บทความทั่วไป (General-Articles)
1
โพสต์
1
ผู้ใช้
0
Reactions
7
เข้าชม
หัวข้อเริ่มต้น 08/05/2025 10:51 am
ถอดบทเรียนการเสวนา หัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"
วันที่ 3 เมษายน 2568 เวลา 13.00 – 16.00 น. การถ่ายทอดสดผ่านระบบ IPTV
วิทยากร:
-
อ.ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ ที่ปรึกษาอธิการบดีมหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล
-
ผศ.ดร. โษฑศ์รัตต ธรรมบุษดี ผู้ช่วยคณบดีฝ่ายการเปลี่ยนแปลงทางดิจิทัลขององค์กร คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล
ประเด็นการเสวนา:
- ที่มาและความสำคัญของกฎหมาย PDPA
- กฎหมาย PDPA มีที่มาจากกฎหมายของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation (GDPR)
- GDPR คือกฎหมายที่หมายรวมถึงกิจกรรมประมวลผลข้อมูลส่วนบุคคลทั้งภายในและภายนอก EU ซึ่งประเทศนอก EU มีความจำเป็นต้องดำเนินการในมาตรฐานเดียวกันหรือเท่ากันถึงจะประมวลผลข้อมูลส่วนบุคคลได้ จึงทำให้เกิดภาวะโดมิโนในประเทศต่าง ๆ ที่ต้องมีกฎหมายที่ใกล้เคียงกับ GDPR
- ประเทศไทยจึงมีกฎหมาย พรบ.PDPA ขึ้น และบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 ที่ทุกคนต้องปฏิบัติตาม
- PDPA เป็นกฎหมายเพื่อคุ้มครองสิทธิบุคคลธรรมดา เพื่อความเป็นส่วนตัวและความปลอดภัยส่วนบุคคล
- PDPA เป็นกฎหมายฉบับแม่ ซึ่งมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดูแลและออกกฎหมายฉบับรอง ซึ่งกฎหมายฉบับรอง มี 2 ประเภท คือ 1) มีความจำเป็นต้องออก (ในปัจจุบันออกครบแล้ว) และ 2) ไม่บังคับออกกฎหมาย
- มหาวิทยาลัยมหิดล จัดทำหลักสูตรด้าน PDPA สำหรับให้บุคลากรและนักศึกษา สามารถเข้าไปเรียนรู้เพื่อทำความเข้าใจเกี่ยวกับ PDPA ทั้ง Version ภาษาไทยและภาษาอังกฤษ
- หากมีประเด็นข้อสงสัยสามารถศึกษาเพิ่มเติมได้ที่ เว็บไซต์ สคส. ( https://www.pdpc.or.th/ )
- ข้อควรระมัดระวังของกฎหมาย PDPA
- ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวตนได้ หรือเชื่อมโยงไปสู่บุคคลทั้งทางตรง (ภาพใบหน้า ชื่อ-สกุล รหัสนักศึกษา รหัสบุคลากร) และทางอ้อม (ดูจากบริบทที่อาจมีโอกาสเดาหรือเชื่อมโยงได้ เช่น เพศชาย อายุระหว่าง 30-40 ปี ที่อยู่ในห้องประชุม...นี้)
- องค์กรต้องจำกัดคำนิยามเพื่อแบ่งประเภท เพื่อกำหนดมาตรการรักษาความปลอดภัยตามลำดับ
- กฎหมาย PDPA ไม่ได้นำมาใช้ในลักษณะ Personal Use
- Personal Use คือ การกระทำที่ดำเนินการโดยส่วนบุคคล
- ตัวอย่าง “การโพสต์รูปที่มีบุคคลอื่นติดอยู่ในรูปใน Social Media”
- ไปร้านอาหารถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีส่วนตัว ได้รับการยกเว้นจาก PDPA เนื่องจากถือว่าเป็น Personal Use
- เจ้าของร้านถ่ายรูปภายในร้านติดรูปลูกค้าในร้านโพสต์บัญชีร้าน ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
- ทีมงานถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีเพจรีวิวอาหาร ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
- การโพสต์เป็น Personal Use ได้รับการยกเว้นจาก PDPA แต่ถ้ามีผู้ได้รับผลกระทบจากการกระทำนั้น อาจจะได้รับโทษกฎหมายฉบับอื่นที่เท่าเทียม เช่น ทางแพ่ง อาญา พรบ.คอมพิวเตอร์ ถูกฟ้องร้องหมิ่นประมาท (PDPA ไม่ได้ยกเลิกกฎหมายฉบับก่อนหน้านั้น)
- ตัวอย่าง Lawful basis ของกฎหมาย PDPA
- แบบสอบถามหลังใช้บริการ จำเป็นต้องทำตาม PDPA เนื่องจากเป็น Professional Use
- การขอความยินยอม จะมีเงื่อนไขที่บางกรณีได้รับการยกเว้นการขอความยินยอม และบางกรณีที่ต้องขอความยินยอม
- การขอความยินยอมจะต้องให้อิสระต่อเจ้าของข้อมูล เป็นการขอโดยความสมัครใจ จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง ถ้าปฏิเสธให้ความยินยอมห้ามแจ้งว่าเจ้าของข้อมูลจะเสียผลประโยชน์อะไรบ้าง
- ตัวอย่าง เข้าพักที่โรงแรมแห่งหนึ่ง ทางโรงแรมให้กรอกข้อมูลส่วนบุคคลสำหรับ Check-in
- กรณีนี้ถือว่าโรงแรมคือฝ่ายเสนอบริการ และลูกค้าคือฝ่ายรับข้อเสนอ ซึ่งอยู่ในฐานสัญญา [หากลูกค้าไม่กรอกข้อมูลจะไม่ได้เข้าพัก เพราะโรงแรมมีความจำเป็นต้องเก็บข้อมูลผู้เข้าพัก เป็นการปฏิบัติตาม พรบ.อื่นที่เกี่ยวข้อง เช่น พรบ.โรงแรม]
- หากมีการสอบถามเรื่องอื่น ๆ เช่น แบบสำรวจการออกกำลังกาย ฯลฯ ที่นอกเหนือจากฐานสัญญาข้างต้น โรงแรมจำเป็นต้องมี Privacy Notice แจ้งเจ้าของข้อมูลในเรื่องกฎหมายการใช้ เก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคล
- ตัวอย่าง การเข้าใช้งาน Application ธนาคาร
- ธนาคารจะมีการแจ้ง Privacy Notice เพื่อให้เจ้าของข้อมูลรับทราบ ซึ่งจะเป็นในส่วนเงื่อนไขและสัญญา (Term and Condition) และบางกรณีจะมีการขอความยินยอมในการนำข้อมูลส่วนบุคคลไปให้กับบริษัทประกันในเครือ เป็นต้น
- ฐานปฏิบัติตามกฎหมาย (Legal Obligation) คือ การปฏิบัติตามกฎหมายอื่นเทียบเท่ากับ PDPA ทำได้โดยไม่ต้องขอความยินยอม เช่น พรบ.คอมพิวเตอร์ ซึ่งต้องมีการเก็บ Traffic Information
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest) คือ การดำเนินการจะต้องไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล ประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล ตัวอย่างเช่น
- การติดตั้ง CCTV ต้องชั่งน้ำหนักว่าจุดประสงค์การติดตั้ง กับ ความเป็นส่วนตัว อะไรสำคัญกว่า เช่น การติดตั้ง CCTV ในห้องน้ำ [ในกรณีนี้ Privacy สำคัญกว่า]
- การถ่ายภาพการจัดกิจกรรม (Public Event) : กิจกรรมเหล่านี้มีความเป็นส่วนตัวต่ำอยู่แล้ว ทั้งนี้ผู้จัดควรมีการแจ้งเรื่องการถ่ายภาพที่จุดลงทะเบียน, ให้พิธีกรแจ้ง หรือเปิด VDO ก่อนเริ่มกิจกรรม, แจกเอกสารประกอบกิจกรรมพร้อมแนบ Privacy Notice ไปให้กับผู้เข้ากิจกรรม เว้นแต่ถ้าหากกิจกรรมนั้นเป็นกิจกรรมภายในจะใช้ฐานนี้ไม่ได้
- มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมาย PDPA
- สำหรับกรณีบางระบบที่หน่วยงานไม่ได้ใช้งานแล้วในปัจจุบันและคิดว่าไม่มีอยู่แล้ว แต่ยังมี PIN URL ซึ่งอาจจะสามารถ Search ได้อยู่ ในส่วนนี้ขอให้ทางฝ่าย IT ตรวจสอบกรณีพวกนี้ต่อไปด้วย บางอุปกรณ์จำเป็นต้องมีการทำลายอย่างปลอดภัย เช่น Hard-disk
- ในส่วนของการเก็บข้อมูลส่วนบุคคลอาจจะเก็บข้อมูลได้ดังนี้
- Anonymization ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลไม่สามารถระบุตัวบุคคลได้
- Pseudonymization เป็นการเก็บข้อมูลแฝง ใช้รหัสอ้างอิงแทนการใช้ข้อมูลส่วนบุคคล
- ตัวอย่าง การจัดอบรมและต้องการสอบถามเรื่องการทานอาหารของผู้เข้าอบรม ต้องคำนึงว่าจุดประสงค์ของการถามครั้งนี้ เก็บเท่าที่จำเป็น เรื่องใดที่ไม่จำเป็นและหาฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) มารองรับไม่ได้ อาจจะลดคำถามเหล่านั้นแทน ซึ่งอาจจะถามเป็นเมนูอาหาร แทนสอบถามถามศาสนา หรือ การแพ้อาหาร (ข้อมูลส่วนบุคคลอ่อนไหว)
- FAQ
- การทำ R2R ทำได้หรือไม่
- กรณีนี้อาจจะดำเนินการในฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) หรือ ฐานจดหมายเหตุ/วิจัย/สถิติ แต่อย่างไรก็ตามต้องปฏิบัติตาม IRB
- สามารถขอคำปรึกษา/แนะนำได้ที่ศูนย์อำนวยการด้านข้อมูลส่วนบุคคลมหาวิทยาลัยมหิดล
- นักศึกษาบันทึกวิดีโอขณะอาจารย์สอน สามารถนำไปโพสต์และเปิดสาธารณะได้หรือไม่ ภาพและเสียงการบรรยายของอาจารย์ได้รับการยกเว้น PDPA หรือไม่ และถ้าไม่ได้รับยกเว้นจะสามารถใช้ฐานประมวลกฎหมายอะไร
- กรณีเปิดเผยเพื่อเป็นประโยชน์ส่วนตน เปิดเผยวงแคบ ไม่มีเชิงพาณิชย์ อาจจะเข้าข่ายกรณี Fair Use หรือไม่ จำเป็นต้องสอบถามไปยังผู้เชี่ยวชาญต่อไป อาจจะเป็น Personal Use
- กรณีเปิดเผยโพสต์ขาย จะเข้าข่ายเชิงพาณิชย์ ซึ่งจะไม่ได้รับการยกเว้น จำเป็นต้องการขอความยินยอมเจ้าของข้อมูล
- กรณีเปิดเผยไฟล์ประกอบการบรรยาย ในส่วนนี้ไม่เกี่ยวข้องกับ PDPA แต่จะไปเกี่ยวข้องกับ พรบ.ลิขสิทธิ์ ในส่วนนี้ต้องมีการพิจารณาในกฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป เพราะถือว่าเป็นทรัพย์สินทางปัญญาของอาจารย์ผู้สอน
- อาจจะไม่ผิดใน PDPA แต่ต้องพิจารณากฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป
- การนำข้อมูลโรคประจำตัวนักศึกษามาปรึกษาในที่ประชุมของอาจารย์
- อาจจะพูดกว้าง ๆ ไม่ลงรายละเอียดของโรค เนื่องจากเป็น ข้อมูลสุขภาพ (ข้อมูลส่วนบุคคลอ่อนไหว)
- อาจจะใช้ว่ามีปัญหาสุขภาพแทนการลงลายละเอียดของโรค
- ขอความยินยอมจากเจ้าของข้อมูลเพื่อดำเนินการต่อไป
- หมายเหตุ: การขอความยินยอมจะเข้าหมวด 19 วรรค 4 จำเป็นต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง
- การเปิดเผยตัวอย่างใบเสร็จรับเงินฉบับสมบูรณ์สามารถดำเนินการได้หรือไม่
- อาจจะใช้ฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) ทั้งนี้ต้องชั่งน้ำหนักว่าเรื่องประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล
- การใช้สำเนาบัตรประชาชนในใบสำคัญรับเงินต้องขอความยินยอมหรือไม่
- ให้พิจารณาว่าความจำเป็นดังกล่าวเข้ากับฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ใด
- ขอให้ดูความจำเป็นในการใช้สำเนาบัตรประชาชน หากไม่จำเป็นต้องเก็บสำเนาบัตรประชาชน อาจจะทำการ Verify เช่น การขอดูบัตรประชาชนฉบับจริงก่อนเพื่อพิมพ์ข้อมูลใบสำคัญรับเงินและคืนบัตรประชาชนให้กับเจ้าของข้อมูล
- กรณีการจ่ายค่าตอบแทนวิทยากร อาจจะเข้าข่ายฐานสัญญา
- การทำ R2R ทำได้หรือไม่
สรุปโดย: อนงค์นาฏ พัฒนศักดิ์ศิริ