ถาม-ตอบ PDPA จากห้องเรียน Chula MOOC (2564) - คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

คำถามจากห้องเรียน Chula MOOC หลักสูตรกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ปฏิบัติงานในหน่วยงานและองค์กรธุรกิจ รุ่นที่ 1-4 (ส.ค.-ต.ค. 2564)

ดำเนินการจัดการเรียนการสอนโดยคณาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

A: โดยหลักคือนับแต่วันที่ทราบถึงเหตุการณ์ที่ข้อมูลถูกละเมิด โดยสามารถประเมินเบื้องต้นก่อนได้และรายงานเท่าที่ทราบก่อน และเมื่อได้รับผลสอบสวนทางดิจิทัลมาแล้วจึงเพิ่มเติมรายละเอียดในภายหลัง

A: ขึ้นอยู่กับโครงสร้างองค์กร หน้าที่หลัก 4 ข้อของ DPO คือ 1.ให้คำแนะนำ 2. ตรวจสอบ 3. ประเมินความเสี่ยง 4. ประสานงานกับคณะกรรมการ ฯ โดยต้องมีความรู้เรื่อง PDPA และรู้ business operation ว่าข้อมูลในองค์กรเป็นอย่างไรบ้าง และอาจจะมีส่วนที่เกี่ยวกับงาน IT ด้วย DPO เป็น second-line of defence คล้ายกับ compliance ฝ่ายสนับสนุนจึงอาจสามารถมาจากฝ่ายกฎหมาย IT หรือ compliance แต่ไม่ควรใช้คนจาก first-line of defence เพื่อป้องกันการขัดกันของผลประโยชน์

A1: ต้องแจ้ง
A2: ถ้าเป็น necessary cookie เพียงกดรับทราบก็เพียงพอ ไม่จำเป็นต้องให้กดตกลงหรือยกเลิก แต่ถ้าเป็น cookie ที่ไม่จำเป็น จะต้องขอความยินยอมโดยอาจรวมขอความยินยอมทั้ง cookie ที่จำเป็นและไม่จำเป็น

A: สามารถอยู่ในเอกสารชุดเดียวกันได้แต่ต้องแยกส่วนชัดเจนเพียงพอให้เจ้าของข้อมูลส่วนบุคคลเข้าใจได้ว่าหากไม่ให้ความยินยอมในส่วนหนึ่งก็ไม่มีผลต่อสัญญาในส่วนอื่น ๆ

A: ควรขอความยินยอมเพราะอาจจะมีพนักงานบางคนที่ไม่สะดวกใจที่จะให้บริษัทรู้วันเดือนปีเกิด

A: โดยหลักต้องระบุรายละเอียดข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม แต่หากมีข้อมูลมากอาจใช้การจัดแบ่งหมวดหมู่และระบุข้อมูล เช่น…เป็นต้น ได้

A: การระบุว่าเท่าที่จำเป็นอาจกว้างเกินไปและไม่ชัดเจน โดยหลักให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม เช่น ระยะเวลาตามกฎหมาย ทางบัญชี ระเบียบการทำงาน เป็นต้น สามารถศึกษาเพิ่มเติม TDPG 3.0 – D1.5

A: สามารถทำได้ ตามมาตรา 23(4) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ แจ้งรายละเอียดประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย

A: สามารถตรวจสอบตัวตนได้โดยการพิจารณาเอกสารที่เกี่ยวข้องเพื่อระบุตัวตนว่าเป็นเจ้าของข้อมูลส่วนบุคคลที่แท้จริงหรือเป็นผู้ที่มีอำนาจในการดำเนินการแทนเจ้าของข้อมูลส่วนบุคคล และอาจพิจารณาเก็บข้อมูลเท่าที่จำเป็นเกี่ยวกับการพิจารณายืนยันตัวตน เช่น log ในการขอใช้สิทธิ วัน เวลา รูปแบบคำขอ ผลสำเร็จในการตรวจสอบตัวตน เพื่อเป็นหลักฐานไว้พิสูจน์ความน่าเชื่อถือและมาตรการในการตรวจสอบตัวตน สามารถศึกษาเพิ่มเติม TDPG 3.0 – D3.2

A:เป็นการบันทึกรายการกิจกรรมการประมวลผลทุกกิจกรรม โดยไม่ได้กำหนดให้ต้องทำแบบ Real Time

A: ฝ่ายบุคคลสามารถขอความยินยอมเจ้าของข้อมูลเพื่อตรวจสอบข้อมูลประวัติอาชญากรรมผ่านกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติได้

A: ต้องมีการดำเนินการโดยอาจทำเป็นข้อตกลงหรือมาตรการอื่นใด เพื่อป้องกันมิให้ผู้ที่รับข้อมูลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตามมาตรา 37(2) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: ต้องพิจารณาช่องทางที่ติดต่อสื่อสารกับเจ้าของข้อมูลส่วนบุคคลโดยปกติเป็นหลักเพราะวัตถุประสงค์ในการประชาสัมพันธ์คือเพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบถึงสิทธิของตน

A: บริษัทยังคงมีหน้าที่ในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลส่วนบุคคลมาใช้สิทธิโดยสามารถขอเข้าถึงและขอรับสำเนาข้อส่วนบุคคลของตนได้ทั้งหมด เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลจะมีเหตุปฏิเสธ อย่างไรก็ตามหากการใช้สิทธิเข้าลักษณะชัดแจ้งว่ามาก่อกวนหรือใช้สิทธิเกินส่วนก็อาจคิดค่าใช้จ่ายได้

A: เจ้าของข้อมูลส่วนบุคคลสามารถเรียกค่าสินไหมทดแทนที่แท้จริง รวมถึงค่าใช้จ่ายที่ได้ใช้จ่ายไปตามความจำเป็นเพื่อป้องกันความเสียหายที่กำลังจะเกิดขึ้นหรือระงับความเสียหายที่เกิดขึ้นแล้วด้วยเจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นเรื่องร้องเรียนต่อสำนักงานฯ สามารถศึกษาเพิ่มเติม TDPG 3.0 – D5

A: นับแต่วันที่ทราบเหตุ ซึ่งก็คือ ตั้งแต่ที่ผู้ประมวลผลต้นทางทราบเหตุนั้นตามมาตรา 37(4) พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: คำขอไม่สมเหตุสมผล (unfounded) ต้องเป็นคำขอที่ไม่สมเหตุสมผลตั้งแต่แรกที่มีการร้องขอ เช่น ผู้ร้องขอไม่มีสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล หรือผู้ควบคุมข้อมูลไม่ได้มีหรือจัดเก็บหรือประมวลผลข้อมูลชุดดังกล่าว คำขอสมเหตุสมผล เช่น ขอให้แก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน ขอให้ลบข้อมูลที่ไม่ถูกต้องออก

A: เป็นสิทธิของเจ้าของข้อมูลส่วนบุคคลในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องได้ (right to rectification)

A: Auditor สามารถดำเนินการกับข้อมูลได้ตามวัตถุประสงค์เพื่อการตรวจสอบมาตรฐานตามมาตรฐานการตรวจสอบและกฎหมายหรือกฎเกณฑ์ที่เกี่ยวข้อง โดยบริษัทอาจแจ้งให้เจ้าของข้อมูลทราบว่าจะมีการเปิดเผยข้อมูลให้กับ Auditor เพื่อการตรวจสอบมาตรฐาน กรณี sensitive data ตามมาตรา 26 หากมีความจำเป็นต้องตรวจสอบจริง ๆ และไม่มีฐานการประมวลผลอื่น ก็จำเป็นต้องขอ consent

A: เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดเตรียมข้อมูลที่เกี่ยวข้องไม่ว่าจะเป็น หนังสือรับรองการประมวลผล, สำเนาข้อมูลส่วนบุคคลของตน, ข้อมูลเพิ่มเติม ส่วนกรณีที่เจ้าของข้อมูลส่วนบุคคลขอสำเนาข้อมูลส่วนบุคคลของตนหมายถึงสำเนาข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของผู้ควบคุมข้อมูลส่วนบุคคล ศึกษารายละเอียดเพิ่มเติม TDPG 3.0 – D3.6

A: บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่และความรับผิดตามกฎหมาย กรรมการในฐานะผู้แทนบริษัทจึงมีความรับผิดด้วยตามกฎหมาย

A: ทำได้ การทำ Data flow นั้นเป็นส่วนเสริมที่ทำให้เข้าใจกระบวนการดำเนินงานและจัดทำ ROPA ได้สะดวกมากยิ่งขึ้น โดยการทำบันทึกรายการ (ROPA) ต้องมีรายละเอียด ตามมาตรา 39 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: พิจารณาความจำเป็นและวัตถุประสงค์ของกิจกรรมว่าเป็นไปตามฐานโดยชอบด้วยกฎหมายใด

และหากหมดความจำเป็นแล้วก็ไม่ควรจัดเก็บต่อไป

A: โดยหลักคือให้แจ้งภายในเจ็ดสิบสองชั่วโมงนับแต่วันที่ทราบถึงเหตุการณ์การถูกโจมตีทางไซเบอร์ โดยสามารถประเมินเบื้องต้นก่อนว่ามีแนวโน้มถูกละเมิดข้อมูลส่วนบุคคลหรือไม่และรายงานเท่าที่ทราบก่อน แต่กรณีที่ประเมินแล้วว่าไม่มีความเสียหายเกิดขึ้น ก็ไม่ต้องแจ้งต่อคณะกรรมการ ฯ แต่ต้องเป็นกรณีที่มั่นใจจริง ๆ ว่าไม่มีความเสียหายเกิดขึ้น

A: การมี DPO ไม่ได้ทำให้หน้าที่และความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลหมดไป บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่และความรับผิดตามกฎหมาย กรรมการในฐานะผู้แทนบริษัทจึงต้องรับผิด

A: ขึ้นอยู่กับโครงสร้างองค์กร หน้าที่หลัก 4 ข้อของ DPO คือ 1.ให้คำแนะนำ 2. ตรวจสอบ 3. ประเมินความเสี่ยง 4. ประสานงานกับคณะกรรมการ PDPA โดยต้องมีความรู้เรื่อง PDPA และรู้ business operation ว่าข้อมูลในองค์กรเป็นอย่างไรบ้าง และอาจจะมีส่วนที่เกี่ยวกับงาน IT ด้วย DPO เป็น second-line of defence คล้ายกับ compliance ฝ่ายสนับสนุนจึงอาจสามารถมาจากฝ่ายกฎหมาย IT หรือ compliance แต่ไม่ควรใช้คนจาก first-line of defence เพื่อป้องกัน conflict of interest

A: ต้องพิจารณาเบื้องต้นก่อนว่ามีความจำเป็นมากน้อยเพียงใดในการเก็บข้อมูลดังกล่าว ซึ่งต้องพิจารณาถึงลักษณะตามความเป็นจริงและอ้างอิงมาตรฐานต่าง ๆ หรือ พิจารณาจากตำแหน่งงานนั้น ๆ ว่ามีความจำเป็นมากน้อยเพียงใด เช่น กิจกรรมนี้ต้องรักษาความปลอดภัยสูงจึงต้องใช้ลายนิ้วมือ (ใช้เพียง password ไม่เพียงพอ) ทั้งนี้ต้องชั่งน้ำหนักระหว่างความจำเป็นในการใช้ข้อมูลดังกล่าวกับการละเมิดข้อมูลส่วนบุคคล หากพิจารณาแล้วว่าไม่มีความจำเป็นต้องเก็บข้อมูลดังกล่าว และพนักงานปฏิเสธการให้ข้อมูล จนบริษัทอ้างเป็นเหตุเลิกจ้าง การเลิกจ้างด้วยเหตุดังกล่าวถือเป็นการเลิกจ้างที่ไม่เป็นธรรมตามกฎหมายแรงงาน

A: Retention period เป็นไปได้ที่จะกำหนดให้เก็บตลอดไป เช่น การเก็บข้อมูลเชิงประวัติศาสตร์หรือเพื่อประโยชน์สาธารณะ แต่สำหรับธุรกิจทั่วไปจะเก็บได้ก็ต้องมีเหตุความจำเป็น, ข้อมูลที่หมดความสำคัญจำเป็นแล้วก็ควรจะต้องลบออกไปแม้กระทั่งหน่วยงานของรัฐ เกี่ยวข้องกับ rights to be forgotten

A: ประเด็นนี้คือประเด็น impact ขณะประเมินความเสี่ยง แนะนำให้ประเมินแบบสูงไว้ก่อนเพื่อกำหนดมาตรการป้องกัน แต่ประเด็น likelihood ไม่สามารถตอบได้ เพราะต้องใช้ข้อเท็จจริงภายใน แต่คำตอบที่ถูกต้องจริง ๆ ควรถามผู้เชี่ยวชาญด้าน IT หรือทำ digital forensics

A: หากมีการเก็บข้อมูล แม้จะเป็นข้อมูลของพนักงาน เราสามารถแจ้งไว้ล่วงหน้าตั้งแต่วันทำสัญญาว่าหากมีการเข้าเว็บไซต์ก็จะเก็บข้อมูล แต่ถ้าแจ้งไม่ได้ก็สามารถขึ้นแบนเนอร์ได้ แต่ cookie consent ไม่แนะนำให้ใช้เพราะ ไม่ใช่ทุก cookie ที่ต้องขอความยินยอมแต่ต้องดูฐานการประมวลผล

A: มาตรา 95 ความยินยอมเดิมที่เก็บมาก่อนที่กฎหมายมีผลบังคับให้มีผลต่อไป แต่ขอบเขตความยินยอมต้องเป็นขอบเขตเดิม แต่หากตอนขอความยินยอมตอนแรกไม่ได้รวม cross sale ในขอบเขต ก็ไม่สามารถใช้ความยินยอมนอกขอบเขตได้หลังกฎหมายมีผลใช้บังคับ

A: หากข้อมูลที่เกิดขึ้นใหม่นั้นยังสามารถที่จะระบุไปยังเจ้าของข้อมูลส่วนบุคคลได้ ข้อมูลดังกล่าวยังคงเป็นข้อมูลส่วนบุคคล ส่วนการปฏิเสธการใช้สิทธิต้องพิจารณาว่ามีเหตุแห่งการปฏิเสธสิทธิตามกฎหมายหรือไม่

A: ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาก่อนที่กฎหมายมีผลใช้บังคับสามารถเก็บรวบรวมและใช้ต่อไปได้ตามวัตถุประสงค์เดิม ตามมาตรา 95 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ

A: กรณีดังกล่าวอาจทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการให้ข้อมูลได้ การขอความยินยอมต้องทำโดยชัดเจนและชัดแจ้ง ตามมาตรา 19 พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ และควรมีการกำหนดช่องทางรายละเอียดการถอนความยินยอมที่ง่ายเช่นเดียวกับการให้ความยินยอมด้วย หากบริษัทไม่ทำให้ชัดเจนอาจเกิดผลเสียหายจากการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

A: ขึ้นอยู่กับว่าการไม่กดรับยินยอมเป็นสาระสำคัญของการใช้บริการแอปพลิเคชันหรือเว็บไซต์หรือไม่

A: ควรขอความยินยอมและแจ้งวัตถุประสงค์ในการใช้ข้อมูลโดยชัดแจ้งแก่ลูกค้าทาง Facebook chat หรือ Line

A: ต้องพิจารณาว่ามีความจำเป็นที่ต้องเก็บลายนิ้วมือจริงหรือไม่ ซึ่งนโยบายของบริษัทอาจไม่ได้สื่อถึงความจำเป็นเสมอไป ต้องกำหนดด้วยลักษณะของงานตามความจริง อ้างอิงมาตรฐานต่าง ๆ เช่น กิจกรรมนี้ต้องรักษาความปลอดภัยสูงมากจึงต้องใช้ลายนิ้วมือ (หากใช้เพียง password จะไม่เพียงพอ) ทั้งนี้ ต้องชั่งน้ำหนักของการใช้ข้อมูลและการละเมิดข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาจดูตำแหน่งงานประกอบว่าจำเป็นจริงหรือไม่ หากไม่จำเป็นและพนักงานไม่ยินยอม การเลิกจ้างจะกลายเป็นการเลิกจ้างไม่เป็นธรรมตามกฎหมายแรงงานได้

A1: ควรขอก่อน

A2: ไม่ได้ รายละเอียดของ Consent จะต้องอยู่ในแบบฟอร์มขอความยินยอม แต่ข้อมูลส่วนอื่น ๆ สามารถระบุใน privacy notice หรือ privacy policy ได้

A: ดูลักษณะการประมวลผลว่าใช้ข้อมูลไปเพื่ออะไร ถ้าเพื่อยืนยันตัวตน ข้อมูลดังกล่าวจะไม่ใช่ข้อมูลอ่อนไหว แต่ถ้ามีการนำข้อมูลนั้นมาประมวลผลเพื่อดึงส่วนที่เป็นข้อมูลอ่อนไหวออกมา ก็จะเป็นการประมวลผลแบบ sensitive เริ่มต้นที่หลัก Data minimization กล่าวคือ บริษัทอาจจะออกแบบให้ไม่ต้องมีการเก็บข้อมูลก็ได้ หรือถามในลักษณะที่จะไม่สามารถตีความไปได้ เช่น การถามว่าไม่ทานหมูใช่หรือไม่ อาจเปลี่ยนเป็นถามว่าต้องการอาหารเมนูอะไร แต่หากจำเป็นต้องใช้จริงก็สามารถเก็บข้อมูลเหล่านั้นได้ ทั้งนี้ข้อมูลอย่างหนึ่งอาจตีความ (inferred/derived) ได้หลายกรณี เช่น รูปคนโพกหัว สามารถตีความเพียงยืนยันตัวบุคคลหรืออาจตีความไปถึงศาสนาได้ ต้องพิจารณาว่าวัตถุประสงค์ที่ประมวลผลข้อมูลคืออะไร

A1: เป็นข้อมูลส่วนบุคคล แต่มีความปลอดภัยขึ้น

A2: เป็น PII

A: หากมีการเก็บข้อมูลแม้จะเป็นข้อมูลของพนักงาน เราสามารถแจ้งไว้ล่วงหน้าตั้งแต่วันทำสัญญาว่าหากมีการเข้าเว็บไซต์ก็จะเก็บข้อมูล แต่ถ้าแจ้งไม่ได้ก็สามารถขึ้นแบนเนอร์ได้ แต่ cookie consent ไม่แนะนำให้ใช้เพราะ ไม่ใช่ทุก cookie ที่ต้องขอความยินยอมแต่ต้องดูฐานการประมวลผล

A: ก่อนจะพิจารณาว่าใช้ฐานใด ต้องอธิบายให้ได้ก่อนว่าวัตถุประสงค์ของกิจกรรมนั้นคืออะไร สำหรับฐาน legitimate interest เป็นกรณีที่ชั่งน้ำหนักระหว่างประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคลกับผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลแล้วมีน้ำหนักมากกว่า และสิ่งนั้นเป็นสิ่งที่เจ้าของข้อมูลสามารถคาดหมายได้

A: ใช่

A: เข้ามาตรา 26 (5) (ก)

A: การเก็บข้อมูลควรจัดเก็บเท่าที่จำเป็น ซึ่งความจำเป็นนั้นหมายถึงกิจกรรมและวัตถุประสงค์นั้นจำเป็นต้องใช้ข้อมูลนั้นจริง ๆ จึงไม่ควรเก็บข้อมูลเผื่อสำหรับอนาคต

A: เรื่องประกันกลุ่มน่าจะต้องขอความยินยอม

A: อ้างอิงตาม TDPG 3.0 -B3

A: อ้างอิงตาม TDPG 3.0 -B2.14 กรณีเป็นฐาน legitimate interest หรืออ้างอิงตาม TDPG 3.0-K3 แนวปฏิบัติเรื่องการตรวจสอบในที่ทำงาน

A: กรณีให้บริการชำระเงินออนไลน์แล้วผู้ใช้บริการมาใช้บริการชำระเงินเป็นกรณีของฐานสัญญาแล้ว

A: ควรขอความยินยอมและแจ้งวัตถุประสงค์ในการใช้ข้อมูลโดยชัดแจ้งแก่ผู้ใช้งาน

A: การขอความยินยอมต้องพิจารณาที่วัตถุประสงค์ของการนำข้อมูลนั้นไปใช้เป็นหลัก

A: ได้ เป็นเรื่องของการขอความชัดเจนของรายละเอียดมากขึ้น

A: การแจ้งไม่จำเป็นต้องมีการลงนาม แต่ควรทำให้แน่ใจว่าเจ้าของข้อมูลส่วนบุคคลจะได้รับแจ้ง (ตามช่องทางที่มีการติดต่อกับเจ้าของข้อมูลส่วนบุคคลจริง ๆ)

A: สามารถทำได้

A: กรณีบุคคลอ้างอิงอาจจะยากที่ผู้ควบคุมจะสามารถติดต่อได้ ผู้ที่นำข้อมูลของบุคคลอ้างอิงมาอ้างจะต้องรับรองว่าได้ขอความยินยอมแล้ว

A: การเพิกถอนความยินยอมกับการลบบัญชีเป็นคนละกรณีกัน เว้นแต่ จะระบุไว้ในเงื่อนไขว่าการลบบัญชีเป็นการเพิกถอนความยินยอม

A: เป็นคนละกรณีกับมาตรา 26 (4) เป็นกรณีใช้สิทธิเรียกร้องกรณีนี้เป็นข้อมูลอ่อนไหวของบุคคลที่สาม ต้องขอความยินยอม

A: หากมีการเขียนไว้ชัดเจนก็ควรจะเพียงพอ อย่างไรก็ดี ต้องแน่ใจว่าบริการของเราไม่ได้มีกลุ่มเป้าหมายหลักของลูกค้าเป็นกลุ่มบุคคลดังกล่าว ไม่เช่นนั้นอาจต้องสร้างให้เกิดกระบวนการที่ชัดเจนกว่านี้

A: การติดตั้งกล้อง cctv บริเวณอาคารเพื่อรักษาความปลอดภัยสามารถอ้างฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) แต่ควรมีการติดป้ายแจ้งเตือนบริเวณที่ติดตั้งกล้อง cctv ด้วย

A: ในกรณีที่เป็นการทำสัญญาประกันโดยอาศัยหน้าที่ตามสัญญาอื่น (เช่น สัญญาจ้าง) จะไม่สามารถอ้างฐานสัญญาได้ โดยกรณีของจุฬาฯ เดิมจุฬาฯ เป็นผู้ชำระเบี้ย โดยมีลูกจ้างเป็นผู้เอาประกัน ในปัจจุบันนี้ จึงเปลี่ยนโครงสร้าง คือ บริษัทจะติดต่อทำสัญญากับผู้เอาประกันโดยตรง และจุฬาฯ จะมีสถานะเป็นเพียงแค่ผู้ชำระเบี้ยประกันเท่านั้น

A: ปัจจุบันยังไม่หลักการเทียบเคียง ในกรณีนี้คำว่า Marketing Activities มีความหมายค่อนข้างกว้าง ในแต่ละธุรกิจควรจะคุยกันเพื่อสร้างมาตรฐาน เช่น การส่งอีเมลโฆษณาจะเก็บ 10 ปี อาจจะอธิบายลำบาก แต่ปัจจุบันกิจกรรมการตลาดทั่วไปจะใช้ระยะเวลา นับจาก current year +2 ปี แต่ไม่ใช่หลักการเป็นสิ่งที่ตั้งขึ้นร่วมกัน

การออกกิจกรรม เช่น การตั้งบูทให้ลูกค้ามากรอกข้อมูล ฐานที่ใช้ก็จะเป็นฐานความยินยอม ในการขอความยินยอมก็ให้ระบุแจ้งว่าจะเก็บไว้เป็นระยะเวลากี่ปี แต่หากระยะเวลานานเกินไปเจ้าของข้อมูลอาจไม่ยินยอมได้ แต่ถ้าระบุแล้วก็สามารถเก็บได้ตามความยินยอม โดยปกติหากไม่ได้ระบุก็จะต้องใช้ในระยะเวลาเท่าที่จำเป็น
การขอความยินยอมเพื่อหลายวัตถุประสงค์ สามารถขอได้ โดยระบุให้ชัดเจน รวมถึงระบุระยะเวลาในการเก็บด้วย(ไม่เช่นนั้นจะถือว่าฝ่าฝืนมาตรา 23) แต่เจ้าของข้อมูลอาจไม่ยินยอมทั้งหมด
พิจารณาที่ความจำเป็นของกิจกรรม เช่น การจัดเตรียมกิจกรรม การเก็บข้อมูลของกิจกรรมในกรณีการเรียกข้อมูลทางภาษี การใช้สิทธิเรียกร้อง การฟ้องร้อง และความจำเป็นอาจจะส่งไม้ต่อกันก็ได้

A1: ต้องแจ้ง

A2: ถ้าเป็น necessary cookie เพียงกดรับทราบก็เพียงพอ ไม่จำเป็นต้องให้กดตกลงหรือยกเลิก แต่ถ้าเป็นคุกกี้ที่ไม่จำเป็นอาจจะขอความยินยอม โดยอาจรวมขอความยินยอมไปเลยทั้ง necessary cookie และคุกกี้ที่ไม่จำเป็น

A1: ควรขอก่อนให้ข้อมูล

A2: ไม่ได้ รายละเอียดของ Consent จะต้องอยู่ในฟอร์มขอความยินยอม แต่ถ้าข้อมูลส่วนอื่น ๆ สามารถระบุใน privacy notice หรือ privacy policy ได้

A: ในปัจจุบัน ปกติพนักงานน่าจะอยากให้อวยพร แต่อาจจะมีบางคนที่ไม่ต้องการให้มีการอวยพรวันเกิด ในทางกฎหมายอาจจะไม่มีคำตอบที่ชัดเจน แต่ถ้าบริษัทคิดว่าอาจจะมีพนักงานบางคนที่ไม่สะดวกใจ ก็ควรขอความยินยอม

A: กรณีนี้เป็นที่ผู้เยาว์สามารถทำได้ด้วยตนเองตามฐานานุรูปตามประมวลกฎหมายแพ่งและพาณิชย์ จึงไม่จำเป็นต้องขอความยินยอมจากผู้ใช้อำนาจปกครองอีก

A: ได้ อย่างน้อยการเพิกถอนความยินยอมต้องสามารถกระทำได้ง่ายเหมือนตอนให้ความยินยอม

A: กรณีที่ผู้เยาว์สามารถทำได้ด้วยตนเองตามฐานานุรูปตามประมวลกฎหมายแพ่งและพาณิชย์ ก็สามารถใช้ฐานสัญญาได้ ไม่ใช่ทุกกรณีที่เกี่ยวข้องกับผู้เยาว์จะต้องขอความยินยอมเสมอไป

A: ทางปฏิบัติควรใช้วิธีแจ้งผ่านบุคคลที่เก็บข้อมูลผ่านมาโดยตรงจากเจ้าของข้อมูล (ต้นทาง)

A: การเก็บบัตรประชาชนถ้ามีการบันทึกข้อมูลจากบัตร เช่น จดในสมุดหรือนำเข้าระบบคอมพิวเตอร์เพื่อเป็น record ถือว่ามีการเก็บและต้องทำตาม PDPA ส่วนมีการควบคุมเพียงพอหรือไม่ขึ้นอยู่กับบริบทของแต่ละที่ว่ามีการรักษาความปลอดภัยของข้อมูลที่บันทึกไว้มากน้อยแค่ไหน ใครสามารถเข้าถึงข้อมูลได้บ้าง มีวัตถุประสงค์ในการเก็บข้อมูลที่สามารถอธิบายได้หรือไม่ เอาบัตรเก็บไว้ต้องดูแลให้ปลอดภัยเป็นเรื่องที่ควรทำ ทั้งนี้ PDPA นั้นจะบอกว่าข้อมูลใดมีความเสี่ยง ต้องดูแลให้ปลอดภัย ขอบเขตของPDPA คือมี Filing system หรือไม่ ถ้าไม่มีการบันทึกไว้ก็อาจจะยังไม่ต้องมีมาตรการ PDPA มาดูแลอย่างเต็มรูปแบบ

A: ต้องทำให้แน่ใจว่า partner ได้รับ consent จากลูกค้าก่อนที่จะส่งมาให้เรา และในขั้นตอนการย้าย อาจมีกิจกรรมบางกิจกรรมที่ต้อง share ข้อมูลกับหน่วยงานอื่น เจ้าของข้อมูลมีสิทธิจะโอนข้อมูลส่วนบุคคลในกิจกรรมที่เกี่ยวข้องเท่านั้นเพื่อตอบโจทย์วัตถุประสงค์เฉพาะส่วนที่เจ้าของข้อมูลส่วนบุคคลมาลงทะเบียนไว้ ไม่สามารถรื้อข้อมูลส่วนอื่น ๆ นอกกิจกรรมได้

A: ถ้าข้อมูลมาจากลูกค้าก็จะมีสิทธิอยู่ ปกติควรจะใช้สิทธิต้นทางแล้วมาบอกต่อเรา กรณีถ้าข้ามมาใช้สิทธิกับเรา ก็จะเป็นกรณีที่ตันทางยินยอมให้ใช้สิทธิได้แต่เราไม่ยินยอม

A: ต้องปฏิบัติตาม PDPA

A: ดูว่าสามารถบ่งชี้ตัวบุคคลได้หรือไม่ ถ้าได้ก็ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

A: เนื่องจากลายนิ้วมือและข้อมูลใบหน้าเป็นข้อมูลชีวมิติซึ่งเป็นข้อมูลอ่อนไหว จึงต้องขอความยินยอม ทั้งนี้ ควรพิจารณาว่ามีความจำเป็นที่จะเก็บข้อมูลอ่อนไหวนั้นจริง ๆ

A: เมื่อเราเก็บรวบรวมข้อมูลส่วนบุคคลมาเพื่อการประมวลผลของเราเอง เราก็ย่อมเป็นผู้ควบคุมข้อมูลส่วนบุคคลครับ

A: การพิจารณาควรตั้งต้นที่กิจกรรมว่ามีวัตถุประสงค์เพื่ออะไรแทนที่จะตั้งต้นด้วยตัวข้อมูล แล้วจึงพิจารณาในรายละเอียดว่ามีข้อมูลที่เป็นข้อมูลอ่อนไหวหรือไม่

A: ในทางปฏิบัติ หากเป็นกรณีที่ให้บริษัทติดต่อกับเจ้าของข้อมูลส่วนบุคคลเองก็จะสามารถลดขั้นตอนและทำให้กระบวนการภายในมีประสิทธิภาพมากขึ้นได้

A: ใช่ ถ้ามีชัดแจ้ง ก็สามารถเป็นฐานสัญญาได้ ทั้งนี้ เรื่องฐานการประมวลผล อาจมีได้หลายฐานได้ในวัตถุประสงค์เดียวกัน แต่มีฐานเดียวที่ไม่เข้ากับฐานอื่น นั่นคือความยินยอม

A: มี 2 ประเด็น 1. vital interest หากขอความยินยอมได้ให้ขอความยินยอมก่อน แต่หากไม่สามารถให้ความยินยอมได้และข้อมูลมีความสำคัญในการช่วยชีวิตของเจ้าของข้อมูลส่วนบุคคลสามารถใช้ฐาน vital interest ได้ 2. หากวัตถุประสงค์ไม่ใช่เพื่อเจ้าของข้อมูลส่วนบุคคลแต่เพื่อประโยชน์ส่วนรวมในการควบคุมโรค จะเข้าฐานประโยชน์สาธารณะ (public task/public authority) มีกฎหมายกำหนดให้นำข้อมูลนี้มาใช้ได้อย่างขัดเจน แต่ยังคงมีหน้าที่แจ้งเจ้าของข้อมูลส่วนตามมาตรา 23, 25

A: ดูตามบริบท ว่าต้องการให้ทราบเท่านั้นหรือสามารถเอาไปประมวลผลได้ ทั้งนี้ ควรเริ่มที่ตัวกิจกรรมขององค์กรเป็นหลัก มีเหตุผลในการประมวลผลหรือไม่ ไม่ควรไปมองว่าตัวข้อมูลนั้นเป็นอย่างไร ใช้ได้หรือไม่

ไม่เฉพาะเจาะจงพอที่จะเป็นความยินยอม ควรมองเป็น legitimate interest ส่วน manifestly disclose to public ก็ควรเป็นขอบเขตที่เจ้าของคาดหมายได้ สามารถอ้างอิงได้ที่ TDPG3.0 – C2,C6 ได้อธิบายหลักการของฐานความยินยอมไว้ กรณีข้อมูลส่วนบุคคลอ่อนไหวหากใช้ฐานความยินยอมจะต้องมีขั้นตอนการกระทำที่พิเศษขึ้นยิ่งกว่าความยินยอมทั่วไป สามารถศึกษาเพิ่มเติม – H1

A: ขอความยินยอมหรือไม่ต้องพิจารณาว่าบัตรประชาชนเพื่อนำส่งภาษีเป็นฐานตามกฎหมายหรือไม่ และเมื่อหมดความจำเป็นต้องทำลายข้อมูลเสมอ

A: ขึ้นอยู่กับว่าเป็นการเรียกดูข้อมูลส่วนบุคคลฐานตามฐานกฎหมายใด ในกรณีที่เป็น sensitive data จำเป็นที่จะต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เข้ากรณีอื่นที่ไม่ต้องขอความยินยอมตามมาตรา 26

A: โดยหลักสามารถทำได้ แต่ต้องระบุให้ชัดเจนว่าข้อมูลแต่ละข้อมูลจะถูกใช้ประมวลผลอย่างไร เพื่อวัตถุประสงค์อะไร หากกิจกรรมมีความแตกต่างกันมากควรแยกเป็นหลายสัญญาเพื่อความชัดเจน

A: Retention period เป็นไปได้ที่จะกำหนดให้เก็บตลอดไป เช่น การเก็บข้อมูลเชิงประวัติศาสตร์หรือเพื่อประโยชน์สาธารณะ แต่สำหรับธุรกิจทั่วไปจะเก็บได้ก็ต้องมีเหตุความจำเป็น, ข้อมูลที่หมดความสำคัญจำเป็นแล้วก็ควรจะต้องลบออกไปแม้กระทั่งหน่วยงานของรัฐ ต้องพิจารณาประเด็น rights to be forgotten ประกอบด้วย

A: Auditing firm โดยทั่วไปทำงานตามมาตรฐานของตัวเองโดยตัดสินใจเองว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดเพื่อกรทำงาน จึงมีสถานะเป็น controller แต่บริษัททนายความขึ้นอยู่กับข้อเท็จจริงว่ามีอำนาจควบคุมข้อมูลและกำหนดวัตถุประสงค์มากน้อยเพียงใด โดยหลักคือเป็น controller หากสามารถตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด แต่ก็สามารถเป็น processor ได้หากเป็นกรณีที่ถูกสั่งให้ประมวลผลข้อมูลส่วนบุคคลโดยลูกความ

A: ข้อเท็จจริงที่ว่าเป็น outsource หรือไม่เป็น outsource ไม่ใช่ประเด็นพิจารณาว่าเป็น controller หรือ processor หรือไม่ แต่ต้องพิจารณาว่าหน่วยงานนั้นมีอำนาจในการกำหนดการใช้ข้อมูลและวัตถุประสงค์อย่างไร

A: PDPA มีขอบเขตครอบคลุมถึงเพียงข้อมูลส่วนบุคคลของบุคคลธรรมดาเท่านั้น

A: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการกำหนดหน้าที่ว่าต้องเปิดเผยข้อมูลในกรณีใดบ้าง จึงต้องพิจารณาตามกฎหมายเฉพาะอื่น ๆ เช่น กฎระเบียบของ ก.ล.ต.

A: ไม่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะไม่ได้ถูกสั่งให้ทำการประมวลผลข้อมูลส่วนบุคคล (peronsal data processing)

A: หากข้อเท็จจริงปรากฏว่าเป็นการโอนเพื่อปฏิบัติตามสัญญา เช่น สัญญาจ้าง ก็ใช้เหตุดังกล่าวทำให้การโอนข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมายตามมาตรา 28 ได้ (โดยไม่มีใช้ BCRs ตามมาตรา 29)

A: บุคคลคนหนึ่งอาจเป็นทั้งผู้ควบคุมข้อมูลในการประมวลผลที่เขามีอำนาจตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล และเป็นผู้ประมวลผลข้อมูลในกรณีที่ถูกผู้ควบคุมข้อมูลสั่งให้ประมวลผล เช่น โรงแรม ก. ตัดสินใจเองว่าจะเก็บและใช้ข้อมูลอะไรในการให้บริการ (เป็นผู้ควบคุมข้อมูล) และขณะเดียวกัน โรงแรม ก. ก็อาจถูก บริษัท ข. ซึ่งเป็นเว็บไซต์ให้บริการด้านที่พักสั่งให้ประมวลผลข้อมูลชุดเดียวกันกับที่ตนเป็นผู้ควบคุมได้ อย่างไรก็ตาม กรณีที่เป็นผู้ประมวลผลนี้ผู้สั่งให้ประมวลผล (ผู้ควบคุมข้อมูล) ต้องมีฐานทางกฎหมายรองรับการสั่ง

A: DPO จะต้องมีความรู้เพียงพอในการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล เช่น ด้าน IT และด้านกฎหมายประกอบกัน โดยในปัจจุบันยังไม่มีกฎหมายบังคับว่า DPO ต้องมีใบรับรองจากหน่วยงานหรือสถาบันใด

A: Auditing firm โดยทั่วไปทำงานตามมาตรฐานของตัวเองและมีอิสระที่จะตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลใดในการทำงาน จึงมีสถานะเป็น controller แต่บริษัททนายความขึ้นอยู่กับข้อเท็จจริงว่ามีอำนาจควบคุมข้อมูลและกำหนดวัตถุประสงค์มากน้อยเพียงใด โดยหลักคือเป็น controller แต่ก็สามารถเป็น processor ได้ถ้าไม่มีการกำหนดวัตถุประสงค์เองและถูกบุคคลอื่นสั่งให้ประมวลผลข้อมูลส่วนบุคคล

A: อาจไม่ต้องแยกเป็นคนละฉบับ แต่จะต้องมีความชัดเจนเพียงพอให้เจ้าของข้อมูลเข้าใจว่าการให้ความยินยอมเป็นสิ่งที่แยกออกจากสิทธิและหน้าที่ตามสัญญาและตนมีอิสระที่ไม่ให้ความยินยอมก็ได้ ไม่กระทบต่อการให้บริการตามสัญญา โดยอาจมีการแยกกรอบออกมาในโบรชัวร์ฉบับเดียวกัน มีการใช้สี แล้วแต่ทางหน่วยงานจะออกแบบ

A: ข้อเท็จจริงที่ว่าเป็น outsource หรือไม่เป็น outsource ไม่ใช่ประเด็นพิจารณาว่าเป็น controller หรือ processor หรือไม่ แต่ต้องพิจารณาว่าบุคคลผู้ให้บริการ outsource นั้นมีอำนาจในการตัดสินใจว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ หากมีอำนาจดังกล่าวก็เป็นผู้ควบคุุมข้อมูลส่วนบุคคล หากปรากฏว่า เพียงรับคำสั่งจากผู้ว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลเพื่อประกอบการให้บริการ กรณีหลังนี้ ผู้ให้บริการ outsource ย่อมมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

A: มีความจำเป็นหากเข้าตามหลักเกณฑ์ที่พรบ.คุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ซึ่งจะกำหนดไว้เฉพาะในการประมวลผลที่สำคัญ

A: การประกอบการเกี่ยวข้องสัมพันธ์กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยตรง เช่น ผู้ที่ทำการวิเคราะห์พฤติกรรมการบริโภคของบุคคลธรรมดา หรือเป็นบุคคลที่จำเป็นต้องมีข้อมูลส่วนบุคคลจำนวนมากเพื่อการให้บริการ เช่น โรงพยาบาล

A: ต้องพิจารณาจากข้อเท็จจริงว่าบุคคลนั้น “มีการกระทำครบองค์ประกอบภายนอกและภายใน” ของการกระทำความผิดตามที่กฎหมายบัญญัติหรือไม่ กรรมการบริษัทถือว่ามีการกระทำได้หากว่ามีส่วนเกี่ยวข้องหรืองดเว้นการปฏิบัติหน้าที่ของตน ดังนั้น ถึงแม้ว่าจะมี DPO แล้ว หากกรรมการมีการกระทำครบองค์ประกอบ ก็ยังคงต้องรับผิดทางอาญาอยู่

A: การที่จะดูว่า Vender ซึ่งเป็น Data processor ได้ประมวลผลตามคำสั่งของ Data controller ต้องดูที่ “วัตถุประสงค์” ที่ Data controller สั่งในสัญญาประมวลผลข้อมูลระหว่าง Data controller และ Vender การพิจารณาว่า data processor ทำเกินหรือไม่ มี 3 ลักษณะใหญ่ ๆ คือ ใช้ข้อมูลเกินวัตถุประสงค์ ใช้ข้อมูลผิดวัตถุประสงค์ นำข้อมูลส่งให้ผู้อื่นที่ไม่ได้รับอนุญาต แต่สุดท้ายแล้วผู้ที่มีหน้าที่ต้องรับผิดต่อเจ้าของข้อมูลคือ data controller แล้วจึงไล่เบี้ยกับ data processor ภายหลัง ในทางปฏิบัติหาก data controller ไว้วางใจ data processor ให้สามารถไปจ้าง sub-contractor ได้ อาจกำหนดให้ data processor แจ้ง data controller ทุกครั้งที่ส่งต่อข้อมูลไปยังบุคคลภายนอกเพื่อให้ data controller ทราบและสามารถรักษามาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและป้องกันความเสียหายได้ทัน

A: ยังต้องบันทึก แต่ระบุว่ามีการใช้ Processor

A: ถูกต้อง การทราบแล้วไม่แจ้งเป็นการไม่ปฏิบัติหน้าที่ของ processor อย่างหนึ่ง เวลาจะนับเมื่อมีเหตุให้ทราบตั้งแต่แรก

A: ในกรณีที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล บริษัทย่อมมีหน้าที่ต้องคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย หากการดำเนินการของบริษัทเข้ากรณีที่ต้องรับผิดตามกฎหมายบริษัทยังคงต้องรับผิดตามกฎหมายอยู่ถึงแม้ว่าจะมีการว่าจ้าง DPO แล้วก็ตาม

A: เป็นกรณีที่กฎหมายไม่ได้บังคับให้ต้องทำ และ controller ที่รับการเปิดเผยก็ต้องมีฐานทางกฎหมายและความรับผิดชอบต่อตัวเจ้าของข้อมูลส่วนบุคคลโดยตรง อย่างไรก็ตาม การทำสัญญาระหว่าง controller และ controller ซึ่งกำหนดสิทธิและหน้าที่เอาไว้อย่างชัดเจนอาจช่วยให้เกิดความชัดเจนมากขึ้น เช่น หากนำข้อมูลไปใช้เพื่อตนเองแล้ว เจ้าของข้อมูลส่วนบุคคลมาเรียกร้องเอาจากตัวผู้เปิดเผย กรณีนี้ผู้ใช้ข้อมูล (ซึ่งก็เป็น controller ด้วย) จะมีความรับผิดชอบประการใด

จัดทำโดย

ผู้จัดการโครงการ

รศ. ดร. พัฒนาพร โกวพัฒนกิจ

คณาจารย์ผู้สอน

ผศ.ดร. ปิยะบุตร บุญอร่ามเรือง
ดร. พีรพัฒ โชคสุวัฒนสกุล
ดร. ปิติ เอี่ยมจำรูญลาภ

นิสิตผู้ช่วย

กนกนันท์ ชนาทรธรรม
ปาลิตา รุ่งระวี
ณัฐธิดา ดวงวิโรจน์
พีรณุช ยาโตปะมา