คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สวทช. 1.0

by

บทนำและคำนิยาม

บทนำ

คู่มือแนวทางดำเนินการนี้เป็นเครื่องมือสำคัญประการหนึ่งที่ช่วยให้การดำเนินการตามกฎหมายหรือหลักการใด ๆ ที่กำหนดขึ้นเป็นไปในอย่างสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแล้วการบัญญัติกฎหมายหรือกำหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกำหนด “ให้ทำ” (prescriptive) “ไม่ให้ทำ” (proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ย่อมตามมาซึ่งคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” โดยเฉพาะอย่างยิ่งกับกฎหมายที่โดยทั่วไปแล้วสามารถกำหนดได้เพียงในระดับที่กำหนด “ห้าม” เป็นหลักการไว้เท่านั้น แต่ในขั้นตอนปฏิบัติย่อมไม่สามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะทั้งปวงได้ เพราะจะทำให้กฎหมายนั้นมีความเคร่งครัดมากเสียจนไม่อาจนำไปใช้ได้จริง

ในกรณีของ “การคุ้มครองข้อมูลส่วนบุคคล” ก็เช่นเดียวกัน เนื่องจากกฎหมายไม่สามารถกำหนดวิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณ์ได้ จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” มีข้อสังเกตว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเป้าหมายระบุโดยตรงไปที่ “ข้อมูลส่วนบุคคล” (Personal Data) ไม่ใช่ “ตัวบุคคล” (Person) โดยตรง ซึ่งการคุ้มครองข้อมูลส่วนบุคคลนั้นจะมีผลเป็นการปกป้อง “บุคคล” จากผลร้ายที่อาจเกิดขึ้นจากการประมวลผล “ข้อมูลส่วนบุคคล” อีกชั้นหนึ่ง

การคุ้มครองข้อมูลส่วนบุคคล มีผลชัดเจนเมื่อสหภาพยุโรปได้ออกกฎหมายฉบับใหม่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นการปรับปรุงกฎหมายเดิม (EU Data Protection Directive 95/46/EC) ซึ่งใช้บังคับมานานมากว่า 20 ปี ทำให้เกิดการเปลี่ยนแปลงหลักการที่สำคัญ เช่น

  • กำหนดการใช้อำนาจนอกอาณาเขต (extraterritorial jurisdiction) กล่าวคือ ข้อมูลส่วนบุคคลของสหภาพยุโรปอยู่ภายใต้ความคุ้มครองไม่ว่าจะอยู่ในที่ใดในโลก
  • กำหนดบทลงโทษสูงขึ้น โดยองค์กรที่กระทำผิดอาจต้องจ่ายค่าปรับสูงถึงอัตราร้อยละ 4 ของผลประกอบการรายได้ทั่วโลก
  • กำหนดให้การขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง (clear and affirmative consent)
  • กำหนดการแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่วไหล หน่วยงานผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
  • กำหนดขอบเขตสิทธิของเจ้าของข้อมูล ให้ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบว่าข้อมูลจะถูกใช้อย่างไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
  • กำหนดรับรองสิทธิในการโอนข้อมูลไปยังผู้ประกอบการอื่น (Right to data portability)
  • กำหนดรับรองสิทธิที่จะถูกลืม (Right to be forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้

GDPR มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา ซึ่งนอกจากการมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว สวทช. ควรดำเนินการเตรียมพร้อมมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเช่นเดียวกัน

คู่มือแนวทางดำเนินการนี้มีเจตนาที่จะแนะนำวิธีการว่าควรทำ “อย่างไร” ซึ่งหมายความว่าคู่มือแนวทางดำเนินการนี้เป็นเพียงคำอธิบายของวิธีการเพื่อการคุ้มครองข้อมูลส่วนบุคคลซึ่งจำเป็นต้องพัฒนาอย่างต่อเนื่องต่อไป การดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามคู่มือแนวทางดำเนินการนี้จึงไม่ใช่การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือมาตรฐาน GDPR ที่ครบถ้วน แต่เป็นเพียงข้อแนะนำที่ควรจะต้องปฏิบัติและพัฒนาปรับปรุงต่อเนื่องต่อไป

การคุ้มครองข้อมูลส่วนบุคคลกับการดำเนินงานของ สวทช.

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีการอ้างอิงกับกฎหมายของสหภาพยุโรป ที่เรียกกันว่า “GDPR” (EU General Data Protection Regulation) ซึ่งเป็นเวลากว่า 20 ปี ที่ได้มีการพยายามผลักดันให้มีกฎหมายการคุ้มครองข้อมูลส่วนบุคคล จนประสบความสำเร็จและประกาศพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลบังคับใช้อย่างสมบูรณ์ ตั้งแต่วันที่ 28 พฤษภาคม 2563 เป็นต้นไป โดยการประกาศใช้พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ เป็นไปเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ

วัตถุประสงค์และเป้าหมาย

คู่มือแนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติฉบับนี้ มีวัตถุประสงค์เพื่อให้มั่นใจว่า สวทช. เข้าใจถึงการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นแนวทางในการคุ้มครองข้อมูลส่วนบุคคลและปฏิบัติให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหน่วยงานภายใน สวทช. ที่มีกิจกรรมหรือการดำเนินงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สามารถนำคู่มือแนวทางดำเนินการนี้ไปเป็นแนวทางในการดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคล

คำนิยาม

การประมวลผลข้อมูลส่วนบุคคล – Processing of Personal Data

การดำเนินการหรือชุดการดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

การจัดทำข้อมูลนิรนาม – Anonymization

กระบวนการที่ทำให้ความเสี่ยงในการระบุตัวตนของเจ้าของข้อมูลนั้นน้อยมากจนแทบไม่ต้องให้ความสำคัญกับความเสี่ยง (negligible risk)

การแฝงข้อมูล – Pseudonymization

การประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถระบุตัวเจ้าของข้อมูลได้ หากปราศจากการใช้ข้อมูลเพิ่มเติมประกอบ ทั้งนี้ข้อมูลเพิ่มเติมนี้มีการเก็บรักษาไว้แยกออกจากกันและอยู่ภายใต้มาตรการเชิงเทคนิคและมาตรการเชิงบริหารจัดการเพื่อประกันว่าข้อมูลส่วนบุคคลจะไม่สามารถระบุไปถึงบุคคลธรรมดาได้

ข้อมูลส่วนบุคคลรั่วไหล – Personal Data Breach

การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคลทำให้เกิดความเสียหาย สูญหาย เปลี่ยนแปลง เปิดเผยโดยไม่ได้รับอนุญาต หรือเข้าถึงข้อมูลส่วนบุคคลที่ใช้งาน

ข้อมูลส่วนบุคคลแฝง – Pseudonymous Data

ข้อมูลที่ที่ไม่สามารถใช้ระบุตัวเจ้าของข้อมูลได้หากปราศจากการใช้ข้อมูลประกอบเพิ่มเติม

ข้อมูลนิรนาม – Anonymous Data

ข้อมูลที่ไม่สามารถใช้เพื่อระบุตัวตนของบุคคลใดบุคคลหนึ่งได้

แนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีที่หน่วยงานเก็บรวบรวมข้อมูลส่วนบุคคลไว้ก่อนวันที่พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ (ก่อนวันที่ 28 พฤษภาคม พ.ศ. 2563)

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 95 วรรคหนึ่ง กำหนดให้ “ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้น ต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย” ดังนั้น ในกรณีที่หน่วยงานมีการเก็บรวบรวมข้อมูลส่วนบุคคลใด ๆ ไว้ก่อนวันที่พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ก่อนวันที่ 28 พฤษภาคม พ.ศ. 2563) ใช้บังคับ หน่วยงานนั้นสามารถประมวลผลข้อมูลส่วนบุคคลได้ตามวัตถุประสงค์เดิมที่เคยแจ้งไว้ต่อเจ้าของข้อมูลส่วนบุคคล เช่น เดิมหน่วยงานเคยเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่เข้าร่วมงาน NAC ปีก่อน ๆ ไว้เพื่อส่งข้อมูลประชาสัมพันธ์งาน NAC ให้เจ้าของข้อมูลส่วนบุคคล เมื่อพระราชบัญญัติฯ นี้ใช้บังคับอย่างสมบูรณ์ หน่วยงานยังสามารถส่งข้อมูลประชาสัมพันธ์งาน NAC ให้กับเจ้าของข้อมูลส่วนบุคคลนั้น ๆ ได้ดังเดิม แต่จะต้องเพิ่มเติมให้เจ้าของข้อมูลส่วนบุคคลนั้น ๆ ทราบว่าสามารถใช้สิทธิถอนความยินยอมได้

ตัวอย่าง ในการส่งข้อมูลประชาสัมพันธ์งาน NAC 2021 หน่วยงานอาจเพิ่มข้อความ ดังนี้

“สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติได้รับข้อมูลส่วนบุคคลของท่านตามที่ท่านได้ให้ข้อมูลส่วนบุคคลไว้กับ สำนักงานฯ โดย สำนักงานฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้อย่างปลอดภัยในระบบของสำนักงานฯ ตามระยะเวลาที่จำเป็นเพื่อให้บรรลุตามวัตถุประสงค์ของการจัดเก็บข้อมูลนั้น ท่านอาจยุติการให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน โดยติดต่อมาที่ dpo@nstda.or.th หรือตามที่อยู่ “สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ 111 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน ตำบลคลองหนึ่ง อำเภอคลองหลวง จังหวัดปทุมธานี 12120” ทั้งนี้ สำนักงานฯ ขอเรียนว่าอาจมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ท่าน อนึ่ง การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่านที่ได้ให้ความยินยอมไว้ก่อนแล้ว” *ข้อความอาจปรับได้ตามความเหมาะสม*

แนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานมีการจัดทำเว็บไซต์ หรือ Mobile Application

กรณีที่หน่วยงานการจัดทำเว็บไซต์ หรือ Mobile Application หน่วยงานต้องจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application นั้น ๆ โดยนโยบายฯ ดังกล่าวเป็นข้อความหรือรายละเอียดที่หน่วยงานจะต้องแสดงกับเจ้าของข้อมูลส่วนบุคคล เพื่ออธิบายเกี่ยวกับรายละเอียดในการประมวลผลข้อมูล นโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application จะช่วยเพิ่มความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลของ สวทช. ตามหลักการการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย เป็นธรรมและโปร่งใส ซึ่งเป็นหลักการที่สำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

นอกจากนี้ การจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application เป็นการให้ความเชื่อมั่นแก่เจ้าของข้อมูลส่วนบุคคลว่า สวทช. มีแนวทางในการปฏิบัติอย่างไรกับข้อมูลของตน และมั่นใจได้ว่าข้อมูลส่วนบุคคลของตนจะไม่ถูกนำไปประมวลผลอื่นนอกเหนือจากที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application นั้น ๆ ดังนั้น หน่วยงานจึงต้องอธิบายในรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดเป็นภาษาที่เข้าใจได้ง่าย เพื่อเป็นการแจ้งให้กับเจ้าของข้อมูลส่วนบุคคลทราบว่าหน่วยงานเก็บรวบรวมข้อมูลส่วนบุคคลอะไรบ้าง เพื่อวัตถุประสงค์ใด และมีการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลหรือหน่วยงานใดบ้าง และเก็บข้อมูลไว้เป็นระยะเวลาเท่าใด รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นต้น นอกจากนี้ หน่วยงานจะต้องแจ้งในนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application นั้น ๆ ด้วยวิธีการที่เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึงได้ง่าย ซึ่งอาจทำในรูปแบบเป็นเอกสารหรือทำโดยผ่านระบบอิเล็กทรอนิกส์หรือระบบสารสนเทศก็ได้

นโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application นั้น ๆ หน่วยงานจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวม ซึ่งจะต้องแสดงรายละเอียดของนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับเว็บไซต์ หรือ Mobile Application นั้น ๆ อย่างน้อยในหัวข้อดังต่อไปนี้

  1. คำนิยาม
  2. แหล่งที่มาของข้อมูลส่วนบุคคล
  3. ข้อมูลส่วนบุคคลที่ผู้ใช้งานให้กับ สวทช.
  4. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
  5. การประมวลผลข้อมูลส่วนบุคคล โดยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
  7. สิทธิของของผู้ใช้งานในการจัดการข้อมูลส่วนบุคคล
  8. การรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล
  9. การเปลี่ยนแปลงหรือปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล
  10. การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับ สวทช.

นอกจากนี้ หน่วยงานควรเพิ่มเติมข้อความหรือ ดำเนินการจัดทำลิงก์ด้วยข้อความ “นโยบายคุ้มครองข้อมูลส่วนบุคคล” หรือ “Personal Data Privacy Policy” หรือ “Personal Data Protection Policy” หรือเทคนิคใด ๆ ที่เหมาะสม ไปยังเนื้อหาประกาศสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ URL https://www.nstda.or.th/home/nstda-privacy-policy/ ซึ่งเป็นประกาศฯ ที่กล่าวถึงการคุ้มครองข้อมูลส่วนบุคคลในภาพรวมของ สวทช.

ทั้งนี้ หน่วยงานที่มีการจัดทำเว็บไซต์ หรือ Mobile Application สามารถประสานทีมเทคนิคของสวทช. เพื่อขอคำแนะนำด้านเทคนิค

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีที่หน่วยงานประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอม

1. กรณีที่มีความยินยอมที่เก็บรวบรวมไว้ก่อนพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลอนุญาตให้ประมวลผลข้อมูลบนฐานของความยินยอมที่เกิดขึ้นก่อนพระราชบัญญัติจะมีผลบังคับใช้ได้ตามขอบเขตวัตถุประสงค์เดิม ซึ่งมาตรา 95 นี้เป็นประเด็นที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยกำหนดให้แตกต่างจาก GDPR

ในกรณีที่ความยินยอมที่เก็บไว้ก่อนหน้ากฎหมายจะมีผลบังคับใช้นั้นมีขอบเขตวัตถุประสงค์ที่กว้างขวางคลุมเครือจนขัดแย้งกับมาตรา 19 โดยชัดแจ้ง เช่น เป็นการขอความยินยอมแบบเหมารวมทุกกรณี หรือเป็นการขอความยินยอมแบบไม่แยกระหว่างฐานความยินยอมกับฐานสัญญา ต้องถือว่าความยินยอมนั้นมีผลเฉพาะส่วนที่ขอบเขตวัตถุประสงค์ชัดเจนเท่านั้น

2. กรณีที่จะต้องขอความยินยอมโดยอาศัยฐานความยินยอม ภายหลังที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ (ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2563 เป็นต้นไป) ขอให้หน่วยงานพิจารณาดำเนินการ ดังนี้

2.1 เงื่อนไขในการใช้ฐานความยินยอม

2.1.1 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนจึงจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้น ๆ ได้

2.1.2 เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมเมื่อใดก็ได้

2.1.3 การใช้ฐานความยินยอมนั้นจะต้องให้สิทธิเจ้าของข้อมูลสามารถปฏิเสธไม่ให้ความยินยอมได้

2.1.4 การขอความยินยอมจะต้องกระทำอย่างชัดเจนไม่คลุมเครือ ดังนั้น หน่วยงานจึงควรออกแบบแบบฟอร์มการขอความยินยอมที่ทำให้เจ้าของข้อมูลส่วนบุคคลสามารถเห็นได้อย่างชัดเจนว่า หน่วยงานขอความยินยอมในการประมวลผลข้อมูลเพื่อวัตถุประสงค์ใดบ้าง

