สิ่งที่ควรรู้เกี่ยวกับ PDPA ก่อนกฏหมายประกาศใช้
เจ้าของข้อมูลส่วนบุคคล (ประชาชน)
ควรรู้ว่าข้อมูลส่วนบุคคลคืออะไร
• ข้อมูลส่วนบุคคล คือ ข้อมูลที่สามารถระบุตัวตนได้ว่า เราเป็นใคร ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ ที่อยู่ ภาพถ่าย วีดีโอ ไฟล์เสียง หรืออื่นๆ
• แบ่งข้อมูลส่วนบุคคลออกเป็น 2 ประเภทหลักๆ ได้แก่
• ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ-นามสกุล/เบอร์โทรศัพท์/ที่อยู่/เลขบัตรประชาชน/ข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลที่อ่อนไหว
• ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ/ข้อมูลสุขภาพ/ประวัติอาชญากรรม/ศาสนา/ความเห็นทางการเมือง/ข้อมูลชีวภาพ/อื่นๆ ตามมาตรา 26 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562
ควรรู้ว่าเรามีสิทธิตามกฎหมายอย่างไร
• สิทธิการเพิกถอนความยินยอม (ได้ตลอดระยะเวลาที่บริษัทจัดเก็บไว้)
• สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (ขอสำเนา / เปิดเผยถึงการได้มา กรณีเป็นข้อมูลที่ได้มาโดยไม่ได้รับความยินยอม)
• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (กรณีเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม/เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง/เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ)
• สิทธิในการโอนย้ายข้อมูลส่วนบุคคล
• สิทธิในการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ระบุตัวตนไม่ได้
• สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
• สิทธิในการยื่นข้อร้องเรียน
(ยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล)
ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล (บุคคล/นิติบุคคล)
ผู้ควบคุมข้อมูล กับ ผู้ประมวลผลข้อมูล แตกต่างกันอย่างไร
• ผู้ควบคุมข้อมูลส่วนบุคคล คือ ผู้ที่มีอำนาจตัดสินใจในการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
• ผู้ประมวลผลข้อมูลส่วนบุคคล คือ ผู้ที่ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
• หากมีการว่าจ้างจากผู้ควบคุมข้อมูล ให้ผู้ประมวลผลข้อมูล ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล กฎหมายกำหนดให้ต้องทำสัญญา/ข้อตกลงระหว่างกัน
สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียมตามกฎหมาย
• นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
เป็นประกาศที่สื่อสารให้บุคคลภายในรับทราบเกี่ยวกับแนวทางการจัดเก็บ รวบรวมและใช้งานข้อมูลส่วนบุคคล และยึดเป็นนโยบาย ระเบียบ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายใน
• แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right Request Form)
เพื่อเป็นช่องทางให้เจ้าของข้อมูลสามารถร้องขอใช้สิทธิต่างๆ ตามกฎหมายและเพื่อให้มีการบริหารจัดการตามสิทธิของเจ้าของข้อมูลเป็นไปอย่างมีประสิทธิภาพ
• หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)
โดยมีรายละเอียด เช่น กรณีได้ดำเนินการตามคำร้องขอ ให้ระบุรายละเอียดการดำเนินการนั้นๆ / กรณีปฏิเสธคำร้องขอ ให้ระบุรายละเอียดและเหตุผลประกอบ
การปฏิเสธ
• ประกาศความเป็นส่วนตัว (Privacy Notice)
เป็นประกาศที่สื่อสารให้บุคคลภายนอกรับทราบหรือชี้แจ้งการเก็บ ใช้ เปิดเผย
หรือประมวลผลข้อมูลส่วนบุคคล
โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงรายละเอียดของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงแหล่งที่มาของข้อมูล / วัตถุประสงค์การประมวลผล / ข้อยกเว้นไม่ต้องขอความยินยอม / ระยะเวลาการเก็บรวบรวม / ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย / ข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนบุคคล / สิทธิของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ / หรืออื่นๆ เพิ่มเติมตามที่กฎหมายกำหนด
• แบบฟอร์มบันทึกการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach)
กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องบันทึกเหตุการณ์ละเมิดดังกล่าวเป็นลายลักษณ์อักษร และแจ้งรายละเอียดการละเมิดนั้นให้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดพร้อมทั้งมาตรการเยียวยาเหตุละเมิดนั้นภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
• เอกสารแสดงความยินยอม (Consent Form)
กรณีการประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้าข้อยกเว้นตามกฎหมายและมีความจำเป็นต้องขอความยินยอมในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยกฎหมายระบุให้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการจัดเก็บข้อมูลดังกล่าว
ทั้งนี้ การขอความยินยอมตามกฎหมาย สามารถทำเป็นลายลักษณ์อักษรหรือขอความยินยอมผ่านระบบอิเล็กทรอนิกส์อื่นใด เช่น SMS / Link URL / QR CODE / อื่นๆ ที่สามารถแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ขององค์กรในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล
• ข้อตกลง/สัญญา เพื่อประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA)
เป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล เพื่อควบคุมกรณีที่มีการว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคล โดยกำหนดให้ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล / ดูแลข้อมูลส่วนบุคคลที่มีการส่งไปตามสัญญาจ้าง / จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลงข้อมูลดังกล่าว
• บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP)
เป็นเอกสารที่ระบุการประมวลผลข้อมูลส่วนบุคคลแต่ละกิจกรรมภายใน โดยมีรายละเอียด เช่น ประเภทกิจกรรมที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล / ประเภทของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดข้อมูล / ฐานตามกฎหมาย / การเปิดเผยข้อมูล / การจัดเก็บ / ระยะเวลา / การทำลายเอกสาร / สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล / การใช้หรือเปิดเผยสำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล / การปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนมาตการรักษาความปลอดภัย โดยเอกสารดังกล่าวให้จัดเก็บไว้ภายใน และต้องมีการปรับปรุงให้เป็นปัจจุบันอย่างสม่ำเสมอเมื่อมีการเพิ่มเติมหรือเปลี่ยนแปลงกิจกรรมภายใน
ซึ่งจะมีการใช้ ก็ต่อเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.)
ร้องขอเพื่อตรวจสอบ
Q : ข้อมูลส่วนบุคคลที่เก็บ รวบรวมไว้ก่อนกฎหมายใช้บังคับ ต้องทำอย่างไร
A : • ผู้ควบคุมข้อมูล สามารถเก็บ ใช้ เปิดเผย ต่อไปได้ตามวัตถุประสงค์เดิม แต่ต้องกำหนดวิธียกเลิกความยินยอมพร้อมประชาสัมพันธ์ให้เจ้าของข้อมูลทราบด้วย
• กรณีที่เปลี่ยนแปลงวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย
Q : บันทึกรายการประมวลผลข้อมูลส่วนบุคคล ต้องมีข้อมูลอะไรบ้าง
A : ตามมาตรา 39 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 กำหนดให้บันทึก ROP ต้องมีรายการอย่างน้อย ดังนี้
• ข้อมูลส่วนบุคคลที่มีการเก็บ
• วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลแต่ละประเภท
• ข้อมูลของผู้ควบคุมข้อมูล
• ระยะเวลาในการจัดเก็บ
• สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล
• การใช้/เปิดเผยข้อมูล สำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
• การดำเนินการและเหตุผลที่องค์กรปฏิเสธคำขอ/คัดค้านของเจ้าของข้อมูล กรณีที่เจ้าขอข้อมูลขอใช้สิทธิในการเข้าถึง/ขอรับข้อมูล/ขอคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูล/ขอแก้ไขข้อมูล
• คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร
A : • โทษทางแพ่ง ต้องชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคล ที่ได้รับความเสียหายจากการละเมิด แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
• โทษทางปกครอง ตั้งแต่ 1,000,000 บาท สูงสุดไม่เกิน 5,000,000 บาท ซึ่งโทษปรับสูงสุด จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความอ่อนไหว
Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร (ต่อ)
A : โทษทางอาญา หากใช้/เปิดเผยข้อมูลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอม หรือไม่ปฏิบัติตามกฎหมายเรื่องการส่ง/โอนข้อมูลไปต่างประเทศ
(ยอมความได้)
• จนเป็นเหตุให้ได้รับความเสียหาย เสียชื่อ ถูกดูหมื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• เพื่อแสวงหาประโยชน์ที่ไม่ควรได้โดยชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
นำข้อมูลส่วนบุคคลที่รู้จากการปฏิบัติหน้าที่ ไปเปิดเผยแก่คนอื่นมีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