พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) อาจทำให้ฝ่ายบุคคลเสียค่าปรับ 5 ล้านบาท

PDPA อาจจะทำให้ HR เสียค่าปรับเป็นล้าน

ปัจจุบันนี่เราคงหลีกเลี่ยงการไม่ยอมให้ข้อมูลของเรากับคนอื่นๆไม่ได้ ทั้งการขอเก็บข้อมูลบนเว็บไซต์ การขอเก็บข้อมูลตอนเข้าสมัครงาน หรือแม้กระทั่งการซื้อของออนไลน์ ข้อมูลส่วนตัวแทบทั้งหมดของเรานั้นก็เริ่มกลายเป็นข้อมูลที่คนนั้นรู้ คนนี้เห็น จนบางครั้งเราไม่แน่ใจเลยว่าสิ่งที่เรามอบให้ไปมันจะถูกเอาไปต้มยำทำแกงอะไรบ้าง โดยเฉพาะข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลที่เป็นส่วนตัวในตอนที่เราสมัครเข้าทำงาน โดยมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2565

PDPA คืออะไร (ภาษากฏหมาย)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act : PDPA) ถ้ายกมาจากตัวเอกสารเขาบอกไว้ว่า “พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล

ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย”

โดยที่ มาตรา ๒๖ การตรากฎหมายที่มีผลเป็นการจํากัดสิทธิหรือเสรีภาพของบุคคลต้องเป็นไป ตามเงื่อนไขที่บัญญัติไว้ในรัฐธรรมนูญ ในกรณีที่รัฐธรรมนูญมิได้บัญญัติเงื่อนไขไว้ กฎหมายดังกล่าว ต้องไม่ขัดต่อหลักนิติธรรม ไม่เพิ่มภาระหรือจํากัดสิทธิหรือเสรีภาพของบุคคลเกินสมควรแก่เหตุ และจะกระทบต่อศักดิ์ศรีความเป็นมนุษย์ของบุคคลมิได้ รวมทั้งต้องระบุเหตุผลความจําเป็นในการจํากัดสิทธิ และเสรีภาพไว้ด้วย

PDPA คืออะไร (ภาษาชาวบ้าน)

พระราชบัญญัติฉบับนี้ออกแบบมาให้ข้อมูลส่วนตัวของเราที่มี ก่อนจะเอาให้ใครไปต้องให้เขามาขออนุญาตให้เอาไปใช้ เช่น เมื่อก่อนเราถ่ายรูปคนอื่นที่ไม่รู้จัก แล้วปรากฏว่ารูปสวยดีแล้วเอาไปขายภาพต่อได้ แต่พอมีกฏหมายนี้บังคับใช้ ถ้าเราถ่ายภาพคนอื่นแล้วเอาไปขายโดยคนในรูปไม่อนุญาต ก็มีสิทธิ์โดนฟ้องร้องค่าเสียหายจากการที่นำรูปภาพเขาไปใช้นั่นเอง

PDPA คุ้มครอง 3 บุคคล

1. เจ้าของข้อมูล (ตัวเรา)

 ให้เรารู้และเข้าใจว่าถ้าอนุญาตให้เขาเอาข้อมูลไปใช้ เขาจะเอาไปส่ง SMS เข้าเบอร์เราได้ไหม ส่งไลน์มาสวัสดีวันจันทร์กับเราได้หรือเปล่า ถ้าทำไม่ได้แล้วเขาแอบส่งมาให้เรา เราก็ฟ้องร้องเรียกค่าเสียหายได้

2.ผู้ควบคุมข้อมูล ( เจ้าของเว็บ เจ้าของบริษัท เจ้าของรูปภาพ)

ต้องบอกเจ้าของข้อมูลว่าจะเอาข้อมูลอะไรไปใช้ แล้วเรามีสิทธิ์ทำอะไรกับข้อมูลลูกค้า หรือ พนักงานของเราบ้าง โดยที่มีลายลักษณ์อักษรว่าเราขออนุญาตเขาถูกต้องแล้ว เพื่อป้องกันไม่ให้เราถูกฟ้องตอนที่เราเอาข้อมูลไปใช้งาน

