Thai (TH) 
English (UK) 
อัปเดตความรู้ความเข้าใจ เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เรื่องสำคัญที่หน่วยงานเอกชนซึ่งเก็บข้อมูลส่วนบุคคลไว้ รวมถึงเจ้าของข้อมูลทุกคน...ต้องทราบ!
ความสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
เพื่อมุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของเอกชน โดยจากเดิมที่หากเกิดการละเมิดสิทธิเรื่องข้อมูล ผู้เสียหายต้องอาศัยการเรียกค่าสินไหมทดแทนการละเมิดตามกฎหมายแพ่ง หรือการฟ้องคดีฐานหมิ่นประมาทตามกฎหมายอาญาซึ่งไม่ครอบคลุมในทุกเรื่อง และมีลักษณะเป็นเพียงมาตรการเยียวยา แต่ไม่ได้ป้องปรามความเสียหาย ซึ่งไม่เหมาะสมกับสภาพการติดต่อหรือส่งต่อข้อมูลในยุคปัจจุบันที่ทำได้รวดเร็ว และเพื่อเป็นการยกระดับความคุ้มครองให้ทันสมัยทัดเทียมกับต่างประเทศ ทั้งยังเพื่อให้มีมาตรการคุ้มครองจากการแสวงหาผลประโยชน์โดยมิชอบจากข้อมูลส่วนบุคคล
คำสำคัญที่ควรทราบ
ข้อมูลส่วนบุคคล
o คำนิยาม
ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลใด ๆ ที่ระบุไปถึง “เจ้าของข้อมูล” ได้ ไม่ว่าในทางตรงหรือทางอ้อม โดยไม่รวมถึงข้อมูลผู้ตาย เฉพาะแต่ข้อมูลบุคคลธรรมดา
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การเตรียมตัวเพื่อรองรับการปฏิบัติงานให้มีความสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
การเตรียมตัวแบ่งออกเป็น 2 ส่วน ดังนี้
ส่วนที่ 1 การเตรียมตัวเพื่อให้ได้มาซึ่งข้อมูลที่ชอบด้วยกฎหมาย ได้แก่
1) การขอความยินยอมจากผู้เป็นเจ้าของข้อมูล ก่อน/ขณะที่จัดเก็บ/ใช้/เปิดเผยข้อมูล โดยแยกส่วนของข้อความในการขอความยินยอมออกมาให้ผู้อ่านเห็นได้ชัดเจน เข้าใจง่าย และเจ้าของข้อมูลมีอิสระหรือมีสิทธิในการเลือกว่าจะให้ความยินยอมหรือไม่ (ห้ามบังคับ) และแจ้งวัตถุประสงค์ในการจัดเก็บ/เปิดเผย/ใช้ให้ชัดเจน
2) แจ้งข้อมูลต่าง ๆ เพิ่มเติมให้ผู้เป็นเจ้าของข้อมูลทราบ เช่น กรอบระยะเวลาการเก็บ แจ้งถึงบุคคลที่ข้อมูลจะถูกนำไปเปิดเผย แจ้งสิทธิประการต่าง ๆ ของเจ้าของข้อมูล แจ้งผลกระทบของการไม่ให้ข้อมูล เป็นต้น
3) หน้าที่ในการจัดเตรียมเครื่องมือ หรือฟังก์ชั่นต่าง ๆ ขององค์กร เพื่อให้ทำงานรองรับกับข้อกำหนดของกฎหมาย เช่น ระบบการสำเนาข้อมูล ระบบการระงับการใช้ข้อมูลเมื่อเจ้าของข้อมูลได้ร้องขอ ระบบการอัปเดตและแก้ไขข้อมูลให้ถูกต้อง ระบบการถอนความยินยอมเพื่อรองรับกรณีที่เจ้าของข้อมูลต้องการถอนความยินยอมให้ใช้หรือเปิดเผยข้อมูล เป็นต้น
ส่วนที่ 2 การบริหารดูแลเมื่อข้อมูลมาอยู่ในความครอบครองขององค์กรแล้ว1) องค์กรจะต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย แก้ไข เข้าถึง หรือการใช้ข้อมูลโดยมิชอบ
2) องค์กรต้องจัดระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดเวลาในการเก็บ หรือเมื่อถอนความยินยอม
3) องค์กรต้องจัดเตรียมเกี่ยวกับการแจ้งเหตุการณ์ละเมมิดข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน 72 ชม. นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้
4) กรณีที่เป็นองค์กรต่างประเทศที่เสนอขายสินค้าหรือบริการ หรือเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลในไทย จะต้องตั้งแทนของตนเป็นหนังสือ และตัวแทนฯต้องอยู่ในประเทศไทย เพื่อให้ตัวแทนกระทำการแทนตน
5) องค์กรจะต้องจัดทำบันทึกรายการ อย่างน้อยดังนี้
• ข้อมูลส่วนบุคคลที่เก็บรวบรวม
• วัตถุประสงค์ของการเก็บรวบรวมข้อมูลแต่ละประเภท
• ข้อมูลเกี่ยวกับผู้ควบคุม
• ระยะเวลาการเก็บรักษาข้อมูล
• สิทธิและวิธีเข้าถึงข้อมูล รวมถึงเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล และเงื่อนไขการเข้าถึงข้อมูลเหล่านั้น
• การใช้หรือเปิดเผยที่ได้รับยกเว้นไม่ต้องขอความยินยอม ตามมาตรา 27 วรรค 3
• การปฏิเสธคำขอหรือการคัดค้าน
• คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
การนำ พ.ร.บ.ฯ ไปปรับใช้ในการปฏิบัติงาน
ผู้ประกอบธุรกิจควรที่จะพึงระวังกิจกรรมทางธุรกิจเพื่อทำให้การใช้/เปิดเผยข้อมูลนั้นสอดคล้องกับวัตถุประสงค์ที่แจ้งไว้แก่เจ้าของข้อมูลในขณะที่จัดเก็บ และอยู่ในกำหนดกรอบเวลาที่ได้รับรับความยินยอม รวมถึง ระมัดระวังในการส่งต่อข้อมูลไปยังประเทศอื่น โดยเฉพาะประเทศปลายทางที่มีมาตรการคุ้มครองข้อมูลที่ไม่เพียงพอ โดยกฎหมายกำหนดให้ต้องแจ้งแก่เจ้าของข้อมูลให้ทราบถึงมาตรการที่ต่ำกว่าของประเทศปลายทางด้วย
การจัดลำดับความสำคัญอะไรเป็น สิ่งที่ต้องจัดทำเป็นลำดับแรก
สิ่งที่ต้องจัดทำเป็นลำดับแรกมี 2 ส่วนได้แก่
1) จัดเตรียมกระบวน/ขั้นตอน/หรือระบบที่เกี่ยวข้องกับการจัดเก็บข้อมูลให้เป็นไปตามที่กฎหมายกำหนด เพื่อให้ได้มาซึ่งข้อมูลที่ชอบด้วยกฎหมาย เพื่อให้องค์กรสามารถนำไปใช้ได้งานตามเป้าประสงค์ที่วางไว้ จากนั้นก็ให้ดำเนินการในส่วนที่ต่อไปคือ
2) จัดเตรียมความพร้อมระบบบริการจัดการภายในองค์กร เพื่อให้สามารถรองรับการใช้งาน/การเปิดเผย/ และดูแลข้อมูลที่อยู่ในครอบครองให้มีประสิทธิภาพ เพื่อป้องกันการปฏิบัติงานที่ขัดต่อกฎหมาย อันอาจนำไปสู่การถูกร้องเรียนจากผู้เป็นเจ้าของข้อมูล และบทลงโทษตามกฎหมาย
เรื่องโดย : นางสาวลภัสรดา เลิศภานุโรจ รองประธานบริหาร
บจ.ตรวจสอบภายในธรรมนิติ ที่มาสรุปถามตอบงาน IIAT Conference 2019
++++++++++++++++++++++++