PDPA บังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล การเตรียมตัวของธุรกิจ

สรุปใจความสำคัญของกฏหมาย PDPA

การจัดการกับข้อมูลส่วนบุคคลนั้นจะประกอบไปด้วย “เจ้าของข้อมูล” และ “ผู้ควบคุมข้อมูล” โดยที่ “ผู้ควบคุมข้อมูล” นั้นต้องได้รับการยินยอมจาก “เจ้าของข้อมูล” โดยมีจุดประสงค์การเก็บข้อมูล จุดประสงค์ในการใช้งานข้อมูล รวมถึงระยะเวลาจัดเก็บข้อมูลโดยชัดเจน ไม่มีการหลอกลวงเพื่อให้ยินยอมให้ข้อมูล และทุกครั้งที่จะนำข้อมูลไปใช้ในประโยชน์ด้านอื่นที่นอกเหนือจากที่ขออนุญาตไว้ในครั้งแรกแล้ว จำเป็นจะต้องขอความยินยอมใหม่ทุกครั้ง เพื่อเป็นหลักฐานยืนยันว่าเจ้าของข้อมูลนั้นยินยอมให้ข้อมูลนั้นไปใช้ในจุดประสงค์ดังกล่าวจริงสามารถอ่านฉบับเต็มได้ที่นี่

• เจ้าของข้อมูล

  โดยเจ้าของข้อมูลนั้นเป็นผู้ที่ต้องได้รับความคุ้มครองจากตัวบทกฏหมายฉบับดังกล่าว โดยเจ้าของข้อมูลจะมี “ข้อมูลส่วนบุคคล” โดยข้อมูลส่วนบุคคลนั้นหมายรวมถึงข้อมูลที่เกี่ยวข้องหรือสามารถระบุตัวตนบุคคลนั้นได้ โดยข้อมูลส่วนบุคคลนั้นประกอบไปด้วย

  1. ชื่อ-นามสกุล
  2. เลขบัตรประชาชน
  3. อีเมล
  4. เบอร์โทรศัพท์
  5. ที่อยู่ หรือ แหล่งที่สามารถระบุสถานที่อยู่ได้
  6. การระบุตัวตนบนโลกอินเตอร์เน็ต หรือ IP address
  7. เลขคุ้กกิ้ที่แต่ละเว็บไซต์จะเก็บข้อมูล ซึ่งเป็นข้อมูลส่วนบุคคลที่ระบุตัวตนบนเว็บไซต์

• ผู้ควบคุมข้อมูล

  

  การเก็บข้อมูลส่วนตัวของบุคคลนั้นความต้องการของกฏหมายนั้นไม่ได้ต้องการให้กระทำการโดยพลการอย่างที่ผ่านมา ให้มีวิธีการที่ชัดเจนโดยเจ้าของข้อมูลนั้นเคลียร์จุดประสงค์การเก็บข้อมูล สามารถยกเลิกการอนุญาตจัดเก็บข้อมูล มีระยะเวลาจัดเก็บที่ชัดเจน และรวมถึงมีการระบุสถานที่ของผู้จัดเก็บข้อมูล สถานที่ติดต่อ วิธีการติดต่อให้ชัดเจน

สิ่งที่ธุรกิจต้องเตรียมตัวสอดรับ

• การเตรียมตัวจากภายใน

  สิ่งที่ภายในบริษัทต้องเตรียมสำหรับการเปลี่ยนแปลงคือการสร้างความเข้าใจให้กับคนทำงาน ไม่ว่าจะเป็นฝ่ายที่ต้องเก็บข้อมูลของลูกค้า ฝ่ายที่ต้องเก็บข้อมูลบนอินเตอร์เน็ต ฝ่ายที่ต้องเก็บข้อมูลส่วนบุคคลภายในบริษัทเอง สิ่งที่ต้องตระหนักเป็นอย่างแรกคือการเตรียมกระบวนการทำงานใหม่ ไม่ว่าจะเป็นวิธีการขอทำสัญญาจัดเก็บข้อมูลให้สอดคล้องกับพระราชบัญญัติฉบับดังกล่าว การแต่งตั้งทีมงานที่จัดการกับระบบหลังบ้านจัดเก็บข้อมูล รวมถึงผู้ที่มารับผิดชอบเกี่ยวกับระบบความปลอดภัยทางไอทีที่มีการจัดเก็บข้อมูล เพื่อป้องกันการถูกโจรกรรมข้อมูล

• นโยบายการเก็บข้อมูลบนโลกออนไลน์

  ส่วนหนึ่งของการออก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้นคือการจัดระเบียบการนำข้อมูลมาใช้บนโลกออนไลน์ที่ไม่มีขีดจำกัดในการใช้งานมาก่อน โดยการเก็บนั้นสามารถทำได้ทั้งการเก็บด้วยระบบอิเลคโทรนิค ซึ่งปัจจุบันจะเห็นได้บนเว็บต่างๆ กล่าวคือการแแสดงหน้าต่างขึ้นมาเพื่อขออนุญาตผู้เข้าชมเว็บไซต์ในการขอเก็บข้อมูลส่วนบุคคลเบื้องต้น อันได้แก่ ข้อมูลระบุตัวตนคุ้กกี้ ที่สามารถระบุตัวตนและเก็บพฤติกรรมการใช้งานบนเว็บไซต์ได้นั่นเอง โดยสามารถศึกษาเพิ่มเติมได้จากที่นี่

• การเก็บข้อมูลที่ปลอดภัย

  จากการเก็บข้อมูลรูปแบบที่ทำกันมานั้นอาจจะมีความปลอดภัยในระดับหนึ่ง แต่จากการบังคับใช้กฏหมายฉบับนี้การเก็บข้อมูลนั้นจำเป็นต้องมีการเก็บที่รัดกุม เนื่องมาจากถ้าหากมีข้อมูลหลุดออกมา ผู้จัดเก็บข้อมูลนั้นจะมีความผิดตามกฏหมาย ซึ่งเป็นใจความหลักที่กฏหมายฉบับนี้ต้องการ ซึ่งการจัดเก็บข้อมูลนั้นอาจจะต้องมีการย้อนกลับไปถึงระบบไอทีของบริษัท ที่จะต้องมีความปลอดภัยมากขึ้น ปัญหาที่มีการถูกเข้าถูกโจมตีระบบไอทีของบริษัท ไม่ว่าจะเป็นไวรัสหรือการส่งข้อความแปลกปลอมต่างๆ จำเป็นต้องแก้ไขก่อนที่จะมีการจัดเก็บข้อมูลส่วนบุคคลในระบบคอมพิวเตอร์บริษัทสามารถปรึกษาการทำระบบความปลอดภัยไอทีเพิ่มเติมได้จากที่นี่

บทลงโทษสำหรับกฏหมาย

• โทษทางปกครอง

  1) ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่จัดทำบันทึกรายการ มีโทษปรับไม่เกิน 1,000,000 บาท
  2) ผู้ที่ขอความยินยอมด้วยการหลอกลวง ทำให้เข้าใจผิดในจุดประสงค์ ต้องระวางโทษทางปกครองไม่เกิน 3,000,000 บาท

• โทษทางแพ่ง

  ผู้เสียหายสามารถเรียกร้องความเสียหายได้ตามจริง ไม่ว่าการกระทำนั้นจะมาจากความประมาทเลินเล่อหรือไม่ก็ตามโดยชดใช้ความเสียหายไม่เกินสองเท่าของความเสียหายจริง

• โทษทางอาญา

  1) การกระทำที่ทำให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น  เกลียดชัง ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  2) ผู้ที่ดูแลข้อมูลแล้วนำข้อมูลไปเปิดเผยแก่คนอื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือประบไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