มาตรา 37

หมวด 3 · 4 แนวคิดที่เกี่ยวข้อง · 4 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 37 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

(2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

(3) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย ทั้งนี้ ให้นำความในมาตรา 33 วรรคห้า มาใช้บังคับกับการลบหรือทำลายข้อมูลส่วนบุคคลโดยอนุโลม

(4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

(5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

สรุป

มาตรานี้กำหนด 5 หน้าที่หลักของผู้ควบคุมข้อมูล: (1) มาตรการความมั่นคงปลอดภัยที่เหมาะสม (2) ป้องกันบุคคลที่ 3 ใช้/เปิดเผยข้อมูลโดยมิชอบ (3) ระบบลบข้อมูลเมื่อหมดความจำเป็น (4) แจ้งเหตุละเมิดต่อสำนักงานภายใน 72 ชั่วโมง + แจ้งเจ้าของข้อมูลในกรณีเสี่ยงสูง (5) ผู้ควบคุมต่างประเทศตาม มาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทนในราชอาณาจักร

องค์ประกอบสำคัญ

(1) มาตรการความมั่นคงปลอดภัย:
- ป้องกัน: สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข เปิดเผยโดยปราศจากอำนาจ/มิชอบ
- ต้องทบทวนเมื่อจำเป็นหรือเทคโนโลยีเปลี่ยน
- ตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศ
(2) ป้องกันบุคคลที่ 3: เมื่อต้องส่งข้อมูลให้บุคคล/นิติบุคคลอื่น ต้องดำเนินการป้องกันการใช้/เปิดเผยมิชอบ (ผ่านสัญญา/มาตรการอื่น)
(3) ระบบลบข้อมูล: ต้องมีระบบตรวจสอบเพื่อลบ/ทำลายข้อมูลใน 4 กรณี:
- พ้นกำหนดระยะเวลาเก็บ
- ไม่เกี่ยวข้องหรือเกินความจำเป็น
- เจ้าของข้อมูลร้องขอ
- เจ้าของข้อมูลถอนความยินยอม
- ข้อยกเว้น: เสรีภาพแสดงความคิดเห็น, มาตรา 24 (1)/(4), มาตรา 26 (5) (ก)/(ข), สิทธิเรียกร้อง, ปฏิบัติตามกฎหมาย
- กลไกของคณะกรรมการ: มาตรา 33 วรรคห้า ใช้บังคับโดยอนุโลม
(4) แจ้งเหตุละเมิด:
- ต่อสำนักงาน: ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ (เว้นแต่ไม่มีความเสี่ยงต่อสิทธิเสรีภาพ)
- ต่อเจ้าของข้อมูล: ในกรณีความเสี่ยงสูง — แจ้ง + แนวทางการเยียวยา โดยไม่ชักช้า
- หลักเกณฑ์ + ข้อยกเว้นเป็นไปตามประกาศคณะกรรมการ
(5) ตัวแทนของผู้ควบคุมต่างประเทศ:
- กรณี: ผู้ควบคุมตาม มาตรา 5 วรรคสอง (ผู้ควบคุมต่างประเทศที่กฎหมายไทยคุ้มถึง)
- ต้องแต่งตั้งตัวแทนเป็นหนังสือ + อยู่ในราชอาณาจักร
- ตัวแทนได้รับมอบอำนาจโดยไม่มีข้อจำกัดความรับผิด

มาตราที่อ้างอิง

มาตรา 5 — ขอบเขตการบังคับใช้กฎหมาย — วรรคสองคือกรณีผู้ควบคุมต่างประเทศที่กฎหมายไทยบังคับถึง ที่ต้องแต่งตั้งตัวแทนตาม (5)
มาตรา 24 — ฐานเก็บข้อมูลทั่วไป — (1) ป้องกันอันตรายชีวิต และ (4) ภารกิจประโยชน์สาธารณะ คือข้อยกเว้นในการลบ
มาตรา 26 — ฐานเก็บข้อมูลอ่อนไหว — (5) (ก) เวชศาสตร์ป้องกัน และ (ข) ประโยชน์สาธารณะด้านสาธารณสุข คือข้อยกเว้นในการลบ
มาตรา 33 — สิทธิให้ลบ — วรรคห้า (อำนาจคณะกรรมการกำหนดหลักเกณฑ์การลบ) ใช้บังคับโดยอนุโลม

หมายเหตุ

เทียบ GDPR:
- (1) → Article 32 (มาตรการความมั่นคงปลอดภัยของการประมวลผล)
- (4) → Article 33 (แจ้งภายใน 72 ชั่วโมง) + Article 34 (แจ้งเจ้าของข้อมูล)
- (5) → Article 27 (ตัวแทนของผู้ควบคุม/ผู้ประมวลผลที่ไม่อยู่ใน EU)
72 ชั่วโมงเป็นกำหนดเวลาที่เคร่งครัด: สอดคล้องกับ GDPR — ผู้ควบคุมต้องวางกระบวนการรับมือเหตุละเมิดให้พร้อม (การตรวจจับ การประเมิน ทีมแจ้งเหตุ)
การแจ้ง 2 ชั้น:
- ต่อสำนักงาน: เสมอ (เว้นแต่ไม่มีความเสี่ยง) — เป็นการรายงานต่อหน่วยงานกำกับดูแล
- ต่อเจ้าของข้อมูล: เฉพาะกรณีความเสี่ยงสูง — เป็นการสื่อสารกับเจ้าของข้อมูลพร้อมแนวทางเยียวยา
มาตรการความมั่นคงปลอดภัย "ที่เหมาะสม": ขึ้นอยู่กับความเสี่ยง — ข้อมูลอ่อนไหว/จำนวนมาก/มีค่าทางเศรษฐกิจสูง → มาตรการต้องเข้มข้นกว่า
"ระบบการตรวจสอบ" ใน (3): ต้องเป็นระบบอัตโนมัติและเป็นระบบ — ไม่ใช่การตรวจสอบเฉพาะกิจ; เชื่อมโยงกับนโยบายระยะเวลาเก็บและการจัดการวงจรชีวิตข้อมูล
ตัวแทน vs DPO (มาตรา 41): ต่างกัน — ตัวแทน = นิติฐานะ + รับผิดแทนผู้ควบคุมต่างประเทศ; DPO = หน้าที่ให้คำแนะนำ + ตรวจสอบ
ผู้ควบคุมต่างประเทศที่กฎหมายไทยบังคับถึง (มาตรา 5 วรรคสอง): ผู้ควบคุมต่างประเทศที่เสนอสินค้า/บริการแก่เจ้าของข้อมูลในไทย หรือเฝ้าติดตามพฤติกรรมในไทย — ต้องแต่งตั้งตัวแทนเป็นจุดติดต่อตามกฎหมาย
ความเชื่อมโยงกับ มาตรา 39 (8): มาตรการตาม (1) ของมาตรานี้ต้องบันทึกใน ROPA (มาตรา 39 (8))
ข้อยกเว้นการแต่งตั้งตัวแทน (5): ดู มาตรา 38 — หน่วยงานของรัฐ + กิจการเล็กที่ไม่เกี่ยวกับ มาตรา 26