โค้งสุดท้าย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ดีเดย์ 27 พ.ค. 63

ใกล้เข้ามาทุกทีสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อให้แน่ใจว่าองค์กรของท่านมีความพร้อมมากน้อยเพียงใด วันนี้เราได้สรุปเฉพาะประเด็นสำคัญๆ ที่ห้ามพลาดมาให้ ณ ที่นี้แล้ว

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ Thailand’s Personal Data Protection Act B.E. 2562  (PDPA) ถือว่าเป็นวาระแห่งชาติที่กำลังอยู่ในโค้งสุดท้ายก็ว่าได้ เนื่องจากกฎหมายนี้จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พ.ค. 2563 เพื่อยกระดับมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้เทียบเท่าข้อบังคับสากลและกฎหมายของต่างประเทศ เช่น GDPR  ทั้งนี้พ.ร.บ.ฯ ดังกล่าวเป็นกฎหมายเพื่อใช้บังคับในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนสิทธิของเจ้าของข้อมูลส่วนบุคคล  รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ทั้งนี้ข้อมูลส่วนบุคคลดังกล่าว หมายถึงข้อมูลซึ่งอยู่ในราชอาณาจักรไทย ไม่ว่าการกระทำนั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม

ตลอดระยะเวลาเกือบหนึ่งปีที่ผ่านมา ทุกหน่วยงานทั้งภาครัฐและเอกชนต่างเร่งเตรียมความพร้อมในการกำหนดนโยบายและวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน เนื่องจากบทลงโทษสำหรับผู้ที่ฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปีและปรับตั้งแต่ 500,000 – 5,000,000 บาท ดังนั้นเพื่อให้แน่ใจว่าองค์กรของท่านมีความพร้อมมากน้อยเพียงใด วันนี้เราได้สรุปเฉพาะประเด็นสำคัญๆ ที่ห้ามพลาดมาให้ ณ ที่นี้แล้ว

PDPA มีความสำคัญอย่างไร?

กฎหมายฉบับนี้มีความสำคัญอย่างมากสำหรับทุกองค์กรทั้งภาครัฐและเอกชน เพราะเป็นกฎหมายที่เขียนขึ้นมาเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของประชาชน อีกทั้งยังเป็นเครื่องมือยืนยันว่าธุรกิจและรัฐจะใช้ข้อมูลประชาชนอย่างโปร่งใส และปลอดภัย เนื่องจากที่ผ่านมา เราอาจเคยได้เห็นข่าวดังเกี่ยวกับเหตุการณ์ละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่เกิดขึ้นทั่วโลกมากมาย ตัวอย่างเช่น กรณี Facebook แชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica ในปี 2018 เพื่อวิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ซึ่งนอกจากจะสร้างความเสียหายต่อทั้งองค์กรในด้านผลประกอบการและด้านความเชื่อมั่นแล้ว ยังสร้างความเสียหายให้กับเจ้าของข้อมูลอีกด้วย

บทลงโทษของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

PDPA จึงเป็นกฏหมายที่จะเข้ามากำกับดูแลการใช้ข้อมูลโดยเฉพาะ ซึ่งครอบคลุมทั้งการนำข้อมูลไปใช้ในการบริหารธุรกิจ รวมไปถึงกรณีข้อมูลรั่วไหลจากการถูกโจมตีและล้วงข้อมูล โดยมีบทลงโทษอย่างเข้มงวดดังนี้

  • โทษทางอาญาปรับสูงสุด 5 ล้านบาท/จำคุกสูงสุด 1 ปี
  • โทษทางแพ่งจ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทน (สูงสุด 2 เท่าของค่าเสียหายตามจริง)
  • หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบอาจต้องรับผิดด้วย

ใครบ้างที่ต้องปฏิบัติตาม PDPA?

เมื่อเทียบกับ GPPR ของยุโรป จะเห็นได้ว่า กฏหมาย PDPA ของประเทศไทยมีบทลงโทษที่รุนแรงกว่า มาดูกันว่าใครบ้างที่มีบทบาทเกี่ยวข้องกับกฏหมาย PDPA

เจ้าของข้อมูล

– ตระหนักในสิทธิของตน เช่น การให้ข้อมูล รับรู้การนำไปใช้ ขอลบข้อมูลเมื่อตนยกเลิกบริการ

ผู้ประกอบการ

– คำนึงถึงแนวทางปฏิบัติตามข้อกำหนดที่จำเป็นและบทบาทผู้มีส่วนเกี่ยวข้อง

– หากบริษัทใหญ่ ควรมีทั้ง Internal audit และ External audit

– แนวทางในการรับมือหากเกิดข้อมูลรั่วไหล

ภาครัฐ 

– คำนึงถึงกฏหมายที่เกี่ยวข้อง เช่น กฏหมายธุรกรรม, ธรรมาภิบาลข้อมูล (Data governance)

ประเภทของข้อมูลที่ได้รับความคุ้มครอง

  • ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ นั่นหมายรวมถึงข้อมูลของลูกค้า พนักงาน Supplier หุ้นส่วนธุรกิจ เป็นต้น
  • ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ ข้อมูล่วนบุคคลเกี่ยวกับเชื้อชาติ หรือเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลพันธุกรรม/ชีวภาพ เป็นต้น

ความสัมพันธ์ระหว่าง Data Subject, Data Controller และ Data Processor ที่ทุกคนควรทราบ

  1. Data Subject หรือ เจ้าของข้อมูลส่วนบุคคล ซึ่งได้แก่ พนักงาน ลูกค้า และ ผู้ที่เป็นซัพพลายเออร์ให้กับบริษัท โดยมีหน้าที่เป็นผู้ตัดสินใจในการให้ความยินยอมให้ข้อมูลต่อ Data Controller ซึ่งจะกล่าวถึงในหัวข้อต่อไป
  2. Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งได้แก่ บริษัท, ผู้ให้บริการ และพนักงานขาย ทำหน้าที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูล โดยส่วนมากจะเป็นผู้ขอความยินยอมจาก Data Subject เช่น ผู้ให้บริการเว็บไซต์ต่าง ๆ
  3. Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล คือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของ Data Controller โดยอาจไม่ใช่เพียงแค่การวิเคราะห์หรือจัดการข้อมูลแบบทั่วไปเท่านั้น แต่ให้รวมถึงการบันทึกและจัดเก็บข้อมูลด้วย

หลักการให้ความยินยอม (Consent)

            หลายๆองค์กรอาจเริ่มกังวลกว่ากฏหมาย PDPA นี้ จะทำให้ได้ข้อมูลจากลูกค้ายากขึ้นหรือไม่ ซึ่งแน่นอนว่าการได้มาซึ่งข้อมูลส่วนบุคคลนั้น ต้องได้รับการยินยอมการให้ข้อมูลจากเจ้าของข้อมูล โดย การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ ซึ่งมีหลักในการให้ความยินยอมดังนี้

  1. ขอความยินยอมจากเจ้าของข้อมูลในกรณีที่ไม่มีฐานกฎหมายอื่น (Legal basis) ในการเก็บ/รวบรวม/ใช้/ประมวลผลข้อมูลของเจ้าของข้อมูล
  2. ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจน (informed) วัตถุประสงค์ของการขอข้อมูลต้องไม่คลุมเครือ (Unambiguous) และใช้ ภาษาที่เข้าใจง่าย
  3. ให้อิสระแก่เจ้าของของมูลในการเลือกว่าจะให้การยินยอมหรือไม่ (Freely Given) และต้องเปิดโอกาสให้มีการถอนความยินยอมได้โดยง่ายเมื่อเจ้าของข้อมูลร้องขอให้ลบ จะต้องดำเนินการอย่างทันที

ดังนั้น ผู้ประกอบการควรจะให้ความสำคัญกับเรื่องนี้ เพราะ PDPA ไม่ได้อยู่แค่ในส่วนของไอที แต่เกี่ยวข้องในทุกส่วนงาน ผู้นำองค์กรจึงควรสร้างการตระหนักรู้ให้พนักงานทุกคน ซึ่งกฏหมายฉบับนี้มีแนวทางในการปฏิบัติตามดังนี้

แนวทางปฏิบัติ 4 ขั้นตอน PDPA ( Personal Data Protection Act)

  • Risk Assessment : เพื่อให้แน่ใจว่าการออกแบบและกระบวนการถูกต้องเหมาะสม
  • Data Governance : มีข้อมูลอะไร อยู่ที่ไหน ใครเข้าถึงได้บ้าง สิทธิและหน้าที่ความรับผิดชอบที่เกิดขึ้น
  • Compliance Management : การบริการคน หลักปฏิบัติ และกฏหมาย ให้มีประสิทธิภาพ มาตราการรับมือเมื่อเกิดข้อมูลรั่วไหล
  • Breach Response: วิธีการรับมือและการจัดการเมื่อเกิดภัยคุกคามที่ส่งผลกระทบให้ข้อมูลรั่วไหล

สำหรับองค์กรที่ยังไม่ได้ทำการเตรียมตัว วันนี้ Jib Digital Consult มี 5 ขั้นตอนง่ายๆ ที่เป็นทางลัดในการเตรียมรับ PDPA โค้งสุดท้ายมาฝากดังนี้

  • การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่

จะเห็นว่าการสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ ป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงอีกด้วย.