พระราชบัญญัติคุ้มครองส่วนบุคคล พ.ศ. 2562

lock-and-keys-on-table

ผ่านมาเกือบ 1 ปีแล้วสำหรับการประกาศ พ.ร.บ คุ้มครองส่วนบุคคล เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ในปีนี้ถือเป็นปีที่จะมีการบังคับใช้อย่างจริงจังแล้ว ดังนั้นหลายๆองค์กรไม่ควรจะมองข้ามนะคะ

มาทำความรู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก่อนดีกว่า

หลายๆท่านอาจจะยังไม่ค่อยคุ้นเคยกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยเท่าไหร่ แต่รู้ไหมว่าจริงๆแล้ว พ.ร.บ.นี้มีการปรับรายละเอียดมาจาก “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR)” นั่นเอง

โดยวัตถุประสงค์หลักของ พ.ร.บ.ฉบับนี้คือเพื่อป้องกันข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัวของเราไม่ให้รั่วไหลและเกิดผลเสียต่อเจ้าของข้อมูลนั่นเอง โดยมีบทบัญญัติดังต่อไปนี้

สิทธิ์ของเจ้าของข้อมูล
กฎระเบียบบังคับใช้แก่ผู้ควบคุมข้อมูลส่วนบุคคล/ ผู้ประมวลผลข้อมูลส่วนบุคคล
ข้อจำกัดในการโอนถ่ายข้อมูลส่วนตัวไปประเทศที่สาม
กฏระเบียบการขอความยินยอมจากเจ้าของข้อมูลก่อนที่จะขอข้อมูลหรือนำข้อมูลส่วนตัวไปใช้
ข้อบังคับในการวัดมาตรการความปลอดภัยในการจัดเก็บข้อมูลส่วนตัวของผู้อื่น โดยเฉพาะในกรณีเป็นข้อมูลที่เป็นความลับ
เงื่อนไขหรือกฎระเบียบในการแจ้งเตือนหากมีข้อมูลรั่วไหล
ข้อบังคับสำหรับผู้ถือข้อมูลที่อยู่ภายนอกประเทศไทย ให้แต่งตั้งตัวแทนที่อยู่ในประเทศไทยดูแลแทน

ผู้รับผิดชอบการออกเงื่อนไข กฎระเบียบและแนวทางของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เรียกว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission)

หน่วยงานที่ถือครองข้อมูลและหน่วยประมวลผลข้อมูลของทุกองค์กรต้องแต่งตั้งพนักงานดูแลป้องกันข้อมูลและวางมาตรการเพื่อแจ้งเจ้าหน้าที่หรือแจ้งเจ้าของข้อมูลในกรณีที่ข้อมูลเกิดรั่วไหล

แม้แต่บริษัทฯต่างชาติที่ทำธุรกิจในไทยก็ควรตื่นตัวเรื่องนี้เช่นกัน เพราะ พ.ร.บ. ฉบับนี้มีผลบังคับควบคุมต่อการเสนอบริการและสินค้าให้กับเจ้าของข้อมูลทุกคนที่อยู่ในประเทศไทยและเกิดขึ้นในประเทศไทย

chess-on-table

สิทธิ์ของเจ้าของข้อมูลมีอะไรบ้าง?

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ควบคุมสิทธิ์เจ้าของข้อมูลเช่นเดียวกันกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตัวอย่างเช่น

ถอนความยินยอมการให้ข้อมูลส่วนตัวได้
ปฏิเสธการขอข้อมูล เปิดเผยข้อมูล หรือการนำข้อมูลส่วนตัวไปใช้ ได้
สิทธิ์ในการเข้าถึงข้อมูลของตนจากผู้ถือข้อมูล
สิทธิ์ในการขอลบข้อมูลส่วนตัวหรือห้ามไม่ให้นำข้อมูลส่วนตัวไปใช้
สั่งให้ผู้ถือข้อมูลของตนรักษาความถูกต้องแม่นยำของข้อมูล
มีสิทธิ์ร้องเรียนหากผู้ถือข้อมูลของตนฝ่าฝืนสิทธิ์ของผู้ครองข้อมูล

ความรับผิดชอบของผู้ถือครองข้อมูล/ผู้ประมวลผลข้อมูลต่อข้อมูล

“ผู้ถือครองข้อมูล” หมายถึงบุคคลหรือองค์กรที่สามารถตัดสินใจเรื่องการเก็บข้อมูล การนำข้อมูลไปใช้หรือการเปิดเผยข้อมูล ตามเงื่อนไขของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ถือครองข้อมูลจะต้อง

แจ้งวัตถุประสงค์ในการขอข้อมูลแก่เจ้าของข้อมูล เช่น จะนำข้อมูลที่ขอไปใช้หรือเปิดเผยอย่างไร
กำหนดมาตรการปกป้องข้อมูลให้ปลอดภัยอย่างเพียงพอ
เก็บข้อมูลตลอดระยะเวลาที่นำข้อมูลไปใช้
ลบข้อมูลทิ้งหากไม่จำเป็นต้องใช้แล้วหรือเมื่อเจ้าของข้อมูลถอนความยินยอม
ในกรณีเกิดข้อมูลรั่วไหลต้องรายงานภายใน 72 ชั่วโมง

“ผู้ประมวลผลข้อมูล” หมายถึงคนหรือบริษัทฯที่ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในบางครั้ง “ผู้ประมวลผลข้อมูล”กับ “ผู้ควบคุมข้อมูล” อาจจะเป็นคนเดียวกันก็ได้ ผู้ประมวลผลข้อมูลจะต้องมั่นใจว่ามีมาตรการป้องกันข้อมูลส่วนตัวที่เพียงพอและมีการลงบันทึกหลังจากการประมวลข้อมูลทุกครั้ง

บทลงโทษ

ในกรณีผู้ควบคุมข้อมูลไม่ทำตาม พ.ร.บ.ที่กำหนด จะมีโทษทางแพ่ง อาญาและปกครอง

การฝ่าฝืนหรือไม่ทำตามอาจนำไปสู่การฟ้องร้องจากเจ้าของข้อมูล (ปรับไม่เกิน 2 เท่า) และอาจต้องระวางโทษจำคุกหรือปรับ นอกจากนี้อาจมีค่าปรับ สูงสุดถึง 5 ล้านบาท

การผ่อนผัน

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถผ่อนผันได้ 1 ปี ซึ่งกฎเสริมอื่นๆจะออกโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

keys-on-table

การเตรียมรับมือกับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ปีนี้อาจเป็นจุดเปลี่ยนของหลายๆบริษัทฯ เพราะปีที่ผ่านๆมากฎหมายคุ้มครองข้อมูลส่วนตัวในประเทศไทยยังถือว่าหละหลวมอยู่เมื่อเทียบกับ พ.ร.บ.ฉบับใหม่นี้

ผลที่ตามมาคือค่าใช้จ่ายในระบบปฏิบัติการของบริษัทฯอาจจะสูงขึ้น และอาจต้องหันกลับมาทบทวนระเบียบการรักษาความปลอดภัยของข้อมูลใหม่ ระหว่างที่ยังไม่ได้ประกาศใช้ พ.ร.บ. อย่างเป็นทางการ แต่ละบริษัทฯอาจเริ่มจากวิเคราะห์สถานะปัจจุบันของบริษัทฯตัวเอง หาช่องโหว่ที่ต้องเติมเต็ม ค่อยๆหามาตรการป้องกันหรืออุดช่องโหว่นั้นตามระดับความปลอดภัยของข้อมูลและการคุ้มครองข้อมูลส่วนบุคคล เช่น การจัดการระบบโครงสร้างสภาพแวดล้อมด้าน IT ใหม่

หากคุณไม่แน่ใจว่าจะจัดการกับโครงสร้างสภาพแวดล้อมด้าน IT ของคุณอย่างไรเพื่อให้รองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ นีออส ไอที เซอร์วิสเซส สามารถช่วยคุณสรรหาเทคโนโลยีที่เหมาะสมในการรักษาระดับความปลอดภัยในข้อมูลขององค์กรคุณหรือข้อมูลของลูกค้าในองค์กรคุณได้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ควรเป็นเรื่องที่ฝ่ายบริหารให้ความสนใจเป็นอันดับต้นๆ เนื่องจากมีความซับซ้อนและหากปฏิบัติผิด อาจสร้างผลกระทบอย่างมหาศาลต่อบริษัทฯ