Update PDPA กฎหมายลูกของกฎหมาย PDPA เมื่อ วันที่ 21 มิถุนายน 2565 ได้มีการประกาศผ่านในเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยเรื่องของการเผยแพร่ออกระเบียบประกาศกฎหมายลูกเพิ่มเติม ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA จำนวนทั้งหมด 4 ฉบับ ซึ่งประกอบด้วย
- การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
รายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0024.PDF
- หลักเกณฑ์และวิธีการในการจัดทำและการเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
ศึกษารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0026.PDF
- มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
อ่านรายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF
- หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
เนื้อหารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0032.PDF

- การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
รูปแบบกิจการที่ได้รับการยกเว้นในการบันทึกประมวลผลข้อมูลส่วนบุคคล หรือการบันทึกเอกสาร Record of Processing Activity ( ROP ) ซึ่งจะประกอบไปด้วยประเภท
- ธุรกิจที่มีขนาดย่อมหรือประเภทธุรกิจขนาดกลาง
- กิจการชุมชนหรือเครือข่ายกิจการชุมชน
- กิจการรูปแบบเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม สหกรณ์ ชุมนุมสหกรณ์
- กลุ่มเกษตรกร มูลนิธิ สมาคม องค์กรศาสนา รวมทั้งองค์กรที่ไม่แสวงหากำไร
- กิจการในครัวเรือน
- กิจการอื่น ๆ ในรูปแบบลักษณะเดียวกัน
และที่สำคัญเลยนั้นรูปแบบธุรกิจจะต้องไม่เป็นผู้ให้บริการที่ต้องมีการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือกิจการที่มีเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในการเปิดเผยข้อมูล ตามมาตรา 26 นั้นเอง


2. หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
โดยเนื้อหามีการะบุรายละเอียดในตัวกฎหมาย ว่าด้วยชื่อและข้อมูลเกี่ยวกับผู้มีส่วนในการประมวลผลข้อมูล ไม่ว่าจะเป็น
- ผู้ควบคุมข้อมูลส่วนบุคคล
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
รวมถึงรูปแบบลักษณะของการเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคล ที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้มีการดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล หรือในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุคคลที่มีหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำรูปแบบในการเก็บรักษาการบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ROP ตามวรรคหนึ่งเป็นลายลักษณ์อักษรที่มีความชัดเจน โดยจะจัดทำเป็นหนังสือหรือในรูปแบบของอิเล็กทรอนิกส์ก็ได้ แต่จะต้องสามารถเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ที่มีส่วนได้รับมอบหมายในการดูแลดังกล่าวตรวจสอบได้อย่างรวดเร็วเมื่อมีการถูกร้องขอจากเจ้าของข้อมูล
3. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
ซึ่งมีเนื้อหารายละเอียดสำคัญ ๆ ระบุไว้ว่า
- “ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะต้องมีมาตราการในการครอบคลุมการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล
- กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคล ดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม จะต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ทั้งนี้ เท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่ง
– ความลับ (Confidentiality)
– ความถูกต้องครบถ้วน (Integrity)
– สภาพพร้อมใช้งาน (Availability)
และจะต้องสร้างเสริมความตระหนักรู้ในด้านการให้ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย หรือ (Privacy and Security Awareness) รวมทั้งการแจ้งนโยบาย แนวปฏิบัติต่าง ๆ และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเหมาะสม ให้บุคลากรพนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งานบริการขององค์กร

4. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญพ.ศ. 2565
ในเนื้อหารายละเอียดของกฎหมายลูก PDPA ในข้อสุดท้ายได้มีการระบุไว้ว่า การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง หมายความว่า การดำเนินการที่เกี่ยวกับการพิจารณาสั่งลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ในเนื้อหาได้มีการระบุไว้ว่า อาทิเช่น
- ผู้ถูกลงโทษปรับทางปกครอง หมายถึง เจ้าหน้าที่ที่มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
- ค่าปรับ หมายถึง เงินค่าปรับทางปกครองที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดไว้ในกฎหมาย
- ยึด หมายถึง การกระทำใด ๆ ต่อทรัพย์สินของผู้ถูกลงโทษปรับทางปกครอง เพื่อให้ทรัพย์สินนั้นได้เข้ามาอยู่ในความควบคุมหรือครอบครองของเจ้าหน้าที่บังคับโทษปรับทางปกครอง
- อายัด หมายถึง การสั่งมิให้ผู้ถูกลงโทษปรับทางปกครองหรือบุคคลอื่นดำเนินการจำหน่ายจ่ายโอนหรือกระทำนิติกรรมใด ๆ เกี่ยวกับทรัพย์สิน
- การขายทอดตลาด หมายถึง การนำทรัพย์สินของผู้ถูกลงโทษปรับทางปกครองออกขายโดยวิธีให้สู้ราคากันโดยเปิดเผย
- เจ้าหน้าที่บังคับโทษปรับทางปกครอง หมายถึง บุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือคณะกรรมการผู้เชี่ยวชาญมอบหมายให้ดำเนินการบังคับตามคำสั่งลงโทษปรับทางปกครองหรือคำสั่งอื่นใดที่เกี่ยวข้อง
- คณะกรรมการผู้เชี่ยวชาญ หมายถึง คณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- พนักงานเจ้าหน้าที่ หมายถึง ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
แต่สำหรับการพิจารณาออกคำสั่งลงโทษปรับทางปกครองหรือใช้มาตรการบังคับทางปกครองนั้น หรือการดำเนินการอื่นใดที่เกี่ยวข้องกันตามประกาศนี้เพื่อลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลอื่นที่เกี่ยวข้อง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงปัจจัยสำคัย ดังต่อไปนี้
- กรณีที่เป็นการกระทำผิดโดยเจตนาหรือจงใจหรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
- ความร้ายแรงของพฤติกรรมที่กระทำผิด
- ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
- ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหายหรือความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่เพียงใด
- ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง
- มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น
- ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน (ถ้ามี)
- ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
- ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การเยียวยาและบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
- การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
- ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง
สรุป การออกประกาศกฎหมายฉบับนี้ได้มีการบังคับใช้เป็นที่เรียบร้อยแล้วนับแต่วันถัดจากวันที่กฎหมายได้มีการประกาศแจ้ง ดังนั้นเจ้าของคนที่ทำธุรกิจก็จะต้องตระหนักถึงความสำคัญในกฎหมายลูกเพิ่มเติมของ PDPA ในการจัดทำเพื่อให้สอดคล้องกับตัวกฎหมายเพื่อให้ครอบคลุมตามที่มีการกำหนดไว้ วันนี้ทางทีมงาน Trust – Vision ได้นำข้อมูลการ Update PDPA การออกกฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาแชร์สรุปเนื้อหาเบื้องต้นเพื่อให้ผู้อ่านสามารถทำความเข้าใจในรายละเอียดได้ง่ายมากขึ้น ตามบทความที่กล่าวมาข้างต้น ขอบคุณค่ะ
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!