Skip to content

Table of Contents

Update PDPA กฎหมายลูกของกฎหมาย PDPA เมื่อ วันที่ 21 มิถุนายน 2565 ได้มีการประกาศผ่านในเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยเรื่องของการเผยแพร่ออกระเบียบประกาศกฎหมายลูกเพิ่มเติม ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA จำนวนทั้งหมด  4 ฉบับ ซึ่งประกอบด้วย

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

         รายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0024.PDF

  1. หลักเกณฑ์และวิธีการในการจัดทำและการเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

         ศึกษารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0026.PDF

  1. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

        อ่านรายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF

  1. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

         เนื้อหารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0032.PDF

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

     รูปแบบกิจการที่ได้รับการยกเว้นในการบันทึกประมวลผลข้อมูลส่วนบุคคล หรือการบันทึกเอกสาร Record of Processing Activity ( ROP )  ซึ่งจะประกอบไปด้วยประเภท

  • ธุรกิจที่มีขนาดย่อมหรือประเภทธุรกิจขนาดกลาง
  • กิจการชุมชนหรือเครือข่ายกิจการชุมชน
  • กิจการรูปแบบเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม สหกรณ์ ชุมนุมสหกรณ์
  • กลุ่มเกษตรกร มูลนิธิ สมาคม องค์กรศาสนา รวมทั้งองค์กรที่ไม่แสวงหากำไร
  • กิจการในครัวเรือน
  • กิจการอื่น ๆ ในรูปแบบลักษณะเดียวกัน

     และที่สำคัญเลยนั้นรูปแบบธุรกิจจะต้องไม่เป็นผู้ให้บริการที่ต้องมีการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือกิจการที่มีเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในการเปิดเผยข้อมูล ตามมาตรา 26 นั้นเอง

     2. หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

     โดยเนื้อหามีการะบุรายละเอียดในตัวกฎหมาย ว่าด้วยชื่อและข้อมูลเกี่ยวกับผู้มีส่วนในการประมวลผลข้อมูล ไม่ว่าจะเป็น

  • ผู้ควบคุมข้อมูลส่วนบุคคล
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน

      รวมถึงรูปแบบลักษณะของการเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคล ที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้มีการดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล หรือในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุคคลที่มีหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำรูปแบบในการเก็บรักษาการบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ROP ตามวรรคหนึ่งเป็นลายลักษณ์อักษรที่มีความชัดเจน โดยจะจัดทำเป็นหนังสือหรือในรูปแบบของอิเล็กทรอนิกส์ก็ได้ แต่จะต้องสามารถเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ที่มีส่วนได้รับมอบหมายในการดูแลดังกล่าวตรวจสอบได้อย่างรวดเร็วเมื่อมีการถูกร้องขอจากเจ้าของข้อมูล

     3. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

     ซึ่งมีเนื้อหารายละเอียดสำคัญ ๆ ระบุไว้ว่า

  • “ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
  • ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะต้องมีมาตราการในการครอบคลุมการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล
  • กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคล ดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม จะต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ทั้งนี้ เท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่ง

         – ความลับ (Confidentiality)

        – ความถูกต้องครบถ้วน (Integrity)

        – สภาพพร้อมใช้งาน (Availability)

        และจะต้องสร้างเสริมความตระหนักรู้ในด้านการให้ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย หรือ (Privacy and Security Awareness) รวมทั้งการแจ้งนโยบาย แนวปฏิบัติต่าง ๆ  และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเหมาะสม ให้บุคลากรพนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งานบริการขององค์กร

        4. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญพ.ศ. 2565

         ในเนื้อหารายละเอียดของกฎหมายลูก PDPA ในข้อสุดท้ายได้มีการระบุไว้ว่า การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง หมายความว่า การดำเนินการที่เกี่ยวกับการพิจารณาสั่งลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ในเนื้อหาได้มีการระบุไว้ว่า อาทิเช่น

  • ผู้ถูกลงโทษปรับทางปกครอง หมายถึง เจ้าหน้าที่ที่มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
  • ค่าปรับ หมายถึง เงินค่าปรับทางปกครองที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดไว้ในกฎหมาย
  • ยึด หมายถึง การกระทำใด ๆ ต่อทรัพย์สินของผู้ถูกลงโทษปรับทางปกครอง เพื่อให้ทรัพย์สินนั้นได้เข้ามาอยู่ในความควบคุมหรือครอบครองของเจ้าหน้าที่บังคับโทษปรับทางปกครอง
  • อายัด หมายถึง การสั่งมิให้ผู้ถูกลงโทษปรับทางปกครองหรือบุคคลอื่นดำเนินการจำหน่ายจ่ายโอนหรือกระทำนิติกรรมใด ๆ เกี่ยวกับทรัพย์สิน
  • การขายทอดตลาด หมายถึง การนำทรัพย์สินของผู้ถูกลงโทษปรับทางปกครองออกขายโดยวิธีให้สู้ราคากันโดยเปิดเผย
  • เจ้าหน้าที่บังคับโทษปรับทางปกครอง หมายถึง บุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือคณะกรรมการผู้เชี่ยวชาญมอบหมายให้ดำเนินการบังคับตามคำสั่งลงโทษปรับทางปกครองหรือคำสั่งอื่นใดที่เกี่ยวข้อง
  • คณะกรรมการผู้เชี่ยวชาญ หมายถึง คณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • พนักงานเจ้าหน้าที่ หมายถึง ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

      แต่สำหรับการพิจารณาออกคำสั่งลงโทษปรับทางปกครองหรือใช้มาตรการบังคับทางปกครองนั้น หรือการดำเนินการอื่นใดที่เกี่ยวข้องกันตามประกาศนี้เพื่อลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลอื่นที่เกี่ยวข้อง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงปัจจัยสำคัย ดังต่อไปนี้

  1. กรณีที่เป็นการกระทำผิดโดยเจตนาหรือจงใจหรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
  2. ความร้ายแรงของพฤติกรรมที่กระทำผิด
  3. ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  4. ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหายหรือความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่เพียงใด
  5. ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง
  6. มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น
  7. ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน (ถ้ามี)
  8. ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
  9. ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  10. การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  11. การเยียวยาและบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
  12. การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
  13. ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง

สรุป   การออกประกาศกฎหมายฉบับนี้ได้มีการบังคับใช้เป็นที่เรียบร้อยแล้วนับแต่วันถัดจากวันที่กฎหมายได้มีการประกาศแจ้ง ดังนั้นเจ้าของคนที่ทำธุรกิจก็จะต้องตระหนักถึงความสำคัญในกฎหมายลูกเพิ่มเติมของ PDPA ในการจัดทำเพื่อให้สอดคล้องกับตัวกฎหมายเพื่อให้ครอบคลุมตามที่มีการกำหนดไว้ วันนี้ทางทีมงาน Trust – Vision ได้นำข้อมูลการ Update PDPA การออกกฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาแชร์สรุปเนื้อหาเบื้องต้นเพื่อให้ผู้อ่านสามารถทำความเข้าใจในรายละเอียดได้ง่ายมากขึ้น ตามบทความที่กล่าวมาข้างต้น ขอบคุณค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง

สถานีปรับจูน

Trust มุมมองความเชื่อใจในมุมมองผู้บริหาร

เรามีการพูดคุยเกี่ยวกับเรื่อง Trust มาหลาย EP แล้ว ครั้งนี้เราจะมาพูดคุยในเรื่องของ Trust เช่นเคยแต่ครั้งนี้จะแตกต่างออกไปเพราะเป็น Trust ในมุมมองของผู้บริหาร

Read More »

‌HR Competency:
Get ready for the future

‌powered by Trust Vision

สรรหาคนที่ใช่ให้กับองค์กร โดยการ
ประเมินสมรรถนะที่เหมาะสมด้วย
Trust Vision Competency