PDPA NSTDA

1. คูมือแนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล
สํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ ๑.๐
Guideline on Personal Data Protection for NSTDA 1.0
พฤศจิกายน ๒๕๖๓

2. สารบัญ
๑. บทนําและคํานิยาม....................................................................................................................................๑
๒. ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ เรื่อง นโยบายการคุมครองขอมูลสวนบุคคล
ของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ...............................................................................๕
๑. คํานิยาม...............................................................................................................................................๕
๒. แหลงที่มาของขอมูลสวนบุคคล............................................................................................................๘
๓. วัตถุประสงคในการประมวลผลขอมูลสวนบุคคล..................................................................................๙
๔. การประมวลผลขอมูลสวนบุคคล..........................................................................................................๙
๕. ระยะเวลาในการเก็บรักษาขอมูลสวนบุคคล......................................................................................๑๐
๖. สิทธิของเจาของขอมูลสวนบุคคล......................................................................................................๑๐
๗. การรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล ....................................................................๑๑
๘. การใชคุกกี้ (Cookies) ...................................................................................................................... ๑๑
๙. การปรับปรุงนโยบายการคุมครองขอมูลสวนบุคคล...........................................................................๑๑
๑๐. การปฏิบัติตามนโยบายคุมครองขอมูลสวนบุคคลและการติดตอกับสํานักงาน.................................๑๒
๓. แนวทางดําเนินการเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล........................................................๑๓
๔. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีที่หนวยงานประมวลผลขอมูลสวนบุคคลโดย
อาศัยฐานความยินยอม................................................................................................................................ ๑๙
๕. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีที่หนวยงานเก็บรวบรวมขอมูลสวน
บุคคลไวกอนวันที่พระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มีผลบังคับใช (กอนวันที่ ๒๘
พฤษภาคม พ.ศ. ๒๕๖๓).............................................................................................................................. ๒๕
๖. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดทําเว็บไซต หรือ
Mobile Application.................................................................................................................................. ๒๖
๗. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดทําแบบฟอรมรูปแบบ
เอกสารและรูปแบบออนไลน........................................................................................................................ ๓๔
๘. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานที่มีการบันทึกภาพผูมาติดตอ
หรือแลกบัตรหรือเอกสารที่มีขอมูลสวนบุคคล เพื่อความปลอดภัย...............................................................๓๖

3. ๙. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการใชกลองโทรทัศนวงจรปด
(CCTV) เพื่อการวิจัย พัฒนา........................................................................................................................ ๓๖
๑๐. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดกิจกรรมอบรม สัมมนา
หรือประชุม.................................................................................................................................................. ๓๙
๑๑. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการเก็บรวบ ใช หรือเปดเผย
ขอมูลสวนบุคคลของผูเยาว.......................................................................................................................... ๔๑
๑๒. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานที่มีการทําขอมูลสวนบุคคลใน
รูปแบบขอมูลนิรนาม/ขอมูลแฝง..................................................................................................................๔๔

4. ๑
๑. บทนําและคํานิยาม
๑.๑ บทนํา
คูมือแนวทางดําเนินการนี้เปนเครื่องมือสําคัญประการหนึ่งที่ชวยใหการดําเนินการตามกฎหมายหรือ
หลักการใด ๆ ที่กําหนดขึ้นเปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลวการบัญญัติ
กฎหมายหรือกําหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกําหนด “ใหทํา” (prescriptive) “ไมใหทํา”
(proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ยอมตามมาซึ่งคําถามเกี่ยวกับวิธีการปฏิบัติวาควรทํา
“อยางไร” โดยเฉพาะอยางยิ่งกับกฎหมายที่โดยทั่วไปแลวสามารถกําหนดไดเพียงในระดับที่กําหนด “หาม”
เปนหลักการไวเทานั้น แตในขั้นตอนปฏิบัติยอมไมสามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะทั้งปวงได
เพราะจะทําใหกฎหมายนั้นมีความเครงครัดมากเสียจนไมอาจนําไปใชไดจริง
ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถกําหนด
วิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณได จึงมีคําถามเกี่ยวกับวิธีการปฏิบัติวาควรทํา “อยางไร” มีขอสังเกต
วากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไปที่ “ขอมูลสวนบุคคล” (Personal Data) ไมใช
“ตัวบุคคล” (Person) โดยตรง ซึ่งการคุมครองขอมูลสวนบุคคลนั้นจะมีผลเปนการปกปอง “บุคคล” จาก
ผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีกชั้นหนึ่ง
การคุมครองขอมูลสวนบุคคล มีผลชัดเจนเมื่อสหภาพยุโรปไดออกกฎหมายฉบับใหมเกี่ยวกับการ
คุมครองขอมูลสวนบุคคลหรือที่เรียกกันวา “GDPR” (EU General Data Protection Regulation) ซึ่งเปน
การปรับปรุงกฎหมายเดิม (EU Data 16 Thailand Data Protection Guidelines 2.0 Protection Directive
95/46/EC) ซึ่งใชบังคับมานานมากวา ๒๐ ป ทําใหเกิดการเปลี่ยนแปลงหลักการที่สําคัญ เชน
• กําหนดการใชอํานาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคือ ขอมูลสวนบุคคล
ของสหภาพยุโรปอยูภายใตความคุมครองไมวาจะอยูในที่ใดในโลก
• กําหนดบทลงโทษสูงขึ้น โดยองคกรที่กระทําผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ ๔ ของ
ผลประกอบการรายไดทั่วโลก
• กําหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and
affirmative consent)
• กําหนดการแจงเตือนเมื่อเกิดเหตุขอมูลรั่วไหล หนวยงานผูควบคุมขอมูลและผูประมวลผล
ขอมูลตองแจงใหหนวยงานกํากับดูแล และประชาชนทราบภายใน ๗๒ ชั่วโมง

5. ๒
• กําหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมูลทราบวา
ขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทําสําเนาขอมูลใหกับเจาของขอมูลในรูปแบบ
อิเล็กทรอนิกส โดยหามเก็บคาใชจายเพิ่ม
• กําหนดรับรองสิทธิในการโอนขอมูลไปยังผูประกอบการอื่น (Right to data portability)
• กําหนดรับรองสิทธิที่จะถูกลืม (Right to be forgotten) เจาของขอมูลสามารถขอใหหนวยงาน
ควบคุมขอมูลลบขอมูลของตัวเองออกได
GDPR มีผลบังคับใชเมื่อวันที่ ๒๕ พฤษภาคม ๒๕๖๑ ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแกการ
สงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สวทช. ควรดําเนินการเตรียมพรอมมาตรการคุมครองขอมูล
สวนบุคคลที่เหมาะสมเชนเดียวกัน
คูมือแนวทางดําเนินการนี้มีเจตนาที่จะแนะนําวิธีการวาควรทํา “อยางไร” ซึ่งหมายความวาคูมือ
แนวทางดําเนินการนี้เปนเพียงคําอธิบายของวิธีการเพื่อการคุมครองขอมูลสวนบุคคลซึ่งจําเปนตองพัฒนาอยาง
ตอเนื่องตอไป การดําเนินการคุมครองขอมูลสวนบุคคลตามคูมือแนวทางดําเนินการนี้จึงไมใชการปฏิบัติตาม
กฎหมายคุมครองขอมูลสวนบุคคลหรือมาตรฐาน GDPR ที่ครบถวน แตเปนเพียงขอแนะนําที่ควรจะตองปฏิบัติ
และพัฒนาปรับปรุงตอเนื่องตอไป 0
๑
การคุมครองขอมูลสวนบุคคลกับการดําเนินงานของ สวทช.
กฎหมายการคุมครองขอมูลสวนบุคคลของประเทศไทยมีการอางอิงกับกฎหมายของสหภาพยุโรป
ที่เรียกกันวา “GDPR” (EU General Data Protection Regulation) ซึ่งเปนเวลากวา ๒๐ ป ที่ไดมีการ
พยายามผลักดันใหมีกฎหมายการคุมครองขอมูลสวนบุคคล จนประสบความสําเร็จและประกาศ
พระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ ในราชกิจจานุเบกษาเมื่อวันที่ ๒๗ พฤษภาคม
พ.ศ. ๒๕๖๒ และมีผลบังคับใชอยางสมบูรณ ตั้งแตวันที่ ๒๘ พฤษภาคม ๒๕๖๓ เปนตนไป โดยการประกาศ
๑
แหลงขอมูล
• General Data Protection Regulation : GDPR https://gdpr-info.eu/
• พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ https://oer.learn.in.th/search_detail/result/138564
• แนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวนบุคคล Thailand Data Protection Guidelines Final Version 2.0
https://oer.learn.in.th/search_detail/result/161851
• ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ เรื่อง นโยบายการคุมครองขอมูลสวนบุคคลของสํานักงาน
พัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ https://www.nstda.or.th/th/97-about-us/about-us/547-nstda-privacy-
policy

6. ๓
ใชพระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ นี้ เปนไปเพื่อใหการคุมครองขอมูลสวนบุคคลมี
ประสิทธิภาพและเพื่อใหมีมาตรการเยียวยาเจาของขอมูลสวนบุคคลจากการถูกละเมิดสิทธิในขอมูลสวนบุคคล
ที่มีประสิทธิภาพ
วัตถุประสงคและเปาหมาย
คูมือแนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล สํานักงานพัฒนาวิทยาศาสตรและ
เทคโนโลยีแหงชาติฉบับนี้ มีวัตถุประสงคเพื่อใหมั่นใจวา สวทช. เขาใจถึงการคุมครองขอมูลสวนบุคคล และ
เพื่อเปนแนวทางในการคุมครองขอมูลสวนบุคคลและปฏิบัติใหถูกตองตามพระราชบัญญัติคุมครองขอมูลสวน
บุคคล พ.ศ. ๒๕๖๒ โดยหนวยงานภายใน สวทช. ที่มีกิจกรรมหรือการดําเนินงานที่เกี่ยวของกับการคุมครอง
ขอมูลสวนบุคคล สามารถนําคูมือแนวทางดําเนินการนี้ไปเปนแนวทางในการดําเนินการเพื่อคุมครองขอมูลสวน
บุคคล
๑.๒ คํานิยาม
การประมวลผลขอมูลสวนบุคคล – Processing of Personal Data
การดําเนินการหรือชุดการดําเนินการใด ๆ ซึ่งกระทําตอขอมูลสวนบุคคลหรือชุดขอมูลสวนบุคคล
ไมวาจะโดยวิธีการอัตโนมัติหรือไม เชน การเก็บ บันทึก จัดระบบ จัดโครงสราง เก็บรักษา เปลี่ยนแปลงหรือ
ปรับเปลี่ยน การรับ พิจารณา ใช เปดเผยดวยการสงตอ เผยแพร หรือการกระทําอื่นใดซึ่งทําใหเกิดความพรอม
ใชงาน การจัดวางหรือผสมเขาดวยกัน การจํากัด การลบ หรือการทําลาย
การจัดทําขอมูลนิรนาม - Anonymization
กระบวนการที่ทําใหความเสี่ยงในการระบุตัวตนของเจาของขอมูลนั้นนอยมากจนแทบไมตองให
ความสําคัญกับความเสี่ยง (negligible risk)
การแฝงขอมูล - Pseudonymization
การประมวลผลขอมูลสวนบุคคลในลักษณะที่ขอมูลสวนบุคคลไมสามารถระบุตัวเจาของขอมูลได
หากปราศจากการใชขอมูลเพิ่มเติมประกอบ ทั้งนี้ขอมูลเพิ่มเติมนี้มีการเก็บรักษาไวแยกออกจากกันและ
อยูภายใตมาตรการเชิงเทคนิคและมาตรการเชิงบริหารจัดการเพื่อประกันวาขอมูลสวนบุคคลจะไมสามารถระบุ
ไปถึงบุคคลธรรมดาได
ขอมูลสวนบุคคลรั่วไหล - Personal Data Breach
การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยตอขอมูลสวนบุคคลทําใหเกิดความเสียหาย
สูญหาย เปลี่ยนแปลง เปดเผยโดยไมไดรับอนุญาต หรือเขาถึงขอมูลสวนบุคคลที่ใชงาน

7. ๔
ขอมูลสวนบุคคลแฝง - Pseudonymous Data
ขอมูลที่ไมสามารถใชระบุตัวเจาของขอมูลไดหากปราศจากการใชขอมูลประกอบเพิ่มเติม
ขอมูลนิรนาม - Anonymous Data
ขอมูลที่ไมสามารถใชเพื่อระบุตัวตนของบุคคลใดบุคคลหนึ่งได

8. ๕
๒. ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
เรื่อง นโยบายการคุมครองขอมูลสวนบุคคลของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
โดยที่มีพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ ซึ่งมีผลบังคับใชเมื่อวันที่
๒๘ พฤษภาคม ๒๕๖๒ ประกอบกับสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติใหความสําคัญ
อยางยิ่งตอการคุมครองขอมูลสวนบุคคลและการปฏิบัติตามกฎหมายคุมครองขอมูลสวนบุคคล และเพื่อให
เจาของขอมูลสวนบุคคลเชื่อมั่นวาสํานักงานจะดูแลรักษาขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลและ
จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สํานักงานจึงไดจัดทํานโยบายการคุมครองขอมูล
สวนบุคคลของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ ดังนี้
๑. คํานิยาม
“สํานักงาน” หมายถึง สํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
“บุคคล” หมายถึง บุคคลธรรมดา
“ขอมูลสวนบุคคล” หมายความวา ขอมูลเกี่ยวกับบุคคลซึ่งทําใหสามารถระบุตัวบุคคลนั้นได ไมวาทางตรง
หรือทางออม แตไมรวมถึงขอมูลของผูถึงแกกรรมโดยเฉพาะ อาทิ ชื่อ นามสกุล ชื่อเลน ที่อยู หมายเลข
โทรศัพท เลขประจําตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจําตัว
ผูเสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยูอีเมล (email address) ทะเบียนรถยนต โฉนดที่ดิน
IP Address, Cookie ID, Log File เปนตน อยางไรก็ดี ขอมูลตอไปนี้ไมใชขอมูลสวนบุคคล เชน ขอมูลสําหรับ
การติดตอทางธุรกิจที่ไมไดระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยูของบริษัท เลขทะเบียนนิติบุคคลของบริษัท
หมายเลขโทรศัพทของที่ทํางาน ที่อยูอีเมล (email address) ที่ใชในการทํางาน ที่อยูอีเมล (email address)
กลุมของบริษัท เชน info@company.co.th ขอมูลนิรนาม (Anonymous Data) หรือขอมูลแฝงที่ถูกทําใหไม
สามารถระบุตัวบุคคลไดอีกโดยวิธีการทางเทคนิค (Pseudonymous Data) ขอมูลผูถึงแกกรรม เปนตน
“ขอมูลสวนบุคคลออนไหว” หมายถึง ขอมูลที่เปนเรื่องสวนบุคคลโดยแทของบุคคล แตมีความละเอียดออน
และอาจสุมเสี่ยงในการเลือกปฏิบัติอยางไมเปนธรรม เชน เชื้อชาติ เผาพันธุ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูล
สหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใด ซึ่งกระทบตอเจาของขอมูลสวนบุคคลใน
ทํานองเดียวกันตามที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศกําหนด
“เจาของขอมูลสวนบุคคล” (Data Subject) หมายถึง ตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลนั้น แตไมใช
กรณีที่บุคคลมีความเปนเจาของขอมูล (Ownership) หรือเปนผูสรางหรือเก็บรวบรวมขอมูลนั้นเอง โดย

9. ๖
เจาของขอมูลสวนบุคคลนี้จะหมายถึงบุคคลธรรมดาเทานั้น และไมรวมถึง “นิติบุคคล” (Juridical Person) ที่
จัดตั้งขึ้นตามกฎหมาย เชน บริษัท สมาคม มูลนิธิ หรือองคกรอื่นใด
ทั้งนี้ เจาของขอมูลสวนบุคคล ไดแก บุคคลดังตอไปนี้
๑. เจาของขอมูลสวนบุคคลที่เปนผูบรรลุนิติภาวะ หมายถึง
๑.๑ บุคคลที่มีอายุตั้งแต ๒๐ ปบริบูรณ1
๒ ขึ้นไป หรือ
๑.๒ ผูที่สมรสตั้งแตอายุ ๑๗ ปบริบูรณขึ้นไป หรือ
๑.๓ ผูที่สมรสกอนอายุ ๑๗ ป โดยศาลอนุญาตใหทําการสมรส2
๓ หรือ
๑.๔ ผูเยาวซึ่งผูแทนโดยชอบธรรมใหความยินยอมในการประกอบธุรกิจทางการคาหรือธุรกิจ
อื่น หรือในการทําสัญญาเปนลูกจางในสัญญาจางแรงงาน ในความเกี่ยวพันกับการประกอบธุรกิจหรือ
การจางแรงงานขางตนใหผูเยาวมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแลว3
๔
๒
ประมวลกฎหมายแพงและพาณิชย มาตรา ๑๙ บุคคลยอมพนจากภาวะผูเยาวและบรรลุนิติภาวะเมื่อมีอายุยี่สิบปบริบูรณ
๓
ประมวลกฎหมายแพงและพาณิชย มาตรา ๑๔๔๘ การสมรสจะทําไดตอเมื่อชายและหญิงมีอายุสิบเจ็ดปบริบูรณแลว แตใน
กรณีที่มีเหตุอันสมควร ศาลอาจอนุญาตใหทําการสมรสกอนนั้นได
๔
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๗ ประกอบกับพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา
๒๐ ดังนี้
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๗ ผูแทนโดยชอบธรรมอาจใหความยินยอมแกผูเยาวในการประกอบธุรกิจ
ทางการคาหรือธุรกิจอื่น หรือในการทําสัญญาเปนลูกจางในสัญญาจางแรงงานได ในกรณีที่ผูแทนโดยชอบธรรมไมใหความ
ยินยอมโดยไมมีเหตุอันสมควร ผูเยาวอาจรองขอตอศาลใหสั่งอนุญาตได
ในความเกี่ยวพันกับการประกอบธุรกิจหรือการจางแรงงานตามวรรคหนึ่งใหผูเยาวมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะ
แลว
ถาการประกอบธุรกิจหรือการทํางานที่ไดรับความยินยอมหรือที่ไดรับอนุญาตตามวรรคหนึ่ง กอใหเกิดความเสียหายถึงขนาด
หรือเสื่อมเสียแกผูเยาว ผูแทนโดยชอบธรรมอาจบอกเลิกความยินยอมที่ไดใหแกผูเยาวเสียได หรือในกรณีที่ศาลอนุญาต ผูแทน
โดยชอบธรรมอาจรองขอตอศาลใหเพิกถอนการอนุญาตที่ไดใหแกผูเยาวนั้นเสียได
ในกรณีที่ผูแทนโดยชอบธรรมบอกเลิกความยินยอมโดยไมมีเหตุอันสมควร ผูเยาวอาจรองขอตอศาลใหเพิกถอนการบอกเลิก
ความยินยอมของผูแทนโดยชอบธรรมได
การบอกเลิกความยินยอมโดยผูแทนโดยชอบธรรมหรือการเพิกถอนการอนุญาตโดยศาล ยอมทําใหฐานะเสมือนดังบุคคลซึ่ง
บรรลุนิติภาวะแลว ของผูเยาวสิ้นสุดลง แตไมกระทบกระเทือนการใด ๆ ที่ผูเยาวไดกระทําไปแลวกอนมีการบอกเลิกความ
ยินยอมหรือเพิกถอนการอนุญาต
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๐ ในกรณีที่เจาของขอมูลสวนบุคคลเปนผูเยาวซึ่งยังไมบรรลุ
นิติภาวะโดยการสมรส หรือไมมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแลวตามมาตรา ๒๗ แหงประมวลกฎหมายแพงและ
พาณิชย การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว ใหดําเนินการ ดังตอไปนี้

10. ๗
ทั้งนี้ ในการใหความยินยอมใด ๆ เจาของขอมูลสวนบุคคลที่เปนผูบรรลุนิติภาวะสามารถใหความยินยอมได
ดวยตนเอง
๒. เจาของขอมูลสวนบุคคลที่เปนผูเยาว หมายถึง บุคคลที่อายุต่ํากวา ๒๐ ปบริบูรณ และไมใช
ผูบรรลุนิติภาวะตามขอ ๑ ทั้งนี้ ในการใหความยินยอมใด ๆ จะตองไดรับความยินยอมจากผูใชอํานาจปกครอง
ที่มีอํานาจกระทําการแทนผูเยาวดวย
๓. เจาของขอมูลสวนบุคคลที่เปนคนเสมือนไรความสามารถ หมายถึง บุคคลที่ศาลสั่งใหเปน
คนเสมือนไรความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟนเฟอนไมสมประกอบ หรือประพฤติสุรุยสุราย
เสเพลเปนอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทํานองเดียวกันนั้น จนไมสามารถจะจัดทําการงาน
โดยตนเองได หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแกทรัพยสินของตนเองหรือครอบครัว4
๕ ทั้งนี้ ในการให
ความยินยอมใด ๆ จะตองไดรับความยินยอมจากผูพิทักษที่มีอํานาจกระทําการแทนคนเสมือนไรความสามารถ
นั้นกอน
(๑) ในกรณีที่การใหความยินยอมของผูเยาวไมใชการใด ๆ ซึ่งผูเยาวอาจใหความยินยอมโดยลําพังไดตามที่บัญญัติไวในมาตรา
๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แหงประมวลกฎหมายแพงและพาณิชย ตองไดรับความยินยอมจากผูใชอํานาจปกครองที่มี
อํานาจกระทําการแทนผูเยาวดวย
(๒) ในกรณีที่ผูเยาวมีอายุไมเกินสิบป ใหขอความยินยอมจากผูใชอํานาจปกครองที่มีอํานาจกระทําการแทนผูเยาว
ในกรณีที่เจาของขอมูลสวนบุคคลเปนคนไรความสามารถ การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว ใหขอ
ความยินยอม จากผูอนุบาลที่มีอํานาจกระทําการแทนคนไรความสามารถ
ในกรณีที่เจาของขอมูลสวนบุคคลเปนคนเสมือนไรความสามารถ การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว
ใหขอความยินยอม จากผูพิทักษที่มีอํานาจกระทําการแทนคนเสมือนไรความสามารถ
ใหนําความในวรรคหนึ่ง วรรคสอง และวรรคสาม มาใชบังคับกับการถอนความยินยอมของเจาของขอมูลสวนบุคคล การแจงให
เจาของขอมูลสวนบุคคลทราบ การใชสิทธิของเจาของขอมูลสวนบุคคล การรองเรียนของเจาของขอมูลสวนบุคคล และการอื่น
ใดตามพระราชบัญญัตินี้ในกรณีที่เจาของขอมูลสวนบุคคลเปนผูเยาว คนไรความสามารถ หรือ คนเสมือนไรความสามารถ
โดยอนุโลม
๕
ประมวลกฎหมายแพงและพาณิชย มาตรา ๓๒ บุคคลใดมีกายพิการหรือมีจิตฟนเฟอนไมสมประกอบ หรือประพฤติ
สุรุยสุรายเสเพลเปนอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทํานองเดียวกันนั้น จนไมสามารถจะจัดทําการงานโดยตนเองได
หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแกทรัพยสินของตนเองหรือครอบครัว เมื่อบุคคลตามที่ระบุไวในมาตรา ๒๘ รองขอ
ตอศาล ศาลจะสั่งใหบุคคลนั้นเปนคนเสมือนไรความสามารถก็ได
บุคคลซึ่งศาลไดสั่งใหเปนคนเสมือนไรความสามารถตามวรรคหนึ่ง ตองจัดใหอยูในความพิทักษ การแตงตั้งผูพิทักษ ใหเปนไป
ตามบทบัญญัติบรรพ ๕ แหงประมวลกฎหมายนี้ ใหนําบทบัญญัติวาดวยการสิ้นสุดของความเปนผูปกครองในบรรพ ๕ แหง
ประมวลกฎหมายนี้มาใชบังคับแกการสิ้นสุดของการเปนผูพิทักษโดยอนุโลม
คําสั่งของศาลตามมาตรานี้ ใหประกาศในราชกิจจานุเบกษา

11. ๘
๔. เจาของขอมูลสวนบุคคลที่เปนคนไรความสามารถ หมายถึง บุคคลที่ศาลสั่งใหเปน
คนไรความสามารถ เนื่องจากเปนบุคคลวิกลจริต5
๖ ทั้งนี้ ในการใหความยินยอมใด ๆ จะตองไดรับความยินยอม
จากผูอนุบาลที่มีอํานาจกระทําการแทนคนไรความสามารถนั้นกอน
ทั้งนี้ หากการขอความยินยอมจากเจาของขอมูลสวนบุคคลที่ไมเปนไปตามกฎหมายคุมครองขอมูล
สวนบุคคลไมมีผลผูกพันเจาของขอมูลสวนบุคคล
“ผูควบคุมขอมูลสวนบุคคล” หมายความวา บุคคลหรือนิติบุคคลซึ่งมีอํานาจหนาที่ตัดสินใจเกี่ยวกับการเก็บ
รวบรวม ใช หรือเปดเผยขอมูลสวนบุคคล
“ผูประมวลผลขอมูลสวนบุคคล” หมายความวา บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม
ใช หรือเปดเผยขอมูลสวนบุคคลตามคําสั่งหรือในนามของผูควบคุมขอมูลสวนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล
ซึ่งดําเนินการดังกลาวไมเปนผูควบคุมขอมูลสวนบุคคล
๒. แหลงที่มาของขอมูลสวนบุคคล
โดยปกติทั่วไปสํานักงานจะไมเก็บรวบรวมขอมูลสวนบุคคล เวนแตในกรณี ดังนี้
๒.๑ สํานักงานไดรับขอมูลสวนบุคคลจากเจาของขอมูลสวนบุคคลโดยตรง โดยสํานักงานจะเก็บ
รวบรวมขอมูลสวนบุคคลจากขั้นตอนการใหบริการ ดังนี้
(๑) ขั้นตอนการใชบริการกับสํานักงาน หรือขั้นตอนการยื่นคํารองขอใชสิทธิตาง ๆ กับ
สํานักงาน เชน การรับขอมูลขาวสาร การสมัครงาน
(๒) การเก็บขอมูลโดยความสมัครใจของเจาของขอมูลสวนบุคคล เชน การทําแบบสอบถาม
(survey) หรือ การโตตอบทางที่อยูอีเมล (email address) หรือชองทางการสื่อสารอื่น ๆ ระหวาง
สํานักงานและเจาของขอมูลสวนบุคคลฃ
(๓) การเก็บขอมูลจากการใชเว็บไซตของสํานักงานผานเบราวเซอรคุกกี้ (browser’s
cookies) ของเจาของขอมูลสวนบุคคล และการใชบริการธุรกรรมทางอิเล็กทรอนิกส
๖
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๘ บุคคลวิกลจริตผูใด ถาคูสมรสก็ดี ผูบุพการีกลาวคือ บิดา มารดา ปูยา ตา
ยาย ทวดก็ดี ผูสืบสันดานกลาวคือ ลูก หลาน เหลน ลื่อก็ดี ผูปกครองหรือผูพิทักษก็ดี ผูซึ่งปกครองดูแลบุคคลนั้นอยูก็ดี หรือ
พนักงานอัยการก็ดี รองขอตอศาลใหสั่งใหบุคคลวิกลจริตผูนั้นเปนคนไรความสามารถ ศาลจะสั่งใหบุคคลวิกลจริต
ผูนั้นเปนคนไรความสามารถก็ได
บุคคลซึ่งศาลไดสั่งใหเปนคนไรความสามารถตามวรรคหนึ่ง ตองจัดใหอยูในความอนุบาล การแตงตั้งผูอนุบาล อํานาจหนาที่
ของผูอนุบาล และการสิ้นสุดของความเปนผูอนุบาล ใหเปนไปตามบทบัญญัติบรรพ ๕ แหงประมวลกฎหมายนี้
คําสั่งของศาลตามมาตรานี้ ใหประกาศในราชกิจจานุเบกษา

12. ๙
๒.๒ สํานักงานไดรับขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลจากบุคคลที่สาม โดยสํานักงาน
เชื่อโดยสุจริตวาบุคคลที่สามดังกลาวมีสิทธิเก็บขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลและเปดเผย
กับสํานักงาน
๓. วัตถุประสงคในการประมวลผลขอมูลสวนบุคคล
สํานักงานใชวิธีการเก็บรวบรวม ใช เปดเผย ขอมูลสวนบุคคลดวยวิธีการที่ชอบดวยกฎหมายและเปน
ธรรม โดยจัดเก็บขอมูลสวนบุคคลเทาที่จําเปน เพื่อใชในการติดตอใหบริการ ประชาสัมพันธ หรือใหขอมูล
ขาวสารตาง ๆ รวมทั้งสํารวจความคิดเห็นของเจาของขอมูลสวนบุคคลในกิจการหรือกิจกรรมของสํานักงาน
ภายใตวัตถุประสงคในการดําเนินงานของสํานักงานเทานั้น หรือตามที่กฎหมายกําหนด ทั้งนี้ หากมีการ
เปลี่ยนแปลงวัตถุประสงค สํานักงานจะแจงใหเจาของขอมูลสวนบุคคลทราบ และบันทึกเพิ่มเติมไวเปน
หลักฐาน รวมทั้งปฏิบัติใหเปนไปตามกฎหมายคุมครองขอมูลสวนบุคคล
๔. การประมวลผลขอมูลสวนบุคคล
๔.๑ การเก็บรวบรวมขอมูลสวนบุคคล
สํานักงานจะเก็บรวบรวมขอมูลสวนบุคคลอยางจํากัดและเทาที่จําเปน โดยขึ้นอยูกับประเภทของ
บริการที่เจาของขอมูลสวนบุคคลใชบริการหรือใหขอมูลสวนบุคคลกับสํานักงาน เชน การลงทะเบียนสมัครเขา
รวมกิจกรรม การลงทะเบียนขอใชบริการตาง ๆ ทั้งที่ผานสํานักงานโดยตรงและผานระบบสารสนเทศของ
สํานักงาน ซึ่งจะมีการเก็บรวบรวมขอมูลสวนบุคคลดังกลาวเทาที่จําเปนเทานั้น
๔.๒ การใชขอมูลสวนบุคคล
สํานักงานจะใชขอมูลสวนบุคคลตามวัตถุประสงคที่เจาของขอมูลสวนบุคคลใหไวกับสํานักงาน โดยใช
อยางเหมาะสมและมีมาตรการการรักษาความมั่นคงปลอดภัยและมีการควบคุมการเขาถึงขอมูลสวนบุคคล
๔.๓ การเปดเผยขอมูลสวนบุคคล
โดยปกติสํานักงานจะไมเปดเผยขอมูลสวนบุคคล เวนแตเปนการเปดเผยตามวัตถุประสงค
ที่เจาของขอมูลสวนบุคคลไดใหไวกับสํานักงาน เชน เปดเผยขอมูลสวนบุคคลเพื่อเปนการปฏิบัติตามบริการ
ที่เจาของขอมูลสวนบุคคลรองขอ หรือเปนไปตามภาระผูกพันตามสัญญา หรือตามที่กฎหมายกําหนดให
เปดเผย และในกรณีใด ๆ ที่สํานักงานตองการเก็บรวมรวม ใช หรือเปดเผยขอมูลสวนบุคคลเพิ่มเติมหรือมีการ
เปลี่ยนแปลงวัตถุประสงคในการเก็บรวบรวม ใช หรือเปดเผย สํานักงานจะแจงใหเจาของขอมูลสวนบุคคล
ทราบกอนที่จะดําเนินการกับขอมูลสวนบุคคลนั้น เวนแตเปนกรณีที่กฎหมายกําหนดหรืออนุญาตใหดําเนินการได

13. ๑๐
๕. ระยะเวลาในการเก็บรักษาขอมูลสวนบุคคล
สํานักงานจะเก็บรักษาขอมูลสวนบุคคลตราบเทาที่จําเปนตอการประมวลผล และเมื่อพนระยะเวลา
ดังกลาวแลว สํานักงานจะดําเนินการทําลายขอมูลสวนบุคคล
๖. สิทธิของเจาของขอมูลสวนบุคคล
ความยินยอมที่เจาของขอมูลสวนบุคคลใหไวกับสํานักงานในการเก็บรวบรวม ใช และเปดเผยขอมูล
สวนบุคคลยังคงใชไดจนกวาเจาของขอมูลสวนบุคคลจะเพิกถอนความยินยอมเปนลายลักษณอักษร
โดยเจาของขอมูลสวนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใชหรือเปดเผยขอมูลสวนบุคคล
เพื่อวัตถุประสงคในการดําเนินกิจกรรมใด ๆ หรือทุกกิจกรรมของสํานักงาน โดยสงคําขอของเจาของขอมูล
สวนบุคคลแจงใหสํานักงานทราบเปนลายลักษณอักษรหรือผานทางจดหมายอิเล็กทรอนิกส
dpo@nstda.or.th
นอกจากสิทธิดังกลาวขางตน เจาของขอมูลสวนบุคคลยังมีสิทธิในการดําเนินการ ดังตอไปนี้
(๑) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent)
เจาของขอมูลสวนบุคคลมีสิทธิเพิกถอนความยินยอมในการประมวลผลขอมูลสวนบุคคลที่เจาของ
ขอมูลสวนบุคคลไดใหความยินยอมไวแกสํานักงานไดตลอดระยะเวลาที่ขอมูลสวนบุคคลของตนอยูกับ
สํานักงาน
(๒) สิทธิในการเขาถึงขอมูลสวนบุคคล (right of access)
เจาของขอมูลสวนบุคคลมีสิทธิเขาถึงขอมูลสวนบุคคลของตนและขอใหสํานักงานทําสําเนาขอมูล
สวนบุคคลดังกลาวใหแกเจาของขอมูลสวนบุคคล รวมถึงขอใหสํานักงานเปดเผยการไดมาซึ่งขอมูลสวนบุคคล
ที่เจาของขอมูลสวนบุคคลไมไดใหความยินยอมตอสํานักงานได
(๓) สิทธิในการแกไขขอมูลสวนบุคคลใหถูกตอง (right to rectification)
เจาของขอมูลสวนบุคคลมีสิทธิขอใหสํานักงานแกไขขอมูลสวนบุคคลที่ไมถูกตอง หรือเพิ่มเติมขอมูล
สวนบุคคลที่ไมสมบูรณ
(๔) สิทธิในการลบขอมูลสวนบุคคล (right to erasure)
เจาของขอมูลสวนบุคคลมีสิทธิในการขอใหสํานักงานทําการลบขอมูลสวนบุคคลของตนดวยเหตุ
บางประการได
(๕) สิทธิในการระงับการใชขอมูลสวนบุคคล (right to restriction of processing)
เจาของขอมูลสวนบุคคลมีสิทธิระงับการใชขอมูลสวนบุคคลของตนดวยเหตุบางประการได
(๖) สิทธิในการใหโอนยายขอมูลสวนบุคคล (right to data portability)

14. ๑๑
เจาของขอมูลสวนบุคคลมีสิทธิใหสํานักงานโอนยายขอมูลสวนบุคคลซึ่งเจาของขอมูลสวนบุคคล
ไดใหไวกับสํานักงานไปยังผูควบคุมขอมูลสวนบุคคลรายอื่น หรือตัวเจาของขอมูลสวนบุคคลเองดวยเหตุ
บางประการได
(๗) สิทธิในการคัดคานการประมวลผลขอมูลสวนบุคคล (right to object)
เจาของขอมูลสวนบุคคลมีสิทธิคัดคานการประมวลผลขอมูลสวนบุคคลของตนดวยเหตุบางประการได
สํานักงานเคารพการตัดสินใจการเพิกถอนความยินยอมของเจาของขอมูลสวนบุคคล แตอยางไรก็ตาม
สํานักงานขอแจงใหเจาของขอมูลสวนบุคคลทราบวาอาจมีขอจํากัดสิทธิในการเพิกถอนความยินยอมโดย
กฎหมายหรือสัญญาที่ใหประโยชนแกเจาของขอมูลสวนบุคคล ทั้งนี้ การเพิกถอนความยินยอมยอมไมสงผล
กระทบตอการเก็บรวบรวม ใช หรือเปดเผยขอมูลสวนบุคคลที่เจาของขอมูลสวนบุคคลไดใหความยินยอมไวแลว
๗. การรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล
สํานักงานจัดใหมีมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกัน การเขาถึง การใช
การเปลี่ยนแปลง การแกไข หรือการเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ นอกจากนี้
สํานักงานไดกําหนดแนวปฏิบัติภายในสํานักงานเพื่อกําหนดสิทธิในการเขาถึงหรือการใชขอมูลสวนบุคคลของ
เจาของขอมูลสวนบุคคล เพื่อรักษาความลับและความปลอดภัยของขอมูล และสํานักงานจะจัดใหมีการ
ทบทวนมาตรการดังกลาวเปนระยะเพื่อความเหมาะสม
๘. การใชคุกกี้ (Cookies)
คุกกี้ (Cookies) หมายถึง ขอมูลขนาดเล็กที่เว็บไซตสงไปเก็บไวกับเจาของขอมูลสวนบุคคลที่เขาชม
เว็บไซต เพื่อชวยใหเว็บไซตจดจําขอมูลเขาชมของเจาของขอมูลสวนบุคคล เชน ภาษาที่เลือกใชเปนอันดับแรก
ผูใชของระบบ หรือการตั้งคาอื่น ๆ เมื่อเจาของขอมูลสวนบุคคลเขาชมเว็บไซตในครั้งถัดไป เว็บไซตจะจดจําได
วาเปนผูใชที่เคยเขาใชบริการแลว และตั้งคาตามที่เจาของขอมูลสวนบุคคลกําหนด จนกวาเจาของขอมูล
สวนบุคคลจะลบคุกกี้ (Cookies) หรือไมอนุญาตใหคุกกี้ (Cookies) นั้นทํางานอีกตอไป ซึ่งเจาของขอมูล
สวนบุคคลสามารถที่จะยอมรับหรือไมรับคุกกี้ (Cookies) ก็ได ในกรณีที่เลือกที่จะไมรับหรือลบคุกกี้ (Cookies)
เว็บไซตอาจจะไมสามารถใหบริการหรือไมสามารถแสดงผลไดอยางถูกตอง
๙. การปรับปรุงนโยบายการคุมครองขอมูลสวนบุคคล
สํานักงานอาจทําการปรับปรุงหรือแกไขนโยบายการคุมครองขอมูลสวนบุคคล โดยมิตองแจง
ใหเจาของขอมูลสวนบุคคลทราบลวงหนา ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการใหบริการ ดังนั้น
สํานักงานจึงขอแนะนําใหเจาของขอมูลสวนบุคคลอานนโยบายการคุมครองขอมูลสวนบุคคลทุกครั้งที่เยี่ยมชม
หรือใชบริการจากสํานักงานหรือเว็บไซตของสํานักงาน

15. ๑๒
๑๐. การปฏิบัติตามนโยบายคุมครองขอมูลสวนบุคคลและการติดตอกับสํานักงาน
ในกรณีที่เจาของขอมูลสวนบุคคลมีขอสงสัยหรือขอเสนอแนะเกี่ยวกับนโยบายการคุมครองขอมูล
สวนบุคคลหรือการปฏิบัติตามนโยบายการคุมครองขอมูลสวนบุคคลฉบับนี้ สํานักงานยินดีตอบขอสงสัย และ
รับฟงขอเสนอแนะ เพื่อประโยชนตอการปรับปรุงการคุมครองขอมูลสวนบุคคลและการใหบริการของ
สํานักงานตอไป โดยเจาของขอมูลสวนบุคคลสามารถติดตอกับสํานักงานไดที่ dpo@nstda.or.th หรือ
ตามที่อยูดานลางนี้
สํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
๑๑๑ อุทยานวิทยาศาสตรประเทศไทย ถนนพหลโยธิน
ตําบลคลองหนึ่ง อําเภอคลองหลวง จังหวัดปทุมธานี ๑๒๑๒๐

16. ๑๓
๓. แนวทางดําเนินการเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล
การประมวลผลขอมูลจะเกิดขึ้นอยางถูกตองไดตอเมื่อมีฐาน (basis) หรือเหตุผลในการประมวลผล
ขอมูลนั้น ๆ ไมวาจะเปนการเก็บรวบรวม การใช การเปดเผย โดยในการประมวลผลขอมูลแตละครั้ง
หนวยงานจะตองสามารถระบุฐานที่ใชในการประมวลผลในแตละกิจกรรมใหไดฐานใดฐานหนึ่ง และจะตอง
แจงฐานในการประมวลผลใหเจาของขอมูลสวนบุคคลทราบ และดําเนินการกับขอมูลนั้น ๆ ตามขอจํากัดที่
แตกตางกันของแตละฐาน รวมถึงเก็บบันทึกไวดวยวาใชฐานใดการประมวลผลขอมูลแตละชุดดวย
ตามกฎหมายคุมครองขอมูลสวนบุคคล6
๗ กําหนดฐานไวทั้งหมดจํานวน ๗ ฐาน โดยกําหนดใหฐาน
ความยินยอมเปนฐานหลักในการประมวลผลขอมูล ซึ่งความยินยอม (consent) เปนฐานที่มีความสําคัญมาก
เนื่องจากเปนสิ่งที่ทําใหเจาของขอมูลสามารถ “เลือก” จัดการขอมูลของตนเองไดอยางเต็มที่ที่สุด
อยางไรก็ตามกฎหมายคุมครองขอมูลสวนบุคคลยังกําหนดฐานอื่น ๆ อีก ๖ ฐาน ไวสําหรับการประมวลผล
ขอมูลสวนบุคคล ซึ่งในแนวทางการดําเนินการฉบับนี้ จะไดกลาวถึงฐานทั้ง ๗ ฐาน ดังนี้
๓.๑ ฐานสัญญา (CONTRACT)
กรณีการประมวลผลขอมูลจําเปนตอการดําเนินการตามสัญญาที่ตกลงกันไวระหวางผูควบคุมขอมูล
และเจาของขอมูลสวนบุคคล เชน การประมวลผลขอมูลธุรกรรมเพื่อคํานวณดอกเบี้ยธนาคาร หรือ
เมื่อจําเปนตองประมวลผลขอมูลสวนบุคคลเพื่อปฏิบัติตามคําขอของเจาของขอมูลกอนที่จะเขาสูการทําสัญญา
หากใชสัญญาดังกลาวเปนฐานในการประมวลผลแลว ไมตองขอความยินยอมเพิ่มเติม เชน การขอขอมูล
สวนบุคคลของพนักงานเทาที่จําเปนเพื่อใชในการทําสัญญาจาง การตรวจสอบขอมูลสวนบุคคลกอนการเปด
๗
มาตรา ๒๔ หามมิใหผูควบคุมขอมูลสวนบุคคลทาการเก็บรวบรวมขอมูลสวนบุคคลโดยไมไดรับความยินยอมจากเจาของ
ขอมูลสวนบุคคล เวนแต
(๑) เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตรหรือจดหมายเหตุเพื่อประโยชนสาธารณะ
หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งไดจัดใหมีมาตรการปกปองที่เหมาะสมเพื่อคุมครองสิทธิและเสรีภาพของเจาของขอมูล
สวนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด
(๒) เพื่อปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล
(๓) เปนการจําเปนเพื่อการปฏิบัติตามสัญญาซึ่งเจาของขอมูลสวนบุคคลเปนคูสัญญาหรือเพื่อใชในการดําเนินการ
ตามคําขอของเจาของขอมูลสวนบุคคลกอนเขาทําสัญญานั้น
(๔) เปนการจําเปนเพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะของผูควบคุมขอมูลสวนบุคคล
หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล
(๕) เปนการจําเปนเพื่อประโยชนโดยชอบดวยกฎหมายของผูควบคุมขอมูลสวนบุคคลหรือของบุคคลหรือนิติบุคคล
อื่นที่ไมใชผูควบคุมขอมูลสวนบุคคล เวนแตประโยชนดังกลาวมีความสําคัญนอยกวาสิทธิขั้นพื้นฐานในขอมูล
สวนบุคคลของเจาของขอมูลสวนบุคคล
(๖) เปนการปฏิบัติตามกฎหมายของผูควบคุมขอมูลสวนบุคคล

17. ๑๔
บัญชีหรือยื่นกูเงินจากธนาคาร การขอขอมูลของคูสัญญาเพื่อนํามาใชเปนขอมูลในการทําสัญญา7
๘ การซื้อของ
ออนไลนที่ผูขายจะตองทราบชื่อที่อยูซึ่งเปนขอมูลสวนบุคคลของผูซื้อเพื่อความจําเปนในการสงสินคาใหแก
ผูซื้อ8
๙ เปนตน อยางไรก็ตามฐานสัญญานี้ใชไดกับขอมูลสวนบุคคลทั่วไปเทานั้น ไมสามารถใชฐานสัญญาใน
การประมลผลขอมูลออนไหว (sensitive data) ได
ขอควรระวังเกี่ยวกับการอางฐานสัญญาในที่นี้จํากัดอยูแคเพียง “การปฏิบัติตามสัญญา” ตามปกติ
ของการดําเนินงานใหเปนไปตามสัญญาเทานั้น ไมรวมถึงกรณีที่เกิดปญหาหรือขอพิพาทที่เกี่ยวของกับสัญญา
นั้น9
๑๐
๓.๒ ฐานความยินยอม (CONSENT)
หนวยงานสามารถใชฐานความยินยอมในการประมวลผลขอมูลไดในกรณีที่เจาของขอมูลสวนบุคคล
สมัครใจและใหความยินยอมอยางชัดแจงที่จะทําการประมวลผลขอมูลสวนบุคคลไดตามวัตถุประสงคที่แจง
แกเจาของขอมูลสวนบุคคล อยางไรก็ตาม ฐานความยินยอมเหมาะสมตอเมื่อตองการขอความยินยอมเพื่อ
ประมวลผลขอมูลสวนบุคคลในเรื่องที่ไมจําเปนในการปฏิบัติตามสัญญาและไมสามารถอางฐานอื่นใดในการ
ประมวลผลขอมูลทางกฎหมายได10
๑๑ (กลาวคือ การขอความยินยอมเหมาะสําหรับกรณีที่การประมวลผลนั้น
ไมสามารถอางฐานอื่นได) สําหรับเงื่อนไขและรายละเอียดการขอความยินยอมภายใตฐานความยินยอม โปรดดู
ขอ ๔ แนวปฏิบัติกรณีที่หนวยงานประมวลผลขอมูลสวนบุคคลโดยอาศัยฐานความยินยอมในการเก็บรวบรวม
ใช หรือเปดเผยขอมูลสวนบุคคล
ทั้งนี้ ความยินยอมจะตองไมเปนเงื่อนไขในการรับบริการ หรือผูกติดอยูกับความจําเปนในการปฏิบัติ
ตามสัญญา การใชความยินยอมเปนฐานในการประมวลผลจึงมักเกิดขึ้นในกรณีที่เปนบริการเสริมจากบริการ
หลักซึ่งไมครอบคลุมตามสัญญา การใชฐานความยินยอมจึงตองกระทําโดยความระมัดระวัง อีกทั้งควร
ตระหนักวาหนวยงานจะมีภาระการพิสูจนวาเจาของขอมูลนั้นไดยินยอมโดยสมัครใจจริง ๆ และไดใชขอมูล
สวนบุคคลตามวัตถุประสงคที่แจงไวเทานั้น การใหความยินยอมจึงไมใชใบอนุญาตที่ใหหนวยงานทําอะไรกับ
ขอมูลนั้นได11
๑๒
๘
https://blog.focal-point.com/9-examples-of-lawful-basis-for-processing-under-the-gdpr
๙
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/lawful-basis-for-processing/contract/
๑๐
Thailand Data Protection Guidelines 2.0 หนา ๕๔
๑๑
Guideline on Personal Data Protection for Thai banks หนา ๒๕
๑๒
Thailand Data Protection Guidelines 2.0 หนา ๕๔

18. ๑๕
๓.๓ ฐานประโยชนสําคัญตอชีวิต (ระงับอันตรายตอชีวิต รางกาย สุขภาพ) (VITAL INTEREST)
ฐานประโยชนสําคัญตอชีวิตเปนฐานที่ใชในกรณีเพื่อรักษาประโยชนอันจําเปนตอชีวิต รางกาย หรือ
สุขภาพของบุคคล12
๑๓ กรณีที่การประมวลผลขอมูลมีความจําเปนตอการปกปองประโยชนสําคัญของเจาของ
ขอมูลหรือบุคคลอื่น เชน ปองกันอันตรายรายแรงอันอาจเกิดตอสุขภาพและชีวิตดวยการประมวลผลขอมูล
สุขภาพหรือขอมูลออนไหว (sensitive data) ผูประมวลผลจะสามารถใชฐานนี้ในการประมวลผลไดเฉพาะ
ในกรณีที่เจาของขอมูลอยูในสภาวะที่ไมสามารถใหความยินยอมได และไมมีวิธีอื่นที่สามารถปกปองชีวิตบุคคล
นั้นได13
๑๔ เชน กรณีที่เจาของขอมูลสวนบุคคลนั้นประสบอุบัติเหตุรายแรงและอาจมีอันตรายตอชีวิต และ
มีความจําเปนจะตองเก็บรวบรวมขอมูลสวนบุคคลที่มีความออนไหวของบุคคลดังกลาว โดยที่เจาของขอมูลไม
มีสติที่จะใหความยินยอมได14
๑๕ แตหากเปนการรักษาที่มีการวางแผนลวงหนาจะไมสามารถอางฐานนี้เพื่อเก็บ
รวบรวม ใช หรือเปดเผยขอมูลสวนบุคคลของผูนั้นได
“การปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล” ไมไดจํากัดเฉพาะชีวิต
รางกาย หรือสุขภาพของบุคคลเจาของขอมูลเทานั้น แตยังหมายความรวมถึงการรักษาประโยชนสาธารณะ
ของบุคคลอื่นอีกดวย เชน การเก็บรวบขอมูลสวนบุคคลที่มีความออนไหวเพื่อประโยชนในทางมนุษยธรรม เชน
การเฝาระวังโรคระบาดและการแพรกระจายของโรคระบาด หรือในกรณีภัยพิบัติที่เกิดขึ้นโดยธรรมชาติหรือ
เปนภัยพิบัติที่มนุษยไดกอขึ้น15
๑๖
๓.๔ ฐานปฏิบัติหนาที่ตามกฎหมาย (LEGAL OBLIGATION)
กรณีการประมวลผลขอมูลจําเปนตอการปฏิบัติหนาที่ที่ผูควบคุมขอมูลนั้นมีตามที่กฎหมายกําหนด
ผูควบคุมขอมูลจะตองระบุไดอยางชัดเจนวากําลังปฏิบัติหนาที่ตามบทบัญญัติใดของกฎหมาย หรือทําตาม
คําสั่งของหนวยงานใดของรัฐที่มีอํานาจ16
๑๗ และกรณีที่เปนการประมวลผลตามฐานปฏิบัติตามกฎหมายนี้
เจาของขอมูลสวนบุคคลจะไมมีสิทธิในการลบ โอนยายขอมูล หรือคัดคานการประมวลผล17
๑๘
ตัวอยาง
๑๓
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๖(๑)
๑๔
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๔(๒)
๑๕
Vital interests, INFORMATION COMMISSIONER’S OFFICE (2019), https://ico.org.uk/for-organisations/guide-
to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/vital-
interests/ (last visited Sep 25, 2019).
๑๖
GDPR, Article 46 para 3. อางใน TDPG 2.0 หนา ๔๖
๑๗
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๔(๖)
๑๘
TDPG2.0 หนา ๗๖

19. ๑๖
๑. นายจางเปดเผยขอมูลเงินเดือนของลูกจางตอกรมสรรพากรเพื่อแจกแจงรายละเอียดในการคํานวณ
รายไดรายจายของกิจการตามมาตรา ๖๕ ประมวลรัษฎากร
๒. สถาบันการเงินแจงผลการตรวจสอบความถูกตองของรายการทรัพยสินและหนี้สินใหกับ
คณะกรรมการปองกันและปราบปรามการทุจริตแหงชาติตามมาตรา ๑๑๒ ของพระราชบัญญัติประกอบ
รัฐธรรมนูญวาดวยการปองกันและปราบปรามการทุจริต
๓. การเปดเผยขอมูลสวนบุคคลของพนักงานตามคําสั่งศาล
๔. บริษัทผูใหบริการบัตรโดยสารสาธารณะขอสําเนาประชาชนเพื่อปฏิบัติตามกฎเกณฑเรื่องการ
ปองกันและปราบปรามการฟอกเงิน โดยเก็บไวเฉพาะขอมูลที่เกี่ยวของเทานั้น (ตัดขอมูลที่ไมเกี่ยวของ เชน
กรุปเลือด ศาสนา ออกไป)
๕. ผูใหบริการเครือขายโทรศัพทเคลื่อนที่เก็บขอมูลจราจรตามที่กาหนดในกฎหมายเกี่ยวกับการ
กระทําความผิดเกี่ยวกับคอมพิวเตอร
๓.๕ ฐานภารกิจของรัฐ (PUBLIC TASK)
กรณีที่การประมวลผลขอมูลจําเปนตอการดําเนินงานตามภารกิจของรัฐเพื่อประโยชนสาธารณะ
ที่กําหนดไวตามกฎหมาย ผูที่จะประมวลผลขอมูลตามฐานนี้ไดสวนใหญเปนเจาหนาที่หรือองคกรของรัฐ เชน
สํานักงานศาลยุติธรรม สํานักงานเลขาธิการสภาผูแทนราษฎรและวุฒิสภา เจาหนาที่ของกระทรวงตาง ๆ
ที่ปฏิบัติภารกิจตามกฎหมาย รวมถึงหนวยงานเอกชนที่ปฏิบัติหนาที่ในการใชอํานาจที่รัฐไดมอบหมายใหเพื่อ
ผลประโยชนสาธารณะตามกฎหมาย เชน การใหบริการสอบใบอนุญาตขับขี่รถยนต โดยอํานาจหนาที่อันเปน
ที่มาของภารกิจจะตองมีความชัดเจนโดยสามารถอางอิงถึงกฎหมายที่ใหอานาจไดอยางเฉพาะเจาะจง18
๑๙
การประมวลผลบนฐานภารกิจของรัฐนี้ไมไดใหอํานาจโดยไรเงื่อนไข แตกลับมีหลักการสําคัญ คือ
หลักความไดสัดสวนและมีหนาที่ของผูควบคุมขอมูลที่ตองปฏิบัติตามอยูเชนเดียวกับฐานอื่น ๆ โดยเฉพาะ
อยางยิ่งในเรื่องที่เกี่ยวของกับการรักษาความปลอดภัยของขอมูล ทั้งนี้ หากเปนการประมวลผลตามฐานนี้
เจาของขอมูลสวนบุคคลจะไมมีสิทธิในการลบ และโอนยายขอมูล แตมีสิทธิในคัดคานการประมวลผล
ตัวอยาง
(๑) กรมสรรพากรคิดคํานวณขอมูลเงินเดือนของลูกจางเพื่อตรวจสอบการรายการรายไดรายจาย
ที่กิจการนั้น ๆ ยื่น
(๒) คณะกรรมการปองกันและปราบปรามการทุจริตแหงชาติเก็บรวมรวมขอมูลเกี่ยวกับการตรวจสอบ
ความถูกตองของรายการทรัพยสินและหนี้สินจากสถาบันการเงิน
๑๙
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๔ (๔)