Presented at the Office of the Personal Data Protection Committee, Bangkok, Thailand on February 29, 2024

1. 1
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และกฎหมายลาดับรอง 4 ฉบับ
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
กรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
29 กุมภาพันธ์ 2567
www.SlideShare.net/Nawanan
โครงการสัมมนาเพื่อเตรียมความพร้อมการปฏิบัติตามกฎหมายลาดับรองตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2. 2
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ใช่ความเห็นทางการของคณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคล (กคส.) หรือสานักงานคณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล (สคส.) และไม่ผูกพันการทาหน้าที่ของ
วิทยากรในบทบาทใดในปัจจุบันหรืออนาคต

3. 3
Part 1: ภาพรวมของพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
กรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
อนุกรรมการในคณะอนุกรรมการเฉพาะกิจเพื่อเร่งรัดการออกอนุบัญญัติที่เกี่ยวข้องกับ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
29 กุมภาพันธ์ 2567
โครงการสัมมนาเพื่อเตรียมความพร้อมการปฏิบัติตามกฎหมายลาดับรองตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

4. 4
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

5. 5
▪Privacy: “The ability of an individual or group to
seclude themselves or information about themselves
and thereby reveal themselves selectively.”
(Wikipedia)
▪Information Security: “Protecting information and
information systems from unauthorized access, use,
disclosure, disruption, modification, perusal, inspection,
recording or destruction” (Wikipedia)
Security & Privacy

6. 6
Confidentiality
•การรักษาความลับของข้อมูล
Integrity
•การรักษาความครบถ้วนและความถูกต้องของข้อมูล
•ปราศจากการเปลี่ยนแปลงแก้ไข ทำให้สูญหาย ทำให้
เสียหาย หรือถูกทำลายโดยมิชอบ
Availability
•การรักษาสภาพพร้อมใช้งาน
หลักการสาคัญของ Information Security

7. 7
TDPG 3.0
https://www.law.chula.ac.th/
wp-content/uploads/2020/12/
TDPG3.0-C5-20201208.pdf
คณะนิติศาสตร์
จุฬาลงกรณ์มหาวิทยาลัย

8. 8
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

9. 9
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
• ส่วนที่ 1 บททั่วไป
• ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
• ส่วนที่ 3 การใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• ส่วนที่ 1 โทษอาญา
• ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

10. 10
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่
เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด
หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง
ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี

11. 11
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ
หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น
เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

12. 12
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

13. 13
กฎหมายเฉพาะ
• พรบ.โรคติดต่อ พ.ศ. 2558

14. 14
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
2. ข้อยกเว้นการบังคับใช้ PDPA
(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ
ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
(2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการ
คลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอก
เงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
(3) การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรือ
งานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลในการพิจารณาตามหน้าที่และอานาจของสภาผู้แทนราษฎร วุฒิสภา
รัฐสภา หรือคณะกรรมาธิการ
(5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี
และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา
(6) การดาเนินการของบริษัทข้อมูลเครดิตและสมาชิก Reference: PDPA ม.4

15. 15
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
3. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้
และเปิดเผยข้อมูลส่วนบุคคล
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บ
รักษา + วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)

16. 16
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
4. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคล
ซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2
ประเภท
• ข้อมูลส่วนบุคคลทั่วไป (General/Non-Sensitive Personal Data)
• ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive Personal Data)

17. 17
Sensitive
Personal Data
Reference: PDPA ม.26
“ข้อมูลชีวภาพ” ตาม PDPA คือ
Biometric Data (ที่ถูก คือ ข้อมูล
ชีวมาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด
แต่คาอธิบายในมาตรา 26 วรรคสอง
ของ พ.ร.บ. ทาให้เข้าใจได้ว่าหมายถึง
Biometric Data

18. 18
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
5. ใครเป็นใคร ใน PDPA
• Data Subject (เจ้าของข้อมูลส่วนบุคคล)
• Controller (ผู้ควบคุมข้อมูลส่วนบุคคล)
• มีอานาจหน้าที่ตัดสินใจเกี่ยวกับการ
เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคล
• เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลเพื่อวัตถุประสงค์ในกิจการของ
ตน
• Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล)
• ทาตามสั่ง/ในนามของ Controller

19. 19
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
6. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
จะต้องทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization)
• การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยง
ของทั้ง controller และ data subject
• แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้
• “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน
ซึ่งไม่ใช่ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง
“ฐานทางกฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐาน
เท่านั้น โดยแต่ละฐานจะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้
แตกต่างกัน

20. 20
ฐานทางกฎหมายใน PDPA
(กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive)
1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ
ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics)
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ในการ
ดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance)
4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือใน
การใช้อานาจรัฐ (Public Task)
5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญ
น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ (Legitimate Interest)
6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation)
7. ได้รับความยินยอม (Consent)
Reference: PDPA ม.24

21. 21
ฐานการประมวลผลข้อมูล
Lawful Basis in PDPA
สาหรับข้อมูลส่วนบุคคลที่
ไม่ใช่ Sensitive Personal Data
Reference: PDPA ม.24

22. 22
ฐานการประมวลผลข้อมูล
Lawful Basis in PDPA
สาหรับ Sensitive
Personal Data
Reference: PDPA ม.26

23. 23
ฐานการประมวลผลข้อมูล
Lawful Basis in PDPA
สาหรับ Sensitive
Personal Data
Reference: PDPA ม.26

24. 24
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด
ก็ตาม
• (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น
สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่
แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น
ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น
Reference: PDPA ม.26

25. 25
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ
ข้อมูลส่วนบุคคล
• (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม
หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม
กฎหมาย
Reference: PDPA ม.26

26. 26
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล
นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล
ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง
เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์
Reference: PDPA ม.26

27. 27
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก
โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ
การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้
มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม
จริยธรรมแห่งวิชาชีพ
Reference: PDPA ม.26

28. 28
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก
รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน
การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน
บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคล
Reference: PDPA ม.26

29. 29
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์
สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น
เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ
ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
• (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง
สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
Reference: PDPA ม.26

30. 30
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
7. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง
กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent
should be the last resort.)
• เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ
ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง
consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ
ตัดสินใจ
• หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีการให้บริการหรือการขอความ
ยินยอมอื่น ๆ นอกเหนือจากเรื่องข้อมูลส่วนบุคคล เช่น โรงพยาบาล/แพทย์ ขอ
consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทาวิจัย ซึ่ง
เป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร

31. 31
Consent ใน PDPA

32. 32
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
• การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
• ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

33. 33
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้
ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ
ถอนความยินยอมนั้น
• การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลได้

34. 34
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
8. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง
• แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ
เก็บรวบรวมข้อมูล
• ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง)
• ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป
กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice
ใหม่

35. 35
การแจ้งวัตถุประสงค์และ
รายละเอียดให้เจ้าของข้อมูล
ส่วนบุคคลทราบ
(Privacy Notice)

36. 36
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
9. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่
• ดูแล Security ให้ดี
• มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ
• ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy)
• แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ
• จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ
• พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA
• พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง
• ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของ
processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller
• แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือประมวลผลข้อมูล
จานวนมาก)

37. 37
Data Controller
Responsibilities
1. Security
2. Preventing Unauthorized
Processing
3. Data Retention
4. Breach Notification
5. Record of Processing
Activities (ROPA)
6. International Data Transfer
7. Secondary Data Collection
8. Data Processing Agreement
(DPA)
9. Data Protection Officer
(DPO)

38. 38
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
10. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
• Right to Be Informed
(Privacy Notice)
• Right of Access
• Right to Data Portability
• Right to Object
• Right to be Forgotten
• Right to Restrict Processing
• Right of Rectification

39. 39
เรื่องที่ควรทราบ เกี่ยวกับ PDPA
(แถม) ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้
สามารถใช้ต่อไปได้ตามวัตถุประสงค์เดิม
• ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject ถอน
ความยินยอมได้
• ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง
ดาเนินการตาม PDPA เต็มรูป
• ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น
(repurpose) ต้องดาเนินการตาม PDPA เต็มรูป

40. 40
ตัวอย่างการปรับใช้กฎหมายในการตอบข้อหารือ
https://www.pdpc.or.th/consultation/

41. 41
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่ง
เป็นกิจการขนาดเล็ก พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการจัดทาและเก็บรักษาบันทึกรายการ
ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสาหรับผู้ประมวลผลข้อมูลส่วนบุคคล
พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับเมื่อพ้นกาหนด 180 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วน
บุคคล พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์การพิจารณาออกคาสั่งลงโทษปรับทางปกครองของ
คณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 20 มิ.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
Image Source: Flaticon.com

42. 42
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ระเบียบ กคส. ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และ
ระยะเวลาในการพิจารณาคาร้องเรียน พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง คุณสมบัติและลักษณะต้องห้าม วาระการดารงตาแหน่ง การ
พ้นจากตาแหน่ง และการดาเนินงานอื่นของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 11 ก.ค. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับคุณสมบัติของพนักงานเจ้าหน้าที่ตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง กาหนดแบบบัตรประจาตัวของพนักงานเจ้าหน้าที่ตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 12 ก.ย. 2565 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
พ.ศ. 2565
• ประกาศในราชกิจจานุเบกษาเมื่อ 15 ธ.ค. 2565 มีผลใช้บังคับตั้งแต่วันประกาศฯ
Image Source: Flaticon.com

43. 43
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการจัดทาคาสั่งของคณะกรรมการ
ผู้เชี่ยวชาญตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 21 มิ.ย. 2566 มีผลใช้บังคับตั้งแต่วันถัดจากวันประกาศฯ
• ประกาศ กคส. เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
ที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 18 ก.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• พรฎ.กาหนดลักษณะ กิจการ หรือหน่วยงานที่ได้รับการยกเว้นไม่ให้นา
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ
พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 17 ส.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 150 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา
41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 14 ก.ย. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
Image Source: Flaticon.com

44. 44
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
ของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งได้รับการยกเว้นไม่ให้นาพระราชบัญญัติคุ้มครอง
ข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 8 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง มาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของ
เจ้าของข้อมูลส่วนบุคคล สาหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุ
วัตถุประสงค์ที่เกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อ
ประโยชน์สาธารณะ พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 8 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไป
ยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 25 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
Image Source: Flaticon.com
Section 28

45. 45
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไป
ยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 25 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง มาตรการที่เหมาะสมสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคล
เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และ
การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
ตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 8 ม.ค. 2567 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 8 ม.ค. 2567 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
Image Source: Flaticon.com
Section 29

46. 46

47. 47

48. 48
Part 2: หลักเกณฑ์การให้ความคุ้มครองข้อมูล
ส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตาม
มาตรา 28 และมาตรา 29 แห่งพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โครงการสัมมนาเพื่อเตรียมความพร้อมการปฏิบัติตามกฎหมายลาดับรองตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
กรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
อนุกรรมการในคณะอนุกรรมการเฉพาะกิจเพื่อเร่งรัดการออกอนุบัญญัติที่เกี่ยวข้องกับ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
29 กุมภาพันธ์ 2567

49. 49
กฎหมายลาดับรองตาม PDPA ที่ประกาศแล้ว
• ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไป
ยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 25 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
• ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไป
ยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562 พ.ศ. 2566
• ประกาศในราชกิจจานุเบกษาเมื่อ 25 ธ.ค. 2566 มีผลใช้บังคับเมื่อพ้นกาหนด 90 วันนับแต่วัน
ประกาศฯ
Image Source: Flaticon.com
Section 28
Section 29

50. 50
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
มาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพียงพอ
(Adequate Personal
Data Protection
Standards)
ข้อยกเว้น
(Derogations)
Section 28
Image Source: Flaticon.com
Reference: PDPA ม.28

51. 51
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
ข้อยกเว้น
(Derogations)
คาวินิจฉัยปัญหาเกี่ยวกับ
มาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพียงพอ
(Adequacy Decisions
or “Whitelist”)
Section 28
Image Source: Flaticon.com
Reference: PDPA ม.28

52. 52
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
นโยบายในการคุ้มครอง
ข้อมูลส่วนบุคคลในเครือ
กิจการหรือเครือธุรกิจ
เดียวกันเพื่อการประกอบ
กิจการหรือธุรกิจร่วมกัน
(Binding Corporate
Rules: BCRs)
Section 29
Image Source: Flaticon.com
Reference: PDPA ม.29

53. 53
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
มาตรการคุ้มครองที่
เหมาะสม (Appropriate
Safeguards)
Section 29
Image Source: Flaticon.com
Reference: PDPA ม.29

54. 54
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
มาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพียงพอ
(Adequate Personal
Data Protection
Standards)
ข้อยกเว้น
(Derogations)
Section 28
Image Source: Flaticon.com
Reference: PDPA ม.28

55. 55
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
ข้อยกเว้น
(Derogations)
คาวินิจฉัยปัญหาเกี่ยวกับ
มาตรฐานการคุ้มครอง
ข้อมูลส่วนบุคคลที่เพียงพอ
(Adequacy Decisions
or “Whitelist”)
Section 28
Image Source: Flaticon.com
Reference: PDPA ม.28

56. 56
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Data Transit vs. Data Transfer
Section 28
Image Source: Flaticon.com

57. 57
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Adequate Personal Data Protection Standards & Adequacy Decisions
(a.k.a. “Whitelist”)
Section 28
Image Source: Flaticon.com

58. 58
1. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Adequate Personal Data Protection Standards & Adequacy Decisions
(a.k.a. “Whitelist”)
Section 28
Image Source: Flaticon.com
หมายเหตุ : ข้อ 6 ของประกาศตามมาตรา 28 นี้ ระบุบทบัญญัติเกี่ยวกับการเสนอปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ให้คณะกรรมการวินิจฉัยผิดพลาด ที่ถูกต้องแก้จาก “มาตรา ๒๘ วรรคสาม” เป็น “มาตรา ๒๘ วรรคสอง”

59. 59
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
นโยบายในการคุ้มครอง
ข้อมูลส่วนบุคคลในเครือ
กิจการหรือเครือธุรกิจ
เดียวกันเพื่อการประกอบ
กิจการหรือธุรกิจร่วมกัน
(Binding Corporate
Rules: BCRs)
Section 29
Image Source: Flaticon.com
Reference: PDPA ม.29

60. 60
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Cross-Border (International) Personal Data Transfer
มาตรการคุ้มครองที่
เหมาะสม (Appropriate
Safeguards)
Section 29
Image Source: Flaticon.com
Reference: PDPA ม.29

61. 61
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Data Transit vs. Data Transfer
Section 29
Image Source: Flaticon.com

62. 62
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
Section 29
Image Source: Flaticon.com

63. 63
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Binding Corporate Rules (BCR) (มาตรา 29 วรรคหนึ่งและวรรคสอง) Section 29
Image Source: Flaticon.com

64. 64
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Binding Corporate Rules (BCR) (มาตรา 29 วรรคหนึ่งและวรรคสอง) Section 29
Image Source: Flaticon.com

65. 65
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Binding Corporate Rules (BCR) (มาตรา 29 วรรคหนึ่งและวรรคสอง)
Section 29
Image Source: Flaticon.com

66. 66
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Appropriate Safeguards (มาตรา 29 วรรคสาม) Section 29
Image Source: Flaticon.com

67. 67
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Appropriate Safeguards (มาตรา 29 วรรคสาม) Section 29
Image Source: Flaticon.com

68. 68
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Appropriate Safeguards (มาตรา 29 วรรคสาม) Section 29
มาตรการคุ้มครองที่เหมาะสม
(Appropriate Safeguards)
(1) ข้อสัญญาที่เป็นไปตามข้อ
สัญญาที่เป็นที่ยอมรับ (Contract
Consistent with “Accepted”
Contractual Clauses)
(2) การรับรอง (Certification)
(รอประกาศเพิ่มเติมตามข้อ 14)
(3) ตราสารหรือข้อตกลงที่มีผลผูกพัน
ทางกฎหมายและสามารถใช้บังคับได้
ระหว่างหน่วยงานของรัฐ (Binding &
Enforceable Legal Instrument or
Agreement between Public
Organizations)
Image Source: Flaticon.com

69. 69
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Appropriate Safeguards (มาตรา 29 วรรคสาม) Section 29
หลักเกณฑ์ทั่วไปสาหรับมาตรการ
คุ้มครองที่เหมาะสม
(General Criteria for
Appropriate Safeguards)
Image Source: Flaticon.com

70. 70
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ “Accepted” Contractual Clauses
(1) ข้อสัญญาที่เป็นไปตามข้อ
สัญญาที่เป็นที่ยอมรับ (Contract
Consistent with “Accepted”
Contractual Clauses)
(A) ข้อสัญญาที่คู่สัญญาจัดทาขึ้น
และมีผลผูกพันที่มีเนื้อหาและ
ข้อกาหนดตามที่กาหนด
(Legally Binding Customized
Contractual Clauses with
Necessary Data Protection
Requirements)
Section 29
Image Source: Flaticon.com

71. 71
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ “Accepted” Contractual Clauses
(1) ข้อสัญญาที่เป็นไปตามข้อ
สัญญาที่เป็นที่ยอมรับ (Contract
Consistent with “Accepted”
Contractual Clauses)
(A) ข้อสัญญาที่คู่สัญญาจัดทาขึ้น
และมีผลผูกพันที่มีเนื้อหาและ
ข้อกาหนดตามที่กาหนด (Legally
Binding Customized
Contractual Clauses with
Necessary Data Protection
Requirements)
Section 29
Image Source: Flaticon.com

72. 72
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ “Accepted” Contractual Clauses
(1) ข้อสัญญาที่เป็นไปตามข้อ
สัญญาที่เป็นที่ยอมรับ (Contract
Consistent with “Accepted”
Contractual Clauses)
(A) ข้อสัญญาที่คู่สัญญาจัดทาขึ้น
และมีผลผูกพันที่มีเนื้อหาและ
ข้อกาหนดตามที่กาหนด (Legally
Binding Customized
Contractual Clauses with
Necessary Data Protection
Requirements)
Section 29
Image Source: Flaticon.com

73. 73
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ “Accepted” Contractual Clauses
Section 29
(1) ข้อสัญญาที่เป็นไปตามข้อสัญญาที่
เป็นที่ยอมรับ (Contract Consistent
with “Accepted” Contractual
Clauses)
(B) ข้อสัญญาที่คู่สัญญาจัดทาขึ้นตาม
กฎหมายของต่างประเทศ หรือจัดทาโดย
องค์การระหว่างประเทศ โดยใช้ข้อ
สัญญาต้นแบบอย่างใดอย่างหนึ่ง ดังนี้
(Contractual Clauses from Foreign
Countries or International
Organizations using one of the
following)
(B.1) ASEAN Model Contractual
Clauses (ASEAN MCC)
(B.2) EU GDPR Standard
Contractual Clauses (EU SCC)
(B.3) อื่น ๆ ที่อาจประกาศเพิ่มเติม
(Others to be Announced)
Image Source: Flaticon.com

74. 74
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
Section 29
▪ “Accepted” Contractual Clauses
มาตรการคุ้มครองข้อมูลส่วนบุคคลที่
ต้องมีสาหรับข้อสัญญาที่คู่สัญญาจัดทา
ขึ้นตามกฎหมายของต่างประเทศ หรือ
จัดทาโดยองค์การระหว่างประเทศ
(Required Personal Data
Protection Measures for
Contractual Clauses from
Foreign Countries or
International Organizations)
ข้อกาหนดนี้เป็นกระบวนการภายในของ
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
และสานักงานคณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล (Internal Process) Adapted from International Safe Harbor Privacy Principles & EU-US Privacy Shield,
although invalidated by European Court of Justice, given its foundational importance
Image Source: Flaticon.com

75. 75
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
Section 29
▪ “Accepted” Contractual Clauses
การแก้ไขเพิ่มเติมที่ยอมรับได้ สาหรับ
ข้อสัญญาที่คู่สัญญาจัดทาขึ้นตาม
กฎหมายของต่างประเทศ หรือจัดทา
โดยองค์การระหว่างประเทศ
(Acceptable Amendments of
Contractual Clauses from
Foreign Countries or
International Organizations)
มาตรการเพื่ออานวยความสะดวกใน
การอ้างอิงสาหรับผู้ควบคุมข้อมูลส่วน
บุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล
และประชาชน (Measure to
Accommodate Controllers,
Processors, and the Public in
Referencing Contractual Clauses
from Foreign Countries or
International Organizations)
Image Source: Flaticon.com

76. 76
2. ประกาศ กคส. เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือ
โอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 พ.ศ. 2566
▪ Appropriate Safeguards (มาตรา 29 วรรคสาม) Section 29
(2) การรับรอง (Certification)
(รอประกาศเพิ่มเติม)
หมายเหตุ : จะต้องเป็นการรับรอง (Certification) เกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลข้ามพรมแดน (Cross-Border Personal Data
Transfer) หรือการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างประเทศ (International Personal Data Transfer) ไม่ใช่การรับรอง (Certification)
เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ความเป็นส่วนตัว (Privacy) หรือการรักษาความมั่นคงปลอดภัยสารสนเทศ
(Information Security) ขององค์กรโดยทั่วไปเท่านั้น
Image Source: Flaticon.com

77. 77
Part 3: หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับ
การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติ
อาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย
โครงการสัมมนาเพื่อเตรียมความพร้อมการปฏิบัติตามกฎหมายลาดับรองตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
กรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
อนุกรรมการในคณะอนุกรรมการเฉพาะกิจเพื่อเร่งรัดการออกอนุบัญญัติที่เกี่ยวข้องกับ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
29 กุมภาพันธ์ 2567

78. 78
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ใช่ความเห็นทางการของคณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคล (กคส.) หรือสานักงานคณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล (สคส.) และไม่ผูกพันการทาหน้าที่ของ
วิทยากรในบทบาทใดในปัจจุบันหรืออนาคต

79. 79
หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคล
เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุม
ของหน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย
▪ Collecting Sensitive Personal Data
Image Source: Flaticon.com
Reference: PDPA ม.26

80. 80
หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคล
เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุม
ของหน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย
▪ Collecting Sensitive Personal Data
Image Source: Flaticon.com
Reference: PDPA ม.26

81. 81
หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคล
เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุม
ของหน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย
▪ Collecting Sensitive Personal Data
Image Source: Flaticon.com
Reference: PDPA ม.26

82. 82
หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคล
เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุม
ของหน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย
▪ Collecting Sensitive Personal Data
Reference: PDPA ม.26
Image Source: Flaticon.com

83. 83
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
▪ Collection of “Personal Data relating to Criminal Convictions and
Offences or Related Security Measures”
Definition
Covered Personal Data Collection
Image Source: Flaticon.com

84. 84
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
Requirements for Personal Data Collection
วัตถุประสงค์ที่ครอบคลุม
สาหรับเงื่อนไขที่ต้องมี
กฎหมายบัญญัติหรือ
ได้รับความยินยอมโดย
ชัดแจ้ง (Covered
Purposes Requiring
Legal Mandate or
Explicit Consent)
เงื่อนไขสาหรับการเก็บ
รวบรวมข้อมูลส่วนบุคคล
เกี่ยวกับประวัติอาชญากรรม
1. Legal Mandate
2. Explicit Consent
Image Source: Flaticon.com

85. 85
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
Requirements for Personal Data Collection
มาตรการเพื่อให้เจ้าของข้อมูลส่วน
บุคคลทราบความจาเป็นในการเก็บ
รวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ
ประวัติอาชญากรรมตั้งแต่แรก
(Measure for Early Notice of
Necessity for Collecting
Personal Data relating to
Criminal Convictions and
Offences)
มาตรการเพื่อให้เจ้าของข้อมูลส่วน
บุคคลทราบข้อมูลที่จาเป็นสาหรับ
การให้ความยินยอม (Measure to
Ensure Necessary
Information is Provided for
Consent)
Image Source: Flaticon.com

86. 86
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
Requirements for Personal Data Collection
Image Source: Flaticon.com
Measures for
Data
Minimization
Security
Measures

87. 87
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
Requirements for Personal Data Collection
Image Source: Flaticon.com
Measures for
Data
Minimization
ตัวอย่างมาตรการตามข้อ 7
1. นโยบายและ/หรือระเบียบปฏิบัติภายในที่กาหนดแนวทางการเก็บรวบรวม
ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
2. กระบวนการทางานภายในที่มีกลไกกลั่นกรองหรือพิจารณาอนุมัติ/เห็นชอบ
การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับประวัติ
อาชญากรรม
3. มาตรการติดตาม เฝ้าระวัง และกากับดูแลการเก็บรวบรวม ใช้ และเปิดเผย
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
4. มาตรการรักษาความมั่นคงปลอดภัยเพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง
แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ ซึ่ง
อาจรวมถึง
- มาตรการควบคุมการเข้าถึง การพิสูจน์และยืนยันตัวตน การ
อนุญาตหรือการกาหนดสิทธิในการเข้าถึงและใช้งานที่เหมาะสม
- มาตรการเพื่อการตรวจสอบย้อนหลังเกี่ยวกับการประมวลผลข้อมูล
ส่วนบุคคล (audit trails)
- มาตรการสร้างเสริมความตระหนักรู้ให้กับผู้เกี่ยวข้อง
- มาตรการแฝงข้อมูล (pseudonymization) และการเข้ารหัสข้อมูล
(encryption)
- มาตรการทางกายภาพเพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง
แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ
5. มาตรการลบหรือทาลายข้อมูลเมื่อครบกาหนดเวลาหรือหมดความจาเป็น
6. มาตรการที่มีขึ้นเพื่อประเมินผลและปรับปรุงมาตรการต่าง ๆ

88. 88
ประกาศ กคส. เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทาภายใต้การควบคุมของ
หน่วยงานที่มีอานาจหน้าที่ตามกฎหมาย พ.ศ. 2566
Data Retention Requirements
Image Source: Flaticon.com
ข้อยกเว้นสาหรับ
การเก็บรักษา
ข้อมูลส่วนบุคคล
เกี่ยวกับประวัติ
อาชญากรรมไว้
นานกว่าที่กาหนด
ในข้อนี้
(Exceptions of
Data Retention
Requirements)
ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
ตามข้อนี้ ครอบคลุมเฉพาะการเก็บรวบรวมตามวัตถุประสงค์
ในข้อ 5 วรรคหนึ่ง (1), (2) หรือ (3)
ข้อยกเว้นสาหรับการเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับ
ประวัติอาชญากรรมไว้นานกว่าที่กาหนดในข้อนี้
(Exceptions of Data Retention Requirements)
กล่าวคือ ไม่มีความจาเป็นต้องเก็บรักษาไว้ตามวัตถุประสงค์
ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา 26 อีกต่อไป

89. 89
Part 4: มาตรการที่เหมาะสมสาหรับการเก็บรวบรวม
ข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์
ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1)
และการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โครงการสัมมนาเพื่อเตรียมความพร้อมการปฏิบัติตามกฎหมายลาดับรองตาม
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
กรรมการผู้ทรงคุณวุฒิด้านการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
อนุกรรมการในคณะอนุกรรมการเฉพาะกิจเพื่อเร่งรัดการออกอนุบัญญัติที่เกี่ยวข้องกับ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
29 กุมภาพันธ์ 2567

90. 90
มาตรการที่เหมาะสมสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่
เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และการศึกษาวิจัยทางวิทยาศาสตร์
ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง)
▪ Collecting Personal Data for Research or Statistical Purposes
Image Source: Flaticon.com
Reference: PDPA ม.24

91. 91
มาตรการที่เหมาะสมสาหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่
เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และการศึกษาวิจัยทางวิทยาศาสตร์
ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง)
▪ Collecting Personal Data for Research or Statistical Purposes
Image Source: Flaticon.com
Reference: PDPA ม.26