ถาม-ตอบ PDPA จากห้องเรียน Chula MOOC (2565) - คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

คำถามจากห้องเรียน Chula MOOC หลักสูตรกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ปฏิบัติงานในหน่วยงานและองค์กรธุรกิจ รุ่นที่ 5 (มี.ค. 2565 – มี.ค. 2566)

ดำเนินการจัดการเรียนการสอนโดยคณาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

A: ใช่ เป็นไปตามมาตรา 5

A: ใช่ ทั้งนี้ การปรับใช้กฎหมายของประเทศใดย่อมขึ้นกับเขตอำนาจและเงื่อนไขของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นด้วย

A: ใช่ กรณีตัวอย่างเป็นไปตามมาตรา 5 วรรคสอง (1)

A: บริษัทต้องขอความยินยอมจากพนักงาน ลายนิ้วมือเป็นข้อมูลชีวภาพจัดเป็นข้อมูลส่วนบุคคลที่มีความ
อ่อนไหว (Sensitive data)

A: ผู้เยาว์สามารถให้ความยินยอมเองได้เมื่อบรรลุนิติภาวะตามประมวลกฎหมายแพ่งและพาณิชย์ หลักเกณฑ์
การให้ความยินยอมของผู้เยาว์เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 20 วรรค
แรก

A: ใช้ฐานสัญญา โดยต้องพิจารณาว่าข้อมูลส่วนบุคคลในใบเสนอราคาจำเป็นต่อการปฏิบัติตามสัญญาต่อไปใน
อนาคตหรือไม่ ถ้าไม่ใช่ข้อมูลที่จำเป็นต่อการปฏิบัติตามสัญญาก็จะเป็นฐานความยินยอม และวิศวกรของบริษัท
B กระทำการภายใต้และเพื่อประโยชน์ของนิติบุคคล B วิศวกรของบริษัท B ถือเป็นบริษัท B

A: ต้องพิจารณาว่าข้อมูลส่วนบุคคลเป็นข้อมูลใด ถ้าเป็นชื่อ-นามสกุล เบอร์โทรศัพท์ เพื่อใช้ในการติดต่อถือได้
ว่าจำเป็นต่อการติดต่อคู่สัญญาเพื่อมอบใบเสนอราคา แต่ถ้าเกิดเป็นกรุ๊ปเลือด เลขบัตรประชาชน หรือเพศ
สภาพ อาจไม่ถือว่าจำเป็นต่อการปฏิบัติตามสัญญา ต้องใช้ฐานความยินยอม

A: มาตรฐานจริยธรรมการวิจัยเป็นไปตามมาตรา 24 (1) เป็นกรณีที่กฎหมายกำหนดไว้หากคณะกรรมการจริยธรรมการวิจัยกำหนดให้ต้องขอความยินยอมก็ต้องดำเนินการไปตามนั้นเป็นกฎหมายที่ระบุไว้ให้สอดรับกันไม่ใช่กรณีใช้ฐานอื่นได้ ซึ่งส่วนใหญ่เป็นกรณีที่มีการเก็บรวบรวมข้อมูลใหม่ กรณีที่ใช้ฐานอื่นเช่น เพื่อผลประโยชน์โดยชอบธรรม หรือภารกิจของรัฐ มักจะเป็นกรณีที่นำเอาข้อมูลเดิมมาทำการวิเคราะห์จัดทำนโยบายหรือสำรวจตรวจสอบจากข้อมูลที่มีอยู่ ซึ่งโดยนิยามไม่ใช่การวิจัยตามความหมายนี้

A1: บริษัทผู้ตรวจสอบบัญชีเป็นผู้ควบคุมข้อมูลส่วนบุคคล
A2: บริษัททั้งสองอาจมีการทำสัญญาตกลงการใช้ข้อมูลร่วมกัน (Data sharing agreement) ได้ ทั้งนี้ ข้อความตามสัญญารักษาความลับของลูกค้าจะเป็นไปตามมาตรฐานทางบัญชี ไม่เกี่ยวกับกับความเพียงพอในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

A: ต้องพิจารณารายละเอียดในสัญญาระหว่างบริษัทและนักวิจัย หากงานวิจัยเป็นไปเพื่อประโยขน์ของบริษัทหรืองานวิจัยเป็นทรัพย์สินทางปัญญาของบริษัท บริษัทอาจเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้โดยนักวิจัยอาจทำไปในนามของบริษัทและบริษัทมีความรับผิดเมื่อข้อมูลส่วนบุคคลรั่วไหล หากกรณีมีความชัดเจนว่าเป็นหน่วยงานภายนอกไม่เกี่ยวข้องกับบริษัท บริษัทเพียงให้ทุนสนับสนุนเท่านั้น ก็จะไม่มีประเด็นต้องร่วมรับผิดแต่อย่างใด

A: ใช่

A: ไม่ควรอธิบายในลักษณะนั้น ควรจะอธิบายว่ามีฐานทางกฎหมาย 7 ฐาน การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปตามฐานใดฐานหนึ่ง

A1: โดยลักษณะเป็นการขอความยินยอมตามสภาพงาน
A2: ใช่
A3: ควรเข้าใจด้วยว่าเราไม่สามารถตัดข้อมูลบางส่วนแล้วสรุปว่าไม่ใช่ข้อมูลส่วนบุคคลได้ เพราะนิยามของข้อมูล
ส่วนบุคคลมีความกว้างขวางมาก โดยสภาพการวิเคราะห์พฤติกรรมการซื้อสินค้า จะเข้าใจว่าเป็นการทำ
profling ของลูกค้า ซึ่งโดยหลักเป็นกิจกรรมที่ต้องขอความยินยอม

A: โดยทั่วไป Privacy Policy เป็นเอกสารอ้างอิงใช้อธิบายภาพรวมในการประมวลผลข้อมูลส่วนบุคคลขององค์กรหรือหน่วยงานนั้น ๆ แต่ Pivacy Notice เป็นเอกสารที่มีการอธิบายการประมวลผลข้อมูลส่วนบุคคลในกิจกรรมใดกิจกรรมหนึ่ง โดยบริษัทควรพิจารณาจัดให้มีทั้ง Privacy Policy และ Privacy Notice ทั้ง 2 อย่างตามความเหมาะสมแต่ละสถานการณ์

A: โดยหลักคนทั่วไปคาดหมายได้ว่าจะมีการถ่ายภาพ บันทึกวิดิทัศน์ ในงานสัมมนาหรืองานอีเว้นท์ ผู้เข้าร่วมงานย่อมเห็นว่ามีช่างภาพ อุปกรณ์ การถ่ายภาพบรรยากาศงานจึงไม่ต้องขอความยินยอม อย่างไรก็ดี เจ้าของข้อมูลส่วนบุคคลอาจไม่ยอมให้เผยแพร่ภาพหรือแจ้งให้เอาภาพออกได้ เจ้าภาพ/หน่วยงาน/บริษัท ควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลเฉพาะการจัดงาน เพื่ออธิบายและรับเรื่องดังกล่าว กรณีจึงเป็นการติดต่อกับตัวบุคคลร่วมงานเป็นสำคัญ ไม่ใช่บริษัทคู่ค้า

A: ท่านควรพิจารณาความจำเป็นของข้อมูลนั้นก่อน เมื่อสามารถระบุได้แล้วก็จะทราบฐานการประมวลผลที่ใช้โดยสภาพจึงไม่ใช่เรื่องการขอความยินยอม แต่หากท่านไม่มีความจำเป็นแล้ว ต้องลบทำลายข้อมูลนั้นต่อไป

A: การตรวจสอบประสิทธิภาพการทำงานโดยสภาพไม่เกี่ยวข้องโดยตรงกับพฤติกรรมของบุคคลที่หลับในเวลาทำงาน หรือมีพฤติกรรมอะไรในที่ทำงาน การติดตามพฤติกรรมของบุคคล (behavior monitoring) เป็นสิ่งที่เข้าขายละเมิดสิทธิความเป็นส่วนตัวได้ง่าย ท่านควรพิจารณาตรวจสอบประสิทธิภาพของงานตามหลักoutput/input เป็นสำคัญ ไม่ควรใช้เกณฑ์ที่ห่างไกลจากสิ่งที่ต้องการ

A: เฉพาะกรณีลูกค้าบุคคลธรรมดาต้องทำแบบฟอร์มขอความยินยอม (Consent form)

A: ไม่สามารถใช้นโยบายคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการ (Binding corporate rule: BCR) ได้ แต่ต้องใช้ข้อสัญญามาตรฐาน (Standard Contractual Clauses: SCC)

A: โดยปกติแล้วกรณีนี้จะไม่เกิดขึ้น แต่ละมหาวิทยาลัยจะมีการเก็บข้อมูลส่วนบุคคลเฉพาะรายชื่อผู้สำเร็จการศึกษาและใบประเมินผลการเรียนของผู้สำเร็จการศึกษาเอาไว้อยู่แล้ว แต่หากมีอุบัติเหตุดังกล่าว น.ส. ก จะมีสิทธิเรียกร้องเอากับจุฬาฯ หรือมหาวิทยาลัยอื่น ๆ ได้หรือไม่ โดยหลักการย่อมทำได้

A1. คนไข้ คือ เจ้าของข้อมูลส่วนบุคคล แต่โรงพยาบาลหรือแอพพลิเคชันจะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น ต้องพิจารณาว่าหน่วยงานใดมีอำนาจในการประมวลผลข้อมูลส่วนบุคคลได้อย่างอิสระ หน่วยงานนั้นจึงจะเป็นผู้ควบคุมข้อมูลส่วนบุคคล
A2 – A3. จะเป็นการโอนย้ายข้อมูลส่วนบุคคลไปยังต่างประเทศหรือไม่ มีการถ่ายโอนข้อมูลส่วนบุคคลจากประเทศหนึ่งไปยังอีกประเทศหนึ่งหรือไม่ ผู้ส่งและผู้รับต้องอยู่คนละประเทศ) ไม่ต้องพิจารณาถึงสัญชาติของเจ้าของข้อมูลส่วนบุคคล

A1: ถือว่าจุฬาลงกรณ์มหาวิทยาลัยเป็นหนึ่งนิติบุคคล แต่ในทางปฏิบัติจะมีการแยกส่วนงานย่อยและเรียกแต่ละส่วนงานนั้นเป็น 1 entity แต่มีความหมายเป็นการใช้งานภายในเท่านั้น
A2. โดยหลักไม่สามารถส่งต่อได้ ถ้าไม่ได้ขอความยินยอมไว้ก่อน

A: จุฬาลงกรณ์มหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบหลัก กรณีจำกัดความรับผิดได้หรือไม่เพียงใดเป็นการบริหารจัดการและควบคุมของหน่วยงาน แต่ไม่สามารถอ้างยันบุคคลภายนอกได้

A: โดยหลักคนทั่วไปคาดหมายได้ว่าจะมีการถ่ายภาพ บันทึกวิดิทัศน์ ในงานสัมมนาหรืองานอีเว้นท์ ผู้เข้าร่วมงานย่อมเห็นว่ามีช่างภาพ อุปกรณ์ การถ่ายภาพบรรยากาศงานจึงไม่ต้องขอความยินยอม อย่างไรก็ดี เจ้าภาพหน่วยงาน/บริษัท ควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลเฉพาะการจัดงาน เพื่ออธิบายฐานการประมวลผลเพื่อผลประโยชน์โดยชอบธรรม

A: สามารถจัดทำเป็นสัญญาประมวลผลข้อมูลส่วนบุคคลร่วมกัน (Data Processing Agreement: DPA) ได้ ทำให้บริษัทสามารถตรวจสอบการดำเนินการและให้ผู้ประมวลข้อมูลรับผิดได้เมื่อไม่ปฏิบัติตามข้อตกลง

A: กรณีดังกล่าวเป็นกรณีที่ค่อนข้างพิเศษเฉพาะมากและเป็นการใช้ข้อมูลอ่อนไหว หากไม่ใช่ภารกิจรัฐเพื่อประโยชน์สาธารณะที่สำคัญ โดยหลักย่อมไม่สามารถทำได้ และไม่แนะนำให้ทำโดยลำพัง

A: ใช่ เป็นกระบวนการเชิงองค์กรที่หน่วยงานควรออกแบบตามความเหมาะสม

A: กรณีจะมีการฟ้องคดีหรือไม่ในอนาคต โดยหลักจะอยู่ในระยะเวลาจัดเก็บ (retention policy) หรือระเบียบสารบรรณหากเป็นหน่วยงานราชการอยู่แล้ว กรณีที่ท่านจะทำแตกต่างไปจากระยะเวลาดังกล่าว คือ กรณีที่มีคดีหรือเหตุให้ต้องดำเนินการทางคดีขึ้น

A: ไม่เป็นการส่งข้อมูลส่วนบุคคลออกนอกประเทศ สามารถศึกษาเพิ่มเติมได้จาก TDPG3.0-F

จัดทำโดย

ผู้จัดการโครงการ

รศ. ดร. พัฒนาพร โกวพัฒนกิจ

คณาจารย์ผู้สอน

รศ.ดร. ปิยะบุตร บุญอร่ามเรือง
ผศ.ดร. พีรพัฒ โชคสุวัฒนสกุล
ผศ.ดร. ปิติ เอี่ยมจำรูญลาภ

นิสิตผู้ช่วย

พีรณุช ยาโตปะมา