คำถามจากห้องเรียน Chula MOOC หลักสูตรกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ปฏิบัติงานในหน่วยงานและองค์กรธุรกิจ รุ่นที่ 1-4 (ส.ค.-ต.ค. 2564)

ดำเนินการจัดการเรียนการสอนโดยคณาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

A: โดยหลักคือนับแต่วันที่ทราบถึงเหตุการณ์ที่ข้อมูลถูกละเมิด โดยสามารถประเมินเบื้องต้นก่อนได้และรายงานเท่าที่ทราบก่อน และเมื่อได้รับผลสอบสวนทางดิจิทัลมาแล้วจึงเพิ่มเติมรายละเอียดในภายหลัง

A: ขึ้นอยู่กับโครงสร้างองค์กร หน้าที่หลัก 4 ข้อของ DPO คือ 1.ให้คำแนะนำ 2. ตรวจสอบ 3. ประเมินความเสี่ยง 4. ประสานงานกับคณะกรรมการ ฯ โดยต้องมีความรู้เรื่อง PDPA และรู้ business operation ว่าข้อมูลในองค์กรเป็นอย่างไรบ้าง และอาจจะมีส่วนที่เกี่ยวกับงาน IT ด้วย DPO เป็น second-line of defence คล้ายกับ compliance ฝ่ายสนับสนุนจึงอาจสามารถมาจากฝ่ายกฎหมาย IT หรือ compliance แต่ไม่ควรใช้คนจาก first-line of defence เพื่อป้องกันการขัดกันของผลประโยชน์

A1: ต้องแจ้ง
A2: ถ้าเป็น necessary cookie เพียงกดรับทราบก็เพียงพอ ไม่จำเป็นต้องให้กดตกลงหรือยกเลิก แต่ถ้าเป็น cookie ที่ไม่จำเป็น จะต้องขอความยินยอมโดยอาจรวมขอความยินยอมทั้ง cookie ที่จำเป็นและไม่จำเป็น

A: สามารถอยู่ในเอกสารชุดเดียวกันได้แต่ต้องแยกส่วนชัดเจนเพียงพอให้เจ้าของข้อมูลส่วนบุคคลเข้าใจได้ว่าหากไม่ให้ความยินยอมในส่วนหนึ่งก็ไม่มีผลต่อสัญญาในส่วนอื่น ๆ

A: ควรขอความยินยอมเพราะอาจจะมีพนักงานบางคนที่ไม่สะดวกใจที่จะให้บริษัทรู้วันเดือนปีเกิด

A: โดยหลักต้องระบุรายละเอียดข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม แต่หากมีข้อมูลมากอาจใช้การจัดแบ่งหมวดหมู่และระบุข้อมูล เช่น…เป็นต้น ได้

A: การระบุว่าเท่าที่จำเป็นอาจกว้างเกินไปและไม่ชัดเจน โดยหลักให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม เช่น ระยะเวลาตามกฎหมาย ทางบัญชี ระเบียบการทำงาน เป็นต้น สามารถศึกษาเพิ่มเติม TDPG 3.0 – D1.5

A: สามารถทำได้ ตามมาตรา 23(4) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ แจ้งรายละเอียดประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย

A: สามารถตรวจสอบตัวตนได้โดยการพิจารณาเอกสารที่เกี่ยวข้องเพื่อระบุตัวตนว่าเป็นเจ้าของข้อมูลส่วนบุคคลที่แท้จริงหรือเป็นผู้ที่มีอำนาจในการดำเนินการแทนเจ้าของข้อมูลส่วนบุคคล และอาจพิจารณาเก็บข้อมูลเท่าที่จำเป็นเกี่ยวกับการพิจารณายืนยันตัวตน เช่น log ในการขอใช้สิทธิ วัน เวลา รูปแบบคำขอ ผลสำเร็จในการตรวจสอบตัวตน เพื่อเป็นหลักฐานไว้พิสูจน์ความน่าเชื่อถือและมาตรการในการตรวจสอบตัวตน สามารถศึกษาเพิ่มเติม TDPG 3.0 – D3.2

A:เป็นการบันทึกรายการกิจกรรมการประมวลผลทุกกิจกรรม โดยไม่ได้กำหนดให้ต้องทำแบบ Real Time

A: ฝ่ายบุคคลสามารถขอความยินยอมเจ้าของข้อมูลเพื่อตรวจสอบข้อมูลประวัติอาชญากรรมผ่านกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติได้

A: ต้องมีการดำเนินการโดยอาจทำเป็นข้อตกลงหรือมาตรการอื่นใด เพื่อป้องกันมิให้ผู้ที่รับข้อมูลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตามมาตรา 37(2) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: ต้องพิจารณาช่องทางที่ติดต่อสื่อสารกับเจ้าของข้อมูลส่วนบุคคลโดยปกติเป็นหลักเพราะวัตถุประสงค์ในการประชาสัมพันธ์คือเพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบถึงสิทธิของตน

A: บริษัทยังคงมีหน้าที่ในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลส่วนบุคคลมาใช้สิทธิโดยสามารถขอเข้าถึงและขอรับสำเนาข้อส่วนบุคคลของตนได้ทั้งหมด เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลจะมีเหตุปฏิเสธ อย่างไรก็ตามหากการใช้สิทธิเข้าลักษณะชัดแจ้งว่ามาก่อกวนหรือใช้สิทธิเกินส่วนก็อาจคิดค่าใช้จ่ายได้

A: เจ้าของข้อมูลส่วนบุคคลสามารถเรียกค่าสินไหมทดแทนที่แท้จริง รวมถึงค่าใช้จ่ายที่ได้ใช้จ่ายไปตามความจำเป็นเพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วยเจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานฯ สามารถศึกษาเพิ่มเติม TDPG 3.0 – D5

A: นับแต่วันที่ทราบเหตุ ซึ่งก็คือ ตั้งแต่ที่ผู้ประมวลผลต้นทางทราบเหตุนั้นตามมาตรา 37(4) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: คำขอไม่สมเหตุสมผล (unfounded) ต้องเป็นคำขอที่ไม่สมเหตุสมผลตั้งแต่แรกที่มีการร้องขอ เช่น ผู้ร้องขอไม่มีสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล หรือผู้ควบคุมข้อมูลไม่ได้มีหรือจัดเก็บหรือประมวลผลข้อมูลชุดดังกล่าว คำขอสมเหตุสมผล เช่น ขอให้แก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน ขอให้ลบข้อมูลที่ไม่ถูกต้องออก

A: เป็นสิทธิของเจ้าของข้อมูลส่วนบุคคลในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องได้ (right to rectification)

A: Auditor สามารถดำเนินการกับข้อมูลได้ตามวัตถุประสงค์เพื่อการตรวจสอบมาตรฐานตามมาตรฐานการตรวจสอบและกฎหมายหรือกฎเกณฑ์ที่เกี่ยวข้อง โดยบริษัทอาจแจ้งให้เจ้าของข้อมูลทราบว่าจะมีการเปิดเผยข้อมูลให้กับ Auditor เพื่อการตรวจสอบมาตรฐาน กรณี sensitive data ตามมาตรา 26 หากมีความจำเป็นต้องตรวจสอบจริง ๆ และไม่มีฐานการประมวลผลอื่น ก็จำเป็นต้องขอ consent

A: เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องไม่ว่าจะเป็น หนังสือรับรองการประมวลผล, สำเนาข้อมูลส่วนบุคคลของตน, ข้อมูลเพิ่มเติม ส่วนกรณีที่เจ้าของข้อมูลส่วนบุคคลขอสำเนาข้อมูลส่วนบุคคลของตนหมายถึงสำเนาข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของผู้ควบคุมข้อมูลส่วนบุคคล ศึกษารายละเอียดเพิ่มเติม TDPG 3.0 – D3.6

A: บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่และความรับผิดตามกฎหมาย กรรมการในฐานะผู้แทนบริษัทจึงมีความรับผิดด้วยตามกฎหมาย

A: ทำได้ การทำ Data flow นั้นเป็นส่วนเสริมที่ทำให้เข้าใจกระบวนการดำเนินงานและจัดทำ ROPA ได้สะดวกมากยิ่งขึ้น โดยการทำบันทึกรายการ (ROPA) ต้องมีรายละเอียด ตามมาตรา 39 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: พิจารณาความจำเป็นและวัตถุประสงค์ของกิจกรรมว่าเป็นไปตามฐานโดยชอบด้วยกฎหมายใด

และหากหมดความจำเป็นแล้วก็ไม่ควรจัดเก็บต่อไป

A: โดยหลักคือให้แจ้งภายในเจ็ดสิบสองชั่วโมงนับแต่วันที่ทราบถึงเหตุการณ์การถูกโจมตีทางไซเบอร์ โดยสามารถประเมินเบื้องต้นก่อนว่ามีแนวโน้มถูกละเมิดข้อมูลส่วนบุคคลหรือไม่และรายงานเท่าที่ทราบก่อน แต่กรณีที่ประเมินแล้วว่าไม่มีความเสียหายเกิดขึ้น ก็ไม่ต้องแจ้งต่อคณะกรรมการ ฯ แต่ต้องเป็นกรณีที่มั่นใจจริง ๆ ว่าไม่มีความเสียหายเกิดขึ้น

A: การมี DPO ไม่ได้ทำให้หน้าที่และความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลหมดไป บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่และความรับผิดตามกฎหมาย กรรมการในฐานะผู้แทนบริษัทจึงต้องรับผิด

A: ขึ้นอยู่กับโครงสร้างองค์กร หน้าที่หลัก 4 ข้อของ DPO คือ 1.ให้คำแนะนำ 2. ตรวจสอบ 3. ประเมินความเสี่ยง 4. ประสานงานกับคณะกรรมการ PDPA โดยต้องมีความรู้เรื่อง PDPA และรู้ business operation ว่าข้อมูลในองค์กรเป็นอย่างไรบ้าง และอาจจะมีส่วนที่เกี่ยวกับงาน IT ด้วย DPO เป็น second-line of defence คล้ายกับ compliance ฝ่ายสนับสนุนจึงอาจสามารถมาจากฝ่ายกฎหมาย IT หรือ compliance แต่ไม่ควรใช้คนจาก first-line of defence เพื่อป้องกัน conflict of interest

A: ต้องพิจารณาเบื้องต้นก่อนว่ามีความจำเป็นมากน้อยเพียงใดในการเก็บข้อมูลดังกล่าว ซึ่งต้องพิจารณาถึงลักษณะตามความเป็นจริงและอ้างอิงมาตรฐานต่าง ๆ หรือ พิจารณาจากตำแหน่งงานนั้น ๆ ว่ามีความจำเป็นมากน้อยเพียงใด เช่น กิจกรรมนี้ต้องรักษาความปลอดภัยสูงจึงต้องใช้ลายนิ้วมือ (ใช้เพียง password ไม่เพียงพอ) ทั้งนี้ต้องชั่งน้ำหนักระหว่างความจำเป็นในการใช้ข้อมูลดังกล่าวกับการละเมิดข้อมูลส่วนบุคคล หากพิจารณาแล้วว่าไม่มีความจำเป็นต้องเก็บข้อมูลดังกล่าว และพนักงานปฏิเสธการให้ข้อมูล จนบริษัทอ้างเป็นเหตุเลิกจ้าง การเลิกจ้างด้วยเหตุดังกล่าวถือเป็นการเลิกจ้างที่ไม่เป็นธรรมตามกฎหมายแรงงาน

