สิ่งที่ควรรู้เกี่ยวกับ PDPA ก่อนกฏหมายประกาศใช้

สิ่งที่ควรรู้เกี่ยวกับ PDPA ก่อนกฏหมายประกาศใช้


เจ้าของข้อมูลส่วนบุคคล (ประชาชน)


ควรรู้ว่าข้อมูลส่วนบุคคลคืออะไร

• ข้อมูลส่วนบุคคล คือ ข้อมูลที่สามารถระบุตัวตนได้ว่า เราเป็นใคร ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ ที่อยู่ ภาพถ่าย วีดีโอ ไฟล์เสียง หรืออื่นๆ

• แบ่งข้อมูลส่วนบุคคลออกเป็น 2 ประเภทหลักๆ ได้แก่

• ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ-นามสกุล/เบอร์โทรศัพท์/ที่อยู่/เลขบัตรประชาชน/ข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลที่อ่อนไหว

• ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ/ข้อมูลสุขภาพ/ประวัติอาชญากรรม/ศาสนา/ความเห็นทางการเมือง/ข้อมูลชีวภาพ/อื่นๆ ตามมาตรา 26 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562


ควรรู้ว่าเรามีสิทธิตามกฎหมายอย่างไร

• สิทธิการเพิกถอนความยินยอม (ได้ตลอดระยะเวลาที่บริษัทจัดเก็บไว้)

• สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (ขอสำเนา / เปิดเผยถึงการได้มา กรณีเป็นข้อมูลที่ได้มาโดยไม่ได้รับความยินยอม)

• สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (กรณีเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม/เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง/เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ)

• สิทธิในการโอนย้ายข้อมูลส่วนบุคคล

• สิทธิในการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ระบุตัวตนไม่ได้

• สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

• สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

• สิทธิในการยื่นข้อร้องเรียน
(ยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล)

 

ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล (บุคคล/นิติบุคคล)

ผู้ควบคุมข้อมูล กับ ผู้ประมวลผลข้อมูล แตกต่างกันอย่างไร


• 
ผู้ควบคุมข้อมูลส่วนบุคคล คือ
ผู้ที่มีอำนาจตัดสินใจในการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

• 
ผู้ประมวลผลข้อมูลส่วนบุคคล คือ
ผู้ที่ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล


• 
หากมีการว่าจ้างจากผู้ควบคุมข้อมูล ให้ผู้ประมวลผลข้อมูล ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล กฎหมายกำหนดให้ต้องทำสัญญา/ข้อตกลงระหว่างกัน

 

สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียมตามกฎหมาย


• 
นโยบายคุ้มครองข้อมูลส่วนบุคคล (
Privacy Policy)

เป็นประกาศที่สื่อสารให้บุคคลภายในรับทราบเกี่ยวกับแนวทางการจัดเก็บ รวบรวมและใช้งานข้อมูลส่วนบุคคล และยึดเป็นนโยบาย ระเบียบ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายใน


• 
แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (
Data Subject Right Request Form)

เพื่อเป็นช่องทางให้เจ้าของข้อมูลสามารถร้องขอใช้สิทธิต่างๆ ตามกฎหมายและเพื่อให้มีการบริหารจัดการตามสิทธิของเจ้าของข้อมูลเป็นไปอย่างมีประสิทธิภาพ


• 
หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (
Data Subject Rights Responding)

โดยมีรายละเอียด เช่น กรณีได้ดำเนินการตามคำร้องขอ ให้ระบุรายละเอียดการดำเนินการนั้นๆ / กรณีปฏิเสธคำร้องขอ ให้ระบุรายละเอียดและเหตุผลประกอบ
การปฏิเสธ


• 
ประกาศความเป็นส่วนตัว (
Privacy Notice)

เป็นประกาศที่สื่อสารให้บุคคลภายนอกรับทราบหรือชี้แจ้งการเก็บ ใช้ เปิดเผย
หรือประมวลผลข้อมูลส่วนบุคคล

โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงรายละเอียดของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงแหล่งที่มาของข้อมูล / วัตถุประสงค์การประมวลผล / ข้อยกเว้นไม่ต้องขอความยินยอม / ระยะเวลาการเก็บรวบรวม / ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย / ข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนบุคคล / สิทธิของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ / หรืออื่นๆ เพิ่มเติมตามที่กฎหมายกำหนด


• 
แบบฟอร์มบันทึกการรั่วไหลของข้อมูลส่วนบุคคล (
Data Breach)

กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องบันทึกเหตุการณ์ละเมิดดังกล่าวเป็นลายลักษณ์อักษร และแจ้งรายละเอียดการละเมิดนั้นให้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดพร้อมทั้งมาตรการเยียวยาเหตุละเมิดนั้นภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล


• 
เอกสารแสดงความยินยอม (
Consent Form)

กรณีการประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้าข้อยกเว้นตามกฎหมายและมีความจำเป็นต้องขอความยินยอมในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยกฎหมายระบุให้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการจัดเก็บข้อมูลดังกล่าว
ทั้งนี้ การขอความยินยอมตามกฎหมาย สามารถทำเป็นลายลักษณ์อักษรหรือขอความยินยอมผ่านระบบอิเล็กทรอนิกส์อื่นใด เช่น SMS / Link URL / QR CODE / อื่นๆ ที่สามารถแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ขององค์กรในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล


• 
ข้อตกลง/สัญญา เพื่อประมวลผลข้อมูลส่วนบุคคล (
Data Processing Agreement: DPA)

เป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล เพื่อควบคุมกรณีที่มีการว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคล โดยกำหนดให้ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล / ดูแลข้อมูลส่วนบุคคลที่มีการส่งไปตามสัญญาจ้าง / จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลงข้อมูลดังกล่าว


• 
บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (
Record of Processing: ROP)

เป็นเอกสารที่ระบุการประมวลผลข้อมูลส่วนบุคคลแต่ละกิจกรรมภายใน โดยมีรายละเอียด เช่น ประเภทกิจกรรมที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล / ประเภทของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดข้อมูล / ฐานตามกฎหมาย / การเปิดเผยข้อมูล / การจัดเก็บ / ระยะเวลา / การทำลายเอกสาร / สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล / การใช้หรือเปิดเผยสำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล / การปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนมาตการรักษาความปลอดภัย โดยเอกสารดังกล่าวให้จัดเก็บไว้ภายใน และต้องมีการปรับปรุงให้เป็นปัจจุบันอย่างสม่ำเสมอเมื่อมีการเพิ่มเติมหรือเปลี่ยนแปลงกิจกรรมภายใน
ซึ่งจะมีการใช้ ก็ต่อเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.)
ร้องขอเพื่อตรวจสอบ

 

Q : ข้อมูลส่วนบุคคลที่เก็บ รวบรวมไว้ก่อนกฎหมายใช้บังคับ ต้องทำอย่างไร

A :     •  ผู้ควบคุมข้อมูล สามารถเก็บ ใช้ เปิดเผย ต่อไปได้ตามวัตถุประสงค์เดิม แต่ต้องกำหนดวิธียกเลิกความยินยอมพร้อมประชาสัมพันธ์ให้เจ้าของข้อมูลทราบด้วย

        •  กรณีที่เปลี่ยนแปลงวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย

 

Q : บันทึกรายการประมวลผลข้อมูลส่วนบุคคล ต้องมีข้อมูลอะไรบ้าง

A : ตามมาตรา 39 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 กำหนดให้บันทึก ROP ต้องมีรายการอย่างน้อย ดังนี้

          •  ข้อมูลส่วนบุคคลที่มีการเก็บ

          •  วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลแต่ละประเภท

          •  ข้อมูลของผู้ควบคุมข้อมูล

          •  ระยะเวลาในการจัดเก็บ

          •  สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล

          •  การใช้/เปิดเผยข้อมูล สำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

          •  การดำเนินการและเหตุผลที่องค์กรปฏิเสธคำขอ/คัดค้านของเจ้าของข้อมูล กรณีที่เจ้าขอข้อมูลขอใช้สิทธิในการเข้าถึง/ขอรับข้อมูล/ขอคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูล/ขอแก้ไขข้อมูล

          •  คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

 

Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร

A :     •  โทษทางแพ่ง  ต้องชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคล ที่ได้รับความเสียหายจากการละเมิด แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

        •  โทษทางปกครอง  ตั้งแต่ 1,000,000 บาท สูงสุดไม่เกิน 5,000,000 บาท ซึ่งโทษปรับสูงสุด จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความอ่อนไหว

 

Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร (ต่อ)

A : โทษทางอาญา หากใช้/เปิดเผยข้อมูลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอม หรือไม่ปฏิบัติตามกฎหมายเรื่องการส่ง/โอนข้อมูลไปต่างประเทศ
(ยอมความได้)

          •  จนเป็นเหตุให้ได้รับความเสียหาย เสียชื่อ ถูกดูหมื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

          •  เพื่อแสวงหาประโยชน์ที่ไม่ควรได้โดยชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

นำข้อมูลส่วนบุคคลที่รู้จากการปฏิบัติหน้าที่ ไปเปิดเผยแก่คนอื่นมีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

Copyright ©2024  dharmniti.co.th All rights reserved.

Log in with your credentials

Forgot your details?