Relationship Between Thailand's Official Information Act and Personal Data Protection Act

Relationship Between Thailand's Official Information Act and Personal Data Protection Act
1 ความสัมพันธ์ระหว่างพระราชบัญญัติ ข้อมูลข่าวสารของราชการ พ.ศ. 2540 กับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นพ.นวนรรน ธีระอัมพรพันธุ์ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 17 มีนาคม 2566 www.SlideShare.net/Nawanan
2 Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน หรืออนาคต
3 Outline • พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 • พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ • ตัวอย่างการปรับใช้กฎหมายในการตอบข้อ หารือ
5 พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
6 หลักการบริหารกิจการบ้านเมืองและสังคมที่ดี
14 พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 • “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
34 Security & Privacy http://en.wikipedia.org/wiki/A._S._Bradford_House
35 ▪Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia) ▪Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Security & Privacy
36 Confidentiality •การรักษาความลับของข้อมูล Integrity •การรักษาความครบถ้วนและ ความถูกต้องของข้อมูล •ปราศจากการเปลี่ยนแปลงแก้ไข ทาให้สูญหาย ทาให้เสียหาย หรือถูกทาลายโดยมิชอบ Availability •การรักษาสภาพพร้อมใช้งาน หลักการสาคัญของ Information Security
37 TDPG 1.0 TDPG 2.0 TDPG 3.0 TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/wp-content/ uploads/2020/12/TDPG3.0-C5-20201208.pdf คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
38 เหตุผลในการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
39 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หมวด 1 คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล • หมวด 2 การคุ้มครองข้อมูลส่วน บุคคล • ส่วนที่ 1 บททั่วไป • ส่วนที่ 2 การเก็บรวบรวมข้อมูล ส่วนบุคคล • ส่วนที่ 3 การใช้หรือเปิดเผย ข้อมูลส่วนบุคคล • หมวด 3 สิทธิของเจ้าของข้อมูล ส่วนบุคคล • หมวด 4 สานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล • หมวด 5 การร้องเรียน • หมวด 6 ความรับผิดทางแพ่ง • หมวด 7 บทกาหนดโทษ • ส่วนที่ 1 โทษอาญา • ส่วนที่ 2 โทษทางปกครอง • บทเฉพาะกาล
40 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่ เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี
41 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
42 ประมวลกฎหมายอาญา มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
43 ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม แห่งวิชาชีพเวชกรรม พ.ศ. 2549 วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน ทานองเดียวกัน
44 คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ปววย 7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง ของผู้ป่วยหรือตามกฎหมาย
45 พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
46 พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน... (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...
47 ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559 http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
50 กฎหมายเฉพาะ • พรบ.โรคติดต่อ พ.ศ. 2558
51 กฎหมายเฉพาะ • พรบ.สุขภาพจิต พ.ศ. 2551
52 กฎหมายเฉพาะ • พรบ.สุขภาพจิต พ.ศ. 2551
53 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 2. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เก็บรวบรวม (Collection) ใช้ (Use) เปิดเผย (Disclosure) กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บ รักษา + วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)
54 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 3. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับ บุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือ ทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2 ประเภท • ข้อมูลส่วนบุคคลทั่วไป (General Personal Data) • ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive Personal Data)
55 Sensitive Personal Data Reference: PDPA ม.26 “ข้อมูลชีวภาพ” ตาม PDPA คือ Biometric Data (ที่ถูก คือ ข้อมูลชีว มาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด แต่คาอธิบายใน พ.ร.บ. หมายถึง Biometric Data
56 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 4. ใครเป็นใคร ใน PDPA • Data Subject (เจ้าของข้อมูลฯ) • Controller (เก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อ วัตถุประสงค์ในกิจการของตน) • Processor (ทาตามสั่ง/ในนาม ของ Controller)
57 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 5. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization) • การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยง ของทั้ง controller และ data subject • แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้ • “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน ซึ่งไม่ใช่ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง “ฐานทางกฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐาน เท่านั้น โดยแต่ละฐานจะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้ แตกต่างกัน
58 ฐานทางกฎหมายใน PDPA (กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive) 1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics) 2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest) 3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ในการ ดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance) 4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือใน การใช้อานาจรัฐ (Public Task) 5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ (Legitimate Interest) 6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation) 7. ได้รับความยินยอม (Consent) Reference: PDPA ม.24
59 ฐานการประมวลผลข้อมูล Lawful Basis in PDPA สาหรับข้อมูลส่วนบุคคลที่ ไม่ใช่ Sensitive Personal Data Reference: PDPA ม.24
60 ฐานการประมวลผลข้อมูล Lawful Basis in PDPA สาหรับ Sensitive Personal Data Reference: PDPA ม.26
61 ฐานการประมวลผลข้อมูล Lawful Basis in PDPA สาหรับ Sensitive Personal Data Reference: PDPA ม.26
62 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด ก็ตาม • (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่ แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น Reference: PDPA ม.26
63 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ ข้อมูลส่วนบุคคล • (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม กฎหมาย Reference: PDPA ม.26
64 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์ Reference: PDPA ม.26
65 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้ มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม จริยธรรมแห่งวิชาชีพ Reference: PDPA ม.26
66 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ ของเจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
67 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์ สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด • (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
68 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 6. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent should be the last resort.) • เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ ตัดสินใจ • หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีที่โรงพยาบาล/แพทย์ ต้องขอ consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทาวิจัย ซึ่ง เป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร
69 Consent ใน PDPA
70 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) • ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้ หรือกฎหมายอื่นบัญญัติให้กระทาได้ • การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ • ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้ เข้าใจผิดในวัตถุประสงค์ดังกล่าว... • ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
