Forum

ถอดบทเรียนการเสวนา ...
 
แบ่งปัน:
การแจ้งเตือน
ลบทั้งหมด

ถอดบทเรียนการเสวนา หัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"

1 โพสต์
1 ผู้ใช้
0 Reactions
7 เข้าชม
(@anongnat-patthanasaksiri)
Trusted Member
เข้าร่วม: 6 ปี ที่ผ่านมา
กระทู้: 26
หัวข้อเริ่มต้น  
ถอดบทเรียนการเสวนา หัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"

วันที่ 3 เมษายน 2568 เวลา 13.00 – 16.00 น. การถ่ายทอดสดผ่านระบบ IPTV

 วิทยากร:

  1. อ.ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ ที่ปรึกษาอธิการบดีมหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล

  2. ผศ.ดร. โษฑศ์รัตต ธรรมบุษดี ผู้ช่วยคณบดีฝ่ายการเปลี่ยนแปลงทางดิจิทัลขององค์กร คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล

ประเด็นการเสวนา:

  • ที่มาและความสำคัญของกฎหมาย PDPA
    • กฎหมาย PDPA มีที่มาจากกฎหมายของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation (GDPR)
    • GDPR คือกฎหมายที่หมายรวมถึงกิจกรรมประมวลผลข้อมูลส่วนบุคคลทั้งภายในและภายนอก EU ซึ่งประเทศนอก EU มีความจำเป็นต้องดำเนินการในมาตรฐานเดียวกันหรือเท่ากันถึงจะประมวลผลข้อมูลส่วนบุคคลได้ จึงทำให้เกิดภาวะโดมิโนในประเทศต่าง ๆ ที่ต้องมีกฎหมายที่ใกล้เคียงกับ GDPR
    • ประเทศไทยจึงมีกฎหมาย พรบ.PDPA ขึ้น และบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 ที่ทุกคนต้องปฏิบัติตาม
    • PDPA เป็นกฎหมายเพื่อคุ้มครองสิทธิบุคคลธรรมดา เพื่อความเป็นส่วนตัวและความปลอดภัยส่วนบุคคล
    • PDPA เป็นกฎหมายฉบับแม่ ซึ่งมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดูแลและออกกฎหมายฉบับรอง ซึ่งกฎหมายฉบับรอง มี 2 ประเภท คือ 1) มีความจำเป็นต้องออก (ในปัจจุบันออกครบแล้ว) และ 2) ไม่บังคับออกกฎหมาย
    • มหาวิทยาลัยมหิดล จัดทำหลักสูตรด้าน PDPA สำหรับให้บุคลากรและนักศึกษา สามารถเข้าไปเรียนรู้เพื่อทำความเข้าใจเกี่ยวกับ PDPA ทั้ง Version ภาษาไทยและภาษาอังกฤษ
    • หากมีประเด็นข้อสงสัยสามารถศึกษาเพิ่มเติมได้ที่ เว็บไซต์ สคส. ( https://www.pdpc.or.th/ )
  • ข้อควรระมัดระวังของกฎหมาย PDPA
    • ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวตนได้ หรือเชื่อมโยงไปสู่บุคคลทั้งทางตรง (ภาพใบหน้า ชื่อ-สกุล รหัสนักศึกษา รหัสบุคลากร) และทางอ้อม (ดูจากบริบทที่อาจมีโอกาสเดาหรือเชื่อมโยงได้ เช่น เพศชาย อายุระหว่าง 30-40 ปี ที่อยู่ในห้องประชุม...นี้)
    • องค์กรต้องจำกัดคำนิยามเพื่อแบ่งประเภท เพื่อกำหนดมาตรการรักษาความปลอดภัยตามลำดับ
    • กฎหมาย PDPA ไม่ได้นำมาใช้ในลักษณะ Personal Use
    • Personal Use คือ การกระทำที่ดำเนินการโดยส่วนบุคคล
    • ตัวอย่าง “การโพสต์รูปที่มีบุคคลอื่นติดอยู่ในรูปใน Social Media”
    • ไปร้านอาหารถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีส่วนตัว ได้รับการยกเว้นจาก PDPA เนื่องจากถือว่าเป็น Personal Use
    • เจ้าของร้านถ่ายรูปภายในร้านติดรูปลูกค้าในร้านโพสต์บัญชีร้าน ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
    • ทีมงานถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีเพจรีวิวอาหาร ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
    • การโพสต์เป็น Personal Use ได้รับการยกเว้นจาก PDPA แต่ถ้ามีผู้ได้รับผลกระทบจากการกระทำนั้น อาจจะได้รับโทษกฎหมายฉบับอื่นที่เท่าเทียม เช่น ทางแพ่ง อาญา พรบ.คอมพิวเตอร์ ถูกฟ้องร้องหมิ่นประมาท (PDPA ไม่ได้ยกเลิกกฎหมายฉบับก่อนหน้านั้น)
  • ตัวอย่าง Lawful basis ของกฎหมาย PDPA
    • แบบสอบถามหลังใช้บริการ จำเป็นต้องทำตาม PDPA เนื่องจากเป็น Professional Use
    • การขอความยินยอม จะมีเงื่อนไขที่บางกรณีได้รับการยกเว้นการขอความยินยอม และบางกรณีที่ต้องขอความยินยอม
    • การขอความยินยอมจะต้องให้อิสระต่อเจ้าของข้อมูล เป็นการขอโดยความสมัครใจ จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง ถ้าปฏิเสธให้ความยินยอมห้ามแจ้งว่าเจ้าของข้อมูลจะเสียผลประโยชน์อะไรบ้าง
    • ตัวอย่าง เข้าพักที่โรงแรมแห่งหนึ่ง ทางโรงแรมให้กรอกข้อมูลส่วนบุคคลสำหรับ Check-in
      • กรณีนี้ถือว่าโรงแรมคือฝ่ายเสนอบริการ และลูกค้าคือฝ่ายรับข้อเสนอ ซึ่งอยู่ในฐานสัญญา [หากลูกค้าไม่กรอกข้อมูลจะไม่ได้เข้าพัก เพราะโรงแรมมีความจำเป็นต้องเก็บข้อมูลผู้เข้าพัก เป็นการปฏิบัติตาม พรบ.อื่นที่เกี่ยวข้อง เช่น พรบ.โรงแรม]
      • หากมีการสอบถามเรื่องอื่น ๆ เช่น แบบสำรวจการออกกำลังกาย ฯลฯ ที่นอกเหนือจากฐานสัญญาข้างต้น โรงแรมจำเป็นต้องมี Privacy Notice แจ้งเจ้าของข้อมูลในเรื่องกฎหมายการใช้ เก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคล
    • ตัวอย่าง การเข้าใช้งาน Application ธนาคาร
      • ธนาคารจะมีการแจ้ง Privacy Notice เพื่อให้เจ้าของข้อมูลรับทราบ ซึ่งจะเป็นในส่วนเงื่อนไขและสัญญา (Term and Condition) และบางกรณีจะมีการขอความยินยอมในการนำข้อมูลส่วนบุคคลไปให้กับบริษัทประกันในเครือ เป็นต้น
    • ฐานปฏิบัติตามกฎหมาย (Legal Obligation) คือ การปฏิบัติตามกฎหมายอื่นเทียบเท่ากับ PDPA ทำได้โดยไม่ต้องขอความยินยอม เช่น พรบ.คอมพิวเตอร์ ซึ่งต้องมีการเก็บ Traffic Information
    • ฐานประโยชน์อันชอบธรรม (Legitimate Interest) คือ การดำเนินการจะต้องไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล ประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล ตัวอย่างเช่น
      • การติดตั้ง CCTV ต้องชั่งน้ำหนักว่าจุดประสงค์การติดตั้ง กับ ความเป็นส่วนตัว อะไรสำคัญกว่า เช่น การติดตั้ง CCTV ในห้องน้ำ [ในกรณีนี้ Privacy สำคัญกว่า]
      • การถ่ายภาพการจัดกิจกรรม (Public Event) : กิจกรรมเหล่านี้มีความเป็นส่วนตัวต่ำอยู่แล้ว ทั้งนี้ผู้จัดควรมีการแจ้งเรื่องการถ่ายภาพที่จุดลงทะเบียน, ให้พิธีกรแจ้ง หรือเปิด VDO ก่อนเริ่มกิจกรรม, แจกเอกสารประกอบกิจกรรมพร้อมแนบ Privacy Notice ไปให้กับผู้เข้ากิจกรรม เว้นแต่ถ้าหากกิจกรรมนั้นเป็นกิจกรรมภายในจะใช้ฐานนี้ไม่ได้
  • มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมาย PDPA
    • สำหรับกรณีบางระบบที่หน่วยงานไม่ได้ใช้งานแล้วในปัจจุบันและคิดว่าไม่มีอยู่แล้ว แต่ยังมี PIN URL ซึ่งอาจจะสามารถ Search ได้อยู่ ในส่วนนี้ขอให้ทางฝ่าย IT ตรวจสอบกรณีพวกนี้ต่อไปด้วย บางอุปกรณ์จำเป็นต้องมีการทำลายอย่างปลอดภัย เช่น Hard-disk
    • ในส่วนของการเก็บข้อมูลส่วนบุคคลอาจจะเก็บข้อมูลได้ดังนี้
      • Anonymization ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลไม่สามารถระบุตัวบุคคลได้
      • Pseudonymization เป็นการเก็บข้อมูลแฝง ใช้รหัสอ้างอิงแทนการใช้ข้อมูลส่วนบุคคล
      • ตัวอย่าง การจัดอบรมและต้องการสอบถามเรื่องการทานอาหารของผู้เข้าอบรม ต้องคำนึงว่าจุดประสงค์ของการถามครั้งนี้ เก็บเท่าที่จำเป็น เรื่องใดที่ไม่จำเป็นและหาฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) มารองรับไม่ได้ อาจจะลดคำถามเหล่านั้นแทน ซึ่งอาจจะถามเป็นเมนูอาหาร แทนสอบถามถามศาสนา หรือ การแพ้อาหาร (ข้อมูลส่วนบุคคลอ่อนไหว)
  • FAQ
    • การทำ R2R ทำได้หรือไม่
      • กรณีนี้อาจจะดำเนินการในฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) หรือ ฐานจดหมายเหตุ/วิจัย/สถิติ แต่อย่างไรก็ตามต้องปฏิบัติตาม IRB
      • สามารถขอคำปรึกษา/แนะนำได้ที่ศูนย์อำนวยการด้านข้อมูลส่วนบุคคลมหาวิทยาลัยมหิดล
    • นักศึกษาบันทึกวิดีโอขณะอาจารย์สอน สามารถนำไปโพสต์และเปิดสาธารณะได้หรือไม่ ภาพและเสียงการบรรยายของอาจารย์ได้รับการยกเว้น PDPA หรือไม่ และถ้าไม่ได้รับยกเว้นจะสามารถใช้ฐานประมวลกฎหมายอะไร
      • กรณีเปิดเผยเพื่อเป็นประโยชน์ส่วนตน เปิดเผยวงแคบ ไม่มีเชิงพาณิชย์ อาจจะเข้าข่ายกรณี Fair Use หรือไม่ จำเป็นต้องสอบถามไปยังผู้เชี่ยวชาญต่อไป อาจจะเป็น Personal Use
      • กรณีเปิดเผยโพสต์ขาย จะเข้าข่ายเชิงพาณิชย์ ซึ่งจะไม่ได้รับการยกเว้น จำเป็นต้องการขอความยินยอมเจ้าของข้อมูล
      • กรณีเปิดเผยไฟล์ประกอบการบรรยาย ในส่วนนี้ไม่เกี่ยวข้องกับ PDPA แต่จะไปเกี่ยวข้องกับ พรบ.ลิขสิทธิ์ ในส่วนนี้ต้องมีการพิจารณาในกฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป เพราะถือว่าเป็นทรัพย์สินทางปัญญาของอาจารย์ผู้สอน
      • อาจจะไม่ผิดใน PDPA แต่ต้องพิจารณากฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป
    • การนำข้อมูลโรคประจำตัวนักศึกษามาปรึกษาในที่ประชุมของอาจารย์
      • อาจจะพูดกว้าง ๆ ไม่ลงรายละเอียดของโรค เนื่องจากเป็น ข้อมูลสุขภาพ (ข้อมูลส่วนบุคคลอ่อนไหว)
      • อาจจะใช้ว่ามีปัญหาสุขภาพแทนการลงลายละเอียดของโรค
      • ขอความยินยอมจากเจ้าของข้อมูลเพื่อดำเนินการต่อไป
      • หมายเหตุ: การขอความยินยอมจะเข้าหมวด 19 วรรค 4 จำเป็นต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง
    • การเปิดเผยตัวอย่างใบเสร็จรับเงินฉบับสมบูรณ์สามารถดำเนินการได้หรือไม่
      • อาจจะใช้ฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) ทั้งนี้ต้องชั่งน้ำหนักว่าเรื่องประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล
    • การใช้สำเนาบัตรประชาชนในใบสำคัญรับเงินต้องขอความยินยอมหรือไม่
      • ให้พิจารณาว่าความจำเป็นดังกล่าวเข้ากับฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ใด
      • ขอให้ดูความจำเป็นในการใช้สำเนาบัตรประชาชน หากไม่จำเป็นต้องเก็บสำเนาบัตรประชาชน อาจจะทำการ Verify เช่น การขอดูบัตรประชาชนฉบับจริงก่อนเพื่อพิมพ์ข้อมูลใบสำคัญรับเงินและคืนบัตรประชาชนให้กับเจ้าของข้อมูล
      • กรณีการจ่ายค่าตอบแทนวิทยากร อาจจะเข้าข่ายฐานสัญญา

สรุปโดย: อนงค์นาฏ พัฒนศักดิ์ศิริ


   
อ้างอิง
แบ่งปัน:
1,458,587 views since 16 August 2018