กฎหมาย PDPA ที่ SMEs ควรรู้
ในยุคดิจิทัลที่ข้อมูลถือเป็นทรัพย์สินที่มีค่าไม่ต่างจากทรัพย์สินที่จับต้องได้ การคุ้มครองข้อมูลส่วนบุคคลจึงกลายเป็นเรื่องสำคัญที่ทุกภาคส่วนต้องให้ความสนใจ โดยเฉพาะผู้ประกอบการ SMEs ที่ควรเข้าใจและปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) อย่างถ่องแท้ เพราะไม่เพียงแต่ช่วยป้องกันความเสี่ยงทางกฎหมายเท่านั้น แต่ยังเป็นการสร้างความเชื่อมั่นและภาพลักษณ์ที่ดีให้กับองค์กรของคุณด้วย
1. ภาพรวมของกฎหมาย PDPA
กฎหมาย PDPA ได้รับการออกแบบมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของประชาชน โดยกำหนดหน้าที่และความรับผิดชอบให้องค์กรปฏิบัติตามกฎหมายนี้อย่างเคร่งครัด กฎหมายนี้ไม่ได้มุ่งสร้างภาระในการเก็บและใช้ข้อมูล แต่ต้องการให้มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างเหมาะสมและปลอดภัย โดยคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคลเพื่อให้ได้รับผลกระทบน้อยที่สุด
ทั้งนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตัว หรือกิจกรรมในครอบครัว ได้รับการยกเว้น ไม่ต้องปฏิบัติตามกฎหมายนี้ โดยกฎหมายนี้ใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ประกอบธุรกิจ องค์กรไม่แสวงหาผลกำไร และหน่วยงานของรัฐ โดยไม่จำกัดว่ากิจกรรมดังกล่าวจะเกิดขึ้นในรูปแบบกระดาษหรือในระบบดิจิทัล
ภายใต้กฎหมายนี้ กำหนดให้มีผู้เกี่ยวข้อง 3 บทบาท ได้แก่
• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ผู้มีสิทธิตามกฎหมาย ซึ่งข้อมูลนั้นบ่งชี้ไปถึงบุคคลดังกล่าวไม่ว่าทางตรงหรือทางอ้อม
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล ซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น ร้านกาแฟเป็นห้างหุ้นส่วนนิติบุคคล มีการเก็บรวบรวมข้อมูลลูกค้าเพื่อใช้ทำระบบสมาชิก หน้าที่ส่วนใหญ่ตามกฎหมายนี้กำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เช่น ธุรกิจร้านค้าอาจจ้างบริษัทอื่นให้จัดการข้อมูลสั่งซื้อสินค้าหรือดูแลเฟซบุ๊กเพจของร้าน ซึ่งต้องมีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกค้า
2. หน้าที่เบื้องต้นของผู้ควบคุมข้อมูลส่วนบุคคล ที่เป็น SMEs
ตั้งแต่วันที่ 1 มิถุนายน 2565 เมื่อกฎหมาย PDPA มีผลบังคับใช้แล้ว ทำให้ผู้ประกอบการที่อยู่ในฐานะของ "ผู้ควบคุมข้อมูลส่วนบุคคล" หรือ "Data Controller" มีหน้าที่ปฏิบัติตามกฎหมาย ซึ่งรวมถึงการแจ้งรายละเอียดตามที่กฎหมายกำหนดให้กับลูกค้าหรือพนักงานทราบ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน และการจัดทำบันทึกรายการ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม โดยมีหน้าที่เบื้องต้น ดังนี้
• การแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ในรูปแบบของ "ประกาศการคุ้มครองข้อมูลส่วนบุคคล" หรือ "Privacy Notice" ซึ่งกฎหมายไม่ได้กำหนดมีรูปแบบตายตัว อาจทำได้หลายวิธี ทั้งการทำเป็นหนังสือ ลายลักษณ์อักษร ทางวาจา หรือสื่ออิเล็กทรอนิกส์
• การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
• การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล โดยผู้ประกอบการประเมินตามระดับความเสี่ยง 3 ระดับ คือ “ไม่มีความเสี่ยง” “มีความเสี่ยงน้อย” “มีความเสี่ยงสูง” ซึ่งหากมีความเสี่ยงจะต้องแจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งการละเมิดแก่เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
• การจัดทำบันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ (บันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์) ทั้งนี้ ผู้ประกอบการซึ่งเป็นกิจการขนาดเล็กที่ได้รับการยกเว้น ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการยันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 ไม่ต้องบันทึกรายการตาม แต่ยังคงมีหน้าที่อื่นตามกฎหมายที่คงต้องปฏิบัติตามอยู่ เช่น การแจงรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ หรือการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย
3. หน้าที่เบื้องต้นของผู้ควบคุมข้อมูลส่วนบุคคล
ตามมาตรา 23 แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดของการเก็บรวบรวม รวมทั้งวัตถุประสงค์ของการเก็บรวบรวมและผู้ที่อาจเข้าถึงข้อมูลเหล่านั้น เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว ดังต่อไปนี้
1) วัตถุประสงค์ของการเก็บรวบรวม และวัตถุประสงค์ตามมาตรา 24 ที่ให้อำนาจในการเก็บรวบรวมได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
2) แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่าต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาและแจ้งถึงผลกระทบจากการไม่ให้ข้อมูลส่วนบุคคล
3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาได้ ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
6) สิทธิของเจ้าของข้อมูลส่วนบุคคล ได้แก่ สิทธิขอเข้าถึงและขอรับสำเนา สิทธิขอโอนข้อมูล สิทธิคัดค้าน สิทธิขอให้ลบหรือทำลายสิทธิขอระงับการใช้ข้อมูล สิทธิขอให้ดำเนินการแก้ไขข้อมูลให้ถูกต้อง และสิทธิในการร้องเรียน
อ่านรายละเอียดเพิ่มเติมที่ “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ดาวน์โหลดได้ที่ https://www.mdes.go.th/uploads/tinymce/source/สคส/คู่มือ%20PDPA%20สำหรับผู้ประกอบการ%20SMEs.pdf