เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562) <<ดาวน์โหลด>> 

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

พ.ร.บ. ฉบับนี้ มีทั้งหมด 96 มาตรา โดยมาตราที่เกี่ยวข้องกับการบังคับใช้จะอยู่ในหมวด 2, 3, 5, 6, 7 และหมวดเฉพาะกาล ดังนี้

หมวด 2 มาตรา 19-29 ว่าด้วยเรื่อง การคุ้มครองข้อมูลส่วนบุคคล

หมวด 3 มาตรา 30-42 ว่าด้วยเรื่อง สิทธิของเจ้าของข้อมูลส่วนบุคคล

หมวด 5 มาตรา 71-76 ว่าด้วยเรื่อง การแต่งตั้งคณะการผู้เชี่ยวชาญเพื่อพิจารณาตรวจสอบเรื่องร้องเรียนและไกล่เกลี่ย การแต่งตั้งและอำนาจหน้าที่ของพนักงานเจ้าหน้าที่

หมวด 6 มาตรา 77-78 ว่าด้วยเรื่อง ความรับผิดทางแพ่ง

หมวด 7 มาตรา 79-90 ว่าด้วยเรื่อง บทลงโทษ

หมวดเฉพาะกาล มาตรา 95 ว่าด้วยเรื่อง การเก็บรวบรวมและใช้ข้อมูลเดิม

โดยมาตราต่างๆ ใน PDPA นั้น ได้ใช้ General Data Protection Regulation (GDPR) ของสหภาพยุโรปเป็นต้นแบบ

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562) <<ดาวน์โหลด>> 

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

7 หลักการสากลที่นำมาใช้ในการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลประกอบด้วย

1. ชอบด้วยกฎหมาย เป็นธรรม โปร่งใส (Lawfulness, Fairness, Transparency)

2. การจำกัดวัตถุประสงค์ (Purpose Limitation)

3. เท่าที่จำเป็น เกี่ยวข้อง ตามการจำกัดวัตถุประสงค์ (Data Minimization)

4. ความแม่นยำ (Accuracy)

5. จำกัดระยะเวลากรจัดเก็บข้อมูล (Storage Limitation)

6. ความสมบูรณ์ และเก็บรักษาเป็นความลับ (Integrity and Confidentiality)

7. ภาระความรับผิดชอบ (Accountability)

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

ผู้เขียนได้ทำสรุปคำสำคัญ (PDPA Keywords) เพื่อช่วยสร้างความคุ้นเคยที่จะนำไปสู่ความเข้าใจ PDPA ได้ง่ายขึ้น โดยหัวใจสำคัญของการที่จะปฏิบัติตาม PDPA (PDPA Compliance) ได้นั้น องค์กรต้องทำการวิเคราะห์กิจกรรมทางธุรกิจ (Business Activity) ว่ามีกิจกรรมใดที่ใช้ข้อมูลส่วนบุคคลบ้าง, ใช้ข้อมูลประเภทใด, วงจรชีวิตของข้อมูลเป็นอย่างไร ฯลฯ หรือที่รู้จักกันในชื่อเรียกว่า การทำ Data Inventory Mapping (DIM) เพื่อสังเคราะห์ออกมาเป็นบันทึกกิจกรรมการประมวลผล (RoPA)

***********

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

องค์ประกอบและตัวละครสำคัญใน PDPA ประกอบด้วย

P ข้อมูลส่วนบุคคล (Personal Data)

DS เจ้าของข้อมูลส่วนบุคคล (Data Subject)

DC ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

DP ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

SA สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล–สคส. (Supervisory Authority)

ผู้เขียนจะเล่ารายละเอียดบทบาทหน้าที่ความสำคัญของ 1P4D1S ว่ามีอะไรบ้าง ติดตามได้ในตอนต่อไปค่ะ

***********

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

ข้อมูลส่วนบุคคล (Personal Data) ที่ได้รับการคุ้มครองตามความหมายของ PDPA มาตรา 6 ต้องมีลักษณะดังต่อไปนี้

• เป็นข้อมูลเกี่ยวกับบุคคลธรรมดา

• เป็นข้อมูลของบุคคลที่ยังมีชีวิตอยู่

• สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม

ดังนั้น ข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล และไม่ได้รับความคุ้มครองตาม PDPA จึงได้แก่ข้อมูลที่มีลักษณะดังต่อไปนี้

X    ข้อมูลทางธุรกิจ เช่น ที่อยู่สำนักงาน, เบอร์ติดต่อสำนักงาน, อีเมลกลาง info@domainname เป็นต้น

X    ข้อมูลความลับทางธุรกิจ เช่น สิทธิบัตรยา, ราคาค่าเช่าพื้นที่, สัญญาธุรกิจ เป็นต้น

X     ข้อมูลทางการค้า เช่น เครื่องหมายการค้า, สิทธิบัตร เป็นต้น

X     ข้อมูลนิรนาม (Anonymous Data) เช่น บัญชีผู้ใช้งานบนโซเชียลมีเดียที่ไม่สามารถระบุตัวตนเจ้าของบัญชีได้ เป็นต้น

X     ข้อมูลผู้ถึงแก่กรรม

ด้วยบทบัญญัติการบังคับใช้ของ PDPA ข้อมูลจึงจำแนกเป็น 2 ประเภท คือ

ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ได้แก่ ชื่อ–นามสกุล, เลขบัตรประชาชน, เพศ, วันเดือนปีเกิด, ที่อยู่, เบอร์โทรศัพท์, ID Line, อีเมล์, IP Address, ทะเบียนรถ, ภาพถ่าย, ข้อมูลการศึกษา, ข้อมูลการทำงาน, Log file, หรือข้อมูลอื่น ๆ ที่เชื่อมโยงตัวบุคคลได้

ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ที่กำหนดความคุ้มครองไว้ในมาตรา 26 ได้แก่ เชื้อชาติ, เผ่าพันธุ์, ความเชื่อในลัทธิ, ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ความคิดเห็นทางการเมือง, ข้อมูลสุขภาพ, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ*, หรือข้อมูลอื่นๆ ที่ให้ผลกระทบทำนองเดียวกัน

*ข้อมูลชีวภาพ หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีทีเกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือ ข้อมูลจำลองลายนิ้วมือ 

***********

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือใคร

·  บุคคลธรรมดาที่ยังมีชีวิตอยู่ ที่ข้อมูลชี้ไปที่ตัวเขา

·  เจ้าของข้อมูลส่วนบุคคล หากอยู่ในองค์กร จะมีชื่อเรียกที่แตกต่างกันไปตามบทบาทหน้าที่ ได้แก่ ลูกค้า คู่ค้า พนักงาน กรรมการ ผู้ถือหุ้น

เจ้าของข้อมูลส่วนบุคคล (Data Subject) x 2 เป็นผลมาจากมาตรา 20 ของ PDPA ว่าด้วยเรื่อง การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้หย่อนความสามารถ ทำให้ความหมายของเจ้าของข้อมูลส่วนบุคคลเพิ่มเติมมาในมุมมองของผู้เขียนด้วยองค์ประกอบ ดังนี้

1. บุคคลที่ทำนิติกรรมได้ด้วยตนเอง การเก็บรวบรวม ใช้ เปิดเผยข้อมูลจะกระทำกับเจ้าของข้อมูลส่วนบุคคลคนเดียวเท่านั้น

2. บุคคลที่ต้องทำนิติกรรมร่วม หรือทำโดยผู้มีอำนาจปกครอง ทำให้ต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล x 2 โดยอัตโนมัติเมื่อต้องมีการความยินยอม ได้แก่

· ผู้เยาว์ อายุมากกว่า 10 ปี แต่ไม่เกิน 20 ปี (สูตรขอความยินยอม 1+1)

· ผู้เยาว์ อายุน้อยกว่า 10 ปี (สูตรขอความยินยอม 0+1)

· ผู้เสมือนไร้ความสามารถ (สูตรขอความยินยอม 0+1)

· ผู้ไร้ความสามารถ (สูตรขอความยินยอม 0+1)

*อ่านคำอธิบายสูตรในบทความ “สูตรจำง่าย! เวลาต้องขอความยินยอมจากผู้หย่อนความสามารถ (ผู้เยาว์, ผู้เสมือนไร้ความสามารถ, ผู้ไร้ความสามารถ) ตาม PDPA” ที่เวปไซต์ https://www.craftskills.org/digital-transformation/dt-pr-news/pdpa-united-in-action

เจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลส่วนบุคคลที่ให้ไปแล้ว เจ้าของกรรมสิทธิ์ในข้อมูลนั้นจะเป็นของผู้ที่เราให้ไป ที่เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หากต้องการกระทำการใดๆ กับข้อมูลที่ให้ไปนั้น จะต้องดำเนินการผ่านกระบวนการ “การขอใช้สิทธิตาม PDPA”

เจ้าของข้อมูลส่วนบุคคล (Data Subject) มาพร้อมกับ “สิทธิตาม PDPA” ที่อาจทำให้ผู้ควบคุมข้อมูลส่วนบุคคลได้รับโทษทางแพ่ง/อาญา/ปกครอง โดย 9 สิทธิของเจ้าของข้อมูลส่วนบุคคล มีดังนี้

· สิทธิได้รับการแจ้งให้ทราบ Right to be informed (ม.23, 25)

· สิทธิในการเพิกถอนความยินยอม Right to withdraw consent (ม.19)

· สิทธิขอเข้าถึงข้อมูล Right of access (ม.30)

· สิทธิในการขอให้โอนย้ายข้อมูล Right to data portability (ม.31)

· สิทธิคัดค้านการประมวลผลข้อมูล Right to object (ม.32)

· สิทธิขอให้ลบหรือทำลาย Right to erasure (ม.33)

· สิทธิขอให้ระงับใช้ข้อมูล Right to restriction of processing (ม.34)

· สิทธิในการขอให้แก้ไขข้อมูล Right to rectification (ม.36)

· สิทธิในการร้องเรียน Right to lodge a complaint (ม.73)

 >> ติดตามรายละเอียดทั้ง 9 สิทธิของเจ้าของข้อมูลได้ในตอนต่อไป

***********

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ บุคคล หรือ คณะทำงานที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เพื่อทำหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลตามที่ PDPA กำหนด

DC และ DP ต้องแต่งตั้ง DPO หากเข้าเงื่อนไขมาตรา 41 ในกรณีดังต่อไปนี้

1. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด

2. การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล (DC) จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

3. กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เป็นการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวตาม ม. 26

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน DC หรือ DP ดังกล่าวอาจจัดให้มี DPO ร่วมกันได้ (ให้นำมาใช้บังคับแก่ DC หรือ DP ซึ่งเป็นหน่วยงานของรัฐซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม)

ผู้ควบคุมข้อมูลส่วนบุคคล (DC) มีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับ DPO สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงาน (สคส.) ทราบ

! การไม่แต่งตั้ง DPO อาจมีความรับผิดทางปกครองปรับไม่เกิน 1 ล้านบาท (ม.82, 85)

คุณสมบัติของ DPO ตาม ม.41

• เป็นพนักงาน (Insource) หรือผู้รับจ้าง (Outsourced DPO/DPO as a Service)

• บุคคลเดียว หรือ คณะทำงาน

• ต้องไม่มีประโยชน์ทับซ้อน (Conflict of Interest) ตัวอย่างกรณีศึกษา คณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาวาเรีย ประเทศเยอรมนี ได้ลงโทษปรับองค์กรแห่งหนึ่งเนื่องจากการแต่งตั้ง DPO ซึ่งดำรงตำแหน่งผู้จัดการด้านไอทีด้วย โดยคณะกรรมการฯ ถือว่าการดำรงตำแหน่งทั้งสองนี้ก่อให้เกิดความขัดแย้งทางผลประโยชน์และบุคคลนั้นไม่สามารถปฏิบัติหน้าที่ตามความรับผิดชอบของเขาในฐานะ DPO ได้หากยังมีหน้าที่รับผิดชอบในการดำเนินงานสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรนั้นๆ [1]

• คณะกรรมการฯ สคส. อาจประกาศกำหนดคุณสมบัติของ DPO ได้โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

หน้าที่ของ DPO ต่อองค์กร ตาม ม.41-42

1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP)

