PDPA คือ อะไร ?
PDPA (พ.ร.บ. คุ้มครองส่วนบุคคล) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้น ได้ไม่ว่าทางตรงหรือทางอ้อมจะเป็นรูปแบบใดก็ตาม เช่น รูปกระดาษหรืออิเล็กทรอนิกส์ ตัวหนังสือรูปภาพหรือเสียง โดยครอบคลุมตั้งแต่ ชื่อ นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล์ นอกจากนี้กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI หรือ Device ID ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม
ใครบ้างที่ต้องใช้ PDPA
เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและหรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ข้อมูลส่วนบบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่มีชีวิต ที่สามารถระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
สิ่งที่ผู้ประกอบการต้องเตรียมเพื่อทำ PDPA
สิ่งที่องค์กรต้องเตรียมพร้อมกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคล คือ ทำ Privacy policy และ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ เช่น
- มีนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies)
- มีการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)
- มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment) ดังนั้นการบริหารจัดการข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับทุกภาคส่วนในองค์กรและจำเป็นต้องดำเนินการอย่างต่อเนื่อง การบริหารจัดการข้อมูลส่วนบุคคลให้มีประสิทธิภาพและประสิทธิผลที่ดีนั้นขึ้นอยู่กับดังต่อไปนี้
- การกำกับดูแลของกรรมการและผู้บริหารและการมีส่วนร่วมของบุคคลในองค์กร
- การออกแบบกระบวนการที่มีการสอดแทรกมาตรการการคุ้มครองข้อมูลส่วนบุคคล
- การนำเทคโนโลยีเข้ามาช่วยในการติดตามตรวจสอบการปฏิบัติงาน การฝ่าฝืนนโยบาย และมาตรการที่กำหนดไว้ รวมถึงการวิเคราะห์ ตรวจสอบ ค้นหาและตอบสนองต่อภัยคุกคามจากภายนอก
ทำไมทุกองค์กร”ต้อง”ให้ความสำคัญ?
เมื่อ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำลังจะมีผลบังคับใช้ในเดือนมิถุนายน 2565 นี้ คุณได้เตรียมพร้อมที่จะปฏิบัติตามกฎข้อบังคับนี้แล้วหรือยัง?
แน่นอนว่าหากเป็นข้อบังคับใช้แล้วเนี่ย องค์กรของคุณจึงจำเป็นที่จะต้องให้ความสำคัญเป็นแน่ เพราะความปลอดภัยไม่ใช่พื้นฐานที่องค์กรควรมีอีกต่อไป แต่เป็นพื้นฐานที่องค์กร “ต้องมี” ต่างหาก เพราะ ณ ปัจจุบัน หลาย ๆ องค์กรหันมาดำเนินกิจการแบบออนไลน์และทำธุรกรรมต่าง ๆ ผ่านโลกอินเทอร์เน็ต จึงทำให้ข้อมูลถูกเก็บไว้บนอินเทอร์เน็ตเป็นหลัก เป็นเหตุให้หลาย ๆ หน่วยงานต่างจับตาอยู่ไม่น้อยทีเดียว ซึ่งหน่วยงานที่ว่านี้คือบุคคลผู้ไม่ประสงค์ดีนั่นเอง ที่ต้องการเข้ามาปลอมแปลงดึงข้อมูลความลับภายในบริษัทไปใช้เพื่อผลประโยชน์ส่วนตัวหรือกระทำการใด ๆ โดยที่เจ้าของข้อมูลไม่รู้ตัวหรือไม่ได้ยินยอมในการกระทำดังกล่าว
ซึ่งจากที่ได้กล่าวไปด้านบนจะเห็นได้ว่าองค์กรทุกองค์กรต้องมีระบบรักษาความปลอดภัย (Data Loss Prevention) ภายในบริษัทที่จะสามารถป้องกันข้อมูลรั่วไหลนี้ได้ ซึ่ง DLP นี้จะคอยรักษาความปลอดภัยของข้อมูล คอยดูความเคลื่อนไหว สังเกตพฤติกรรมที่ผิดปกติ หากเกิดเหตุอันใดน่าสงสัย ระบบก็จะทำการคุ้มกันข้อมูลโดยทันที โดยที่ท่านสามารถซื้อระบบรักษาความปลอดภัยโดยเฉพาะก็ได้ หรือซื้อซอฟต์แวร์ที่มีฟังก์ชันในการเก็บข้อมูลได้อย่างปลอดภัยก็ได้
ในทางกลับกันหากองค์กรของท่านไม่มีความเข้าใจในกฎหมายนี้ ไม่ปฏิบัติตาม ไม่มีการเก็บข้อมูลพนักงานเป็นความลับ เผยแพร่ข้อมูลนี้ออกไปโดยที่พนักงานเจ้าของข้อมูลนั้นไม่ได้ยินยอม ขัดต่อกฎหมายข้อบังคับ PDPA ท่านจะต้องได้รับโทษทางกฎหมาย ต้องชดเชยค่าเสียค่าเป็นจำนวนมากซึ่งจะแบ่งออกเป็น 3 ประเภท ดังนี้
PDPA มีบทลงโทษยังไง
- โทษทางแพ่ง – การทำให้ผู้อื่นได้รับความเสียหายทั้งด้านสิทธิ ชื่อเสียง และร่างกาย
ท่านต้องชดเชยค่าสินไหมทดแทนให้เจ้าของข้อมูลและต้องได้รับโทษทางกฎหมายโดยท่านต้องชดเชยเป็นจำนวน 2 เท่าของค่าเสียหายจริง - โทษทางอาญา – การสร้างความเสียหายต่อส่วนรวม
บทลงโทษทางอาญาที่ท่านจะได้รับคือ การจำคุก 1 ปีหรือปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ ผู้ใดก็ตามที่มีส่วนเกี่ยวข้องกับการเปิดเผยข้อมูลหรือมีการโอนย้ายข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูลอันขัดต่อ พ.ร.บ. นี้จะต้องได้รับโทษ - โทษทางปกครอง – การฝ่าฝืนข้อกฎหมาย
สำหรับโทษทางปกครองนี้ท่านจะต้องโดนปรับตั้งแต่ 1 – 5 ล้าน หรือตามค่าเสียหายจริง ซึ่งนับได้ว่าเป็นจำนวนที่มหาศาลเลยทีเดียว
ซึ่งโทษทั้ง 3 ประเภทนี้จะเป็นคนละส่วนกัน ท่านมีสิทธิ์ได้รับโทษทั้งหมดนี้ในเวลาเดียวกันได้ ด้วยเหตุนี้ท่านจึงต้องให้ความสำคัญต่อกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างมาก เพื่อหลีกเลี่ยงการฝ่าฝืนข้อกฎหมายดังกล่าวและเพื่อที่ท่านจะไม่ได้รับโทษใด ๆ นั่นเอง
