• ประวัติ พันตำรวจเอก ดร. ศิริพล กุศลศิลป์วุฒิ : About Pol.Col.Dr.Siriphon Kusonsinwut
• กฎหมาย PDPA น่ารู้
• ชีวิตในสาธารณรัฐประชาชนจีน (กงสุล)
• ชีวิตนักเรียนฯ ในสหรัฐ : My Life & Experience in the United States School of Law
• การเรียนกฎหมายสหรัฐ :Course Outlines & Study In U.S. Law School [ JD. / LL.M. / JSD./ SJD. Program ]
• ว่าด้วยหลักกฎหมายรัฐธรรมนูญของสหรัฐฯ : The U.S. Constitutional Law : Rule and Legal Issues
• กระบวนการยุติธรรมสหรัฐ: Law & Order - Criminal Justice System: Criminal Law & Criminal Procedure Issues, 4th, 5th, & 6th Amendment, to the U.S. Constitution
• กฎหมายว่าด้วยทรัพย์สินทางปัญญาของสหรัฐฯ : U.S. Intellectual Property Law : Trademark & Unfair Competition Law, Patent and Copy Rights Law
• Conflict & Peace Resolution: การจัดการปัญหาความขัดแย้งด้วยสันติวิธี
• กฎหมาย อำนาจ ผลประโยชน์ กับ การเมืองของไทย : Law & Problems in Thai Politics v. Fucking Coup
• บางปัญหาหลักกฎหมายมหาชน และหลักนิติรัฐของไทย: Rule of Law (Etatdedroit ) & Constitutional & Legal Issues in Thailand
• เกร็ดความรู้เกี่ยวกับการสอบสวนคดีอาญาของพนักงานสอบสวนและสั่งคดีของพนักงานอัยการ
• เพื่อสถาบันตำรวจไทย : The Royal Thai Police
• แด่ทวีธาภิเศก เตรียมทหาร นายร้อยตำรวจ และธรรมศาสตร์ : Educational Institute Alumni
• ขายความคิด นานาสาระ เล่าสู่กันฟัง : Idea Retailor & Current Global Problem Story
• ชีวิตหลังการศึกษา สู่โลกแห่งความเป็นจริง
• นำเที่ยวในสหรัฐและแคนนาดา : Travel Around the United States & Canada [ Victoria, Vancouver, California, Arizona, Florida, Pennsylvania, Ohio, Chicago, Indiana, New York, etc.]
• ท่องเที่ยวในอังกฤษ & ยุโรป : Travel Around England, Scotland and Europe [France, Belgium, Germany ]
• การท่องเที่ยวในเอเชีย : ไต้หวัน เวียดนาม มาเลเซีย และญี่ปุ่น : Travel Around Taiwan Japan and other Country in Asia

ตำรวจไม่สามารถบังคับเอา Password โทรศัพท์ของเราได้โดยอำนาจตำรวจ เพราะอะไร ??? PDPA ??? ก่อนอื่น ขอยืนยันว่า บทความข้างล่างนี้ดีในแง่ของการป้องกันสิทธิในความเป็นส่วนตัวของประชาชน โดยผลทางกฎหมายถูกต้อง แต่อ้างกฎหมายผิดไปจากเจตนารมณ์และบทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล .......... ตำรวจ / ผู้มีหน้าที่สืบสวนสอบสวน ป้องกันละปราบปรามอาชญากรรม /รักษาความสงบเรียบร้อย ได้รับการยกเว้นบางประการ ในการเก็บรวมรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ ตาม มาตรา ๔ แห่งกฎหมาย PDPA และตามมาตรา ๓ แห่งกฎหมาย PDPA บัญญัติโดยชัดแจ้งว่า หากมีกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ก็ให้ใช้กฎหมายนั้น และใช้ กม. PDPA เป็นส่วนเสริม คือ เสริมในแง่การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เก็บมาได้ เช่น เอกสารต่าง ๆ ที่มีข้อมูลส่วนบุคคล จะเอาไปขายต่อ พับถุงกล้วยแขก ฯลฯ ให้ปรากฎทั่วไปไม่ได้ จะต้องมีมาตรการรักษาความมั่นคงปลอดภัยฯ .... กรณีตามปัญหาของบทความนี้ ตำรวจยึดโทรศัพท์ได้ ตาม ป.วิ.อาญา ก็ต้องใช้ ป.วิ.อาญา ในการได้มาซึ่งพยานหลักฐาน หากเป็นข้อความ บทสนทนา ฯลฯ จะได้รับการคุ้มครองเป็นพิเศษ ตาม รธน. และ กม.ที่เกี่ยวข้องกับการสื่อสารโทรคมนาคม ที่การสื่อสารระหว่างบุคคลย่อมได้รับความคุ้มครอง ฯ การละเมิดต้องใช้อำนาจพิเศษตามกฎหมาย รวมถึงหมายของศาลฯ หากต้องหารข้อความ หรือรายละเอียดการสนทนาฯ ตำรวจใช้อำนาจตาม ป.วิ.อาญา สั่งการให้ส่งมอบพยานหลักฐานแบบกรณีหลักฐานทั่วไปไม่ได้ ... สรุปง่าย ๆ ไม่ได้เกี่ยวข้องกับ PDPA โดยตรงหรอกครับ .... ตำรวจยึดมือถือไป แล้วบอก "ขอ Password ด้วย!"  เราในฐานะผู้ต้องสงสัย ต้องให้หรือไม่? เป็นสถานการณ์ที่อาจเกิดขึ้นได้กับทุกคน และเป็นเรื่องสำคัญที่ต้องรู้สิทธิของตัวเองไว้ครับ  คำตอบคือ... ไม่ต้องให้ครับ!  หากตำรวจไม่มี "หมายศาล" สิ่งสำคัญคือต้องแยก 2 ประเด็นออกจากกัน:  การ "ยึด" โทรศัพท์มือถือ: ตำรวจมีอำนาจ ยึดโทรศัพท์ ที่อยู่กับตัวผู้ถูกจับได้เลย เพื่อเป็นวัตถุพยาน โดยไม่จำเป็นต้องมีหมาย  การ "เปิดดูข้อมูล" หรือ "ขอรหัสผ่าน": การจะเข้าถึงข้อมูลที่อยู่ข้างในโทรศัพท์ ซึ่งเป็นข้อมูลส่วนบุคคล ต้องมี "หมายศาล" ที่อนุญาตให้เข้าถึงข้อมูลเท่านั้น! สิทธิของคุณ: หากตำรวจไม่มีหมายศาลมาแสดง คุณมีสิทธิ์เต็มที่ที่จะ ปฏิเสธการให้รหัสผ่าน และการกระทำของคุณไม่ถือว่าผิดกฎหมายหรือขัดขวางการปฏิบัติงาน  ข้อควรระวัง: หากคุณ "สมัครใจ" ให้รหัสผ่านไปเองโดยไม่มีการบังคับ จะถือว่าคุณได้ให้ความยินยอมให้เจ้าหน้าที่เข้าถึงข้อมูลนั้นแล้ว สรุปให้จำง่ายๆ: ยึดเครื่อง  ทำได้ (ไม่ต้องมีหมาย) ขอรหัส / เปิดดูข้อมูล  ต้องมีหมายศาลเท่านั้น ไม่มีหมาย  เรามีสิทธิ์ปฏิเสธ แชร์เก็บไว้เป็นความรู้เพื่อปกป้องสิทธิ์ในข้อมูลส่วนบุคคลของคุณกันนะครับ! #กฎหมายน่ารู้ #PDPA   Create Date : 20 สิงหาคม 2568     Last Update : 20 สิงหาคม 2568 23:35:11 น. Counter : 52 Pageviews.   0 comment (โหวต blog นี้)  Share Tweet

สรุปข้อหารือย่อฯ เกี่ยวกับ PDPA ที่เผยแพร่ในเวปไซต์ PDPC สรุปย่อข้อหารือที่มีการเผยแพร่แล้วในเวปไซต์ สคส. //www.pdpc.or.th โดย พ.ต.อ.ดร.ศิริพล กุศลศิลป์วุฒิ รองเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล J.S.D.-LL.M.(U of Illinois), LL.M.(Indiana), นม.(มหาชน) มธ., รม.(บริหารรัฐกิจ) มธ.,นบท.,นบ.(เกียรตินิยม) มธ., และรป.บ.(ตร.) (นรต.๔๗) โทร. 0989326989 อีเมล. Siriphon.ku@gmail.com  ---------------------------------------------------------------------------------------------------------------- ๑. โพสต์ข้อมูลส่วนตัวบนโซเชียล ผิด PDPA หรือไม่?            พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (PDPA) กำหนดให้ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ถือเป็นข้อมูลส่วนบุคคล เช่น ภาพหรือข้อความเกี่ยวกับบุคคลที่โพสต์บนเว็บไซต์หรือแอปพลิเคชันอย่าง Facebook หรือ TikTok ที่สามารถระบุตัวบุคคลได้ อย่างไรก็ดี PDPA มีข้อยกเว้นไม่ให้ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ดำเนินการเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวเท่านั้น            ดังนั้น หากการโพสต์ภาพหรือข้อความของผู้ต้องหาบนแพลตฟอร์มโซเชียลมีเดียมีวัตถุประสงค์เพื่อประโยชน์ส่วนตน และไม่มีลักษณะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบหรือเป็นประจำสม่ำเสมอเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่วัตถุประสงค์ ในเชิงธุรกิจและกระทำเป็นครั้งคราว ก็จะไม่อยู่ภายใต้การบังคับใช้ของ PDPA ตามมาตรา ๔ (๑) แต่การกระทำดังกล่าวอาจเข้าข่ายการละเมิดสิทธิในความเป็นส่วนตัวเกินสมควร หรือเข้าองค์ประกอบความผิดตามกฎหมายอื่นได้ เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หรือประมวลกฎหมายอาญาในความผิดฐานหมิ่นประมาท หรือการทำละเมิดตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา ๔๒๐            • ข้อหารือที่ ๔/๒๕๖๗            • ข้อหารือที่ ๕/๒๕๖๗            • ข้อหารือที่ ๖/๒๕๖๗            • ข้อหารือที่ ๘/๒๕๖๗            • ข้อหารือที่ ๙/๒๕๖๗ ๒. ข้อมูลส่วนบุคคลคืออะไร? ใครคือผู้ควบคุมข้อมูลส่วนบุคคล?           “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ตัวอย่างเช่น ข้อมูลผู้ประกอบการที่เป็นบุคคลธรรมดา ถือเป็นข้อมูลส่วนบุคคล            “ผู้ควบคุมข้อมูลส่วนบุคคล” คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล            สถานะความเป็นผู้ควบคุมข้อมูลส่วนบุคคลจะเกิดขึ้นจากข้อเท็จจริงซึ่งเป็นไปตามผลแห่งกฎหมายโดยตรง ไม่จำเป็นต้องมีการแต่งตั้งบุคคลใดให้มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และไม่สามารถเปลี่ยนแปลงสถานะความเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้ด้วยคำสั่งหรือการมอบหมายได้            • ข้อหารือที่ ๘/๒๕๖๖            • ข้อหารือที่ ๑๗/๒๕๖๖            • ข้อหารือที่ ๒๐/๒๕๖๗            • ข้อหารือที่ ๒๖/๒๕๖๖            • ข้อหารือที่ ๒/๒๕๖๗ ๓. การเปิดเผยข้อมูลภาครัฐทำได้แค่ไหน ?            หน่วยงานของรัฐมีหน้าที่เปิดเผยข้อมูลข่าวสารของราชการตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐ โดยต้องปฏิบัติตาม PDPA เป็นการเพิ่มเติมตามมาตรา ๓ (๑) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒            การเปิดเผยข้อมูลสัญญาก่อสร้างที่กรมโยธาธิการและผังเมือง (ยผ.) เป็นผู้ว่าจ้างเอกชน ถือเป็นการใช้สิทธิขอข้อมูลข่าวสารของราชการ และเป็นหน้าที่ที่ต้องเปิดเผยตามกฎหมายว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ และพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี ในกรณีที่มีข้อมูลส่วนบุคคลที่ไม่ควรเปิดเผยอยู่ด้วย หน่วยงานสามารถลบ ตัดทอน หรือดำเนินการอื่นใดที่ไม่เป็นการเปิดเผยข้อมูลส่วนนั้นได้            การเปิดเผยผลคะแนนการสอบคัดเลือกพนักงาน หรือใบประเมินผลคะแนนการสอบของคณะกรรมการ ถือเป็นข้อมูลข่าวสารของราชการ กองทุนเงินให้กู้ยืมเพื่อการศึกษา (กยศ.) สามารถเปิดเผยข้อมูลผลคะแนนของ ผู้ร้องขอเองได้ แต่หากเป็นข้อมูลของบุคคลอื่น หรือข้อมูลที่มีลักษณะเป็นข้อมูลส่วนบุคคลของกรรมการที่หากเปิดเผยจะรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร ก็ควรพิจารณาปกปิดข้อมูลส่วนนั้น            รายงานการประชุมที่ปรากฏข้อมูลส่วนบุคคล เช่น ยศ ชื่อ นามสกุล และรายละเอียดความเห็นของคณะกรรมการ หากเป็นการปฏิบัติหน้าที่ราชการตามปกติก็สามารถเปิดเผยได้ เนื่องจากการเปิดเผยไม่ได้รุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร แต่กลับแสดงถึงความโปร่งใสและตรวจสอบได้            เปิดเผยชื่อ-สกุล เลขทะเบียนใบอนุญาต และสถานะใบอนุญาตของผู้สอบบัญชีรับอนุญาตบนเว็บไซต์ของสภาชิชาชีพบัญชี สามารถเปิดเผยได้โดยไม่ต้องขอความยินยอม เพราะเป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะในการตรวจสอบสถานะผู้สอบบัญชี แต่การเปิดเผยหมายเลขโทรศัพท์และที่อยู่ ถือว่ายังไม่มีความจำเป็นและอาจรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร จึงต้องได้รับความยินยอม แต่การเปิดเผยข้อมูลในคำสั่งลงโทษจรรยาบรรณของผู้ประกอบวิชาชีพ นั้น อาจเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร หากสภาชิชาชีพบัญชีประสงค์จะเปิดเผยก็ต้องขอความยินยอมจากผู้สอบบัญชีรับอนุญาต            ข้อมูลผู้ประกอบการที่ชนะการจัดซื้อจัดจ้าง รวมถึงเลขประจำตัวผู้เสียภาษีอากรหรือเลขประจำตัวประชาชน เพื่อการประเมินคุณธรรมและความโปร่งใส (ITA) ถือเป็นการปฏิบัติตามกฎหมายของหน่วยงานของรัฐ จึงได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ (๖) ประกอบมาตรา ๒๗ อย่างไรก็ตาม การแจ้งเวียนรายชื่อ ผู้ทิ้งงานเพื่อประโยชน์ในการจัดซื้อจัดจ้างนั้น คณะกรรมการฯ เห็นว่ายังไม่ถือเป็นการดำเนินการเพื่อรักษาความมั่นคงทางการคลังของรัฐโดยตรง จึงไม่ได้รับยกเว้นตามมาตรา ๔ (๒) ของ PDPA              • ข้อหารือที่ ๑/๒๕๖๖            • ข้อหารือที่ ๒/๒๕๖๖            • ข้อหารือที่ ๑๑/๒๕๖๗            • ข้อหารือที่ ๒๓/๒๕๖๖            • ข้อหารือที่ ๒๔/๒๕๖๖            • ข้อหารือที่ ๒๘/๒๕๖๖ ๔. การแลกเปลี่ยนข้อมูลระหว่างหน่วยงานของรัฐให้สอดคล้องตาม PDPA            กรณีที่หน่วยงานของรัฐร้องขอข้อมูลส่วนบุคคลในรูปแบบดิจิทัลจากหน่วยงานอื่นเพื่อนำไปวิเคราะห์หรือประมวลผลจะต้องดำเนินการให้เป็นไปตามมาตรา ๑๓, ๑๔, และมาตรา ๑๖ แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ และให้นำ PDPA มาใช้บังคับเพิ่มเติมตามมาตรา ๓ (๑)            การเก็บรวบรวมข้อมูลปริมาณการใช้น้ำและข้อมูลผู้ใช้น้ำรายใหม่จากการประปานครหลวง (กปน.) โดยสำนักการระบายน้ำ กรุงเทพมหานคร (กทม.) เพื่อจัดเก็บค่าธรรมเนียมบำบัดน้ำเสีย ถือเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ตามอำนาจหน้าที่ที่กฎหมายกำหนดเพื่อประโยชน์สาธารณะ ดังนั้น กทม. สามารถเก็บรวบรวมข้อมูลดังกล่าวได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล. กปน. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ก็สามารถเปิดเผยข้อมูลให้ กทม. ได้ภายใต้ฐานทางกฎหมายเดียวกัน ทั้งนี้ ควรจัดทำ “ข้อตกลงการแบ่งปันข้อมูล” (Data Sharing Agreement: DSA) เพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และความรับผิดชอบของแต่ละฝ่ายอย่างชัดเจน            กรณีที่หน่วยงานของรัฐต้องเปิดเผยข้อมูลส่วนบุคคลโดยทั่วไป ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ และดำเนินการเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย           การรายงานข้อมูลทางการเงินของสหกรณ์ออมทรัพย์และสหกรณ์เครดิตยูเนี่ยนให้กรมส่งเสริมสหกรณ์ ทะเบียนสหกรณ์ สหกรณ์มีหน้าที่ต้องจัดเก็บและรายงานข้อมูลสมาชิก (ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ธุรกรรมทางการเงิน) ให้แก่นายทะเบียนสหกรณ์ตามกฎหมาย ดังนั้น สหกรณ์สามารถดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากสมาชิก อย่างไรก็ตาม การเก็บรวบรวมข้อมูลต้องเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบด้วย            เมื่อกรมสรรพากร กรมศุลกากร หรือกรมสรรพสามิตร้องขอข้อมูลส่วนบุคคลจากธนาคารโดยอาศัยอำนาจตามกฎหมาย เพื่อการจัดเก็บภาษีอากร หรือการดำเนินการตามพันธกรณีระหว่างประเทศ ธนาคารจะได้รับการยกเว้นการปฏิบัติตาม PDPA ในส่วนที่เกี่ยวข้องกับการเปิดเผยข้อมูลนั้น หากเจ้าของข้อมูลส่วนบุคคลขอแก้ไขข้อมูลให้ถูกต้องและเป็นปัจจุบันโดยตรงกับธนาคาร ธนาคารมีหน้าที่ต้องดำเนินการแก้ไขให้ถูกต้องและส่งข้อมูลที่แก้ไขแล้วให้หน่วยงานรัฐที่เคยร้องขอข้อมูลนั้นไปก่อนหน้านี้ด้วย            • ข้อหารือที่ ๑๓/๒๕๖๖            • ข้อหารือที่ ๑๕/๒๕๖๗            • ข้อหารือที่ ๒๗/๒๕๖๖     ๕. ตรวจสอบประวัติอาชญากรรมตาม PDPA ได้หรือไม่           “ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม” หมายถึง ข้อมูลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญาที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย การจัดเก็บเอกสารที่ระบุว่า “ไม่พบประวัติอาชญากรรม” โดยไม่มี การเชื่อมโยงกับข้อมูลทางอาญาอื่น ไม่ถือเป็นข้อมูลประวัติอาชญากรรม แต่หากมีข้อความเกี่ยวกับการถอนฟ้อง สั่งไม่ฟ้อง พิพากษารอลงอาญา หรืออยู่ระหว่างอุทธรณ์ ซึ่งเกี่ยวข้องกับการกระทำความผิดอาญา ย่อมถือเป็นข้อมูลประวัติอาชญากรรม            โดยทั่วไป การเก็บรวบรวมข้อมูลประวัติอาชญากรรมต้องได้รับความยินยอมโดยชัดแจ้ง เว้นแต่เข้าข้อยกเว้นไม่ต้องขอความยินยอมตาม PDPA สำหรับสถาบันการเงินที่มีความจำเป็นต้องตรวจสอบประวัติอาชญากรรมเพื่อพิจารณาคุณสมบัติของผู้สมัครงานสำหรับตำแหน่งที่มีเงื่อนไขตามกฎหมาย เช่น ผู้จัดการหรือกรรมการ ที่กฎหมายกำหนดคุณสมบัติหรือลักษณะต้องห้ามไว้ (เช่น พ.