สิ่งที่ควรรู้เกี่ยวกับ PDPA ก่อนกฏหมายประกาศใช้

ผู้ควบคุมข้อมูล กับ ผู้ประมวลผลข้อมูล แตกต่างกันอย่างไร

• ผู้ควบคุมข้อมูลส่วนบุคคล คือ ผู้ที่มีอำนาจตัดสินใจในการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

• ผู้ประมวลผลข้อมูลส่วนบุคคล คือ ผู้ที่ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

• หากมีการว่าจ้างจากผู้ควบคุมข้อมูล ให้ผู้ประมวลผลข้อมูล ดำเนินการเก็บ รวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล กฎหมายกำหนดให้ต้องทำสัญญา/ข้อตกลงระหว่างกัน

สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียมตามกฎหมาย

• นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

เป็นประกาศที่สื่อสารให้บุคคลภายในรับทราบเกี่ยวกับแนวทางการจัดเก็บ รวบรวมและใช้งานข้อมูลส่วนบุคคล และยึดเป็นนโยบาย ระเบียบ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายใน

• แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right Request Form)

เพื่อเป็นช่องทางให้เจ้าของข้อมูลสามารถร้องขอใช้สิทธิต่างๆ ตามกฎหมายและเพื่อให้มีการบริหารจัดการตามสิทธิของเจ้าของข้อมูลเป็นไปอย่างมีประสิทธิภาพ

• หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)

โดยมีรายละเอียด เช่น กรณีได้ดำเนินการตามคำร้องขอ ให้ระบุรายละเอียดการดำเนินการนั้นๆ / กรณีปฏิเสธคำร้องขอ ให้ระบุรายละเอียดและเหตุผลประกอบ
การปฏิเสธ

• ประกาศความเป็นส่วนตัว (Privacy Notice)

เป็นประกาศที่สื่อสารให้บุคคลภายนอกรับทราบหรือชี้แจ้งการเก็บ ใช้ เปิดเผย
หรือประมวลผลข้อมูลส่วนบุคคล

โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงรายละเอียดของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม รวมถึงแหล่งที่มาของข้อมูล / วัตถุประสงค์การประมวลผล / ข้อยกเว้นไม่ต้องขอความยินยอม / ระยะเวลาการเก็บรวบรวม / ประเภทของบุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย / ข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนบุคคล / สิทธิของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ / หรืออื่นๆ เพิ่มเติมตามที่กฎหมายกำหนด

• แบบฟอร์มบันทึกการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach)

กรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องบันทึกเหตุการณ์ละเมิดดังกล่าวเป็นลายลักษณ์อักษร และแจ้งรายละเอียดการละเมิดนั้นให้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุละเมิดพร้อมทั้งมาตรการเยียวยาเหตุละเมิดนั้นภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

• เอกสารแสดงความยินยอม (Consent Form)

กรณีการประมวลผลข้อมูลส่วนบุคคลที่ไม่เข้าข้อยกเว้นตามกฎหมายและมีความจำเป็นต้องขอความยินยอมในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยกฎหมายระบุให้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการจัดเก็บข้อมูลดังกล่าว
ทั้งนี้ การขอความยินยอมตามกฎหมาย สามารถทำเป็นลายลักษณ์อักษรหรือขอความยินยอมผ่านระบบอิเล็กทรอนิกส์อื่นใด เช่น SMS / Link URL / QR CODE / อื่นๆ ที่สามารถแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ขององค์กรในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล

• ข้อตกลง/สัญญา เพื่อประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA)

เป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล เพื่อควบคุมกรณีที่มีการว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคล โดยกำหนดให้ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล / ดูแลข้อมูลส่วนบุคคลที่มีการส่งไปตามสัญญาจ้าง / จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลงข้อมูลดังกล่าว

• บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP)

เป็นเอกสารที่ระบุการประมวลผลข้อมูลส่วนบุคคลแต่ละกิจกรรมภายใน โดยมีรายละเอียด เช่น ประเภทกิจกรรมที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล / ประเภทของเจ้าของข้อมูลส่วนบุคคล / รายละเอียดข้อมูล / ฐานตามกฎหมาย / การเปิดเผยข้อมูล / การจัดเก็บ / ระยะเวลา / การทำลายเอกสาร / สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล / การใช้หรือเปิดเผยสำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล / การปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตลอดจนมาตการรักษาความปลอดภัย โดยเอกสารดังกล่าวให้จัดเก็บไว้ภายใน และต้องมีการปรับปรุงให้เป็นปัจจุบันอย่างสม่ำเสมอเมื่อมีการเพิ่มเติมหรือเปลี่ยนแปลงกิจกรรมภายใน
ซึ่งจะมีการใช้ ก็ต่อเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.)
ร้องขอเพื่อตรวจสอบ

Q : ข้อมูลส่วนบุคคลที่เก็บ รวบรวมไว้ก่อนกฎหมายใช้บังคับ ต้องทำอย่างไร

A :     •  ผู้ควบคุมข้อมูล สามารถเก็บ ใช้ เปิดเผย ต่อไปได้ตามวัตถุประสงค์เดิม แต่ต้องกำหนดวิธียกเลิกความยินยอมพร้อมประชาสัมพันธ์ให้เจ้าของข้อมูลทราบด้วย

        •  กรณีที่เปลี่ยนแปลงวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย

Q : บันทึกรายการประมวลผลข้อมูลส่วนบุคคล ต้องมีข้อมูลอะไรบ้าง

A : ตามมาตรา 39 แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 กำหนดให้บันทึก ROP ต้องมีรายการอย่างน้อย ดังนี้

          •  ข้อมูลส่วนบุคคลที่มีการเก็บ

          •  วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลแต่ละประเภท

          •  ข้อมูลของผู้ควบคุมข้อมูล

          •  ระยะเวลาในการจัดเก็บ

          •  สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล / เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล

          •  การใช้/เปิดเผยข้อมูล สำหรับข้อมูลที่ได้ยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

          •  การดำเนินการและเหตุผลที่องค์กรปฏิเสธคำขอ/คัดค้านของเจ้าของข้อมูล กรณีที่เจ้าขอข้อมูลขอใช้สิทธิในการเข้าถึง/ขอรับข้อมูล/ขอคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูล/ขอแก้ไขข้อมูล

          •  คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร

A :     •  โทษทางแพ่ง  ต้องชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคล ที่ได้รับความเสียหายจากการละเมิด แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

        •  โทษทางปกครอง  ตั้งแต่ 1,000,000 บาท สูงสุดไม่เกิน 5,000,000 บาท ซึ่งโทษปรับสูงสุด จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความอ่อนไหว

Q : เมื่อ PDPA บังคับใช้แล้วจะมีโทษอย่างไร (ต่อ)

A : โทษทางอาญา หากใช้/เปิดเผยข้อมูลที่มีความอ่อนไหว โดยไม่ได้รับความยินยอม หรือไม่ปฏิบัติตามกฎหมายเรื่องการส่ง/โอนข้อมูลไปต่างประเทศ
(ยอมความได้)

          •  จนเป็นเหตุให้ได้รับความเสียหาย เสียชื่อ ถูกดูหมื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

          •  เพื่อแสวงหาประโยชน์ที่ไม่ควรได้โดยชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

นำข้อมูลส่วนบุคคลที่รู้จากการปฏิบัติหน้าที่ ไปเปิดเผยแก่คนอื่นมีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