Company News

PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

หลังจากเริ่มมีการนำเทคโนโลยีมาใช้ ในรูปแบบ Information Technology ทำให้คอมพิวเตอร์มีบทบาทในการทำงานของผู้คนในสังคมมากขึ้น โดยเฉพาะด้านการจัดเก็บข้อมูลส่วนบุคคล จึงทำให้มีการคุ้มครองเรื่องการใช้ข้อมูลส่วนบุคคล ในธุรกรรมต่างๆ โดย พ.ร.บ.คุ้มครองข้อมูลนี้ หรือที่เรียกว่า PDPA ( Personal Data Protection Act ) มีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พ.ค. 2563

สาระสำคัญของกฎหมายฉบับนี้ คือ ได้ให้ความคุ้มครองข้อมูลข่าวสารส่วนบุคคล ไม่ว่าจะเป็นการศึกษา ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน ลายนิ้วมือ การศึกษา ฐานะการเงิน โดยห้ามไม่ให้ผู้อื่นนำข้อมูลไปใช้ เพื่อประโยชน์ด้านอื่น โดยเจ้าของไม่ยินยอม ไม่ว่าหน่วยงานรัฐหรือผู้ประกอบการเอกชน โดยในกฎหมายมาตรา 4 ฉบับนี้มีข้อยกเว้นบังคับใช้กับ 6 ประเภท คือ

“การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว, การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์, การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพหรือเป็นประโยชน์สาธารณะ, การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่, การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม และการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก”

โดยองค์กรต้องเก็บข้อมูลส่วนบุคคล ในพรบ. เรียกว่า  Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล และหน่วยงาน ฝ่ายที่ควบคุมข้อมูลว่าจ้างประมวลผลข้อมูลของลูกค้า ตามคำสั่งของผู้ควบคุมข้อมูลในพรบ.เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล โดยรูปแบบการจัดเก็บข้อมูลส่วนบุคคลไม่ว่าจะทางตรงหรือทางอ้อม ไม่ว่าจะเป็น ชื่อนามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล์ เลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน

รวมถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ให้ควบคุมเข้มงวดขึ้น ไม่ว่าจะเป็นเชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในทางศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ข้อมูลอื่นใด ที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือ การให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล

  • สิทธิในการยอมรับ ส่งออกโอนข้อมูลส่วนบุคคลไปต่างประเทศ
  • สิทธิที่จะได้รับแจ้ง 
  • สิทธิในการแก้ไข
  • สิทธิในการได้รับและโอนถ่ายข้อมูล
  • สิทธิในการเข้าถึง
  • สิทธิคัดค้าน
  • สิทธิในการลบ (ถูกลืม)
  • สิทธิในการจำกัด
  • สิทธิในการเพิกถอนคำยินยอม
ปัจจุบันประเทศในอาเซียนได้นำกฎหมายนี้มาคุ้มครอง ไม่ว่าจะเป็น อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน เป็นหลักการใช้รูปแบบเดียวกัน แต่อาจแตกต่างกันในเนื้อหาสาระ แม้ว่ากฎหมายยังไม่ชัดเจน สามารถตอบโจทย์ความต้องการแท้จริงของประชาชนได้ แต่อย่างน้อยก็ยังดีที่ประเทศไทย มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเกิดขึ้นแล้ว ส่วนการแก้ไข ปรับปรุงในอนาคต ต้องเรียนรู้ไปพร้อมๆ กัน
ข้อกำหนดโทษเมื่อกระทำผิด กำหมาย PDPA
  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

บทลงโทษของต่างประเทศ

  • GDPR ของทางสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า 
  • PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ 
  • PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต

Legal and Compliance นี้ น่าจะต้องเกี่ยวข้องในหลายๆ ส่วน โดยเฉพาะการเขียนสัญญา ข้อตกลงและนโยบายต่างๆ เพื่อที่จะรับรองความ รวมถึง พวก IT ต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนดป้องกันและเปิดเผยโดยมิชอบ รวมถึง www แอพพลิเคชั่น ระบบสมาชิกต่างๆ ที่ต้องมีการปรับ Consent ให้ตรงตามที่ พรบ.กำหนด  รวมถึงเซลล์ Marketing หากมีการเก็บข้อมูลใดๆ ของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent

ยิ่งมีการเก็บรูปบัตรประชาชนก่อนขึ้นอาคาร การติดตั้งกล้องถ่ายภาพวิดีโอทั้งคนในและคนนอก ถือว่าเข้าข่ายหมดค่ะ แต่อาจมีข้อยกเว้นได้ ทั้งนี้รวมถึง HR ที่ต้องเก็บข้อมูลพนักงาน cv ก็เข้าข่ายในพรบ.นี้ด้วย แม้ว่าตัวกฎหมายยังลงรายละเอียดไม่สุด คาดว่าต้องมีกฎหมายลูก ที่ยังไม่ได้ระบุแน่ชัดมารองรับ เคลียร์ความเทาในหลายกรณีนี้ เห็นทีหลายๆองค์กรคงต้องปรับรูปแบบปริบทต่างๆ ให้ดีที่สุดให้เข้ากับองค์กรที่ทำ เพราะกฎหมายมีแนวโน้มว่า จะเข้มงวดขึ้นเรื่อยๆ ปฏิบัติถูกกฎไว้ ดีกับธุรกิจค่ะ อย่างไรก็ลองปรับแนวทางให้เหมาะกับองค์กรธุรกิจที่ทำดูนะคะ เพื่อความสำเร็จแบบยั่งยืน ไม่ผิดกฎหมายนั่นเองค่ะ

“การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว, การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์, การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพหรือเป็นประโยชน์สาธารณะ, การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่,การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม และการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก”