Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)

1
1
กรณีศึกษาเกี่ยวกับภาพรวม
พระราชบัญญัติและกฎหมายลาดับรอง
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
15 กันยายน 2566

2
2
Disclaimer:
1. เป็นความเห็นทางวิชาการส่วนบุคคล ไม่ผูกพันการทา
หน้าที่ในบทบาทใดในปัจจุบันหรืออนาคต
2. การเปิดเผยข้อมูลการตอบข้อหารือของ
คณะอนุกรรมการเฉพาะกิจฯ ใน กคส. ได้ปกปิดข้อมูลที่
ระบุตัวเอกชนที่เกี่ยวข้องแล้ว (ยกเว้นกรณีหน่วยงานของ
รัฐที่เปิดเผยได้) เพื่อประโยชน์ในการเรียนรู้เท่านั้น ไม่ได้มี
เจตนาเปิดเผยความลับ เชื่อมโยง ใส่ความ กล่าวหา
กล่าวโทษผู้ใด หรือทาให้ผู้นั้นเสียหาย

4
4
Privacy vs. Security
http://en.wikipedia.org/wiki/A._S._Bradford_House

5
5
▪Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

6
6
Confidentiality
•การรักษาความลับของข้อมูล
Integrity
•การรักษาความครบถ้วนและ
ความถูกต้องของข้อมูล
•ปราศจากการเปลี่ยนแปลง
แก้ไข ทาให้สูญหาย ทาให้
เสียหาย หรือถูกทาลายโดย
มิชอบ
Availability
•การรักษาสภาพพร้อมใช้งาน
หลักการสาคัญของ Information Security

7
7
2. “ข้อมูลส่วนบุคคล”

8
8
ข้อมูลส่วนบุคคล
Reference: PDPA ม.6

9
9
3. “Controller” & “Processor”
vs. “Controller Officer” &
“Processor Officer”

10
10
Controller & Processor

11
11
3. ข้อยกเว้นการบังคับใช้

12
12
ข้อยกเว้นการบังคับใช้

13
13

14
14
Reference: หนังสือตอบข้อหารือของคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้ PDPA ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

15
15

16
16
Reference: พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา PDPA บางส่วนมาใช้บังคับ พ.ศ. 2566

17
17
4. การขัดกันของกฎหมาย

18
18
การขัดกันของกฎหมาย

19
19

20
20

22
22
Lawful Basis

23
23
Lawful Basis

24
24
Lawful Basis

25
25
Lawful Basis

26
26
Lawful Basis
Reference: หนังสือตอบข้อ
หารือของคณะอนุกรรมการ
เฉพาะกิจตอบข้อหารือและให้
คาแนะนาหน่วยงานของรัฐ
เพื่อรองรับการบังคับใช้
PDPA ในคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล

27
27
Lawful Basis

28
28
Lawful Basis

29
29
Lawful Basis

30
30
Lawful Basis & การขัดกันของกฎหมาย

31
31
Lawful Basis

32
32
Lawful Basis

33
33
Lawful Basis

34
34
Lawful Basis

35
35
6. Consent as the Last Resort

36
36
Consent as the Last Resort
Reference: แนวทางการดาเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล พ.ศ. 2565

37
37
Compulsory Consent as Exception in PDPA

38
38
7. Privacy Notice vs.
Privacy Policy

39
39
Privacy Notice vs. Privacy Policy

40
40

41
41

42
42

43
43
8. การ “ผลักภาระ” การขอ
Consent และ Privacy Notice

44
44
การ “ผลักภาระ” การขอ Consent และ Privacy Notice

45
45
การ “ผลักภาระ” การขอ Consent และ Privacy Notice

47
47
ROPA Exceptions
Reference: ประกาศ กคส. เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

48
48
ROPA Exceptions
Reference: ประกาศ กคส. เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

49
49
ROPA Exceptions

50
50
ROPA Exceptions

51
51
ROPA Exceptions

52
52
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศคณะกรรมการฯ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการ
ขนาดเล็ก พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการของ
กิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเพื่อพ้นกาหนด 180 วันนับแต่วัน
ประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ
คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

53
53
• ระเบียบคณะกรรมการฯ ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการ
พิจารณาคาร้องเรียน พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การพ้นจาก
ตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศคณะกรรมการฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ.
2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ

54
54
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการจัดทาคาสั่งของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ.
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
• ประกาศ กคส. เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ
ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 18 ก.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
• พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 บางส่วนมาใช้บังคับ พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 17 ส.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 150 วันนับแต่วัน
• ประกาศ กคส. เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 14 ก.ย. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน

55
55
10. PDPA as a
Principle-Based Regulation

56
56
ความเข้าใจผิดเกี่ยวกับ PDPA
กฎหมาย PDPA ไม่ได้เขียนตรง ๆ
ว่าอะไรทาได้ อะไรทาไม่ได้ แปลว่า
ทาไม่ได้ เดี๋ยวผิดกฎหมาย
“ทาไมไม่พูดชัด ๆ ว่าอะไรทาได้
อะไรทาไม่ได้”

57
57
PDPA as a Principle-Based Regulation
PDPA เป็น Principle-Based
Regulation กาหนดหลักการไว้เพราะ
ไม่สามารถเขียนครอบคลุมได้ทุกอย่าง

58
58
ความเข้าใจผิดเกี่ยวกับ PDPA
การปฏิบัติให้สอดคล้องกับ PDPA
(compliance) เช่น มาตรการ security
ของข้อมูล เป็นการทาตาม
prescriptive checklist
“ทาไมไม่พูดชัด ๆ ว่าให้ทาอะไรอย่างไรบ้างจึงจะ
comply แล้วจะตรวจสอบ (audit) กันยังไง”

59
59
PDPA as a Principle-Based Regulation
การบังคับใช้ PDPA หลายเรื่อง
เช่น มาตรการ security เป็นเรื่อง
ที่ควรใช้ Risk-Based Approach
ตามระดับความเสี่ยง

60
60
“Reason is
the Soul of the Law”
-- Thomas Hobbes

Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)

More Related Content

What's hot

Similar to Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)

More from Nawanan Theera-Ampornpunt

Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)