Skip to content

Table of Contents

          Thailand’s Personal Data Protection Act หรือกฎหมาย PDPA หลังจากที่ได้เริ่มมีผลบังคับใช้ไปแล้วในวันที่ 1 มิถุนายน 2565 ที่ผ่านมา วันนี้ทีมงาน Trust-Vision ได้ทำการสรุปสาระสำคัญของ พ.ร.บ.ฯ ฉบับนี้ว่ามีอะไรบ้าง? เราต้องเตรียมตัวอย่างไรบ้าง? ให้ถูกต้องตามกฎหมาย และซึ่งหากฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนบาทจนถึง 5 ล้านบาท หรือแล้วแต่ประเภทของข้อมูลความผิด PDPA โทษ  

          PDPAสำหรับสาเหตุสำคัญในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคลเป็นจำนวนไม่น้อยประกอบกับความก้าวหน้าของเทคโนโลยี ทำให้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม และเห็นสมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก กฏระเบียบ หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้ 

สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

1. ขอบเขตการบังคับใช้   บังคับใช้แก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล ที่เกิดขึ้นในราชอาณาจักร ครอบคลุมถึงกรณีผู้ควบคุมและผู้ประมวลผลอยู่นอกอาณาจักร หากมีกิจกรรมดังนี้เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนซึ่งอยู่ประเทศไม่ว่าจะมีการชำระเงินหรือไม่การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นภายในประเทศ

2. ระยะเวลาบังคับใช้   พ้น 1 ปี นับแต่วันประกาศในราชกิจจาฯ ( ยกเว้นหมวดคณะกรรมการ และ สนักงานมีผลทันที )

3. คำนิยาม

“ข้อมูลส่วนบุคคล” (Personal Data)   ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้ไม่สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลผู้ถึงแก่กรรม

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)   นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor)   นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือใน         นามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง

4. ความยินยอม    ต้องขอความยินยอม โดยต้องมีความชัดเจน ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด การขอความยินยอม ต้องทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์เว้นแต่โดยสภาพไม่อาจขอความยินยอม การขอความยินยอม เจ้าของข้อมูลถอนความยินยอม เมื่อใดก็ได้ ( เว้นแต่มีข้อจำกัด ตามที่กฎหมายกำหนด )

5. การเก็บข้อมูล ม.22-23    ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล

6. บทเฉพาะกาล    ให้ข้อมูลเดิมที่เก็บอยู่ก่อนวันที่กฎหมายประกาศบังคับ ยังใช้หรือเปิดเผยได้ตามวัตถุประสงค์เดิมที่ได้แจ้งไว้ต่อเจ้าของข้อมูลและต้องกำหนดวิธีการยกเลิกความยินยอมให้สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

7. แจ้งให้ทราบ    ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ของการรวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคลของ พนักงาน

บริษัท มีสถานะเป็น ผู้ควบคุมข้อมูล มีสิทธิเก็บรวบรวม ใช้ เปิดเผย เท่าที่จำเป็น

  • ภายใต้วัตถุประสงค์ที่ชัดเจน
  • เก็บจากเจ้าของข้อมูลโดยตรง
  • ต้องได้รับความยินยอม
  • แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
  • หากเปลี่ยนวัตถุประสงค์ก็ต้องแจ้ง และให้ความยินยอมอีกครั้ง
  • ระยะเวลาในการเก็บรวบรวม หรือระยะเวลาที่คาดหมาย
  • ประเภทของข้อมูลส่วนบุคคล
  • หน่วยงานอื่นซึ่งต้องเปิดเผยข้อมูลฯ ได้

ผู้ควบคุมข้อมูล มีสถานะเป็น ผู้ประมวลผลข้อมูล และมีหน้าที่ในการทำรายการข้อมูลฯ (Inventory) รวมถึงการ Update ข้อมูลฯ โดยใช้วิธี

  • จัดให้มีมาตราการรักษาความมั่นคงปลอดภัยเพื่อป้องกันข้อมูลฯ ที่เหมาะสม
  • ดำเนินการแจ้งเหตุละเมิดต่อ สนง.คกก.DP ภายใน 72 ชม. และแจ้งเจ้าของข้อมูลฯ และแนวทางการเยียวยา (เงื่อนไขและวิธีการเป็นไปตามที่ คกก.DP กำหนด)
  • กรณีมีการโอนข้อมูลส่วนบุคคลไปต่างประเทศ ให้เป็นไปตามที่ คกก.DP ประกาศกำหนด
  • แต่งตั้ง DPO ( Data protection officer ) หรือคณะกรรมการ DP ที่ตั้งขึ้นภายในบริษัทฯ

สิทธิเจ้าของข้อมูลส่วนบุคคลฯ (พนักงานของบริษัท)

  • ขอเข้าถึง แก้ไข และ ขอสำเนาข้อมูลส่วนบุคคล
  • ขอระงับการใช้งาน
  • ขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
  • ขอให้เปิดเผยถึงการได้มากรณีไม่ได้ให้ความยินยอม
  • ขอให้ส่ง หรือโอนข้อมูลส่วนบุุคคลไปยังผู้ควบคุมข้อมูลอื่น
  • ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัท มีสิทธิปฏิเสธคำร้องของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อมีเหตุอันจำเป็นตามกฎหมาย หรือคำสั่งศาลที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพต่อบุคคลอื่น โดยบันทึกการปฏิเสธคำร้องพร้อมเหตุผล

แนวทางการปฏิบัติสำหรับพนักงาน

  • ดำเนินการตามนโยบายในกรณีได้รับมอบหมายให้ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผย หรือดำเนินการใดๆกับข้อมูลส่วนบุคคล
  • ให้ใช้แบบของหนังสือสัญญา หรือแบบฟอร์มที่บริษัทฯ จัดไว้ให้ในการดำเนินการต่างๆ
  • ให้แจ้ง หรือรายงาน กรณีที่มีข้อมูลรั่วไหล (Data Breach) ตามลำดับไปยัง DPO หรือ คกก.DP ที่ตั้งขึ้นภายในบริษัท

Personal Data Protection Act. มีประโยชน์อย่างไรบ้าง...?

สำหรับประชาชนทั่วไป

  • ข้อมูลส่วนบุคคลถูกเก็บอย่างปลอดภัย
  • ลดความเสียหายจากการถูกระเมิด
  • มีสิทธิทราบ วัตถุประสงค์การจัดเก็บ ใช้/เผยแพร่ข้อมูล
  • มีสิทธิอนุญาต/ ไม่อนุญาต/ ถอนความยินยอมให้จัดเก็บข้อมูล
  • ขอให้ลบ/ ระงับข้อมูลส่วนบุคคลได้
  • ร้องเรียน/ ขอสินไหมทดแทนได้หากข้อมูลถูกใช้งานผิดจากวัตถุประสงค์ที่แจ้ง

ภาคธุรกิจ

  • เพิ่มความเชื่อมั่นในมาตราฐานจัดเก็บ
  • เพิ่มขีดความสามารถและโอกาสในการทำธุรกิจ
  • มีกระบวนการทำงาน กลไก ที่มีประสิทธิภาพ
  • ส่งเสริมภาพลักษณ์องค์กร

ภาครัฐ

  • มีมาตราฐานด้านกฎหมายที่ทัดเทียมกับต่างประเทศ
  • มีมาตราฐานการกำกับดูแล
  • มีธรรมาภิบาลด้านการคุ้มครองข้อมูล
  • สร้างสังคมเข้มแข็ง
  • ส่งเสริมภาพลักษณ์ของประเทศ

          ” ดังนั้นแล้ว การร่างกฎหมายฉบับนี้เพื่อเป็นการใช้สำหรับคุ้มครองการเข้าถึงข้อมูลส่วนตัวของคนอื่นนั้น เพราะเนื่องจากเราไม่สามารถรับรู้ได้ว่าใครนำข้อมูลของเรามาใช้ทำอะไรบ้างและนำไปใช้เพื่ออะไร ดังนั้นเพื่อเป็นการปกป้องสิทธิ์ของทั้งคนทั่วไป ทั้งภาครัฐ และภาคภาคเอกชนรวมทั้งภาคธุรกิจ จึงจำเป็นอย่างยิ่งที่ต้องออกกฎหมายนี้มาใช้ เพื่อผู้คนรู้ถึงสิทธิ์ของตัวเองว่าตัวเองสามารถใช้สิทธิ์ตรงส่วนไหนได้บ้าง และกล่าวว่าแต่ละคนทำอะไรได้มากน้อยแค่ไหน สิ่งสำคัญอย่างยิ่งกฎหมายเป็นสิ่งที่ทุกคนต้องปฏิบัติตาม ดังนั้นทุกคนควรศึกษาตัวกฎหมาย Thailand’s Personal Data Protection Act หรือ PDPA นี้ไว้เพื่อไม่ให้ทำผิดกฎหมายนั้นเองค่ะ “

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn