ข้อหารือ PDPC
ปี 2566 (29 ฉบับ)
- 1/2566กรมโยธาธิการและผังเมือง กรมโยธาธิการและผังเมือง (ยผ.) สอบถามว่าเปิดเผยสัญญาก่อสร้างที่ ยผ. เป็นผู้ว่าจ้างเอกชนได้หรือไม่ และต้องจัดหาข้อมูลทั้งหมดทุกสัญญาตามที่ผู้ขอร้องขอหรือไม่
- 2/2566กองทุนเงินให้กู้ยืมเพื่อการศึกษา (กยศ.) กยศ. ขอหารือกรณีพนักงานกองทุนขอให้เปิดเผยผลคะแนนการสอบคัดเลือกของพนักงานคนอื่น + ใบประเมินของคณะกรรมการสอบคัดเลือก/สรรหา และผลการประเมินการปฏิบัติงาน + การขึ้นเงินเดือนของผู้อำนวยการฝ่ายอื่น
- 3/2566สำนักงานคณะกรรมการข้าราชการครูและบุคลากรทางการศึกษา (สำนักงาน ก.ค.ศ.) สำนักงาน ก.ค.ศ. ขอหารือกรณีการประเมินวิทยฐานะข้าราชการครูฯ ที่ใช้ไฟล์วีดิทัศน์ซึ่งมีข้อมูลส่วนบุคคลของนักเรียน/บุคคลอื่น ต้องขอความยินยอมจากเจ้าของข้อมูลหรือไม่
-
4/2566ธนาคาร ข.
ธนาคาร ข. ขอหารือว่าการที่ลูกค้าเปลี่ยนสถานะจาก \"ยินยอม\" เป็น \"ไม่ยินยอม\" ด้วยตนเอง ผ่านเครื่อง SUMO / VTM / Mobile Banking ถือเป็นการถอนความยินยอมตาม PDPA หรือต้องมีช่องทาง/เมนูเฉพาะ
มาตราที่ตีความมาตรา 19
- 5/2566ธนาคาร จ. ธนาคาร จ. ขอหารือเรื่องการตลาด — กรณีลูกค้ายังไม่เคยให้ความยินยอม / เคยให้แต่ปฏิเสธวัตถุประสงค์การตลาด — ธนาคารจะเสนอผลิตภัณฑ์ใหม่ / ผลิตภัณฑ์เดิมประเภทอื่น / ผลิตภัณฑ์ที่เกี่ยวเนื่อง (เช่น ATM/Mobile Banking) ได้หรือไม่ อย่างไร
- 6/2566ธนาคาร ม. ธนาคาร ม. ขอหารือ 4 ประเด็น: (1) เก็บ Facial recognition ของผู้เยาว์ผ่าน Sumo เพื่อเปิดบัญชี/ทำธุรกรรม (2) Facial recognition ของลูกค้าผ่าน VTM/Mobile Banking (3) การตลาดผลิตภัณฑ์ใหม่กับผู้เยาว์ (4) การตลาดผลิตภัณฑ์เดิม/เกี่ยวเนื่องกับผู้เยาว์
- 7/2566นาย A (สมาชิกสหกรณ์ออมทรัพย์ B) นาย A สมาชิกสหกรณ์ออมทรัพย์ B หารือว่าคณะกรรมการดำเนินการสหกรณ์ฯ จัดทำรายงานการประชุมโดยไม่ใส่ชื่อผู้เข้าร่วมประชุม (อ้าง PDPA) ได้หรือไม่ และผลของการประชุมจะถูกต้องเพียงใด
- 8/2566บริษัท ฆ. บริษัท ฆ. บริการบริหารอาคาร หารือ 2 ประเด็น: (1) เก็บข้อมูลตัวแทน/ลูกจ้างของคู่สัญญานิติบุคคล ต้องขอความยินยอมหรือไม่ (2) รับจ้างเป็นผู้จัดการนิติบุคคลอาคารชุด/หมู่บ้านจัดสรร เก็บข้อมูลผู้พักอาศัย ต้องขอความยินยอมหรือไม่
- 9/2566ผู้หารือ (ที่ปรึกษากฎหมาย/ทนายความบริษัท ญ.) ทนายความบริษัท ญ. หารือว่าการที่ทนาย/ผู้เสียหายขอชื่อผู้ลงนามเช็คคืนจากธนาคารเพื่อฟ้องคดีอาญาตาม พ.ร.บ. เช็ค จะอยู่ในข้อยกเว้น [[มาตรา-4]] (5) PDPA \"การดำเนินงานตามกระบวนการยุติธรรมทางอาญา\" หรือไม่
- 10/2566บริษัท ย. บริษัท ย. แพลตฟอร์มขายออนไลน์ หารือว่าการแจ้งข้อมูลร้านค้า/ผู้สั่งสินค้า/ผู้รับสินค้า/รายละเอียดคำสั่งซื้อ ตามคำขอของหน่วยงานราชการผ่านระบบอิเล็กทรอนิกส์ (ไม่ใช้หนังสือตราครุฑ) ขัด PDPA หรือไม่
- 11/2566บริษัท ศ. บริษัท ศ. (รับจ้างบริหารอาคารชุด/หมู่บ้าน) หารือว่านิติบุคคลอาคารชุดตาม พ.ร.บ. อาคารชุด เข้าข่าย \"องค์กรไม่แสวงหากำไร\" ที่ยกเว้นไม่ต้องบันทึกตาม [[มาตรา-39]] หรือไม่ + สถานะบริษัทฯ เอง
- 12/2566บริษัท อ. บริษัท อ. ขอแนวทางในการจัดการอุปกรณ์อิเล็กทรอนิกส์ที่เก็บได้ในสนามบิน (Lost & Found) ก่อนนำไปจำหน่าย/บริจาค/ขายทอดตลาด — ต้องลบข้อมูลส่วนบุคคลอย่างไร
- 13/2566กรมส่งเสริมสหกรณ์ กรมส่งเสริมสหกรณ์ออกประกาศนายทะเบียนให้สหกรณ์ออมทรัพย์/เครดิตยูเนี่ยนรายงานข้อมูลทางการเงิน (ลูกหนี้/เจ้าหนี้รายใหญ่ + เลขประจำตัวประชาชน + ธุรกรรม) ต่อนายทะเบียนเป็นรายเดือน หารือว่าทำได้โดยไม่ต้องขอความยินยอมตาม [[มาตรา-24]] (4)/(6) ประกอบ [[มาตรา-27]] หรือไม่
- 14/2566โรงพยาบาล B (ฝ่ายกฎหมาย) โรงพยาบาล B หารือ 3 ประเด็น: (1) พนักงานสอบสวนของ ตร. อยู่ในข้อยกเว้น [[มาตรา-4]] (2)/(5) หรือไม่ (2) โรงพยาบาลเปิดเผยข้อมูลตามหมายเรียกพยานเอกสารได้หรือไม่ (3) ต้องขอความยินยอมจากผู้ป่วยก่อนหรือไม่
- 15/2566นิติบุคคลอาคารชุด อ. นิติบุคคลอาคารชุด อ. หารือว่าเข้าข่าย \"องค์กรไม่แสวงหากำไร\" ที่ยกเว้นไม่ต้องบันทึกรายการตาม [[มาตรา-39]] ตามประกาศ คคส. หรือไม่ (companion to opinion-11/2566 จากมุมนิติบุคคลอาคารชุดเอง)
- 16/2566กรมเจ้าท่า กรมเจ้าท่าหารือ 3 ประเด็น: (1) Privacy Notice มีสภาพอย่างกฎหรือไม่ (2) ต้องอธิบดีลงนามหรือไม่ (3) ต้องส่งลงราชกิจจาฯ หรือไม่
- 17/2566กองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) กอ.รมน. (ไม่มีฐานะนิติบุคคล) ขอหารือ 2 ประเด็น: (1) ผู้ควบคุมข้อมูลของ กอ.รมน. คือใคร (2) ผู้ที่มีอำนาจปฏิบัติตาม PDPA ของ กอ.รมน. และมอบอำนาจให้ผู้อื่นได้หรือไม่
- 18/2566ธนาคาร Z ธนาคาร Z หารือ 2 ประเด็น: (1) ฐาน \"ปฏิบัติตามกฎหมาย\" ตาม [[มาตรา-28]] (1) PDPA รวมกฎหมายต่างประเทศหรือไม่ (2) ถ้าไม่ ต้องใช้ [[มาตรา-28]] (2) ขอความยินยอม + แจ้ง adequacy ไม่เพียงพอหรือไม่ อย่างไร
- 19/2566บริษัท ก. (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ) บริษัท ก. หารือว่าหนังสือคำรับรองที่บริษัทประกัน ฮ. ขอให้ลงนาม (เพื่อรับรองว่าพนักงานยินยอมประมวลผลข้อมูล) เป็นการให้ความยินยอมแทน — ขัด PDPA หรือไม่ · การที่ ฮ. บังคับให้ลงนาม ผิด [[มาตรา-19]] หรือไม่
- 20/2566สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (สำนักงาน ป.ป.ช.) สำนักงาน ป.ป.ช. ออก ITA ตัวชี้วัด o10 (นโยบายคุ้มครองข้อมูลส่วนบุคคล) หารือว่า กรม/องค์การมหาชน/รัฐวิสาหกิจ ต้องจัดทำนโยบายเฉพาะของหน่วยงาน หรือใช้ภาพรวมของกระทรวงได้
-
21/2566สถานีตำรวจภูธร ก.
สถานีตำรวจภูธร ก. หารือว่า การที่สำนักข่าว Z เปิดเผยภาพและข้อมูลส่วนบุคคลของผู้ถูกกล่าวหา (\"ผู้ก่อเหตุ\") โดยไม่ปิดบัง ได้รับการคุ้มครองตามข้อยกเว้น [[มาตรา-4]] (3) PDPA หรือไม่
มาตราที่ตีความมาตรา 4
- 22/2566สถานีตำรวจภูธร ข. สถานีตำรวจภูธร ข. หารือว่า การที่นายก/ปลัด อบจ. ก. ออกประกาศการพ้นจากราชการของผู้เสียหาย (ทั้งที่ศาลปกครองสั่งทุเลาบังคับ) เป็นความผิดตาม PDPA หรือไม่
- 23/2566องค์การขนส่งมวลชนกรุงเทพ (ขสมก.) ขสมก. หารือกรณีเครือข่ายความปลอดภัยทางถนนฯ ขอตรวจสอบ/คัดสำเนาเอกสารสัญญาเดินรถร่วม 55 เส้นทาง ซึ่งมีข้อมูลทั้งบุคคลธรรมดาและนิติบุคคล จะขัด PDPA หรือไม่
- 24/2566สภาวิชาชีพบัญชี สภาวิชาชีพบัญชีหารือ 3 ประเด็น: (1) เปิดเผยชื่อ-สกุล-เลขทะเบียน-สถานะผู้สอบบัญชี + เบอร์โทร+ที่อยู่ บนเว็บ และ/หรือทางโทรศัพท์ ต้องขอความยินยอมหรือไม่ (2) ถ้าไม่ได้ ต้องทำอย่างไร (3) เปิดเผยคำสั่งลงโทษจรรยาบรรณบนเว็บได้หรือไม่
- 25/2566สหกรณ์ออมทรัพย์ ผ. สหกรณ์ฯ หารือว่าสามารถให้ข้อมูลรายชื่อ ที่อยู่ และหมายเลขโทรศัพท์ของสมาชิกแก่สมาชิกที่ประสงค์จะสมัครเข้ารับการสรรหาเป็นประธานกรรมการ ได้หรือไม่
- 26/2566สำนักงานส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม (สสว.) สสว. หารือ 4 ประเด็น: (1) ข้อมูลผู้ประกอบการบุคคลธรรมดา = ข้อมูลส่วนบุคคลหรือไม่ (2) คุณสมบัติ DPO บุคคลภายใน vs ภายนอก (3) ผู้ควบคุมข้อมูล = ตัวนิติบุคคล/องค์กรเอง ต้องแต่งตั้งบุคคลธรรมดาแทนหรือไม่ (4) คำแนะนำสำหรับ GDPR Joint Controller Agreement ของ ASEAN Access
- 27/2566สำนักการระบายน้ำ กรุงเทพมหานคร (กทม.) กทม. หารือการขอข้อมูลปริมาณการใช้น้ำรายเดือนและข้อมูลผู้ใช้น้ำรายใหม่จาก กปน. เพื่อจัดเก็บค่าธรรมเนียมบำบัดน้ำเสีย โดยไม่ได้รับความยินยอม ขัด PDPA [[มาตรา-19]] + [[มาตรา-27]] หรือไม่
- 28/2566สำนักงานตรวจคนเข้าเมือง (ตม.) ตม. หารือว่าการเปิดเผยรายงานประชุมคณะกรรมการจัดทำร่างคุณลักษณะเฉพาะ (มียศ ชื่อ-สกุล + ความคิดเห็นของกรรมการ) ให้ข้าราชการบำนาญที่เคยเป็นประธานคณะกรรมการ เพื่อชี้แจง ป.ป.ช. ขัด PDPA หรือไม่
- 29/2566สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) — สพร. สพร. หารือว่าการเก็บข้อมูลสุขภาพ (โรค, ใบรับรองแพทย์, ใบเสร็จ) ของเจ้าหน้าที่ + ครอบครัวเพื่อพิจารณาอนุมัติเบิกสวัสดิการรักษาพยาบาล จำเป็นต้องได้ความยินยอมโดยชัดแจ้งหรือไม่
ปี 2567 (23 ฉบับ)
