178 อาคารธรรมนิติ ชั้น 6-7 ซอยเพิ่มทรัพย์ (ประชาชื่น20) ถนนประชาชื่น แขวงบางซื่อ เขตบางซื่อ กรุงเทพมหานคร 10800

ข่าวสารวิชาชีพ

ทำไม? ธุรกิจต้องปรับตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

        พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในภาคธุรกิจหลายๆท่านคงจะทราบกันดีแล้วว่า มีกฎหมาย พรบ.นี้เกิดขึ้น ที่มีชื่อย่อว่า PDPA มาจาก Personal Data Protection Act และกฎหมายฉบับนี้มีผลบังคับใช้มุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าองค์กรตั้งอยู่ต่างประเทศ โดยจากกำหนดการเดิมที่กฎหมายนี้จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 ที่ได้ผ่านมา แม้ทาง ครม.ได้เห็นชอบการเลื่อนบังคับใช้บางมาตราใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 ปี เป็นวันที่ 27 พ.ค.2564 จากเดิมจะมีผลบังคับใช้ในวันที่ 27 พ.ค.63 ที่ผ่านมา จากนี้ผู้ประกอบการในภาคธุรกิจต่างๆ ยังมีเวลาเตรียมพร้อมก่อนกฎหมายบางมาตราจะมีผลบังคับใช้ในอีก 1 ปีข้างหน้า

และในยุคสมัยนี้ที่ผู้คนมีการแลกเปลี่ยนข้อมูลกันตลอดเวลา หรือยุคดิจิทัล รวมถึงล่าสุดมีผลกระทบจากวิกฤติการแพร่ระบาดของไวรัสโควิด 19 จึงต้องมีการรักษาระยะห่างทางสังคม (Social Distancing) เป็นเหตุให้ต้องมีการใช้บริการเทคโนโลยีมากขึ้น การจัดการข้อมูลเหล่านั้นให้มีมาตรฐานนับเป็นเรื่องสำคัญมากกว่าเดิม เพื่อป้องกันการล่วงละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล ปกป้องความเสียหายและความเดือดร้อนรำคาญ แก่เจ้าของข้อมูลส่วนบุคคล ดังนั้นมาทำความเข้าใจเพื่อปรับตัวให้ทันกับ พรบ.ฉบับนี้กันค่ะ

 

ข้อมูลส่วนบุคคล” คืออะไร?

ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์โทรฯ ที่อยู่ และข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ และข้อมูลชีวภาพ (รูปถ่าย หรือลายนิ้วมือ) ถ้ากล่าวคร่าวๆ ก็คือข้อมูลที่จะนำไปแยกแยะได้ว่าบุคคลนั้นคือใคร เอาไปใช้ติดตามบุคคลนั้นได้ และสามารถเชื่อมโยงไปยังข้อมูลอื่นๆ ได้ แต่กฎหมายนี้ไม่คุ้มครองข้อมูลของผู้ถึงแก่กรรม(เสียชีวิต) 

 

สิ่งที่ภาคธุรกิจต้องมี! ก่อนที่พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลอย่างเป็นทางการ

สำหรับผู้ประกอบการที่เคยเก็บข้อมูลของลูกจ้าง ผู้สมัครงาน ลูกค้า และผู้มาติดต่อผ่านทางเว็บไซต์หรือเบอร์โทรศัพท์ ที่ได้เคยนำข้อมูลมาเพื่อวิเคราะห์และพัฒนาการขายหรือการให้บริการจนเป็นส่วนหนึ่งของการทำธุรกิจ ผู้ประกอบการจะต้องมีการปรับตัวให้ทันการบังคับใช้กฎหมายฉบับนี้ ในฐานะผู้ควบคุมข้อมูล โดยยังสามารถประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินธุรกิจของตนได้เช่นเดิม แต่ต้องใช้ด้วยความระมัดระวัง และมีกรอบที่ต้องปฏิบัติตามที่ชัดเจนมากขึ้น ดังนี้

 

1)  ไม่ว่าจะธุรกิจขนาดเล็กหรือใหญ่จะต้องทำ คือนโยบายความเป็นส่วนตัว  (Privacy Policy) 

เป็นการแจ้งวิธีที่จัดการกับข้อมูลส่วนบุคคล ได้แก่

• การเก็บรวบรวมข้อมูลส่วนบุคคล 

• ข้อมูลที่ธุรกิจเก็บรวบรวม 

• ระยะเวลาการเก็บข้อมูลส่วนบุคคล 

• วัตถุประสงค์การเก็บข้อมูลส่วนบุคคล 

• การเปิดเผยข้อมูลส่วนบุคคล 

• การรักษาความมั่นคงปลอดภัย  

• สิทธิของเจ้าของข้อมูล 

• รวมถึงช่องทางการติดต่อ

 

2)  การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ.นี้กำหนดรองรับ 

เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย ปฏิบัติหน้าที่ตามสัญญา สิทธิอันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอม ต้องได้รับความยินยอมก่อน

 

3)  การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้ 

ต้องระบุข้อความเข้าใจได้ง่าย แยกส่วนออกจากข้อความอื่นอย่างชัดเจน เพื่อให้เจ้าของข้อมูลอ่านและทำความเข้าใจก่อนที่จะยินยอมให้เก็บข้อมูล กรณีเจ้าของข้อมูลเป็นผู้เยาว์อายุไม่ถึง 20 ปี หรือคนไร้ความสามารถ และคนเสมือนไร้ความสามารถ การขอความยินยอมต้องได้จากผู้ปกครอง

 

4)  ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น 

ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง

 

5) ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคล 

นำข้อมูลมาใช้เพียงเท่าที่จำเป็น และต้องมีการอธิบาย แจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ 

 

6) ต้องแจ้งรายละเอียดและแจ้งสิทธิของเจ้าของข้อมูล

โดยตาม พรบ.เจ้าของข้อมูลส่วนบุคคล มีสิทธิดังต่อไปนี้ 

•  สิทธิในการคัดค้านหรือเพิกถอนความยินยอม                  

•  สิทธิเข้าถึงข้อมูล แก้ไข / ลบ                         

•  สิทธิขอให้ระงับการใช้ หรือเปิดเผย                    

•  สิทธิขอให้เปิดเผยถึงการได้มา                       

•  สิทธิขอให้ถ่ายโอนข้อมูล

และต้องมีการจัดเตรียมช่องทางหรือรูปแบบในการแจ้งความประสงค์ เช่น แจ้งผ่านแบบฟอร์มคำร้องขอเป็นลายลักษณ์อักษร โดยองค์กรจะต้องกระทำการตามคำขอนั้นภายใน 30 วัน

 

7)  ต้องมีบันทึกกิจกรรมประมวลผล

ซึ่งไม่ได้ต้องทำอะไรซับซ้อน ไม่ได้ต้องซื้อซอฟต์แวร์ราคาแพง แค่ต้องมีการลงบันทึกรายละเอียดไว้ว่าเก็บข้อมูลอะไร นำข้อมูลไปทำอะไร เก็บมาเมื่อไร แล้วเก็บข้อมูลนั้นนานเท่าไร ใครเป็นผู้ดูแลรับผิดชอบ    

 

8)  ต้องรับประกันความมั่นคงปลอดภัยของข้อมูล 

โดยต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันมิให้ข้อมูลสูญหาย ถูกทำลาย ใช้ ดัดแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต 

 

9)  ธุรกิจใหญ่ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" 

ผู้ประกอบการที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่กิจกรรมหลักเป็นการเก็บข้อมูลการใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" หรือ Data Protection Officer : DPO เป็นขององค์กรเอง อาจเป็นพนักงานขององค์กร หรือเป็นผู้รับจ้าง Outsource ให้บริการตามสัญญาก็ได้โดยมีหน้าที่ให้คำแนะนำตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวมการใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ประสานงานและให้ความร่วมมือกับสำนักงานฯ 

รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย

 

10) ถ้าเกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

 

สรุปบทลงโทษตามกฎหมายจาก PDPA

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

•  การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

•  การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความ ยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

•  การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

•  การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

•  ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

•  มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่

 

        จากที่กล่าวมาจะเห็นได้ว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ฉบับนี้มุ่งเน้นให้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง ผู้ประกอบการในภาคธุรกิจต่าง ๆ จึงต้องให้ความสำคัญและมีการปรับตัวให้พร้อมรับกับสิ่งนี้ ควรมีการวางระบบการเก็บข้อมูลและการใช้ข้อมูลเสียใหม่ เพื่อให้ไม่ถูกลงโทษตามกฎหมาย และคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างมีมาตรฐาน และในครั้งนี้ผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและได้ประโยชน์จากการอ่านไม่มากก็น้อย ขอบคุณค่ะ

 

ผู้เขียน : ชฎาพา สุขสมัย  บริษัท สอบบัญชีธรรมนิติ จำกัด

แหล่งข้อมูลอ้างอิง : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

เข้าถึง 20 มิถุนายน 2562

 

เกี่ยวกับเรา

บริษัทรับตรวจสอบบัญชี ให้บริการด้วยนักวิชาอาชีพที่มีความเชี่ยวชาญในการตรวจสอบและการบริการให้ความเชื่อมั่นอื่น

Privacy Policy