ร.บ. บริษัทมหาชนจำกัด, ประกาศธนาคารแห่งประเทศไทย) ถือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ “ประโยชน์สาธารณะที่สำคัญ” ตามมาตรา ๒๖ (๕) (จ) และได้รับยกเว้นไม่ต้องขอความยินยอม แต่หากเป็นเพียงนโยบายภายในของบริษัทโดยไม่มีกฎหมายรองรับโดยตรง จะไม่เข้าข้อยกเว้นนี้            • ข้อหารือที่ ๑๐/๒๕๖๗            • ข้อหารือที่ ๑๓/๒๕๖๗ ๖. การใช้-เปิดเผยข้อมูลสุขภาพตาม PDPA           “ข้อมูลสุขภาพ” เป็นข้อมูลตามมาตรา ๒๖ การเก็บรวบรวม ใช้ หรือเปิดเผยต้องได้รับความยินยอมโดยชัดแจ้ง เว้นแต่จะเข้าข้อยกเว้นไม่ต้องขอความยินยอม            การเบิกสวัสดิการค่ารักษาพยาบาล: การเก็บรวบรวมข้อมูลสุขภาพของพนักงานและครอบครัวในองค์การมหาชนเพื่อเบิกจ่ายสวัสดิการค่ารักษาพยาบาล ถือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ “สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย” ตามมาตรา ๒๖ (๕) (ค) จึงได้รับยกเว้นไม่ต้องขอความยินยอม กรณีนี้ครอบคลุมทั้งข้าราชการ ลูกจ้างประจำ บุคคลที่มีสิทธิตามกฎหมายประกันสังคม หรือหลักประกันสุขภาพแห่งชาติด้วย สำหรับพนักงานบริษัทเอกชน หากการเก็บรวบรวมข้อมูลสุขภาพเพื่อเบิกจ่ายค่ารักษาพยาบาลเป็นส่วนหนึ่งของข้อตกลงเกี่ยวกับสภาพการจ้างที่มีผลผูกพันนายจ้างและลูกจ้างตามกฎหมายแรงงานสัมพันธ์ ก็ถือเป็นการดำเนินการที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการ “คุ้มครองแรงงาน” ตามมาตรา ๒๖ (๕) (ค) และได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งเช่นกัน            การเปิดเผยประวัติการรักษาให้ตำรวจ: โรงพยาบาลสามารถเปิดเผยประวัติการรักษาพยาบาลของผู้ป่วยให้กับพนักงานสอบสวนตามหนังสือหรือหมายเรียกได้โดยไม่ต้องขอความยินยอม เพราะถือเป็นการปฏิบัติตามกฎหมาย (มาตรา ๒๔ (๖)) หรือเพื่อประโยชน์สาธารณะด้านการสาธารณสุข (มาตรา ๒๖ (๕) (ข)) หรือเพื่อการปฏิบัติงานในกระบวนการยุติธรรมทางอาญา นอกจากนี้ กฎหมายสุขภาพแห่งชาติ มาตรา ๗ ยังบัญญัติให้เปิดเผยข้อมูลด้านสุขภาพได้หากมีกฎหมายกำหนดให้ต้องเปิดเผย            ข้อมูลในใบรับรองแพทย์: การกำหนดให้ผู้ขอใบรับรองแพทย์กรอกประวัติสุขภาพและลงนามรับรองในแบบฟอร์ม สามารถทำได้โดยไม่ต้องขอความยินยอม เนื่องจากเป็นส่วนหนึ่งของการดำเนินการที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ หรือการให้บริการด้านสุขภาพ (มาตรา ๒๖ (๕) (ก)) ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถเปิดเผยข้อมูลสุขภาพของตนเอง ในใบรับรองแพทย์ให้กับบุคคลอื่นได้โดยไม่ขัดต่อ PDPA            บัตรประจำตัวคนพิการ: การเก็บรวบรวมบัตรประจำตัวคนพิการเพื่อยืนยันตัวตนสำหรับการใช้บริการทางการเงินของผู้พิการ ตามพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน ถือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ “ประโยชน์สาธารณะที่สำคัญ” (มาตรา ๒๖ (๕) (จ)) และได้รับยกเว้นไม่ต้องขอความยินยอม            • ข้อหารือที่ ๑๒/๒๕๖๗            • ข้อหารือที่ ๑๔/๒๕๖๖            • ข้อหารือที่ ๑๖/๒๕๖๗            • ข้อหารือที่ ๒๙/๒๕๖๖            • ข้อหารือที่ ๓/๒๕๖๗ ๗. สามารถบันทึกเวลาทำงานด้วยลายนิ้วมือ/ใบหน้า ได้หรือไม่ ?            ข้อมูลภาพจำลองใบหน้าและข้อมูลจำลองลายนิ้วมือ เป็น “ข้อมูลชีวภาพ” (biometric data) ตามมาตรา ๒๖ วรรคสอง การเก็บรวบรวมข้อมูลชีวภาพนี้ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้นตามมาตรา ๒๖            การเก็บรวบรวมข้อมูลชีวภาพเพื่อใช้ในการบันทึกเวลาทำงานของพนักงาน และการบริหารจัดการภายในองค์กรที่เกี่ยวข้อง ซึ่งมีวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน อาจเข้าข้อยกเว้นตามมาตรา ๒๖ (๕) (ค) หากพิสูจน์ได้ว่าเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของนายจ้างหรือลูกจ้างตามกฎหมายแรงงาน เช่น เพื่อป้องกันการทุจริตในการบันทึกเวลาทำงานแทนกัน            หากการเก็บรวบรวมข้อมูลชีวภาพไม่ได้เป็นสิ่งจำเป็น หรือยังมีทางเลือกอื่นที่ไม่ต้องใช้ข้อมูลชีวภาพ บริษัทควรพิจารณาขอความยินยอมโดยชัดแจ้งจากพนักงาน การขอความยินยอมเพื่อเก็บข้อมูลชีวภาพสำหรับการบันทึกเวลาทำงาน อาจกำหนดเป็นเงื่อนไขในการปฏิบัติงานตามสัญญาจ้างได้ หากเห็นว่ามีความจำเป็นหรือเกี่ยวข้องกับการบรรลุวัตถุประสงค์ของสัญญาจ้าง แต่ต้องแจ้งผลกระทบของการไม่ให้ความยินยอม หรือการถอนความยินยอมให้เจ้าของข้อมูลทราบด้วย            • ข้อหารือที่ ๑๔/๒๕๖๗ ๘. ขอให้โรงพยาบาลลบประวัติการรักษาพยาบาลได้หรือไม่ ?            เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ อย่างไรก็ตาม สิทธิขอให้ลบข้อมูลจะไม่นำมาใช้บังคับหากมีความจำเป็นต้องเก็บรักษาข้อมูลไว้เพื่อวัตถุประสงค์บางประการ เช่น เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมาย หรือเพื่อประโยชน์ด้านการสาธารณสุข.            ในกรณีของประวัติการรักษาพยาบาลเป็นข้อมูลสุขภาพ (ข้อมูลส่วนบุคคลตามมาตรา ๒๖) ซึ่งต้องเก็บรักษาตามพระราชบัญญัติสถานพยาบาลฯ ไม่น้อยกว่า ๕ ปี และเพื่อวัตถุประสงค์ด้านการสาธารณสุข ดังนั้น กรณีที่เจ้าของข้อมูลส่วนบุคคลขอให้ลบประวัติการรักษาพยาบาล โรงพยาบาลสามารถปฏิเสธได้ แต่ในกรณีที่ข้อมูลดังกล่าวหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์ที่ชอบด้วยกฎหมายแล้ว โรงพยาบาลมีหน้าที่ต้องดำเนินการลบหรือทำลายข้อมูลนั้น หากไม่ดำเนินการเจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญได้            • ข้อหารือที่ ๑๘/๒๕๖๗ ๙. ถอนความยินยอมตาม PDPA ง่ายจังเลย            เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ตลอดเวลา และจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม หากการถอนความยินยอม ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งผลกระทบนั้นให้ทราบ แม้กระบวนการถอนความยินยอมจะไม่ได้จัดทำเป็นกรณีเฉพาะ แต่หากมีระบบหรือรูปแบบวิธีการที่ชัดเจนให้ลูกค้าสามารถดำเนินการถอนความยินยอมได้ด้วยตนเอง เช่น การกดปุ่ม “ไม่ยินยอม” ในอุปกรณ์ต่าง ๆ  ก็ถือเป็นการถอน ความยินยอมที่ชอบด้วยกฎหมายแล้ว            • ข้อหารือที่ ๔/๒๕๖๖ ๑๐. ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลอย่างไร ต้องแจ้งเมื่อไหร่ ไม่แจ้งได้ไหม?            ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้าภายใน ๗๒ ชั่วโมง นับแต่ทราบเหตุ ทั้งนี้หากมีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้า จะต้องดำเนินการโดยเร็วแต่ต้องไม่เกิน ๑๕ วัน นับแต่ทราบเหตุ อย่างไรก็ดี หากประเมินแล้วว่าการละเมิดนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลก็ไม่มีหน้าที่ต้องแจ้ง ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลควรรักษาข้อมูลและเอกสารที่เกี่ยวข้องกับการประเมินความน่าเชื่อถือ การตรวจสอบข้อเท็จจริง และการประเมินความเสี่ยงไว้เป็นหลักฐานอ้างอิงด้วย             ระยะเวลา ๗๒ ชั่วโมงในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เริ่มนับเมื่อผู้ควบคุมข้อมูลส่วนบุคคลทราบว่ามีการละเมิดข้อมูลส่วนบุคคล และได้ประเมินความน่าเชื่อถือของข้อมูลรวมถึงตรวจสอบข้อเท็จจริงว่า มีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูลส่วนบุคคลจริงและมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล            • ข้อหารือที่ ๑๗/๒๕๖๗ ๑๑. วิธีการก่อนทิ้ง/ขาย อุปกรณ์อิเล็กทรอนิกส์ที่จัดเก็บข้อมูลส่วนบุคคล            หากบริษัทครอบครองอุปกรณ์อิเล็กทรอนิกส์ที่เก็บได้ ซึ่งอาจมีข้อมูลส่วนบุคคลบันทึกอยู่ การดำเนินการก่อนนำอุปกรณ์ไปจำหน่ายหรือขายทอดตลาด ควรมีการลบหรือทำลายข้อมูลส่วนบุคคลในอุปกรณ์นั้นก่อน. การดำเนินการนี้ถือเป็นส่วนหนึ่งของการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมตามที่กฎหมายกำหนด.            • ข้อหารือที่ ๑๒/๒๕๖๖   ๑๒. นำเสนอผลิตภัณฑ์ใหม่เพื่อวัตถุประสงค์ทางการตลาด ตาม PDPA ต้องขอความยินยอมหรือไม่            การนำเสนอผลิตภัณฑ์ใหม่เพื่อวัตถุประสงค์ทางการตลาด เช่น การนำเสนอสินเชื่อกับลูกค้าเงินฝาก ที่ไม่เกี่ยวข้องกับผลิตภัณฑ์เดิม และเจ้าของข้อมูลส่วนบุคคลไม่อาจคาดหมายได้ว่าจะมีการนำเสนอผลิตภัณฑ์ดังกล่าว หากมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลไว้ล่วงหน้าแล้วย่อมส่งข้อมูลผลิตภัณฑ์ให้เจ้าของข้อมูลได้             การนำเสนอผลิตภัณฑ์เดิม หรือผลิตภัณฑ์ที่เกี่ยวเนื่องกับผลิตภัณฑ์เดิม เช่น การนำเสนอเงินฝาก ประเภทอื่น หรือบัตร ATM/Mobile Banking ให้กับลูกค้าเงินฝาก หากกิจกรรมเหล่านั้นไม่จำเป็นหรือเกี่ยวข้องกับวัตถุประสงค์หลักตามสัญญาของผลิตภัณฑ์เดิม ธนาคารอาจพิจารณาใช้ฐาน “ประโยชน์โดยชอบด้วยกฎหมาย” (Legitimate Interests) ตามมาตรา ๒๔ (๕) โดยต้องคำนึงถึงความคาดหวังของเจ้าของข้อมูลส่วนบุคคล และความได้สัดส่วนของการชั่งน้ำหนักระหว่างประโยชน์ของธนาคารกับสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของลูกค้า และควรแจ้งให้ลูกค้าทราบว่าสามารถใช้สิทธิคัดค้านการใช้ข้อมูลเพื่อวัตถุประสงค์ทางการตลาดได้ หากลูกค้าเลือกไม่ให้ความยินยอมสำหรับวัตถุประสงค์ทางการตลาด ธนาคารจะไม่มีฐานทางกฎหมายในการใช้ข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์นั้น และจะไม่สามารถทำการตลาดสำหรับกิจกรรมดังกล่าวได้.            • ข้อหารือที่ ๕/๒๕๖๖ ๑๓. การเก็บรวบรวมข้อมูลผู้เยาว์ ตาม PDPA            การเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ในการเปิดบัญชีธนาคาร หากเป็นข้อมูลที่จำเป็นเพื่อการปฏิบัติตามสัญญา ก็สามารถทำได้โดยไม่ต้องขอความยินยอม แต่หากเป็นการเก็บรวบรวมข้อมูลตามมาตรา ๒๖ ซึ่งไม่มีฐานทางกฎหมายที่สอดคล้อง ก็ต้องได้รับความยินยอมโดยชัดแจ้งจากผู้เยาว์            สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด เช่น การนำเสนอผลิตภัณฑ์ใหม่ หรือผลิตภัณฑ์เดิม/เกี่ยวเนื่องที่ไม่จำเป็นต่อการปฏิบัติตามสัญญา จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แต่ในกรณีของผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ ควรได้รับความยินยอมจากผู้ใช้อำนาจปกครอง ที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย โดยคำนึงถึงความเหมาะสมด้านวุฒิภาวะของผู้เยาว์และผลกระทบจากการตัดสินใจ            • ข้อหารือที่ ๖/๒๕๖๖ ๑๔. กฎหมาย PDPA สำหรับนิติบุคคลอาคารชุดและบริษัทบริหารจัดการอาคาร           นิติบุคคลอาคารชุด ที่จดทะเบียนตามกฎหมายว่าด้วยอาคารชุด และมีวัตถุประสงค์เพื่อจัดการและดูแลรักษาทรัพย์ส่วนกลาง โดยไม่ได้ขายสินค้าหรือให้บริการกับบุคคลอื่นซึ่งมิใช่เจ้าของห้องชุดหรือผู้พักอาศัย หรือกระทำกิจการใดที่มีลักษณะเพื่อแสวงหากำไร จะมีฐานะเป็น “องค์กรที่ไม่แสวงหากำไร” ซึ่งได้รับการยกเว้น ไม่ต้องบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลตามข้อ ๓ (๕) ของประกาศคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. ๒๕๖๕ อย่างไรก็ตาม การยกเว้นนี้ไม่รวมถึงกรณีที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง หรือข้อมูลอ่อนไหวตามมาตรา ๒๖ แม้จะได้รับการยกเว้นเรื่องการบันทึกรายการ นิติบุคคลอาคารชุดยังคงต้องปฏิบัติตาม PDPA ในส่วนอื่น ๆ เช่น การเก็บรวบรวมข้อมูลเท่าที่จำเป็น (มาตรา ๒๒) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูล (มาตรา ๒๓) และการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย (มาตรา ๓๗ (๑))            บริษัทที่ประกอบธุรกิจด้านการบริหารอาคารชุดและหมู่บ้าน โดยการรับจ้างบริหารอาคารชุดและหมู่บ้าน มีฐานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” เนื่องจากได้ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของนิติบุคคลอาคารชุด/หมู่บ้านจัดสรร ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีนี้ ดังนั้น บริษัทบริหารจัดการอาคารไม่จำเป็นต้องได้รับความยินยอมจากลูกบ้าน หรือมีฐานทางกฎหมายตามมาตรา ๒๔ หรือ ๒๖ เพราะหน้าที่ดังกล่าวเป็นของผู้ควบคุมข้อมูลส่วนบุคคล            • ข้อหารือที่ ๘/๒๕๖๖            • ข้อหารือที่ ๑๑/๒๕๖๖            • ข้อหารือที่ ๑๕/๒๕๖๖ ๑๕. สามารถขอความยินยอมแทนเจ้าของข้อมูลส่วนบุคคล ได้หรือไม่            ในกรณีที่บริษัทประกันภัยร้องขอให้บริษัท (นายจ้าง) ลงนามในหนังสือรับรองการได้รับความยินยอมจากพนักงานผู้เอาประกันภัย เห็นว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจะต้องทำโดยชัดแจ้งและมาจากตัวเจ้าของข้อมูลเอง อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคล (บริษัทประกันภัย) อาจมอบหมายให้ตัวแทนหรือผู้อื่น (บริษัท ก.) ดำเนินการขอความยินยอมแทนได้ หากการมอบหมายนั้นไม่ได้เป็นการเปลี่ยนแปลงสถานะของผู้รับมอบหมายเป็นผู้ประมวลผลข้อมูลส่วนบุคคล หนังสือคำรับรองดังกล่าวจึงเป็นเพียงการยืนยันว่าบริษัท ก. ได้ทำหน้าที่แจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลและได้รับความยินยอมจากพนักงานตามหลักเกณฑ์ของ PDPA แล้ว การที่บริษัทประกันภัยกำหนดเงื่อนไขให้บริษัท ก. ลงนามในหนังสือรับรอง โดยหากไม่ลงนามจะไม่ให้บริการ ถือเป็นเงื่อนไขในการเข้าทำสัญญาที่สามารถทำได้ หากเห็นว่าการให้ความยินยอมนั้นมีความจำเป็นหรือเกี่ยวข้องกับการเข้าทำสัญญาหรือการให้บริการ สัญญาดังกล่าวเป็นนิติกรรมระหว่างเอกชน ที่คู่สัญญาพิจารณาเจรจาเงื่อนไขกันได้            • ข้อหารือที่ ๑๙/๒๕๖๖ ๑๖. หากมีการแชร์ข้อมูลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำ DSA หรือไม่ ?             บริษัทโรงงานน้ำตาลมีหน้าที่ตามกฎหมายที่จะต้องเปิดเผยข้อมูลส่วนบุคคลให้กับสำนักงานคณะกรรมการอ้อยและน้ำตาลทราย (สกอ.) จึงเป็นการปฏิบัติตามกฎหมายตามมาตรา ๒๔ (๖) ซึ่งได้รับยกเว้น ไม่ต้องขอความยินยอม PDPA ไม่ได้กำหนดหน้าที่ในการจัดทำ “ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล” (Data Sharing Agreement) ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลด้วยกันโดยตรง แต่หากผู้ควบคุมข้อมูลส่วนบุคคล เห็นว่า การจัดทำข้อตกลงการแบ่งปันข้อมูลจะเป็นมาตรการเชิงองค์กรอย่างหนึ่ง เพื่อช่วยในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน ให้สอดคล้องกับ PDPA ก็สามารถหารือและตกลงร่วมกันได้            • ข้อหารือที่ ๑๙/๒๕๖๗ ๑๗. PDPA ใช้บังคับกับหน่วยงานความมั่นคงและกระบวนการยุติธรรมหรือไม่ ?           ข้อยกเว้นการใช้บังคับ PDPA สำหรับหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ (มาตรา ๔ (๒)) หมายถึง การดำเนินการในกิจกรรมหรือภารกิจที่มีหน้าที่หรือวัตถุประสงค์เกี่ยวข้องกับการรักษาความมั่นคงของรัฐโดยตรงเท่านั้น ซึ่งการดำเนินการในกิจการรมที่ไม่เกี่ยวข้องกับความมั่นคงและกระบวนการยุติธรรมโดยตรง ได้แก่ การให้บริการสุขภาพของสถานพยาบาลในสังกัด หรือการประชาสัมพันธ์ จะไม่ได้รับการยกเว้นตามมาตรา ๔ (๒) อย่างไรก็ดี แม้จะได้รับการยกเว้นตามมาตรา ๔ (๒) แต่หน่วยงานของรัฐยังคงต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลด้วย ซึ่งต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measure) มาตรการเชิงเทคนิค (technical measure) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการเชิงกายภาพ (physical measure) ที่จำเป็นด้วย โดยคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ (confidentially) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) เป็นต้น            • ข้อหารือที่ ๑๗/๒๕๖๖            • ข้อหารือที่ ๒๐/๒๕๖๗ ๑๘. “กระบวนการยุติธรรมทางอาญา” ตาม PDPA คืออะไร            “การดำเนินงานตามกระบวนการยุติธรรมทางอาญา” ซึ่งได้รับการยกเว้นไม่ให้นำ PDPA มาใช้บังคับตามมาตรา ๔ (๕) นั้น ครอบคลุมตั้งแต่กระบวนการเพื่อให้รู้ถึงการกระทำความผิดอาญา ผู้กระทำความผิดอาญา ข้อเท็จจริงและรายละเอียดแห่งความผิดอาญา การติดตามหาตัวผู้กระทำความผิดอาญา การพิจารณาความผิดอาญา และการลงโทษผู้กระทำความผิดอาญา ดังนั้น การขอข้อมูลส่วนบุคคลของพนักงานสอบสวนเพื่อการสอบสวนคดีอาญา ถือเป็นส่วนหนึ่งของการดำเนินงานของเจ้าหน้าที่ตามกระบวนการยุติธรรมทางอาญา และยังเข้าข่ายเป็นการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความปลอดภัยของประชาชน ซึ่งจะได้รับการยกเว้นตามมาตรา ๔ (๒) และ (๕) อย่างไรก็ตาม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยทนายความและ/หรือผู้เสียหายเพื่อรวบรวมพยานหลักฐานก่อนการฟ้องคดี ซึ่งไม่ได้เป็นการดำเนินการโดยเจ้าหน้าที่ที่เกี่ยวข้องในกระบวนการยุติธรรมทางอาญา จะไม่เข้าข้อยกเว้นตามมาตรา ๔ (๕)            • ข้อหารือที่ ๑/๒๕๖๗            • ข้อหารือที่ ๙/๒๕๖๖ ๑๙. DPO เป็นใคร มีคุณสมบัติใดบ้าง ทุกหน่วยงานต้องมี DPO หรือไม่ ?           “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer: DPO) อาจเป็นพนักงานขององค์กร หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้ โดย DPO ควรมีความรู้หรือความเชี่ยวชาญด้านกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เข้าใจเรื่องมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และเข้าใจบริบทการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายในองค์กร ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่สนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือและอำนวยความสะดวกในการเข้าถึงข้อมูล และ DPO ต้องสามารถรายงานไปยังผู้บริหารสูงสุดได้โดยตรง            แม้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่อยู่ภายใต้บังคับมาตรา ๔๑ (๑), (๒) และ (๓) แต่อาจพิจารณาจัดให้มี DPO เพื่อให้คำแนะนำ ตรวจสอบการดำเนินงาน และประสานงานกับ สคส. เพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลและลดความเสี่ยงในการฝ่าฝืนกฎหมายได้            แต่อย่างไรก็ตาม การที่กฎหมายได้กำหนดให้ต้องมีการแต่งตั้ง  DPO ต้องยึดตามหลักกฎหมายและประกาศของ สคส. เท่านั้น ดังนั้น หากไม่มีกฎหมายกำหนดให้ต้องแต่งตั้ง DPO  ย่อมไม่เป็นความผิดแต่อย่างใด            • ข้อหารือที่ ๒๐/๒๕๖๗            • ข้อหารือที่ ๒๖/๒๕๖๖ ๒๐ Privacy Notice VS Privacy Policy             มาตรา ๒๓ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวม ซึ่งการแจ้งนี้เรียกว่า “ประกาศการคุ้มครองข้อมูลส่วนบุคคล” (Privacy Notice)” โดยมีลักษณะเป็นการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเท่านั้น ไม่ได้มีสภาพเป็นกฎหมายที่มีผลบังคับเป็นการทั่วไป และไม่จำเป็นต้องลงพิมพ์ในราชกิจจานุเบกษา            ส่วน “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” (Privacy Policy) เป็นนโยบายภายในองค์กรที่กำหนดเพื่อวางหลักการหรือวิธีปฏิบัติเพื่อเป็นแนวทางการดำเนินการภายในหน่วยงานเอง โดย PDPA ไม่ได้กำหนดให้ต้องจัดทำนโยบายภายในองค์กรนี้ แต่องค์กรอาจถือเป็นมาตรการเชิงองค์กรอย่างหนึ่งภายใต้มาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑) ที่ผู้ควบคุมข้อมูลส่วนบุคคลควรพิจารณาจัดทำเพื่อประโยชน์ในการบริหารจัดการข้อมูลส่วนบุคคลขององค์กร            • ข้อหารือที่ ๑๖/๒๕๖๖            • ข้อหารือที่ ๒๐/๒๕๖๖ ๒๑. PDPA มีผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller) หรือไม่ ?            PDPA ได้นำหลักเกณฑ์และวิธีการที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) มาใช้เป็นแนวทางในการบัญญัติกฎหมาย แต่ไม่ได้นำมาบัญญัติเกี่ยวกับ “ผู้ควบคุมข้อมูลส่วนบุคคลร่วม” (Joint Controller) มาบัญญัติไว้ใน PDPA โดยตรง ดังนั้น หากมีการลงนามในข้อตกลงการเป็นผู้ควบคุมข้อมูล ส่วนบุคคลร่วมตาม GDPR หรือกฎหมายของประเทศอื่นที่ต้องการให้ข้อตกลงนี้มีผลบังคับใช้ จะต้องศึกษาบริบทกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ และต้องมั่นใจว่าข้อตกลงดังกล่าวสอดคล้องกับหน้าที่ตาม PDPA ของไทย โดยเฉพาะอย่างยิ่งกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ            • ข้อหารือที่ ๑๘/๒๕๖๖            • ข้อหารือที่ ๒๖/๒๕๖๖ ๒๒. ถูกเปิดเผยข้อมูลส่วนบุคคล ร้องเรียนตาม PDPA ได้หรือไม่ ?            ในกรณีที่ผู้เสียหายเห็นว่ามีการละเมิดข้อมูลส่วนบุคคล และทำให้ได้รับความเสียหายจากการประกาศหรือโฆษณาที่ทำให้เกิดความอับอายหรือเสื่อมเสียชื่อเสียง โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ผู้เสียหายสามารถใช้สิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามมาตรา ๗๓ ของ PDPA ได้            แต่หากเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเป็นข้อมูลส่วนบุคคลตามมาตรา ๒๖ เช่น ประวัติอาชญากรรม ข้อมูลสุขภาพ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ซึ่งน่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ตามมาตรา ๗๙ หรือเป็นการเปิดเผยโดยผู้ที่ล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ตามมาตรา ๘๐ ผู้เสียหายสามารถร้องทุกข์ต่อพนักงานสอบสวนได้            สำหรับกรณีที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA แล้วทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ศาลมีอำนาจสั่งให้สั่งให้จ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นแต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริงได้ โดยเจ้าของข้อมูลส่วนบุคคลต้องฟ้องร้องต่อศาลภายใน ๓ ปีนับแต่วันที่รู้ถึงความเสียหายและทราบผู้กระทำความผิด            ในกรณีที่ผู้เสียหายเห็นว่ามีการละเมิดข้อมูลส่วนบุคคล และทำให้ได้รับความเสียหายจากการประกาศหรือโฆษณาที่ทำให้เกิดความอับอายหรือเสื่อมเสียชื่อเสียง ผู้เสียหายสามารถใช้สิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามมาตรา ๗๓ ของ PDPA ได้            • ข้อหารือที่ ๒๒/๒๕๖๖ ๒๓. “การลงโทษทางวินัย” ได้รับยกเว้น PDPA หรือไม่            หากภารกิจของคณะกรรมการ ป.ป.ช. เป็นการใช้หน้าที่และอำนาจในการสอบสวนเช่นเดียวกับพนักงานสอบสวนเพื่อกำหนดโทษทางอาญา ถือเป็นการดำเนินงานตาม “กระบวนการยุติธรรมทางอาญา” ซึ่งได้รับ การยกเว้นตามมาตรา ๔ (๕) และไม่ต้องปฏิบัติตาม PDPA เช่นเดียวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพื่อนำไปใช้ในกระบวนการลงโทษผู้กระทำความผิดซึ่งมีโทษทางอาญา แต่กรณีนี้เป็นการลงโทษทางวินัยฯ โดยตรงจึงไม่ถือเป็นกระบวนการสอบสวนทางอาญา และไม่ได้รับการยกเว้นตามมาตรา ๔ (๕)            • ข้อหารือที่ ๑/๒๕๖๗ ๒๔. ทนายความได้รับยกเว้น PDPA หรือไม่ ?            การที่ทนายความหรือผู้เสียหายได้รวบรวมพยานหลักฐานก่อนฟ้องคดีอาญา ซึ่งไม่ใช่การดำเนินการโดยเจ้าหน้าที่ที่เกี่ยวข้องในกระบวนการยุติธรรมทางอาญา จะไม่เข้าข้อยกเว้นตามมาตรา ๔ (๕) อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลอาจเปิดเผยข้อมูลให้กับทนายความ/ผู้เสียหายได้ หากพิจารณาแล้วเห็นว่าเป็นกรณีที่จำเป็นเพื่อ “ประโยชน์โดยชอบด้วยกฎหมาย” ของธนาคารหรือบุคคลอื่น (มาตรา ๒๔ (๕)) โดยจะต้องประเมินการใช้ฐานประโยชน์โดยชอบด้วยกฎหมายซึ่งต้องตรวจสอบวัตถุประสงค์ ตรวจสอบความจำเป็น และตรวจสอบความสมมดุลแห่งสิทธิ (Legitimate Interest Assessment: LIA) หรือมีกฎหมายอื่นกำหนดให้เปิดเผย (มาตรา ๒๔ (๖))            • ข้อหารือที่ ๙/๒๕๖๖     Create Date : 17 สิงหาคม 2568     Last Update : 17 สิงหาคม 2568 16:13:06 น. Counter : 412 Pageviews.   0 comment (โหวต blog นี้)  Share Tweet

แนวคิด PDPC สิงคโปร์ ในการตรวจสอบเหตุละเมิดข้อมูลส่วนบุคคล และการจัดทำคำสั่งทางปกครอง เมื่อวันที่ ๑๓ และ ๑๔ ส.ค.๖๘ ที่ผ่านมา สำนักตรวจสอบและกำกับ (ตส.) ได้จัดงานสัมมนา BCR ตามมาตรา ๒๙ กม.PDPA (คุ้มครองข้อมูลส่วนบุคคล) ของไทย  .... BCR หรือ  Biding Coporate Rules เป็นกลไกในการคุ้มครองการส่งข้อมูลส่วนบุคคลข้ามพรมแดนของบริษัทในเครือเดียวกัน จะต้องมีเครื่องมือประเภทหนึ่ง ในหลาย ๆ เครื่องมือ (เช่น  แบบสัญญามาตรฐาน  ASIAN MCC ， GDPR SCC และ ระบบหนังสือรับรอง Certification ของ  Global CBPR)  ที่จะประกันได้ว่าข้อมูลส่วนบุคคลจะไม่รั่วไหลฯ  .... ตาม มาตรา 29 กฎหมาย pdpa ของไทย  กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องส่ง สัญญา ตาม BCR มาให้ สคส  รับรอง โดยข้อบังคับ กกส. กำหนดให้  ตส. ทำหน้าที่ตรวจรับรองฯ สัญญาการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ... ในการสัมมนาครั้งนี้ ได้มีการเชิญอดีต รองเลขาฯ PDPC สิงคโปร์มาพูดให้ฟังว่าดำเนินการตรวจสอบเหตุละเมิดอย่างไร และ เชิญ กชช. ศุภวัชร์ มาบรรยายเรื่องการตรวจ ฺBCR  ... สำหรับการตรวจสอบเหตุละเมิด ซึ่งสิงคโปร์ ได้ดำเนินการอย่างละมุนละม่อมมาอย่างน้อย ๘ ปี ก่อนจะเริ่มปรับอย่างจริงจัง และยอดในการปรับ  จะไม่สูงมาก โดยจะเริ่มที่ ๑๐ เปอร์เซ็นต์ของกำไรสุทธิ ( ข้อกำหนดตาม กม.สิงคโปร์ ไม่ได้กำหนดแบบไทย ที่กำหนดอัตราสูงสุดไว้) ... สิงคโปร์ จะเน้นการตรวจสอบเอกสาร  และแทบจะไม่มีการลงพื้นที่ไปตรวจสอบที่บริษัทต่าง ๆ  เนื่องจากระบบการตรวจสอบต่าง ๆ สามารถตรวจสอบได้จากบันทึกของระบบคอมพิวเตอร์อยู่แล้วฯ  เว้นแต่ จะมีบางกรณีที่บริษํทไม่ให้ความร่วมมือเลย ... ประเด็นเรื่องการตรวจสอบข้อเท็จจริงจากเหตุละเมิด จะตรวจสอบข้อมูลจากเอกสาร และหากผู้กระทำละเมิดได้ยอมรับสารภาพผิด (กรณีมีเหตุละเมิด) และดำเนินการแก้ไข ปรับปรุงแล้ว  ทาง PDPC สิงคโปร์ จะเริ่มคิดคำนวนณค่าปรับ โดยลดค่าปรับลง ๑/๓ ก่อน แล้วจึงคิด ปัจจัยที่ทำให้ปรับสูงขึ้น หรือปัจจุัยที่จะได้รับการลดหย่อนค่าปรับลงตามลำดับ ... คดีส่วนมาก จะปรับไม่กี่พันเหรียญสิงคโปร์ มีจำนวนน้อยคดีมาก พี่จะมีการปรับในอัตราสูง  เพราะสิงคโปร์ เน้นการป้องกันและเน้นให้บริษัทฯ เคารพปฏิบัติตามกฎหมายโดยเต็มใจ  และหากบริษัทมีการแก้ไข ป้องกัน เยียวยาแล้ว มาตรการที่ไม่ใช่เน้นการปรับ ก็จะถูกใช้อย่างต่อเนื่อง .... PDPC สิงคโปร์ มี จนท. เพียง ๒๐ กว่าคนเท่านั้น  โดย เคยมี Committee แบบไทย แต่ได้ยกเลิกไป ปัจจุบัน จึงมี  Commissioner （หรือเลขาธิการ) รองเลขาฯ และ ผู้ช่วยเลขาฯ ที่เป็นระดับบริหาร   ไม่มีกรรมการแบบไทยอีกต่อไป ... การจัดทำคำสั่งทางปกครอง   จะดำเนินการตรวจสอบและสืบสวนสอบสวน โดย จนท. รับผิดชอบ ๑ ท่าน แล้วเชิญผู้เชี่ยวชาญด้านคอมพิวเตอร์ ฯลฯ เข้าร่วม เป็นคณะทำงาน โดยมี ผอ.ด้านการสืบสวนสอบสวน  รับผิดชอบ ... เมื่อทำการสืบสวนสอบสวนเสร็จ ภายในเวลาประมาณ ไม่เกิน ๙ เดือน ก็จะเสนอ เลขาฯ  รองฯ และผู้ช่วยฯ ทำการวินิจฉัย แล้วจัดทำคำสั่งทางปกครองว่าจะปรับเท่าไหร่ หรือใช้มาตรการอะไรอย่างไรต่อไป ในท้ายที่สุด ซึ่งเน้นย้ำกว่า ไม่ได้จ้องจะปรับอย่างเดียว  .... คำสั่งทางปกครองของสิงคโปร์ ค่อนข้างยาว ประมาณ ๒๐ ถึง ๓๐ หน้า  โดยจะไล่ร้อยเรียงตั้งแต่ คู่กรณี  เหตุละเมิด/ร้องเรียน  การกล่าวหา  การแก้ไขข้อกล่าวหา   และ Findings หรือข้อสรุปความเห็นทางกฎหมาย ที่ประกอบด้วยข้อเท็จจริงและข้อกฎหมาย เป็นรายกรณีไป   ตลอดจนท้ายสุด คือ คำสั่งที่ชัดเจน .... การเปิดเผยคำสั่งทางปกครอง จะใช้ระบบ Full & Open Justice เปิดเผยตั้งแต่คำแรก ยันคำสุดท้ายของคำสั่ง ในเวปไซต์ของ PDPC ของสิงคโปร์ ซึ่งต่างจากแนววินิจฉัยของ กรรมการข้อมูลข่าวสาร (ตาม กม.ข้อมูลข่าวสารของราชการ)  ที่กำหนดให้ปิดบังชื่อบุคคลฯ  อันนี้ โดยส่วนตัวผมไม่เห็นพ้องด้วยอย่างที่สุด  การเปิดเผยอย่างเต็มที่ นอกจากจะมีผลเป็น General  Deterence แล้ว ในแง่ของ  Legal Study  ที่จะสร้างความเข้าใจในกฎหมาย PDPA  ให้กว้างขวาง  ยังมีประโยชน์มากด้วย ซึ่งสอดคล้องกับสิ่งที่วิทยาการกล่าว คือ  กระบวนการดังกล่าว คือ การศึกษาและเรียนรู้กฎหมายของประชาชน และบริษัทต่าง ๆ ภาคเอกชน  ไม่ใด้มุ่งหวังให้เกิดความกลัวฯ  .... นส่วนของ  ฺBCR  สิงคโปร์ จะทำไกด์ไลน์ เป็นหลัก แต่ไม่กำหนดให้บริษัทส่ง ฺBCR  มาให้ตรวจแต่ประการใด  เพราะเป็นภาระที่ไม่สมควร  งานใด ๆ เอกชนควรทำได้เอง รัฐก็แค่กำกับดูแลเท่านั้น ไม่จำต้องไปข้องเกี่ยวด้วย  .... ประเด็นท้ายสุด  PDPA  ของสิงคโปร์  ไม่ใช้กับภาครัฐฯ  เพราะภาครัฐ จะถูกตรวจสอบโดยวิธีการอื่น และหากทำผิดกฎหมายนี้ หรือกฎหมายใด ๆ จะถูกลดตำแหน่งฯ หรือไม่ได้รับการเลื่อนตำแหน่งแทน  เพราะการปรับรัฐด้วยกัน ก็คือเอาเงินจากรัฐไปจ่ายอยู่ดี  ในเชิงอาชญาวิทยา จึงมีผลเป็นศูนย์ฯ   นอกจากจะลงโทษทางวินัยอย่างจริงจังเท่านั้น  .... สัมมนาก็จบเท่านี้   งานต่อไป  ผมจะเล่าให้ฟังครับ  .... PDPA  น่ารู้ก็ขอลาไปก่อน  และผมขอจบด้วยประโยค  GDPR  ไม่ใช่พ่อ  ไม่ต้องเชื่อฟังหมดหรอก  ต้องดูบริบทกฎหมายไทยเป็นสำคัญ !!!   Create Date : 16 สิงหาคม 2568     Last Update : 16 สิงหาคม 2568 12:59:19 น. Counter : 427 Pageviews.   0 comment (โหวต blog นี้)  Share Tweet

ความสัมพันธ์ระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกฎหมายอื่น ๆ   กฎหมายคุ้มครองข้อมูลส่วนบุคคล  （Personal Data Protection Act : PDPA） มีกฎหมายที่เกี่ยวข้องจำนวนมาก เนื่องจากบริบทของ PDPA เป็นการรับสิทธิและให้ความคุ้มครองพื้นที่ส่วนตัว (Privacy) ที่แสดงตัวตนของบุคคลและศักดิ์ศรีความเป็นมนุษย์ ตั้งแต่ชื่อ สกุล การติดต่อสื่อสาร จนกระทั่งเรื่องเล็ก ๆ ที่เป็นส่วนหนึ่งของตัวตนและแสดงถึงศักดิ์ศรีของบุคคลเช่นวิถีทางเพศ ตลอดจนความคิดเห็นทางการเมืองหรือการแสดงความคิดเห็นใด ๆ อย่างไรก็ตาม Right to Privacy ไม่ใช่สิ่งเดียวที่กฎหมายจะรับรองให้ เพราะทุกคนก็มีพื้นที่ของตนเอง แต่ทุกคนต้องอยู่รวมกันเป็นสังคม  สิทธิประโยชน์ของสังคมจึงได้รับความรับรองและคุ้มครองด้วยเช่นกัน  ดังจะเห็นว่า สมาชิกของสังคม ย่อมมีสิทธิที่จะรับรู้ข้อมูลข่าวสารที่เป็นประโยชน์สาธารณะ โดยเฉพาะเมื่อมีการใช้ Public Fund ในการบริหารจัดการแก้ไขปัญหาของสังคมเพื่อประโยชน์ร่วมกันของสมาชิกอื่น ๆ ในสังคม   กฎหมาย PDPA （Privacy Rights） จึงต้องสมดุลกับการคุ้มครองประโยชน์สาธารณะ (Public interest)  โดยการคุ้มครองประโยชน์ส่วนรวมอาจจะอยู่ในรูปแบบการคุ้มครองตามรัฐธรรมนูญ เช่น สิทธิและเสรีภาพของบุคคลที่จะแสดงออกและการรับรู้ข่าวสารหรือมีส่วนร่วมทางการเมือง ตามหลักสากลที่เรียกว่า     Freedom of expression  ซึ่งแสดงออกมาในรูปแบบ การเข้าถึงข้อมูลภาครัฐและข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ ตามหลัก “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น )   ในขณะเดียวกัน การใช้เสรีภาพในการแสดงความคิดเห็น และปัญหาสังคมก็อาจจะมีความสลับซับซ้อนตามภาวะยุคสมัยที่เปลี่ยนแปลงไป  รัฐจึงมีอำนาจจัดระเบียบการให้ความคุ้มครองเสรีภาพในการแสดงความคิดเห็น ผ่านกฎหมายหลายฉบับ เช่น การกำหนดความผิดเกี่ยวกับอาชญากรรทางคอมพิวเตอร์ (Computer crime) และการป้องกันปราบปรามการฉ้อโกงหรืออาชญากรรมทางเทคโนโลยี  โดยปัจจุบันมีบทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคล (ชื่อ สกุล อีเมล หรือข้อมูลทางอ้อมอื่น ๆ ที่แสดงถึงตัวบุคคล) เช่น การห้ามเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย  ซึ่งมีโทษจำคุก   โดยหลักการของกฎหมาย  PDPA  จะมีวัตถุประสงค์เพื่อควบคุมการดำเนินการของบริษัท ห้างร้าน ส่วนราชการ ฯลฯ ที่มีอำนาจตามกฎหมาย หรือมีอำนาจตัดสินใจที่จะรวบรวมข้อมูลส่วนบุคคลฯ  โดยทั่วไปก็จะกำหนดหน้าที่ของ ผู้แทนนิติบุคคลเป็นสำคัญ  แต่อาจจะควบคุมคนธรรมดาได้ หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างเป็นประจำ สม่ำเสมอ หรือได้ประโยชน์ทางการค้า เช่น Influencer ทั้งหลาย หรือแม่ค้าออนไลน์ ฯลฯ เป็นต้น  โดยกฎหมายนี้ จะกำหนดแนวปฏิบัติตั้งแต่การจัดเก็บ การใช้ การเปิดเผย การส่งต่อข้อมูล การบันทึกกิจกรรมการใช้ประมวลผล ฯลฯ จนกระทั่งการลบและทำลายข้อมูลส่วนบุคคลเมื่อหมดความจำเป็น ฯลฯ   ดังที่กล่าวไป  กฎหมาย  PDPA  ที่คุ้มครอง Privacy เกี่ยวกันกับกฎหมายหลายฉบับ ตั้งแต่ รัฐธรรมนูญ กฎหมายเกี่ยวกับอาชญากรรมทางคอมพิวเตอร์ หรือกฎหมายป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี  กฎหมายสุขภาพแห่งชาติ  ประมวลกฎหมายวิธีพิจารณาความอาญา การสืบสวนสอบสวนอาชญากรรม การป้องกันประเทศ การป้องกันและปราบปรามการฟอกเงิน การส่งผู้ร้ายข้ามแดน การต่อต้านคอรับชั่น ฯลฯ  ปัญหาสำคัญคือ จะมีการใช้กฎหมาย PDPA อย่างไร กล่าวโดยย่อ  PDPA  มาตรา ๓ กำหนดไว้ว่า หากมีกฎหมายเฉพาะที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลแล้ว  ก็ให้ใช้กฎหมายนั้นก่อน แล้วใช้ PDPA เป็นส่วนเสริม เช่น มีกฎหมายว่าด้วยการสืบสวนสอบสวน การป้องกันปราบปรามอาชญากรรม การส่งผู้ร้ายข้ามแดน การปราบปรามการทุจริตคอรับชั่น การดำเนินการเกี่ยวกับข้อมูลสุขภาพ ฯลฯ  ซึ่งส่วนใหญ่จะมีกฎหมายระดับพระราชบัญญัติกำหนดชัดเจนอยู่แล้ว  ดังจะเห็นได้จาก ข้อมูลข่าวสารของราชการ จะมีบทบัญญัติที่สำคัญกำหนดไว้ คือ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.๒๕๔๐  ซึ่งแปลว่า หน่วยงานใดมีกฎหมายอะไรต้องปฏิบัติ ก็ให้ปฏิบัติตามนั้นไป แต่จะต้องระมัดระวังมาตรการที่กำหนดเรื่องการรักษาความปลอดภัยตาม PDPA ที่จะต้องปฏิบัติการตามนั้น   มาตรการตาม PDPA  ที่บอกว่า ใช้เป็นส่วนเสริมของกฎหมายเฉพาะ จะเสริมในเรื่อง “C I A” กล่าวคือ  “การเก็บรักษาความลับ ( C – Confidentiality ) ความถูกต้องของข้อมูล ( Integrity) และการดำรงอยู่พร้อมใช้งาน （Availability） ของข้อมูลส่วนบุคคล คือ ต้องเก็บเท่าที่จำเป็น และห้ามเปิดเผย เว้นแต่จะมีกฎหมายให้อำนาจ หรือเจ้าข้อมูลส่วนบุคคลให้ความยินยอม  และต้องดำเนินการให้ข้อมูลถูกต้อง รวมถึงการป้องกันรักษาความปลอดภัยมิให้มีการแฮ๊ก หรือแก้ไข ฯลฯ    ในด้านการบังคับกฎหมาย กฎหมาย PDPA ของไทย มีลักษณะพิเศษ คือ มีโทษทางอาญา มาตรา ๗๙ ถึง ๘๐ สำหรับการเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว แล้วทำให้คนอื่นเสียหาย  และการที่บุคคลที่มีหน้าที่ในการเก็บรวบรวมข้อมูลฯ แล้วนำไปเปิดเผย เช่นนี้ก็อาจจะมีโทษจำคุกและปรับสูงมาก  ด้วยเหตุนี้  หากการกระทำของผู้ควบคุมข้อมูลส่วนบุคคล ฯ ผิดตาม PDPA ก็ต้องรับผิดทางอาญา (ถ้าเข้า มาตรา ๗๙ หรือ ๘๐)  โทษทางปกครองที่กรรมการผู้เชี่ยวชาญจะมีคำสั่ง เช่น ปรับทางปกครอง หรือลงโทษให้แก้ไขเปลี่ยนแปลงมาตรการรักษาความปลอดภัยฯ  หรือโทษทางแพ่ง หากผู้เสียหายฟ้องเองต่อศาลแพ่ง จะมีโทษทางแพ่งเป็นสองประเภท คือ ความเสียหายที่แท้จริง และความเสียหายทางการลงโทษอีก ๒ เท่า   อย่างไรก็ตาม หากการกระทำนั้น ไม่เข้าเงื่อนไข ตาม กม. PDPA เช่น การโพสต์เฟสบุ๊คด่ากันเอง หรือ เป็นการกระทำของบุคคลทั่วไป ที่ไม่ใช่ผู้ควบคุมฯ ตามกฎหมายนี้  ผู้เสียหายก็จะต้องฟ้องร้องเอง ตามกฎหมายเฉพาะนั้น ๆ ๆ  หรือหากเป็นความผิดอาญา เช่น หมิ่นประมาท ผู้เสียหายก็ต้องร้องทุกข์ต่อ พงส. เช่น การกระทำนั้นเป็นการหมิ่นประมาททางอาญา ก็ร้องทุกข์ภายใน ๓ เดือนนับแต่รู้เรื่องและรู้ตัว เป็นต้น         หากพิจารณา โทษทางอาญาของ PDPA กับกฎหมายอื่น ๆ ในลักษณะที่คล้ายกัน คือ การเก็บรวบรวม หรือใช้ หรือเปิดเผยโดยไม่ชอบ จะมี ดังนี้ โทษอาญา ตาม กม. PDPA  -                             มาตรา ๗๙ วรรคแรก  การเปิดเผยข้อมูลอ่อนไหว หรือส่งข้อมูลข้ามพรมแดนที่ผิดกฎหมาย โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น จำคุกไม่เกิน ๖ เดือน หรือปรับไม่เกิน ห้าแสนบาท มาตรา ๗๙ วรรคสอง ถ้าการกระทำข้างต้น เป็นการกรทำเพื่อแสวงประโยชน์ที่มิควรได้โดยชอบ จำคุกไม่เกิน ๑ ปี ปรับไม่เกิน ๑ ล้านบาท พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์    จะมีความผิดตามมาตรา ๗ คือ เข้าถึงโดยไม่ชอบ  จะะมีโทษจำคุกไม่เกิน ๒ ปี ปรับไม่เกิน ๔๐,๐๐๐ บาท  ส่วนกรณีดักรับข้อมูล จำคุก ๓ ปี ปรับไม่เกิน ๖๐,๐๐๐ บาท  แต่ถ้าทำให้ข้อมูลเสียหายฯ จำคุก ๕ ปี ปรับไม่เกิน ๑๐๐,๐๐๐ บาท พ.ร.ก.ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.๒๕๖๘            มาตรา ๑๒ การดำเนินการของหน่วยงานตาม กม.นี้  ไม่อยู่ภายใต้ PDPA (เฉพาะการเก็บรวบรวมฯ แต่การเปิดเผยต่อบุคคลอื่นที่ไม่หน้าที่ ยังมีความผิดตามกฎหมายนี้ )  กรณีเกี่ยวกับข้อมูลบุคคล จะเป็นไปตาม มาตรา ๑๑/๒ ห้ามเก็บรวบรวม หรือเปิดเผยข้อมูลบุคคล(รวมถึงข้อมูลคนตาย) ฝ่าฝืนคุก ๑ ปี ปรับ ๑๐๐,๐๐๐ บาท  แต่ถ้ากระทำเพื่อผลประโยชน์ฯ  จะจำคุก ๕ ปี หรือปรับไม่เกิน ๕๐๐,๐๐๐ บาท หรือทั้งจำทั้งปรับ                                                                 นอกจากนี้ PDPA ยังกำหนดโทษทางแพ่งและปกครอง โดยโทษทางแพ่งผู้เสียหายต้องฟ้องเองต่อศาลใน ๓ ปี จะมีค่าเสียหายเชิงลงโทษอีก ๒ เท่า  และโทษทางปกครอง สามารถร้องเรียนต่อกรรมการผู้เชี่ยวชาญของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อสืบสวนสอบสวน หากไม่ปฏิบัติตามคำสั่งของกรรมการหรือ จพง.ของสำนักงาน มีโทษปรับ ๕๐๐,๐๐๐ บาท   ....     Create Date : 12 สิงหาคม 2568     Last Update : 12 สิงหาคม 2568 14:19:59 น. Counter : 216 Pageviews.   0 comment (โหวต blog นี้)  Share Tweet

หน่วยงานรัฐ กับ PDPA เพื่อน ๆ คงได้ประสบพบเจอว่า หน่วยงานของรัฐจำนวนมาก จะมีข้ออ้างเวลาที่มีประชาชนไปขอข้อมูลต่าง ๆ  เพื่อปฏฺิเสธการเปิดเผย โดยอ้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ว่าให้ข้อมูลแล้ว ตนเองจะทำผิด "พีดีพีเอ"  ประชาชนก็งงเป็นไก่ตาแตก แล้วพลอยคิดว่า อี "พีดีพีเอ" มันร้ายนักฯ   ... ความจริงไม่ได้เป็นเช่นนั้น  กฎหมายใด ๆ ออกมาบังคับใช้ต้องมีเหตุมีผล ไม่ใช่ออกมาให้เป็นอุปสรรคในการบริหารราชการ และการบริการประชาชน  เพราะหากว่า "รัฐเกิดมาเพื่อเป็นอุปสรรคทำร้ายประชาชน" แล้ว จะมีรัฐไปทำไมกัน  "รัฐเกิดมาเพื่อบริการประชาชน"  เจ้าของประเทศเสมอ ๆ  ... ความสมดุลย์ คือ ด้านหนึ่งคือ ประชาชนทุกคนที่อยู่ในสังคม มีสิทธิในการรับรู้ข้อมูลข่าวสาร โดยเฉพาะจากหน่วยงานของรัฐ หรือบุคคลที่ทำงานให้รัฐ หรือแม้แต่บุคคลที่เป็น บุคคลสาธารณะ หรือ Public Figure  แน่นอนที่สุด บุคคลสาธารณะ ไม่ใช่ดารานักแสดงนะครับ  แต่หมายถึง บคคลที่รับภาษีจากประชาชน หรือบุคคลทั่วไปที่อ้างตนเป็นบุคคลสาธารณะเพื่อวิพากษ์วิจารณ์สังคม คือ ทำตัวให้เป็นบุคคลสาธารณะนั่นแหละ  .... ในอีกด้านหนึ่ง คนธรรมดาคนหนึ่ง ก็ต้องมีมุมส่วนตั๊วส่วนตัว  หรือ  Right to privacy สามารถหวงกันการเสือกคนอื่นได้เสมอ ๆ  เช่นกัน  เช่น หวงกันชื่อเสียงและความเป็นส่วนตัว มิให้ใครรุกล้ำหรือนำไปใช้ในทางที่ผิด รวมถึงภาพถ่าย และข้อมูลอื่น ๆ ที่รู้สึกหวงแหน  .... สองด้านนึั หากบรรจบกันเมื่อไหร่ละ ... มันย๊ากส์ เสมอ   เมื่อก่อนยังไม่มี อีตา "พีดีพีเอ" เขากันอย่างไร แน่นอน เขามีกฎหมายข้อมูลข่าวสารราชการ ที่กำหนดว่าทุกหน่วยงานรัฐต้องจัดข้อมูลโดยเฉพาะอำนาจหน้าที่ นโยบาย หรือกฎเกณฑ์ที่กระทบต่อประชาชน ต้องประกาศในเวปไซต์สำนักงานของตนเอง  ต่อมามีกำหนดให้ต้องประกาศในราชกิจจา โดยเฉพาะกฎที่จะบังคับใช้กับคนทั่วไป มิเช่นนั้น บังคับไม่ได้   ในขณะเดียวกัน ก็มีกฎหมายอื่นๆ คุ้มครองความเป็นส่วนตัว เช่น กฎหมายอาญา ห้ามเปิดเผยความลับ หรือกำหนดความผิดสำหรับการกรรโชก หรือกำหนดความผิดทางแพ่ง และทางคอมพิวเตอร์ฯ ต่าง ๆ    แต่ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ จนกระทั่ง ค.ศ.๒๐๑๙ หรือ พ.ศ.๒๕๖๒ จึงเกิด อีตา พีดีพีเอ เกิดขึ้น ... พออีตา "พีดีพีเอ" เกิดขึ้น ก็ว้าวุ่นละครับ ...  อันเนื่องจากความไม่รู้และความกลัว  คือ กลัวจะผิด ยิ่งได้รู้บทขู่ด้วยว่า อีตาพีดีพีเอ  ปรับสูงสุดทั้ง ๕ ล้าน  แล้วก็มีโทษทางแพ่ง ทั้งค่าเสียหายที่แท้จริง และค่าเสียหายเชิงลงโทษ  รวมถึงโทษทางอาญาในฐานที่นำข้อมูลบุคคลอื่นมาเปิดเผย ตามาตรา ๗๙ และมาตรา ๘๐  ก็ยิ่งกลัวกันไปใหญ่  ... ความจริง กฎหมายพีดีพีเอ มีกฎเกณฑ์ที่สำคัญ คือ  ถ้ามีกฎหมายอะไรที่เกี่ยวข้องกับอำนาจหน้าที่ในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลไว้แล้ว ก็บังคับไปตามนั้นก่อน  แล้วใช้ พีดีพีเอ เป็นส่วนเสริมในการรักษาความปลอดภัย และหลักการบางอย่างเช่น  หลักความจำเป็น หลักการเก็บตามวัตถุประสงค์ หลักการจำกัดเวลาในการจัดเก็บและใช้ข้อมูล ฯลฯ เป็นต้น  .... เพื่อให้เกิดความกระชับ ก็จงจำไว้ว่า ถ้ามีกฎหมายอะไรเป็นการเฉพาะ ก็ต้องว่าตามนั้นไปครับ เช่น พ.ร.บ.ข้อมูลข่าวสารของราชการ กำหนดให้หน่วยงานของรัฐต้องเปิดเผย ก็ไม่มีเหตุอะไรจะต้องปิดบัง  เว้นแต่จะมีข้อจำกัดตามกฎหมากำหนด เช่น มาตรา ๑๔ และ มาตรา ๑๕ ของกฎหมายนั้น นอกจากนี้ ยังมีข้อกำหนดตาม พ.ร.บ.ข้อมูลข่าวสารของราชการ ก็กำหนดไว้ ให้ต้องระมัดระวังในการเปิดเผยข้อมูลส่วนบุคคล มาตรา ๒๓ ที่กำหนดให้จัดเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อการดำเนินการตามวัตถุประสงค์ของหน่วยงานของรัฐฯ และยกเลิกเมื่อหมดความจำเป็น  ... มาตรา ๒๓ วรรคท้าย ของกฎหมายข้อมูลส่วนข่าวสารของราชการ ยังกำหนดว่า ให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบถึงการส่งข้อมูลส่วนบุคคลให้ผู้อื่นทราบ เว้นแต่เป็นไปตามลักษณะการใช้ข้อมูลปกติ  ส่วนการใช้ฯ ก็ให้ขอความยินยอม เว้นแต่ โดยลักษณะเป็นไปตาม มาตรา ๒๔ คือ ใช้ในหน่วยงานของตนเอง หรือใช้งานปกติตามระบบจัดเก็บข้อมูลส่วนบุคคล หรือเกิดประโยชน์วิจัยและสถิติ เป็นการกระเพ่อจำเป็นเพื่อป้องกันอันตรายต่อชีวิตและสุขภาพ หรือการเปิดเผยต่อศาล  .... มาตรา ๒๕ นอกจากที่กำหนดในมาตรา๑๔ และ๑๕ ที่จะไม่เปิดเผยแล้ว บุคคลย่อมสามารถรู้ข่าวสารเกี่ยวกับตเองได้ จึงขอดูจากหน่วยงานรัฐได้ รวมถึงรายงานแพทย์เกี่ยวกับสุขภาพของตน ก็ให้แพทย์ทำการเปิดเผยต่อแพทย์ที่จะทำการรักษาคนใหม่ เป็นต้น  ... กฎหมายของส่วนราชการยังมีอีกมาก ต้องดูตาม กม.บริหาราชการแผ่นดิน และกฎหมายเฉพาะของส่วนราชการนั้นเป็นสำคัญ  แล้วใช้  pdpd เป็นส่วนเสริมเท่านั้น  สรุปคือ  pdpa ไม่ใช่ตัวร้าย แต่เป็นพระเอกในการทำให้ข้อมูลมั่นคงปลอดภัยยิ่งขึ้น ฯลฯ  ... แล้วค่อย ๆ ตามรายละเอียดกันครั้บ    Create Date : 06 สิงหาคม 2568     Last Update : 6 สิงหาคม 2568 15:04:47 น. Counter : 169 Pageviews.   0 comment (โหวต blog นี้)  Share Tweet

• WWLF
• Frank Abanel
• ป้ามด
• justice0009
• Env. Boalt
• FeRn_MU
• Carlziess Lens
• Dr.Manta
• สิงห์นครพิงค์
• newsa
• Webmaster - BlogGang