Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Information Privacy Laws in Healthcare (September 13, 2020)

136 visualizaciones

Publicado el

Presented at the Faculty of Pharmacy, Silpakorn University, Nakhon Pathom, Thailand on September 13, 2020

Publicado en: Derecho
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Information Privacy Laws in Healthcare (September 13, 2020)

  1. 1. 1 Information Privacy Laws in Healthcare นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ และอาจารย์ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 13 กันยายน 2563 Except content reproduced from others, used here under Fair Use, that are copyrighted by respective owners.
  2. 2. 2 Existing Laws
  3. 3. 3 Security & Privacy http://en.wikipedia.org/wiki/A._S._Bradford_House
  4. 4. 4 Hippocratic Oath “...What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about...”
  5. 5. 5 Relevant Ethical Principles Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
  6. 6. 6 ประมวลกฎหมายอาญา มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
  7. 7. 7 ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม แห่งวิชาชีพเวชกรรม พ.ศ. 2549 วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน ทานองเดียวกัน
  8. 8. 8 คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย 7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง ของผู้ป่วยหรือตามกฎหมาย
  9. 9. 9 พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน... (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...
  10. 10. 10 พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม
  11. 11. 11 พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
  12. 12. 12 ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559 http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
  13. 13. 13 ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559 http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
  14. 14. 14 ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559 http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF
  15. 15. 15 กฎหมายเฉพาะ • พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม
  16. 16. 16 กฎหมายเฉพาะ• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม
  17. 17. 17 กฎหมายเฉพาะ • พรบ.โรคติดต่อ พ.ศ. 2558
  18. 18. 18 กฎหมายเฉพาะ • พรบ.สุขภาพจิต พ.ศ. 2551
  19. 19. 19 กฎหมายเฉพาะ • พรบ.สุขภาพจิต พ.ศ. 2551
  20. 20. 20 กฎหมายเฉพาะ • พรบ.สุขภาพจิต (ฉบับที่ 2) พ.ศ. 2562
  21. 21. 21 กฎหมายเฉพาะ • พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545
  22. 22. 22 กฎหมายเฉพาะ • พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545
  23. 23. 23 กฎหมายเฉพาะ • พรบ.ประกันสังคม พ.ศ. 2533
  24. 24. 24 กฎหมายเฉพาะ • พรฎ.เงินสวัสดิการเกี่ยวกับการรักษาพยาบาล พ.ศ. 2553
  25. 25. 25 ระเบียบกระทรวงสาธารณสุข
  26. 26. 26
  27. 27. 27 กฎหมายเฉพาะ • พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562
  28. 28. 28 กฎหมายเฉพาะ • พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562
  29. 29. 29 กฎหมายเฉพาะ • พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562
  30. 30. 30 กฎหมายเฉพาะ • พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562
  31. 31. 31 ปัญหาของกฎหมาย Health Information Privacy ของไทย ก่อน PDPA • เป็น sectoral privacy law จึงอาจมีมาตรฐานแตกต่างจาก sector อื่น • สถานพยาบาลของรัฐ ถูกกากับโดย พรบ.ข้อมูลข่าวสารของราชการ ด้วย แต่ไม่รวมสถานพยาบาลของเอกชน ทาให้มีมาตรฐานแตกต่างกัน รวมทั้ง สถานพยาบาลของรัฐเกิดความสับสนเกี่ยวกับกฎหมายหลายฉบับ ที่มี หลักการและบทบัญญัติแตกต่างกัน • ไม่มีบทบัญญัติบังคับให้สถานพยาบาลมีการจัดการเชิงระบบเพื่อคุ้มครอง Privacy อย่างชัดเจน (ยกเว้นตาม พรบ.ข้อมูลข่าวสารของราชการ ซึ่งไม่ จาเพาะต่อ Healthcare)
  32. 32. 32 • กฎหมายเกี่ยวกับกองทุนและระบบประกันสุขภาพ เขียน อานาจหน้าที่ในการต้องเปิดเผยข้อมูลสุขภาพของผู้ป่วยไม่ ชัดเจน • ในสถานการณ์จริงบางกรณีไม่มีบทบัญญัติทางกฎหมายรองรับ • การขัดกันของกฎหมายบางฉบับในบางสถานการณ์ (เช่น สถานการณ์ฉุกเฉินที่มีกฎหมายให้อานาจรัฐไว้ค่อนข้าง กว้างขวาง) ไม่ชัดเจน ปัญหาของกฎหมาย Health Information Privacy ของไทย ก่อน PDPA
  33. 33. 33 • ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7 • ไม่มีนิยามของ “ข้อมูลด้านสุขภาพของบุคคล” (เช่น Genetics information, ข้อมูล Dietary Requirements) • ไม่ชัดเจนว่า “ผู้ใด” ในกรณีหน่วยงาน/สถานพยาบาล (โดยเฉพาะที่อยู่ในสังกัด กรม/นิติบุคคลเดียวกัน เช่น รพ. ในสังกัดกรมการแพทย์) จะตีความอย่างไร • “ในประการที่น่าจะทาให้บุคคลนั้นเสียหาย” เป็น Subjective Value Judgment และขัดกับแนวคิด Privacy ทั่วไปที่มุ่งคุ้มครอง Privacy ของข้อมูล สุขภาพ โดยไม่สนใจความเสียหาย • การอ้างถึงกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ สร้างความสับสน • เงื่อนไขข้อยกเว้นไม่ครอบคลุม (ต่างจาก HIPAA ที่ระบุไว้ชัดมาก) • ไม่ให้อานาจในการออกข้อยกเว้น • ไม่สอดคล้องกับบริบทของ Healthcare เช่น กรณีฉุกเฉิน หรือเพื่อประโยชน์ใน การรักษาผู้ป่วย ปัญหาของกฎหมาย Health Information Privacy ของไทย ก่อน PDPA
