PDPA หรือชื่อเต็ม ๆ คือ Personal Data Protection Act, B.E. 2562 คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ถูกประกาศให้ใช้ในพระราชกิจจานุเบกษาเมื่อวันที่ 27 พ.ค. 2562 ที่ผ่านมา โดยได้อิทธิพลจากกฎหมาย GDPR ของสหภาพยุโรป ซึ่งเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของบุคลลที่อาศัยอยู่ในราชอาณาจักรไทย โดย PDPA จะมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 27 พ.ค. 2563 ที่ผ่านมา องค์กรทั้งภาครัฐและเอกชน ที่เข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) หากไม่ปฏิบัติตามหรือละเมิดกฎหมาย จะมีความผิดและถูกดำเนินคดีได้ ซึ่งองค์กรทุกภาคส่วนต่างก็โดนผลกระทบจากพรบ.ฉบับนี้ ทั้งในฐานะเจ้าของ ผู้บริหาร หรือบุคลากรขององค์กร PDPA จึงเป็นสิ่งที่ควรรู้เพื่อเตรียมรับมือ
ข้อมูลที่ได้รับความคุ้มครอง 1. ข้อมูลส่วนบุคคล
ข้อมูลที่สามารถระบุตัวตนของบุคคลนั้น ๆ ทั้งทางตรงและทางอ้อม เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ เลขบัตรประชาชน ที่อยู่ ข้อมูลอุปกรณ์หรือเครื่องมือต่าง ๆ แต่ไม่รวมข้อมูลผู้ถึงแก่กรรม 2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
ยกตัวอย่างคือ ข้อมูลพฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ความเห็นทางด้านการเมือง ความเชื่อในด้านศาสนา ฯลฯ ซึ่งข้อมูลเหล่านี้มีความเสี่ยงในด้านของความปลอดภัย การขโมยตัวตน การถูกติดตาม สะกดรอยตาม หรือการนำข้อมูลต่าง ๆ ให้แก่บุคคลที่ 3 โดยที่เจ้าของข้อมูลยังไม่ได้รับความยินยอม
สิทธิของเจ้าของข้อมูล พรบ.คุ้มครองข้อมูลส่วนบุคคล ได้ให้สิทธิเจ้าของข้อมูล ดังนี้ – สิทธิในการถอนความยินยอม – สิทธิในการขอรับข้อมูล – สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล – สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล – สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล – สิทธิในการขอระงับการใช้ข้อมูล – สิทธิในการร้องเรียนกรณีที่ผู้ควบคุม หรือผู้ประมวลผลไม่ได้ปฎิบัติตามพรบ.นี้ – สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว – สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล *ซึ่งเมื่อมีการแจ้งความประสงค์ในสิทธิต่างๆ องค์กรจะต้องทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน*
เราจะเริ่มทำ PDPA อย่างไร? – ประเมินผลกระทบ การเข้าข่ายในการทำ PDPA – จัดตั้งผู้รับผิดชอบต่าง ๆ – จัดทำสัญญา ข้อตกลง และนโยบายต่าง ๆ เพื่อรับรองความปลอดภัยของข้อมูล ซึ่งจะต้องมีเนื้อหาที่อ่านง่าย รวบรัด เข้าใจง่าย ไม่ทำให้เข้าใจผิด – เตรียมพร้อมในเรื่องการป้องกันระบบ ความปลอดภัยต่าง ๆ – ทำความเข้าใจกับพนักงานในองค์กร ทั้งในเรื่องของผลกระทบ การรับมือ – การขอความยินยอมเจ้าของข้อมูลในการประมวลผลข้อมูล
ผู้รับผิดชอบ / บทบาทผู้ดูแล ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บุคคล/นิติบุคคลซึ่งมีอำนาจ ผู้ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผย มีมาตรการดูแล Security ที่เหมาะสม และทบทวนสม่ำเสมอ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
มีบทบาท บุคคล/นิติบุคลซึ่งเก็บ ใช้ เปิดเผยตามคำสั่งของผู้ควบคุม (คนละคนกับผู้ควบคุมข้อมูลส่วนบุคคล)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO ซึ่งในขณะนี้ยังไม่มีการกำหนดว่าต้องมีใบรับรอง (Certificates) ข้อกำหนดคุณสมบัติต่าง ๆ หรือไม่ แต่สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ
ผลกระทบหากมีข้อมูลรั่วไหล หรือข้อมูลไม่มีความปลอดภัย – สูญเสียความน่าเชื่อถือ – ถูกดำเนินคดีตามกฎหมาย – เกิดค่าเสียโอกาส – เสียเปรียบในการแข่งขันทางการตลาด การค้า – ความเชื่อมั่น ความไว้างใจของลูกค้า
บทลงโทษของ PDPA – โทษปรับสูงสุด 5 ล้านบาท – จำคุกสูงสุด 1 ปี – ค่าเสียหายตามจริง สินไหมทดแทน สูงสุดสองเท่าของค่าเสียหายตามจริง ปล. หากผู้กระทำผิดเป็นนิติบุคคลกรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย
