Thai-PDPA

4 STEP TO

PDPA (Personal Data Protection Act, B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

เนื่องจากการที่เทคโนโลยีก้าวหน้าขึ้นอย่างรวดเร็ว สื่อ ข่าวสาร โซเชี่ยลต่างๆเข้าถึงได้ง่ายจนทำให้กฏหมายอาจจะยังมีช่องโหว่ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจทำให้เจ้าของข้อมูลเกิดการสูญเสีย หรือก่อความน่ารำคาญได้ จนอาจขยายกว้างไปจนถึงปัญหาระดับใหญ่จากช่องโหว่นี้ ประเทศไทยจึงได้ออกกฏหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรฐานใหม่ในการคุ้มครองข้อมูลส่วนบุคคลขึ้น

ทุกวันนี้การทำธุรกิจต้องปรับตัวให้ทันกับยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว รวมทั้งต้องปรับระบบให้เข้ากับกฎหมายในยุคสมัยใหม่ให้เท่าทันตลอดเวลา หากมีช่องโหว่หรือบทพร่องก็จะมีบทลงโทษคือค่าปรับที่ตามมาเสมอ

4 STEP TO

PDPA (Personal Data Protection Act, B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

เนื่องจากการที่เทคโนโลยีก้าวหน้าขึ้นอย่างรวดเร็ว สื่อ ข่าวสาร โซเชี่ยลต่างๆเข้าถึงได้ง่ายจนทำให้กฏหมายอาจจะยังมีช่องโหว่ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจทำให้เจ้าของข้อมูลเกิดการสูญเสีย หรือก่อความน่ารำคาญได้ จนอาจขยายกว้างไปจนถึงปัญหาระดับใหญ่จากช่องโหว่นี้ ประเทศไทยจึงได้ออกกฏหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรฐานใหม่ในการคุ้มครองข้อมูลส่วนบุคคลขึ้น

ทุกวันนี้การทำธุรกิจต้องปรับตัวให้ทันกับยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว รวมทั้งต้องปรับระบบให้เข้ากับกฎหมายในยุคสมัยใหม่ให้เท่าทันตลอดเวลา หากมีช่องโหว่หรือบทพร่องก็จะมีบทลงโทษคือค่าปรับที่ตามมาเสมอ

STEP องค์กรคุณเข้าข่ายถูกบังคับหรือไม่ ?

องค์กรของคุณเข้าข่าย 3 ข้อนี้หรือไม่ ?

1. หากองค์กรของคุณมีการเก็บข้อมูลและใช้ข้อมูลส่วนบุคคลของพนักงานในองค์กรหรือลูกค้า (Data Controller)

2. หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ (Data Processor)

3. หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการทำธุรกิจภายในประเทศ มีการเก็บ โอนถ่าย ข้อมูลของบุคคลในประเทศไทย

STEP แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ? 

ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม  ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ ได้แก่

ชื่อ-นามสกุล,หมายเลขโทรศัพท์,ที่อยู่ ,หมายเลขบัตรประจำตัวประชาชน,รูปถ่าย,ประวัติการทำงาน,อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง ) เป็นต้น

นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น เช่น ความคิดเห็นทางการเมือง,เชื้อชาติ,ข้อมูลทางพันธุกรรม,ข้อมูลทางชีวภาพ,ประวัติอาชญากรรม เป็นต้น

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

STEP กฏข้อบังคับ-ข้อยกเว้นและขอบเขตการเก็บข้อมูล

ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้

1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 

2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 

3. ต้องมีช่องทางที่ให้เจ้าของข้อมูลสามารถแก้ไขข้อมูลของตนเองได้ เช่น เว็บไซต์เป็นต้น

4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ

5. มีมาตรการการรักษาความปลอดภัยและปกป้องข้อมูลแบบ Real Time ถ้าหากพบข้อมูลรั่วไหลต้องแจ้งเจ้าของข้อมูลถายใน 72 ชั่วโมง

STEP กำหนดขอบเขตและแบ่งหน้าที่

กำหนดบทบาท

ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม ) 

ซึ่งทุกแผนกนั่นมีความเกี่ยวข้องกับกฎหมายฉบับนี้ เช่น

ฝ่ายกฎหมาย จะเกี่ยวข้องในการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ 
ฝ่าย IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ป้องกันการเปิดเผยข้อมูลโดยมิชอบและลบเมื่อถึงเวลาที่กำหนด ต้องมีปรับหน้าการข้อยินยอมการเก็บข้อมูลให้รัดกุมมากขึ้นและถูกต้องตามกฎหมาย

ฝ่ายการตลาด จะเป็นฝ่ายที่ต้องเกี่ยวข้องกับข้อมูลของผู้บริโภคมากที่สุด เพราะต้องมีการวิเคราะห์และเก็บสถิติของกลุ่มเป้าหมายเป็นจำนวนมาก จึงควรมีการปรับระบบการทำงานให้สอดคล้องกับกฎหมายฉบับใหม่  

ฝ่ายขาย หากมีการเก็บข้อมูลของลูกค้าหรือผู้ที่มีความสนใจ ก็จำเป็นต้องมีการเปลี่ยนเนื้อหาหน้าขอความยินยอมให้ถูกต้องและรัดกุม 

HR : มีการเก็บข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก ผู้สมัคร ให้ถูกต้องตามกฎหมาย

บทลงโทษสำหรับผู้ละเมิด พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

หากองค์กรของท่านละเมิดหรือเพิกเฉยต่อบทบัญญัติในพระราชบัญญัตินี้นั้นจะมีความผิดตามกฏหมายซึ่งจะถูกลงโทษกล่าวคือ 

1) ความผิดทางแพ่ง การชดเชยความเสียหายรวมถึงค่าใช้จ่ายที่จำเป็นทั้งหมดและค่าเสียหายเชิงลงโทษไม่เกินสองเท่าของจำนวนเงินชดเชยจริง

2) ความผิดทางอาญา การลงโทษผู้กระทำความผิดจะต้องระวางโทษจำคุกไม่เกินหนึ่งปีและ / หรือปรับไม่เกินหนึ่งล้านบาท สำหรับความผิดที่นิติบุคคลกระทำตามพระราชบัญญัตินี้กรรมการผู้จัดการหรือผู้รับผิดชอบในการกระทำความผิดดังกล่าวจะถูกลงโทษด้วยการลงโทษที่กำหนดไว้สำหรับความผิดนั้นๆ

3) ความผิดทางปกครอง ค่าปรับทางปกครองเริ่มตั้งแต่ห้าแสนบาทถึงห้าล้านบาทขึ้นอยู่กับประเภทของความผิดและประเภทของผู้กระทำความผิดตามพระราชบัญญัตินี้

( หากผู้กระทำผิดเป็นนิติบุคคล กรรมการ ผู้จัดการ ผู้สั่งการ ผู้บริหาร บุคคลผู้รับผิดชอบในการดำเนินการต้องระวางโทษในความผิดนั้นด้วย (มาตรา81) )

แม้ว่ากฎหมายอาจจะยังไม่ได้ประกาศใช้ในขณะนี้ แต่เราควรเตรียมพร้อมในกระบวนการ การเก็บข้อมูลส่วนบุคคลให้เป็นไปอย่างถูกต้องและสอดคล้องกับ กฎหมายใหม่อีกจะประกาศใช้อย่างเป็นทางการในเดือน พฤษภาคม พ.ศ. 2564 เพื่อสิทธิในการเข้าถึงข้อมูลของสมาชิกในองค์กรและการจัดการข้อมูลของฝ่ายบริหารในองค์กรของคุณ