พรบ. คุ้มครองข้อมูลส่วนบุคคล พศ.๒๕๖๒ (PDPA)
จะมีผลบังคับใช้ 1 มิถุนายน 2564 องค์กรเตรียมตัวอย่างไรบ้าง?
หลักการและเหตุผลของ พรบ.
เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญ หรือสร้างความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าทางเทคโนโลยีสารสนเทศ ทำให้มีการ เก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล อันเป็นการล่วงละเมิด ได้โดยสะดวก ง่ายและรวดเร็ว ก่อให้เกิดความเสียหายต่อ บุคคล และ เศรษฐกิจโดยรวม จึงเป็นที่มาของการออกกฏหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา
นิยามและความหมาย
- ข้อมูลส่วนบุคคล Personal Data
คือข้อมูลที่ทำให้สามารถระบุตัวตนหรือตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือ ทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ บุคคล หรือ นิติบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวมข้อมูล ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)
คือ บุคคลที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุุคคล รวมถึง ลูกจ้าง หรือ ผู้รับจ้างของผู้ควบคุมข้อมูล หรือ ผู้ประมวลผล เพื่อทำการตรวจสอบดำเนินการให้เป็นไปตามกฏหมาย ประสานงานกับผู้เกี่ยวข้อง รักษาความลับข้อมูลที่ล่วงรู้จากการปฏิบัติหน้าที่ และ PDO จะได้รับความคุ้มครองตามกฏหมาย ผู้ควบคุม หรือ ผู้ประมาลผล จะบอกเลิกทำหน้าที่ หรือ เลิกจ้าง เพราะเหตุที่ PDO ทำตาม พรบ. นี้ ไม่ได้
ขอบเขตการบังคับใช้ (ตามมาตรา 4)
พรบ. นี้ ไม่บังคับใช้กับ
1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของบุคคลที่ทำการเก็บเก็บรวบรวมข้อมูลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัวของบุคคลนั้น เท่านั้น
2) การดำเนินการของหน่วยงานของรัฐ ที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ รวมถึงความมั่นคงทางการคลังของรัฐ หรือรักษาความมั่นคงปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือ รักษาความมั่นคงปลอดภัยทางไซเบอร์
3) บุคคล หรือ นิติบุคคล ซึ่ง ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลที่ทำการรวบรวมไว้เฉพาะเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรือ งานวรรณกรรม อันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือประโยชน์สาธารณะเท่านั้น
4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมทั้งคณะกรรมธิการที่แต่งตั้งโดยสภา ซึ่งเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
5) การพิจารณาพิพากษาคดีของศาล และการดำเนินการของเจ้าหน้าที่ในกระบวนพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินการตามกระบวนการยุติธรรมทางอาญา
6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตแห่งชาติและสมาชิกตามกฏหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
ขอบเขตการบังคับใช้ (ตามมาตรา 5)
กฏหมายนี้ใช้บังคับกับ
บุคคล หรือ นิติบุคคล ที่ไม่เข้าข้อยกเว้นตามมาตรา 4 ทั้งหมด ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยที่ผู้ควบคุม หรือ ผู้ประมวลผล ที่อยู่ในราชอาณาจักร แม้ว่า ข้อมูลนั้นจะเก็บรวบรวม ใช้ หรือ เปิดเผยนั้น ได้กระทำ ใน หรือ นอก ราชอาณาจักร ก็ตาม
กรณีผู้ควบคุม หรือ ผู้ประมวลผล อยู่นอกราชอาณาจักร ต้องเข้าข่ายการบังคับใช้ พรบ. นี้ ถ้าเป็น กิจกรรมดังต่อไปนี้
1. เสนอสินค้าหรือบริการ ให้แก่เจ้าของข้อมูลในราชอาณาจักร ไม่ว่าเจ้าของข้อมูลจะชำระค่าสินค้าหรือไม่ก็ตาม
2. การเฝ้าติดตามพฤติกรรมเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร
** SMS หรือ โทรศัพท์ เพื่อให้ชำระค่าหนี้ / ทำบัตรเครดิต / ให้ชำระค่าบริการ ถือเป็นการเฝ้าติดตาม!!!
ว่ากันว่า พรบ. ฉบับนี้ จะทำให้เกิดการเปลี่ยนแปลงการดำเนินชีวิตของประชาชนโดยทั่วไป ทั้งนี้ก็เพื่อคุ้มครองสิทธิ และผลประโยชน์ของบุคคลทั้งหลาย นั่นเอง....
