รับฟรี Checklist

10 คำถามเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล(PDPA): เตรียมพร้อมก่อนอุ่นใจกว่า (ตอนที่ 1)

May 13, 2020
Posted on

ผู้ประกอบการหลายๆท่านคงจะทราบกันดีแล้วว่า ตามกำหนดการ ในวันที่ 27 พฤษภาคม 2563 พรบ. คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้สมบูรณ์ แม้ในขณะนี้ทาง ครม. กำลัง พิจารณาเลื่อนใช้ พรบ. นี้ออกไปอีก 1 ปี แต่ในท้ายที่สุด พรบ.นี้ก็จะต้องมีผลบังคับใช้ เพียงแต่ผู้ประกอบการมีเวลาได้หายใจในการเตรียมตัวมากขึ้น และเพื่อเป็นการเตรียมความพร้อมให้กับผู้ประกอบการ ทาง The Founders Square ร่วมกับ LawXTech จึงได้สรุป10 คำถามเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาให้ทำความเข้าใจและตอบคำถามที่มีคนถามกันบ่อยๆ เกี่ยวกับ พรบ. ฉบับนี้กันค่ะ 

Q1: อะไรจะเกิดขึ้นหลังจากพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลอย่างเป็นทางการ

ผลกระทบต่อเจ้าของข้อมูล
เจ้าของข้อมูล ซึ่งหมายถึงบุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลซึ่งภาคธุรกิจประมวลผลมีสิทธิควบคุมการประมวลผลข้อมูลดังกล่าวได้มากขึ้น และมีสิทธิเรียกร้องหากพบกรณีที่ภาคธุรกิจทำให้ตนเองได้รับความเสียหายได้ด้วยบทลงโทษที่หนักขึ้น ดังนี้
     - มีสิทธิขอเข้าถึงขอสำเนา ขอให้มีการโอนถ่ายข้อมูล ขอคัดค้านและระงับการประมวลผลข้อมูล ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลหรือสิทธิในการเลือกให้หรือถอนความยินยอมอย่างอิสระ
     - กรณีได้รับความเสียหาย สามารถฟ้องได้ทั้งทางแพ่ง ทางอาญา และทางปกครอง


ผลกระทบต่อภาคธุรกิจ
ภาคธุรกิจ ในฐานะผู้ควบคุมข้อมูลยังสามารถประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินธุรกิจของตนได้เช่นเดิม แต่ต้องใช้ความระมัดระวัง และมีกรอบที่ต้องปฏิบัติตามที่ชัดเจนมากขึ้น ดังนี้

     - ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคล เพียงเท่าที่จำเป็น

     - การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย
      ปฏิบัติหน้าที่ตามสัญญา สิทธิอันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอม ต้องได้รับความยินยอมก่อน

     - ต้องอธิบาย และแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ 

     - ต้องรับประกันความมั่นคงปลอดภัยของข้อมูล

Q2: พรบ.​ มีผลบังคับย้อนหลังไปบังคับกับข้อมูลที่ได้มาก่อน 27 พ.ค. หรือไม่

โดยหลักกฎหมายที่ออกใหม่จะ "ไม่มีผลย้อนหลังเป็นโทษ" ดังนั้น พรบ. คุ้มครองข้อมูลส่วนบุคคล จะไม่มีผลกลับไปบังคับโทษสำหรับการประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการมาก่อน 27 พ.ค. แม้จะเป็นประมวลผลไม่ถูกต้องสอดคล้องกับพรบ. ก็ตาม

สำหรับข้อมูลที่เก็บรวบรวมไว้ตั้งแต่ก่อน 27 พ.ค. พรบ. กำหนดหลักเกณฑ์ที่ผู้ควบคุมข้อมูล ต้องดำเนินการกับข้อมูลส่วนบุคคลดังกล่าวภายใต้แนวทางดังนี้

     - หากเป็นการประมวลผลข้อมูลด้วยฐานอันชอบด้วยกฎหมายอื่น ที่ไม่ใช่ฐานการขอความยินยอม ผู้ควบคุมข้อมูลสามารถประมวลผล
      ข้อมูลด้วยวัตถุประสงค์เดิมได้อยู่ แต่ต้องแจ้งให้เจ้าของข้อมูล ทราบเกี่ยวกับการประมวลผลข้อมูลดังกล่าว เช่น การทำ Privacy
      Notice และส่ง E-mail ไปแจ้ง
     - หากเป็นการประมวลผลข้อมูลด้วยฐานความยินยอม ผู้ควบคุมข้อมูลต้องตรวจสอบว่า เจ้าของข้อมูลเคยให้ความยินยอมในการ
      ประมวลผลข้อมูลแก่ผู้ควบคุมข้อมูลในลักษณะใดไว้หรือไม่
           หากเคย
ผู้ควบคุมข้อมูลต้องแจ้งการให้ความยินยอมที่ผ่านมาให้เจ้าของข้อมูลทราบ และให้สิทธิเจ้าของข้อมูลในการถอนความ
                   ยินยอมได้ (Opt-Out)
          หากไม่เคย ผู้ควบคุมข้อมูลต้องขอความยินยอมในการประมวลผลข้อมูลดังกล่าวจากเจ้าของข้อมูลเป็นการเฉพาะภายใต้พรบ.
                   จึงจะสามารถประมวลผลข้อมูลดังกล่าวได้ (Opt-In)

Q3: บทกำหนดโทษก่อน-หลังพรบ. ต่างกันอย่างไร

     ก่อนมีพรบ. ในกรณีที่เจ้าของข้อมูลได้รับความเสียหายอันเกี่ยวเนื่องจากการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถฟ้องร้องผู้กระทำผิดดังกล่าวซึ่งหมายถึง ตัวบุคคล หรือนิติบุคคลใดหนึ่งที่เป็นผู้กระทำการดังกล่าวได้โดยตรง โดยการดำเนินคดีเป็น 2 ลักษณะ คือ ฟ้องคดีแพ่งและฟ้องคดีอาญา 

     หลังมีพรบ. เจ้าของข้อมูลที่ได้รับความเสียหายจะได้รับประโยชน์ความคุ้มครองในการเรียกร้องสิทธิมากขึ้น ด้วยการดำเนินคดีเป็น 3 ลักษณะ โดยเป็นการดำเนินคดีกับองค์กรผู้ควบคุมข้อมูลทั้งองค์กร ไม่ใช่เพียงบุคคลใดบุคคลหนึ่งที่กระทำผิด คือ

Q4: Privacy Notice vs Terms of Services

ทุกครั้งที่สมัครบัญชีผู้ใช้งาน หรือสมัครสมาชิก รวมถึงใช้บริการทางออนไลน์ผ่านหน้าเว็บไซต์ หรือ Application ต่างๆ ในตอนท้ายก่อนทำรายการ จะมีกล่องข้อความให้กดยินยอมเอกสาร 2 ฉบับอยู่ เสมอ คือ “เงื่อนไขการให้บริการ” (Terms of Services) และ “นโยบายข้อมูลส่วนบุคคล” (Privacy Notice) เอกสารทั้งสองฉบับถูกสร้างขึ้นด้วยจุดประสงค์ที่แตกต่างกัน แต่ต้องใช้คู่กัน 

     Terms of Services เป็นเอกสารที่อธิบายถึงขอบเขตการให้บริการ ที่ภาคธุรกิจให้แก่ผู้ใช้บริการ เงื่อนไขข้อจำกัดความรับผิดต่างๆของผู้ให้บริการดังกล่าว รวมถึง การกำหนดข้อห้ามในการใช้บริการไว้ สำหรับเอกสารนี้กฎหมายไม่ได้กำหนดให้ต้องทำและไม่มีแบบ

     Privacy Notice
เป็นเอกสารที่ภาคธุรกิจ ในฐานะ ผู้ควบคุมข้อมูล มีหน้าที่ต้องแจ้งให้ผู้ใช้บริการ ในฐานะเจ้าของข้อมูล ได้ทราบเกี่ยวกับการประมวลผลข้อมูลที่จะดำเนินการ โดย พรบ. กำหนดเป็นหน้าที่ที่ต้องทำ และกำหนดหัวข้อที่ต้องเขียนในเอกสารไว้


ความเชื่อมโยงระหว่าง 2 เอกสารคือ "Terms of Services" เป็นเอกสารที่บอกถึงการให้บริการซึ่งแสดงหน้าที่ตามสัญญาที่ผู้ควบคุมข้อมูลต้องให้แก่เจ้าของข้อมูล ซึ่งหากผู้ควบคุมข้อมูลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลส่วนใด เพื่อการปฏิบัติหน้าที่ตามที่ระบุไว้ใน Terms of Services ย่อมเป็นกรณีที่ผู้ควบคุมมีสิทธิประมวลข้อมูลดังกล่าวได้ด้วยฐานการปฏิบัติหน้าที่ตามสัญญา ซึ่งถือเป็นฐานการประมวลผลที่ พรบ. อนุญาตรองรับ และผู้ควบคุมข้อมูลมีเพียงหน้าที่แจ้งการ ประมวลผลดังกล่าวลงใน "Privacy Notice" เท่านั้น ไม่ต้องขอ Consent

Q 5 : รูปแบบการขอความยินยอมที่ถูกต้อง ต้องเป็นอย่างไร

กรณีการประมวลผลข้อมูลส่วนบุคคลด้วยฐานความยินยอม ผู้ควบคุมข้อมูลต้องขอความยินยอม จากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลดังกล่าว โดยต้องดำเนินการ ดังนี้

จะเห็นได้ว่า พรบ. คุ้มครองข้อมูลส่วนบุลคล (PDPA) ฉบับใหม่นี้ได้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งสามารถปฏิเสธการให้ข้อมูลได้ รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง 

ในตอนต่อไปเราจะพูดถึง พรบ. คุ้มครองข้อมูลส่วนบุคคล ที่ใกล้ตัวเรามากขึ้น เช่น การขอใช้สิทธิ์ของเจ้าของข้อมูลเพื่อลบข้อมูลจะต้องลบทุกกรณีหรือไม่? การลงนามในสัญญารักษาความลับ (Non Disclosure Agreement : NDA) เพียงพอแล้วหรือยัง? หรือ Cookies Policy ในการเข้าเว็บไซต์ต่าง ๆ ของเราในแต่ละครั้งสำคัญอย่างไร?

ติดตาม ตอนที่ 2 ได้ที่ 10 คำถามเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) : เตรียมพร้อมก่อนอุ่นใจกว่า (ตอนที่ 2)

HUBBA และ The Founders Square เรายินดีแบ่งปันความรู้และสาระต่าง ๆ ให้กับทุกท่าน ไม่ว่าจะเป็นด้านธุรกิจ เศรฐกิจ สังคม ที่เกี่ยวข้องกับการพัฒนาและเติบโตของผู้ประกอบการไทย หากมีข้อสงสัย แนะนำ ติชม สามารถติดต่อได้ที่ tfs@hubbathailand.com ค่ะ


แชร์

HUBBA Team and LawXTech