เปนสว นหนึง่ ของการ ดำเนนิ งานในนามของผูควบคมุ ขอ มูล
- ผคู วบคมุ ขอมลู สงขอ มลู สว นบคุ คลใหกบั เจาของขอ มูล เชน การดำเนินการตามท่ี เจาของขอมลู รองขอ เปน ตน
23 ปรบั ปรุงจาก ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework 36 Thailand Data Protection Guidelines 3.0
- ผูประมวลผลขอ มลู สง ขอ มลู สวนบคุ คลใหกับเจาของขอ มลู เชน ตามทผี่ ูควบคมุ ส่งั การ เปน ตน
- ผปู ระมวลผลขอมลู สง ขอ มลู สว นบคุ คลใหก บั ผคู วบคมุ ขอมลู เชน เมอื่ ไดทำงานตาม ขอตกลงแลวเสรจ็ เปนตน
- ผูค วบคุมขอมลู สงขอ มลู สว นบุคคลใหก บั บคุ คลภายนอก เชน การดำเนินการตาม ขอ ตกลงทางธรุ กจิ เปนตน
- ผปู ระมวลผลขอ มลู สง ขอ มลู สว นบคุ คลใหก ับบคุ คลภายนอก เชน ตามทผ่ี คู วบคมุ ส่ัง การ เปน ตน
Data Subject Controller Processor Third Parties
- Provider Recipient
- Provider Recipient Recipient
- Provider Recipient Recipient
- Recipient Provider
- Recipient Provider
- Recipient Provider
- Provider
- Provider
(3) [Identifiers] ระบขุ อมลู สว นบคุ คลตามท่กี ำหนดในสว น B1 รวมถงึ ขอมลู ทีใ่ ชแยกแยะ (distinguishability), ขอมูลท่ีใชต ดิ ตาม (traceability) และขอ มลู ทใ่ี ชเช่อื มโยง (linkability) ดวย
B2.8 หากผูป ระกอบการไดม กี ารสง ตอ หรืออนุญาตใหเ ขาถึงขอ มลู แกระบบสารสนเทศภายนอก ผปู ระกอบการตองมีขอตกลงเกย่ี วกบั บทบาทหนาที่และความรบั ผดิ ชอบท่ีเหมาะสม รวมถงึ การจำกดั ไมใ หมีการสงตอ ขอมลู ไปยังบุคคลอืน่ , การแจงเตือนเมอื่ มกี ารร่วั ไหลหรอื ละเมดิ ขอ มลู สวนบุคคล, มาตรการความมน่ั คงปลอดภยั ข้นั ตำ่ , และขอตกลงอน่ื ๆทเ่ี กี่ยวของ เชน BCR (Binding Corporate Rules) รายละเอียดดูสวน D2 และ D5
B2.9 ความเสยี่ งและความรา ยแรงของผลกระทบ (harm) ท่ีอาจจะเกดิ ขึ้นจากการรวั่ ไหลหรือการ ละเมดิ ขอมลู สวนบุคคล อาจประเมนิ ไดใน 2 กลุม
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 37
- ระดบั บคุ คล เชน การแบล็คเมล, การถกู สวมรอยบคุ คล (identity theft), การถูกทำราย รางกาย, การถกู เลือกปฏิบัติ หรือความเสยี หายทางจิตใจ เปนตน
- ระดบั องคก ร เชน การสญู เสยี ความสามารถในการรกั ษาความลบั , ความเสียหายทางการ เงิน, การสูญเสยี ช่ือเสียงและความเชอื่ มั่น หรือความรบั ผิดทางกฎหมายตางๆ เชน ทาง แพง , ทางอาญา และทางปกครอง เปน ตน
B2.10 [Data Risk Level] การกำหนดความเสย่ี งและความรา ยแรงของผลกระทบ (Impact Levels) อาจแบง ไดเปน 3 ระดบั ตามมาตรฐานความม่ันคงปลอดภยั ระบบสารสนเทศ 2324 ไดแก (1) ระดับต่ำ (Low) ไดแก กรณที ่ผี ลกระทบจากการสูญเสยี การรักษาชนั้ ขอมลู (Confidentiality), ความถูกตอ งสมบรู ณ (Integrity) และความพรอ มใชง าน (Availability) มแี นวโนม ที่จะมอี ยอู ยา งจำกัด (limited adverse effect) ทงั้ ในระดับ บคุ คลและระดบั องคกร เชน - เกิดผลกระทบเล็กนอ ยตอระบบสารสนเทศทำใหส งั เกตเหน็ ไดว าดอ ยประสิทธภิ าพ ลง แตย ังคงสามารถทำหนาท่หี รือใหบ ริการพื้นฐานขององคก รได - เกิดความเสยี หายเลก็ นอยตอ สินทรพั ยข ององคก ร - เกิดความเสยี หายทางการเงินเพยี งเล็กนอย - เกิดผลกระทบเลก็ นอยตอบุคคล เชน ทำใหต อ งเปล่ยี นเลขหมายโทรศัพท เปนตน (2) ระดับกลาง (Moderate) ไดแ ก กรณีทผี่ ลกระทบจากการสูญเสยี การรกั ษาชนั้ ขอมูล (Confidentiality), ความถกู ตอ งสมบูรณ (Integrity) และความพรอ มใชงาน (Availability) มแี นวโนมที่จะมผี ลกระทบมาก (serious adverse effect) ท้ังในระดบั บุคคลและระดบั องคก ร เชน - เกิดผลกระทบมากตอระบบสารสนเทศทำใหดอ ยประสิทธิภาพลงอยา งมีนยั สำคญั แตยังคงสามารถทำหนาทห่ี รือใหบ รกิ ารพื้นฐานขององคกรได - เกดิ ความเสียหายมากอยา งมีนยั สำคัญตอ สนิ ทรพั ยขององคก ร - เกดิ ความเสียหายทางการเงินมากอยางมีนัยสำคญั - เกิดผลกระทบมากอยางมีนยั สำคญั ตอบคุ คล แตไมถงึ ขนาดทเ่ี กีย่ วกบั ความเปน ความตาย หรือไดร บั บาดเจ็บข้ันรา ยแรงถงึ ชีวิต เชน ทำใหเ กดิ ความเสยี หายทางการ
24 อางองิ ตาม US Federal Information Processing Standards (FIPS) Publication 1999, Standards for Security Categorization of Federal Information and Information Systems 38 Thailand Data Protection Guidelines 3.0
เงินเพราะถูกสวมรอยบคุ คลหรือถกู ปฏิเสธไมใ หป ระโยชนบางอยาง, ทำใหตอ งอบั อายแกส าธารณะ, ทำใหถกู เลือกปฏิบัติ, ทำใหถ กู แบล็คเมล เปน ตน (3) ระดับสูง (High) ไดแก กรณีที่ผลกระทบจากการสญู เสยี การรกั ษาช้ันขอมลู (Confidentiality), ความถูกตองสมบรู ณ (Integrity) และความพรอมใชง าน (Availability) มีแนวโนมทจี่ ะมคี วามรายแรงหรือเปนหายนะ (severe or catastrophic adverse effect) ทัง้ ในระดบั บุคคลและระดบั องคก ร เชน - เกิดผลกระทบรา ยแรงตอระบบสารสนเทศทำใหด อ ยประสทิ ธิภาพลงอยางมากจนถึง ขนาดท่ไี มส ามารถทำหนาทห่ี รอื ใหบรกิ ารพ้ืนฐานหนึง่ หรือมากกวา น้ันขององคกรได - เกิดความเสยี หายรายแรงตอ สนิ ทรพั ยข ององคก ร - เกิดความเสียหายรายแรงทางการเงิน - เกิดผลกระทบรา ยแรงตอบคุ คล ถงึ ขนาดท่เี กี่ยวกับความเปนความตาย หรือไดรับ บาดเจบ็ ข้นั รา ยแรงถึงชวี ิต เชน ความเสียหายรา ยแรงทางรางกาย, สงั คม หรือ ทางการเงนิ ทำใหตองสูญเสียชีวติ , สูญเสียความเปน อยอู นั ปกตสิ ุข หรอื ถกู หนว ง เหน่ยี วกกั ขัง เปนตน
B2.11 ความเสยี่ งระดบั สงู (High) นน้ั รวมถึงความเสย่ี งทจ่ี ะเกิดผลกระทบตอ “สิทธิและเสรภี าพของ เจา ของขอมลู ” (to the rights and freedom of data subjects) ซึ่งรวมถึงสทิ ธแิ ละ เสรภี าพดังตอ ไปน้ี - สิทธใิ นการไมถูกเลือกปฏบิ ตั ิ (right to non-discrimination) - เสรภี าพในการแสดงความคดิ เห็น (freedom of speech) - เสรภี าพทางความคดิ ความเชอื่ และศาสนา (freedom of thought, conscience and religion) - เสรภี าพในการเคลื่อนยายถิน่ ฐาน (freedom of movement) 25
B2.12 หากชดุ ขอมูลใดมคี วามเสย่ี งระดับสงู (High) กจ็ ำเปน ตองมีกระบวนการ DPIA (Data Protection Impact Assessment) ตอ ไป (รายละเอียดดูสวน E แนวปฏบิ ตั ิเพ่ือการ ประเมนิ ผลกระทบดา นการคมุ ครองขอมูลสว นบุคคล)
25 Article 29 Data Protection Working Party, STATEMENT ON THE ROLE OF A RISK-BASED APPROACH IN DATA 39
PROTECTION LEGAL FRAMEWORKS (2014), at paragraph 8. ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั
B2.13 การกำหนดความเสี่ยงของขอ มูลสว นบคุ คลชดุ ตางๆโดยอยา งนอ ยคำนึงถงึ
Identifiability
Volume
Access & Activity
Adverse Effects to Data Subjects
Adverse Effects to Organization
- [Identifiability] ผูประกอบการตอ งมีการประเมนิ วา ขอ มลู สวนบคุ คลน้ันสามารถใชเ พ่อื ระบตุ ัวบุคคลไดง า ยเพียงใด เชน ชดุ ขอ มูลที่มี ช่ือและนามสกลุ , ลายน้วิ มอื หรือเลข ประจำตัวประชาชน ยอมถือวา สามารถระบตุ วั บุคคลไดโดยตรง ในขณะทชี่ ดุ ขอมลู ทมี่ ี รหสั ไปรษณีย และวันเกดิ สามารถใชเ พอ่ื ระบตุ ัวบคุ คลไดโ ดยออม 2526
- [Volume] ผูประกอบการตอ งประเมนิ วา จะมผี ไู ดร ับผลกระทบโดยถกู ระบตุ วั ตนไดเ ปน จำนวนมากเพยี งใด เพราะชุดขอมลู ขนาดใหญเ มอ่ื เกดิ เหตรุ ัว่ ไหลของขอ มลู สวนบุคคล ยอ มสรา งผลกระทบตอ บคุ คลเปน จำนวนมาก และสรา งผลกระทบตอ ช่อื เสียงขององคกร กรณีเชนนีก้ ็จำเปนทจ่ี ะกำหนดระดับความเส่ียงท่ีสูงเอาไว แตก ไ็ มไ ดห มายความวา ถามชี ุด ขอมลู ขนาดเล็กกจ็ ะมีระดับความเส่ียงท่ีต่ำ
- [User Access and Activity] ผปู ระกอบการตอ งประเมนิ วามีผใู ชง านไดแกใครบาง และใชง านบอยและมากแคไ หน ยง่ิ มผี ูท ส่ี ามารถเขาถงึ ขอมลู ไดม ากและบอ ยยอมทำใหม ี
26 มผี ลงานวิจัยพบวา 97% ของบคุ คลท่ีมี ชอื่ และทอ่ี ยู ตามบัญชผี มู ีสทิ ธเิ ลือกตั้ง สามารถใชเ พยี งขอมูลรหสั ไปรษณียและ วันเกิดในการระบตุ วั บุคคลตามบญั ชีได, Latanya Sweeney, Computational disclosure control : a primer on data privacy protection, 2001, //dspace.mit.edu/handle/1721.1/8589; see also Paul Ohm, Broken Promises of Privacy: Responding to The Surprising Failure of Anonymization, UCLA LAW REVIEW 77; Arvind Narayanan & Edward W Felten, No silver bullet: De-identification still doesn’t work, //randomwalker.info/ publications/no-silver-bullet-de-identification.pdf; Contra. Ann Cavoukian & Daniel Castro, Big Data and Innovation, Setting the Record Straight: De-identification Does Work, (2014), //www2.itif.org/2014-big-data-deidentification.pdf 40 Thailand Data Protection Guidelines 3.0
ความเสย่ี งท่จี ะร่วั ไหลได ทำนองเดยี วกนั กับการเขาถึงขอ มลู จากสวนงานตา งๆกนั ดวย อปุ กรณตางๆกนั ดว ยแอพพลิเคชน่ั ตา งๆกัน ทั้งจากภายในและภายนอกองคก ร หรอื แมแ ตภ ายนอกประเทศ ยอ มทำใหม คี วามเสยี่ งทจี่ ะร่วั ไหลไดม ากกวา นอกจากนกี้ รณที ่ี ตองมกี ารจดั เกบ็ ขอ มูลและโอนยา ยขอ มูลออกจากระบบยอมมคี วามเสยี่ งมากกวาเชนกัน - [Adverse Effects to Data Subjects] ผปู ระกอบการตอ งประเมนิ ความออนไหวของ ขอ มลู สว นบคุ คลท่มี อี ยู ขอมลู เลขบตั รประชาชน, ขอ มลู ทางการแพทย หรือขอ มลู ทาง การเงนิ ยอมถอื เปน ขอ มลู ที่มคี วามออ นไหวมากกวาเลขหมายโทรศพั ท หรอื รหัสไปรษณีย ตัวอยางเชน
- หากมขี อมลู เลขบตั รประชาชนในชุดขอ มูลยอ มตอ งกำหนดระดับความเสยี่ งไวใน
ระดบั กลาง (moderate) ii. หากมีขอมูลเลขบัตรประชาชนกับเลขบัตรเครดติ ยอ มตองกำหนดระดบั ความเสี่ยงไว
ในระดับกลาง (moderate) iii. หากมีขอ มูลสถานทเ่ี กดิ หรอื ช่อื บิดามารดา ซง่ึ มักถกู ใชเ ปน ขอมูลยนื ยนั ตัวตนในการ
ขอกูรหัสผา นของเวบ็ ไซตจ ำนวนมาก ยอ มตอ งกำหนดระดบั ความเสยี่ งไวใน ระดับกลาง (moderate) - [Adverse Effects to Organization] ผูประกอบการอาจตอ งรบั ผดิ ตอ ความเสยี หาย ที่อาจเกดิ ข้ึนจากขอมูลร่ัวไหลหรอื ถูกละเมดิ รวมถงึ ความรบั ผดิ ตามกฎหมายตา งๆ เชน กฎหมายคมุ ครองขอ มูลสวนบคุ คล, กฎหมายอื่นท่ีกำหนดความรับผิดกรณขี อมลู รัว่ ไหล หรอื ความรับผดิ ตามกฎหมายตางประเทศ เชน GDPR เปนตน
ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 41
B2.14 ตัวอยา งการกำหนดความเส่ียงขอมลู
ตวั อยา งบนั ทึกเขาออกอาคาร บรษิ ัทจดั เก็บขอ มลู ของบคุ คลทเี่ ขา และออกอาคารสำนักงานของตนดว ยระบบสแกน
บัตรพนักงาน และการแลกบตั รประจำตัวประชาชนของบคุ คลภายนอก เพื่อบันทกึ การเขาออก เพอื่ ความปลอดภัยและตรวจสอบไดเ ม่ือมีเหตุท่ีไมปลอดภยั ทำใหมกี ารจดั เกบ็ ชอ่ื -นามสกุล หนว ยงานที่สังกดั ตำแหนงงาน เลขประจำตวั พนกั งาน และเลขบตั รประจำตวั ประชาชน พรอม ลงเวลาเขาและออก โดยบนั ทึกไวใ นระบบคอมพวิ เตอรเ ปน log file
[Identifiability] การจัดเก็บขอ มลู ดงั กลา วยอมระบถุ ึงตัวบคุ คลเจา ของขอ มูลได โดยตรง
[Volume] ขอมูลมปี ระมาณ 100 รายการตอวนั ถอื วา มีปริมาณมาก [User Access and Activity] ขอมูลสามารถเขาถึงไดจากเจาหนา ทที่ ม่ี ีหนา ท่ี ตรวจสอบเรื่องการเขา ออกเทาน้ัน โดยเปน การเขาถึงภายในองคก รเทาน้นั และไมเ ช่ือมตอขอ มลู ดังกลา วไปยงั สวนอืน่ ใด บุคคลอ่ืนไมส ามารถเขาถึงได เวนแตไดรบั อนญุ าตจาก ผบู รหิ ารระดบั สงู [Adverse Effects to Data Subjects] ขอ มลู สว นบุคคลทจ่ี ัดเกบ็ ไวอ าจสรา ง ผลกระทบทำใหเกดิ ความอบั อาย เชน ขอ มลู การเขาออกกอ นเวลาทำงาน แตเนอ่ื งจากเปน ขอ มลู ทีจ่ ำกัดเฉพาะการใชงานภายในองคก ร โอกาสท่ีจะสรา งผลกระทบดงั กลาวจงึ มีอยจู ำกัด [Adverse Effects to Organization] หากเกิดการร่วั ไหลหรือละเมดิ อาจตอง รบั ผิดชอบชดเชยความเสยี หาย ซงึ่ มโี อกาสเกดิ ขน้ึ ไมม าก ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอยและคอ นขา งจำกัด
42 Thailand Data Protection Guidelines 3.0
ตัวอยา งการจดั เก็บขอ มลู การใชงานภายในองคก ร (Intranet Activity Tracking) 2627 ผูประกอบการจัดเกบ็ ขอ มลู การใชง านเวบ็ ไซตภ ายในองคก ร (intranet) ของ
พนักงานโดยจัดเกบ็ ขอมูลไดแก IP Address, URL ท่ใี ชงานกอ นท่จี ะสเู วบ็ ไซตด ังกลาว, วนั และเวลาท่ใี ช, หนา เวบ็ หรอื หวั ขอทใ่ี ชง านภายในเวบ็ ไซตอ งคกร
