More Related Content
Similar to Nstda pdpa-guideline-v1
Similar to Nstda pdpa-guideline-v1 (14)
Nstda pdpa-guideline-v1
- 2. สารบัญ
๑. บทนําและคํานิยาม....................................................................................................................................๑
๒. ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ เรื่อง นโยบายการคุมครองขอมูลสวนบุคคล
ของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ...............................................................................๕
๑. คํานิยาม...............................................................................................................................................๕
๒. แหลงที่มาของขอมูลสวนบุคคล............................................................................................................๘
๓. วัตถุประสงคในการประมวลผลขอมูลสวนบุคคล..................................................................................๙
๔. การประมวลผลขอมูลสวนบุคคล..........................................................................................................๙
๕. ระยะเวลาในการเก็บรักษาขอมูลสวนบุคคล......................................................................................๑๐
๖. สิทธิของเจาของขอมูลสวนบุคคล......................................................................................................๑๐
๗. การรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล ....................................................................๑๑
๘. การใชคุกกี้ (Cookies) ...................................................................................................................... ๑๑
๙. การปรับปรุงนโยบายการคุมครองขอมูลสวนบุคคล...........................................................................๑๑
๑๐. การปฏิบัติตามนโยบายคุมครองขอมูลสวนบุคคลและการติดตอกับสํานักงาน.................................๑๒
๓. แนวทางดําเนินการเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล........................................................๑๓
๔. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีที่หนวยงานประมวลผลขอมูลสวนบุคคลโดย
อาศัยฐานความยินยอม................................................................................................................................ ๑๙
๕. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีที่หนวยงานเก็บรวบรวมขอมูลสวน
บุคคลไวกอนวันที่พระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มีผลบังคับใช (กอนวันที่ ๒๘
พฤษภาคม พ.ศ. ๒๕๖๓).............................................................................................................................. ๒๕
๖. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดทําเว็บไซต หรือ
Mobile Application.................................................................................................................................. ๒๖
๗. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดทําแบบฟอรมรูปแบบ
เอกสารและรูปแบบออนไลน........................................................................................................................ ๓๔
๘. แนวทางการดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานที่มีการบันทึกภาพผูมาติดตอ
หรือแลกบัตรหรือเอกสารที่มีขอมูลสวนบุคคล เพื่อความปลอดภัย...............................................................๓๖
- 3. ๙. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการใชกลองโทรทัศนวงจรปด
(CCTV) เพื่อการวิจัย พัฒนา........................................................................................................................ ๓๖
๑๐. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการจัดกิจกรรมอบรม สัมมนา
หรือประชุม.................................................................................................................................................. ๓๙
๑๑. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานมีการเก็บรวบ ใช หรือเปดเผย
ขอมูลสวนบุคคลของผูเยาว.......................................................................................................................... ๔๑
๑๒. แนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล กรณีหนวยงานที่มีการทําขอมูลสวนบุคคลใน
รูปแบบขอมูลนิรนาม/ขอมูลแฝง..................................................................................................................๔๔
- 4. ๑
๑. บทนําและคํานิยาม
๑.๑ บทนํา
คูมือแนวทางดําเนินการนี้เปนเครื่องมือสําคัญประการหนึ่งที่ชวยใหการดําเนินการตามกฎหมายหรือ
หลักการใด ๆ ที่กําหนดขึ้นเปนไปในอยางสมเหตุสมผลในทางปฏิบัติ เพราะในความจริงแลวการบัญญัติ
กฎหมายหรือกําหนดหลักการ “อะไร” ขึ้นมาประการหนึ่งและกําหนด “ใหทํา” (prescriptive) “ไมใหทํา”
(proscriptive) หรือ “อธิบาย” (descriptive) สิ่งนั้น ยอมตามมาซึ่งคําถามเกี่ยวกับวิธีการปฏิบัติวาควรทํา
“อยางไร” โดยเฉพาะอยางยิ่งกับกฎหมายที่โดยทั่วไปแลวสามารถกําหนดไดเพียงในระดับที่กําหนด “หาม”
เปนหลักการไวเทานั้น แตในขั้นตอนปฏิบัติยอมไมสามารถลงรายละเอียดวิธีการหรือกรณีเฉพาะทั้งปวงได
เพราะจะทําใหกฎหมายนั้นมีความเครงครัดมากเสียจนไมอาจนําไปใชไดจริง
ในกรณีของ “การคุมครองขอมูลสวนบุคคล” ก็เชนเดียวกัน เนื่องจากกฎหมายไมสามารถกําหนด
วิธีปฏิบัติในรายละเอียดลงไปโดยสมบูรณได จึงมีคําถามเกี่ยวกับวิธีการปฏิบัติวาควรทํา “อยางไร” มีขอสังเกต
วากฎหมายคุมครองขอมูลสวนบุคคลมีเปาหมายระบุโดยตรงไปที่ “ขอมูลสวนบุคคล” (Personal Data) ไมใช
“ตัวบุคคล” (Person) โดยตรง ซึ่งการคุมครองขอมูลสวนบุคคลนั้นจะมีผลเปนการปกปอง “บุคคล” จาก
ผลรายที่อาจเกิดขึ้นจากการประมวลผล “ขอมูลสวนบุคคล” อีกชั้นหนึ่ง
การคุมครองขอมูลสวนบุคคล มีผลชัดเจนเมื่อสหภาพยุโรปไดออกกฎหมายฉบับใหมเกี่ยวกับการ
คุมครองขอมูลสวนบุคคลหรือที่เรียกกันวา “GDPR” (EU General Data Protection Regulation) ซึ่งเปน
การปรับปรุงกฎหมายเดิม (EU Data 16 Thailand Data Protection Guidelines 2.0 Protection Directive
95/46/EC) ซึ่งใชบังคับมานานมากวา ๒๐ ป ทําใหเกิดการเปลี่ยนแปลงหลักการที่สําคัญ เชน
• กําหนดการใชอํานาจนอกอาณาเขต (extraterritorial jurisdiction) กลาวคือ ขอมูลสวนบุคคล
ของสหภาพยุโรปอยูภายใตความคุมครองไมวาจะอยูในที่ใดในโลก
• กําหนดบทลงโทษสูงขึ้น โดยองคกรที่กระทําผิดอาจตองจายคาปรับสูงถึงอัตรารอยละ ๔ ของ
ผลประกอบการรายไดทั่วโลก
• กําหนดใหการขอความยินยอมจากเจาของขอมูลตองชัดเจนและชัดแจง (clear and
affirmative consent)
• กําหนดการแจงเตือนเมื่อเกิดเหตุขอมูลรั่วไหล หนวยงานผูควบคุมขอมูลและผูประมวลผล
ขอมูลตองแจงใหหนวยงานกํากับดูแล และประชาชนทราบภายใน ๗๒ ชั่วโมง
- 5. ๒
• กําหนดขอบเขตสิทธิของเจาของขอมูล ใหผูควบคุมขอมูลตองแจงใหเจาของขอมูลทราบวา
ขอมูลจะถูกใชอยางไร เพื่อวัตถุประสงคใด และตองจัดทําสําเนาขอมูลใหกับเจาของขอมูลในรูปแบบ
อิเล็กทรอนิกส โดยหามเก็บคาใชจายเพิ่ม
• กําหนดรับรองสิทธิในการโอนขอมูลไปยังผูประกอบการอื่น (Right to data portability)
• กําหนดรับรองสิทธิที่จะถูกลืม (Right to be forgotten) เจาของขอมูลสามารถขอใหหนวยงาน
ควบคุมขอมูลลบขอมูลของตัวเองออกได
GDPR มีผลบังคับใชเมื่อวันที่ ๒๕ พฤษภาคม ๒๕๖๑ ที่ผานมา ซึ่งนอกจากการมีผลบังคับใชแกการ
สงขอมูลภายในประเทศสมาชิกสหภาพยุโรปแลว สวทช. ควรดําเนินการเตรียมพรอมมาตรการคุมครองขอมูล
สวนบุคคลที่เหมาะสมเชนเดียวกัน
คูมือแนวทางดําเนินการนี้มีเจตนาที่จะแนะนําวิธีการวาควรทํา “อยางไร” ซึ่งหมายความวาคูมือ
แนวทางดําเนินการนี้เปนเพียงคําอธิบายของวิธีการเพื่อการคุมครองขอมูลสวนบุคคลซึ่งจําเปนตองพัฒนาอยาง
ตอเนื่องตอไป การดําเนินการคุมครองขอมูลสวนบุคคลตามคูมือแนวทางดําเนินการนี้จึงไมใชการปฏิบัติตาม
กฎหมายคุมครองขอมูลสวนบุคคลหรือมาตรฐาน GDPR ที่ครบถวน แตเปนเพียงขอแนะนําที่ควรจะตองปฏิบัติ
และพัฒนาปรับปรุงตอเนื่องตอไป 0
๑
การคุมครองขอมูลสวนบุคคลกับการดําเนินงานของ สวทช.
กฎหมายการคุมครองขอมูลสวนบุคคลของประเทศไทยมีการอางอิงกับกฎหมายของสหภาพยุโรป
ที่เรียกกันวา “GDPR” (EU General Data Protection Regulation) ซึ่งเปนเวลากวา ๒๐ ป ที่ไดมีการ
พยายามผลักดันใหมีกฎหมายการคุมครองขอมูลสวนบุคคล จนประสบความสําเร็จและประกาศ
พระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ ในราชกิจจานุเบกษาเมื่อวันที่ ๒๗ พฤษภาคม
พ.ศ. ๒๕๖๒ และมีผลบังคับใชอยางสมบูรณ ตั้งแตวันที่ ๒๘ พฤษภาคม ๒๕๖๓ เปนตนไป โดยการประกาศ
๑
แหลงขอมูล
• General Data Protection Regulation : GDPR https://gdpr-info.eu/
• พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ https://oer.learn.in.th/search_detail/result/138564
• แนวปฏิบัติเกี่ยวกับการคุมครองขอมูลสวนบุคคล Thailand Data Protection Guidelines Final Version 2.0
https://oer.learn.in.th/search_detail/result/161851
• ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ เรื่อง นโยบายการคุมครองขอมูลสวนบุคคลของสํานักงาน
พัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ https://www.nstda.or.th/th/97-about-us/about-us/547-nstda-privacy-
policy
- 6. ๓
ใชพระราชบัญญัติการคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ นี้ เปนไปเพื่อใหการคุมครองขอมูลสวนบุคคลมี
ประสิทธิภาพและเพื่อใหมีมาตรการเยียวยาเจาของขอมูลสวนบุคคลจากการถูกละเมิดสิทธิในขอมูลสวนบุคคล
ที่มีประสิทธิภาพ
วัตถุประสงคและเปาหมาย
คูมือแนวทางดําเนินการเกี่ยวกับการคุมครองขอมูลสวนบุคคล สํานักงานพัฒนาวิทยาศาสตรและ
เทคโนโลยีแหงชาติฉบับนี้ มีวัตถุประสงคเพื่อใหมั่นใจวา สวทช. เขาใจถึงการคุมครองขอมูลสวนบุคคล และ
เพื่อเปนแนวทางในการคุมครองขอมูลสวนบุคคลและปฏิบัติใหถูกตองตามพระราชบัญญัติคุมครองขอมูลสวน
บุคคล พ.ศ. ๒๕๖๒ โดยหนวยงานภายใน สวทช. ที่มีกิจกรรมหรือการดําเนินงานที่เกี่ยวของกับการคุมครอง
ขอมูลสวนบุคคล สามารถนําคูมือแนวทางดําเนินการนี้ไปเปนแนวทางในการดําเนินการเพื่อคุมครองขอมูลสวน
บุคคล
๑.๒ คํานิยาม
การประมวลผลขอมูลสวนบุคคล – Processing of Personal Data
การดําเนินการหรือชุดการดําเนินการใด ๆ ซึ่งกระทําตอขอมูลสวนบุคคลหรือชุดขอมูลสวนบุคคล
ไมวาจะโดยวิธีการอัตโนมัติหรือไม เชน การเก็บ บันทึก จัดระบบ จัดโครงสราง เก็บรักษา เปลี่ยนแปลงหรือ
ปรับเปลี่ยน การรับ พิจารณา ใช เปดเผยดวยการสงตอ เผยแพร หรือการกระทําอื่นใดซึ่งทําใหเกิดความพรอม
ใชงาน การจัดวางหรือผสมเขาดวยกัน การจํากัด การลบ หรือการทําลาย
การจัดทําขอมูลนิรนาม - Anonymization
กระบวนการที่ทําใหความเสี่ยงในการระบุตัวตนของเจาของขอมูลนั้นนอยมากจนแทบไมตองให
ความสําคัญกับความเสี่ยง (negligible risk)
การแฝงขอมูล - Pseudonymization
การประมวลผลขอมูลสวนบุคคลในลักษณะที่ขอมูลสวนบุคคลไมสามารถระบุตัวเจาของขอมูลได
หากปราศจากการใชขอมูลเพิ่มเติมประกอบ ทั้งนี้ขอมูลเพิ่มเติมนี้มีการเก็บรักษาไวแยกออกจากกันและ
อยูภายใตมาตรการเชิงเทคนิคและมาตรการเชิงบริหารจัดการเพื่อประกันวาขอมูลสวนบุคคลจะไมสามารถระบุ
ไปถึงบุคคลธรรมดาได
ขอมูลสวนบุคคลรั่วไหล - Personal Data Breach
การรั่วไหลหรือละเมิดมาตรการความมั่นคงปลอดภัยตอขอมูลสวนบุคคลทําใหเกิดความเสียหาย
สูญหาย เปลี่ยนแปลง เปดเผยโดยไมไดรับอนุญาต หรือเขาถึงขอมูลสวนบุคคลที่ใชงาน
- 7. ๔
ขอมูลสวนบุคคลแฝง - Pseudonymous Data
ขอมูลที่ไมสามารถใชระบุตัวเจาของขอมูลไดหากปราศจากการใชขอมูลประกอบเพิ่มเติม
ขอมูลนิรนาม - Anonymous Data
ขอมูลที่ไมสามารถใชเพื่อระบุตัวตนของบุคคลใดบุคคลหนึ่งได
- 8. ๕
๒. ประกาศสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
เรื่อง นโยบายการคุมครองขอมูลสวนบุคคลของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
โดยที่มีพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ ซึ่งมีผลบังคับใชเมื่อวันที่
๒๘ พฤษภาคม ๒๕๖๒ ประกอบกับสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติใหความสําคัญ
อยางยิ่งตอการคุมครองขอมูลสวนบุคคลและการปฏิบัติตามกฎหมายคุมครองขอมูลสวนบุคคล และเพื่อให
เจาของขอมูลสวนบุคคลเชื่อมั่นวาสํานักงานจะดูแลรักษาขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลและ
จัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สํานักงานจึงไดจัดทํานโยบายการคุมครองขอมูล
สวนบุคคลของสํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ ดังนี้
๑. คํานิยาม
“สํานักงาน” หมายถึง สํานักงานพัฒนาวิทยาศาสตรและเทคโนโลยีแหงชาติ
“บุคคล” หมายถึง บุคคลธรรมดา
“ขอมูลสวนบุคคล” หมายความวา ขอมูลเกี่ยวกับบุคคลซึ่งทําใหสามารถระบุตัวบุคคลนั้นได ไมวาทางตรง
หรือทางออม แตไมรวมถึงขอมูลของผูถึงแกกรรมโดยเฉพาะ อาทิ ชื่อ นามสกุล ชื่อเลน ที่อยู หมายเลข
โทรศัพท เลขประจําตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจําตัว
ผูเสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยูอีเมล (email address) ทะเบียนรถยนต โฉนดที่ดิน
IP Address, Cookie ID, Log File เปนตน อยางไรก็ดี ขอมูลตอไปนี้ไมใชขอมูลสวนบุคคล เชน ขอมูลสําหรับ
การติดตอทางธุรกิจที่ไมไดระบุถึงตัวบุคคล อาทิ ชื่อบริษัท ที่อยูของบริษัท เลขทะเบียนนิติบุคคลของบริษัท
หมายเลขโทรศัพทของที่ทํางาน ที่อยูอีเมล (email address) ที่ใชในการทํางาน ที่อยูอีเมล (email address)
กลุมของบริษัท เชน info@company.co.th ขอมูลนิรนาม (Anonymous Data) หรือขอมูลแฝงที่ถูกทําใหไม
สามารถระบุตัวบุคคลไดอีกโดยวิธีการทางเทคนิค (Pseudonymous Data) ขอมูลผูถึงแกกรรม เปนตน
“ขอมูลสวนบุคคลออนไหว” หมายถึง ขอมูลที่เปนเรื่องสวนบุคคลโดยแทของบุคคล แตมีความละเอียดออน
และอาจสุมเสี่ยงในการเลือกปฏิบัติอยางไมเปนธรรม เชน เชื้อชาติ เผาพันธุ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ขอมูลสุขภาพ ความพิการ ขอมูล
สหภาพแรงงาน ขอมูลพันธุกรรม ขอมูลชีวภาพ หรือขอมูลอื่นใด ซึ่งกระทบตอเจาของขอมูลสวนบุคคลใน
ทํานองเดียวกันตามที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศกําหนด
“เจาของขอมูลสวนบุคคล” (Data Subject) หมายถึง ตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลนั้น แตไมใช
กรณีที่บุคคลมีความเปนเจาของขอมูล (Ownership) หรือเปนผูสรางหรือเก็บรวบรวมขอมูลนั้นเอง โดย
- 9. ๖
เจาของขอมูลสวนบุคคลนี้จะหมายถึงบุคคลธรรมดาเทานั้น และไมรวมถึง “นิติบุคคล” (Juridical Person) ที่
จัดตั้งขึ้นตามกฎหมาย เชน บริษัท สมาคม มูลนิธิ หรือองคกรอื่นใด
ทั้งนี้ เจาของขอมูลสวนบุคคล ไดแก บุคคลดังตอไปนี้
๑. เจาของขอมูลสวนบุคคลที่เปนผูบรรลุนิติภาวะ หมายถึง
๑.๑ บุคคลที่มีอายุตั้งแต ๒๐ ปบริบูรณ1
๒ ขึ้นไป หรือ
๑.๒ ผูที่สมรสตั้งแตอายุ ๑๗ ปบริบูรณขึ้นไป หรือ
๑.๓ ผูที่สมรสกอนอายุ ๑๗ ป โดยศาลอนุญาตใหทําการสมรส2
๓ หรือ
๑.๔ ผูเยาวซึ่งผูแทนโดยชอบธรรมใหความยินยอมในการประกอบธุรกิจทางการคาหรือธุรกิจ
อื่น หรือในการทําสัญญาเปนลูกจางในสัญญาจางแรงงาน ในความเกี่ยวพันกับการประกอบธุรกิจหรือ
การจางแรงงานขางตนใหผูเยาวมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแลว3
๔
๒
ประมวลกฎหมายแพงและพาณิชย มาตรา ๑๙ บุคคลยอมพนจากภาวะผูเยาวและบรรลุนิติภาวะเมื่อมีอายุยี่สิบปบริบูรณ
๓
ประมวลกฎหมายแพงและพาณิชย มาตรา ๑๔๔๘ การสมรสจะทําไดตอเมื่อชายและหญิงมีอายุสิบเจ็ดปบริบูรณแลว แตใน
กรณีที่มีเหตุอันสมควร ศาลอาจอนุญาตใหทําการสมรสกอนนั้นได
๔
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๗ ประกอบกับพระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา
๒๐ ดังนี้
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๗ ผูแทนโดยชอบธรรมอาจใหความยินยอมแกผูเยาวในการประกอบธุรกิจ
ทางการคาหรือธุรกิจอื่น หรือในการทําสัญญาเปนลูกจางในสัญญาจางแรงงานได ในกรณีที่ผูแทนโดยชอบธรรมไมใหความ
ยินยอมโดยไมมีเหตุอันสมควร ผูเยาวอาจรองขอตอศาลใหสั่งอนุญาตได
ในความเกี่ยวพันกับการประกอบธุรกิจหรือการจางแรงงานตามวรรคหนึ่งใหผูเยาวมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะ
แลว
ถาการประกอบธุรกิจหรือการทํางานที่ไดรับความยินยอมหรือที่ไดรับอนุญาตตามวรรคหนึ่ง กอใหเกิดความเสียหายถึงขนาด
หรือเสื่อมเสียแกผูเยาว ผูแทนโดยชอบธรรมอาจบอกเลิกความยินยอมที่ไดใหแกผูเยาวเสียได หรือในกรณีที่ศาลอนุญาต ผูแทน
โดยชอบธรรมอาจรองขอตอศาลใหเพิกถอนการอนุญาตที่ไดใหแกผูเยาวนั้นเสียได
ในกรณีที่ผูแทนโดยชอบธรรมบอกเลิกความยินยอมโดยไมมีเหตุอันสมควร ผูเยาวอาจรองขอตอศาลใหเพิกถอนการบอกเลิก
ความยินยอมของผูแทนโดยชอบธรรมได
การบอกเลิกความยินยอมโดยผูแทนโดยชอบธรรมหรือการเพิกถอนการอนุญาตโดยศาล ยอมทําใหฐานะเสมือนดังบุคคลซึ่ง
บรรลุนิติภาวะแลว ของผูเยาวสิ้นสุดลง แตไมกระทบกระเทือนการใด ๆ ที่ผูเยาวไดกระทําไปแลวกอนมีการบอกเลิกความ
ยินยอมหรือเพิกถอนการอนุญาต
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๐ ในกรณีที่เจาของขอมูลสวนบุคคลเปนผูเยาวซึ่งยังไมบรรลุ
นิติภาวะโดยการสมรส หรือไมมีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแลวตามมาตรา ๒๗ แหงประมวลกฎหมายแพงและ
พาณิชย การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว ใหดําเนินการ ดังตอไปนี้
- 10. ๗
ทั้งนี้ ในการใหความยินยอมใด ๆ เจาของขอมูลสวนบุคคลที่เปนผูบรรลุนิติภาวะสามารถใหความยินยอมได
ดวยตนเอง
๒. เจาของขอมูลสวนบุคคลที่เปนผูเยาว หมายถึง บุคคลที่อายุต่ํากวา ๒๐ ปบริบูรณ และไมใช
ผูบรรลุนิติภาวะตามขอ ๑ ทั้งนี้ ในการใหความยินยอมใด ๆ จะตองไดรับความยินยอมจากผูใชอํานาจปกครอง
ที่มีอํานาจกระทําการแทนผูเยาวดวย
๓. เจาของขอมูลสวนบุคคลที่เปนคนเสมือนไรความสามารถ หมายถึง บุคคลที่ศาลสั่งใหเปน
คนเสมือนไรความสามารถ เนื่องจากมีกายพิการหรือมีจิตฟนเฟอนไมสมประกอบ หรือประพฤติสุรุยสุราย
เสเพลเปนอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทํานองเดียวกันนั้น จนไมสามารถจะจัดทําการงาน
โดยตนเองได หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแกทรัพยสินของตนเองหรือครอบครัว4
๕ ทั้งนี้ ในการให
ความยินยอมใด ๆ จะตองไดรับความยินยอมจากผูพิทักษที่มีอํานาจกระทําการแทนคนเสมือนไรความสามารถ
นั้นกอน
(๑) ในกรณีที่การใหความยินยอมของผูเยาวไมใชการใด ๆ ซึ่งผูเยาวอาจใหความยินยอมโดยลําพังไดตามที่บัญญัติไวในมาตรา
๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แหงประมวลกฎหมายแพงและพาณิชย ตองไดรับความยินยอมจากผูใชอํานาจปกครองที่มี
อํานาจกระทําการแทนผูเยาวดวย
(๒) ในกรณีที่ผูเยาวมีอายุไมเกินสิบป ใหขอความยินยอมจากผูใชอํานาจปกครองที่มีอํานาจกระทําการแทนผูเยาว
ในกรณีที่เจาของขอมูลสวนบุคคลเปนคนไรความสามารถ การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว ใหขอ
ความยินยอม จากผูอนุบาลที่มีอํานาจกระทําการแทนคนไรความสามารถ
ในกรณีที่เจาของขอมูลสวนบุคคลเปนคนเสมือนไรความสามารถ การขอความยินยอมจากเจาของขอมูลสวนบุคคลดังกลาว
ใหขอความยินยอม จากผูพิทักษที่มีอํานาจกระทําการแทนคนเสมือนไรความสามารถ
ใหนําความในวรรคหนึ่ง วรรคสอง และวรรคสาม มาใชบังคับกับการถอนความยินยอมของเจาของขอมูลสวนบุคคล การแจงให
เจาของขอมูลสวนบุคคลทราบ การใชสิทธิของเจาของขอมูลสวนบุคคล การรองเรียนของเจาของขอมูลสวนบุคคล และการอื่น
ใดตามพระราชบัญญัตินี้ในกรณีที่เจาของขอมูลสวนบุคคลเปนผูเยาว คนไรความสามารถ หรือ คนเสมือนไรความสามารถ
โดยอนุโลม
๕
ประมวลกฎหมายแพงและพาณิชย มาตรา ๓๒ บุคคลใดมีกายพิการหรือมีจิตฟนเฟอนไมสมประกอบ หรือประพฤติ
สุรุยสุรายเสเพลเปนอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นใดทํานองเดียวกันนั้น จนไมสามารถจะจัดทําการงานโดยตนเองได
หรือจัดกิจการไปในทางที่อาจจะเสื่อมเสียแกทรัพยสินของตนเองหรือครอบครัว เมื่อบุคคลตามที่ระบุไวในมาตรา ๒๘ รองขอ
ตอศาล ศาลจะสั่งใหบุคคลนั้นเปนคนเสมือนไรความสามารถก็ได
บุคคลซึ่งศาลไดสั่งใหเปนคนเสมือนไรความสามารถตามวรรคหนึ่ง ตองจัดใหอยูในความพิทักษ การแตงตั้งผูพิทักษ ใหเปนไป
ตามบทบัญญัติบรรพ ๕ แหงประมวลกฎหมายนี้ ใหนําบทบัญญัติวาดวยการสิ้นสุดของความเปนผูปกครองในบรรพ ๕ แหง
ประมวลกฎหมายนี้มาใชบังคับแกการสิ้นสุดของการเปนผูพิทักษโดยอนุโลม
คําสั่งของศาลตามมาตรานี้ ใหประกาศในราชกิจจานุเบกษา
- 11. ๘
๔. เจาของขอมูลสวนบุคคลที่เปนคนไรความสามารถ หมายถึง บุคคลที่ศาลสั่งใหเปน
คนไรความสามารถ เนื่องจากเปนบุคคลวิกลจริต5
๖ ทั้งนี้ ในการใหความยินยอมใด ๆ จะตองไดรับความยินยอม
จากผูอนุบาลที่มีอํานาจกระทําการแทนคนไรความสามารถนั้นกอน
ทั้งนี้ หากการขอความยินยอมจากเจาของขอมูลสวนบุคคลที่ไมเปนไปตามกฎหมายคุมครองขอมูล
สวนบุคคลไมมีผลผูกพันเจาของขอมูลสวนบุคคล
“ผูควบคุมขอมูลสวนบุคคล” หมายความวา บุคคลหรือนิติบุคคลซึ่งมีอํานาจหนาที่ตัดสินใจเกี่ยวกับการเก็บ
รวบรวม ใช หรือเปดเผยขอมูลสวนบุคคล
“ผูประมวลผลขอมูลสวนบุคคล” หมายความวา บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม
ใช หรือเปดเผยขอมูลสวนบุคคลตามคําสั่งหรือในนามของผูควบคุมขอมูลสวนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล
ซึ่งดําเนินการดังกลาวไมเปนผูควบคุมขอมูลสวนบุคคล
๒. แหลงที่มาของขอมูลสวนบุคคล
โดยปกติทั่วไปสํานักงานจะไมเก็บรวบรวมขอมูลสวนบุคคล เวนแตในกรณี ดังนี้
๒.๑ สํานักงานไดรับขอมูลสวนบุคคลจากเจาของขอมูลสวนบุคคลโดยตรง โดยสํานักงานจะเก็บ
รวบรวมขอมูลสวนบุคคลจากขั้นตอนการใหบริการ ดังนี้
(๑) ขั้นตอนการใชบริการกับสํานักงาน หรือขั้นตอนการยื่นคํารองขอใชสิทธิตาง ๆ กับ
สํานักงาน เชน การรับขอมูลขาวสาร การสมัครงาน
(๒) การเก็บขอมูลโดยความสมัครใจของเจาของขอมูลสวนบุคคล เชน การทําแบบสอบถาม
(survey) หรือ การโตตอบทางที่อยูอีเมล (email address) หรือชองทางการสื่อสารอื่น ๆ ระหวาง
สํานักงานและเจาของขอมูลสวนบุคคลฃ
(๓) การเก็บขอมูลจากการใชเว็บไซตของสํานักงานผานเบราวเซอรคุกกี้ (browser’s
cookies) ของเจาของขอมูลสวนบุคคล และการใชบริการธุรกรรมทางอิเล็กทรอนิกส
๖
ประมวลกฎหมายแพงและพาณิชย มาตรา ๒๘ บุคคลวิกลจริตผูใด ถาคูสมรสก็ดี ผูบุพการีกลาวคือ บิดา มารดา ปูยา ตา
ยาย ทวดก็ดี ผูสืบสันดานกลาวคือ ลูก หลาน เหลน ลื่อก็ดี ผูปกครองหรือผูพิทักษก็ดี ผูซึ่งปกครองดูแลบุคคลนั้นอยูก็ดี หรือ
พนักงานอัยการก็ดี รองขอตอศาลใหสั่งใหบุคคลวิกลจริตผูนั้นเปนคนไรความสามารถ ศาลจะสั่งใหบุคคลวิกลจริต
ผูนั้นเปนคนไรความสามารถก็ได
บุคคลซึ่งศาลไดสั่งใหเปนคนไรความสามารถตามวรรคหนึ่ง ตองจัดใหอยูในความอนุบาล การแตงตั้งผูอนุบาล อํานาจหนาที่
ของผูอนุบาล และการสิ้นสุดของความเปนผูอนุบาล ใหเปนไปตามบทบัญญัติบรรพ ๕ แหงประมวลกฎหมายนี้
คําสั่งของศาลตามมาตรานี้ ใหประกาศในราชกิจจานุเบกษา
- 12. ๙
๒.๒ สํานักงานไดรับขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลจากบุคคลที่สาม โดยสํานักงาน
เชื่อโดยสุจริตวาบุคคลที่สามดังกลาวมีสิทธิเก็บขอมูลสวนบุคคลของเจาของขอมูลสวนบุคคลและเปดเผย
กับสํานักงาน
๓. วัตถุประสงคในการประมวลผลขอมูลสวนบุคคล
สํานักงานใชวิธีการเก็บรวบรวม ใช เปดเผย ขอมูลสวนบุคคลดวยวิธีการที่ชอบดวยกฎหมายและเปน
ธรรม โดยจัดเก็บขอมูลสวนบุคคลเทาที่จําเปน เพื่อใชในการติดตอใหบริการ ประชาสัมพันธ หรือใหขอมูล
ขาวสารตาง ๆ รวมทั้งสํารวจความคิดเห็นของเจาของขอมูลสวนบุคคลในกิจการหรือกิจกรรมของสํานักงาน
ภายใตวัตถุประสงคในการดําเนินงานของสํานักงานเทานั้น หรือตามที่กฎหมายกําหนด ทั้งนี้ หากมีการ
เปลี่ยนแปลงวัตถุประสงค สํานักงานจะแจงใหเจาของขอมูลสวนบุคคลทราบ และบันทึกเพิ่มเติมไวเปน
หลักฐาน รวมทั้งปฏิบัติใหเปนไปตามกฎหมายคุมครองขอมูลสวนบุคคล
๔. การประมวลผลขอมูลสวนบุคคล
๔.๑ การเก็บรวบรวมขอมูลสวนบุคคล
สํานักงานจะเก็บรวบรวมขอมูลสวนบุคคลอยางจํากัดและเทาที่จําเปน โดยขึ้นอยูกับประเภทของ
บริการที่เจาของขอมูลสวนบุคคลใชบริการหรือใหขอมูลสวนบุคคลกับสํานักงาน เชน การลงทะเบียนสมัครเขา
รวมกิจกรรม การลงทะเบียนขอใชบริการตาง ๆ ทั้งที่ผานสํานักงานโดยตรงและผานระบบสารสนเทศของ
สํานักงาน ซึ่งจะมีการเก็บรวบรวมขอมูลสวนบุคคลดังกลาวเทาที่จําเปนเทานั้น
๔.๒ การใชขอมูลสวนบุคคล
สํานักงานจะใชขอมูลสวนบุคคลตามวัตถุประสงคที่เจาของขอมูลสวนบุคคลใหไวกับสํานักงาน โดยใช
อยางเหมาะสมและมีมาตรการการรักษาความมั่นคงปลอดภัยและมีการควบคุมการเขาถึงขอมูลสวนบุคคล
๔.๓ การเปดเผยขอมูลสวนบุคคล
โดยปกติสํานักงานจะไมเปดเผยขอมูลสวนบุคคล เวนแตเปนการเปดเผยตามวัตถุประสงค
ที่เจาของขอมูลสวนบุคคลไดใหไวกับสํานักงาน เชน เปดเผยขอมูลสวนบุคคลเพื่อเปนการปฏิบัติตามบริการ
ที่เจาของขอมูลสวนบุคคลรองขอ หรือเปนไปตามภาระผูกพันตามสัญญา หรือตามที่กฎหมายกําหนดให
เปดเผย และในกรณีใด ๆ ที่สํานักงานตองการเก็บรวมรวม ใช หรือเปดเผยขอมูลสวนบุคคลเพิ่มเติมหรือมีการ
เปลี่ยนแปลงวัตถุประสงคในการเก็บรวบรวม ใช หรือเปดเผย สํานักงานจะแจงใหเจาของขอมูลสวนบุคคล
ทราบกอนที่จะดําเนินการกับขอมูลสวนบุคคลนั้น เวนแตเปนกรณีที่กฎหมายกําหนดหรืออนุญาตใหดําเนินการได
- 13. ๑๐
๕. ระยะเวลาในการเก็บรักษาขอมูลสวนบุคคล
สํานักงานจะเก็บรักษาขอมูลสวนบุคคลตราบเทาที่จําเปนตอการประมวลผล และเมื่อพนระยะเวลา
ดังกลาวแลว สํานักงานจะดําเนินการทําลายขอมูลสวนบุคคล
๖. สิทธิของเจาของขอมูลสวนบุคคล
ความยินยอมที่เจาของขอมูลสวนบุคคลใหไวกับสํานักงานในการเก็บรวบรวม ใช และเปดเผยขอมูล
สวนบุคคลยังคงใชไดจนกวาเจาของขอมูลสวนบุคคลจะเพิกถอนความยินยอมเปนลายลักษณอักษร
โดยเจาของขอมูลสวนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใชหรือเปดเผยขอมูลสวนบุคคล
เพื่อวัตถุประสงคในการดําเนินกิจกรรมใด ๆ หรือทุกกิจกรรมของสํานักงาน โดยสงคําขอของเจาของขอมูล
สวนบุคคลแจงใหสํานักงานทราบเปนลายลักษณอักษรหรือผานทางจดหมายอิเล็กทรอนิกส
dpo@nstda.or.th
นอกจากสิทธิดังกลาวขางตน เจาของขอมูลสวนบุคคลยังมีสิทธิในการดําเนินการ ดังตอไปนี้
(๑) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent)
เจาของขอมูลสวนบุคคลมีสิทธิเพิกถอนความยินยอมในการประมวลผลขอมูลสวนบุคคลที่เจาของ
ขอมูลสวนบุคคลไดใหความยินยอมไวแกสํานักงานไดตลอดระยะเวลาที่ขอมูลสวนบุคคลของตนอยูกับ
สํานักงาน
(๒) สิทธิในการเขาถึงขอมูลสวนบุคคล (right of access)
เจาของขอมูลสวนบุคคลมีสิทธิเขาถึงขอมูลสวนบุคคลของตนและขอใหสํานักงานทําสําเนาขอมูล
สวนบุคคลดังกลาวใหแกเจาของขอมูลสวนบุคคล รวมถึงขอใหสํานักงานเปดเผยการไดมาซึ่งขอมูลสวนบุคคล
ที่เจาของขอมูลสวนบุคคลไมไดใหความยินยอมตอสํานักงานได
(๓) สิทธิในการแกไขขอมูลสวนบุคคลใหถูกตอง (right to rectification)
เจาของขอมูลสวนบุคคลมีสิทธิขอใหสํานักงานแกไขขอมูลสวนบุคคลที่ไมถูกตอง หรือเพิ่มเติมขอมูล
สวนบุคคลที่ไมสมบูรณ
(๔) สิทธิในการลบขอมูลสวนบุคคล (right to erasure)
เจาของขอมูลสวนบุคคลมีสิทธิในการขอใหสํานักงานทําการลบขอมูลสวนบุคคลของตนดวยเหตุ
บางประการได
(๕) สิทธิในการระงับการใชขอมูลสวนบุคคล (right to restriction of processing)
เจาของขอมูลสวนบุคคลมีสิทธิระงับการใชขอมูลสวนบุคคลของตนดวยเหตุบางประการได
(๖) สิทธิในการใหโอนยายขอมูลสวนบุคคล (right to data portability)
- 14. ๑๑
เจาของขอมูลสวนบุคคลมีสิทธิใหสํานักงานโอนยายขอมูลสวนบุคคลซึ่งเจาของขอมูลสวนบุคคล
ไดใหไวกับสํานักงานไปยังผูควบคุมขอมูลสวนบุคคลรายอื่น หรือตัวเจาของขอมูลสวนบุคคลเองดวยเหตุ
บางประการได
(๗) สิทธิในการคัดคานการประมวลผลขอมูลสวนบุคคล (right to object)
เจาของขอมูลสวนบุคคลมีสิทธิคัดคานการประมวลผลขอมูลสวนบุคคลของตนดวยเหตุบางประการได
สํานักงานเคารพการตัดสินใจการเพิกถอนความยินยอมของเจาของขอมูลสวนบุคคล แตอยางไรก็ตาม
สํานักงานขอแจงใหเจาของขอมูลสวนบุคคลทราบวาอาจมีขอจํากัดสิทธิในการเพิกถอนความยินยอมโดย
กฎหมายหรือสัญญาที่ใหประโยชนแกเจาของขอมูลสวนบุคคล ทั้งนี้ การเพิกถอนความยินยอมยอมไมสงผล
กระทบตอการเก็บรวบรวม ใช หรือเปดเผยขอมูลสวนบุคคลที่เจาของขอมูลสวนบุคคลไดใหความยินยอมไวแลว
๗. การรักษาความมั่นคงปลอดภัยสําหรับขอมูลสวนบุคคล
สํานักงานจัดใหมีมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกัน การเขาถึง การใช
การเปลี่ยนแปลง การแกไข หรือการเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ นอกจากนี้
สํานักงานไดกําหนดแนวปฏิบัติภายในสํานักงานเพื่อกําหนดสิทธิในการเขาถึงหรือการใชขอมูลสวนบุคคลของ
เจาของขอมูลสวนบุคคล เพื่อรักษาความลับและความปลอดภัยของขอมูล และสํานักงานจะจัดใหมีการ
ทบทวนมาตรการดังกลาวเปนระยะเพื่อความเหมาะสม
๘. การใชคุกกี้ (Cookies)
คุกกี้ (Cookies) หมายถึง ขอมูลขนาดเล็กที่เว็บไซตสงไปเก็บไวกับเจาของขอมูลสวนบุคคลที่เขาชม
เว็บไซต เพื่อชวยใหเว็บไซตจดจําขอมูลเขาชมของเจาของขอมูลสวนบุคคล เชน ภาษาที่เลือกใชเปนอันดับแรก
ผูใชของระบบ หรือการตั้งคาอื่น ๆ เมื่อเจาของขอมูลสวนบุคคลเขาชมเว็บไซตในครั้งถัดไป เว็บไซตจะจดจําได
วาเปนผูใชที่เคยเขาใชบริการแลว และตั้งคาตามที่เจาของขอมูลสวนบุคคลกําหนด จนกวาเจาของขอมูล
สวนบุคคลจะลบคุกกี้ (Cookies) หรือไมอนุญาตใหคุกกี้ (Cookies) นั้นทํางานอีกตอไป ซึ่งเจาของขอมูล
สวนบุคคลสามารถที่จะยอมรับหรือไมรับคุกกี้ (Cookies) ก็ได ในกรณีที่เลือกที่จะไมรับหรือลบคุกกี้ (Cookies)
เว็บไซตอาจจะไมสามารถใหบริการหรือไมสามารถแสดงผลไดอยางถูกตอง
๙. การปรับปรุงนโยบายการคุมครองขอมูลสวนบุคคล
สํานักงานอาจทําการปรับปรุงหรือแกไขนโยบายการคุมครองขอมูลสวนบุคคล โดยมิตองแจง
ใหเจาของขอมูลสวนบุคคลทราบลวงหนา ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการใหบริการ ดังนั้น
สํานักงานจึงขอแนะนําใหเจาของขอมูลสวนบุคคลอานนโยบายการคุมครองขอมูลสวนบุคคลทุกครั้งที่เยี่ยมชม
หรือใชบริการจากสํานักงานหรือเว็บไซตของสํานักงาน
- 16. ๑๓
๓. แนวทางดําเนินการเกี่ยวกับฐานในการประมวลผลขอมูลสวนบุคคล
การประมวลผลขอมูลจะเกิดขึ้นอยางถูกตองไดตอเมื่อมีฐาน (basis) หรือเหตุผลในการประมวลผล
ขอมูลนั้น ๆ ไมวาจะเปนการเก็บรวบรวม การใช การเปดเผย โดยในการประมวลผลขอมูลแตละครั้ง
หนวยงานจะตองสามารถระบุฐานที่ใชในการประมวลผลในแตละกิจกรรมใหไดฐานใดฐานหนึ่ง และจะตอง
แจงฐานในการประมวลผลใหเจาของขอมูลสวนบุคคลทราบ และดําเนินการกับขอมูลนั้น ๆ ตามขอจํากัดที่
แตกตางกันของแตละฐาน รวมถึงเก็บบันทึกไวดวยวาใชฐานใดการประมวลผลขอมูลแตละชุดดวย
ตามกฎหมายคุมครองขอมูลสวนบุคคล6
๗ กําหนดฐานไวทั้งหมดจํานวน ๗ ฐาน โดยกําหนดใหฐาน
ความยินยอมเปนฐานหลักในการประมวลผลขอมูล ซึ่งความยินยอม (consent) เปนฐานที่มีความสําคัญมาก
เนื่องจากเปนสิ่งที่ทําใหเจาของขอมูลสามารถ “เลือก” จัดการขอมูลของตนเองไดอยางเต็มที่ที่สุด
อยางไรก็ตามกฎหมายคุมครองขอมูลสวนบุคคลยังกําหนดฐานอื่น ๆ อีก ๖ ฐาน ไวสําหรับการประมวลผล
ขอมูลสวนบุคคล ซึ่งในแนวทางการดําเนินการฉบับนี้ จะไดกลาวถึงฐานทั้ง ๗ ฐาน ดังนี้
๓.๑ ฐานสัญญา (CONTRACT)
กรณีการประมวลผลขอมูลจําเปนตอการดําเนินการตามสัญญาที่ตกลงกันไวระหวางผูควบคุมขอมูล
และเจาของขอมูลสวนบุคคล เชน การประมวลผลขอมูลธุรกรรมเพื่อคํานวณดอกเบี้ยธนาคาร หรือ
เมื่อจําเปนตองประมวลผลขอมูลสวนบุคคลเพื่อปฏิบัติตามคําขอของเจาของขอมูลกอนที่จะเขาสูการทําสัญญา
หากใชสัญญาดังกลาวเปนฐานในการประมวลผลแลว ไมตองขอความยินยอมเพิ่มเติม เชน การขอขอมูล
สวนบุคคลของพนักงานเทาที่จําเปนเพื่อใชในการทําสัญญาจาง การตรวจสอบขอมูลสวนบุคคลกอนการเปด
๗
มาตรา ๒๔ หามมิใหผูควบคุมขอมูลสวนบุคคลทาการเก็บรวบรวมขอมูลสวนบุคคลโดยไมไดรับความยินยอมจากเจาของ
ขอมูลสวนบุคคล เวนแต
(๑) เพื่อใหบรรลุวัตถุประสงคที่เกี่ยวกับการจัดทําเอกสารประวัติศาสตรหรือจดหมายเหตุเพื่อประโยชนสาธารณะ
หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งไดจัดใหมีมาตรการปกปองที่เหมาะสมเพื่อคุมครองสิทธิและเสรีภาพของเจาของขอมูล
สวนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด
(๒) เพื่อปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล
(๓) เปนการจําเปนเพื่อการปฏิบัติตามสัญญาซึ่งเจาของขอมูลสวนบุคคลเปนคูสัญญาหรือเพื่อใชในการดําเนินการ
ตามคําขอของเจาของขอมูลสวนบุคคลกอนเขาทําสัญญานั้น
(๔) เปนการจําเปนเพื่อการปฏิบัติหนาที่ในการดําเนินภารกิจเพื่อประโยชนสาธารณะของผูควบคุมขอมูลสวนบุคคล
หรือปฏิบัติหนาที่ในการใชอํานาจรัฐที่ไดมอบใหแกผูควบคุมขอมูลสวนบุคคล
(๕) เปนการจําเปนเพื่อประโยชนโดยชอบดวยกฎหมายของผูควบคุมขอมูลสวนบุคคลหรือของบุคคลหรือนิติบุคคล
อื่นที่ไมใชผูควบคุมขอมูลสวนบุคคล เวนแตประโยชนดังกลาวมีความสําคัญนอยกวาสิทธิขั้นพื้นฐานในขอมูล
สวนบุคคลของเจาของขอมูลสวนบุคคล
(๖) เปนการปฏิบัติตามกฎหมายของผูควบคุมขอมูลสวนบุคคล
- 17. ๑๔
บัญชีหรือยื่นกูเงินจากธนาคาร การขอขอมูลของคูสัญญาเพื่อนํามาใชเปนขอมูลในการทําสัญญา7
๘ การซื้อของ
ออนไลนที่ผูขายจะตองทราบชื่อที่อยูซึ่งเปนขอมูลสวนบุคคลของผูซื้อเพื่อความจําเปนในการสงสินคาใหแก
ผูซื้อ8
๙ เปนตน อยางไรก็ตามฐานสัญญานี้ใชไดกับขอมูลสวนบุคคลทั่วไปเทานั้น ไมสามารถใชฐานสัญญาใน
การประมลผลขอมูลออนไหว (sensitive data) ได
ขอควรระวังเกี่ยวกับการอางฐานสัญญาในที่นี้จํากัดอยูแคเพียง “การปฏิบัติตามสัญญา” ตามปกติ
ของการดําเนินงานใหเปนไปตามสัญญาเทานั้น ไมรวมถึงกรณีที่เกิดปญหาหรือขอพิพาทที่เกี่ยวของกับสัญญา
นั้น9
๑๐
๓.๒ ฐานความยินยอม (CONSENT)
หนวยงานสามารถใชฐานความยินยอมในการประมวลผลขอมูลไดในกรณีที่เจาของขอมูลสวนบุคคล
สมัครใจและใหความยินยอมอยางชัดแจงที่จะทําการประมวลผลขอมูลสวนบุคคลไดตามวัตถุประสงคที่แจง
แกเจาของขอมูลสวนบุคคล อยางไรก็ตาม ฐานความยินยอมเหมาะสมตอเมื่อตองการขอความยินยอมเพื่อ
ประมวลผลขอมูลสวนบุคคลในเรื่องที่ไมจําเปนในการปฏิบัติตามสัญญาและไมสามารถอางฐานอื่นใดในการ
ประมวลผลขอมูลทางกฎหมายได10
๑๑ (กลาวคือ การขอความยินยอมเหมาะสําหรับกรณีที่การประมวลผลนั้น
ไมสามารถอางฐานอื่นได) สําหรับเงื่อนไขและรายละเอียดการขอความยินยอมภายใตฐานความยินยอม โปรดดู
ขอ ๔ แนวปฏิบัติกรณีที่หนวยงานประมวลผลขอมูลสวนบุคคลโดยอาศัยฐานความยินยอมในการเก็บรวบรวม
ใช หรือเปดเผยขอมูลสวนบุคคล
ทั้งนี้ ความยินยอมจะตองไมเปนเงื่อนไขในการรับบริการ หรือผูกติดอยูกับความจําเปนในการปฏิบัติ
ตามสัญญา การใชความยินยอมเปนฐานในการประมวลผลจึงมักเกิดขึ้นในกรณีที่เปนบริการเสริมจากบริการ
หลักซึ่งไมครอบคลุมตามสัญญา การใชฐานความยินยอมจึงตองกระทําโดยความระมัดระวัง อีกทั้งควร
ตระหนักวาหนวยงานจะมีภาระการพิสูจนวาเจาของขอมูลนั้นไดยินยอมโดยสมัครใจจริง ๆ และไดใชขอมูล
สวนบุคคลตามวัตถุประสงคที่แจงไวเทานั้น การใหความยินยอมจึงไมใชใบอนุญาตที่ใหหนวยงานทําอะไรกับ
ขอมูลนั้นได11
๑๒
๘
https://blog.focal-point.com/9-examples-of-lawful-basis-for-processing-under-the-gdpr
๙
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/lawful-basis-for-processing/contract/
๑๐
Thailand Data Protection Guidelines 2.0 หนา ๕๔
๑๑
Guideline on Personal Data Protection for Thai banks หนา ๒๕
๑๒
Thailand Data Protection Guidelines 2.0 หนา ๕๔
- 18. ๑๕
๓.๓ ฐานประโยชนสําคัญตอชีวิต (ระงับอันตรายตอชีวิต รางกาย สุขภาพ) (VITAL INTEREST)
ฐานประโยชนสําคัญตอชีวิตเปนฐานที่ใชในกรณีเพื่อรักษาประโยชนอันจําเปนตอชีวิต รางกาย หรือ
สุขภาพของบุคคล12
๑๓ กรณีที่การประมวลผลขอมูลมีความจําเปนตอการปกปองประโยชนสําคัญของเจาของ
