กฎหมาย PDPA นี้มีบทลงโทษทั้งทาง แพ่ง อาญา และโทษทางปกครองในอัตราโทษสูง  จึงมีความจำเป็นอย่างยิ่งที่บรรดานิติบุคคลที่ประกอบธุรกิจโดยมีการเก็บ รวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของลูกค้าบุคคลธรรมดาตลอดจน คู่ค้า พันธมิตรทางธุรกิจนิติบุคคลที่มีข้อมูลบุคคลธรรมดาแฝงอยู่ด้วย จะต้องจัดทำโครงสร้างการปฏิบัติตามกฎหมาย PDPA ตลอดจน ตรวจสอบและ Maintain ข้อมูลส่วนบุคคลที่เป็นข้อมูลอิเล็กทรอนิกส์ ให้พร้อมสำหรับลูกค้าบุคคลธรรมดาที่ประสงค์จะใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตน ให้ครบถ้วนสมบูรณ์ภายในระยะเวลาที่กฎหมายจะบังคับใช้ทั้งฉบับในปี 2564 นี้


หมายเหตุ  

1. ปัจจุบัน บทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ใช้บังคับแล้ว คือ หมวด ๑ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหมวด ๔ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายความว่า กระบวนการสรรหาประธานกรรมการ และกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังคงดำเนินอยู่ตามกฎหมาย โดยในขณะนี้ทางกระทรวงดิจิทัลฯ ได้ดำเนินการสรรหาประธานกรรมการและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยนำเสนอรายชื่อบุคคลต่อคณะรัฐมนตรีแล้ว และอยู่ในขั้นตอนการจัดทำกฎหมายลำดับรอง อาทิเช่น  1. การบริหารจัดการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 2. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 3. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ 4. สิทธิเจ้าของข้อมูลส่วนบุคคล 5.หน้าที่ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล และ 6. การร้องเรียนและโทษปรับทางปกครอง

2. ส่วนบทบัญญัติที่จะมีผลใช้บังคับ ในวันที่ 31 พฤษภาคม 2564 คือ หมวด ๒ การคุ้มครองข้อมูลส่วนบุคคล  หมวด ๓ สิทธิเจ้าของข้อมูลส่วนบุคคล  หมวด ๕ การร้องเรียน  หมวด ๖ ความรับผิดทางแพ่ง  หมวด ๗ บทกำหนดโทษ

เหตุผล ความจำเป็น...ความเร่งด่วนในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

คำชี้แจงเบื้องต้น

ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019)“ PDPA” มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562 ปัจจุบันมีความจำเป็นสำหรับองค์กรธุรกิจและบุคคลที่เกี่ยวข้องที่จะต้องตระหนักถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยรวมและปฏิบัติให้เป็นไปตามกฎหมายดังกล่าว


กฎหมายนี้แบ่งออกเป็น 7 หมวด  96 มาตรา ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในสองขั้นตอน ในระยะแรกพระราชบัญญัตินี้มีผลบังคับใช้ในวันถัดจากวันที่ประกาศในราชกิจจานุเบกษาได้แก่วันที่ 28 พฤษภาคม พ.ศ. 2562 ยกเว้นบทบัญญัติบางประการ ได้แก่บทบัญญัติในหมวด 2 หมวด 3 หมวด 5 หมวด 6 หมวด 7 และความในมาตรา 95 และมาตรา 96 ซึ่งส่วนใหญ่เกี่ยวข้องกับผู้ประกอบการ จะมีผลบังคับใช้หลังจากพ้นกำหนดหนึ่งปีนับจากวันที่ประกาศได้แก่ วันที่ 27 พฤษภาคม พ.ศ. 2563 


ต่อมาได้มีพระราชกฎษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ศ.2563 ออกตามความในมาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดให้ 22 หน่วยงานและกิจการไม่ต้องอยู่ในบังคับใช้ของกฎหมายฉบับนี้ จึงมีผลให้วันที่บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เลื่อนออกไปเป็นวันที่ 31 พฤษภาคม 2564


วัตถุประสงค์หลักของกฎหมายฉบับนี้คือเพื่อปกป้องข้อมูลส่วนบุคคลของกลุ่มข้อมูลจากการละเมิดทุกรูปแบบเพื่อให้บรรลุเป้าหมายดังกล่าวกฎหมายจึงพยายามกำหนดกลไกที่เหมาะสมซึ่งจะขัดขวางการละเมิดสิทธิในการปกป้องข้อมูลส่วนบุคคลและรับประกันตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล|

เพื่อเป็นการปฏิบัติตามกฎหมายให้ทันตามกำหนดเวลา  จึงมีความสำคัญสูงสุดสำหรับองค์ที่เกี่ยวข้องที่จะต้องทราบว่าบทบัญญัติใดเกี่ยวข้องกับองค์กรโดยตรงเพื่อที่องค์กรจะสามารถเลือก และมุ่งเน้นที่จะปฏิบัติตามบทบัญญัติเกี่ยวข้องได้อย่างถูกต้อง


พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แบ่งออกเป็น 7 หมวด  ดังนี้

หมวด 1:   ว่าด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หมวด 2:   ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
            ส่วนที่ 1 บททั่วไป
            ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล
            ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

หมวด 3:  ว่าด้วยสิทธิของเจ้าของข้อมูลส่วนบุคคล

หมวด 4:  ว่าด้วยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หมวด 5:  ว่าด้วยการร้องเรียน

หมวด 6:  ว่าด้วยความรับผิดทางแพ่ง
                                                
หมวด 7:  ว่าด้วยบทกำหนดโทษ
           ส่วนที่ 1 โทษทางอาญา
           ส่วนที่ 2 โทษทางปกครอง

บทเฉพาะกาล

สรุปสาระสำคัญ

กลไกการคุ้มครอง: ในระหว่างที่ผู้ประกอบการอยู่ภายใต้พระราชบัญญัตินี้ คณะกรรมการเป็นหน่วยงานหลักที่กำหนดมาตรการหรือแนวทางในการดำเนินงานด้านการป้องกันในขณะที่สำนักงานนำโดยเลขาธิการเป็นหน่วยปฏิบัติการของคณะกรรมการและอยู่ภายใต้การกำกับดูแลของคณะกรรมการภายใต้คณะกรรมการยังมีคณะกรรมการผู้เชี่ยวชาญซึ่งจะจัดการกับข้อร้องเรียนที่ยื่นโดยเจ้าของข้อมูลรวมถึงมีอำนาจในการตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอีกทั้งพิจารณาข้อพิพาทที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ออกคำสั่งเกี่ยวกับประสิทธิภาพหรือการแก้ไขของการกระทำโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งมีอำนาจสั่งยึด อายัด หรือขายทอดตลาดทรัพย์สินของ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

คำจำกัดความที่สำคัญ: ข้อมูลส่วนบุคคล”หมายถึง“ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”

การรวบรวมและการใช้หรือการเปิดเผยข้อมูล: การรวบรวมและการใช้หรือการเปิดเผยข้อมูลส่วนบุคคลนั้นอยู่ภายใต้ข้อจำกัดจะต้องกำหนดไว้อย่างชัดเจนก่อนได้รับความยินยอม โดยมีมาตรการความปลอดภัยที่เพียงพอและรับประกันการป้องกันการรั่วไหลของข้อมูล อย่างไรก็ตาม กฎหมายได้มีข้อยกเว้นที่ระบุไว้อย่างชัดเจนในการรวบรวมและใช้ข้อมูลส่วนบุคคลได้โดยไม่จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลรวมถึงข้อยกเว้นบางประการจากข้อจำกัดในการรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นนอกเหนือจากการได้มาซึ่งข้อมูลโดยตรง สำหรับการถ่ายโอนข้อมูลส่วนบุคคลในต่างประเทศ เช่นการโอนข้อมูลข้ามแดนจะต้องมีการประเมินมาตรฐานการปกป้องข้อมูลที่เพียงพอของปลายทางต่างประเทศ และการปฏิบัติตามกฎ หรือหลักเกณฑ์ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ

สิทธิของเจ้าของข้อมูลส่วนบุคคล: ภายใต้พระราชบัญญัตินี้เจ้าของข้อมูลสามารถใช้สิทธิต่างๆได้ อาทิเช่นการเข้าถึงข้อมูลส่วนบุคคล การพกพาข้อมูล การคัดค้าน การรวบรวม การลบ หรือทำลายข้อมูลส่วนบุคคล หรือการสั่งให้ลบข้อมูลส่วนบุคคล การยื่นเรื่องร้องเรียน เป็นต้น

พื้นฐานทางกฎหมายและการบังคับใช้: การเก็บ รวบรวม และใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องอาศัยพื้นฐานทางกฎหมาย เช่นการยินยอมจากเจ้าของข้อมูล หรือการยกเว้นตามที่ระบุไว้ในหมวดที่ 4 เช่นความมั่นคงของรัฐ หรือความมั่นคงสาธารณะ สำหรับหนังสือพิมพ์ ศิลปะ หรือวรรณกรรม วัตถุประสงค์ หรือผลประโยชน์สาธารณะเพื่อวัตถุประสงค์ทางกฎหมายหรือทางกฎหมาย ฯลฯ บทบัญญัติดังกล่าวตามพระราชบัญญัตินี้ใช้กับกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งในและนอกประเทศไทย

