พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล องค์กรต้องทำอะไรบ้าง
Personal Data Protection Act What does a company or organization need to do?
หลากหลายองค์กรเริ่มตื่นตัวกันแล้วหลังจากที่มีการประกาศใช้กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 มิถุนายน ที่ผ่านมา ไม่ว่าจะเป็นทางภาครัฐ เอกชน หรือแม้กระทั่งรัฐวิสาหกิจ แต่ก็ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องเตรียมตัวอย่างไร ต้องจัดทำเอกสารอะไรบ้าง ฉะนั้นในบทความนี้จะกล่าวถึงการเตรียมตัวเบื้องต้นเพื่อให้ปฏิบัติถูกต้องตามข้อบังคับของ กฎหมาย PDPA
Many organizations have begun to wake up after the law was promulgated. Personal Data Protection Act on June 1, whether in the public sector, private sector or even state enterprises. But there are still many agencies that do not know how to prepare. What documents need to be prepared? Therefore, in this article, we will discuss the basic preparation to comply with the requirements of the PDPA law.
PDPA คืออะไร What is PDPA?
PDPA เป็นพระราชบัญญัติที่ถูกกำหนดขึ้นมาเพื่อคุ้มครองด้านสิทธิและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล ถ้าหากมีการเปิดเผย ใช้ ดัดแปลง โอนถ่ายข้อมูลของเจ้าของข้อมูลส่วนบุคคลโดยที่ไม่ได้รับอนุญาตจากเจ้าของข้อมูล หรือทำผิดวัตถุประสงค์ เจ้าของข้อมูลก็จะสามารถร้องเรียนเพื่อเอาผิดได้ โดยข้อมูลส่วนบุคคลแบ่งออกเป็น 2 ส่วน คือ
PDPA is an Act designed to protect the rights and security of personal data subjects. If the data subject is disclosed, used, modified or transferred without the authorization of the data subject. or wrong purpose The owner of the information will be able to file a complaint to prosecute. The personal data is divided into two parts:
ใครบ้างที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
Who is involved in the Personal Data Protection Act?
1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)
ผู้เป็นเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีการให้ข้อมูลแก่องค์กร ต้องพิจารณาอย่างถี่ถ้วนก่อน เช่น อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล ฯลฯ เพราะไม่เช่นนั้นอาจจะเกิดความเสียหายตามมาทีหลังได้
Owner of personal data In the event that information is provided to the organization It must be carefully considered, such as reading the terms, objectives carefully before consenting to information, etc., because otherwise it may cause damage later.
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ
Personal Data Controller is a person or juristic person who has the authority to make “decisions” about the collection, use or disclosure of personal information, such as a government agency or private in general collected Use or disclose personal information of people or customers who use the service.
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
Persons or legal entities dealing with the collection, use or disclosure of personal information. “by order or on behalf of the Personal Data Controller”. Must not be a controller of personal data
4. ผู้ดูแลข้อมูลส่วนบุคคล (Data Protection Officer)
เจ้าหน้าที่ที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กร ไม่ว่าจะเป็นข้อมูลภายใน (ข้อมูลพนักงาน) หรือข้อมูลภายนอก (ข้อมูลลูกค้า) โดยมีหน้าที่ตั้งแต่การให้คำแนะนำแก่ผู้ควบคุมข้อมูล การตรวจสอบการรวบรวมข้อมูล การจัดเก็บข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมถึงการประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีปัญหาเกิดขึ้น โดยองค์กรอาจจ้างบุคคลากรที่มีความรู้ (Outsource) เข้ามาทำงานแทนก็ได้
The staff will take care and protect all personal information in the organization. whether internal information (employee data) or external data (Customer Data), with duties ranging from providing advice to the Data Controller. data collection audit Data storage is in accordance with the Personal Data Protection Act. including coordinating with the Personal Data Protection Committee when problems arise The organization may employ knowledgeable personnel (Outsource) to work on their behalf.
16 สิ่งที่ต้องมีหลัง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ประกาศใช้
1. เตรียมเอกสารหรือไฟล์บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ ROPA)
เป็นการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลระหว่างการดำเนินการขององค์กร โดยเป็นการทำตามกฏหมายมาตรา 39 ซึ่งข้อมูลที่บันทึกขึ้นอยู่กับวัตถุประสงค์ของการดำเนินการ
It is the recording of activities related to personal data during the operation of the organization. This is in accordance with Article 39 of the law, where the information recorded depends on the purpose of the operation.
2. วางแผน Data Flow Map (แผนภูมิการใช้ข้อมูล)
ซึ่งจะเป็นตัวบอกว่าข้อมูลที่ถูกเก็บมานั้นจะถูกนำไปใช้ในด้านใดบ้าง ช่วยทำให้องค์กรเห็นภาพอย่างชัดเจนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ไหน และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร
This will tell you how the collected data will be used. Help the organization to clearly see that where did the information come from Where is the information sent? and what activities occur with data in each system within the organization
3. ต้องมี Privacy Policy หรือ Privacy Notice
องค์กรจะต้องมีการประกาศหรือชี้แจงการขออนุญาตเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคล เช่น มีวัตถุประสงค์เก็บไปเพื่ออะไร ระยะเวลาการเก็บเท่าไหร่ ส่วนรูปแบบการประกาศก็มีหลายวิธีขึ้นอยู่กับรูปแบบของธุรกิจ และบริบทของบริษัทนั้นๆ
The organization must announce or clarify the request for permission to collect information from the owner of the personal data, for example, for what purpose it is collected. How long is the storage period? There are different types of announcements depending on the business model. and the context of that company
4. การแจ้งขอเก็บ Cookie Policy
แต่ละองค์กรหรือธุรกิจ จะต้องแจ้งเตือนเป็น Banner ขอจัดเก็บ Cookie ของผู้ที่เข้าเยี่ยมชมเว็บไซต์องค์กรหรือธุรกิจเสมอ และจะต้องแจ้งว่าการเก็บ Cookie นี้นำไปใช้เพื่ออะไร และต้องมีปุ่มเพื่อให้กดยินยอมหรือไม่ยินยอม เช่น เก็บเพื่อนำไปพัฒนารูปแบบการเข้าชมเว็บไซต์ให้มีประสิทธิภาพให้ดียิ่งขึ้น หรือ เก็บเพื่อเป็นการสำรวจข้อมูลการการตลาดในการพัฒนาสินค้าใหม่ในอนาคต ขึ้นอยู่กับรูปแบบธุรกิจนั้น ๆ
Each organization or business must be notified as a Banner requesting to store cookies of those who visit the corporate or business website always. And must tell what the purpose of collecting this cookie is used for. And there must be buttons to press consent or not to consent, for example, to collect for the development of website traffic patterns to be more effective or collect for exploring marketing information in the development of new products in the future. It depends on that business model.
5. การขอเก็บ Consent From
กรณีเป็นการขอจัดเก็บข้อมูลที่มีความละเอียดอ่อน การเก็บข้อมูลนี้จะเป็นแบบฟอร์มให้กรอกในรูปแบบอิเล็กทรอนิกส์ หรือ รูปแบบหนังสือ โดยจะต้องระบุวัตถุประสงค์ว่าจัดเก็บเพื่ออะไร นำไปทำอะไร มีการระบุให้ยินยอมหรือไม่ยินยอม และแยกออกเป็นส่วนอย่างชัดเจน เช่น การสมัครงาน ในเว็บไซต์สมัครงาน อาจมีแบบฟอร์มแยกออกมา เพื่อขอจัดเก็บข้อมูลไว้ เป็นต้น
In the event of a request to store sensitive information The collection of this information will be a form to be filled out in electronic form or in book form. It must specify the purpose of what the storage is for, what it is used for, whether to consent or not to consent. and clearly separated into sections, such as applying for a job on a job site There may be a separate form. to request to store information, etc.
6. เอกสาร Data Processing Agreement (DPA)
เป็นสัญญาที่ทำขึ้นระหว่างฝ่ายที่มีสถานะเป็น Data Controller (องค์กรหรือบริษัทผู้ว่าจ้าง) และ Data Processor (ผู้ให้บริการภายนอก) เป็นสัญญาผูกมัดที่ช่วยควบคุมให้ Data Processor ดำเนินการตามหน้าที่ที่รับผิดชอบและอยู่ในกรอบที่ PDPA กำหนดไว้ หากไม่ปฏิบัติตามจะสามารถฟ้องร้องได้
It is a contract entered into between a party whose status is the Data Controller (enterprise or employer) and the Data Processor (Outside Service Provider). It is a binding contract that controls the Data Processor to perform its responsibilities and within the framework of the PDPA. determined. If not complying, can be prosecuted.
7. เอกสาร Data Transferred Agreement / Data Sharing Agreement
เป็นสัญญาที่ทำขึ้นในกรณีที่ทั้งสองฝ่ายมีสถานะเป็น Data Controller ทั้งคู่ เพื่อการโอนข้อมูลหรือแบ่งปันข้อมูลซึ่งกันและกัน โดยต้องเป็นข้อมูลที่ชอบด้วยกฏหมายเท่านั้น และต้องปฏิบัติตาม PDPA ก่อนที่จะแชร์ข้อมูลร่วมกัน เช่น มีการขอคำยินยอมก่อนที่เปิดเผยข้อมูลให้อีกฝ่าย เป็นต้น
It is a contract made in the event that both parties are both Data Controllers for the purpose of transferring or sharing data with each other. It must be information that is lawful only. and must comply with the PDPA before sharing information, such as obtaining consent before disclosing information to the other party, etc.
8. เอกสาร Binding Corporate Rules
เอกสารที่ทำขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทต้องการโอนข้อมูลส่วนบุคคลไปยังบริษัทในเครือที่ตั้งในต่างประเทศที่ไม่มีกฏหมายรองรับที่มากพอ สามารถโอนได้โดยได้รับข้อยกเว้นตามที่กฏหมายกำหนด แต่ปัจจุบันในประเทศไทยยังไม่มีกฏหมายลูกที่ออกมาชัดเจน ต้องรอกฏหมายกำหนดออกมาก่อน
Documents made to protect personal information in the event that the company wishes to transfer personal information to affiliates located in foreign countries that do not have sufficient legal support. Can be transferred with exemptions as required by law. But at present, there is no clear law on children in Thailand. You have to wait for the law to come out.
9. เอกสาร Data Subject Request Forms
เอกสารที่ใช้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิ์ตามที่ PDPA กำหนด และเนื่องจาก Data Subject Request Forms ไม่ได้กำหนดรูปแบบ สามารถใช้เป็นแบบอิเล็กทรอนิกส์ หรือ เป็นหนังสือได้ แต่ในกรณีที่เริ่มมีการประกาศใช้ PDPA อย่างแพร่หลาย อาจจะทำให้เจ้าของข้อมูลส่วนบุคคลต้องใช้การใช้สิทธ์มากขึ้น จึงควรทำเป็นแบบฟอร์มไว้เพื่อความสะดวกและรวดเร็ว
A document to be used in the event that the Personal Data Subject wishes to exercise the rights required by the PDPA and because the Data Subject Request Forms are not formatted. Can be used electronically or as a book. But in the event that PDPA is widely adopted may cause the owner of the personal data to use more rights Therefore, it should be made into a form for convenience and speed
10. แบบฟอร์มตอบกลับเจ้าของข้อมูลส่วนบุคคล Respond Form
เป็นฟอร์มในการตอบกลับเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลยินยอม หรือ ปฏิเสธการให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคล ซึ่งบางองค์กรจะทำเป็นระบบตอบกลับอัตโนมัติทางอีเมลทันที เพื่อความสะดวกและรวดเร็ว
It is a form to reply to the owner of the personal information. In the event that the data subject agrees or refuses to grant access to personal data Which some organizations will make an automatic email response system immediately. For convenience and speed
11. แบบฟอร์มแจ้งเหตุละเมิดข้อมูลส่วนบุคคล Data Breach Notification Form
กฏหมายได้ระบุไว้ให้มีการรายงานและแจ้งเหตุละเมิด ในกรณีมีการถูกละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงมีการเยียวยาความเสียหายด้วย
The law states that violations must be reported and reported. In the event of personal data breach within 72 hours, including remedy for damage
12. หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Data Protection Officer (DPO) Appointment Letter
ข้อนี้ไม่ได้มีการกำหนดให้ทุกองค์กร แต่กำหนดเพียงบางองค์กรที่เข้าเงื่อนไขเท่านั้น เช่น องค์กรที่มีกิจกรรมที่ต้องประมวลผลข้อมูลอ่อนไหวอย่างสม่ำเสมอ เช่น โรงแรม ธนาคาร เป็นต้น
This clause is not required for every organization. But only certain organizations that meet the criteria, such as organizations with activities that regularly process sensitive data, such as hotels, banks, etc.
13. ป้ายแจ้งเตือนกล้องวงจรปิด CCTV Warning Sign
ป้ายแจ้งเตือนกล้องวงจรปิด ในกรณีที่กิจการมีการใช้กล้องวงจรปิดเพื่อการรักษาความปลอดภัย ตามกฏหมายต้องมีการแจ้งเพื่อให้ทราบว่ามีการจัดเก็บข้อมูลตาม Privacy Policy ควรทำป้ายแจ้งเตือนให้ทราบ
CCTV warning sign In the event that the business uses CCTV for security purposes According to the law, there must be a notification to know that the data is collected according to the Privacy Policy. Should make a warning sign.
14. แบบการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล Data Protection Impact Assessment (DPIA)
การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อนี้ไม่ได้มีการบังคับอย่างชัดเจน แต่กฏหมายไทยหลายมาตรามีการเขียนสอดคล้องว่าต้องทำ DPIA เช่น กรณีข้อมูลรั่วไหล จะต้องมีการแจ้งเหตุฉุกเฉินให้ทราบด้วย เป็นต้น
Personal Data Protection Impact Assessment This clause is not explicitly enforced. But many Thai laws are written in accordance with the need to do DPIA, such as in the event of data leaks. There must be an emergency notification, etc.
15. เอกสารประเมินฐานผลประโยชน์อันชอบธรรม Legitimate Interest Assessment
เอกสารสำหรับประเมินฐานผลประโยชน์อันชอบธรรม ซึ่งเอกสารฉบับนี้กฏหมายไม่ได้บังคับให้ทำ แต่ในทางปฏิบัติหลีกเลี่ยงไม่พ้น จะต้องมีการพิจารณาว่าการประมวลข้อมูลแบบใดต้องใช้ฐานกฏหมายใดในการประมวลผล ซึ่งต้องมีผู้เชี่ยวชาญและความสามารถเฉพาะในการพิจารณาด้วย เพื่อความถูกต้องและสมบูรณ์
Documents for assessing the base of legitimate interests This document is not required by law to do so. But in practice it is inevitable. It has to be considered what kind of data processing requires which legal base to process. which requires specialists and specific abilities to be considered for accuracy and completeness
16. ข้อสัญญาว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล PDPA Clauses in Contracts
ข้อสัญญาที่ว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งคือสัญญาต่างๆ ที่องค์กรทำร่วมกับเจ้าของข้อมูลส่วนบุคคล เช่น การสมัคร การซื้อ-ขายสินค้า สัญญาที่ทำกับลูกค้า เช่น ในสัญญาจะต้องระบุให้คู่สัญญาปฏิบัติตามกฎหมาย PDPA ด้วย หากมีความเสียหายเกิดขึ้นจะต้องแก้ไขอย่างไร ในกรณีที่เป็นสัญญาเก่า อาจเขียนแนบท้ายเพิ่มเติม หรือ เพิ่มข้อสัญญาได้ หากเป็นสัญญาใหม่ ก็เพิ่มข้อนี้เข้าไปด้วย เพื่อให้สอดคล้องกับกฎหมาย PDPA
Agreement on Personal Data Protection Laws which are contracts that the organization does with the owner of personal data, such as signing up, buying and selling products The contract with the customer, for example, in the contract must specify that the parties comply with the PDPA law. If there is damage, how should it be corrected? In the case of an old contract May write additional annexes or add contract clauses. If it's a new contract also added this To comply with PDPA law
ตอนนี้ถึงเวลาแล้วที่องค์กรต่างๆ จะต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด ถ้าหากคุณกำลังมองหาตัวช่วยในการเริ่มกระบวนการกฎหมาย PDPA อยากเข้าใจ PDPA เพิ่มเติม Cybernetics+ เราพร้อมจะช่วยคุณ
Now is the time for organizations to Must strictly comply with PDPA laws. If you are looking for help in starting the legal process of PDPA, want to learn more about PDPA, Cybernetics+ we are here to help.
อ้างอิงข้อมูล : PDPA ข้อมูลส่วนบุคคล: เอกสารภาคปฏิบัติ #PDPA #GDPR
