fbpx

OpenPDPA

Frequently Asked Questions

คำถามที่พบบ่อย

Openpdpa ได้รวบรวมคำถามที่พบบ่อยเกี่ยวกับการทำ PDPA ในประเทศไทยเพื่อให้องค์กรหรือบุคคลที่ศึกษาเกี่ยวกับกฎหมาย PDPA ได้รับข้อมูลอย่างถูกต้องและเป็นปัจจุบันมากที่สุด

PDPA FAQ

    • ไม่จำเป็นหากบริษัทสามารถอ้างอิงถึงฐานกฎหมายอันชอบธรรมในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้ตามมาตรา 24 และ 26 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 แต่อย่างไรก็ตาม บริษัทจำเป็นต้องมีการแจ้งให้เจ้าของข้อมูลรับทราบถึงการเก็บข้อมูลและวัตถุประสงค์ในการเก็บรวบรวมให้เจ้าของข้อมูลรับทราบ
    • นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
    • นโยบายความเป็นส่วนตัว (Privacy Notice)
    • หนังสือขอคำยินยอม (Consent)
    • แบบฟอร์มการใช้สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)
    • บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity)
    • ไม่จำเป็น โดยอ้างอิงจากมาตรา 95 ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 กำหนดให้ผู้ควบคุมสามารถใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้แล้วต่อไปได้ตามวัตถุประสงค์เดิมที่มีการใช้งานก่อนกฎหมายบังคับใช้ แต่ต้องมีช่องทางในการแจ้งให้เจ้าของข้อมูลรับทราบถึงวัตถุประสงค์และข้อมูลส่วนบุคคลที่มีการจัดเก็บและมีช่องทางในการให้เจ้าของข้อมูลสามารถถอนคำยินยอมได้
    • โดยปกติผู้ให้บริการที่เป็นระบบ Cloud มักจะมีการประกาศ Data Processing Addendum ซึ่งเป็นเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคลของผู้ให้บริการ โดยบริษัทสามารถตรวจสอบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลและมาตรฐานความปลอดภัยของผู้ให้บริการได้จากเอกสารดังกล่าวแทนการจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล 
    • หากกล้องวงจรปิดที่ใช้งานนั้นไม่มีเทคโนโลยีในการระบุตัวตน เช่น ระบบตรวจจับใบหน้า จะถือว่าเป็นข้อมูลทั่วไปซึ่งเจ้าของสถานที่สามารถอ้างอิงฐานประโยชน์โดยชอบด้วยกฎหมายตามมาตรา 24 (5) โดยเจ้าของสถานที่ไม่จำเป็นต้องขอคำยินยอมแต่ต้องมีการแจ้งให้ผู้เข้าถึงพื้นที่รับทราบว่ามีการใช้กล้องวงจรปิด โดยอาจปิดประกาศแจ้งเตือนไว้ ณ ทางเข้าสถานที่อย่างชัดเจนและเจ้าของพื้นที่สามารถใช้ข้อมูลที่เก็บไว้ในกล้องวงจรปิดเพื่อความปลอดภัยเท่านั้น แต่ในกรณีที่กล้องวงจรปิดมีเทคโนโลยีในการตรวจจับใบหน้าซึ่งจะเป็นการสร้างแบบจำลองใบหน้าของบุคคลเพื่อระบุตัวตนจะถือว่าข้อมูลดังกล่าวเป็นข้อมูลอ่อนไหวและจำเป็นต้องขอคำยินยอมจากเจ้าของข้อมูล
    • ข้อมูลของนิติบุคคล เช่น เลขทะเบียนนิติบุคคลนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 ให้ความคุ้มครองแก่ข้อมูลส่วนบุคคลของบุคคลธรรมดาที่ยังไม่ถึงแก่กรรมเท่านั้น
    • ไม่จำเป็นหากไม่เข้าเงื่อนไขตามมาตรา 41 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 เนื่องจาก มาตรา 41 กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ DPO ในกรณีดังต่อไปนี้
      • เป็นหน่วยงานของรัฐ
      • ดำเนินธุรกิจที่มีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลจำนวนมากอย่างสม่ำเสมอ
      • ดำเนินธุรกิจที่มีกิจกรรมหลักในการประมวลผลข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว
    • ได้ เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 มาตรา 42 ได้ระบุว่าเจ้าหน้าที่ DPO สามารถปฏิบัติหน้าที่หรือภารกิจอื่นได้แต่ต้องเป็นหน้าที่ที่ไม่ขัดแย้งต่อการทำหน้าที่ DPO เช่น ไม่สามารถดำรงค์ตำแหน่งผู้จัดการฝ่ายการตลาดหรือฝ่ายวิเคราะห์ข้อมูลลูกค้าได้ เป็นต้น
    • ได้ เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.. 2562 มาตรา 41 ได้ระบุว่าเจ้าหน้าที่ DPO สามารถเป็นผู้ให้บริการรับจ้างตามสัญญากับผู้ควบคุมหรือผู้ประมวลผลได้
    • ณ ปัจจุบันยังไม่มีการกำหนดมาตรฐานหรือคุณสมบัติของเจ้าหน้าที่ DPO อย่างชัดเจน แต่อาจมีการประกาศในกฎหมายลูกในอนาคต