  34. 34. 34 • ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7 • ไม่รวมข้อมูลของผู้เสียชีวิต • การให้ความยินยอมแทนโดยญาติ ไม่ชัดเจน และมีปัญหาในทางปฏิบัติ • ไม่ให้อานาจในการออกหลักเกณฑ์ วิธีการ และเงื่อนไขในทางปฏิบัติ (เช่น การขอความ ยินยอมของผู้ป่วย) • มุ่งเน้นเรื่องการเปิดเผยข้อมูล แต่ไม่รวมเรื่องการเก็บรวบรวมและการใช้ข้อมูล • ไม่ได้กาหนดหลักการของ Sensitive Information • มุ่งเน้นเพียงด้าน Privacy แต่ไม่ได้กาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขด้าน Security • ไม่ได้ Balance กับความเสี่ยงอีกด้าน คือ ให้ข้อมูลผู้ป่วยไม่ครบ เกิดความเสี่ยงในการวินิจฉัย รักษาโรค • ขาดเรื่อง Breach Notification ปัญหาของกฎหมาย Health Information Privacy ของไทย ก่อน PDPA
  35. 35. 35 GDPR
  36. 36. 36 ▪ Health Insurance Portability and Accountability Act of 1996 http://www.gpo.gov/fdsys/pkg/PLAW-104publ191/pdf/PLAW-104publ191.pdf ▪ More stringent state privacy laws apply ▪ HIPAA Goals ▪ To protect health insurance coverage for workers & families when they change or lose jobs (Title I) ▪ To require establishment of national standards for electronic health care transactions and national identifiers for providers, health insurance plans, and employers (Title II: “Administrative Simplification” provisions) ▪ Administrative Simplification provisions also address security & privacy of health data http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act U.S. Health Information Privacy Law (HIPAA)
  37. 37. 37 ▪Title I: Health Care Access, Portability, and Renewability ▪Title II: Preventing Health Care Fraud and Abuse; Administrative Simplification; Medical Liability Reform ▪ Requires Department of Health & Human Services (HHS) to draft rules aimed at increasing efficiency of health care system by creating standards for use and dissemination of health care information U.S. Health Information Privacy Law (HIPAA)
  38. 38. 38 ▪Title III: Tax-Related Health Provisions ▪Title IV: Application and Enforcement of Group Health Plan Requirements ▪Title V: Revenue Offsets U.S. Health Information Privacy Law (HIPAA)
  39. 39. 39 ▪HHS promulgated 5 Administrative Simplification rules ▪Privacy Rule ▪Transactions and Code Sets Rule ▪Security Rule ▪Unique Identifiers Rule ▪Enforcement Rule U.S. Health Information Privacy Law (HIPAA)
  40. 40. 40 ▪ Covered Entities ▪ A health plan ▪ A health care clearinghouse ▪ A healthcare provider who transmits any health information in electronic form in connection with a transaction to enable health information to be exchanged electronically ▪ Business Associates Some HIPAA Definitions
  41. 41. 41 ▪ Protected Health Information (PHI) ▪ Individually identifiable health information transmitted or maintained in electronic media or other form or medium ▪ Individually Identifiable Health Information ▪ Any information, including demographic information collected from an individual, that— ▪ (A) is created or received by a CE; and ▪ (B) relates to the past, present, or future physical ▪ or mental health or condition of an individual, the provision of health care to an individual, or the past, present, or future payment for the provision of health care to an individual, and— ▪ (i) identifies the individual; or ▪ (ii) with respect to which there is a reasonable basis to believe that the information can be used to identify the individual. Some HIPAA Definitions
  42. 42. 42 ▪ Name ▪ Address ▪ Phone number ▪ Fax number ▪ E-mail address ▪ SSN ▪ Birthdate ▪ Medical Record No. ▪ Health Plan ID ▪ Treatment date ▪ Account No. ▪ Certificate/License No. ▪ Device ID No. ▪ Vehicle ID No. ▪ Drivers license No. ▪ URL ▪ IP Address ▪ Biometric identifier including fingerprints ▪ Full face photo Protected Health Information: Personal Identifers
  43. 43. 43 ▪ Establishes national standards to protect PHI; applies to CE & business associates ▪ Requires appropriate safeguards to protect privacy of PHI ▪ Sets limits & conditions on uses & disclosures that may be made without patient authorization ▪ Gives patients rights over their health information, including rights to examine & obtain copy of health records & to request corrections http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html HIPAA Privacy Rule
  44. 44. 44 ▪ Timeline ▪ November 3, 1999 Proposed Privacy Rule ▪ December 28, 2000 Final Privacy Rule ▪ August 14, 2002 Modifications to Privacy Rule ▪ April 14, 2003 Compliance Date for most CE ▪ Full text (as amended) http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/ adminsimpregtext.pdf http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html HIPAA Privacy Rule
  45. 45. 45 ▪Some permitted uses and disclosures ▪Use of PHI ▪Sharing, application, use, examination or analysis within the entity that maintains the PHI ▪Disclosure of PHI ▪Release or divulgence of information by an entity to persons or organizations outside of that entity. HIPAA Privacy Rule
  46. 46. 46 ▪A covered entity may not use or disclose PHI, except ▪with individual consent for treatment, payment or healthcare operations (TPO) ▪with individual authorization for other purposes ▪without consent or authorization for governmental and other specified purposes HIPAA Privacy Rule
  47. 47. 47 ▪Treatment, payment, health care operations (TPO) ▪ Quality improvement ▪ Competency assurance ▪ Medical reviews & audits ▪ Insurance functions ▪ Business planning & administration ▪ General administrative activities HIPAA Privacy Rule
  48. 48. 48 ▪ Uses & disclosures without the need for patient authorization permitted in some circumstances ▪ Required by law ▪ For public health activities ▪ About victims of abuse, neglect, or domestic violence ▪ For health oversight activities ▪ For judicial & administrative proceedings ▪ For law enforcement purposes ▪ About decedents HIPAA Privacy Rule
  49. 49. 49 ▪ Uses & disclosures without the need for patient authorization permitted in some circumstances ▪ For cadaveric organ, eye, or tissue donation purposes ▪ For research purposes ▪ To avert a serious threat to health or safety ▪ For workers’ compensation ▪ For specialized government functions ▪ Military & veterans activities ▪ National security & intelligence activities ▪ Protective services for President & others ▪ Medical suitability determinants ▪ Correctional institutions ▪ CE that are government programs providing public benefits HIPAA Privacy Rule
  50. 50. 50 ▪ Control use and disclosure of PHI ▪ Notify patients of information practices (NPP, Notice of Privacy Practices) ▪ Specifies how CE can use and share PHI ▪ Specifies patient’s rights regarding their PHI ▪ Provide means for patients to access their own record ▪ Obtain authorization for non-TPO uses and disclosures ▪ Log disclosures ▪ Restrict use or disclosures ▪ Minimum necessary ▪ Privacy policy and practices ▪ Business Associate agreements ▪ Other applicable statutes ▪ Provide management oversight and response to minimize threats and breaches of privacy From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz Responsibilities of a Covered Entity
  51. 51. 51 ▪ Individually identifiable health information collected and used solely for research IS NOT PHI ▪ Researchers obtaining PHI from a CE must obtain the subject’s authorization or must justify an exception: ▪ Waiver of authorization (obtain from the IRB) ▪ Limited Data Set (with data use agreement) ▪ De-identified Data Set ▪ HIPAA Privacy supplements the Common Rule and the FDA’s existing protection for human subjects From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz HIPAA & Research
  52. 52. 52 ▪ De-identified Data Set ▪ Remove all 18 personal identifiers of subjects, relatives, employers, or household members ▪ OR biostatistician confirms that individual cannot be identified with the available information ▪ Limited Data Set ▪ May include Zip, Birthdate, Date of death, date of service, geographic subdivision ▪ Remove all other personal identifiers of subject, etc. ▪ Data Use Agreement signed by data recipient that there will be no attempt to re-identify the subject From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz Research Datasets
  53. 53. 53 ▪ Assure the CE that all research-initiated HIPAA requirements have been met ▪ Provide letter of approval to the researcher to conduct research using PHI ▪ OR, Certify and document that waiver of authorization criteria have been met ▪ Review and approve all authorizations and data use agreements ▪ Retain records documenting HIPAA actions for 6 years From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz IRB’s New Responsibilities
  54. 54. 54 ▪Establishes national standards to protect individuals’ electronic PHI that is created, received, used, or maintained by a CE. ▪Requires appropriate safeguards to ensure confidentiality, integrity & security of electronic PHI ▪ Administrative safeguards ▪ Physical safeguards ▪ Technical safeguards http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html HIPAA Security Rule
  55. 55. 55 ▪ Timeline ▪ August 12, 1998 Proposed Security Rule ▪ February 20, 2003 Final Security Rule ▪ April 21, 2005 Compliance Date for most CE ▪Full Text http://www.hhs.gov/ocr/privacy/hipaa/ administrative/securityrule/securityrulepdf.pdf http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/index.html HIPAA Security Rule
  56. 56. 56 ▪ The HIPAA Security Rule is: ▪ A set of information security “best practices” ▪ A minimum baseline for security ▪ An outline of what to do, and what procedures should be in place ▪ The HIPAA Security Rule is not: ▪ A set of specific instructions ▪ A set of rules for universal, unconditional implementation ▪ A document outlining specific implementations (vendors, equipment, software, etc.) From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz HIPAA Security Rule: Meaning
  57. 57. 57 The HIPAA Security Rule is designed to be: ▪ Technology-neutral ▪ Scalable (doesn’t require all CEs to apply the same policies) ▪ Flexible (allows CEs to determine their own needs) ▪ Comprehensive (covers technical, business, and behavioral issues) From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz HIPAA Security Rule: Meaning
  58. 58. 58 ▪ Many rules are either Required or Addressable ▪ Required: ▪ Compliance is mandatory ▪ Addressable: ▪ If a specification in the Rule is reasonable and appropriate for the CE, then the CE must implement ▪ Otherwise, documentation must be made of the reasons the policy cannot/will not be implemented, and when necessary, offer an alternative From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz HIPAA Security Rule: Meaning
  59. 59. 59 ▪Breach notification ▪Extension of complete Privacy & Security HIPAA provisions to business associates of covered entities ▪New rules for accounting of disclosures of a patient’s health information New Provisions in HITECH Act of 2009
  60. 60. 60 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  61. 61. 61 TDPG 1.0 TDPG 2.0 TDPG 3.0 (To be released) คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
  62. 62. 62 Timeline พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจดิจิทัลของ ประเทศ จานวน 8 ฉบับ • ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว (เรื่องเสร็จที่ 1135/2558) • 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป ณ โรงแรมเอทัส ลุมพินี • 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group ร่วมกับ หน่วยงานภาครัฐ ภาคเอกชน ภาควิชาการ และภาคประชาสังคมที่เกี่ยวข้อง ณ กระทรวง DE • 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย ณ กระทรวง DE • 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail • 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... • 5-20 ก.ย. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์ (ประชุม 11 ก.ย. 2651) • 28 ธ.ค. 2561 สนช. รับหลักการในวาระที่ 1 • 27-28 ก.พ. 2562 สนช. เห็นชอบในวาระที่ 2-3 • 27 พ.ค. 2562 ประกาศในราชกิจจานุเบกษา • 27 พ.ค. 2563 (เดิม) บทบัญญัติเรื่องสิทธิและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับ • 21 พ.ค. 2563 พรฎ.กาหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับฯ ประกาศใน ราชกิจจานุเบกษา (มีผล 27 พ.ค. 2563 – 31 พ.ค. 2564)
  63. 63. 63 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หมวด 1 คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล • หมวด 2 การคุ้มครองข้อมูลส่วน บุคคล • ส่วนที่ 1 บททั่วไป • ส่วนที่ 2 การเก็บรวบรวมข้อมูล ส่วนบุคคล • ส่วนที่ 3 การใช้หรือเปิดเผย ข้อมูลส่วนบุคคล • หมวด 3 สิทธิของเจ้าของข้อมูล ส่วนบุคคล • หมวด 4 สานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล • หมวด 5 การร้องเรียน • หมวด 6 ความรับผิดทางแพ่ง • หมวด 7 บทกาหนดโทษ • ส่วนที่ 1 โทษอาญา • ส่วนที่ 2 โทษทางปกครอง • บทเฉพาะกาล
  64. 64. 64 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตั้งแต่วันถัดจากวันประกาศใน ราชกิจจานุเบกษา • หมวด 1 คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล • หมวด 4 สานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล • บทเฉพาะกาล (ยกเว้นมาตรา 95, 96) เมื่อพ้นกาหนดหนึ่งปีนับแต่วัน ประกาศในราชกิจจานุเบกษา • หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล • หมวด 3 สิทธิของเจ้าของข้อมูลส่วน บุคคล • หมวด 5 การร้องเรียน • หมวด 6 ความรับผิดทางแพ่ง • หมวด 7 บทกาหนดโทษ • บทเฉพาะกาล เฉพาะมาตรา 95 (การ เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่ เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้ บังคับ), มาตรา 96 (ระยะเวลาในการ ดาเนินการออกระเบียบ และประกาศ ตาม พ.ร.บ. นี้)
  65. 65. 65 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3) • ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้ โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ นั้น เว้นแต่ • (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า ด้วยการนั้นหรือไม่ก็ตาม • (2) ฯลฯ
  66. 66. 66 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3) • ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ แห่งกฎหมายว่าด้วยการนั้น เว้นแต่ • (1) ฯลฯ • (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ. นี้ ในกรณีดังต่อไปนี้ • (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน • (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบททบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี
  67. 67. 67 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการใช้บังคับ (มาตรา 4) • พ.ร.บ.นี้ไม่ใช้บังคับแก่ • (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น • (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ • (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น ประโยชน์สาธารณะเท่านั้น • (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ... • (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา • (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล เครดิต
  68. 68. 68 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการใช้บังคับ (มาตรา 4) • การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น ใด ให้ตราเป็นพระราชกฤษฎีกา • ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้ เป็นไปตามมาตรฐานด้วย
  69. 69. 69 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ขอบเขตการใช้บังคับ (มาตรา 5) • พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทาในหรือนอกราชอาณาจักรก็ ตาม • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอก ราชอาณาจักร พ.ร.บ.นี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดาเนินกิจกรรม ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็น กิจกรรม ดังต่อไปนี้ • การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมี การชาระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม • การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
  70. 70. 70
  71. 71. 71
  72. 72. 72 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • บทนิยาม (มาตรา 6) • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัว บุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม โดยเฉพาะ • “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติ บุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล • “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติ บุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม คาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล • “บุคคล” หมายความว่า บุคคลธรรมดา • ฯลฯ
  73. 73. 73
  74. 74. 74
  75. 75. 75
  76. 76. 76 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • องค์ประกอบของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 8) • (1) ประธานกรรมการ ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ และ ประสบการณ์เป็นที่ประจักษ์ ฯลฯ • (2) ปลัด ดศ. เป็นรองประธานกรรมการ • (3) กรรมการโดยตาแหน่ง 5 คน ได้แก่ ปลัดสานักนายกรัฐมนตรี เลขาธิการ คณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรม คุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด • (4) กรรมการผู้ทรงคุณวุฒิ 9 คน ซึ่งสรรหาและแต่งตั้งจากผู้มีความรู้ ความ เชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้าน สังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น ทั้งนี้ ต้อง เกี่ยวข้องและเป็นประโยชน์ต่อการคุ้มครองข้อมูลส่วนบุคคล • ให้เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน
  77. 77. 77 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16) • (1) จัดทาแผนแม่บทการดาเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล...เพื่อเสนอต่อ คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ... • (2) ส่งเสริมและสนับสนุนหน่วยงานของรัฐและภาคเอกชน ดาเนินกิจกรรมตามแผนแม่บทตาม (1) รวมทั้งจัดให้มีการประเมินผลการดาเนินงานตามแผนแม่บทดังกล่าว • (3) กาหนดมาตรการหรือแนวทางการดาเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไป ตาม พ.ร.บ. นี้ • (4) ออกประกาศหรือระเบียบเพื่อให้การดาเนินการเป็นไปตาม พ.ร.บ. นี้ • (5) ประกาศกาหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ • (6) ประกาศกาหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วน บุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ • (7) เสนอแนะต่อคณะรัฐมนตรีให้มีการตราหรือปรับปรุงกฎหมายหรือกฎที่ใช้บังคับอยู่ในส่วนที่ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  78. 78. 78 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หน้าที่และอานาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 16) • (8) เสนอแนะต่อคณะรัฐมนตรีในการตราพระราชกฤษฎีกาหรือทบทวนความเหมาะสมของ พ.ร.บ. นี้ อย่างน้อยทุกรอบห้าปี • (9) ให้คาแนะนาและคาปรึกษาเกี่ยวกับการดาเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของ หน่วยงานของรัฐและภาคเอกชนในการปฏิบัติตาม พ.ร.บ. นี้ • (10) ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ พ.ร.บ. นี้ • (11) ส่งเสริมและสนับสนุนให้เกิดทักษะการเรียนรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วน บุคคลให้แก่ประชาชน • (12) ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล • (13) ปฏิบัติการอื่นใดตามที่ พ.ร.บ. นี้หรือกฎหมายอื่นกาหนดให้เป็นหน้าที่และอานาจของ คณะกรรมการ
  79. 79. 79 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เก็บรวบรวม (Collection) ใช้ (Use) เปิดเผย (Disclosure) กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
  80. 80. 80 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) • ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้ หรือกฎหมายอื่นบัญญัติให้กระทาได้ • การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ • ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้ เข้าใจผิดในวัตถุประสงค์ดังกล่าว... • ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
  81. 81. 81 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) • เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน หมวดนี้ • ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ ถอนความยินยอมนั้น • การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้
  82. 82. 82
  83. 83. 83 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การขอความยินยอมจากผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มี ฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวล กฎหมายแพ่งและพาณิชย์ (มาตรา 20) • (1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลาพังได้ ตามมาตรา 22, 23 หรือ 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้ อานาจปกครองที่มีอานาจกระทาการแทนผู้เยาว์ด้วย • (2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อานาจปกครองที่มีอานาจกระทาการ แทนผู้เยาว์ • ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาล • ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ • รวมถึงการถอนความยินยอม การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคล การร้องเรียน และการอื่นใด ด้วย
  84. 84. 84
  85. 85. 85 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • วัตถุประสงค์ (มาตรา 21) • ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน ขณะที่เก็บรวบรวม • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจาก วัตถุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทามิได้ เว้นแต่ • (1) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและ ได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว • (2) บทบัญญัติแห่ง พ.ร.บ.นี้หรือกฎหมายอื่นบัญญัติให้กระทาได้
  86. 86. 86 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การเก็บรวบรวมข้อมูลส่วนบุคคล • การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จาเป็นภายใต้วัตถุประสงค์อัน ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22) • ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice) • (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย ซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา 24 ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้ รับความยินยอม • (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อ ปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้า ทาสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล • (3) ฯลฯ
  87. 87. 87 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การเก็บรวบรวมข้อมูลส่วนบุคคล • ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice) • (3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ทั้งนี้ ในกรณีที่ไม่สามารถกาหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กาหนด ระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม • (4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก เปิดเผย • (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ใน กรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้แจ้งด้วย • (6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า, 30-34, 36, 73
  88. 88. 88
  89. 89. 89 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม (มาตรา 24) • (1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์ สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครอง สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด • (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล • (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการ ดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทาสัญญานั้น • (4) เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล ส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล • (5) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือ นิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญน้อยกว่าสิทธิขั้น พื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล • (6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  90. 90. 90 Lawful Basis in PDPA
  91. 91. 91 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง (มาตรา 25) • (1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคล ทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล • (2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26
  92. 92. 92 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง (มาตรา 25) • ให้นาบทบัญญัติเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา 21 และการแจ้งรายละเอียด (Privacy Notice) ตามมาตรา 23 มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่งโดย อนุโลม เว้นแต่ • (1) เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่หรือรายละเอียดนั้นอยู่แล้ว • (2) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวไม่สามารถทา ได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในกรณีนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้อง จัดให้มีมมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล • (3) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทาโดยเร่งด่วนตามที่กฎหมายกาหนดซึ่งได้จัดให้มี มาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล • (4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซึ่งข้อมูลส่วนบุคคลจากหน้าที่หรือจากการ ประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้ เป็นความลับตามที่กฎหมายกาหนด
  93. 93. 93 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง (มาตรา 25) • การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้ เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 วันนับแต่วันที่เก็บรวบรวมตาม มาตรานี้ เว้นแต่กรณีที่นาข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของ ข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีที่จะนาข้อมูลส่วน บุคคลไปเปิดเผย ต้องแจ้งก่อนที่จะนาข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้ง แรก
  94. 94. 94
  95. 95. 95 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) • ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความ เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล ชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานอง เดียวกันตามที่คณะกรรมการประกาศกาหนด
  96. 96. 96 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด ก็ตาม • (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่ แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น
  97. 97. 97 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ ข้อมูลส่วนบุคคล • (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม กฎหมาย
  98. 98. 98 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
  99. 99. 99 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้ มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม จริยธรรมแห่งวิชาชีพ
  100. 100. 100 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ ของเจ้าของข้อมูลส่วนบุคคล
  101. 101. 101 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้ รับความยินยอมโดยชัดแจ้ง (มาตรา 26) • (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ • (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์ สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด • (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
  102. 102. 102
  103. 103. 103
  104. 104. 104
  105. 105. 105 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 27) • ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บ รวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือ 26 • บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจาก วัตถุประสงค์ทีได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วน บุคคลนั้น • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับ ยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้อง บันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39
  106. 106. 106
  107. 107. 107 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28) (Cross-border Data Transfer) • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการ คุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครอง ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่ • (1) เป็นการปฏิบัติตามกฎหมาย • (2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วน บุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศ ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว • (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทา สัญญานั้น
  108. 108. 108 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (มาตรา 28) • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศ ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกาหนดตามมาตรา 16 (5) เว้นแต่ • (4) เป็นการกระทาตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล • (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วน บุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้ • (6) เป็นการจาเป็นเพื่อการดาเนินภารกิจเพื่อประโยชน์สาธารณะที่สาคัญ • ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศ ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้ วินิจฉัย...
  109. 109. 109
  110. 110. 110 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สิทธิขอเข้าถึงและขอรับสาเนาข้อมูล สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล สิทธิร้องขอให้ดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
  111. 111. 111 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • สิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคล (มาตรา 30) • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยูในความ รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตน ไม่ได้ให้ความยินยอม • ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามคาขอตามวรรคหนึ่ง จะปฏิเสธคาขอได้เฉพาะในกรณีที่เป็นการ ปฏิเสธตามกฎหมายหรือคาสั่งศาล และการเข้าถึงและขอรับสาเนาข้อมูลส่วนบุคคลนั้นจะส่งผลกระทบ ที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธคาขอตามวรรคหนึ่ง ให้บันทึกการปฏิเสธคาขอดังกล่าวพร้อม ด้วยเหตุผลไว้ในรายการตามมาตรา 39 • เมื่อเจ้าของข้อมูลส่วนบุคคลมีคาขอตามวรรคหนึ่งและเป็นกรณีที่ไม่อาจปฏิเสธคาขอได้ตามวรรคสอง ให้ ผู้ควบคุมข้อมูลส่วนบุคคลดาเนินการตามคาขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่ได้รับคาขอ • คณะกรรมการอาจกาหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสาเนาตามวรรคหนึ่ง รวมทั้งการ ขยายระยะเวลาตามวรรคสี่หรือหลักเกณฑ์อื่นตามความเหมาะสมก็ได้

×