ในแง่ขององค์กร หรือ บริษัทเอกชน จะต้องปรับเปลี่ยน policy และ procedure รวมถึง Organize ของบริษัท เมื่อถึงเวลาที่ พรบ. ฉบับนี้มีผลบังคับใช้ ซึ่งหากมีการละเมิด จะมีโทษปรับที่สูงมาก ตั้งแต่ 5 แสนบาทขึ้นไปจนถึง 5 ล้านบาท แม้กระทั่งการเขียนนโยบาย ที่ไม่ชัดเจน ก็อาจโดนปรับได้ทันที
บริษัท เก็บรวบรวมข้อมูลส่วนบุคคลไว้เยอะ ความเสี่ยงในการละเมิด ก็เยอะ....
เขียน Organize ผิด เสีย 5 แสน.....
ดังนั้น แต่ละองค์กร จึงจำเป็นจะต้องดำเนินการให้สอดคล้องกับ พรบ. โดยสรุปเบื้องต้นมีดังนี้
องค์กรต้องจัดให้มี........
1) แบบฟอร์มการให้ความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ข้อมูลอะไรบ้างที่จะเก็บ (เก็บเท่าที่จำเป็นต้องใช้)
- ต้องเขียน procedure ชัดเจน ถึง .....
- วัตถุประสงค์ในการนำไปใช้
- ระยะเวลาการเก็บ
- ต้องแจ้ง บุคคล หรือ หน่วยงานที่ข้อมูลนั้นอาจถูกเปิดเผยออกไป
- สิทธิของเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง
ตัวอย่างข้อมูลที่ควรพิจารณา.... เช่น ในวันรับสมัครงาน บริษัทขอข้อมูลผู้มาสมัครงานดังนี้
ชื่อบุคคลอื่น เช่น บิดา - มาดา ขอมาเพื่ออะไร?
ชื่อ คู่สมรส - บุตร-ธิดา ขอมาเพื่ออะไร?
ชื่อมีพี่น้องกี่คน ชื่ออะไรบ้าง ประกอบอาชีพอะไร ..... อยู่ที่ใหน เพื่อ?
ประวัติการศึกษา - บริษัท รับสมัครวุฒิปริญญา แต่ มีช่องให้กรอกว่าจบ มัธยม ประถม จากที่ใหน?
มีโรคประจำตัวใหม? มีคดีอาญาหรือไม่?
บุคคลอ้างอิง คือใคร?
-- บริษัทจะขอข้อมูลใดๆ จากผู้สมัคร มากน้อยแค่ใหน..ก็แล้วแต่...ซึ่งข้อมูลทุกอย่างที่ขอ ต้องมีวัตถุประสงค์เขียนไว้รองรับอย่างชัดเจน และแจ้งให้ผู้สมัครงานได้รับทราบถึงวัตถุประสงค์ในการจัดเก็บ รวมถึงผู้สมัครต้องให้ความยินยอมด้วย... (เก็บเยอะ ความผิดก็จะเยอะตามมา...)
2) แบบฟอร์มขอถอนความยินยอม การเก็บรวบรวม ใช้ ข้อมูล ส่วนบุคคล โดยแบบฟอร์มที่ให้ลูกจ้างได้ถอนความยินยอมได้โดยง่าย - ชัดเจน - ไม่มีเงื่อนไขต่อรอง
-- ตัวอย่างเช่น ในวันสมัครงาน หรือรับพนักงาน เข้าทำงาน บริษัทได้ขอข้อมูลส่วนบุคคลจากพนักงาน โดยขอแบบง่ายดาย และเช่นกัน ในวันที่พนักงาน จะขอข้อมูลส่วนตัวที่เคยให้ไว้ บริษัทจะต้องหาให้ทันที โดยไม่มีเงื่อนไขเช่นกัน จะมาอิดออด บอกว่า...ต้องรอให้หัวหน้าอนุมัติก่อน ประมาณ 1 อาทิตย์ จึงจะได้... แบบนี้ ถือว่าละเมิด...
