]

t-reg PDPA Platform

pdpa สรุป

สรุป 2 แนวทางเพิ่มเติม กฎหมาย PDPA จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เนื้อหาในบทความ

t-reg สรุปให้ อัปเดตแนวทางใหม่ ของกฎหมาย PDPA เข้าใจภายใน 5 นาที

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ เพื่อสร้างความชัดเจนและเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ที่เกี่ยวข้องนำไปปรับใช้และปฏิบัติให้ถูกต้อง อันจะเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ดังนี้
 

1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

t-reg สรุปและคัดสรรเนื้อหาสำคัญ เข้าใจภายใน 5 นาที รายละเอียดของแต่ละแนวทาง มีดังนี้

pdpa สรุป
  1. ประเภทและลักษณะในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล แก่เจ้าของข้อมูลส่วนบุคคล แบ่งเป็น 2 ลักษณะ คือ

‌กรณีที่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ
‌กรณีที่ไม่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ

       2. หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ภายใต้หลักการดังต่อไปนี้

‌- ความเป็นธรรม (Fairness)
-‌ การจำกัดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (Purpose Limitation)
‌- ความยินยอม (Consent)
-‌ การอ้างประโยชน์โดย
ชอบด้วยกฎหมาย(Legitimate Interest)

 ‌    3. ประเภทของการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย สามารถทำได้ 2 วิธี คือ

การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งรายละเอียดเหล่านี้
– วัตถุประสงค์การเก็บรวบรวม
– แจ้งให้ทราบถึงความจำเป็นทางกฎหมาย
– ข้อมูลส่วนบุคคลที่มีการจัดเก็บ
– ระยะเวลาในการเก็บรวบรวม
– ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลที่เก็บรวบรวมอาจจะถูกเปิดเผย
– รายละเอียดช่องทางการติดต่อ
– สิทธิต่างๆ ตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล

‌การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น (Other sources) ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง ไม่สามารถทำได้ ‌เว้นแต่
– ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งถึงการเก็บรวบรวมจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ต้องไม่เกิน 30 วันนับแต่วันที่ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและได้รับความยินยอม
– การเก็บรวบรวมข้อมูลส่วนบุคคลได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26

   4. ข้อยกเว้นของการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล   สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง
อาจไม่ต้องดำเนินการแจ้งวัตถุประสงค์ใหม่ที่เก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ
ข้อมูลส่วนบุคคลทราบ และแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมเมื่อทำการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

– เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่อยู่แล้ว
– ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
– การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต้องกระทำโดยเร่งด่วน
– เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นได้ข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้เป็นความลับตามที่กฎหมายกำหนด

    5. การแจ้งวัตถุประสงค์และรายละเอียดของการเก็บรวบรวมข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล ต้องกระทำโดยชัดแจ้ง โดยอาจทำได้หลายวิธี เช่น การแจ้งเป็นหนังสือ การแจ้งทาง วาจาการแจ้งทางข้อความในรูปแบบ SMS, อีเมล, MMS หรือทางโทรศัพท์หรือโดยวิธีการทาง อิเล็กทรอนิกส์อื่นใด เช่นการระบุรายละเอียดใน URL หรือ QR code เป็นต้น

‌6. หน่วยงานควบคุมและกำกับดูแลสภาวิชาชีพ หรือสมาคมและกลุ่มอุตสาหกรรม
อาจกำหนดรูปแบบวิธีการ แนวทาง หรือตัวอย่างการแจ้ง วัตถุประสงค์และรายละเอียดที่เหมาะสมเพื่อให้มีการปฏิบัติที่เป็นไปในทิศทางเดียวกันได้ โดยประสานงาน กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ความเห็นหรือให้คำปรึกษาได้

pdpa สรุป
pdpa สรุป
pdpa สรุป
pdpa สรุป

 

1‌. ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดดังต่อไปนี้

(1) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(2) วัตถุประสงค์
(3) รายละเอียดประเภทของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม
(4) สิทธิของเจ้าของข้อมูลส่วนบุคคลในการถอนความยินยอม พร้อมรายละเอียดว่าจะกระทำได้โดยวิธีใด อย่างไร

2‌. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ต้องแสดงเจตนาโดยชัดแจ้ง โดยต้องกระทำการหรือแสดงให้เห็นได้อย่างชัดเจนว่าได้ให้ความยินยอม ยกตัวอย่างเช่น
การยื่นหนังสือให้ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจัดทำขึ้นเอง
การลงนามให้ความยินยอม ในแบบฟอร์มให้ความยินยอมที่ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำขึ้น
การคลิกใน checkbox เพื่อระบุว่า “ยินยอม” โดยเจ้าของข้อมูลส่วนบุคคลเอง
การกดปุ่มบนโทรศัพท์มือถือ 2 ครั้งติดกัน เพื่อแสดงเจตนายืนยัน
การสไลด์หน้าจอ (swipe) เพื่อแสดงถึงเจตนาการให้ความยินยอม

‌การถอนความยินยอม
ต้องใช้วิธีเดียวกันหรือมีความง่ายระดับเดียวกับขั้นตอนการขอความยินยอม
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแสดงรายละเอียดวิธีการ เงื่อนไข หรือแบบฟอร์มในการถอนความยินยอมให้เด่นชัด (prominent) ในบริเวณที่เห็นได้ชัดเจนในการขอความยินยอมไม่ว่าในรูปแบบหนังสือหรืออิเล็กทรอนิกส์

3. การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุมากกว่า 10 ปี แต่ยังไม่บรรลุนิติภาวะ
– ต้องทำโดยชัดแจ้ง และต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์ เว้นแต่ มีข้อยกเว้นตามประมวลกฎหมายแพ่งและพาณิชย์
– ต้องใช้ภาษา หรือวิธีการที่ผู้เยาว์เข้าใจได้โดยง่าย
– ต้องมีมาตรการตรวจสอบอายุของผู้เยาว์ที่เหมาะสม
ตามระดับความเสี่ยง ยกตัวอย่างเช่น ใช้เลขประจำตัวประชาชน

4. ‌การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุไม่เกิน 10 ปี
‌ต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์เท่านั้น จะขอความยินยอมจากผู้เยาว์ไม่ได้

pdpa สรุป
FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
Case Study

WARNING! ถูกละเมิดความเป็นส่วนตัว ถูกองค์กรประมวลผลข้อมูลส่วนบุคคลโดยที่เราไม่ยินยอม ทำอะไรได้บ้าง?

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg

อ่านต่อ »
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
5 ข้อดีของ PDPA
t-reg knowledge

5 ข้อดีของ PDPA ที่ทำให้คุณเข้าใจว่าทำไมควรทำ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นกฎหมายให้ภาครัฐหรือเอกชนทำตามเพียงอย่างเดียว แต่ทำไมควรทำลองมาดู 5 ข้อดีกัน

อ่านต่อ »
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง
t-reg news

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่