ชื่อเรื่อง วันที่เผยแพร่
ประกาศผู้ชนะโครงการจ้างบริหารพิธีมอบรางวัลคุณภาพแห่งชาติ ครั้งที่ 21 ปี 2565
30 มกราคม 2023
ประกาศประกวดราคาจ้างโครงการบริหารพิธีมอบรางวัลคุณภาพแห่งชาติ ครั้งที่ ๒๑ ประจำปี ๒๕๖๕
5 มกราคม 2023
ทำความเข้าใจข้อมูลส่วนบุคคลตาม PDPA

6 พฤษภาคม 2021
หลักการทำ CONSENT ตาม PDPA

6 พฤษภาคม 2021
ใครเป็นใครใน PDPA
27 เมษายน 2021
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) เรื่องที่คุณควรต้องรู้
27 เมษายน 2021
พรบ.คุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัตินี้ ไม่ใช้บังคับกับกิจกรรมใดบ้าง
1. การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้น

 

2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักษาความมั่นคงปลอดภัยทางไซเบอร์

 

3. การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น

 

4. สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ

 

5. การพิจารณาพิพากษาคดีของศาล การดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา

 

6. การดำเนินการกับข้อมูลของบริษัท ข้อมูลเครดิต และสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
26 เมษายน 2021
ข้อมูลส่วนบุคคลของพนักงานที่สำคัญมีอะไรบ้าง ?

ข้อมูลอ่อนไหว (Sensitive Data) ในมาตรา 26 ได้กล่าวว่าข้อมูลเหล่านี้ห้ามประมวลผล ยกเว้นมีความจำเป็นจริง ๆ ได้แก่

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ ความพิการ
• ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ข้อมูล Biometrics เช่น สแกนลายนิ้วมือ สแกนใบหน้า)
• ข้อมูลสหภาพแรงงาน
• ข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล แต่ไม่ได้ระบุไว้ข้างต้น
26 เมษายน 2021
สิ่งที่ HR ต้องทำหลักๆ มีอะไรบ้าง ?
1. จัดหา / แต่งตั้ง DPO
2. ทบทวนข้อมูลในใบสมัคร เอาเท่าที่จำเป็น
3. ปรับ Procedure สรรหา เพราะสำหรับผู้สมัคร เราอาจยังไม่ต้องขอเอกสารก็ได้ เพื่อลดความเสี่ยง ในการเก็บข้อมูลอ่อนไหวที่ไม่จำเป็น
4. ทบทวนสัญญาจ้าง ถ้ายังไม่มีข้อที่กล่าวถึงการขอเอาไปจัดเก็บ ประมวลผล และทำลาย ตามสิทธิของเจ้าของข้อมูลก็ไปเพิ่มซะจะได้ครอบคลุม
5. จัดทำ HR privacy Policy เน้นเนื้อหาผู้ติดต่อ และสิทธิเจ้าของข้อมูลให้ครบถ้วนเป็นหลัก
6. สำรวจข้อมูลสุขภาพปีก่อนๆของพนักงานพร้อมกำหนดแนวทางเพื่อจัดการข้อมูลเหล่านั้นอย่างเป็นระบบ
26 เมษายน 2021
PDPA Focus : แนวทางการขอการยินยอม (Consent)

เพื่อให้สอดคล้องตามกฎหมาย แบบฟอร์มการขอความยินยอม (Consent Form) จากเจ้าของข้อมูลส่วนบุคคลควรมีลักษณะดังต่อไปนี้

• ทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบ Electronic
• แจ้งวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือ เปิดเผย ข้อมูลส่วนบุคคล
• Consent ต้องแยกส่วนจากข้อความอื่นชัดเจน
• ข้อความเข้าถึงและเข้าใจง่าย ไม่หลอกลวงหรือทำให้เข้าใจผิด

 

อะไรบ้างที่ไม่ต้องขอ Consent
• เพื่อศึกษาและวิจัยเพื่อเป็นประโยชน์แก่สาธารณะและเก็บข้อมูลเป็นความลับ
• เพื่อป้องกัน/ระงับอันตรายต่อชีวิต
• เพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
• จำเป็นเพื่อประโยชน์แก่สาธารณะ
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
• เป็นการปฏิบัติตามกฎหมาย
26 เมษายน 2021
PDPA Focus : แนวทางการจัดการข้อมูลส่วนบุคคล

วิธีการ :

1. เก็บได้เท่าที่จำเป็น
2. ต้องเก็บจากเจ้าของข้อมูลโดยตรง ยกเว้น
• แจ้งถึงการเก็บจากแหล่งอื่น น้อยกว่าหรือเท่ากับ 30 วัน นับแต่เก็บและได้รับ Consent
• การเก็บที่ได้รับยกเว้น โดยใช้ฐานประมวลผลที่ไม่ต้องขอ Consent

 

สิ่งที่ต้องแจ้งให้เจ้าของข้อมูลทราบ :
• วัตถุประสงค์ของการเก็บ
• กรณีที่ต้องให้ข้อมูลตามกฎหมายและผลกระทบของการไม่ให้ข้อมูล
• ข้อมูลและระยะเวลาที่เก็บ> บุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย
• ข้อมูลติดต่อผู้ควบคุมส่วนบุคคล
• สิทธิของเจ้าของข้อมูล

 

ห้ามเก็บ :
Sensitive Data: ความเชื่อ / ศาสนา / เชื้อชาติ / ความเห็นทางการเมือง / ประวัติอาชญากรรม / เผ่าพันธุ์ / สุขภาพ / พฤติกรรมทางเพศ / อื่นๆ ตามที่ประกาศกำหนด

 

ยกเว้น:
• เพื่อป้องกัน/ระงับเหตุอันตรายต่อชีวิต
• เป็นกิจกรรมที่ชอบด้วยกฎหมาย
• ข้อมูลเปิดเผยต่อสาธารณะด้วยความยินยอม
• เพื่อก่อตั้งสิทธิเรียกร้อง
• เพื่อปฏิบัติตามกฎหมาย
26 เมษายน 2021
ฐานกฎหมาย (Lawful Basis) 6 ข้อในการจัดการข้อมูลส่วนบุคคลที่ได้รับการยกเว้นให้ดำเนินการได้โดยไม่ต้องขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ (Scientific or research)

2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต (Vital Interest)

3. เพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล(Necessary for the performance of contracts)

4. เพื่อการดำเนินการอันเป็นประโยชน์สาธารณะของผู้ควบคุมข้อมูล (Public Task)
หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคล

5. เพื่อการดำเนินการอันเป็นผลประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล
แต่ต้องไม่ก่อให้เกิดการละเมินสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล (Legitimate Interest)

6. เพื่อเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล (Legal Obligation)

26 เมษายน 2021
แนวทางการเตรียมตัวขององค์กรก่อน PDPA บังคับใช้เต็มรูปแบบ

1. ตั้งทีมงาน ซึ่งมีหน้าที่

1) ศึกษากฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล
2) สำรวจข้อมูลในองค์กร ว่ามีการเก็บข้อมูลในจุดบริการใด และจัดเก็บข้อมูลส่วนบุคคลอยู่ที่หน่วยงานใดบ้าง
3) พิจารณาว่าการจัดเก็บข้อมูลส่วนบุคคลมีความมั่นคงปลอดภัย (3 องค์ประกอบ การรักษาความลับ, การรักษาความถูกต้องของข้อมูล, ความพร้อมใช้งาน)
2. พิจารณาฐานกฎหมายที่อนุญาตให้ เก็บ/ใช้/เผยแพร่ ข้อมูลส่วนบุคคลทั้ง 6 ฐาน หากไม่เข้าเกณฑ์และจำเป็นต้องใช้ข้อมูลส่วนบุคคล จึงดำเนินการขอความยินยอม
3. จัดทำระบบรองรับสิทธิ์ของเจ้าของข้อมูล ได้แก่ การขอ (เข้าถึง/ขอรับข้อมูล/แก้ไข/ระงับการใช้/ลบหรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้)
4. ผู้บริหารต้องให้ความสำคัญอย่างเป็นรูปธรรม สนับสนุนทรัพยากร ส่งเสริมความรู้เรื่อง PDPA ให้กับคณะทำงานและพนักงาน
26 เมษายน 2021
ถ้าผู้รับบริการไม่ยินยอมให้ข้อมูลส่วนบุคคล เช่นการทำธุรกรรมกับธนาคาร ผู้ให้บริการมีสิทธิ์ปฏิเสธการให้บริการหรือไม่

กรณีเป็นบริการหลัก เช่น เปิดบัญชี ผู้ให้บริการ (ในกรณีนี้คือธนาคาร) สามารถใช้ฐานสัญญาได้ไม่ต้องขอความยินยอม กรณีที่มาขอยินยอมอาจเป็นส่วนเสริมเช่นการแจ้งข่าวสารบริการของธนาคาร,โปรโมชัน,การวิเคราะห์เพื่อปรับปรุงบริการ ฯลฯ ซึ่งเจ้าของข้อมูลไม่ยินยอมได้ ผู้ให้บริการต้องแจ้งว่าถ้าไม่ยินยอมจะกระทบอย่างไร (เช่น ไม่ได้รับรู้โปรโมชันหรือแคมเปญพิเศษ)

21 เมษายน 2021
กลัวโดนฟ้องจากความผิดตามกฎหมาย จึงให้ความสำคัญกับการทำ Consent ถือว่าเพียงพอหรือไม่?

การทำ Consent หรือการให้การยินยอม เป็นเพียงส่วนหนึ่งของการจัดการข้อมูล ที่ลูกค้าสัมผัสได้ ทำให้มีโอกาสที่จะเกิดการหลุดรอดในเรื่องการจัดการข้อมูลให้มีประสิทธิภาพ

21 เมษายน 2021