หน้าหลัก

ข้อหารือที่ 20/2566 — สำนักงาน ป.ป.ช. (Privacy Notice vs Privacy Policy)

3 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 21, มาตรา 23 และ มาตรา 37 (1)
  2. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ตาม PDPA
  3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4 (2)

ข้อหารือ

สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (สำนักงาน ป.ป.ช.) ขอหารือกรณีสำนักงาน ป.ป.ช. ได้ดำเนินการประเมินคุณธรรมและความโปร่งใสในการดำเนินงานของหน่วยงานของรัฐ (Integrity & Transparency Assessment : ITA) ประจำปีงบประมาณ พ.ศ. 2566 โดยในแบบวัดการเปิดเผยข้อมูลสาธารณะ (OIT) ตัวชี้วัดที่ 9 การเปิดเผยข้อมูล ตัวชี้วัดย่อยที่ 9.1 ข้อมูลพื้นฐาน ข้อ o10 นโยบายคุ้มครองข้อมูลส่วนบุคคล ได้มีการกำหนดให้หน่วยงานภาครัฐที่เข้าร่วมการประเมินต้องดำเนินการเปิดเผยข้อมูลนโยบายคุ้มครองข้อมูลส่วนบุคคลตาม PDPA

ในการนี้ จึงหารือว่า หน่วยงานที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวง เช่น กรม องค์การมหาชน รัฐวิสาหกิจ จะต้องดำเนินการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะของหน่วยงานหรือไม่ หรือสามารถจัดทำประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลในลักษณะภาพรวมของกระทรวงที่มีความครอบคลุมทุกหน่วยงานในสังกัดได้หรือไม่

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า PDPA ได้กำหนดให้หน่วยงานของรัฐที่เป็นนิติบุคคลและมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล และมีหน้าที่ต้องแจ้งวัตถุประสงค์และรายละเอียดต่าง ๆ ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตาม มาตรา 23 รวมทั้งต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้ตามนัย มาตรา 21

การแจ้งวัตถุประสงค์และรายละเอียดต่าง ๆ ตาม มาตรา 23 นั้น ในภาษาอังกฤษจะเรียกว่า privacy notice แต่อาจเรียกเป็นภาษาไทยแตกต่างกัน เช่น ประกาศความเป็นส่วนตัว ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล นโยบายความเป็นส่วนตัว (privacy policy) หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคล หรืออื่น ๆ ก็ได้ เนื่องจาก PDPA มิได้กำหนดชื่อเรียกไว้เป็นการเฉพาะ และอาจมีการแจ้งเป็นหนังสือ การแจ้งทางวาจา การแจ้งทางข้อความทาง SMS อีเมล โทรศัพท์ หรือโดยวิธีการทางอิเล็กทรอนิกส์อื่นใด แต่จะต้องมีสาระสำคัญที่สอดคล้องและเป็นไปตามบทบัญญัติใน มาตรา 23

อย่างไรก็ดี คำว่า "นโยบายการคุ้มครองข้อมูลส่วนบุคคล" (privacy policy หรือ personal data protection policy) ยังมีที่ใช้ในอีกความหมายหนึ่ง คือ นโยบายภายในองค์กรที่หน่วยงานกำหนดขึ้นเพื่อวางหลักการหรือวิธีปฏิบัติเพื่อเป็นแนวทางการดำเนินการภายในหน่วยงานเอง (เช่นเดียวกับนโยบายในเรื่องอื่น ๆ เช่น นโยบายการอนุรักษ์พลังงาน) · PDPA ไม่ได้กำหนดให้หน่วยงานที่เป็นผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานขึ้นอย่างชัดเจน แต่ มาตรา 37 (1) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยข้อ 4 (2) ของประกาศ คคส. เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ พ.ศ. 2565 กำหนดให้มาตรการรักษาความมั่นคงปลอดภัยอย่างน้อยต้องประกอบด้วยมาตรการเชิงองค์กร มาตรการเชิงเทคนิค (และอาจรวมมาตรการทางกายภาพ) ซึ่งนโยบายการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรอาจถือเป็นมาตรการเชิงองค์กรมาตรการหนึ่ง

นโยบายการคุ้มครองข้อมูลส่วนบุคคลที่เป็นมาตรการเชิงองค์กรดังกล่าวมีวัตถุประสงค์ในการสื่อสารแตกต่างจากการแจ้ง privacy notice ตาม มาตรา 23 กล่าวคือ นโยบายฯ ที่เป็นมาตรการเชิงองค์กรเป็นการสื่อสารและส่งสัญญาณเชิงนโยบายภายในองค์กรระหว่างผู้บริหารและบุคลากรขององค์กร

ดังนั้น เพื่อให้การประเมิน ITA ประจำปีงบประมาณ พ.ศ. 2566 บรรลุวัตถุประสงค์ตามที่สำนักงาน ป.ป.ช. กำหนด และสอดคล้องกับหลักการในการแจ้ง privacy notice ตาม PDPA สำนักงาน ป.ป.ช. ควรกำหนดให้หน่วยงานภาครัฐที่มีฐานะเป็นนิติบุคคล เช่น กรม องค์การมหาชน รัฐวิสาหกิจ ซึ่งถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA ต้องจัดทำเอกสารหรือประกาศแจ้ง privacy notice ของหน่วยงานนั้นเป็นการเฉพาะ ตามที่ มาตรา 23 กำหนดไว้

อย่างไรก็ดี ในกรณีที่เห็นสมควร กระทรวงต้นสังกัดอาจจัดทำ privacy notice ในลักษณะภาพรวมของกระทรวงที่มีความครอบคลุมทุกหน่วยงานในสังกัดด้วยก็ได้ แต่หน่วยงานภาครัฐในสังกัดกระทรวงที่มีฐานะเป็นนิติบุคคลจะต้องมีการดำเนินการแจ้ง privacy notice ในบริบทของหน่วยงานนั้นด้วย ไม่ว่าจะใช้เอกสารของหน่วยงานเองหรือเอกสารในภาพรวมของกระทรวงก็ตาม · ในกรณีนี้ ควรพิจารณาหลีกเลี่ยงการใช้คำว่า "นโยบาย" สำหรับ privacy notice เนื่องจากอาจทำให้หน่วยงานเข้าใจคลาดเคลื่อนได้

นอกจากนี้ หากสำนักงาน ป.ป.ช. เห็นว่าควรกำหนดให้หน่วยงานภาครัฐที่เข้าร่วมการประเมินต้องดำเนินการเปิดเผยข้อมูลนโยบายของหน่วยงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (มาตรการเชิงองค์กร) ก็สามารถทำได้ แม้จะไม่ได้เป็นข้อกำหนดที่เป็นมาตรฐานขั้นต่ำตาม PDPA อย่างชัดเจนก็ตาม · ในกรณีนี้ อาจพิจารณาให้หน่วยงานที่มีฐานะเป็นนิติบุคคลในสังกัดกระทรวงกำหนดนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะของหน่วยงาน หรือจัดทำเป็นนโยบายในลักษณะภาพรวมของกระทรวงก็ได้

เพื่อให้เกิดความชัดเจนในทางปฏิบัติ สำนักงาน ป.ป.ช. ควรจัดทำคำชี้แจงไว้เป็นหลักเกณฑ์ในแบบวัดการเปิดเผยข้อมูลสาธารณะ (OIT) และเอกสารที่เกี่ยวข้อง โดยเฉพาะในการทำความเข้าใจว่าตัวชี้วัดข้อ o10 หมายถึง privacy notice ตาม มาตรา 23 หรือนโยบายภายในองค์กรที่เป็นมาตรการเชิงองค์กรของหน่วยงาน เพื่อจะได้ไม่เป็นปัญหาในการดำเนินการ

เอกสารต้นฉบับ