เตรียมให้พร้อม เมื่อ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำลังจะมา…
หลายท่านอาจจะเคยได้ยิน หรือคุ้นๆอักษรย่อ 4 ตัวนี้มาบ้าง PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งบอกเลยว่าเป็นเรื่องที่ใกล้ตัวมากๆ และควรจะศึกษาไว้ โดยจะมีผลบังคับใช้เต็มรูปแบบ ในวันที่ 27 พฤษภาคม 2563 นี้!
ทำไมต้องทำ PDPA ?
ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล พฤติกรรมต่างๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้นๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล
ใครต้องทำ PDPA บ้าง ?
บอกได้เลยว่ากฎหมายฉบับนี้มีผลบังคับใช้กับทั้งภาคเอกชนและภาครัฐ(บุคคลหรือนิติบุคคล) ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและ/หรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
ซึ่งจะต้องมีการตั้งมาตรการในการจัดการ ในการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว การขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย นโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ
บทลงโทษของ PDPA
- โทษปรับสูงสุด 5 ล้านบาท
- จำคุกสูงสุด 1 ปี
- ค่าเสียหายตามจริง สินไหมทดแทน สูงสุดสองเท่าของค่าเสียหายตามจริง
ปล. หากผู้กระทำผิดเป็นนิติบุคคลกรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย
ข้อมูลที่ได้รับความคุ้มครอง
- ข้อมูลส่วนบุคคล ข้อมูลที่สามารถทำให้สามารถระบุตัวตนของบุคคลนั้นๆได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล เบอร์โทร หมายเลขบัตรประชาชน ที่อยู่ ข้อมูลอุปกรณ์หรือเครื่องมือต่างๆ โดยไม่รวมข้อมูลของผู้ที่ถึงแก่กรรม
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ความเห็นทางด้านการเมือง ความเชื่อในด้านศาสนา เป็นต้น
ซึ่งข้อมูลมีความเสี่ยงในด้านของความปลอดภัย ไม่ว่าจะเป็น เสี่ยงในเรื่องของการขโมยตัวตน การถูกติดตาม สะกดรอย ถูก spam หรือการนำข้อมูลต่างๆไปขายให้แก่บุคคลที่ 3 โดยเจ้าของข้อมูลยังไม่ได้รับความยินยอมนั่นเอง
สิทธิของเจ้าของข้อมูล
พรบ.คุ้มครองข้อมูลส่วนบุคคล ใจความหลักๆคือการให้สิทธิเจ้าของข้อมูล ดังนี้
- สิทธิในการถอนความยินยอม
- สิทธิในการขอรับข้อมูล
- สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล
- สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
- สิทธิในการขอระงับการใช้ข้อมูล
- สิทธิในการร้องเรียนกรณีที่ผู้ควบคุม หรือผู้ประมวลผลไม่ได้ปฎิบัติตามพรบ.นี้
- สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
ซึ่งเมื่อมีการแจ้งความประสงค์ในสิทธิต่างๆ องค์กรจะต้องทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน
เราจะเริ่มต้นทำ PDPA อย่างไร?
- ประเมินผลกระทบ การเข้าข่ายในการทำ PDPA
- จัดตั้งผู้รับผิดชอบต่างๆ
- จัดทำสัญญา ข้อตกลง และนโยบายต่างๆเพื่อรับรองความปลอดภัยของข้อมูล ซึ่งจะต้องมีเนื้อหาที่อ่านง่าย รวบรัด เข้าใจง่าย ไม่ทำให้เข้าใจผิด
- เตรียมพร้อมในเรื่องการป้องกันระบบ ความปลอดภัยต่างๆ
- ทำความเข้าใจกับพนักงานในองค์กร ทั้งในเรื่องของผลกระทบ การรับมือ
สุดท้ายก็คือการขอความยินยอมเจ้าของข้อมูลในการประมวลผลข้อมูล
ผู้รับผิดชอบ / บทบาทผู้ดูแล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): บุคคล/นิติบุคคลซึ่งมีอำนาจ ผู้ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผย มีมาตรการดูแล Security ที่เหมาะสม และทบทวนสม่ำเสมอ
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : มีบทบาท บุคคล/นิติบุคลซึ่งเก็บ ใช้ เปิดเผยตามคำสั่งของผู้ควบคุม (คนละคนกับผู้ควบคุมข้อมูลส่วนบุคคล)
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) :กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO ซึ่งในขณะนี้ยังไม่มีการกำหนดว่าต้องมีใบรับรอง(Certificates) ข้อกำหนดคุณสมบัติต่างๆหรือไม่ แต่สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ
ผลกระทบหากมีข้อมูลรั่วไหล หรือข้อมูลไม่มีความปลอดภัย
- สูญเสียความน่าเชื่อถือ
- ถูกดำเนินคดีตามกฎหมาย
- เกิดค่าเสียโอกาส
- เสียเปรียบในการแข่งขันทางการตลาด การค้า
- ความเชื่อมั่น ความไว้างใจของลูกค้า
สรุปสาระสำคัญของ PDPA
PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยข้อยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมจะต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อไหร่ก็ได้ โดยองค์กรต้องกระทำการภายใน 30 วัน ถ้าเกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง
อ่านรายละเอียดเพิ่มเติมได้ที่ : https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf
