ถอดบทเรียนการเสวนาหัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"

บทความทั่วไป (General-Articles)

โพสต์ล่าสุด โดย Anongnat Patthanasaksiri 3 สัปดาห์ ที่ผ่านมา

1 โพสต์

1 ผู้ใช้

0 Reactions

59 เข้าชม

RSS

Anongnat Patthanasaksiri

(@anongnat-patthanasaksiri)

Trusted Member

เข้าร่วม: 6 ปี ที่ผ่านมา

กระทู้: 26

หัวข้อเริ่มต้น 08/05/2025 10:51 am

ถอดบทเรียนการเสวนา หัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"

วันที่ 3 เมษายน 2568 เวลา 13.00 – 16.00 น. การถ่ายทอดสดผ่านระบบ IPTV

วิทยากร:

อ.ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ ที่ปรึกษาอธิการบดีมหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล
ผศ.ดร. โษฑศ์รัตต ธรรมบุษดี ผู้ช่วยคณบดีฝ่ายการเปลี่ยนแปลงทางดิจิทัลขององค์กร คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล/ ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล

ประเด็นการเสวนา:

ที่มาและความสำคัญของกฎหมาย PDPA
- กฎหมาย PDPA มีที่มาจากกฎหมายของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation (GDPR)
- GDPR คือกฎหมายที่หมายรวมถึงกิจกรรมประมวลผลข้อมูลส่วนบุคคลทั้งภายในและภายนอก EU ซึ่งประเทศนอก EU มีความจำเป็นต้องดำเนินการในมาตรฐานเดียวกันหรือเท่ากันถึงจะประมวลผลข้อมูลส่วนบุคคลได้ จึงทำให้เกิดภาวะโดมิโนในประเทศต่าง ๆ ที่ต้องมีกฎหมายที่ใกล้เคียงกับ GDPR
- ประเทศไทยจึงมีกฎหมาย พรบ.PDPA ขึ้น และบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 ที่ทุกคนต้องปฏิบัติตาม
- PDPA เป็นกฎหมายเพื่อคุ้มครองสิทธิบุคคลธรรมดา เพื่อความเป็นส่วนตัวและความปลอดภัยส่วนบุคคล
- PDPA เป็นกฎหมายฉบับแม่ ซึ่งมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดูแลและออกกฎหมายฉบับรอง ซึ่งกฎหมายฉบับรอง มี 2 ประเภท คือ 1) มีความจำเป็นต้องออก (ในปัจจุบันออกครบแล้ว) และ 2) ไม่บังคับออกกฎหมาย
- มหาวิทยาลัยมหิดล จัดทำหลักสูตรด้าน PDPA สำหรับให้บุคลากรและนักศึกษา สามารถเข้าไปเรียนรู้เพื่อทำความเข้าใจเกี่ยวกับ PDPA ทั้ง Version ภาษาไทยและภาษาอังกฤษ
- หากมีประเด็นข้อสงสัยสามารถศึกษาเพิ่มเติมได้ที่ เว็บไซต์ สคส. ( https://www.pdpc.or.th/ )
ข้อควรระมัดระวังของกฎหมาย PDPA
- ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวตนได้ หรือเชื่อมโยงไปสู่บุคคลทั้งทางตรง (ภาพใบหน้า ชื่อ-สกุล รหัสนักศึกษา รหัสบุคลากร) และทางอ้อม (ดูจากบริบทที่อาจมีโอกาสเดาหรือเชื่อมโยงได้ เช่น เพศชาย อายุระหว่าง 30-40 ปี ที่อยู่ในห้องประชุม...นี้)
- องค์กรต้องจำกัดคำนิยามเพื่อแบ่งประเภท เพื่อกำหนดมาตรการรักษาความปลอดภัยตามลำดับ
- กฎหมาย PDPA ไม่ได้นำมาใช้ในลักษณะ Personal Use
- Personal Use คือ การกระทำที่ดำเนินการโดยส่วนบุคคล
- ตัวอย่าง “การโพสต์รูปที่มีบุคคลอื่นติดอยู่ในรูปใน Social Media”
- ไปร้านอาหารถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีส่วนตัว ได้รับการยกเว้นจาก PDPA เนื่องจากถือว่าเป็น Personal Use
- เจ้าของร้านถ่ายรูปภายในร้านติดรูปลูกค้าในร้านโพสต์บัญชีร้าน ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
- ทีมงานถ่ายรูปรีวิวอาหารมีรูปคนอื่นติดแต่โพสต์ในบัญชีเพจรีวิวอาหาร ไม่ได้รับการยกเว้น PDPA เนื่องจากถือว่าเป็น Professional Use
- การโพสต์เป็น Personal Use ได้รับการยกเว้นจาก PDPA แต่ถ้ามีผู้ได้รับผลกระทบจากการกระทำนั้น อาจจะได้รับโทษกฎหมายฉบับอื่นที่เท่าเทียม เช่น ทางแพ่ง อาญา พรบ.คอมพิวเตอร์ ถูกฟ้องร้องหมิ่นประมาท (PDPA ไม่ได้ยกเลิกกฎหมายฉบับก่อนหน้านั้น)
ตัวอย่าง Lawful basis ของกฎหมาย PDPA
- แบบสอบถามหลังใช้บริการ จำเป็นต้องทำตาม PDPA เนื่องจากเป็น Professional Use
- การขอความยินยอม จะมีเงื่อนไขที่บางกรณีได้รับการยกเว้นการขอความยินยอม และบางกรณีที่ต้องขอความยินยอม
- การขอความยินยอมจะต้องให้อิสระต่อเจ้าของข้อมูล เป็นการขอโดยความสมัครใจ จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง ถ้าปฏิเสธให้ความยินยอมห้ามแจ้งว่าเจ้าของข้อมูลจะเสียผลประโยชน์อะไรบ้าง
- ตัวอย่าง เข้าพักที่โรงแรมแห่งหนึ่ง ทางโรงแรมให้กรอกข้อมูลส่วนบุคคลสำหรับ Check-in
  - กรณีนี้ถือว่าโรงแรมคือฝ่ายเสนอบริการ และลูกค้าคือฝ่ายรับข้อเสนอ ซึ่งอยู่ในฐานสัญญา [หากลูกค้าไม่กรอกข้อมูลจะไม่ได้เข้าพัก เพราะโรงแรมมีความจำเป็นต้องเก็บข้อมูลผู้เข้าพัก เป็นการปฏิบัติตาม พรบ.อื่นที่เกี่ยวข้อง เช่น พรบ.โรงแรม]
  - หากมีการสอบถามเรื่องอื่น ๆ เช่น แบบสำรวจการออกกำลังกาย ฯลฯ ที่นอกเหนือจากฐานสัญญาข้างต้น โรงแรมจำเป็นต้องมี Privacy Notice แจ้งเจ้าของข้อมูลในเรื่องกฎหมายการใช้ เก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคล
- ตัวอย่าง การเข้าใช้งาน Application ธนาคาร
  - ธนาคารจะมีการแจ้ง Privacy Notice เพื่อให้เจ้าของข้อมูลรับทราบ ซึ่งจะเป็นในส่วนเงื่อนไขและสัญญา (Term and Condition) และบางกรณีจะมีการขอความยินยอมในการนำข้อมูลส่วนบุคคลไปให้กับบริษัทประกันในเครือ เป็นต้น
- ฐานปฏิบัติตามกฎหมาย (Legal Obligation) คือ การปฏิบัติตามกฎหมายอื่นเทียบเท่ากับ PDPA ทำได้โดยไม่ต้องขอความยินยอม เช่น พรบ.คอมพิวเตอร์ ซึ่งต้องมีการเก็บ Traffic Information
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest) คือ การดำเนินการจะต้องไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล ประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล ตัวอย่างเช่น
  - การติดตั้ง CCTV ต้องชั่งน้ำหนักว่าจุดประสงค์การติดตั้ง กับ ความเป็นส่วนตัว อะไรสำคัญกว่า เช่น การติดตั้ง CCTV ในห้องน้ำ [ในกรณีนี้ Privacy สำคัญกว่า]
  - การถ่ายภาพการจัดกิจกรรม (Public Event) : กิจกรรมเหล่านี้มีความเป็นส่วนตัวต่ำอยู่แล้ว ทั้งนี้ผู้จัดควรมีการแจ้งเรื่องการถ่ายภาพที่จุดลงทะเบียน, ให้พิธีกรแจ้ง หรือเปิด VDO ก่อนเริ่มกิจกรรม, แจกเอกสารประกอบกิจกรรมพร้อมแนบ Privacy Notice ไปให้กับผู้เข้ากิจกรรม เว้นแต่ถ้าหากกิจกรรมนั้นเป็นกิจกรรมภายในจะใช้ฐานนี้ไม่ได้
มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามกฎหมาย PDPA
- สำหรับกรณีบางระบบที่หน่วยงานไม่ได้ใช้งานแล้วในปัจจุบันและคิดว่าไม่มีอยู่แล้ว แต่ยังมี PIN URL ซึ่งอาจจะสามารถ Search ได้อยู่ ในส่วนนี้ขอให้ทางฝ่าย IT ตรวจสอบกรณีพวกนี้ต่อไปด้วย บางอุปกรณ์จำเป็นต้องมีการทำลายอย่างปลอดภัย เช่น Hard-disk
- ในส่วนของการเก็บข้อมูลส่วนบุคคลอาจจะเก็บข้อมูลได้ดังนี้
  - Anonymization ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลไม่สามารถระบุตัวบุคคลได้
  - Pseudonymization เป็นการเก็บข้อมูลแฝง ใช้รหัสอ้างอิงแทนการใช้ข้อมูลส่วนบุคคล
  - ตัวอย่าง การจัดอบรมและต้องการสอบถามเรื่องการทานอาหารของผู้เข้าอบรม ต้องคำนึงว่าจุดประสงค์ของการถามครั้งนี้ เก็บเท่าที่จำเป็น เรื่องใดที่ไม่จำเป็นและหาฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) มารองรับไม่ได้ อาจจะลดคำถามเหล่านั้นแทน ซึ่งอาจจะถามเป็นเมนูอาหาร แทนสอบถามถามศาสนา หรือ การแพ้อาหาร (ข้อมูลส่วนบุคคลอ่อนไหว)
FAQ
- การทำ R2R ทำได้หรือไม่
  - กรณีนี้อาจจะดำเนินการในฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) หรือ ฐานจดหมายเหตุ/วิจัย/สถิติ แต่อย่างไรก็ตามต้องปฏิบัติตาม IRB
  - สามารถขอคำปรึกษา/แนะนำได้ที่ศูนย์อำนวยการด้านข้อมูลส่วนบุคคลมหาวิทยาลัยมหิดล
- นักศึกษาบันทึกวิดีโอขณะอาจารย์สอน สามารถนำไปโพสต์และเปิดสาธารณะได้หรือไม่ ภาพและเสียงการบรรยายของอาจารย์ได้รับการยกเว้น PDPA หรือไม่ และถ้าไม่ได้รับยกเว้นจะสามารถใช้ฐานประมวลกฎหมายอะไร
  - กรณีเปิดเผยเพื่อเป็นประโยชน์ส่วนตน เปิดเผยวงแคบ ไม่มีเชิงพาณิชย์ อาจจะเข้าข่ายกรณี Fair Use หรือไม่ จำเป็นต้องสอบถามไปยังผู้เชี่ยวชาญต่อไป อาจจะเป็น Personal Use
  - กรณีเปิดเผยโพสต์ขาย จะเข้าข่ายเชิงพาณิชย์ ซึ่งจะไม่ได้รับการยกเว้น จำเป็นต้องการขอความยินยอมเจ้าของข้อมูล
  - กรณีเปิดเผยไฟล์ประกอบการบรรยาย ในส่วนนี้ไม่เกี่ยวข้องกับ PDPA แต่จะไปเกี่ยวข้องกับ พรบ.ลิขสิทธิ์ ในส่วนนี้ต้องมีการพิจารณาในกฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป เพราะถือว่าเป็นทรัพย์สินทางปัญญาของอาจารย์ผู้สอน
  - อาจจะไม่ผิดใน PDPA แต่ต้องพิจารณากฎหมายฉบับอื่นที่เท่าเทียมกันต่อไป
- การนำข้อมูลโรคประจำตัวนักศึกษามาปรึกษาในที่ประชุมของอาจารย์
  - อาจจะพูดกว้าง ๆ ไม่ลงรายละเอียดของโรค เนื่องจากเป็น ข้อมูลสุขภาพ (ข้อมูลส่วนบุคคลอ่อนไหว)
  - อาจจะใช้ว่ามีปัญหาสุขภาพแทนการลงลายละเอียดของโรค
  - ขอความยินยอมจากเจ้าของข้อมูลเพื่อดำเนินการต่อไป
  - หมายเหตุ: การขอความยินยอมจะเข้าหมวด 19 วรรค 4 จำเป็นต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล จะนำการขอความยินยอมมาเป็นเงื่อนไขในการให้บริการไม่ได้ถ้าไม่เกี่ยวข้อง
- การเปิดเผยตัวอย่างใบเสร็จรับเงินฉบับสมบูรณ์สามารถดำเนินการได้หรือไม่
  - อาจจะใช้ฐานขอความยินยอม หรือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) ทั้งนี้ต้องชั่งน้ำหนักว่าเรื่องประโยชน์ดังกล่าวนั้นไม่น้อยกว่าสิทธิส่วนบุคคลของเจ้าของข้อมูล
- การใช้สำเนาบัตรประชาชนในใบสำคัญรับเงินต้องขอความยินยอมหรือไม่
  - ให้พิจารณาว่าความจำเป็นดังกล่าวเข้ากับฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ใด
  - ขอให้ดูความจำเป็นในการใช้สำเนาบัตรประชาชน หากไม่จำเป็นต้องเก็บสำเนาบัตรประชาชน อาจจะทำการ Verify เช่น การขอดูบัตรประชาชนฉบับจริงก่อนเพื่อพิมพ์ข้อมูลใบสำคัญรับเงินและคืนบัตรประชาชนให้กับเจ้าของข้อมูล
  - กรณีการจ่ายค่าตอบแทนวิทยากร อาจจะเข้าข่ายฐานสัญญา

สรุปโดย: อนงค์นาฏ พัฒนศักดิ์ศิริ

อ้างอิง

แบ่งปัน:

ไอคอนฟอรัม: ฟอรัมไม่มีโพสต์ที่ยังไม่ได้อ่าน ฟอรัมมีโพสต์ที่ยังไม่ได้อ่าน

ไอคอนหัวข้อ: ไม่ตอบกลับ ตอบแล้ว ใช้งานอยู่ มาแรง ปักหมุด ไม่ได้รับการอนุมัติ ได้คำตอบแล้ว ส่วนตัว ปิด

1,469,221 views since 16 August 2018

Cookie	Duration	Description
apbct_cookies_test	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_page_hits	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_prev_referer	session	Functional cookie placed by CleanTalk Spam Protect to store referring IDs and prevent unauthorized spam from being sent from the website.
apbct_site_landing_ts	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_site_referer	3 days	This cookie is placed by CleanTalk Spam Protect to prevent spam and to store the referrer page address which led the user to the website.
apbct_timestamp	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_urls	3 days	This cookie is placed by CleanTalk Spam Protect to prevent spam and to store the addresses (urls) visited on the website.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
ct_checkjs	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_fkp_timestamp	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_pointer_data	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_ps_timestamp	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_sfw_pass_key	1 month	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_123945990_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duration	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

ถอดบทเรียนการเสวนา หัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"

Share this:

ถอดบทเรียนการเสวนาหัวข้อ "เช็กให้ชัวร์ กฎหมาย PDPA แบบไหนทำได้ ทำไม่ได้"