A: Retention period เป็นไปได้ที่จะกำหนดให้เก็บตลอดไป เช่น การเก็บข้อมูลเชิงประวัติศาสตร์หรือเพื่อประโยชน์สาธารณะ แต่สำหรับธุรกิจทั่วไปจะเก็บได้ก็ต้องมีเหตุความจำเป็น, ข้อมูลที่หมดความสำคัญจำเป็นแล้วก็ควรจะต้องลบออกไปแม้กระทั่งหน่วยงานของรัฐ เกี่ยวข้องกับ rights to be forgotten

A: ประเด็นนี้คือประเด็น impact ขณะประเมินความเสี่ยง แนะนำให้ประเมินแบบสูงไว้ก่อนเพื่อกำหนดมาตรการป้องกัน แต่ประเด็น likelihood ไม่สามารถตอบได้ เพราะต้องใช้ข้อเท็จจริงภายใน แต่คำตอบที่ถูกต้องจริง ๆ ควรถามผู้เชี่ยวชาญด้าน IT หรือทำ digital forensics

A: หากมีการเก็บข้อมูล แม้จะเป็นข้อมูลของพนักงาน เราสามารถแจ้งไว้ล่วงหน้าตั้งแต่วันทำสัญญาว่าหากมีการเข้าเว็บไซต์ก็จะเก็บข้อมูล แต่ถ้าแจ้งไม่ได้ก็สามารถขึ้นแบนเนอร์ได้ แต่ cookie consent ไม่แนะนำให้ใช้เพราะ ไม่ใช่ทุก cookie ที่ต้องขอความยินยอมแต่ต้องดูฐานการประมวลผล

A: มาตรา 95 ความยินยอมเดิมที่เก็บมาก่อนที่กฎหมายมีผลบังคับให้มีผลต่อไป แต่ขอบเขตความยินยอมต้องเป็นขอบเขตเดิม แต่หากตอนขอความยินยอมตอนแรกไม่ได้รวม cross sale ในขอบเขต ก็ไม่สามารถใช้ความยินยอมนอกขอบเขตได้หลังกฎหมายมีผลใช้บังคับ

A: หากข้อมูลที่เกิดขึ้นใหม่นั้นยังสามารถที่จะระบุไปยังเจ้าของข้อมูลส่วนบุคคลได้ ข้อมูลดังกล่าวยังคงเป็นข้อมูลส่วนบุคคล ส่วนการปฏิเสธการใช้สิทธิต้องพิจารณาว่ามีเหตุแห่งการปฏิเสธสิทธิตามกฎหมายหรือไม่

A: ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาก่อนที่กฎหมายมีผลใช้บังคับสามารถเก็บรวบรวมและใช้ต่อไปได้ตามวัตถุประสงค์เดิม ตามมาตรา 95 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: กรณีดังกล่าวอาจทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการให้ข้อมูลได้ การขอความยินยอมต้องทำโดยชัดเจนและชัดแจ้ง ตามมาตรา 19 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ และควรมีการกำหนดช่องทางรายละเอียดการถอนความยินยอมที่ง่ายเช่นเดียวกับการให้ความยินยอมด้วย หากบริษัทไม่ทำให้ชัดเจนอาจเกิดผลเสียหายจากการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

A: ขึ้นอยู่กับว่าการไม่กดรับยินยอมเป็นสาระสำคัญของการใช้บริการแอปพลิเคชันหรือเว็บไซต์หรือไม่

A: ควรขอความยินยอมและแจ้งวัตถุประสงค์ในการใช้ข้อมูลโดยชัดแจ้งแก่ลูกค้าทาง Facebook chat หรือ Line

A: ต้องพิจารณาว่ามีความจำเป็นที่ต้องเก็บลายนิ้วมือจริงหรือไม่ ซึ่งนโยบายของบริษัทอาจไม่ได้สื่อถึงความจำเป็นเสมอไป ต้องกำหนดด้วยลักษณะของงานตามความจริง อ้างอิงมาตรฐานต่าง ๆ เช่น กิจกรรมนี้ต้องรักษาความปลอดภัยสูงมากจึงต้องใช้ลายนิ้วมือ (หากใช้เพียง password จะไม่เพียงพอ) ทั้งนี้ ต้องชั่งน้ำหนักของการใช้ข้อมูลและการละเมิดข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาจดูตำแหน่งงานประกอบว่าจำเป็นจริงหรือไม่ หากไม่จำเป็นและพนักงานไม่ยินยอม การเลิกจ้างจะกลายเป็นการเลิกจ้างไม่เป็นธรรมตามกฎหมายแรงงานได้

A1: ควรขอก่อน

A2: ไม่ได้ รายละเอียดของ Consent จะต้องอยู่ในแบบฟอร์มขอความยินยอม แต่ข้อมูลส่วนอื่น ๆ สามารถระบุใน privacy notice หรือ privacy policy ได้

A: ดูลักษณะการประมวลผลว่าใช้ข้อมูลไปเพื่ออะไร ถ้าเพื่อยืนยันตัวตน ข้อมูลดังกล่าวจะไม่ใช่ข้อมูลอ่อนไหว แต่ถ้ามีการนำข้อมูลนั้นมาประมวลผลเพื่อดึงส่วนที่เป็นข้อมูลอ่อนไหวออกมา ก็จะเป็นการประมวลผลแบบ sensitive เริ่มต้นที่หลัก Data minimization กล่าวคือ บริษัทอาจจะออกแบบให้ไม่ต้องมีการเก็บข้อมูลก็ได้ หรือถามในลักษณะที่จะไม่สามารถตีความไปได้ เช่น การถามว่าไม่ทานหมูใช่หรือไม่ อาจเปลี่ยนเป็นถามว่าต้องการอาหารเมนูอะไร แต่หากจำเป็นต้องใช้จริงก็สามารถเก็บข้อมูลเหล่านั้นได้ ทั้งนี้ข้อมูลอย่างหนึ่งอาจตีความ (inferred/derived) ได้หลายกรณี เช่น รูปคนโพกหัว สามารถตีความเพียงยืนยันตัวบุคคลหรืออาจตีความไปถึงศาสนาได้ ต้องพิจารณาว่าวัตถุประสงค์ที่ประมวลผลข้อมูลคืออะไร

