การสรุปความจากการเข้าร่วมโครงการแลกเปลี่ยนเรียนรู้เรื่องสิทธิส่วนบุคคลกับการบริหารจัดการงานห้องสมุดและจดหมายเหตุ จัดโดยสำนักบรรณสารสนเทศ มหาวิทยาลัยสุโขทัยธรรมาธิราช

แลกเปลี่ยนเรียนรู้เกี่ยวกับ แนวคิดความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย สิทธิส่วนบุคคลตามรัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการบริหารจัดการงานห้องสมุดและจดหมายเหตุตามพระราชบัญญัติ โดยได้รับเกียรติจากวิทยากรผู้ทรงคุณวุฒิ 2 ท่าน ได้แก่

• ผู้ช่วยศาสตราจารย์ ดร.นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น ผู้ก่อตั้งและผู้อำนวยการองค์กร Privacy Thailand

ความเป็นส่วนตัวต่าง ๆ ไม่ว่าจะเป็นด้านร่างกาย  ที่อยู่อาศัย การติดต่อสื่อสาร  ข้อมูลต่าง ๆ ต้องมีความยินยอมเพื่อให้มีการคุ้มครองความเป็นส่วนตัว ทุกคนมีความเท่าเทียมกัน ควรมีความเคารพซึ่งกันและกัน ดังนั้น จึงต้องมีกฎหมายต่าง ๆ ที่จะช่วยในการคุ้มครองข้อมูลส่วนบุคคล  ตามมาตรฐานควรจะมีการเก็บข้อมูลที่จำกัดหรือเท่าที่จำเป็น มีวัตถุประสงค์ที่กำหนดไว้อย่างชัดเจน และต้องมีการแจ้งให้กับเจ้าของข้อมูลเพื่อให้เจ้าของข้อมูลยินยอมก่อนที่จะเอาข้อมูลต่าง ๆ มาเปิดเผยเพื่อให้เกิดผลกระทบต่อความเป็นส่วนตัวน้อยที่สุด แม้กระทั้งการส่งข้อมูลระหว่างประเทศ ก็ต้องมีการคุ้มครองข้อมูลส่วนนี้ด้วย

กฎหมายที่คุ้มครองในประเทศไทย

1. รัฐธรรมนูญ
2. พรบ ข้อมูลข่าวสารราชการ พ.ศ.2540
3. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคลเป็นข้อมูลอ่อนไหว ดังนั้น การเก็บข้อมูลควรคำนึงถึงก่อนการเก็บข้อมูล เช่น ข้อมูลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ พันธุกรรม ข้อมูลชีวภาพ ข้อมูลภาพจําลองใบหน้า ม่านตา หรือลายนิ้วมือ ข้อมูลสหภาพ แรงงาน หรือข้อมูลอื่นใดซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศให้เป็นข้อมูลข้อมูลส่วนบุคคลที่มีความอ่อนไหว เป็นต้น

ข้อมูลส่วนบุคคลเป็นข้อมูลที่สำคัญมากและมีความเสี่ยงในการที่จะถูกขโมยตัวตน เพื่อก่ออาชญากรรมหรือโจรกรรมข้อมูลทางการเงิน ดังนั้น การเก็บข้อมูลดังกล่าว มหาวิทยาลัยต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  เพื่อให้คำแนะนำ ประสานงาน และให้ความร่วมมือบันทึกและเก็บรักษา ประมวลผลข้อมูลส่วนบุคคลของหน่วยงาน

ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ของ

1. ต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้าง/บุคคลที่เกี่ยวข้องทราบ
2. สร้างความตระหนักรู้เกี่ยวกับความสำคัญของการคุ้มครองข้อมูลส่วน บุคคล
3. ต้องจัดให้มีมาตรการในเรื่องการเข้าถึง/ควบคุมการใช้งานข้อมูล ส่วนบุคคล

- การควบคุมการเข้าถึง+อุปกรณ์ในการจัดเก็บและประมวลผล โดย คำนึงถึงการใช้งานและความมั่นคงปลอดภัย

- กำหนดการอนุญาติ/สิทธิในการเข้าถึงข้อมูลส่วนบุคคล

- กำหนดให้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่จะเข้าถึงข้อมูลส่วนบุคคลได้

- กำหนดหน้าที่และความรับผิดของผู้ใช้งาน

- มีวิธีการตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง/เปลี่ยนแปลง/ลบ/ถ่าย โอนข้อมูลให้สอดคล้องกับวิธีการเก็บรวบรวม/ใช้/เปิดเผย

Data Governance

1. การรักษาความลับ/ความ ปลอดภัย
2. คุณภาพของข้อมูล เช่น ความถูกต้อง ความครบถ้วน ความเป็นปัจจุบัน
3. การรักษาความเป็นส่วนตัว/การคุ้มครองข้อมูลส่วนบุคคล
4. การเข้าถึงข้อมูล
5. การเปิดเผยข้อมูล เช่น หน่วยงาน เจ้าของข้อมูลไม่อนุญาตให้เข้าถึง ข้อมูล กระบวนการขอใช้ข้อมูล ซับซ้อนและใช้เวลานาน ข้อมูลไม่อยู่ ในรูปแบบที่ใช้งานต่อได้ง่าย และยัง ไม่มีการนำข้อมูลไปใช้ประโยชน์อย่าง เป็นรูปธรรม

ข้อกำหนดในธรรมาภิบาลข้อมูลภาครัฐ

(1) การกำหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้ซึ่งมีหน้าที่เกี่ยวข้องกับการบริหารจัดการข้อมูลของหน่วยงาน

(2) การวางแผนการดำเนินงาน การปฏิบัติตามแผนการด าเนินงาน การตรวจสอบและการรายงานผลการดำเนินงาน และการปรับปรุง แผนการดำเนินงานอย่างต่อเนื่อง เพื่อให้ระบบบริหาร และกระบวนการจัดการข้อมูลมีประสิทธิภาพ สามารถเชื่อมโยง แลกเปลี่ยน และ บูรณาการข้อมูลระหว่างกัน ทั้งภายในและภายนอกหน่วยงาน และคุ้มครองข้อมูลให้มีประสิทธิภาพ

(3) การกำหนดมาตรการควบคุมและพัฒนาคุณภาพข้อมูล เพื่อให้ข้อมูลมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน มั่นคงปลอดภัย และไม่ถูก ละเมิดความเป็นส่วนบุคคล รวมทั้งสามารถเชื่อมโยง แลกเปลี่ยน บูรณาการ และใช้ประโยชน์ได้อย่างมีประสิทธิภาพ

(4) การวัดผลการบริหารจัดการข้อมูล โดยอย่างน้อยประกอบด้วย การประเมินความพร้อมของธรรมาภิบาลข้อมูลภาครัฐในระดับหน่วยงาน การประเมินคุณภาพข้อมูล และการประเมินความมั่นคงปลอดภัยของข้อมูล

(5) การจำแนกหมวดหมู่ของข้อมูล เพื่อกำหนดนโยบายข้อมูลหรือกฎเกณฑ์เกี่ยวกับผู้มีสิทธิเข้าถึงและใช้ประโยชน์จากข้อมูลต่าง ๆ ภายใน หน่วยงาน สำหรับให้ผู้ซึ่งมีหน้าที่เกี่ยวข้องปฏิบัติ ตามนโยบายหรือกฎเกณฑ์ได้อย่างถูกต้อง และสอดคล้องตามกฎหมายที่เกี่ยวข้อง อันจะนำไปสู่การบริหารจัดการข้อมูลภาครัฐอย่างเป็นระบบ

(6) การจัดทำคำอธิบายชุดข้อมูลดิจิทัลของภาครัฐและบัญชีข้อมูลให้มีความถูกต้อง ครบถ้วน และเป็นปัจจุบัน

แนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล Data Privacy Guideline

1. แจ้งเจ้าของข้อมูลอย่างชัดเจนว่าจะมีการเก็บข้อมูลส่วนบุคคล วัตถุประสงค์การเก็บ ประเภทบุคคลหรือองค์กรที่ข้อมูลส่วน บุคคลอาจได้รับการเปิดเผย ต้องแจ้งสิทธิของเจ้าของข้อมูลและมาตรการที่จะใช้ในการจำกัดการใช้ การเปิดเผย การเข้าถึง และการแก้ไข ทั้งนี้ต้องแจ้งก่อนหรือในขณะที่เก็บ หรือเร็วที่สุดหลังการจัดเก็บ
2. จัดเก็บอย่างจำกัดเท่าที่เป็นไปตามวัตถุประสงค์ของการเก็บ การเก็บต้องทำโดยวิธีที่ถูกกฎหมาย และวิธีที่เป็นธรรมและ เหมาะสม โดยได้แจ้งต่อและได้ขอคำยินยอมจากเจ้าของข้อมูลแล้ว
3. ข้อมูลที่เก็บไว้จะเอาไปใช้ได้เฉพาะตามวัตถุประสงค์ของการเก็บเท่านั้น เว้นแต่ได้รับคำยินยอมจากเจ้าของข้อมูล
4. เจ้าของข้อมูลมีสิทธิเลือกว่าจะยินยอมให้มีการ เก็บ-ใช้-เปิดเผย ข้อมูลส่วนบุคค
5. ข้อมูลที่จัดเก็บต้องมีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน ตามความจำเป็นและตามวัตถุประสงค์การเก็บ
6. ต้องมีมาตรการคุ้มครองข้อมูลอย่างเหมาะสมเพื่อป้องกันอันตรายที่อาจเกิด ไม่ว่าจะเป็นการสูญหาย-เสียหาย-การเข้าถึง ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การทำลายโดยไม่ได้รับอนุญาต การใช้-ปรับเปลี่ยนแก้ไข-เปิดเผย โดยมิชอบ
7. เจ้าของข้อมูลมีสิทธิรับรู้ว่ามีการเก็บข้อมูลส่วนบุคคลของตนหรือไม่ และมีสิทธิเข้าถึงข้อมูลของตนเอง และมีสิทธิขอให้ ตรวจสอบความถูกต้องและขอให้ปรับปรุง แก้ไข เพิ่มเติม หรือทำลาย ข้อมูลของตน
8. ผู้เก็บข้อมูลจะต้องรับผิดชอบการจัดมาตรการต่าง ๆ ให้เป็นไปตามหลักเกณฑ์ดังกล่าว การส่งข้อมูลส่วนบุคคลไปยังบุคคล หรือองค์การอื่น ๆ ไม่ว่าภายในประเทศหรือส่งไปยังต่างประเทศ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล และจะต้องมี มาตรการที่เหมาะสมที่ประกันได้ว่าบุคคลหรือองค์กรที่ได้รับข้อมูลไปแล้ว จะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์
9. ในกรณีที่เป็นการด าเนินการที่เกี่ยวกับข้อมูลของเด็ก เยาวชน หรือผู้ที่ยังไม่บรรลุนิติภาวะ จะต้องคำนึงถึงการให้คำยินยอม ที่เหมาะสม ไม่ว่าจะเป็นการดำเนินการโดยตัวผู้เยาว์เอง หรือ โดยผู้ปกครองที่ชอบด้วยกฎหมาย รวมทั้งการใช้ดุลยพินิจของ ผู้ปกครองโดยพฤตินัย และสถาบันด้านการศึกษา
10. ในกรณีที่จะต้องมีการว่าจ้างหรือมอบหมายให้บุคคลหรือหน่วยงานอื่น (third party) ในลักษณะหน่วยให้บริการ (service provider) ให้ทำหน้าที่หรือจัดการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บุคคลหรือหน่วยงานดังกล่าวจะต้องมีระบบการคุ้มครอง ข้อมูลที่มาตรฐาน และจะต้องมีการจัดทำข้อตกลงที่ชัดเจนว่าบุคคลหรือองค์กรดังกล่าว เมื่อได้รับและครอบครองข้อมูลไปแล้ว จะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

การเตรียมความพร้อมก่อนที่จะมีการประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่จะประกาศใช้ในวันที่ 1 มิถุนายน 2565

1. สำรวจ/จัดทำรายการข้อมูลส่วนบุคคลที่จำเป็นต้องการใช้ เหตุผลในการใช้ รวมถึงวิธีการที่สามารถใช้ได้
2. จัดอบรม/สร้างความตระหนักรู้/ความเข้าใจ เรื่องความปลอดภัยของข้อมูลส่วนบุคคล
3. จัดเตรียมการแจ้งเตือนบุคคลที่เคยถูกเก็บข้อมูลมาแล้ว และเตรียมวิธีที่เหมาะสมในการ ขอความยินยอมในการเก็บข้อมูลในอนาคต ซึ่งอาจเป็นหน้าขอความยินยอมบนเว็บไซต์ หรือเอกสารให้ผู้ใช้บริการลงนามยินยอม
4. ความเข้าใจในกฎหมาย/ความตระหนักรู้/ความสำคัญ ของการรักษาความปลอดภัยของข้อมูลในองค์กร
5. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
6. ศึกษาผลของการละเลย PDPA ว่าจะสร้างผลกระทบกับองค์กรอย่างไรได้บ้าง เช่น ความเสี่ยงทางกฎหมาย จนถึงความเสี่ยงที่จะเสียโอกาสทางธุรกิจในอนาคต
7. จัดทำแผนที่ข้อมูล (Data mapping) วิเคราะห์ว่าข้อมูลต่าง ๆ ถูกจัดเก็บไว้อย่างไร หรือถูกนำไปใช้อะไรบ้าง
8. จัดทำนโยบายความเป็นส่วนตัวและข้อมูลส่วนบุคคล (Privacy policy)
9. จัดเตรียมเอกสารทางกฎหมาย เช่น เอกสารขอคำยินยอม เอกสารแจ้งสิทธิของเจ้าของข้อมูล
10. จัดทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) เพื่อค้นหา และลดความเสี่ยงในดูแลความปลอดภัยของข้อมูล
11. จัดทำระบบแจ้งเตือนข้อมูลรั่วไหล (Breach notification)
12. จัดหา/ประยุกต์ใช้เทคโนโลยีเพื่อเสริมประสิทธิภาพในการคุ้มครองข้อมูล

• ผู้ช่วยศาสตราจารย์ ดร.ทรงพันธ์ เจิมประยงค์ หัวหน้าภาควิชาบรรณารักษศาสตร์ คณะอักษรศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และผู้เชี่ยวชาญด้านระบบสารสนเทศ ด้านห้องสมุดและจดหมายเหตุ

สิทธิของเจ้าของ ข้อมูลส่วนบุคคล

1. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน สิทธิขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความ ยินยอม (ม.30) สิทธิขอรับข้อมูลส่วนบุคคลเกี่ยวกับตนจากผู้ควบคุมข้อมูล สิทธิ ขอให้ส่งหรือ โอนข้อมูลไปยังผู้ควบคุมข้อมูลอื่นเมื่อทำได้โดย อัตโนมัติ (ม.39)
2. สิทธิคัดค้านการเก็บรวบรวม ใช้ /เปิดเผยข้อมูลของตนเมื่อใดก็ได้ (ม.32)
3. สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคล ลบหรือทำลาย หรือทำให้เป็นข้อมูลทำไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลเมื่อเข้าเหตุกฎหมาย (ม.33)
4. สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูล (ม.34)
5. สิทธิขอให้ผู้ควบคุมข้อมูลทำให้ข้อมูลถูกต้องเป็นปัจจุบัน (ม.36)

ทรัพยากรที่จัดเก็บ และให้บริการ

1. ทรัพยากรสารสนเทศ รวมถึงงานวิจัยที่มีการเก็บข้อมูลจากมนุษย์
2. ข้อมูลข่าวสารทางราชการ รวมถึงการตีพิมพ์ เผยแพร่
3. เอกสารจดหมายเหตุ

 โดยพื้นฐานทรัพยากรที่จัดเก็บ

1. สิ่งที่พิมพ์ที่ตีพิมพ์เผยแพร่สาธารณะแล้ว
2. สิ่งตีพิมพ์เผยแพร่ขององค์กรภาครัฐ
3. สิ่งตีพิมพ์และเผยแพร่ขององค์กรที่ใช้เป็นการภายใน

การบริหารจัดการที่สมดุล

1. เสรีภาพในการเข้าถึงทรัพยากร
2. ความมั่งคงปลอดภัยของสาธารณะ/เจ้าของข้อมูล
3. เจตนารมณ์และความยินยอม
4. ความอ่อนไหวของข้อมูล
5. การเข้าถึงข้อมูล
6. วิธีการเผยแพร่ข้อมูล
7. การนำไปใช้ประโยชน์

โดยจะมีวิธีการบริหารจัดการข้อมูลสารสนเทศในห้องสมุดหรือหอจดหมายเหตุฯ สิ่งที่ห้องสมุดสามารถทำได้ เช่น

1. การให้ความรู้
2. การจัดทำข้อตกลงต่าง ๆ ไม่ว่าจะเป็นการให้บริการ การจัดเก็บ ฯลฯ
3. การให้บริการสำเนาบางส่วน เฉพาะกรณี ตามเงื่อนไข
4. การดัดแปลงข้อมูล บางอย่าง เพื่อเป็นการเตือนหรือข้อตกลง
5. การคัดกรองส่วนที่เกี่ยวข้อง ก่อนให้บริการ กรณีจดหมายเหตุมีการเข้ามาขอใช้ เช่นการทำ oral history เรามีบทบาท ผลิต และเอาข้อมูลส่วนบุคคลมาใช้
6. การจัดตั้งคณะกรรมการพิจารณา

การจัดเก็บและบริหาร ข้อมูลส่วนบุคคล ในการให้บริการ แบ่งเป็น

1. ผู้รับบริการ

• ข้อมูลทะเบียนที่จัดเก็บในระบบ เช่น ชื่อ ภาพ ที่อยู่ โทรศัพท์ อีเมล์
• ประวัติการใช้บริการยืม-คืน
• ข้อมูลประวัติการเข้าใช้ระบบ
• การบันทึกภาพบุคคลเข้าออกจากวงจรปิด
• การบันทึกภาพกิจกรรม
• ข้อคิดเห็นออนไลน์

2. ผู้ใช้บริการ

• ข้อมูลทะเบียนที่จัดเก็บในระบบ เช่น ชื่อภาพ ที่อยู่ โทรศัพท์ อีเมล็
• การบันทึกภาพบุคคลเข้าออกจากวงจรปิด
• การบันทึกภาพกิจกรรม
• ข้อคิดเห็นออนไลน์

การบริการมีมิติตามกฎหมายค่อนข้างเยอะ เช่น

1. ความจำเป็นในการจัดเก็บ
2. ความยินยอม ยินยอมเก็บ ใช้งาน ระยะเวลา ซึ่งมีความซับซ้อนมาก
3. ความอ่อนไหวของข้อมูล
4. ความปลอดภัยของผู้ให้ข้อมูล
5. ความปลอดภัยของข้อมูล รักษาข้อมูลเขาได้ไหม มีความสามารถแค่ไหน
6. ระยะเวลาในการจัดเก็บ
7. วิธีการจัดเก็บ
8. แนวทางการเข้าถึง/เผยแพร่ ใครเข้าถึงได้บ้าง เผยแพร่อย่างไร
9. การประมวลผลข้อมูล
10. การทำลายข้อมูล
11. การนำไปใช้ประโยชน์ เอาไปใช้อะไร
12. ผู้ที่เกี่ยวข้อกับข้อมูล เช่นหน่วยงานอื่น ๆ ที่เกี่ยวข้อง

มิติของการจัดเก็บเพื่อใช้ในการบริการ

1. จัดเก็บได้มีข้อตกลงในการใช้บริการ
2. การจัดทำข้ออนุญาตยินยอม Consent from โดยมีการกำหนดวัตถุประสงค์และทำตามวัตถุประสงค์การใช้งานและเวลา
3. การแจ้งให้ทราบ
4. จัดเก็บเฉพาะเท่าที่จำเป็นเท่านั้น
5. การดัดแปลงข้อมูลก่อนการจัดเก็บ
6. การรักษาความปลอดภัย

สรุปข้อมูลที่ได้รับจากการเข้าร่วมประชุม:

กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ประกาศใช้ในประเทศไทย มี 3 ฉบับ ได้แก่

1. รัฐธรรมนูญ

ปี 2540  มีมาตรา 34 สิทธิของบุคคลใน ครอบครัว เกียรติยศ ชื่อเสียง หรือ ความเป็นอยู่ส่วนตัว ย่อมได้รับความ คุ้มครอง การกล่าวหรือไขข่าวแพร่หลาย ซึ่ง ข้อความหรือภาพไม่ว่าด้วยวิธีใดไปยัง สาธารณชน อันเป็นการละเมิดหรือ กระทบถึงสิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง หรือความเป็นอยู่ ส่วนตัว จะกระทำมิได้ เว้นแต่กรณีที่ เป็นประโยชน์ต่อสาธารณะ

ปี 2550 มาตรา 35 สิทธิของบุคคลใน ครอบครัว เกียรติยศ ชื่อเสียง ความ เป็นอยู่ส่วนตัว ย่อมได้รับความคุ้มครอง การเผยแพร่ข้อความหรือภาพต่อ สาธารณชน อันเป็นการละเมิดหรือ กระทบความเป็นอยู่ส่วนตัวจะกระทำ มิได้ บุคคลมีสิทธิได้รับความคุ้มครอง จากการแสวงประโยชน์โดยมิชอบจาก ข้อมูลส่วนบุคคล

ปี 2560 มาตรา 32 บุคคลย่อมมีสิทธิใน ความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทำอันเป็นการละเมิดหรือ กระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนนำข้อมูลส่วนบุคคลไปใช้ ประโยชน์ไม่ว่าในทางใดๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตาม บทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียง เท่าที่จำเป็นเพื่อประโยชน์สาธารณะ

2. พรบ ข้อมูลข่าวสารราชการ พ.ศ.2540

การพิมพ์ในราชกิจจานุเบกษา (มาตรา 7) (1) โครงสร้างและการจัดองค์กร (2) อำนาจหน้าที่และวิธีดำเนินงาน (3) สถานที่ติดต่อขอรับข้อมูลข่าวสาร (4) กฎ มติ ค.ร.ม. ข้อบังคับ คำสั่งฯ

การจัดไว้ให้ประชาชนตรวจดู (มาตรา 9) (1) ผลการพิจารณาที่มีผลต่อเอกชน (2) นโยบายและการตีความ (3) แผนงาน โครงการ งบประมาณ (4) คู่มือ/คำสั่งเกี่ยวกับวิธีปฏิบัติงาน (5) สิ่งพิมพ์ที่มีการอ้างอิงถึงในราชกิจจานุเบกษา (6) สัญญาสำคัญของรัฐ - สัญญาสัมปทาน - สัญญาผูกขาดตัดตอน - สัญญาร่วมทุนกับ เอกชน (7) มติ ค.ร.ม. มติคณะกรรมการ (8) ประกาศประกวดราคา/สอบราคา สรุปผล การจัดซื้อจัดจ้างรายเดือน

3. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อมูลส่วนบุคคล คืออะไร ? ข้อมูลเกี่ยวกับบุคคล ซึ่งท าให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ มาตรา 6

 การเก็บข้อมูลส่วนบุคคลสำหรับงานห้องสมุดและจดหมายเหตุ แบ่งเป็น 2 ส่วน

1. ข้อมูลส่วนบุคคลในทรัพยากรที่จัดเก็บและให้บริการ
2. การจัดเก็บและบริหารข้อมูลส่วนบุคคลในการให้บริการ