=> การแจ้งและให้คำแนะนำแก่ผู้ควบคุมหรือผู้ประมวลผลและพนักงานเกี่ยวกับภาระผูกพันที่ต้องปฏิบัติตาม PDPA และกฎหมายคุ้มครองข้อมูลอื่นๆ ให้คำแนะนำการประเมินกิจกรรมขององค์กรให้เหมาะสมและปลอดภัย การประเมินความเสี่ยงและการดำเนินมาตรการป้องกันเหตุข้อมูลรั่วไหล เหตุละเมิดข้อมูลส่วนบุคคล และมาตรการอื่นๆ ที่จำเป็นตามกฎหมาย เก็บรักษาบันทึกกิจกรรมการประมวลผล (RoPA) 

2. ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคล (DC)

=> ตรวจสอบการปฏิบัติตาม PDPA และกฎหมายคุ้มครองข้อมูลอื่นๆ รวมถึงจัดการกิจกรรมการปกป้องข้อมูลภายใน ฝึกอบรมให้ความรู้ PDPA และดำเนินการตรวจสอบภายใน

3. ประสานงานและให้ความร่วมมือกับหน่วยงานกำกับดูแล (สคส.)

=> ทำงานและร่วมมือกับหน่วยงานกำกับดูแลที่กำหนดโดยผู้ควบคุมหรือผู้ประมวลผล และทำหน้าที่เป็นจุดติดต่อสำหรับหน่วยงานกำกับดูแลในประเด็นที่เกี่ยวข้องกับการประมวลผลและการละเมิดข้อมูลส่วนบุคคล

4. ประสานงานกับเจ้าของข้อมูลส่วนบุคคล (DS)

=> จัดการข้อร้องเรียนหรือคำขอการใช้สิทธิ การสอบถามจากเจ้าของข้อมูลในประเด็นที่เกี่ยวข้องกับการประมวลผลและแนวทางปฏิบัติในการปกป้องข้อมูล การรักษาสมดุลของผลประโยชน์ที่ชอบด้วยกฎหมายและสิทธิ/ผลประโยชน์ของเจ้าของข้อมูล

5.  รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

หน้าที่ขององค์กรต่อ DPO ตาม ม.42

1. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) ต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

2. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) จะให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตาม PDPA ไม่ได้

3. DPO ต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคล (DC) โดยตรงได้

4. DPO อาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตาม PDPA (Conflict of Interests)

! DC ไม่ปฏิบัติตามข้อ 1 และ 2 อาจมีความรับผิดทางปกครอง ปรับไม่เกิน 1 ล้านบาท (ม.82, 85)

ความรับผิดชอบตาม PDPA

DPO  ถือเป็นตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (DC) จึงไม่ต้องรับผิดตามบทลงโทษของผู้ควบคุมข้อมูลส่วนบุคคล (DC) ที่กำหนดไว้ใน PDPA 

DPO QuickStart guide: รายการตรวจสอบประเด็นสำคัญ 8 ประการ (DPO checklist) เป็นเครื่องมือที่มีประโยชน์สำหรับ DPO เพื่อให้มั่นใจว่าองค์กรปฏิบัติตามข้อกำหนดของ PDPA รายการตรวจสอบควรจัดทำขึ้นตามกิจกรรมการประมวลผลขององค์กรและหลักการของ PDPA นอกจากนี้การใช้รายการตรวจสอบจะช่วยให้ DPO ประเมินกิจกรรมการประมวลผลและระบุจุดอ่อนที่เป็นไปได้ในกระบวนการ PDPA ขององค์กร [2]

1) องค์กรปฏิบัติตามข้อกำหนดของ PDPA หรือไม่? 

=> DPO ควรตรวจสอบว่าองค์กรใช้การดำเนินการที่จำเป็นเพื่อให้สอดคล้องกับข้อกำหนดของ PDPA หรือไม่ โดยเฉพาะอย่างยิ่ง DPO ควรตรวจสอบว่าองค์กรมีการประมวลผลข้อมูลส่วนบุคคลถูกต้องตามวัตถุประสงค์และมีฐานการประมวลผลทางกฎหมายรองรับหรือไม่

2) องค์กรประมวลผลข้อมูลส่วนบุคคลตามกฎหมายที่ถูกต้องหรือไม่? 

=> DPO ควรตรวจสอบกิจกรรมการประมวลผลขององค์กรเป็นประจำเพื่อให้แน่ใจว่าฐานการประมวลผลที่ใช้อยู่เป็นฐานทางกฎหมายที่ยังคงใช้อยู่ในปัจจุบัน ไม่มีการเปลี่ยนแปลงหรือถูกยกเลิกไปแล้ว

3) องค์กรมีนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือไม่? 

=> DPO ควรตรวจสอบให้แน่ใจว่าองค์กรได้พัฒนานโยบายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมการประมวลผล นอกจากนี้ DPO ควรตรวจสอบให้แน่ใจว่ามาตรการรักษาความปลอดภัยที่จำเป็นสำหรับการปกป้องข้อมูลส่วนบุคคลนั้นรวมอยู่ในนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร

4) องค์กรมีการดำเนินการและปฏิบัติตามมาตรการรักษาความปลอดภัยหรือไม่? 

=> DPO ควรทดสอบมาตรการรักษาความปลอดภัยทั้งหมดที่องค์กรนำมาใช้เพื่อให้ทำงานได้อย่างถูกต้อง

5) เว็บไซต์ขององค์กรมีข้อมูลที่จำเป็นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลหรือไม่? 

=> DPO ควรตรวจสอบให้แน่ใจว่ามีการอัปโหลดคำชี้แจ้ง/ประกาศการคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบาย "คุกกี้" บนเว็บไซต์ขององค์กรเพื่อแจ้งให้ผู้เยี่ยมชมทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

6) องค์กรจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)” หรือไม่? 

=> ในกรณีที่องค์กรมีหน้าที่ตามกฎหมายที่ต้องจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)” DPO ควรตรวจสอบให้แน่ใจว่าได้จัดเตรียมและจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)”” ที่มีการบันทึกข้อมูลขั้นต่ำตาม PDPA เป็นอย่างน้อย และข้อมูลถูกต้องสมบูรณ์เป็นปัจจุบัน

7) องค์กรให้ข้อมูลที่จำเป็นแก่เจ้าของข้อมูลหรือไม่? 

=> DPO ควรตรวจสอบให้แน่ใจว่าองค์กรได้ให้ข้อมูลที่จำเป็นตาม PDPA แก่เจ้าของข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยองค์กร รวมถึงสิทธิของเจ้าของข้อมวลส่วนบุคคล

8) องค์กรถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามหรือองค์กรระหว่างประเทศหรือไม่? 

=> ในกรณีที่องค์กรถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามหรือองค์กรระหว่างประเทศ DPO ควรตรวจสอบว่าข้อมูลที่เกี่ยวข้องรวมอยู่ในนโยบาย PDPA ขององค์กรใน "บันทึกกิจกรรมการประมวลผล (RoPA)” และเจ้าของข้อมูลได้รับการแจ้งตามนั้น DPO ควรตรวจสอบว่าการโอนนั้นถูกต้องตามกฎหมายตามข้อกำหนดของ PDPA หรือไม่

อ้างอิง: 

[1] https://www.bangkokbiznews.com/lifestyle/942368

[2] https://icpte.com/the-8-essential-points-of-a-dpo-checklist

***********

เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

ทุกครั้งที่สั่งซื้อสินค้า เราสามารถช่วยแจ้งพ่อค้าแม่ค้าออนไลน์ให้ช่วยคุ้มครองข้อมูลส่วนบุคคลของเราตาม PDPA ได้ โดยไม่ต้องรอให้พ่อค้าแม่ค้าเป็นฝ่ายหาความรู้ PDPA แต่เพียงฝ่ายเดียว

ตัวเราซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล สามารถช่วยเหลือพ่อค้าแม่ค้าออนไลน์โดยการเป็นฝ่ายแจ้งว่า เรายินยอมหรือไม่ยินยอมให้เขาทำอะไรกับข้อมูลเราได้บ้าง และต้องทำอย่างไรเมื่อใช้ข้อมูลจบแล้ว

ตัวอย่างข้อความที่ใช้แจ้งพ่อค้าแม่ค้าออนไลน์ทุกครั้งที่สั่งซื้อสินค้าที่ผู้เขียนใช้อยู่ในปัจจุบัน