3.ผู้ประมวลผลข้อมูล (คนที่ทำงานตามคำสั่งเจ้าของเว็บ เจ้าของบริษัท)

คนที่ทำงานเกี่ยวกับข้อมูล เอาไปยิงแอด เอาไปส่งเมลแจ้งโปรโมชั่น หรือเอาข้อมูลไปเก็บเป็นฐานข้อมูลเพื่อดูภาพรวมว่าลูกค้ากลุ่มไหนชอบซื้อสินค้า A มากกว่า B … คนที่ทำงานเหล่านี้ถ้าวันนึงมีคนฟ้องร้องจากการทำงานต่างๆ จะไม่โดนฟ้องเข้าเนื้อตัวเอง เพราะทำงานให้ในนามบริษัท ตัวองค์กรต้องรับผิดชอบความผิดที่เกิดขึ้นจากการกระทำของพนักงานเหล่านี้นั่นเอง

ฝ่ายบุคคลจะเสี่ยงโดนฟ้องร้อง

ใน พรบ.ฉบับนี้มีการกำหนดไว้ว่าการเก็บข้อมูลนั้นต้องเก็บเท่าที่จำเป็น และต้องเก็บด้วยความปลอดภัย แล้วในฐานะบริษัทเองที่ต้องเก็บข้อมูลของพนักงานที่ละเอียดอ่อนในหลายเรื่อง เช่น ข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลทะเบียนบ้าน ทัศนคติการทำงาน ไว้กับบริษัทถึงแม้ว่าจะเก็บอย่างมิดชิดแล้วก็ตาม

  • เก็บดีแล้วแต่ไม่ถูกกฏหมาย (โทษทางปกครอง)

กฏหมายฉบับนี้บังคับให้ฝ่ายบุคคลต้องขออนุญาตเก็บข้อมูลพนักงาน ต้องจัดเตรียมพนักงานประมวลผลข้อมูล แจ้งจุดประสงค์การเก็บและนำข้อมูลไปใช้งานทุกครั้ง หลังจากมีการบังคับใช้แล้วถ้าหากมีการฟ้องร้องแล้วปรากฏว่าไม่มีการวางแผนดังกล่าวไว้ อาจจะมีโทษปรับสูงถึง 5,000,000 บาท

  • เก็บถูกกฏหมายแล้วแต่ไม่ปลอดภัย (โทษทางอาญา)

นอกจากการเก็บข้อมูลที่ถูกต้องตามกฏหมาย ปัญหาต่อมาคือระบบเก็บไม่ดี ถูกขโมยข้อมูลไปขายต่อแล้วถูกฟ้องร้อง เกิดหลายครั้งในบริษัทที่ไม่มีระบบ Firewall ที่เหมาะสมกับองค์กร ปรึกษาทีมงานของเราในการเลือกใช้ Firewall จากที่นี่ ถ้าเกิดเหตุทำให้เกิดข้อมูลหลุดรั่วออกไป ระวังโทษจำคุกไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาทโดยที่นิติบุคคลต้องร่วมรับผิดกับสิ่งที่เกิดขึ้นด้วย

สรุป

ถึงแม้ว่าตัวบทกฏหมายนั้นจะเป็นเรื่องที่ใหม่กับหลายองค์กรที่ยังไม่ได้เริ่มการเก็บข้อมูลตาม พรบ.ฉบับดังกล่าว แล้วยังไม่แน่ใจว่าบริษัทจะเริ่มต้นอย่างไรดี เบื้องต้นต้องเริ่มต้นจากการปรึกษาทีมกฏหมาย PDPA ที่ได้รับ Certificated จาก ISO27001 (Information Security) และ ISO27701 (Privacy Information) จะช่วยให้มั่นใจในมาตรฐานความปลอดภัย และครอบคลุมกฏหมายฉบับนี้อย่างแน่นอน ซึ่งสอดคล้องกับบริการ PDPA ของเราโดยมีครบจบในที่เดียว โดยถ้าหากต้องการปรึกษา หรือไม่รู้จะเริ่มอย่างไรดี สามารถกรอกแบบฟอร์มด้านล่างนี้ แล้วทีมงานของเราจะเข้าไปช่วยเหลือเลย


References :

Source1
Source2
Source3

Contact us