PDPA-ศุภกานต์

PDPA คอื พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ส่วนบุคคล ซ่ึงเป็นกฎหมายที่ถูก สร้างมาเพ่อื ป้องกนั การละเมดิ ขอ้ มูลส่วนบคุ คลของทุกคน รวมถงึ การจดั เก็บ ขอ้ มลู และนาไปใชโ้ ดยไม่ไดแ้ จง้ ให้ทราบ และไมไ่ ดร้ ับความยนิ ยอมจากเจา้ ของ ขอ้ มูลเสียกอ่ น พระราชบญั ญตั ิคมุ้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือกฎหมายใหมท่ อ่ี อกมาเพือ่ แกไ้ ขปัญหาการถกู ลว่ ง ละเมิดขอ้ มูลส่วนบคุ คลทเี่ พิ่มมากข้ึนเรื่อย ๆ ในปัจจบุ นั เช่น การซ้ือขายขอ้ มลู เบอร์โทรศพั ทแ์ ละขอ้ มูลส่วนตวั อ่นื ๆ โดยทเี่ จา้ ของขอ้ มูลไมย่ ินยอม ทมี่ กั พบได้ มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง โดยกฎหมายน้ีไดเ้ ริ่มบงั คบั ใชอ้ ยา่ งเตม็ รูปแบบเมอ่ื วนั ท่ี 1 ม.ิ ย. 2565 เป็น กฎหมายที่ใหค้ วามคมุ้ ครองขอ้ มลู ส่วนบคุ คล เช่น ชื่อ ทอ่ี ยู่ เบอร์โทรศพั ท์ รูปถ่าย บญั ชีธนาคาร อเี มล ไอดีไลน์ บญั ชีผใู้ ชข้ องเวบ็ ไซต์ ลายนิ้วมอื ประวตั ิสุขภาพ เป็นตน้ ซ่ึงขอ้ มูลเหลา่ น้ีสามารถระบถุ งึ ตวั เจา้ ของขอ้ มูลน้นั ได้ อาจเป็นไดท้ ้งั ขอ้ มูลในรูปแบบเอกสาร กระดาษ หนงั สือ หรือจดั เก็บในรูปแบบอิเลก็ ทรอนิกส์ ก็ได้

PDPA มคี วามเป็นมาอยา่ งไร? กฎหมาย PDPA เรียกไดว้ า่ ถอดแบบมาจากกฎหมายตน้ แบบอยา่ งกฎหมาย GDPR (General Data Protection Regulation) ซ่ึงเป็นกฎหมายคมุ้ ครองขอ้ มูลส่วนบุคคล ของสหภาพยโุ รป วตั ถุประสงคข์ องการเก็บรกั ษาขอ้ มลู ส่วนบคุ คลของกฎหมาย ท้งั 2 ฉบบั กเ็ พ่อื ป้องกนั ไมใ่ หผ้ ไู้ มป่ ระสงคด์ ีทาการแฮ็กขอ้ มลู หรือละเมิดความ เป็นส่วนตวั เพ่ือข่มข่หู วงั ผลประโยชนจ์ ากท้งั จากตวั เจา้ ของขอ้ มลู เองหรือจาก บคุ คลทดี่ ูแลขอ้ มูล PDPA สาคญั อยา่ งไร ? ความสาคญั ของ PDPA คอื การทาให้เจา้ ของขอ้ มลู มสี ิทธิในขอ้ มูลส่วนตวั ท่ถี กู จดั เกบ็ ไปแลว้ หรือกาลงั จะถูกจดั เกบ็ มากข้ึน เพือ่ สร้างความปลอดภยั และเป็น ส่วนตวั ให้แก่เจา้ ของขอ้ มูล โดยมสี ิทธิทีส่ าคญั คือ สิทธิการรบั ทราบและยิมยอม การเก็บขอ้ มลู ส่วนตวั และสิทธิในการขอเขา้ ถึงขอ้ มลู ส่วนตวั คดั คา้ นและเพกิ ถอนการเก็บและนาขอ้ มูลไปใช้ และสิทธิขอให้ลบหรือทาลายขอ้ มลู ส่วนตวั สิทธิท่เี พิม่ ข้นึ ของเจา้ ของขอ้ มูล ทาใหผ้ ปู้ ระกอบการขององคก์ รและบริษทั ต่าง ๆ ตอ้ งปรับเปลี่ยนกระบวนการเกบ็ รวบรวมและนาขอ้ มลู ส่วนตวั ของเจา้ ของขอ้ มลู ไมว่ ่าจะเป็นลกู คา้ พนกั งานในองคก์ ร หรือบุคคลใด ๆ ทเี่ กี่ยวขอ้ งให้เป็นไปตาม หลกั ปฏบิ ตั ขิ อง PDPA พ.ร.บ.คุม้ ครองขอ้ มลู ส่วนบุคคล

องค์ประกอบสำคัญของ PDPA บคุ คลท่ีตอ้ งปฎิบตั ติ ามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของขอ้ มลู ส่วนบคุ คล (Data Subject) และผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล (Data Controller) โดยผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คลน้นั เปรียบเสมอื นผูด้ แู ลระบบ เป็นฝ่ายปฏิบตั งิ าน มหี นา้ ทเี่ กบ็ รวบรวม และนาขอ้ มูลส่วนบคุ คลทขี่ อความยินยอม (Consent) จากเจา้ ของขอ้ มูล ไปใช้ ยกตวั อยา่ งเช่น เวบ็ ไซตข์ ายของออนไลน์ ตวั ผูจ้ ดั ทาเว็บไซตก์ จ็ ะตอ้ งขอ ขอ้ มลู ท้งั ช่ือ ทอี่ ยู่ เบอร์โทรศพั ท์ ขอ้ มลู การจ่ายเงิน เพอ่ื นาไปดาเนินการสัง่ ซ้ือ และจดั ส่งสินคา้ ไปยงั ทีอ่ ยขู่ องเจา้ ของขอ้ มลู ซ่ึง PDPA เมอ่ื ไดข้ อ้ มูลมาแลว้ ก็ตอ้ ง จดั ใหม้ มี าตรการรักษาความปลอดภยั ขอ้ มลู ดว้ ย

ข้นั ตอนกำรทำตำม PDPA ต้องทำอย่ำงไร ? STEP 1 การเก็บรวบรวมขอ้ มลู ส่วนบุคคล 1. จดั ทา Privacy Policy แจง้ ใหเ้ จา้ ของขอ้ มลู ส่วนบุคคลทราบ องคก์ รหรือเจา้ ของเวบ็ ไซตส์ ามารถแจง้ เจา้ ของขอ้ มลู ผ่าน Privacy Policy บน เวบ็ ไซตห์ รือแอปพลิเคชนั หรือช่องทางการตดิ ต่ออ่ืน ๆ เช่น การลงทะเบียนผ่าน เวบ็ ไซต์ หรือทางโซเชียลมีเดีย แจง้ วา่ จะขอเกบ็ ขอ้ มูลอะไรบา้ ง เพื่อวตั ถุประสงคใ์ ด แจง้ สิทธิของเจา้ ของขอ้ มลู โดยสามารถถอนความยินยอมไดท้ กุ เม่ือ ขอ้ ความอ่านเขา้ ใจง่าย ชดั เจน ใชภ้ าษาไมก่ ากวม ไมม่ ีเง่ือนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ทีถ่ ูกตอ้ งตาม PDPA 2. การจดั การเวบ็ ไซต์ แอปพลเิ คชนั และ Third-partyนอกจากการจดั ทา Privacy Policy ผ่านเวบ็ ไซตห์ รือแอปพลิเคชนั แลว้ การขอจดั เกบ็ Cookie กจ็ ะตอ้ งแจง้ เพอ่ื ขอความยินยอมใหใ้ ชข้ อ้ มูลส่วนบคุ คลจากผูใ้ ชง้ านดว้ ย ซ่ึงทเ่ี ราพบเห็นไดท้ วั่ ไป มกั แจง้ ขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางดา้ นล่างเวบ็ ไซต์ คลิก Cookie Wow เพอ่ื จดั ทา Cookie Consent Banner เพยี งไมก่ ่ีนาที ส่วน Third Party ท่เี ก็บขอ้ มลู

3. การเก็บขอ้ มูลพนกั งาน สาหรับการเก็บขอ้ มลู ส่วนบคุ คลของพนกั งานน้นั ก็ ตอ้ งจดั ทานโยบายความเป็นส่วนตวั สาหรับพนกั งานหรือ HR Privacy Policy เพ่อื แจง้ วตั ถปุ ระสงคใ์ นการประมวลผลขอ้ มลู ส่วนบคุ คลของพนกั งานเช่นเดียวกนั แนะนาว่าสาหรับพนกั งานเกา่ ให้แจง้ Privacy Policy เป็นเอกสารใหม่ ส่วน พนกั งานใหม่ ใหแ้ จง้ ในใบสมคั ร 1 คร้งั และแจง้ ในสัญญาจา้ ง 1 คร้งั คลิก PDPA Pro เพ่ือสร้าง Privacy Policy สร้าง HR Privacy Policy ถกู ตอ้ งตาม PDPA STEP 2 การใชห้ รือประมวลผลขอ้ มลู ส่วนบคุ คล แตล่ ะฝ่ายในองคก์ รควรร่วมกาหนดแนวทางหรือนโยบายในการดาเนินการดา้ น ขอ้ มูลส่วนบุคคล (Standard Operating Procedure) และบนั ทกึ รายการขอ้ มลู ส่วน บคุ คลท่ีมกี ารเกบ็ หรือใช้ (Records of Processing Activity: ROPA) ท้งั ขอ้ มลู ท่ี จดั เก็บในฐานขอ้ มูลอิเลก็ ทรอนิกส์ ขอ้ มูลเอกสารทจ่ี บั ตอ้ งได้ ขอ้ มูลส่วนบคุ คล ทว่ั ไป ขอ้ มลู ส่วนบคุ คลท่อี ่อนไหว (Sensitive Personal Data) ซ่ึงเป็นขอ้ มลู ทีร่ ะบุ ตวั บุคคลไดเ้ ฉพาะเจาะจงมากข้นึ เช่น เช้ือชาติ ความคิดเห็นทางการเมอื ง ศาสนา พฤติกรรมทางเพศ ประวตั อิ าชญากรรม ขอ้ มลู สุขภาพ ขอ้ มลู สหภาพแรงงาน ขอ้ มูลพนั ธุกรรม ขอ้ มูลชีวภาพ (face ID, ลายนิ้วมอื ) รวมถึงหา้ มเปิ ดเผยขอ้ มูล ส่วนบคุ คลให้กบั บุคคลท่ไี มม่ คี วามรับผดิ ชอบโดยตรง

ส่ิงท่ีควรทา แอด Line เจา้ ของขอ้ มลู ส่วนบุคคล หลงั จากขออนุญาตแลว้ ส่ง Direct Marketing ให้ลูกคา้ หลงั จากที่ลกู คา้ ยินยอมแลว้ ส่งขอ้ มูลลูกคา้ จาก Cookie ไป Target Advertising ตอ่ หลงั จากที่ลูกคา้ ยนิ ยอม แลว้ ส่งขอ้ มูลให้ Vendor หลงั จากบริษทั ไดท้ าความตกลงกบั Vendor ที่มขี อ้ กาหนด เร่ืองความคมุ้ ครองขอ้ มูลส่วนบคุ คลแลว้ การใหบ้ ริการที่ตอ้ งวเิ คราะหข์ อ้ มลู ส่วนบคุ คลจานวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหนา้ จะตอ้ งขอความยินยอมก่อน รวบรวมสถิติลูกคา้ เพ่ือพฒั นาบริการ โดยไม่ใชข้ อ้ มลู ส่วนบุคคลของลกู คา้

STEP 3 มาตรการดา้ นความปลอดภยั ของขอ้ มูลส่วนบุคคล กาหนดแนวทางอยา่ งนอ้ ยตามมาตรฐานข้นั ต่าดา้ นการรกั ษาความปลอดภยั ขอ้ มลู ส่วนบุคคล (Minimum Security Requirements) ไดแ้ ก่ การรักษาความลบั (Confidentiality) ความถูกตอ้ งครบถว้ น (Integrity) และสภาพพร้อมใชง้ าน (Availability) ซ่ึงควรครอบคลมุ ถึงมาตรการป้องกนั ดา้ นการบริหารจดั การ (Administrative Safeguard) มาตรการป้องกนั ดา้ นเทคนิค (Technical Safeguard) และมาตรการป้องกนั ทางกายภาพ (Physical Safeguard) ในเร่ืองการเขา้ ถงึ หรือ ควบคมุ การใชง้ านขอ้ มูลส่วนบคุ คล (Access Control) ตามประกาศกระทรวง ดิจิทลั เพ่อื เศรษฐกิจและสงั คม กาหนดนโยบายรกั ษาระยะเวลาการเก็บขอ้ มลู และการทาลายเอกสารที่มีขอ้ มูล ส่วนบุคคล (Data Retention) มกี ระบวนการ Breach Notification Protocol ซ่ึงเป็นระบบแจง้ เตือนเพอื่ ปกป้อง ขอ้ มูลจากการโจมตีจากผไู้ ม่หวงั ดี

STEP 4 การส่งหรือเปิ ดเผยขอ้ มูลส่วนบคุ คล ทาสญั ญาหรือขอ้ ตกลงกบั ผใู้ หบ้ ริการภายนอก หรือทา Data Processing Agreement เพ่อื คมุ้ ครองขอ้ มลู ส่วนบคุ คลใหเ้ ป็นไปตามมาตรฐานกฎหมาย PDPA ในกรณีโอนขอ้ มูลไปตา่ งประเทศ ใหท้ าสัญญากบั บริษทั ปลายทางเพอ่ื คุม้ ครอง ขอ้ มลู ตามมาตรฐาน PDPA มกี ระบวนการรบั คาร้องจากเจา้ ของขอ้ มูลส่วนบุคคล ควรเป็นวธิ ีทีง่ า่ ยไมซ่ บั ซอ้ น และไมก่ าหนดเงื่อนไข อาจผ่านการย่นื แบบฟอร์ม ส่งคาร้องผา่ นช่อง Chat หรือ ส่งอเี มลกไ็ ด้ STEP 5 การกากบั ดแู ลขอ้ มูลส่วนบุคคล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มูลส่วนบคุ คล ซ่ึงเป็น หน่วยงานภาครฐั เป็นผูก้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ตล่ ะองคก์ รตอ้ งปฏบิ ตั ติ าม โดยองคก์ รที่ทาการเกบ็ รวบรวม นาไปใช้ หรือเปิ ดเผยขอ้ มูลของเจา้ ของขอ้ มูล ส่วนบคุ คลในราชอาณาจกั รไทยเพือ่ การขายสินคา้ หรือบริการให้กบั เจา้ ของขอ้ มลู ควรมีเจา้ หนา้ ท่ีคมุ้ ครองขอ้ มลู หรือ DPO (Data Protection Officer) ซ่ึงเป็นผูม้ ี ความรู้ดา้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและตรวจสอบนโยบาย การเก็บรกั ษาขอ้ มูลส่วนบุคคลของลกู คา้ ให้เกิดความปลอดภยั ท้งั น้ีข้นึ อยกู่ บั ขนาดและประเภทของธุรกิจเป็นเกณฑใ์ นการพิจารณาวา่ ควรแต่งต้งั DPO หรือไม่ ?

เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏบิ ตั ิตำมจะ มีบทลงโทษอะไรบ้ำง ? ถา้ ไม่ปฏบิ ตั ติ าม PDPA บทลงโทษของผทู้ ไี่ ม่ปฏิบตั ิตาม พ.ร.บ.คุม้ ครอง ขอ้ มลู ส่วนบุคคล (PDPA) มีถงึ 3 ประเภท ไดแ้ ก่ โทษทางแพง่ โทษทางแพง่ กาหนดให้ชดใชค้ ่าสินไหมทดแทนทเ่ี กิดข้ึนจริงใหก้ บั เจา้ ของขอ้ มูล ส่วนบุคคลที่ไดร้ บั ความเสียหายจากการละเมิด และอาจจะตอ้ งจา่ ยบวกเพม่ิ อกี เป็นค่าค่าสินไหมทดแทนเพ่อื การลงโทษเพิ่มเตมิ สูงสุดไดอ้ กี 2 เท่าของคา่ เสียหาย จริง ตวั อยา่ ง หากศาลตดั สินว่าให้ผคู้ วบคมุ ขอ้ มลู ส่วนบุคคล ตอ้ งชดใชค้ า่ สินไหมทดแทนแก่เจา้ ของขอ้ มลู ส่วนบคุ คล เป็นจานวน 1 แสนบาท ศาลอาจมี คาส่ังกาหนดค่าสินไหมเพอ่ื การลงโทษเพม่ิ อีก 2 เทา่ ของค่าเสียหายจริง เท่ากบั ว่า จะตอ้ งจ่ายเป็นค่าปรบั ท้งั หมด เป็นจานวนเงิน 3 แสนบาท

โทษทางอาญา โทษทางอาญาจะมีท้งั โทษจาคุกและโทษปรบั โดยมี โทษจาคกุ สูงสุดไม่เกิน 1 ปี หรือ ปรบั ไม่เกิน 1 ลา้ นบาท หรือท้งั จาท้งั ปรับ โดยโทษสูงสุดดงั กลา่ วจะเกิดจาก การไม่ปฏบิ ตั ติ าม PDPA ในส่วนการใชข้ อ้ มูล หรือเปิ ดเผยขอ้ มลู หรือส่งโอน ขอ้ มูลไปยงั ต่างประเทศ ประเภทขอ้ มูลที่มคี วามละเอยี ดอ่อน(Sensitive Personal Data) ส่วนกรณีหากผกู้ ระทาความผิด คอื บริษทั (นิตบิ ุคคล) ก็อาจจะสงสัยว่า ใครจะเป็นผถู้ ูกจาคุก เพราะบริษทั ตดิ คกุ ไม่ได้ ในส่วนตรงน้ีกอ็ าจจะตกมาท่ี ผบู้ ริหาร, กรรมการ หรือบุคคลซ่ึงรบั ผิดชอบในการดาเนินงานของบริษทั น้นั ๆ ที่ จะตอ้ งไดร้ ับการลงโทษจาคุกแทน โทษทางปกครอง โทษปรับ มี ต้งั แต่ 1 ลา้ นบาทจนถึงสูงสุดไมเ่ กิน 5 ลา้ นบาท ซ่ึงโทษปรับสูงสุด 5 ลา้ นบาท จะเป็นกรณีของการไม่ปฏิบตั ิตาม PDPA ในส่วนการใชข้ อ้ มลู หรือ เปิ ดเผยขอ้ มูล หรือส่งโอนขอ้ มลู ไปยงั ต่างประเทศของประเภทขอ้ มลู ท่มี ีความ ละเอียดออ่ น(Sensitive Personal Data) ซ่ึงโทษทางปกครองน้ีจะแยกตา่ งหากกบั การชดใชค้ า่ เสียหายทีเ่ กิดจากโทษทางแพ่งและโทษทางอาญาดว้ ย



ผจู้ ดั ทา นางสาวศภุ กานต์ กาสา 66302040106 1สทธ3