71 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) • เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน หมวดนี้ • ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ ถอนความยินยอมนั้น • การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้
72 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 7. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง • แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ เก็บรวบรวมข้อมูล • ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง) • ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice ใหม่
73 การแจ้งวัตถุประสงค์และ รายละเอียดให้เจ้าของข้อมูล ส่วนบุคคลทราบ (Privacy Notice)
74 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 8. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่ • ดูแล Security ให้ดี • มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ • ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy) • แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ • จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ • พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA • พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง • ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของ processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller • แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือมีข้อมูลจานวนมาก)
75 Data Controller Responsibilities 1. Security 2. Preventing Unauthorized Processing 3. Data Retention 4. Breach Notification 5. Record of Processing Activities (ROPA) 6. International Data Transfer 7. Secondary Data Collection 8. Data Processing Agreement (DPA) 9. Data Protection Officer (DPO)
76 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 9. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้ สิทธิของเจ้าของข้อมูลส่วนบุคคล • Right to be informed (Privacy Notice) • Right of Access • Right to Data Portability • Right to Object • Right to be Forgotten • Right to Restrict Processing • Right of Rectification
77 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 10. ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้ สามารถ ใช้ต่อไปได้ตามวัตถุประสงค์เดิม • ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject ถอน ความยินยอมได้ • ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง ดาเนินการตาม PDPA เต็มรูป • ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น (repurpose) ต้องดาเนินการตาม PDPA เต็มรูป
78 Scenario ที่พบบ่อยในทางการแพทย์ A. การรักษาผู้ปววยฉุกเฉิน Lawful Basis: Vital Interest Notes: เมื่อผู้ป่วยรู้ตัวและไม่ได้อยู่ในภาวะฉุกเฉิน ควรพิจารณาแจ้ง Privacy Notice ให้ ทราบ B. การรักษาผู้ปววย non-emergency Lawful Basis: - Health Professional Service Contract ม.26 (5) (ก) - Legal Obligation (Preventive or Occupational Medicine) กรณีตรวจสุขภาพตาม กฎหมายแรงงานหรือการรักษาที่มีกฎหมายกาหนด เช่น พ.ร.บ.การแพทย์ฉุกเฉิน พ.ร.บ. สุขภาพจิต พ.ร.บ.ระบบสุขภาพปฐมภูมิ - การบันทึกข้อมูลในเวชระเบียน เป็น Legal Obligation ตาม พ.ร.บ.สถานพยาบาล
79 Scenario ที่พบบ่อยในทางการแพทย์ C. การรักษา/ถ่ายภาพ/เปิดเผยข้อมูลผู้ปววยคดี Lawful Basis: Legal Obligation (Substantial Public Interest) หรืออาจได้รับ ยกเว้นการบังคับใช้ PDPA หากเป็นส่วนหนึ่งของกระบวนการพิจารณาคดีทางอาญา D. การถ่ายภาพ/ขอเปิดเผยข้อมูลผู้ปววยเพื่อการเรียนรู้/ประโยชน์ทางวิชาการ (ไม่ใช่วิจัย) Lawful Basis: - ดาเนินการได้เลย หากไม่สามารถระบุตัวตนได้ (ไม่ใช่ข้อมูลส่วนบุคคล) - กรณีที่ระบุตัวตนได้ ควรขอ Consent - กรณีที่ระบุตัวตนได้ และใช้เพื่อประชาสัมพันธ์/marketing ต้องขอ Consent และ ให้ระวังความผิดฐานโฆษณาสถานพยาบาลหรือโฆษณาผู้ประกอบวิชาชีพฯ ด้วย
