Data protection – ผลกระทบธุรกิจครั้งใหญ่ กม.คุ้มครองข้อมูลส่วนบุคคล PDPA

pdpa data protection th lcdl dbc

*PDPA คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (บังคับใช้แล้ว)

ให้เวลาเตรียมตัวนับตั้งแต่ลงประกาศในราชกิจจานุเบกษา เท่ากับว่าตั้งแต่ 28 พ.ค. 63 เป็นต้นไป รัฐและเอกชน ไม่ว่าจะรายย่อยแค่ไหน หรือรายใหญ่เท่าไหร่ ต้องทำตามกฎระเบียบ และข้อกำหนดที่ระบุในกฎหมาย PDPA (โทษปรับทำเอาธุรกิจติดขัดด้านการเงินไปได้หลายปีเลยทีเดียว)

pdpa data protection th lcdl dbc

นิยาม

ข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) – บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) – บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  ทั้งนี้  บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

gdpr PDPA

ถูกบังคับใช้กับใคร?

หน่วยงานเอกชนและภาครัฐ ที่มีการจัดเก็บข้อมูลส่วนบุคคลของประชาชนเอาไว้ เช่น

– ชื่อ-นามสกุล – [Name];
– ที่อยู่ – [Address];
– เบอร์โทรศัพท์ – [Phone number(s)];
– วันเกิด – [Date of birth];
– อีเมลล์ – [Email address];
– เพศ – [Gender];
– เลขประจำตัวบัตรประชาชน หรือ พาสปอร์ต – [Identity card number or passport number]

เป็นต้น

สิ่งที่องค์กรต้องเตรียมตัว

  • จัดสรรงบประมาณจำนวนหนึ่ง เพื่อเตรียมสร้างระบบรักษาความมั่นคงปลอดภัย ป้องกันไม่ให้ข้อมูลผู้ใช้รั่วไหล
  • ต้องมีตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  • การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน นำข้ออะไร ไปใช้อะไร โดยใช้ภาษาที่เข้าใจง่าย เห็นชัด
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
  • เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
  • พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit) หรือสอบใบรับรองวุฒิบัตรด้าน Data Protection

สำหรับตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มีหน้าที่ดังนี้

dpo PDPA Data protection icdl dbc

หากไม่ทำตามกฎระเบียบ และข้อกำนด ที่ระบุในกฎหมาย PDPA จะต้องโดนโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนถึง 5 ล้านบาท

gdpr-2-1

I am Title

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

(4) Comments

  • Aun กันยายน 17, 2019 @ 7:08 am

    แต่ละบริษัท นี่ ต้องมี DPO เหรอครับ หรือว่าแล้วแต่เงื่อนไข เพราะ บริษัท เล็กๆ บางที่ก็จ้าง ตำแหน่งนี้ไม่ไหว และ ไม่มีใครอยากเป็นเพราะ เสี่ยงผิดกฎหมาย
    หรือ สามารถเป็น นิติบุคคลได้

    • Admin bar avatar
      songpol กันยายน 17, 2019 @ 11:20 am

      หากเป็นไปตาม GDPR ของสหภาพยุโรป จะมีข้อกำหนดให้องค์ที่มีบุคลากรมากกว่า 250 คน ขึ้นไป จำเป็นต้องมีการมอบหมายเจ้าหน้าที่ให้ดูแลด้านความปลอดภัยของข้อมูลโดยเฉพาะ ครับ ส่วนตอนนี้ในประเทศไทย ยังอยู่ระหว่างการให้เตรียมความพร้อม และรอประกาศข้อกำหนดต่างๆที่เกี่ยวข้องอยู่ครับ ซึ่งยังไม่สามารถบอกได้ว่า PDPA เราจะล้อตาม GDPR มาเป๊ะเลยหรือไม่ หรือจะมีการเพิ่ม/ลดข้อกำหนดใดๆเพิ่มเติมครับ รอติดตามความคืบหน้าในเรื่องนี้อยู่เช่นกันครับ

      • chaiwat กันยายน 18, 2019 @ 8:18 am

        ขอบคุณมากๆ ครับ
        ชัดเจนขึ้นเลย ตอนนี้ที่บริษัท กำลังพยายามเตรียมตัวอยู่เลย

        • Admin bar avatar
          songpol กันยายน 18, 2019 @ 10:34 am

          ยินดีครับผม

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

X