คำถามที่พบบ่อย FAQ
FAQ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA)
ที่มา: EP01_Training พรบ คุ้มครองข้อมูลส่วนบุคคล PDPA Part 1:2 (สำหรับผู้บริหาร)
https://www.youtube.com/watch?v=PrL5Zd2F1ck
การใช้กฎหมายเป็นเครื่องมือ บูรณาการ แบ่งปัน แลกเปลี่ยนข้อมูลภาครัฐ
https://www.youtube.com/watch?v=2H4F_aY3Hns
1. ข้อมูลส่วนบุคคล (Personal Data) คืออะไร
ตอบ : ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น เลขประจำตัวประชาชน, ชื่อ-นามสกุล
2. ข้อมูลคนตาย ข้อมูลนิติบุคคล เป็นข้อมูลส่วนบุคคลหรือไม่
ตอบ : ไม่เป็นข้อมูลส่วนบุคคลตามกฎหมาย
3. หน่วยงานที่รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ตอบ : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นหน่วยงานองค์กรอิสระในการกำกับดูแลเรื่องข้อมูลส่วนบุคคล หากมีข้อสงสัยเกี่ยวกับ PDPA หรือ มีข้อร้องเรียน สามารถติดต่อได้ที่เบอร์ 02-142-1033 และทางอีเมล [email protected]
4. บทลงโทษจากการใช้ข้อมูลส่วนบุคคลเกินขอบเขตการใช้งาน
ตอบ : โทษทางปกครองปรับ 500,000 – 5,000,000 บาท โทษจำคุก 6 เดือน – 1 ปี
5. กรณีการใช้ข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอม
ตอบ :
– ฐานความยินยอม
– จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
– จำเป็นเพื่อประโยชน์สาธารณะและการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
– จำเป็นเพื่อการปฏิบัติตามสัญญา
– การปฏิบัติตามกฎหมาย
– ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล
6. ทุกองค์กรจำเป็นต้องมี DPO (Data Protection Officer) หรือไม่
ตอบ : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลระบุให้หน่วยงานต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในกรณีดังนี้
1. ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
2. มีการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่าง
สม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก
3. กิจกรรมหลักเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งข้อมูลละเอียดอ่อน
(Sensitive personal data)
7. DPO ต้องมีใบประกาศหรือไม่
ตอบ : ขณะนี้ยังไม่มี
8. บริษัทบังคับให้พนักงานเซ็นหนังสือให้ความยินยอมในการเปิดเผยข้อมูลแก่บุคคลภายนอกได้หรือไม่
ตอบ : ไม่ได้
9. กฎหมายหลักๆ ที่เกี่ยวข้องกับการบูรณาการข้อมูล มีอะไรบ้าง
ตอบ :
– พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
– พระราชบัญญัติบัตรประจำตัวประชาชน (ฉบับที่ 3) พ.ศ. 2554
– พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
– พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540
10. ธรรมาภิบาลข้อมูลภาครัฐ ทำไปเพื่ออะไร
ตอบ :
– เพื่อให้การบริหารงานและบริการภาครัฐผ่านระบบดิจิทัลมีประสิทธิภาพ อำนวยความสะดวกแก่
ประชาชน
– เพื่อส่งเสริมให้เกิดการเปิดข้อมูล (Open Data)
– เพื่อให้เกิดการบูรณาการร่วมกัน
11. หน่วยงานหนึ่งสามารถขอข้อมูลส่วนบุคคลจากอีกหน่วยงานหนึ่งได้หรือไม่
ตอบ : โดยปกติการเก็บข้อมูลส่วนบุคคลต้องเก็บจากเจ้าของข้อมูลโดยตรง ยกเว้น
– แจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมให้เก็บข้อมูล
– กรณีที่สามารถเก็บข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
(๑) การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
(๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(๓) เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
(๔) เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้ แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(๕) เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
(๖) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
– กรณีที่สามารถเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เช่น เชื้อชาติ เผ่าพันธุ์ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ
ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล ชีวภาพ ได้โดย ไม่ต้องขอความยินยอม
(๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(๒) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
(๓) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้ง
(๔) เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
(๕) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การแพทย์ สุขภาพ
(ข) ประโยชน์สาธารณะด้านการสาธารณสุข
(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ
(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
(จ) ประโยชน์สาธารณะที่สาคัญ
12. บทลงโทษของการเปิดเผยข้อมูลส่วนบุคคลของผู้อื่น คือ
ตอบ : จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ยกเว้นกรณีดังต่อไปนี้
(๑) การเปิดเผยตามหน้าที่
(๒) การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี
(๓) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย
(๔) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(๕) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ
13. ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับจะทำอย่างไร
ตอบ : ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บข้อมูลส่วนบุคคลนั้นต่อไปได้ โดยต้องกำหนดวิธีการยกเลิก ความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูล ส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
14. หากต้องการขอข้อมูลส่วนบุคคลจากหน่วยงานอื่น ต้องทำอย่างไร
ทำหนังสือขอข้อมูล พร้อมอ้างอิงฐานกฎหมายจาก พรบ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 24, 25,26
15. กรณีได้รับหนังสือขอข้อมูลเพื่อจัดทำ Big Data ของกระทรวงฯ ต้องทำอย่างไร
ตอบ : หน่วยงานสามารถส่งข้อมูลให้ได้ตามที่ขอโดยแจ้งให้หน่วยงานที่ขอข้อมูลทราบว่าจะต้องดูแลข้อมูลเหล่านั้นในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
16. การขอข้อมูลระหว่างหน่วยงานให้มีความคล่องตัว มีแนวทางดำเนินการอย่างไร
ตอบ :
– จัดทำข้อปฏิบัติในการเผยแพร่ข้อมูล เพื่อให้ผู้ปฏิบัติสามารถปฏิบัติได้เลยโดยไม่ต้องขออนุญาตเป็นครั้ง
– อธิบายว่าข้อมูล field ใด สามารถเผยแพร่ให้ได้ในระดับใด เช่น ใช้งานภายใน แชร์ให้หน่วยงานอื่น เปิดสาธารณะ
17. เตรียมข้อมูลส่วนบุคคลอย่างไรให้เปิดเผยได้
ตอบ :
– ทำข้อมูลให้เป็นนิรนาม (Anonymization) คือการทำให้ข้อมูลส่วนบุคคลเหล่านั้นกลายเป็นข้อมูลที่ไม่สามารถบ่งชี้ตัวบุคคลได้
– ลดความละเอียดของข้อมูล เช่น วันเดือนปีเกิดเปลี่ยนให้เหลือแค่ปีเกิด ที่อยู่เปลี่ยนให้เหลือแค่รหัสไปรษณีย์
รายละเอียดกฎหมายที่เกี่ยวข้อง
1. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