- 1/2567สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (สำนักงาน ป.ป.ช.) สำนักงาน ป.ป.ช. ขอ คคส. ตีความและวินิจฉัยชี้ขาด 9 ประเด็นเกี่ยวกับ: ข้อยกเว้น [[มาตรา-4]] (5) ครอบโทษวินัยหรือไม่ · ภารกิจคณะกรรมการ ป.ป.ช. ตามมาตรา 28 พ.ร.บ.ป.ป.ช. ครอบหรือไม่ · ผู้ควบคุม/ผู้ประมวลผล/DPO ของสำนักงาน ป.ป.ช. · นโยบายคุ้มครองข้อมูลกับข้อมูลที่ยกเว้น · ฐานประมวลผล [[มาตรา-24]] · พ.ร.ฎ. ยกเว้นปัจจุบัน
- 2/2567สำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) สผ. หารือ 4 ประเด็น: (1) EIA ได้รับยกเว้น [[มาตรา-4]] (3) (สื่อมวลชน) หรือไม่ (2) ผู้จัดทำรายงาน EIA = ผู้ควบคุมข้อมูล + ใช้ข้อมูลทุติยภูมิจากหน่วยรัฐได้หรือไม่ (3) สผ. เป็นผู้ควบคุมข้อมูลเมื่อรับรายงาน + นำเสนอ คกก. ผู้ชำนาญการ (4) เผยแพร่ใน Smart EIA Plus + วิธีปกปิด + เปิดเผยตามคำขอ กสม./คณะกรรมาธิการ/NGO/ผู้ได้รับผลกระทบ
- 3/2567แพทยสภา แพทยสภาหารือ 3 ประเด็น: (1) แบบฟอร์มใบรับรองแพทย์/ใบรับรองสุขภาพให้ผู้ป่วยกรอกข้อมูลอ่อนไหวเอง + ลงนามรับรอง ขัด PDPA หรือไม่ (2) เจ้าของข้อมูลเปิดเผยต่อบุคคลที่สามได้แค่ไหน (3) ข้อเสนอแนะอื่นๆ
- 4/2567สถานีตำรวจ F ตำรวจ F หารือว่า (1) Facebook post รูป+ข้อความเป็น public หรือเฉพาะกลุ่ม (2) ผู้ต้องหา (บุคคลธรรมดา) เป็นผู้ควบคุมข้อมูลตาม [[มาตรา-6]] หรือไม่ — กรณีโพสต์เพื่อหมิ่นประมาท
- 5/2567สถานีตำรวจ D ตำรวจ D หารือว่าการโพสต์ภาพใบสำคัญการหย่า (มีชื่อ-สกุลผู้กล่าวหา) ใน TikTok = ข้อมูลส่วนบุคคลตาม PDPA หรือไม่ ผิด PDPA หรือไม่ + ผู้กล่าวหาร้องเรียนต่อ คคส. ได้หรือไม่ (ruling pattern เดียวกับ opinion-4-2567)
- 6/2567สถานีตำรวจ E ตำรวจ E หารือว่า กรณีบุคคลธรรมดารับภาพถ่ายของบุคคลอื่นจากผู้ควบคุมข้อมูลโดยไม่มีอำนาจตามกฎหมาย แล้วนำไปโพสต์ใน Facebook พร้อมข้อความหมิ่นประมาท อยู่ภายใต้บังคับ PDPA หรือไม่ (ruling pattern เดียวกับ opinion-4 + opinion-5 ของ 2567)
- 7/2567สถานีตำรวจ G สถานีตำรวจ G หารือว่าบุคคลธรรมดานำภาพโปรไฟล์ Facebook ของผู้เสียหายและครอบครัวไปโพสต์ประจานเรื่องหนี้โดยไม่ได้รับความยินยอม เป็นความผิดตาม PDPA มาตรา 27 และทำให้ผู้โพสต์เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือไม่
- 8/2567สถานีตำรวจ H สถานีตำรวจ H หารือตามคำสั่งสอบสวนเพิ่มเติมของพนักงานอัยการ กรณีผู้ว่าจ้างโพสต์ภาพผลงาน ความเห็น และสำเนาบัตรประชาชนของผู้รับเหมาลง Facebook ว่าผู้ต้องหาเป็นผู้ควบคุมข้อมูลส่วนบุคคลและอยู่ใต้บังคับ PDPA หรือไม่
- 9/2567สถานีตำรวจ J สถานีตำรวจ J หารือกรณีผู้ต้องหานำข้อมูลที่ระบุตัวบุคคลได้และเกี่ยวกับประวัติอาชญากรรมของผู้เสียหายไปโพสต์ Facebook สาธารณะโดยไม่ได้รับความยินยอม ว่าเป็นความผิดตามมาตรา 27 หรือไม่
- 10/2567สมาคมธนาคารไทย สมาคมธนาคารไทยหารือ 5 ประเด็นเกี่ยวกับการเก็บข้อมูลประวัติอาชญากรรมของผู้สมัครและบุคลากรสถาบันการเงิน ทั้งความหมายของข้อมูลประวัติอาชญากรรม ระยะเวลาเก็บ ฐานกฎหมาย ความยินยอม และการตรวจสอบตามกฎหมายเฉพาะ
- 11/2567สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (สำนักงาน ป.ป.ช.) สำนักงาน ป.ป.ช. หารือว่าการให้หน่วยงานของรัฐเปิดเผยเลขประจำตัวผู้เสียภาษีอากรหรือเลขประจำตัวประชาชนของผู้ได้รับคัดเลือกในการจัดซื้อจัดจ้างบนเว็บไซต์หลักตามเกณฑ์ ITA เป็นการละเมิดข้อมูลส่วนบุคคลหรือไม่
- 12/2567สมาคมธนาคารไทย สมาคมธนาคารไทยขอหารือว่า ธนาคารสามารถอาศัยฐานทางกฎหมายข้อยกเว้น ม.26 (4) หรือ ม.26 (5) (จ) ของ PDPA ในการเก็บรวบรวมและใช้บัตร/สมุดประจำตัวคนพิการ (ข้อมูลสุขภาพ/อ่อนไหว) เพื่อยืนยันตัวตนตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน โดยไม่ต้องขอความยินยอมโดยชัดแจ้งได้หรือไม่
- 13/2567สมาคมธนาคารไทย สมาคมธนาคารไทยขอหารือว่า ข้อมูลบัญชี/ธุรกรรม/เส้นทางการเงินที่แลกเปลี่ยนผ่านระบบ Central Fraud Registry (CFR) ตามพระราชกำหนดอาชญากรรมทางเทคโนโลยี และข้อมูลจาก AOC/หมายคำสั่งของตำรวจ ถือเป็น 'ประวัติอาชญากรรม' ตามประกาศของ คกก.คุ้มครองฯ หรือไม่ และฐานทางกฎหมายในการนำไปใช้เป็นมาตรการภายในของธนาคาร รวมถึงระยะเวลาจัดเก็บ
- 14/2567การทางพิเศษแห่งประเทศไทย การทางพิเศษแห่งประเทศไทย (กทพ.) ขอหารือว่า การจัดเก็บข้อมูลชีวภาพ (ภาพใบหน้า+ลายนิ้วมือ) ของพนักงานเพื่อใช้บันทึกเวลาทำงานด้วยเครื่องอิเล็กทรอนิกส์ สามารถอาศัยข้อยกเว้นตาม ม.19 วรรคหนึ่งของ PDPA โดยไม่ต้องขอความยินยอมได้หรือไม่ และจะดำเนินการอย่างไรหากพนักงานไม่ให้ความยินยอม
- 15/2567ธนาคาร Y ธนาคาร Y ขอหารือ 2 ประเด็น: (1) ตามมาตรา 7 พระราชกฤษฎีกายกเว้นฯ — กรณีลูกค้าขอแก้ไขข้อมูล update กับธนาคารโดยตรง ธนาคารต้องส่งให้กรมสรรพากรหรือไม่; (2) ตามมาตรา 11 — ม.11 ครอบคลุมทุกประเภทผู้ควบคุมข้อมูลหรือไม่ และ correspondent bank ในกรณี fraud จะได้รับยกเว้นหรือไม่
- 16/2567บริษัท W บริษัท W (เอกชน) ในฐานะนายจ้าง เก็บรวบรวมข้อมูลใบรับรองแพทย์ของพนักงานเพื่อเบิกจ่ายสวัสดิการรักษาพยาบาลที่เกิดจากข้อตกลงเกี่ยวกับสภาพการจ้าง แต่พนักงานบางรายไม่ให้ความยินยอม โดยอ้างว่าเป็นกรณี ม.26 (5) (ค) PDPA · บริษัทขอหารือว่าเข้าข้อยกเว้นไม่ต้องขอความยินยอมหรือไม่ และจะดำเนินการอย่างไรหากพนักงานไม่ยินยอม
-
17/2567บริษัท X
บริษัท X ขอความชัดเจน 2 ประเด็น: (1) กรณีไม่มีความเสี่ยงกระทบสิทธิเสรีภาพ ต้องแจ้ง สคส. หรือไม่ + ส่งเอกสารเมื่อใด + บทลงโทษ; (2) การนับ 72 ชั่วโมง 'นับแต่ทราบเหตุ' เริ่มเมื่อใด — รวมขั้นตอนตรวจสอบ+ระงับด้วยหรือไม่
มาตราที่ตีความมาตรา 37
- 18/2567คณะแพทยศาสตร์ มหาวิทยาลัยสงขลานครินทร์ โรงพยาบาลสงขลานครินทร์ขอหารือว่า กรณีผู้รับบริการขอใช้สิทธิลบประวัติการรักษาตาม PDPA โรงพยาบาลสามารถอ้างฐานทางกฎหมายใดในการปฏิเสธคำขอ และจะดำเนินการตามสิทธิเจ้าของข้อมูลอย่างไร
- 19/2567สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย (หน่วยงานรัฐ) ได้รับข้อมูลส่วนบุคคลของชาวไร่อ้อยจากกลุ่มบริษัท Z ตาม พ.ร.บ.อ้อยและน้ำตาลทราย โดยกลุ่มบริษัท Z ส่ง 'ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล' (DSA) มาให้ลงนาม · ขอหารือว่าจำเป็นต้องลงนามหรือไม่ และร่าง DSA เพิ่มภาระเกินกว่าที่ PDPA กำหนดหรือไม่
- 20/2567สำนักงานปลัดกระทรวงกลาโหม สำนักงานปลัดกระทรวงกลาโหมขอหารือ 5 ประเด็น: (1) ขอบเขต ม.4 (2) (ความมั่นคง) กับ ม.4 วรรคสอง; (2) ใครจัดทำ privacy notice; (3) ต้องจัด DPO หรือไม่; (4) ใครคือ processor; (5) ใครคือ controller ของสำนักงานรัฐมนตรี (ไม่ใช่นิติบุคคล)
- 21/2567การยางแห่งประเทศไทย การยางแห่งประเทศไทย (กยท., รัฐวิสาหกิจ) ขอหารือกรณีการเปิดเผยข้อมูลส่วนบุคคลของเกษตรกรชาวสวนยางในแบบ คบ.ก 1 (คำขอขึ้นทะเบียน) ให้แก่ทนายความผู้รับมอบอำนาจของเจ้าหนี้ตามคำพิพากษา ที่ประสงค์ใช้ข้อมูลประกอบคำร้องขอยึดทรัพย์
- 22/2567สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) สำนักงาน กสทช. ขอหารือว่า ข้อมูล Call Detail Recording (CDR) ของผู้ใช้บริการโทรคมนาคม เป็นข้อมูลส่วนบุคคลที่ผู้ให้บริการต้องจัดเก็บรักษาตามกฎหมายใด และระยะเวลาเท่าใด
- 23/2567สำนักงานเลขาธิการสภาผู้แทนราษฎร สำนักงานเลขาธิการสภาผู้แทนราษฎรขอหารือกรณีการเปิดเผยข้อมูลการถือหุ้นของบุคคลและรายชื่อผู้ถือหุ้นของนิติบุคคลแก่บุคคลทั่วไป ตาม PDPA และกฎหมายเฉพาะที่เกี่ยวข้อง รวมถึงการรับข้อมูลของสภาฯ ในการพิจารณาตามหน้าที่
ปี 2568 (11 ฉบับ)
- 1/2568สำนักงานคณะกรรมการการเลือกตั้ง (สำนักงาน กกต.) สำนักงาน กกต. ขอหารือว่า การจัดทำทะเบียนรายชื่อผู้มีสิทธิเลือกตั้งจากหลักฐานทะเบียนบ้าน + การเชื่อมโยงฐานข้อมูลทะเบียนราษฎรจากกรมการปกครอง สอดคล้องกับ PDPA หรือไม่
- 2/2568นาย ฐ (เอกชน) นาย ฐ ขอให้ตีความและประกาศกำหนดเพิ่มเติมว่า ข้อมูลการดำเนินการทางวินัยภายในหน่วยงาน เป็น 'ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน' ตาม [[มาตรา-26]] หรือไม่
- 3/2568สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) สำนักงาน คปภ. ขอหารือ 6 ประเด็น: (1) ฐานข้อมูลฉ้อฉลประกันภัย+พฤติกรรมฉ้อฉล = ประวัติอาชญากรรมหรือไม่; (2) แลกเปลี่ยนข้อมูลกรมธรรม์ระหว่างบริษัทประกันภัย; (3) ข้อมูลอ่อนไหวกับ ม.26 (4)/(5)(จ) นิยาม 'ประโยชน์สาธารณะที่สำคัญ'; (4) แนวทางสำหรับธุรกิจประกันชีวิตและประกันวินาศภัยที่แตกต่างกัน; (5) หน่วยงานรัฐอื่นขอเชื่อมโยงข้อมูล; (6) ทายาท/ผู้รับประโยชน์ขอข้อมูลกรมธรรม์ผู้เอาประกันภัยที่ถึงแก่กรรม
- 4/2568บริษัท Z บริษัท Z หารือแนวทางการถอนความยินยอมของลูกค้าผ่านแอปพลิเคชัน — การถอนความยินยอมต้องทำได้ง่ายเทียบเท่าการให้ความยินยอม มีผลโดยไม่ชักช้า ระบบควรรองรับอัตโนมัติ และเงื่อนไขกรณีผู้ใช้บริการเป็นผู้เยาว์
- 5/2568บริษัท Y บริษัท Y หารือ 10 ประเด็นเกี่ยวกับเงื่อนไขการจัดให้มี DPO ตามมาตรา 41 (2): เกณฑ์ core activities + regular and systematic monitoring + large scale (≥100,000 ราย / สถาบันการเงิน), การจัด DPO ร่วมกันในเครือกิจการ, และการแต่งตั้งบุคคลภายใน/ภายนอกเป็น DPO โดยต้องไม่มีหน้าที่ขัดแย้ง
- 6/2568สำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.), สำนักงานปลัดกระทรวงสาธารณสุข (สป.สธ.) สดช. และ สป.สธ. หารือ 3 ประเด็นในโครงการคลาวด์กลางสาธารณสุข: (1) ใครเป็นผู้ควบคุม/ผู้ประมวลผลข้อมูล (สป.สธ. = controller, สดช. = processor); (2) หน้าที่จัดทำข้อตกลงการประมวลผลข้อมูล (DPA) ตามมาตรา 40 วรรคสาม; (3) นิติสัมพันธ์กับกิจการค้าร่วม A ในฐานะผู้ประมวลผล/ผู้ประมวลผลช่วง
- 7/2568มหาวิทยาลัยนวมินทราธิราช มหาวิทยาลัยนวมินทราธิราช (รพ.วชิรพยาบาล) หารือการส่งข้อมูลผลตรวจสุขภาพ(รวมข้อมูลสุขภาพ)ให้ กทม. ตามโครงการตรวจสุขภาพ 1 ล้านคน — กทม. เก็บจากแหล่งอื่น (ม.25(2)) โดยอาศัยฐานภารกิจรัฐ ม.24(4) / ม.26(5)(ก)(ข) ได้หรือไม่ และมหาวิทยาลัยฯ เปิดเผยข้อมูลสุขภาพโดยไม่ต้องขอความยินยอมตาม ม.27 ได้หรือไม่
- 8/2568สำนักการแพทย์ กรุงเทพมหานคร สำนักการแพทย์ กทม. หารือว่าใช้ฐานภารกิจของรัฐ (Public Task) ตามมาตรา 24 (4) และมาตรา 26 (5) (ข) เป็นฐานทางกฎหมายในการรวบรวมข้อมูลส่วนบุคคลและข้อมูลสุขภาพของประชาชนจากสถานพยาบาลรัฐ/เอกชนในพื้นที่ กทม. เพื่อวางแผนบริหารจัดการระบบบริการการแพทย์ได้หรือไม่
- 9/2568สำนักงานคณะกรรมการข้าราชการพลเรือน (สำนักงาน ก.พ.) สำนักงาน ก.พ. หารือว่าการประกาศชื่อและเค้าโครงผลงานของข้าราชการที่ขอรับการประเมินเพื่อเลื่อนตำแหน่งประเภทวิชาการ (ซึ่งอาจมีข้อมูลส่วนบุคคลของบุคคลภายนอกปรากฏอยู่) ตามมาตรา 63 แห่ง พ.ร.บ.ระเบียบข้าราชการพลเรือน พ.ศ. 2551 จะขัดหรือไม่เป็นไปตาม PDPA หรือไม่
- 10/2568ธนาคาร X ธนาคาร X หารือว่าสามารถอาศัยข้อยกเว้นตามมาตรา 26 (5) (ค) (วัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน) เป็นฐานในการประมวลผลข้อมูลอ่อนไหว (ข้อมูลสุขภาพ ศาสนา) ของพนักงานและครอบครัวเพื่อการใช้สิทธิสวัสดิการต่าง ๆ ตามข้อตกลงสภาพการจ้าง โดยไม่ต้องขอความยินยอม ได้หรือไม่ และข้อมูลสถานะจดทะเบียนสมรสเพศเดียวกันเป็นข้อมูลพฤติกรรมทางเพศตามมาตรา 26 หรือไม่
- 11/2568แพทยสภา แพทยสภาหารือว่าสามารถเปิดเผยสถานะการเพิกถอน/พักใช้ใบอนุญาตประกอบวิชาชีพเวชกรรม (รวมระยะเวลา) และข้อมูลในคำสั่งลงโทษจริยธรรมของแพทย์บนเว็บไซต์ ทั้งหมดหรือบางส่วน เพื่อคุ้มครองประชาชน ได้หรือไม่เพียงใด
ปี 2569 (6 ฉบับ)
- 1/2569กรมการขนส่งทางบก (ขบ.) กรมการขนส่งทางบกหารือแนวทางการเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับทะเบียนและภาษีรถที่อยู่ในความครอบครอง ให้แก่ทนายความ/ผู้เสียหาย/เจ้าหนี้ตามคำพิพากษา และเจ้าหน้าที่/หน่วยงานของรัฐในกระบวนการยุติธรรม รวมถึงขอบเขตข้อยกเว้นตามมาตรา 4 (5)
- 2/2569กรมสุขภาพจิต กรมสุขภาพจิตหารือว่าสามารถเชื่อมโยงและแลกเปลี่ยนข้อมูลผู้ป่วยจิตเวช/ยาเสพติดที่มีความเสี่ยงสูงต่อการก่อความรุนแรง (SMI-V) ระหว่างหน่วยงานของรัฐที่เกี่ยวข้อง (สธ./ราชทัณฑ์/คุมประพฤติ/พินิจฯ/ตร./สพฉ.) เพื่อเฝ้าระวังลดการก่อความรุนแรงซ้ำ ได้หรือไม่ และต้องดำเนินการอย่างไรให้ถูกต้องตาม PDPA เช่น การจัดทำ DSA
- 3/2569ศูนย์วิจัยอุบัติเหตุแห่งประเทศไทย สถาบันเทคโนโลยีแห่งเอเชีย (RAIC, AIT) ศูนย์วิจัยอุบัติเหตุฯ (RAIC) หน่วยงานภายใน AIT (องค์การระหว่างประเทศที่มีที่ทำการใหญ่ในประเทศไทย) หารือ 7 ประเด็น: 4 ข้อเรื่องฐาน PDPA สำหรับโครงการวิจัยอุบัติเหตุ รจ. (asker-network-DSA-DPA, privacy notice ผ่านเว็บไซต์) + 3 ข้อเรื่องการทำข้อมูลนิรนาม (anonymization) สำหรับภาพถ่าย/วิดีโอ ผลของการเป็นข้อมูลนิรนาม การจ้างผู้ให้บริการจัดทำ
- 4/2569สำนักงานปลัดกระทรวง กระทรวงสาธารณสุข (สป.สธ.) สป.สธ. หารือ 4 ประเด็น: (1) อำนาจ controller ในการทำ DSA กับ สปสช. และมาตรการกรณีอีกฝ่ายไม่ลงนาม · (2) อำนาจ controller ของหน่วยบริการที่ไม่เป็นนิติบุคคล · (3) ความรับผิดทางแพ่ง/ปกครองเมื่อไม่มี DSA แล้วเกิดข้อมูลรั่ว · (4) accountability + ความผิด ป.อาญา ม.157
- 5/2569สำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) สปสช. หารือ 2 ประเด็นคู่ขนานข้อหารือ 4/2569: (1) จำเป็นต้องลงนาม DSA ที่ สป.สธ. เสนอหรือไม่ · (2) ถ้าเห็นว่า DSA จะทำให้ พ.ร.บ.หลักประกันฯ เสื่อมประสิทธิภาพ มีมาตรการตาม PDPA อย่างไร
- 6/2569นาย B (เจ้าหนี้ตามคำพิพากษา) นาย B (เจ้าหนี้ตามคำพิพากษา) ขอให้ตีความ [[มาตรา-16]] (10) บังคับให้ธนาคาร/กรมที่ดิน/กรมขนส่งทางบก/กรมเจ้าท่า ส่งข้อมูลลูกหนี้เพื่อบังคับคดี + ออก MOU แนวปฏิบัติ