Thailand’s Personal Data Protection Act หรือกฎหมาย PDPA หลังจากที่ได้เริ่มมีผลบังคับใช้ไปแล้วในวันที่ 1 มิถุนายน 2565 ที่ผ่านมา วันนี้ทีมงาน Trust-Vision ได้ทำการสรุปสาระสำคัญของ พ.ร.บ.ฯ ฉบับนี้ว่ามีอะไรบ้าง? เราต้องเตรียมตัวอย่างไรบ้าง? ให้ถูกต้องตามกฎหมาย และซึ่งหากฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนบาทจนถึง 5 ล้านบาท หรือแล้วแต่ประเภทของข้อมูลความผิด PDPA โทษ
PDPAสำหรับสาเหตุสำคัญในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคลเป็นจำนวนไม่น้อยประกอบกับความก้าวหน้าของเทคโนโลยี ทำให้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม และเห็นสมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก กฏระเบียบ หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้
สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
1. ขอบเขตการบังคับใช้ บังคับใช้แก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล ที่เกิดขึ้นในราชอาณาจักร ครอบคลุมถึงกรณีผู้ควบคุมและผู้ประมวลผลอยู่นอกอาณาจักร หากมีกิจกรรมดังนี้เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนซึ่งอยู่ประเทศไม่ว่าจะมีการชำระเงินหรือไม่การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นภายในประเทศ
2. ระยะเวลาบังคับใช้ พ้น 1 ปี นับแต่วันประกาศในราชกิจจาฯ ( ยกเว้นหมวดคณะกรรมการ และ สนักงานมีผลทันที )
3. คำนิยาม
“ข้อมูลส่วนบุคคล” (Personal Data) ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้ไม่สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลผู้ถึงแก่กรรม
“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือใน นามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง
4. ความยินยอม ต้องขอความยินยอม โดยต้องมีความชัดเจน ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด การขอความยินยอม ต้องทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์เว้นแต่โดยสภาพไม่อาจขอความยินยอม การขอความยินยอม เจ้าของข้อมูลถอนความยินยอม เมื่อใดก็ได้ ( เว้นแต่มีข้อจำกัด ตามที่กฎหมายกำหนด )
5. การเก็บข้อมูล ม.22-23 ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล
6. บทเฉพาะกาล ให้ข้อมูลเดิมที่เก็บอยู่ก่อนวันที่กฎหมายประกาศบังคับ ยังใช้หรือเปิดเผยได้ตามวัตถุประสงค์เดิมที่ได้แจ้งไว้ต่อเจ้าของข้อมูลและต้องกำหนดวิธีการยกเลิกความยินยอมให้สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
7. แจ้งให้ทราบ ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ของการรวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล
นโยบายคุ้มครองข้อมูลส่วนบุคคลของ พนักงาน
บริษัท มีสถานะเป็น ผู้ควบคุมข้อมูล มีสิทธิเก็บรวบรวม ใช้ เปิดเผย เท่าที่จำเป็น
- ภายใต้วัตถุประสงค์ที่ชัดเจน
- เก็บจากเจ้าของข้อมูลโดยตรง
- ต้องได้รับความยินยอม
- แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
- หากเปลี่ยนวัตถุประสงค์ก็ต้องแจ้ง และให้ความยินยอมอีกครั้ง
- ระยะเวลาในการเก็บรวบรวม หรือระยะเวลาที่คาดหมาย
- ประเภทของข้อมูลส่วนบุคคล
- หน่วยงานอื่นซึ่งต้องเปิดเผยข้อมูลฯ ได้
ผู้ควบคุมข้อมูล มีสถานะเป็น ผู้ประมวลผลข้อมูล และมีหน้าที่ในการทำรายการข้อมูลฯ (Inventory) รวมถึงการ Update ข้อมูลฯ โดยใช้วิธี
- จัดให้มีมาตราการรักษาความมั่นคงปลอดภัยเพื่อป้องกันข้อมูลฯ ที่เหมาะสม
- ดำเนินการแจ้งเหตุละเมิดต่อ สนง.คกก.DP ภายใน 72 ชม. และแจ้งเจ้าของข้อมูลฯ และแนวทางการเยียวยา (เงื่อนไขและวิธีการเป็นไปตามที่ คกก.DP กำหนด)
- กรณีมีการโอนข้อมูลส่วนบุคคลไปต่างประเทศ ให้เป็นไปตามที่ คกก.DP ประกาศกำหนด
- แต่งตั้ง DPO ( Data protection officer ) หรือคณะกรรมการ DP ที่ตั้งขึ้นภายในบริษัทฯ
สิทธิเจ้าของข้อมูลส่วนบุคคลฯ (พนักงานของบริษัท)
- ขอเข้าถึง แก้ไข และ ขอสำเนาข้อมูลส่วนบุคคล
- ขอระงับการใช้งาน
- ขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
- ขอให้เปิดเผยถึงการได้มากรณีไม่ได้ให้ความยินยอม
- ขอให้ส่ง หรือโอนข้อมูลส่วนบุุคคลไปยังผู้ควบคุมข้อมูลอื่น
- ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บริษัท มีสิทธิปฏิเสธคำร้องของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อมีเหตุอันจำเป็นตามกฎหมาย หรือคำสั่งศาลที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพต่อบุคคลอื่น โดยบันทึกการปฏิเสธคำร้องพร้อมเหตุผล
แนวทางการปฏิบัติสำหรับพนักงาน
- ดำเนินการตามนโยบายในกรณีได้รับมอบหมายให้ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผย หรือดำเนินการใดๆกับข้อมูลส่วนบุคคล
- ให้ใช้แบบของหนังสือสัญญา หรือแบบฟอร์มที่บริษัทฯ จัดไว้ให้ในการดำเนินการต่างๆ
- ให้แจ้ง หรือรายงาน กรณีที่มีข้อมูลรั่วไหล (Data Breach) ตามลำดับไปยัง DPO หรือ คกก.DP ที่ตั้งขึ้นภายในบริษัท
Personal Data Protection Act. มีประโยชน์อย่างไรบ้าง...?
สำหรับประชาชนทั่วไป
- ข้อมูลส่วนบุคคลถูกเก็บอย่างปลอดภัย
- ลดความเสียหายจากการถูกระเมิด
- มีสิทธิทราบ วัตถุประสงค์การจัดเก็บ ใช้/เผยแพร่ข้อมูล
- มีสิทธิอนุญาต/ ไม่อนุญาต/ ถอนความยินยอมให้จัดเก็บข้อมูล
- ขอให้ลบ/ ระงับข้อมูลส่วนบุคคลได้
- ร้องเรียน/ ขอสินไหมทดแทนได้หากข้อมูลถูกใช้งานผิดจากวัตถุประสงค์ที่แจ้ง
ภาคธุรกิจ
- เพิ่มความเชื่อมั่นในมาตราฐานจัดเก็บ
- เพิ่มขีดความสามารถและโอกาสในการทำธุรกิจ
- มีกระบวนการทำงาน กลไก ที่มีประสิทธิภาพ
- ส่งเสริมภาพลักษณ์องค์กร
ภาครัฐ
- มีมาตราฐานด้านกฎหมายที่ทัดเทียมกับต่างประเทศ
- มีมาตราฐานการกำกับดูแล
- มีธรรมาภิบาลด้านการคุ้มครองข้อมูล
- สร้างสังคมเข้มแข็ง
- ส่งเสริมภาพลักษณ์ของประเทศ
” ดังนั้นแล้ว การร่างกฎหมายฉบับนี้เพื่อเป็นการใช้สำหรับคุ้มครองการเข้าถึงข้อมูลส่วนตัวของคนอื่นนั้น เพราะเนื่องจากเราไม่สามารถรับรู้ได้ว่าใครนำข้อมูลของเรามาใช้ทำอะไรบ้างและนำไปใช้เพื่ออะไร ดังนั้นเพื่อเป็นการปกป้องสิทธิ์ของทั้งคนทั่วไป ทั้งภาครัฐ และภาคภาคเอกชนรวมทั้งภาคธุรกิจ จึงจำเป็นอย่างยิ่งที่ต้องออกกฎหมายนี้มาใช้ เพื่อผู้คนรู้ถึงสิทธิ์ของตัวเองว่าตัวเองสามารถใช้สิทธิ์ตรงส่วนไหนได้บ้าง และกล่าวว่าแต่ละคนทำอะไรได้มากน้อยแค่ไหน สิ่งสำคัญอย่างยิ่งกฎหมายเป็นสิ่งที่ทุกคนต้องปฏิบัติตาม ดังนั้นทุกคนควรศึกษาตัวกฎหมาย Thailand’s Personal Data Protection Act หรือ PDPA นี้ไว้เพื่อไม่ให้ทำผิดกฎหมายนั้นเองค่ะ “
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