80 Scenario ที่พบบ่อยในทางการแพทย์ E. การวิจัย Lawful Basis: Archiving, Scientific or Historical Research Notes: ควรปฏิบัติตามมาตรฐานของ Ethics Committee ขององค์กรด้วย และรอติดตามประกาศตาม PDPA เกี่ยวกับมาตรการคุ้มครองเจ้าของข้อมูลฯ ในการวิจัย F. การส่งข้อมูลเพื่อเบิกจ่ายค่ารักษาพยาบาลกับกองทุนของรัฐ เช่น สปสช. สปส. กรมบัญชีกลาง Lawful Basis: - Health or Social Care System ม.26 (5) (ค)
81 Scenario ที่พบบ่อยในทางการแพทย์ G. การส่งข้อมูลสุขภาพให้บริษัทประกันเอกชน Lawful Basis: Explicit Consent H. การแจ้งข้อมูลที่เป็นการปฏิบัติตามกฎหมาย เช่น โรคติดต่ออันตราย การ แจ้งข้อมูล post-market surveillance ของยา เครื่องมือแพทย์ หรือ ผลิตภัณฑ์สุขภาพ Lawful Basis: Legal Obligation (Public Health)
82 กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว • ประกาศคณะกรรมการฯ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการ ขนาดเล็ก พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการของ กิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเพื่อพ้นกาหนด 180 วันนับแต่วัน ประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
83 กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว • ระเบียบคณะกรรมการฯ ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการ พิจารณาคาร้องเรียน พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การพ้นจาก ตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ • ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 • ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
104 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ • มีหลักการเก็บรวบรวมข้อมูลข่าวสาร ส่วนบุคคลเท่าที่จาเป็น (ม.23(1)) • มีหลักการว่าต้องพยายามเก็บข้อมูล ข่าวสารโดยตรงจากเจ้าของข้อมูล (ม.23(2)) • ให้หน่วยงานของรัฐจัดพิมพ์ข้อมูล เกี่ยวกับข้อมูลข่าวสารส่วนบุคคลในราช กิจจานุเบกษา (ม.23(3)) PDPA • มีหลักการเก็บรวบรวมข้อมูลส่วนบุคคล เท่าที่จาเป็น (ม.22) • ห้ามเก็บรวบรวมข้อมูลส่วนบุคคลจาก แหล่งอื่น หากไม่เข้าข้อยกเว้น (ม.25) • ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้ง privacy notice ให้เจ้าของข้อมูลส่วน บุคคลทราบวัตถุประสงค์และ รายละเอียดในการเก็บรวบรวมข้อมูล ส่วนบุคคล ก่อนหรือในขณะเก็บรวบรวม (ม.23)
105 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ • หน่วยงานของรัฐต้องตรวจสอบแก้ไข ข้อมูลข่าวสารส่วนบุคคลให้ถูกต้องอยู่ เสมอ (ม.23(4)) • หน่วยงานของรัฐต้องจัดระบบรักษา ความปลอดภัยให้แก่ระบบข้อมูล ข่าวสารส่วนบุคคล... (ม.23(5)) PDPA • ผู้ควบคุมข้อมูลส่วนบุคคลต้อง ดาเนินการให้ข้อมูลส่วนบุคคลนั้น ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ ก่อให้เกิดความเข้าใจผิด (ม.35) • ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ จัดให้มีมาตรการรักษาความมั่นคง ปลอดภัยที่เหมาะสม (ม.37(1) & ม.40(2))
106 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • การเก็บรวบรวมข้อมูล การใช้และการ เปิดเผยข้อมูลข่าวสารส่วนบุคคล หน่วยงานของรัฐต้องแจ้งให้เจ้าของ ข้อมูลทราบล่วงหน้าหรือพร้อมกับการ ขอข้อมูลถึงอานาจหน้าที่ วัตถุประสงค์ที่ จะนาข้อมูลมาใช้ ฯลฯ (ม.23 วรรคสอง) • เมื่อหน่วยงานของรัฐมีกรณีที่ต้องจัดส่ง ข้อมูลข่าวสารส่วนบุคคลไปยังที่ใด ซึ่งจะ เป็นผลให้บุคคลทั่วไปทราบข้อมูล ข่าวสารนั้นได้ จะต้องแจ้งให้เจ้าของ ข้อมูลทราบด้วย เว้นแต่เป็นไปตาม ลักษณะการใช้ข้อมูลตามปกติ (ม.23 วรรคสาม) • ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของ ข้อมูลส่วนบุคคล ฯลฯ (ม.21) • ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้ เจ้าของข้อมูลส่วนบุคคลทราบ (4) ประเภทของบุคคลหรือหน่วยงานซึ่ง ข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก เปิดเผย (ม.23(4))
107 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • หน่วยงานของรัฐจะเปิดเผย ข้อมูลข่าวสารส่วนบุคคลที่อยู่ใน ความควบคุมดูแลของตนต่อ หน่วยงานของรัฐแห่งอื่นหรือ ผู้อื่น โดยไม่ได้รับความยินยอม จากเจ้าของข้อมูลไม่ได้ เว้นแต่... (ม.24) • ห้ามผู้ควบคุมข้อมูลส่วนบุคคลทา การเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจาก เจ้าของข้อมูลส่วนบุคคล เว้นแต่ ... (ม.24 และ ม.26)
108 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • การเปิดเผยข้อมูลข่าวสารส่วน บุคคล โดยเข้าข้อยกเว้นตาม มาตรา 24 (3)-(9) ให้มีการจัดทา บัญชีแสดงการเปิดเผยกากับไว้ กับข้อมูลข่าวสารนั้น (ม.24 วรรคสอง) • ในกรณีที่ผู้ควบคุมข้อมูลส่วน บุคคลใช้หรือเปิดเผยข้อมูลส่วน บุคคลที่ได้รับยกเว้นไม่ต้องขอ ความยินยอม ต้องบันทึกการใช้ หรือเปิดเผยข้อมูลนั้นไว้ในบันทึก รายการ (ROPA) (ม.39(6))
109 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • บุคคลย่อมมีสิทธิที่จะได้รู้ถึง ข้อมูลข่าวสารส่วนบุคคลที่ เกี่ยวกับตน และเมื่อบุคคลนั้นมี คาขอเป็นหนังสือ จะต้องให้ บุคคลนั้นได้ตรวจดูหรือได้รับ สาเนาข้อมูลข่าวสารส่วนบุคคล ส่วนที่เกี่ยวกับบุคคลนั้น (ม.25 วรรคหนึ่ง) • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอ เข้าถึงและขอรับสาเนาข้อมูลส่วน บุคคลที่เกี่ยวกับตนซึ่งอยู่ในความ รับผิดชอบของผู้ควบคุมข้อมูล ส่วนบุคคล หรือขอให้เปิดเผยถึง การได้มาซึ่งข้อมูลส่วนบุคคล ดังกล่าวที่ตนไม่ได้ให้ความ ยินยอม ฯลฯ (ม.30)
110 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • การเปิดเผยรายงานการแพทย์ที่เกี่ยวกับ บุคคลใด ถ้ากรณีมีเหตุอันควร เจ้าหน้าที่ ของรัฐจะเปิดเผยต่อเฉพาะแพทย์ที่บุคคล นั้นมอบหมายก็ได้ (ม.25 วรรคสอง) • ไม่มีหลักการเรื่องสิทธิในการขอให้โอน ข้อมูลส่วนบุคคล • ไม่มีหลักการเรื่องสิทธิคัดค้านการเก็บ รวบรวม การใช้ หรือการเปิดเผยข้อมูล ส่วนบุคคลที่เกี่ยวกับตน • ไม่มีหลักการเรื่องสิทธิการระงับการใช้ ข้อมูลส่วนบุคคล • ไม่มีบัญญัติกรณีดังกล่าวโดยเฉพาะ แต่ อาจใช้ ม.24 หรือ ม.26 และ/หรือ กฎหมายอื่นมาปรับใช้ได้ • มีหลักการเรื่องสิทธิในการขอให้โอนข้อมูล ส่วนบุคคล (ม.31) • มีหลักการเรื่องสิทธิคัดค้านการเก็บ รวบรวม การใช้ หรือการเปิดเผยข้อมูล ส่วนบุคคล (ม.32) • มีหลักการเรื่องสิทธิการระงับการใช้ข้อมูล ส่วนบุคคล (ม.34)
111 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • มีหลักการเรื่องสิทธิการขอให้แก้ไข เปลี่ยนแปลงหรือลบข้อมูลข่าวสาร ส่วนบุคคลที่เกี่ยวกับตน (ม.25 วรรคสามและวรรคสี่) • สิทธิการดาเนินการแทนผู้เยาว์ คน ไร้ความสามารถ คนเสมือนไร้ ความสามารถ หรือเจ้าของข้อมูลที่ ถึงแก่กรรมแล้ว (ม.25 วรรคห้า) • มีหลักการเรื่องสิทธิการขอให้ลบ หรือทาลาย และการดาเนินการให้ ข้อมูลส่วนบุคคลถูกต้อง เป็น ปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิด ความเข้าใจผิด (ม.33 และ ม.35) • มีหลักการเรื่องการให้ความยินยอม ของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ (ม.20)
112 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • ไม่มีหลักการเรื่องการส่งหรือ โอนข้อมูลไปต่างประเทศ • ไม่มีหลักการเรื่องหน้าที่ในการ ลบหรือทาลายข้อมูลส่วนบุคคล • มีหลักการเรื่องการส่งหรือโอน ข้อมูลไปต่างประเทศ (ม.28 และ ม.29) • หน้าที่ของผู้ควบคุมข้อมูลส่วน บุคคลในการจัดให้มีระบบ ตรวจสอบเพื่อดาเนินการลบ หรือทาลายข้อมูลส่วนบุคคลเมื่อ พ้นระยะเวลาการเก็บรักษา ฯลฯ (ม.37(3))
113 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA • ไม่มีหลักการเรื่องหน้าที่ในการ แจ้งเหตุการละเมิดข้อมูล • มีเพียงหลักการเรื่องหน้าที่ใน การจัดทาบัญชีแสดงการ เปิดเผยในกรณีการเปิดเผย ข้อมูลข่าวสารส่วนบุคคล โดย เข้าข้อยกเว้น (ม.24 วรรคสอง) • มีหลักการเรื่องหน้าที่ในการแจ้ง เหตุการละเมิดข้อมูลส่วนบุคคล (ม.37(4)) • มีหลักการเรื่องหน้าที่ในการ จัดทาบันทึกรายการ (ROPA) (ม.39)
114 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ พ.ร.บ.ข้อมูลข่าวสารของราชการฯ PDPA •ไม่มีหน้าที่ในการจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคล •มีหน้าที่ในการจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคล (Data Protection Officer: DPO)
115 ความสัมพันธ์ระหว่างกฎหมาย 2 ฉบับ มติที่ประชุมคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ครั้งที่ 15/2565 เมื่อวันที่ 26 ธันวาคม 2565 • ระเบียบวาระที่ 4.1 ขอหารือแนวทางการปฏิบัติตาม พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
117 ตัวอย่างการปรับใช้กฎหมายในการตอบข้อหารือ www.pdpc.or.th -> กฎหมายคุ้มครองข้อมูลส่วนบุคคล https://www.mdes.go.th/mission/detail/2319- กฎหมายคุ้มครองข้อมูลส่วนบุคคล
118 ตัวอย่างการปรับใช้กฎหมายในการตอบข้อหารือ
123 Supplemental Slides เรื่อง พ.ร.บ.คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
124 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA • ตั้งหลักว่า ในการดาเนินงานขององค์กรของเราในแต่ละกิจกรรม/วัตถุประสงค์ “ใครเป็นใคร ใน PDPA” หากองค์กรของตนเป็น processor ให้ดาเนินการ ตามหน้าที่ของตนและตามคาสั่งหรือ DPA ของ controller (หรือหากยังไม่ได้ ทา DPA กับ controller ควรพูดคุยกับ controller) แต่หากองค์กรของตน เป็น controller ควรดาเนินการดังต่อไปนี้ • Identify ข้อมูลส่วนบุคคลต่างๆ ที่องค์กรเก็บรวบรวม ใช้ หรือเปิดเผย ทั้ง ข้อมูลทั่วไป (มาตรา 24) และข้อมูล Sensitive Data (มาตรา 26) เช่น • ข้อมูลผู้ป่วย • ข้อมูลบุคลากร • ข้อมูล Research Subjects (ถ้ามี) • ข้อมูลนักศึกษา/Trainees
125 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA •สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้ระบุ • แหล่งที่มา • วัตถุประสงค์การใช้งานทั้งหมด (Primary Uses & Secondary Uses) • Consent และ/หรืออานาจหน้าที่ตามกฎหมายในการใช้งานข้อมูลนั้น • กระบวนการทางาน เอกสาร และระบบสารสนเทศ ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นๆ • Data Processor ที่ใช้บริการ/เกี่ยวข้องกับข้อมูลนั้นๆ และเงื่อนไข/ มาตรฐาน Security & Privacy • สถานที่เก็บข้อมูล (ใน/นอกประเทศ) และมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคล
126 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA •สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า • ยังมีความจาเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเหล่านั้นหรือไม่ • ถ้าจาเป็น ให้พิจารณาว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ม. 24 & ม. 26 (และ/หรือกฎหมายอื่น) ให้อานาจเก็บรวบรวม ใช้ และเปิดเผย โดยไม่ ต้องขอ Consent จากเจ้าของข้อมูลส่วนบุคคลหรือไม่ อ้างอิงบทใด • หากไม่มี ให้ทบทวน Consent Form และ Consent Process ให้เป็นไป ตาม พ.ร.บ. PDPA (ม.19) • จัดทา Privacy Notice (ม. 23) • Make sure ว่า เป็นไปตามวัตถุประสงค์และเท่าที่จาเป็น (ม.21-22) • หากเก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล ให้พิจารณา ว่าสอดคล้องกับ ม. 25 หรือไม่
127 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA •สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า • กรณีเฉพาะ • มีข้อมูลใดที่ต้องขอ Consent แต่เป็นข้อมูลของผู้เยาว์ ผู้ไร้ความสามารถ ผู้ เสมือนไร้ความสามารถ ให้ทบทวนกระบวนการและเอกสาร Consent (ม.20) • ข้อมูลที่ส่งหรือโอนไปยังต่างประเทศ สอดคล้องกับ ม.28 • ข้อมูลที่ได้เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้บังคับ สอดคล้องกับ ม.95 •Set ระบบการดาเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ • กระบวนการและเอกสารการถอน Consent (ม.19) • สิทธิของเจ้าของข้อมูลส่วนบุคคล (ม.30-36) • การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกข้อมูลการใช้ และเปิดเผยข้อมูล
128 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA • Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล • หากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ มีเงื่อนไขข้อยกเว้นที่ไม่ต้องปฏิบัติ หรือไม่ (ม.33) • การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (ม.35-36) • การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการเพื่อให้เจ้าของข้อมูลส่วน บุคคลและสานักงานสามารถตรวจสอบได้ (Record of Data Processing: ROP) (ม. 39) • หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม ม.37 • ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.37 (1) • การจัดทาข้อตกลง การทาหน้าที่ & Compliance ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ม.40 (Data Processor Agreement: DPA)
129 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA •Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล • หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ม.40 • ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.40 (2) • การจัดทาข้อตกลง การทาหน้าที่ และความรับผิดชอบ (Liability & Indemnification) ระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูล ส่วนบุคคล (Data Processor Agreement: DPA) • การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการสามารถ ตรวจสอบได้ (ม. 40)
130 (ตัวอย่าง) สรุปการบ้าน พ.ร.บ. PDPA • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) (ม.41) และกากับให้ทาหน้าที่ตาม ม.42 • แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถ กระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคล ทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (ม.37(4)) • ทบทวนการดาเนินการให้ Comply ตาม พ.ร.บ. ทั้งฉบับ (รวมทั้ง Compliance ตาม พ.ร.บ. อื่นๆ)
131 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3) • ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้ โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ นั้น เว้นแต่ • (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า ด้วยการนั้นหรือไม่ก็ตาม • (2) ฯลฯ
132 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3) • ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ แห่งกฎหมายว่าด้วยการนั้น เว้นแต่ • (1) ฯลฯ • (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ. นี้ ในกรณีดังต่อไปนี้ • (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน • (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี
133 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการใช้บังคับ (มาตรา 4) • พ.ร.บ.นี้ไม่ใช้บังคับแก่ • (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น • (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ • (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น ประโยชน์สาธารณะเท่านั้น • (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ... • (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา • (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล เครดิต
134 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการใช้บังคับ (มาตรา 4) • การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น ใด ให้ตราเป็นพระราชกฤษฎีกา • ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้ เป็นไปตามมาตรฐานด้วย
135 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ขอบเขตการใช้บังคับ (มาตรา 5) • พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทาในหรือนอกราชอาณาจักรก็ ตาม • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอก ราชอาณาจักร พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดาเนินกิจกรรม ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็น กิจกรรม ดังต่อไปนี้ • การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมี การชาระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม • การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
136 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • บทนิยาม (มาตรา 6) • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัว บุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม โดยเฉพาะ • “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติ บุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล • “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติ บุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม คาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล • “บุคคล” หมายความว่า บุคคลธรรมดา • ฯลฯ

Relationship Between Thailand's Official Information Act and Personal Data Protection Act

Check these out next

Relationship Between Thailand's Official Information Act and Personal Data Protection Act

Recomendados

Mais conteúdo relacionado

Similar a Relationship Between Thailand's Official Information Act and Personal Data Protection Act(20)

Mais de Nawanan Theera-Ampornpunt(20)

Último(12)

Relationship Between Thailand's Official Information Act and Personal Data Protection Act