178 Dharmniti Building 6-7th Floor, Soi Permsap (Prachachuen 20), Prachachuen Road, Bangsue, Bangkok, 10800 Thailand

Audit News

ทำไม? ธุรกิจต้องปรับตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

Written by

        พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในภาคธุรกิจหลายๆท่านคงจะทราบกันดีแล้วว่า มีกฎหมาย พรบ.นี้เกิดขึ้น ที่มีชื่อย่อว่า PDPA มาจาก Personal Data Protection Act และกฎหมายฉบับนี้มีผลบังคับใช้มุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าองค์กรตั้งอยู่ต่างประเทศ โดยจากกำหนดการเดิมที่กฎหมายนี้จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 ที่ได้ผ่านมา แม้ทาง ครม.ได้เห็นชอบการเลื่อนบังคับใช้บางมาตราใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 ปี เป็นวันที่ 27 พ.ค.2564 จากเดิมจะมีผลบังคับใช้ในวันที่ 27 พ.ค.63 ที่ผ่านมา จากนี้ผู้ประกอบการในภาคธุรกิจต่างๆ ยังมีเวลาเตรียมพร้อมก่อนกฎหมายบางมาตราจะมีผลบังคับใช้ในอีก 1 ปีข้างหน้า

และในยุคสมัยนี้ที่ผู้คนมีการแลกเปลี่ยนข้อมูลกันตลอดเวลา หรือยุคดิจิทัล รวมถึงล่าสุดมีผลกระทบจากวิกฤติการแพร่ระบาดของไวรัสโควิด 19 จึงต้องมีการรักษาระยะห่างทางสังคม (Social Distancing) เป็นเหตุให้ต้องมีการใช้บริการเทคโนโลยีมากขึ้น การจัดการข้อมูลเหล่านั้นให้มีมาตรฐานนับเป็นเรื่องสำคัญมากกว่าเดิม เพื่อป้องกันการล่วงละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล ปกป้องความเสียหายและความเดือดร้อนรำคาญ แก่เจ้าของข้อมูลส่วนบุคคล ดังนั้นมาทำความเข้าใจเพื่อปรับตัวให้ทันกับ พรบ.ฉบับนี้กันค่ะ

 

ข้อมูลส่วนบุคคล” คืออะไร?

ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์โทรฯ ที่อยู่ และข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ และข้อมูลชีวภาพ (รูปถ่าย หรือลายนิ้วมือ) ถ้ากล่าวคร่าวๆ ก็คือข้อมูลที่จะนำไปแยกแยะได้ว่าบุคคลนั้นคือใคร เอาไปใช้ติดตามบุคคลนั้นได้ และสามารถเชื่อมโยงไปยังข้อมูลอื่นๆ ได้ แต่กฎหมายนี้ไม่คุ้มครองข้อมูลของผู้ถึงแก่กรรม(เสียชีวิต) 

 

สิ่งที่ภาคธุรกิจต้องมี! ก่อนที่พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลอย่างเป็นทางการ

สำหรับผู้ประกอบการที่เคยเก็บข้อมูลของลูกจ้าง ผู้สมัครงาน ลูกค้า และผู้มาติดต่อผ่านทางเว็บไซต์หรือเบอร์โทรศัพท์ ที่ได้เคยนำข้อมูลมาเพื่อวิเคราะห์และพัฒนาการขายหรือการให้บริการจนเป็นส่วนหนึ่งของการทำธุรกิจ ผู้ประกอบการจะต้องมีการปรับตัวให้ทันการบังคับใช้กฎหมายฉบับนี้ ในฐานะผู้ควบคุมข้อมูล โดยยังสามารถประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินธุรกิจของตนได้เช่นเดิม แต่ต้องใช้ด้วยความระมัดระวัง และมีกรอบที่ต้องปฏิบัติตามที่ชัดเจนมากขึ้น ดังนี้

 

1)  ไม่ว่าจะธุรกิจขนาดเล็กหรือใหญ่จะต้องทำ คือนโยบายความเป็นส่วนตัว  (Privacy Policy) 

เป็นการแจ้งวิธีที่จัดการกับข้อมูลส่วนบุคคล ได้แก่

• การเก็บรวบรวมข้อมูลส่วนบุคคล 

• ข้อมูลที่ธุรกิจเก็บรวบรวม 

• ระยะเวลาการเก็บข้อมูลส่วนบุคคล 

• วัตถุประสงค์การเก็บข้อมูลส่วนบุคคล 

• การเปิดเผยข้อมูลส่วนบุคคล 

• การรักษาความมั่นคงปลอดภัย  

• สิทธิของเจ้าของข้อมูล 

• รวมถึงช่องทางการติดต่อ

 

2)  การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ.นี้กำหนดรองรับ 

เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย ปฏิบัติหน้าที่ตามสัญญา สิทธิอันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอม ต้องได้รับความยินยอมก่อน

 

3)  การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้ 

ต้องระบุข้อความเข้าใจได้ง่าย แยกส่วนออกจากข้อความอื่นอย่างชัดเจน เพื่อให้เจ้าของข้อมูลอ่านและทำความเข้าใจก่อนที่จะยินยอมให้เก็บข้อมูล กรณีเจ้าของข้อมูลเป็นผู้เยาว์อายุไม่ถึง 20 ปี หรือคนไร้ความสามารถ และคนเสมือนไร้ความสามารถ การขอความยินยอมต้องได้จากผู้ปกครอง

 

4)  ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น 

ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง

 

5) ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคล 

นำข้อมูลมาใช้เพียงเท่าที่จำเป็น และต้องมีการอธิบาย แจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ 

 

6) ต้องแจ้งรายละเอียดและแจ้งสิทธิของเจ้าของข้อมูล

โดยตาม พรบ.เจ้าของข้อมูลส่วนบุคคล มีสิทธิดังต่อไปนี้ 

•  สิทธิในการคัดค้านหรือเพิกถอนความยินยอม                  

•  สิทธิเข้าถึงข้อมูล แก้ไข / ลบ                         

•  สิทธิขอให้ระงับการใช้ หรือเปิดเผย                    

•  สิทธิขอให้เปิดเผยถึงการได้มา                       

•  สิทธิขอให้ถ่ายโอนข้อมูล

และต้องมีการจัดเตรียมช่องทางหรือรูปแบบในการแจ้งความประสงค์ เช่น แจ้งผ่านแบบฟอร์มคำร้องขอเป็นลายลักษณ์อักษร โดยองค์กรจะต้องกระทำการตามคำขอนั้นภายใน 30 วัน

 

7)  ต้องมีบันทึกกิจกรรมประมวลผล

ซึ่งไม่ได้ต้องทำอะไรซับซ้อน ไม่ได้ต้องซื้อซอฟต์แวร์ราคาแพง แค่ต้องมีการลงบันทึกรายละเอียดไว้ว่าเก็บข้อมูลอะไร นำข้อมูลไปทำอะไร เก็บมาเมื่อไร แล้วเก็บข้อมูลนั้นนานเท่าไร ใครเป็นผู้ดูแลรับผิดชอบ    

 

8)  ต้องรับประกันความมั่นคงปลอดภัยของข้อมูล 

โดยต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันมิให้ข้อมูลสูญหาย ถูกทำลาย ใช้ ดัดแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต 

 

9)  ธุรกิจใหญ่ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" 

ผู้ประกอบการที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่กิจกรรมหลักเป็นการเก็บข้อมูลการใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หรือ Data Protection Officer : DPO เป็นขององค์กรเอง อาจเป็นพนักงานขององค์กร หรือเป็นผู้รับจ้าง Outsource ให้บริการตามสัญญาก็ได้โดยมีหน้าที่ให้คำแนะนำตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวมการใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ประสานงานและให้ความร่วมมือกับสำนักงานฯ 

รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย

 

10) ถ้าเกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

 

สรุปบทลงโทษตามกฎหมายจาก PDPA

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

•  การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

•  การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความ ยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

•  การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

•  ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

•  มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่

 

        จากที่กล่าวมาจะเห็นได้ว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ฉบับนี้มุ่งเน้นให้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง ผู้ประกอบการในภาคธุรกิจต่าง ๆ จึงต้องให้ความสำคัญและมีการปรับตัวให้พร้อมรับกับสิ่งนี้ ควรมีการวางระบบการเก็บข้อมูลและการใช้ข้อมูลเสียใหม่ เพื่อให้ไม่ถูกลงโทษตามกฎหมาย และคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างมีมาตรฐาน และในครั้งนี้ผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและได้ประโยชน์จากการอ่านไม่มากก็น้อย ขอบคุณค่ะ

 

ผู้เขียน : ชฎาพา สุขสมัย  บริษัท สอบบัญชีธรรมนิติ จำกัด

แหล่งข้อมูลอ้างอิง : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

เข้าถึง 20 มิถุนายน 2562

 

Transparency Report

Read our 2024 Transparency Report

transparency