พรบ.คอมพิวเตอร์ ฉบับล่าสุด พรบคอมพิวเตอร์ โทษ มาตรา 17

พรบ.ค มครองข อม ลส วนบ คคล ม ผลบ งค บใช

ขอขอบคณุ .................................................................................................................................................................. 8

สารบญั ...................................................................................................................................................................... 11

  1. บทนำและคำนยิ าม................................................................................................................................................ 17

A1. บทนำ ............................................................................................................................................................ 17 A2. คำนิยาม......................................................................................................................................................... 22

  1. แนวปฏิบตั กิ ารกำหนดและแยกแยะขอ มลู สวนบุคคล (GUIDELINE ON PERSONAL DATA CLASSIFICATION)... 25

B1. ขอบเขตของขอมลู สว นบคุ คล (SCOPE) ............................................................................................................ 26 B2. การกำหนดและแยกแยะขอมลู สวนบคุ คลตามความเสย่ี งและความรายแรงที่อาจกระทบตอ สิทธแิ ละเสรีภาพของ บคุ คล................................................................................................................................................................... 34 B3. การประมวลผลขอ มูลสว นบคุ คลทีม่ คี วามออนไหวเปนพเิ ศษ (SPECIAL CATEGORIES OR SENSITIVE DATA) ........... 48

  1. แนวปฏบิ ตั ิเก่ียวกับฐานในการประมวลผลขอ มูลสว นบุคคล (GUIDELINE ON LAWFUL BASIS FOR PROCESSING PERSONAL DATA) .................................................................................................................................................. 65

C1. ฐานสญั ญา (CONTRACT)................................................................................................................................. 68 ขอ ควรระวงั เกีย่ วกบั “ความจำเปนในการปฏบิ ตั ติ ามสญั ญา”.....................................................................................69

C2. ฐานความยนิ ยอม (CONSENT)......................................................................................................................... 70 เงอื่ นไขของความยินยอม (Requirements of Consent).........................................................................................71 ความยนิ ยอมท่ีเก็บรวบรวมไวก อน พระราชบญั ญตั คิ ุมครองขอ มลู สวนบุคคล พ.ศ. 2562 จะมีผลบงั คบั ใช (กอ น มิถนุ ายน พ.ศ. 2563).................................................................................................................................................78 ขอ ควรระวังเก่ยี วกับความยินยอม ระหวา งบุคคลทมี่ ีอำนาจตอ รองไมเทากนั ..............................................................81 การทำการตลาดแบบตรง (Direct Marketing).........................................................................................................82 ระบบสมาชิกสะสมแตม (Loyalty Program)...........................................................................................................83 การใชขอมูลเครอื ขา ยสงั คมเพื่อกระตนุ ยอดขาย (Social Network).........................................................................84 การโฆษณาตามพฤตกิ รรมออนไลน (Online Behavioural Advertisement).........................................................85 การขอความยินยอมจากผเู ยาว...................................................................................................................................85

C3. ฐานประโยชนสำคญั ตอ ชีวิต (ระงบั อนั ตรายตอ ชีวิต รา ง กาย สุขภาพ) (VITAL INTEREST).................................. 87 C4. ฐานหนาท่ีตามกฎหมาย (LEGAL OBLIGATION) .................................................................................................. 87 C5. ฐานภารกจิ ของรัฐ (PUBLIC TASK).................................................................................................................... 88

C6. ฐานประโยชนอ ันชอบธรรม (LEGITIMATE INTEREST)......................................................................................... 90 C7. ฐานจดหมายเหตุ/วิจัย/สถิติ............................................................................................................................ 93

  1. แนวปฏบิ ตั เิ ก่ียวกบั หนา ทแี่ ละความรบั ผิดชอบของผูค วบคุมและผปู ระมวลผลขอ มูล (GUIDELINE ON DUTIES AND RESPONSIBILITIES OF CONTROLLERS AND PROCESSORS)............................................................................... 95

D1. แนวปฏบิ ตั ิเก่ยี วกบั สิทธหิ นาทโี่ ดยทวั่ ไปของผคู วบคมุ และผปู ระมวลผลขอ มลู ................................................. 104 ผูควบคมุ ขอ มลู (Data Controller)........................................................................................................................104 ตวั อยา งขอ ความแจง เมอ่ื ใชกลองวงจรปด...........................................................................................................108 ตวั อยา งบนั ทึกรายการประมวลผลขอมลู (Record of Processing Activities) ..................................................124 ตัวอยางบันทึกรายการประมวลผลยอย...............................................................................................................125 ตวั อยา งนโยบายคมุ ครองขอ มลู สว นบคุ คล (Data Protection Policy) ..............................................................131 ตวั อยางเอกสารแจงขอ มูลการประมวลผลขอมลู (แบบยอ ) Privacy Notice (Abridged)..................................138 ตวั อยางเอกสารแจงขอมูลการประมวลผลขอ มูล (แบบละเอียด) Privacy Notice .............................................140 ผูประมวลผลขอมูล (Data Processor) ..................................................................................................................145 ตัวอยา งบนั ทกึ รายการประมวลผลขอ มูล (record of processing activities) ...................................................149

D2. แนวปฏบิ ตั เิ ก่ียวกับการจัดทำขอ ตกลงระหวา งขอ ตกลงระหวาง ผคู วบคมุ ขอ มลู สว นบุคคลและผปู ระมวลผลขอ มลู (DATA PROCESSING AGREEMENT).......................................................................................................................... 154

ตวั อยา งขอ ตกลงใหประมวลผลขอมลู (Data Processing Agreement) ..........................................................168 D3. แนวปฏบิ ัติเก่ยี วกับการจัดการคำรอ งขอของเจา ของขอ มลู (DATA SUBJECT REQUEST).................................... 172

หนาท่ีของผูควบคมุ ขอมลู เม่ือเจาของขอ มูลรอ งขอ (Data Subject Request to the Controller) .......................172 ตวั อยา งแบบคำรองขอใชส ิทธใิ นการเขาถึงขอ มลู (Right of Access Request Form)......................................191 ตัวอยางแบบคำรอ งขอใชสิทธใิ นการลบขอมลู (Right to Erasure Request Form).........................................196

หนา ทีข่ องผูประมวลผลขอมูลเมอ่ื เจาของขอ มูลรอ งขอ (Data Subject Request to the Processor) ...................201 D4. แนวปฏบิ ัติกรณมี คี ำรอ งขอหรอื คำส่ังขอเขา ถงึ ขอ มลู สวนบคุ คลจากรฐั (GOVERNMENT REQUEST) .................... 202

ตวั อยางแบบคำขอใหเ ปดเผยขอ มลู แกห นวยงานของรัฐ......................................................................................204 D5. ความรับผดิ ทางแพง ความรับผดิ ทางอาญา และโทษทางปกครอง .................................................................. 207

ความรับผิดทางแพง .................................................................................................................................................207 ความรับผิดทางอาญา...............................................................................................................................................208 โทษทางปกครอง .....................................................................................................................................................209

  1. แนวปฏบิ ตั เิ พือ่ การประเมนิ ผลกระทบดานการคุมครองขอมลู สวนบคุ คล (GUIDELINE ON DATA PROTECTION IMPACT ASSESSMENT) ........................................................................................................................................ 213

E1. ขอบเขตของ DPIA........................................................................................................................................ 213 E2. ข้นั ตอนของ DPIA......................................................................................................................................... 223

ตวั อยางแบบฟอรม การทำ DPIA.........................................................................................................................232

12 Thailand Data Protection Guidelines 3.0

  1. แนวปฏบิ ตั ิเกี่ยวกบั การโอนขอมูลสวนบคุ คลไปยงั ตางประเทศหรือองคก ารระหวา งประเทศ (GUIDELINE ON CROSS-BORDER DATA TRANSFER) .................................................................................................................... 243

F1. การสงหรอื โอนขอ มลู สว นบคุ คลไปยงั ตางประเทศปลายทางหรอื องคก ารระหวางประเทศตามพระราชบญั ญัติ คมุ ครองขอมลู สวนบุคคล พ.ศ. 2562 (TRANSFER OR TRANSIT)............................................................................. 245 F2. กรณที ตี่ องสงหรอื โอนขอมลู ไปยังตางประเทศ หรือองคก ารระหวางประเทศ.................................................... 249

ตัวอยา งนโยบายคุมครองขอมูลสวนบุคคลของเครือกิจการ (Binding Corporate Rules) .................................257

  1. แนวปฏบิ ัติเก่ยี วกับการการจดั ทำขอมลู นิรนาม (GUIDELINE FOR ANONYMIZATION)..................................... 265

G1. การจดั ทำขอมลู นริ นาม................................................................................................................................. 267 G2. การพิจารณาสถานการณของขอ มูล ............................................................................................................. 276 G3. การวิเคราะหค วามเสยี่ งและมาตรการจัดการความเสีย่ ง................................................................................. 279 G4. การตัดสินใจถึงระดบั ของการจดั ทำขอมูลนริ นาม .......................................................................................... 293

k-anonymization .................................................................................................................................................295 Differential Privacy..............................................................................................................................................300

  1. แนวปฏิบตั เิ ก่ยี วกบั ขอ มูลออนไหว (GUIDELINES FOR SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA)................................................................................................................... 305

H1. เงื่อนไขพิเศษในการประมวลผลขอ มลู ออนไหว (SPECIAL CONDITIONS FOR PROCESSING OF SENSITIVE PERSONAL DATA OR SPECIAL CATEGORIES OF PERSONAL DATA) ......................................................................................................... 305 H2. การจดั การกับขอ มูลออนไหว (DEALING WITH SENSITIVE DATA) ........................................................................ 328

  1. แนวปฏบิ ตั ิสำหรับฝายขายและการตลาด (GUIDELINE FOR MARKETING AND SALES) ..................................... 353

I1. ความสมั พนั ธของการประมวลผลขอมลู สว นบคุ คลและการทำการตลาด .......................................................... 353 I2. ลกั ษณะของขอ มูลสว นบคุ คลตามเสน ทางการทำการตลาด.............................................................................. 355 I3. เสนทางขอมลู (DATA JOURNEY)...................................................................................................................... 357 I4. ฐานการประมวลผลท่เี กย่ี วของและขอ ควรระวัง.............................................................................................. 360 I5. บทบาทของหนวยงานตางๆ ........................................................................................................................... 363

  1. แนวปฏิบตั ิเก่ียวกับฝายวิเคราะหข อมลู (GUIDELINE ON DATA ANALYTICS).................................................... 367

J1. หลักการคุมครองขอมลู สวนบุคคลในการประมวลผลขอมูลมหตั ...................................................................... 374 J2. ตวั อยางกจิ กรรมการประมวลผลขอ มลู มหตั .................................................................................................... 398 J3. การจัดทำขอมูลนริ นามและผลกระทบ............................................................................................................ 408 J4. การอธิบายการตดั สนิ ใจโดยปญญาประดษิ ฐ................................................................................................... 412

  1. แนวปฏบิ ตั ิเก่ยี วกับฝา ยทรพั ยากรบุคคล (GUIDELINE FOR HUMAN RESOURCE MANAGEMENT) .................. 421

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 13

K1. การรบั สมคั รและการคดั เลอื ก........................................................................................................................ 421 K2. การเกบ็ รวบรวม ใช และเปดเผยขอ มูลสว นบคุ คลของลูกจางในระหวา งการจา งงาน ....................................... 438 K3. การตรวจสอบในทีท่ ำงาน ............................................................................................................................. 457 K4. ขอมลู เกี่ยวกับสขุ ภาพลูกจาง ........................................................................................................................ 467 K5. ตวั อยางเอกสาร............................................................................................................................................ 475

ตัวอยางหนงั สอื แจง นโยบายการคมุ ครองขอ มลู สวนบคุ คลสำหรับเจา หนา ที่และลูกจาง.......................................476 ตัวอยางขอ บังคับเกย่ี วกับการทำงาน ..................................................................................................................482

  1. แนวปฏบิ ัตเิ กย่ี วกบั ฝายจดั ซ้อื จดั จา ง (GUIDELINE FOR PROCUREMENT DEPARTMENT)................................ 487

L1. การจัดซ้ือจัดจางใหม .................................................................................................................................... 487 กอนทำสญั ญา (Prior to Contracting)..................................................................................................................487 ตวั อยางสง่ิ ท่ีตองระบุในเอกสารแจง ขอมลู การประมวลผลขอมลู เพอื่ การจดั ซ้อื จดั จาง .........................................493 ตวั อยา งแบบสอบถามดานการคมุ ครองขอมูลสว นบุคคล.....................................................................................494 การทำสญั ญา (Contracting) .................................................................................................................................497 ตวั อยางสัญญาผปู ระมวลผลขอ มลู สว นบคุ คล (Data Processing Agreement).................................................498 ประเดน็ ในสัญญาทีจ่ ะตองเจรจาตอรองกัน.........................................................................................................500 ตวั อยา งหัวขอท่ีสำคญั ในสญั ญาระหวา งผูค วบคุมขอ มลู สวนบคุ คล......................................................................502 หลังทำสัญญา (Post Contracting)........................................................................................................................505

L2. แนวทางการจดั ซือ้ จัดจางทมี่ ีผลบงั คับใชแลว ................................................................................................. 506 L3. ขอควรพิจารณาในการจดั ซอ้ื จัดจา งบรกิ ารประเภททนี่ า สนใจ ........................................................................ 508

  1. แนวปฏิบตั สิ ำหรบั ฝา ยเทคโนโลยสี ารสนเทศ (GUIDELINE FOR IT DEPARTMENT) ........................................... 515

M1. งานดานเทคโนโลยสี ารสนเทศและการคมุ ครองขอ มลู สว นบคุ คล.................................................................... 515 M2. มาตรฐานสำหรบั ระบบบริหารจดั การขอ มลู สวนบุคคล.................................................................................. 523 M3. แนวทางการประเมนิ ผลกระทบและความเส่ียงท่ีเก่ียวกบั ขอ มูลสวนบคุ คล...................................................... 526

  1. แนวปฏิบัติสำหรบั เจา หนา ทคี่ ุมครองขอมลู สวนบคุ คล (GUIDELINES FOR DATA PROTECTION OFFICER)..... 559

N1. ความจำเปน ทักษะและคณุ สมบัติ และเกณฑการคัดเลือก เจา หนา ท่คี ุมครองขอ มูลสว นบคุ คล ........................ 559 N2. ความตระหนกั รแู ละขอ พงึ ระวังขององคก รทีม่ ตี อ การปฏิบตั งิ านของเจา หนา ท่คี ุมครองขอ มูลสว นบคุ คล.......... 566 N3. บทบาทหนา ทแ่ี ละความรับผดิ ชอบของเจาหนาทค่ี มุ ครองสวนบคุ คล ............................................................. 571

ลักษณะงานที่ 1 ภาระงานขั้นตน .............................................................................................................................572 ลักษณะงานที่ 2 การทำงานขององคกร....................................................................................................................578

ตัวอยา งบันทกึ รายการประมวลผลขอมูลสวนบคุ คลพนื้ ฐานโดยผูควบคมุ ขอมลู ...................................................581 ตัวอยา งบนั ทกึ การประมวลผลขอมูลสว นบคุ คลพ้ืนฐานโดยผูประมวลผลขอมูลสวนบคุ คล...................................583 ตัวอยางบนั ทึกการประมวลผลขอ มลู สว นบคุ คลฉบับสมบูรณ..............................................................................585

14 Thailand Data Protection Guidelines 3.0

ลักษณะงานท่ี 3: ตรวจสอบการปฏิบตั ติ ามหนาที่.....................................................................................................612 ลักษณะงานที่ 4: หนาท่ีใหคำปรึกษา........................................................................................................................633 ลกั ษณะงานที่ 5: ใหความรวมมอื และใหคำปรึกษาแก สคส......................................................................................638 ลักษณะงานที่ 6: การจดั การคำรองขอของเจา ของขอ มลู ..........................................................................................641 ลกั ษณะงานท่ี 7: การใหขอมูลและการสรา งความตระหนักรู ....................................................................................642 N4. มาตรฐานทางจริยธรรม ................................................................................................................................ 644

คำถามจากงาน TDPG 2.0 : BUILDING TRUST WITH DATA PROTECTION ...................................................... 647

[TDPG2.0B] DATA CLASSIFICATION..................................................................................................................... 647 [TDPG2.0C] LAWFUL BASIS................................................................................................................................ 649 [TDPG2.0D] CONTROLLERS & PROCESSORS......................................................................................................... 656 [TDPG2.0E] DPIA ............................................................................................................................................. 665 [TDPG2.0F] CROSS-BORDER DATA TRANSFER ...................................................................................................... 665 [TDPG2.0G] ANONYMIZATION ............................................................................................................................ 666

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 15

  1. บทนำและคำนยิ าม

A1. บทนำ

แนวปฏบิ ตั เิ ปน เครอ่ื งมอื สำคญั ประการหนึง่ ที่ชวยใหการดำเนนิ การตามกฎหมายหรือหลักการ ใดๆที่มกี ำหนดขึน้ เปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจรงิ แลว การบัญญัตกิ ฎหมาย หรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ใหทำ” (prescriptive), “ไมใหทำ” (proscriptive) หรอื “อธิบาย” (descriptive) สิ่งนัน้ ยอมตามมาซง่ึ คำถามเก่ยี วกับวิธีการปฏิบัติวาควร ทำ “อยางไร” โดยเฉพาะอยางยิง่ กับกฎหมายที่โดยทั่วไปแลวสามารถกำหนดไดเพยี งในระดับที่กำหนด “หา ม” เปนหลักการไวเทาน้นั แตใ นขนั้ ตอนปฏิบตั ิยอ มไมสามารถลงรายละเอียดวิธกี ารหรือกรณีเฉพาะ ทง้ั ปวงได เพราะจะทำใหกฎหมายนน้ั มีความเครงครัดมากเสยี จนไมอาจนำไปใชไ ดจรงิ

ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถ กำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณได จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติวาควรทำ “อยางไร” มีขอสังเกตวากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไป “ขอมูลสวน บุคคล” (Personal Data) ไมใ ช “ตวั บุคคล” (Person) โดยตรง ซง่ึ การคมุ ครองขอมูลสว นบคุ คลน้ันจะมี ผลเปนการปกปอง “บุคคล” จากผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีก ชั้นหนึ่ง อันเปนแนวทางตามแบบสหภาพยุโรป กลาวคือ จะสามารถประมวลผลขอมูลสวนบุคคลโดย ชอบดวยกฎหมายก็ตอไปมี “ฐานทางกฎหมาย” (lawful basis) ใหทำได หลักการพื้นฐานของการ คมุ ครองขอ มูลสวนบคุ คลจึงไดแก

“หามประมวลผลขอ มลู สว นบคุ คล เวนแตจะมีฐานหรอื เหตแุ หงการ ประมวลผลใหทำไดตามกฎหมาย” (รายละเอียดปรากฏในสว น C)

เมอ่ื สหภาพยุโรปไดออกกฎหมายฉบับใหมเก่ยี วกับการคุม ครองขอ มูลสวนบุคคลหรือที่เรียกกัน วา “GDPR” (EU General Data Protection Regulation) ซง่ึ เปนการปรบั ปรงุ กฎหมายเดมิ (EU Data Protection Directive 95/46/EC) ซึ่งใชบังคับมานานมากวา 20 ป ทำใหเกิดการเปลีย่ นแปลงหลกั การ ท่สี ำคัญ เชน

- กำหนดการใชอ ำนาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคอื ขอมูลสวน บุคคลของสหภาพยุโรปอยูภายใตค วามคมุ ครองไมว า จะอยูในทใ่ี ดในโลก

- กำหนดบทลงโทษสงู ขึ้น โดยองคกรที่กระทำผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ 4 ของผลประกอบการรายไดทั่วโลก

- กำหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and affirmative consent)

- กำหนดการแจง เตอื นเม่ือเกดิ เหตุขอมูลร่ัวไหล หนว ยงานผูค วบคมุ ขอ มูลและผูป ระมวลผล ขอ มูลตองแจงใหหนวยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง

- กำหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมลู ทราบ วาขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทำสำเนาขอมูลใหกับเจาของ ขอมูลในรปู แบบอเิ ล็กทรอนิกส โดยหามเก็บคา ใชจ ายเพ่มิ

- กำหนดรับรองสทิ ธิในการโอนขอ มูลไปยังผปู ระกอบการอืน่ (Right to data portability) - กำหนดรับรองสิทธิที่จะถูกลืม (Right to be Forgotten) เจาของขอมูลสามารถขอให

หนวยงานควบคมุ ขอมลู ลบขอมลู ของตวั เองออกได

GDPR มีผลบังคับใชเมื่อวันท่ี 25 พฤษภาคม 2561 ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแก การสงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สำหรับผปู ระกอบการไทยหากจะทำการติดตอรับ- สงขอมูลกับบุคคลของประเทศสมาชิก ก็ตองมีมาตรการคุมครองขอมูลสวนบุคคลที่เหมาะสมเพียงพอ เชนเดยี วกัน เปนเหตุใหผ ูประกอบการไทยตอ งปรบั ตวั เพื่อรองรับมาตรฐานการคุมครองขอ มูลสว นบุคคล ดงั กลา ว

เปนเวลากวา 20 ปที่รัฐบาลไดพยายามผลักดันกฎหมายการคุมครองขอมูลสวนบุคคลจน ประสบความสำเรจ็ และประกาศในราชกิจจานุเบกษาเมอื่ 28 พฤษภาคม 2562 และจะมผี ลบงั คับใชต าม กฎหมายในวันที่ 1 มิถุนายน 2564 โดยไดรับอทิ ธิพลสำคัญจาก GDPR หนวยงานภาครัฐและเอกชนจงึ ควรเตรียมความพรอมเพื่อรองรับการจัดการขอมูลสวนบุคคลในความครอบครองของตนเพื่อใหเปนไป ตามหลกั เกณฑด ังกลาว ซ่งึ ปจ จุบันถอื วา เปนมาตรฐานใหมของการคุมครองขอ มลู สว นบุคคลของโลก

แนวปฏิบัตินี้ (ซึ่งตอไปจะเรียกวา “TDPG3.0”) จึงมีเจตนาที่จะตอบคำถามเกี่ยวกับวธิ ีการวา ควรทำ “อยางไร” สำหรับประเทศไทยซึ่งยังไมเคยมีแนวปฏิบัติใดๆในเรื่องนี้มากอน โดยมี GDPR เปน ตนแบบ ซึ่งหมายความวาแนวปฏิบัตินี้เปนเพียงคำอธิบายของวธิ ีการปฏิบัติเพื่อการคุมครองขอมูลสวน

18 Thailand Data Protection Guidelines 3.0

บุคคลซึ่งจำเปนตองพัฒนาอยางตอเนื่องตอไป การปฏิบัติตามแนวปฏิบัตินี้จึงไมใชการปฏิบัติตาม กฎหมายหรอื มาตรฐาน GDPR ทคี่ รบถว น แตเปน เพียงขอ แนะนำท่ีควรจะตอ งปฏิบตั ิและพัฒนาปรบั ปรงุ อยา งตอเนือ่ ง

ตอคำถามวาผูประกอบการไทยหากไมไดมีเปาหมายจะใหบริการในสหภาพยุโรป จะมีความ จำเปนตองปฏิบัติตาม GDPR หรือไม และจะสามารถแยกสวนการจัดการขอมูลคนชาติยุโรปออกจาก สวนอื่นไดหรือไมนั้น ดวยเหตุทีผ่ ูประกอบการไทยจะตองดำเนินการตามพระราชบัญญัติคุมครองขอมลู สวนบคุ คล พ.ศ.2562 และสถานการณของไทยนั้นอยใู นข้ันท่เี รียกวาแทบจะเรม่ิ ตน จากศูนย กลาวคือ ยัง ไมเคยมีมาตรฐานการคุมครองขอมูลสวนบุคคลใดๆมากอน ที่ผานมามีประกาศของบางหนวยงานท่ี ประกาศเฉพาะแกบ างภาคธุรกิจ แตก็เปนเพียงการกำหนดหลักการกวางๆเทานั้นและอยูเปนสวนเล็กๆ ของมาตรการความปลอดภัยไซเบอร (network security) ยังไมถึงขนาดเปนการวางแนวปฏิบัติหรือ มาตรฐานในเรื่องน้ไี ด 01 และที่ผา นมารายงานของคณะทำงานดา นพาณชิ ยอเิ ลก็ ทรอนิกสข อง APEC ระบุ วาจากสมาชกิ APEC จำนวน 21 เขตเศรษฐกิจ มีเพียง 5 เขตเศรษฐกิจทีย่ ังไมมีกฎหมายคุมครองขอ มลู สว นบคุ คล ไดแ ก บรไู น, จีน, อินโดนเี ซยี , ปาปวนวิ กนิ ี และไทย และยอมรวมถึงวา เขตเศรษฐกิจดังกลาว ไมมีหนวยงานกำกับดูแลการคุมครองขอมูลสวนบุคคลไปดวย ทำใหประเทศไทยไมสามารถเขารวม โปรแกรม CBPRs (Cross-Border Privacy Rules System) ที่จะเปนกลไกใหหนวยงานและองคกร ท้ังหลายเขา รว มแบบสมคั รใจเพอื่ รบั การรับรองวามกี ารคมุ ครองขอมลู สว นบคุ คลเปนที่ยอมรบั 2

1 ทถี่ ือวา ใกลเคียงทสี่ ุดไดแ ก

- [ภาคโทรคมนาคม] ประกาศ กทช. เรื่อง มาตรการคุมครองสิทธิของผูใ ชบริการโทรคมนาคมเก่ียวกบั ขอมลู

สว นบคุ คล สทิ ธิในความเปน สว นตวั และเสรีภาพในการส่อื สารถึงกันโดยทางโทรคมนาคม พ.ศ.2549

- [ภาครัฐ] ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส เรอ่ื ง แนวนโยบายและแนวปฏบิ ตั ิในการรักษา

ความม่ันคงปลอดภัยดา นสารสนเทศของหนว ยงานของรฐั พ.ศ.2553

- [ภาคการเงิน] เอกสารแนบ 6 ประกาศธนาคารแหงประเทศไทย ที่ สกส2. 4/2563 เรอ่ื ง การบริหารจัดการ

ดา นการใหบ ริการแกลกู คา อยา งเปนธรรม (Market conduct) โดยปรับปรุงจากหลักเกณฑเ ดิมใหม ี

สาระสำคญั การขอความยนิ ยอมท่ีตอ งแยกสวนระหวา งวตั ถุประสงคทางการตลาดและวตั ถปุ ระสงคอืน่ และ

กำหนดการเปด เผยขอ มูลลูกคา ตามฐานการประมวลผลท่ีสอดคลอ งกบั พระราชบญั ญัตคิ ุมครองขอมูลสว น

บคุ คล พ.ศ.2562

2 ELECTRONIC COMMERCE STEERING GROUP, SURVEY ON THE READINESS FOR JOINING CROSS BORDER PRIVACY RULES SYSTEM

- CBPRS (2017), //www.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross-

Border-Privacy-Rules-System---CBPRs (last visited Sep 4, 2018).

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 19

การดำเนินการใดๆในเรื่องนี้จึงมีแตจะทำใหสถานะของประเทศไทยดีขึ้นอยางแนนอน นอกจากนผี้ ทู รงคุณวุฒกิ ม็ คี วามเหน็ ตรงกนั ในเร่อื งนีว้ า มคี วามจำเปนตอ งมีมาตรฐานในเรอ่ื งน้ีข้นึ มา และ ไมมีความคุมคาในทางปฏิบัติที่จะแยกสวนการจัดการขอมูลสวนบุคคลตามมาตรฐานพระราชบัญญัติ คุม ครองขอ มลู สวนบุคคล พ.ศ.2562 และ GDPR ออกจากกัน

TDPG3.0 จึงอธิบายแนวปฏิบัติพื้นฐานที่จำเปนตอการดำเนินการเพ่ือการคุมครองขอมลู สวน บุคคลตามพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยสอดคลองกันกับมาตรฐานสากล เทียบเทากับ GDPR ตอไป TDPG3.0 จึงเปนความพยายามทีจ่ ะไดวางแนวปฏิบัตทิ ี่เกี่ยวกับการคุมครอง ขอ มลู สวนบุคคลอยา งเปน ระบบและมีแนวทางใหด ำเนนิ การท่ีชดั เจนนำไปปฏิบตั ิได โดยหวงั เปน อยา งยิ่ง วาผปู ระกอบการและหนว ยงานท่เี กย่ี วขอ งจะไดใชเ ปนประโยชนในการพฒั นานโยบายการคมุ ครองขอ มลู สวนบุคคลของตนเองตอไป ในเวอรชั่นนี้ TDPG3.0 จึงเปนการปรับปรุงเพิ่มเติมจากเวอรชั่นกอน โดย แผนภาพตอไปแสดงใหเห็นแนวคิดรวบยอดของ TDPG3.0 ซง่ึ จะชวยใหผอู านเหน็ ภาพวา เนือ้ หาของสวน ตา งๆในแนวปฏิบตั มิ ีความเชอ่ื มโยงกนั อยา งไร

20 Thailand Data Protection Guidelines 3.0

Data Classification Contract Special Categories / Sensitive Data Consent Vital Interest Lawful Basis for Processing Legal Obligation

Public Task

Legitimate Interest

Duties & Responsibilities

Controllers & Processors Data Processing Agreement User Requests

Government Requests

DPIA (Data Protection Impact Assessment)

Cross-Border Data Transfer

Anonymization

Marketing & Sales

Data Analytics

Human Resources

IT Department

Procurement

Investment Bank (Forthcoming)

TDPG1.0 TDPG2.0 TDPG3.0

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 21

A2. คำนยิ าม

Th En คำอธิบาย การจัดทำขอมูล Anonymization กระบวนการทท่ี ำใหความเสี่ยงในการระบุตัวตนของเจา ของขอ มูลน้นั นริ นาม นอ ยมากจนแทบไมตองใหค วามสำคัญกบั ความเสยี่ ง (negligible risk) รายละเอียดดูในสว น G แนวปฏิบัติเกยี่ วกบั การจดั ทำขอ มูลนริ นาม การแฝงขอ มูล Pseudonymization การประมวลผลขอ มลู สวนบุคคลในลักษณะท่ขี อ มูลสวนบุคคลไม สามารถระบตุ วั เจา ของขอมลู ไดหากปราศจากการใชขอมูลเพิ่มเติม การประมวลผล Processing ประกอบ ท้งั นี้ขอมลู เพิม่ เตมิ นม้ี กี ารเก็บรักษาไวแยกออกจากกันและอยู ขอมูล ภายใตมาตรการเชงิ เทคนคิ และมาตรเชิงบรหิ ารจัดการเพือ่ ประกันวา ขอมูลสว นบคุ คลจะไมส ามารถระบุไปถงึ บุคคลธรรมดาได (GDPR, ขอ มลู ออ นไหว Sensitive Personal Article 4(5)) รายละเอียดดูในสว น G แนวปฏบิ ัติเกย่ี วกบั การจัดทำ Data ขอมลู นิรนาม การดำเนนิ การหรอื ชุดการดำเนินการใดๆ ซง่ึ กระทำตอ ขอ มูลสว น ขอ มลู สวน Personal Data บคุ คลหรือชุดขอมลู สวนบุคคล ไมวาจะโดยวธิ ีการอตั โนมัติหรอื ไม เชน บุคคล การเก็บ บนั ทกึ จดั ระบบ จัดโครงสรา ง เก็บรักษา เปลยี่ นแปลงหรอื Personal Data ปรบั เปลย่ี น การรบั พิจารณา ใช เปด เผยดวยการสง ตอ เผยแพร หรอื ขอ มลู สวน Breach การกระทำอนื่ ใดซง่ึ ทำใหเกิดดความพรอ มใชงาน การจัดวางหรอื ผสม บคุ คลร่ัวไหล เขาดวยกนั การจำกดั การลบ หรอื การทำลาย (GDPR Article 4(2)) เปน ขอมูลสว นบคุ คลทเ่ี ปนเรือ่ งสว นตัวโดยแทของบุคคล แตมีความ ขอ มลู สวน Pseudonymous ละเอยี ดออนและสมุ เส่ียงตอการถกู ใชใ นการเลอื กปฏิบตั อิ ยา งไมเปน บคุ คลแฝง Data ธรรม จงึ จำเปนตอ งดำเนนิ การดว ยความระมัดระวงั เปน พิเศษ ขอมูลใดๆทร่ี ะบไุ ปถึง “เจาของขอมูล” (Data Subject) ได ขอ มูลนิรนาม Anonymous Data การรวั่ ไหลหรอื ละเมิดมาตรการความมนั่ คงปลอดภัยตอ ขอมูลสว น บคุ คลทำใหเกดิ ความเสียหาย, สูญหาย, เปลย่ี นแปลง, เปด เผยโดย ไมไ ดรับอนุญาต, หรอื เขาถงึ ขอมลู สว นบคุ คลท่ใี ชงาน (GDPR, Article 4 (12)) ขอมลู ที่ทำการแฝงขอมลู แลว (ดู “การแฝงขอมูล”)

ขอมูลทผ่ี านกระบวนการจดั ทำขอ มูลนริ นามแลว (ดู “การจดั ทำขอ มลู นิรนาม”)

22 Thailand Data Protection Guidelines 3.0

Th En คำอธิบาย เจาของขอ มลู Data Subject มคี วามหมายในลักษณะเปน บคุ คลท่ขี อ มูลนัน้ บง ชี้ไปถึง ไมใชเ ปน โปรไฟลิ่ง เจาของในลกั ษณะทรพั ยสิทธิ หรอื เปนคนสรางขอมลู นั้นขึ้นมา มคี วาม ผูค วบคมุ ขอ มูล แตกตา งจาก data owner ในกฎหมาย (บางตวั ) ของสหรฐั อเมรกิ า ผปู ระมวลผล ขอ มลู Profiling รูบแบบการประมวลผลขอมลู สว นบุคคลใดๆ ซึง่ มีการใชข อ มลู สว น สคส. GDPR บุคคลในการประเมินแงม ุมเกยี่ วกบั บุคคล โดยเฉพาะอยางยง่ิ เพือ่

ICO วเิ คราะหหรือคาดการณเ ก่ียวกับบคุ คลธรรมดาในเรอื่ งประสิทธิภาพใน SGPDPA UKDPA การทำงาน สถานะทางเศรษฐกิจ สขุ ภาพของบคุ คล ความช่นื ชอบสว น

บุคคล ประโยชนข องบคุ คล พฤตกิ รรมของบุคคล ความนา เช่อื ถอื ของ

บุคคล ตำแหนง ทางภมู ิศาสตร หรือความเคลอ่ื นไหวของบุคคล

Data Controller บุคคลธรรมดาหรือนติ บิ คุ คล หนว ยงานของรฐั หนว ยงาน หรอื องคก ร

ใดซงึ่ เปน ผกู ำหนดวัตถุประสงคแ ละวธิ กี ารในการประมวลผลขอ มลู สว น

บุคคล (GDPR 4(7))

Data Processor บุคคลธรรมดาหรอื นติ บิ คุ คล หนว ยงานของรัฐ หนว ยงาน หรือองคกร

ใดซึง่ ประมวลผลขอมูลแทนผคู วบคุมขอมูล (GDPR 4(8))

OPDPC สำนกั งานคณะกรรมการคมุ ครองขอ มูลสวนบคุ คล

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27

April 2016 on the protection of natural persons with regard to the processing of

personal data and on the free movement of such data, and repealing Directive

95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88

UK Information Commissioner’s Office

Singapore Personal Data Protection Act 2012

UK Data Protection Act 2018

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 23

  1. แนวปฏิบตั กิ ารกำหนดและแยกแยะขอมูลสวนบุคคล (Guideline on Personal Data Classification)

ผูประกอบการทกุ รายยอมไดรับผลกระทบจากการปรับปรุงหรือเปล่ียนผานวิธกี ารทำงานของ ตนเพื่อใชงานเทคโนโลยีดจิ ทิ ัล ยิ่งผูประกอบการตองใชขอมูลดจิ ิทลั มากเทาใด ยิ่งทำใหเ กดิ ประเดน็ การ บริหารจัดการเกี่ยวกับขอมูลที่ตนเองใช โดยเฉพาะอยางยิ่งการบริหารความเสี่ยงของการใชขอมูล ทั้งหลาย รวมถึงขอมูลสวนบุคคล ผูประกอบการจึงตองสามารถระบุขอมูลและจัดการขอมูลตางๆบน พื้นฐานของความเสี่ยงไดอยางเหมาะสม แนวปฏิบัตินี้จึงเปนขั้นตอนพื้นฐานที่สุดเพื่อการจัดการขอมูล สวนบคุ คลในประเด็นอื่นๆตอไป โดยแบงออกเปน 2 สวนไดแ ก

(1) ขอบเขตของขอมูลสว นบุคคล ซ่งึ จะชว ยใหท ราบวาขอ มลู ใดเปน ขอมลู ท่ีอยใู นขอบเขต ความหมายของขอมูลสวนบคุ คล (in-scope)

(2) การกำหนดและแยกแยะขอ มลู สวนบคุ คล ซ่งึ จะชว ยใหส ามารถระบขุ อมูลสวนบุคคลตาม กระบวนการทำงานตา งๆขององคก รและจดั การตามความเส่ยี งของแนวปฏบิ ัตนิ ้ี โดยมี ขน้ั ตอนทส่ี ำคญั 5 ขน้ั ตอน

Data Data Data Data Risk Data Policy Discovery Prolifera- Level Protec-

tion tion

B1. ขอบเขตของขอมลู สวนบุคคล (Scope)

B1.1 [Personal Data] “ขอมลู สว นบคุ คล” หมายถงึ ขอ มลู ใดๆที่ระบุไปถงึ “เจา ของขอ มลู ” (Data Subject) ไดไ มว า ทางตรงหรือทางออ ม โดยไมรวมถึงขอมลู ของผทู ี่ถึงแกกรรม 23

B1.2 [Data Subject] “เจา ของขอ มลู ” หมายถงึ บุคคลที่ขอมูลสว นบคุ คลนัน้ ระบุไปถึง - ไมใ ชกรณีที่บคุ คลมคี วามเปนเจา ของ (Ownership) ขอ มลู หรือเปนผูสรา งหรือเกบ็ รวบรวมขอ มลู นั้นเองเทานนั้ - “บคุ คล” (Natural Person) ในทนี่ หี้ มายถงึ บุคคลธรรมดาทมี่ ีชวี ิตอยู 34 ไมร วมถงึ “นติ ิ บคุ คล” (Juridical Person) ทจี่ ดั ตัง้ ขนึ้ ตามกฎหมาย เชน บรษิ ทั , สมาคม, มลู นธิ ิ หรอื องคก รอืน่ ใด

B1.3 [Identifiability] ความสามารถในการระบไุ ปถึงเจา ของขอมูลมอี ยา งนอย 3 ลักษณะ 45 - [Distinguishability] การแยกแยะ หมายถึง การที่ขอ มูลสามารถระบุแยกแยะตัวบุคคล ออกจากกนั ได เชน ช่ือนามสกลุ หรือเลขประจำตัวประชาชน แตขอ มลู คะแนนเครดิต เพียงอยางเดยี วไมส ามารถใชแ ยกแยะบุคคลได - [Traceability] การตดิ ตาม หมายถงึ การทีข่ อมลู สามารถถูกใชใ นการตดิ ตามพฤตกิ รรม หรือกิจกรรมทบี่ คุ คลนน้ั ทำได เชน log file

3 พระราชบัญญัติคุมครองขอ มูลสวนบคุ คล พ.ศ.2562 มาตรา 6 4 พระราชบัญญัติคุมครองขอ มลู สวนบคุ คล พ.ศ.2562 มาตรา 6 กำหนดใหก ารคมุ ครองขอมูลสว นบคุ คลไมรวมถงึ ผูถ ึงแก กรรม อยา งไรก็ดมี ีความแตกตา งกนั ในแตล ะประเทศ เชน

- GDPR, Recital (27) ไมครอบคลมุ ถึงผูตาย แตเ ปดใหรัฐสมาชิกออกกฎหมายเฉพาะของตนเอง - UKDPA § 3(2) ครอบคลมุ เฉพาะขอมลู สว นบคุ คลของผทู ่ีมีชีวติ อยเู ทาน้นั - SGPDPA § 4 กฎหมายของสงิ คโปรก ำหนดใหค มุ ครองขอมูลสวนบุคคลของผตู ายเปนระยะเวลา 10 ป แตก ็

เปน ไปอยา งจำกัด - ราง พรบ.คมุ ครองขอ มลู สว นบคุ คลฯ มาตรา 6 ไมครอบคลมุ ถงึ ผูต าย โดยระบวุ า ““ขอ มูลสวนบคุ คล”

หมายความวา ขอ มูลเกี่ยวกับบคุ คลซ่ึงทาใหส ามารถระบตุ วั บคุ คลนน้ั ไดไมว าทางตรงหรอื ทางออม” 5 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST SPECIAL PUBLICATION 800-122): GUIDE TO PROTECTING THE CONFIDENTIALITY OF PERSONALLY IDENTIFIABLE INFORMATION (PII) (2010), at 2.1 26 Thailand Data Protection Guidelines 3.0

- [Linkability] การเช่อื มโยง หมายถงึ การทีข่ อ มูลสามารถถกู ใชเ ชือ่ มโยงกนั เพื่อระบไุ ปถึง ตัวบุคคลได โดยแบงออกเปน 2 กรณี o ขอมูลทถี่ ูกเชอ่ื มโยงแลว (linked) เปนกรณหี ากมีขอ มลู ทีเ่ กย่ี วขอ งกับขอ มูลท่ีเมอื่ ใช ดวยกันแลว สามารถระบถุ งึ ตัวบุคคล เชน ชดุ ขอ มลู 2 ชดุ แตล ะชดุ มขี อ มลู แยกกัน แตหากมบี ุคคลทส่ี ามารถเขาถงึ ขอมลู ทั้ง 2 ชุดน้นั ไดกจ็ ะสามารถเชือ่ มโยงและระบุ ไปถงึ ตวั บคุ คลได o ขอ มลู ท่ีอาจถกู เชือ่ มโยง (linkable) เปนกรณหี ากมีชดุ ขอ มลู ทีห่ ากใชรว มกันกับ ขอมูลอ่นื แลว กจ็ ะสามารถระบตุ ัวบคุ คลได แตโ ดยท่ขี อมลู อ่นื ทีจ่ ะนำมาใชรวมน้ันไม อยูในระบบ หรอื อยูในอินเทอรเ นต็ หรืออยทู ่ีอื่นใด

B1.4 [Data] “ขอ มูล” นน้ั อาจเปน ขอ มลู ในลกั ษณะใดๆกไ็ ดท ง้ั ที่เปน ขอ มลู ทมี่ นุษยเ ขาใจไดห รือไมก็ ได โดยเปนขอ มลู ที่คอมพิวเตอรหรอื อปุ กรณต า งๆสามารถเขาถึงไดโ ดยอตั โนมตั ิหรอื ถกู จดั ไว อยางเปน ระบบพรอมใหเ ขา ถึงขอ มูลเพือ่ ใชใ น - การเกบ็ รวบรวมเพื่อการประมวลผลของคอมพิวเตอรหรืออุปกรณน นั้ หรอื เพอื่ เปนสวน หน่ึงของระบบขอ มูลเพ่อื การประมวลผลนัน้ - การประมวลผลโดยคอมพิวเตอรห รอื อปุ กรณน ั้นตามคำสั่งหรือโปรแกรมท่กี ำหนดไว

B1.5 “ขอมูลสวนบุคคล” จึงเปน “ขอมูล” ทั้งหลายท่ีสามารถใชระบุถึงบุคคลที่เปน “เจาของ ขอ มูล” ได - แมว าจะเปน ขอมลู ทีอ่ ยูในรปู แบบกระดาษหรือในรูปแบบอืน่ ๆ แตไ ดม ไี วเพอ่ื จะนำไปใช ประมวลผลตอ ไป - แมวาตัวขอมูลที่มีอยูนั้นจะไมสามารถใชระบุถึงบุคคลไดแตหากใชรวมกันกับขอมูลหรอื สารสนเทศอื่นๆประกอบกันแลวก็จะสามารถระบุถึงตัวบุคคลได โดยไมจำเปนวาขอมูล หรือสารสนเทศอืน่ นนั้ ไดมอี ยดู ว ยกนั - โดยไมข ้นึ อยกู ับวาขอ มลู นนั้ จะเปน จรงิ หรอื เปนเทจ็

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 27

B1.6 ตวั อยา งขอ มลู ทเี่ ปน ขอ มลู สวนบุคคล (1) ช่อื -นามสกุล หรอื ช่ือเลน (2) เลขประจำตัวประชาชน, เลขหนังสอื เดินทาง, เลขบัตรประกนั สงั คม, เลขใบอนญุ าตขับ ขี่, เลขประจำตวั ผเู สยี ภาษ,ี เลขบญั ชีธนาคาร, เลขบัตรเครดติ (การเก็บเปนภาพสำเนา บัตรประชาชนหรอื สำเนาบัตรอื่นๆที่มีขอ มูลสวนบคุ คลท่กี ลาวมายอ มสามารถใชร ะบุ ตวั บคุ คลไดโ ดยตัวมันเอง จึงถือเปนขอมลู สว นบคุ คล) (3) ทอ่ี ยู, อเี มล, เลขโทรศพั ท (4) ขอ มลู อุปกรณห รอื เครือ่ งมือ เชน IP address, MAC address, Cookie ID (5) ขอมูลทางชวี มิติ (Biometric) เชน รปู ภาพใบหนา , ลายน้ิวมอื , ฟล ม เอกซเรย, ขอมลู สแกนมานตา, ขอ มูลอัตลกั ษณเ สยี ง, ขอมลู พันธกุ รรม (6) ขอ มลู ระบุทรัพยสนิ ของบุคคล เชน ทะเบียนรถยนต, โฉนดทด่ี นิ (7) ขอมลู ท่สี ามารถเช่อื มโยงไปยงั ขอ มูลขา งตน ได เชน วนั เกิดและสถานทีเ่ กิด, เชอ้ื ชาติ, สญั ชาต,ิ น้ำหนัก, สว นสงู , ขอมลู ตำแหนงท่อี ยู (location), ขอมูลการแพทย, ขอมลู การศึกษา, ขอมูลทางการเงิน, ขอมูลการจางงาน (8) ขอ มูลหมายเลขอา งองิ ท่เี ก็บไวในไมโครฟล ม แมไ มส ามารถระบไุ ปถงึ ตัวบุคคลได แต หากใชรวมกับระบบดัชนขี อมูลอกี ระบบหน่งึ กจ็ ะสามารถระบไุ ปถึงตวั บคุ คลได ดังนนั้ ขอ มูลในไมโครฟล มจึงเปนขอมลู สว นบคุ คล (9) ขอ มลู การประเมินผลการทำงานหรอื ความเห็นของนายจางตอการทำงานของลูกจาง (10) ขอ มูลบนั ทกึ ตางๆที่ใชตดิ ตามตรวจสอบกจิ กรรมตางๆของบคุ คล เชน log file (11) ขอมลู ท่สี ามารถใชใ นการคนหาขอมลู สวนบคุ คลอ่นื ในอนิ เทอรเ นต็

B1.7 ตัวอยางขอมลู ท่ีไมเปน ขอ มลู สวนบุคคล (1) เลขทะเบยี นบริษทั (2) ขอ มูลสำหรับการติดตอ ทางธรุ กิจท่ไี มไดระบุถงึ ตวั บคุ คล เชน หมายเลขโทรศพั ท หรอื แฟกซท ี่ทำงาน, ทีอ่ ยูสำนักงาน, อีเมลท่ีใชในการทำงาน, อเี มลข องบริษทั เชน [email protected] เปน ตน (3) ขอมูลนิรนาม (Anonymous Data) หรอื ขอ มลู แฝง (Pseudonymous Data) หมายถงึ ขอ มูลหรอื ชุดขอ มลู ทถี่ ูกทำใหไ มส ามารถระบตุ ัวบคุ คลไดอ ีกโดยวิธีการทางเทคนิค (4) ขอ มูลผตู าย

28 Thailand Data Protection Guidelines 3.0

B1.8 หนวยงานหรือองคก รท้งั หลายจงึ ไมตอ งขอความยนิ ยอมเพือ่ ท่ีจะเกบ็ รวบรวม ใช หรอื เปดเผย ขอ มูลสำหรบั การตดิ ตอทางธรุ กจิ และไมต อ งปฏิบตั ิตามแนวปฏบิ ัตนิ ้ีในสว นทีเ่ กยี่ วขอ งกับ ขอมลู สำหรับการติดตอทางธรุ กิจ

B1.9 ขอ มลู ติดตอทางธรุ กิจทรี่ ะบุถึงตัวบคุ คลยอ มเปน ขอ มูลสวนบคุ คลตามความหมายของแนว ปฏบิ ตั ินี้

B1.10 [Sensitive Personal Data] ขอ มูลออ นไหวเปนขอ มลู สวนบุคคลท่เี ปนเร่ืองสวนตวั โดยแท ของบคุ คล แตมคี วามละเอียดออนและสมุ เส่ียงตอการถกู ใชในการเลอื กปฏิบตั ิอยา งไมเ ปน ธรรม จึงจำเปนตอ งดำเนินการดว ยความระมัดระวงั เปนพเิ ศษ (รายละเอียดดสู วน B3)

B1.11 ขอมูลสว นบคุ คลทเี่ ปนขอ มลู ออนไหว 56 (1) เชื้อชาติ (2) เผาพันธุ (3) ความคดิ เห็นทางการเมอื ง (4) ความเชอื่ ในลัทธิ ศาสนาหรือปรัชญา (5) พฤติกรรมทางเพศ (6) ประวัติอาชญากรรม (7) ขอมลู สขุ ภาพ ความพิการ หรอื ขอมูลสุขภาพจติ (8) ขอ มูลสหภาพแรงงาน (9) ขอ มลู พันธกุ รรม (10) ขอ มลู ชีวภาพ (11) ขอ มลู อื่นใดซ่งึ กระทบตอเจา ของขอมูลในทำนองเดียวกันตามท่ีคณะกรรมการประกาศ กำหนด

6 พระราชบญั ญตั ิคุม ครองขอมลู สว นบคุ คล พ.ศ.2562 มาตรา 26 29 ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั

B1.12 [Anonymization] ขอมูลสวนบุคคลที่ผานกระบวนการทำใหไมสามารถระบุตัวบุคคลได กลายเปน ขอมูลนิรนาม (anonymous data) ยอมไมถือวาเปนขอมูลสวนบุคคลตาม ความหมายนี้ 7 อยางไรก็ดีกระบวนการทำใหไมสามารถระบุตัวบุคคลไดเปนการประมวลผล ขอมูลอยางหนึ่ง (further processing) 78 จำเปนตองมีฐานการประมวลผลขอมูลที่ชอบดวย

กฎหมาย และกระบวนการหรือวธิ ีทีจ่ ะรับรองความไมส ามารถระบตุ ัวตนได (รายละเอียดดสู ว น

G วาดวยแนวปฏบิ ัตเิ ก่ยี วกับการจดั ทำขอมลู นริ นาม)

B1.13 [Pseudonymization] การแฝงขอมูลไมใชกระบวนการทำใหข อ มูลไมสามารถระบตุ ัวบคุ คล

ได ขอมูลที่ไดยังคงเปนขอมูลสวนบุคคลตามความหมายน้ี แตเปนการลดหรือจำกัด

ความสามารถในการเช่ือมโยงขอมูลสวนบุคคลกับชุดขอมูลตั้งตน ซึ่งถือเปนมาตรการเพื่อการ

รักษาความปลอดภัยของขอมูลสวนบุคคลแบบหนึ่ง 9 โดยอาจใชวิธีเปลี่ยนขอมูลที่ระบุตัว

8

บคุ คล (Identifier) ดวยขอ มูลอ่ืน หรอื เลขที่กำหนดใหมขึน้ มาได (รายละเอยี ดดสู วน G วา ดวย

แนวปฏบิ ตั ิเกีย่ วกบั การจัดทำขอ มลู นริ นาม)

B1.14 ในเชิงหลักการแลวการปฏิบัติตามกฎหมายคุมครองขอมูลสวนบคุ คลของไทยจงึ ไมด อ ยไปกวา การปฏิบัติตามกฎหมายคุมครองขอมูลสวนบุคคลในที่อื่นหรือในสหภาพยุโรป เพราะยึดถือ หลักการและมาตรฐานเดยี วกัน

B1.15 [Material Scope] ในเชิงเนื้อหา การประมวลผลขอมูลสวนบุคคลใดๆจะตองเปนไปตาม 10 มาตรฐานของพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.2562 โดยไมมีขอยกเวน 9

อยา งไรกด็ ีการประมวลผลในกรณีดงั ตอ ไปน้ไี ดรบั ยกเวนไมตอ งขอความยินยอม

(1) การเก็บรวบรวมขอ มลู สวนบคุ คลเพ่อื ประโยชนสวนตนหรือเพ่ือกจิ กรรมในครอบครัวของ

บุคคลนัน้ เทา นน้ั 11

10

(2) การดำเนินการของหนวยงานของรัฐท่ีมหี นาท่ีในการรักษาความม่นั คงของรฐั ซึ่งรวมถงึ

ความมั่นคงทางการคลังของรัฐ หรอื การรกั ษาความปลอดภยั ของประชาชน รวมทัง้ หนา ที่

7 พระราชบัญญัติคมุ ครองขอ มลู สวนบุคคล พ.ศ.2562 มาตรา 33 8 WP29 Opinion 05/2014 on Anonymisation Techniques (WP216), p.7. 9 Id., pp.10-11. 10 พระราชบัญญตั คิ มุ ครองขอ มูลสว นบุคคล พ.ศ.2562 มาตรา 4 วรรคสาม, สอดคลอ งกันกบั GDPR, Article 2.1 11 พระราชบญั ญัติคุม ครองขอ มลู สว นบุคคล พ.ศ.2562 มาตรา 4(1), สอดคลองกนั กับ GDPR, Article 2.2(c) 30 Thailand Data Protection Guidelines 3.0

เกีย่ วกับ การปองกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร หรือการรกั ษาความ มน่ั คงปลอดภยั ไซเบอร 12 (3) กจิ การสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอนั เปน ไปตามจรยิ ธรรมแหงการ ประกอบวชิ าชีพหรอื เปน ประโยชนสาธารณะเทานน้ั 13 (4) การพิจารณาตามหนาที่และอำนาจของสภาผแู ทนราษฎร วุฒสิ ภา และรัฐสภา รวมถงึ คณะกรรมาธิการที่แตงต้งั โดยสภาดงั กลา ว 14 (5) การพจิ ารณาพิพากษาคดีของศาลและการดำเนนิ งานของเจาหนา ทใ่ี นกระบวนการ พจิ ารณาคดี การบงั คับคดี และการวางทรัพย รวมท้ังการดำเนนิ งานตามกระบวนการ ยุตธิ รรมทางอาญา 15 (6) การดำเนินการกบั ขอมลู ของบริษัทขอ มูลเครดติ และสมาชกิ ตามกฎหมายวาดว ยการ ประกอบธรุ กจิ ขอ มลู เครดติ 1516

B1.16 [Territorial Scope] ในเชิงพื้นที่ การประมวลผลขอมูลสวนบุคคลจะตองเปนไปตาม มาตรฐานของพระราชบัญญตั คิ มุ ครองขอมูลสวนบุคคล พ.ศ.2562 ในกรณตี อไปน้ี (1) ผูประกอบการมีบริษัทหรือสาขาที่จัดตั้งในประเทศไทย ไมวาการประมวลผลขอมูลสวน บคุ คลนนั้ จะเกดิ ข้นึ ในประเทศไทยหรือไมกต็ าม 1617 (2) ผปู ระกอบการทไ่ี มมีบริษทั หรือสาขาท่จี ัดตง้ั ในประเทศไทย แต

12 พระราชบัญญัติคมุ ครองขอ มลู สวนบุคคล พ.ศ.2562 มาตรา 4(2), สอดคลองกนั กบั GDPR, Article 2.2(d), 23(a):

national security, 23(b): defence, 23(c): public security and 23(e): important economic interest ท่ี

กำหนดใหต อ งมีมาตรการคมุ ครองขอมลู สวนบุคคลตามที่จำเปนและไดสัดสว น

13 พระราชบญั ญัติคุมครองขอ มูลสว นบุคคล พ.ศ.2562 มาตรา 4(3), สอดคลองกันกบั GDPR, Article 85 ทก่ี ำหนดใหต อง

มีมาตรการคุมครองขอ มลู สวนบคุ คลไปพรอมๆกัน

14 พระราชบัญญัตคิ ุม ครองขอ มลู สว นบุคคล พ.ศ.2562 มาตรา 4(4), สอดคลอ งกนั กบั GDPR, Article 86 ทีก่ ำหนดใหต อ ง

มมี าตรการคุมครองขอมูลสวนบุคคลไปพรอมๆกนั

15 พระราชบัญญัตคิ มุ ครองขอ มูลสวนบคุ คล พ.ศ.2562 มาตรา 4(5), สอดคลอ งกันกบั GDPR, Article 2.2(d), 23(d):

prosecution of criminal offences, 23(f): judicial proceedings and 23(j): enforcement of civil claims ที่

กำหนดใหต อ งมมี าตรการคุม ครองขอ มลู สวนบคุ คลตามทีจ่ ำเปนและไดส ดั สว น

16 พระราชบญั ญัติคุมครองขอมลู สวนบุคคล พ.ศ.2562 มาตรา 4(6)

17 พระราชบญั ญัตคิ มุ ครองขอมูลสวนบุคคล พ.ศ.2562 มาตรา 5 วรรคแรก, สอดคลองกนั กบั GDPR, Article 3.1

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 31

- เสนอขายสินคาหรือบริการแกเจาของขอมูลในประเทศไทยไมวาจะมีการชำระเงิน

หรือไมกต็ าม หรือ

- มีการติดตามและจัดเก็บขอมูลพฤติกรรมของเจาของขอมูลในประเทศไทย ตราบ เทาทพี่ ฤตกิ รรมทจี่ ัดเก็บนน้ั เกิดข้นึ ในประเทศไทย 1718

B1.17 [Filing System] GDPR กำหนดขอบเขตของการคมุ ครองขอมลู สว นบคุ คลไววา ครอบคลุมถึง

การประมวลผลขอมูลสวนบุคคลที่อยูในรูปแบบอัตโนมัติหรือไมอัตโนมัติที่เปนสวนหนึ่งของ

ระบบหรือเจตนาใหเปน สว นหน่งึ ของระบบ หรือที่เรียกวา "filing system" 19 จงึ มคี วามหมาย

ในลักษณะที่ตั้งใจจะครอบคลุมถึงขอมูลในรูปแบบเอกสารที่มีการจัดเรียงอยางใดอยางหนึ่ง

ขอมูลที่ไมไดจัดเรียงหรือทำ index ที่ทำใหไมสามารถสืบคนเอกสารไดก็จะไมอยูในการ

คุมครองนี้ อยางไรกด็ ีเปนเรื่องไมงายนักที่จะแบงแยกระหวางสิ่งท่ีเรยี กวา filing system กับ

สิ่งท่ไี มใช 20

19

- ท่ผี า นมามบี ททดสอบท่เี รียกวา "temp test' หมายความวา ถา เดก็ ฝก งานของบริษัท

สามารถคนหาเอกสารหรือขอมูลนั้นไดตามสมควร คือ ไมตองมีความรู แสดงวา

บรษิ ทั มี filing system

- พึงสังเกตวา filing system ไมใ ชน ยิ ามของขอ มลู สว นบคุ คล หากพจิ ารณาตามนยิ าม

ของขอมลู สว นบคุ คลท่ีรวมถึงขอมูลทส่ี ามารถระบตุ วั บคุ คลไดแมทางออม ซึ่งสะทอน

คุณลกั ษณะของ filing system ประการหนง่ึ

- พรบ.คุมครองขอมูลสวนบุคคลฯแมไมไดระบุเรื่องนี้ไว แตก็ไมไดหมายความวาจะมี

เจตนารมณที่จะคุมครองขอมูลทุกอยางแมมันจะเปนกองขอมูลขยะ ที่จริงแลว

กฎหมายก็ไดก ำหนดขอยกเวนมากบา งนอยบางไวแลวตามสมควร

- กระบวนการประมวลผลขอมูลมีหลายขั้นตอนในทางปฏิบัติ ยอมมีสวนที่เปน filing

system และก็มีสว นทไ่ี มเ ปนในความเปนจริง ดังนน้ั จึงเปน ธรรมชาติทจ่ี ะไมสามารถ

18 พระราชบญั ญตั ิคุมครองขอมูลสว นบุคคล พ.ศ.2562 มาตรา 5 วรรคสอง 19 GDPR, Article 2 (1): “This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.” 20 ICO, Frequently asked questions and answers about relevant filing systems (2011), //ico.org.uk/media/for-organisations/documents/1592/relevant_filing_systems_faqs.pdf (last visited Dec 8, 2020). 32 Thailand Data Protection Guidelines 3.0

ใชคุณลักษณะ filing system มาแบงแยกและจัดกลุมอะไรไดมากนัก เชน ขอมูลที่ เคยอยูในระบบเอกสาร พอถูกคัดทิ้งแลว ก็ไมไดทำใหกลายเปนขอมูลนอกความ คุมครองเปน ได ผคู วบคุมขอ มูลก็มหี นา ที่ทำลายตามปกติ - กฎหมายยอมวางหลักโดยกวางเพ่ือใหอ ธิบายใหเหตุผลตอ ในรายละเอยี ดแตละกรณี ในทางปฏิบัติ จึงจำเปนที่จะตองพิจารณาในรายละเอียดและสิ่งที่เกิดขึ้นจริง เปรยี บเทียบกับกิจกรรมตางๆทม่ี อี ยูจริงในปจ จุบัน และอา งอิงกับมาตรฐานในแตละ เร่อื งเปน สำคญั

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 33

B2. การกำหนดและแยกแยะขอมลู สวนบุคคลตามความเส่ยี งและ ความรา ยแรงทอ่ี าจกระทบตอ สทิ ธิและเสรีภาพของบคุ คล

B2.1 โดยหลักการแลวผูประกอบการมีความรับผิดชอบในขอมูลสวนบุคคลที่ตนเองไดเก็บรวบรวม

และใช นอกจากกฎหมายคุม ครองขอ มลู สว นบุคคลแลว ผปู ระกอบการยังมคี วามรบั ผิดจากการ

ไมบริหารจดั การขอมลู ท่ีดีพอดวย เชน การนำขอ มูลสว นบคุ คลของบคุ คลอนื่ ไปเผยแพรเพ่ือหา

ประโยชนโดยไมไดรับอนุญาต ยอมมีความรับผิดตอเจาของขอมูลฐานละเมิดสิทธิตาม

รฐั ธรรมนญู 21 และอาจเปนการใชส ทิ ธิซ่ึงมแี ตจะใหเ กิดเสียหายแกบ คุ คลอ่นื 22

21

รฐั ธรรมนญู แหง ราชอาณาจกั รไทย พ.ศ.2560 มาตรา 32 “บคุ คลยอมมสี ทิ ธใิ นความเปนอยสู วนตัว เกียรตยิ ศ ชือ่ เสยี ง และครอบครวั

การกระทําอนั เปนการละเมิดหรอื กระทบตอ สทิ ธิของบุคคลตามวรรคหน่งึ หรือการ นาํ ขอมลู สวนบคุ คลไปใชประโยชนไ มวาในทางใดๆ จะกระทาํ มไิ ด เวน แตโดยอาศยั อํานาจตาม

บทบญั ญัติแหง กฎหมายทต่ี ราข้ึนเพยี งเทาที่จาํ เปน เพ่อื ประโยชนส าธารณะ”

ประมวลกฎหมายแพงและพาณชิ ย “มาตรา 420 ผใู ดจงใจหรอื ประมาทเลนิ เลอ ทำตอบุคคลอ่ืนโดยผดิ กฎหมายใหเ ขา

เสยี หายถึงแกชวี ิตกด็ ี แกรางกายกด็ ี อนามัยกด็ ี เสรภี าพกด็ ี ทรัพยส นิ หรือสทิ ธอิ ยา งหน่ึงอยา ง ใดกด็ ี ทานวาผนู น้ั ทำละเมดิ จำตอ งใชคา สนิ ไหมทดแทนเพ่อื การนั้น”

“มาตรา 421 การใชส ทิ ธิซ่ึงมแี ตจ ะใหเ กดิ เสียหายแกบ คุ คลอน่ื น้ัน ทานวา เปนการ อันมชิ อบดวยกฎหมาย”

21 บทบัญญตั ิลักษณะเดียวกนั นี้มปี รากฏในรฐั ธรรมนูญแหงราชอาณาจกั รไทย พ.ศ.2540 มาตรา 34 และ พ.ศ.2550 มาตรา 35 22 ประมวลกฎหมายแพง และพาณชิ ย มาตรา 420 - 421 34 Thailand Data Protection Guidelines 3.0

B2.2 โดยทัว่ ไปแลว ผูประกอบการจัดเก็บขอมูลตางๆเอาไวใ นสวนตางๆขององคกรของตน ซึง่ กระจัด กระจายแยกกันอยู แลวแตง านของสวนงานนน้ั ๆ แลว แตพ ฒั นาการของเทคโนโลยีในเร่อื งนั้นๆ และแลว แตสถานการณท่ีเกดิ ขึน้ จรงิ ที่จะทำใหสามารถจัดเก็บขอ มลู ไวไ ดม ากนอยแคไหน ซง่ึ ไม วาจะอยางไรดังไดกลาวมาแลวในเรื่องขอบเขตของขอมูล จึงมีความเปนไปไดมากวาขอมูล ทั้งหลายนั้นไมวาจะอยูที่ใดในรูปแบบใดยอมตกอยูในขอบเขตของขอมูลสวนบุคคลแทบ ทงั้ สิ้นไมม ากกน็ อย

B2.3 ผูประกอบการจึงจำเปนตองมีมาตรฐานการจัดการเกี่ยวกับขอมลู สวนบุคคลเพื่อที่จะสามารถ แสดงใหเห็นไดวาตนเองนั้นไดใชความระมัดระวังที่เพียงพอแลว โดยสามารถอางอิงตามแนว ปฏิบัตินี้และแนวปฏิบัติในสวนอื่นๆได มาตรฐานสากลที่สำคัญประการหนึ่งในการจัดการ ขอมูลสวนบุคคลในสวนน้ี ไดแก “การกำหนดและแยกแยะขอมูลสวนบุคคลตามความเสี่ยง และความรา ยแรงของผลกระทบตอ สิทธิและเสรีภาพของบคุ คล”

B2.4 ผปู ระกอบการจำเปน ตองแสดงใหเ ห็นวา มีขั้นตอนการกำหนดขอมลู ใหเปนขอ มูลสวนบคุ คลใน องคกร โดยอยางนอ ยประกอบดวย (1) [Data Policy] การกำหนดนโยบายและนยิ ามความหมายของขอ มูลสว นบุคคล (2) [Data Discovery] การกำหนดขน้ั ตอนการตรวจสอบขอมลู สว นบุคคล (3) [Data Proliferation] การระบคุ วามเช่ือมโยงและเสน ทางการสง ขอมูลสวนบคุ คลทีจ่ ะ เกิดขึ้นในองคกร รวมถงึ ระบแุ หลงทจี่ ะไดม าซง่ึ ขอ มลู สว นบคุ คลทงั้ หลาย (4) [Data Risk Level] การกำหนดความเส่ียงของขอมูลสวนบุคคลชุดตา งๆ (5) [Data Protection] มมี าตรการคมุ ครองขอ มลู สว นบคุ คล

Data Data Data Data Risk Data Policy Discovery Prolifera- Level Protection

tion

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 35

B2.5 [Data Policy] ผูประกอบการตองกำหนดนโยบายและขอบเขตของขอ มลู สว นบคุ คลของตน โดยอาจเลือกกำหนดนโยบายของตนตาม TDPG (Thailand Data Protection Guidelines) ฉบับนี้กไ็ ด ในกรณเี ชนนีผ้ ปู ระกอบการก็จะไมต องกำหนดนโยบายของตนเองแตส ามารถใช TDPG เปน นโยบายของตนเองไดเ ลย

B2.6 [Data Discovery] ผปู ระกอบการกำหนดขัน้ ตอนการตรวจสอบขอ มลู สว นบคุ คลตามที่ระบุ ไวในสว น B1 โดย - ครั้งท่หี น่งึ อาจดำเนนิ การเองหรือโดยระบบอตั โนมตั ิ - ครง้ั ตอๆไป เปน กระบวนการตอ เนื่อง

B2.7 [Data Proliferation] ผูป ระกอบการจะตอ งมีข้ันตอนตอ ไปนเี้ พ่อื 23 (1) [Actors and Roles] ระบุตัวบุคคลตา งๆท่ีเกย่ี วของกับกระบวนการท้ังหลายทเ่ี ก่ียวขอ ง กับการคุม ครองขอมลู สวนบคุ คลโดยอยา งนอยประกอบดวยบุคคลทเ่ี กีย่ วขอ ง 4 ประเภท - เจา ของขอ มลู (Data Subjects) - ผคู วบคมุ ขอ มลู (Controllers) - ผปู ระมวลผลขอ มลู (Processors) - บุคคลภายนอก (Third Parties) (2) [Interactions] ระบคุ วามสมั พันธร ะหวางบุคคลตางๆทเ่ี กยี่ วของ โดยระบุถึง ความสัมพนั ธท่อี าจมขี ึน้ ดงั ตอไปน้ี

  1. เจา ของขอ มูลสงขอ มลู สวนบคุ คลใหก บั ผูควบคุมขอ มลู เชน เมอื่ มีการลงทะเบยี นเพอื่ ใชบริการของผคู วบคุมขอมลู เปนตน
  2. ผูควบคมุ ขอมลู สง ขอ มลู สวนบคุ คลใหกับผปู ระมวลผลขอมลู เชน ตามขอตกลงจา ง งานภายนอก (Outsourcing) เปน ตน
  3. เจาของขอ มลู สง ขอ มลู สวนบคุ คลใหกบั ผปู ระมวลผลขอ มูล ซงึ่ เปนสว นหนึง่ ของการ ดำเนนิ งานในนามของผูควบคมุ ขอ มูล
  4. ผคู วบคมุ ขอมลู สงขอ มลู สว นบคุ คลใหกบั เจาของขอ มูล เชน การดำเนินการตามท่ี เจาของขอมลู รองขอ เปน ตน

23 ปรบั ปรุงจาก ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework 36 Thailand Data Protection Guidelines 3.0

  1. ผูประมวลผลขอ มลู สง ขอ มลู สวนบคุ คลใหกับเจาของขอ มลู เชน ตามทผี่ ูควบคมุ ส่งั การ เปน ตน
  1. ผปู ระมวลผลขอมลู สง ขอ มลู สว นบคุ คลใหก บั ผคู วบคมุ ขอมลู เชน เมอื่ ไดทำงานตาม ขอตกลงแลวเสรจ็ เปนตน
  1. ผูค วบคุมขอมลู สงขอ มลู สว นบุคคลใหก บั บคุ คลภายนอก เชน การดำเนินการตาม ขอ ตกลงทางธรุ กจิ เปนตน
  1. ผปู ระมวลผลขอ มลู สง ขอ มลู สว นบคุ คลใหก ับบคุ คลภายนอก เชน ตามทผ่ี คู วบคมุ ส่ัง การ เปน ตน

Data Subject Controller Processor Third Parties

  1. Provider Recipient
  2. Provider Recipient Recipient
  3. Provider Recipient Recipient
  4. Recipient Provider
  5. Recipient Provider
  6. Recipient Provider
  7. Provider
  8. Provider

(3) [Identifiers] ระบขุ อมลู สว นบคุ คลตามท่กี ำหนดในสว น B1 รวมถงึ ขอมลู ทีใ่ ชแยกแยะ (distinguishability), ขอมูลท่ีใชต ดิ ตาม (traceability) และขอ มลู ทใ่ี ชเช่อื มโยง (linkability) ดวย

B2.8 หากผูป ระกอบการไดม กี ารสง ตอ หรืออนุญาตใหเ ขาถึงขอ มลู แกระบบสารสนเทศภายนอก ผปู ระกอบการตองมีขอตกลงเกย่ี วกบั บทบาทหนาที่และความรบั ผดิ ชอบท่ีเหมาะสม รวมถงึ การจำกดั ไมใ หมีการสงตอ ขอมลู ไปยังบุคคลอืน่ , การแจงเตือนเมอื่ มกี ารร่วั ไหลหรอื ละเมดิ ขอ มลู สวนบุคคล, มาตรการความมน่ั คงปลอดภยั ข้นั ตำ่ , และขอตกลงอน่ื ๆทเ่ี กี่ยวของ เชน BCR (Binding Corporate Rules) รายละเอียดดูสวน D2 และ D5

B2.9 ความเสยี่ งและความรา ยแรงของผลกระทบ (harm) ท่ีอาจจะเกดิ ขึ้นจากการรวั่ ไหลหรือการ ละเมดิ ขอมลู สวนบุคคล อาจประเมนิ ไดใน 2 กลุม

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 37

- ระดบั บคุ คล เชน การแบล็คเมล, การถกู สวมรอยบคุ คล (identity theft), การถูกทำราย รางกาย, การถกู เลือกปฏิบัติ หรือความเสยี หายทางจิตใจ เปนตน

- ระดบั องคก ร เชน การสญู เสยี ความสามารถในการรกั ษาความลบั , ความเสียหายทางการ เงิน, การสูญเสยี ช่ือเสียงและความเชอื่ มั่น หรือความรบั ผิดทางกฎหมายตางๆ เชน ทาง แพง , ทางอาญา และทางปกครอง เปน ตน

B2.10 [Data Risk Level] การกำหนดความเสย่ี งและความรา ยแรงของผลกระทบ (Impact Levels) อาจแบง ไดเปน 3 ระดบั ตามมาตรฐานความม่ันคงปลอดภยั ระบบสารสนเทศ 2324 ไดแก (1) ระดับต่ำ (Low) ไดแก กรณที ่ผี ลกระทบจากการสูญเสยี การรักษาชนั้ ขอมลู (Confidentiality), ความถูกตอ งสมบรู ณ (Integrity) และความพรอ มใชง าน (Availability) มแี นวโนม ที่จะมอี ยอู ยา งจำกัด (limited adverse effect) ทงั้ ในระดับ บคุ คลและระดบั องคกร เชน - เกิดผลกระทบเล็กนอ ยตอระบบสารสนเทศทำใหส งั เกตเหน็ ไดว าดอ ยประสิทธภิ าพ ลง แตย ังคงสามารถทำหนาท่หี รือใหบ ริการพื้นฐานขององคก รได - เกิดความเสยี หายเลก็ นอยตอ สินทรพั ยข ององคก ร - เกิดความเสยี หายทางการเงินเพยี งเล็กนอย - เกิดผลกระทบเลก็ นอยตอบุคคล เชน ทำใหต อ งเปล่ยี นเลขหมายโทรศัพท เปนตน (2) ระดับกลาง (Moderate) ไดแ ก กรณีทผี่ ลกระทบจากการสูญเสยี การรกั ษาชนั้ ขอมูล (Confidentiality), ความถกู ตอ งสมบูรณ (Integrity) และความพรอ มใชงาน (Availability) มแี นวโนมที่จะมผี ลกระทบมาก (serious adverse effect) ท้ังในระดบั บุคคลและระดบั องคก ร เชน - เกิดผลกระทบมากตอระบบสารสนเทศทำใหดอ ยประสิทธิภาพลงอยา งมีนยั สำคญั แตยังคงสามารถทำหนาทห่ี รือใหบ รกิ ารพื้นฐานขององคกรได - เกดิ ความเสียหายมากอยา งมีนยั สำคัญตอ สนิ ทรพั ยขององคก ร - เกดิ ความเสียหายทางการเงินมากอยางมีนัยสำคญั - เกิดผลกระทบมากอยางมีนยั สำคญั ตอบคุ คล แตไมถงึ ขนาดทเ่ี กีย่ วกบั ความเปน ความตาย หรือไดร บั บาดเจ็บข้ันรา ยแรงถงึ ชีวิต เชน ทำใหเ กดิ ความเสยี หายทางการ

24 อางองิ ตาม US Federal Information Processing Standards (FIPS) Publication 1999, Standards for Security Categorization of Federal Information and Information Systems 38 Thailand Data Protection Guidelines 3.0

เงินเพราะถูกสวมรอยบคุ คลหรือถกู ปฏิเสธไมใ หป ระโยชนบางอยาง, ทำใหตอ งอบั อายแกส าธารณะ, ทำใหถกู เลือกปฏิบัติ, ทำใหถ กู แบล็คเมล เปน ตน (3) ระดับสูง (High) ไดแก กรณีที่ผลกระทบจากการสญู เสยี การรกั ษาช้ันขอมลู (Confidentiality), ความถูกตองสมบรู ณ (Integrity) และความพรอมใชง าน (Availability) มีแนวโนมทจี่ ะมคี วามรายแรงหรือเปนหายนะ (severe or catastrophic adverse effect) ทัง้ ในระดบั บุคคลและระดบั องคก ร เชน - เกิดผลกระทบรา ยแรงตอระบบสารสนเทศทำใหด อ ยประสทิ ธิภาพลงอยางมากจนถึง ขนาดท่ไี มส ามารถทำหนาทห่ี รอื ใหบรกิ ารพ้ืนฐานหนึง่ หรือมากกวา น้ันขององคกรได - เกิดความเสยี หายรายแรงตอ สนิ ทรพั ยข ององคก ร - เกิดความเสียหายรายแรงทางการเงิน - เกิดผลกระทบรา ยแรงตอบคุ คล ถงึ ขนาดท่เี กี่ยวกับความเปนความตาย หรือไดรับ บาดเจบ็ ข้นั รา ยแรงถึงชวี ิต เชน ความเสียหายรา ยแรงทางรางกาย, สงั คม หรือ ทางการเงนิ ทำใหตองสูญเสียชีวติ , สูญเสียความเปน อยอู นั ปกตสิ ุข หรอื ถกู หนว ง เหน่ยี วกกั ขัง เปนตน

B2.11 ความเสยี่ งระดบั สงู (High) นน้ั รวมถึงความเสย่ี งทจ่ี ะเกิดผลกระทบตอ “สิทธิและเสรภี าพของ เจา ของขอมลู ” (to the rights and freedom of data subjects) ซึ่งรวมถึงสทิ ธแิ ละ เสรภี าพดังตอ ไปน้ี - สิทธใิ นการไมถูกเลือกปฏบิ ตั ิ (right to non-discrimination) - เสรภี าพในการแสดงความคดิ เห็น (freedom of speech) - เสรภี าพทางความคดิ ความเชอื่ และศาสนา (freedom of thought, conscience and religion) - เสรภี าพในการเคลื่อนยายถิน่ ฐาน (freedom of movement) 25

B2.12 หากชดุ ขอมูลใดมคี วามเสย่ี งระดับสงู (High) กจ็ ำเปน ตองมีกระบวนการ DPIA (Data Protection Impact Assessment) ตอ ไป (รายละเอียดดูสวน E แนวปฏบิ ตั ิเพ่ือการ ประเมนิ ผลกระทบดา นการคมุ ครองขอมูลสว นบุคคล)

25 Article 29 Data Protection Working Party, STATEMENT ON THE ROLE OF A RISK-BASED APPROACH IN DATA 39

PROTECTION LEGAL FRAMEWORKS (2014), at paragraph 8. ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั

B2.13 การกำหนดความเสี่ยงของขอ มูลสว นบคุ คลชดุ ตางๆโดยอยา งนอ ยคำนึงถงึ

Identifiability

Volume

Access & Activity

Adverse Effects to Data Subjects

Adverse Effects to Organization

- [Identifiability] ผูประกอบการตอ งมีการประเมนิ วา ขอ มลู สวนบคุ คลน้ันสามารถใชเ พ่อื ระบตุ ัวบุคคลไดง า ยเพียงใด เชน ชดุ ขอ มูลที่มี ช่ือและนามสกลุ , ลายน้วิ มอื หรือเลข ประจำตัวประชาชน ยอมถือวา สามารถระบตุ วั บุคคลไดโดยตรง ในขณะทชี่ ดุ ขอมลู ทมี่ ี รหสั ไปรษณีย และวันเกดิ สามารถใชเ พอ่ื ระบตุ ัวบคุ คลไดโ ดยออม 2526

- [Volume] ผูประกอบการตอ งประเมนิ วา จะมผี ไู ดร ับผลกระทบโดยถกู ระบตุ วั ตนไดเ ปน จำนวนมากเพยี งใด เพราะชุดขอมลู ขนาดใหญเ มอ่ื เกดิ เหตรุ ัว่ ไหลของขอ มลู สวนบุคคล ยอ มสรา งผลกระทบตอ บคุ คลเปน จำนวนมาก และสรา งผลกระทบตอ ช่อื เสียงขององคกร กรณีเชนนีก้ ็จำเปนทจ่ี ะกำหนดระดับความเส่ียงท่ีสูงเอาไว แตก ไ็ มไ ดห มายความวา ถามชี ุด ขอมลู ขนาดเล็กกจ็ ะมีระดับความเส่ียงท่ีต่ำ

- [User Access and Activity] ผปู ระกอบการตอ งประเมนิ วามีผใู ชง านไดแกใครบาง และใชง านบอยและมากแคไ หน ยง่ิ มผี ูท ส่ี ามารถเขาถงึ ขอมลู ไดม ากและบอ ยยอมทำใหม ี

26 มผี ลงานวิจัยพบวา 97% ของบคุ คลท่ีมี ชอื่ และทอ่ี ยู ตามบัญชผี มู ีสทิ ธเิ ลือกตั้ง สามารถใชเ พยี งขอมูลรหสั ไปรษณียและ วันเกิดในการระบตุ วั บุคคลตามบญั ชีได, Latanya Sweeney, Computational disclosure control : a primer on data privacy protection, 2001, //dspace.mit.edu/handle/1721.1/8589; see also Paul Ohm, Broken Promises of Privacy: Responding to The Surprising Failure of Anonymization, UCLA LAW REVIEW 77; Arvind Narayanan & Edward W Felten, No silver bullet: De-identification still doesn’t work, //randomwalker.info/ publications/no-silver-bullet-de-identification.pdf; Contra. Ann Cavoukian & Daniel Castro, Big Data and Innovation, Setting the Record Straight: De-identification Does Work, (2014), //www2.itif.org/2014-big-data-deidentification.pdf 40 Thailand Data Protection Guidelines 3.0

ความเสย่ี งท่จี ะร่วั ไหลได ทำนองเดยี วกนั กับการเขาถึงขอ มลู จากสวนงานตา งๆกนั ดวย อปุ กรณตางๆกนั ดว ยแอพพลิเคชน่ั ตา งๆกัน ทั้งจากภายในและภายนอกองคก ร หรอื แมแ ตภ ายนอกประเทศ ยอ มทำใหม คี วามเสยี่ งทจี่ ะร่วั ไหลไดม ากกวา นอกจากนกี้ รณที ่ี ตองมกี ารจดั เกบ็ ขอ มูลและโอนยา ยขอ มูลออกจากระบบยอมมคี วามเสยี่ งมากกวาเชนกัน - [Adverse Effects to Data Subjects] ผปู ระกอบการตอ งประเมนิ ความออนไหวของ ขอ มลู สว นบคุ คลท่มี อี ยู ขอมลู เลขบตั รประชาชน, ขอ มลู ทางการแพทย หรือขอ มลู ทาง การเงนิ ยอมถอื เปน ขอ มลู ที่มคี วามออ นไหวมากกวาเลขหมายโทรศพั ท หรอื รหัสไปรษณีย ตัวอยางเชน

  1. หากมขี อมลู เลขบตั รประชาชนในชุดขอ มูลยอ มตอ งกำหนดระดับความเสยี่ งไวใน

ระดบั กลาง (moderate) ii. หากมีขอมูลเลขบัตรประชาชนกับเลขบัตรเครดติ ยอ มตองกำหนดระดบั ความเสี่ยงไว

ในระดับกลาง (moderate) iii. หากมีขอ มูลสถานทเ่ี กดิ หรอื ช่อื บิดามารดา ซง่ึ มักถกู ใชเ ปน ขอมูลยนื ยนั ตัวตนในการ

ขอกูรหัสผา นของเวบ็ ไซตจ ำนวนมาก ยอ มตอ งกำหนดระดบั ความเสยี่ งไวใน ระดับกลาง (moderate) - [Adverse Effects to Organization] ผูประกอบการอาจตอ งรบั ผดิ ตอ ความเสยี หาย ที่อาจเกดิ ข้ึนจากขอมูลร่ัวไหลหรอื ถูกละเมดิ รวมถงึ ความรบั ผดิ ตามกฎหมายตา งๆ เชน กฎหมายคมุ ครองขอ มูลสวนบคุ คล, กฎหมายอื่นท่ีกำหนดความรับผิดกรณขี อมลู รัว่ ไหล หรอื ความรับผดิ ตามกฎหมายตางประเทศ เชน GDPR เปนตน

ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 41

B2.14 ตัวอยา งการกำหนดความเส่ียงขอมลู

ตวั อยา งบนั ทึกเขาออกอาคาร บรษิ ัทจดั เก็บขอ มลู ของบคุ คลทเี่ ขา และออกอาคารสำนักงานของตนดว ยระบบสแกน

บัตรพนักงาน และการแลกบตั รประจำตัวประชาชนของบคุ คลภายนอก เพื่อบันทกึ การเขาออก เพอื่ ความปลอดภัยและตรวจสอบไดเ ม่ือมีเหตุท่ีไมปลอดภยั ทำใหมกี ารจดั เกบ็ ชอ่ื -นามสกุล หนว ยงานที่สังกดั ตำแหนงงาน เลขประจำตวั พนกั งาน และเลขบตั รประจำตวั ประชาชน พรอม ลงเวลาเขาและออก โดยบนั ทึกไวใ นระบบคอมพวิ เตอรเ ปน log file

[Identifiability] การจัดเก็บขอ มลู ดงั กลา วยอมระบถุ ึงตัวบคุ คลเจา ของขอ มูลได โดยตรง

[Volume] ขอมูลมปี ระมาณ 100 รายการตอวนั ถอื วา มีปริมาณมาก [User Access and Activity] ขอมูลสามารถเขาถึงไดจากเจาหนา ทที่ ม่ี ีหนา ท่ี ตรวจสอบเรื่องการเขา ออกเทาน้ัน โดยเปน การเขาถึงภายในองคก รเทาน้นั และไมเ ช่ือมตอขอ มลู ดังกลา วไปยงั สวนอืน่ ใด บุคคลอ่ืนไมส ามารถเขาถึงได เวนแตไดรบั อนญุ าตจาก ผบู รหิ ารระดบั สงู [Adverse Effects to Data Subjects] ขอ มลู สว นบุคคลทจ่ี ัดเกบ็ ไวอ าจสรา ง ผลกระทบทำใหเกดิ ความอบั อาย เชน ขอ มลู การเขาออกกอ นเวลาทำงาน แตเนอ่ื งจากเปน ขอ มลู ทีจ่ ำกัดเฉพาะการใชงานภายในองคก ร โอกาสท่ีจะสรา งผลกระทบดงั กลาวจงึ มีอยจู ำกัด [Adverse Effects to Organization] หากเกิดการร่วั ไหลหรือละเมดิ อาจตอง รบั ผิดชอบชดเชยความเสยี หาย ซงึ่ มโี อกาสเกดิ ขน้ึ ไมม าก ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอยและคอ นขา งจำกัด

42 Thailand Data Protection Guidelines 3.0

ตัวอยา งการจดั เก็บขอ มลู การใชงานภายในองคก ร (Intranet Activity Tracking) 2627 ผูประกอบการจัดเกบ็ ขอ มลู การใชง านเวบ็ ไซตภ ายในองคก ร (intranet) ของ

พนักงานโดยจัดเกบ็ ขอมูลไดแก IP Address, URL ท่ใี ชงานกอ นท่จี ะสเู วบ็ ไซตด ังกลาว, วนั และเวลาท่ใี ช, หนา เวบ็ หรอื หวั ขอทใ่ี ชง านภายในเวบ็ ไซตอ งคกร

[Identifiability] ขอ มลู ทจ่ี ัดเก็บไมใ ชข อ มูลทส่ี ามารถระบตุ วั บุคคลไดโ ดยตรง แตก ็มี ระบบ login ทมี่ ีขอ มลู ทเ่ี ชือ่ มโยงไดแ ก ขอ มลู User ID และ IP Address ซงึ่ ถาหากสามารถ เขาถึงขอ มูลท้งั สองไดกจ็ ะทำใหส ามารถระบตุ วั บุคคลได อยางไรกด็ ขี อ มูลทจ่ี ัดเก็บสวนใหญ เปนขอ มูลเกย่ี วกบั การใชง านเวบ็ ไซตภายในองคกร และมี ผดู แู ลระบบจำนวนนอ ยทสี่ ามารถ เขาถงึ ขอ มูลไดทั้ง 2 ระบบ

[Volume] ขอมูลมปี รมิ าณมาก [User Access and Activity] ขอมูลสามารถเขา ถึงไดจากผดู แู ลระบบจำนวนนอย และเปนการเขาถึงจากระบบภายในองคก รเทา นั้น [Adverse Effects to Data Subjects] ขอมลู ทจี่ ดั เกบ็ อาจสรางผลกระทบทำใหเ กดิ ความอบั อาย เชน ขอ มูลคนหาการใชงานโปรแกรมทไี่ มเหมาะสม แตเ นื่องจากเปน ขอมลู ที่ จำกดั เฉพาะการใชงานภายในองคกร จำนวนขอมูลทีจ่ ะสรา งผลกระทบดงั กลา วจงึ มอี ยูจ ำกดั [Adverse Effects to Organization] หากเกิดการรวั่ ไหลหรอื ละเมดิ บรษิ ทั อาจมี ภาระตอ งบรหิ ารจัดการปญหาภายในองคก รทอ่ี าจเกดิ ขึน้ ตามมา ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอยและคอนขา งจำกดั

ตวั อยางการเฝาระวังการปฏบิ ตั ิงานของพนกั งานบรษิ ทั 2728 บรษิ ัทจัดเกบ็ ขอ มลู กจิ กรรมตา งๆของพนกั งานเพ่ือการเฝา ระวงั (systematic

monitoring) รวมถึง การน่ังทำงานที่โตะ ทำงาน หรอื การใชง านอินเทอรเนต็ เปน ตน [Identifiability] การจดั เก็บขอมลู ดงั กลาวยอ มระบุถึงตัวบคุ คลเจาของขอ มลู ได

โดยตรง

27 NIST SPECIAL PUBLICATION 800-122, at 3.3.2

28 Article 29 Data Protection Working Party (WP29) Guidelines on Data Protection Impact Assessment

(DPIA) (wp248rev.01), p.11

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 43

[Volume] ขอ มลู มปี รมิ าณมาก [User Access and Activity] ขอ มลู สามารถเขา ถงึ ไดจ ากผูบ รหิ ารตามสายงาน ซ่ึง ถอื วา คอ นขา งเปด โอกาสใหมีการเขา ถงึ ไดง า ย [Adverse Effects to Data Subjects] ขอ มลู สว นบุคคลทีจ่ ดั เก็บไวอ าจสราง ผลกระทบทำใหเ กดิ ความอับอาย เชน ขอ มูลการเขา ออกกอ นเวลาทำงาน หรอื การเขา ถึง เวบ็ ไซตท ไ่ี มเ หมาะสม หรอื พฤติกรรมอน่ื ๆท่ีอาจตรวจพบ ทำใหอาจไมสามารถใชช ีวิตอยาง ปกตสิ ุขอกี ตอ ไปได [Adverse Effects to Organization] หากเกิดการร่วั ไหลหรอื ละเมดิ จะสงผลเปน การทำลายความไววางใจในองคก ร บริษทั อาจตอ งรับผดิ ชอบชดเชยความเสยี หาย และรบั ผดิ ตามกฎหมายทเี่ ก่ยี วของซ่ึงมคี วามเปนไปไดต างๆนาๆ ระดับความเสีย่ ง: สูง เพราะมผี ลกระทบรายแรง จำเปน ตอ งทำ DPIA ตอไป

ตวั อยางทำโปรไฟลขอมลู สื่อสังคมออนไลน 2829 บริษัทจัดเก็บขอ มลู สื่อสงั คมออนไลนส าธารณะเพื่อจดั ทำโปรไฟลง่ิ (profiling) [Identifiability] การจดั เกบ็ ขอ มลู ดงั กลา วยอมระบุถงึ ตวั บคุ คลเจา ของขอ มลู ได

โดยงาย [Volume] ขอ มลู มปี รมิ าณมาก [User Access and Activity] ขอ มลู ถกู ใชเ พือ่ การทำงานของบริษทั เกอื บทง้ั หมด

โดยไมไ ดมกี ารแฝงขอ มูล (pseudonymization) หรอื ผสมขอมลู (aggregation) เพอื่ ไมใ ห ระบตุ วั บคุ คลเจาของขอมูลได นอกจากนย้ี งั มกี ารเชือ่ มโยงขอมูลระหวางชดุ ขอมูลโดยตลอด

[Adverse Effects to Data Subjects] ขอ มลู สว นบคุ คลบนส่อื สังคมออนไลนม ี ลักษณะเปน ขอมูลสว นบคุ คลท่ีเปน เรือ่ งสวนตัวโดยแทของบคุ คล มคี วามละเอยี ดออนและสมุ เสย่ี งตอ การถกู ใชใ นการเลอื กปฏิบตั ิอยา งไมเปน ธรรม

29 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11 44 Thailand Data Protection Guidelines 3.0

[Adverse Effects to Organization] หากเกดิ การรว่ั ไหลหรือละเมดิ จะสง ผลเปน การทำลายความไววางใจในองคก ร บริษทั อาจตอ งรับผิดชอบชดเชยความเสยี หาย และรับผิด ตามกฎหมายท่ีเกี่ยวของซง่ึ มีความเปนไปไดม ากมาย

ระดับความเสย่ี ง: สูง เพราะมีผลกระทบรายแรง จำเปนตอ งทำ DPIA ตอ ไป

ตวั อยางขอ มูลการรายงานการประพฤตมิ ชิ อบ 2930 ฐานขอมลู จดั เก็บการรองเรยี นการประพฤตมิ ิชอบ ซ่งึ บางรายการเกย่ี วขอ งกับฐาน

ความผดิ รายแรง เชน การกลา วหาวารับสนิ บน หรือการละเลยไมบงั คบั ใชม าตรการเพอื่ ความ ปลอดภัย นอกจากนย้ี ังมกี ารจดั เกบ็ ขอมลู ชอื่ ที่อยเู พือ่ การติดตอ ซึง่ ผรู อ งเรยี นกม็ กั จะกรอก ขอมลู สวนบคุ คลไวให โดยเวบ็ ไซตน จี้ ัดเกบ็ IP Address และเว็บไซตอ างอิงดว ย

[Identifiability] แมร ะบบจะไมไดก ำหนดใหผ ใู ชงานตองใหขอมลู สวนบุคคล แต ผใู ชง านจำนวนมากเลอื กทจ่ี ะใหขอ มลู สว นบคุ คลเอาไว นอกจากนย้ี งั จัดเกบ็ IP Address แม จะไมไ ดเ ช่อื มโยงขอมลู อื่นเพอื่ ระบตุ วั บุคคลเอาไว

[Volume] ขอมลู ประมาณ 50 รายการมีขอ มลู สวนบุคคลจากทั้งหมดประมาณ 1,000 รายการ

[User Access and Activity] ขอ มูลสามารถเขาถึงไดจ ากผูท่ีมีหนา ทตี่ รวจสอบเรือ่ ง รองเรยี นซึ่งมีจำนวนนอย โดยเปน การเขา ถึงภายในองคก รเทานัน้

[Adverse Effects to Data Subjects] ขอมลู สวนบคุ คลทจ่ี ดั เกบ็ ไวม ี ชอื่ ท่อี ยู อีเมล และเลขหมายโทรศพั ท ซ่งึ มคี วามออนไหวในแงท ีบ่ คุ คลตามขอ มลู ดังกลา วอาจไดร ับ ผลกระทบรายแรง เชน การแบลค็ เมล ความเครยี ดขั้นรนุ แรง การออกจากงาน หรอื อาจไดร บั อันตรายแกก ายหรือจิตใจ

[Adverse Effects to Organization] หากเกดิ การรัว่ ไหลหรือละเมดิ จะสงผลเปน การทำลายความไวว างใจในองคกร บรษิ ัทอาจตองรบั ผิดชอบชดเชยความเสยี หาย และรับผดิ ตามกฎหมายท่ีเกยี่ วของ

ระดับความเสย่ี ง: สูง เพราะมีผลกระทบรา ยแรง จำเปนตอ งทำ DPIA ตอไป

30 NIST SPECIAL PUBLICATION 800-122, at 3.3.3 45 ศูนยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั

ตัวอยา งสงอเี มลขา วสารประจำวันเพ่ือการประชาสมั พนั ธ 3031 บรษิ ทั จดั เกบ็ อเี มลข องผเู ขา ชมเวบ็ ไซตเพอ่ื จดั สงอเี มลขาวสารประจำวัน (daily

digest) แกผสู มัคร [Volume] ขอมลู มปี ริมาณมาก [Identifiability] การจัดเกบ็ ขอมลู ดังกลา วยอ มระบุถึงตัวบคุ คลเจาของขอมูลได

โดยงา ย [User Access and Activity] ขอมลู ถกู ใชเ พ่อื การสงอีเมลขา วโดยระบบอัตโนมตั ิ

และไมไดเ ชอ่ื มโยงไปยังระบบอ่ืนๆ [Adverse Effects to Data Subjects] ขอมลู อีเมลดังกลาวทำใหเ กดิ ความรำคาญ

สำหรับผทู ไี่ มประสงคจะรับอเี มลขา วดังกลาว [Adverse Effects to Organization] หากเกิดการรั่วไหลหรือละเมดิ บรษิ ัทอาจมี

ภาระตอ งดำเนินการและรับผดิ ชอบตามกฎหมายคมุ ครองขอมูลสวนบุคคล ระดับความเส่ียง: ต่ำ เพราะมผี ลกระทบนอ ยและคอนขางจำกัด

B2.15 [Data Protection] ผปู ระกอบการตอ งมกี ระบวนการข้นั ตอนรองรบั การคุมครองขอมูลสวน บุคคลใหเหมาะสมตามความเสย่ี งและความรายแรงของผลกระทบ (1) เง่ือนไขการเขาถึงขอ มลู สวนบคุ คล เชน การกำหนดช้นั ขอมลู การจำกดั การเขาถงึ ขอมลู สว นบคุ คล รวมถึงการควบคมุ การเขาถงึ ขอ มูลตาม เวลา สถานท่ี และบทบาทของผูเ ขา ถงึ ขอมลู และรบั ผดิ ชอบ เปนตน (2) กระบวนการรองรับการเกบ็ รักษาขอมลู สวนบคุ คลทางกายภาพ (Physical Security) เชน - การกำหนดพน้ื ทเี่ พอ่ื ความปลอดภยั (secure areas) - การกำหนดหนวยเก็บขอ มลู เพือ่ ความปลอดภยั (secure storage) - การกำหนดกระบวนการกำจดั ขอ มลู และอุปกรณเพือ่ ความปลอดภยั (secure disposal) (3) กระบวนการรองรับการจดั การขอมูลสว นบคุ คลตลอดการพัฒนาระบบเทคโนโลยี สารสนเทศ เชน การแฝงขอมูล (pseudonymization) หรือการเขารหสั ขอ มลู (encryption) และการปลดระวางขอ มูล เปนตน

31 WP29 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01), p.11 46 Thailand Data Protection Guidelines 3.0

(4) แผนเผชญิ เหตเุ มื่อมกี ารรั่วไหลหรอื ละเมดิ ขอมูลสว นบุคคล (5) มาตรการเม่ือมกี ารไมปฏบิ ตั ติ ามขนั้ ตอนการคมุ ครองขอมลู สว นบคุ คล (6) กระบวนการฝกอบรมพนกั งาน

B2.16 ในกรณีที่จะมีการสงขอมูลสวนบุคคลไปยังตางประเทศหรือองคกรระหวางประเทศ

ผูประกอบการที่เปนผูควบคุมขอมูลหรือผูประมวลผลขอมูลจะตองทำใหแนใจวามีมาตรการ

คมุ ครองขอมูลสวนบคุ คลทีเ่ พยี งพอ (appropriate safeguards) และจะสามารถบังคับใชสิทธิ

ของเจาของขอมูล รวมทั้งมีมาตรการเยียวยาตามกฎหมายที่จะบังคับใชได 32 (รายละเอียดดู

31

สวน D5)

32 GDPR, Article 46.1

ศนู ยว์ จิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 47

B3. การประมวลผลขอ มลู สวนบคุ คลท่ีมคี วามออ นไหวเปน พิเศษ (Special Categories or Sensitive Data)

B3.1 การประมวลผลขอ มูลสว นบคุ คลที่เก่ียวกับเชอื้ ชาติ เผา พนั ธุ ความคดิ เห็นทางการเมอื ง ความเชื่อ ในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูลสหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใดซึ่งกระทบตอเจาของ ขอมูลสวนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศ กำหนด โดยหลักจะตองไดร บั ความยินยอมโดยชัดแจง จากเจาของขอมลู สว นบุคคล เวนแตจะมี ขอยกเวนตามที่กฎหมายกำหนด3233 โปรดดูรายละเอียดของขอยกเวนหรือเงื่อนไขพิเศษของการ ประมวลผลขอ มลู ออนไหวเพิม่ เติมไดท่หี ัวขอ G ของคูมือฉบับน้ี (1) [คำอธิบายทั่วไป] กฎหมายไมไดกำหนดคำเรียกขอมูลขางตนไวอยางชัดเจน แตใน วงการคุมครองขอมูลสวนบุคคลจะเรียกขอมูลประเภทดังกลาววา “ขอมูลออนไหว (sensitive data)” กันอยางแพรหลาย สวน GDPR ไดเรียกขอมูลประเภทดังกลาววา “ขอมลู สว นบคุ คลประเภทพเิ ศษ (special categories of personal data)”34 (2) [ขอสังเกตเกี่ยวกับประเภทขอมูล] ประเภทของขอมูลออนไหวตามกฎหมายไทย มี ความแตกตา งจาก GDPR เล็กนอ ย คือ (2.1) GDPR ไดแยกขอมูลประเภทประวัติอาชญากรรม (personal data relating to criminal convictions and offences) ไวเปนขอมูลอีกประเภทหนึ่ง โดย จะตองไดรับการประมวลผลโดยหนวยงานเฉพาะที่กฎหมายกำหนด และภายใต กฎหมายเฉพาะที่ถูกสรางขึ้นเพื่อการปกปองคุมครองสิทธิเสรีภาพของเจาของ ขอมูลสวนบุคคลอยางเพยี งพอ (appropriate safeguard) แตตามกฎหมายไทย ขอมลู ประวตั อิ าชญากรรมถือเปนขอมลู ออ นไหวเชน กันและโดยหลักจะตอ งไดร บั ความยินยอมโดยชัดแจงกอนถึงจะสามารถประมวลผลขอมูลไดซึ่งจะไดอธิบาย ตอ ไป

33 พระราชบญั ญตั คิ มุ ครองขอ มลู สว นบุคคล พ.ศ. 2562 มาตรา 26, 27 34 GDPR, Article 9 48 Thailand Data Protection Guidelines 3.0

(2.2) GDPR ไมไดกำหนดวาขอมูลความพิการเปนขอมูลสวนบุคคลประเภทพิเศษ

อยา งไรก็ดี ขอมูลความพกิ ารกถ็ อื เปน ขอ มลู สขุ ภาพ (data concerning health)

ประเภทหนงึ่ 3435

(3) [เหตุผลที่ขอมูลไดรับความคุมครองเปนพิเศษ] เหตุผลที่กฎหมายไดกำหนดใหขอมูล

ออนไหวนน้ั จะตอ งไดรบั การจดั การเปน พเิ ศษและไดรบั ความคมุ ครองมากกวาขอมูลสวน

บุคคลปกติ คอื การประมวลผลขอ มูลสว นบคุ คลประเภทขอ มูลออ นไหวนน้ั อาจกอ ใหเกิด

ความเสี่ยงอยางแจงชัดตอสิทธิเสรีภาพของบุคคล เชน สิทธิเสรีภาพในความคิด ความ

เชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตรางกาย การอยูอาศัย การไมถูก

เลือกปฏบิ ัติ เปนตน ซึ่งการประมวลผลขอมลู สวนบุคคลประเภทขอมูลออ นไหวนั้น อาจ

กอ ใหเ กดิ การแทรกแซงซึ่งสทิ ธิเสรภี าพ การเลอื กปฏิบัตติ อ การใชส ิทธเิ สรีภาพของบุคคล

ได 36 ทั้งนี้ โดยไมไดคำนึงถึงความออนไหวตามธรรมชาติของขอมูล เชน ขอมูลทางการ 35

เงิน ขอมูลสวนตัวบางประการ แมจะมีความออนไหวก็ตามแตก็ไมถือวาการประมวลผล

ขอมูลดังกลาวจะทำใหเกิดการกระทบตอสิทธิเสรีภาพขั้นพื้นฐานของบุคคลที่ควรไดรบั

ความคุมครองตาม GDPR แตอยา งใด3637

B3.2 การพิจารณาวาขอมูลสวนบุคคลใดแมโดยสภาพจะสื่อใหเห็นถึงลักษณะที่เปนขอมูลออนไหว

(เชน ชื่อที่มีลักษณะเฉพาะของศาสนาหรือรูปภาพบุคคลที่ทำใหส่ือใหเห็นถึงเชื้อชาติหรือความ เชื่อทางศาสนาได) แตไมใชทุกกรณีที่ขอมูลดังกลาวจะเปนขอมูลออนไหว ตองพิจารณาวา “กิจกรรม” การใชหรือประมวลผลขอมูลสวนบุคคลดังกลาวใชเพื่อวัตถุประสงคใด หากถูกใช เพื่อวัตถุประสงคในการบงชี้สิ่งที่ขอมูลนั้นเปน เชน เชื้อชาติหรือศาสนา เปนตน ก็จะทำใหการ

ประมวลผลในลักษณะดังกลาวเปนการประมวลผลขอมูลสวนบุคคลประเภทขอมูลออนไหว แต

หากถูกใชเ พอื่ การยืนยนั ตวั ตนหรือระบตุ วั ตนเฉยๆ กรณีดังกลา วจะถือเปน การประมวลผลขอมูล

35 GDPR, Recital 3

36 GDPR, Recital 51

37 Information Commissioner’s Office, Guideline to GDPR - Lawful basis for processing Special category

data, 2019 at //ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-

กระทู้ที่เกี่ยวข้อง

กฎหมายแรงงานให ม ว นหย กป ละก ว น

Toplist

โพสต์ล่าสุด

แท็ก

แปลภาษาไทย ไทยแปลอังกฤษ โปรแกรม-แปล-ภาษา-อังกฤษ พร้อม-คำ-อ่าน ห่อหมกฮวกไปฝากป้าmv แปลภาษาอาหรับ-ไทย lmyour แปลภาษา ข้อสอบคณิตศาสตร์ พร้อมเฉลย แปลภาษาอังกฤษเป็นไทย pantip ระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 แอพแปลภาษาอาหรับเป็นไทย ห่อหมกฮวกไปฝากป้า หนังเต็มเรื่อง แปลภาษาเวียดนามเป็นไทยทั้งประโยค Google Translate การ์ดแคปเตอร์ซากุระ ภาค 4 หยน อาจารย์ ตจต เมอร์ซี่ อาร์สยาม ล่าสุด ศัพท์ทหาร ภาษาอังกฤษ pdf ห่อหมกฮวกไปฝากป้า คาราโอเกะ app แปลภาษาไทยเป็นเวียดนาม การ์ดแคปเตอร์ซากุระ ภาค 3 บบบย ศัพท์ทหารบก แปลภาษาจีน การประปาส่วนภูมิภาค การ์ดแคปเตอร์ซากุระ ภาค 1 ขุนแผนหลวงปู่ทิม มีกี่รุ่น ชขภใ ตม.เชียงใหม่ เซ็นทรัลเฟสติวัล พจนานุกรมศัพท์ทหาร รหัสจังหวัด อําเภอ ตําบล รหัสประจำจังหวัด 77 จังหวัด สอบโอเน็ต ม.3 จําเป็นไหม หนังสือราชการ ตัวอย่าง ห่อหมกฮวกไปฝากป้า คอร์ด อเวนเจอร์ส ทั้งหมด แปลภาษา มาเลเซีย ไทย ไทยแปลอังกฤษ ประโยค ่้แปลภาษา Egp G no Reconguista Google map ขุนแผนหลวงปู่ทิมรุ่นแรก ข้อสอบภาษาไทยพร้อมเฉลย ข้อสอบโอเน็ต ม.3 ออกเรื่องอะไรบ้าง ค้นหา ประวัติ นามสกุล จองคิว ตม เชียงใหม่ ชื่อเต็ม ร.9 คําอ่าน ดีแม็กมือสองราคาไม่เกิน350000 ตัวอย่างรายงานการประชุมสั้นๆ