ผู้เกี่ยวข้อง: ผู้เกี่ยวข้องโดยหลักการตามกฎหมายนี้สามารถแบ่งออกเป็นสองกลุ่มคือ หน่วยงานของรัฐและผู้ประกอบการที่เป็นเอกชน ในด้านหน่วยงานของรัฐประกอบด้วยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เลขาธิการสำนักงานฯ คณะกรรมการผู้เชี่ยวชาญ และคณะกรรมการกำกับดูแลสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในด้านผู้ประกอบการที่เป็นเอกชนประกอบด้วย เจ้าของข้อมูล ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และตัวแทนผู้ประกอบการที่เป็นเอกชนมีหน้าที่ตามกฎหมายภายใต้พระราชบัญญัตินี้

บทลงโทษ: การฝ่าฝืน หรือไม่ปฏิบัติตามบทบัญญัติในพระราชบัญญัตินี้มีบทลงโทษกล่าวคือ:

(1)  ความผิดทางแพ่ง: การชดเชยความเสียหายรวมถึงค่าใช้จ่ายที่จำเป็นทั้งหมดและค่าเสียหายเชิงลงโทษไม่เกินสองเท่าของจำนวนเงินชดเชยจริง

(2)  ความผิดทางอาญา: การลงโทษผู้กระทำความผิดจะต้องระวางโทษจำคุกไม่เกินหนึ่งปีและ / หรือปรับไม่เกินหนึ่งล้านบาท สำหรับความผิดที่นิติบุคคลกระทำตามพระราชบัญญัตินี้กรรมการผู้จัดการหรือผู้รับผิดชอบในการกระทำความผิดดังกล่าวจะถูกลงโทษด้วยการลงโทษที่กำหนดไว้สำหรับความผิดนั้นๆ

(3)  ความผิดทางปกครอง: ค่าปรับทางปกครองเริ่มตั้งแต่ห้าแสนบาทถึงห้าล้านบาทขึ้นอยู่กับประเภทของความผิดและประเภทของผู้กระทำความผิดตามพระราชบัญญัตินี้

ขั้นตอนต่อไปคือการดำเนินการอะไรบ้าง ?

ในเดือนพฤษภาคม พ.ศ. 2562 แม้ว่าจะมีกฎหมายออกมาผ่อนผันเวลาการบังคับใช้ต่อไปจนถึงวันที่ 31 พฤษภาคม 2564 ระยะเวลาการเปลี่ยนผ่านของสองปีที่กำลังจะหมดลงสำหรับองค์กรธุรกิจและผู้ประกอบการในการจะอนุวัติใช้มาตรการที่จำเป็นเพื่อให้สอดคล้องกับการปฎิบัติตามพระราชบัญญัตินี้ จึงจำเป็นต้องมีการดำเนินการตามขั้นตอนต่างๆอย่างเร่งด่วนให้เสร็จสิ้นสมบูรณ์ภายในเดือนพฤษภาคมพ.ศ.2564 แนวทางปฏิบัติที่แนะนำอาจรวมถึงสิ่งต่อไปนี้:

1. ทบทวนและวิเคราะห์นโยบายและแนวปฏิบัติภายในและระบบการจัดการและป้องกันข้อมูลส่วนบุคคล

2. การประเมินความเสี่ยงของการละเมิดสิทธิในข้อมูลส่วนบุคคล และการปรับระดับการปฏิบัติตามกฎหมายและการปรับปรุง ทบทวนมาตรการรักษาความปลอดภัยที่มีอยู่

3. การวิเคราะห์กลุ่มของข้อมูลและการกำหนดพื้นฐานทางกฎหมายและภาระผูกพันที่บังคับใช้ภายใต้กฎหมาย และเตรียมเอกสารทางกฎหมายที่จำเป็น

4. การดำเนินการรณรงค์สร้างความตระหนักภายในองค์กร และฝึกอบรมบุคลากร และพนักงานเพื่อความพร้อมในการจัดการกับปัญหาข้อมูลส่วนบุคคลให้เป็นไปอย่างมีประสิทธิภาพยิ่งขึ้น

5. การใช้งานระบบการจัดการข้อมูลที่ได้รับการอัพเกรดตามข้อกำหนดของกฎหมาย

6. การดำเนินการตามขั้นตอนที่เหมาะสมอื่น ๆ รวมถึงการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลภายในและตัวแทนเมื่อจำเป็น

7. การแนะนำระบบที่เกี่ยวกับการแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลและการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน

ขอแนะนำว่าก่อนที่กฎหมายจะมีผลบังคับใช้ องค์กรธุรกิจและผู้ประกอบการต่างๆควรดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดเพื่อให้ตนเองสามารถปฏิบัติตามกฎหมายฉบับนี้ได้อย่างเต็มที่

หมายเหตุ: ภายใต้บทบัญญัติเฉพาะกาล ตามมาตรา 95  ข้อมูลส่วนบุคคลที่รวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ  ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

บจก.กฎหมาย และธุรกิจ อินเตอร์ คอนซัลแตนท์


Powered by MakeWebEasy.com