ผ่านมาเกือบ 1 ปีแล้วสำหรับการประกาศ พ.ร.บ คุ้มครองส่วนบุคคล เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ในปีนี้ถือเป็นปีที่จะมีการบังคับใช้อย่างจริงจังแล้ว ดังนั้นหลายๆองค์กรไม่ควรจะมองข้ามนะคะ
มาทำความรู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก่อนดีกว่า
หลายๆท่านอาจจะยังไม่ค่อยคุ้นเคยกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยเท่าไหร่ แต่รู้ไหมว่าจริงๆแล้ว พ.ร.บ.นี้มีการปรับรายละเอียดมาจาก “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR)” นั่นเอง
โดยวัตถุประสงค์หลักของ พ.ร.บ.ฉบับนี้คือเพื่อป้องกันข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัวของเราไม่ให้รั่วไหลและเกิดผลเสียต่อเจ้าของข้อมูลนั่นเอง โดยมีบทบัญญัติดังต่อไปนี้
- สิทธิ์ของเจ้าของข้อมูล
- กฎระเบียบบังคับใช้แก่ผู้ควบคุมข้อมูลส่วนบุคคล/ ผู้ประมวลผลข้อมูลส่วนบุคคล
- ข้อจำกัดในการโอนถ่ายข้อมูลส่วนตัวไปประเทศที่สาม
- กฏระเบียบการขอความยินยอมจากเจ้าของข้อมูลก่อนที่จะขอข้อมูลหรือนำข้อมูลส่วนตัวไปใช้
- ข้อบังคับในการวัดมาตรการความปลอดภัยในการจัดเก็บข้อมูลส่วนตัวของผู้อื่น โดยเฉพาะในกรณีเป็นข้อมูลที่เป็นความลับ
- เงื่อนไขหรือกฎระเบียบในการแจ้งเตือนหากมีข้อมูลรั่วไหล
- ข้อบังคับสำหรับผู้ถือข้อมูลที่อยู่ภายนอกประเทศไทย ให้แต่งตั้งตัวแทนที่อยู่ในประเทศไทยดูแลแทน
ผู้รับผิดชอบการออกเงื่อนไข กฎระเบียบและแนวทางของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เรียกว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission)
หน่วยงานที่ถือครองข้อมูลและหน่วยประมวลผลข้อมูลของทุกองค์กรต้องแต่งตั้งพนักงานดูแลป้องกันข้อมูลและวางมาตรการเพื่อแจ้งเจ้าหน้าที่หรือแจ้งเจ้าของข้อมูลในกรณีที่ข้อมูลเกิดรั่วไหล
แม้แต่บริษัทฯต่างชาติที่ทำธุรกิจในไทยก็ควรตื่นตัวเรื่องนี้เช่นกัน เพราะ พ.ร.บ. ฉบับนี้มีผลบังคับควบคุมต่อการเสนอบริการและสินค้าให้กับเจ้าของข้อมูลทุกคนที่อยู่ในประเทศไทยและเกิดขึ้นในประเทศไทย
สิทธิ์ของเจ้าของข้อมูลมีอะไรบ้าง?
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ควบคุมสิทธิ์เจ้าของข้อมูลเช่นเดียวกันกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตัวอย่างเช่น
- ถอนความยินยอมการให้ข้อมูลส่วนตัวได้
- ปฏิเสธการขอข้อมูล เปิดเผยข้อมูล หรือการนำข้อมูลส่วนตัวไปใช้ ได้
- สิทธิ์ในการเข้าถึงข้อมูลของตนจากผู้ถือข้อมูล
- สิทธิ์ในการขอลบข้อมูลส่วนตัวหรือห้ามไม่ให้นำข้อมูลส่วนตัวไปใช้
- สั่งให้ผู้ถือข้อมูลของตนรักษาความถูกต้องแม่นยำของข้อมูล
- มีสิทธิ์ร้องเรียนหากผู้ถือข้อมูลของตนฝ่าฝืนสิทธิ์ของผู้ครองข้อมูล
ความรับผิดชอบของผู้ถือครองข้อมูล/ผู้ประมวลผลข้อมูลต่อข้อมูล
“ผู้ถือครองข้อมูล” หมายถึงบุคคลหรือองค์กรที่สามารถตัดสินใจเรื่องการเก็บข้อมูล การนำข้อมูลไปใช้หรือการเปิดเผยข้อมูล ตามเงื่อนไขของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ถือครองข้อมูลจะต้อง
- แจ้งวัตถุประสงค์ในการขอข้อมูลแก่เจ้าของข้อมูล เช่น จะนำข้อมูลที่ขอไปใช้หรือเปิดเผยอย่างไร
- กำหนดมาตรการปกป้องข้อมูลให้ปลอดภัยอย่างเพียงพอ
- เก็บข้อมูลตลอดระยะเวลาที่นำข้อมูลไปใช้
- ลบข้อมูลทิ้งหากไม่จำเป็นต้องใช้แล้วหรือเมื่อเจ้าของข้อมูลถอนความยินยอม
- ในกรณีเกิดข้อมูลรั่วไหลต้องรายงานภายใน 72 ชั่วโมง
“ผู้ประมวลผลข้อมูล” หมายถึงคนหรือบริษัทฯที่ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในบางครั้ง “ผู้ประมวลผลข้อมูล”กับ “ผู้ควบคุมข้อมูล” อาจจะเป็นคนเดียวกันก็ได้ ผู้ประมวลผลข้อมูลจะต้องมั่นใจว่ามีมาตรการป้องกันข้อมูลส่วนตัวที่เพียงพอและมีการลงบันทึกหลังจากการประมวลข้อมูลทุกครั้ง
บทลงโทษ
ในกรณีผู้ควบคุมข้อมูลไม่ทำตาม พ.ร.บ.ที่กำหนด จะมีโทษทางแพ่ง อาญาและปกครอง
การฝ่าฝืนหรือไม่ทำตามอาจนำไปสู่การฟ้องร้องจากเจ้าของข้อมูล (ปรับไม่เกิน 2 เท่า) และอาจต้องระวางโทษจำคุกหรือปรับ นอกจากนี้อาจมีค่าปรับ สูงสุดถึง 5 ล้านบาท
การผ่อนผัน
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถผ่อนผันได้ 1 ปี ซึ่งกฎเสริมอื่นๆจะออกโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ปีนี้อาจเป็นจุดเปลี่ยนของหลายๆบริษัทฯ เพราะปีที่ผ่านๆมากฎหมายคุ้มครองข้อมูลส่วนตัวในประเทศไทยยังถือว่าหละหลวมอยู่เมื่อเทียบกับ พ.ร.บ.ฉบับใหม่นี้
ผลที่ตามมาคือค่าใช้จ่ายในระบบปฏิบัติการของบริษัทฯอาจจะสูงขึ้น และอาจต้องหันกลับมาทบทวนระเบียบการรักษาความปลอดภัยของข้อมูลใหม่ ระหว่างที่ยังไม่ได้ประกาศใช้ พ.ร.บ. อย่างเป็นทางการ แต่ละบริษัทฯอาจเริ่มจากวิเคราะห์สถานะปัจจุบันของบริษัทฯตัวเอง หาช่องโหว่ที่ต้องเติมเต็ม ค่อยๆหามาตรการป้องกันหรืออุดช่องโหว่นั้นตามระดับความปลอดภัยของข้อมูลและการคุ้มครองข้อมูลส่วนบุคคล เช่น การจัดการระบบโครงสร้างสภาพแวดล้อมด้าน IT ใหม่
หากคุณไม่แน่ใจว่าจะจัดการกับโครงสร้างสภาพแวดล้อมด้าน IT ของคุณอย่างไรเพื่อให้รองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ นีออส ไอที เซอร์วิสเซส สามารถช่วยคุณสรรหาเทคโนโลยีที่เหมาะสมในการรักษาระดับความปลอดภัยในข้อมูลขององค์กรคุณหรือข้อมูลของลูกค้าในองค์กรคุณได้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ควรเป็นเรื่องที่ฝ่ายบริหารให้ความสนใจเป็นอันดับต้นๆ เนื่องจากมีความซับซ้อนและหากปฏิบัติผิด อาจสร้างผลกระทบอย่างมหาศาลต่อบริษัทฯ