Please enable JavaScript.
Coggle requires JavaScript to display documents.
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562, image - Coggle Diagram
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562
What
:tada:
PDPA
ลงประกาศในราชกิจจานุเบกษาเมื่อวันที่ ๒๗ พฤษภาคม ๒๕๖๒ :
:no_entry: ความรับผิดและบทลงโทษ
:fire:ความรับผิดทางแพ่ง
ผู้กระทำละเมิดข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม
ศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง
:fire:โทษอาญา
กำหนดบทลงโทษทางอาญาไว้สำหรับความผิดร้ายแรง เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มี ความละเอียดอ่อนโดยมิชอบ , ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบ
ระวางโทษสูงสุดจาคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคลกรรมการหรือผู้จัดการหรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น อาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้น
:fire:โทษทางปกครอง
โทษปรับทางปกครองสูงสุด ๕,๐๐๐,๐๐๐ บาท
กำหนดโทษปรับทางปกครองสาหรับการกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมาย กำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ , ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล , ไม่แต่งตั้ง DPO เป็นต้น
:check: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือย่อมาจาก Personal Data Protection Act บทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของ "บุคคลธรรมดา" ให้สิทธิ์ในการแก้ไข เข้าถึง หรือ แจ้งลบข้อมูลที่ให้ไว้กับองค์กร เป็นต้น และกำหนดบทบาทหน้าที่บทลงโทษหากองค์ไม่ปฏิบัติตาม
:warning: ข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับบุคคล ที่ทำให้ระบุตัวบุคคลได้ ที่งทางตรงและทางอ้อม
เลขบัตรประจำตัวประชาชน
ที่อยู่
เบอร์โทรศัพท์
อีเมล
ข้อมูลการเงิน
เชื้อชาติ
พฤติกรรมทางเพศ
ข้อมูลสุขภาพ
ศาสนาหรือปรัชญา
:lock: เจ้าของข้อมูลส่วนบุคคล มีสิทธิ
สิทธิได้รับการแจ้งให้ทราบ
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
สิทธิขอให้โอนข้อมูลส่วนบุคคล
สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
สิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล
สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
Where
ตัวอย่างที่ 1 : Cookies เรามักพบตามหน้าเว็บไซต์ต่างๆ นั้น ทางกฎหมายยังไม่ได้บังคับใช้เต็มรูปแบบ แต่การแจ้งผู้ใช้งานก็ช่วยให้ผู้เข้าใช้งานรู้สึกเป็นส่วนตัวมากขึ้น สำหรับ Cookies มีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet หรือ พฤติกรรมการเยี่ยมชม website ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน
ตัวอย่างที่ 2 : กล้องวงจรปิด(CCTV) มีหน้าที่รักษาความปลอดภัยด้วยการจับภาพเหตุการณ์ต่างๆ ซึ่งในส่วนของภาพของบุคคลที่ถูกถ่ายนั้น จึงจำเป็นต้องขออนุญาตบุคคลอื่นก่อนถ่าย สามารถขอความยินยอมได้โดยอัตโนมัติจากการติดประกาศหรือสติกเกอร์ที่แจ้งให้บุคคลที่จะเข้ามาในสถานที่ทราบว่ามีการบันทึกและติดตั้งกล้องวงจรปิด CCTV
:
ตัวอย่างที่ 3 : การถ่ายภาพบุคคล/การถ่ายวิดีโอบุคคล แล้วติดบุคคลอื่นที่อยู่ทางด้านหลังเป็น Background หาก มองเห็นรายละเอียดของใบหน้าไม่ชัดเจน (ไม่ได้โฟกัสที่ใบหน้าของคนอื่นในภาพ) ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลเหล่านั้น นั่นเป็นสาเหตุว่าทำไมหลาย ๆ ครั้งเราเห็นความพยายามที่จะเบลอใบหน้าของผู้ที่อยู่ในพื้นหลัง/องค์ประกอบของภาพหรือวิดีโอให้ไม่สามารถมองเห็นได้ชัดเจน และระบุตัวตนไม่ได้ เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคลของผู้อื่นนั่นเอง
Why
เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
เพื่อไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน โดยผู้ควบคุมข้อมูลจะต้องขอความยินยอมก่อนโดยอาจจะทำเป็นหนังสือ หรือผ่านระบบอิเล็กทรอนิกส์ก็ได้ และต้องมีข้อความที่เข้าใจง่าย และ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลด้วย เช่น บริษัทจะเก็บข้อมูลส่วนบุคคลของพนักงานทุกคนเพื่อจัดทำทะเบียนลูกจ้างของบริษัท ดังนั้น ในการทำการใดก็ตามที่เกี่ยวกับข้อมูลส่วนบุคคล มีความสำคัญเป็นอย่างยิ่งที่จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน และสามารถกระทำได้เฉพาะภายในขอบเขตที่ได้รับความยินยอมไว้เท่านั้น
Who
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
คือ บุคคลที่ข้อมูลนั้น ๆ สามารถระบุไปถึงได้
ที่อยู่
ชื่อ-นามสกุล
เลขบัตรประจำตัวประชาชน
ข้อมูลสุขภาพ
หมายเลขโทรศัพท์
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ บริษัทหรือองค์กรต่าง ๆ ที่
เป็นคนตัดสินใจ
ว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA
จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
ดำเนินการเพื่อป้องกันไม่ให้ผู้อื่น ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุ
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Protection Officer: DPO) เพื่อตรวจสอบการทำงานของหน่วยงานหรือบริษัทนั้น ๆ
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
เท่านั้น
เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Office)
คือ เจ้าหน้าที่รัฐมาตรวจสอบผู้ประกอบการว่าได้ทำเข้ากับ พ.ร.บ.
When
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม
ตัวอย่างเช่น
เมื่อถ่ายรูปบุคคลอื่น แล้วก่อให้เกิดความเสียหายกับผู้ถูกถ่าย
เมื่อนำข้อมูลส่วนบุคคลของคนอื่นไปแสวงหากำไรทางการค้า
หรือก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลส่วนบุคคลขอสิทธิเข้าถึงและรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
How
ขั้นตอนการทำตาม PDPA
ขั้นตอนที่ 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย
การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party
นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
การเก็บข้อมูลพนักงาน
สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน
ขั้นตอนที่ 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
ขั้นตอนที่ 3 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Retention)
มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
ขั้นตอนที่ 4 การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
ขั้นตอนที่ 5 การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทยเพื่อการขายสินค้าหรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี เข้ามาดูแลและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย
