กฎหมาย PDPA คือ มาตรการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป ซึ่งมีความเกี่ยวข้องกับผู้ประกอบการ SMEs ในประเด็นการจัดการข้อมูลลูกค้าอย่างแน่นอน
PDPA คืออะไร?
PDPA (Personal Data Protection Act) เป็นชื่อเรียกของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีสาระสำคัญเกี่ยวกับการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล และและการรักษาข้อมูลของลูกค้าให้เป็นไปตามมาตรฐานตามที่กฎหมายกำหนด เช่น เหตุและความจำเป็นที่สามารถเก็บข้อมูลของลูกค้าได้ การเก็บข้อมูลแบบใดต้องขอความยินยอมของลูกค้าก่อน
ทั้งนี้ กฎหมายนี้อาจเทียบเคียงได้กับ GDPR (General Data Protection Regulation) ของทางยุโรป
กฎหมาย PDPA เริ่มใช้เมื่อไหร่?
มีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
หมายเหตุ: ตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายประกาศใช้ตั้งแต่ปี 2562 ก็จริง แต่มีการเว้นช่วงเวลาให้ผู้ประกอบการได้เตรียมตัว รวมถึงมีการเลื่อนเวลาการบังคับใช้ในช่วงที่ผ่านมาด้วย จึงทำให้เพิ่งบังคับใช้จริงเมื่อวันที่ 1 มิถุนายน 2565
หลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
หลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ ผู้ควบคุมข้อมูลส่วนบุคคล (เช่น ผู้ประกอบการ) จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคล (เช่น ลูกค้า) ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่จะมีกฎหมายกำหนดให้ทำได้
การคุ้มครองข้อมูลส่วนบุคคลจำกัดเฉพาะธุรกิจออนไลน์หรือไม่?
การคุ้มครองข้อมูลส่วนบุคคลปรับใช้กับทั้ง ออนไลน์ และ ออฟไลน์
ข้อมูลส่วนบุคคล คืออะไร?
ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?
โดยทั่วไป เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลได้ รวมถึงขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ด้วย
นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ รวมถึงขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลท่ีไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ และขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ด้วยเช่นกัน
ผู้ควบคุมข้อมูลส่วนบุคคลในกิจการขนาดเล็กมีหน้าที่อะไรบ้าง?
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้จัดทำคู่มือ PDPA สำหรับผู้ประกอบการ SMEs โดยเฉพาะ โดยสามารถสรุปหน้าที่ของกิจการ SMEs ในฐานะผู้ควบคุมข้อมูลไว้ดังนี้
1. แจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และฐานอํานาจในการเก็บรวบรวม ข้อมูลส่วนบุคคล
- การปฏิบัติตามกฎหมาย สัญญา หรือการแจ้งรายละเอียดประโยชน์โดยชอบด้วยกฎหมาย
- ประเภทของข้อมูลส่วนบุคคลและระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
- ประเภทของผู้รับข้อมูล ในกรณีที่มีการส่งข้อมูลส่วนบุคคลให้กับบุคคลท่ีสาม
- แหล่งที่มาของข้อมูลส่วนบุคคล (กรณีเก็บรวบรวมข้อมูลมาจากแหล่งอื่นที่ไม่ใช่เจ้าของ ข้อมูลโดยตรง)
- ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
การแจ้งรายละเอียดของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลข้างต้นอาจอยู่ในรูปแบบ ของ “ประกาศการคุ้มครองข้อมูลส่วนบุคคล” หรือ “privacy notice” ซึ่งกฎหมายไม่ได้กําหนดมีรูปแบบ ตายตัว อาจทําได้หลายวิธี ทั้งการทําเป็นหนังสือลายลักษณ์อักษร ทางวาจา หรือสื่ออิเล็กทรอนิกส์ เช่น ข้อความ SMS อีเมล เป็นต้น โดยอาจแจ้งข้อมูลเบื้องต้นแบบสั้นและจัดทําเป็นลิงก์หรือ QR Code เชื่อมโยงไปยังเว็บไซต์เพื่อแจ้งรายละเอียดที่ครบถ้วนตามที่กฎหมายกําหนดอีกชั้นหนึ่ง (Layered Approach)
ในกรณีของการจ้างพนักงานอาจเพิ่มเรื่องประกาศการคุ้มครองข้อมูลส่วนบุคคลอาจจะระบุไว้ใน ส่วนใดส่วนหนึ่งของสัญญาจ้างงานก็ได้ เช่น ในส่วนท้ายของสัญญาจ้างงาน เป็นต้น
2. การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลที่กําหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปดเผยข้อมูลส่วนบุคคล โดยปราศจากอํานาจหรือโดยมิชอบ
ทั้งนี้ ข้อกําหนดตามประกาศดังกล่าวถือเป็นมาตรฐานขั้นต่ำที่ให้ไว้เป็นแนวทางสําหรับผู้ประกอบการนําไปปฏิบัติ ได้แก่
- การเสริมสร้างความตระหนักรู้ เกี่ยวกับความสําคัญของข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness)
- มีการควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่สําคัญ (access control) โดยอาจจะต้องมีการพิสูจน์ และยืนยันตัวตน (identity proofing and authentication) และมีมาตรการสําหรับอนุญาตหรือการกําหนดสิทธิในการเข้าถึงและใช้งาน (authorization) ที่เหมาะสมเพื่อให้สอดคล้องกับหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- การกําหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เป็นต้น
3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เช่น ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมไว้ภายในองค์กรรั่วไหล ผู้ประกอบการซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุให้แก่สํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล (สํานักงานฯ) ทราบโดยไม่ชักช้า
อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้กําหนด ระดับของความเสี่ยงไว้ 3 ระดับ ได้แก่
- “ไม่มีความเสี่ยง” กรณีนี้อาจจะไม่ต้องแจ้งต่อสํานักงานฯ แต่ผู้ประกอบการอาจจะต้องทําการบันทึกรายละเอียดของการเกิดเหตุไว้
- “มีความเสี่ยงน้อย” ผู้ประกอบการจะต้องแจ้งให้สํานักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไม่ชักช้าภายใน 72 ชั่วโมง
- “มีความเสี่ยงสูง” ซึ่งกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ประกอบการจะต้องแจ้งให้สํานักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไม่ชักช้าภายใน 72 ชั่วโมง รวมถึงแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมแนวทางการป้องกันความเสียหายที่จะเกิดขึ้นด้วย
กฎหมายกําหนดหลักการสําคัญในการแจ้งเหตุละเมิดว่า ควรเป็นการใช้ภาษาที่ชัดเจนและมีการอธิบายถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลที่เข้าใจง่าย ในกรณีที่ต้องแจ้งให้กับสํานักงานฯ และเจ้าของ ข้อมูลส่วนบุคคลทราบ จะต้องมีการบรรยายลักษณะของการเหตุละเมิดข้อมูลส่วนบุคคล เช่น ประเภทของ ข้อมูลที่รั่วไหล จํานวนข้อมูลที่รั่วไหล แจ้งผลกระทบที่จะเกิดขึ้นและอาจเกิดขึ้นในอนาคต รวมถึงมาตรการ หรือแนวทางท่ีจะบรรเทาผลกระทบที่อาจเกิดข้ึน เป็นต้น
4. การจัดทําบันทึกรายการ
ผู้ประกอบการซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลอาจต้องมีการจัดทําบันทึกรายการ (Record of Processing Activity: RoPA) เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานสามารถตรวจสอบได้ ซึ่งวิธีการจัดทําบันทึกนั้นจะเป็นเอกสารกระดาษหรือใช้ระบบอิเล็กทรอนิกส์ก็ได้ โดยต้องมีรายละเอียดดังต่อไปนี้
- ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
- ข้อมูลส่วนบุคคลท่ีมีการเก็บรวบรวม
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล
ส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น - การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
- การปฏิเสธคําขอหรือการคัดค้าน
- คําอธิบายเก่ียวกับมาตรการรักษาความมั่นคงปลอดภัย
อย่างไรก็ตาม กฎหมายไม่ได้กําหนดรูปแบบของบันทึกรายการไว้ตายตัว เป็นเพียงการกําหนดสาระสําคัญของรายการที่ต้องบันทึกไว้เท่านั้น นอกจากนี้ ผู้ประกอบการซึ่งอยู่ในขอบเขตของการเป็นกิจการขนาดเล็ก จะได้รับการยกเว้นตามกฎหมายไม่ต้องจัดทําบันทึกรายการดังกล่าวก็ได้