t-reg PDPA Platform

pdpa สรุป

สรุป 2 แนวทางเพิ่มเติม กฎหมาย PDPA จากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เนื้อหาในบทความ

t-reg สรุปให้ อัปเดตแนวทางใหม่ ของกฎหมาย PDPA เข้าใจภายใน 5 นาที

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จำนวน 2 ฉบับ เพื่อสร้างความชัดเจนและเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ที่เกี่ยวข้องนำไปปรับใช้และปฏิบัติให้ถูกต้อง อันจะเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ดังนี้
 

1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

t-reg สรุปและคัดสรรเนื้อหาสำคัญ เข้าใจภายใน 5 นาที รายละเอียดของแต่ละแนวทาง มีดังนี้

pdpa สรุป
  1. ประเภทและลักษณะในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล แก่เจ้าของข้อมูลส่วนบุคคล แบ่งเป็น 2 ลักษณะ คือ

‌กรณีที่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ
‌กรณีที่ไม่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ

       2. หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ภายใต้หลักการดังต่อไปนี้

‌- ความเป็นธรรม (Fairness)
-‌ การจำกัดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (Purpose Limitation)
‌- ความยินยอม (Consent)
-‌ การอ้างประโยชน์โดย
ชอบด้วยกฎหมาย(Legitimate Interest)

 ‌    3. ประเภทของการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย สามารถทำได้ 2 วิธี คือ

การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งรายละเอียดเหล่านี้
– วัตถุประสงค์การเก็บรวบรวม
– แจ้งให้ทราบถึงความจำเป็นทางกฎหมาย
– ข้อมูลส่วนบุคคลที่มีการจัดเก็บ
– ระยะเวลาในการเก็บรวบรวม
– ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลที่เก็บรวบรวมอาจจะถูกเปิดเผย
– รายละเอียดช่องทางการติดต่อ
– สิทธิต่างๆ ตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล

‌การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น (Other sources) ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง ไม่สามารถทำได้ ‌เว้นแต่
– ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งถึงการเก็บรวบรวมจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ต้องไม่เกิน 30 วันนับแต่วันที่ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและได้รับความยินยอม
– การเก็บรวบรวมข้อมูลส่วนบุคคลได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26

   4. ข้อยกเว้นของการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล   สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง
อาจไม่ต้องดำเนินการแจ้งวัตถุประสงค์ใหม่ที่เก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ
ข้อมูลส่วนบุคคลทราบ และแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมเมื่อทำการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

– เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่อยู่แล้ว
– ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
– การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต้องกระทำโดยเร่งด่วน
– เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นได้ข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้เป็นความลับตามที่กฎหมายกำหนด

    5. การแจ้งวัตถุประสงค์และรายละเอียดของการเก็บรวบรวมข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล ต้องกระทำโดยชัดแจ้ง โดยอาจทำได้หลายวิธี เช่น การแจ้งเป็นหนังสือ การแจ้งทาง วาจาการแจ้งทางข้อความในรูปแบบ SMS, อีเมล, MMS หรือทางโทรศัพท์หรือโดยวิธีการทาง อิเล็กทรอนิกส์อื่นใด เช่นการระบุรายละเอียดใน URL หรือ QR code เป็นต้น

‌6. หน่วยงานควบคุมและกำกับดูแลสภาวิชาชีพ หรือสมาคมและกลุ่มอุตสาหกรรม
อาจกำหนดรูปแบบวิธีการ แนวทาง หรือตัวอย่างการแจ้ง วัตถุประสงค์และรายละเอียดที่เหมาะสมเพื่อให้มีการปฏิบัติที่เป็นไปในทิศทางเดียวกันได้ โดยประสานงาน กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ความเห็นหรือให้คำปรึกษาได้

pdpa สรุป
pdpa สรุป
pdpa สรุป
pdpa สรุป

 

1‌. ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดดังต่อไปนี้

(1) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(2) วัตถุประสงค์
(3) รายละเอียดประเภทของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม
(4) สิทธิของเจ้าของข้อมูลส่วนบุคคลในการถอนความยินยอม พร้อมรายละเอียดว่าจะกระทำได้โดยวิธีใด อย่างไร

2‌. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ต้องแสดงเจตนาโดยชัดแจ้ง โดยต้องกระทำการหรือแสดงให้เห็นได้อย่างชัดเจนว่าได้ให้ความยินยอม ยกตัวอย่างเช่น
การยื่นหนังสือให้ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจัดทำขึ้นเอง
การลงนามให้ความยินยอม ในแบบฟอร์มให้ความยินยอมที่ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำขึ้น
การคลิกใน checkbox เพื่อระบุว่า “ยินยอม” โดยเจ้าของข้อมูลส่วนบุคคลเอง
การกดปุ่มบนโทรศัพท์มือถือ 2 ครั้งติดกัน เพื่อแสดงเจตนายืนยัน
การสไลด์หน้าจอ (swipe) เพื่อแสดงถึงเจตนาการให้ความยินยอม

‌การถอนความยินยอม
ต้องใช้วิธีเดียวกันหรือมีความง่ายระดับเดียวกับขั้นตอนการขอความยินยอม
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแสดงรายละเอียดวิธีการ เงื่อนไข หรือแบบฟอร์มในการถอนความยินยอมให้เด่นชัด (prominent) ในบริเวณที่เห็นได้ชัดเจนในการขอความยินยอมไม่ว่าในรูปแบบหนังสือหรืออิเล็กทรอนิกส์

3. การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุมากกว่า 10 ปี แต่ยังไม่บรรลุนิติภาวะ
– ต้องทำโดยชัดแจ้ง และต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์ เว้นแต่ มีข้อยกเว้นตามประมวลกฎหมายแพ่งและพาณิชย์
– ต้องใช้ภาษา หรือวิธีการที่ผู้เยาว์เข้าใจได้โดยง่าย
– ต้องมีมาตรการตรวจสอบอายุของผู้เยาว์ที่เหมาะสม
ตามระดับความเสี่ยง ยกตัวอย่างเช่น ใช้เลขประจำตัวประชาชน

4. ‌การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุไม่เกิน 10 ปี
‌ต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์เท่านั้น จะขอความยินยอมจากผู้เยาว์ไม่ได้

pdpa สรุป
FREE EVENT
ร่วมรับฟังแนวทางการรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมสำหรับองค์กรของท่านในการรับมือกับเหตุละเมิดที่อาจเกิดขึ้น โดยผู้เชี่ยวชาญผู้มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิทัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection
RELATED POST
General Data Protection Regulation คือ
Case Study

Lesson Learned แอป Grindr สังเวยค่าปรับ 239 ล้าน เหตุขายข้อมูลผู้ใช้งานโดยไม่ได้รับอนุญาต

Grindr แอพลิเคชั่นหาคู่ของชาวสีรุ้ง ถูกเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานขายข้อมูลส่วนตัวของผู้ใช้แอปให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม กรณีของ Grindr ถูก

อ่านต่อ »
ภาพอินโฟกราฟิกอธิบาย PDPA คืออะไร พร้อมข้อความ "รู้สิทธิก่อนข้อมูลส่วนตัวถูกละเมิด" และภาพสัญลักษณ์ความยุติธรรม
t-reg knowledge

PDPA คือกฎหมายอะไร PDPA คุ้มครองอะไรบ้าง? เข้าใจสิทธิของคุณก่อนถูกละเมิด

ในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินสำคัญ การปกป้องข้อมูลจึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่คือเรื่องของกฎหมายและสิทธิขั้นพื้นฐานของทุกคน กฎหมายที่มีบทบาทสำคัญในเรื่องนี้คือ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.

อ่านต่อ »
อินโฟกราฟิก PDPA อธิบาย Data Controller, Processor และ Data Subject พร้อมชายกำลังคิดและข้อความ “เข้าใจ PDPA ในบทความเดียว”
t-reg knowledge

Data Subject, Data Controller และ Data Processor คืออะไร? เข้าใจ PDPA ในบทความเดียว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายสำคัญที่ทุกองค์กรในประเทศไทยต้องเข้าใจ โดยเฉพาะบทบาทหลัก 3 ส่วน ได้แก่ Data

อ่านต่อ »
5 ตัวอย่างคดีละเมิด PDPA กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดย t-reg แพลตฟอร์มกำกับดูแลข้อมูลในไทย
t-reg knowledge

5 ตัวอย่างคดี PDPA ที่มีการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เริ่มมีผลบังคับใช้อย่างเต็มรูปแบบในประเทศไทย หลายองค์กรก็เริ่มตื่นตัวมากขึ้น แต่ถึงอย่างนั้น ก็ยังมีหลายกรณีที่ละเมิดกฎหมายโดยรู้เท่าไม่ถึงการณ์ หรือเกิดจากความประมาทของบุคลากรในองค์กร

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่