]

Frequently Asked Questions​

We can tell you everything about PDPA and t-reg

PDPA FAQ

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้

ข้อมูลส่วนบุคคลมี 2 ประเภท

ข้อมูลทั่วไป

    • ชื่อ นามสกุล

    • ที่อยู่

    • หมายเลขบัตรประชาชน

    • เบอร์โทรศัพท์

    • location

    • E-mail

    • IP Addresses

    • Cookies

    • ID Bank Account

    • รูปถ่าย

    • ประวัติการทำงาน

    • อายุ (หากเป็นผู้เยาว์ จะต้องระบุผู้ปกครองได้ และรับการยินยอมจากผู้ปกครอง

ข้อมูลอ่อนไหว

    • เชื้อชาติ

    • ชาติพันธุ์ เผ่าพันธุ์

    • ความคิดเห็นทางการเมือง

    • ความเชื่อ ลัทธิ ศาสนา หรือ ปรัชญา

    • พฤติกรรมทางเพศ

    • ประวัติอาชญากรรม

    • ข้อมูลทางด้านสุขภาพ ความพิการ

    • ข้อมูลสหภาพแรงงาน

    • ข้อมูลทางพันธุกรรม

    • ข้อมูลชีวภาพ

    • หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

โทษที่กำหนดไว้ตามกฎหมายมีทั้งสิ้น 3 ประเภท ได้แก่

  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท ซึ่งโทษจำคุก กรรมการบริษัทคือผู้รับโทษนี้

  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง

  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

DPO หรือก็คือ Data Protection Officers (ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล) ตามกฎหมายบางองค์กรเท่านั้นที่จำเป็นต้องมี DPO ขึ้นอยู่ตามมาตรา 41

 มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้

(๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ

(๒) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ

โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

(๓) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖ตามที่

คณะกรรมการประกาศกำหนด

ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลฯ ผู้ประมวลผลข้อมูลฯ ลูกจ้าง ผู้รับจ้างของผู้ควบคุมข้อมูลฯ หรือที่เกี่ยวข้องกับ PDPA

ทำหน้าที่ตรวจฉสอบการการดำเนินงาน เกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล

ประสานงานและให้ความร่วมมือ กับเจ้าหน้าที่รัฐ กรณีเกิดปัญหา

รักษาความลับ ของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ตามกฎหมายนี้

  • เมื่อมีความผิดเกี่ยวกับ PDPA จะอ้างว่าบริษัททำโดยไม่ทราบ PDPA ไม่ได้ เช่นเดียวกับ กฎหมายอาญา มาตรา 64 “บุคคลจะแก้ตัวว่าไม่รู้กฎหมายเพื่อให้พ้นจากความรับผิดในทางอาญาไม่ได้”

  • จากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 ที่ประกาศเมื่อวันที่ 17 กรกฎาคม 2563 ซึ่งจะมีระบุถึงการอบรมให้ความรู้พนักงาน ความตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคลให้ทั่วองค์กร รวมไปการถึงการเก็บ Audit Log และ Access Log

  • ไม่เป็น (ในกรณีไปซื้อ SIM ด้วยชื่อบริษัท
  • เป็น (ในกรณีไปซื้อซิมด้วยชื่อในนามบุคคล)
  •  

CONSENT & Doucment FAQ

Consent คือคำยินยอมในการใช้ข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องขอจากเจ้าของข้อมูลเป็นลายลักษณ์อักษร ยกเว้นสามารถอ้างอิงฐานกฎหมายดังต่อไปนี้ในการขอใช้ข้อมูลได้ในกรณีต่าง ๆ ตามมาตรา 24 ดังนี้ว้นสามารถอ้างอิงฐานกฎหมายดังต่อไปนี้ในการ ขอใช้ข้อมูลได้ในกรณีต่าง ๆ ตามมาตรา 24 

*มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

  • เพื่อสาธารณประโยชน์
  • เพื่อป้องกันอันตรายต่อชีวิตหรือสุขภาพ
  • เพื่อปฎิบัติตามสัญญา
  • เพื่อปฏิบัติหน้าที่ตามอํานาจรัฐ
  • เพื่อประโยชน์โดยชอบด้วยกฎหมาย
  • เพื่อปฏิบัติตามกฎหมาย 

ในหลาย ๆ เว็บไซต์ของทั้งประเทศไทย และต่างประเทศที่มีการให้บริการผ่านเว็บไซต์ เช่น ระบบสมาชิคต่าง ๆ มักจะมีเอกสาร 2 ฉบับถูกประกาศไว้บนเว็บเสมอ คือ “เงื่อนไขการให้บริการ” (Terms of Services) และ “ประกาศความเป็นส่วนตัว” (Privacy Notice) เอกสารทั้งสองฉบับถูกสร้างขึ้นด้วยจุดประสงค์ที่แตกต่างกัน แต่มักจะใช้คู่กัน “ประกาศนโยบายข้อมูลส่วนบุคคล” (Privacy Notice) และ  “เงื่อนไขการให้บริการ” (Terms of Services) 

 Terms of Services เป็นเอกสารที่อธิบายถึงขอบเขตการให้บริการ ที่ภาคธุรกิจให้แก่ผู้ใช้บริการ เงื่อนไขข้อจำกัดความรับผิดต่างๆของผู้ให้บริการดังกล่าว (ฐานสัญญา) ซึ่งหากไม่ให้ข้อมูลในส่วนนี้จะไม่สามารถใช้บริการ Service นั้นๆได้ เช่น การซื้อสินผ่าน e-commerce จำเป็นต้องมีการให้ ชื่อ เบอร์โทร ที่อยู่ สำหรับใช้ส่งสินค้า หากไม่ให้ข้อมูลส่วนนี้ e-commerce จะไม่สามารถให้บริการได้ สำหรับเอกสารนี้ PDPA ไม่ได้กำหนดให้ต้องทำและไม่มีการกำหนดรูปแบบไว้   

 Privacy Notice เป็นเอกสารที่ภาคธุรกิจ ในฐานะ ผู้ควบคุมข้อมูล มีหน้าที่ต้องแจ้งให้ผู้ใช้บริการ ในฐานะเจ้าของข้อมูล ได้ทราบเกี่ยวกับการเก็บ รวม ใช้เปิดเผยข้อมูลส่วนบุคคล โดย PDPA กำหนดว่า Privacy Notice เป็นสิ่งที่ต้องทำ จาก Terms of Services ซึ่งเป็นการปฏิบัติหน้าที่ตามสัญญา ผู้ควบคุมข้อมูลมีเพียงหน้าที่แจ้งการ ประมวลผลดังกล่าวลงใน “Privacy Notice” เท่านั้น ไม่ต้องขอ Consent เพิ่ม  สำหรับเอกสารนี้ PDPA มีการกำหนดหัวข้อและเนื้อหาที่ต้องเขียนในเอกสารไว้ 

ไม่ต้อง เพราะเหมือนติดป้ายโฆษณาตามถนน และ user สามารถกด block ได้เอง

   ในกรณีการ consent ที่ไม่ได้มีการยืนยันตัวบุคคล การนำไปใช้ในทางกฎหมายเราจะยืนยันได้อย่างไรว่าเจ้าของข้อมูลเป็นคน consent ด้วยตัวเอง เช่น เวลาเราสมัครสมาชิกในเว็บ    

  • ยืนยันไม่ได้ แต่กฎหมายจะไม่ถือว่าเราผิดเพราะในมุมนี้เราจะเป็น Processor

  • Controller คือคนที่ปลอมตัวมา

  • คนที่ปลอมตัวมาเอาข้อมูลส่วนบุคคลมาให้เรา เราเอาไปใช้ตามที่เค้ามอบหมาย ก็คือเราเป็น Processor ที่ทำตามกฎหมาย

  • คนที่ปลอมตัวเอาข้อมูลคนอื่นมาใช้โดยไม่ได้รับอนุญาตจะเป็น Controller ที่ไม่ได้รับ

ในที่นี้คนผิด คือ คนที่เอาข้อมูลปลอมมาใช้ เพราะไม่ได้รับ consent จากเจ้าของข้อมูล แต่เราทำถูกกฎหมายเพราะเราเอาข้อมูลมาใช้ต่อโดยมีการขอ consent ไว้แล้วและใช้ตามจุดประสงค์

ไม่จำเป็นที่จะต้องขอ consent ใหม่ทั้งหมด แต่จำเป็นที่จะต้องมีการประกาศให้ได้มีการรับรู้โดยทั่วถึงรวมทั้งช่องทางติดต่อให้ขอยกเลิก consent นั้นๆได้

ถ้า Service ของ Google หรือ Facebook ที่เราใช้ฝั่ง Google หรือ Facebook เข้าถึงข้อมูลไม่ได้จะไม่ถือว่าเป็น Data Processor แต่เราควรใส่ใน privacy notice ว่ามีส่งไปเก็บที่ต่างประเทศ และ Google หรือ Facebook

PDPA จะมีการจัดการ PII (Personal Identftifiable Information) รวมไปถึงข้อมูล  และการอ้างอิงถึงบุคคลด้วย เช่น สมัครงานแล้วมีใคร referal/recommend ถึง ซึ่งจะนับเป็น PII ของบุคคลที่อ้างถึงนั้น ต้องขออนุญาตคนๆ นั้นด้วย

ไม่สามารถใช้ข้อมูลเก่าเพื่อโปรโมท event ใหม่ได้ นอกจากมีการขอ Consent ตั้งแต่แรก ว่าจะมีการแจ้งเมื่อมี event ในอนาคต  

  • ถ้ารายชื่อนั้นให้ช่องทางการติดต่อ สามารถติดต่อไปขอ consent ได้ แต่ถ้าไม่ให้ไม่สามารถใช้ได้

  • ต้องติดต่อผ่าน แค่ช่องทางที่ให้ไว้ผ่านอินเทอร์เน็ตเท่านั้น เช่น เบอร์โทร อีเมล์ ที่ลงไว้ในเว็บบอร์ด และถ้าวันหนึ่งเจ้าของข้อมูลเอาช่องทางติดต่อในอินเทอร์เน็ต ออกก็ต้องหยุดติดต่อถ้าไม่มี consent

t-reg FAQ

  • DPO Appointment letter (หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)

  • Privacy Notices (ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล)

  • Privacy Policy (นโยบายคุ้มครองข้อมูลส่วนบุคคล)

  • Processing Agreement (ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล)

  • Data Breach Notice Form (กระบวนการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล)

  • Employee Privacy Policy (นโยบายข้อมูลส่วนบุคคลสำหรับพนักงาน)

  • Data Subject Rights (การขอเข้าถึง และใช้สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูล)

  • Record of Processing (รายงานการประมวลผลข้อมูลส่วนบุคคล)

  • Consent Form (กระบวนการบริหารจัดการหนังสือยินยอมการใช้ข้อมูลส่วนบุคคล)

  • Report (Gap Recommended)

  • Cookie Consent

Guideline

สามารถเช็คได้ว่าข้อมูลส่วนบุคคลนี้อยู่ใน Asset และ Activity ไหนบ้าง เช่น ชื่อ นามสกุล อายุ เก็บอยู่ในระบบ CRM และอยู่ในกิจกรรม Register User แต่จะไม่เห็นว่ามีชื่ออะไรเก็บอยู่ หรือข้อมูลส่วนบุคคลนั้นคืออะไร

ไม่สามารถดูได้ว่าข้อมูลส่วนบุคคลนั้นคือคือข้อมูลอะไรแต่สามารถดูได้ว่าเป็นประเภทข้อมูลไหน จัดเก็บอยู่ที่ App หรือ Database ไหน เช่น ชื่อ ,อีเมล์ เก็บอยู่ในระบบ CRM และ ข้อมูล เก็บอยู่ใน App iLog

  • ตอนนี้มีเฉพาะ On-Cloud

  • ไม่มี POC (มีวีดีโอ Demo การใช้งาน)

  • Menu เป็น ภาษาอังกฤษ

  • เอกสารที่ออกจากระบบ เป็น ภาษาไทย จะมีการเพิ่มเอกสารภาษาอังกฤษในอนาคต

  • ถ้ามีการออกกฏหมายลูกออกมาเป็น Module เดิมจะมีอัพเดทเพิ่มเติมในระบบ t-reg ให้โดยอัตโนมัติ (15-30 วัน)

  • ถ้ามีการออกกฏหมายลูกออกมาเป็น Module ใหม่ บาง Module อาจจะมีค่าใช้จ่ายเพิ่มเติม (30-90 วัน)

  • แจ้งข่าวผ่านเว็บ (https://blog.ragnar.co.th)

  • แจ้งผ่านทาง Facebook fanpage (…)

  • แจ้งข่าวผ่านอีเมล์ที่ Register ไว้ในระบบ
  • ไม่มีการรับรองจากหน่วยงานรัฐ แต่สามารถแสดงหลักฐานการทำตามกฎหมายโดยอ้างอิงจากมาตราต่างในกฎหมายได้ เช่น เรื่อง การขอความยินยอมในมาตรา 19 สามารถเปิดหน้าเว็บที่มีการขอความยินยอมให้ดูเป็นหลักฐานได้

 มาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้  

                  การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ 

  • มีรายงานสรุปผลการดำเนินงานของ PDPA พร้อมทั้ง Gap Recommended ในส่วนที่ยังไม่ได้ดำเนินการ

  • t-reg ลบแค่ Consent ออกจากระบบ

  • ส่วนการลบ เเก้ไขข้อมูลส่วนบุคคล จะทำโดยการเชื่อมต่อไปยัง API ของลูกค้า (API ลูกค้าเป็นคนเขียนเอง เพื่อใช้เชื่อมกับระบบ Database และหลังบ้านของลูกค้า)
  • ปฏิบัติตามสัญญา (Service Agreement , Term of service )

  • เรื่องมาตรฐานความปลอดภัย ในขณะนี้ยังไม่มีกฎหมายลูก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะเป็นคนตัดสินว่านี่ปลอดภัยหรือไม่ปลอดภัย

  • t-reg ใช้มาตรฐานของ AWS สามารถดู Report ISO27001 (https://t-reg.co/security-model/)

  • การเชื่อมต่อของเว็บใข้ SSL Cert ที่มีมาตรฐาน AES 256 Bit
  • ในการทำเรื่องปกติถ้าจ้างแค่ consult อย่างเดียว เช่น จะได้ output ออกมาเป็น document อย่างเดียว เช่นพวกไฟล์ word หรือ excel จะไม่มี tools รวมอยู่ด้วย ตัว t-reg เหมือนเป็นระบบ centralized (ศูนย์กลาง) ในการเก็บรวบรวมข้อมูลไฟล์ต่างๆ เช่น privacy policy, notice ,consent management ทำให้ลูกค้าสามารถมาดูข้อมูลต่างๆเรื่อง PDPA ได้ในตัว t-reg ที่เดียว

  • t-reg เป็นหนึ่งใน ecosystem ในการทำ PDPA ยังมี Platform อื่น ๆ ที่ช่วยในการทำ PDPA อีก เช่น

    • PCAP ที่เป็น e-elarning สำหรับเทรนนิ่งพนักงานในองค์กรให้ระวังเรื่องข้อมูลรั่วไหล

    • iLog ที่เก็บของระบบ database และจะแจ้งเตือนเมื่อมีคนที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลส่วนบุคคล

  • มี Default Template ในการทำ Privacy Notice และ Privacy Policy อยู่แล้ว แต่สามารถ Custom ให้ตรงวัตถุประสงค์การใช้งานของแต่ละองค์กรได้ เช่น ข้อมูลที่จัดเก็บ วัตถุประสงค์ของการใช้ข้อมูล

  • มีระบบของการ upload เอกสารในรูปแบบ PDF เข้ามาสูตัว t-reg ทางระบบจะ generate iframเพื่อไปใช้ในส่วนตางๆ

  • ในระบบ t-reg จะมี Web-Form เพื่อในการรับข้อมูล ซึ่งจะสามารถนำไปปรับใช้กับเว็บได้หลากหลายแบบ เช่น iframe ,url ,qrcode หลังที่กรอกข้อมูลเสร็จ เจ้าของข้อมูลจะต้องมีการยืนยันตัวตน โดยเข้าไปยืนยันอีเมล

  • หลังจากนั้นจะมี Request ในระบบของ t-reg และการนับเวลาดำเนินการ 30 วัน ซึ่งทาง DPO ของลูกค้าต้องประสานงานภายในเพื่อดำเนินการตามคำขอนั้น

  • หลังดำเนินตามคำขอแล้ว ทาง DPO ต้องเข้ามาใน t-reg เพื่อกด Complete Request หลังจากนั้น t-reg จะมีการส่งอีเมลแจ้งไปเจ้าของข้อมูล

ใน RoP ของ t-reg หลัก ๆ จะแบ่งเป็น 2 ส่วน คือ

  • Asset

    • สถานที่เก็บข้อมูลส่วนบุคคลที่อยู่ในรูปแบบPhysical และ Digital เช่น Database ,ระบบ CRM ,ตู้เอกสาร ,แฟ้มข้อมูล

  • Processing Activities

บันทึกกิจกรรมที่มีการใช้ ข้อมูลสถานที่เก็บข้อมูลส่วนบุคคล โดยจะนำ Asset มาทำเป็น Flow เพื่อดูการไหลของข้อมูล

มี แต่จำกัด Scope อยู่แค่ในส่วนของ PDPA ประเทศไทยเท่

  • t-reg ไม่มีแยกบริหารจัดการ เนื่องจากข้อมูลใน t-reg เป็นข้อมูลที่ต้องใช้อ้างอิงร่วมกันตามบทบาทของ Data Controller และ Data Processor ในแต่ละองค์กร ซึ่งจำเป็นต้องเห็น Flow ทั้งหมด