ขอมูลหรือบุคคลอื่น เชน ปองกันอันตรายรายแรงอันอาจเกิดตอสุขภาพและชีวิตดวยการประมวลผลขอมูล
สุขภาพหรือขอมูลออนไหว (sensitive data) ผูประมวลผลจะสามารถใชฐานนี้ในการประมวลผลไดเฉพาะ
ในกรณีที่เจาของขอมูลอยูในสภาวะที่ไมสามารถใหความยินยอมได และไมมีวิธีอื่นที่สามารถปกปองชีวิตบุคคล
นั้นได13
๑๔ เชน กรณีที่เจาของขอมูลสวนบุคคลนั้นประสบอุบัติเหตุรายแรงและอาจมีอันตรายตอชีวิต และ
มีความจําเปนจะตองเก็บรวบรวมขอมูลสวนบุคคลที่มีความออนไหวของบุคคลดังกลาว โดยที่เจาของขอมูลไม
มีสติที่จะใหความยินยอมได14
๑๕ แตหากเปนการรักษาที่มีการวางแผนลวงหนาจะไมสามารถอางฐานนี้เพื่อเก็บ
รวบรวม ใช หรือเปดเผยขอมูลสวนบุคคลของผูนั้นได
“การปองกันหรือระงับอันตรายตอชีวิต รางกาย หรือสุขภาพของบุคคล” ไมไดจํากัดเฉพาะชีวิต
รางกาย หรือสุขภาพของบุคคลเจาของขอมูลเทานั้น แตยังหมายความรวมถึงการรักษาประโยชนสาธารณะ
ของบุคคลอื่นอีกดวย เชน การเก็บรวบขอมูลสวนบุคคลที่มีความออนไหวเพื่อประโยชนในทางมนุษยธรรม เชน
การเฝาระวังโรคระบาดและการแพรกระจายของโรคระบาด หรือในกรณีภัยพิบัติที่เกิดขึ้นโดยธรรมชาติหรือ
เปนภัยพิบัติที่มนุษยไดกอขึ้น15
๑๖
๓.๔ ฐานปฏิบัติหนาที่ตามกฎหมาย (LEGAL OBLIGATION)
กรณีการประมวลผลขอมูลจําเปนตอการปฏิบัติหนาที่ที่ผูควบคุมขอมูลนั้นมีตามที่กฎหมายกําหนด
ผูควบคุมขอมูลจะตองระบุไดอยางชัดเจนวากําลังปฏิบัติหนาที่ตามบทบัญญัติใดของกฎหมาย หรือทําตาม
คําสั่งของหนวยงานใดของรัฐที่มีอํานาจ16
๑๗ และกรณีที่เปนการประมวลผลตามฐานปฏิบัติตามกฎหมายนี้
เจาของขอมูลสวนบุคคลจะไมมีสิทธิในการลบ โอนยายขอมูล หรือคัดคานการประมวลผล17
๑๘
ตัวอยาง
๑๓
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๖(๑)
๑๔
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๔(๒)
๑๕
Vital interests, INFORMATION COMMISSIONER’S OFFICE (2019), https://ico.org.uk/for-organisations/guide-
to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/vital-
interests/ (last visited Sep 25, 2019).
๑๖
GDPR, Article 46 para 3. อางใน TDPG 2.0 หนา ๔๖
๑๗
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ.๒๕๖๒ มาตรา ๒๔(๖)
๑๘
TDPG2.0 หนา ๗๖
- 19. ๑๖
๑. นายจางเปดเผยขอมูลเงินเดือนของลูกจางตอกรมสรรพากรเพื่อแจกแจงรายละเอียดในการคํานวณ
รายไดรายจายของกิจการตามมาตรา ๖๕ ประมวลรัษฎากร
๒. สถาบันการเงินแจงผลการตรวจสอบความถูกตองของรายการทรัพยสินและหนี้สินใหกับ
คณะกรรมการปองกันและปราบปรามการทุจริตแหงชาติตามมาตรา ๑๑๒ ของพระราชบัญญัติประกอบ
รัฐธรรมนูญวาดวยการปองกันและปราบปรามการทุจริต
๓. การเปดเผยขอมูลสวนบุคคลของพนักงานตามคําสั่งศาล
๔. บริษัทผูใหบริการบัตรโดยสารสาธารณะขอสําเนาประชาชนเพื่อปฏิบัติตามกฎเกณฑเรื่องการ
ปองกันและปราบปรามการฟอกเงิน โดยเก็บไวเฉพาะขอมูลที่เกี่ยวของเทานั้น (ตัดขอมูลที่ไมเกี่ยวของ เชน
กรุปเลือด ศาสนา ออกไป)
๕. ผูใหบริการเครือขายโทรศัพทเคลื่อนที่เก็บขอมูลจราจรตามที่กาหนดในกฎหมายเกี่ยวกับการ
กระทําความผิดเกี่ยวกับคอมพิวเตอร
๓.๕ ฐานภารกิจของรัฐ (PUBLIC TASK)
กรณีที่การประมวลผลขอมูลจําเปนตอการดําเนินงานตามภารกิจของรัฐเพื่อประโยชนสาธารณะ
ที่กําหนดไวตามกฎหมาย ผูที่จะประมวลผลขอมูลตามฐานนี้ไดสวนใหญเปนเจาหนาที่หรือองคกรของรัฐ เชน
สํานักงานศาลยุติธรรม สํานักงานเลขาธิการสภาผูแทนราษฎรและวุฒิสภา เจาหนาที่ของกระทรวงตาง ๆ
ที่ปฏิบัติภารกิจตามกฎหมาย รวมถึงหนวยงานเอกชนที่ปฏิบัติหนาที่ในการใชอํานาจที่รัฐไดมอบหมายใหเพื่อ
ผลประโยชนสาธารณะตามกฎหมาย เชน การใหบริการสอบใบอนุญาตขับขี่รถยนต โดยอํานาจหนาที่อันเปน
ที่มาของภารกิจจะตองมีความชัดเจนโดยสามารถอางอิงถึงกฎหมายที่ใหอานาจไดอยางเฉพาะเจาะจง18
๑๙
การประมวลผลบนฐานภารกิจของรัฐนี้ไมไดใหอํานาจโดยไรเงื่อนไข แตกลับมีหลักการสําคัญ คือ
หลักความไดสัดสวนและมีหนาที่ของผูควบคุมขอมูลที่ตองปฏิบัติตามอยูเชนเดียวกับฐานอื่น ๆ โดยเฉพาะ
อยางยิ่งในเรื่องที่เกี่ยวของกับการรักษาความปลอดภัยของขอมูล ทั้งนี้ หากเปนการประมวลผลตามฐานนี้
เจาของขอมูลสวนบุคคลจะไมมีสิทธิในการลบ และโอนยายขอมูล แตมีสิทธิในคัดคานการประมวลผล
ตัวอยาง
(๑) กรมสรรพากรคิดคํานวณขอมูลเงินเดือนของลูกจางเพื่อตรวจสอบการรายการรายไดรายจาย
ที่กิจการนั้น ๆ ยื่น
(๒) คณะกรรมการปองกันและปราบปรามการทุจริตแหงชาติเก็บรวมรวมขอมูลเกี่ยวกับการตรวจสอบ
ความถูกตองของรายการทรัพยสินและหนี้สินจากสถาบันการเงิน
๑๙
พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๒๔ (๔)