การบริหารจัดการเพื่อให้การเก็บข้อมูลส่วนบุคคลเกิดความสมดุล

1. เสรีภาพในการเข้าถึงทรัพยากร
2. ความมั่งคงปลอดภัยของสาธารณะ/เจ้าของข้อมูล
3. เจตนารมณ์และความยินยอม
4. ความอ่อนไหวของข้อมูล
5. การเข้าถึงข้อมูล
6. วิธีการเผยแพร่ข้อมูล
7. การนำไปใช้ประโยชน์

วิธีการบริหารจัดการข้อมูลสารสนเทศในห้องสมุดหรือหอจดหมายเหตุฯ สิ่งที่ห้องสมุดสามารถทำได้ เช่น

1. การให้ความรู้
2. การจัดทำข้อตกลงต่าง ๆ ไม่ว่าจะเป็นการให้บริการ การจัดเก็บ ฯลฯ
3. การให้บริการสำเนาบางส่วน เฉพาะกรณี ตามเงื่อนไข
4. การดัดแปลงข้อมูล บางอย่าง เพื่อเป็นการเตือนหรือข้อตกลง
5. การคัดกรองส่วนที่เกี่ยวข้อง ก่อนให้บริการ กรณีจดหมายเหตุมีการเข้ามาขอใช้ เช่นการทำ oral history เรามีบทบาท ผลิต และเอาข้อมูลส่วนบุคคลมาใช้
6. การจัดตั้งคณะกรรมการพิจารณา

 การจัดเก็บและบริหาร ข้อมูลส่วนบุคคล ในการให้บริการ แบ่งเป็น

1. ผู้รับบริการ

• ข้อมูลทะเบียนที่จัดเก็บในระบบ เช่น ชื่อ ภาพ ที่อยู่ โทรศัพท์ อีเมล์
• ประวัติการใช้บริการยืม-คืน
• ข้อมูลประวัติการเข้าใช้ระบบ
• การบันทึกภาพบุคคลเข้าออกจากวงจรปิด
• การบันทึกภาพกิจกรรม
• ข้อคิดเห็นออนไลน์

2. ผู้ใช้บริการ

• ข้อมูลทะเบียนที่จัดเก็บในระบบ เช่น ชื่อภาพ ที่อยู่ โทรศัพท์ อีเมล็
• การบันทึกภาพบุคคลเข้าออกจากวงจรปิด
• การบันทึกภาพกิจกรรม
• ข้อคิดเห็นออนไลน์

การบริการมีมิติตามกฎหมายค่อนข้างเยอะ เช่น

1. ความจำเป็นในการจัดเก็บ
2. ความยินยอม ยินยอมเก็บ ใช้งาน ระยะเวลา ซึ่งมีความซับซ้อนมาก
3. ความอ่อนไหวของข้อมูล
4. ความปลอดภัยของผู้ให้ข้อมูล
5. ความปลอดภัยของข้อมูล รักษาข้อมูลเขาได้ไหม มีความสามารถแค่ไหน
6. ระยะเวลาในการจัดเก็บ
7. วิธีการจัดเก็บ
8. แนวทางการเข้าถึง/เผยแพร่ ใครเข้าถึงได้บ้าง เผยแพร่อย่างไร
9. การประมวลผลข้อมูล
10. การทำลายข้อมูล
11. การนำไปใช้ประโยชน์ เอาไปใช้อะไร
12. ผู้ที่เกี่ยวข้อกับข้อมูล เช่นหน่วยงานอื่น ๆ ที่เกี่ยวข้อง

 มิติของการจัดเก็บเพื่อใช้ในการบริการ

1. จัดเก็บได้มีข้อตกลงในการใช้บริการ
2. การจัดทำข้ออนุญาตยินยอม Consent from โดยมีการกำหนดวัตถุประสงค์และทำตามวัตถุประสงค์การใช้งานและเวลา
3. การแจ้งให้ทราบ
4. จัดเก็บเฉพาะเท่าที่จำเป็นเท่านั้น
5. การดัดแปลงข้อมูลก่อนการจัดเก็บ
6. การรักษาความปลอดภัย