เตรียมพร้อมรับมือ PDPA
ตอนที่ 2 ลงลึกในตัวกฎหมาย
หลังจากที่ดูที่มาของ พ.ร.บ. กันไปในตอนก่อนหน้าแล้ว ตอนนี้จะพาทุกคนมาลงลึกในตัว พ.ร.บ. กันดีกว่าในมีรายละเอียดอะไรที่เราต้องทำความรู้จักกันบ้าง
บทบาทสำคัญใน PDPA
- Data Subject เจ้าของข้อมูลส่วนบุคคล ผู้ให้ข้อมูล
- Data Controller มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- Data Process มีหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม ผู้ควบคุมข้อมูลส่วนบุคคล
PDPA Framework
มาถึงตรงนี้เรามาดูกรอบของ PDPA เพื่อเตรียมความพร้อมกันดีกว่า
- Processing Data
- Data Subject Right Security
- Third Party / Vendor
แต่ละตัวมีองค์ประกอบอะไรบ้างเราไปดูกันเลย
- Processing Data เป็นกรอบการปฏิบัติในส่วนของการประมวลข้อมูลส่วนบุคคล มีเรื่องที่ต้องดูดังนี้
ฐานการประมวลผลข้อมูลส่วนบุคคล (Legal grounds for Processing)
ตาม พ.ร.บ. ได้กำหนดไว้ชัดเจนในมาตรา 24 ห้ามไม่ให้มีการจัดเก็บข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอม ฮะ!!! ใช่ครับ ห้ามจัดเก็บโดยไม่ได้รับความยินยอม หมายความว่าหลังวันที่ 28 พ.ค. 63 เราจะมาเก็บข้อมูลส่วนบุคคลโดยที่ไม่มีเอกสารการให้ความยินยอมของเจ้าของข้อมูลได้ ยกเว้น การจัดเก็บนั้นจะเข้าเงื่อนไขต่อไปนี้
- เพื่อการวิจัยและสถิติ
- การป้องกันอันตรายต่อชีวิตและร่างกาย
- การจัดเก็บภายใต้อำนาจรัฐ
- จัดเก็บตามสัญญา
- เก็บตามหน้าที่ตามกฎหมาย
- เก็บตามประโยชน์อันชอบธรรม
แต่ละข้อจะมีรายละเอียดอีกมากแนะนำว่าต้องอ่าน พ.ร.บ.เพิ่มเติม มาถึงตรงนี้หากการจัดเก็บของบริษัทไม่เข้าเงื่อนไขทั้ง 6 ข้อ เราจำเป็นต้องขอความยินยอมจากลูกค้า (Consent)
ข้อกำหนดข้อมูลส่วนบุคคล (Privacy Notice)
เมื่อต้องมีการขอความยินยอมจากเจ้าของข้อมูล เราจะต้องแจ้งอะไรบ้าง เพื่อให้เป็นไปตาม พ.ร.บ. มาดูกันเลย
- ต้องแจ้งวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ระยะเวลาการเก็บข้อมูล พร้อมทั้งบุคคลที่ 3 ที่เกี่ยวข้อง
- ข้อความต้องอ่านเข้าใจง่าย เข้าใจได้ ใช้ภาษาที่อ่านง่าย
- ต้องชัดเจน ไม่หลอกลวงและทำให้เข้าใจผิดในวัตถุประสงค์
- ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
แล้วถ้าเราในฐานะของเจ้าของข้อมูล เรามีสิทธิ์อะไรบ้างมาดูกัน
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (International Transfer)
ตาม พ.ร.บ. แล้วเรื่องการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอตามที่คณะกรรมการประกาศกำหนด (ปัจจุบันยังไม่มีการประกาศแต่งตั้งคณะกรรมการชุดนี้ ประกาศในส่วนนี้เลยยังไม่มี) ซึ่งมีข้อยกเว้นให้ดังนี้
- การโอนข้อมูลที่อยู่ใน เครือกิจการหรือธุรกิจเดียวกัน
- คณะกรรมการประกาศกำหนดวิธีการอื่น
- เข้าข้อยกเว้น 6 กรณี เช่น เป็นการปฏิบัติตามกฎหมาย การได้รับความยินยอม การจำเป็นเพื่อปฏิบัติตามสัญญา
2. สิทธิ์ของเจ้าของข้อมูล (Data Subject Right)
- ขอสำเนา หรือขอสำเนารับรองถูกต้องเกี่ยวกับข้อมูลส่วนบุคคลของตน
- ขอแก้ไข หรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้องสมบูรณ์
- ขอคัดค้านการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
- ขอให้ดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน
- ขอระงับการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
- ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตนในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการไม่ได้ให้ความยินยอมในการรวบรวมหรือจัดเก็บ
3. ข้อตกลงการให้บริการ (Vendor Agreement)
ตามหลักเกณฑ์และเงื่อนไขตาม พ.ร.บ. แล้ว
ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูล ซึ่งบุคคลดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูล
หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
- ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย
- จัดให้มีมาตราการรักษาความปลอดภัยที่เหมาะสม
- จัดทำและเก็บรักษาบันทึกการประมวลผล
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
มาถึงตรงนี้ทุกท่านน่าจะพอเห็นภาพของ พ.ร.บ. ฉบับนี้มากยิ่งขึ้นกันแล้ว ในตอนหน้าจะเป็นตอนสุดท้ายกันแล้ว โดยจะกล่าวถึงขั้นตอนการเตรียมความพร้อมก่อนจะมีผลวันที่ 27 พ.ค. 63 เราจะมาดูกันว่าในองค์กรเราต้องเตรียมทำอะไรบ้าง และจะถามแถมท้ายด้วยหน่วยงานที่จัดอบรมหลักสูตรที่เกี่ยวข้องกับ PDPA อีกด้วย รอติดตามตอนต่อไปครับ