เตรียมให้พร้อม เมื่อ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำลังจะมา…

หลายท่านอาจจะเคยได้ยิน หรือคุ้นๆอักษรย่อ 4 ตัวนี้มาบ้าง PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งบอกเลยว่าเป็นเรื่องที่ใกล้ตัวมากๆ และควรจะศึกษาไว้ โดยจะมีผลบังคับใช้เต็มรูปแบบ ในวันที่ 27 พฤษภาคม 2563 นี้!

ทำไมต้องทำ PDPA ?
ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล พฤติกรรมต่างๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้นๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

ใครต้องทำ PDPA บ้าง ?
บอกได้เลยว่ากฎหมายฉบับนี้มีผลบังคับใช้กับทั้งภาคเอกชนและภาครัฐ(บุคคลหรือนิติบุคคล) ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและ/หรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
ซึ่งจะต้องมีการตั้งมาตรการในการจัดการ ในการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว การขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย นโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ

บทลงโทษของ PDPA
– โทษปรับสูงสุด 5 ล้านบาท
– จำคุกสูงสุด 1 ปี
– ค่าเสียหายตามจริง สินไหมทดแทน สูงสุดสองเท่าของค่าเสียหายตามจริง
ปล. หากผู้กระทำผิดเป็นนิติบุคคลกรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย

ข้อมูลที่ได้รับความคุ้มครอง
1. ข้อมูลส่วนบุคคล ข้อมูลที่สามารถทำให้สามารถระบุตัวตนของบุคคลนั้นๆได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล เบอร์โทร หมายเลขบัตรประชาชน ที่อยู่ ข้อมูลอุปกรณ์หรือเครื่องมือต่างๆ โดยไม่รวมข้อมูลของผู้ที่ถึงแก่กรรม
2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ความเห็นทางด้านการเมือง ความเชื่อในด้านศาสนา เป็นต้น
ซึ่งข้อมูลมีความเสี่ยงในด้านของความปลอดภัย ไม่ว่าจะเป็น เสี่ยงในเรื่องของการขโมยตัวตน การถูกติดตาม สะกดรอย ถูก spam หรือการนำข้อมูลต่างๆไปขายให้แก่บุคคลที่ 3 โดยเจ้าของข้อมูลยังไม่ได้รับความยินยอมนั่นเอง

สิทธิของเจ้าของข้อมูล
พรบ.คุ้มครองข้อมูลส่วนบุคคล ใจความหลักๆคือการให้สิทธิเจ้าของข้อมูล ดังนี้
– สิทธิในการถอนความยินยอม
– สิทธิในการขอรับข้อมูล
– สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล
– สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
– สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
– สิทธิในการขอระงับการใช้ข้อมูล
– สิทธิในการร้องเรียนกรณีที่ผู้ควบคุม หรือผู้ประมวลผลไม่ได้ปฎิบัติตามพรบ.นี้
– สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว
– สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
ซึ่งเมื่อมีการแจ้งความประสงค์ในสิทธิต่างๆ องค์กรจะต้องทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

เราจะเริ่มต้นทำ PDPA อย่างไร?
– ประเมินผลกระทบ การเข้าข่ายในการทำ PDPA
– จัดตั้งผู้รับผิดชอบต่างๆ
– จัดทำสัญญา ข้อตกลง และนโยบายต่างๆเพื่อรับรองความปลอดภัยของข้อมูล ซึ่งจะต้องมีเนื้อหาที่อ่านง่าย รวบรัด เข้าใจง่าย ไม่ทำให้เข้าใจผิด
– เตรียมพร้อมในเรื่องการป้องกันระบบ ความปลอดภัยต่างๆ
– ทำความเข้าใจกับพนักงานในองค์กร ทั้งในเรื่องของผลกระทบ การรับมือ
– สุดท้ายก็คือการขอความยินยอมเจ้าของข้อมูลในการประมวลผลข้อมูล

ผู้รับผิดชอบ / บทบาทผู้ดูแล
– ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): บุคคล/นิติบุคคลซึ่งมีอำนาจ ผู้ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผย มีมาตรการดูแล Security ที่เหมาะสม และทบทวนสม่ำเสมอ
– ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : มีบทบาท บุคคล/นิติบุคลซึ่งเก็บ ใช้ เปิดเผยตามคำสั่งของผู้ควบคุม (คนละคนกับผู้ควบคุมข้อมูลส่วนบุคคล)
– เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) :กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO ซึ่งในขณะนี้ยังไม่มีการกำหนดว่าต้องมีใบรับรอง(Certificates) ข้อกำหนดคุณสมบัติต่างๆหรือไม่ แต่สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ

ผลกระทบหากมีข้อมูลรั่วไหล หรือข้อมูลไม่มีความปลอดภัย
– สูญเสียความน่าเชื่อถือ
– ถูกดำเนินคดีตามกฎหมาย
– เกิดค่าเสียโอกาส
– เสียเปรียบในการแข่งขันทางการตลาด การค้า
– ความเชื่อมั่น ความไว้างใจของลูกค้า

สรุปสาระสำคัญของ PDPA
PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยข้อยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมจะต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อไหร่ก็ได้ โดยองค์กรต้องกระทำการภายใน 30 วัน ถ้าเกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง
อ่านรายละเอียดเพิ่มเติมได้ที่ : https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf
ขอบคุณข้อมูลจาก https://medium.com/i-gear-geek