]

t-reg PDPA Platform

pdpa สรุป

สรุป 2 แนวทางเพิ่มเติม กฎหมาย PDPA จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เนื้อหาในบทความ

t-reg สรุปให้ อัปเดตแนวทางใหม่ ของกฎหมาย PDPA เข้าใจภายใน 5 นาที

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ เพื่อสร้างความชัดเจนและเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ที่เกี่ยวข้องนำไปปรับใช้และปฏิบัติให้ถูกต้อง อันจะเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ดังนี้
 

1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

t-reg สรุปและคัดสรรเนื้อหาสำคัญ เข้าใจภายใน 5 นาที รายละเอียดของแต่ละแนวทาง มีดังนี้

pdpa สรุป
  1. ประเภทและลักษณะในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล แก่เจ้าของข้อมูลส่วนบุคคล แบ่งเป็น 2 ลักษณะ คือ

‌กรณีที่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ
‌กรณีที่ไม่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ

       2. หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ภายใต้หลักการดังต่อไปนี้

‌- ความเป็นธรรม (Fairness)
-‌ การจำกัดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (Purpose Limitation)
‌- ความยินยอม (Consent)
-‌ การอ้างประโยชน์โดย
ชอบด้วยกฎหมาย(Legitimate Interest)

 ‌    3. ประเภทของการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย สามารถทำได้ 2 วิธี คือ

การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งรายละเอียดเหล่านี้
– วัตถุประสงค์การเก็บรวบรวม
– แจ้งให้ทราบถึงความจำเป็นทางกฎหมาย
– ข้อมูลส่วนบุคคลที่มีการจัดเก็บ
– ระยะเวลาในการเก็บรวบรวม
– ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลที่เก็บรวบรวมอาจจะถูกเปิดเผย
– รายละเอียดช่องทางการติดต่อ
– สิทธิต่างๆ ตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล

‌การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น (Other sources) ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง ไม่สามารถทำได้ ‌เว้นแต่
– ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งถึงการเก็บรวบรวมจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ต้องไม่เกิน 30 วันนับแต่วันที่ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและได้รับความยินยอม
– การเก็บรวบรวมข้อมูลส่วนบุคคลได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26

   4. ข้อยกเว้นของการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล   สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง
อาจไม่ต้องดำเนินการแจ้งวัตถุประสงค์ใหม่ที่เก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ
ข้อมูลส่วนบุคคลทราบ และแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมเมื่อทำการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

– เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่อยู่แล้ว
– ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
– การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต้องกระทำโดยเร่งด่วน
– เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นได้ข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้เป็นความลับตามที่กฎหมายกำหนด

    5. การแจ้งวัตถุประสงค์และรายละเอียดของการเก็บรวบรวมข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล ต้องกระทำโดยชัดแจ้ง โดยอาจทำได้หลายวิธี เช่น การแจ้งเป็นหนังสือ การแจ้งทาง วาจาการแจ้งทางข้อความในรูปแบบ SMS, อีเมล, MMS หรือทางโทรศัพท์หรือโดยวิธีการทาง อิเล็กทรอนิกส์อื่นใด เช่นการระบุรายละเอียดใน URL หรือ QR code เป็นต้น

‌6. หน่วยงานควบคุมและกำกับดูแลสภาวิชาชีพ หรือสมาคมและกลุ่มอุตสาหกรรม
อาจกำหนดรูปแบบวิธีการ แนวทาง หรือตัวอย่างการแจ้ง วัตถุประสงค์และรายละเอียดที่เหมาะสมเพื่อให้มีการปฏิบัติที่เป็นไปในทิศทางเดียวกันได้ โดยประสานงาน กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ความเห็นหรือให้คำปรึกษาได้

pdpa สรุป
pdpa สรุป
pdpa สรุป
pdpa สรุป

 

1‌. ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดดังต่อไปนี้

(1) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(2) วัตถุประสงค์
(3) รายละเอียดประเภทของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม
(4) สิทธิของเจ้าของข้อมูลส่วนบุคคลในการถอนความยินยอม พร้อมรายละเอียดว่าจะกระทำได้โดยวิธีใด อย่างไร

2‌. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ต้องแสดงเจตนาโดยชัดแจ้ง โดยต้องกระทำการหรือแสดงให้เห็นได้อย่างชัดเจนว่าได้ให้ความยินยอม ยกตัวอย่างเช่น
การยื่นหนังสือให้ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจัดทำขึ้นเอง
การลงนามให้ความยินยอม ในแบบฟอร์มให้ความยินยอมที่ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำขึ้น
การคลิกใน checkbox เพื่อระบุว่า “ยินยอม” โดยเจ้าของข้อมูลส่วนบุคคลเอง
การกดปุ่มบนโทรศัพท์มือถือ 2 ครั้งติดกัน เพื่อแสดงเจตนายืนยัน
การสไลด์หน้าจอ (swipe) เพื่อแสดงถึงเจตนาการให้ความยินยอม

‌การถอนความยินยอม
ต้องใช้วิธีเดียวกันหรือมีความง่ายระดับเดียวกับขั้นตอนการขอความยินยอม
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแสดงรายละเอียดวิธีการ เงื่อนไข หรือแบบฟอร์มในการถอนความยินยอมให้เด่นชัด (prominent) ในบริเวณที่เห็นได้ชัดเจนในการขอความยินยอมไม่ว่าในรูปแบบหนังสือหรืออิเล็กทรอนิกส์

3. การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุมากกว่า 10 ปี แต่ยังไม่บรรลุนิติภาวะ
– ต้องทำโดยชัดแจ้ง และต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์ เว้นแต่ มีข้อยกเว้นตามประมวลกฎหมายแพ่งและพาณิชย์
– ต้องใช้ภาษา หรือวิธีการที่ผู้เยาว์เข้าใจได้โดยง่าย
– ต้องมีมาตรการตรวจสอบอายุของผู้เยาว์ที่เหมาะสม
ตามระดับความเสี่ยง ยกตัวอย่างเช่น ใช้เลขประจำตัวประชาชน

4. ‌การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุไม่เกิน 10 ปี
‌ต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์เท่านั้น จะขอความยินยอมจากผู้เยาว์ไม่ได้

pdpa สรุป
FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ส่งต่อบทความดีๆ ได้ที่นี่