Author Kris

ตอนนี้เหลือเวลาอีกไม่ถึง 1 เดือนก่อนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือ PDPA จะมีผลบังคับใช้ในวันที่ 27 พ.ค.นี้ องค์กรหรือบริษัทใหญ่ๆก็ได้เริ่มเตรียมการพร้อมในการจัดระบบและให้ความรู้กับพนักงานไปแล้ว หลายๆแห่งมีทีมกฎหมายของตัวเองก็หมดห่วงกันไป แต่ SMEs และ Startup เล็กๆที่ไม่ได้มีกำลังทุนมากมายไปจ้างคนภายนอก และยิ่งหากช่วงนี้ได้รับผลกระทบจากโควิด-19 จะทำอย่างไรกันดี? โดยในบทความนี้เราจะรวบรวม 3 ขั้นตอนสั้นๆที่จะช่วยให้คุณประหยัดเวลาในการนั่งหาข้อมูลเพิ่มเติม และสามารถสร้าง Policy ของคุณเองภายใน 10 นาทีเพราะตอนนี้เวลาเป็นเรื่องสำคัญที่สุด เราเชื่อว่าก่อนที่คุณจะเข้ามาอ่านบทความนี้ คุณคงทำความเข้าใจมาพอสมควรแล้วว่า PDPA นั้นคืออะไร ดังนั้นก่อนจะเริ่มลงมือ เราจะมาเข้าใจให้ตรงจุดถึงปัญหาความยากง่ายในการจัดทำนโยบายความเป็นส่วนตัวกันก่อน

ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม (  ต้องเป็นคนละคนกับผู้ควบคุม ) หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่  แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไปค่ะ  หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้

มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ เพื่อป้องกันหรือระงับอันตรายต่อชีวิต มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล

1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้ การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ อ่านง่าย เข้าใจง่าย ไม่หลอกลวงให้เข้าใจผิด แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์ การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ ทำเมื่อไหร่ก็ได้ ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ 2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center 4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น […]

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล สิทธิที่จะได้รับแจ้ง สิทธิในการแก้ไข สิทธิในการได้รับและโอนถ่ายข้อมูล สิทธิในการเข้าถึง สิทธิคัดค้าน สิทธิในการลบ (ถูกลืม) สิทธิในการจำกัด สิทธิในการเพิกถอนคำยินยอม โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม  ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง ) นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น เชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง) ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน ) พฤติกรรมทางเพศ ประวัติอาชญากรรม […]

1 ) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ?  ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่ค่ะ  หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล  ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย  เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์

บทลงโทษของต่างประเทศ GDPR ของทางสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต บทลงโทษจาก PDPA ของไทย ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง โทษทางปกครองปรับไม่เกิน 5 ล้านบาท GDPR ใช้เวลาเพียง 2 ปีก็สามารถแผลงฤทธิ์ใส่องค์กรใหญ่ๆไปได้หนักหน่วงทีเดียว […]

พรบ.นี้มีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงไม่มีองค์กรไหนสามารถทำเพิกเฉยกับมันได้ กับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันว่า PDPA ( Personal Data Protection Act )  ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค.2563 นี้แล้ว คือ อีก 3 เดือนเท่านั้น เริ่มตอนนี้ก็ยังทันนะคะ โดยบทความนี้จะช่วยท่านผู้บริหารและ CEO ให้เข้าใจผลของการมีพรบ.นี้มากขึ้น และเราได้เตรียม Roadmap การเตรียมพร้อมขององค์กรท่านมาไว้ให้ด้วย หากท่านยังไม่แน่ใจว่าการมีกฎหมายนี้อาจสร้างความเสี่ยงให้บริษัทได้มากแค่ไหน ลองดูกรณีศึกษาจากต่างประเทศที่มีการใช้กฎหมายนี้มาก่อนเราที่มีการปรับมาแล้วหลากหลายรูปแบบ Facebook ทำรายได้ มากถึง 5.5 หมื่นล้านดอลลาร์สหรัฐ ในปี 2018 แต่โดนปรับจาก FTC กรณีละเมิดสิทธิ์ไปประมาณ  5 พันกว่าล้านดอลลาร์สหรัฐ หรือ คิดเป็นประมาณ 10% ของรายได้ทั้งหมด จากกรณีแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica วิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง […]