Update กฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA จำนวน 4 ฉบับ

Update PDPA กฎหมายลูกของกฎหมาย PDPA เมื่อ วันที่ 21 มิถุนายน 2565 ได้มีการประกาศผ่านในเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยเรื่องของการเผยแพร่ออกระเบียบประกาศกฎหมายลูกเพิ่มเติม ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA จำนวนทั้งหมด  4 ฉบับ ซึ่งประกอบด้วย

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

         รายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0024.PDF

  1. หลักเกณฑ์และวิธีการในการจัดทำและการเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

         ศึกษารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0026.PDF

  1. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

        อ่านรายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF

  1. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

         เนื้อหารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0032.PDF

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

     รูปแบบกิจการที่ได้รับการยกเว้นในการบันทึกประมวลผลข้อมูลส่วนบุคคล หรือการบันทึกเอกสาร Record of Processing Activity ( ROP )  ซึ่งจะประกอบไปด้วยประเภท

  • ธุรกิจที่มีขนาดย่อมหรือประเภทธุรกิจขนาดกลาง
  • กิจการชุมชนหรือเครือข่ายกิจการชุมชน
  • กิจการรูปแบบเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม สหกรณ์ ชุมนุมสหกรณ์
  • กลุ่มเกษตรกร มูลนิธิ สมาคม องค์กรศาสนา รวมทั้งองค์กรที่ไม่แสวงหากำไร
  • กิจการในครัวเรือน
  • กิจการอื่น ๆ ในรูปแบบลักษณะเดียวกัน

     และที่สำคัญเลยนั้นรูปแบบธุรกิจจะต้องไม่เป็นผู้ให้บริการที่ต้องมีการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือกิจการที่มีเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในการเปิดเผยข้อมูล ตามมาตรา 26 นั้นเอง

     2. หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

     โดยเนื้อหามีการะบุรายละเอียดในตัวกฎหมาย ว่าด้วยชื่อและข้อมูลเกี่ยวกับผู้มีส่วนในการประมวลผลข้อมูล ไม่ว่าจะเป็น

  • ผู้ควบคุมข้อมูลส่วนบุคคล
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน

      รวมถึงรูปแบบลักษณะของการเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคล ที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้มีการดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล หรือในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุคคลที่มีหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำรูปแบบในการเก็บรักษาการบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ROP ตามวรรคหนึ่งเป็นลายลักษณ์อักษรที่มีความชัดเจน โดยจะจัดทำเป็นหนังสือหรือในรูปแบบของอิเล็กทรอนิกส์ก็ได้ แต่จะต้องสามารถเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ที่มีส่วนได้รับมอบหมายในการดูแลดังกล่าวตรวจสอบได้อย่างรวดเร็วเมื่อมีการถูกร้องขอจากเจ้าของข้อมูล

     3. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

     ซึ่งมีเนื้อหารายละเอียดสำคัญ ๆ ระบุไว้ว่า

  • “ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
  • ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะต้องมีมาตราการในการครอบคลุมการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล
  • กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคล ดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม จะต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ทั้งนี้ เท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่ง

         – ความลับ (Confidentiality)

        – ความถูกต้องครบถ้วน (Integrity)

        – สภาพพร้อมใช้งาน (Availability)

        และจะต้องสร้างเสริมความตระหนักรู้ในด้านการให้ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย หรือ (Privacy and Security Awareness) รวมทั้งการแจ้งนโยบาย แนวปฏิบัติต่าง ๆ  และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเหมาะสม ให้บุคลากรพนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งานบริการขององค์กร

        4. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญพ.ศ. 2565

         ในเนื้อหารายละเอียดของกฎหมายลูก PDPA ในข้อสุดท้ายได้มีการระบุไว้ว่า การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง หมายความว่า การดำเนินการที่เกี่ยวกับการพิจารณาสั่งลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ในเนื้อหาได้มีการระบุไว้ว่า อาทิเช่น

  • ผู้ถูกลงโทษปรับทางปกครอง หมายถึง เจ้าหน้าที่ที่มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
  • ค่าปรับ หมายถึง เงินค่าปรับทางปกครองที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดไว้ในกฎหมาย
  • ยึด หมายถึง การกระทำใด ๆ ต่อทรัพย์สินของผู้ถูกลงโทษปรับทางปกครอง เพื่อให้ทรัพย์สินนั้นได้เข้ามาอยู่ในความควบคุมหรือครอบครองของเจ้าหน้าที่บังคับโทษปรับทางปกครอง
  • อายัด หมายถึง การสั่งมิให้ผู้ถูกลงโทษปรับทางปกครองหรือบุคคลอื่นดำเนินการจำหน่ายจ่ายโอนหรือกระทำนิติกรรมใด ๆ เกี่ยวกับทรัพย์สิน
  • การขายทอดตลาด หมายถึง การนำทรัพย์สินของผู้ถูกลงโทษปรับทางปกครองออกขายโดยวิธีให้สู้ราคากันโดยเปิดเผย
  • เจ้าหน้าที่บังคับโทษปรับทางปกครอง หมายถึง บุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือคณะกรรมการผู้เชี่ยวชาญมอบหมายให้ดำเนินการบังคับตามคำสั่งลงโทษปรับทางปกครองหรือคำสั่งอื่นใดที่เกี่ยวข้อง
  • คณะกรรมการผู้เชี่ยวชาญ หมายถึง คณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • พนักงานเจ้าหน้าที่ หมายถึง ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

      แต่สำหรับการพิจารณาออกคำสั่งลงโทษปรับทางปกครองหรือใช้มาตรการบังคับทางปกครองนั้น หรือการดำเนินการอื่นใดที่เกี่ยวข้องกันตามประกาศนี้เพื่อลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลอื่นที่เกี่ยวข้อง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงปัจจัยสำคัย ดังต่อไปนี้

  1. กรณีที่เป็นการกระทำผิดโดยเจตนาหรือจงใจหรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
  2. ความร้ายแรงของพฤติกรรมที่กระทำผิด
  3. ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  4. ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหายหรือความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่เพียงใด
  5. ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง
  6. มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น
  7. ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน (ถ้ามี)
  8. ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
  9. ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  10. การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  11. การเยียวยาและบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
  12. การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
  13. ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง

สรุป   การออกประกาศกฎหมายฉบับนี้ได้มีการบังคับใช้เป็นที่เรียบร้อยแล้วนับแต่วันถัดจากวันที่กฎหมายได้มีการประกาศแจ้ง ดังนั้นเจ้าของคนที่ทำธุรกิจก็จะต้องตระหนักถึงความสำคัญในกฎหมายลูกเพิ่มเติมของ PDPA ในการจัดทำเพื่อให้สอดคล้องกับตัวกฎหมายเพื่อให้ครอบคลุมตามที่มีการกำหนดไว้ วันนี้ทางทีมงาน Trust – Vision ได้นำข้อมูลการ Update PDPA การออกกฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาแชร์สรุปเนื้อหาเบื้องต้นเพื่อให้ผู้อ่านสามารถทำความเข้าใจในรายละเอียดได้ง่ายมากขึ้น ตามบทความที่กล่าวมาข้างต้น ขอบคุณค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

Privacy Policy สำคัญอย่างไร? ทำไมถึงต้องมี

Privacy Policy สำคัญอย่างไร ?

          Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลซึ่งใช้ในการ แจ้ง ถึงรายละเอียดในการจัดเก็บรวบรวมข้อมูลส่วนบุคคล ใช้แจ้งถึงประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมเก็บ ใช้ และเผยแพร่ รวมทั้งระยะเวลาในการจัดเก็บ และการรักษาความปลอดภัยของข้อมูลส่วนที่ถูกจัดเก็บนั้นเอง และที่สำคัญตัวเอกสาร Privacy Policy นั้นถือว่าเป็นส่วนหนึ่งของรายการเอกสารที่จะต้องจัดทำให้มีตามระเบียบกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ (PDPA: Personal Data Protection Act) ซึ่งในส่วนของคนทำธุรกิจหรือทุกองค์กรจะต้องให้ความสำคัญและต้องดำเนินการจัดทำเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูล ส่วนของนโยบายความเป็นส่วนตัว ยังสามารถช่วยสร้างความน่าเชื่อถือให้กับองค์กร ทำให้ผู้ใช้งานหรือผู้ที่มาใช้บริการนั้นมีความมั่นใจว่าข้อมูลที่ให้ยินยอมในการจัดเก็บนั้นได้มีการดูแลความปลอดภัย และถูกนำไปใช้งานได้ตรงตามวัตถุประสงค์โดยบริษัทมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ควบคุมข้อมูลส่วนบุคคล’  โดยมีพนักงานที่บริษัทมอบหมายโดยเฉพาะให้มีหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’

  • ตัวอย่างธุรกิจที่ต้องมี
  1. ธุรกิจใดก็ตามที่มีการเก็บข้อมูลส่วนบุคคลของพนักงานหรือลูกค้ารวมทั้งผู้ใช้บริการไม่ว่าจะเป็น ชื่อ-สกุล เบอร์โทร ที่อยู่ หรืออีเมล์ เพื่อใช้ในการจัดทำข้อสัญญาหรือใช้ในการเสนอขายสินค้า บริการ รวมทั้งใช้วิเคราะห์การตลาด
  2. ทุกเว็บไซต์ที่มีการเก็บข้อมูลในการเข้าล็อกอินระบบผ่านอีเมลหรือบัญชีทาง Social Network เป็นต้น
  3. ประเภทธุรกิจขายของออนไลน์ที่เก็บข้อมูลในการชำระเงินต่าง ๆ
  • Privacy Policy ใช้ในกรณีไหน?
  1. ใช้ในกรณีที่มีการเก็บข้อมูลส่วนบุคคลของผู้ใช้ไม่ว่าจะเป็นผ่านช่องทางออนไลน์ หรือออฟไลน์เพื่อใช้สำหรับการสื่อสารภายในองค์กร

Privacy Policy ต้องแจ้งอะไรบ้าง ?

  1. ประเภทข้อมูลส่วนบุคคลอะไรบ้างที่เก็บรวบรวม ใช้ และ/หรือเปิดเผย

บริษัทจะต้องแจ้งถึงข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บรวบรวม ใช้ และเปิดเผย ไม่ว่าทางตรงหรือทางอ้อม ซึ่งได้แก่ ข้อมูลที่มีให้ไว้โดยตรงกับบริษัท รวมทั้งการลงทะเบียนเข้าร่วมกิจกรรมต่างๆ ของบริษัท คุกกี้ ข้อมูลการทำรายการ และประสบการณ์การใช้งานผ่านหน้าเว็บไซต์ หรือช่องทางอื่นใด เช่นข้อมูลส่วนตัว เช่น

  • ชื่อ นามสกุล อายุ วันเดือนปีเกิด สถานภาพสมรส เลขประจำตัวประชาชน เลขหนังสือเดินทาง
  • ข้อมูลการติดต่อ เช่น ที่อยู่อาศัย สถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์
  • การเก็บข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address MAC Address Cookie ID
  • ข้อมูลอื่นๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
  1. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูล

แจ้งถึงวัตถุประสงค์การใช้ในข้อมูลส่วนบุคคลในประเภทต่าง ๆ แจ้งในที่มาของการนำข้อมูลไปใช้เพื่อการใด เช่นใช้เพื่อการพัฒนาและปรับปรุงเว็บไซต์ของบริษัท ตลอดจนการวิเคราะห์และประมวลผลข้อมูลส่วนบุคคล เพื่อให้ตอบโจทย์การใช้งานของผู้ใช้งานตามแต่ละบริบทของบริษัท พร้อมทั้งแจ้งระยะเวลาในการจัดเก็บข้อมูล และหากภายหลังทางบริษัทได้มีการเปลี่ยนแปลงในวัตถุประสงค์ จำเป็นอย่างยิ่งที่บริษัทจะแจ้งให้เจ้าของข้อมูลรับทราบ เพื่อขอความยินยอม และจัดให้มีบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐาน บริษัทจะไม่กระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เพื่อประโยชน์อย่างอื่น ที่นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับท่านไว้ก่อนหรือขณะเก็บรวบรวม

  1. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องแจ้งถึงระเบียบในการเก็บรักษาข้อมูลส่วนบุคคลตามมาตราการต่าง ๆ ของบริษัท อาทิเช่น เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลตามที่เหมาะสม เพื่อป้องกันการถูกละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข การนำข้อมูลไปใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์อื่นที่ไม่เป็นไปตามที่กำหนดและก่อนทุกครั้งที่บริษัทจะมีการขอเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลของพนักงาน บริษัทจะต้องทำการขอความยินยอมก่อนทุกครั้ง โดยการขอความยินยอมจะทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยระบบอิเล็กทรอนิกส์

  1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องมีการแจ้งถึงระยะเวลาในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงานไว้อย่างชัดเจน และบริษัทจะต้องจัดให้มีเจ้าหน้าที่ในการกำกับดูแลในเรื่องนี้โดยเฉพาะ เพื่อเป็นการห้ามมิให้ มีการใช้ การเปิดเผย แสดงของข้อมูล ที่นอกเหนือไปจากวัตถุประสงค์ตามที่บริษัทกำหนด เพื่อให้การเปิดเผยข้อมูลได้ตามขอบเขตที่เจ้าของข้อมูลได้ให้ความยินยอม ตามขอบเขตที่ของบริษัท

  1. สิทธิของเจ้าของข้อมูล

ธุรกิจที่มีการจัดเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลอื่น จะต้องมีการแจ้งถึงสิทธิของเจ้าของข้อมูล ในการแจ้งถึงอำนาจสิทธิในความสามารถขอใช้สิทธิใดได้บ้าง ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายที่ได้มีการกำหนดไว้ก่อนหรือในขณะที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทกำหนดขึ้นนั้นเอง อาทิเช่น

  • สิทธิในการขอถอนความยินยอม
  • สิทธิในการขอเข้าถึง ขอรับข้อมูลหรือสำเนาข้อมูล
  • สิทธิในการคัดค้าน
  • สิทธิขอให้แก้ไขข้อมูล
  • สิทธิขอให้ลบหรือทำลายข้อมูล
  • สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิร้องขอให้บริษัทดำเนินการแก้ไขข้อมูลนั้นถูกต้อง
  • สิทธิร้องเรียน เป็นต้น ( เพิ่มเติม สิทธิของเจ้าของข้อมูลตาม PDPA )
  1. การเชื่อมโยงข้อมูลส่วนบุคคลกับบุคคลอื่นหรือหน่วยงานอื่น

บริษัทจะต้องแจ้งถึงการเชื่อมโยงข้อมูลส่วนบุคคลของพนักงานกับบุคคลที่สามหรือหน่วยงานอื่น ๆ โดยบริษัทจะแจ้งให้พนักงานทราบก่อนที่จะทำการเชื่อมโยงของข้อมูล พร้อมทั้งขอความยินยอมจากพนักงานที่เป็นเจ้าของข้อมูลทุกครั้ง และบริษัทจะต้องมีการระบุถึงรายละเอียดต่าง ๆ ให้กับเจ้าของข้อมูลทราบ ยกตัวอย่าง เช่น

  • ระบุรายชื่อบุคคลหรือหน่วยงานที่จะทำการเชื่อมโยงข้อมูลส่วนบุคคล
  • แจ้งวัตถุประสงค์ในการเชื่อมข้อมูลส่วนบุคคล
  • กำหนดวิธีการและขอบเขตในการเชื่อมโยงข้อมูลส่วนบุคคล
  • ประเภทของข้อมูลส่วนบุคคลที่จะมีทำการเชื่อมโยงกับหน่วยงานอื่น
  1. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่บริษัทจะต้องมีการปรับปรุงในตัวนโยบายความเป็นส่วนตัวในบางครั้งนั้น บริษัทจะต้องมีการแจ้งประกาศให้พนักงานหรือบุคคลที่เป็นเจ้าของข้อมูลทราบในทุกครั้งที่ได้มีการอัพเดทเปลี่ยนแปลงในเนื้อหารายละเอียดต่าง ๆ ของนโยบาย โดยมีการอาศัยในช่องทางการประกาศผ่านช่องทางเว็บไซต์เพื่อให้บุคคลที่มาใช้บริการรับทราบ และใช้วิธีติดประกาศผ่านช่องทางอีเมลหรือติดประกาศสำหรับเพื่อให้พนักงานภายในที่เป็นเจ้าของข้อมูลรับทราบโดยทั่วทั้งองค์กรนั้นเอง

  1. นโยบายคุกกี้ (Cookies)

บริษัทจะต้องแจ้งถึงนโยบายคุกกี้ ว่าหมายถึงอะไรมีความสำคัญอย่างไรบ้าง และใช้เพื่อการใดบ้าง ประเภทของคุกกี้ที่องค์กรได้มีการใช้ รวมทั้งรูปแบบในการตั้งค่าคุกกี้ในแบบต่าง ๆ ของบริษัท ดังนั้นบริษัทจำเป็นอย่างยิ่งที่จะต้องแจ้งถึงวัตถุประสงค์และขอบตเขตในการดำเนินการของนโยบาย ไม่ว่าจะเป็นเพื่อพัฒนาประสิทธิภาพในการใช้งานแพลตฟอร์มและการเข้าถึงบริการของบริษัทผ่านทางระบบอินเทอร์เน็ต เป็นต้น

  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องมีแจกแจงรายละเอียดของเจ้าหน้าที่ที่มีส่วนสำคัญและมีหน้าที่รับผิดชอบโดยตรงในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน

  1. ช่องทางการติดต่อ

บริษัทจะต้องแจ้งระบุถึงช่องทางในการติดต่อ ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรในการติดต่อของบริษัทเอง เพื่อใช้ในกรณีที่พนักงานต้องการสอบถามในข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามนโยบาย

ดังนั้น   คนทำธุรกิจหรือทุก ๆ องค์กรจึงจำเป็นอย่างยิ่งที่จะต้องทำนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อใช้ในการแจกชี้แจงรายละเอียดต่าง ๆ ในการกำหนดวิธีการจัดเก็บรวบรวม การใช้ และ/หรือเปิดเผย การคุ้มครองข้อมูล การเข้าถึงข้อมูล การโอนย้าย รวมทั้งการวิเคราะห์ประมวลผลข้อมูลส่วนบุคคลของพนักงาน เพื่อหลีกเลี่ยงการนำข้อมูลไปใช้ ไปเผยแพร่แบบผิดประเภทที่ไม่ตรงตามวัตถุประสงค์ตามที่กฎหมายกำหนด หากคนทำธุรกิจหรือองค์กรเพิกเฉยในการจัดทำดังกล่าวก็จะได้รับผลกระทบในรูปแบบต่าง ๆ ไม่ว่าจะเป็นการขาดความน่าเชื่อถือขององค์กร แถมยังมีความผิดตามฐานที่กฎหมายได้มีการกำหนดไว้นั้นเองค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

          Department ในองค์กรกับกฎหมาย PDPA สำหรับกฎหมาย PDPA นั้นไม่เพียงแต่มีความสำคัญเฉพาะฝ่ายใดฝ่ายหนึ่งในองค์กร หรือเกี่ยวข้องเฉพาะแต่คนทำธุรกิจเท่านั้น เพราะถือว่าเป็นผู้ที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลของผู้อื่นโดยตรง แต่สำหรับกฎหมาย PDPA นั้นสำคัญกับทุก ๆฝ่าย ทุก ๆ แผนกในองค์กร เพราะทุกแผนกนั้นก็มีความสำคัญหรือบริบทในการทำงานที่แตกต่างกันไปและยังมีการเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นไม่ว่าจะเป็นฝ่าย HR จัดซื้อจัดจ้าง ฝ่ายขาย เป็นต้น และเพื่อเป็นการลดความเสี่ยงในการนำข้อมูลไปใช้ในทางที่ผิด ดังนั้นทุกคนในองค์กรจะต้องตระหนักรู้ถึงความสำคัญของกฎหมาย PDPA เพื่อไม่ให้เกิดข้อผิดพลาด ดังนั้นแล้ว วันนี้ทางทีมงาน Trust-Vision ได้รวบรวมข้อสรุปถึงความสำคัญในกฎหมาย PDPA ว่ามีความเกี่ยวข้องกับแต่ละแผนกอย่างใดบ้าง

Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

แผนกทรัพยากรบุคคล

สำหรับแผนกทรัพยากรบุคคลหรือ HR ที่มีการจัดเก็บข้อมูลของพนักงานให้กับองค์กรที่เกี่ยวข้องกับ PDPA โดยตรง ต้องมั่นใจว่ามีการจัดการข้อมูลอย่างถูกต้อง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น เช่น ชื่อ – นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, สำเนาเอกสารทางกฎหมาย หรือกระทั่ง Resume และ Portfolio ทั้งข้อมูลที่เป็นเอกสารและข้อมูลที่เป็นไฟล์อิเล็กทรอนิกส์ โดยการนำข้อมูลมาใช้ทุกครั้งจะต้องผ่านการขอยินยอม Consent กับพนักงานในทุกครั้งที่นำข้อมูลมาใช้เท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน และต้องมีการจัดอบรมเพื่อให้พนักตระหนักรู้ถึงความสำคัญของกฎหมาย ดังนั้นแล้วหากฝ่าย HR ไม่มีมาตรการในการรักษาข้อมูลที่ครอบคลุม ก็อาจจะก่อให้เกิดกรณีข้อมูลหลุดออกไป และเสี่ยงที่จะได้รับโทษตามกฎหมายกำหนด โทษ PDPA

ฝ่ายฝึกอบรม

แผนกฝึกอบรมจะมีส่วนในการรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานถือว่าเป็นข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขบัตรประชาชน เพศ อายุ เป็นต้น สำหรับการฝึกอบรมจะต้องมีการแจ้งให้กับผู้เข้าร่วมอบรมทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ว่าใช้เพื่อการสิ่งใดบ้าง ซึ่งองค์กรหรือผู้ที่เป็นเจ้าหน้าที่ควบคุมข้อมูลสาวนบุคคลจะต้องเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

จัดซื้อ

ข้อมูลสำคัญที่แผนกจัดซื้อต้องทำการเก็บรวบรวมไม่ว่าจะเป็น ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างของบริษัทซึ่งเป็นข้อมูลส่วนบุคคล ผู้ที่ดูแลฝ่ายจัดซื้อควรตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ได้มาได้ถูกนำมาใช้ในการประมวลผลข้อมูลที่เป็นไปตามสัญญาว่าข้อมูลส่วนบุคคลนั้นได้รับการคุ้มครองไม่แบ่งปันต่อบุคคลอื่น และที่สำคัญมีการส่งผ่านเพียงแค่เฉพาะข้อมูลที่จำเป็นเท่านั้น หารเกิดการสงสัยว่าข้อมูลเหล่านั้นถูกบุกรุกจากระบบที่เกิดขึ้น เราจะสื่อสารในฐานะ ผู้ควบคุมข้อมูล หรือ Data Controller ได้ว่าอย่างไร? และถ้าหากเราจ้างฝ่าย IT ที่เป็นบุคคบลภายนอกเข้ามาดูแลระบบให้ เราจะต้องตระหนักว่าผู้ให้บริการจะมีกระบวนการดูแลและมีการจัดระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยได้อย่างไร?

การตลาด และการขาย

ส่วนใหญ่ในการเก็บข้อมูลของฝ่ายนี้จะเป็นในส่วนสำคัญในสื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าผู้ที่มาใบริการ ดังนั้นจะต้องสร้างความมั่นใจที่ว่าข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้นั้นจะมีปลอดภัย และ Comply กับ PDPA ในส่วนของพนักงานที่ทำงานเกี่ยวกับด้านการตลาดจะเป็นส่วนหน้าของด่านแรกในการขอความยินยอมในเก็บข้อมูลส่วนบุคคลจากลูกค้าผู้ใช้บริการไม่ว่าจะเป็นช่องทางใด และเพื่อเป็นการสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรจัดเก็บไว้นั้นได้มีการปฏิบัติตาม กฎหมาย พ.ร.บ. ข้อมูลส่วนบุคคล หรือ (PDPA) ได้อย่างชัดเจนและถูกต้อง

แผนกธุรการ

แผนกธุรการถือเป็นอีกหนึ่งแผนกที่เป็นส่วนของฝ่ายปฏิบัติการสำคัญ และเป็นแผนกที่เกี่ยวข้องกับทุกแผนกที่มีส่วนความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในองค์กรหรือว่าภายนอกองค์กร ทั้งผู้ที่มาติดต่อสื่อสาร การซ่อมบำรุง การจัดซื้อต่างๆ เพราะจะต้องมีการอัปเดตข้อมูล เพื่อให้เป็นไปตามกฎหมาย (PDPA) กำหนดเช่นกัน

ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่กฎหมายบังคับใช้

  1. ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
  2. ต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
  3. การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

การร้องเรียนการถูกล่วงละเมิดข้อมูล

1. คณะกรรมการผู้เชี่ยวชาญ

  • พิจารณาเรื่องร้องเรียน
  • ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  • ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล

2. พนักงานเจ้าหน้าที่

  • มีหนังสือแจ้งให้บุคคลมาให้ข้อมูล หรือส่งเอกสารหรือหลักฐานใด ๆ
  • ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ
  • ในกรณีตามข้อ (2) หากมีความจำเป็นเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะให้พนักงานเจ้าหน้าที่ยื่นขอหมายศาล เพื่อเข้าไปในสถานที่ของผู้ควบคุม ผู้ประมวลผลหรรือผู้ใด ในระหว่างพระอาทิตย์ขึ้นถึงพระอาทิตย์ตกหรือในเวลาทำการของสถานที่นั้น

สรุป   ดังนั้นการปฏิบัติตามกฎหมาย PDPA เพื่อให้ถูกต้องและครบถ้วน เจ้าของบริษัทและ Department อื่น ๆ ควรให้เวลาในการทำความเข้าใจในตัวกฎหมาย เพราะถ้าหากไม่มีการเตรียมความพร้อมในการตอบรับที่ดีพอและหากเกิดพลาดกระทำความผิดไปแล้ว ก็จะส่งผลที่ตามมานอกจากจะเสียค่าปรับตามโทษของกฎหมาย ก็จะทำให้เสียชื่อเสียงอีกด้วย แถมยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าตามมาอีกด้วย เห็นแบบนี้แล้วจำเป็นอย่างยิ่งที่ทุก ๆ คนจะต้องหันมาทำความเข้าใจและปฏิบัติตามให้ถูกต้องเพื่อลดผลกระทบที่จะตามมานั้นเองค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

Thailand’s Personal Data สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

          Thailand’s Personal Data Protection Act หรือกฎหมาย PDPA หลังจากที่ได้เริ่มมีผลบังคับใช้ไปแล้วในวันที่ 1 มิถุนายน 2565 ที่ผ่านมา วันนี้ทีมงาน Trust-Vision ได้ทำการสรุปสาระสำคัญของ พ.ร.บ.ฯ ฉบับนี้ว่ามีอะไรบ้าง? เราต้องเตรียมตัวอย่างไรบ้าง? ให้ถูกต้องตามกฎหมาย และซึ่งหากฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนบาทจนถึง 5 ล้านบาท หรือแล้วแต่ประเภทของข้อมูลความผิด PDPA โทษ  

          PDPAสำหรับสาเหตุสำคัญในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคลเป็นจำนวนไม่น้อยประกอบกับความก้าวหน้าของเทคโนโลยี ทำให้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม และเห็นสมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก กฏระเบียบ หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้ 

สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

1. ขอบเขตการบังคับใช้   บังคับใช้แก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล ที่เกิดขึ้นในราชอาณาจักร ครอบคลุมถึงกรณีผู้ควบคุมและผู้ประมวลผลอยู่นอกอาณาจักร หากมีกิจกรรมดังนี้เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนซึ่งอยู่ประเทศไม่ว่าจะมีการชำระเงินหรือไม่การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นภายในประเทศ

2. ระยะเวลาบังคับใช้   พ้น 1 ปี นับแต่วันประกาศในราชกิจจาฯ ( ยกเว้นหมวดคณะกรรมการ และ สนักงานมีผลทันที )

3. คำนิยาม

“ข้อมูลส่วนบุคคล” (Personal Data)   ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้ไม่สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลผู้ถึงแก่กรรม

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)   นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor)   นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือใน         นามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง

4. ความยินยอม    ต้องขอความยินยอม โดยต้องมีความชัดเจน ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด การขอความยินยอม ต้องทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์เว้นแต่โดยสภาพไม่อาจขอความยินยอม การขอความยินยอม เจ้าของข้อมูลถอนความยินยอม เมื่อใดก็ได้ ( เว้นแต่มีข้อจำกัด ตามที่กฎหมายกำหนด )

5. การเก็บข้อมูล ม.22-23    ให้เก็บได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล

6. บทเฉพาะกาล    ให้ข้อมูลเดิมที่เก็บอยู่ก่อนวันที่กฎหมายประกาศบังคับ ยังใช้หรือเปิดเผยได้ตามวัตถุประสงค์เดิมที่ได้แจ้งไว้ต่อเจ้าของข้อมูลและต้องกำหนดวิธีการยกเลิกความยินยอมให้สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

7. แจ้งให้ทราบ    ต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ของการรวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคลของ พนักงาน

บริษัท มีสถานะเป็น ผู้ควบคุมข้อมูล มีสิทธิเก็บรวบรวม ใช้ เปิดเผย เท่าที่จำเป็น

  • ภายใต้วัตถุประสงค์ที่ชัดเจน
  • เก็บจากเจ้าของข้อมูลโดยตรง
  • ต้องได้รับความยินยอม
  • แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
  • หากเปลี่ยนวัตถุประสงค์ก็ต้องแจ้ง และให้ความยินยอมอีกครั้ง
  • ระยะเวลาในการเก็บรวบรวม หรือระยะเวลาที่คาดหมาย
  • ประเภทของข้อมูลส่วนบุคคล
  • หน่วยงานอื่นซึ่งต้องเปิดเผยข้อมูลฯ ได้

ผู้ควบคุมข้อมูล มีสถานะเป็น ผู้ประมวลผลข้อมูล และมีหน้าที่ในการทำรายการข้อมูลฯ (Inventory) รวมถึงการ Update ข้อมูลฯ โดยใช้วิธี

  • จัดให้มีมาตราการรักษาความมั่นคงปลอดภัยเพื่อป้องกันข้อมูลฯ ที่เหมาะสม
  • ดำเนินการแจ้งเหตุละเมิดต่อ สนง.คกก.DP ภายใน 72 ชม. และแจ้งเจ้าของข้อมูลฯ และแนวทางการเยียวยา (เงื่อนไขและวิธีการเป็นไปตามที่ คกก.DP กำหนด)
  • กรณีมีการโอนข้อมูลส่วนบุคคลไปต่างประเทศ ให้เป็นไปตามที่ คกก.DP ประกาศกำหนด
  • แต่งตั้ง DPO ( Data protection officer ) หรือคณะกรรมการ DP ที่ตั้งขึ้นภายในบริษัทฯ

สิทธิเจ้าของข้อมูลส่วนบุคคลฯ (พนักงานของบริษัท)

  • ขอเข้าถึง แก้ไข และ ขอสำเนาข้อมูลส่วนบุคคล
  • ขอระงับการใช้งาน
  • ขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
  • ขอให้เปิดเผยถึงการได้มากรณีไม่ได้ให้ความยินยอม
  • ขอให้ส่ง หรือโอนข้อมูลส่วนบุุคคลไปยังผู้ควบคุมข้อมูลอื่น
  • ถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัท มีสิทธิปฏิเสธคำร้องของเจ้าของข้อมูลส่วนบุคคลได้ เมื่อมีเหตุอันจำเป็นตามกฎหมาย หรือคำสั่งศาลที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพต่อบุคคลอื่น โดยบันทึกการปฏิเสธคำร้องพร้อมเหตุผล

แนวทางการปฏิบัติสำหรับพนักงาน

  • ดำเนินการตามนโยบายในกรณีได้รับมอบหมายให้ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผย หรือดำเนินการใดๆกับข้อมูลส่วนบุคคล
  • ให้ใช้แบบของหนังสือสัญญา หรือแบบฟอร์มที่บริษัทฯ จัดไว้ให้ในการดำเนินการต่างๆ
  • ให้แจ้ง หรือรายงาน กรณีที่มีข้อมูลรั่วไหล (Data Breach) ตามลำดับไปยัง DPO หรือ คกก.DP ที่ตั้งขึ้นภายในบริษัท

Personal Data Protection Act. มีประโยชน์อย่างไรบ้าง...?

สำหรับประชาชนทั่วไป

  • ข้อมูลส่วนบุคคลถูกเก็บอย่างปลอดภัย
  • ลดความเสียหายจากการถูกระเมิด
  • มีสิทธิทราบ วัตถุประสงค์การจัดเก็บ ใช้/เผยแพร่ข้อมูล
  • มีสิทธิอนุญาต/ ไม่อนุญาต/ ถอนความยินยอมให้จัดเก็บข้อมูล
  • ขอให้ลบ/ ระงับข้อมูลส่วนบุคคลได้
  • ร้องเรียน/ ขอสินไหมทดแทนได้หากข้อมูลถูกใช้งานผิดจากวัตถุประสงค์ที่แจ้ง

ภาคธุรกิจ

  • เพิ่มความเชื่อมั่นในมาตราฐานจัดเก็บ
  • เพิ่มขีดความสามารถและโอกาสในการทำธุรกิจ
  • มีกระบวนการทำงาน กลไก ที่มีประสิทธิภาพ
  • ส่งเสริมภาพลักษณ์องค์กร

ภาครัฐ

  • มีมาตราฐานด้านกฎหมายที่ทัดเทียมกับต่างประเทศ
  • มีมาตราฐานการกำกับดูแล
  • มีธรรมาภิบาลด้านการคุ้มครองข้อมูล
  • สร้างสังคมเข้มแข็ง
  • ส่งเสริมภาพลักษณ์ของประเทศ

          ” ดังนั้นแล้ว การร่างกฎหมายฉบับนี้เพื่อเป็นการใช้สำหรับคุ้มครองการเข้าถึงข้อมูลส่วนตัวของคนอื่นนั้น เพราะเนื่องจากเราไม่สามารถรับรู้ได้ว่าใครนำข้อมูลของเรามาใช้ทำอะไรบ้างและนำไปใช้เพื่ออะไร ดังนั้นเพื่อเป็นการปกป้องสิทธิ์ของทั้งคนทั่วไป ทั้งภาครัฐ และภาคภาคเอกชนรวมทั้งภาคธุรกิจ จึงจำเป็นอย่างยิ่งที่ต้องออกกฎหมายนี้มาใช้ เพื่อผู้คนรู้ถึงสิทธิ์ของตัวเองว่าตัวเองสามารถใช้สิทธิ์ตรงส่วนไหนได้บ้าง และกล่าวว่าแต่ละคนทำอะไรได้มากน้อยแค่ไหน สิ่งสำคัญอย่างยิ่งกฎหมายเป็นสิ่งที่ทุกคนต้องปฏิบัติตาม ดังนั้นทุกคนควรศึกษาตัวกฎหมาย Thailand’s Personal Data Protection Act หรือ PDPA นี้ไว้เพื่อไม่ให้ทำผิดกฎหมายนั้นเองค่ะ “

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

สิ่งที่คนทำธุรกิจควรรู้หลัง PDPA บังคับใช้

          หลังจากที่ทุกคนทราบกันดีอยู่แล้วว่ากฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มีการประกาศให้บังคับใช้อย่างเป็นทางการแล้วเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาแล้วนั้นเอง ซึ่งในปัจจุบันนั้นการทำธุรกิจในประเทศไทยได้เริ่มมีการเปลี่ยนผ่านเข้าสู่ระบบดิจิทัลมีการใช้เทคโนโลยีมากยิ่งขึ้นเป็นจำนวนมาก ดังนั้นแล้วประเทศไทยจึงได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 ขึ้นมา หรือที่เรียกว่ากฎหมาย PDPA เพื่อใช้ปกป้องสิทธิส่วนบุคคลการให้ข้อมูลมีความปลอดภัยต่อผู้ใช้งานหรือบุคคลที่เป็นเจ้าของข้อมูลมากยิ่งขึ้น และเพื่อเป็นการใช้สำหรับการประมวลผลข้อมูลเหล่านั้นอย่างมีความรับผิดชอบ โดยกฎหมายฉบับนี้ได้มีผลบังคับใช้ทั้งกับระดับบุคคลที่เป็นเจ้าของข้อมูล และนิติบุคคลที่จดทะเบียนในประเทศไทย รวมไปถึงบริษัทที่มีที่ตั้งอยู่ในต่างประเทศแต่ได้มีส่งขายสินค้าหรือบริการให้กับลูกค้าที่เป็นคนไทย

          และเรามักจะพบว่าข้อมูลส่วนบุคคลในบางครั้งถูกเก็บไปใช้งานได้ง่ายดายและรวดเร็วยิ่งขึ้น โดยเฉพาะผ่านสื่อดิจิทัล ดังนั้น คนที่ทำธุรกิจผ่านระบบดิจิทัล หรือใช้บริการในระบบดิจิทัลในการปฏิบัติการต่างๆ ในสายงานที่เกี่ยวข้องกับบริบทขององค์กรกับการเข้าถึงข้อมูลส่วนบุคคล จึงมีความเกี่ยวข้องกับกฎหมาย PDPA นี้เป็นอย่างมาก

          ทั้งนี้ บริษัทหรือองค์ธุรกิจที่อยู่ในฐานะของผู้ควบคุม และประมวลผลข้อมูล ต้องมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ รวมถึงการเผยแพร่และต้องระบุระยะเวลาในการเก็บข้อมูลที่ชัดเจน

ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?

กฎหมาย PDPA ได้มีการระบุถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 3 กลุ่ม ได้แก่

  1. “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) นั้นหมายถึงคนทุกคนที่เป็นเจ้าของข้อมูลหรือ Data Subject ในรูปแบบต่าง ๆ ทั้งทางตรง และทางอ้อม ที่สามารถนำข้อมูลเหล่านั้นมาระบุถึงตัวบุคคลคนนั้นได้
  2. “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  3. “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง

สิ่งที่คนทำธุรกิจต้องคำนึงถึงและต้องเตรียมรับมือ เพื่อตอบรับกับกฎหมาย PDPA

  1. เตรียมเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล

         เป็นเอกสารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) ที่จะต้องมีการระบุถึงรูปแบบว่านำข้อมูลไปประมวลผลอย่างไรบ้าง มีวัตถุประสงค์เพื่อการใด ใครบ้างคือผู้เกี่ยวข้อง และนอกจากเป็นข้อกำหนดตาม พ.ร.บ. เพื่อทำการตรวจสอบแล้ว ตัวเอกสารการทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP ก็จะเป็นส่วนช่วยให้องค์กรมองเห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมดของพนักงานผู้เป็นเจ้าของข้อมูล และยังสามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

  1. เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์

         เป็นเอกสารเพื่อให้เจ้าของข้อมูลนั้น สามารถขอมีสิทธิในการเข้าถึงข้อมูลส่วนตัวได้ ไม่ว่าผ่านทางช่องทางใดๆ ก็ตาม และจะต้องมีการดำเนินการตามคำร้องภายใน 30 วันนับแต่ทราบ แต่สำหรับธุรกิจที่มีการให้บริการผ่านช่องทางเว็บไซต์ จำเป็นอย่างยิ่งที่ควรจะสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ของตนเพื่อให้ผู้ใช้บริการซึ่งมีสิทธิในการเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ และแบบฟอร์มควรจะระบุให้มีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน รวมทั้งระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้นั้นเองค่ะ

  1. แจ้งเจ้าของข้อมูลเกี่ยวกับนโยบายความเป็นส่วนตัว หรือ Privacy Policy

         เพื่อเป็นเอกสารยืนยันให้กับทางเจ้าของข้อมูลรับทราบว่าข้อมูลที่จะนำไปใช้นั้นมีวัตถุประสงค์ในการใช้เพื่ออะไร หรือมีเงื่อนไขอะไรบ้างนำไปใช้ รวมไปถึงระยะเวลาในการจัดเก็บข้อมูล รวมไปถึงระบุมาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางการติดต่อบริษัท ซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)

  1. การขอคำยินยอมในการใช้ Cookie ธุรกิจ

        จำเป็นอย่างยิ่งที่หน้าเว็บไซต์ของแต่ละธุรกิจจะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลที่เป็นผู้ใช้งานหน้าเว็บไซต์ในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจับเก็บ นับตั้งแต่ข้อมูลพื้นฐาน ไม่ว่าจะเป็น ชื่อบัญชีผู้ใช้งาน รวมไปจนถึงการติดตามประวัติการใช้งาน หรือพฤติกรรมของผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ ที่องค์ได้มีการระบุได้ รวมำไปถีงสิทธิของผู้ใช้งานเพื่อเป็นการตัดสินใจในการยินยอมเข้าถึงข้อมูลส่วนบุคคลใดบ้าง

     5. การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล

         หากเกิดการรั่วไหลของข้อมูลที่องค์กรเป็นผู้ดูแล คนทำธุรกิจหรือองค์กรจะต้องมีการแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือถูกนำไปใช้ในทางที่ผิด จะต้องมีการประเมินส่วนที่ขาดหาย และวิธีการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ได้รับความเสียหาย

          เมื่อสิ่งนี้ถูกเรียกว่าเป็นกฎหมายแล้ว หากคนทำธุรกิจยังมีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎจากผู้ที่มีหน้าที่ควบคุมข้อมูลหรือจัดเก็บข้อมูลส่วนบุคคลของผู้อื่น ก็จะถูกพิจารณาความรับผิดในโทษตามที่กฎหมายกำหนดไม่ว่าจะเป็น โทษทั้งทางแพ่ง โทษทางอาญาและโทษทางการปกครอง โดยกำหนดให้มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ เพิ่มเติม โทษ PDPA

⠀⠀สรุป หลังจากที่กฎหมาย PDPA ได้มีการบังคับใช้อย่างเป็นทางการไปแล้วนั้นเมื่อ วันที่ 1 มิถุนายน พ.ศ. 2565 ดังนั้นจำเป็นอย่างยิ่งที่คนทำธุรกิจ หรือในองค์กรต่างๆ จึงต้องตระหนักในการปฏิบัติตามกฎหมายและควรเริ่มศึกษา เรียนรู้ และให้ความสำคัญกับกฎหมาย PDPA อย่างจริงจัง เพื่อสร้างความเชื่อมั่นให้กับบุคคลที่เป็นเจ้าของข้อมูลที่เราจัดเก็บข้อมูล รวมถึงลูกค้าผู้ที่เข้ามาซื้อสินค้าและใช้บริการ และเพื่อให้สามารถการดำเนินธุรกิจอย่างถูกต้องตามกฎหมายอีกด้วยค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

Privacy Policy ของ HR & Recruitment ต่างกันอย่างไร?

Privacy Policy ของ HR & Recruitment ต่างกันอย่างไร?

          อย่างที่ว่านโยบายสองฉบบนี้เป็นนโยบายที่มีการจัดทำขึ้นเพื่อลดความเสี่ยงต่างๆ เพราะเมื่อมีการจ้างพนักงานเข้ามาใหม่สิ่งสำคัญของข้อมูลที่นายจ้างทุกคนจะต้องขอจากผู้สมัครงาน คือ ชื่อ-นามสกุล, เบอร์โทร, อีเมล, ที่อยู่ และเลขบัตรประชาชน หรืออาจจะรวมไปถึงข้อมูลอื่นๆที่ประกอบในส่วนการคัดเลือกพนักงาน เช่น Resume, CV ซึ่งข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลตาม PDPA แต่ นอกจากนี้ทางนายจ้างยังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ เพราะว่ามีความจำเป็นตามที่กฎหมายกำหนด เช่น ในเรื่องการจ่ายเงินเดือน, การหักภาษี และการส่งประกันสังคม หรือตามลักษณะการจ้างงานของบริษัท ซึ่งในที่นี้นายจ้างสามารถแจ้งผ่านเอกสารที่ชื่อว่า ” HR Privacy Policy “

         และฝ่าย HR มีหน้าที่สำคัญเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของ พนักงานในองค์กรและผู้สมัครงาน และยังเป็นกลุ่มแรกที่เสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว ดังนั้นเพื่อลดความเสี่ยงที่จะเกิดขึ้นในอนาคตและบริษัทจำเป็นต้องมีเอกสารควบคุมในการจัดการในเรื่องนี้ แต่ถ้าหาก HR ไม่มีมาตรการรักษาข้อมูลที่ครอบคลุม เกิดกรณีข้อมูลหลุดออกไป บริษัทก็อาจจะได้รับโทษทางกฎหมาย โทษ PDPA และไม่ว่าจะเป็นการจัดเก็บในรูปแบบของกระดาษ หรือไฟล์เอกสารอิเล็กทรอนิกส์ เอกสารทั้งหมดนี้จะต้องผ่านการขอความยินยอม (Consent) ของพนักงานเท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร และรวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน

HR สามารถแจ้งผ่านเอกสารซึ่งสามารถแบ่งออกได้มี 2 แบบดังนี้

  1. นโยบาย Recruitment  จะเป็นเอกสารที่เกี่ยวกับ ผู้สมัครงานโดยตรง หรือ บุคคลภายนอก ที่อยู่ระหว่างกระบวนการสรรหาและคัดเลือก ที่ยังไม่ได้เป็นพนักงานของบริษัทนั้นเอง เป็นนโยบายความเป็นส่วนตัวด้านการสรรหาและคัดเลือกบุคลากรธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน ประวัติการศึกษา ประวัติสุขภาพ ไปจนถึงประวัติอาชญากรรม เพื่อใช้ในกระบวนการก่อนการพิจารณาจ้างงาน
  • วิธีดำเนินการของนโยบาย Recruitment
  • สื่อสารให้ผู้สมัครรับทราบประกาศนโยบายให้ชัดเจนฝ่าย HR จะต้องประกาศนโยบายข้อมูลส่วนบุคคลสำหรับการสรรหาทุกตำแหน่งงานที่เปิดรับ
  • ดำเนินการยินยอมในการเข้าถึงข้อมูลส่วนบุคคลของผู้สมัคร ผู้สมัครอ่านในนโยบายและ Consent Form ผ่านช่องทางที่บริษัทกำหนด
  • HR ตรวจสอบและแจ้งเตือนประมวลผลข้อมูลส่วนบุคคลในการพิจารณาของข้อมูลผู้สมัครที่ยินยอมเปิดเผยข้อมูลส่วนบุคคล และดำเนินการตามกระบวนการต่อไป
  • เมื่อเสร็จสิ้นการดำเนินตามกระบวนการ HR จะต้องแจ้งกำหนดวิธีวิการจัดเก็บ ตามขั้นตอนต่อไป
  1. นโยบาย HR  จะเป็นเอกสารที่เกี่ยวกับ พนักงานที่เป็นพนักงานปัจจุบันภายในองค์กร หรือ บุคคลที่ผ่านกระบวนการสรรหาและผ่านการคัดเลือกได้บรรจุเป็นพนักงานขององค์กรแล้ว นโยบายความเป็นส่วนตัวนี้จะเป็นเอกสารที่ออกโดยนายจ้างหรือบริษัทเพื่อแจ้งให้พนักงานทุกคนทราบว่าบริษัทมีการเก็บข้อมูลของพนักงานอะไรไปบ้าง เอาไปใช้เพื่ออะไร จะเก็บรักษาให้ปลอดภัยอย่างไร รวมไปถึงจะลบหรือทำลายข้อมูลเมื่อไหร่ และถ้าหากพนักงานเกิดมีข้อสงสัยในเรื่องของข้อมูลเหล่านี้สามารถติดต่อบุคคลใดได้บ้าง
  • สิ่งที่ต้องดำเนินการของนโยบาย HR  ที่เป็นเอกสารประกาศแจ้งในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้พนักงานอ่านและทำความเข้าใจ ใน
  • ขอบเขตของประกาศ
  • การเคารพสิทธิในความเป็นส่วนตัวบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล [ระบุช่องทางติดต่อ]
  • วิธีการเก็บรวบรวมข้อมูล
  • รายการข้อมูลส่วนบุคคล วัตถุประสงค์และระยะเวลาในการเก็บข้อมูล
  • หน่วยงานที่ข้อมูลอาจถูกเปิดเผย
  • สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • รูปแบบวิธีดำเนินการของนโยบาย HR
  • สื่อสารให้พนักงานเตรียมพร้อมมีการกำหนดวันให้ชัดเจน HR แจ้งให้พนักงานผ่านช่องทาง Email หรือระบบอิเล็กทรอนิกส์
  • ดำเนินการระหว่างวันที่ ถึง วันที่ พนักงาน อ่านทำความเข้าในใจนโยบายและ Consent Form กลับมา
  • ตรวจสอบและแจ้งเตือนระหว่างวันที่ ถึง วันที่  HR ตรวจสอบและแจ้งเตือนพนักงานที่ยังไม่ได้ดำเนินการ
  • เสร็จสิ้นกำหนดวันให้ชัดเจน พนักงาน ดำเนินการตามวันที่กำหนด

การทำนโยบายกับการขอความยินยอม (Consent)

          ดังนั้น บริษัทจะขอความยินยอมเฉพาะกรณีเพื่อขอความยินยอมจากพนักงานในการขอเก็บรวบรวมและใช้ รวมทั้งขอเปิดเผยให้บริษัทในเครือฯ ไม่ว่าจะเป็น ข้อมูลศาสนา, ข้อมูลสุขภาพ, รหัสพนักงาน, เบอร์โทรศัพท์และอีเมล

  • ผ่านการได้รับความยินยอมก่อน หรือขณะเก็บรวบรวมข้อมูล
  • จัดทำโดยชัดแจ้งเป็นหนังสือหรือระบบอิเล็กทรอนิกส์
  • ความเป็นอิสระในการให้ความยินยอม
  • ถอนความยินยอมเมื่อไหร่ก็ได้ (ยกเว้นแต่มีข้กฎหมายกำหนด)
  • มีการแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ต้องแยกส่วน ใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวง

“ พนักงานต้องให้ความยินยอมบริษัทจึงจะสามารถ เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลได้ ”

บริษัทสามารถแจ้ง Privacy Policy ให้พนักงานทราบได้อย่างไรบ้าง?

การแจ้งให้ทราบสามารถทำได้หลายวิธี เลือกใช้งานได้ตามความเหมาะสมดังนี้

  • ส่งอีเมลหาพนักงานทุกคน
  • ปิดประกาศถึงนโยบายภายในสำนักงาน ในตำแหน่งที่พนักงานทุกคนเห็นได้ชัด
  • รวมไว้เป็นส่วนหนึ่งในสัญญาจ้างงานของพนักงาน

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR     คลิ๊ก!!!

Cookie Consent คืออะไร? สำคัญอย่างไรต่อ PDPA

Cookie Consent คืออะไร? สำคัญอย่างไรต่อ PDPA

Cookies Consent แต่ก่อนที่จะทำความเข้าใจในเรื่องของ Cookie Consent ต้องอธิบายถึง PDPA กันก่อนว่า PDPA คืออะไร

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้มีการบังคับใช้ในไทย และเพื่อไม่ให้เกิดการละเมิดในสิทธิ์ของเจ้าของข้อมูล จึงมีผลบังคับใช้ในภาคธุรกิจในวันที่ 1 มิถุนายน 2565 โดยเจ้าของเว็บไซต์จะต้องได้รับความยินยอมในการจัดเก็บข้อมูลจากเจ้าของข้อมูลก่อนในการเก็บ การใช้ และเปิดเผยข้อมูล รวมทั้งการถ่ายโอนก็จะต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ

  • ข้อมูลส่วนบุคคลพื้นฐาน เช่น ชื่อ สกุล ที่อยู่ เบอร์โทร email อายุ รูปถ่าย เลขบัตประชาชน อายุ ประวัติการศึกษา เและ
  • ข้อมูลส่วนตัวที่มีความละเอียดอ่อน เช่น ศาสนา เชื้อชาติ สัญชาติ พฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ เป็นต้น

**ศึกษาข้อมูลเพิ่มเติมที่  PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคค

คุกกี้ คืออะไร ?