[Identifiability] ขอ มลู ทจ่ี ัดเก็บไมใ ชข อ มูลทส่ี ามารถระบตุ วั บุคคลไดโ ดยตรง แตก ็มี ระบบ login ทมี่ ีขอ มลู ทเ่ี ชือ่ มโยงไดแ ก ขอ มลู User ID และ IP Address ซงึ่ ถาหากสามารถ เขาถึงขอ มูลท้งั สองไดกจ็ ะทำใหส ามารถระบตุ วั บุคคลได อยางไรกด็ ขี อ มูลทจ่ี ัดเก็บสวนใหญ เปนขอ มูลเกย่ี วกบั การใชง านเวบ็ ไซตภายในองคกร และมี ผดู แู ลระบบจำนวนนอ ยทสี่ ามารถ เขาถงึ ขอ มูลไดทั้ง 2 ระบบ
[Volume] ขอมูลมปี รมิ าณมาก [User Access and Activity] ขอมูลสามารถเขา ถึงไดจากผดู แู ลระบบจำนวนนอย และเปนการเขาถึงจากระบบภายในองคก รเทา นั้น [Adverse Effects to Data Subjects] ขอมลู ทจี่ ดั เกบ็ อาจสรางผลกระทบทำใหเ กดิ ความอบั อาย เชน ขอ มูลคนหาการใชงานโปรแกรมทไี่ มเหมาะสม แตเ นื่องจากเปน ขอมลู ที่ จำกดั เฉพาะการใชงานภายในองคกร จำนวนขอมูลทีจ่ ะสรา งผลกระทบดงั กลา วจงึ มอี ยูจ ำกดั [Adverse Effects to Organization] หากเกิดการรวั่ ไหลหรอื ละเมดิ บรษิ ทั อาจมี ภาระตอ งบรหิ ารจัดการปญหาภายในองคก รทอ่ี าจเกดิ ขึน้ ตามมา ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอยและคอนขา งจำกดั
ตวั อยางการเฝาระวังการปฏบิ ตั ิงานของพนกั งานบรษิ ทั 2728 บรษิ ัทจัดเกบ็ ขอ มลู กจิ กรรมตา งๆของพนกั งานเพ่ือการเฝา ระวงั (systematic
monitoring) รวมถึง การน่ังทำงานที่โตะ ทำงาน หรอื การใชง านอินเทอรเนต็ เปน ตน [Identifiability] การจดั เก็บขอมลู ดงั กลาวยอ มระบุถึงตัวบคุ คลเจาของขอ มลู ได
โดยตรง
27 NIST SPECIAL PUBLICATION 800-122, at 3.3.2
28 Article 29 Data Protection Working Party (WP29) Guidelines on Data Protection Impact Assessment
(DPIA) (wp248rev.01), p.11
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 43
[Volume] ขอ มลู มปี รมิ าณมาก [User Access and Activity] ขอ มลู สามารถเขา ถงึ ไดจ ากผูบ รหิ ารตามสายงาน ซ่ึง ถอื วา คอ นขา งเปด โอกาสใหมีการเขา ถงึ ไดง า ย [Adverse Effects to Data Subjects] ขอ มลู สว นบุคคลทีจ่ ดั เก็บไวอ าจสราง ผลกระทบทำใหเ กดิ ความอับอาย เชน ขอ มูลการเขา ออกกอ นเวลาทำงาน หรอื การเขา ถึง เวบ็ ไซตท ไ่ี มเ หมาะสม หรอื พฤติกรรมอน่ื ๆท่ีอาจตรวจพบ ทำใหอาจไมสามารถใชช ีวิตอยาง ปกตสิ ุขอกี ตอ ไปได [Adverse Effects to Organization] หากเกิดการร่วั ไหลหรอื ละเมดิ จะสงผลเปน การทำลายความไววางใจในองคก ร บริษทั อาจตอ งรับผดิ ชอบชดเชยความเสยี หาย และรบั ผดิ ตามกฎหมายทเี่ ก่ยี วของซ่ึงมคี วามเปนไปไดต างๆนาๆ ระดับความเสีย่ ง: สูง เพราะมผี ลกระทบรายแรง จำเปน ตอ งทำ DPIA ตอไป
ตวั อยางทำโปรไฟลขอมลู สื่อสังคมออนไลน 2829 บริษัทจัดเก็บขอ มลู สื่อสงั คมออนไลนส าธารณะเพื่อจดั ทำโปรไฟลง่ิ (profiling) [Identifiability] การจดั เกบ็ ขอ มลู ดงั กลา วยอมระบุถงึ ตวั บคุ คลเจา ของขอ มลู ได
โดยงาย [Volume] ขอ มลู มปี รมิ าณมาก [User Access and Activity] ขอ มลู ถกู ใชเ พือ่ การทำงานของบริษทั เกอื บทง้ั หมด
โดยไมไ ดมกี ารแฝงขอ มูล (pseudonymization) หรอื ผสมขอมลู (aggregation) เพอื่ ไมใ ห ระบตุ วั บคุ คลเจาของขอมูลได นอกจากนย้ี งั มกี ารเชือ่ มโยงขอมูลระหวางชดุ ขอมูลโดยตลอด
[Adverse Effects to Data Subjects] ขอ มลู สว นบคุ คลบนส่อื สังคมออนไลนม ี ลักษณะเปน ขอมูลสว นบคุ คลท่ีเปน เรือ่ งสวนตัวโดยแทของบคุ คล มคี วามละเอยี ดออนและสมุ เสย่ี งตอ การถกู ใชใ นการเลอื กปฏิบตั ิอยา งไมเปน ธรรม
29 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11 44 Thailand Data Protection Guidelines 3.0
[Adverse Effects to Organization] หากเกดิ การรว่ั ไหลหรือละเมดิ จะสง ผลเปน การทำลายความไววางใจในองคก ร บริษทั อาจตอ งรับผิดชอบชดเชยความเสยี หาย และรับผิด ตามกฎหมายท่ีเกี่ยวของซง่ึ มีความเปนไปไดม ากมาย
ระดับความเสย่ี ง: สูง เพราะมีผลกระทบรายแรง จำเปนตอ งทำ DPIA ตอ ไป
ตวั อยางขอ มูลการรายงานการประพฤตมิ ชิ อบ 2930 ฐานขอมลู จดั เก็บการรองเรยี นการประพฤตมิ ิชอบ ซ่งึ บางรายการเกย่ี วขอ งกับฐาน
ความผดิ รายแรง เชน การกลา วหาวารับสนิ บน หรือการละเลยไมบงั คบั ใชม าตรการเพอื่ ความ ปลอดภัย นอกจากนย้ี ังมกี ารจดั เกบ็ ขอมลู ชอื่ ที่อยเู พือ่ การติดตอ ซึง่ ผรู อ งเรยี นกม็ กั จะกรอก ขอมลู สวนบคุ คลไวให โดยเวบ็ ไซตน จี้ ัดเกบ็ IP Address และเว็บไซตอ างอิงดว ย
[Identifiability] แมร ะบบจะไมไดก ำหนดใหผ ใู ชงานตองใหขอมลู สวนบุคคล แต ผใู ชง านจำนวนมากเลอื กทจ่ี ะใหขอ มลู สว นบคุ คลเอาไว นอกจากนย้ี งั จัดเกบ็ IP Address แม จะไมไ ดเ ช่อื มโยงขอมลู อื่นเพอื่ ระบตุ วั บุคคลเอาไว
[Volume] ขอมลู ประมาณ 50 รายการมีขอ มลู สวนบุคคลจากทั้งหมดประมาณ 1,000 รายการ
[User Access and Activity] ขอ มูลสามารถเขาถึงไดจ ากผูท่ีมีหนา ทตี่ รวจสอบเรือ่ ง รองเรยี นซึ่งมีจำนวนนอย โดยเปน การเขา ถึงภายในองคก รเทานัน้
[Adverse Effects to Data Subjects] ขอมลู สวนบคุ คลทจ่ี ดั เกบ็ ไวม ี ชอื่ ท่อี ยู อีเมล และเลขหมายโทรศพั ท ซ่งึ มคี วามออนไหวในแงท ีบ่ คุ คลตามขอ มลู ดังกลา วอาจไดร ับ ผลกระทบรายแรง เชน การแบลค็ เมล ความเครยี ดขั้นรนุ แรง การออกจากงาน หรอื อาจไดร บั อันตรายแกก ายหรือจิตใจ
[Adverse Effects to Organization] หากเกดิ การรัว่ ไหลหรือละเมดิ จะสงผลเปน การทำลายความไวว างใจในองคกร บรษิ ัทอาจตองรบั ผิดชอบชดเชยความเสยี หาย และรับผดิ ตามกฎหมายท่ีเกยี่ วของ
ระดับความเสย่ี ง: สูง เพราะมีผลกระทบรา ยแรง จำเปนตอ งทำ DPIA ตอไป
30 NIST SPECIAL PUBLICATION 800-122, at 3.3.3 45 ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั
ตัวอยา งสงอเี มลขา วสารประจำวันเพ่ือการประชาสมั พนั ธ 3031 บรษิ ทั จดั เกบ็ อเี มลข องผเู ขา ชมเวบ็ ไซตเพอ่ื จดั สงอเี มลขาวสารประจำวัน (daily
digest) แกผสู มัคร [Volume] ขอมลู มปี ริมาณมาก [Identifiability] การจัดเกบ็ ขอมลู ดังกลา วยอ มระบุถึงตัวบคุ คลเจาของขอมูลได
โดยงา ย [User Access and Activity] ขอมลู ถกู ใชเ พ่อื การสงอีเมลขา วโดยระบบอัตโนมตั ิ
และไมไดเ ชอ่ื มโยงไปยังระบบอ่ืนๆ [Adverse Effects to Data Subjects] ขอมลู อีเมลดังกลาวทำใหเ กดิ ความรำคาญ
สำหรับผทู ไี่ มประสงคจะรับอเี มลขา วดังกลาว [Adverse Effects to Organization] หากเกิดการรั่วไหลหรือละเมดิ บรษิ ัทอาจมี
ภาระตอ งดำเนินการและรับผดิ ชอบตามกฎหมายคมุ ครองขอมูลสวนบุคคล ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอ ยและคอนขางจำกัด
B2.15 [Data Protection] ผปู ระกอบการตอ งมกี ระบวนการข้นั ตอนรองรบั การคุมครองขอมูลสวน บุคคลใหเหมาะสมตามความเสย่ี งและความรายแรงของผลกระทบ (1) เง่ือนไขการเขาถึงขอ มลู สวนบคุ คล เชน การกำหนดช้นั ขอมลู การจำกดั การเขาถงึ ขอมลู สว นบคุ คล รวมถึงการควบคมุ การเขาถงึ ขอ มูลตาม เวลา สถานท่ี และบทบาทของผูเ ขา ถงึ ขอมลู และรบั ผดิ ชอบ เปนตน (2) กระบวนการรองรับการเกบ็ รักษาขอมลู สวนบคุ คลทางกายภาพ (Physical Security) เชน - การกำหนดพน้ื ทเี่ พอ่ื ความปลอดภยั (secure areas) - การกำหนดหนวยเก็บขอ มลู เพือ่ ความปลอดภยั (secure storage) - การกำหนดกระบวนการกำจดั ขอ มลู และอุปกรณเพือ่ ความปลอดภยั (secure disposal) (3) กระบวนการรองรับการจดั การขอมูลสว นบคุ คลตลอดการพัฒนาระบบเทคโนโลยี สารสนเทศ เชน การแฝงขอมูล (pseudonymization) หรือการเขารหสั ขอ มลู (encryption) และการปลดระวางขอ มูล เปนตน
31 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11 46 Thailand Data Protection Guidelines 3.0
(4) แผนเผชญิ เหตเุ มื่อมกี ารรั่วไหลหรอื ละเมดิ ขอมูลสว นบุคคล (5) มาตรการเม่ือมกี ารไมปฏบิ ตั ติ ามขนั้ ตอนการคมุ ครองขอมลู สว นบคุ คล (6) กระบวนการฝกอบรมพนกั งาน
B2.16 ในกรณีที่จะมีการสงขอมูลสวนบุคคลไปยังตางประเทศหรือองคกรระหวางประเทศ
ผูประกอบการที่เปนผูควบคุมขอมูลหรือผูประมวลผลขอมูลจะตองทำใหแนใจวามีมาตรการ
คมุ ครองขอมูลสวนบคุ คลทีเ่ พยี งพอ (appropriate safeguards) และจะสามารถบังคับใชสิทธิ
ของเจาของขอมูล รวมทั้งมีมาตรการเยียวยาตามกฎหมายที่จะบังคับใชได 32 (รายละเอียดดู
31
สวน D5)
32 GDPR, Article 46.1
ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 47
B3. การประมวลผลขอ มลู สวนบคุ คลท่ีมคี วามออ นไหวเปน พิเศษ (Special Categories or Sensitive Data)
B3.1 การประมวลผลขอ มูลสว นบคุ คลที่เก่ียวกับเชอื้ ชาติ เผา พนั ธุ ความคดิ เห็นทางการเมอื ง ความเชื่อ ในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใดซึ่งกระทบตอเจาของ ขอมูลสวนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศ กำหนด โดยหลักจะตองไดร บั ความยินยอมโดยชัดแจง จากเจาของขอมลู สว นบุคคล เวนแตจะมี ขอยกเวนตามที่กฎหมายกำหนด3233 โปรดดูรายละเอียดของขอยกเวนหรือเงื่อนไขพิเศษของการ ประมวลผลขอ มลู ออนไหวเพิม่ เติมไดท่หี ัวขอ G ของคูมือฉบับน้ี (1) [คำอธิบายทั่วไป] กฎหมายไมไดกำหนดคำเรียกขอมูลขางตนไวอยางชัดเจน แตใน วงการคุมครองขอมูลสวนบุคคลจะเรียกขอมูลประเภทดังกลาววา “ขอมูลออนไหว (sensitive data)” กันอยางแพรหลาย สวน GDPR ไดเรียกขอมูลประเภทดังกลาววา “ขอมลู สว นบคุ คลประเภทพเิ ศษ (special categories of personal data)”34 (2) [ขอสังเกตเกี่ยวกับประเภทขอมูล] ประเภทของขอมูลออนไหวตามกฎหมายไทย มี ความแตกตา งจาก GDPR เล็กนอ ย คือ (2.1) GDPR ไดแยกขอมูลประเภทประวัติอาชญากรรม (personal data relating to criminal convictions and offences) ไวเปนขอมูลอีกประเภทหนึ่ง โดย จะตองไดรับการประมวลผลโดยหนวยงานเฉพาะที่กฎหมายกำหนด และภายใต กฎหมายเฉพาะที่ถูกสรางขึ้นเพื่อการปกปองคุมครองสิทธิเสรีภาพของเจาของ ขอมูลสวนบุคคลอยางเพยี งพอ (appropriate safeguard) แตตามกฎหมายไทย ขอมลู ประวตั อิ าชญากรรมถือเปนขอมลู ออ นไหวเชน กันและโดยหลักจะตอ งไดร บั ความยินยอมโดยชัดแจงกอนถึงจะสามารถประมวลผลขอมูลไดซึ่งจะไดอธิบาย ตอ ไป
33 พระราชบญั ญตั คิ มุ ครองขอ มลู สว นบุคคล พ.ศ. 2562 มาตรา 26, 27 34 GDPR, Article 9 48 Thailand Data Protection Guidelines 3.0
(2.2) GDPR ไมไดกำหนดวาขอมูลความพิการเปนขอมูลสวนบุคคลประเภทพิเศษ
อยา งไรก็ดี ขอมูลความพกิ ารกถ็ อื เปน ขอ มลู สขุ ภาพ (data concerning health)
ประเภทหนงึ่ 3435
(3) [เหตุผลที่ขอมูลไดรับความคุมครองเปนพิเศษ] เหตุผลที่กฎหมายไดกำหนดใหขอมูล
ออนไหวนน้ั จะตอ งไดรบั การจดั การเปน พเิ ศษและไดรบั ความคมุ ครองมากกวาขอมูลสวน
บุคคลปกติ คอื การประมวลผลขอ มูลสว นบคุ คลประเภทขอ มูลออ นไหวนน้ั อาจกอ ใหเกิด
ความเสี่ยงอยางแจงชัดตอสิทธิเสรีภาพของบุคคล เชน สิทธิเสรีภาพในความคิด ความ
เชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตรางกาย การอยูอาศัย การไมถูก
เลือกปฏบิ ัติ เปนตน ซึ่งการประมวลผลขอมลู สวนบุคคลประเภทขอมูลออ นไหวนั้น อาจ
กอ ใหเ กดิ การแทรกแซงซึ่งสทิ ธิเสรภี าพ การเลอื กปฏิบัตติ อ การใชส ิทธเิ สรีภาพของบุคคล
ได 36 ทั้งนี้ โดยไมไดคำนึงถึงความออนไหวตามธรรมชาติของขอมูล เชน ขอมูลทางการ 35
เงิน ขอมูลสวนตัวบางประการ แมจะมีความออนไหวก็ตามแตก็ไมถือวาการประมวลผล
ขอมูลดังกลาวจะทำใหเกิดการกระทบตอสิทธิเสรีภาพขั้นพื้นฐานของบุคคลที่ควรไดรบั
ความคุมครองตาม GDPR แตอยา งใด3637
B3.2 การพิจารณาวาขอมูลสวนบุคคลใดแมโดยสภาพจะสื่อใหเห็นถึงลักษณะที่เปนขอมูลออนไหว
(เชน ชื่อที่มีลักษณะเฉพาะของศาสนาหรือรูปภาพบุคคลที่ทำใหส่ือใหเห็นถึงเชื้อชาติหรือความ เชื่อทางศาสนาได) แตไมใชทุกกรณีที่ขอมูลดังกลาวจะเปนขอมูลออนไหว ตองพิจารณาวา “กิจกรรม” การใชหรือประมวลผลขอมูลสวนบุคคลดังกลาวใชเพื่อวัตถุประสงคใด หากถูกใช เพื่อวัตถุประสงคในการบงชี้สิ่งที่ขอมูลนั้นเปน เชน เชื้อชาติหรือศาสนา เปนตน ก็จะทำใหการ
ประมวลผลในลักษณะดังกลาวเปนการประมวลผลขอมูลสวนบุคคลประเภทขอมูลออนไหว แต
หากถูกใชเ พอื่ การยืนยนั ตวั ตนหรือระบตุ วั ตนเฉยๆ กรณีดังกลา วจะถือเปน การประมวลผลขอมูล
35 GDPR, Recital 3
36 GDPR, Recital 51
37 Information Commissioner’s Office, Guideline to GDPR - Lawful basis for processing Special category
data, 2019 at //ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-