หน้าหลัก

ข้อหารือที่ 10/2568 — ธนาคาร X (ฐานประมวลผลข้อมูลสวัสดิการพนักงานและครอบครัว)

9 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 19 มาตรา 20 มาตรา 21 มาตรา 22 มาตรา 23 มาตรา 24 มาตรา 26 วรรคหนึ่ง มาตรา 26 (5) (ค) มาตรา 27 วรรคหนึ่ง และ มาตรา 37 (1)
  2. พระราชบัญญัติแรงงานสัมพันธ์ พ.ศ. 2518 และที่แก้ไขเพิ่มเติม — มาตรา 10 วรรคหนึ่งและวรรคสาม มาตรา 19 และมาตรา 20
  3. พระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 และที่แก้ไขเพิ่มเติม — มาตรา 32 มาตรา 33 มาตรา 41 มาตรา 41/1 มาตรา 42 มาตรา 108 และมาตรา 146
  4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 — ข้อ 4 (2)

ข้อหารือ

ธนาคาร X (“ธนาคารฯ”) แจ้งว่า ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เผยแพร่เอกสารข้อหารือที่ 16/2567 เรื่อง บริษัท W ขอหารือเกี่ยวกับการเก็บรวบรวมข้อมูลการรักษาพยาบาลเพื่อเบิกจ่ายเงินสวัสดิการ ธนาคาร X มีความประสงค์ขอหารือเพิ่มเติมเกี่ยวกับฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของพนักงานและครอบครัวพนักงาน เกี่ยวกับกิจกรรมต่าง ๆ ดังนี้

  1. กิจกรรมการใช้สิทธิสวัสดิการของพนักงานตามวัตถุประสงค์ต่อไปนี้ ซึ่งเป็นส่วนหนึ่งของข้อตกลงเกี่ยวกับสภาพการจ้างและมีผลผูกพันธนาคารฯ ตามกฎหมายว่าด้วยแรงงานสัมพันธ์ ธนาคารฯ สามารถอาศัยข้อยกเว้นไม่ต้องขอความยินยอม ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5) (ค) เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน ได้หรือไม่ อย่างไร พร้อมข้อเสนอแนะเพิ่มเติม (ถ้ามี) (1) การใช้สิทธิสวัสดิการของพนักงาน เพื่อเบิกจ่ายค่ารักษาพยาบาลหรือเบิกจ่ายค่าตรวจสุขภาพ โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของพนักงาน เช่น ใบรับรองชื่อโรค ประวัติการเจ็บป่วยหรือการเกิดอุบัติเหตุ ประวัติการรักษาพยาบาล และประวัติการตรวจสุขภาพ (2) การใช้สิทธิสวัสดิการของพนักงาน เพื่อลาป่วยติดต่อกัน 3 วันขึ้นไป ลาคลอดบุตร หรือลาทำหมัน โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของพนักงาน (3) การใช้สิทธิสวัสดิการของพนักงาน เพื่อลาอุปสมบท ลาประกอบศาสนกิจ หรือลาไปวิปัสสนากรรมฐาน เช่น การลาอุปสมบทเต็มพรรษาในเทศกาลเข้าพรรษา หรือการลาไปประกอบพิธีฮัจย์ ณ เมืองเมกกะ ประเทศซาอุดิอาระเบีย โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลศาสนาของพนักงาน (4) การใช้สิทธิสวัสดิการของพนักงาน เพื่อเงินยืมสวัสดิการสงเคราะห์ค่ารักษาพยาบาลของตนเอง (ไม่เสียดอกเบี้ย) โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของพนักงาน

  2. กิจกรรมการใช้สิทธิสวัสดิการของครอบครัวพนักงานตามวัตถุประสงค์ต่อไปนี้ ซึ่งเป็นส่วนหนึ่งของข้อตกลงเกี่ยวกับสภาพการจ้างที่เกิดจากข้อเสนอของธนาคารฯ (ฝ่ายนายจ้าง) ธนาคารฯ สามารถอาศัยข้อยกเว้นไม่ต้องขอความยินยอม ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5) (ค) เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน ได้หรือไม่ อย่างไร พร้อมข้อเสนอแนะเพิ่มเติม (ถ้ามี) (1) การใช้สิทธิสวัสดิการ เพื่อเบิกจ่ายค่ารักษาพยาบาลแก่คู่สมรสหรือบุตรของพนักงาน โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของคู่สมรสหรือบุตร ทั้งนี้ บางกรณีธนาคารฯ จะทราบสถานะจดทะเบียนสมรสเพศเดียวกัน ระหว่างพนักงานกับคู่สมรส จากคำนำหน้าชื่อหรือเอกสารที่เกี่ยวข้อง (2) การใช้สิทธิสวัสดิการ เพื่อเงินยืมสวัสดิการสงเคราะห์ค่ารักษาพยาบาลแก่คู่สมรสหรือบุตรของพนักงาน (ไม่เสียดอกเบี้ย) โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของคู่สมรสหรือบุตร ทั้งนี้ บางกรณีธนาคารฯ จะทราบสถานะจดทะเบียนสมรสเพศเดียวกัน (3) การใช้สิทธิสวัสดิการ เพื่อเงินยืมสวัสดิการสงเคราะห์ค่ารักษาพยาบาลแก่บิดามารดาของพนักงานหรือบิดามารดาของคู่สมรส (ไม่เสียดอกเบี้ย) โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของบิดามารดาของพนักงานหรือบิดามารดาของคู่สมรส (4) การใช้สิทธิสวัสดิการ เพื่อเงินยืมสวัสดิการสงเคราะห์การสมรส (ไม่เสียดอกเบี้ย) ทั้งนี้ บางกรณีธนาคารฯ จะเก็บข้อมูลสถานะจดทะเบียนสมรสเพศเดียวกัน ระหว่างพนักงานกับคู่สมรส (5) การใช้สิทธิสวัสดิการ เพื่อลาไปช่วยเหลือภริยาของพนักงานที่คลอดบุตร โดยเอกสารหลักฐานประกอบการใช้สิทธิ ประกอบด้วยข้อมูลสุขภาพของภริยา เช่น ใบรับรองแพทย์ และประวัติการรักษาพยาบาล

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว เห็นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5) (ค) กำหนดข้อยกเว้นในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม

ในการดำเนินงานของนายจ้าง นายจ้างย่อมมีหน้าที่ต้องปฏิบัติตามกฎหมายที่เกี่ยวข้อง เช่น กฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานสัมพันธ์ หรือกฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ (ในกรณีของรัฐวิสาหกิจ) โดยมาตรา 10 วรรคหนึ่ง แห่งพระราชบัญญัติแรงงานสัมพันธ์ พ.ศ. 2518 กำหนดให้สถานประกอบกิจการที่มีลูกจ้างตั้งแต่ยี่สิบคนขึ้นไปจัดให้มีข้อตกลงเกี่ยวกับสภาพการจ้าง และข้อตกลงเกี่ยวกับสภาพการจ้าง (ไม่ว่าจะเกิดจากข้อเสนอของฝ่ายลูกจ้างหรือฝ่ายนายจ้าง หรือเป็นสวัสดิการที่ให้แก่พนักงาน คู่สมรสหรือบุตรของพนักงาน บิดามารดาของพนักงาน หรือบิดามารดาของคู่สมรสของพนักงานก็ตาม) จะมีผลผูกพันนายจ้างและลูกจ้างที่เกี่ยวข้อง ตามมาตรา 19 แห่งพระราชบัญญัติแรงงานสัมพันธ์ พ.ศ. 2518 โดยเมื่อข้อตกลงเกี่ยวกับสภาพการจ้างมีผลใช้บังคับแล้ว ห้ามมิให้นายจ้างทำสัญญาจ้างแรงงานกับลูกจ้างขัดหรือแย้งกับข้อตกลงดังกล่าว เว้นแต่สัญญาจ้างแรงงานนั้นจะเป็นคุณแก่ลูกจ้างยิ่งกว่า ตามมาตรา 20 แห่งพระราชบัญญัติเดียวกัน ประกอบกับมาตรา 108 แห่งพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 ซึ่งกำหนดให้นายจ้างซึ่งมีลูกจ้างรวมกันตั้งแต่สิบคนขึ้นไป จัดให้มีข้อบังคับเกี่ยวกับการทำงานเป็นภาษาไทย โดยอย่างน้อยต้องมีรายละเอียดเกี่ยวกับวันลาและหลักเกณฑ์การลา วินัยและโทษทางวินัย เป็นต้น หากนายจ้างผู้ใดไม่ปฏิบัติตามมาตรา 108 ดังกล่าว ต้องระวางโทษปรับตามที่กำหนดไว้ในมาตรา 146 แห่งพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 อีกทั้งมาตรา 10 วรรคสาม แห่งพระราชบัญญัติแรงงานสัมพันธ์ พ.ศ. 2518 กำหนดว่า ในกรณีเป็นที่สงสัยว่าในสถานประกอบกิจการนั้นมีข้อตกลงเกี่ยวกับสภาพการจ้างหรือไม่ ให้ถือว่าข้อบังคับเกี่ยวกับการทำงานที่นายจ้างต้องจัดให้มีตามกฎหมายว่าด้วยการคุ้มครองแรงงาน เป็นข้อตกลงเกี่ยวกับสภาพการจ้างตามพระราชบัญญัติดังกล่าว

นอกจากนี้ นายจ้างย่อมมีหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองแรงงาน ซึ่งรวมถึงข้อกำหนดให้ลูกจ้างมีสิทธิต่าง ๆ เช่น สิทธิลาป่วยได้เท่าที่ป่วยจริง โดยในการลาป่วยตั้งแต่สามวันทำงานขึ้นไป นายจ้างอาจให้ลูกจ้างแสดงใบรับรองแพทย์ประกอบการลาป่วยได้ ตามมาตรา 32 แห่งพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 สิทธิลาเพื่อทำหมันและสิทธิลาเนื่องจากการทำหมัน ตามมาตรา 33 สิทธิของลูกจ้างซึ่งเป็นหญิงมีครรภ์ในการลาเพื่อคลอดบุตรและลาต่อเนื่องเพื่อเลี้ยงดูบุตร โดยให้ลูกจ้างแสดงใบรับรองแพทย์ประกอบการลาด้วย ตามมาตรา 41 วรรคหนึ่งและวรรคสี่ สิทธิลาเพื่อช่วยเหลือคู่สมรสซึ่งคลอดบุตร ตามมาตรา 41/1 และสิทธิของลูกจ้างซึ่งเป็นหญิงมีครรภ์ที่มีใบรับรองแพทย์มาแสดงในการขอให้นายจ้างเปลี่ยนงานในหน้าที่เดิมเป็นการชั่วคราวก่อนหรือหลังคลอด ตามมาตรา 42 แห่งพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 ด้วย

ดังนั้น หากธนาคารฯ ในฐานะนายจ้างเห็นว่า การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลสุขภาพ ความพิการ หรือข้อมูลส่วนบุคคลอื่นตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกรณีที่มีความจำเป็นเพื่อให้บรรลุวัตถุประสงค์ในการขอใช้สิทธิหรือสวัสดิการตามที่กฎหมายกำหนด และการพิจารณาสิทธิหรือสวัสดิการดังกล่าวของพนักงานในฐานะลูกจ้างและบุคคลในครอบครัวของพนักงาน ที่เป็นส่วนหนึ่งของข้อตกลงเกี่ยวกับสภาพการจ้างซึ่งมีผลผูกพันธนาคารฯ ตามกฎหมายว่าด้วยแรงงานสัมพันธ์หรือกฎหมายอื่น ก็จะถือเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (ค) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ธนาคารฯ จึงสามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในกรณีดังกล่าวได้โดยไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล แต่ธนาคารฯ จะต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (ค) ด้วย

ทั้งนี้ หากการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลสุขภาพ ความพิการ หรือข้อมูลส่วนบุคคลอื่นตาม มาตรา 26 ดังกล่าว ไม่ได้เป็นไปเพื่อการขอใช้สิทธิหรือสวัสดิการหรือการพิจารณาสิทธิหรือสวัสดิการของพนักงานและบุคคลในครอบครัวของพนักงานตามที่กฎหมายกำหนด และไม่ใช่การขอใช้สิทธิหรือสวัสดิการที่เป็นส่วนหนึ่งของข้อตกลงเกี่ยวกับสภาพการจ้างตามกฎหมายว่าด้วยแรงงานสัมพันธ์ กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ หรือกฎหมายอื่น รวมทั้งไม่ได้เป็นกรณีอื่นที่มีความจำเป็นในการปฏิบัติตามบทบัญญัติแห่งกฎหมายใดเพื่อการคุ้มครองแรงงาน ก็ไม่สามารถใช้ข้อยกเว้นตาม มาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นฐานทางกฎหมายได้ และหากไม่เข้าข้อยกเว้นอื่นตาม มาตรา 26 แห่งพระราชบัญญัติดังกล่าว ก็จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตาม มาตรา 26 วรรคหนึ่ง โดยการขอความยินยอมจะต้องเป็นไปตาม มาตรา 19 และ มาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสามารถเทียบเคียงแนวทางการตอบข้อหารือได้ตามสรุปการตอบข้อหารือที่ 16/2567 เรื่อง บริษัท W ขอหารือเกี่ยวกับการเก็บรวบรวมข้อมูลการรักษาพยาบาลเพื่อเบิกจ่ายเงินสวัสดิการ และสรุปการตอบข้อหารือที่ 29/2566 เรื่อง สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ขอคำปรึกษาเกี่ยวกับการเก็บรวบรวม ใช้ ข้อมูลส่วนบุคคลที่เป็นข้อมูลสุขภาพ ในการเบิกค่ารักษาพยาบาลของเจ้าหน้าที่องค์การมหาชน

สำหรับประเด็นข้อหารือที่ว่า ธนาคารฯ สามารถเก็บรวบรวมข้อมูลสถานะการจดทะเบียนสมรสเพื่อการขอใช้สิทธิหรือสวัสดิการของพนักงานและบุคคลในครอบครัว ซึ่งในบางกรณีธนาคารฯ อาจทราบได้จากคำนำหน้าชื่อหรือข้อมูลในเอกสารที่เกี่ยวข้องว่าเป็นการจดทะเบียนสมรสเพศเดียวกัน โดยถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งตาม มาตรา 26 (5) (ค) ได้หรือไม่ นั้น เห็นว่า หากธนาคารฯ ไม่มีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเพื่อใช้ในการบ่งชี้พฤติกรรมทางเพศ (ซึ่งรวมถึงเพศสภาพและพฤติกรรมทางเพศอื่น ไม่ว่าจะเป็นระหว่างเพศเดียวกันหรือต่างเพศก็ตาม) ข้อมูลส่วนบุคคลดังกล่าวก็ไม่ถือว่าเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับพฤติกรรมทางเพศตาม มาตรา 26 ในทำนองเดียวกับการเก็บรวบรวมภาพถ่ายที่ปรากฏใบหน้าของหญิงที่สวมผ้าคลุมศีรษะ (ฮิญาบ) ที่ไม่มีวัตถุประสงค์เพื่อใช้ในการบ่งชี้ความเชื่อในลัทธิ ศาสนาหรือปรัชญา หรือการเก็บรวบรวมข้อมูลน้ำหนักของบุคคลที่ไม่มีวัตถุประสงค์เพื่อใช้ในการบ่งชี้สถานะหรือความเสี่ยงเกี่ยวกับสุขภาพ ด้วยเหตุนี้ การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวไม่จำต้องพิจารณาฐานทางกฎหมายตาม มาตรา 26 แต่อย่างใด แต่ธนาคารฯ จะต้องพิจารณาฐานทางกฎหมายตาม มาตรา 24 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลต่อไปด้วย

อย่างไรก็ตาม ธนาคารฯ พึงระมัดระวังว่า เมื่อข้อมูลส่วนบุคคลเกี่ยวกับสถานะการจดทะเบียนสมรส (ซึ่งรวมถึงการจดทะเบียนสมรสเพศเดียวกัน) ถูกเก็บรวบรวมมาเพื่อการขอใช้สิทธิหรือสวัสดิการเป็นการทั่วไป โดยไม่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลเกี่ยวกับพฤติกรรมทางเพศมาประกอบการพิจารณา ธนาคารฯ ต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม ตามหลักการจำกัดวัตถุประสงค์ (purpose limitation) ตาม มาตรา 21 และหลักการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น (data minimization) ตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย นอกจากนี้ ธนาคารฯ มีหน้าที่ต้องปฏิบัติตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นกำหนดให้ครบถ้วน ซึ่งรวมถึงการแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ (privacy notice) ตาม มาตรา 23 และการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 โดยเฉพาะอย่างยิ่งจะต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ตามข้อ 4 (2) ของประกาศดังกล่าว

เอกสารต้นฉบับ