t-reg สรุปให้ อัปเดตแนวทางใหม่ ของกฎหมาย PDPA เข้าใจภายใน 5 นาที
1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
t-reg สรุปและคัดสรรเนื้อหาสำคัญ เข้าใจภายใน 5 นาที รายละเอียดของแต่ละแนวทาง มีดังนี้
- ประเภทและลักษณะในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล แก่เจ้าของข้อมูลส่วนบุคคล แบ่งเป็น 2 ลักษณะ คือ
กรณีที่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ
กรณีที่ไม่มี กฎหมายเฉพาะหรือหน่วยงานควบคุมและกำกับดูแลกำหนดหลักเกณฑ์ วิธีการ หรือแนวทางการดำเนินการเป็นการเฉพาะ
2. หลักการในการแจ้งวัตถุประสงค์และรายละเอียดแก่เจ้าของข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ภายใต้หลักการดังต่อไปนี้
- ความเป็นธรรม (Fairness)
- การจำกัดวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (Purpose Limitation)
- ความยินยอม (Consent)
- การอ้างประโยชน์โดย
ชอบด้วยกฎหมาย(Legitimate Interest)
3. ประเภทของการเก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย สามารถทำได้ 2 วิธี คือ
การเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ต้องแจ้งรายละเอียดเหล่านี้
– วัตถุประสงค์การเก็บรวบรวม
– แจ้งให้ทราบถึงความจำเป็นทางกฎหมาย
– ข้อมูลส่วนบุคคลที่มีการจัดเก็บ
– ระยะเวลาในการเก็บรวบรวม
– ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลที่เก็บรวบรวมอาจจะถูกเปิดเผย
– รายละเอียดช่องทางการติดต่อ
– สิทธิต่างๆ ตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น (Other sources) ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง ไม่สามารถทำได้ เว้นแต่
– ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งถึงการเก็บรวบรวมจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าแต่ต้องไม่เกิน 30 วันนับแต่วันที่ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและได้รับความยินยอม
– การเก็บรวบรวมข้อมูลส่วนบุคคลได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26
4. ข้อยกเว้นของการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง
อาจไม่ต้องดำเนินการแจ้งวัตถุประสงค์ใหม่ที่เก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ
ข้อมูลส่วนบุคคลทราบ และแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมเมื่อทำการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
– เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่อยู่แล้ว
– ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าว ไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
– การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต้องกระทำโดยเร่งด่วน
– เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นได้ข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้เป็นความลับตามที่กฎหมายกำหนด
5. การแจ้งวัตถุประสงค์และรายละเอียดของการเก็บรวบรวมข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล ต้องกระทำโดยชัดแจ้ง โดยอาจทำได้หลายวิธี เช่น การแจ้งเป็นหนังสือ การแจ้งทาง วาจาการแจ้งทางข้อความในรูปแบบ SMS, อีเมล, MMS หรือทางโทรศัพท์หรือโดยวิธีการทาง อิเล็กทรอนิกส์อื่นใด เช่นการระบุรายละเอียดใน URL หรือ QR code เป็นต้น
6. หน่วยงานควบคุมและกำกับดูแลสภาวิชาชีพ หรือสมาคมและกลุ่มอุตสาหกรรม
อาจกำหนดรูปแบบวิธีการ แนวทาง หรือตัวอย่างการแจ้ง วัตถุประสงค์และรายละเอียดที่เหมาะสมเพื่อให้มีการปฏิบัติที่เป็นไปในทิศทางเดียวกันได้ โดยประสานงาน กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ความเห็นหรือให้คำปรึกษาได้
1. ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดดังต่อไปนี้
(1) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(2) วัตถุประสงค์
(3) รายละเอียดประเภทของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม
(4) สิทธิของเจ้าของข้อมูลส่วนบุคคลในการถอนความยินยอม พร้อมรายละเอียดว่าจะกระทำได้โดยวิธีใด อย่างไร
2. การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ต้องแสดงเจตนาโดยชัดแจ้ง โดยต้องกระทำการหรือแสดงให้เห็นได้อย่างชัดเจนว่าได้ให้ความยินยอม ยกตัวอย่างเช่น
การยื่นหนังสือให้ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจัดทำขึ้นเอง
การลงนามให้ความยินยอม ในแบบฟอร์มให้ความยินยอมที่ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำขึ้น
การคลิกใน checkbox เพื่อระบุว่า “ยินยอม” โดยเจ้าของข้อมูลส่วนบุคคลเอง
การกดปุ่มบนโทรศัพท์มือถือ 2 ครั้งติดกัน เพื่อแสดงเจตนายืนยัน
การสไลด์หน้าจอ (swipe) เพื่อแสดงถึงเจตนาการให้ความยินยอม
การถอนความยินยอม
ต้องใช้วิธีเดียวกันหรือมีความง่ายระดับเดียวกับขั้นตอนการขอความยินยอม
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแสดงรายละเอียดวิธีการ เงื่อนไข หรือแบบฟอร์มในการถอนความยินยอมให้เด่นชัด (prominent) ในบริเวณที่เห็นได้ชัดเจนในการขอความยินยอมไม่ว่าในรูปแบบหนังสือหรืออิเล็กทรอนิกส์
3. การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุมากกว่า 10 ปี แต่ยังไม่บรรลุนิติภาวะ
– ต้องทำโดยชัดแจ้ง และต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์ เว้นแต่ มีข้อยกเว้นตามประมวลกฎหมายแพ่งและพาณิชย์
– ต้องใช้ภาษา หรือวิธีการที่ผู้เยาว์เข้าใจได้โดยง่าย
– ต้องมีมาตรการตรวจสอบอายุของผู้เยาว์ที่เหมาะสม
ตามระดับความเสี่ยง ยกตัวอย่างเช่น ใช้เลขประจำตัวประชาชน
4. การขอ Consent กรณีที่เจ้าของข้อมูลเป็นผู้เยาว์ และมีอายุไม่เกิน 10 ปี
ต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจทำการแทนผู้เยาว์เท่านั้น จะขอความยินยอมจากผู้เยาว์ไม่ได้
