ถาม - ตอบ (FAQ)
A1 : PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 โดยวันที่ 1 มิถุนายน 2565 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ
A2 : ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม PDPA นี้
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ด้วย ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
A3 : นโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) คือ นโยบายที่การรถไฟกำหนดแนวปฏิบัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยส่วนมากแล้วจะจัดทำออกมาในรูปแบบเอกสารบนหน้าเว็บไซต์ เพื่อแจ้งให้บุคลากรของการรถไฟฯได้ทราบ รายละเอียดใน Data Protection Policy อย่างน้อยจะต้องประกอบไปด้วย
• กระบวนการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
• กระบวนการเปิดเผย ส่ง หรือโอนข้อมูลส่วนบุคคล แก่บุคคลธรรมดาหรือนิติบุคคล
• กระบวนการทางสิทธิของเจ้าของข้อมูลส่วนบุคคล
• กระบวนการรักษาความปลอดภัยของข้อมูลส่วนบุคคล
• บทบาทหน้าที่ความรับผิดชอบ
A4 : ประกาศความเป็นส่วนตัว (Privacy Notice) คือ ประกาศที่การรถไฟกำหนดรายละเอียดแนวปฏิบัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สำหรับเจ้าของข้อมูลส่วนบุคคล (Data Subjects) โดยส่วนมากจะจัดทำออกมาในรูปแบบเอกสารบนหน้าเว็บไซต์เพื่อแจ้งให้ผู้ใช้งานทราบ รายละเอียดใน Privacy Notice อย่างน้อยจะต้องประกอบไปด้วย
• ข้อมูลส่วนบุคคลที่มีการจัดเก็บมีอะไรบ้าง
• วิธีการที่จัดเก็บข้อมูลส่วนบุคคลนั้นๆ
• การเก็บข้อมูลส่วนบุคคลนั้นมีขั้นตอนอย่างไรบ้าง
• วัตถุประสงค์ในการนำข้อมูลไปประมวลผล
• รายละเอียดในการเปิดเผยข้อมูลส่วนบุคคล เช่น มีการเปิดเผยข้อมูลส่วนบุคคลให้กับใครบ้าง
• สิทธิของเจ้าของข้อมูลส่วนบุคคล
• ข้อมูลการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล/ตัวแทน
A5 : ตาม PDPA นั้น หากธุรกิจมีการเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคล ธุรกิจนั้นๆ ต้องจัดทำ Privacy Policy มิเช่นนั้นอาจมีความผิดตาม PDPA ซึ่งจะได้รับโทษ คือ
• โทษทางแพ่ง: จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
• โทษทางอาญา: จำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง: ปรับไม่เกิน 5 ล้านบาท
A6 :
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure also known as right to be forgotten)
• สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
A7 :
• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
A8 : การรถไฟฯ ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลของการรถไฟฯ รวมถึงผู้รับจ้างในการดำเนินงานต่างๆให้กับการรถไฟฯ เช่น ผู้รับจ้างให้บริการจำหน่ายตั๋วโดยสาร ผู้รับเหมา เป็นต้น
A9 : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตาม PDPA ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ PDPA รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตาม PDPA ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่
A10 :
• ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ฐานความยินยอม: Consent)
• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ (ฐานจดหมายเหตุ วิจัย สถิติ: Scientific or Research)
• ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (ฐานประโยชน์สำคัญต่อชีวิต: Vital Interest)
• จำเป็นเพื่อปฏิบัติกฎหมาย (ฐานหน้าที่จามกฎหมาย: Legal Obligation)
• จำเป็นเพื่อปฏิบัติตามสัญญา (ฐานสัญญา: Contract)
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น (ฐานประโยชน์อันชอบธรรม: Legitimate Interest)
• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ (ฐานภารกิจรัฐ: Public Task)
A11 : ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น
A12 : เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กร เพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
• ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
• โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
A13 : การให้ความยินยอมสำหรับการคุ้มครองข้อมูลนั้น ต้องได้รับความยินยอม ดังนี้
• ความยินยอมต้องขอก่อนจะมีการประมวลผลเกิดขึ้น
• การให้ความยินยอมต้องเกิดขึ้นโดยสมัครใจและเป็นการเลือกของเจ้าของข้อมูลเสมอ
• วัตถุปรางค์ของการประมวลผลข้อมูลต้องเฉพาะเจาะจง
• ต้องขอความยินยอมอย่างชัดแจ้ง
• ต้องแยกความยินยอมออกจากเงื่อนไขและข้อบังคับต่างๆ
• ออกแบบทางเลือกให้สามารถปฏิเสธที่จะให้ความยินยอมได้หรือมีโอกาสถอนความยินยอมได้ โดยไม่ได้รับผลกระทบมากเกินเหตุ
• เนื้อหาความยินยอมเข้าใจง่ายและเข้าถึงง่าย
A14 :
ผลกระทบต่อเจ้าของข้อมูลเจ้าของข้อมูล ซึ่งหมายถึงบุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลซึ่งการรถไฟฯประมวลผลมีสิทธิควบคุมการประมวลผลข้อมูลดังกล่าวได้มากขึ้น และมีสิทธิเรียกร้องหากพบกรณีที่การรถไฟฯทำให้ตนเองได้รับความเสียหายได้ด้วยบทลงโทษที่หนักขึ้น ดังนี้
o มีสิทธิขอเข้าถึงขอสำเนา ขอให้มีการโอนถ่ายข้อมูล ขอคัดค้านและระงับการประมวลผลข้อมูล ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลหรือสิทธิในการเลือกให้หรือถอนความยินยอมอย่างอิสระ
o กรณีได้รับความเสียหาย สามารถฟ้องได้ทั้งทางแพ่ง ทางอาญา และทางปกครอง
ผลกระทบต่อการรถไฟฯ การรถไฟฯในฐานะผู้ควบคุมข้อมูลยังสามารถประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินงานของการรถไฟฯได้เช่นเดิม แต่ต้องใช้ความระมัดระวัง และมีกรอบที่ต้องปฏิบัติตามที่ชัดเจนมากขึ้น ดังนี้
o ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคล เพียงเท่าที่จำเป็น
o การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมายปฏิบัติหน้าที่ตามสัญญา สิทธิอันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอม ต้องได้รับความยินยอมก่อน
o ต้องอธิบาย และแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ
o ต้องรับประกันความมั่นคงปลอดภัยของข้อมูล
A15 :
1. ศึกษาข้อกฎหมาย รวมไปถึงทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามที่กฎหมายระบุให้ละเอียด
2. จัดทำข้อกำหนดและนโยบายต่างๆ ของการรถไฟฯในการจัดเก็บข้อมูลภายใน โดยต้องมีการทบทวนและปรับปรุงข้อมูลที่มีอยู่ให้เป็นปัจจุบันเสมอ
3. ระบุขั้นตอนในการจัดเก็บข้อมูลให้เป็นมาตรฐาน รวมไปถึงการมีแบบฟอร์มหรือระบบรองรับที่ใช้ในการรถไฟฯในการขอรับความยินยอม
4. กำหนดระเบียบและหลักเกณฑ์ต่างๆ ในการรถไฟฯ ทั้งการเก็บรวบรวมข้อมูล การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย ตลอดจนกำหนดมาตรการในการแก้ปัญหา กรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล
5. จัดทำระบบที่ช่วยให้การจัดเก็บข้อมูลส่วนบุคคลปลอดภัยและมีประสิทธิภาพ
6. ให้ความรู้อบรมกับบุคลากรภายในการรถไฟฯ เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลให้เข้าใจในหลักการ และนำไปใช้ในการทำงานได้ถูกต้องตามกฎหมาย
A16 : โดยหลักแล้ว PDPA บังคับใช้กับทั้งภาครัฐและเอกชน รวมถึงรัฐวิสาหกิจ ดังนั้นหน่วยงานของรัฐและรัฐวิสาหกิจต้องปฏิบัติตาม PDPA เช่นเดียวกันแต่หน้าที่ของหน่วยงานอาจแตกต่างกันไป ขึ้นอยู่กับประเภทของหน่วยงานและกิจกรรมในการประมวลผลข้อมูลส่วนบุคคล เช่น
กรณีที่ 1 หน่วยงานที่ได้รับการยกเว้นตามมาตรา 4 คือยกเว้นการบังคับใช้ของ PDPA เช่น การดำเนินการของหน่วยงานที่มีหน้าที่รักษาความมั่นคงของประเทศ การปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ ความมั่นคงปลอดภัยไซเบอร์ การพิจารณาคดีของศาลและเจ้าหน้าที่ในกระบวนพิจารณาคดี สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา และองค์กรอื่นๆ เป็นต้น แต่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน
กรณีที่ 2 หน่วยงานของรัฐหรือรัฐวิสาหกิจต่างๆ ที่ไม่อยู่ในข้อยกเว้น ตามมาตรา 4 ในกรณีที่ 1 นั้นจะต้องปฏิบัติตาม PDPA เช่น กระทรวง ทบวง กรมต่างๆ ที่มีฐานะเป็นนิติบุคคล หรือรัฐวิสาหกิจ เช่น รัฐวิสาหกิจที่ผลิตและจำหน่ายน้ำหรือไฟฟ้า เป็นต้น
ในการแต่งตั้ง DPO หน่วยงานของรัฐ ไม่ว่าขนาดเล็กหรือขนาดใหญ่ หรือจะมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากหรือไม่นั้น ก็ต้องมีการแต่งตั้ง DPO ด้วยเช่นกัน เพราะกฎหมายไม่ได้กำหนดขนาดหรือจำนวนการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (เว้นแต่คณะกรรมการคุ้มครองฯ จะได้มีการประกาศกำหนดเป็นอย่างอื่น) ต่างจากภาคเอกชนที่จะดูว่ามีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากหรือกิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว (Sensitive Personal Data) หรือไม่ ดังนั้นหน่วยงานของรัฐคงจะต้องเตรียมการในเรื่องการแต่งตั้ง DPO ไว้ แต่อย่างไรก็ดี หน่วยงานของรัฐหรือรัฐวิสาหกิจที่มีภารกิจเพื่อประโยชน์สาธารณะหรือมีการใช้อำนาจรัฐ ตามที่กฎหมายหรือกฎหมายจัดตั้งกำหนดไว้ อาจอ้างฐาน Public Tasks ในกิจกรรมหลักหรือบางกิจกรรม ซึ่งอาจต้องพิจารณาเป็นองค์กรหรือรายกิจกรรมขององค์กรหรือหน่วยงานนั้นๆ แต่ยังคงต้องปฏิบัติตาม PDPA ในเรื่องอื่นๆ ด้วยเช่นเดียวกับบริษัทเอกชน
A17 : ควรรีบดำเนินการให้เร็วที่สุด
A18 : ประกาศความเป็นส่วนตัว เป็นเอกสารเปิดเผยต่อสาธารณะที่สื่อสารข้อมูลส่วนตัวให้กับบุคคคลเกี่ยวกับบุคคลที่การรถไฟฯเก็บรวบรวมข้อมูลส่วนบุคคล นโยบายคุ้มครองข้อมูลส่วนบุคคล เป็นเอกสารที่ใช้ภายในซึ่งกำหนดกระบวนการและขั้นตอนต่าง ๆ ที่การรถไฟฯได้นำมาใช้เพื่อให้แน่ใจว่าสอดคล้องกับ PDPA ในการประมวลผลข้อมูลส่วนบุคคล
A19 : เอกสารแจ้งให้เจ้าของข้อมูลถึงการเก็บรวบรวมข้อมูลส่วนบุคคลไม่จำเป็นต้องลงเจ้าของข้อมูลส่วนบุคคล การรถไฟฯควรจะพิจารณาเอกสารแจ้งให้เจ้าของข้อมูลถึงการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ในชุดข้อมูลในกระบวนการขั้นต้นก่อนมีการเก็บรวมรวมข้อมูลส่วนบุคคล
A20 : บุคคลากรของการรถไฟฯ ทุกคนควรจะตระหนักถึงหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลและหลีกเลี่ยงบทลงโทษไม่ว่าจะเป็นทางแพ่ง อาญา หรือปกครอง ดังนั้นการรถไฟฯ ควรดำเนินการตามขั้นตามที่เหมาะสม เพื่อให้แน่ใจว่าบุคลากรของการรถไฟฯ ทุกคนได้รับการอบรมเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสมการรถไฟฯต้องจัดให้มีการฝึกอบรมสำหรับผู้เริ่มต้นอย่างเหมาะสม รวมถึง
• ความรับผิดของการรถไฟฯในฐานะผู้ควบคุมข้อมูลส่วนบุคคลภายใต้พรบ.ฯ
• ความรับผิดของบุคลากรการรถไฟฯ รวมถึงความรับผิดทางอาญาด้วย หากกระทำความผิดโดยเจตนาที่จะเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคลโดยตนไม่มีอำนาจที่จะกระทำได้
• มาตรการที่เหมาะสมเพื่อระบุตัวตน
• ความอันตรายของบุคคลที่ได้รับข้อมูลส่วนบุคคลมาโดยการหลอกลวงหรือ การโน้มน้าวบุคคลากรของการรถไฟฯให้มอบข้อมูลให้ และต้องมีข้อห้ามข้อจำกัดในที่บุคคลากรแต่ละคนใช้หรือเข้าถึงระบบของการรถไฟฯในเชิงส่วนตัว เช่น ให้หลีกเลี่ยงการเข้าถึงสแปม
• การรถไฟฯควรที่จะยับยั้งการเข้าถึงข้อมูลส่วนบุคคลของบุคคลากรทั้งหมด โดยจำกัดไว้เพียงแค่เฉพาะบุคคลากรในส่วนที่เป็นหน้าที่ที่บุคคลเหล่านั้นต้องรับผิดชอบเท่านั้น
A21 : ขึ้นอยู่กับการตัดสินใจของการรถไฟฯ โดยคำนึงถึงผลกระทบต่อความเสี่ยงของการรั่วไหลข้อมูล มาตรการรักษาความปลอดภัยเชิงเทคนิคและมาตรการเชิงบริหารจัดการของการรถไฟฯ
A22 : หากมีการแบ่งปันข้อมูลระหว่างองค์กรภายนอก การรถไฟฯต้องจัดให้มีสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตาม PDPA นี้
A23 : ในเรื่องนี้ขึ้นอยู่กับลักษณะของการบริการที่มีอยู่ หากบริการนั้นมีการจัดการ และเริ่มต้นโดยใครผู้นั้นก็เป็นผู้รับผิดชอบในข้อมูลส่วนบุคคล อย่างไรก็ตามหากบริการนั้นจัดการในรูปแบบการจัดการร่วมกัน การรถไฟฯและผู้ร่วมจัดการก็จะมีความรับผิดชอบร่วมกันในฐานนะผู้ควบคุมข้อมูลส่วนบุคคลและต้องมีการจัดทำข้อตกลงร่วมกันควบคุม
A24 : หากการรถไฟฯ ต้องการเก็บข้อมูลย้อนหลังสำหรับงานต่าง ๆ เช่น รูปภาพ ตำแหน่ง และผลงานอันโดดเด่น การรถไฟฯ สามารถเก็บรวบรวมข้อมูลดังกล่าวในฐานผลประโยชน์ที่ชอบด้วยกฎหมาย ในการส่งเสริมการรถไฟฯ การรถไฟฯ ควรจัดเก็บข้อมูลที่เก็บไว้ถาวร เช่น บันทึกรายชื่ออดีตพนักงาน อย่างไร การรถไฟฯ ควรเก็บรักษาข้อมูลส่วนบุคคลไว้เท่าที่จำเป็นและเป็นไปตามระยะเวลาในการจัดเก็บข้อมูลที่ได้ระบุไว้
A25 : ต้องระบุ
A26 : การขอความยินยอมในการใช้รูปถ่ายของพนักงานอาจจำเป็นในบางสถานการณ์ หากใช้เพื่อวัตถุประสงค์ในการแสดงหรือเผยแพร่ทั่วไป เช่นนั้นควรขอความยินยอมจากพนักงาน รวมถึงระบุความถี่ในการใช้งานในนโยบายความเป็นส่วนตัวด้วย หากการใช้รูปถ่ายของพนักงานเป็นไปเพื่อวัตถุประสงค์ในการยืนยันตัวตน ไม่จำเป็นต้องขอความยินยอม และการรถไฟฯสามารถอ้างฐานประโยชน์อันชอบธรรมได้
A27 : ควรขอความยินยอมสำหรับการใช้รูปถ่ายเพื่อการเผยแพร่ ตีพิมพ์ หรือแสดงในอนาคตเท่านั้น
A28 : ข้อมูลดังกล่าวแม้จะเป็นข้อมูลส่วนบุคคลเกี่ยวกับการเงินที่มีความสำคัญ แต่เป็นเพียง Personal Data จึงไม่ใช่ Sensitive Personal Data ตามที่ PDPA กำหนด
A29 : ไม่ เพราะไม่ใช่ข้อมูลของบุคคลธรรมดา จึงไม่ได้รับความคุ้มครองตาม PDPA แต่อาจได้รับความคุ้มครองตามกฎหมายอื่น เช่น กฎหมายละเมิดหรือความลับทางการค้า
A30 : หากเป็นการลาป่วยตั้งแต่สามวันขึ้นไป : การรถไฟฯ สามารถให้พนักงานแสดงใบรับรองแพทย์ได้ ตามกฎหมายคุ้มครองแรงงาน การรถไฟฯอาจเก็บรวบรวมใบรับรองแพทย์ได้ โดยไม่ต้องขอความยินยอมจากพนักงาน เพราะอาจถือว่าเป็นประโยชน์โดยชอบด้วยกฎหมายของการรถไฟฯและเป็นการจำเป็นในการปฏิบัติตามกฎหมาย เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน