วิธีแก้ปัญหาลดอัตราการ ลาออก ของพนักงาน

วิธีแก้ปัญหาลดอัตราการ ลาออก ของพนักงาน

        วิธีแก้ปัญหาลดอัตราการ ลาออก ของพนักงาน ในเรื่องของการทำงานที่มีประสิทธิภาพ ย่อมต้องได้มาจากบุคลากรที่มีประสิทธิภาพที่ได้มาทำงานในองค์กร นอกจากการเลือกจากคุณสมบัติที่เลิศ เลือกบุคลากรที่สามารถทำงานได้ดีเยี่ยมแล้ว แต่การที่จะทำให้พวกเค้าเหล่านั้นมีความสุข สนุกกับงานที่ทำนั้น เป็นปัจจัยสำคัญที่จะช่วยส่งเสริมให้คนทำงานอยากพัฒนาในเรื่องของงานให้ดียิ่ง ๆ ขึ้นไป แต่แล้วทำไมพนักงานบางคนถึงคิดที่อยากจะลาออกจากงาน ? เมื่อมองถึงเหตุผลง่าย ๆ เลยก็คือ ในการทำงานก็คือการใช้เวลาเพื่อแลกมากับผลตอบแทนบางอย่างหรือในหลาย ๆ อย่าง เช่น  เงินเดือน สวัสดิการ ความรู้ ความท้าทาย หรือแม้แต่สังคมในการทำงาน หากเราทำแล้วรู้สึกไม่คุ้มค่ากับสิ่งที่ได้มา เราก็ไม่สามารถทำอะไรได้อีกเลย หรือมีอีกทางเลือกในการไปหาองค์กรอื่นที่สามารถให้เราได้เยอะมากกว่า

          ข้อเสียและวิธีแก้ปัญหาพนักงานลาออก เป็นปัญหาที่น่าปวดใจที่สุดของผู้บริหารและหัวหน้างานก็คือการที่พนักงานลาออก บางครั้งในหลายครั้งที่องค์กรมักจะมีการโทษพนักงานว่ามีความอดทนไม่เพียงพอ ไม่เหมาะกับงานที่ทำอยู่ แต่จริงๆแล้วการเหมารวมแบบนี้ก็ยิ่งทำให้ปัญหาแย่ลงไปอีกมาก ดังนั้น สรุปก็คือการลาออกส่งผลเสียต่อองค์กรในระดับหนึ่ง และการที่พนักงานทำงานกับองค์กรยาว ๆ ก็คือผลดีที่หลายองค์กรส่วนมากอยากได้ โดยเหตุผลหลัก ๆ ในการลาออกของพนักงานนั้นก็คือความพึงพอใจในงานเมื่อเกิดความไม่พอใจในการทำงานก็จะทำให้เกิดการลาออก ดังนั้น วันนี้ทางทีม TV จึงได้เขียนบทความเพื่อมาแชร์ถึง วิธีแก้ปัญหาลดอัตราการ ในการลาออกของพนักงาน ดังตัวอย่างเช่น

สิ่งที่ทำให้พนักงานคิดอยากจะ ( ลาออก )

เงินเดือนและสวัสดิการ

เรื่องเงินเดือนและสวัสดิการถือเป็นปัญหาเบื้องต้นหลัก ๆ ของสาเหตุที่หลายคนเลือกที่จะการลาออก เพราะพนักงานไม่สามารถทำงานได้อย่างมีความสุขได้หากตัวเองและครอบครัวยังได้รับผลตอบแทนไม่เพียงพอ เงินเดือนนั้นควรอยู่บนพื้นฐานของค่าเฉลี่ยของตลาดงานในตำแหน่งนั้น ๆ ถ้าต่ำเกินไปจะทำให้องค์กรอื่นมีแรงดึงดูดพนักงานมากกว่านั้นเอง การดูแลในด้านเงินทำให้ชีวิตของพนักงานดีขึ้นและต้องไม่มีความกังวลในการใช้ชีวิตจะช่วยยกระดับการทำงานได้อีกด้วยในส่วนขององค์กรที่มีขนาดใหญ่ก็สามารถให้สวัสดิการพนักงานได้เยอะเช่นกันเพื่อเป็นการประหยัดต่อขนาดแบบหนึ่ง เพื่อเป็นหนึ่งในวิธีที่ทำให้ไม่ต้องจ่ายเงินเดือนที่เยอะ แต่ยังทำให้พนักงานส่วนมากพึงพอใจในส่วนนี้ได้

โอกาสในการเติบโตในองค์กรน้อย

ในเรื่องของการทำงานแน่นอนว่าพนักงานทุกคนนั้นย่อมต้องการความมั่นคงและการเติบโตจากตำแหน่งและหน้าที่การงาน ดังนั้นแล้วแน่นอนว่าตัวบริษัทจำเป็นที่จะต้องสร้างความเชื่อมั่นให้กับพนักงานว่า บริษัทนั้นมีเป้าหมายชัดเจนในการพัฒนาธุรกิจให้เติบโตโดดเด่นเป็นที่รู้จักในวงการธุรกิจเดียวกัน และพัฒนาบุคลากรให้เติบโตไปพร้อม ๆ กัน เพราะนอกจากการที่องค์กรมีการมอบงานหรือหน้าที่ที่มีความท้าทายหรือเสี่ยงสูงสิ่งที่ควรเพิ่มตามหน้าที่ให้นั่นคือการเติบโตในตำแหน่งงานด้วยเพราะคงไม่มีใครอยากที่จะทนรับงานมากยิ่งขึ้นแต่ตำแหน่งเท่าเดิมและได้ผลตอบแทนเท่าเดิมได้หรอก

หัวหน้าและเพื่อนร่วมงา

ในที่ทำงานหัวหน้างาน เปรียบเสมือน ครู ที่ช่วยแนะนำ ที่คอยให้ความรู้ และบางครั้งก็เป็นเหมือนเพื่อนที่คอยรับฟังปัญหา คอยชี้แนะแนวทาง และอยู่เคียงข้างด้วยความเข้าใจแน่นอนว่าคนที่เป็นหัวหน้างานจำเป็นอย่างยิ่งที่จะต้องมีคุณสมบัติพิเศษในการบริหารคน เปิดใจรับฟังลูกน้องทุกๆคนอย่างเท่าเทียมกัน มียุติธรรม มีความเป็นผู้นำที่ดี คอยให้การสนับสนุน และช่วยแก้ปัญหาให้กับลูกทีมอย่างเต็มใจ เพื่อที่จะให้เกิดการทำงานร่วมกันได้อย่างมีความสุข และเกิดความเคารพ ให้เกียรติ และจริงใจต่อกัน ในการทำงานร่วมกันเป็นทีมถือเป็นกุญแจสำคัญที่จะทำให้ทีมนั้นประสบความสำเร็จ แต่ถ้าหากคนในทีมไม่มีความสมัครสามัคคีกันย่อมทำให้เกิดรอยร้าว และนำไปสู่ความไม่เข้าใจกันในที่สุดนั้นจะส่งผลให้งานที่ออกมามีปัญหาเช่นเดียวกันกับพนักงานที่รู้สึกว่าความสัมพันธ์กับหัวหน้างานไม่ค่อยดีสักเท่าไหร่ ไม่ว่าจะเป็นเจ้านายไม่ปลื้มผลงาน เจ้านายลำเอียง หรือเจ้านายเลือกที่รักมักที่ชัง เพราะพวกเขาเล็งเห็นว่าหากมีปัญหากับหัวหน้างานอาจจะส่งผลให้ไม่ได้รับการโปรโมทในงาน ไม่ได้รับการปรับขึ้นเงินเดือน หรืออาจจะทำให้รู้สึกอึดอัดใจที่จะต้องทำงานด้วย นี้ก็ถือเป็นสาเหตุที่ส่งผลให้พนักงานหลายๆคนเลือกที่จะลาออกเพื่อที่จะหาที่ทำงานใหม่ๆที่ตนสามารถเข้าร่วมและอยู่ได้อย่างสบายใจ

ความไม่เท่าเทียม

แน่นอนว่าปัญหาการเมืองภายในองค์กรนั้นถือว่าเป็นเรื่องใหญ่มากสำหรับการทำงานของพนักงานเลยก็ว่าได้เพราะปัญหาเหล่านี้มักจะทำให้คนที่เก่งแต่ไม่ได้ถูกโปรดปรานลาออก และรวมไปถึงการมองถึงพนักงานเก่าเป็นของตายโดยไม่ใส่ใจหรือมองเห็นคุณค่า ผิดกับพนักงานใหม่ที่เข้ามารับผลตอบแทนที่มากกว่าทั้งที่อาจจะทำงานได้ไม่เท่าพนักงานเก่า ยกตัวอย่างเช่น หัวหน้าชอบพนักงานคนนี้มากกว่า เลยส่งผลให้พนักงานคนนั้นได้เลื่อนขั้นเร็วกว่าคนอื่นๆที่ไม่ได้เป็นที่โปรดปราน เมื่อไหร่ที่มีความไม่เท่าเทียมกันเกิดขึ้นก็จะส่งผลให้องค์กรเสียพนักงานที่เก่งหรือพนักงานเก่าที่รู้งานอยู่แล้วปัญหาตรงนี้ก็จะส่งผลกระทบต่อองค์กรในการหาพนักงานใหม่และเสียเวลาในการสอนงานให้กับพนักงานใหม่นั้นเอง

ได้ทำงานที่ไม่ถนัด

ปัญหาที่หลายๆคนประสบพบเจอเมื่อเริ่มทำงานนั้นบางครั้งนั้นก็คือการได้ทำงานในสิ่งที่ตนไม่ถนัด อย่างเช่นการที่เรียนจบมาอีกแบบหนึ่ง แต่พอมาทำงานจริงๆแล้วนั้นงานที่เจอกับไม่เป็นอย่างที่คิด หรือการได้รับมอบหมายในงานที่เกินขอบเขตที่ตนรับผิดชอบหรือเกินกำลังของตนเองมากจนเกินไปก็จะก่อให้เกิดความประหม่าหรือความไม่มั่นใจในการทำงานที่ตนทำอยู่ ดังนั้นสิ่งนี้จะทำให้พวกเขารู้สึกกดดันตนเอง กังวลในเรื่องระยะเวลาที่จะต้องส่งกับปริมาณงานที่ได้รับและกังวลว่าในเรื่องของประสิทธิภาพของงานที่ได้รับมอบหมายเพราะเมื่อหากงานที่ออกมาไม่ดีตามที่หวังก็จะได้รับการตำหนิ ดังนั้นหากเลือกได้พวกเขามักจะมองหางานใหม่ที่ใช่มากกว่า หรืองานที่พวกเขาถนัดมากกว่า นี้ก็เป็นอีกสาเหตุที่ส่งผลให้พนักงานลาออกนั้นเองค่ะ

แนวทางแก้ปัญหาลดอัตราการ ( ลาออก ) ของพนักงาน

สำรวจค่าจ้างและสวัสดิการของพนักงาน

องค์กรต้องสำรวจว่าค่าจ้างและสวัสดิการของพนักงานในแต่ละคนว่ามีความเหมาะสมหรือไม่ อาจจะใช้วิธีโดยการสำรวจค่าจ้างและสวัสดิการในตำแหน่งนั้น ๆ ว่าตแหน่งที่พวกเขาทำอยู่นั้นในตลาดแรงงานนั้นให้กันอยู่ที่เท่าไร เพื่อที่เราจะได้มีการจ่ายค่าจ้างและให้สวัสดิการนั้นให้ตรงตามความเหมาะสมเพื่อความพึ่งพอใจของพนักงานและรักษาพนักงานในการทำงานกับองค์กรให้นานมากยิ่งขึ้นนั้นเอง

วางแผนให้พนักงานได้เติบโตไปกับองค์กร

แน่นอนว่าแนวทางการเติบโตขององค์กรนั้นสำคัญเป็นอย่างมาก ดังนั้นองค์กรต้องวางแผนสร้างทิศทางการทำงานให้พนักงานได้เห็นโอกาสที่จะเติบโตก้าวหน้าในอาชีพที่พวกเขาทำอยู่ สร้างความเชื่อมั่นและทำให้พวกเขาได้มีการพัฒนาศักยภาพให้มากยิ่งขึ้น โดยอาจจะใช้วิธีที่ทำให้พนักงานได้ลองทำอะไรใหม่ ๆ หรือมีสวัสดิการในการส่งไปอบรมเพื่อความรู้ความสามารถที่มากยิ่งขึ้น และวางเป้าหมายให้พวกเขารู้สึกว่ามีเป้าหมายมีความท้ายทายในการทำงานเพื่อความก้าวหน้าและเติบโตในสายงานนั้นเอง

สร้างความสัมพันธ์ที่ดีในองค์กร

การทำงานร่วมกันได้เป็นอย่างดีของพนักงานทุกคนนั้นถือเป็นสิ่งที่ดี เพราะจะช่วยให้องค์กรลดปัญหาในการเกิดการมืองหรือความขัดแย้งภายในองค์กร ดังนั้นในการเชื่อมสัมพันธืที่ดีให้กับพนักงานนั้นองค์กรอาจจะหากิจกรรมให้พนักงานในองค์กรได้สร้างความสัมพันธ์ที่ดีต่อกัน คนที่เป็น HR จำเป็นอย่างยิ่งที่จะต้องใส่ใจพนักงานทุกคนอย่างเท่าเทียมไม่ฝ่ายใดฝ่ายหนึ่ง และจะต้องสร้างความสัมพันธ์ที่มีต่อกันอย่าปล่อยให้สภาพแวดล้อมในการทำงานแย่ลงไปเรื่อย ๆ

มอบหมายงานให้ตรงตามตำแหน่ง

คนเป็นหัวหน้างานนั้นควรมอบงานที่ตรงกับตำแหน่งหน้าที่ของลูกน้องโดยไม่เอาเปรียบลูกน้อง รู้จุดอ่อน จุดแข็งของลูกทีมเป็นอย่างดี และไม่มอบหมายงานให้แก่ลูกน้องมากจนเกินไปจนบางครั้งก็จะเกิดการทำงานที่มากจนเกินไป ดังนั้นแล้วจำเป็นอย่างยิ่งที่จะต้องมอบหมายในงานที่เหมาะสมตามตำแหน่งและตามหน้าที่ของพนักงานอย่างเท่าเทียมเพื่อความพึงพอใจงานของพนักงานและประสิทธิภาพในการทำงาน

ให้ความเท่าเทียมที่เท่ากัน

องค์กรจะต้องให้ความยุติธรรมและความเท่าเทียมแก่พนักงานทุกคนอย่างเท่า ๆ กันไม่เข้าข้างใครคนใดคนหนึ่งอย่างไร้เหตุผลเพียงเพราะเขาเป็นคนโปรด แต่ควรที่จะให้ความเท่าเทียมกันอย่างเหมาะสม อย่างตรงไปตรงมา ไม่เลือกปฏิบัติ โดยคำนึงในการชั่งน้ำหนักแต่ละเรื่องให้เป็นอย่างดีก่อนตัดสินนั้นเอง

          เมื่อพบกับปัญหาเราก็ต้องคิดหาวิธีแก้ แน่นอนหลักการในการดูแลพนักงานในองค์กรให้พวกเขามีความสุขนั้นถือเป็นเรื่องที่ยากจะเข้าใจหรือเป็นเรื่องซับซ้อนที่องค์กรต้องเจอเพราะพนักงานแต่ละคนมีความต้องการไม่เหมือนกันแล้วในฐานะที่เราเป็นนายจ้างเราควรจะหาจุดตรงกลางร่วมกันเพื่อที่จะได้มีฐานในการอยู่ร่วมกันอย่างมีความสุขและสิ่งเหล่านี้แหละค่ะที่จะทำให้พนักงานรักในองค์กรและอย่าที่จะทำงานกับองค์กรไปนานๆ เพราะถ้าเมื่อไหร่ที่พวกเขามีความสุขในการทำงานแน่นอนว่าพวกเขาก็จะยิ่งสร้างผลงานหรือผลิตผลงานที่มีประสิทธิภาพให้กับองค์กรได้เป็นอย่างดีนั้นเองค่ะ

ข้อมูลอ้างอิงจาก

https://th.hrnote.asia/

https://th.jobsdb.com/th/th

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

5 คุณสมบัติที่ดี ที่คนเป็น “หัวหน้างาน” ควรมี

5 คุณสมบัติที่ดี ที่คนเป็น “หัวหน้างาน” ควรมี

          หัวหน้างาน เปิด 5 คุณสมบัติที่ดี ที่คนเป็นหัวหน้างานควรมี แน่นอนว่าใคร ๆ ก็เป็นหัวหน้าได้ หากมีขั้นตอนในการว่าจ้างคน มีขั้นตอนในการสอนงาน หรือมีลูกทีมที่ต้องรับผิดชอบดูแล แต่จะว่าไปการที่คน ๆ หนึ่งจะได้กลายมาเป็นหัวหน้าที่ลูกน้องรักและให้ความเคารพและอยากร่วมทำงานด้วยนั้นไม่ใช่เรื่องที่ง่าย หรือไม่ใช่เรื่องที่ใคร ๆ ก็ทำได้ เพราะมันเป็นสิ่งที่มาจากประสบการณ์การทำงาน หรือมาจากการสังเกต และมาจากความเชื่อใจที่คนอื่นมีต่อคุณ และแน่นอนว่าการจะเป็นหัวหน้าที่ลูกน้องไว้วางใจได้นั้น มันไม่ใช่เรื่องที่ง่ายเลย เพราะการที่เราจะสร้างความน่าเชื่อถือมันไม่ใช่ตำแหน่งที่สามารถแต่งตั้งขั้น แต่สิ่งเหล่านี่มันเกิดขึ้นจากการกระทำมาเป็นตัวบ่งชี้ถึงคุณสมบัติของคนที่เป็นหัวหน้างาน ไม่ว่าจะมาจากผลงานที่คุณทำและความรู้สึกของลูกน้องที่มีต่อคุณ มันไม่ใช่การที่คุณต้องเป็นคนที่เก่งที่สุดหรือเป็นคนที่ทำงานเยอะที่สุด แต่การที่จะเป็นหัวหน้าที่ดีนั้นจะต้องมีความรับผิดชอบมากที่สุด ไม่ใช่แค่รับผิดชอบเฉพาะคนในทีม หรือรับผิดเพียงแค่หน้างานของตัวเองเท่านั้น แต่ยังรวมไปถึงการรับผิดชอบในการกระทำและคำพูดของตัวเองด้วยเช่นกัน เพราะนั่นถือเป็นคุณสมบัติที่จะทำให้ใคร ๆ ก็ไว้ใจและอยากทำงานร่วมด้วย ซึ่งวันนี้ทางทีม Trust-Vision ได้นำแนวทางการมีคุณสมบัติที่ดีของหัวหน้างานมาแชร์ ดังต่อไปนี้

  1. ทักษะการสื่อสารที่ดี

การที่หัวหน้างานมีทักษะในการสื่อสารที่ดีนั้นก็จะทำให้ผู้ที่ได้รับข่าวสารนั้นเข้าใจถึงวัตถุประสงค์ในการทำงานต่างๆ อย่างแท้จริงและสามารถดำเนินงานให้ออกมาดีได้อย่างมีประสิทธิภาพมากยิ่งขึ้น และนอกจากนี้การมีทักษะการสื่อสารที่ดีนั้นจะยังช่วยให้ลูกทีมของคุณนั้นเกิดแรงบันดาลใจในการทำงานใหม่ๆ ที่จะช่วยเป็นแรงผลักดันในความสามารถที่แท้จริงของพนักงานออกมาได้อย่างเต็มประสิทธิภาพมากยิ่งขึ้น

  1. ทักษะการวางแผน

หัวหน้าที่ดีต้องมีทักษะในการวางแผนที่ดี เพื่อเป็นรากฐานที่จะทำให้คนในทีมหรือธุรกิจนั้นสามารถมุ่งไปสู่ความสำเร็จได้ เพราะการวางแผนจะทำให้สามารถประเมินการแบ่งสัดส่วนงานของพนักงานแต่ละคนในทีมได้อย่างดีและมีประสิทธิภาพ ย่นระยะเวลาในการทำงาน และเพิ่มโอกาสในการทำให้ถึงเป้าหมายตามที่คาดหวังไว้

  1. ทักษะการรู้จุดยืน

คนที่จะมาเป็นนำที่ดีนั้นควรจะต้องรู้จักจุดแข็งและจุดอ่อนของลูกทีมในแต่ละคน ว่าลูกทีมในแต่ละคนมีความถนัดในด้านใดบ้าง เพื่อที่จะได้มีการมอบหมายงานที่เหมาะสมกับแต่ละคน นอกจากนี้ควรจะต้องดึงจุดแข็งของแต่ละคนออกมาให้ได้ รวมไปถึงการสนับสนุนการเรียนรู้ทักษะที่จะช่วยพัฒนาทักษะที่ไม่ถนัดของแต่ละคนเพื่อให้การทำงานนั้นมีประสิทธิภาพมากยิ่งขึ้น

  1. ทักษะรับผิดชอบการกระทำและคำพูดของตนเอง

ยิ่งคนที่เป็นหัวหน้าที่ลูกน้องให้ความเชื่อถือมากขึ้นหากสามารถรักษาคำพูดที่ให้ไว้กับคนในทีมได้ แม้มันอาจไม่ใช่เรื่องที่ใหญ่มากนัก เมื่อไหร่ที่หากคุณไม่สามารถรักษาคำพูดที่ให้ไว้กับลูกน้องแล้วนั้น และลูกน้องของคุณก็คงไม่ถือโทษหรือบังคับอะไรได้ แต่ในขณะเดียวกัน คุณก็อาจได้สูญเสียความน่าเชื่อถือที่ลูกน้องมีต่อคุณไปแล้ว และการสูญเสียความน่าเชื่อถือไปแล้วนั้นเป็นสิ่งที่ไม่สามารถมีอะไรมาทดแทนได้อีกเลย

 

  1. ทักษะการทำงานเป็นทีม

และสุดท้ายแล้วแน่นอนว่าสิ่งที่สำคัญที่สุดในการทำงานคือ (Team Work) นั้นเอง ฉะนั้นแล้ว ความสนิทสนมกันภายในทีมจะช่วยให้สามารถสร้างแรงกระตุ้นและสร้างแรงจูงใจให้กับลูกทีมได้มากขึ้นการทำงานแบบระบบทีม (Teamwork) ที่ดีได้นั้นย่อมเกิดจากทีมงาน (Team Work) ที่ดี ซึ่งทีมงานที่ทำงานระบบทีมได้อย่างมีประสิทธิภาพย่อมทำให้องค์กรมีประสิทธิผลและเกิดความสำเร็จ บรรลุเป้าหมายที่วางไว้ได้ องค์กรที่ทำงานได้อย่างมีประสิทธิภาพก็ย่อมสร้างผลสำเร็จได้อย่างยอดเยี่ยมเช่นกัน และนั่นก่อให้เกิดการพัฒนาองค์กรตลอดจนบุคลากรที่จะก้าวหน้าต่อไปเรื่อยๆ อย่างไม่มีที่สิ้นสุด

ข้อมูลอ้างอิงจาก

Good Leader

How to be a good leader

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

ทำความเข้าใจกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ทำความเข้าใจกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

          วันนี้พามาทบทวนทำความเข้าใจในกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ว่ามีหลักการในการปฏิบัตืได้อย่างไร กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่รียกกันว่า PDPA นั้นเป็นกฎหมายฉบับรวมฉบับแรกที่ออกมาเพื่อควบคุมการคุ้มครองข้อมูลในประเทศไทย ที่ได้สนับสนุนศักดิ์ศรีความเป็นคน สิทธิ เสรีภาพ และความเท่าเทียมกันของคนไทยทุกคน ซึ่งได้รับการคุ้มครองตามธรรมเนียมปฏิบัติ ดังนั้น เนื่องจากสิทธิในความเป็นส่วนตัวที่ได้รับการยอมรับภายใต้รัฐธรรมนูญ ทุกคนย่อมมีสิทธิได้รับการปกป้องจากการหาประโยชน์อย่างไม่เหมาะสมจากข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคลิกลักษณะของตนตามที่รัฐธรรมนูญรับรองไว้ นอกจากนี้ ตามทฤษฎีแล้ว หากมีการใช้ข้อมูลส่วนบุคคลในลักษณะที่เป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลในข้อมูลส่วนบุคคลภายใต้รัฐธรรมนูญ บุคคลดังกล่าวอาจมีสิทธิเรียกร้องค่าเสียหายจากการละเมิดตามประมวลกฎหมายแพ่งและพาณิชย์ไทย

ขอบเขตและวัตถุประสงค์ของกฎหมาย

  • PDPA ใช้กับบุคคลหรือนิติบุคคลที่มีการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดา (และยังมีชีวิตอยู่) โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
  • PDPA ครอบคลุมการรวบรวม การใช้ การเปิดเผย และ/หรือการถ่ายโอนข้อมูลส่วนบุคคล โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
  • ในกรณีที่กิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าเจ้าของข้อมูลจะชำระเงินหรือไม่ก็ตาม หรือ
  • โดยกิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูล ซึ่งพฤติกรรมดังกล่าวเกิดขึ้นในประเทศไทย

          PDPA ใช้กับการรวบรวม การใช้ และการเปิดเผย (รวมถึงการถ่ายโอนไปยังต่างประเทศ) ของข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลสามารถแบ่งออกเป็นข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งมีข้อกำหนดและการยกเว้นที่แตกต่างกัน

คำจำกัดความ PDPA

ผู้ควบคุมข้อมูล: บุคคลหรือนิติบุคคลที่มีอำนาจและหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่กำหนดโดยหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่บุคคลหรือนิติบุคคลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคล ตัวควบคุม

ข้อมูลส่วนบุคคล: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลดังกล่าวได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้เสียชีวิต

ข้อมูลที่ละเอียดอ่อน: ข้อมูล ส่วนบุคคลใดๆ ที่เกี่ยวข้องกับเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ลัทธิ ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความทุพพลภาพ ข้อมูลสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริกซ์ หรือข้อมูลใดๆ ที่อาจ กระทบต่อเจ้าของข้อมูลในลักษณะเดียว

ข้อมูลไบโอเมตริกซ์: ข้อมูล ส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการครอบงำทางกายภาพหรือพฤติกรรมของบุคคล ซึ่งสามารถใช้เพื่อระบุบุคคลดังกล่าวนอกเหนือจากบุคคลอื่น เช่น ข้อมูลการจดจำใบหน้า ข้อมูลการจดจำม่านตา หรือลายนิ้วมือ ข้อมูลการรับรู้

การแจ้งเตือนการละเมิดข้อมูล

          ผู้ควบคุมข้อมูลจะต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ให้ทราบถึงการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้า และหากเป็นไปได้ แจ้งให้ทราบภายใน 72 ชั่วโมงหลังจากที่ทราบถึงข้อมูลดังกล่าวในกรณีที่การละเมิดข้อมูลส่วนบุคคล ที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงเหตุการณ์การละเมิดและมาตรการแก้ไขโดยไม่ชักช้า ข้อยกเว้นจะได้รับการกำหนดเพิ่มเติมในระเบียบย่อยผู้ประมวลผลข้อมูลจำเป็นต้องแจ้งให้ผู้ควบคุมข้อมูลทราบถึงการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

การเก็บรักษาข้อมูล

          เมื่อมีการรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จะต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในเวลาที่มีการรวบรวมข้อมูลส่วนบุคคลในช่วงเวลาที่จะเก็บข้อมูลส่วนบุคคลนั้นไว้ หากไม่สามารถระบุระยะเวลาการเก็บรักษาดังกล่าวได้ จะต้องระบุระยะเวลาการเก็บรักษาข้อมูลที่คาดหวังตามมาตราการในการเก็บรักษาข้อมูล

การขอความยินยอมเก็บข้อมูลผู้เยาว์

หากเจ้าของข้อมูลเป็นผู้เยาว์ที่ (อายุต่ำกว่า 20 ปี) ผู้ควบคุมข้อมูลจะต้อง:

  • ได้รับความยินยอมจากผู้ปกครองสำหรับผู้เยาว์ที่มีอายุระหว่าง 0 – 10
  • ได้รับความยินยอมจากผู้เยาว์เฉพาะผู้เยาว์ที่อายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปี สำหรับการกระทำที่ผู้เยาว์สามารถให้ความยินยอมได้ หรือ
  • ได้รับความยินยอมจากผู้ปกครองและความยินยอมของผู้เยาว์สำหรับผู้เยาว์ที่มีอายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปีสำหรับการกระทำที่ผู้เยาว์ไม่สามารถให้ความยินยอมได้

สิทธิของเจ้าของข้อมูล

          Data Subject Right หรือสิทธิของเจ้าของข้อมูลตามกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  ได้มีการบัญญัติถึงสิทธิของเจ้าของ Data Subject Rights ข้อมูลส่วนบุคคลไว้ 8 ประการ โดยมีรายละเอียดดังต่อไปนี้

  1. สิทธิในการเข้าถึงและขอรับสำเนา (Right of Access and Copy) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของข้อมูลเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมไว้
  2. สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้
  • ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
  • ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
  1. สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
  • กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
  • กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
  1. สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
  • เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
  • เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอ หรือกระทำการคัดค้านได้
  • เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
  1. สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
  • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดำเนินการตามที่เจ้าของข้อมูลร้องขอ
  • เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
  • เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล
  1. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตาม มาตรา 39
  2. สิทธิในการแจ้งให้ทราบของข้อมูลส่วนบุคคล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย
  1. สิทธิในการถอดถอนความยินยอมของข้อมูล (Right to Withdraw Consent) เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอมเมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

ข้อมูลเพิ่มเติมตามมาตรา 39

มาตรา 39   ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้หรือเปิดเผยข้อมูล
  • การปฏิเสธคำขอหรือการคัดค้าน
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ

  • ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
  • คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝงโดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
  • ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
  • ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

          หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

          หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **

  • ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

        โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

  • โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA

  1. PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
  2. กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
  3. กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
  4. การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
  5. การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
  6. ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
  • เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
  • เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
  • เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ธนาคารแห่งประเทศไทย Bank Of Thailand

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

Privacy Notice คืออะไร?

Privacy Notice คืออะไร?

Privacy Notice คืออะไร?

          Privacy notice หรือ ประกาศความเป็นส่วนตัว หมายถึง เอกสารที่ออกโดยองค์กรซึ่งใช้ในการประมวลผลข้อมูลส่วนบุคคลเพื่อแสดงแก่บุคคลที่เป็นเจ้าของข้อมูลในการแจ้งถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลของผู้ใช้งานไปเปิดเผย เอกสารประกาศความเป็นส่วนตัว นั้นมีจุดประสงค์สำคัญหลัก 2 ประการ คือ เพื่อส่งเสริมความโปร่งใสและเพื่อให้บุคคลผู้เป็นเจ้าของข้อมูลสามารถควบคุมวิธีการรวบรวมและใช้ข้อมูลส่วนบุคคลของตนเองได้มากยิ่งขึ้น ซึ่งความโปร่งใสและการแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับวิธีการใช้ รวบรวมหรือเผยแพร่ข้อมูลเป็นหลักการสำคัญพื้นฐานของกฎหมายการคุ้มครองข้อมูลส่วนบุคคล

           ประกาศความเป็นส่วนตัว เหมือนกับ นโยบายความเป็นส่วนตัว  หรือไม่?

           แม้ว่าประกาศความเป็นส่วนตัว และ นโยบายความเป็นส่วนตัว จะครอบคลุมหัวข้อและเนื้อหาเดียวกันในหลายหัวข้อ แต่ก็ยังคงมีความแตกต่างกัน คือ ประกาศความเป็นส่วนตัว เป็นเอกสารที่สาธารณะที่หลาย ๆ บุคคลที่จะสามารถเข้าถึงในเอกสารได้ และเป็นการเขียนขึ้นเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลในเรื่องในการประมวลผลข้อมูลส่วนบุคคลต่าง ๆ แต่ในขณะที่เอกสารนโยบายความเป็นส่วนตัว นั้นเป็นเอกสารสำหรับใช้ภายในองค์กร ที่จะมีอธิบายถึงรายละเอียดภาระหน้าที่และรวมทั้งแนวทางในปฏิบัติขององค์กรเพื่อที่จะให้เป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นเอง

การเขียนประกาศความเป็นส่วนตัว  จะต้องระบุอะไรบ้าง?

ในการเขียนประกาศความเป็นส่วนตัว ควรมีรายละเอียดอย่างน้อย ดังต่อไปนี้

  1. วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล เพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
  2. ประเภทของข้อมูลส่วนบุคคลที่จะถูกประมวลผล ควรมีความชัดเจนเรื่องประเภทของข้อมูลส่วนบุคคลที่จะเก็บรวบรวม ใช้หรือเผยแพร่
  3. ฐานในการประมวลผลข้อมูลส่วนบุคคล ฐานในการประมวลผลข้อมูลส่วนบุคคล โดยประกาศความเป็นส่วนตัวควรระบุว่าใช้ฐานในการประมวลผลข้อมูลส่วนบุคคลใดในการประมวลผลแต่ละวัตถุประสงค์ ต้องแจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
  4. ข้อมูลจะถูกประมวลผลอย่างไร และ ระยะเวลาในการจัดเก็บ ประกาศความเป็นส่วนตัวต้องอธิบายว่าข้อมูลส่วนบุคคลที่รวบรวมจะมีวิธีการประมวลผลอย่างไร จะมีการแบ่งปันข้อมูลส่วนบุคคลที่รวบรวมกับบุคคลที่สามหรือไม่ และวิธีคุ้มครองดังกล่าวเป็นอย่างไร ประกาศความเป็นส่วนตัวต้องระบุว่าระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นอย่างไร
  5. สิทธิ์ของเจ้าของข้อมูล สิทธิ์ในการใช้ข้อมูลแก่บุคคลผู้เป็นเจ้าของข้อมูล 8 ข้อ ซึ่งในประกาศความเป็นส่วนตัวควรแสดงรายการและอธิบายสิทธิ์ดังกล่าวด้วย อ่านเพิ่มเติม  สิทธิของเจ้าของข้อมูล
  1. ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลส่วนบุคคลอาจจะถูกเปิดเผย หากองค์กรได้รับข้อมูลส่วนบุคคลผ่านองค์กรอื่น ประกาศความเป็นส่วนตัวจะต้องให้ข้อมูลเดียวกันทั้งหมดยกเว้นการให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา
  2. การติดต่อ ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ในกรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้แจ้งข้อมูล สถานที่ติดต่อ และวิธีการติดต่อของตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้ว

หลักการใช้ภาษาในการเขียน ประกาศความเป็นส่วนตัว ประกอบไปด้วยอะไรบ้าง?

  • เขียนด้วยรูปแบบและข้อความที่ชัดเจน กระชับ โปร่งใส เข้าใจได้
  • เข้าถึงได้ง่าย
  • ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
  • หลีกเลี่ยงคำศัพท์ทางกฎหมายและคำศัพท์ทางเทคนิค

          ประกาศความเป็นส่วนตัว  นั้นถือว่าเป็นข้อกำหนดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่าบุคคลที่เป็นเจ้าของข้อมูลนั้นได้รับทราบวิธีการในการประมวลผลข้อมูลส่วนบุคคลของตนเองก่อนให้ความยินยอม ในมุมขององค์กรเองนั้นที่มีการประมวลผลข้อมูลส่วนบุคคล ก็ทำการประกาศความเป็นส่วนตัวเป็นเอกสารรับรองกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสะกรับขององค์กรเอง เอกสารนี้ช่วยให้องค์กรมีเหตุผลในการดำเนินการประมวลผลข้อมูลส่วนบุคคล ได้อย่างถูกต้องและลดความเสี่ยงในการละเมิดข้อมูลส่วนบุคคลของผู้อื่น

ข้อมูลอ้างอิงจาก

Data Subject Right

PDPA

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

ผู้เยาว์

          ผู้เยาว์จะทำนิติกรรมใด ๆ ต้องได้รับความยินยอมของผู้แทนโดยชอบธรรมก่อน  การใด ๆ ที่ผู้เยาว์ได้ทำลงปราศจากความยินยอมเช่นว่านั้นเป็นโมฆียะ  เว้นแต่จะบัญญัติไว้เป็นอย่างอื่น  ผู้เยาว์จะทำนิติกรรมใดๆ ต้องได้รับความยินยอมของผู้แทนโดยชอบธรรมก่อน ผู้แทนโดยชอบธรรม  หมายถึง  ผู้ซึ่งอาจให้ความยินยอมแก่ผู้เยาว์ได้  เช่น  บิดามารดาซึ่งเป็นผู้ใช้อำนาจปกครองบุตร หรือบุคคลอื่นซึ่งถูกตั้งขึ้นมาเพื่อปกครองผู้เยาว์การใด (นิติกรรม) ที่ผู้เยาว์กระทำลงไปโดยลำพังไม่ได้ขอความยินยอมจากผู้แทนโดยชอบธรรม  การนั้นจะเป็นโมฆียะ คำว่า“โมฆียะ” หมายความว่า ไม่บริบูรณ์ อาจให้สัตยาบันหรืออาจบอกล้างได้  กล่าวคือสมบูรณ์อยู่จนกว่าจะถูกบอกล้าง

  • ถ้าไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพัง ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองด้วย
  • ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

คนไร้ความสามารถ

          คนไร้ความสามารถ ในตามกฎหมายนั้น หมายถึง บุคคลที่หย่อนทางความสามารถเพราะเป็นคนวิกลจริต โดยอาการวิกลจริตนี้ต้องเป็นถึงขนาดที่ไม่สามารถจัดกิจการงานของตนเองได้เลย และอาการดังกล่าวต้องเป็นอยู่เป็นประจำ เมื่อผู้มีสิทธิร้องขอตามกฎหมายยื่นคำร้องต่อศาล ศาลอาจสั่งให้บุคคลดังกล่าวเป็นคนไร้ความสามารถก็ได้ซึ่งจะเกิดผลในทางกฎหมายคือ คนไร้ความสามารถต้องอยู่ในความดูแลของบุคคลที่เรียกว่า “ผู้อนุบาล” และคนไร้ความสามารถไม่สามารถทำนิติกรรมต่างๆ ได้เอง การทำนิติกรรมของคนไร้ความสามารถต้องให้ผู้อนุบาลเป็นผู้ทำแทนเท่านั้น นิติกรรมใด ๆ ที่คนไร้ความสามารถได้ทำลงไป จะถือว่าเป็น “โมฆียะ”

          คนไร้ความสามารถตามกฎหมายถือว่าเป็นคนที่ไม่มีความรู้สึกผิดชอบ ไม่อาจทำกิจการตามที่ต้องการได้ไม่สามารถใช้ความคิด ความเข้าใจในความหมายและผลแห่งการกระทำของตนได้ดี ไม่สามารถแสดงเจตนาได้โดยถูกต้อง จึงจำเป็นที่กฎหมายจะต้องคุ้มครองประโยชน์ของบุคคลเหล่านี้ด้วยการควบคุมดูแลความสามารถในการใช้สิทธิและการปฏิบัติหน้าที่ของตน โดยหลักเกณฑ์ที่ต้องมีผู้มาร้องขอต่อศาลให้ไต่สวนและมีคำสั่ง เมื่อศาลมีคำสั่งให้บุคคลใดเป็นคนไร้ความสามารถแล้ว ก็จะจัดให้อยู่ในความคุ้มครองดูแลของบุคคลอีกคนหนึ่งที่เรียกว่า “ผู้อนุบาล”

กฎหมายตามมาตรา 28 นี้ ได้แยกองค์ประกอบของการเป็นคนไร้ความสามารถไว้ 2 ประเภทคือ

  • เป็นคนวิกลจริต
  • ถูกศาลสั่งให้เป็นคนไร้ความสามารถ

          คำว่า “บุคคลวิกลจริต” ตามความหมายของมาตรา 28 นี้ นอกจากหมายความถึงบุคคลที่มีจิตไม่ปกติหรือสมองพิการ อย่างที่เรียกกันว่า คนบ้า” มีอาการควบคุมสติตนเองไม่ได้ และไม่มีความรู้สึกผิดชอบอย่างบุคคลธรรมดาแล้ว ยังหมายความรวมถึงบุคคลที่มีกิริยาอาการผิดปกติธรรมดา เพราะสติวิปลาสเนื่องจากเจ็บป่วยถึงขนาดที่ไม่มีความรู้สึกผิดชอบและไม่สามารถประกอบกิจการงานใด ๆ ได้ด้วยเช่น มีอาการเจ็บป่วยเป็นอัมพาต ไม่สามารถที่จะจัดกิจการต่าง ๆ ของตนได้ตามปกติก็จัดเป็นบุคคลวิกลจริตเช่นเดียวกัน

อาการวิกลจริตที่จะเป็นเหตุให้ศาลสั่งบุคคลเป็นคนไร้ความสามารถนั้นจะต้องมีลักษณะ 2 ประเภทประกอบกัน คือ

  • ต้องเป็นอย่างมาก คือ ไม่สามารถรู้ว่าอะไรถูกอะไรผิด ไม่มีความรู้สึกรับผิดชอบแต่อย่างใด ซึ่งอาการเหล่านี้อาจเกิดจากอาการทางจิตหรือทางสมองหรือโรคภัยต่างๆ ก็ได้ ส่วนอาการผิดปกติของจิตใจในขนาดที่น้อยลงมา เช่น มีสติฟั่นเฟือน หลง ๆ ลืม ๆ จ าเหตุการณ์อะไรไม่ค่อยได้ดังเช่นคนชรา หรือคนปัญญาอ่อน เป็นต้น
  • ต้องเป็นอยู่เป็นประจำ คือ เป็นเรื่องประจำตัวของผู้นั้น ไม่ได้หมายความว่าต้องมีอาการวิกลจริตอยู่ตลอดเวลา ในบางครั้งอาจมีอาการปกติสลับกับจริตวิกลเป็นบางช่วงบางขณะก็เป็นปกติธรรมดา บางขณะก็เป็นบ้าหมดสติควบคุมตนเองไม่ได้ ไม่ว่าระยะเวลาจะสั้นยาว

ผู้มีสิทธิร้องขอต่อศาลให้ศาลมีคำสั่งให้เป็นคนไร้ความสามารถ ได้แก่

  1. สามีหรือภริยาของคนเสมือนไร้ความสามารถ
  2. ผู้บุพการี หมายถึง บิดามารดา ปู่ย่า ตายาย ทวด และรวมถึงบิดามารดาบุญธรรมตามกฎหมาย
  3. ผู้สืบสันดาน หมายถึง ญาติสืบสายโลหิตโดยตรงลงมา เป็นผู้สืบสันดานตามความเป็นจริง ได้แก่ลูก หลาน เหลน ลื่อ
  4. ผู้ปกครอง
  5. ผู้พิทักษ์
  6. ผู้ซึ่งปกครองดูแลผู้เยาว์
  7. พนักงานอัยการ

คนเสมือนไร้ความสามารถ

          คนเสมือนไร้ความสามารถ หมายถึง บุคคลที่กายพิการหรือมีจิตฟั่นเฟือนไม่สมประกอบ หรือประพฤติสุรุ่ยสุร่ายเป็นอาจิณ หรือติดสุรายาเมา หรือมีเหตุอื่นทำนองเดียวกันนั้น จนไม่สามารถที่จะจัดกิจการงานของตนเองได้ หรืออาจจัดกิจการงานของตนเองไปในทางที่เสื่อมเสียต่อทรัพย์สินของตนเองหรือครอบครัวเมื่อผู้มีสิทธิร้องขอตามกฎหมายยื่นคำร้องต่อศาล ศาลอาจสั่งให้บุคคลนั้นเป็นคนเสมือนไร้ความสามารถ ซึ่งจะเกิดผลในทางกฎหมายคือ คนเสมือนไร้ความสามารถต้องอยู่ในความดูแลของ

“ผู้พิทักษ์” และการทำนิติกรรมบางชนิดต้องได้รับความยินยอมจากผู้พิทักษ์ก่อนจึงจะท าได้ หากท านิติกรรมลงไปโดยไม่ได้รับความยินยอม นิติกรรมนั้นเป็น “โมฆียะ”

หลักเกณฑ์แห่งการเป็นคนเสมือนไร้ความสามารถ ปรากฏอยู่ในมาตรา 32 อาจแยกหลักเกณฑ์การเป็นคนเสมือนไร้ความสามารถ ได้เป็น 3 ประการ คือ

  1. มีเหตุบกพร่อง
  2. เพราะเหตุบกพร่องดังกล่าวทำให้ไม่สามารถจัดการงานของตนได้ หรือจัดการไปในทางที่เสื่อมเสียแก่ทรัพย์สินของตนหรือครอบครัว
  3. มีคำสั่งศาลให้เป็นคนเสมือนไร้ความสามารถเหตุบกพร่องที่อาจทำให้บุคคลถูกศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ มี ๕ ประการ คือ
    • กายพิการ หมายถึง ร่างกายส่วนใดส่วนหนึ่งพิการหรือไม่สมประกอบ หรือเป็นอัมพาตเคลื่อนไหวตัวไม่ได้ เหตุที่ทำให้กายพิการนี้ อาจมีมาแต่กำเนิด หรือเกิดขึ้นภายหลัง เพราะป่วยเจ็บ ชราภาพหรืออุบัติเหตุก็ได
    • จิตฟั่นเฟือนไม่สมประกอบ คือ ผู้ที่มีจิตไม่ปกติ เพราะโรคจิตหรือสมองพิการแต่ไม่ถึงกับวิกลจริตกล่าวคือ เป็นบุคคลที่ยังมีความรู้สึกผิดชอบอยู่บ้าง ไม่ใช่ไร้สติเสียเลยทีเดียว แต่ความรู้สึกผิดชอบอาจเลอะเลือนไปบางครั้งบางคราว
    • ประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณ หมายถึง บุคคลที่มีนิสัยใช้จ่ายเงินทองอย่างไม่จ าเป็นและไร้ประโยชน์เข้าลักษณะฟุ่มเฟือยโดยไม่มีเหตุผลสมควร และมีรายจ่ายเกินกว่ารายได้อยู่ประจำ ลักษณะการใช้จ่ายเงินทองของผู้ประพฤติสุรุ่ยสุร่ายเสเพลเป็นอาจิณมี 3 ประการคือ
      • ใช้จ่ายเกินกว่ารายได้
      • การใช้จ่ายเกินรายได้ นี้เป็นการใช้จ่ายอย่างไร้ประโยชน์และปราศจากเหตุผลในแง่เศรษฐกิจ
      • การใช้จ่ายอย่างไร้ประโยชน์ นี้ต้องเป็นการกระทำที่ปฏิบัติเป็นประจำจนเป็นอาจิณหรือจนเป็นปกติ
    • ติดสุรายาเมา หมายถึง การติดสิ่งเสพติดด้วยสิ่งมึนเมาชนิดใดก็ได้ เช่น ติดยาบ้า ติดกัญชาติดเฮโรอีน ติดสุรา ยาดองเหล้า หรือของมึนเมาอย่างอื่นทำนองเดียวกัน แต่ข้อสำคัญคือต้องเป็นการติดแบบเป็นประจำขาดไม่ได้
    • เหตุอื่นทำนองเดียวกัน จะต้องเป็นเหตุที่ถึงขนาดทำให้บุคคลนั้นไม่สามารถจัดกิจการงานของตนเองได้

การยื่นคำร้องขอให้ศาลมีคำสั่งให้เป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถผู้มีสิทธิร้องขอต่อศาล

  1. สามีหรือภริยาของคนเสมือนไร้ความสามารถ
  2. ผู้บุพการี หมายถึง บิดามารดา ปู่ย่า ตายาย ทวด และรวมถึงบิดามารดาบุญธรรมตามกฎหมาย
  3. ผู้สืบสันดาน หมายถึง ญาติสืบสายโลหิตโดยตรงลงมา เป็นผู้สืบสันดานตามความเป็นจริง ได้แก่ลูก หลาน เหลน ลื่อ
  4. ผู้ปกครอง
  5. ผู้พิทักษ์
  6. ผู้ซึ่งปกครองดูแลผู้เยาว์
  7. พนักงานอัยการ

ความสิ้นสุดของการเป็นคนเสมือนไร้ความสามารถ

ความสิ้นสุดแห่งการเป็นคนเสมือนไร้ความสามารถตามบทบัญญัติดังกล่าวอาจแยกออกได้เป็น 3 กรณี คือ

  1. สิ้นสุดลงโดยการตายของคนเสมือนไร้ความสามารถ
  2. สิ้นสุดลงเพราะเปลี่ยนฐานะคนเสมือนไร้ความสามารถได้กลายเป็นคนไร้ความสามารถ
  3. สิ้นสุดลงเพราะเหตุบกพร่อง ตามมาตรา 34 หมดสิ้นไป เข่น ประพฤติตนเป็นคนดีไม่สุรุ่ยสุร่าย หรือเลิกเสพสุรายาเมา หรือหายจากอาการจิตฟั่นเฟือนแล้ว และศาลมีคำสั่งเพิกถอนให้เป็นคนเสมือนไร้ความสามารถแล้ว

          การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้จะถือได้ว่าเป็นกระทำที่ล่วงละเมิดตามสิทธิของเจ้าของข้อมูล ดังนั้นไม่จะถือว่าผิดต่อวัตถุประสงค์ตามที่กฎหมายได้มีการกำหนดไว้

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

http://www.thanulaw.com/index.php/incompetent1

http://natjar2001law.blogspot.com/2011/01/blog-post_7821.html

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

ข้อมูลอะไรบ้าง? ที่เป็นข้อมูลชีวภาพ

          สำหรับ “ข้อมูลส่วนบุคคล” ตามกฎหมาย PDPA นั้น ถือว่าเป็นข้อมูลส่วนบุคคลไม่ว่าจะทั้งทางตรงหรือทางอ้อมที่เป็นข้อมูลเบื้องต้น ซึ่งได้แก่ ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน และอายุ เป็นต้น และในปัจจุบันแล้วนั้นได้มีหลาย ๆ ประเทศทั่วทั้งโลกไม่ว่าจะเป็นทั้งภาครัฐ และภาคเอกชน หรือแม้แต่กระทั้งสถาบันการศึกษาก็ได้มีการนำเอาเทคโนโลยีที่ใช้ในการจดจำใบหน้าเข้ามาใช้งานในรูปแบบด้านต่าง ๆ อาทิเช่น ส่วนภาครัฐได้นำเอาเทคโนโลยีในการจดจำใบหน้าไปใช้ประโยชน์ในด้านความมั่นคงเพื่อเป็นส่วนในการรักษษความปลอดภัยต่าง ๆ หรือ เพื่อประโยชน์ในด้านของการอำนวยความสะดวกให้แก่บุคคลภายในประเทศ โดยเฉพาะในงานด้านรักษาความปลอดภัย รวมทั้งในภาคส่วนของสถาบันการศึกษาเองนั้นก็ได้มีการนำมาใช้เพื่อยืนยันการเข้าเรียนของนักเรียน เป็นต้น

          แต่นอกจากนี้ยังมีข้อมูลส่วนบุคคลที่เป็นข้อมูลละเอียดอ่อน หรือที่เรียกกันว่า Sensitive Data ได้แก่ เชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา หรือ ปรัชญา เช่น บันทึกการลาบวชของพนักงานในองค์กรเอง พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ พันธุกรรมชีวภาพ หรือตัวที่เป็นข้อมูลสุขภาพ อาทิ ใบรับรองแพทย์ หรือข้อมูลอื่นใดที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน เป็นต้น นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภทหนึ่งที่ตัวกฎหมาย PDPA ฉบับนี้ได้มีการคุ้มครองและให้ความสำคัญเป็นพิเศษอีกด้วย นั่นก็คือข้อมูลที่เรียกว่า ข้อมูลชีวภาพ ซึ่งตามกฎหมาย PDPA มาตรา 26 วรรคสอง ระบุไว้ว่า

ข้อมูลชีวภาพคืออะไร ?

          นั้นเป็นข้อมูลส่วนบุคคลอีกประเภทหนึ่งซึ่งเกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เข้ามาเกี่ยวข้องกับการนำ “ลักษณะทางด้านกายภาพต่าง ๆ หรือ ลักษณะทางพฤติกรรม” ของบุคคลมาใช้ ที่จะทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้แล้วมีข้อมูลอะไรบ้างที่เข้าข่ายว่าเป็น “ข้อมูลชีวภาพ” บ้าง ข้อมูลทางชีวภาพตามคำนิยามความหมายของกฎหมาย PDPA หรือที่เรียกอีกอย่างว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยฉบับนี้ ได้มีการจำแนกข้อมูลชีวภาพนั้นออกเป็น 2 ประเภทด้วยกัน ยกตัวอย่าง ดังนี้

ทางกายภาพ

  • ข้อมูลภาพจำลอง
  • ข้อมูลจำลองม่านตา
  • ข้อมูลจำลองลายนิ้วมือ
  • การจดจำเสียง

ทางพฤติกรรม

  • การวิเคราะห์ลายมือชื่อ
  • การวิเคราะห์การเดิน
  • การวิเคราะห์การกดแป้นพิมพ์อุปกรณ์คอมพิวเตอร์

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

กฎหมาย PDPA สรุป บทลงโทษหากไม่ทำตาม โทษหนักแค่ไหน?

PDPA คืออะไร?

          กฎหมาย PDPA เป็นกฎหมายที่มีขึ้นมาเพื่อให้ภาคธุรกิจเอกชน และรัฐ ที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือมีการโอนข้อมูลส่วนบุคคลภายในประเทศไทย เพื่อให้เป็นไปตามมาตรการการปกป้องข้อมูลของผู้อื่นจากการถูกล่วงละเมิดสิทธิความเป็นส่วนตัว โดยตัวกฎหมายได้มีการกำหนดวัตถุประสงค์ขึ้นมาเพื่อห้ามการนำข้อมูลไปใช้หรือนำไปเปิดเผยข้อมูลส่วนบุคคลโดยที่ยังไม่ได้รับความยินยอมจากเจ้าของข้อมูล ดังนั้นแล้วในการขอเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นจะต้องมีการขอความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลก่อนการเก็บรวบรวม การนำไปใช้ หรือการนำไปเปิดเผยก่อนเสมอ

ข้อมูลส่วนบุคคลตามกฎหมาย PDPA คืออะไร?

  • ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ( Personal Data ) ที่สามารถระบุถึงตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทั้งทางตรงหรือทางอ้อม ยกตัวอย่างเช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์โทรฯ ที่อยู่ รวมทั้งอีเมล เป็นต้น
  • ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) ที่เป็นข้อมูลที่ค่อนข้างมีความอ่อนไหวต่อตัวบุคคลที่เป็นเจ้าของข้อมูลในการเปิดเผยเพื่อป้องกันการได้รับการเลือกปฏิบัติอย่างไม่เป็นธรรม ยกตัวอย่างเช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ (รูปถ่าย หรือลายนิ้วมือ) เป็นต้น
  • ข้อมูลที่สามารถนำไปแยกแยะได้ว่าบุคคลคนนั้นคือใคร ข้อมูลที่สามารถเอาไปใช้ติดตามบุคคลนั้นได้และสามารถเชื่อมโยงไปยังข้อมูลแหล่งอื่นๆ ที่สามารถเจาะจงถึงตัวบุคคลที่เป็นเจ้าของข้อมูลได้ แต่กฎหมายนี้มีข้อยกเว้นในส่วนของการไม่คุ้มครองข้อมูลของผู้ถึงแก่กรรมหรือข้อมูลผู้เสียชีวิตนั้นเอง

ข้อมูลส่วนบุคคลสามารถนำไปใช้ในกรณีใดได้บ้าง?

ข้อมูลส่วนบุคคลตามที่กฎหมาย PDPA กำหนดไว้นั้นสามารถนำไปใช้หรือเปิดเผยเพื่อการใดได้บ้างตามกรณี ยกตัวอย่างดังต่อไปนี้

  • ใช้เป็นข้อมูลที่จำเป็นต้องใช้ในการทำตามสัญญาให้บริการต่าง ๆ
  • เพื่อเป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อำนาจกำหนดไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/ หรือร่างกายของบุคคล
  • การใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • ใช้เพื่อปกป้องผลประโยชน์ของตัวเองโดยไม่ละเมิดสิทธิข้อมูลของผู้อื่น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

          หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

          หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **

  • ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

  • โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

ตรวจสอบ 6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA

  1. PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
  2. กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
  3. กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
  4. การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
  5. การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
  6. ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
  • เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
  • เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
  • เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

  1. โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

  1. โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

  1. โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ธนาคารแห่งประเทศไทย Bank Of Thailand

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

คลิปบรรยายเพิ่มเติมเรื่อง กฏหมาย PDPA โดยธนาคารแห่งประเทศไทย BANK OF THAILAND

Update กฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA จำนวน 4 ฉบับ

Update PDPA กฎหมายลูกของกฎหมาย PDPA เมื่อ วันที่ 21 มิถุนายน 2565 ได้มีการประกาศผ่านในเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยเรื่องของการเผยแพร่ออกระเบียบประกาศกฎหมายลูกเพิ่มเติม ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA จำนวนทั้งหมด  4 ฉบับ ซึ่งประกอบด้วย

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

         รายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0024.PDF

  1. หลักเกณฑ์และวิธีการในการจัดทำและการเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

         ศึกษารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0026.PDF

  1. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

        อ่านรายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0028.PDF

  1. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

         เนื้อหารายละเอียดฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2565/E/140/T_0032.PDF

  1. การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

     รูปแบบกิจการที่ได้รับการยกเว้นในการบันทึกประมวลผลข้อมูลส่วนบุคคล หรือการบันทึกเอกสาร Record of Processing Activity ( ROP )  ซึ่งจะประกอบไปด้วยประเภท

  • ธุรกิจที่มีขนาดย่อมหรือประเภทธุรกิจขนาดกลาง
  • กิจการชุมชนหรือเครือข่ายกิจการชุมชน
  • กิจการรูปแบบเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม สหกรณ์ ชุมนุมสหกรณ์
  • กลุ่มเกษตรกร มูลนิธิ สมาคม องค์กรศาสนา รวมทั้งองค์กรที่ไม่แสวงหากำไร
  • กิจการในครัวเรือน
  • กิจการอื่น ๆ ในรูปแบบลักษณะเดียวกัน

     และที่สำคัญเลยนั้นรูปแบบธุรกิจจะต้องไม่เป็นผู้ให้บริการที่ต้องมีการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือกิจการที่มีเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในการเปิดเผยข้อมูล ตามมาตรา 26 นั้นเอง

     2. หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

     โดยเนื้อหามีการะบุรายละเอียดในตัวกฎหมาย ว่าด้วยชื่อและข้อมูลเกี่ยวกับผู้มีส่วนในการประมวลผลข้อมูล ไม่ว่าจะเป็น

  • ผู้ควบคุมข้อมูลส่วนบุคคล
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน

      รวมถึงรูปแบบลักษณะของการเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคล ที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้มีการดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล หรือในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ บุคคลที่มีหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำรูปแบบในการเก็บรักษาการบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ROP ตามวรรคหนึ่งเป็นลายลักษณ์อักษรที่มีความชัดเจน โดยจะจัดทำเป็นหนังสือหรือในรูปแบบของอิเล็กทรอนิกส์ก็ได้ แต่จะต้องสามารถเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ที่มีส่วนได้รับมอบหมายในการดูแลดังกล่าวตรวจสอบได้อย่างรวดเร็วเมื่อมีการถูกร้องขอจากเจ้าของข้อมูล

     3. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

     ซึ่งมีเนื้อหารายละเอียดสำคัญ ๆ ระบุไว้ว่า

  • “ความมั่นคงปลอดภัย” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
  • ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และจะต้องมีมาตราการในการครอบคลุมการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล
  • กฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคล ดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม จะต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ทั้งนี้ เท่าที่จำเป็นเหมาะสม และเป็นไปได้ตามระดับความเสี่ยง โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่ง

         – ความลับ (Confidentiality)

        – ความถูกต้องครบถ้วน (Integrity)

        – สภาพพร้อมใช้งาน (Availability)

        และจะต้องสร้างเสริมความตระหนักรู้ในด้านการให้ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย หรือ (Privacy and Security Awareness) รวมทั้งการแจ้งนโยบาย แนวปฏิบัติต่าง ๆ  และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเหมาะสม ให้บุคลากรพนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งานบริการขององค์กร

        4. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญพ.ศ. 2565

         ในเนื้อหารายละเอียดของกฎหมายลูก PDPA ในข้อสุดท้ายได้มีการระบุไว้ว่า การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง หมายความว่า การดำเนินการที่เกี่ยวกับการพิจารณาสั่งลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ในเนื้อหาได้มีการระบุไว้ว่า อาทิเช่น

  • ผู้ถูกลงโทษปรับทางปกครอง หมายถึง เจ้าหน้าที่ที่มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลหรือบุคคลใดที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ
  • ค่าปรับ หมายถึง เงินค่าปรับทางปกครองที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดไว้ในกฎหมาย
  • ยึด หมายถึง การกระทำใด ๆ ต่อทรัพย์สินของผู้ถูกลงโทษปรับทางปกครอง เพื่อให้ทรัพย์สินนั้นได้เข้ามาอยู่ในความควบคุมหรือครอบครองของเจ้าหน้าที่บังคับโทษปรับทางปกครอง
  • อายัด หมายถึง การสั่งมิให้ผู้ถูกลงโทษปรับทางปกครองหรือบุคคลอื่นดำเนินการจำหน่ายจ่ายโอนหรือกระทำนิติกรรมใด ๆ เกี่ยวกับทรัพย์สิน
  • การขายทอดตลาด หมายถึง การนำทรัพย์สินของผู้ถูกลงโทษปรับทางปกครองออกขายโดยวิธีให้สู้ราคากันโดยเปิดเผย
  • เจ้าหน้าที่บังคับโทษปรับทางปกครอง หมายถึง บุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือคณะกรรมการผู้เชี่ยวชาญมอบหมายให้ดำเนินการบังคับตามคำสั่งลงโทษปรับทางปกครองหรือคำสั่งอื่นใดที่เกี่ยวข้อง
  • คณะกรรมการผู้เชี่ยวชาญ หมายถึง คณะกรรมการผู้เชี่ยวชาญตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • พนักงานเจ้าหน้าที่ หมายถึง ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

      แต่สำหรับการพิจารณาออกคำสั่งลงโทษปรับทางปกครองหรือใช้มาตรการบังคับทางปกครองนั้น หรือการดำเนินการอื่นใดที่เกี่ยวข้องกันตามประกาศนี้เพื่อลงโทษปรับทางปกครองกับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลอื่นที่เกี่ยวข้อง ให้คณะกรรมการผู้เชี่ยวชาญคำนึงถึงปัจจัยสำคัย ดังต่อไปนี้

  1. กรณีที่เป็นการกระทำผิดโดยเจตนาหรือจงใจหรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
  2. ความร้ายแรงของพฤติกรรมที่กระทำผิด
  3. ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  4. ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหายหรือความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่เพียงใด
  5. ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง
  6. มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น
  7. ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน (ถ้ามี)
  8. ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
  9. ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  10. การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
  11. การเยียวยาและบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
  12. การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
  13. ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง

สรุป   การออกประกาศกฎหมายฉบับนี้ได้มีการบังคับใช้เป็นที่เรียบร้อยแล้วนับแต่วันถัดจากวันที่กฎหมายได้มีการประกาศแจ้ง ดังนั้นเจ้าของคนที่ทำธุรกิจก็จะต้องตระหนักถึงความสำคัญในกฎหมายลูกเพิ่มเติมของ PDPA ในการจัดทำเพื่อให้สอดคล้องกับตัวกฎหมายเพื่อให้ครอบคลุมตามที่มีการกำหนดไว้ วันนี้ทางทีมงาน Trust – Vision ได้นำข้อมูลการ Update PDPA การออกกฎหมายลูกภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาแชร์สรุปเนื้อหาเบื้องต้นเพื่อให้ผู้อ่านสามารถทำความเข้าใจในรายละเอียดได้ง่ายมากขึ้น ตามบทความที่กล่าวมาข้างต้น ขอบคุณค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

Privacy Policy สำคัญอย่างไร? ทำไมถึงต้องมี

Privacy Policy สำคัญอย่างไร ?

          Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลซึ่งใช้ในการ แจ้ง ถึงรายละเอียดในการจัดเก็บรวบรวมข้อมูลส่วนบุคคล ใช้แจ้งถึงประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมเก็บ ใช้ และเผยแพร่ รวมทั้งระยะเวลาในการจัดเก็บ และการรักษาความปลอดภัยของข้อมูลส่วนที่ถูกจัดเก็บนั้นเอง และที่สำคัญตัวเอกสาร Privacy Policy นั้นถือว่าเป็นส่วนหนึ่งของรายการเอกสารที่จะต้องจัดทำให้มีตามระเบียบกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ (PDPA: Personal Data Protection Act) ซึ่งในส่วนของคนทำธุรกิจหรือทุกองค์กรจะต้องให้ความสำคัญและต้องดำเนินการจัดทำเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูล ส่วนของนโยบายความเป็นส่วนตัว ยังสามารถช่วยสร้างความน่าเชื่อถือให้กับองค์กร ทำให้ผู้ใช้งานหรือผู้ที่มาใช้บริการนั้นมีความมั่นใจว่าข้อมูลที่ให้ยินยอมในการจัดเก็บนั้นได้มีการดูแลความปลอดภัย และถูกนำไปใช้งานได้ตรงตามวัตถุประสงค์โดยบริษัทมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ควบคุมข้อมูลส่วนบุคคล’  โดยมีพนักงานที่บริษัทมอบหมายโดยเฉพาะให้มีหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’

  • ตัวอย่างธุรกิจที่ต้องมี
  1. ธุรกิจใดก็ตามที่มีการเก็บข้อมูลส่วนบุคคลของพนักงานหรือลูกค้ารวมทั้งผู้ใช้บริการไม่ว่าจะเป็น ชื่อ-สกุล เบอร์โทร ที่อยู่ หรืออีเมล์ เพื่อใช้ในการจัดทำข้อสัญญาหรือใช้ในการเสนอขายสินค้า บริการ รวมทั้งใช้วิเคราะห์การตลาด
  2. ทุกเว็บไซต์ที่มีการเก็บข้อมูลในการเข้าล็อกอินระบบผ่านอีเมลหรือบัญชีทาง Social Network เป็นต้น
  3. ประเภทธุรกิจขายของออนไลน์ที่เก็บข้อมูลในการชำระเงินต่าง ๆ
  • Privacy Policy ใช้ในกรณีไหน?
  1. ใช้ในกรณีที่มีการเก็บข้อมูลส่วนบุคคลของผู้ใช้ไม่ว่าจะเป็นผ่านช่องทางออนไลน์ หรือออฟไลน์เพื่อใช้สำหรับการสื่อสารภายในองค์กร

Privacy Policy ต้องแจ้งอะไรบ้าง ?

  1. ประเภทข้อมูลส่วนบุคคลอะไรบ้างที่เก็บรวบรวม ใช้ และ/หรือเปิดเผย

บริษัทจะต้องแจ้งถึงข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บรวบรวม ใช้ และเปิดเผย ไม่ว่าทางตรงหรือทางอ้อม ซึ่งได้แก่ ข้อมูลที่มีให้ไว้โดยตรงกับบริษัท รวมทั้งการลงทะเบียนเข้าร่วมกิจกรรมต่างๆ ของบริษัท คุกกี้ ข้อมูลการทำรายการ และประสบการณ์การใช้งานผ่านหน้าเว็บไซต์ หรือช่องทางอื่นใด เช่นข้อมูลส่วนตัว เช่น

  • ชื่อ นามสกุล อายุ วันเดือนปีเกิด สถานภาพสมรส เลขประจำตัวประชาชน เลขหนังสือเดินทาง
  • ข้อมูลการติดต่อ เช่น ที่อยู่อาศัย สถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์
  • การเก็บข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address MAC Address Cookie ID
  • ข้อมูลอื่นๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
  1. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูล

แจ้งถึงวัตถุประสงค์การใช้ในข้อมูลส่วนบุคคลในประเภทต่าง ๆ แจ้งในที่มาของการนำข้อมูลไปใช้เพื่อการใด เช่นใช้เพื่อการพัฒนาและปรับปรุงเว็บไซต์ของบริษัท ตลอดจนการวิเคราะห์และประมวลผลข้อมูลส่วนบุคคล เพื่อให้ตอบโจทย์การใช้งานของผู้ใช้งานตามแต่ละบริบทของบริษัท พร้อมทั้งแจ้งระยะเวลาในการจัดเก็บข้อมูล และหากภายหลังทางบริษัทได้มีการเปลี่ยนแปลงในวัตถุประสงค์ จำเป็นอย่างยิ่งที่บริษัทจะแจ้งให้เจ้าของข้อมูลรับทราบ เพื่อขอความยินยอม และจัดให้มีบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐาน บริษัทจะไม่กระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เพื่อประโยชน์อย่างอื่น ที่นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับท่านไว้ก่อนหรือขณะเก็บรวบรวม

  1. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องแจ้งถึงระเบียบในการเก็บรักษาข้อมูลส่วนบุคคลตามมาตราการต่าง ๆ ของบริษัท อาทิเช่น เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลตามที่เหมาะสม เพื่อป้องกันการถูกละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข การนำข้อมูลไปใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์อื่นที่ไม่เป็นไปตามที่กำหนดและก่อนทุกครั้งที่บริษัทจะมีการขอเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลของพนักงาน บริษัทจะต้องทำการขอความยินยอมก่อนทุกครั้ง โดยการขอความยินยอมจะทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยระบบอิเล็กทรอนิกส์

  1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องมีการแจ้งถึงระยะเวลาในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงานไว้อย่างชัดเจน และบริษัทจะต้องจัดให้มีเจ้าหน้าที่ในการกำกับดูแลในเรื่องนี้โดยเฉพาะ เพื่อเป็นการห้ามมิให้ มีการใช้ การเปิดเผย แสดงของข้อมูล ที่นอกเหนือไปจากวัตถุประสงค์ตามที่บริษัทกำหนด เพื่อให้การเปิดเผยข้อมูลได้ตามขอบเขตที่เจ้าของข้อมูลได้ให้ความยินยอม ตามขอบเขตที่ของบริษัท

  1. สิทธิของเจ้าของข้อมูล

ธุรกิจที่มีการจัดเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลอื่น จะต้องมีการแจ้งถึงสิทธิของเจ้าของข้อมูล ในการแจ้งถึงอำนาจสิทธิในความสามารถขอใช้สิทธิใดได้บ้าง ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายที่ได้มีการกำหนดไว้ก่อนหรือในขณะที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทกำหนดขึ้นนั้นเอง อาทิเช่น

  • สิทธิในการขอถอนความยินยอม
  • สิทธิในการขอเข้าถึง ขอรับข้อมูลหรือสำเนาข้อมูล
  • สิทธิในการคัดค้าน
  • สิทธิขอให้แก้ไขข้อมูล
  • สิทธิขอให้ลบหรือทำลายข้อมูล
  • สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิร้องขอให้บริษัทดำเนินการแก้ไขข้อมูลนั้นถูกต้อง
  • สิทธิร้องเรียน เป็นต้น ( เพิ่มเติม สิทธิของเจ้าของข้อมูลตาม PDPA )
  1. การเชื่อมโยงข้อมูลส่วนบุคคลกับบุคคลอื่นหรือหน่วยงานอื่น

บริษัทจะต้องแจ้งถึงการเชื่อมโยงข้อมูลส่วนบุคคลของพนักงานกับบุคคลที่สามหรือหน่วยงานอื่น ๆ โดยบริษัทจะแจ้งให้พนักงานทราบก่อนที่จะทำการเชื่อมโยงของข้อมูล พร้อมทั้งขอความยินยอมจากพนักงานที่เป็นเจ้าของข้อมูลทุกครั้ง และบริษัทจะต้องมีการระบุถึงรายละเอียดต่าง ๆ ให้กับเจ้าของข้อมูลทราบ ยกตัวอย่าง เช่น

  • ระบุรายชื่อบุคคลหรือหน่วยงานที่จะทำการเชื่อมโยงข้อมูลส่วนบุคคล
  • แจ้งวัตถุประสงค์ในการเชื่อมข้อมูลส่วนบุคคล
  • กำหนดวิธีการและขอบเขตในการเชื่อมโยงข้อมูลส่วนบุคคล
  • ประเภทของข้อมูลส่วนบุคคลที่จะมีทำการเชื่อมโยงกับหน่วยงานอื่น
  1. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่บริษัทจะต้องมีการปรับปรุงในตัวนโยบายความเป็นส่วนตัวในบางครั้งนั้น บริษัทจะต้องมีการแจ้งประกาศให้พนักงานหรือบุคคลที่เป็นเจ้าของข้อมูลทราบในทุกครั้งที่ได้มีการอัพเดทเปลี่ยนแปลงในเนื้อหารายละเอียดต่าง ๆ ของนโยบาย โดยมีการอาศัยในช่องทางการประกาศผ่านช่องทางเว็บไซต์เพื่อให้บุคคลที่มาใช้บริการรับทราบ และใช้วิธีติดประกาศผ่านช่องทางอีเมลหรือติดประกาศสำหรับเพื่อให้พนักงานภายในที่เป็นเจ้าของข้อมูลรับทราบโดยทั่วทั้งองค์กรนั้นเอง

  1. นโยบายคุกกี้ (Cookies)

บริษัทจะต้องแจ้งถึงนโยบายคุกกี้ ว่าหมายถึงอะไรมีความสำคัญอย่างไรบ้าง และใช้เพื่อการใดบ้าง ประเภทของคุกกี้ที่องค์กรได้มีการใช้ รวมทั้งรูปแบบในการตั้งค่าคุกกี้ในแบบต่าง ๆ ของบริษัท ดังนั้นบริษัทจำเป็นอย่างยิ่งที่จะต้องแจ้งถึงวัตถุประสงค์และขอบตเขตในการดำเนินการของนโยบาย ไม่ว่าจะเป็นเพื่อพัฒนาประสิทธิภาพในการใช้งานแพลตฟอร์มและการเข้าถึงบริการของบริษัทผ่านทางระบบอินเทอร์เน็ต เป็นต้น

  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องมีแจกแจงรายละเอียดของเจ้าหน้าที่ที่มีส่วนสำคัญและมีหน้าที่รับผิดชอบโดยตรงในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน

  1. ช่องทางการติดต่อ

บริษัทจะต้องแจ้งระบุถึงช่องทางในการติดต่อ ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรในการติดต่อของบริษัทเอง เพื่อใช้ในกรณีที่พนักงานต้องการสอบถามในข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามนโยบาย

ดังนั้น   คนทำธุรกิจหรือทุก ๆ องค์กรจึงจำเป็นอย่างยิ่งที่จะต้องทำนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อใช้ในการแจกชี้แจงรายละเอียดต่าง ๆ ในการกำหนดวิธีการจัดเก็บรวบรวม การใช้ และ/หรือเปิดเผย การคุ้มครองข้อมูล การเข้าถึงข้อมูล การโอนย้าย รวมทั้งการวิเคราะห์ประมวลผลข้อมูลส่วนบุคคลของพนักงาน เพื่อหลีกเลี่ยงการนำข้อมูลไปใช้ ไปเผยแพร่แบบผิดประเภทที่ไม่ตรงตามวัตถุประสงค์ตามที่กฎหมายกำหนด หากคนทำธุรกิจหรือองค์กรเพิกเฉยในการจัดทำดังกล่าวก็จะได้รับผลกระทบในรูปแบบต่าง ๆ ไม่ว่าจะเป็นการขาดความน่าเชื่อถือขององค์กร แถมยังมีความผิดตามฐานที่กฎหมายได้มีการกำหนดไว้นั้นเองค่ะ

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะนิติศาสตร์ จุฬาลงกรณ์

Thailand Data Protection Guidelines 2.0

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

          Department ในองค์กรกับกฎหมาย PDPA สำหรับกฎหมาย PDPA นั้นไม่เพียงแต่มีความสำคัญเฉพาะฝ่ายใดฝ่ายหนึ่งในองค์กร หรือเกี่ยวข้องเฉพาะแต่คนทำธุรกิจเท่านั้น เพราะถือว่าเป็นผู้ที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลของผู้อื่นโดยตรง แต่สำหรับกฎหมาย PDPA นั้นสำคัญกับทุก ๆฝ่าย ทุก ๆ แผนกในองค์กร เพราะทุกแผนกนั้นก็มีความสำคัญหรือบริบทในการทำงานที่แตกต่างกันไปและยังมีการเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นไม่ว่าจะเป็นฝ่าย HR จัดซื้อจัดจ้าง ฝ่ายขาย เป็นต้น และเพื่อเป็นการลดความเสี่ยงในการนำข้อมูลไปใช้ในทางที่ผิด ดังนั้นทุกคนในองค์กรจะต้องตระหนักรู้ถึงความสำคัญของกฎหมาย PDPA เพื่อไม่ให้เกิดข้อผิดพลาด ดังนั้นแล้ว วันนี้ทางทีมงาน Trust-Vision ได้รวบรวมข้อสรุปถึงความสำคัญในกฎหมาย PDPA ว่ามีความเกี่ยวข้องกับแต่ละแผนกอย่างใดบ้าง

Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

แผนกทรัพยากรบุคคล

สำหรับแผนกทรัพยากรบุคคลหรือ HR ที่มีการจัดเก็บข้อมูลของพนักงานให้กับองค์กรที่เกี่ยวข้องกับ PDPA โดยตรง ต้องมั่นใจว่ามีการจัดการข้อมูลอย่างถูกต้อง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น เช่น ชื่อ – นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, สำเนาเอกสารทางกฎหมาย หรือกระทั่ง Resume และ Portfolio ทั้งข้อมูลที่เป็นเอกสารและข้อมูลที่เป็นไฟล์อิเล็กทรอนิกส์ โดยการนำข้อมูลมาใช้ทุกครั้งจะต้องผ่านการขอยินยอม Consent กับพนักงานในทุกครั้งที่นำข้อมูลมาใช้เท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน และต้องมีการจัดอบรมเพื่อให้พนักตระหนักรู้ถึงความสำคัญของกฎหมาย ดังนั้นแล้วหากฝ่าย HR ไม่มีมาตรการในการรักษาข้อมูลที่ครอบคลุม ก็อาจจะก่อให้เกิดกรณีข้อมูลหลุดออกไป และเสี่ยงที่จะได้รับโทษตามกฎหมายกำหนด โทษ PDPA

ฝ่ายฝึกอบรม

แผนกฝึกอบรมจะมีส่วนในการรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานถือว่าเป็นข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขบัตรประชาชน เพศ อายุ เป็นต้น สำหรับการฝึกอบรมจะต้องมีการแจ้งให้กับผู้เข้าร่วมอบรมทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ว่าใช้เพื่อการสิ่งใดบ้าง ซึ่งองค์กรหรือผู้ที่เป็นเจ้าหน้าที่ควบคุมข้อมูลสาวนบุคคลจะต้องเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

จัดซื้อ

ข้อมูลสำคัญที่แผนกจัดซื้อต้องทำการเก็บรวบรวมไม่ว่าจะเป็น ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างของบริษัทซึ่งเป็นข้อมูลส่วนบุคคล ผู้ที่ดูแลฝ่ายจัดซื้อควรตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ได้มาได้ถูกนำมาใช้ในการประมวลผลข้อมูลที่เป็นไปตามสัญญาว่าข้อมูลส่วนบุคคลนั้นได้รับการคุ้มครองไม่แบ่งปันต่อบุคคลอื่น และที่สำคัญมีการส่งผ่านเพียงแค่เฉพาะข้อมูลที่จำเป็นเท่านั้น หารเกิดการสงสัยว่าข้อมูลเหล่านั้นถูกบุกรุกจากระบบที่เกิดขึ้น เราจะสื่อสารในฐานะ ผู้ควบคุมข้อมูล หรือ Data Controller ได้ว่าอย่างไร? และถ้าหากเราจ้างฝ่าย IT ที่เป็นบุคคบลภายนอกเข้ามาดูแลระบบให้ เราจะต้องตระหนักว่าผู้ให้บริการจะมีกระบวนการดูแลและมีการจัดระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยได้อย่างไร?

การตลาด และการขาย

ส่วนใหญ่ในการเก็บข้อมูลของฝ่ายนี้จะเป็นในส่วนสำคัญในสื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าผู้ที่มาใบริการ ดังนั้นจะต้องสร้างความมั่นใจที่ว่าข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้นั้นจะมีปลอดภัย และ Comply กับ PDPA ในส่วนของพนักงานที่ทำงานเกี่ยวกับด้านการตลาดจะเป็นส่วนหน้าของด่านแรกในการขอความยินยอมในเก็บข้อมูลส่วนบุคคลจากลูกค้าผู้ใช้บริการไม่ว่าจะเป็นช่องทางใด และเพื่อเป็นการสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรจัดเก็บไว้นั้นได้มีการปฏิบัติตาม กฎหมาย พ.ร.บ. ข้อมูลส่วนบุคคล หรือ (PDPA) ได้อย่างชัดเจนและถูกต้อง

แผนกธุรการ

แผนกธุรการถือเป็นอีกหนึ่งแผนกที่เป็นส่วนของฝ่ายปฏิบัติการสำคัญ และเป็นแผนกที่เกี่ยวข้องกับทุกแผนกที่มีส่วนความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในองค์กรหรือว่าภายนอกองค์กร ทั้งผู้ที่มาติดต่อสื่อสาร การซ่อมบำรุง การจัดซื้อต่างๆ เพราะจะต้องมีการอัปเดตข้อมูล เพื่อให้เป็นไปตามกฎหมาย (PDPA) กำหนดเช่นกัน

ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่กฎหมายบังคับใช้

  1. ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
  2. ต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
  3. การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

การร้องเรียนการถูกล่วงละเมิดข้อมูล

1. คณะกรรมการผู้เชี่ยวชาญ

  • พิจารณาเรื่องร้องเรียน
  • ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  • ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล

2. พนักงานเจ้าหน้าที่

  • มีหนังสือแจ้งให้บุคคลมาให้ข้อมูล หรือส่งเอกสารหรือหลักฐานใด ๆ
  • ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ
  • ในกรณีตามข้อ (2) หากมีความจำเป็นเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะให้พนักงานเจ้าหน้าที่ยื่นขอหมายศาล เพื่อเข้าไปในสถานที่ของผู้ควบคุม ผู้ประมวลผลหรรือผู้ใด ในระหว่างพระอาทิตย์ขึ้นถึงพระอาทิตย์ตกหรือในเวลาทำการของสถานที่นั้น

สรุป   ดังนั้นการปฏิบัติตามกฎหมาย PDPA เพื่อให้ถูกต้องและครบถ้วน เจ้าของบริษัทและ Department อื่น ๆ ควรให้เวลาในการทำความเข้าใจในตัวกฎหมาย เพราะถ้าหากไม่มีการเตรียมความพร้อมในการตอบรับที่ดีพอและหากเกิดพลาดกระทำความผิดไปแล้ว ก็จะส่งผลที่ตามมานอกจากจะเสียค่าปรับตามโทษของกฎหมาย ก็จะทำให้เสียชื่อเสียงอีกด้วย แถมยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าตามมาอีกด้วย เห็นแบบนี้แล้วจำเป็นอย่างยิ่งที่ทุก ๆ คนจะต้องหันมาทำความเข้าใจและปฏิบัติตามให้ถูกต้องเพื่อลดผลกระทบที่จะตามมานั้นเองค่ะ

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Thailand Data Protection Guidelines 2.0

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!