PDPA United In Action
"PDPA ร่วมด้วยช่วยกัน"
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายใหม่ที่บัญญัติมาเพื่อคุณภาพชีวิตที่ดีของคนไทยทุกคน แม้กฎหมายจะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลในฐานะที่ใช้ประโยชน์จากการประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคลแล้วก็ตาม แต่ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น
เข้าใจ PDPA ตอนที่ 1: ภาพรวม PDPA "ทำไมต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)"
เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562) <<ดาวน์โหลด>>
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 1: ภาพรวม PDPA "มาตราที่เกี่ยวข้องกับการบังคับใช้ PDPA"
พ.ร.บ. ฉบับนี้ มีทั้งหมด 96 มาตรา โดยมาตราที่เกี่ยวข้องกับการบังคับใช้จะอยู่ในหมวด 2, 3, 5, 6, 7 และหมวดเฉพาะกาล ดังนี้
หมวด 2 มาตรา 19-29 ว่าด้วยเรื่อง การคุ้มครองข้อมูลส่วนบุคคล
หมวด 3 มาตรา 30-42 ว่าด้วยเรื่อง สิทธิของเจ้าของข้อมูลส่วนบุคคล
หมวด 5 มาตรา 71-76 ว่าด้วยเรื่อง การแต่งตั้งคณะการผู้เชี่ยวชาญเพื่อพิจารณาตรวจสอบเรื่องร้องเรียนและไกล่เกลี่ย การแต่งตั้งและอำนาจหน้าที่ของพนักงานเจ้าหน้าที่
หมวด 6 มาตรา 77-78 ว่าด้วยเรื่อง ความรับผิดทางแพ่ง
หมวด 7 มาตรา 79-90 ว่าด้วยเรื่อง บทลงโทษ
หมวดเฉพาะกาล มาตรา 95 ว่าด้วยเรื่อง การเก็บรวบรวมและใช้ข้อมูลเดิม
โดยมาตราต่างๆ ใน PDPA นั้น ได้ใช้ General Data Protection Regulation (GDPR) ของสหภาพยุโรปเป็นต้นแบบ
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562) <<ดาวน์โหลด>>
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 1: ภาพรวม PDPA "7 หลักการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Principles)"
7 หลักการสากลที่นำมาใช้ในการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลประกอบด้วย
1. ชอบด้วยกฎหมาย เป็นธรรม โปร่งใส (Lawfulness, Fairness, Transparency)
2. การจำกัดวัตถุประสงค์ (Purpose Limitation)
3. เท่าที่จำเป็น เกี่ยวข้อง ตามการจำกัดวัตถุประสงค์ (Data Minimization)
4. ความแม่นยำ (Accuracy)
5. จำกัดระยะเวลากรจัดเก็บข้อมูล (Storage Limitation)
6. ความสมบูรณ์ และเก็บรักษาเป็นความลับ (Integrity and Confidentiality)
7. ภาระความรับผิดชอบ (Accountability)
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 1: ภาพรวม PDPA "คำสำคัญใน พ.ร.บ.ฯ (PDPA Keywords)"
ผู้เขียนได้ทำสรุปคำสำคัญ (PDPA Keywords) เพื่อช่วยสร้างความคุ้นเคยที่จะนำไปสู่ความเข้าใจ PDPA ได้ง่ายขึ้น โดยหัวใจสำคัญของการที่จะปฏิบัติตาม PDPA (PDPA Compliance) ได้นั้น องค์กรต้องทำการวิเคราะห์กิจกรรมทางธุรกิจ (Business Activity) ว่ามีกิจกรรมใดที่ใช้ข้อมูลส่วนบุคคลบ้าง, ใช้ข้อมูลประเภทใด, วงจรชีวิตของข้อมูลเป็นอย่างไร ฯลฯ หรือที่รู้จักกันในชื่อเรียกว่า การทำ Data Inventory Mapping (DIM) เพื่อสังเคราะห์ออกมาเป็นบันทึกกิจกรรมการประมวลผล (RoPA)
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 1: ภาพรวม PDPA “PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S)”
องค์ประกอบและตัวละครสำคัญใน PDPA ประกอบด้วย
P ข้อมูลส่วนบุคคล (Personal Data)
DS เจ้าของข้อมูลส่วนบุคคล (Data Subject)
DC ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
DP ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
SA สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล–สคส. (Supervisory Authority)
ผู้เขียนจะเล่ารายละเอียดบทบาทหน้าที่ความสำคัญของ 1P4D1S ว่ามีอะไรบ้าง ติดตามได้ในตอนต่อไปค่ะ
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 2: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “ความหมายของข้อมูลส่วนบุคคล (Personal Data: P)”
ข้อมูลส่วนบุคคล (Personal Data) ที่ได้รับการคุ้มครองตามความหมายของ PDPA มาตรา 6 ต้องมีลักษณะดังต่อไปนี้
เป็นข้อมูลเกี่ยวกับบุคคลธรรมดา
เป็นข้อมูลของบุคคลที่ยังมีชีวิตอยู่
สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม
ดังนั้น ข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล และไม่ได้รับความคุ้มครองตาม PDPA จึงได้แก่ข้อมูลที่มีลักษณะดังต่อไปนี้
X ข้อมูลทางธุรกิจ เช่น ที่อยู่สำนักงาน, เบอร์ติดต่อสำนักงาน, อีเมลกลาง info@domainname เป็นต้น
X ข้อมูลความลับทางธุรกิจ เช่น สิทธิบัตรยา, ราคาค่าเช่าพื้นที่, สัญญาธุรกิจ เป็นต้น
X ข้อมูลทางการค้า เช่น เครื่องหมายการค้า, สิทธิบัตร เป็นต้น
X ข้อมูลนิรนาม (Anonymous Data) เช่น บัญชีผู้ใช้งานบนโซเชียลมีเดียที่ไม่สามารถระบุตัวตนเจ้าของบัญชีได้ เป็นต้น
X ข้อมูลผู้ถึงแก่กรรม
ด้วยบทบัญญัติการบังคับใช้ของ PDPA ข้อมูลจึงจำแนกเป็น 2 ประเภท คือ
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ได้แก่ ชื่อ–นามสกุล, เลขบัตรประชาชน, เพศ, วันเดือนปีเกิด, ที่อยู่, เบอร์โทรศัพท์, ID Line, อีเมล์, IP Address, ทะเบียนรถ, ภาพถ่าย, ข้อมูลการศึกษา, ข้อมูลการทำงาน, Log file, หรือข้อมูลอื่น ๆ ที่เชื่อมโยงตัวบุคคลได้
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ที่กำหนดความคุ้มครองไว้ในมาตรา 26 ได้แก่ เชื้อชาติ, เผ่าพันธุ์, ความเชื่อในลัทธิ, ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ความคิดเห็นทางการเมือง, ข้อมูลสุขภาพ, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ*, หรือข้อมูลอื่นๆ ที่ให้ผลกระทบทำนองเดียวกัน
*ข้อมูลชีวภาพ หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีทีเกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือ ข้อมูลจำลองลายนิ้วมือ
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 3: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “เจ้าของข้อมูลส่วนบุคคล (Data Subject: DS) คือใคร”
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือใคร
· บุคคลธรรมดาที่ยังมีชีวิตอยู่ ที่ข้อมูลชี้ไปที่ตัวเขา
· เจ้าของข้อมูลส่วนบุคคล หากอยู่ในองค์กร จะมีชื่อเรียกที่แตกต่างกันไปตามบทบาทหน้าที่ ได้แก่ ลูกค้า คู่ค้า พนักงาน กรรมการ ผู้ถือหุ้น
เจ้าของข้อมูลส่วนบุคคล (Data Subject) x 2 เป็นผลมาจากมาตรา 20 ของ PDPA ว่าด้วยเรื่อง การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้หย่อนความสามารถ ทำให้ความหมายของเจ้าของข้อมูลส่วนบุคคลเพิ่มเติมมาในมุมมองของผู้เขียนด้วยองค์ประกอบ ดังนี้
1. บุคคลที่ทำนิติกรรมได้ด้วยตนเอง การเก็บรวบรวม ใช้ เปิดเผยข้อมูลจะกระทำกับเจ้าของข้อมูลส่วนบุคคลคนเดียวเท่านั้น
2. บุคคลที่ต้องทำนิติกรรมร่วม หรือทำโดยผู้มีอำนาจปกครอง ทำให้ต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล x 2 โดยอัตโนมัติเมื่อต้องมีการความยินยอม ได้แก่
· ผู้เยาว์ อายุมากกว่า 10 ปี แต่ไม่เกิน 20 ปี (สูตรขอความยินยอม 1+1)
· ผู้เยาว์ อายุน้อยกว่า 10 ปี (สูตรขอความยินยอม 0+1)
· ผู้เสมือนไร้ความสามารถ (สูตรขอความยินยอม 0+1)
· ผู้ไร้ความสามารถ (สูตรขอความยินยอม 0+1)
*อ่านคำอธิบายสูตรในบทความ “สูตรจำง่าย! เวลาต้องขอความยินยอมจากผู้หย่อนความสามารถ (ผู้เยาว์, ผู้เสมือนไร้ความสามารถ, ผู้ไร้ความสามารถ) ตาม PDPA” ที่เวปไซต์ https://www.craftskills.org/digital-transformation/dt-pr-news/pdpa-united-in-action
เจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลส่วนบุคคลที่ให้ไปแล้ว เจ้าของกรรมสิทธิ์ในข้อมูลนั้นจะเป็นของผู้ที่เราให้ไป ที่เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หากต้องการกระทำการใดๆ กับข้อมูลที่ให้ไปนั้น จะต้องดำเนินการผ่านกระบวนการ “การขอใช้สิทธิตาม PDPA”
เจ้าของข้อมูลส่วนบุคคล (Data Subject) มาพร้อมกับ “สิทธิตาม PDPA” ที่อาจทำให้ผู้ควบคุมข้อมูลส่วนบุคคลได้รับโทษทางแพ่ง/อาญา/ปกครอง โดย 9 สิทธิของเจ้าของข้อมูลส่วนบุคคล มีดังนี้
· สิทธิได้รับการแจ้งให้ทราบ Right to be informed (ม.23, 25)
· สิทธิในการเพิกถอนความยินยอม Right to withdraw consent (ม.19)
· สิทธิขอเข้าถึงข้อมูล Right of access (ม.30)
· สิทธิในการขอให้โอนย้ายข้อมูล Right to data portability (ม.31)
· สิทธิคัดค้านการประมวลผลข้อมูล Right to object (ม.32)
· สิทธิขอให้ลบหรือทำลาย Right to erasure (ม.33)
· สิทธิขอให้ระงับใช้ข้อมูล Right to restriction of processing (ม.34)
· สิทธิในการขอให้แก้ไขข้อมูล Right to rectification (ม.36)
· สิทธิในการร้องเรียน Right to lodge a complaint (ม.73)
>> ติดตามรายละเอียดทั้ง 9 สิทธิของเจ้าของข้อมูลได้ในตอนต่อไป
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 4: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller: DC) คือใคร”
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล หรือ นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การประมวลผลข้อมูลส่วนบุคคล
บุคคล ผู้ประกอบธุรกิจรูปแบบเจ้าของคนเดียว เช่น พ่อค้าแม่ค้าออนไลน์, Startup ผู้ให้บริการ application เป็นต้น
นิติบุคคล เช่น ห้างหุ้นส่วนจำกัด, บริษัทจำกัด, ธนาคาร, หน่วยงานรัฐ, โรงเรียน, มูลนิธิ, สมาคม เป็นต้น
X พนักงาน (Employee), ผู้ให้บริการ (Outsources) ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
สรุป 3 หน้าที่หลักของผู้ควบคุมข้อมูลส่วนบุคคล ตาม ม.37
1. หน้าที่ด้านการเก็บรวบรวม ใช้ เปิดเผย เก็บรักษา ลบ/ทำลายข้อมูลส่วนบุคคล
ที่ต้องปฏิบัตตาม 2 ประการหลักที่กฎหมายกำหนด คือ
1.1 หลักการคุ้มครองข้อมูลส่วนบุคคล
1.2 มีฐานกฎหมายรองรับ
2. หน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคล
2.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ว่าจะเก็บข้อมูลในรูปแบบกระดาษ หรืออิเล็กทรอนิกส์ หรือรูปแบบอื่นก็ตาม อย่างน้อยตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
2.1.1 ตามหลักความมั่นคงปลอดภัย (CIA)
ความลับ (Confidentiality)
การรักษาไว้ซึ่งความลับของข้อมูล โดยเป็นการปกป้องข้อมูลและไม่เปิดเผยข้อมูลไปยังผู้ที่ไม่ได้รับอนุญาต
ความสมบูรณ์ (Integrity)
ข้อมูลต้องมีความถูกต้องครบถ้วนสมบูรณ์ไม่มีการเปลี่ยนแปลง ดัดแปลง หรือแก้ไขใด ๆ โดยไม่ได้รับอนุญาต
ความพร้อมใช้งาน (Availability)
ข้อมูลต้องมีความพร้อมใช้งานเมื่อถูกเรียกใช้ กล่าวคือข้อมูลจะต้องสามารถเข้าถึงได้และสามารถใช้งานได้จากผู้ที่มีสิทธิการเข้าถึงข้อมูลดังกล่าวเมื่อมีการร้องขอ
2.1.2 ตามองค์ประกอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ได้แก่
มาตรการเชิงองค์กร (Administrative Safeguard) ได้แก่ กำหนดบุคคลหรือทีมงานที่รับผิดชอบดูแลการปกป้องข้อมูลภายในองค์กร, จัดให้มีการฝึกอบรมพนักงานเป็นประจำเกี่ยวกับนโยบายและขั้นตอนการคุ้มครองข้อมูล, จำกัดการเข้าถึงข้อมูลส่วนบุคคลฉพาะพนักงานที่ได้รับอนุญาต, ใช้นโยบายและขั้นตอนในการเก็บรักษาข้อมูลส่วนบุคคลตราบเท่าที่จำเป็นและการตรวจสอบและลบข้อมูลที่ไม่จำเป็นอีกต่อไปอย่างสม่ำเสมอ, ดำเนินการประเมินความเสี่ยงเป็นประจำ, ตรวจสอบผู้ให้บริการบุคคลที่สามให้ปฏิบัติตามกฎหมายและสัญญาด้านการคุ้มครองข้อมูลย่างสม่ำเสมอ, พัฒนาแผนรับมือกับการละเมิดข้อมูล รวมถึงการจำกัดและลดผลกระทบจากการละเมิดข้อมูล เป็นต้น
มาตรการเชิงเทคนิค (Technical Safeguard) ได้แก่ การเข้ารหัสเพื่อปกป้องข้อมูลในเซิร์ฟเวอร์/ข้อมูลที่ส่งผ่านอินเทอร์เน็ต, การควบคุมการเข้าถึง, ใช้ไฟร์วอลล์และระบบตรวจจับ/ป้องกันการบุกรุก, ใช้ระบบสำรองและกู้คืนข้อมูล, ใช้ระบบตรวจจับและตอบสนองต่อเหตุการณ์หรือการละเมิดความปลอดภัย, การอัปเดตซอฟต์แวร์เป็นประจำ, ใช้หลัก Privacy by Design เป็นต้น
มาตรการเชิงกายภาพ (Physical Safeguard) ได้แก่ ตรวจสอบที่จัดเก็บและอุปกรณ์รักษาความปลอดภัยของสถานที่เก็บข้อมูลอย่างสม่ำเสมอ, การควบคุมการเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น เช่น การเข้าถึงด้วยคีย์การ์ด การยืนยันตัวตนด้วยไบโอเมตริก เป็นต้น ตรวจสอบการลบทำลายข้อมูลส่วนบุคคลที่อยู่ในสื่อเก็บข้อมูลทางกายภาพ เช่น ฮาร์ดไดรฟ์หรือไดรฟ์ USB ก่อนการถูกกำจัดเมื่อไม่ต้องการใช้อีกต่อไป เป็นต้น
2.1.3 ป้องกันการกระทำโดยปราศจากอำนาจหรือโดยมิชอบกรณีต้องให้ข้อมูลกับบุคคลหรือนิติบุคคลอื่น (ผู้ให้บริการบุคคลที่สาม) ได้แก่ จัดทำสัญญาการประมวลผล (Data Processing Agreement: DPA) หรือ สัญญาการแบ่งปันข้อมูล (Data Sharing Agreement: DSA) ตรวจสอบเพื่อให้แน่ใจว่าผู้ให้บริการเหล่านั้นปฏิบัติตามกฎหมายและข้อบังคับด้านการคุ้มครองข้อมูลอย่างสม่ำเสมอ
2.1.4 ตรวจสอบมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Adequacy Decision) ของประเทศปลายทาง หรือองค์การระหว่างประเทศ กรณีมีการส่งหรือโอนข้อมูลไปยังต่างประเทศ (ม.28)
มาตรฐานการคุ้มครองข้อมูลกรณีมีการส่งหรือโอนข้อมูลไปยังต่างประเทศที่องค์กรอาจพิจารณาเลือกใช้ตามความเหมาะสม:
· การถ่ายโอนบนพื้นฐานของการตัดสินใจที่เพียงพอ
(Transfers on the basis of an adequacy decision) - ม.28, GDPR Art.45
· การถ่ายโอนขึ้นอยู่กับการป้องกันที่เหมาะสม
(Transfers subject to appropriate safeguards) - GDPR Art.46
· กฎขององค์กรที่มีผลผูกพัน
(Binding corporate rules) - GDPR Art.47
2.2 หน้าที่จัดทำและเก็บรักษาบันทึกกิจกรรมการประมวลผล (RoPA) ตาม ม.39
เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงาน (สคส.) สามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
2.3 จัดทำมาตรการป้องกันและแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)
ไม่มีความเสี่ยง: ไม่ต้องแจ้งทั้ง สคส. และเจ้าของข้อมูลส่วนบุคคล
มีความเสี่ยงต่ำ: แจ้ง สคส. ภายใน 72 ชั่วโมง แต่ไม่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคล
มีความเสี่ยงสูง: แจ้ง สคส. ภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยไม่ชักช้าพร้อมแนวทางเยียวยา
2.4 หน้าที่แต่งตั้ง
2.4.1 หน้าที่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตาม ม.41
2.4.2 หน้าที่แต่งตั้งตัวแทนในราชอาณาจักร กรณีเป็นผู้ควบคุมข้อมูลส่วนบุคคลนอกราชอาณาจักร ตาม ม. 5 วรรค 2 หมายถึง ผู้ควบคุมข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทย แต่มีการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลที่อยู่ในไทย ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม และ/หรือมีการเฝ้าติดตามพฤติกรรมเจ้าของข้อมูลที่อยู่ในไทย (Customer behavior data analytic) และต้องแต่งตั้งตัวแทนในประเทศไทยซึ่งจะต้องรับผิดชอบทางกฎหมายเสมือนผู้ควบคุมข้อมูลส่วนบุคคล
3. หน้าที่ด้านการตอบสนองการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Requests) ตาม ม. 30-36
เช่น DS ขอเข้าถึง ขอสำเนา ขอให้เปิดเผยแหล่งที่มาของข้อมูล DC ต้องตอบสนองโดยไม่ขักช้า แต่ต้องไม่เกิน 30 วัน นับแต่วันที่ได้รับคำขอ (ม.30 วรรค 4) เป็นต้น
ความรับผิดชอบตาม PDPA ตาม ม.77-90
โทษทางอาญา: จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท
มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือ ส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)
โทษทางปกครอง: ปรับไม่เกิน 5 ล้านบาท
มีโทษปรับตั้งแต่ 1 ล้านบาท จนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีที่ไม่ปฏิบัติตาม PDPA ในส่วนการใช้ หรือเปิดเผย หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
โทษทางแพ่ง: ปรับ 2x ค่าสินไหมทดแทน
กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคล และอาจจะต้องจ่ายเพิ่มเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่า ของค่าเสียหายจริง
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 5: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor: DP) คือใคร”
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล หรือ นิติบุคคลที่ดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ภายใต้สัญญาจ้างที่กำหนดข้อตกลงการประมวลผล (Data Processing Agreement: DPA) ระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (DC) กับ ผู้ประมวลผลข้อมูลส่วนบุคคล (DP)
บุคคล เช่น Freelance รับดูแลเพจร้านค้า เป็นต้น
นิติบุคคล เช่น บริษัทรับจ้างวิเคราะห์ข้อมูล, บริษัทรับทำบัญชี, บริษัทรักษาความปลอดภัย เป็นต้น
X พนักงานของผู้ควบคุมข้อมูลส่วนบุคคล ถือเป็นตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล
X ผู้ประมวลผลข้อมูลส่วนบุคคล ต้องไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคลในกิจกรรมการประมวลผลเดียวกัน
สรุป 3 หน้าที่หลักของผู้ประมวลผลข้อมูลส่วนบุคคล ตาม ม. 40
1. หน้าที่ด้านการประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคลที่ต้องปฏิบัติตามที่กฎหมายกำหนด คือ
1.1 ประมวลผลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลที่ไม่ปฏิบัติตามข้อตกลงการประมวลผล ให้ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคล สำหรับการประมวลผลข้อมูลส่วนบุคคลนั้น
1.2 คำสั่งนั้นไม่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
1.3 ประมวลผลตามหลักการคุ้มครองข้อมูลส่วนบุคคล
1.4 มีฐานกฎหมายรองรับในการประมวลผล
2. หน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคล
2.1 จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ป้องกันการสูญหาย การเข้าถึง การกระทำใดๆ กับข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเก็บข้อมูลในรูปแบบกระดาษ หรืออิเล็กทรอนิกส์ หรือรูปแบบอื่นก็ตาม อย่างน้อยตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
2.1.1 ตามหลักความมั่นคงปลอดภัย (CIA)
ความลับ (Confidentiality)
การรักษาไว้ซึ่งความลับของข้อมูล โดยเป็นการปกป้องข้อมูลและไม่เปิดเผยข้อมูลไปยังผู้ที่ไม่ได้รับอนุญาต
ความสมบูรณ์ (Integrity)
ข้อมูลต้องมีความถูกต้องครบถ้วนสมบูรณ์ไม่มีการเปลี่ยนแปลง ดัดแปลง หรือแก้ไขใด ๆ โดยไม่ได้รับอนุญาต
ความพร้อมใช้งาน (Availability)
ข้อมูลต้องมีความพร้อมใช้งานเมื่อถูกเรียกใช้ กล่าวคือข้อมูลจะต้องสามารถเข้าถึงได้และสามารถใช้งานได้จากผู้ที่มีสิทธิการเข้าถึงข้อมูลดังกล่าวเมื่อมีการร้องขอ
2.1.2 ตามองค์ประกอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ได้แก่
มาตรการเชิงองค์กร (Administrative Safeguard)
มาตรการเชิงเทคนิค (Technical Safeguard)
มาตรการเชิงกายภาพ (Physical Safeguard)
*ดูแนวปฏิบัติได้ในบทความเรื่อง “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller: DC)”
2.2 หน้าที่จัดทำและเก็บรักษาบันทึกกิจกรรมการประมวลผล (RoPA) ตาม ม.39
เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล และสำนักงาน (สคส.) สามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
2.3 จัดทำมาตรการป้องกัน และแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification) ให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด
3. หน้าที่แต่งตั้ง
3.1 หน้าที่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตาม ม.41
3.2 หน้าที่แต่งตั้งตัวแทนในราชอาณาจักร กรณีเป็นผู้ประมวลผลข้อมูลส่วนบุคคลนอกราชอาณาจักร ตาม ม. 5 วรรค 2 หมายถึง ผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทย แต่มีการประมวลผลเพื่อเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลที่อยู่ในไทย ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม และ/หรือมีการเฝ้าติดตามพฤติกรรมเจ้าของข้อมูลที่อยู่ในไทย (Customer behavior data analytic) ต้องแต่งตั้งตัวแทนในประเทศไทยซึ่งจะต้องรับผิดชอบทางกฎหมายเสมือนผู้ประมวลผลข้อมูลส่วนบุคคล
ความรับผิดชอบตาม PDPA
โทษทางปกครอง: กรณีไม่ปฏิบัติตาม PDPA ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท
โทษทางอาญาและทางแพ่ง: ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ต้องรับผิดต่อเหตุละเมิดข้อมูลส่วนบุคคลตามบทลงโทษที่มีต่อผู้ควบคุมข้อมูลส่วนบุคคล เนื่องจากผู้ประมวลผลข้อมูลส่วนบุคคลทำตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล แต่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้สิทธิเรียกร้องความรับผิดชอบตามที่ระบุในสัญญาว่าจ้าง และ/หรือข้อตกลงการประมวลผลข้อมูลส่วนบุคคลด้วยประมวลกฎหมายอื่น
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 6: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือใคร”
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ บุคคล หรือ คณะทำงานที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เพื่อทำหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลตามที่ PDPA กำหนด
DC และ DP ต้องแต่งตั้ง DPO หากเข้าเงื่อนไขมาตรา 41 ในกรณีดังต่อไปนี้
1. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
2. การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล (DC) จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
3. กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) เป็นการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวตาม ม. 26
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน DC หรือ DP ดังกล่าวอาจจัดให้มี DPO ร่วมกันได้ (ให้นำมาใช้บังคับแก่ DC หรือ DP ซึ่งเป็นหน่วยงานของรัฐซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม)
ผู้ควบคุมข้อมูลส่วนบุคคล (DC) มีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับ DPO สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงาน (สคส.) ทราบ
! การไม่แต่งตั้ง DPO อาจมีความรับผิดทางปกครองปรับไม่เกิน 1 ล้านบาท (ม.82, 85)
คุณสมบัติของ DPO ตาม ม.41
เป็นพนักงาน (Insource) หรือผู้รับจ้าง (Outsourced DPO/DPO as a Service)
บุคคลเดียว หรือ คณะทำงาน
ต้องไม่มีประโยชน์ทับซ้อน (Conflict of Interest) ตัวอย่างกรณีศึกษา คณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาวาเรีย ประเทศเยอรมนี ได้ลงโทษปรับองค์กรแห่งหนึ่งเนื่องจากการแต่งตั้ง DPO ซึ่งดำรงตำแหน่งผู้จัดการด้านไอทีด้วย โดยคณะกรรมการฯ ถือว่าการดำรงตำแหน่งทั้งสองนี้ก่อให้เกิดความขัดแย้งทางผลประโยชน์และบุคคลนั้นไม่สามารถปฏิบัติหน้าที่ตามความรับผิดชอบของเขาในฐานะ DPO ได้หากยังมีหน้าที่รับผิดชอบในการดำเนินงานสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรนั้นๆ [1]
คณะกรรมการฯ สคส. อาจประกาศกำหนดคุณสมบัติของ DPO ได้โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
หน้าที่ของ DPO ต่อองค์กร ตาม ม.41-42
1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP)
=> การแจ้งและให้คำแนะนำแก่ผู้ควบคุมหรือผู้ประมวลผลและพนักงานเกี่ยวกับภาระผูกพันที่ต้องปฏิบัติตาม PDPA และกฎหมายคุ้มครองข้อมูลอื่นๆ ให้คำแนะนำการประเมินกิจกรรมขององค์กรให้เหมาะสมและปลอดภัย การประเมินความเสี่ยงและการดำเนินมาตรการป้องกันเหตุข้อมูลรั่วไหล เหตุละเมิดข้อมูลส่วนบุคคล และมาตรการอื่นๆ ที่จำเป็นตามกฎหมาย เก็บรักษาบันทึกกิจกรรมการประมวลผล (RoPA)
2. ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคล (DC)
=> ตรวจสอบการปฏิบัติตาม PDPA และกฎหมายคุ้มครองข้อมูลอื่นๆ รวมถึงจัดการกิจกรรมการปกป้องข้อมูลภายใน ฝึกอบรมให้ความรู้ PDPA และดำเนินการตรวจสอบภายใน
3. ประสานงานและให้ความร่วมมือกับหน่วยงานกำกับดูแล (สคส.)
=> ทำงานและร่วมมือกับหน่วยงานกำกับดูแลที่กำหนดโดยผู้ควบคุมหรือผู้ประมวลผล และทำหน้าที่เป็นจุดติดต่อสำหรับหน่วยงานกำกับดูแลในประเด็นที่เกี่ยวข้องกับการประมวลผลและการละเมิดข้อมูลส่วนบุคคล
4. ประสานงานกับเจ้าของข้อมูลส่วนบุคคล (DS)
=> จัดการข้อร้องเรียนหรือคำขอการใช้สิทธิ การสอบถามจากเจ้าของข้อมูลในประเด็นที่เกี่ยวข้องกับการประมวลผลและแนวทางปฏิบัติในการปกป้องข้อมูล การรักษาสมดุลของผลประโยชน์ที่ชอบด้วยกฎหมายและสิทธิ/ผลประโยชน์ของเจ้าของข้อมูล
5. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่
หน้าที่ขององค์กรต่อ DPO ตาม ม.42
1. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) ต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่
2. ผู้ควบคุมข้อมูลส่วนบุคคล (DC) จะให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตาม PDPA ไม่ได้
3. DPO ต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคล (DC) โดยตรงได้
4. DPO อาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตาม PDPA (Conflict of Interests)
! DC ไม่ปฏิบัติตามข้อ 1 และ 2 อาจมีความรับผิดทางปกครอง ปรับไม่เกิน 1 ล้านบาท (ม.82, 85)
ความรับผิดชอบตาม PDPA
DPO ถือเป็นตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (DC) จึงไม่ต้องรับผิดตามบทลงโทษของผู้ควบคุมข้อมูลส่วนบุคคล (DC) ที่กำหนดไว้ใน PDPA
DPO QuickStart guide: รายการตรวจสอบประเด็นสำคัญ 8 ประการ (DPO checklist) เป็นเครื่องมือที่มีประโยชน์สำหรับ DPO เพื่อให้มั่นใจว่าองค์กรปฏิบัติตามข้อกำหนดของ PDPA รายการตรวจสอบควรจัดทำขึ้นตามกิจกรรมการประมวลผลขององค์กรและหลักการของ PDPA นอกจากนี้การใช้รายการตรวจสอบจะช่วยให้ DPO ประเมินกิจกรรมการประมวลผลและระบุจุดอ่อนที่เป็นไปได้ในกระบวนการ PDPA ขององค์กร [2]
1) องค์กรปฏิบัติตามข้อกำหนดของ PDPA หรือไม่?
=> DPO ควรตรวจสอบว่าองค์กรใช้การดำเนินการที่จำเป็นเพื่อให้สอดคล้องกับข้อกำหนดของ PDPA หรือไม่ โดยเฉพาะอย่างยิ่ง DPO ควรตรวจสอบว่าองค์กรมีการประมวลผลข้อมูลส่วนบุคคลถูกต้องตามวัตถุประสงค์และมีฐานการประมวลผลทางกฎหมายรองรับหรือไม่
2) องค์กรประมวลผลข้อมูลส่วนบุคคลตามกฎหมายที่ถูกต้องหรือไม่?
=> DPO ควรตรวจสอบกิจกรรมการประมวลผลขององค์กรเป็นประจำเพื่อให้แน่ใจว่าฐานการประมวลผลที่ใช้อยู่เป็นฐานทางกฎหมายที่ยังคงใช้อยู่ในปัจจุบัน ไม่มีการเปลี่ยนแปลงหรือถูกยกเลิกไปแล้ว
3) องค์กรมีนโยบายคุ้มครองข้อมูลส่วนบุคคลหรือไม่?
=> DPO ควรตรวจสอบให้แน่ใจว่าองค์กรได้พัฒนานโยบายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมการประมวลผล นอกจากนี้ DPO ควรตรวจสอบให้แน่ใจว่ามาตรการรักษาความปลอดภัยที่จำเป็นสำหรับการปกป้องข้อมูลส่วนบุคคลนั้นรวมอยู่ในนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร
4) องค์กรมีการดำเนินการและปฏิบัติตามมาตรการรักษาความปลอดภัยหรือไม่?
=> DPO ควรทดสอบมาตรการรักษาความปลอดภัยทั้งหมดที่องค์กรนำมาใช้เพื่อให้ทำงานได้อย่างถูกต้อง
5) เว็บไซต์ขององค์กรมีข้อมูลที่จำเป็นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลหรือไม่?
=> DPO ควรตรวจสอบให้แน่ใจว่ามีการอัปโหลดคำชี้แจ้ง/ประกาศการคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบาย "คุกกี้" บนเว็บไซต์ขององค์กรเพื่อแจ้งให้ผู้เยี่ยมชมทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
6) องค์กรจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)” หรือไม่?
=> ในกรณีที่องค์กรมีหน้าที่ตามกฎหมายที่ต้องจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)” DPO ควรตรวจสอบให้แน่ใจว่าได้จัดเตรียมและจัดเก็บ “บันทึกกิจกรรมการประมวลผล (RoPA)”” ที่มีการบันทึกข้อมูลขั้นต่ำตาม PDPA เป็นอย่างน้อย และข้อมูลถูกต้องสมบูรณ์เป็นปัจจุบัน
7) องค์กรให้ข้อมูลที่จำเป็นแก่เจ้าของข้อมูลหรือไม่?
=> DPO ควรตรวจสอบให้แน่ใจว่าองค์กรได้ให้ข้อมูลที่จำเป็นตาม PDPA แก่เจ้าของข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยองค์กร รวมถึงสิทธิของเจ้าของข้อมวลส่วนบุคคล
8) องค์กรถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามหรือองค์กรระหว่างประเทศหรือไม่?
=> ในกรณีที่องค์กรถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามหรือองค์กรระหว่างประเทศ DPO ควรตรวจสอบว่าข้อมูลที่เกี่ยวข้องรวมอยู่ในนโยบาย PDPA ขององค์กรใน "บันทึกกิจกรรมการประมวลผล (RoPA)” และเจ้าของข้อมูลได้รับการแจ้งตามนั้น DPO ควรตรวจสอบว่าการโอนนั้นถูกต้องตามกฎหมายตามข้อกำหนดของ PDPA หรือไม่
อ้างอิง:
[1] https://www.bangkokbiznews.com/lifestyle/942368
[2] https://icpte.com/the-8-essential-points-of-a-dpo-checklist
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 7: PDPA เกี่ยวกับอะไรและกับใครบ้าง (1P+4D+1S) “หน่วยงานกำกับดูแลคุ้มครองข้อมูลส่วนบุคคล (Supervisory Authority : SA) คือใคร"
หน่วยงานกำกับดูแลคุ้มครองข้อมูลส่วนบุคคล (Supervisory Authority : SA) ของประเทศไทย มีชื่อว่า “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. (PDPC)” เป็นหน่วยงานของรัฐ อยู่ภายใต้การกำกับดูแลของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) โดยมีวัตถุประสงค์ในการจัดตั้ง ตาม ม.43 เพื่อ ดำเนินพันธกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รับเรื่องร้องเรียน ไกล่เกลี่ยกรณีพิพาท พิจารณาลงโทษทางปกครอง รวมทั้งส่งเสริมสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
หน้าที่และอำนาจของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ตาม ม. 44 กำหนดไว้ดังนี้ [1]
1. จัดทำร่างแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง รวมทั้งร่างแผนแม่บทและมาตรการแก้ไขปัญหาอุปสรรคการปฏิบัติการตามนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติดังกล่าว เพื่อเสนอต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
2. ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
3. วิเคราะห์และรับรองความสอดคล้องและความถูกต้องตามมาตรฐาน หรือตามมาตรการหรือกลไกการกำกับดูแลที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 29 แห่งพระราชบัญญัติฯ
4. สำรวจ เก็บรวบรวมข้อมูล ติดตามความเคลื่อนไหวของสถานการณ์ด้านการคุ้มครองข้อมูลส่วนบุคคล และแนวโน้มการเปลี่ยนแปลงด้านการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งวิเคราะห์และวิจัยประเด็นทางด้านการคุ้มครองข้อมูลส่วนบุคคลที่มีผลต่อการพัฒนาประเทศ เพื่อเสนอต่อคณะกรรมการคุ้มครองฯ
5. ประสานงานกับส่วนราชการ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
6. ให้คำปรึกษาแก่หน่วยงานของรัฐและหน่วยงานของเอกชนเกี่ยวกับการปฏิบัติตามพระราชบัญญัติฯ
7. เป็นศูนย์กลางในการให้บริการทางวิชาการหรือให้บริการที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่หน่วยงานของรัฐ หน่วยงานของเอกชน และประชาชน รวมทั้งเผยแพร่และให้ความรู้ความเข้าใจในเรื่องการคุ้มครองข้อมูลส่วนบุคคล
8. กำหนดหลักสูตรและฝึกอบรมการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง หรือประชาชนทั่วไป
9. ทำความตกลงและร่วมมือกับองค์การหรือหน่วยงานทั้งในประเทศและต่างประเทศในกิจการที่เกี่ยวกับการดำเนินการตามหน้าที่และอำนาจของสำนักงานฯ เมื่อได้รับความเห็นชอบจากคณะกรรมการคุ้มครองฯ
10. ติดตามและประเมินผลการปฏิบัติตามพระราชบัญญัติฯ
11. ปฏิบัติหน้าที่อื่นตามที่คณะกรรมการคุ้มครองฯ คณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการผู้เชี่ยวชาญ หรือคณะอนุกรรมการมอบหมาย หรือตามที่กฎหมายกำหนด
โครงสร้างบุคลากรที่สำคัญของสำนักงานคุ้มครองข้อมูลส่วนบุคคล [1]
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามหมวด 1 มาตรา 8 ประกอบด้วย
o ประธานกรรมการ นายเธียรชัย ณ นคร
o ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นรองประธานกรรมการ
o กรรมการโดยตำแหน่ง จำนวน 5 คน
o กรรมการผู้ทรงคุณวุฒิ จำนวน 9 คน
o เลขาธิการเป็นกรรมการและเลขานุการ
คณะกรรมการผู้เชี่ยวชาญ เป็นผู้มีอำนาจหน้าที่พิจารณาเรื่องร้องเรียน ไกล่เกลี่ยข้อพิพาท พิจารณาคำสั่งลงโทษปรับทางปกครอง ตาม ม.71 ซึ่งปัจจุบันมี 2 คณะ ได้แก่
o คณะกรรมการผู้เชี่ยวชาญ คณะที่ 1 (เรื่องร้องเรียนเกี่ยวกับการเงินและเศรษฐกิจ) ประกอบด้วยประธาน และกรรมการผู้เชี่ยวชาญ รวม 7 คน
o คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัลและอื่น ๆ) ประกอบด้วยประธาน และกรรมการผู้เชี่ยวชาญ รวม 7 คน
หน้าที่และอำนาจของคณะกรรมการผู้เชี่ยวชาญ ตาม ม. 72 มีดังนี้
1. พิจารณาเรื่องร้องเรียนตามพระราชบัญญัติฯ
2. ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
3. ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล
4. ปฏิบัติการอื่นใดตามที่พระราชบัญญัติฯ กำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการผู้เชี่ยวชาญหรือตามที่คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลมอบหมาย
การใช้สิทธิร้องเรียน การฟ้องคดีแพ่ง และการดำเนินคดีอาญาตาม PDPA ต่อคณะกรรมการผู้เชี่ยวชาญ [2]
กรณีที่องค์กร DC หรือ DP ฝ่าฝืนหรือไม่ปฏิบัติตามหน้าที่ที่กำหนดไว้ใน PDPA องค์กรอาจมีความรับผิดทั้งในทางแพ่ง ความรับผิดทางอาญา หรือความรับผิดทางปกครองแล้วแต่กรณี โดยเจ้าของข้อมูลส่วนบุคคล (ประชาชนที่ได้รับความเสียหายหรือถูกละเมิดสิทธิ) สามารถดำเนินการได้ตังนี้
1. การใช้มาตรการบังคับทางปกครองโดยการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
คณะกรรมการผู้เชี่ยวชาญสามารถมีคำสั่งให้องค์กรยุติการกระทำผิดที่เกี่ยวข้องกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือสั่งให้ดำเนินการใด ๆ ตามเงื่อนไขแห่งสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีที่มีการกำหนดคำปรับ เงินค่าปรับทางปกครองดังกล่าวจะนำส่งคลังตาม พ.ร.บ. วิธีการงบประมาณ พ.ศ 2561ผู้เสียหายจะไม่ได้รับการเยียวยาเป็นตัวเงินจากเงินค่าปรับดังกล่าว
2. การฟ้องเรียกค่าเสียหายทางแพ่ง
ต้องดำเนินการฟ้องคดีต่อศาลยุติธรรมที่มีเขตอำนาจ โดยศาลอาจสั่งให้ผู้กระทำผิดชดใช้ค่าสินไหมทดเเทนเพื่อการลงโทษเพิ่มขึ้นอีกไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริงได้ ตัวอย่างเช่น ค่าสินไหมทดแทนที่แท้จริงจำนวน 10,000 บาท ศาลกำหนดค่าสินไหมทดแทนเพื่อการลงโทษให้อีก 20,000 บาท (2 เท่าของค่าสินไหมทดแทนที่แท้จริง ทั้งนี้เป็นดุลพินิจของศาล) รวมจำนวนค่าสินไหมทดแทนทั้งสิ้น 30,000 บาท กรณีนี้ ผู้เสียหายจะได้รับการเยียวยาเป็นตัวเงิน และศาลอาจมีคำสั่งให้ผู้กระทำการฝ่าฝืนกฎหมายยุติการดำเนินการใด ๆ ที่เป็นสาเหตุแห่งการกระทำความผิดได้
3. การดำเนินคดีอาญา
ต้องดำเนินการตามเงื่อนไขของประมวลกฎหมายวิธีพิจารณาความอาญาโดยการแจ้งความร้องทุกข์ต่อพนักงานสอบสวนหรือใช้สิทธิในการฟ้องคดีอาญาด้วยตนเอง กรณีนี้ ผู้กระทำผิดอาจต้องรับโทษจำคุกหรือถูกปรับตามเงื่อนไขที่กฎหมายกำหนด แต่ผู้เสียหายจะไม่ได้รับการเยียวยาเป็นตัวเงิน
หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ [2]
คณะกรรมการผู้เชี่ยวชาญออกคำสั่งทางปกครองโดยคำนึงถึงปัจจัย ดังนี้
ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับและผลกระทบในวงกว้าง
กระทำโดยเจตนา / จงใจ / ประมาทเลินเล่ออย่างร้ายแรง
บทลงโทษที่เคยใช้ในความผิดทำนองเดียวกัน
มูลค่าความเสียหาย
ความร้ายแรงของพฤติกรรม
ขนาดกิจการ
การลงโทษปรับจะบรรเทาความเสียหายเพียงใด
ประวัติการเคยถูกลงโทษ
ระดับความรับผิดชอบและมาตรฐานขององค์กร
ประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัย
การเยียวยาและบรรเทาความเสียหาย
การชดใช้ค่าสินไหมทดแทน
ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง
การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ [2]
บทลงโทษทางปกครองจะพิจารณาตามระดับความร้ายแรงของการทำความผิด ดังนี้
กรณีไม่ร้ายแรง คณะกรรมการผู้เชี่ยวชาญจะออกคำสั่ง
1. ตักเตือน / สั่งให้ปฏิบัติ / แก้ไข หยุด ระงับ ละเว้น / งดเว้นการกระทำ ให้ถูกต้อง
2. สั่งห้ามปฏิบัติ หรือให้ปฏิบัติเพื่อระงับความเสียหาย
3. สั่งจำกัดการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กรณีร้ายแรง หรือคำสั่งให้แก้ไขหรือตักเตือนไม่เป็นผล คณะกรรมการผู้เชี่ยวชาญจะออกคำสั่งปรับทางปกครอง โดยคำนึงถึง
1. ความร้ายแรง
2. พฤติการณ์อื่น
และอาจมีคำสั่งตามข้อ 1/2/3 ของกรณีไม่ร้ายแรงด้วยก็ได้
กรณีที่คณะกรรมการผู้เชี่ยวชาญอาจมีคำสั่งไม่รับเรื่องหรือสั่งยุติเรื่องร้องเรียน [2]
1. คำร้องเรียนมีลักษณะ รายละเอียด และเอกสารหลักฐานไม่ถูกต้องหรือไม่ครบถ้วน
*ในขั้นตอนการยื่นเจ้าหน้าที่จะให้คำแนะนำช่วยเหลือ และขั้นตอนการตรวจสอบคำร้องเรียนพนักงานเจ้าหน้าที่จะให้คำแนะนำการแก้ไข
2. เคยมีเรื่องร้องเรียนโดยเหตุเดียวกันแล้วและได้มีการพิจารณาจนเป็นที่ยุติแล้ว
3. ไม่ใช่กรณีที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือประกาศตาม PDPA
4. มีการพิจารณาเรื่องนั้นอยู่แล้วตามกฎหมายอื่น
5. ผู้ร้องเรียนไม่ได้มีความเกี่ยวข้องโดยตรง
6. ผู้ร้องเรียนขอถอนคำร้องเรียนหรือองค์กรได้ปฏิบัติตามคำขอแล้ว
คณะกรรมการผู้เชี่ยวชาญจะส่งเรื่องคืนให้แก่พนักงานเจ้าหน้าที่เพื่อแจ้งผลการพิจารณาให้ผู้ร้องเรียนทราบ
ช่องทางยื่นคำร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ [2]
ยื่นโดยตรงต่อสำนักงานฯ
ยื่นผ่านทางไปรษณีย์
ยื่นผ่านช่องทางอิเล็กทรอนิกส์
อีเมล saraban@pdpc.or.th เว็บไซต์ www.pdpc.or.th
หรือช่องทางอื่นตามที่สำนักงานกำหนดฯ
คำร้องเรียน ต้องมีรายละเอียดอย่างน้อย ดังนี้
ชื่อตัว ชื่อสกุล ของผู้ร้องเรียน และที่อยู่ หมายเลขโทรศัพท์ หรืออีเมล พร้อมแสดงบัตรประจำตัวประชาชนหรือเอกสารประจำตัวอื่น
รายละเอียดข้อเท็จจริงและข้อมูลที่เกี่ยวข้อง
รายละเอียดความเสียหายหรือผลกระทบ
หลักฐานที่เกี่ยวข้อง เช่น พยานเอกสาร พยานวัตถุ ถ้อยคำพยานบุคคล เป็นต้น
คำขอที่ต้องการ
คำรับรองว่าการร้องเรียนว่าเป็นความจริง
ผู้ร้องเรียน คือ เจ้าของข้อมูลส่วนบุคคล ที่ใช้สิทธิร้องเรียนต่อองค์กรในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึง ลูกจ้าง หรือ ผู้รับจ้างขององค์กรนั้นที่ฝ่าฝืน หรือ ไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA
รายชื่อหน่วยงานกำกับดูแลคุ้มครองข้อมูลส่วนบุคคล (SA) ทั่วโลก
ดูรายชื่อ List of national data protection authorities
ที่มา:
[1] กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม https://www.mdes.go.th/mission/82
[2] PDPC Thailand https://www.facebook.com/pdpc.th
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
เข้าใจ PDPA ตอนที่ 8: แผนผังสรุปองค์ประกอบ PDPA ตัวอย่างกิจกรรมของโรงเรียน-สมาคมศิษย์เก่า / โรงแรม-บริษัททัวร์ / โรงพยาบาล A-โรงพยาบาล B
ภาพที่ 1. แผนผังแสดงความสัมพันธ์ภาพรวมทั่วไปของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงเรียน
ภาพที่ 2. แผนผังแสดงความสัมพันธ์ของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงเรียน และสมาคมศิษย์เก่า
ตัวอย่างกิจกรรม: สมาคมศิษย์เก่าจัดงานคืนสู่เหย้า โดยจ้างออแกไนเซอร์
ภาพที่ 3. แผนผังแสดงความสัมพันธ์ภาพรวมทั่วไปของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงแรม
ภาพที่ 4. แผนผังแสดงความสัมพันธ์ของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงแรม และบริษัททัวร์
ตัวอย่างกิจกรรม: บริษัททัวร์ขายแพคเกจรวมที่พักในงานไทยเที่ยวไทย
ภาพที่ 5. แผนผังแสดงความสัมพันธ์ภาพรวมทั่วไปของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงพยาบาล
ภาพที่ 6. แผนผังแสดงความสัมพันธ์ของผู้ที่เกี่ยวข้องและสิ่งที่เกี่ยวข้องตามแนวปฏิบัติ PDPA ของโรงพยาบาล A แลtโรงพยาบาล B
ตัวอย่างกิจกรรม: โรงพยาบาล A ส่งผู้ป่วยไปรักษาต่อที่โรงพยาบาล B
หมายเหตุ: กิจกรรมที่ยกมาเป็นตัวอย่างข้างต้น ในความเป็นจริงอาจมีรายละเอียด เช่น DS มากกว่านี้ เป็นต้น แต่ด้วยวัตถุประสงค์หลักเพื่อให้ผู้อ่านได้เข้าใจบริบทของ PDPA ได้ชัดเจนขึ้นผ่านรูปภาพที่ผู้เขียนสร้างขึ้นมา จึงไม่ได้ลงรายละเอียดมากจนเกินไป
***********
เข้าใจ PDPA => ใช้สิทธิได้อย่างถูกต้อง => เกิดประโยชน์สูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพิ่มประสิทธิภาพให้ผู้คุ้มครองข้อมูลส่วนบุคคล สร้างความเข้มแข็งให้เศรษฐกิจของประเทศ
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
วิธีป้องกันตัวเองจากการละเมิดข้อมูลส่วนบุคคลโดยความรู้เท่าไม่ถึงการณ์ของพ่อค้าแม่ค้าออนไลน์
ทุกครั้งที่สั่งซื้อสินค้า เราสามารถช่วยแจ้งพ่อค้าแม่ค้าออนไลน์ให้ช่วยคุ้มครองข้อมูลส่วนบุคคลของเราตาม PDPA ได้ โดยไม่ต้องรอให้พ่อค้าแม่ค้าเป็นฝ่ายหาความรู้ PDPA แต่เพียงฝ่ายเดียว
ตัวเราซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล สามารถช่วยเหลือพ่อค้าแม่ค้าออนไลน์โดยการเป็นฝ่ายแจ้งว่า เรายินยอมหรือไม่ยินยอมให้เขาทำอะไรกับข้อมูลเราได้บ้าง และต้องทำอย่างไรเมื่อใช้ข้อมูลจบแล้ว
ตัวอย่างข้อความที่ใช้แจ้งพ่อค้าแม่ค้าออนไลน์ทุกครั้งที่สั่งซื้อสินค้าที่ผู้เขียนใช้อยู่ในปัจจุบัน
*********
ถึง พ่อค้าแม่ค้าออนไลน์ที่น่ารัก
เรายินยอมให้ใช้ข้อมูลส่วนตัวที่ท่านขอไปนี้เพื่อบริการจัดส่ง/รับคืนสินค้า
ให้เราครั้งนี้ครั้งเดียวเท่านั้น เมื่อให้บริการจบแล้ว ท่านต้องลบ/ทำลายข้อมูลของเราทิ้งทันที
เราไม่ยินยอมให้นำข้อมูลไปเผยแพร่สู่สาธารณะทุกกรณี เช่น ใช้โฆษณาบนสื่อโซเชียล, ใช้อ้างอิงเป็นรีวิว เป็นต้น รวมถึง
1. ห้ามส่งต่อข้อมูลให้บุคคลอื่นที่ไม่เกี่ยวข้องกับการให้บริการในครั้งนี้
2. ท่านต้องแจ้งให้พนักงานและคู่ค้า เช่น ตัวแทนจำหน่ายของท่าน
ทราบถึงการไม่ยินยอมนี้ด้วย
ขอบคุณที่ปฎิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งกำหนดให้ท่านต้องคุ้มครองข้อมูลส่วนบุคคลที่ท่านเก็บรวบรวม ใช้ และเปิดเผย รวมถึงปฎิบัติตามการขอใช้สิทธินี้ของเราซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
จาก ลูกค้าที่น่ารัก
*ศึกษาเพิ่มเติมเกี่ยวกับ PDPA ได้ที่เพจ PDPC Thailand*
*********
PDPA เป็นกฎหมายใหม่ที่บัญญัติมาเพื่อคุณภาพชีวิตที่ดีของทุกคน แม้กฎหมายจะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลฝ่ายเดียวก็ตาม แต่ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
