สิ่งที่ควรรู้เกี่ยวกับ PDPA ก่อนกฎหมายประกาศใช้
สำหรับเจ้าของข้อมูลส่วนบุคคล (ประชาชน)
ควรรู้ว่าข้อมูลส่วนบุคคลคืออะไร
ข้อมูลส่วนบุคคล คือ ข้อมูลที่สามารถระบุตัวตนได้ว่า เราเป็นใคร ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ ที่อยู่ ภาพถ่าย วีดีโอ ไฟล์เสียง หรืออื่นๆ
แบ่งข้อมูลส่วนบุคคลออกเป็น 2 ประเภทหลักๆ ได้แก่
ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ-นามสกุล/เบอร์โทรศัพท์/ที่อยู่/เลขบัตรประชาชน/ข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลที่อ่อนไหว
ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ/ข้อมูลสุขภาพ/ประวัติอาชญากรรม/ศาสนา/ความเห็นทางการเมือง/ข้อมูลชีวภาพ/อื่นๆ ตามมาตรา 26 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562
แต่ทั้งนี้ ข้อมูลของผู้ที่ถึงแก่กรรมไปแล้ว จะไม่ได้อยู่ในความคุ้มครองของกฎหมาย
ควรรู้ว่าเรามีสิทธิตามกฎหมายอย่างไร
1 .สิทธิการเพิกถอนความยินยอม (ได้ตลอดระยะเวลาที่บริษัทจัดเก็บไว้)
2. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (ขอสำเนา / เปิดเผยถึงการได้มา กรณีเป็นข้อมูลที่ได้มาโดยไม่ได้รับความยินยอม)
3. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (กรณีเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม/เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง/เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ)
4. สิทธิในการโอนย้ายข้อมูลส่วนบุคคล
5. สิทธิในการลบ หรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลที่ระบุตัวตนไม่ได้
6. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
7. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
8. สิทธิในการยื่นข้อร้องเรียน
(ยื่นข้อร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล)
สำหรับผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล (บุคคล/นิติบุคคล)
ผู้ควบคุมข้อมูล กับ ผู้ประมวลผลข้อมูล แตกต่างกันอย่างไร
ผู้ควบคุมข้อมูลส่วนบุคคล คือ ผู้ที่มีอำนาจตัดสินใจในการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง
ผู้ประมวลผลข้อมูลส่วนบุคคล คือ ผู้ที่ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
หากมีการว่าจ้างจากผู้ควบคุมข้อมูล ให้ผู้ประมวลผลข้อมูล ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล กฎหมายกำหนดให้ต้องทำสัญญา/ข้อตกลงระหว่างกัน
สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียมตามกฎหมาย
1. นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
เป็นประกาศที่สื่อสารให้บุคคลภายในรับทราบเกี่ยวกับแนวทางการจัดเก็บ รวบรวมและใช้งานข้อมูลส่วนบุคคล และยึดเป็นนโยบาย ระเบียบ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายใน
2. แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right Request Form)
เพื่อเป็นช่องทางให้เจ้าของข้อมูลสามารถร้องขอใช้สิทธิต่างๆ ตามกฎหมายและเพื่อให้มีการบริหารจัดการตามสิทธิของเจ้าของข้อมูลเป็นไปอย่างมีประสิทธิภาพ
3. หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)
โดยมีรายละเอียด เช่น กรณีได้ดำเนินการตามคำร้องขอ ให้ระบุรายละเอียดการดำเนินการนั้นๆ / กรณีปฏิเสธคำร้องขอ ให้ระบุรายละเอียดและเหตุผลประกอบการปฏิเสธ
4. ประกาศความเป็นส่วนตัว (Privacy Notice)
เป็นประกาศที่สื่อสารให้บุคคลภายนอกรับทราบหรือชี้แจ้งการเก็บ ใช้ เปิดเผย
หรือประมวลผลข้อมูลส่วนบุคคล
โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงรายละเอียดของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงแหล่งที่มาของข้อมูล / วัตถุประสงค์การประมวลผล / ข้อยกเว้นไม่ต้องขอความยินยอม / ระยะเวลาการเก็บรวบรวม / ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย /
ข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนบุคคล / สิทธิของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ / หรืออื่นๆ เพิ่มเติมตามที่กฎหมายกำหนด
5. แบบฟอร์มบันทึกการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach)
กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องบันทึกเหตุการณ์ละเมิดดังกล่าวเป็นลายลักษณ์อักษร และแจ้งรายละเอียดการละเมิดนั้นให้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิด
พร้อมทั้งมาตรการเยียวยาเหตุละเมิดนั้นภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
6. เอกสารแสดงความยินยอม (Consent Form)
กรณีการประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้าข้อยกเว้นตามกฎหมายและมีความจำเป็นต้องขอความยินยอมในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล
โดยกฎหมายระบุให้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการจัดเก็บข้อมูลดังกล่าว ทั้งนี้ การขอความยินยอมตามกฎหมาย สามารถทำเป็นลายลักษณ์อักษรหรือขอความยินยอมผ่านระบบอิเล็กทรอนิกส์อื่นใด เช่น SMS / Link URL / QR CODE / อื่นๆ ที่สามารถแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ขององค์กรในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล
7. ข้อตกลง/สัญญา เพื่อประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA)
เป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล เพื่อควบคุมกรณีที่มีการว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคล โดยกำหนดให้ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล / ดูแลข้อมูลส่วนบุคคลที่มีการส่งไปตามสัญญาจ้าง / จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลงข้อมูลดังกล่าว
8. บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP)
เป็นเอกสารที่ระบุการประมวลผลข้อมูลส่วนบุคคลแต่ละกิจกรรมภายใน โดยมีรายละเอียด เช่น ประเภทกิจกรรมที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล / ประเภทของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดข้อมูล / ฐานตามกฎหมาย /
การเปิดเผยข้อมูล / การจัดเก็บ / ระยะเวลา / การทำลายเอกสาร / สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล / การใช้หรือเปิดเผยสำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล /
การปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนมาตรการรักษาความปลอดภัย โดยเอกสารดังกล่าวให้จัดเก็บไว้ภายใน และต้องมีการปรับปรุงให้เป็นปัจจุบันอย่างสม่ำเสมอเมื่อมีการเพิ่มเติมหรือเปลี่ยนแปลงกิจกรรมภายใน ซึ่งจะมีการใช้ ก็ต่อเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) ร้องขอเพื่อตรวจสอบ
Q1: ข้อมูลส่วนบุคคลที่เก็บ รวบรวมไว้ก่อนกฎหมายใช้บังคับต้องทำอย่างไร
A1: ผู้ควบคุมข้อมูล สามารถเก็บ ใช้ เปิดเผย ต่อไปได้ตามวัตถุประสงค์เดิม
แต่ต้องกำหนดวิธียกเลิกความยินยอมพร้อมประชาสัมพันธ์ให้เจ้าของข้อมูล
ทราบด้วย
กรณีที่เปลี่ยนแปลงวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย
Q2: บันทึกรายการประมวลผลข้อมูลส่วนบุคคล ต้องมีข้อมูลอะไรบ้าง
A2: ตามมาตรา 39 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 กำหนดให้บันทึก ROP ต้องมีรายการอย่างน้อย ดังนี้
-ข้อมูลส่วนบุคคลที่มีการเก็บ
-วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลแต่ละประเภท
-ข้อมูลของผู้ควบคุมข้อมูล
-ระยะเวลาในการจัดเก็บ
-สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล
-การใช้/เปิดเผยข้อมูล สำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
-การดำเนินการและเหตุผลที่องค์กรปฏิเสธคำขอ/คัดค้านของเจ้าของข้อมูล กรณีที่เจ้าขอข้อมูลขอใช้สิทธิในการเข้าถึง/ขอรับข้อมูล/ขอคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูล/ขอแก้ไขข้อมูล
-คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
Q3: บันทึกรายการประมวลผลข้อมูลส่วนบุคคล ต้องเริ่มจัดทำอย่างไร
A3: เบื้องต้นทางต้องเริ่มจากการรวบรวมและวิเคราะห์ถึงกิจกรรมภายใน
ว่ามีกิจกรรมใดที่เกี่ยวข้องกับการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลบ้าง
เพื่อให้การทำบันทึก ROP นั้นครอบคลุมถึงกิจกรรมทั้งหมดที่เข้าข่ายการบังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562
เช่น การรับสมัครพนักงานเข้าใหม่ จำเป็นต้องใช้ข้อมูลอะไร (แยกตามประเภทของข้อมูล) / มีช่องทางการรับสมัครทางไหน / หากรับสมัครโดยให้กรอกเอกสาร จะจัดเก็บไว้ที่ไหน หรือกรอกข้อมูลทางอินเตอร์เน็ต จะจัดเก็บไฟล์อย่างไร / หน่วยงานไหนที่เป็นผู้จัดเก็บ ใช้ / วัตถุประสงค์ของการเก็บคืออะไร / ฐานการจัดเก็บตามกฎหมาย / ระยะเวลาในการจัดเก็บ และอื่นๆ ตามกฎหมาย
Q4: เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร
A4: โทษทางแพ่ง
ต้องชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
ตั้งแต่ 1,000,000 บาท สูงสุดไม่เกิน 5,000,000 บาท
ซึ่งโทษปรับสูงสุด จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความอ่อนไหว
โทษทางอาญา
หากใช้/เปิดเผยข้อมูลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอม หรือไม่ปฏิบัติตามกฎหมายเรื่องการส่ง/โอนข้อมูลไปต่างประเทศ (ยอมความได้)
จนเป็นเหตุให้ได้รับความเสียหาย เสียชื่อ ถูกดูหมื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
เพื่อแสวงหาประโยชน์ที่ไม่ควรได้โดยชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับ
ไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
นำข้อมูลส่วนบุคคลที่รู้จากการปฏิบัติหน้าที่ ไปเปิดเผยแก่คนอื่น มีโทษจำคุก
ไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
- 6
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
