Skip to content

Table of Contents

PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

          PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถือเป็นกฎหมายใหม่ที่เมื่อเร็ว ๆ นี้ที่ผ่านมามีการประกาศเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตัวนี้มาแล้วหลายครั้งโดยเป็นการประกาศจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งคาดว่าจะมีผลบังคับใช้อย่างเป็นทางการในปีนี้ในวันที่ 1 มิถุนายน พ.ศ. 2565 และที่ผ่านมานั้นในหลายธุรกิจเริ่มมีการตื่นตัวในเรื่องข้อบังคับตามของกฏหมายอย่างเคร่งครัด เพราะเนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองในหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลส่วนบุคคลของบุคคลอื่น

          ความปลอดภัยด้านข้อมูลเป็นสิ่งที่ทุกองค์กรควรให้ความสำคัญ เนื่องจากเป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคล นั่นคือออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล ที่ทางองค์กรได้รับรู้หรือครอบครอง ซึ่งคุ้มครองปกป้องข้อมูลบุคคลในทุกๆ บทบาท เช่น ลูกค้า, พนักงาน หรือใครก็ตาม ที่บริษัทจัดเก็บไว้ นั่นหมายความว่า ถ้าข้อมูลลูกจ้างหรือลูกค้า มีการถูกนำไปใช้ภายนอกอย่างผิดจุดประสงค์ และพิสูจน์ได้ว่าข้อมูลเหล่านั้นหลุดมาจาก Database ของบริษัท บุคคลที่เสียหายก็มีสิทธิ์ใช้กฏหมายฉบับนี้ในการฟ้องร้ององค์กร เรียกค่าเสียหายได้มหาศาลทีเดียวค่ะ โดยหน่วยงานหรือบุคคลที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่

ผู้มีส่วนเกี่ยวข้องกับกฏหมาย PDPA ประกอบไปด้วยบุคคลใดบ้าง?

บุคคลทั่วไปผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject)   

ได้แก่ผู้ที่มอบข้อมูลส่วนบุคคลให้แก่บริษัท ทำการจัดเก็บเพื่อนำไปใช้ในจุดประสงค์ต่างๆ เช่น ลูกค้าหรือพนักงานบริษัทเอง เป็นต้น โดยกลุ่มนี้มีหน้าที่ยอมรับ และให้ความยินยอมในการเปิดเผยข้อมูลเท่าที่เหมาะสมและจำเป็นเท่านั้น พร้อมทั้งต้องรับรู้และใช้สิทธิของตนที่มีให้เกิดประสิทธิผลมากที่สุด

ในกรณีที่เกิดการรั่วไหลของข้อมูล กลุ่ม Data Subject นี้ ก็คือผู้เสียหายนั่นเอง ซึ่งหากมีผลกระทบมากก็สามารถทำการฟ้องร้องเพื่อเรียกค่าเสียหายได้

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการโดยรวมแล้ว ผมขอสรุปหน้าที่ของ Controller หลักๆ เป็น 6 ประการคือ

  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย
  • ดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
  • จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
  • แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
  • แต่งตั้งตัวแทนภายในราชอาณาจัดร
  • จัดทำบันทึกรายการ

กลุ่ม Controller ที่เป็นบริษัทนั้น ต้องมีการแต่งตั้งเจ้าหน้าที่ที่ทำหน้าที่ดูแลรักษาความปลอดภัยของข้อมูลภายในขึ้นมา เรียกตำแหน่งนี้ว่า DPO (Data Protection Officer) คอยดูแลจัดการ และให้คำปรึกษาข้อกำหนดสำคัญต่างๆ รวมถึงประสานงานกับผู้ควบคุมกฏหมาย

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)   

ได้แก่ บุคคล, บริษัท หรือองค์กร ที่ได้รับคำสั่ง หรือถูกว่าจ้างจากกลุ่ม Controller ให้นำข้อมูลไปใช้ต่ออีกทีหนึ่ง เช่น พนักงานบริษัท ที่นำข้อมูลลูกค้าไปใช้ทำงาน หรือ บริษัทบัญชีที่ถูกจ้างให้นำข้อมูลพนักงานของบริษัทไปทำเรื่องเงินเดือน เป็นต้น กลุ่ม Processor นี้มีหน้าที่ เก็บ ใช้ และเปิดเผยข้อมูลตามขอบเขต พร้อมทั้งจัดมาตรการดูแล Security รวมถึงแจ้งเหตุละเมิดที่เกิดขึ้นให้ Controller ทราบทันที

บทลงโทษประกอบไปด้วยอะไรบ้าง?

หากองค์กรที่ฝ่าฝืนไม่ปฏิบัติตามหลักกฏหมายทั้งภาครัฐและเอกชนก็จะมีบทลงโทษแบ่งออกเป็น 3 ส่วน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย

  • ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

  • โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

ผลกระทบหากมีข้อมูลรั่วไหล หรือข้อมูลไม่มีความปลอดภัย

  • สูญเสียความน่าเชื่อถือ
  • ถูกดำเนินคดีตามกฎหมาย
  • เกิดค่าเสียโอกาส
  • เสียเปรียบในการแข่งขันทางการตลาด การค้า
  • ความเชื่อมั่น ความไว้างใจของลูกค้า

ข้อยกเว้น

ถึงแม้กฎหมายตัวนี้จะดูเคร่งครัดและจริงจัง อย่างไรก็ตาม ก็มีการกระทำบางเงื่อนไขที่ได้รับการยกเว้น ให้ไม่ผิดกฏ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลโดยหลักๆ มีทั้งหมด 6 เงื่อนไขดังนี้

  • การบันทึก ใช้งาน และเปิดเผยข้อมูลส่วนบุคคลภายในครอบครัว เพื่อกิจกรรมในครอบครัวของบุคคลนั้นๆ
  • การดำเนินการของหน่วยงานรัฐด้านการรักษาความมั่นคงและความปลอดภัยต่างๆ เช่น ตำรวจสามารถเก็บข้อมูลผู้กระทำผิดได้โดยไม่ถือว่าเป็นการละเมิดกฏพีดีพีเอ
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคลเฉพาะกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรมเพื่อประโยชน์สาธารณะ ภายใต้กฎจริยธรรมของวิชาชีพนั้นๆ
  • สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ที่เปิดเผยข้อมูลในการพิจารณาตามหน้าที่และอำนาจ แล้วแต่กรณี
  • การพิจารณาคดีหรือพิพากษาของศาล รวมถึงการดำเนินงานของเจ้าหน้าที่เพื่อกระบวนการในการพิจารณาคดี
  • การดำเนินการกับข้อมูลของบริษัทเครดิตกับสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต ไม่ถือว่าผิดกฎ

ในส่วนขององค์กรหรือการใช้งานประเภทอื่นๆ ก็มีสิทธิได้รับการยกเว้น หากพิสูจน์ได้ว่า ความผิดพลาดที่เกิดขึ้น เกิดจากเหตุสุดวิสัย, จากการกระทำโดยเจ้าของข้อมูลส่วนบุคคล (Data Subject) เอง หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ที่มีอำนาจสั่งการตามกฎหมาย

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

คลิปบรรยายเพิ่มเติมเรื่อง กฏหมาย PDPA โดยธนาคารแห่งประเทศไทย BANK OF THAILAND

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง

Communication Skill
trustvision

Communication Skill ทักษะการสื่อสารที่ผู้นำทุกคนควรมี

          Communication Skill ทักษะการสื่อสารที่ดีในปัจจุบันมีความสำคัญเป็นอย่างมากทั้งในโลกธุรกิจและในชีวิตส่วนตัวการสื่อสารที่ประสบความสำเร็จจะช่วยให้เราเข้าใจผู้คนและสถานการณ์นั้นได้ดีมากยิ่งขึ้น และยังช่วยให้เราเอาชนะในความหลากหลายของบุคคลสามารถสร้างความไว้วางใจและความเคารพ และสร้างเงื่อนไขสำหรับการแบ่งปันความคิดสร้างสรรค์และการแก้ปัญหา  

Read More »
trustvision

พัฒนาองค์กรไปพร้อมกับการพัฒนาบุคลากร

พัฒนาองค์กรไปพร้อมกับการพัฒนาบุคลากร  “พัฒนาองค์กรไปพร้อมกับการพัฒนาบุคลากร” ต้องปฏิบัติอย่างไร? การบริหารในยุคปัจจุบันได้ให้ความสำคัญกับทรัพยากรบุคคลเป็นอย่างมาก องค์กรที่มีทรัพยากรบุคคลที่มีศักยภาพย่อมเป็นสิ่งที่สร้างความได้เปรียบในการแข่งขันทางด้านธุรกิจ การพัฒนาคนในองค์กร มีความแตกต่างกันออกไปตามรูปแบบโครงสร้างในการจัดการของแต่ละที่ ไม่ว่าจะเป็นทางด้านการจัดการหรือแม้แต่การทำงานเองก็ตาม สิ่งเหล่านี้เองจึงเป็นจุดเด่นของการทำธุรกิจในปัจจุบันเพราะไม่มีมีรูปแบบการตายตัว เพราะแต่ละองค์กรจะต้องมีการพัฒนาบุคลากรของตนเองอยู่เสมอเพื่อรองรับรองงานที่มีการเปลี่ยนแปลงบางคนต้องทำงานเพิ่มมากขึ้นหรือว่าสร้างทักษะใหม่ๆในการทำงานด้านอื่นๆด้วยนี่เองคือความสำคัญอย่างมาก  

Read More »