Cookie คือ สิ่งที่อยู่บนหน้าเว็บบราวเซอร์คือไฟล์ Text เล็กๆ หรือชิ้นส่วนของข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์หรืออุปกรณ์อื่นๆ เช่น สมาร์ทโฟน หรือแทบเล็ต เมื่อเราเข้าเยี่ยมชมเว็บไซต์ Cookie จะทำการบันทึกข้อมูลประวัติการใช้งาน ตำแหน่งที่อยู่ต่างๆ ของเรา การใช้ไฟล์คุกกี้ถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น เจ้าของเว็บไซต์จะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมใช้ข้อมูลส่วนบุคคลด้วย ถึงแม้ว่าคุกกี้อาจจะไม่ได้เป็นของคุณ คุกกี้ต่างๆสามารถตั้งค่าโดยบริการที่คุณใช้บนเว็บไซต์ของคุณ อย่างเช่น Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag เป็นต้น

Cookie Consent คืออะไร ?

การขอความยินยอมในการใช้คุกกี้ คือ การขอความยินยอมจากผู้ใช้งานซึ่งนับว่าเป็นเจ้าของข้อมูล ในการใช้ข้อมูลที่ได้จากคุกกี้เพื่อจุดประสงค์ต่าง ๆ เพื่อเป็นการเคารพสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูล รวมไปถึงเพื่อให้เป็นไปตามพรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ (PDPA) โดยส่วนประกอบที่สำคัญที่จะต้องมีแสดงไว้ คือ มีการขอความยินยอมในการเข้าใช้ข้อมูล โดยจะต้องมีการระบุวัตถุประสงค์ในการใช้ข้อมูลที่ชัดเจน รวมไปถึงสามารถให้เจ้าของข้อมูล มีสิทธิในการเลือกตั้งค่าความยินยอมได้ ซึ่งสาเหตุที่ทุกเว็บไซต์จะต้องใส่ใจ และทำข้อตกลงในการขอความยินยอมอย่างจริงจังนอกจากจะเพื่อเป็นการเคารพความเป็นส่วนตัวของเจ้าของข้อมูลแล้ว แต่ยังเพราะหากฝ่าฝืนในกฎหมายจะมีบทลงโทษตามกฎหมายของ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีการบังคับใช้ในวันที่ 1 มิ.ย. 2565 นี้อีกด้วย

เราต้องได้รับความยินยอมก่อนตั้งค่าคุกกี้หรือไม่?

ดังนั้น ตอบเลยว่า ใช่ ค่ะ ผู้ควบคุมข้อมูล หรือคนที่จัดเก็บข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือ (ผู้ที่มีการมาเยี่ยมชมเว็บไซต์) ก่อนจึงจะสามารถทำการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นๆ ได้

ประเภทของ Cookie

ประเภทของคุกกี้ได้มีการจำแนกออกให้เป็นไปตามวัตถุประสงค์ตามการใช้งาน โดยได้มีการจำแนกประเภทของคุกกี้ ดังต่อไปนี้ค่ะ

  • คุกกี้จำเป็น ซึ่งจะช่วยทำให้การใช้เว็บไซต์ทำงานได้อย่างถูกต้อง และปลอดภัยต่อการทำงาน
  • ประเภทคุกกี้การเก็บข้อมูลการใช้งาน การเก็บรวบรวมและจัดเก็บรายงานข้อมูลสถิติจากการเข้าใช้งานหน้าเว็บไซต์
  • ฟังก์ชั่นคุกกี้ในการทำงาน ที่เป็นการบันทึกข้อมูลการเปลี่ยนแปลงฟังก์ชั่นในการใช้งาน เพื่อให้ง่ายและทำให้ครั้งต่อไม่ต้องทำซ้ำอีกบ่อยครั้ง
  • และคุกกี้ที่ใช้ในการโฆษณา มักที่จะเป็นคุกกี้จากเว็บไซต์บุคคลที่สามที่เผยแพร่หรือลงสู่พื้นที่ในการโฆษณานั่นเอง

สาระสำคัญสำหรับการใช้คุกกี้

  • ทำแบนเนอร์การแจ้งให้ผู้เข้าชมเว็บไซต์ทราบว่ามีการใช้คุกกี้
  • แจ้งวัตถุประสงค์ในการเก็บ ใช้ข้อมูล
  • ขอความยินยอมในการจัดเก็บคุกกี้
  • ใช้ภาษาที่เข้าใจง่าย ชัดเจน
  • ไม่สร้างเงื่อนไข
  • ผู้ใช้สามารถแจ้งได้ว่าจะใช้ข้อมูลประเภทใดได้บ้าง
  • เจ้าของข้อมูลสามารถขอยกเลิกหรือถอนความยินยอมได้

สรุปง่าย ๆ

ดังนั้น แล้วการขอความยินยอมในการใช้คุกกี้นั้น นับว่าเป็นข้อปฏิบัติหนึ่งตามกฎหมาย PDPA หากเว็บไซต์ของคุณมีการให้บริการสินค้าหรือการจัดเก็บข้อมูลของผู้ใช้บริการ วิธีที่ง่ายที่สุดคือการสร้าง Cookie Consent Banner เพื่อขอความยินยอมจากผู้ใช้งานเว็บไซต์ เป็นวิธีการที่สะดวกและได้รับความนิยม ไม่ซับซ้อนและถือเป็นการแจ้งให้ผู้ใช้งานเว็บไซต์ แต่สุดท้ายก็ทราบแล้วว่า ตัวแถบที่มีการแสดงข้างบนหรือข้างล่างในหน้าเว็บไซต์เหล่านั้น และอีกสองปุ่มรอให้ผู้ใช้งานกดมีไว้เพื่อวุตถุประสงค์อะไร หากเว็บไซต์ไหนไม่มีปุ่มเพื่อความยินยอมหรือไม่ยินยอมให้กดท่านก็ต้องระวังไว้เพราะเว็บไซต์นั้นๆกำลังละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของท่านแล้วนั้นเองค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR     คลิ๊ก!!!

CCTV ติดอย่างไรให้ปลอดภัยจาก PDPA

กล้องวงจรปิด CCTV เกี่ยวกับ PDPA อย่างไร

          การใช้กล้อง CCTV หรือกล้องวงจรปิด เพื่อใช้ในการรักษาความปลอดภัยและป้องกันการก่อให้เกิดอาชญากรรม แต่อาจจะส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลอย่างหลีกเลี่ยงไม่ได้ เนื่องจากข้อมูลที่ถูกบันทึกไว้นั้นเป็นข้อมูลส่วนบุคคลล้วนทั้งสิ้นของผู้ถูกบันทึกภาพ ดังนี้ ผู้ที่ใช้กล้องจึงมีความจำเป็นต้องทำความเข้าใจในข้อที่เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ PDPA ) เพื่อจัดการให้วิธีการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปโดยชอบด้วยกฎหมาย

          แต่ทั้งนี้เมื่อเกิดการพิจารณาฐานการประมวลผลข้อมูลส่วนบุคคลแล้ว ก็จะมีฐานการประมวล 2 ฐานที่รองรับเหตุผลหรือความจำเป็นในการดำเนินการใช้งานการติดตั้งกล้องในพื้นที่และอาคารสำนักงานเพื่อบันทึกภาพเพื่อใช้ในด้านการเฝ้าระวังทางด้านความปลอดภัย คือ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) และ ฐานหน้าที่ตามกฎหมาย (Legal Obligation) นั่นเอง

  1. ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เพื่อการจำเป็นต่อการดำเนินการเพื่อประโยชน์โดยชอบธรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลโดยเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้อย่างสมเหตุสมผล เว้นแต่ ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ตัวอย่างข้อความ
  • เพื่อดูแลรักษาความปลอดภัยให้แก่พนักงาน ผู้ใช้บริการ และบุคคลอื่นที่เข้ามาภายในอาคารและสถานที่ รวมถึงการดูแลทรัพย์สินของบริษัทไม่ให้ผู้ที่ไม่เกี่ยวข้องสามารถเข้าออกเขตหวงห้าม รวมถึงใช้ในการสอบสวนเหตุต่างๆ ที่เกิดขึ้นภายในอาคารและสถานที่
  • เพื่อประโยชน์โดยชอบด้วยกฎหมาย ในการตรวจสอบดูแลความสงบเรียบร้อยและรักษาความปลอดภัยในทรัพย์สินของบริษัทฯ และของบุคคลทั่วไป
  1. ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เพื่อการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่างข้อความ
  • เพื่อการปฏิบัติตามกฎหมายตามที่หน่วยงานรัฐที่มีอำนาจตามกฎหมายร้องขอ หรือใช้เพื่อเป็นพยานหลักฐานกรณีเกิดเหตุอาชญากรรม หรืออุบัติเหตุที่เกิดขึ้นภายในหรือบริเวณอาคารและสถานที่

วัตถุประสงค์ในการใช้กล้อง CCTV มีกี่กรณี

ในบทความนี้ ผู้เขียนแบ่งการใช้กล้องวงจรปิด เป็น 2 กรณี โดยแยกตามวัตถุประสงค์ของการใช้ ดังนี้

กรณีที่ 1 การใช้กล้อง เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว

          ในกรณีการติดตั้งกล้องเพื่อรักษาความปลอดภัยในบ้านและสมาชิกในครอบครัวนั้น แม้ว่าข้อมูลที่ถูกเก็บรวบรวมจะเป็นข้อมูลส่วนบุคคลก็ตาม แต่ก็เป็นข้อยกเว้นที่ไม่อยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ตามที่กฎหมายกำหนด ที่ไม่ได้มีการบังคับที่ว่าการเก็บรวบรวม การใช้ หรือการเปิดเผย ข้อมูลส่วนบุคคลของคนในครอบครัวเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

          กล่าวคือ คนที่ติดตั้งกล้อง เพื่อวัตถุประสงค์ดังกล่าวสามารถเก็บประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องมีการพิจารณาถึงฐานในการประมวลผลตามกฎหมายแต่อย่างใด แต่ในการติดตั้งตามวัตถุประสงค์ข้างต้น จะต้องเป็นการใช้เพื่อประโยชน์ส่วนตัวอย่างแท้จริงเท่านั้น เช่น ต้องไม่ทำการติดตั้งกล้อง ที่ใช้ถ่ายนอกเหนือบริเวณพื้นที่บ้านของตนเอง

กรณีที่ 2 การใช้กล้อง เพื่อประโยชน์ของหน่วยงาน ร้านค้านหรือองค์กรต่าง ๆ

          การติดตั้งกล้อง เพื่อประโยชน์ของหน่วยงาน ในร้านค้าหรือองค์กรต่าง ๆ โดยทั่วไปแล้วการติดตั้งเพื่อใช้เป็นการรักษาความปลอดภัยของบุคคลหรือทรัพย์สินของหน่วยงาน เห็นได้ว่ากรณีนี้ไม่อยู่ภายใต้ข้อยกเว้นตามที่กฎหมายกำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ PDPA เนื่องจากไม่ใช่การใช้เพื่อประโยชน์ส่วนตน ดังนี้ ผู้ที่ใช้กล้องวงจรปิด ในฐานะผู้ควบคุมข้อมูลจึงต้องมีฐานทางกฎหมายมารองรับการประมวลผลข้อมูลส่วนบุคคลดังกล่าวและมีหน้าที่ดำเนินการให้สอดคล้องกับฐานตามที่กฎหมายกำหนดไว้นั้น

         โดยผู้ที่ติดตั้งกล้องในฐานะผู้ควบคุมข้อมูลส่วนบุคคลนั้นมีหน้าที่แสดงให้เห็นว่าการประมวลผลข้อมูลส่วนบุคคลเป็นไปเพื่อผลประโยชน์อันชอบด้วยกฎหมายของตนเอง และผลประโยชน์นั้นมีความสำคัญไม่น้อยกว่าสิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ เมื่อมีการเก็บรวบรวมข้อมูลแล้ว จะต้องมีการจำกัดบุคคลที่สามารถเข้าถึงในตัวของข้อมูล และจัดให้มีการลบหากไม่จำเป็นต้องการใช้ข้อมูลนั้น ๆ แล้ว

บทลงโทษถ้าเราไม่ปฏิบัติตามร้ายแรงแค่ไหน

          ในตามหลักแล้วเราจะต้องแจ้งให้ผู้ที่เข้ามายังสถานที่ของเราให้ทราบว่าเรานั้นจะมีการบันทึก หรือเก็บรายละเอียดในการเข้าออก และมีการติดตั้งระบบกล้องวงจร โดยใช้วิธีในการติดประกาศที่สามารถมองเห็นได้อย่างชัดเจน รวมไปถึงทำการประกาศในตัวนโยบายข้อมูลส่วนบุคคล ซึ่งมีการระบุเกี่ยวกับการจัดเก็บ การบันทึก และการนำข้อมูลไปใช้ที่บันทึกผ่านผ่านกล้องวงจร ตามรายละเอียดที่ พรบ.กำหนด หรือที่เราอาจเรียกได้ว่า CCTV Privacy Policy นั้นเองค่ะ

ซึ่งหากเราไม่มีการติดประกาศแจ้งให้ชัดเจนถูกต้อง เราอาจจะมีความผิด แต่ถ้าเราพูดถึงกรณีร้ายแรงสุดของโทษทางปกครองแล้วนั้น จะมีความผิดในโทษโดยการโทษปรับสูงสุดถึง 5 ล้านบาทเลยทีเดียว!!

ข้อเสนอแนะ

          การติดตั้งและการใช้งานกล้องวงจร ในพื้นที่และอาคารสำนักงานเพื่อบันทึกภาพเพื่อประโยชน์ในด้านการเฝ้าระวังภัยและในด้านการรักษาความปลอดภัย ไม่ถือเป็นการละเมิดสิทธิความเป็นส่วนตัวหรือข้อมูลส่วนบุคคล เพราะเนื่องจากเป็นการดำเนินการเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล และดูแลรักษาความปลอดภัยในบริเวณของสถานที่ของตนรับผิดชอบ ซึ่งเป็นการกระทำที่เข้าข่ายในฐานทางกฎหมายประโยชน์โดยชอบด้วยกฎหมายของเจ้าของสถานที่นั้น ๆ และการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล แต่ทั้งนี้สิ่งที่ควรดำเนินการ คือ

  1. ทำการแจ้งทุกคนที่จะถูกบันทึกภายใต้กล้องวงจร โดยติดป้ายประกาศแจ้งให้ผู้อ่านทราบรายละเอียดอย่างชัดเจนว่ากำลังถูกตรวจติดตาม เช่น พื้นที่นี้มีการติดตั้งกล้องโทรทัศน์วงจรปิด เพื่อบันทึกภาพและวิดีโอ เพื่อประโยชน์ในด้านการเฝ้าระวังและด้านความปลอดภัย
  2. การรักษาและจัดทำนโยบาย CCTV Privacy Policy ที่ชัดเจนเกี่ยวกับวัตถุประสงค์และขอบเขตของการตรวจติดตามจากที่มีการกำหนดไว้
  3. ตัวอย่างข้อความเพื่อระบุถึงข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูล เช่น เราจะทำการเก็บภาพเคลื่อนไหวหรือภาพนิ่งซึ่งสามารถที่จะสามารถจดจำได้ว่าเป็นคุณ เสียงของคุณ รวมถึงทรัพย์สินของคุณ เช่น ยานพาหนะ หรือแหล่งข้อมูลที่สามารถระบุตัวตนได้ตามที่เห็นได้ผ่านการติดตั้งกล้อง เมื่อเข้าไปในพื้นที่ที่ได้ทำการตรวจสอบภายในสถานที่ อาคาร และพื้นที่ใดๆ ของเรา ผ่านระบบและอุปกรณ์กล้อง

ตัวอย่างข้อความเพื่อระบุวัตถุประสงค์ของการเก็บรวบรวมข้อมูล

เช่น

  • เพื่อประโยชน์ต่อชีวิต เป็นเรื่องจำเป็นต่อการขัดขวาง ป้องกัน และ/หรือ ระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพของบุคคล เช่น เพื่อปกป้องสุขภาพและความปลอดภัย รวมถึงทรัพย์สินของคุณ
  • เป็นประโยชน์โดยชอบด้วยกฎหมายของเรา ในการคุ้มครองสุขภาพและความปลอดภัยของคุณ รวมถึงทรัพย์สินของของคุณ อาคาร สถานที่ และทรัพย์สินของเราจากความเสียหาย ความขัดข้อง การทำลายทรัพย์สิน และอาชญากรรมอื่นๆ
  • เพื่อช่วยเหลือแก้ไขข้อพิพาทที่เกิดขึ้นในกระบวนการทางวินัยหรือกระบวนการยุติเรื่องร้องทุกข์อย่างมีประสิทธิภาพ
  • เพื่อช่วยเหลือในการสอบสวนและกระบวนการที่เกี่ยวข้องกับการร้องเรียน และการแจ้งเบาะแส
  • เพื่อช่วยเหลือในการเริ่มหรือต่อสู้คดี
  • เพื่อการปฏิบัติตามกฎหมายที่บังคับใช้ การให้ความร่วมมือกับหน่วยงานราชการ หน่วยงานรัฐ และ หน่วยงานบังคับใช้กฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ กฎหมายว่าด้วยความปลอดภัยและสิ่งแวดล้อมในที่ทำงาน

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR     คลิ๊ก!!!

Data Subject Rights สิทธิของเจ้าของข้อมูลตาม PDPA มีอะไรบ้าง?

Data Subject Right สิทธิของเจ้าของข้อมูลตาม PDPA มีอะไรบ้าง?

Data Subject Right หรือสิทธิของเจ้าของข้อมูลตามกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ( PDPA ) ได้มีการบัญญัติถึงสิทธิของเจ้าของ Data Subject Rights ข้อมูลส่วนบุคคลไว้ 8 ประการ โดยมีรายละเอียดดังต่อไปนี้ 

1. สิทธิในการเข้าถึงและขอรับสำเนา (Right of Access and Copy) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของข้อมูลเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมไว้

2. สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้

  1. ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
  2. ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้

3. สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้

  1. กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  1. กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
  2. กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล

4. สิทธิในการขอลบหรือทำลายขเ้อมูลส่วนบุคคล (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

  1. เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  2. เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
  3. เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอ หรือกระทำการคัดค้านได้
  4. เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้

5. สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้

  1. เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดำเนินการตามที่เจ้าของข้อมูลร้องขอ
  2. เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
  3. เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  4. เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล

6. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตาม มาตรา 39

7. สิทธิในการแจ้งให้ทราบของข้อมูลส่วนบุคคล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย

8. สิทธิในการถอดถอนความยินยอมของข้อมูล (Right to Withdraw Consent) เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอมเมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

ข้อมูลเพิ่มเติมตามมาตรา 39

มาตรา 39   ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  6. การใช้หรือเปิดเผยข้อมูล
  7. การปฏิเสธคำขอหรือการคัดค้าน
  8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ

  • ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
  • คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝงโดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
  • ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
  • ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น

ดังนั้น การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นการสร้างบรรทัดฐานในการใช้ประโยชน์จากฐานข้อมูลส่วนบุคคลจำนวนมากโดยกำหนดแนวทางการคุ้มครองข้อมูลส่วนบุคคลให้องค์กรทุกแห่งในการจัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลในประเทศไทย พร้อกำหนดแนวปฏิบัติตาม ดังนั้น บุคคลที่มีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ พึงตระหนักถึงทางเลือกในการให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผยข้อมูล เพราะบุคคลมีสิทธิถอนความยินยอมได้ทุกเมื่อ สรุปแล้ว สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject Right จึงเป็นส่วนสำคัญอย่างยิ่งที่ทุกๆคนจะต้องตระหนักและให้ความสำคัญในสิทธิที่ทุกคนมีนั้นเองค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

Data Protection เสริมเกาะป้องกัน รู้ทันกฎหมาย PDPA

Data Protection

          Data Protection ความปลอดภัยของข้อมูลส่วนบุคคลที่องค์กรไม่ควรมองข้าม ในขณะที่ภาคธุรกิจหลายๆ ที่กำลังตื่นตัวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยจะเริ่มมีผลบังคับใช้เต็มรูปแบบใน วันที่ 1 มิถุนายน 2565 แล้วนั้น แม้จะถูกเลื่อนมาแล้วหลายครั้งต่อหลายครั้ง เพราะเนื่องจากการระบาดของ Covid-19 แต่นั่นไม่ใช่สาเหตุหลักที่องค์กรจะต้องรอช้าได้อีกต่อไป เพราะสิ่งที่สำคัญคือทุกองค์กรจะต้องมีการเตรียมความพร้อมที่จะจัดการกับการจัดเก็บที่ตนนั้นครอบครองโดยเฉพาะอย่างยิ่งข้อมูลอ่อนไหวที่มีอยู่ในครอบครอง ทั้งข้อมูลที่เป็นตัวอักษรซึ่งถูกจัดเก็บในรูปแบบไฟล์บนคอมพิวเตอร์ หรือแม้แต่กระทั่งข้อมูลในรูปแบบเสียงที่หลายองค์กรมักมองข้ามนั่นเองอย่างธุรกิจที่เกี่ยวข้องกับการรวบรวมข้อมูลส่วนบุคคลในประเทศไทย อย่างเช่น Contact Center ที่จะต้องมีการบันทึกเสียงสนทนาระหว่างลูกค้าและพนักงาน ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องได้รับความคุ้มครองและมีการขอยินยอมในการจัดเก็บไฟล์ โดยแจ้งให้ลูกค้าทราบทุกครั้งที่มีการบันทึกเสียง และเจ้าของข้อมูลสามารถขอเรียกดูข้อมูลได้ในภายหลัง

          และข้อมูลที่แต่ละองค์กรได้รับมาจากเจ้าของข้อมูลนั้น จะต้องทำการเก็บรักษาไว้อย่างปลอดภัย และในส่วนของผู้ควบคุมข้อมูล (Data Controller) ที่จะต้องมีหน้าที่ในการดำเนินการตามขั้นตอนตามที่เหมาะสม และเพื่อให้มั่นใจในความน่าเชื่อถือขององค์กร ดังนั้นพนักงานทุกคนที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของตน และถ้าหากในกรณีที่มีบุคคลที่สามนำข้อมูลไปใช้ในการประมวลผลอย่างอื่น องค์กรจะต้องมั่นใจได้ว่ามีการทำสัญญากับผู้ประมวลผลข้อมูลนั้นๆ โดยชัดแจ้งและจะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมในการเก็บรักษา และองค์กรผู้เก็บข้อมูลนั้นมีหน้าที่ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ตนจัดเก็บไว้นั้นถูกต้องและเป็นปัจจุบัน ซึ่งหมายความว่าองค์กรควรตรวจสอบข้อมูลที่เก็บไว้เกี่ยวกับบุคคลเป็นระยะๆ และแก้ไขข้อมูลที่ล้าสมัยหรือที่ไม่ถูกต้องตามหลักกฎหมาย PDPA ดังนั้นเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอลบหรือทำลายข้อมูลที่ไม่ถูกต้องที่เกี่ยวกับพวกเขาเอง

 การเก็บรวบรวมข้อมูลส่วนบุคคลกรณีความยินยอม

  • ต้องได้รับความยินยอมจากเจ้าของข้อมูลโดยตรง และความยินยอมนั้นควรจะครอบคลุมวัตถุประสงค์ที่จะนำไปใช้
  • องค์กรนั้นต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • แต่ละองค์กรควรปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตน
  • ควรต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล
  • ควรออกหนังสือขอความยินยอมหรือขอผ่านระบบอิเล็กทรอนิกส์

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

  • ห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม   *เว้นแต่กรณีที่กฎหมายกำหนดไว้ว่าไม่ต้องขอความยินยอม*
  • บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลจะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น
  • การใช้หรือเปิดเผยข้อมูลที่ได้รับการยกเว้น ไม่ต้องขอความยินยอม แต่ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือการเปิดเผยนั้นไว้

สิ่งที่ควรรู้ :

  • พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีไว้เพื่อคุ้มครองข้อมูลของบุคคลทั่วไปที่เป็นเจ้าของข้อมูล ทั้งทางตรงและทางอ้อม โดยผู้ถือครองข้อมูลสามารถนำข้อมูลไปใช้เท่าที่จำเป็นเท่านั้น ต้องมีวัตถุประสงค์ชัดเจนว่าเก็บข้อมูลไปเพื่ออะไร
  • การบันทึกภาพและนำไปแชร์ ที่ไม่ก่อให้เกิดรายได้ เพื่อความสนุกส่วนตัว อยู่ในลักษณะการใช้งานเพื่อประโยชน์ส่วนตน (ภายในครอบครัว) ไม่ได้อยู่ภายใต้ข้อบังคับของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่ระวังการนำไปใช้เพื่อการค้าภายหลัง และระวังไม่ให้ภาพถูกนำไปใช้สร้างความเดือดร้อนให้ผู้อื่น
  • ฐานประโยชน์อันชอบธรรม เข้าข่ายพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องป้องกันการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์หรือเปิดเผยโดยมิชอบ ซึ่งการนำภาพถ่ายหรือข้อมูลไปใช้ต้องระบุให้ได้ว่าภาพถ่าย (หรือข้อมูล)ดังกล่าวมีประโยชน์อะไร และต้องคำนึงถึงสิทธิ เสรีภาพของเจ้าของข้อมูลด้วย

รู้หรือไม่ ? ข้อมูลส่วนบุคคลไม่ได้มีแค่ตัวอักษร

          ระบบในการจัดเก็บข้อมูลในรูปแบบไฟล์ เสียง (Voice) มีความสำคัญไม่แพ้ระบบจัดเก็บข้อมูลในรูปแบบไฟล์ที่เป็นข้อความ (Text) ที่หัวใจสำคัญคือความปลอดภัย เพราะจะต้องมีคุณภาพเสียงต้องชัดเจน มีระบบประมวลผลกลางที่สามารถสร้างความมั่นใจได้ว่าข้อมูลส่วนบุคคลจะถูกเก็บเป็นความลับ แม้แต่กับตัวพนักงานผู้จัดเก็บนั่นเอง และเพื่อหลีกเลี่ยงความผิดพลาดที่อาจจะเกิดขึ้นหรือการถูกฟ้องร้อง หากระบบที่ใช้ไม่มีความรัดกุมมากพอจนก่อให้เกิดความผิดพลาดในการรั่วไหลของข้อมูลส่วนนี้

          ข้อมูลเสียง หมายถึง เป็นข้อมูลที่เกิดจากการได้ยิน เช่น เสียงคนพูด เสียงสัตว์ร้อง เสียงจากธรรมชาติ หรือเสียงจากอุปกรณ์ต่าง ๆ ที่สามารถแสดงผลข้อมูลในรูปแบบเสียงได้ เช่น แผ่นซีดี โทรทัศน์ วิทยุ หรือโทรศัพท์มือถือ เป็นต้น

ข้อมูลเสียงกับธุรกิจ

  • ข้อมูลเสียง สามารถใช้เป็นข้อยืนยันในทางกฎหมาย  ธุรกิจที่มีความจำเป็นต้องติดต่อและรับความคิดเห็นจากลูกค้าอย่างสม่ำเสมอ ข้อมูลเสียงระหว่างการสนทนาที่ถูกบันทึกไว้ จะเป็นข้อมูลสำคัญที่ใช้ยืนยันในทางกฎหมายได้ แต่หากมีการเกิดกรณีการว่าร้าย หรือการฟ้องร้องเกิดขึ้น ระบบที่มีจะช่วยสร้างความเชื่อมั่นให้กับองค์กรและลูกค้าได้เป็นอย่างดี
  • ไฟล์เสียง สามารถใช้เพื่อพัฒนาบริการของบริษัท  ถึงแม้ปัจจุบันหลายองค์กรจะเริ่มใช้เทคโนโลยีระบบตอบรับอัตโนมัติผ่าน AI เพื่อตอบคำถามกับลูกค้าแทนคน แต่อย่างไรก็ตามการสื่อสารกับพนักงานยังคงตอบสนองความรู้สึกของลูกค้าได้มากกว่า ซึ่งบทสนทนาที่เกิดขึ้นจะนำไปสู่การพัฒนาและปรับปรุงบริการได้ในอนาคตนั่นเอง
  • เสียง สามารถใช้เพื่อยืนยันข้อตกลง  บางธุรกิจที่จำเป็นต้องทำข้อตกลงระหว่างองค์กรและลูกค้าผ่านช่องทางเสียงเพื่อตอบรับ หรือยืนยันการเลือกใช้บริการ เช่น ข้อตกลงในการอัปเกรดบริการตามโปรโมชั่นใหม่หรือการซื้อขาย ซึ่งลูกค้าสามารถยืนยันการใช้งานผ่าน Contact Center ได้นั้น ระบบจะสามารถจัดเก็บข้อมูลเสียงที่ใช้จำเป็นต้องสำรองข้อมูล และสามารถเรียกใช้ได้ตามต้องการ

ดังนั้น นอกจากการอัดเสียงแล้ว อีกทั้งในเรื่องการดักฟังทางโทรศัพท์ หรือเครื่องมือสื่อสารประการใดในทำนองเดียวกันก็เป็นอีกช่องทางที่จะได้รับรู้ว่าเขาพูดอะไร ทำอะไรโดยพลการเมื่อไหร่ก็อาจได้รับโทษสูงสุดถึงขั้นติดคุก 5 ปี มีการปรับถึงหลักแสนบาท แค่เพียงดักฟังก็มีความผิดไม่ต้องคิดว่าได้เผยแพร่หรือนำไปใช้ประโยชน์หรือยัง

ภายหลังการบังคับใช้ PDPA

          การที่เราจะยินยอมจะไม่เหมือนกับการยอมรับข้อตกลงต่างๆ ที่ยาวเหยียดโดยที่เราไม่ได้อ่านข้อความ เพราะกฎหมายข้อมูลส่วนบุคคลก็จะมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครองด้วย ฉะนั้นแล้วเจ้าของข้อมูลจะต้องอ่านข้อมูลให้ละเอียด เพื่อดูว่าจุดประสงค์ของการเก็บข้อมูลนี้ถูกนำไปใช้ตรงวัตถุประสงค์ที่แจ้งหรือไม่ หากเรายินยอมโดยไม่อ่าน ผู้ที่ได้รับการยินยอมหรือผู้ครอบครองข้อมูลของเราสามารถนำข้อมูลไปใช้ได้ ตรงนี้ต้องเน้นย้ำเรื่องการอ่าน การศึกษาในวัตถุประสงค์ หรือข้อบังคับให้ละเอียดก่อนให้ความยินยอมเสมอ เพื่อป้องกันการถูกละเมิดสิทธิของตนเอง

บทลงโทษของการละเมิดกฎหมาย

โทษทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง

โทษทางปกครอง

หากเราไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดที่ถูกต้องให้เจ้าของข้อมูลทราบ และไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิที่จะได้รับตามที่กฎหทายกำหนด ไม่มีการจัดทำบันทึกรายการ ไม่มีการกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO มีโทษปรับไม่เกิน 1,000,000บาท

หรือในการเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร มีโทษปรับไม่เกิน 3,000,000บาท

และเก็บรวบรวมข้อมูล ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000บาท

โทษทางอาญา

ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมายทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาททำไปเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกอย่างน้อย 1 ปี หรือปรับไม่เกิน 1,000,000 บาท

หากมีผู้ใด ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่นเว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่างๆ ที่เปิดเผยต่อสาธารณะ มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท

ดังนั้น ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!