เตรียมพร้อมรับมือ PDPA

ตอนที่ 2 ลงลึกในตัวกฎหมาย

หลังจากที่ดูที่มาของ พ.ร.บ. กันไปในตอนก่อนหน้าแล้ว ตอนนี้จะพาทุกคนมาลงลึกในตัว พ.ร.บ. กันดีกว่าในมีรายละเอียดอะไรที่เราต้องทำความรู้จักกันบ้าง

บทบาทสำคัญใน PDPA

1. Data Subject เจ้าของข้อมูลส่วนบุคคล ผู้ให้ข้อมูล
2. Data Controller มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. Data Process มีหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม ผู้ควบคุมข้อมูลส่วนบุคคล

PDPA Framework

มาถึงตรงนี้เรามาดูกรอบของ PDPA เพื่อเตรียมความพร้อมกันดีกว่า

1. Processing Data
2. Data Subject Right Security
3. Third Party / Vendor

แต่ละตัวมีองค์ประกอบอะไรบ้างเราไปดูกันเลย

1. Processing Data เป็นกรอบการปฏิบัติในส่วนของการประมวลข้อมูลส่วนบุคคล มีเรื่องที่ต้องดูดังนี้

ฐานการประมวลผลข้อมูลส่วนบุคคล (Legal grounds for Processing)

ตาม พ.ร.บ. ได้กำหนดไว้ชัดเจนในมาตรา 24 ห้ามไม่ให้มีการจัดเก็บข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอม ฮะ!!! ใช่ครับ ห้ามจัดเก็บโดยไม่ได้รับความยินยอม หมายความว่าหลังวันที่ 28 พ.ค. 63 เราจะมาเก็บข้อมูลส่วนบุคคลโดยที่ไม่มีเอกสารการให้ความยินยอมของเจ้าของข้อมูลได้ ยกเว้น การจัดเก็บนั้นจะเข้าเงื่อนไขต่อไปนี้

1. เพื่อการวิจัยและสถิติ
2. การป้องกันอันตรายต่อชีวิตและร่างกาย
3. การจัดเก็บภายใต้อำนาจรัฐ
4. จัดเก็บตามสัญญา
5. เก็บตามหน้าที่ตามกฎหมาย
6. เก็บตามประโยชน์อันชอบธรรม

แต่ละข้อจะมีรายละเอียดอีกมากแนะนำว่าต้องอ่าน พ.ร.บ.เพิ่มเติม มาถึงตรงนี้หากการจัดเก็บของบริษัทไม่เข้าเงื่อนไขทั้ง 6 ข้อ เราจำเป็นต้องขอความยินยอมจากลูกค้า (Consent)

ข้อกำหนดข้อมูลส่วนบุคคล (Privacy Notice)

เมื่อต้องมีการขอความยินยอมจากเจ้าของข้อมูล เราจะต้องแจ้งอะไรบ้าง เพื่อให้เป็นไปตาม พ.ร.บ. มาดูกันเลย

1. ต้องแจ้งวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2. ระยะเวลาการเก็บข้อมูล พร้อมทั้งบุคคลที่ 3 ที่เกี่ยวข้อง
3. ข้อความต้องอ่านเข้าใจง่าย เข้าใจได้ ใช้ภาษาที่อ่านง่าย
4. ต้องชัดเจน ไม่หลอกลวงและทำให้เข้าใจผิดในวัตถุประสงค์
5. ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน

แล้วถ้าเราในฐานะของเจ้าของข้อมูล เรามีสิทธิ์อะไรบ้างมาดูกัน

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (International Transfer)

ตาม พ.ร.บ. แล้วเรื่องการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอตามที่คณะกรรมการประกาศกำหนด (ปัจจุบันยังไม่มีการประกาศแต่งตั้งคณะกรรมการชุดนี้ ประกาศในส่วนนี้เลยยังไม่มี) ซึ่งมีข้อยกเว้นให้ดังนี้

1. การโอนข้อมูลที่อยู่ใน เครือกิจการหรือธุรกิจเดียวกัน
2. คณะกรรมการประกาศกำหนดวิธีการอื่น
3. เข้าข้อยกเว้น 6 กรณี เช่น เป็นการปฏิบัติตามกฎหมาย การได้รับความยินยอม การจำเป็นเพื่อปฏิบัติตามสัญญา

2. สิทธิ์ของเจ้าของข้อมูล (Data Subject Right)

1. ขอสำเนา หรือขอสำเนารับรองถูกต้องเกี่ยวกับข้อมูลส่วนบุคคลของตน
2. ขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้องสมบูรณ์
3. ขอคัดค้านการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
4. ขอให้ดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน
5. ขอระงับการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
6. ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตนในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการไม่ได้ให้ความยินยอมในการรวบรวมหรือจัดเก็บ

3. ข้อตกลงการให้บริการ (Vendor Agreement)

ตามหลักเกณฑ์และเงื่อนไขตาม พ.ร.บ. แล้ว

ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูล ซึ่งบุคคลดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูล

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย
2. จัดให้มีมาตราการรักษาความปลอดภัยที่เหมาะสม
3. จัดทำและเก็บรักษาบันทึกการประมวลผล
4. จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

มาถึงตรงนี้ทุกท่านน่าจะพอเห็นภาพของ พ.ร.บ. ฉบับนี้มากยิ่งขึ้นกันแล้ว ในตอนหน้าจะเป็นตอนสุดท้ายกันแล้ว โดยจะกล่าวถึงขั้นตอนการเตรียมความพร้อมก่อนจะมีผลวันที่ 27 พ.ค. 63 เราจะมาดูกันว่าในองค์กรเราต้องเตรียมทำอะไรบ้าง และจะถามแถมท้ายด้วยหน่วยงานที่จัดอบรมหลักสูตรที่เกี่ยวข้องกับ PDPA อีกด้วย รอติดตามตอนต่อไปครับ