หลังจากที่กฎหมาย PDPA บังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 เป็นต้นมา หลายธุรกิจที่ได้ดำเนินการปรับปรุงกระบวนการให้สอดคล้องกับการปฏิบัติตาม PDPA ก็ประสบพบเจอปัญหาจากการปฏิบัติตาม PDPA กันมากมาย แม้แต่ที่ปรึกษา หรือทีมวางระบบเองก็ยังหนีไม่พ้นปัญหาต่าง ๆ ที่ต้องนำมาพูดคุย และหาคำตอบร่วมกัน เพื่อให้การปฏิบัติตาม PDPA นั้นสามารถทำได้จริง และไม่กระทบต่อการดำเนินงานของบริษัทมากจนเกินไป
วันนี้เราจึงขอนำคำถาม และข้อสงสัยที่เกิดขึ้นจริงหลังการปฏิบัติตาม PDPA มาให้ทุกท่านได้ดูกัน ซึ่งบางคำถามอาจจะตรงกับปัญหาที่ท่านกำลังเจอ แล้วคิดไม่ออก ว่าจะทำอย่างไรดี วันนี้เรามีคำตอบให้ครับ
Q: ป้ายกล้องวงจรปิด (CCTV Notice) ต้องติดไว้ตามจุดที่มีการติดตั้งกล้องวงจรปิดทุกตัว หรือไม่
A: เป็นสิ่งที่ไม่แนะนำครับ เนื่องจากการติดป้ายแจ้งเตือนการใช้งานกล้องวงจรปิดนั้น มีวัตถุประสงค์สำหรับแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ และวิธีการประมวลผลของการที่ใช้งานระบบกล้องวงจรปิดในการบันทึกภาพ / วีดีโอ เพื่อรักษาความปลอดภัย ชีวิต และทรัพย์สินในบริเวณพื้นที่ของผู้ควบคุมข้อมูลส่วนบุคคล โดยสามารถติดไว้บริเวณที่สามารถสังเกตเห็นได้อย่างง่ายก็พอครับ เช่น ประตูทางเข้า หน้าลิฟท์ จุดเชื่อมต่อระหว่างอาคาร ป้อมรักษาความปลอดภัย หรือจุดตรวจสอบการเข้า - ออกพื้นที่ต่าง ๆ ดังนั้น จึงไม่จำเป็นต้องไปติดไว้ตามกล้องวงจรปิดทุกตัวครับ
Q: เว็บไซต์ที่ไม่มีการใช้งานคุกกี้ (Cookies) ต้องทำแถบแสดงการตั้งค่า หรือยอมรับการจัดเก็บคุกกี้ (Cookie Consent Banner) บนเว็บไซต์ หรือไม่
A: หากเว็บไซต์ไม่มีการใช้งานคุกกี้ (Cookies) ใดๆ เน้นย้ำว่าต้องไม่มีจริงๆ นะครับ ก็ไม่จำเป็นต้องทำแถบแสดงการตั้งค่า หรือยอมรับการจัดเก็บคุกกี้ (Cookie Consent Banner) ครับ
Q: ยังสามารถถ่ายภาพ และถ่ายวีดีโอติดบุคคลอื่น ได้หรือไม่
A: สามารถทำได้ตามปกติครับ หากการถ่ายภาพ หรือวีดีโอที่ถ่ายนั้น ถ่ายเพื่อวัตถุประสงค์ส่วนตัว โดยไม่ได้เจตนาที่จะนำภาพบุคคลอื่นไปใช้ในทางการค้าหรือไม่ได้ก่อให้เกิดความเสียหาย (ไม่ใช่ถ่ายแล้วนำไปฟ้องหรือส่งหาเจ้านายเน้ออ แบบนั้นคือผิด!)
Q: การโพสต์รูปภาพ หรือวีดีโอที่ติดบุคคนอื่น ทำได้หรือไม่
A: ยังคงเน้นย้ำเหมือนเดิมกับข้อที่แล้วครับว่า หากการนำภาพถ่าย หรือวีดีโอที่ถ่ายนั้น ไปโพสต์เพื่อวัตถุประสงค์ส่วนตัว โดยไม่ได้มีเจตนาที่จะนำภาพบุคคลอื่นไปใช้ในทางการค้า หรือไม่ได้ก่อให้เกิดความเสียหาย ก็ย่อมทำได้ครับ
Q: นโยบายคุ้มครองข้อมูลส่วนบุคคล กับหนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล แตกต่างกันอย่างไร เขียนรวมกันได้หรือไม่
A: แน่นอนครับว่าต้องแตกต่างกันอยู่แล้ว ซึ่งก่อนอื่นต้องทำความเข้าใจก่อนว่าเอกสารทั้ง 2 ฉบับแตกต่างกันอย่างไร
นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
ใช้สำหรับการกำหนดทิศทางในการปฏิบัติงานสำหรับเจ้าหน้าที่ พนักงาน บุคลากรภายในบริษัทในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีลักษณะของเนื้อหาไปในทางการชี้แนะ หรือชี้ให้ปฏิบัติ ยกตัวอย่าง เช่น ขอบเขตของการปกป้องข้อมูลส่วนบุคคลของบริษัท บทบาทหน้าที่ผู้ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัท แนวทางในการปฏิบัติในกระบวนการต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บทลงโทษ และการดำเนินการ เป็นต้น ซึ่งบังคับใช้กับผู้ปฏิบัติงานภายในบริษัทให้ปฏิบัติตามนั้นเอง
หนังสือแจ้งความเป็นส่วนตัว (Privacy Notice)
ใช้สำหรับการแจ้งให้กับเจ้าของข้อมูลส่วนบุคคลได้รับทราบตามข้อกำหนด มาตรา 23 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบว่า เก็บข้อมูลส่วนบุคคลของใคร และเก็บอะไรบ้าง ข้อมูลส่วนบุคคลที่จัดเก็บจะมีการนำไปใช้ไปทำอะไรบ้าง ข้อมูลส่วนบุคคลที่จัดเก็บไป เก็บไว้นานเท่าไหร่ มีการเปิดเผยข้อมูลส่วนบุคคลกับใครบ้าง มีมาตรการ หรือวิธีการป้องกันข้อมูลส่วนบุคคลมีอะไรบ้าง และวิธีการติดต่อขอใช้สิทธิ หรือช่องสอบถามข้อมูลเพิ่มเติม
ทั้งนี้ จะเห็นได้ว่าหากนำมาเขียนรวมกันเป็น 1 ฉบับนั้น สามารถทำได้นะ แต่ต้องแยกให้ชัดเจนว่าจะบอกกล่าวให้ใครปฏิบัติตาม หรือบอกกล่าวให้ใครรับทราบ มิเช่นนั้นจะทำให้เกิดความสับสนของผู้อ่านได้ “เอ๊ะ ฉันจะต้องปฏิบัติด้วยหรือเปล่า หรือแค่แจ้งให้ทราบเฉยๆ กันแน่” หากเป็นไปได้แนะนำให้เขียนแยกจะดีกว่าครับ
Q: เอกสารที่มีข้อมูลส่วนบุคคลเป็นองค์ประกอบ สามารถนำมาใช้ซ้ำ (Re-Use) ได้หรือไม่
A: ไม่แนะนำครับ เนื่องจากอาจจะมีข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) ปะปนอยู่ เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน สำเนาประวัติส่วนตัว เอกสารทางบัญชี เอกสารภาษี เอกสารสัญญาต่าง ๆ ล้วนแต่มีข้อมูลส่วนบุคคลเป็นองค์ประกอบไม่มากก็น้อย ซึ่งหากไม่แน่ใจว่าเอกสารอะไรบ้างที่นำมาใช้ซ้ำได้ หรือไม่ได้ แนะนำให้ทำลายทิ้งเลยจะดีที่สุดครับ
Q: สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ร้องขอมา สามารถปฏิเสธไม่ทำให้ ได้หรือไม่
A: ได้ครับ หากคำร้องนั้นเข้าลักษณะดังต่อไปนี้
- คำขอดังกล่าวไม่สมเหตุสมผล อาทิ กรณีที่ผู้ร้องขอไม่มีสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล หรือไม่มีข้อมูลส่วน บุคคลนั้นอยู่ที่บริษัท
- คำขอฟุ่มเฟือย อาทิ เป็นคำร้องขอที่มีลักษณะเดียวกัน หรือ มีเนื้อหาเดียวกันซ้ำๆ กันโดยไม่มีเหตุอันสมควร
- การประมวลผลข้อมูลจำเป็นต่อการปฏิบัติตามสัญญาหรือการเข้าทำสัญญา อาทิ ข้อมูลที่อยู่ระหว่างการให้บริการ ชื่อคู่สัญญา หรือข้อมูลอื่นใดที่มีความจำเป็นต่อการให้บริการ
- การประมวลผลข้อมูลจำเป็นต่อการปฏิบัติตามกฎหมาย หรือคำสั่งศาล
- การประมวลผลข้อมูลส่วนบุคคลจำเป็นสำหรับผลประโยชน์ที่ชอบด้วยกฎหมาย หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้มอบให้แก่บริษัท
- คำร้องขออาจส่งผลเสียและเป็นอันตรายต่อสิทธิและเสรีภาพของผู้อื่น อาทิ การเปิดเผยข้อมูลนั้นเป็นการเปิดเผย ข้อมูลส่วนบุคคลของบุคคลที่สามด้วย หรือ เป็นการเปิดเผยข้อมูลทางทรัพย์สินทางปัญญา
- การประมวลผลข้อมูลจำเป็นต่อการก่อตั้ง ใช้ หรือป้องกันสิทธิทางกฎหมาย เป็นไปเพื่อการก่อตั้งสิทธิเรียกร้องตาม กฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อ ปฏิบัติตามกฎหมาย
- เจ้าของข้อมูลส่วนบุคคลไม่สามารถแสดงให้เห็นอย่างชัดเจนได้ว่าผู้ยื่นคำร้องเป็นเจ้าของข้อมูลหรือมีอำนาจในการยื่นคำร้องขอดังกล่าว
และอย่าลืมว่าหากบริษัทมีการปฏิเสธคำร้องขอด้วยเหตุผลข้างต้น บริษัทต้องดำเนินการบันทึกรายการเกี่ยวกับการปฏิเสธดังกล่าวลง ในบันทึกการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP) ด้วยนะครับ (มาตรา 39 (7) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ)
Q: ขอความยินยอม สามารถขอเผื่อวัตถุประสงค์ที่คาดว่าจะมีหรือเกิดขึ้นในอนาคตไว้ก่อน ได้หรือไม่
A: ไม่ได้ครับ เนื่องจากการขอความยินยอมต้องระบุวัตถุประสงค์ในการให้ความยินยอมอย่างเฉพาะเจาะจง (specific) ไม่ใช่ระบุวัตถุประสงค์อย่างกว้าง ๆ เป็นการทั่วไป ดังนั้น หากมีวัตถุประสงค์ใหม่ หรือเรื่องที่ต้องทำการขอความยินยอมใหม่จากวัตถุประสงค์เดิมที่เคยขอ ก็ค่อยมาขอเพิ่มเติมในภายหลังจากที่มีจะดีกว่าครับ (ไม่ขอล่วงหน้า หรือขอในสิ่งที่ยังไม่เกิดขึ้นเด้อ)
Q: ฝ่าย HR เป็นเจ้าภาพในการรับผิดชอบการกำกับดูแล และปฏิบัติตาม PDPA จริงหรือไม่
A: ต้องบอกว่าผู้รับผิดชอบหลักจะเป็นใครก็ได้ที่ได้รับมอบหมาย ซึ่งอาจจะต้องมีความรู้ ความเข้าใจในเรื่องกฎหมาย PDPA และการปฏิบัติตามกฎหมาย PDPA เสียก่อน ซึ่งอาจจะเป็นฝ่ายบุคคล ฝ่ายจัดซื้อ ฝ่ายบัญชี ฝ่ายไอที ฝ่ายกฎหมาย หรือฝ่ายอื่น ๆ ก็ได้
แต่ถ้าจะให้แนะนำจริงๆ ควรมีการจัดตั้งกลุ่มคณะทำงานฯ ขึ้นมาจะดีที่สุดครับ และให้ตัวแทนของแต่ละฝ่ายเข้ามาเป็นสมาชิกของกลุ่ม เพราะการปฏิบัติตาม PDPA ไม่ใช่แค่เรื่องที่ฝ่ายใดฝ่ายหนึ่งจะต้องปฏิบัติเท่านั้น แต่เป็นทั้งองค์กรที่ต้องปฏิบัติ และหากไม่มีกลุ่มคณะทำงานฯ จะทำให้การกำหนดมาตรการ หรือแนวปฏิบัติ หรือทิศทางในการดำเนินการเกี่ยวกับ PDPA ไม่ประสบผลสำเร็จได้ ลองคิดตามดูนะครับ เช่น ระหว่างให้ฝ่ายบุคคลมาบอกว่ากิจกรรมที่เกี่ยวข้องกับ PDPA ของฝ่ายจัดซื้อ หรือฝ่ายบัญชีว่ามีกิจกรรมอะไรบ้าง กับให้ฝ่ายจัดซื้อ และฝ่ายบัญชีบอกกิจกรรมที่เกี่ยวข้องกับ PDPA ภายในฝ่ายตัวเอง อะไรจะครบถ้วน และถูกต้องกว่ากัน ก็ต้องเป็นอย่างหลังจริงไหมครับ
ดังนั้น การปฏิบัติตาม PDPA ไม่ใช่หน้าที่หรือภารกิจของใครคนใดคนหนึ่งภายในองค์กร แต่เป็นภารกิจของทุกส่วนงานภายในองค์กรที่จะต้องช่วยกันผลักดันให้เกิดขึ้นนั่นเองครับ
Q: กรณีบริษัทเพิ่งเริ่มดำเนินการเกี่ยวกับ PDPA ในส่วนของการขอความยินยอมกับพนักงานที่เข้ามาทำงานหลังกฎหมาย PDPA บังคับใช้แล้ว จำเป็นต้องขอความยินยอมย้อนหลัง หรือไม่
A: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บทเฉพาะกาล มาตรา 95 กำหนดให้บริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนพระราชบัญญัตินี้ประกาศใช้ (วันที่ 1 มิถุนายน 2565) สามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมฯ
หากตีความบทเฉพาะกาล คือ พนักงานที่บริษัททำการเก็บรวบรวมข้อมูลฯ ก่อนวันที่ 1 มิถุนายน 2565 หากบริษัทยังทำตามวัตถุประสงค์เดิมกับพนักงานก็ไม่ต้องขอความยินยอมย้อนหลังกับพนักงานกลุ่มที่เข้าก่อนวันที่ 1 มิถุนายน 2565
ดังนั้น คำตอบของคำถามนี้ก็คือ บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมย้อนหลังกับพนักงานที่เข้าหลัง 1 มิถุนายน 2565 เป็นต้นมาครับ เนื่องจากกฎหมายมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565
นี่เป็นเพียงบางส่วนของคำถามที่เกิดขึ้นจากการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยังมีอีกหลาย ๆ คำถาม หลายๆ กรณีศึกษาที่เรารวบรวมจากการเข้าไปปฏิบัติงานร่วมกับหลาย ๆ ธุรกิจ ไว้มีโอกาสจะมาแชร์ให้ทุกท่านได้อ่านกันอีกนะครับ
สำหรับท่านที่อ่านมาถึงตรงนี้แล้ว กำลังสนใจ และมองหาบริการที่เกี่ยวข้องกับการตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit) การตรวจสอบการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA Audit) หรือบริการอื่นๆ ที่เกี่ยวข้องกับด้านการตรวจสอบภายใน สามารถติดต่อเพื่อสอบถามรายละเอียดได้ที่ dir.co.th
ถ้าชอบก็อย่าลืมกด Like และกดติดตาม Facebook Fan Page “บริษัท ตรวจสอบภายในธรรมนิติ จำกัด” ของเราด้วยนะครับ ท่านจะได้ไม่พลาดเนื้อหาดี ๆ ในครั้งถัดไป สำหรับวันนี้ก็ขอกล่าวคำว่า “ขอบคุณ และสวัสดีครับ”
เรียบเรียงโดย: ฝ่ายตรวจสอบสารสนเทศ
แหล่งข้อมูลอ้างอิง: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562