Presented at the Personal Data Protection Commission, Bangkok, Thailand on September 15, 2023

1. 1
1
กรณีศึกษาเกี่ยวกับภาพรวม
พระราชบัญญัติและกฎหมายลาดับรอง
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
15 กันยายน 2566

2. 2
2
Disclaimer:
1. เป็นความเห็นทางวิชาการส่วนบุคคล ไม่ผูกพันการทา
หน้าที่ในบทบาทใดในปัจจุบันหรืออนาคต
2. การเปิดเผยข้อมูลการตอบข้อหารือของ
คณะอนุกรรมการเฉพาะกิจฯ ใน กคส. ได้ปกปิดข้อมูลที่
ระบุตัวเอกชนที่เกี่ยวข้องแล้ว (ยกเว้นกรณีหน่วยงานของ
รัฐที่เปิดเผยได้) เพื่อประโยชน์ในการเรียนรู้เท่านั้น ไม่ได้มี
เจตนาเปิดเผยความลับ เชื่อมโยง ใส่ความ กล่าวหา
กล่าวโทษผู้ใด หรือทาให้ผู้นั้นเสียหาย

3. 3
3
1. Privacy vs. Security

4. 4
4
Privacy vs. Security
http://en.wikipedia.org/wiki/A._S._Bradford_House

5. 5
5
▪Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

6. 6
6
Confidentiality
•การรักษาความลับของข้อมูล
Integrity
•การรักษาความครบถ้วนและ
ความถูกต้องของข้อมูล
•ปราศจากการเปลี่ยนแปลง
แก้ไข ทาให้สูญหาย ทาให้
เสียหาย หรือถูกทาลายโดย
มิชอบ
Availability
•การรักษาสภาพพร้อมใช้งาน
หลักการสาคัญของ Information Security

7. 7
7
2. “ข้อมูลส่วนบุคคล”

8. 8
8
ข้อมูลส่วนบุคคล
Reference: PDPA ม.6

9. 9
9
3. “Controller” & “Processor”
vs. “Controller Officer” &
“Processor Officer”

10. 10
10
Controller & Processor
Reference: PDPA ม.6

11. 11
11
3. ข้อยกเว้นการบังคับใช้

12. 12
12
ข้อยกเว้นการบังคับใช้
Reference: PDPA ม.4

13. 13
13
ข้อยกเว้นการบังคับใช้
Reference: PDPA ม.4

14. 14
14
ข้อยกเว้นการบังคับใช้
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

15. 15
15
ข้อยกเว้นการบังคับใช้
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

16. 16
16
ข้อยกเว้นการบังคับใช้
Reference: พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา PDPA บางส่วนมาใช้บังคับ พ.ศ. 2566

17. 17
17
4. การขัดกันของกฎหมาย

18. 18
18
การขัดกันของกฎหมาย
Reference: PDPA ม.3

19. 19
19
การขัดกันของกฎหมาย
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

20. 20
20
การขัดกันของกฎหมาย
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

21. 21
21
5. Lawful Basis

22. 22
22
Lawful Basis
Reference: PDPA ม.24

23. 23
23
Lawful Basis
Reference: PDPA ม.26

24. 24
24
Lawful Basis
Reference: PDPA ม.26

25. 25
25
Lawful Basis
Reference: PDPA ม.26

26. 26
26
Lawful Basis
Reference: หนังสือตอบข้อ
หารือของคณะอนุกรรมการ
เฉพาะกิจตอบข้อหารือและให้
คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้
PDPA ในคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล

27. 27
27
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

28. 28
28
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

29. 29
29
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

30. 30
30
Lawful Basis & การขัดกันของกฎหมาย
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

31. 31
31
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

32. 32
32
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

33. 33
33
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

34. 34
34
Lawful Basis
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

35. 35
35
6. Consent as the Last Resort

36. 36
36
Consent as the Last Resort
Reference: แนวทางการดาเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล พ.ศ. 2565

37. 37
37
Compulsory Consent as Exception in PDPA
Reference: PDPA ม.19

38. 38
38
7. Privacy Notice vs.
Privacy Policy

39. 39
39
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

40. 40
40
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

41. 41
41
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

42. 42
42
Privacy Notice vs. Privacy Policy
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

43. 43
43
8. การ “ผลักภาระ” การขอ
Consent และ Privacy Notice

44. 44
44
การ “ผลักภาระ” การขอ Consent และ Privacy Notice
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

45. 45
45
การ “ผลักภาระ” การขอ Consent และ Privacy Notice
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

46. 46
46
9. ROPA Exceptions

47. 47
47
ROPA Exceptions
Reference: ประกาศ กคส. เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

48. 48
48
ROPA Exceptions
Reference: ประกาศ กคส. เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

49. 49
49
ROPA Exceptions
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

50. 50
50
ROPA Exceptions
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

51. 51
51
ROPA Exceptions
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

52. 52
52
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศคณะกรรมการฯ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการ
ขนาดเล็ก พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการของ
กิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเพื่อพ้นกาหนด 180 วันนับแต่วัน
ประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ
คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ

53. 53
53
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ระเบียบคณะกรรมการฯ ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการ
พิจารณาคาร้องเรียน พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การพ้นจาก
ตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ

54. 54
54
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการจัดทาคาสั่งของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 21 มิ.ย. 2566 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ
ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 18 ก.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 17 ส.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 150 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 14 ก.ย. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ

55. 55
55
10. PDPA as a
Principle-Based Regulation

56. 56
56
ความเข้าใจผิดเกี่ยวกับ PDPA
กฎหมาย PDPA ไม่ได้เขียนตรง ๆ
ว่าอะไรทาได้ อะไรทาไม่ได้ แปลว่า
ทาไม่ได้ เดี๋ยวผิดกฎหมาย
“ทาไมไม่พูดชัด ๆ ว่าอะไรทาได้
อะไรทาไม่ได้”

57. 57
57
PDPA as a Principle-Based Regulation
PDPA เป็น Principle-Based
Regulation กาหนดหลักการไว้เพราะ
ไม่สามารถเขียนครอบคลุมได้ทุกอย่าง

58. 58
58
ความเข้าใจผิดเกี่ยวกับ PDPA
การปฏิบัติให้สอดคล้องกับ PDPA
(compliance) เช่น มาตรการ security
ของข้อมูล เป็นการทาตาม
prescriptive checklist
“ทาไมไม่พูดชัด ๆ ว่าให้ทาอะไรอย่างไรบ้างจึงจะ
comply แล้วจะตรวจสอบ (audit) กันยังไง”

59. 59
59
PDPA as a Principle-Based Regulation
การบังคับใช้ PDPA หลายเรื่อง
เช่น มาตรการ security เป็นเรื่อง
ที่ควรใช้ Risk-Based Approach
ตามระดับความเสี่ยง

60. 60
60
“Reason is
the Soul of the Law”
-- Thomas Hobbes