ประกาศ เรื่อง มาตรการปกป้องที่เหมาะสมสำหรับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ พ.ศ. 2566
สารบัญในหน้านี้
ใจความสำคัญ
ประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กำหนดมาตรการปกป้องที่เหมาะสมที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี เมื่อเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ตามข้อยกเว้นใน มาตรา 24 (1) — เป็นฉบับคู่กับ ประกาศมาตรการที่เหมาะสมสำหรับการศึกษาวิจัยหรือสถิติ พ.ศ. 2566 ซึ่งครอบคลุมด้านการศึกษาวิจัย/สถิติของมาตราเดียวกัน
- นิยาม "วัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ" = การรักษาความมีอยู่ของบันทึกเหตุการณ์ เรื่องราว เอกสาร หลักฐาน หรือข้อมูล สำหรับวัตถุประสงค์ปัจจุบันหรืออนาคต เพื่อประโยชน์สาธารณะ รวมถึงการดำเนินการตามกฎหมายว่าด้วยจดหมายเหตุแห่งชาติ (ข้อ 3)
- มาตรการบังคับ 2 ข้อ (ข้อ 4): (1) มาตรการเชิงองค์กร เชิงเทคนิค และทางกายภาพที่จำเป็น เพื่อจำกัดการเก็บรวบรวมให้เท่าที่จำเป็นภายใต้วัตถุประสงค์ (2) มาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐานขั้นต่ำที่ประกาศกำหนดตาม มาตรา 37 (1) — ดู ประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
- แนะนำให้พิจารณาทำให้ระบุตัวบุคคลไม่ได้ / แฝงข้อมูล (pseudonymization) / เข้ารหัส (encryption) ตามระดับความเสี่ยง หากยังบรรลุวัตถุประสงค์ได้ (ข้อ 4 วรรคท้าย)
- ใช้บังคับเมื่อพ้นกำหนด 90 วันนับแต่วันประกาศในราชกิจจานุเบกษา (8 ธันวาคม 2566) = ตั้งแต่ 7 มีนาคม 2567
ตัวบท
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ พ.ศ. 2566
โดยที่เป็นการสมควรกำหนดมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
อาศัยอำนาจตามความในมาตรา 16 (4) ประกอบมาตรา 24 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ พ.ศ. 2566"
ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ข้อ 3 ในประกาศนี้
"วัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ" หมายความว่า การดำเนินการเพื่อรักษาความมีอยู่ของบันทึกเหตุการณ์ เรื่องราว เอกสาร หลักฐาน หรือข้อมูล สำหรับวัตถุประสงค์ในปัจจุบันหรือวัตถุประสงค์ที่อาจเป็นไปได้ในอนาคต ทั้งนี้ โดยเป็นไปเพื่อประโยชน์สาธารณะ และให้หมายความรวมถึงการดำเนินการเกี่ยวกับเอกสารจดหมายเหตุตามกฎหมายว่าด้วยจดหมายเหตุแห่งชาติด้วย
ข้อ 4 ในการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ตามมาตรา 24 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
(2) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 37 (1)
ในการดำเนินการตาม (1) และ (2) ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือทำการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือทำการเข้ารหัสข้อมูล (encryption) หรือใช้มาตรการอื่นในลักษณะเดียวกัน อย่างเหมาะสมตามระดับความเสี่ยงได้ โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน หากสามารถทำให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะได้
ข้อ 5 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้
ประกาศ ณ วันที่ 1 ธันวาคม พ.ศ. 2566
เธียรชัย ณ นคร
ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
เหตุผลและฐานอำนาจ
เหตุผลตามอารัมภบท: เป็นการสมควรกำหนดมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ — เติมเต็มเงื่อนไข "มาตรการปกป้องที่เหมาะสมตามที่คณะกรรมการประกาศกำหนด" ของข้อยกเว้นความยินยอมใน มาตรา 24 (1)
ฐานอำนาจ: อาศัยอำนาจตามความใน มาตรา 16 (4) ประกอบ มาตรา 24 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เอกสารต้นฉบับ
หมายเหตุการถอดความ: ประกาศในราชกิจจานุเบกษา เล่ม 140 ตอนพิเศษ 309 ง หน้า 79-80 วันที่ 8 ธันวาคม 2566 (PDF local = สำเนาฉบับราชกิจจาฯ) · effective_date 7 มีนาคม 2567 คำนวณจาก ข้อ 2 "พ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา" นับวันประกาศเป็นวันแรก (แบบเดียวกับหมวด 7 ที่ยืนยันกับ commentary ภายนอกแล้ว) · ตัวบทถอดจาก team docx เทียบภาพ PDF ราชกิจจาฯ ครบทั้ง 2 หน้า — ตรงกันทุกจุด ไม่พบความคลาดเคลื่อน · วงเล็บภาษาอังกฤษ — organizational measures, pseudonymization, encryption ฯลฯ — เป็นข้อความในตัวบทต้นฉบับ verbatim