Personal Data Protection Act
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล องค์กรต้องทำอะไรบ้าง

        หลากหลายองค์กรเริ่มตื่นตัวกันแล้วหลังจากที่มีการประกาศใช้กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 มิถุนายน ที่ผ่านมา ไม่ว่าจะเป็นทางภาครัฐ เอกชน หรือแม้กระทั่งรัฐวิสาหกิจ แต่ก็ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องเตรียมตัวอย่างไร ต้องจัดทำเอกสารอะไรบ้าง ฉะนั้นในบทความนี้จะกล่าวถึงการเตรียมตัวเบื้องต้นเพื่อให้ปฏิบัติถูกต้องตามข้อบังคับของ กฎหมาย PDPA

PDPA คืออะไร

        PDPA เป็นพระราชบัญญัติที่ถูกกำหนดขึ้นมาเพื่อคุ้มครองด้านสิทธิและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล ถ้าหากมีการเปิดเผย ใช้ ดัดแปลง โอนถ่ายข้อมูลของเจ้าของข้อมูลส่วนบุคคลโดยที่ไม่ได้รับอนุญาตจากเจ้าของข้อมูล หรือทำผิดวัตถุประสงค์ เจ้าของข้อมูลก็จะสามารถร้องเรียนเพื่อเอาผิดได้ โดยข้อมูลส่วนบุคคลแบ่งออกเป็น 2 ส่วน คือ







ใครบ้างที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล



1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)

        ผู้เป็นเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีการให้ข้อมูลแก่องค์กร ต้องพิจารณาอย่างถี่ถ้วนก่อน เช่น อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล ฯลฯ เพราะไม่เช่นนั้นอาจจะเกิดความเสียหายตามมาทีหลังได้

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

        ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

        บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

4. ผู้ดูแลข้อมูลส่วนบุคคล (Data Protection Officer)

        เจ้าหน้าที่ที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กร ไม่ว่าจะเป็นข้อมูลภายใน (ข้อมูลพนักงาน) หรือข้อมูลภายนอก (ข้อมูลลูกค้า) โดยมีหน้าที่ตั้งแต่การให้คำแนะนำแก่ผู้ควบคุมข้อมูล การตรวจสอบการรวบรวมข้อมูล การจัดเก็บข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมถึงการประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีปัญหาเกิดขึ้น โดยองค์กรอาจจ้างบุคคลากรที่มีความรู้ (Outsource) เข้ามาทำงานแทนก็ได้

16 สิ่งที่ต้องมีหลัง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ประกาศใช้

1. เตรียมเอกสารหรือไฟล์บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ ROPA)

        เป็นการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลระหว่างการดำเนินการขององค์กร โดยเป็นการทำตามกฏหมายมาตรา 39 ซึ่งข้อมูลที่บันทึกขึ้นอยู่กับวัตถุประสงค์ของการดำเนินการ 

2. วางแผน Data Flow Map (แผนภูมิการใช้ข้อมูล)

        ซึ่งจะเป็นตัวบอกว่าข้อมูลที่ถูกเก็บมานั้นจะถูกนำไปใช้ในด้านใดบ้าง ช่วยทำให้องค์กรเห็นภาพอย่างชัดเจนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ไหน และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร 

3. ต้องมี Privacy Policy หรือ Privacy Notice

        องค์กรจะต้องมีการประกาศหรือชี้แจงการขออนุญาตเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคล เช่น มีวัตถุประสงค์เก็บไปเพื่ออะไร ระยะเวลาการเก็บเท่าไหร่ ส่วนรูปแบบการประกาศก็มีหลายวิธีขึ้นอยู่กับรูปแบบของธุรกิจ และบริบทของบริษัทนั้นๆ

4. การแจ้งขอเก็บ Cookie Policy 

        แต่ละองค์กรหรือธุรกิจ จะต้องแจ้งเตือนเป็น Banner ขอจัดเก็บ Cookie ของผู้ที่เข้าเยี่ยมชมเว็บไซต์องค์กรหรือธุรกิจเสมอ และจะต้องแจ้งว่าการเก็บ Cookie นี้นำไปใช้เพื่ออะไร และต้องมีปุ่มเพื่อให้กดยินยอมหรือไม่ยินยอม เช่น เก็บเพื่อนำไปพัฒนารูปแบบการเข้าชมเว็บไซต์ให้มีประสิทธิภาพให้ดียิ่งขึ้น หรือ เก็บเพื่อเป็นการสำรวจข้อมูลการการตลาดในการพัฒนาสินค้าใหม่ในอนาคต ขึ้นอยู่กับรูปแบบธุรกิจนั้น ๆ  

5. การขอเก็บ Consent From

        กรณีเป็นการขอจัดเก็บข้อมูลที่มีความละเอียดอ่อน การเก็บข้อมูลนี้จะเป็นแบบฟอร์มให้กรอกในรูปแบบอิเล็กทรอนิกส์ หรือ รูปแบบหนังสือ โดยจะต้องระบุวัตถุประสงค์ว่าจัดเก็บเพื่ออะไร นำไปทำอะไร  มีการระบุให้ยินยอมหรือไม่ยินยอม และแยกออกเป็นส่วนอย่างชัดเจน เช่น การสมัครงาน ในเว็บไซต์สมัครงาน อาจมีแบบฟอร์มแยกออกมา เพื่อขอจัดเก็บข้อมูลไว้ เป็นต้น

6. เอกสาร Data Processing Agreement (DPA)

        เป็นสัญญาที่ทำขึ้นระหว่างฝ่ายที่มีสถานะเป็น Data Controller (องค์กรหรือบริษัทผู้ว่าจ้าง) และ Data Processor (ผู้ให้บริการภายนอก) เป็นสัญญาผูกมัดที่ช่วยควบคุมให้ Data Processor ดำเนินการตามหน้าที่ที่รับผิดชอบและอยู่ในกรอบที่ PDPA กำหนดไว้ หากไม่ปฏิบัติตามจะสามารถฟ้องร้องได้

7. เอกสาร Data  Transferred Agreement / Data  Sharing Agreement

        เป็นสัญญาที่ทำขึ้นในกรณีที่ทั้งสองฝ่ายมีสถานะเป็น Data Controller ทั้งคู่ เพื่อการโอนข้อมูลหรือแบ่งปันข้อมูลซึ่งกันและกัน โดยต้องเป็นข้อมูลที่ชอบด้วยกฏหมายเท่านั้น และต้องปฏิบัติตาม PDPA ก่อนที่จะแชร์ข้อมูลร่วมกัน เช่น มีการขอคำยินยอมก่อนที่เปิดเผยข้อมูลให้อีกฝ่าย เป็นต้น

8. เอกสาร Binding Corporate Rules 

        เอกสารที่ทำขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทต้องการโอนข้อมูลส่วนบุคคลไปยังบริษัทในเครือที่ตั้งในต่างประเทศที่ไม่มีกฏหมายรองรับที่มากพอ สามารถโอนได้โดยได้รับข้อยกเว้นตามที่กฏหมายกำหนด แต่ปัจจุบันในประเทศไทยยังไม่มีกฏหมายลูกที่ออกมาชัดเจน ต้องรอกฏหมายกำหนดออกมาก่อน

9. เอกสาร Data Subject Request Forms

        เอกสารที่ใช้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิ์ตามที่ PDPA กำหนด และเนื่องจาก Data Subject Request Forms ไม่ได้กำหนดรูปแบบ สามารถใช้เป็นแบบอิเล็กทรอนิกส์ หรือ เป็นหนังสือได้ แต่ในกรณีที่เริ่มมีการประกาศใช้ PDPA อย่างแพร่หลาย อาจจะทำให้เจ้าของข้อมูลส่วนบุคคลต้องใช้การใช้สิทธ์มากขึ้น จึงควรทำเป็นแบบฟอร์มไว้เพื่อความสะดวกและรวดเร็ว

10. แบบฟอร์มตอบกลับเจ้าของข้อมูลส่วนบุคคล Respont Form

        เป็นฟอร์มในการตอบกลับเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลยินยอม หรือ ปฏิเสธการให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคล ซึ่งบางองค์กรจะทำเป็นระบบตอบกลับอัตโนมัติทางอีเมลทันที เพื่อความสะดวกและรวดเร็ว

11. แบบฟอร์มแจ้งเหตุละเมิดข้อมูลส่วนบุคคล Data Breach Notification Form

        กฏหมายได้ระบุไว้ให้มีการรายงานและแจ้งเหตุละเมิด ในกรณีมีการถูกละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงมีการเยียวยาความเสียหายด้วย

12. หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Data Protection Officer (DPO) Appointment Letter

        ข้อนี้ไม่ได้มีการกำหนดให้ทุกองค์กร แต่กำหนดเพียงบางองค์กรที่เข้าเงื่อนไขเท่านั้น เช่น องค์กรที่มีกิจกรรมที่ต้องประมวลผลข้อมูลอ่อนไหวอย่างสม่ำเสมอ เช่น โรงแรม ธนาคาร เป็นต้น 

13. ป้ายแจ้งเตือนกล้องวงจรปิด CCTV Warning Sign

        ป้ายแจ้งเตือนกล้องวงจรปิด ในกรณีที่กิจการมีการใช้กล้องวงจรปิดเพื่อการรักษาความปลอดภัย ตามกฏหมายต้องมีการแจ้งเพื่อให้ทราบว่ามีการจัดเก็บข้อมูลตาม Privacy Policy ควรทำป้ายแจ้งเตือนให้ทราบ

14. แบบการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล Data Protection Impact Assessment (DPIA)

        การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อนี้ไม่ได้มีการบังคับอย่างชัดเจน แต่กฏหมายไทยหลายมาตรามีการเขียนสอดคล้องว่าต้องทำ DPIA เช่น กรณีข้อมูลรั่วไหล จะต้องมีการแจ้งเหตุฉุกเฉินให้ทราบด้วย เป็นต้น

15. เอกสารประเมินฐานผลประโยชน์อันชอบธรรม Legitimate Interest Assessment

        เอกสารสำหรับประเมินฐานผลประโยชน์อันชอบธรรม ซึ่งเอกสารฉบับนี้กฏหมายไม่ได้บังคับให้ทำ แต่ในทางปฏิบัติหลีกเลี่ยงไม่พ้น จะต้องมีการพิจารณาว่าการประมวลข้อมูลแบบใดต้องใช้ฐานกฏหมายใดในการประมวลผล ซึ่งต้องมีผู้เชี่ยวชาญและความสามารถเฉพาะในการพิจารณาด้วย เพื่อความถูกต้องและสมบูรณ์

16. ข้อสัญญาว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล PDPA Clauses in Contracts

        ข้อสัญญาที่ว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งคือสัญญาต่างๆ ที่องค์กรทำร่วมกับเจ้าของข้อมูลส่วนบุคคล เช่น การสมัคร การซื้อ-ขายสินค้า  สัญญาที่ทำกับลูกค้า เช่น ในสัญญาจะต้องระบุให้คู่สัญญาปฏิบัติตามกฎหมาย PDPA ด้วย หากมีความเสียหายเกิดขึ้นจะต้องแก้ไขอย่างไร ในกรณีที่เป็นสัญญาเก่า อาจเขียนแนบท้ายเพิ่มเติม หรือ เพิ่มข้อสัญญาได้ หากเป็นสัญญาใหม่ ก็เพิ่มข้อนี้เข้าไปด้วย เพื่อให้สอดคล้องกับกฎหมาย PDPA


      ตอนนี้ถึงเวลาแล้วที่องค์กรต่างๆ จะต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด ถ้าหากคุณกำลังมองหาตัวช่วยในการเริ่มกระบวนการกฎหมาย PDPA อยากเข้าใจ PDPA เพิ่มเติม Cybernetics+ เราพร้อมจะช่วยคุณ


อ้างอิงข้อมูล : PDPA ข้อมูลส่วนบุคคล: เอกสารภาคปฏิบัติ #PDPA #GDPR


Personal Data Protection Act
Wassana Boonyued
Live to Work or Work to Live
Are you happy in your work?