เตรียมให้พร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล องค์กรต้องทำอะไรบ้าง

21 เมษายน 2022

ณิชาภา อยู่ผ่องภา
ณิชาภา อยู่ผ่องภาContent Writer ผู้แปล จัดทำ ข่าวด้านไอที บทความ Cyber Security และเป็นหนึ่งในทีมงาน cyfence ผู้ให้บริการด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ

หลาย ๆ องค์กรเริ่มมีการเตรียมตัวเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กันบ้างแล้ว แต่ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องเตรียมตัวอย่างไร ต้องมีระบบใด หรือต้องจัดทำเอกสารอะไร ในบทความนี้จะกล่าวถึงการเตรียมตัวในเบื้องต้นเพื่อให้ปฏิบัติถูกต้องตามข้อบังคับของ PDPA

PDPA คืออะไร

ก่อนจะเริ่มหัวข้อการเตรียมตัว ทีมงานขอเกริ่นเกี่ยวกับ PDPA สั้น ๆ ให้ผู้อ่านทราบว่า ทำไมต้องปฏิบัติตามข้อบังคับของกฏหมายนี้ เนื่องจาก PDPA เป็นพระราชบัญญัติที่ถูกกำหนดขึ้นเพื่อคุ้มครองด้านสิทธิและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล หากมีการเปิดเผย ใช้ ดัดแปลง ถ่ายโอนข้อมูลของเจ้าของข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต หรือทำผิดจุดประสงค์ในการตกลงร่วมกัน ก็จะสามารถร้องเรียนเพื่อเอาผิดได้ โดยข้อมูลที่ PDPA คุ้มครอง แบ่งเป็น 2 ส่วน คือ

ข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภทดังนี้

1. ข้อมูลส่วนบุคคลทั่วไป
(Personal Data)

ตัวอย่างของข้อมูลส่วนบุคคลทั่วไป สามารถระบุตัวบุคลลนั้น ๆ เช่น

  • ชื่อจริง 
  • นามสกุล 
  • ที่อยู่ 
  • หมายเลขโทรศัพท์ 
  • หมายเลขบัตรประชาชน 
  • Email 
  • รูปถ่ายของบุคคลนั้น ๆ 
  • อายุ 
  • ประวัติการศึกษา 
  • ประวัติการทำงาน 

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)

ตัวอย่างของข้อมูลส่วนบุคคลที่มีความอ่อนไหว สามารถระบุตัวบุคลลนั้น ๆ เช่น

  • เชื้อชาติ 
  • สัญชาติ 
  • พฤติกรรมทางเพศ 
  • ข้อมูลด้านสุขภาพ 
  • ประวัติอาชญากรรม 
  • ความเชื่อทางศาสนา 
  • ความคิดเห็นทางด้านการเมือง 
  • ข้อมูลอื่น ๆ ที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล

มีใครบ้างที่มีส่วนเกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่เกี่ยวข้อง แบ่งออกเป็น 3 ประเภท คือ

1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)

ผู้เป็นเจ้าของข้อมูลส่วนบุคคล ในกรณีที่มีการให้ข้อมูลแก่องค์กร ต้องพิจารณาอย่างถี่ถ้วนก่อน เช่น อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล ฯลฯ เพราะไม่เช่นนั้นอาจจะเกิดความเสียหายตามมาทีหลังได้

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

โดยองค์กรที่ให้บริการประชาชนจะต้องมีความสามารถในการทำตามข้อกำหนดสำคัญต่อไปนี้ 

  1. องค์กรจะต้องมีความรู้ด้านกฏหมายและจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการเก็บข้อมูล
  2. ธุรกิจจะต้องโปร่งใส ต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนที่จะทำการเก็บข้อมูล
  3. มีมาตรการรักษาความปลอดภัย การรักษาความลับของข้อมูลที่รัดกุมตามมาตรฐานสากล เพื่อไม่ให้มีการรั่วไหล ถูกนำไปสวมรอย และการนำไปใช้ในทางที่ผิด
  4. จะต้องมีการแจ้งจุดประสงค์ และระยะเวลาในการเก็บข้อมูล หรืออาจมีนโยบายการจัดเก็บว่าองค์กรจะจัดเก็บข้อมูลเพื่อนำไปใช้ทำอะไร และเก็บนานเท่าใด
  5. การเก็บข้อมูลจะต้องเป็นไปตามมาตรฐานและต้องเก็บเท่าที่จำเป็น เพื่อแสดงว่ามีการปฏิบัติตามข้อบังคับ PDPA อย่างถูกต้อง

เมื่อมีความสามารถในทำตามข้อกำหนดทั้ง 5 ข้อได้แล้วนั้น  ต่อไปองค์กรจะต้องเตรียมตัวปฏิบัติตามข้อบังคับดังต่อไปนี้ 

16 สิ่งที่ต้องมีหลัง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศใช้

1. เตรียมเอกสารหรือไฟล์บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ ROPA)

คือการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลระหว่างการดำเนินการขององค์กรและประชาชนที่ใช้บริการ โดยเป็นการทำตามกฏหมายไทยมาตรา 39 ซึ่งข้อมูลที่ต้องบันทึกขึ้นอยู่กับจุดประสงค์ของการดำเนินการ ที่สำคัญการทำ ROPA ส่วนใหญ่จะเป็นองค์กรที่ทำธุรกิจขนาดกลาง-ขนาดใหญ่  ในส่วนขนาดเล็กนั้น ยังไม่มีการกำหนดอย่างชัดเจน ดังนั้นผู้ประกอบธุรกิจขนาดเล็กจะต้องติดตามข่าวสารอย่างสม่ำเสมอ

2. วางแผน Data Flow Map (แผนภูมิการใช้ข้อมูล)

จะเป็นสิ่งที่บอกว่า ข้อมูลที่ถูกเก็บมานั้นจะถูกนำไปใช้ในด้านใดบ้าง ซึ่งจะช่วยให้องค์กรเห็นภาพอย่างชัดเจนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ใด และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร ซึ่งการทำ Data Flow Map นี้ไม่ได้เป็นการบังคับให้ต้องทำอย่างชัดเจน แต่เป็นการวางแผนภายในองค์กร เพื่อให้เห็นภาพการทำงานแต่ละขั้นตอน รวมถึงเมื่อมีการทำ Data Flow Map ก็จะช่วยทำให้องค์กรสามารถปฏิบัติตามข้อกฏหมายมาตรา 27 (3) และมาตรา 39 ของ PDPA ได้ง่ายขึ้น

3. ต้องมี Privacy Policy หรือ Privacy Notice

องค์กรจะต้องมีการประกาศหรือชี้แจงการขออนุญาตเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคล เช่น มีวัตถุประสงค์เก็บไปเพื่ออะไร ระยะเวลาการเก็บเท่าไหร่  สำหรับรูปแบบการประกาศนั้น มีหลายวิธีขึ้นอยู่กับรูปแบบของธุรกิจ

4. การแจ้งขอเก็บ Cookie Policy 

แต่ละองค์กรหรือธุรกิจ จะต้องแจ้งเตือนเป็น Banner ขอจัดเก็บ Cookie ของผู้ที่เข้าเยี่ยมชมเว็บไซต์องค์กรหรือธุรกิจเสมอ และจะต้องแจ้งว่าการเก็บ Cookie นี้นำไปใช้เพื่ออะไร และต้องมีปุ่มเพื่อให้กดยินยอมหรือไม่ยินยอม เช่น เก็บเพื่อนำไปพัฒนารูปแบบการเข้าชมเว็บไซต์ให้มีประสิทธิภาพที่ดีขึ้น หรือ เก็บเพื่อเป็นการสำรวจข้อมูลการการตลาดในการพัฒนาสินค้าใหม่ในอนาคต ขึ้นอยู่กับรูปแบบธุรกิจนั้น ๆ  

5. การขอเก็บ Consent From

กรณีเป็นการขอจัดเก็บข้อมูลที่มีความละเอียดอ่อน การเก็บข้อมูลนี้จะเป็นแบบฟอร์มให้กรอกในรูปแบบอิเล็กทรอนิกส์ หรือ รูปแบบหนังสือ โดยจะต้องระบุวัตถุประสงค์ว่าจัดเก็บเพื่ออะไร นำไปทำอะไร มีแบบและข้อความที่เข้าใจง่าย มีการะบุให้ยินยอมหรือไม่ยินยอม และแยกออกเป็นส่วนอย่างชัดเจน เช่น การสมัครงาน ในเว็บไซต์สมัครงาน อาจมีแบบฟอร์มแยกออกมา เพื่อขอจัดเก็บข้อมูลไว้ หรือ ธุรกิจธนาคาร หากไปทำธุรกรรมการเงิน มักจะพบว่ามีหนังสือแบบฟอร์มแยกออกมาอีก 1 ฉบับ และบอกวัตถุประสงค์ว่า เก็บไปเพื่ออะไร เป็นต้น

6. เอกสาร Data Processing Agreement (DPA)

เป็นสัญญาที่ทำขึ้นระหว่างฝ่ายที่มีสถานะเป็น Data Controller (เช่น องค์กรหรือบริษัทผู้ว่าจ้าง) และ Data Processor (เช่น ผู้ให้บริการภายนอก) เป็นสัญญาผูกมัดที่ช่วยควบคุมให้ Data Processor ดำเนินการตามหน้าที่ที่รับผิดชอบและอยู่ในกรอบที่ PDPA กำหนดไว้ หากไม่ปฏิบัติตามจะสามารถฟ้องร้องได้

7. เอกสาร Data  Transferred Agreement / Data  Sharing Agreement

เป็นสัญญาที่ทำขึ้นในกรณีที่ทั้งสองฝ่ายมีสถานะเป็น Data Controller ทั้งคู่ เพื่อการโอนข้อมูลหรือแบ่งปันข้อมูลซึ่งกันและกัน โดยต้องเป็นข้อมูลที่ชอบด้วยกฏหมายเท่านั้น และต้องปฏิบัติตาม PDPA ก่อนที่จะแชร์ข้อมูลร่วมกัน เช่น มีการขอคำยินยอมก่อนที่เปิดเผยข้อมูลให้อีกฝ่าย เป็นต้น

8. เอกสาร Binding Corporate Rules 

เอกสารที่ทำขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในกรณีที่บริษัทต้องการโอนข้อมูลส่วนบุคคลไปยังบริษัทในเครือที่ตั้งในต่างประเทศที่ไม่มีกฏหมายรองรับที่เพียงพอ สามารถโอนได้โดยได้รับข้อยกเว้นตามที่กฏหมายกำหนด แต่ปัจจุบันในประเทศไทยยังไม่มีกฏหมายที่ออกมาชัดเจน ต้องรอกฏหมายกำหนดออกมาก่อน

9. เอกสาร Data Subject Request Forms

เป็นเอกสารที่ใช้ในกรณีเจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิ์ตามที่ PDPA กำหนด และเนื่องจาก Data Subject Request Forms ไม่ได้กำหนดรูปแบบ สามารถใช้เป็นแบบอิเล็กทรอนิกส์ หรือ เป็นหนังสือได้ แต่ในกรณีที่เริ่มมีการประกาศใช้ PDPA อย่างแพร่หลาย อาจจะทำให้เจ้าของข้อมูลส่วนบุคคลต้องใช้การใช้สิทธ์มากขึ้น จึงควรทำเป็นแบบฟอร์มไว้เพื่อความสะดวกและรวดเร็ว

10. แบบฟอร์มตอบกลับเจ้าของข้อมูลส่วนบุคคล Respont Form

เป็นฟอร์มในการตอบกลับเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลยินยอม หรือ ปฏิเสธการให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคล ซึ่งบางองค์กรจะทำเป็นระบบตอบกลับอัตโนมัติทางอีเมลทันที เพื่อความสะดวกและรวดเร็ว

11. แบบฟอร์มแจ้งเหตุละเมิดข้อมูลส่วนบุคคล Data Breach Notification Form

กฏหมายได้ระบุไว้ให้มีการรายงานและแจ้งเหตุละเมิด ในกรณีมีการถูกละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงมีการเยียวยาความเสียหายด้วย

12. หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Data Protection Officer (DPO) Appointment Letter

ข้อนี้ไม่ได้มีการกำหนดให้ทุกองค์กร หรือ บริษัทต้องมีการจัดตั้งแต่อย่างใด แต่กำหนดเพียงองค์กรที่เข้าเงื่อนไขเท่านั้น เช่น องค์กรที่มีกิจกรรมที่ต้องประมวลผลข้อมูลอ่อนไหวอย่างสม่ำเสมอ เช่น โรงแรม ธนาคาร เป็นต้น เป็นการหาบุคคลที่มีความสามารถเพื่อดูแลด้านนี้โดยเฉพาะ

13. ป้ายแจ้งเตือนกล้องวงจรปิด CCTV Warning Sign

ป้ายแจ้งเตือนกล้องวงจรปิด ในกรณีที่กิจการมีการใช้กล้องวงจรปิดเพื่อการรักษาความปลอดภัย ตามกฏหมายต้องมีการแจ้งเพื่อให้ทราบว่ามีการจัดเก็บข้อมูลตาม Privacy Policy ควรทำป้ายแจ้งเตือนให้ทราบ เนื่องจากง่ายและไม่ต้องใช้ป้ายใหญ่มาก

14. แบบการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล Data Protection Impact Assessment (DPIA)

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อนี้ไม่ได้มีการบังคับอย่างชัดเจน แต่กฏหมายไทยหลายมาตรามีการเขียนสอดคล้องว่าต้องทำ DPIA เช่น กรณีข้อมูลรั่วไหล จะต้องมีการแจ้งเหตุฉุกเฉินให้ทราบด้วย เป็นต้น

15. เอกสารประเมินฐานผลประโยชน์อันชอบธรรม Legitimate Interest Assessment

เอกสารสำหรับประเมินฐานผลประโยชน์อันชอบธรรม ซึ่งเอกสารฉบับนี้กฏหมายไม่ได้บังคับให้ทำแต่อย่างใด แต่ในทางปฏิบัติหลีกหนีไม่พ้น จะต้องมีการพิจารณาว่าการประมวลข้อมูลแบบใดต้องใช้ฐานกฏหมายใดในการประมวลผล ซึ่งต้องมีผู้ที่เชี่ยวชาญและความสามารถเฉพาะในการพิจารณาด้วย เพื่อความถูกต้องและสมบูรณ์

16. ข้อสัญญาว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล PDPA Clauses in Contracts

ข้อสัญญาที่ว่าด้วยกฏหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งคือสัญญาต่างๆ ที่องค์กรทำร่วมกับเจ้าของข้อมูลส่วนบุคคล เช่น การสมัคร การซื้อ-ขายสินค้า  สัญญาที่ทำกับลูกค้า เช่น ในสัญญาจะต้องระบุให้คู่สัญญาปฏิบัติตาม PDPA ด้วย หากมีความเสียหายเกิดขึ้นจะต้องแก้ไขอย่างไร ในกรณีที่เป็นสัญญาเก่า อาจเขียนแนบท้ายเพิ่มเติม หรือ เพิ่มข้อสัญญาได้ หากเป็นสัญญาใหม่ ก็เพิ่มข้อนี้เข้าไปด้วย เพื่อให้สอดคล้องกับ PDPA

จาก 16 ข้อที่กล่าวมา การปฏิบัติตาม PDPA เป็นสิ่งที่องค์กรควรทำ ซึ่งหากบางข้อไม่สามารถปฏิบัติได้ การขอคำปรึกษาจากหน่วยงานภายนอกที่มีความรู้และความเชี่ยวชาญก็เป็นอีกตัวเลือกหนึ่งที่น่าสนใจ โดย NT cyfence มีบริการ PDPA Consulting ซึ่งเป็นบริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล ที่ให้คำปรึกษาการจัดทำนโยบาย และการบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ หากองค์กรใดสนใจสามารถสอบถามเพิ่มเติมได้ที่ NT Contact Center 1888 หรือ E-mail ได้ที่ https://www.cyfence.com/contact-us/

ที่มา:

บทความที่เกี่ยวข้อง