DPA คือ พระราชบญั ญตั คิ มุ้ ครองขอ้ มูลส่วนบุคคล ซ่ึงเป็นกฎหมายทีถ่ กู สร้างมาเพอื่ ป้องกนั การละเมดิ ขอ้ มูลส่วนบุคคลของทกุ คน รวมถึงการจดั เกบ็ ขอ้ มลู และนาไปใชโ้ ดยไมไ่ ดแ้ จง้ ให้ทราบ และไมไ่ ดร้ ับความยินยอมจาก เจา้ ของขอ้ มูลเสียกอ่ น พระราชบญั ญตั คิ มุ้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คอื กฎหมายใหมท่ อี่ อกมาเพอื่ แกไ้ ขปัญหาการถกู ล่วง ละเมดิ ขอ้ มลู ส่วนบคุ คลทีเ่ พ่ิมมากข้นึ เรื่อย ๆ ในปัจจุบนั เช่น การซ้ือขายขอ้ มลู เบอร์โทรศพั ทแ์ ละขอ้ มูลส่วนตวั อน่ื ๆ โดยท่เี จา้ ของขอ้ มูลไมย่ ินยอม ที่มกั พบ ไดม้ ากในรูปแบบการโทรมาโฆษณา หรือลอ่ ลวง โดยกฎหมายน้ีไดเ้ ร่ิมบงั คบั ใชอ้ ยา่ งเตม็ รูปแบบเมอ่ื วนั ท่ี 1 ม.ิ ย. 2565 เป็น กฎหมายท่ใี หค้ วามคมุ้ ครองขอ้ มลู ส่วนบคุ คล เช่น ช่ือ ท่ีอยู่ เบอร์โทรศพั ท์ รูป ถ่าย บญั ชีธนาคาร อเี มล ไอดีไลน์ บญั ชีผใู้ ชข้ องเวบ็ ไซต์ ลายนิ้วมือ ประวตั ิ สุขภาพ เป็นตน้ ซ่ึงขอ้ มูลเหล่าน้ีสามารถระบถุ ึงตวั เจา้ ของขอ้ มลู น้นั ได้ อาจ เป็นไดท้ ้งั ขอ้ มลู ในรูปแบบเอกสาร กระดาษ หนงั สือ หรือจดั เกบ็ ในรูปแบบ อิเล็กทรอนิกส์กไ็ ด้
PDPA มีความเป็ นมาอย่างไร? กฎหมาย PDPA เรียกไดว้ ่าถอดแบบมาจากกฎหมายตน้ แบบอยา่ งกฎหมาย GDPR (General Data Protection Regulation) ซ่ึงเป็นกฎหมายคมุ้ ครองขอ้ มูล ส่วนบุคคลของสหภาพยโุ รป วตั ถุประสงคข์ องการเก็บรักษาขอ้ มลู ส่วนบคุ คล ของกฎหมายท้งั 2 ฉบบั กเ็ พอื่ ป้องกนั ไมใ่ หผ้ ไู้ มป่ ระสงคด์ ีทาการแฮ็กขอ้ มูล หรือละเมิดความเป็นส่วนตวั เพื่อขม่ ข่หู วงั ผลประโยชนจ์ ากท้งั จากตวั เจา้ ของ ขอ้ มลู เองหรือจากบคุ คลท่ีดูแลขอ้ มลู
PDPA สาคัญอย่างไร ? ความสาคญั ของ PDPA คอื การทาให้เจา้ ของขอ้ มลู มีสิทธิในขอ้ มูลส่วนตวั ทีถ่ กู จดั เกบ็ ไปแลว้ หรือกาลงั จะถกู จดั เกบ็ มากข้นึ เพื่อสร้างความปลอดภยั และเป็น ส่วนตวั ใหแ้ ก่เจา้ ของขอ้ มูล โดยมีสิทธิที่สาคญั คือ สิทธิการรบั ทราบและยิม ยอมการเกบ็ ขอ้ มูลส่วนตวั และสิทธิในการขอเขา้ ถึงขอ้ มลู ส่วนตวั คดั คา้ นและ เพกิ ถอนการเก็บและนาขอ้ มูลไปใช้ และสิทธิขอให้ลบหรือทาลายขอ้ มูล ส่วนตวั สิทธิท่เี พ่มิ ข้นึ ของเจา้ ของขอ้ มูล ทาให้ผปู้ ระกอบการขององคก์ รและบริษทั ตา่ ง ๆ ตอ้ งปรับเปลี่ยนกระบวนการเก็บรวบรวมและนาขอ้ มลู ส่วนตวั ของเจา้ ของ ขอ้ มูลไม่วา่ จะเป็นลูกคา้ พนกั งานในองคก์ ร หรือบุคคลใด ๆ ท่เี ก่ียวขอ้ งให้ เป็นไปตามหลกั ปฏิบตั ขิ อง PDPA พ.ร.บ.คุม้ ครองขอ้ มูลส่วนบุคคล โดยหากคณุ เป็นผปู้ ระกอบการ หรือเป็นตวั แทนองคก์ รทีด่ าเนินการเรื่อง PDPA วนั น้ีเราจะช่วยคุณเปล่ียนแนวทางการดาเนินงานเพื่อใหส้ อดคลอ้ งกบั กฎหมาย PDPA กนั
องค์ประกอบสาคญั ของ PDPA บคุ คลทีต่ อ้ งปฎิบตั ิตามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของขอ้ มูลส่วนบุคคล (Data Subject) และผคู้ วบคุมขอ้ มูลส่วนบคุ คล (Data Controller) โดยผคู้ วบคมุ ขอ้ มลู ส่วนบุคคลน้นั เปรียบเสมือนผูด้ แู ลระบบ เป็นฝ่ายปฏิบตั งิ าน มีหนา้ ที่ เก็บรวบรวม และนาขอ้ มลู ส่วนบคุ คลทข่ี อความยินยอม (Consent) จากเจา้ ของ ขอ้ มูลไปใช้ ยกตวั อยา่ งเช่น เวบ็ ไซตข์ ายของออนไลน์ ตวั ผูจ้ ดั ทาเวบ็ ไซตก์ ็ จะตอ้ งขอขอ้ มูลท้งั ชื่อ ที่อยู่ เบอร์โทรศพั ท์ ขอ้ มลู การจา่ ยเงิน เพ่อื นาไป ดาเนินการส่ังซ้ือและจดั ส่งสินคา้ ไปยงั ท่อี ยขู่ องเจา้ ของขอ้ มลู ซ่ึง PDPA เม่อื ไดข้ อ้ มูลมาแลว้ ก็ตอ้ งจดั ใหม้ มี าตรการรักษาความปลอดภยั ขอ้ มูลดว้ ย
ข้นั ตอนการทาตาม PDPA ต้องทาอย่างไร ? STEP 1 การเก็บรวบรวมข้อมูลส่วนบุคคล 1. จดั ทา Privacy Policy แจง้ ให้เจา้ ของขอ้ มูลส่วนบุคคลทราบ องคก์ รหรือเจา้ ของเวบ็ ไซตส์ ามารถแจง้ เจา้ ของขอ้ มลู ผา่ น Privacy Policy บน เวบ็ ไซตห์ รือแอปพลิเคชนั หรือช่องทางการตดิ ต่ออนื่ ๆ เช่น การลงทะเบยี น ผา่ นเวบ็ ไซต์ หรือทางโซเชียลมีเดีย แจง้ ว่าจะขอเกบ็ ขอ้ มูลอะไรบา้ ง เพ่ือวตั ถปุ ระสงคใ์ ด แจง้ สิทธิของเจา้ ของขอ้ มลู โดยสามารถถอนความยนิ ยอมไดท้ ุกเม่อื ขอ้ ความอ่านเขา้ ใจง่าย ชดั เจน ใชภ้ าษาไมก่ ากวม ไมม่ เี ง่ือนไขในการยนิ ยอม คลกิ PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกตอ้ งตาม PDPA 2. การจดั การเวบ็ ไซต์ แอปพลเิ คชนั และ Third-party นอกจากการจดั ทา Privacy Policy ผ่านเวบ็ ไซตห์ รือแอปพลิเคชนั แลว้ การขอ จดั เก็บ Cookie ก็จะตอ้ งแจง้ เพ่ือขอความยนิ ยอมให้ใชข้ อ้ มูลส่วนบคุ คลจาก ผใู้ ชง้ านดว้ ย ซ่ึงท่เี ราพบเห็นไดท้ วั่ ไป มกั แจง้ ขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางดา้ นล่างเวบ็ ไซต์ คลิก Cookie Wow เพ่อื จดั ทา Cookie Consent Banner เพียงไม่ก่ีนาที ส่วน Third Party ทเี่ ก็บขอ้ มลู ส่วนบุคคล เช่น เวบ็ ไซตโ์ ฆษณาท่ี ทาการตลาด ก็ตอ้ งระบุวตั ถุประสงคแ์ ละขอความยนิ ยอมการเก็บรวบรวม ขอ้ มูลไวใ้ น Privacy Policy ดว้ ย
3. การเก็บขอ้ มูลพนกั งาน สาหรับการเก็บขอ้ มลู ส่วนบคุ คลของพนกั งานน้นั ก็ตอ้ งจดั ทานโยบายความ เป็นส่วนตวั สาหรับพนกั งานหรือ HR Privacy Policy เพอ่ื แจง้ วตั ถปุ ระสงคใ์ น การประมวลผลขอ้ มลู ส่วนบคุ คลของพนกั งานเช่นเดียวกนั แนะนาวา่ สาหรบั พนกั งานเกา่ ใหแ้ จง้ Privacy Policy เป็นเอกสารใหม่ ส่วนพนกั งานใหม่ ให้ แจง้ ในใบสมคั ร 1 คร้งั และแจง้ ในสญั ญาจา้ ง 1 คร้งั คลกิ PDPA Pro เพ่อื สร้าง Privacy Policy สร้าง HR Privacy Policy ถกู ตอ้ งตาม PDPA STEP 2 การใช้หรือประมวลผลข้อมลู ส่วนบุคคล แตล่ ะฝ่ายในองคก์ รควรร่วมกาหนดแนวทางหรือนโยบายในการดาเนินการ ดา้ นขอ้ มูลส่วนบุคคล (Standard Operating Procedure) และบนั ทกึ รายการ ขอ้ มลู ส่วนบุคคลท่ีมกี ารเก็บหรือใช้ (Records of Processing Activity: ROPA) ท้งั ขอ้ มูลทีจ่ ดั เกบ็ ในฐานขอ้ มูลอเิ ล็กทรอนิกส์ ขอ้ มูลเอกสารทจี่ บั ตอ้ งได้ ขอ้ มลู ส่วนบุคคลทวั่ ไป ขอ้ มูลส่วนบุคคลท่ีออ่ นไหว (Sensitive Personal Data) ซ่ึงเป็นขอ้ มูลที่ระบตุ วั บคุ คลไดเ้ ฉพาะเจาะจงมากข้ึน เช่น เช้ือชาติ ความ คดิ เห็นทางการเมือง ศาสนา พฤตกิ รรมทางเพศ ประวตั อิ าชญากรรม ขอ้ มูล สุขภาพ ขอ้ มูลสหภาพแรงงาน ขอ้ มูลพนั ธุกรรม ขอ้ มลู ชีวภาพ (face ID, ลายนิ้วมอื ) รวมถึงหา้ มเปิ ดเผยขอ้ มูลส่วนบุคคลใหก้ บั บุคคลที่ไม่มคี วาม รับผิดชอบโดยตรง
ส่ิงที่ควรทา แอด Line เจา้ ของขอ้ มูลส่วนบุคคล หลงั จากขออนุญาตแลว้ ส่ง Direct Marketing ให้ลกู คา้ หลงั จากทลี่ ูกคา้ ยนิ ยอมแลว้ ส่งขอ้ มูลลกู คา้ จาก Cookie ไป Target Advertising ต่อ หลงั จากทล่ี กู คา้ ยินยอม แลว้ ส่งขอ้ มูลให้ Vendor หลงั จากบริษทั ไดท้ าความตกลงกบั Vendor ทมี่ ี ขอ้ กาหนดเรื่องความคมุ้ ครองขอ้ มูลส่วนบคุ คลแลว้ การให้บริการทตี่ อ้ งวเิ คราะหข์ อ้ มูลส่วนบคุ คลจานวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหนา้ จะตอ้ งขอความยินยอมกอ่ น รวบรวมสถิตลิ กู คา้ เพอ่ื พฒั นาบริการ โดยไม่ใช้ขอ้ มูลส่วนบคุ คลของลูกคา้ STEP 3 มาตรการด้านความปลอดภยั ของข้อมูลส่วนบุคคล กาหนดแนวทางอยา่ งนอ้ ยตามมาตรฐานข้นั ต่าดา้ นการรักษาความปลอดภยั ขอ้ มลู ส่วนบุคคล (Minimum Security Requirements) ไดแ้ ก่ การรกั ษา ความลบั (Confidentiality) ความถูกตอ้ งครบถว้ น (Integrity) และสภาพพร้อม ใชง้ าน (Availability) ซ่ึงควรครอบคลมุ ถึงมาตรการป้องกนั ดา้ นการบริหาร จดั การ (Administrative Safeguard) มาตรการป้องกนั ดา้ นเทคนิค (Technical Safeguard) และมาตรการป้องกนั ทางกายภาพ (Physical Safeguard) ในเร่ือง การเขา้ ถึงหรือควบคมุ การใชง้ านขอ้ มลู ส่วนบุคคล (Access Control) ตาม ประกาศกระทรวงดิจิทลั เพอื่ เศรษฐกิจและสงั คม
กาหนดนโยบายรกั ษาระยะเวลาการเกบ็ ขอ้ มูล และการทาลายเอกสารทมี่ ี ขอ้ มูลส่วนบุคคล (Data Retention) มกี ระบวนการ Breach Notification Protocol ซ่ึงเป็นระบบแจง้ เตอื นเพือ่ ปกป้องขอ้ มูลจากการโจมตจี ากผูไ้ ม่หวงั ดี STEP 4 การส่งหรือเปิ ดเผยข้อมูลส่วนบุคคล ทาสญั ญาหรือขอ้ ตกลงกบั ผใู้ ห้บริการภายนอก หรือทา Data Processing Agreement เพอ่ื คุม้ ครองขอ้ มลู ส่วนบคุ คลให้เป็นไปตามมาตรฐานกฎหมาย PDPA ในกรณีโอนขอ้ มูลไปต่างประเทศ ให้ทาสัญญากบั บริษทั ปลายทางเพอ่ื คมุ้ ครองขอ้ มลู ตามมาตรฐาน PDPA มีกระบวนการรบั คาร้องจากเจา้ ของขอ้ มูลส่วนบุคคล ควรเป็นวิธีทงี่ ่ายไม่ ซบั ซอ้ น และไม่กาหนดเง่ือนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคาร้องผา่ นช่อง Chat หรือส่งอเี มลก็ได้ STEP 5 การกากบั ดูแลข้อมูลส่วนบุคคล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มลู ส่วนบุคคล ซ่ึงเป็น หน่วยงานภาครัฐเป็นผูก้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ตล่ ะองคก์ รตอ้ งปฏิบตั ิ ตาม โดยองคก์ รทท่ี าการเกบ็ รวบรวม นาไปใช้ หรือเปิ ดเผยขอ้ มลู ของเจา้ ของ ขอ้ มูลส่วนบุคคลในราชอาณาจกั รไทยเพอ่ื การขายสินคา้ หรือบริการให้กบั เจา้ ของขอ้ มลู ควรมีเจา้ หนา้ ทค่ี มุ้ ครองขอ้ มลู หรือ DPO (Data Protection
Officer) ซ่ึงเป็นผมู้ ีความรู้ดา้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและ ตรวจสอบนโยบายการเกบ็ รักษาขอ้ มลู ส่วนบุคคลของลกู คา้ ให้เกิดความ ปลอดภยั ท้งั น้ีข้ึนอยกู่ บั ขนาดและประเภทของธุรกิจเป็นเกณฑใ์ นการพจิ ารณา วา่ ควรแตง่ ต้งั DPO หรือไม่ ? และท่ีสาคญั หากผคู้ วบคมุ ขอ้ มูลส่วนบุคคลและบุคลากรในองคก์ รมคี วามรู้ ความเขา้ ใจและปฏิบตั ิตามมาตรการรักษาความปลอดภยั ของขอ้ มลู ตาม PDPA แลว้ ความเสี่ยงกรณีขอ้ มลู ถกู ละเมดิ ก็จะนอ้ ยลง ซ่ึงจะสร้างความเชื่อมนั่ ตอ่ องคก์ รใหก้ บั ผูใ้ ชง้ านไดเ้ ป็นอยา่ งดี หากคุณยงั มขี อ้ สงสยั เก่ียวกบั DPO คือใคร ทาหนา้ ท่ีอะไรบา้ ง และจาเป็นต่อองคก์ รของคุณหรือไม่ ทาหนา้ ทอ่ี ะไรบา้ ง สามารถศกึ ษาเพม่ิ เติมไดท้ บี่ ทความ: DPO คอื อะไร ? ตวั ชว่ ยดแู ลขอ้ มลู ส่วน บุคคลที่ไวใ้ จได้ ตอนน้ีถงึ เวลาแลว้ ทอ่ี งคก์ รต่าง ๆ จะตอ้ งปฏิบตั ิตาม PDPA อยา่ งเคร่งครดั หาก คุณกาลงั มองหาตวั ช่วยในการเร่ิมกระบวนการ PDPA ไมว่ ่าจะเป็นการสร้าง นโยบายความเป็นส่วนตวั การสร้างแบนเนอร์ขอความยินยอมในการเก็บ ขอ้ มลู หรืออยากเรียนรู้เกี่ยวกบั PDPA เพม่ิ เตมิ เราพร้อมช่วยคุณอยา่ งมือ อาชีพ
เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏบิ ัติตามจะ มบี ทลงโทษอะไรบ้าง ? ถา้ ไม่ปฏิบตั ติ าม PDPA บทลงโทษของผทู้ ี่ไม่ปฏบิ ตั ติ าม พ.ร.บ.คุม้ ครอง ขอ้ มลู ส่วนบุคคล (PDPA) มถี ึง 3 ประเภท ไดแ้ ก่ โทษทางแพ่ง โทษทางแพง่ กาหนดให้ชดใชค้ ่าสินไหมทดแทนทเ่ี กิดข้นึ จริงใหก้ บั เจา้ ของ ขอ้ มลู ส่วนบุคคลทไ่ี ดร้ ับความเสียหายจากการละเมดิ และอาจจะตอ้ งจา่ ยบวก เพ่มิ อกี เป็นค่าคา่ สินไหมทดแทนเพื่อการลงโทษเพม่ิ เติมสูงสุดไดอ้ ีก 2 เทา่ ของ คา่ เสียหายจริง ตวั อยา่ ง หากศาลตดั สินว่าใหผ้ ูค้ วบคมุ ขอ้ มูลส่วนบคุ คล ตอ้ ง ชดใชค้ า่ สินไหมทดแทนแก่เจา้ ของขอ้ มลู ส่วนบคุ คล เป็นจานวน 1 แสนบาท ศาลอาจมีคาสั่งกาหนดคา่ สินไหมเพอ่ื การลงโทษเพิม่ อีก 2 เท่าของคา่ เสียหาย จริง เท่ากบั ว่าจะตอ้ งจา่ ยเป็นคา่ ปรับท้งั หมด เป็นจานวนเงิน 3 แสนบาท โทษทางอาญา โทษทางอาญาจะมีท้งั โทษจาคุกและโทษปรับ โดยมี โทษจาคกุ สูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ลา้ นบาท หรือท้งั จาท้งั ปรบั โดยโทษสูงสุดดงั กลา่ วจะ เกิดจากการไม่ปฏิบตั ติ าม PDPA ในส่วนการใชข้ อ้ มลู หรือเปิ ดเผยขอ้ มูล หรือ ส่งโอนขอ้ มลู ไปยงั ต่างประเทศ ประเภทขอ้ มลู ที่มีความละเอยี ดอ่อน(Sensitive
Personal Data) ส่วนกรณีหากผกู้ ระทาความผิด คอื บริษทั (นิติบคุ คล) ก็ อาจจะสงสยั ว่าใครจะเป็นผูถ้ ูกจาคุก เพราะบริษทั ตดิ คุกไม่ได้ ในส่วนตรงน้ีก็ อาจจะตกมาที่ ผบู้ ริหาร, กรรมการ หรือบุคคลซ่ึงรับผดิ ชอบในการดาเนินงาน ของบริษทั น้นั ๆ ทีจ่ ะตอ้ งไดร้ ับการลงโทษจาคุกแทน โทษทางปกครอง โทษปรับ มี ต้งั แต่ 1 ลา้ นบาทจนถึงสูงสุดไม่เกิน 5 ลา้ นบาท ซ่ึงโทษปรบั สูงสุด 5 ลา้ นบาท จะเป็นกรณีของการไม่ปฏิบตั ิตาม PDPA ในส่วนการใช้ ขอ้ มลู หรือเปิ ดเผยขอ้ มลู หรือส่งโอนขอ้ มลู ไปยงั ตา่ งประเทศของประเภท ขอ้ มูลท่มี คี วามละเอยี ดออ่ น(Sensitive Personal Data) ซ่ึงโทษทางปกครองน้ี จะแยกต่างหากกบั การชดใชค้ ่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทาง อาญาดว้ ย
ผจู้ ดั ทา นางสาวณฐั นรี ช่างสอน 66302040087 1สทธ3
Search
Read the Text Version
- 1 - 12
Pages:
