Presented at The Thai Medical Informatics Association Annual Conference and The National Conference on Medical Informatics (TMI-NCMedInfo) 2021, Bangkok, Thailand on November 26, 2021

1. 1
Updates on Privacy & Security Laws
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
26 พฤศจิกายน 2564

2. 2
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน
หรืออนาคต

3. 3
กฎหมาย Health Information Privacy
ก่อนยุค PDPA (Existing Laws)

4. 4
Relevant Ethical Principles
Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

5. 5
ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

6. 6
ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2549
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

7. 7
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ปววย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

8. 8
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

9. 9
พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
และที่แก้ไขเพิ่มเติม

10. 10
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ
สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ
เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

11. 11
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

12. 12
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

13. 13
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

14. 14
กฎหมายเฉพาะ
• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

15. 15
กฎหมายเฉพาะ• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

16. 16
กฎหมายเฉพาะ
• พรบ.โรคติดต่อ พ.ศ. 2558

17. 17
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

18. 18
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

19. 19
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต (ฉบับที่ 2) พ.ศ. 2562

20. 20
กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

21. 21
กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

22. 22
กฎหมายเฉพาะ
• พรบ.ประกันสังคม พ.ศ. 2533

23. 23
กฎหมายเฉพาะ
• พรฎ.เงินสวัสดิการเกี่ยวกับการรักษาพยาบาล พ.ศ. 2553

24. 24
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

25. 25
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

26. 26
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

27. 27
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

28. 28
ระเบียบกระทรวงสาธารณสุข

29. 29

30. 30
GDPR

31. 31
Overview ของ พ.ร.บ.คุ้มครองข้อมูลส่วน
บุคคล พ.ศ. 2562 (PDPA)

32. 32
TDPG 1.0
TDPG 2.0
TDPG 3.0 (+ 3.1 + 3.2)
https://www.law.chula.ac.th/wp-content/
uploads/2020/12/TDPG3.0-C5-20201208.pdf
คณะนิติศาสตร์
จุฬาลงกรณ์มหาวิทยาลัย

33. 33
Timeline พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจดิจิทัลของ
ประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป ณ โรงแรมเอทัส ลุมพินี
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group ร่วมกับ
หน่วยงานภาครัฐ ภาคเอกชน ภาควิชาการ และภาคประชาสังคมที่เกี่ยวข้อง
ณ กระทรวง DE
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย ณ กระทรวง DE
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• 5-20 ก.ย. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์ (ประชุม 11 ก.ย. 2651)
• 28 ธ.ค. 2561 สนช. รับหลักการในวาระที่ 1
• 27-28 ก.พ. 2562 สนช. เห็นชอบในวาระที่ 2-3
• 27 พ.ค. 2562 ประกาศในราชกิจจานุเบกษา
• 27 พ.ค. 2563 บทบัญญัติเรื่องสิทธิและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับ
(ยกเว้นการบังคับใช้จนถึง 1 มิ.ย. 2565)

34. 34
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

35. 35
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
• ส่วนที่ 1 บททั่วไป
• ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
• ส่วนที่ 3 การใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• ส่วนที่ 1 โทษอาญา
• ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

36. 36
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ตั้งแต่วันถัดจากวันประกาศใน
ราชกิจจานุเบกษา
• หมวด 1 คณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• บทเฉพาะกาล (ยกเว้นมาตรา 95, 96)
เมื่อพ้นกาหนดหนึ่งปีนับแต่วัน
ประกาศในราชกิจจานุเบกษา
• หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• บทเฉพาะกาล เฉพาะมาตรา 95 (การ
เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่
เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้
บังคับ), มาตรา 96 (ระยะเวลาในการ
ดาเนินการออกระเบียบ และประกาศ
ตาม พ.ร.บ. นี้)
ตั้งแต่ 27 พ.ค. 2563 แต่ยกเว้น
การบังคับใช้จนถึง 1 มิ.ย. 2565
ตั้งแต่ 28 พ.ค. 2562

37. 37
ประธานกรรมการและกรรมการผู้ทรงคุณวุฒิ
ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

38. 38
กรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล ถอนตัว 1 ท่าน
https://www.thairath.co.th/news/politic/2088106

39. 39
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Process) = เก็บรวบรวม + ใช้ + เปิดเผย
(+ จัดเก็บ + วิเคราะห์ + ทาลาย + แสดงผล ฯลฯ)

40. 40

41. 41

42. 42

43. 43

44. 44

45. 45

46. 46

47. 47

48. 48
Lawful Basis in PDPA

49. 49

50. 50

51. 51

52. 52

53. 53

54. 54

55. 55

56. 56

57. 57

58. 58

59. 59

60. 60

61. 61

62. 62

63. 63
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สิทธิขอเข้าถึงและขอรับสาเนาข้อมูล
สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
สิทธิร้องขอให้ดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

64. 64

65. 65

66. 66

67. 67
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

68. 68
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

69. 69
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

70. 70
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

71. 71
รายงานเหตุผลที่ไม่อาจดาเนินการออกระเบียบและประกาศ
ตาม PDPA (มติ ครม. 5 พ.ค. 2564)

72. 72
พรฎ.กาหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล
ไม่อยู่ภายใต้บังคับแห่ง PDPA (ฉบับที่ 2) พ.ศ. 2564

73. 73
ประกาศ ดศ. เรื่อง มาตรฐานการรักษา
ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

74. 74
ประกาศ ดศ. เรื่อง มาตรฐานการรักษา
ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

75. 75
ระเบียบว่าด้วยหลักเกณฑ์และวิธีการสรรหาประธานกรรมการและกรรมการ
ผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2564

76. 76
สรุปการบ้าน พ.ร.บ. PDPA
•Identify ข้อมูลส่วนบุคคลต่างๆ ที่คณะฯ เก็บรวบรวม ใช้ หรือ
เปิดเผย ทั้งข้อมูลทั่วไป (มาตรา 24) และข้อมูล Sensitive Data
(มาตรา 26) เช่น
• ข้อมูลผู้ป่วย
• ข้อมูลบุคลากร
• ข้อมูล Research Subjects (ถ้ามี)
• ข้อมูลนักศึกษา/Trainees
• ผู้เข้าร่วมการประชุมวิชาการ/ฝึกอบรมระยะสั้น
• วิทยากร/ที่ปรึกษาภายนอก
• Website Visitors

77. 77
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้ระบุ
• แหล่งที่มา
• วัตถุประสงค์การใช้งานทั้งหมด (Primary Uses & Secondary Uses)
• Consent และ/หรืออานาจหน้าที่ตามกฎหมายในการใช้งานข้อมูลนั้น
• กระบวนการทางาน เอกสาร และระบบสารสนเทศ ที่เก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลนั้นๆ
• Data Processor ที่ใช้บริการ/เกี่ยวข้องกับข้อมูลนั้นๆ และเงื่อนไข/
มาตรฐาน Security & Privacy
• สถานที่เก็บข้อมูล (ใน/นอกประเทศ) และมาตรฐานการคุ้มครองข้อมูล
ส่วนบุคคล

78. 78
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• ยังมีความจาเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเหล่านั้นหรือไม่
• ถ้าจาเป็น ให้พิจารณาว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ม. 24 & ม. 26
(และ/หรือกฎหมายอื่น) ให้อานาจเก็บรวบรวม ใช้ และเปิดเผย โดยไม่
ต้องขอ Consent จากเจ้าของข้อมูลส่วนบุคคลหรือไม่ อ้างอิงบทใด
• หากไม่มี ให้ทบทวน Consent Form และ Consent Process ให้เป็นไป
ตาม พ.ร.บ. PDPA (ม.19)
• จัดทา Privacy Notice (ม. 23)
• Make sure ว่า เป็นไปตามวัตถุประสงค์และเท่าที่จาเป็น (ม.21-22)
• หากเก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล ให้พิจารณา
ว่าสอดคล้องกับ ม. 25 หรือไม่

79. 79
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• กรณีเฉพาะ
• มีข้อมูลใดที่ต้องขอ Consent แต่เป็นข้อมูลของผู้เยาว์ ผู้ไร้ความสามารถ ผู้
เสมือนไร้ความสามารถ ให้ทบทวนกระบวนการและเอกสาร Consent (ม.20)
• ข้อมูลที่ส่งหรือโอนไปยังต่างประเทศ สอดคล้องกับ ม.28
• ข้อมูลที่ได้เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้บังคับ สอดคล้องกับ ม.95
•Set ระบบการดาเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
• กระบวนการและเอกสารการถอน Consent (ม.19)
• สิทธิของเจ้าของข้อมูลส่วนบุคคล (ม.30-36)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกข้อมูลการใช้
และเปิดเผยข้อมูล

80. 80
สรุปการบ้าน พ.ร.บ. PDPA
• Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
• หากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็น
ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ มีเงื่อนไขข้อยกเว้นที่ไม่
ต้องปฏิบัติหรือไม่ (ม.33)
• การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ
เข้าใจผิด (ม.35-36)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการเพื่อให้เจ้าของข้อมูล
ส่วนบุคคลและสานักงานสามารถตรวจสอบได้ (ม. 39)
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม ม.37
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.37 (1)
• การจัดทาข้อตกลง การทาหน้าที่ & Compliance ของผู้ประมวลผลข้อมูลส่วนบุคคล
ตาม ม.40 (Data Processing Agreement: DPA)

81. 81
สรุปการบ้าน พ.ร.บ. PDPA
•Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ม.40
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.40 (2)
• การจัดทาข้อตกลง การทาหน้าที่ และความรับผิดชอบ (Liability &
Indemnification) ระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูล
ส่วนบุคคล (Data Processing Agreement: DPA)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการสามารถ
ตรวจสอบได้ (ม. 40)

82. 82
สรุปการบ้าน พ.ร.บ. PDPA
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
(ม.41) และกากับให้ทาหน้าที่ตาม ม.42
• แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานคณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถ
กระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ
และเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อ
สิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคล
ทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (ม.37(4))
• ทบทวนการดาเนินการให้ Comply ตาม พ.ร.บ. ทั้งฉบับ (รวมทั้ง
Compliance ตาม พ.ร.บ. อื่นๆ)

83. 83

84. 84

85. 85

86. 86

87. 87

88. 88

89. 89
กรอบแนวคิด
สานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, คณะกรรมการผู้เชี่ยวชาญ, คณะกรรมการกากับสานักงานฯ
มหาวิทยาลัยมหิดล (Data Controller โดยอัตโนมัติ)
คณะกรรมการเตรียมความพร้อมในการคุ้มครองข้อมูลส่วนบุคคล
PDPA Core Team
(ผู้แทนส่วนงานระดับบริหารและระดับปฏิบัติการอย่างละ 1 คน)
ส่วนงาน
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) (มหาวิทยาลัยแต่งตั้ง)
บริการดูแล
สุขภาพ
การศึกษา HR วิจัย อื่น ๆ
คณะกรรมการ PDPA ของส่วนงาน (ถ้ามี)
Data Processor

90. 90
คาสั่งแต่งตั้งคณะกรรมการ

91. 91
องค์ประกอบของคณะกรรมการ
• คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ที่ปรึกษา
• รองคณบดี ประธานกรรมการ
• รองคณบดีฝ่ายดูแลสุขภาพ รองประธานกรรมการ
• รองคณบดีฝ่ายการศึกษาระดับปริญญา หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายการศึกษาหลังปริญญา หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายกิจการนักศึกษา หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายบริหารทุนมนุษย์ หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายวิจัย หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายวิชาการและวัฒนธรรม หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายสารสนเทศ หรือผู้แทน กรรมการ

92. 92
องค์ประกอบของคณะกรรมการ
• รองคณบดีฝ่ายสื่อสารองค์กร หรือผู้แทน กรรมการ
• รองคณบดีฝ่ายการคลังและการพัสดุ หรือผู้แทน กรรมการ
• ผู้อานวยการสถาบันการแพทย์จักรีนฤบดินทร์ หรือผู้แทน กรรมการ
• ผู้อานวยการโรงพยาบาลรามาธิบดีจักรีนฤบดินทร์ หรือผู้แทน กรรมการ
• ผู้อานวยการศูนย์การแพทย์สมเด็จพระเทพรัตน์ หรือผู้แทน กรรมการ
• ผู้อานวยการศูนย์การแพทย์สิริกิติ์ หรือผู้แทน กรรมการ
• ผู้อานวยการโรงเรียนพยาบาลรามาธิบดี หรือผู้แทน กรรมการ
• หัวหน้าภาควิชาวิทยาศาสตร์สื่อความหมายและความผิดปกติ กรรมการ
ของการสื่อความหมาย หรือผู้แทน
• หัวหน้าภาควิชาเวชศาสตร์ฉุกเฉิน หรือผู้แทน กรรมการ

93. 93
องค์ประกอบของคณะกรรมการ
• หัวหน้าภาควิชาพยาธิวิทยา หรือผู้แทน กรรมการ
• หัวหน้าภาควิชารังสีวิทยา หรือผู้แทน กรรมการ
• หัวหน้าภาควิชาอายุรศาสตร์ หรือผู้แทน กรรมการ
• ประธานสภาอาจารย์รามาธิบดี หรือผู้แทน กรรมการ
• ประธานองค์กรแพทย์คณะฯ หรือผู้แทน กรรมการ
• ประธานคณะกรรมการเวชระเบียนและสิทธิผู้ป่วย กรรมการ
• ประธานองค์กรบริหารการพยาบาล คณะฯ กรรมการ
• หัวหน้าฝ่ายสารสนเทศ หรือผู้แทน กรรมการ

94. 94
ทีมเลขานุการของคณะกรรมการ
• รองคณบดีฝ่ายปฏิบัติการ กรรมการและเลขานุการ
• หัวหน้างานกฎหมาย หรือผู้แทน กรรมการและผู้ช่วยเลขานุการ
• หัวหน้างานบริหารการศึกษา หรือผู้แทน กรรมการและผู้ช่วยเลขานุการ
• หัวหน้างานบริหารทั่วไปสนับสนุนการวิจัย กรรมการและผู้ช่วยเลขานุการ
หรือผู้แทน
• หัวหน้างานบริหารโรงพยาบาลรามาธิบดี กรรมการและผู้ช่วยเลขานุการ
หรือผู้แทน
• หัวหน้างานเวชระเบียน หรือผู้แทน กรรมการและผู้ช่วยเลขานุการ
• นางวลัยลักษณ์ ผลบุญ (ฝ่ายสารสนเทศ) กรรมการและผู้ช่วยเลขานุการ
• นางสาวไพลิน สมเสนาะ (ฝ่ายบริหารทุนมนุษย์) กรรมการและผู้ช่วยเลขานุการ

95. 95
หน้าที่ความรับผิดชอบ
1. Planning for PDPA Compliance
ศึกษา วิเคราะห์ วางแผน จัดลาดับความสาคัญ และกาหนดแนวทางการ
ดาเนินการเพื่อให้การดาเนินงานของคณะฯ สอดคล้องกับกฎหมายว่าด้วยการ
คุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้อง ตามกาหนดการบังคับใช้
ของกฎหมาย และสอดคล้องกับนโยบาย ข้อบังคับ และประกาศที่เกี่ยวข้องของ
มหาวิทยาลัย

96. 96
หน้าที่ความรับผิดชอบ
2. Policy & Guideline Drafting
ยกร่างนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลของคณะฯ เพื่อ
เสนอคณะกรรมการประจาคณะฯ ให้ความเห็นชอบก่อนออกเป็นประกาศคณะฯ
ต่อไป ตลอดจนพิจารณาเสนอทบทวนนโยบายและแนวปฏิบัติดังกล่าวตามความ
เหมาะสม

97. 97
หน้าที่ความรับผิดชอบ
3. System & Process Implementation
จัดให้คณะฯ มีระบบและกระบวนการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
และการรักษาความมั่นคงปลอดภัยไซเบอร์ที่จาเป็นเพื่อการคุ้มครองข้อมูลส่วน
บุคคล ที่เหมาะสม มีประสิทธิผล ประสิทธิภาพ และสอดคล้องกับกฎหมายว่า
ด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้อง ตลอดจน
นโยบาย ข้อบังคับ และประกาศที่เกี่ยวข้องของมหาวิทยาลัย

98. 98
หน้าที่ความรับผิดชอบ
4. Support, Supervision, Monitoring & Expediting PDPA Compliance
ประสานงาน สนับสนุน ให้คาแนะนา กากับดูแล ติดตาม ตรวจสอบ และเร่งรัดการ
ดาเนินการที่เกี่ยวกับข้อมูลส่วนบุคคลในทุกพันธกิจของคณะฯ ในทุกหน่วยงาน
คณะกรรมการ คณะอนุกรรมการ และคณะทางานต่าง ๆ ที่เกี่ยวข้องภายในคณะฯ
เพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่
เกี่ยวข้อง ทั้งก่อนและหลังจากกฎหมายดังกล่าวมีผลใช้บังคับ

99. 99
หน้าที่ความรับผิดชอบ
5. Cooperation with DPO & Authorities
สนับสนุน อานวยความสะดวก และประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูล
ส่วนบุคคล (Data Protection Officer: DPO) ของมหาวิทยาลัยมหิดล
ตลอดจนหน่วยงานและคณะกรรมการที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วน
บุคคลของมหาวิทยาลัยมหิดลและส่วนงานอื่นที่เกี่ยวข้อง และสานักงาน
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามความจาเป็นและเหมาะสม

100. 100
หน้าที่ความรับผิดชอบ
6. Progress Reporting
รายงานผลการดาเนินการและปัญหาอุปสรรคในการดาเนินการด้านการ
คุ้มครองข้อมูลส่วนบุคคลต่อคณะกรรมการประจาคณะฯ เป็นระยะ และ
รายงานต่อมหาวิทยาลัยมหิดลตามความจาเป็น

101. 101
How Not to Prepare

102. 102
How Not to Prepare

103. 103
Supplemental Slides เรื่อง พ.ร.บ.คุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

104. 104
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง
ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้
โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ
นั้น เว้นแต่
• (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล
รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง
พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า
ด้วยการนั้นหรือไม่ก็ตาม
• (2) ฯลฯ

105. 105
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน
ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ
แห่งกฎหมายว่าด้วยการนั้น เว้นแต่
• (1) ฯลฯ
• (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ
ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ
พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ.
นี้ ในกรณีดังต่อไปนี้
• (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
• (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง
ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ
อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว
ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ
คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี

106. 106
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• พ.ร.บ.นี้ไม่ใช้บังคับแก่
• (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ
ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
• (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง
ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ
ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ
สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น
ประโยชน์สาธารณะเท่านั้น
• (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ...
• (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ
บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา
• (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล
เครดิต

107. 107
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่
ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง
เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น
ใด ให้ตราเป็นพระราชกฤษฎีกา
• ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม
ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา
ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้
เป็นไปตามมาตรฐานด้วย

108. 108
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ขอบเขตการใช้บังคับ (มาตรา 5)
• พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้
ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร
ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทาในหรือนอกราชอาณาจักรก็
ตาม
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอก
ราชอาณาจักร พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดาเนินกิจกรรม
ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็น
กิจกรรม ดังต่อไปนี้
• การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมี
การชาระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
• การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

109. 109
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• บทนิยาม (มาตรา 6)
• “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัว
บุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
โดยเฉพาะ
• “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติ
บุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ส่วนบุคคล
• “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติ
บุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม
คาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง
ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
• “บุคคล” หมายความว่า บุคคลธรรมดา
• ฯลฯ

110. 110
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• องค์ประกอบของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8)
• (1) ประธานกรรมการ ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และ
ประสบการณ์เป็นที่ประจักษ์ ฯลฯ
• (2) ปลัด ดศ. เป็นรองประธานกรรมการ
• (3) กรรมการโดยตาแหน่ง 5 คน ได้แก่ ปลัดสานักนายกรัฐมนตรี เลขาธิการ
คณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรม
คุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด
• (4) กรรมการผู้ทรงคุณวุฒิ 9 คน ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความ
เชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล
ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้าน
สังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ทั้งนี้ ต้อง
เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล
• ให้เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

111. 111
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16)
• (1) จัดทาแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล...เพื่อเสนอต่อ
คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ...
• (2) ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดาเนินกิจกรรมตามแผนแม่บทตาม (1)
รวมทั้งจัดให้มีการประเมินผลการดาเนินงานตามแผนแม่บทดังกล่าว
• (3) กาหนดมาตรการหรือแนวทางการดาเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไป
ตาม พ.ร.บ. นี้
• (4) ออกประกาศหรือระเบียบเพื่อให้การดาเนินการเป็นไปตาม พ.ร.บ. นี้
• (5) ประกาศกาหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
• (6) ประกาศกาหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วน
บุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ
• (7) เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่ใช้บังคับอยู่ในส่วนที่
เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

112. 112
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16)
• (8) เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของ พ.ร.บ. นี้
อย่างน้อยทุกรอบห้าปี
• (9) ให้คาแนะนาและคาปรึกษาเกี่ยวกับการดาเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของ
หน่วยงานของรัฐและภาคเอกชนในการปฏิบัติตาม พ.ร.บ. นี้
• (10) ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ พ.ร.บ. นี้
• (11) ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วน
บุคคลให้แก่ประชาชน
• (12) ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
• (13) ปฏิบัติการอื่นใดตามที่ พ.ร.บ. นี้หรือกฎหมายอื่นกาหนดให้เป็นหน้าที่และอานาจของ
คณะกรรมการ

113. 113
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
• การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
• ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

114. 114
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้
ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ
ถอนความยินยอมนั้น
• การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลได้

115. 115
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การขอความยินยอมจากผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มี
ฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวล
กฎหมายแพ่งและพาณิชย์ (มาตรา 20)
• (1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลาพังได้
ตามมาตรา 22, 23 หรือ 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้
อานาจปกครองที่มีอานาจกระทาการแทนผู้เยาว์ด้วย
• (2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อานาจปกครองที่มีอานาจกระทาการ
แทนผู้เยาว์
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาล
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์
• รวมถึงการถอนความยินยอม การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูล
ส่วนบุคคล การร้องเรียน และการอื่นใด ด้วย

116. 116
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• วัตถุประสงค์ (มาตรา 21)
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน
ขณะที่เก็บรวบรวม
• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจาก
วัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทามิได้ เว้นแต่
• (1) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและ
ได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
• (2) บทบัญญัติแห่ง พ.ร.บ.นี้หรือกฎหมายอื่นบัญญัติให้กระทาได้

117. 117
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จาเป็นภายใต้วัตถุประสงค์อัน
ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22)
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
ซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา 24 ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้
รับความยินยอม
• (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อ
ปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้า
ทาสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
• (3) ฯลฯ

118. 118
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
ทั้งนี้ ในกรณีที่ไม่สามารถกาหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กาหนด
ระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
• (4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก
เปิดเผย
• (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ใน
กรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้แจ้งด้วย
• (6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า, 30-34, 36, 73

119. 119
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม (มาตรา 24)
• (1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์
สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครอง
สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด
• (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการ
ดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทาสัญญานั้น
• (4) เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล
ส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
• (5) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือ
นิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญน้อยกว่าสิทธิขั้น
พื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
• (6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

120. 120
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง
(มาตรา 25)
• (1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคล
ทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอม
จากเจ้าของข้อมูลส่วนบุคคล
• (2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา
24 หรือ 26

121. 121
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง (มาตรา 25)
• ให้นาบทบัญญัติเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา 21 และการแจ้งรายละเอียด (Privacy Notice)
ตามมาตรา 23 มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่งโดย
อนุโลม เว้นแต่
• (1) เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่หรือรายละเอียดนั้นอยู่แล้ว
• (2) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวไม่สามารถทา
ได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในกรณีนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
จัดให้มีมมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (3) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทาโดยเร่งด่วนตามที่กฎหมายกาหนดซึ่งได้จัดให้มี
มาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซึ่งข้อมูลส่วนบุคคลจากหน้าที่หรือจากการ
ประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้
เป็นความลับตามที่กฎหมายกาหนด

122. 122
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง
(มาตรา 25)
• การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้
เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 วันนับแต่วันที่เก็บรวบรวมตาม
มาตรานี้ เว้นแต่กรณีที่นาข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของ
ข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีที่จะนาข้อมูลส่วน
บุคคลไปเปิดเผย ต้องแจ้งก่อนที่จะนาข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้ง
แรก

123. 123
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
• ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม
ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล
ชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานอง
เดียวกันตามที่คณะกรรมการประกาศกาหนด

124. 124
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด
ก็ตาม
• (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น
สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่
แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น
ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น

125. 125
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ
ข้อมูลส่วนบุคคล
• (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม
หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม
กฎหมาย

126. 126
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล
นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล
ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง
เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

127. 127
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก
โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ
การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้
มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม
จริยธรรมแห่งวิชาชีพ

128. 128
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก
รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน
การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน
บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคล

129. 129
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์
สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น
เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ
ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
• (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง
สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

130. 130
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 27)
• ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับ
ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บ
รวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26
• บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง
จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจาก
วัตถุประสงค์ทีได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วน
บุคคลนั้น
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับ
ยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้อง
บันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39

131. 131
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28)
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการ
คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครอง
ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่
• (1) เป็นการปฏิบัติตามกฎหมาย
• (2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วน
บุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว
• (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเพื่อใช้ในการดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทา
สัญญานั้น

132. 132
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28)
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูล
ส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล
ตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่
• (4) เป็นการกระทาตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น
เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
• (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วน
บุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
• (6) เป็นการจาเป็นเพื่อการดาเนินภารกิจเพื่อประโยชน์สาธารณะที่สาคัญ
• ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้
วินิจฉัย...

133. 133
ประกาศ ดศ. เรื่อง มาตรฐานการรักษา
ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

134. 134
ประกาศ ดศ. เรื่อง มาตรฐานการรักษา
ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563

135. 135
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคล (มาตรา 30)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยูในความ
รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตน
ไม่ได้ให้ความยินยอม
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคาขอตามวรรคหนึ่ง จะปฏิเสธคาขอได้เฉพาะในกรณีที่เป็นการ
ปฏิเสธตามกฎหมายหรือคาสั่งศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบ
ที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคาขอตามวรรคหนึ่ง ให้บันทึกการปฏิเสธคาขอดังกล่าวพร้อม
ด้วยเหตุผลไว้ในรายการตามมาตรา 39
• เมื่อเจ้าของข้อมูลส่วนบุคคลมีคาขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคาขอได้ตามวรรคสอง ให้
ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตามคาขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่ได้รับคาขอ
• คณะกรรมการอาจกาหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสาเนาตามวรรคหนึ่ง รวมทั้งการ
ขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้

136. 136
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน (มาตรา 31)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูล
ส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทาให้ข้อมูลส่วนบุคคลนั้นอยู่ใน
รูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทางานได้โดย
อัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ
ดังต่อไปนี้
• (1) ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้
ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทาได้ด้วยวิธีการอัตโนมัติ
• (2) ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลใน
รูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิค
ไม่สามารถทาได้
• ฯลฯ

137. 137
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (มาตรา 32)
• เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
ดังต่อไปนี้
• (1) กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 (4) หรือ
(5) เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
• (ก) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุ
อันชอบด้วยกฎหมายที่สาคัญยิ่งกว่า
• (ข) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การ
ปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
• (2) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
• (3) กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทาง
วิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจาเป็นเพื่อการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้
ควบคุมข้อมูลส่วนบุคคล
• ฯลฯ

138. 138
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่
เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• (1) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• (2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
• (3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา 32 (1)
(ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
• (4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่
กาหนดไว้ในหมวดนี้

139. 139
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถ
ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• ความในวรรคหนึ่งมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ใน
การใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตาม
มาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้ง
สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม
กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติ
ตามกฎหมาย
• ฯลฯ

140. 140
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
• (1) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วน
บุคคลร้องขอให้ดาเนินการตามมาตรา 36
• (2) เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทาลายตามมาตรา 33 (4) แต่เจ้าของข้อมูล
ส่วนบุคคลขอให้ระงับการใช้แทน
• (3) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจาเป็นต้องขอให้เก็บรักษาไว้
เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้อง
ตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
• (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ตามมาตรา 32 (1) หรือ
ตรวจสอบตามมาตรา 32 (3) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตาม
มาตรา 32 วรรคสาม

141. 141
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ
เข้าใจผิด
• ผู้ควบคุมข้อมูลส่วนบุคคลต้องดาเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน
สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (มาตรา 35)
• ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตาม
มาตรา 35 หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดาเนินการตามคาร้องขอ ผู้ควบคุมข้อมูล
ส่วนบุคคลต้องบันทึกคาร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ใน
รายการตามมาตรา 39... (มาตรา 36)

142. 142
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 37)
• (1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม...ทั้งนี้ ให้เป็นไปตาม
มาตรฐานขั้นต่าที่คณะกรรมการประกาศกาหนด
• (2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วน
บุคคล ต้องดาเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก
อานาจหรือโดยมิชอบ
• (3) จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเมื่อพ้น
กาหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจาเป็นตามวัตถุประสงค์
... หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือได้ถอนความยินยอม เว้นแต่ ฯลฯ
• (4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่
ทราบเหตุเท่าที่จะสามารถกระทาได้ เว้นแต่ ฯลฯ
• (5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทน
ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งต้องอยู่ในราชอาณาจักร...

143. 143
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 39)
• ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูล
ส่วนบุคคลและสานักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบ
อิเล็กทรอนิกส์ก็ได้
• (1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
• (2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
• (3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
• (4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
• (5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วน
บุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
• (6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม
• (7) การปฏิเสธคาขอหรือการคัดค้าน
• (8) คาอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)

144. 144
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (มาตรา 40)
• (1) ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งที่ได้รับ
จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติใน
การคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. นี้
• (2) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย
เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดย
มิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่
เกิดขึ้น
• (3) จัดทาและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกาหนด
• ...การดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจาก
ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลง
ระหว่างกันเพื่อควบคุมการดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล...

145. 145
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) (มาตรา 41)
• ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่
คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
• (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
ตามที่คณะกรรมการประกาศกาหนด
• (2) การดาเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
ในการเก็บรวบรวม ใช้ หรือเปิดเผย จาเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบ
อย่างสม่าเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจานวนมากตามที่คณะกรรมการประกาศ
กาหนด
• (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
• ฯลฯ

146. 146
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) (มาตรา 42)
• (1) ให้คาแนะนาแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง
ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
เกี่ยวกับการปฏิบัติตาม พ.ร.บ. นี้
• (2) ตรวจสอบการดาเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วน
บุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล
ส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม
พ.ร.บ. นี้
• (3) ประสานงานและให้ความร่วมมือกับสานักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล
ข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้
ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตาม พ.ร.บ. นี้
• (4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่...

147. 147
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• บทเฉพาะกาล ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (มาตรา 95)
• ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อน
วันที่ พ.ร.บ. นี้ใช้บังคับ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บ
รวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกาหนดวิธีการยกเลิกความ
ยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่
ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและใช้ข้อมูลส่วน
บุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
• การเปิดเผยและการดาเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้
ข้อมูลส่วนบุคคลตามวรรคหนึ่งให้เป็นไปตามบทบัญญัติแห่ง พ.ร.บ.นี้

148. 148

149. 149
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

150. 150
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

151. 151
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

152. 152
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

153. 153
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

154. 154
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

155. 155
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

156. 156
ข้อสังเกตของคณะกรรมาธิการวิสามัญต่อ
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

157. 157
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
พ.ศ. 2562

158. 158
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• หมวด 1 คณะกรรมการ
• ส่วนที่ 1 คณะกรรมการรักษาความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ
• ส่วนที่ 2 คณะกรรมการกากับดูแล
ด้านความมั่นคงปลอดภัยไซเบอร์
• หมวด 2 สานักงานคณะกรรมการ
การรักษาความมั่นคงปลอดภัยไซ
เบอร์แห่งชาติ
• หมวด 3 การรักษาความมั่นคง
ปลอดภัยไซเบอร์
• ส่วนที่ 1 นโยบายและแผน
• ส่วนที่ 2 การบริหารจัดการ
• ส่วนที่ 3 โครงสร้างพื้นฐาน
สาคัญทางสารสนเทศ
• ส่วนที่ 4 การรับมือกับภัย
คุกคามทางไซเบอร์
• หมวด 4 บทกาหนดโทษ
• บทเฉพาะกาล

159. 159
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• วันใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
(มาตรา 2)
• บทนิยาม (มาตรา 3)
• “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการ
ดาเนินการที่กาหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซ
เบอร์ ทั้งจากภายในและภายนอกประเทศอันกระทบต่อความมั่นคงของรัฐ ความ
มั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ
• “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทาหรือการดาเนินการใด ๆ โดย
มิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดย
มุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือ
ข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหาย
หรือส่งผลกระทบต่อการทางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูล
อื่นที่เกี่ยวข้อง

160. 160
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• บทนิยาม (มาตรา 3)
• “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” (cyber incident)
หมายความว่า เหตุการณ์ที่เกิดจากการกระทาหรือการดาเนินการใด ๆ ที่มิชอบซึ่ง
กระทาการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหาย
หรือผลกระทบต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคง
ปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือ
ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์
• “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” (cyber
solution) หมายความว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้
บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์
โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความ
มั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์
ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบ
คอมพิวเตอร์

161. 161
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• บทนิยาม (มาตรา 3)
• “โครงสร้างพื้นฐานสาคัญทางสารสนเทศ” (Critical Information
Infrastructure: CII) หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่ง
หน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษา
ความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจ
ของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ
• “หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ” หมายความว่า หน่วยงานของ
รัฐหรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสาคัญทาง
สารสนเทศ
• “หน่วยงานควบคุมหรือกากับดูแล” (Regulator) หมายความว่า หน่วยงานของรัฐ
หน่วยงานเอกชน หรือบุคคลซึ่งมีกฎหมายกาหนดให้มีหน้าที่และอานาจในการ
ควบคุมหรือกากับดูแลการดาเนินกิจการของหน่วยงานของรัฐหรือหน่วยงาน
โครงสร้างพื้นฐานสาคัญทางสารสนเทศ

162. 162
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• องค์ประกอบของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
(กมช.) (National Cyber Security Committee: NCSC) (มาตรา 5)
• นายกรัฐมนตรี เป็นประธานกรรมการ
• กรรมการโดยตาแหน่ง ได้แก่ รมว.กลาโหม รมว.ดศ. ปลัด กค. ปลัด ยธ.
ผบ.ตร. และเลขาธิการ สมช.
• กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 7 คน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้
ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคง
ปลอดภัยไซเบอร์ ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครอง
ข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์ ด้านวิศวกรรมศาสตร์ ด้านกฎหมาย ด้าน
การเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็นประโยชน์ต่อการรักษาความมั่นคง
ปลอดภัยไซเบอร์
• เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

163. 163
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9)
• (1) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและ
สนับสนุนการดาเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 42 และ 43 ต่อ
คณะรัฐมนตรีเพื่อให้ความเห็นชอบ...
• (2) กาหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
สาหรับหน่วยงานของรัฐ และหน่วยงาน CII
• (3) จัดทาแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี
สาหรับเป็นแผนแม่บทในสถานการณ์ปกติและในสถานการณ์ที่อาจจะเกิดหรือเกิดภัย
คุกคามทางไซเบอร์...
• (4) กาหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษา
ความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐาน และกาหนดมาตรฐานขั้นต่าที่เกี่ยวข้อง...
รวมถึงส่งเสริมการรับรองมาตรฐานให้กับ CII และหน่วยงานอื่น

164. 164
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9)
• (5) กาหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความ
มั่นคงปลอดภัยไซเบอร์ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงาน CII ฯลฯ
• (6) กาหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในและต่างประเทศ
• (7) แต่งตั้งและถอดถอนเลขาธิการ
• (8) มอบหมายการควบคุมและกากับดูแล รวมถึงการออกข้อกาหนด วัตถุประสงค์ หน้าที่และอานาจ และ
กรอบการดาเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานควบคุมหรือกากับดูแล
หน่วยงานของรัฐ หรือหน่วยงาน CII
• (9) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผน แผนปฏิบัติการ ฯลฯ
• (10) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือ
คณะรัฐมนตรี เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
• (11) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้อง
• (12) จัดทารายงานสรุปผลการดาเนินงานที่มีผลกระทบอย่างมีนัยสาคัญหรือแนวทางการพัฒนามาตรฐาน
การรักษาความมั่นคงปลอดภัยไซเบอร์ให้คณะรัฐมนตรีทราบ
• (13) ปฏิบัติการอื่นใดตามที่บัญญัติไว้ใน พ.ร.บ. นี้ หรือคณะรัฐมนตรีมอบหมาย

165. 165
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• องค์ประกอบของคณะกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
(กกม.) (มาตรา 12)
• รมว.ดศ. เป็นประธานกรรมการ
• กรรมการโดยตาแหน่ง ได้แก่ ปลัด กต. ปลัด คค. ปลัด ดศ. ปลัด พน. ปลัด
มท. ปลัด สธ. ผบ.ตร. ผบ.สส. เลขาธิการ สมช. ผอ.สานักข่าวกรองแห่งชาติ
ผู้ว่าการ ธปท. เลขาธิการสานักงาน กลต. และเลขาธิการ กสทช.
• กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 4 คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้
ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์และเป็นประโยชน์ต่อการ
รักษาความมั่นคงปลอดภัยไซเบอร์
• เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

166. 166
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• หน้าที่และอานาจของคณะกรรมการ กกม. (มาตรา 13)
• (1) ติดตามการดาเนินการตามนโยบายและแผนตามมาตรา 9 (1) และมาตรา 42
• (2) ดูแลและดาเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรงตามมาตรา 61-66
• (3) กากับดูแลการดาเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ
และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
• (4) กาหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็น
ข้อกาหนดขั้นต่าสาหรับหน่วยงานของรัฐและหน่วยงาน CII รวมทั้งกาหนดมาตรการในการประเมินความ
เสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์...
• (5) กาหนดหน้าที่ของหน่วยงาน CII และหน้าที่ของหน่วยงานควบคุมหรือกากับดูแล โดยอย่างน้อยต้อง
กาหนดหน้าที่ให้กาหนดมาตรฐานที่เหมาะสมเพื่อรับมือกับภัยคุกคามของแต่ละหน่วยงาน CII และ
หน่วยงานของรัฐ
• (6) กาหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการ...
• (7) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการ
พิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

167. 167
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
การระบุความเสี่ยง
ที่อาจจะเกิดขึ้น
มาตรการป้องกัน
ความเสี่ยง
มาตรการตรวจสอบ
และเฝ้าระวังภัย
คุกคาม
มาตรการเผชิญเหตุ
เมื่อตรวจพบ
มาตรการรักษาและ
ฟื้นฟูความเสียหาย
กรอบมาตรฐานตามมาตรา 13 (4) ให้คานึงถึงหลักการบริหารความเสี่ยง
โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้

168. 168
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การรับมือกับภัยคุกคามทางไซเบอร์ให้ได้ทันท่วงทีของ กกม. (มาตรา 14)
• ในการดาเนินการตามมาตรา 13 วรรคหนึ่ง (2) เพื่อรับมือกับภัยคุกคามทางไซ
เบอร์ได้ทันท่วงที กกม. อาจมอบอานาจให้ รมว.ดศ. ผบ.สส. และกรรมการอื่น
ซึ่ง กกม.กาหนด ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกาหนดให้
หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII ที่ถูกคุกคามเข้าร่วม
ดาเนินการ ประสานงาน และให้การสนับสนุนด้วยก็ได้

169. 169
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา
43)
• ให้คณะกรรมการจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซ
เบอร์ขึ้น...และเมื่อได้ประกาศแล้ว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับ
ดูแล และหน่วยงาน CII ตามที่กาหนดไว้ในแผน ดาเนินการให้เป็นไปตามนโยบาย
และแผนดังกล่าว...
• ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII จัดทาประมวล
แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละ
หน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
โดยเร็ว ซึ่งอย่างน้อยต้องประกอบด้วย (1) แผนการตรวจสอบและประเมินความเสี่ยงโดย
ผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละ 1
ครั้ง (2) แผนการรับมือภัยคุกคามทางไซเบอร์ (มาตรา 44)

170. 170
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การบริหารจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา 45)
• หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII มีหน้าที่
ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวล
แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ของแต่ละหน่วยงาน และจะต้องดาเนินการให้เป็นไปตามประมวลแนวทาง
ปฏิบัติและกรอบมาตรฐานตามมาตรา 13 วรรคหนึ่ง (4) ด้วย
• ในกรณีที่ไม่อาจดาเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สานักงานอาจให้ความ
ช่วยเหลือด้านบุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอได้

171. 171
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การแจ้งรายชื่อเจ้าหน้าที่ (มาตรา 46)
• เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานของรัฐ
หน่วยงานควบคุมดูแลหรือกากับดูแล และหน่วยงาน CII แจ้งรายชื่อเจ้าหน้าที่
ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคง
ปลอดภัยไซเบอร์ไปยังสานักงาน
• ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ ให้แจ้งให้สานักงานทราบโดยเร็ว

172. 172
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• CII (มาตรา 48)
• CII เป็นกิจการที่มีความสาคัญต่อความมั่นคงของรัฐ ความมั่นคงทาง
ทหาร ความมั่นคงทางเศรษฐกิจ และความสงบเรียบร้อย
ภายในประเทศ และเป็นหน้าที่ของสานักงานในการสนับสนุนและให้
ความช่วยเหลือในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม
ทางไซเบอร์ โดยเฉพาะภัยคุกคามทางไซเบอร์ที่กระทบหรือเกิดแก่ CII

173. 173
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การประกาศกาหนดลักษณะหน่วยงานที่มีภารกิจหรือให้บริการในด้าน
ต่างๆ เป็นหน่วยงาน CII (มาตรา 49)
• ด้านความมั่นคงของรัฐ
• ด้านบริการภาครัฐที่สาคัญ
• ด้านการเงินการธนาคาร
• ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
• ด้านการขนส่งและโลจิสติกส์
• ด้านพลังงานและสาธารณูปโภค
• ด้านสาธารณสุข
• ด้านอื่นตามที่คณะกรรมการประกาศกาหนดเพิ่มเติม

174. 174
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์
(CERT/CSIRT) (มาตรา 50)
• ให้คณะกรรมการมีอานาจประกาศกาหนดลักษณะ หน้าที่และความ
รับผิดชอบของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ
คอมพิวเตอร์ สาหรับหน่วยงาน CII ตามมาตรา 49 เพื่อประสานงาน
เฝ้าระวัง รับมือ และแก้ไขภัยคุกคามทางไซเบอร์ โดยจะกาหนดให้
หน่วยงานของรัฐที่มีความพร้อมหรือหน่วยงานควบคุมหรือกากับดูแล
หน่วยงาน CII นั้น ๆ ทาหน้าที่ดังกล่าวทั้งหมดหรือบางส่วนก็ได้...

175. 175
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การแจ้งรายชื่อและข้อมูลการติดต่อของ CII (มาตรา 52)
• การตรวจสอบมาตรฐานขั้นต่าเรื่องความมั่นคงปลอดภัยไซเบอร์ของ
หน่วยงาน CII โดยหน่วยงานควบคุมหรือกากับดูแล และการแจ้งให้แก้ไข
ให้ได้มาตรฐานโดยเร็ว หากพบว่าไม่ได้มาตรฐาน (มาตรา 53)
• การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมี
ผู้ตรวจประเมิน ของหน่วยงาน CII และการจัดให้มีการตรวจสอบทั้งโดยผู้
ตรวจสอบภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละ 1
ครั้ง และการส่งผลสรุปการดาเนินการต่อสานักงานภายใน 30 วัน (มาตรา
54) และการที่ กกม. สั่งให้หน่วยงาน CII ดาเนินการประเมินความเสี่ยง
ใหม่เพื่อให้เป็นไปตามมาตรฐาน...ในกรณีที่เห็นว่าไม่เป็นไปตามมาตรฐาน
(มาตรา 55)

176. 176
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• หน่วยงาน CII ต้องกาหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซ
เบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับ CII ตาม
มาตรฐานซึ่งกาหนดโดยหน่วยงานควบคุมหรือกากับดูแล และตามประมวลแนวทาง
ปฏิบัติ รวมถึงระบบ มาตรการที่ใช้แก้ปัญหาที่คณะกรรมการหรือ กกม. กาหนด
และต้องเข้าร่วมการทดสอบสถานะความพร้อมในการรับมือกับภัยคุกคามทางไซ
เบอร์ที่สานักงานจัดขึ้น (มาตรา 56)
• เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมีนัยสาคัญต่อระบบของหน่วยงาน CII
ให้รายงานต่อสานักงานและหน่วยงานควบคุมหรือกากับดูแล และปฏิบัติการรับมือ
กับภัยคุกคามทางไซเบอร์ตามที่กาหนด (มาตรา 57)

177. 177
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• การรับมือกับภัยคุกคามทางไซเบอร์ของหน่วยงาน CII หน่วยงานควบคุมหรือกากับ
ดูแล สานักงาน และคณะกรรมการ และหน้าที่และอานาจ (มาตรา 58-69)
• ภัยคุกคามทางไซเบอร์ แบ่งเป็น 3 ระดับ (มาตรา 60)
• ระดับไม่ร้ายแรง: มีความเสี่ยงอย่างมีนัยสาคัญถึงระดับที่ทาให้ระบบคอมพิวเตอร์ของ
หน่วยงานโครงสร้างพื้นฐานสาคัญของประเทศหรือการให้บริการของรัฐด้อยประสิทธิภาพ
ลง
• ระดับร้ายแรง: มีลักษณะการเพิ่มขึ้นอย่างมีนัยสาคัญของการโจมตีระบบคอมพิวเตอร์
คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมายเพื่อโจมตีโครงสร้างพื้นฐานสาคัญของ
ประเทศและการโจมตีดังกล่าวมีผลทาให้ระบบคอมพิวเตอร์หรือ CII ที่เกี่ยวข้องกับการ
ให้บริการของโครงสร้างพื้นฐานสาคัญของประเทศ ความมั่นคงของรัฐ ความสัมพันธ์
ระหว่างประเทศ การป้องกันประเทศ เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ
หรือความสงบเรียบร้อยของประชาชนเสียหายจนไม่สามารถทางานหรือให้บริการได้

178. 178
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• ระดับวิกฤติ:
• (ก) เกิดจากการโจมตีระบบคอมพิวเตอร์...ในระดับที่สูงขึ้นกว่าภัยคุกคาม
ทางไซเบอร์ในระดับร้ายแรง โดยส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐาน
สาคัญทางสารสนเทศของประเทศในลักษณะที่เป็นวงกว้าง จนทาให้การ
ทางานของหน่วยงานของรัฐหรือการให้บริการของโครงสร้างพื้นฐานสาคัญ
ของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนรัฐไม่สามารถควบคุม
การทางานส่วนกลางของระบบคอมพิวเตอร์ของรัฐได้ หรือการใช้มาตรการ
เยียวยาตามปกติในการแก้ไขปัญหาภัยคุกคามไม่สามารถแก้ไขปัญหาได้
และมีความเสี่ยงที่จะลุกลามไปยังโครงสร้างพื้นฐานสาคัญอื่น ๆ ของ
ประเทศ ซึ่งอาจมีผลทาให้บุคคลจานวนมากเสียชีวิตหรือระบบ
คอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์จานวนมากถูกทาลายเป็นวง
กว้างในระดับประเทศ

179. 179
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• ระดับวิกฤติ:
• (ข) เป็นภัยคุกคามทางไซเบอร์อันกระทบหรืออาจกระทบต่อความสงบเรียบร้อยของ
ประชาชนหรือเป็นภัยต่อความมั่นคงของรัฐหรืออาจทาให้ประเทศหรือส่วนใดส่วน
หนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทาความผิดเกี่ยวกับการก่อการ
ร้ายตามประมวลกฎหมายอาญา การรบหรือการสงคราม ซึ่งจาเป็นต้องมีมาตรการ
เร่งด่วนเพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรง
เป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณา
เขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน
การดารงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบ
เรียบร้อยหรือประโยชน์ส่วนรวม หรือการป้องปัดหรือแก้ไขเยียวยาความเสียหายจาก
ภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง

180. 180
ประกาศ กมช. เรื่อง การจัดตั้ง หน้าที่และอานาจของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ. 2564

181. 181
ประกาศ กมช. เรื่อง การจัดตั้ง หน้าที่และอานาจของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ. 2564

182. 182
ประกาศ กมช. เรื่อง การจัดตั้ง หน้าที่และอานาจของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ. 2564

183. 183
ประกาศ กมช. เรื่อง การกาหนดหลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือ
ให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและกากับดูแล พ.ศ. 2564

184. 184
ประกาศ กมช. เรื่อง การกาหนดหลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือ
ให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและกากับดูแล พ.ศ. 2564

185. 185
ประกาศ กมช. เรื่อง การกาหนดหลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือ
ให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและกากับดูแล พ.ศ. 2564

186. 186
ประกาศ กมช. เรื่อง การกาหนดหลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือ
ให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและกากับดูแล พ.ศ. 2564

187. 187
ประกาศ กมช. เรื่อง ลักษณะ หน้าที่และความรับผิดชอบของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงาน CII และภารกิจ
หรือให้บริการที่เกี่ยวข้อง พ.ศ. 2564

188. 188
ประกาศ กมช. เรื่อง ลักษณะ หน้าที่และความรับผิดชอบของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงาน CII และภารกิจ
หรือให้บริการที่เกี่ยวข้อง พ.ศ. 2564

189. 189
ประกาศ กมช. เรื่อง ลักษณะ หน้าที่และความรับผิดชอบของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงาน CII และภารกิจ
หรือให้บริการที่เกี่ยวข้อง พ.ศ. 2564

190. 190
ประกาศ กมช. เรื่อง ลักษณะ หน้าที่และความรับผิดชอบของศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สาหรับหน่วยงาน CII และภารกิจ
หรือให้บริการที่เกี่ยวข้อง พ.ศ. 2564

191. 191
ประกาศคณะกรรมการกากับฯ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สาหรับหน่วยงานของรัฐและ
หน่วยงาน CII พ.ศ. 2564

192. 192
ประกาศคณะกรรมการกากับฯ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สาหรับหน่วยงานของรัฐและ
หน่วยงาน CII พ.ศ. 2564

193. 193
ประกาศคณะกรรมการกากับฯ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สาหรับหน่วยงานของรัฐและ
หน่วยงาน CII พ.ศ. 2564

194. 194
ประกาศคณะกรรมการกากับฯ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สาหรับหน่วยงานของรัฐและ
หน่วยงาน CII พ.ศ. 2564

195. 195
สรุปการบ้าน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
•ทบทวน+ปรับปรุงมาตรฐาน Cybersecurity ของหน่วยงาน
•ติดตามข่าวการกาหนด CII ว่าหน่วยงานถูกกาหนดด้วยหรือไม่
(ม.48-49)
•พิจารณาและติดตามข่าวว่าหน่วยงานของตนอยู่ภายใต้ “หน่วยงาน
ควบคุมหรือกากับดูแล” (Regulator) ซึ่งมีกฎหมายกาหนดให้มี
หน้าที่และอานาจในการควบคุมหรือกากับดูแลการดาเนินกิจการของ
หน่วยงานหรือไม่
•ติดตามข่าวการกาหนดให้หน่วยงานใดทาหน้าที่ศูนย์ประสานการ
รักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ (CERT/CSIRT) (ม.50)

196. 196
สรุปการบ้าน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
•หากถูกกาหนดเป็น CII ให้จัดทาประมวลแนวทางปฏิบัติและกรอบ
มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานให้
สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัย
ไซเบอร์โดยเร็ว ซึ่งอย่างน้อยต้องประกอบด้วย (ม.44)
• (1) แผนการตรวจสอบและประเมินความเสี่ยงโดยผู้ตรวจประเมิน
ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละ 1
ครั้ง
• (2) แผนการรับมือภัยคุกคามทางไซเบอร์

197. 197
สรุปการบ้าน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
•หากถูกกาหนดเป็น CII ให้ป้องกัน รับมือ และลดความเสี่ยงจากภัย
คุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน และจะต้อง
ดาเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ตามมาตรา 13 วรรคหนึ่ง (4) ด้วย (ม.45)
• การแจ้งรายชื่อเจ้าหน้าที่ (ม. 46) หากถูกกาหนดเป็น CII
• เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานแจ้ง
รายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการ เพื่อประสานงานด้าน
การรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสานักงาน
• ในกรณีที่มีการเปลี่ยนแปลงเจ้าหน้าที่ ให้แจ้งให้สานักงานทราบโดยเร็ว

198. 198
สรุปการบ้าน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
• การแจ้งรายชื่อและข้อมูลการติดต่อเจ้าของกรรมสิทธิ์ ผู้ครอบครอง
คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ของ CII (ม.52)
• การตรวจสอบมาตรฐานขั้นต่าเรื่องความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน
CII โดยหน่วยงานควบคุมหรือกากับดูแล และการแจ้งให้แก้ไขให้ได้มาตรฐาน
โดยเร็ว หากพบว่าไม่ได้มาตรฐาน (ม.53)
• การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์โดยมีผู้ตรวจ
ประเมิน ของหน่วยงาน CII และการจัดให้มีการตรวจสอบทั้งโดยผู้ตรวจสอบ
ภายในหรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละ 1 ครั้ง และการ
ส่งผลสรุปการดาเนินการต่อสานักงานภายใน 30 วัน (ม.54) และการ
ดาเนินการประเมินความเสี่ยงใหม่เพื่อให้เป็นไปตามมาตรฐาน...ในกรณีที่ กก
ม. เห็นว่าไม่เป็นไปตามมาตรฐาน (ม.55)

199. 199
สรุปการบ้าน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
• หากถูกกาหนดเป็น CII ต้องกาหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัย
คุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ที่
เกี่ยวข้องกับ CII ตามมาตรฐานซึ่งกาหนดโดยหน่วยงานควบคุมหรือกากับดูแล
และตามประมวลแนวทางปฏิบัติ รวมถึงระบบ มาตรการที่ใช้แก้ปัญหาที่
คณะกรรมการหรือ กกม. กาหนด และต้องเข้าร่วมการทดสอบสถานะความ
พร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ที่สานักงานจัดขึ้น (ม.56)
• หากถูกกาหนดเป็น CII เมื่อมีเหตุภัยคุกคามทางไซเบอร์เกิดขึ้นอย่างมี
นัยสาคัญต่อระบบของหน่วยงาน CII ให้รายงานต่อสานักงานและหน่วยงาน
ควบคุมหรือกากับดูแล และปฏิบัติการรับมือกับภัยคุกคามทางไซเบอร์ตามที่
กาหนด (ม.57)