สรุปประกาศกฎหมายลำดับรอง PDPA

• ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities)

– เป็นลายลักษณ์อักษร (หนังสือ/รูปแบบอิเล็กทรอนิกส์)

• ระบุรายการข้อมูลส่วนบุคคล/ประเภท/วัตถุประสงค์/ลักษณะการเก็บ ใช้ เปิดเผยข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล

• ระบุชื่อ/ข้อมูล เกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล/ตัวแทน

• ระบุชื่อ/สถานที่ติดต่อ/วิธีการติดต่อ/ข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) (หากมี)

• ระบุประเภทของบุคคล/หน่วยงานที่ได้รับข้อมูลส่วนบุคคล (กรณีที่มีการส่ง-โอนข้อมูลไปต่างประเทศ)

• ระบุชื่อ/ข้อมูล เกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล/ตัวแทน

• คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

• กรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล / ผู้ควบคุมข้อมูลร้องขอ ผู้ประมวลผลข้อมูลต้องสามารถแสดงบันทึกรายการให้ตรวจสอบได้

อ้างอิง : ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕

มาตรการรักษาความมั่นคงปลอดภัยของ ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีอย่างเหมาะสม ตามระดับความเสี่ยง ดังนี้

• ต้องป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ไม่มีอำนาจหรือโดยมิชอบ (Access Control)

• ครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะอยู่ในรูปแบบเอกสาร/รูปแบบอิเล็กทรอนิกส์/รูปแบบอื่นใด

• ต้องรักษาข้อมูลส่วนบุคคลเป็นความลับ (Confidentiality) ถูกต้องครบถ้วน (Integrity) และพร้อมใช้งาน (Availability)

• ต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัย เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
– เมื่อมีความจำเป็น/เมื่อเทคโนโลยีเปลี่ยนแปลงไป
– เมื่อมีเหตุการละเมิดข้อมูลส่วนบุคคล เว้นแต่การละเมิดไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

• ผู้ประกอบการขนาดเล็กจัดให้มีมาตรการเท่าที่จำเป็นเหมาะสม ตามระดับความเสี่ยงขององค์การ

อ้างอิง : ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕

หลักเกณฑ์มาตรการบังคับและพิจารณาลงโทษทางปกครอง

• ผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคล/บุคคลใดที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือคำสั่งของคณะกรรมการผู้เชี่ยวชาญ ต้องรับผิดทางปกครอง

• รูปแบบคำสั่งลงโทษทางปกครอง
– เงินค่าปรับทางปกครอง
– การยึด/การอายัดทรัพย์สิน
– การขายทอดตลาด

• มาตรการลงโทษตามระดับการกระทำความผิด
กรณีไม่ร้ายแรง
– ตักเตือน หรือสั่งให้แก้ไข หยุด ระงับ ละเว้น หรืองดเว้น การกระทำที่ฝ่าฝืน
– สั่งห้ามกระทำการที่ก่อให้เกิดความเสียหาย
– สั่งจำกัดการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีการกระทำผิดไว้

• กรณีร้ายแรง หรือคำสั่งให้แก้ไขหรือตักเตือนไม่เป็นผล
– คณะกรรมการผู้เชี่ยวชาญมีคำสั่งลงโทษปรับทางปกครอง ตามความร้ายแรงและพฤติการณ์อื่นที่เห็นสมควร

อ้างอิง : ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. ๒๕๖๕

การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก

• กิจการที่ไม่ต้องทำบันทึกรายการ
– เป็นวิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลาง
– เป็นวิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
– เป็นวิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
– เป็นสหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร
– เป็นมูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
– เป็นกิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน
– เป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต

• ผู้ประกอบการที่ได้รับการยกเว้นการทำบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ยังมีหน้าที่ ดังนี้
– ประกาศแจ้งการคุ้มครองข้อมูลส่วนบุคคล
– มีมาตรการรักษาความปลอดภัยที่เหมาะสมกับขนาด และประเภทของกิจการ

• กิจการที่ยังต้องทำบันทึกรายการ
– ผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

อ้างอิง : ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. ๒๕๖๕