A1: เป็นข้อมูลส่วนบุคคล แต่มีความปลอดภัยขึ้น

A2: เป็น PII

A: หากมีการเก็บข้อมูลแม้จะเป็นข้อมูลของพนักงาน เราสามารถแจ้งไว้ล่วงหน้าตั้งแต่วันทำสัญญาว่าหากมีการเข้าเว็บไซต์ก็จะเก็บข้อมูล แต่ถ้าแจ้งไม่ได้ก็สามารถขึ้นแบนเนอร์ได้ แต่ cookie consent ไม่แนะนำให้ใช้เพราะ ไม่ใช่ทุก cookie ที่ต้องขอความยินยอมแต่ต้องดูฐานการประมวลผล

A: ก่อนจะพิจารณาว่าใช้ฐานใด ต้องอธิบายให้ได้ก่อนว่าวัตถุประสงค์ของกิจกรรมนั้นคืออะไร สำหรับฐาน legitimate interest เป็นกรณีที่ชั่งน้ำหนักระหว่างประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคลกับผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลแล้วมีน้ำหนักมากกว่า และสิ่งนั้นเป็นสิ่งที่เจ้าของข้อมูลสามารถคาดหมายได้

A: ใช่

A: เข้ามาตรา 26 (5) (ก)

A: การเก็บข้อมูลควรจัดเก็บเท่าที่จำเป็น ซึ่งความจำเป็นนั้นหมายถึงกิจกรรมและวัตถุประสงค์นั้นจำเป็นต้องใช้ข้อมูลนั้นจริง ๆ จึงไม่ควรเก็บข้อมูลเผื่อสำหรับอนาคต

A: เรื่องประกันกลุ่มน่าจะต้องขอความยินยอม

A: อ้างอิงตาม TDPG 3.0 -B3

A: อ้างอิงตาม TDPG 3.0 -B2.14 กรณีเป็นฐาน legitimate interest หรืออ้างอิงตาม TDPG 3.0-K3 แนวปฏิบัติเรื่องการตรวจสอบในที่ทำงาน

A: กรณีให้บริการชำระเงินออนไลน์แล้วผู้ใช้บริการมาใช้บริการชำระเงินเป็นกรณีของฐานสัญญาแล้ว

A: ควรขอความยินยอมและแจ้งวัตถุประสงค์ในการใช้ข้อมูลโดยชัดแจ้งแก่ผู้ใช้งาน

A: การขอความยินยอมต้องพิจารณาที่วัตถุประสงค์ของการนำข้อมูลนั้นไปใช้เป็นหลัก

A: ได้ เป็นเรื่องของการขอความชัดเจนของรายละเอียดมากขึ้น

A: การแจ้งไม่จำเป็นต้องมีการลงนาม แต่ควรทำให้แน่ใจว่าเจ้าของข้อมูลส่วนบุคคลจะได้รับแจ้ง (ตามช่องทางที่มีการติดต่อกับเจ้าของข้อมูลส่วนบุคคลจริง ๆ)

A: สามารถทำได้

A: กรณีบุคคลอ้างอิงอาจจะยากที่ผู้ควบคุมจะสามารถติดต่อได้ ผู้ที่นำข้อมูลของบุคคลอ้างอิงมาอ้างจะต้องรับรองว่าได้ขอความยินยอมแล้ว

A: การเพิกถอนความยินยอมกับการลบบัญชีเป็นคนละกรณีกัน เว้นแต่ จะระบุไว้ในเงื่อนไขว่าการลบบัญชีเป็นการเพิกถอนความยินยอม

A: เป็นคนละกรณีกับมาตรา 26 (4) เป็นกรณีใช้สิทธิเรียกร้องกรณีนี้เป็นข้อมูลอ่อนไหวของบุคคลที่สาม ต้องขอความยินยอม

A: หากมีการเขียนไว้ชัดเจนก็ควรจะเพียงพอ อย่างไรก็ดี ต้องแน่ใจว่าบริการของเราไม่ได้มีกลุ่มเป้าหมายหลักของลูกค้าเป็นกลุ่มบุคคลดังกล่าว ไม่เช่นนั้นอาจต้องสร้างให้เกิดกระบวนการที่ชัดเจนกว่านี้

A: การติดตั้งกล้อง cctv บริเวณอาคารเพื่อรักษาความปลอดภัยสามารถอ้างฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) แต่ควรมีการติดป้ายแจ้งเตือนบริเวณที่ติดตั้งกล้อง cctv ด้วย

A: ในกรณีที่เป็นการทำสัญญาประกันโดยอาศัยหน้าที่ตามสัญญาอื่น (เช่น สัญญาจ้าง) จะไม่สามารถอ้างฐานสัญญาได้ โดยกรณีของจุฬาฯ เดิมจุฬาฯ เป็นผู้ชำระเบี้ย โดยมีลูกจ้างเป็นผู้เอาประกัน ในปัจจุบันนี้ จึงเปลี่ยนโครงสร้าง คือ บริษัทจะติดต่อทำสัญญากับผู้เอาประกันโดยตรง และจุฬาฯ จะมีสถานะเป็นเพียงแค่ผู้ชำระเบี้ยประกันเท่านั้น

A: ปัจจุบันยังไม่หลักการเทียบเคียง ในกรณีนี้คำว่า Marketing Activities มีความหมายค่อนข้างกว้าง ในแต่ละธุรกิจควรจะคุยกันเพื่อสร้างมาตรฐาน เช่น การส่งอีเมลโฆษณาจะเก็บ 10 ปี อาจจะอธิบายลำบาก แต่ปัจจุบันกิจกรรมการตลาดทั่วไปจะใช้ระยะเวลา นับจาก current year +2 ปี แต่ไม่ใช่หลักการเป็นสิ่งที่ตั้งขึ้นร่วมกัน

  • การออกกิจกรรม เช่น การตั้งบูทให้ลูกค้ามากรอกข้อมูล ฐานที่ใช้ก็จะเป็นฐานความยินยอม ในการขอความยินยอมก็ให้ระบุแจ้งว่าจะเก็บไว้เป็นระยะเวลากี่ปี แต่หากระยะเวลานานเกินไปเจ้าของข้อมูลอาจไม่ยินยอมได้ แต่ถ้าระบุแล้วก็สามารถเก็บได้ตามความยินยอม โดยปกติหากไม่ได้ระบุก็จะต้องใช้ในระยะเวลาเท่าที่จำเป็น
  • การขอความยินยอมเพื่อหลายวัตถุประสงค์ สามารถขอได้ โดยระบุให้ชัดเจน รวมถึงระบุระยะเวลาในการเก็บด้วย(ไม่เช่นนั้นจะถือว่าฝ่าฝืนมาตรา 23) แต่เจ้าของข้อมูลอาจไม่ยินยอมทั้งหมด
  • พิจารณาที่ความจำเป็นของกิจกรรม เช่น การจัดเตรียมกิจกรรม การเก็บข้อมูลของกิจกรรมในกรณีการเรียกข้อมูลทางภาษี การใช้สิทธิเรียกร้อง การฟ้องร้อง และความจำเป็นอาจจะส่งไม้ต่อกันก็ได้

A1: ต้องแจ้ง

A2: ถ้าเป็น necessary cookie เพียงกดรับทราบก็เพียงพอ ไม่จำเป็นต้องให้กดตกลงหรือยกเลิก แต่ถ้าเป็นคุกกี้ที่ไม่จำเป็นอาจจะขอความยินยอม โดยอาจรวมขอความยินยอมไปเลยทั้ง necessary cookie และคุกกี้ที่ไม่จำเป็น

A1: ควรขอก่อนให้ข้อมูล

A2: ไม่ได้ รายละเอียดของ Consent จะต้องอยู่ในฟอร์มขอความยินยอม แต่ถ้าข้อมูลส่วนอื่น ๆ สามารถระบุใน privacy notice หรือ privacy policy ได้

A: ในปัจจุบัน ปกติพนักงานน่าจะอยากให้อวยพร แต่อาจจะมีบางคนที่ไม่ต้องการให้มีการอวยพรวันเกิด ในทางกฎหมายอาจจะไม่มีคำตอบที่ชัดเจน แต่ถ้าบริษัทคิดว่าอาจจะมีพนักงานบางคนที่ไม่สะดวกใจ ก็ควรขอความยินยอม

A: กรณีนี้เป็นที่ผู้เยาว์สามารถทำได้ด้วยตนเองตามฐานานุรูปตามประมวลกฎหมายแพ่งและพาณิชย์ จึงไม่จำเป็นต้องขอความยินยอมจากผู้ใช้อำนาจปกครองอีก

A: ได้ อย่างน้อยการเพิกถอนความยินยอมต้องสามารถกระทำได้ง่ายเหมือนตอนให้ความยินยอม

A: กรณีที่ผู้เยาว์สามารถทำได้ด้วยตนเองตามฐานานุรูปตามประมวลกฎหมายแพ่งและพาณิชย์ ก็สามารถใช้ฐานสัญญาได้ ไม่ใช่ทุกกรณีที่เกี่ยวข้องกับผู้เยาว์จะต้องขอความยินยอมเสมอไป

A: ทางปฏิบัติควรใช้วิธีแจ้งผ่านบุคคลที่เก็บข้อมูลผ่านมาโดยตรงจากเจ้าของข้อมูล (ต้นทาง)

A: การเก็บบัตรประชาชนถ้ามีการบันทึกข้อมูลจากบัตร เช่น จดในสมุดหรือนำเข้าระบบคอมพิวเตอร์เพื่อเป็น record ถือว่ามีการเก็บและต้องทำตาม PDPA ส่วนมีการควบคุมเพียงพอหรือไม่ขึ้นอยู่กับบริบทของแต่ละที่ว่ามีการรักษาความปลอดภัยของข้อมูลที่บันทึกไว้มากน้อยแค่ไหน ใครสามารถเข้าถึงข้อมูลได้บ้าง มีวัตถุประสงค์ในการเก็บข้อมูลที่สามารถอธิบายได้หรือไม่ เอาบัตรเก็บไว้ต้องดูแลให้ปลอดภัยเป็นเรื่องที่ควรทำ ทั้งนี้ PDPA นั้นจะบอกว่าข้อมูลใดมีความเสี่ยง ต้องดูแลให้ปลอดภัย ขอบเขตของPDPA คือมี Filing system หรือไม่ ถ้าไม่มีการบันทึกไว้ก็อาจจะยังไม่ต้องมีมาตรการ PDPA มาดูแลอย่างเต็มรูปแบบ

A: ต้องทำให้แน่ใจว่า partner ได้รับ consent จากลูกค้าก่อนที่จะส่งมาให้เรา และในขั้นตอนการย้าย อาจมีกิจกรรมบางกิจกรรมที่ต้อง share ข้อมูลกับหน่วยงานอื่น เจ้าของข้อมูลมีสิทธิจะโอนข้อมูลส่วนบุคคลในกิจกรรมที่เกี่ยวข้องเท่านั้นเพื่อตอบโจทย์วัตถุประสงค์เฉพาะส่วนที่เจ้าของข้อมูลส่วนบุคคลมาลงทะเบียนไว้ ไม่สามารถรื้อข้อมูลส่วนอื่น ๆ นอกกิจกรรมได้

A: ถ้าข้อมูลมาจากลูกค้าก็จะมีสิทธิอยู่ ปกติควรจะใช้สิทธิต้นทางแล้วมาบอกต่อเรา กรณีถ้าข้ามมาใช้สิทธิกับเรา ก็จะเป็นกรณีที่ตันทางยินยอมให้ใช้สิทธิได้แต่เราไม่ยินยอม

A: ต้องปฏิบัติตาม PDPA

A: ดูว่าสามารถบ่งชี้ตัวบุคคลได้หรือไม่ ถ้าได้ก็ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

A: เนื่องจากลายนิ้วมือและข้อมูลใบหน้าเป็นข้อมูลชีวมิติซึ่งเป็นข้อมูลอ่อนไหว จึงต้องขอความยินยอม ทั้งนี้ ควรพิจารณาว่ามีความจำเป็นที่จะเก็บข้อมูลอ่อนไหวนั้นจริง ๆ

A: เมื่อเราเก็บรวบรวมข้อมูลส่วนบุคคลมาเพื่อการประมวลผลของเราเอง เราก็ย่อมเป็นผู้ควบคุมข้อมูลส่วนบุคคลครับ

A: การพิจารณาควรตั้งต้นที่กิจกรรมว่ามีวัตถุประสงค์เพื่ออะไรแทนที่จะตั้งต้นด้วยตัวข้อมูล แล้วจึงพิจารณาในรายละเอียดว่ามีข้อมูลที่เป็นข้อมูลอ่อนไหวหรือไม่

A: ในทางปฏิบัติ หากเป็นกรณีที่ให้บริษัทติดต่อกับเจ้าของข้อมูลส่วนบุคคลเองก็จะสามารถลดขั้นตอนและทำให้กระบวนการภายในมีประสิทธิภาพมากขึ้นได้

A: ใช่ ถ้ามีชัดแจ้ง ก็สามารถเป็นฐานสัญญาได้ ทั้งนี้ เรื่องฐานการประมวลผล อาจมีได้หลายฐานได้ในวัตถุประสงค์เดียวกัน แต่มีฐานเดียวที่ไม่เข้ากับฐานอื่น นั่นคือความยินยอม

A: มี 2 ประเด็น 1. vital interest หากขอความยินยอมได้ให้ขอความยินยอมก่อน แต่หากไม่สามารถให้ความยินยอมได้และข้อมูลมีความสำคัญในการช่วยชีวิตของเจ้าของข้อมูลส่วนบุคคลสามารถใช้ฐาน vital interest ได้ 2. หากวัตถุประสงค์ไม่ใช่เพื่อเจ้าของข้อมูลส่วนบุคคลแต่เพื่อประโยชน์ส่วนรวมในการควบคุมโรค จะเข้าฐานประโยชน์สาธารณะ (public task/public authority) มีกฎหมายกำหนดให้นำข้อมูลนี้มาใช้ได้อย่างขัดเจน แต่ยังคงมีหน้าที่แจ้งเจ้าของข้อมูลส่วนตามมาตรา 23, 25

A: ดูตามบริบท ว่าต้องการให้ทราบเท่านั้นหรือสามารถเอาไปประมวลผลได้ ทั้งนี้ ควรเริ่มที่ตัวกิจกรรมขององค์กรเป็นหลัก มีเหตุผลในการประมวลผลหรือไม่ ไม่ควรไปมองว่าตัวข้อมูลนั้นเป็นอย่างไร ใช้ได้หรือไม่ 

  • ไม่เฉพาะเจาะจงพอที่จะเป็นความยินยอม ควรมองเป็น legitimate interest ส่วน manifestly disclose to public ก็ควรเป็นขอบเขตที่เจ้าของคาดหมายได้ สามารถอ้างอิงได้ที่ TDPG3.0 – C2,C6 ได้อธิบายหลักการของฐานความยินยอมไว้ กรณีข้อมูลส่วนบุคคลอ่อนไหวหากใช้ฐานความยินยอมจะต้องมีขั้นตอนการกระทำที่พิเศษขึ้นยิ่งกว่าความยินยอมทั่วไป สามารถศึกษาเพิ่มเติม – H1 

A: ขอความยินยอมหรือไม่ต้องพิจารณาว่าบัตรประชาชนเพื่อนำส่งภาษีเป็นฐานตามกฎหมายหรือไม่ และเมื่อหมดความจำเป็นต้องทำลายข้อมูลเสมอ

A: ขึ้นอยู่กับว่าเป็นการเรียกดูข้อมูลส่วนบุคคลฐานตามฐานกฎหมายใด ในกรณีที่เป็น sensitive data จำเป็นที่จะต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เข้ากรณีอื่นที่ไม่ต้องขอความยินยอมตามมาตรา 26

A: โดยหลักสามารถทำได้ แต่ต้องระบุให้ชัดเจนว่าข้อมูลแต่ละข้อมูลจะถูกใช้ประมวลผลอย่างไร เพื่อวัตถุประสงค์อะไร หากกิจกรรมมีความแตกต่างกันมากควรแยกเป็นหลายสัญญาเพื่อความชัดเจน

A: Retention period เป็นไปได้ที่จะกำหนดให้เก็บตลอดไป เช่น การเก็บข้อมูลเชิงประวัติศาสตร์หรือเพื่อประโยชน์สาธารณะ แต่สำหรับธุรกิจทั่วไปจะเก็บได้ก็ต้องมีเหตุความจำเป็น, ข้อมูลที่หมดความสำคัญจำเป็นแล้วก็ควรจะต้องลบออกไปแม้กระทั่งหน่วยงานของรัฐ ต้องพิจารณาประเด็น rights to be forgotten ประกอบด้วย

A: Auditing firm โดยทั่วไปทำงานตามมาตรฐานของตัวเองโดยตัดสินใจเองว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดเพื่อกรทำงาน จึงมีสถานะเป็น controller แต่บริษัททนายความขึ้นอยู่กับข้อเท็จจริงว่ามีอำนาจควบคุมข้อมูลและกำหนดวัตถุประสงค์มากน้อยเพียงใด โดยหลักคือเป็น controller หากสามารถตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด แต่ก็สามารถเป็น processor ได้หากเป็นกรณีที่ถูกสั่งให้ประมวลผลข้อมูลส่วนบุคคลโดยลูกความ

A: ข้อเท็จจริงที่ว่าเป็น outsource หรือไม่เป็น outsource ไม่ใช่ประเด็นพิจารณาว่าเป็น controller หรือ processor หรือไม่ แต่ต้องพิจารณาว่าหน่วยงานนั้นมีอำนาจในการกำหนดการใช้ข้อมูลและวัตถุประสงค์อย่างไร 

A: PDPA มีขอบเขตครอบคลุมถึงเพียงข้อมูลส่วนบุคคลของบุคคลธรรมดาเท่านั้น

A: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการกำหนดหน้าที่ว่าต้องเปิดเผยข้อมูลในกรณีใดบ้าง จึงต้องพิจารณาตามกฎหมายเฉพาะอื่น ๆ เช่น กฎระเบียบของ ก.ล.ต.

A: ไม่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะไม่ได้ถูกสั่งให้ทำการประมวลผลข้อมูลส่วนบุคคล (peronsal data processing)

A: หากข้อเท็จจริงปรากฏว่าเป็นการโอนเพื่อปฏิบัติตามสัญญา เช่น สัญญาจ้าง ก็ใช้เหตุดังกล่าวทำให้การโอนข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมายตามมาตรา 28 ได้ (โดยไม่มีใช้ BCRs ตามมาตรา 29)

A:  บุคคลคนหนึ่งอาจเป็นทั้งผู้ควบคุมข้อมูลในการประมวลผลที่เขามีอำนาจตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และเป็นผู้ประมวลผลข้อมูลในกรณีที่ถูกผู้ควบคุมข้อมูลสั่งให้ประมวลผล เช่น โรงแรม ก. ตัดสินใจเองว่าจะเก็บและใช้ข้อมูลอะไรในการให้บริการ (เป็นผู้ควบคุมข้อมูล) และขณะเดียวกัน โรงแรม ก. ก็อาจถูก บริษัท ข. ซึ่งเป็นเว็บไซต์ให้บริการด้านที่พักสั่งให้ประมวลผลข้อมูลชุดเดียวกันกับที่ตนเป็นผู้ควบคุมได้ อย่างไรก็ตาม กรณีที่เป็นผู้ประมวลผลนี้ผู้สั่งให้ประมวลผล (ผู้ควบคุมข้อมูล) ต้องมีฐานทางกฎหมายรองรับการสั่ง

A: DPO จะต้องมีความรู้เพียงพอในการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล เช่น ด้าน IT และด้านกฎหมายประกอบกัน โดยในปัจจุบันยังไม่มีกฎหมายบังคับว่า DPO ต้องมีใบรับรองจากหน่วยงานหรือสถาบันใด

A: Auditing firm โดยทั่วไปทำงานตามมาตรฐานของตัวเองและมีอิสระที่จะตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลใดในการทำงาน จึงมีสถานะเป็น controller แต่บริษัททนายความขึ้นอยู่กับข้อเท็จจริงว่ามีอำนาจควบคุมข้อมูลและกำหนดวัตถุประสงค์มากน้อยเพียงใด โดยหลักคือเป็น controller แต่ก็สามารถเป็น processor ได้ถ้าไม่มีการกำหนดวัตถุประสงค์เองและถูกบุคคลอื่นสั่งให้ประมวลผลข้อมูลส่วนบุคคล

A:  อาจไม่ต้องแยกเป็นคนละฉบับ แต่จะต้องมีความชัดเจนเพียงพอให้เจ้าของข้อมูลเข้าใจว่าการให้ความยินยอมเป็นสิ่งที่แยกออกจากสิทธิและหน้าที่ตามสัญญาและตนมีอิสระที่ไม่ให้ความยินยอมก็ได้ ไม่กระทบต่อการให้บริการตามสัญญา โดยอาจมีการแยกกรอบออกมาในโบรชัวร์ฉบับเดียวกัน มีการใช้สี แล้วแต่ทางหน่วยงานจะออกแบบ

A: ข้อเท็จจริงที่ว่าเป็น outsource หรือไม่เป็น outsource ไม่ใช่ประเด็นพิจารณาว่าเป็น controller หรือ processor หรือไม่ แต่ต้องพิจารณาว่าบุคคลผู้ให้บริการ outsource นั้นมีอำนาจในการตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ หากมีอำนาจดังกล่าวก็เป็นผู้ควบคุุมข้อมูลส่วนบุคคล หากปรากฏว่า เพียงรับคำสั่งจากผู้ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลเพื่อประกอบการให้บริการ กรณีหลังนี้ ผู้ให้บริการ outsource ย่อมมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

A: มีความจำเป็นหากเข้าตามหลักเกณฑ์ที่พรบ.คุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ซึ่งจะกำหนดไว้เฉพาะในการประมวลผลที่สำคัญ

A:  การประกอบการเกี่ยวข้องสัมพันธ์กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยตรง เช่น ผู้ที่ทำการวิเคราะห์พฤติกรรมการบริโภคของบุคคลธรรมดา หรือเป็นบุคคลที่จำเป็นต้องมีข้อมูลส่วนบุคคลจำนวนมากเพื่อการให้บริการ เช่น โรงพยาบาล

A: ต้องพิจารณาจากข้อเท็จจริงว่าบุคคลนั้น “มีการกระทำครบองค์ประกอบภายนอกและภายใน” ของการกระทำความผิดตามที่กฎหมายบัญญัติหรือไม่ กรรมการบริษัทถือว่ามีการกระทำได้หากว่ามีส่วนเกี่ยวข้องหรืองดเว้นการปฏิบัติหน้าที่ของตน ดังนั้น ถึงแม้ว่าจะมี DPO แล้ว หากกรรมการมีการกระทำครบองค์ประกอบ ก็ยังคงต้องรับผิดทางอาญาอยู่

A:  บุคคลคนหนึ่งอาจเป็นทั้งผู้ควบคุมข้อมูลในการประมวลผลที่เขามีอำนาจตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และเป็นผู้ประมวลผลข้อมูลในกรณีที่ถูกผู้ควบคุมข้อมูลสั่งให้ประมวลผล เช่น โรงแรม ก. ตัดสินใจเองว่าจะเก็บและใช้ข้อมูลอะไรในการให้บริการ (เป็นผู้ควบคุมข้อมูล) และขณะเดียวกัน โรงแรม ก. ก็อาจถูก บริษัท ข. ซึ่งเป็นเว็บไซต์ให้บริการด้านที่พักสั่งให้ประมวลผลข้อมูลชุดเดียวกันกับที่ตนเป็นผู้ควบคุมได้ อย่างไรก็ตาม กรณีที่เป็นผู้ประมวลผลนี้ผู้สั่งให้ประมวลผล (ผู้ควบคุมข้อมูล) ต้องมีฐานทางกฎหมายรองรับการสั่ง

A:  การที่จะดูว่า Vender ซึ่งเป็น Data processor ได้ประมวลผลตามคำสั่งของ Data controller ต้องดูที่ “วัตถุประสงค์” ที่ Data controller สั่งในสัญญาประมวลผลข้อมูลระหว่าง Data controller และ Vender การพิจารณาว่า data processor ทำเกินหรือไม่ มี 3 ลักษณะใหญ่ ๆ คือ ใช้ข้อมูลเกินวัตถุประสงค์ ใช้ข้อมูลผิดวัตถุประสงค์ นำข้อมูลส่งให้ผู้อื่นที่ไม่ได้รับอนุญาต แต่สุดท้ายแล้วผู้ที่มีหน้าที่ต้องรับผิดต่อเจ้าของข้อมูลคือ  data controller แล้วจึงไล่เบี้ยกับ data processor ภายหลัง ในทางปฏิบัติหาก data controller ไว้วางใจ data processor ให้สามารถไปจ้าง sub-contractor ได้ อาจกำหนดให้ data processor แจ้ง data controller ทุกครั้งที่ส่งต่อข้อมูลไปยังบุคคลภายนอกเพื่อให้ data controller ทราบและสามารถรักษามาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและป้องกันความเสียหายได้ทัน

A: ยังต้องบันทึก แต่ระบุว่ามีการใช้ Processor

A: ถูกต้อง การทราบแล้วไม่แจ้งเป็นการไม่ปฏิบัติหน้าที่ของ processor อย่างหนึ่ง เวลาจะนับเมื่อมีเหตุให้ทราบตั้งแต่แรก

A: ในกรณีที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล บริษัทย่อมมีหน้าที่ต้องคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย หากการดำเนินการของบริษัทเข้ากรณีที่ต้องรับผิดตามกฎหมายบริษัทยังคงต้องรับผิดตามกฎหมายอยู่ถึงแม้ว่าจะมีการว่าจ้าง DPO แล้วก็ตาม

A: เป็นกรณีที่กฎหมายไม่ได้บังคับให้ต้องทำ และ controller ที่รับการเปิดเผยก็ต้องมีฐานทางกฎหมายและความรับผิดชอบต่อตัวเจ้าของข้อมูลส่วนบุคคลโดยตรง อย่างไรก็ตาม การทำสัญญาระหว่าง controller และ controller ซึ่งกำหนดสิทธิและหน้าที่เอาไว้อย่างชัดเจนอาจช่วยให้เกิดความชัดเจนมากขึ้น เช่น หากนำข้อมูลไปใช้เพื่อตนเองแล้ว เจ้าของข้อมูลส่วนบุคคลมาเรียกร้องเอาจากตัวผู้เปิดเผย กรณีนี้ผู้ใช้ข้อมูล (ซึ่งก็เป็น controller ด้วย) จะมีความรับผิดชอบประการใด

จัดทำโดย

ผู้จัดการโครงการ

  • รศ. ดร. พัฒนาพร โกวพัฒนกิจ

คณาจารย์ผู้สอน

  • ผศ.ดร. ปิยะบุตร บุญอร่ามเรือง
  • ดร. พีรพัฒ โชคสุวัฒนสกุล
  • ดร. ปิติ เอี่ยมจำรูญลาภ

นิสิตผู้ช่วย

  • กนกนันท์ ชนาทรธรรม
  • ปาลิตา รุ่งระวี
  • ณัฐธิดา ดวงวิโรจน์
  • พีรณุช ยาโตปะมา