3) แผนก HRจะต้องพิจารณาแบบฟอร์มต่างๆ ใหม่ ให้สอดคล้อง เช่น
ใบสมัครงาน
- ต้องมีข้อความระบุการยินยอมให้ข้อมูลส่วนบุคคล ขอข้อมูลเท่าที่จำเป็น โดยแยก พารากราฟ ให้ชัดเจน กรณีที่ผู้สมัคร ยังไม่ได้ถูกรับเลือกให้เป็นพนักงาน ก็ให้กรอกข้อมูลในพารากราฟหนึ่ง ต่อเมื่อรับเข้าทำงานแล้ว ให้แจ้งข้อมูลเพิ่มเติมอีกครั้ง
- สัญญาจ้างงานพนักงานคนใหม่ (ตั้งแต่ มิย. 2564) ต้องเขียนสัญญาให้สอดคล้อง
- พนักงานปัจจุบัน จะต้องแจ้งวัตถุประสงค์และ ประกาศให้พนักงานรับทราบถึงข้อมูลที่จัดเก็บอยู่
- อดีตพนักงาน จะต้องระบุชัดเจนถึงระยะเวลาจัดเก็บ และการทำลายข้อมูล จะต้องมีหลักฐานในการทำลาย หากเป็นระบบสารสนเทศ ต้องเก็บ log การลบข้อมูลไว้
- ข้อมูลส่วนบุคคลของผู้อื่น ที่เจ้าของข้อมูล ไม่ได้ให้ความยินยอมไว้แต่แรก จะมีวิธีจัดการอย่างไร? ต้องพิจารณาด้วย....
4) แผนกขาย (Sales) ต้องพิจารณาว่าจะเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นแค่ใหน
- ลูกค้าใหม่
- ลูกค้าเก่า
- อดีตลูกค้า
- ข้อมูลส่วนบุคคลของผู้อื่น ที่เจ้าของข้อมูล ไม่ได้ให้ความยินยอมไว้แต่แรก
5) Procurment - การจัดซื้อจัดจ้าง
- Supplier รายใหม่
- Supplier เก่า
- อดีตคู่ค้า (พร้อมบริวาร)
- ข้อมูลส่วนบุคคลของผู้อื่น ที่เจ้าของข้อมูล ไม่ได้ให้ความยินยอมไว้แต่แรก
การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฏหมาย
ข้อห้ามในการเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหว Sensitive Data ได้แก่
- ข้อมูลเกี่ยวเชื้อชาติ เผ่าพันธ์
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือ ปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ หรือข้อมูลทางการแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลอื่นๆ ที่มีผลกระทบต่อบุคคล ตามที่ พรบ. (คณะกรรมการ) ประกาศไว้
ทั้งนี้เพื่อ
1 เพื่อป้องกัน หรือ ระงับอันตรายต่อชีวิตและร่างกาย หรือ สุขภาพของบุคคล
2 การดำเนินกิจกรรม ต้องชอบด้วยกฏหมายที่มีการคุ้มครองอย่างเหมาะสม
3 การเปิดเผยต่อสาธาระต้องได้รับการยินยอมโดยชัดแจ้ง
4 เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้อง หรือเพื่อใช้ในการต่อสู้สิทธิในทางกฏหมาย
5 เป็นการจำเป็นในการปฏิบัติตามกฏหมาย เพื่อบรรลุวัตถุประสงค์เกี่ยวกับ...
- เวชศาสตร์ หรือ อาชีวเวชศาสตร์ การประเมิน วินิจฉัยโรคทางการแพทย์
- เพื่อประโยชน์ต่อสาธารณะด้านสาธารณะสุข
- คุ้มครองแรงงานและสวัสดิการสังคม
- การศึกษาวิจัยทาง วิทยาศาตร์ และ ประวัติศาสตร์
การเก็บข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคโนโลยีสารสนเทศ เพื่อนำมายืนยันตัวตนที่ไม่เหมือนกับบุคคลอื่น จะต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฏหมาย หรือจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่ พรบ. (คณะกรรมการ) ประกาศกำหนด ข้อมูลเหล่านั้น ได้แก่
- ลักษณะเด่นทางกายภาพ (การจำลองใบหน้า , ม่านตา, ลายนิ้วมือ)
- ข้อมูลพฤติกรรมส่วนบุคคล
*** เครื่องสแกนนิ้ว เข้างาน/เลิกงาน....ละเมิดหรือไม่?????
ยังมีข้อกำหนดอื่นๆ อีกมากมายใน พรบ. ฉบับนี้ ที่จะต้องทำความเข้าใจ...
สำหรับบทความนี้ เป็นเพียงส่วนหนึ่งของการเริ่มต้นเท่านั้น....
ขอบคุณที่เข้ามาอ่านครับ