*********

ถึง พ่อค้าแม่ค้าออนไลน์ที่น่ารัก

เรายินยอมให้ใช้ข้อมูลส่วนตัวที่ท่านขอไปนี้เพื่อบริการจัดส่ง/รับคืนสินค้า

ให้เราครั้งนี้ครั้งเดียวเท่านั้น เมื่อให้บริการจบแล้ว ท่านต้องลบ/ทำลายข้อมูลของเราทิ้งทันที

เราไม่ยินยอมให้นำข้อมูลไปเผยแพร่สู่สาธารณะทุกกรณี เช่น ใช้โฆษณาบนสื่อโซเชียล, ใช้อ้างอิงเป็นรีวิว เป็นต้น รวมถึง

1. ห้ามส่งต่อข้อมูลให้บุคคลอื่นที่ไม่เกี่ยวข้องกับการให้บริการในครั้งนี้

2. ท่านต้องแจ้งให้พนักงานและคู่ค้า เช่น ตัวแทนจำหน่ายของท่าน

ทราบถึงการไม่ยินยอมนี้ด้วย

ขอบคุณที่ปฎิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งกำหนดให้ท่านต้องคุ้มครองข้อมูลส่วนบุคคลที่ท่านเก็บรวบรวม ใช้ และเปิดเผย รวมถึงปฎิบัติตามการขอใช้สิทธินี้ของเราซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

จาก ลูกค้าที่น่ารัก

*ศึกษาเพิ่มเติมเกี่ยวกับ PDPA ได้ที่เพจ PDPC Thailand*

*********

PDPA เป็นกฎหมายใหม่ที่บัญญัติมาเพื่อคุณภาพชีวิตที่ดีของทุกคน แม้กฎหมายจะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลฝ่ายเดียวก็ตาม แต่ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

พฤติกรรมของคนส่วนใหญ่จะทิ้งซองเอกสาร, กล่องพัสดุไปรษณีย์ที่มีข้อมูลส่วนบุคคล (ชื่อสกุล ที่อยู่ เบอร์โทรศัพท์) ที่อยู่ในรูปแบบตัวอักษรที่อ่านได้ด้วยตาเปล่า และรูปแบบ ฺBarcode/QR code ที่อ่านโดยเครื่องอ่านอัตโนมัติ

ข้อมูลส่วนบุคคลเหล่านี้ หากตกไปอยู่ในมือมิจฉาชีพนำไปใช้โดยมิชอบ เช่น ใช้ในการหลอกลวงต่อเจ้าของข้อมูลเอง หรือแอบอ้างใช้หลอกลวงผู้อื่น ก็อาจจะทำให้เกิดความเสียหายต่อทรัพย์สิน และ/หรือต่อจิตใจของเจ้าของข้อมูลเอง หรือบุคคลที่เกี่ยวข้องได้

การป้องกันภัยจากมิจฉาชีพ เริ่มต้นได้ที่ตัวเราเองง่ายๆ ด้วยการขีดฆ่า ตัดทิ้ง ทำลายข้อมูลส่วนบุคคลของเราทั้งข้อความและ Barcode/QR code บนซองเอกสาร กล่องพัสดุไปรษณีย์ก่อนทิ้งขยะ เป็นสิ่งที่เราควรทำให้เป็นปกตินิสัย

PDPA เป็นกฎหมายใหม่ที่บัญญัติมาเพื่อคุณภาพชีวิตที่ดีของทุกคน แม้กฎหมายจะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลก็ตาม แต่กฎหมายคุ้มครองได้เฉพาะในส่วนของความผิดที่พิสูจน์ได้ว่าเกิดจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ดังนั้น การป้องกันภัยที่อาจเกิดจากพฤติกรรมในการดำเนินชีวิตประจำวันของเราเองจึงเป็นเรื่องจำเป็นที่เราควรตระหนักเช่นกัน

ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

การทำธุรกรรมแทบทุกอย่าง อาทิ สัญญาซื้อขาย, สัญญากู้ยืม, สมัครเรียน, สมัครทำงาน, ขอมิเตอร์น้ำ-ไฟ ฯลฯ จำเป็นต้องใช้สำเนาเอกสารระบุตัวตนที่มีข้อมูลส่วนบุคคล เช่น สำเนาบัตรประชาชน, สำเนาทะเบียนบ้าน ฯลฯ ประกอบการทำสัญญาเพื่อให้มีผลบังคับทางกฎหมายที่เกี่ยวข้อง

เราควรระบุวัตถุประสงค์ และระบุชื่อบุคคล/บริษัท/หน่วยงานรัฐบนเอกสารที่ให้ไปทุกครั้ง เพราะชื่อนี้ คือ ชื่อผู้ควบคุมข้อมูลส่วนบุคคลของเราตาม PDPA จะช่วยให้เรารู้ว่า ใครคือผู้ควบคุมข้อมูลส่วนบุคคลที่เราอาจต้องขอใช้สิทธิตาม PDPA หากเกิดการละเมิดข้อมูลส่วนบุคคลของเรา เช่น เอกสารถูกใช้เป็นถุงกล้วยแขก เป็นเหตุให้เราได้รับความเดือดร้อนจากมิจฉาชีพ เป็นต้น

แม้กฎหมาย PDPA จะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องรับผิดชอบต่อการละเมิดข้อมูลส่วนบุคคลของเราก็ตาม แต่กระบวนการเรียกร้องสิทธิต้องใช้ระยะเวลา ดังนั้น การปรับพฤติกรรมเล็ก ๆ น้อย ๆ ในการดำเนินชีวิตประจำวัน จะมีส่วนช่วยให้เราระงับเหตุการละเมิดข้อมูลส่วนบุคคลของเราได้รวดเร็วขึ้น

ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น

ผู้เขียน: อัจฉรา สุขสาคร

เครดิตภาพบัตรประชาชน: เวปไซต์สถานเอกอัครราชทูตไทย ณ กรุงวอชิงตัน

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation

PDPA มาตรา 19, 20, 26 (3) โดยสรุปกำหนดว่า ความยินยอมจะต้องขอก่อน หรือในขณะที่ประมวลผล ทำเป็นหนังสือแบบฟอร์ม หรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้งแยกส่วนจากข้อความอื่น รูปแบบเข้าถึงง่าย เข้าใจได้ง่าย เป็นภาษาที่อ่านง่ายไม่หลอกลวง ไม่เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขการให้บริการ ต้องมีอิสระ (Freely Given) และต้องถอนถอนง่าย ถอนเมื่อไหร่ก็ได้ การถอนไม่ส่งผลกับการประมวลผลที่ได้ยินยอมไปแล้ว (ไม่มีผลย้อนหลัง) แต่เมื่อต้องขอความยินยอมจากผู้เยาว์, ผู้ไร้ความสามารถ, ผู้เสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากบุคคลเพิ่มขึ้น ด้วย 4 สูตรนี้จะทำให้เข้าใจและจดจำได้ง่ายขึ้น

ผู้เยาว์ อายุมากกว่า 10 ปี แต่ไม่เกิน 20 ปี (>10-20)

สูตร 1+1 = ขอจากผู้เยาว์ [1] +ขอจากผู้ใช้อำนาจปกครอง [1]

ผู้เยาว์ อายุน้อยกว่า  10 ปี (<10)

สูตร 0+1 = ไม่ต้องขอผู้เยาว์ [0] +ขอจากผู้ใช้อำนาจปกครอง [1]

ผู้เสมือนไร้ความสามารถ

สูตร 0+1 = ไม่ต้องขอผู้เสมือนไร้ความสามารถ [0] +ขอจากผู้พิทักษ์ [1]

ผู้ไร้ความสามารถ

สูตร 0+1 = ไม่ต้องขอผู้ไร้ความสามารถ [0] +ขอจากผู้อนุบาล [1]

ทั้งนี้ การประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคล ไม่จำเป็นต้องใช้ฐานความยินยอมของ PDPA เสมอไป หากมีกฎหมายอื่นรองรับให้ทำได้ เช่น ประมวลกฎหมายแพ่งและพาณิชย์มาตรา 22, 23, 24 ที่ว่าด้วยเรื่องการทำนิติกรรมของผู้เยาว์ เป็นต้น

ความรู้ความเข้าใจ PDPA ไม่ควรเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลแต่เพียงฝ่ายเดียว หากเจ้าของข้อมูลส่วนบุคคลมีความรู้ความเข้าใจ PDPA ด้วย จะมีส่วนช่วยป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพยิ่งขึ้น

ผู้เขียน: อัจฉรา สุขสาคร

#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation