สรุป PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่องค์กรควรรู้ ! | ACIS Professional Center Co., Ltd.

สรุป PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่องค์กรควรรู้ !

PDPA พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 คืออะไร ?

PDPA (Personal Data Protection Act B.E. 2019) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 คือ กฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

PDPA มีความสำคัญอย่างไรกับบริษัทในยุคดิจิทัลนี้

ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่หลายปีที่ผ่านมาพบว่าหลายองค์กร ได้มีการนำข้อมูลของลูกค้าหรือบริการ ไม่ใช้อย่างไม่ถูกต้อง และมีการละเมิดความเป็นส่วนตัว จึงทำให้เกิด กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ขึ้นเพื่อกำหนดให้ใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

ดังนั้นต่อไปนี้การจัดเก็บข้อมูลส่วนบุคคลจากลูกค้า ไม่ว่าจะทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลแล้ว จำเป็นต้องทำให้ถูกต้อง เพราะถ้าหากทำไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้นั่นเอง

หากไม่ปฏิบัติตามมีบทลงโทษอย่างไรบ้าง

PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่จะบังคับใช้ในประเทศไทยนี้ จะมีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย โดยมีรายละเอียดดังนี้

  • โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท
  • โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
  • โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

ดังนั้นองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควรเริ่มทำตั้งแต่เนิ่น ๆ ไว้ เพื่อป้องกันปัญหาที่จะอาจตามมาทางด้านกฎหมาย ซึ่งจะมีผลเสียหายต่อองค์กร หากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหล หรือเผลอนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว บุคคลหรือองค์กรที่ไม่ได้ดำเนินการตาม PDPA ไว้ ย่อมเสียหายร้ายแรงกว่าผู้ที่ดำเนินการไว้แล้ว และผู้รับโทษตามกฎหมายก็อาจเป็นเจ้าของกิจการที่ต้องรับโทษแทนพนักงานเองก็เป็นได้ จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการทำ PDPA ก่อนถึงวันบังคับใช้

คาดว่าทุกท่านน่าจะเข้าใจบริบทของตัวกฏหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลกันบ้างแล้ว คราวนี้เรามาทำความเข้าใจเกี่ยวกับข้อมูลส่วนบุคคลกันบ้าง ว่าคืออะไร องค์กรต้องเตรียมพร้อมอย่างไรบ้าง และใครบ้างที่ต้องปฏิบัติตาม

ข้อมูลส่วนบุคคล (Personal Data)  คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว เช่น รูปกระดาษหรืออิเล็กทรอนิกส์ ตัวหนังสือรูปภาพหรือเสียง โดยครอบคลุมตั้งแต่ ชื่อ นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล์ นอกจากนี้กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI หรือ Device ID ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ นามสกุลผู้ใช้เลยก็ตาม

ข้อมูลส่วนบุคคลมีอะไรบ้าง อ่านเพิ่มเติมได้ที่นี่

 เราสามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ในกฎหมาย PDPA ได้ 3 ประเภท ได้แก่

  • 1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
  • 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • 3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

สิ่งที่องค์กรต้องเตรียมพร้อมกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคล คือ ทำ Privacy policy และ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ เช่น

  • มีนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies)
  • มีการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)
  • มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)

ดังนั้นการบริหารจัดการข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับทุกภาคส่วนในองค์กรและจำเป็นต้องดำเนินการอย่างต่อเนื่อง การบริหารจัดการข้อมูลส่วนบุคคลให้มีประสิทธิภาพและประสิทธิผลที่ดีนั้นขึ้นอยู่กับดังต่อไปนี้

  • การกำกับดูแลของกรรมการและผู้บริหารและการมีส่วนร่วมของบุคคลในองค์กร
  • การออกแบบกระบวนการที่มีการสอดแทรกมาตรการการคุ้มครองข้อมูลส่วนบุคคล
  • การนำเทคโนโลยีเข้ามาช่วยในการติดตามตรวจสอบการปฏิบัติงาน การฝ่าฝืนนโยบาย และมาตรการที่กำหนดไว้ รวมถึงการวิเคราะห์ ตรวจสอบ ค้นหาและตอบสนองต่อภัยคุกคามจากภายนอก

บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ เราเป็นผู้เชี่ยวชาญ ที่พร้อมให้คำปรึกษาด้านมาตรฐานทาง Cybersecurity, Data Security and Privacy รวมไปถึงกฎหมาย หรือระเบียบที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งกฏหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีผู้เชี่ยวชาญคอยบริการให้คำปรึกษาอย่างครอบคลุมแบบ One-Stop-Service ทั้งในเรื่องของ

  • PDPA/GDPR consulting service
  • DPO outsourcing service
  • PDPA audit service
  • PDPA implementation service
  • PDPA awareness training service

ติดต่อฝ่ายขายโทร :

หรือสอบถามข้อมูลเพิ่มเติมเกี่ยวกับบริษัท:

  • โทร : 02 2534736
  • Line:@acis (มี@ข้างหน้า)

Fields marked with an * are required











    Messenger
    Messenger