2.1.5 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องคำนึงถึงอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ การขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ไม่นำมารวมอยู่ในเงื่อนไขการให้บริการ (Terms & Conditions) หรือข้อความในสัญญา

2.1.6 การขอความยินยอมจะทำในรูปแบบเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ก็ได้

2.1.7 ข้อควรระวังในการใช้ฐานความยินยอม

(1) หน่วยงานจะต้องไม่ใช้ข้อความที่เป็นการหลอกหลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ และจะต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการตัดสินใจให้ความยินยอม โดยการให้ความยินยอมจะต้องเป็นการสมัครใจ ดังนั้น การขอความยินยอมจะต้องระบุวัตถุประสงค์ในการประมวลผลข้อมูลอย่างชัดเจนว่าจะขอความยินยอมในเรื่องใด

(2) หน่วยงานต้องไม่นำฐานความยินยอมและฐานสัญญามาปะปนกัน ต้องแยกให้ได้ว่าข้อมูลใดจำเป็นสำหรับการปฏิบัติตามสัญญาก็ควรจะระบุอยู่ในสัญญา ซึ่งการขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ไม่นำมารวมอยู่ในเงื่อนไขการให้บริการ (Terms & Conditions) เนื่องจากการกระทำดังกล่าวอาจทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วจะไม่ได้รับบริการหรือมีผลต่อการใช้บริการของหน่วยงานหรือ สวทช.

(3) การใช้ฐานความยินยอมอาจเหมาะสมในสถานการณ์ที่จะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เฉพาะเจาะจงมากกว่า และหน่วยงานไม่สามารถประมวลผลตามวัตถุประสงค์ที่เพิ่มเติมขึ้นมาใหม่เองได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หน่วยงานจะต้องทำการขอความยินยอมใหม่หากต้องการประมวลผลเพื่อวัตถุประสงค์อื่นที่นอกเหนือจากที่เคยได้รับความยินยอมไปแล้ว เว้นแต่หากพิจารณาแล้วว่าการประมวลผลเพื่อวัตถุประสงค์อื่นนั้น สามารถทำได้ภายใต้ฐานกฎหมายฐานอื่น เช่น ฐานผลประโยชน์อันชอบธรรม

2.2 วิธีการขอความยินยอม การขอความยินยอม หน่วยงานจะต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน สามารถทำได้หลายวิธี เช่น

2.2.1 การขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนในรูปแบบลายลักษณ์อักษร หน่วยงานควรออกแบบให้เจ้าของข้อมูลต้องมีการกระทำให้ความยินยอมอย่างชัดเจน (Clear Affirmative Action) โดยให้เจ้าของข้อมูลส่วนบุคคลกดอ่าน และกดหรือทำเครื่องหมาย “ยินยอม/ตกลง” หรือ การทำเป็นช่องเช็คถูก (Check Box)

2.2.2 การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนในรูปแบบวาจา (Verbal Consent) หน่วยงานอาจจัดให้มีการบันทึกความยินยอมในรูปแบบเสียง (Voice Record) ด้วยระบบดิจิทัลก็ได้ นอกจากนี้ หน่วยงานควรให้ข้อมูลแก่เจ้าของข้อมูลส่วนบุคคลอย่างเพียงพอต่อการตัดสินใจ และเจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมหรือไม่ให้ความยินยอมก็ได้โดยสมัครใจ

3. การขอความยินยอมจากผู้เยาว์ โปรดดูข้อ 11 แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์

4. ตัวอย่างหนังสือให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขอให้ระบุหัวข้อตามประกาศ สวทช. เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

  1. คำนิยาม
  2. แหล่งที่มาของข้อมูลส่วนบุคคล
  3. ข้อมูลส่วนบุคคลที่ผู้ใช้งานให้กับ สวทช.
  4. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
  5. การประมวลผลข้อมูลส่วนบุคคล โดยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
  7. สิทธิของของผู้ใช้งานในการจัดการข้อมูลส่วนบุคคล
  8. การรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล
  9. การเปลี่ยนแปลงหรือปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล
  10. การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับ สวทช.

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานมีการจัดทำแบบฟอร์มรูปแบบเอกสารและรูปแบบออนไลน์

กรณีที่หน่วยงานต้องการจัดทำแบบฟอร์มเพื่อจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นรูปแบบเอกสารสิ่งพิมพ์ แฟ้มเอกสารในรูปแบบ Word Excel หรือรูปแบบออนไลน์ หน่วยงานควรพิจารณาเก็บรวบรวมเฉพาะข้อมูลส่วนบุคคลที่จำเป็นต่อการใช้งาน และแนะนำให้หลีกเลี่ยงการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว เช่น หมู่เลือด ศาสนา ความคิดทางการเมือง

กรณีที่หน่วยงานมีความจำเป็นต้องจัดเก็บข้อมูลส่วนบุคคลอ่อนไหว ให้หน่วยงานดำเนินการขอความยินยอมเป็นรายกรณีไป โดยขอให้ดำเนินการตามแนวปฏิบัติกรณีที่หน่วยงานประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอมเพิ่มเติม

ข้อสังเกต

  1. ขอให้หลีกเลี่ยงการดำเนินการจัดทำแบบฟอร์มโดยใช้เครื่องมือฟรีออนไลน์ เช่น Google Form ทั้งนี้ หน่วยงานที่ประสงค์จัดทำแบบฟอร์ม สามารถประสานขอใช้บริการจัดทำแบบฟอร์ม หรือจัดบริการด้านการลงทะเบียนได้ที่ระบบบริหารงานสัมมนา/ประชุมนานาชาติของ สวทช.
  2. เมื่อเสร็จสิ้นการใช้ระบบออนไลน์ หน่วยงานควรปิดระบบแบบฟอร์มรูปแบบออนไลน์ภายใน 7 วัน และดำเนินการใด ๆ ที่มั่นใจว่าข้อมูลส่วนบุคคลของผู้ลงทะเบียนได้รับการบริหารจัดการโดยมีมาตรการการรักษาความมั่นคงปลอดภัยและมีการควบคุมการเข้าถึงข้อมูลไม่ให้เข้าถึงข้อมูลส่วนบุคคลได้โดยง่าย

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานมีการใช้กล้องโทรทัศน์วงจรปิด (CCTV) เพื่อการวิจัย พัฒนา

การใช้กล้อง CCTV เพื่อบันทึกภาพบุคคลซึ่งอาจจะมีข้อมูลส่วนบุคคลของบุคคลนั้น ๆ รวมอยู่ด้วย เช่น ภาพถ่ายของบุคคล ทั้งนี้ การดำเนินงานที่เกี่ยวข้องกับการวิจัย พัฒนา หน่วยงานที่เกี่ยวข้องตลอดจนผู้ทำวิจัยควรจัดให้มีพื้นที่การบันทึกภาพจากกล้องโทรทัศน์วงจรปิด (CCTV) ให้ชัดเจน มีการจัดทำข้อความแสดงวัตถุประสงค์การวิจัยเพื่อให้บุคคลใด ๆ ได้ทราบและตัดสินใจที่จะเข้าหรือไม่เข้าในพื้นที่ดังกล่าว

หน่วยงานที่เกี่ยวข้องตลอดจนผู้ทำวิจัยควรจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว โดยปฏิบัติตามแนวทางดังต่อไปนี้

1. กำหนดพื้นที่ทีมีการบันทึกภาพโดยกล้องโทรทัศน์วงจรปิด (CCTV) ให้ชัดเจน

2. แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยอย่างชัดเจน

3. วิธีการแจ้งตามข้อ 2. ต้องมีการแจ้งก่อนเข้าพื้นที่ที่กำหนดไว้ในข้อ 1. ว่ามีการใช้กล้องโทรทัศน์วงจรปิด (CCTV) เพื่อบันทึกภาพบุคคล เพื่อให้บุคคลดังกล่าวได้รับทราบและตัดสินใจที่จะเข้าหรือไม่เข้าในพื้นที่ดังกล่าว ทั้งนี้ การแจ้งนั้นให้ดำเนินการ ดังนี้

(1) ณีที่เป็นการบันทึกภาพเพื่อการวิจัยโดยมีกลุ่มเป้าหมายของผู้รับการวิจัยที่ชัดเจน ซึ่งกรณีที่ผู้ควบคุมข้อมูลทราบอยู่แล้วว่าผู้เข้ารับการวิจัยเป็นผู้ใดบ้าง

ตัวอย่าง การบันทึกภาพพฤติกรรมของผู้ใช้เครื่องถ่ายเอกสาร ณ ห้องถ่ายเอกสาร ชั้น 3 อาคารสำนักงานกลาง เพื่อการวิจัย ทั้งนี้ หากอนุญาตให้บุคคลบางกลุ่มเข้าใช้งานได้ หน่วยงานสามารถเลือกวิธีการแจ้งโดยเฉพาะเจาะแก่บุคคลที่เกี่ยวข้องเท่านั้นก็ได้ เช่น การสื่อสารทางตรงต่อบุคคล หรือการส่งอีเมลแจ้งเตือน หรือวิธีการปิดประกาศ ณ ห้องถ่ายเอกสารดังกล่าว เป็นต้น ทั้งนี้ การแจ้งดังกล่าวอาจทำก่อนหรือขณะที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลก็ได้

(2) กรณีที่เป็นการปิดประกาศเพื่อแจ้งให้ทราบเป็นทั่วไป ให้ระบุเพียงบริเวณที่เก็บรวบรวมก็เพียงพอ โดยไม่ต้องเจาะจงถึงตำแหน่งที่ตั้งของกล้องโทรทัศน์วงจรปิด (CCTV) และไม่จำเป็นต้องแจ้งให้ทราบเป็นรายบุคคล

ตัวอย่าง บริเวณที่จอดรถมีการบันทึกภาพโดยกล้องโทรทัศน์วงจรปิด (CCTV) การปิดประกาศแจ้งควรระบุว่าระบบกล้องโทรทัศน์วงจรปิด (CCTV) ครอบคลุมพื้นที่ทางเข้าและออกของอาคาร ทางเข้าภายในอาคาร บริเวณจุดขนส่ง พื้นที่จอดรถและพื้นที่ด้านนอกของอาคาร เป็นต้น

4. หน่วยงานต้องจัดทำแผนการดำเนินงาน ผังการติดตั้ง ตำแหน่งและมุมกล้องที่คำนึงถึงความเป็นส่วนตัวของบุคคลที่ไม่เกี่ยวข้องกับวัตถุประสงค์ของการจัดเก็บข้อมูล

5. หน่วยงานต้องกำหนดหน้าที่ของผู้ดูแลรักษาข้อมูลส่วนบุคคลที่ได้จากการบันทึก

6.หน่วยงานต้องกำหนดสิทธิในการเข้าถึงข้อมูลภาพและเสียงที่บันทึกไว้ เพื่อไม่ให้บุคคลทั่วไปเข้าถึงได้โดยง่าย

7. ตัวอย่างข้อความ

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานมีการจัดกิจกรรมอบรม สัมมนา หรือประชุม

กรณีที่หน่วยงานมีการจัดกิจกรรมที่มีลักษณะของการอบรม สัมมนา หรือประชุมหน่วยงานควรดำเนินการ ดังนี้

1. สื่อสารให้ผู้ร่วมกิจกรรมทราบว่ามีการดำเนินการใดบ้างที่เกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ของผู้เข้าร่วมกิจกรรม เช่น การลงทะเบียน การถ่ายภาพบุคคล การเผยแพร่ข้อมูลผ่านช่องทางใด ๆ

2. สื่อสารกับทีมประชาสัมพันธ์ นักข่าว สื่อมวลชนให้ทราบถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ พร้อมทั้งขอความร่วมมือในการงดบันทึกภาพนิ่ง ภาพเคลื่อนไหวใด ๆ ที่อาจจะล่วงละเมิดสิทธิส่วนบุคคลและข้อมูลส่วนบุคคลของผู้ร่วมกิจกรรม เช่น การถ่ายภาพเน้นไปยังบุคคล ทั้งนี้ ควรมีการแจ้งบุคคลดังกล่าวหากมีความจำเป็นต้องบันทึกภาพ

3. เพิ่มข้อความแสดงลิงก์ประกาศสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคลของสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ หรือเข้าถึงผ่าน QR Code ในเอกสารลงทะเบียน หรือเว็บไซต์ หรือช่องทางเผยแพร่ให้ชัดเจน

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานมีการเก็บรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์

(ผู้เยาว์หมายถึง ผู้ที่มีอายุไม่ครบ 20 ปีบริบูรณ์ หรือไม่ได้จดทะเบียนสมรมก่อนอายุ 20 ปี โดยอายุไม่ต่ำกว่า 17 ปี)

เนื่องจากผู้เยาว์มีความสามารถในการเข้าใจวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลไม่เท่ากับบุคคลที่บรรลุนิติภาวะแล้ว หรืออาจยังไม่มีความสามารถในเลือกหรือตัดสินใจตามความต้องการของตนเองได้อย่างเต็มที่ ดังนั้น การขอข้อมูลส่วนบุคคลจากผู้เยาว์ นั้นจะต้องระมัดระวังในการปฏิบัติตามมาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย โดยหากเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ จะต้องแจ้งวัตถุประสงค์การเก็บรวบ ใช้ หรือเปิดเผยของผู้เยาว์ให้ชัดเจน และดำเนินการ ดังนี้

1. ขอความยินยอมจากผู้เยาว์และผู้ใช้อำนาจปกครองที่มีอำนาจกระทำแทนผู้เยาว์ด้วยทุกครั้ง

2. กรณีที่ผู้เยาว์มีอายุไม่เกิน 10 ปีบริบูรณ์ ให้ขอความยินยอมจากผู้ใช้อำนาจปกครอง

ตัวอย่างหนังสือให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

แนวทางดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กรณีหน่วยงานที่มีการทำข้อมูลส่วนบุคคลในรูปแบบข้อมูลนิรนาม/ข้อมูลแฝง

การจัดทำข้อมูลนิรนาม หมายถึง กระบวนการในการทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลได้ เหตุผลในการทำข้อมูลให้อยู่ในรูปของข้อมูลนิรนาม (Anonymized Data) เพื่อให้ข้อมูลมีความเหมาะสมสำหรับการใช้งานมากกว่าสถานะเดิมของข้อมูลที่ถูกคุ้มครองภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ตัวอย่างเช่น ข้อมูลที่ไม่สามารถระบุตัวตนได้ อาจถูกใช้เพื่อการทำวิจัยและการวิเคราะห์ข้อมูลจำนวนมาก ซึ่งการกระทำดังกล่าวไม่มีความจำเป็นที่จะต้องใช้ข้อมูลเพื่อการระบุตัวตน ดังนั้นชุดข้อมูลของ Anonymized Data ถือเป็นมาตรการในการบริหารความเสี่ยง ลดผลกระทบที่อาจเกิดขึ้นจากการถูกละเมิดความปลอดภัยของข้อมูล

การเผยแพร่ หรือแลกเปลี่ยนข้อมูลข้อมูลส่วนบุคคลต่อสาธารณะควรดำเนินการในรูปแบบข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึงข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค ตัวอย่าง การจัดทำแบบฟอร์มลงทะเบียนอบรมสัมมนา และมีบริการตรวจสอบยืนยันชื่อผู้ได้รับสิทธิเข้าอบรมสัมมนา ข้อมูลดังกล่าวควรแปลงสภาพให้อยู่ในรูปแบบข้อมูลนิรนาม/ข้อมูลแฝง เช่น นายบุญเลิศ อรุณxxxxxx เบอร์โทรศัพท์ 086xxxxxx9