วิธีป้องกันมิจฉาชีพนำข้อมูลส่วนบุคคลบนพัสดุไปรษณึย์ไปใช้
พฤติกรรมของคนส่วนใหญ่จะทิ้งซองเอกสาร, กล่องพัสดุไปรษณีย์ที่มีข้อมูลส่วนบุคคล (ชื่อสกุล ที่อยู่ เบอร์โทรศัพท์) ที่อยู่ในรูปแบบตัวอักษรที่อ่านได้ด้วยตาเปล่า และรูปแบบ ฺBarcode/QR code ที่อ่านโดยเครื่องอ่านอัตโนมัติ
ข้อมูลส่วนบุคคลเหล่านี้ หากตกไปอยู่ในมือมิจฉาชีพนำไปใช้โดยมิชอบ เช่น ใช้ในการหลอกลวงต่อเจ้าของข้อมูลเอง หรือแอบอ้างใช้หลอกลวงผู้อื่น ก็อาจจะทำให้เกิดความเสียหายต่อทรัพย์สิน และ/หรือต่อจิตใจของเจ้าของข้อมูลเอง หรือบุคคลที่เกี่ยวข้องได้
การป้องกันภัยจากมิจฉาชีพ เริ่มต้นได้ที่ตัวเราเองง่ายๆ ด้วยการขีดฆ่า ตัดทิ้ง ทำลายข้อมูลส่วนบุคคลของเราทั้งข้อความและ Barcode/QR code บนซองเอกสาร กล่องพัสดุไปรษณีย์ก่อนทิ้งขยะ เป็นสิ่งที่เราควรทำให้เป็นปกตินิสัย
PDPA เป็นกฎหมายใหม่ที่บัญญัติมาเพื่อคุณภาพชีวิตที่ดีของทุกคน แม้กฎหมายจะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลก็ตาม แต่กฎหมายคุ้มครองได้เฉพาะในส่วนของความผิดที่พิสูจน์ได้ว่าเกิดจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ดังนั้น การป้องกันภัยที่อาจเกิดจากพฤติกรรมในการดำเนินชีวิตประจำวันของเราเองจึงเป็นเรื่องจำเป็นที่เราควรตระหนักเช่นกัน
ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
วิธีทำให้รู้เลย ใครคือผู้ควบคุมข้อมูลส่วนบุคคลที่เราจะใช้สิทธิตาม PDPA ได้ เมื่อเอกสารที่มีข้อมูลส่วนบุคคลของเราถูกละเมิด
การทำธุรกรรมแทบทุกอย่าง อาทิ สัญญาซื้อขาย, สัญญากู้ยืม, สมัครเรียน, สมัครทำงาน, ขอมิเตอร์น้ำ-ไฟ ฯลฯ จำเป็นต้องใช้สำเนาเอกสารระบุตัวตนที่มีข้อมูลส่วนบุคคล เช่น สำเนาบัตรประชาชน, สำเนาทะเบียนบ้าน ฯลฯ ประกอบการทำสัญญาเพื่อให้มีผลบังคับทางกฎหมายที่เกี่ยวข้อง
เราควรระบุวัตถุประสงค์ และระบุชื่อบุคคล/บริษัท/หน่วยงานรัฐบนเอกสารที่ให้ไปทุกครั้ง เพราะชื่อนี้ คือ ชื่อผู้ควบคุมข้อมูลส่วนบุคคลของเราตาม PDPA จะช่วยให้เรารู้ว่า ใครคือผู้ควบคุมข้อมูลส่วนบุคคลที่เราอาจต้องขอใช้สิทธิตาม PDPA หากเกิดการละเมิดข้อมูลส่วนบุคคลของเรา เช่น เอกสารถูกใช้เป็นถุงกล้วยแขก เป็นเหตุให้เราได้รับความเดือดร้อนจากมิจฉาชีพ เป็นต้น
แม้กฎหมาย PDPA จะกำหนดหน้าที่และบทลงโทษมาให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องรับผิดชอบต่อการละเมิดข้อมูลส่วนบุคคลของเราก็ตาม แต่กระบวนการเรียกร้องสิทธิต้องใช้ระยะเวลา ดังนั้น การปรับพฤติกรรมเล็ก ๆ น้อย ๆ ในการดำเนินชีวิตประจำวัน จะมีส่วนช่วยให้เราระงับเหตุการละเมิดข้อมูลส่วนบุคคลของเราได้รวดเร็วขึ้น
ผู้เขียนเชื่อว่า การช่วยเหลือแลกเปลี่ยนเรียนรู้เติบโตไปด้วยกันของทั้งเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล จะช่วยสร้างสังคมที่ดีที่น่าอยู่และปลอดภัยให้พวกเราได้เร็วขึ้น
ผู้เขียน: อัจฉรา สุขสาคร
เครดิตภาพบัตรประชาชน: เวปไซต์สถานเอกอัครราชทูตไทย ณ กรุงวอชิงตัน
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
สูตรจำง่าย! เวลาต้องขอความยินยอมจากผู้หย่อนความสามารถ (ผู้เยาว์, ผู้เสมือนไร้ความสามารถ, ผู้ไร้ความสามารถ) ตาม PDPA
PDPA มาตรา 19, 20, 26 (3) โดยสรุปกำหนดว่า ความยินยอมจะต้องขอก่อน หรือในขณะที่ประมวลผล ทำเป็นหนังสือแบบฟอร์ม หรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้งแยกส่วนจากข้อความอื่น รูปแบบเข้าถึงง่าย เข้าใจได้ง่าย เป็นภาษาที่อ่านง่ายไม่หลอกลวง ไม่เป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขการให้บริการ ต้องมีอิสระ (Freely Given) และต้องถอนถอนง่าย ถอนเมื่อไหร่ก็ได้ การถอนไม่ส่งผลกับการประมวลผลที่ได้ยินยอมไปแล้ว (ไม่มีผลย้อนหลัง) แต่เมื่อต้องขอความยินยอมจากผู้เยาว์, ผู้ไร้ความสามารถ, ผู้เสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากบุคคลเพิ่มขึ้น ด้วย 4 สูตรนี้จะทำให้เข้าใจและจดจำได้ง่ายขึ้น
ผู้เยาว์ อายุมากกว่า 10 ปี แต่ไม่เกิน 20 ปี (>10-20)
สูตร 1+1 = ขอจากผู้เยาว์ [1] +ขอจากผู้ใช้อำนาจปกครอง [1]
ผู้เยาว์ อายุน้อยกว่า 10 ปี (<10)
สูตร 0+1 = ไม่ต้องขอผู้เยาว์ [0] +ขอจากผู้ใช้อำนาจปกครอง [1]
ผู้เสมือนไร้ความสามารถ
สูตร 0+1 = ไม่ต้องขอผู้เสมือนไร้ความสามารถ [0] +ขอจากผู้พิทักษ์ [1]
ผู้ไร้ความสามารถ
สูตร 0+1 = ไม่ต้องขอผู้ไร้ความสามารถ [0] +ขอจากผู้อนุบาล [1]
ทั้งนี้ การประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ข้อมูลส่วนบุคคล ไม่จำเป็นต้องใช้ฐานความยินยอมของ PDPA เสมอไป หากมีกฎหมายอื่นรองรับให้ทำได้ เช่น ประมวลกฎหมายแพ่งและพาณิชย์มาตรา 22, 23, 24 ที่ว่าด้วยเรื่องการทำนิติกรรมของผู้เยาว์ เป็นต้น
ความรู้ความเข้าใจ PDPA ไม่ควรเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลแต่เพียงฝ่ายเดียว หากเจ้าของข้อมูลส่วนบุคคลมีความรู้ความเข้าใจ PDPA ด้วย จะมีส่วนช่วยป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพยิ่งขึ้น
ผู้เขียน: อัจฉรา สุขสาคร
#pdpaร่วมด้วยช่วยกัน #pdpaกันไว้ดีกว่าแก้ #PDPAforMSME #PDPA #CRAFTLAB #CraftLabbyKMUTT #KMUTT7factors #DBM #EPM #digitaltransformation
บทความอื่นที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
บทความโดย
อัจฉรา สุขสาคร
นักวิจัย Craft Lab by KMUTT
วิทยากรอาสา PDPA Train The Trainer
นักจัดการคุ้มครองข้อมูลส่วนบุคคล คุณวุฒิวิชาชีพระดับ 6
