กฎหมาย PDPA คืออะไร? SMEs ต้องจัดการข้อมูลลูกค้าอย่างไร?

23 พฤศจิกายน 2022

กฎหมาย PDPA คือ มาตรการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป ซึ่งมีความเกี่ยวข้องกับผู้ประกอบการ SMEs ในประเด็นการจัดการข้อมูลลูกค้าอย่างแน่นอน

PDPA คืออะไร?

PDPA (Personal Data Protection Act) เป็นชื่อเรียกของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีสาระสำคัญเกี่ยวกับการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล และและการรักษาข้อมูลของลูกค้าให้เป็นไปตามมาตรฐานตามที่กฎหมายกำหนด เช่น เหตุและความจำเป็นที่สามารถเก็บข้อมูลของลูกค้าได้ การเก็บข้อมูลแบบใดต้องขอความยินยอมของลูกค้าก่อน

ทั้งนี้ กฎหมายนี้อาจเทียบเคียงได้กับ GDPR (General Data Protection Regulation) ของทางยุโรป

กฎหมาย PDPA เริ่มใช้เมื่อไหร่?

มีผลบังคับใช้แล้วตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป

หมายเหตุ: ตัว  พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายประกาศใช้ตั้งแต่ปี 2562 ก็จริง แต่มีการเว้นช่วงเวลาให้ผู้ประกอบการได้เตรียมตัว รวมถึงมีการเลื่อนเวลาการบังคับใช้ในช่วงที่ผ่านมาด้วย จึงทำให้เพิ่งบังคับใช้จริงเมื่อวันที่ 1 มิถุนายน 2565

หลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

หลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ ผู้ควบคุมข้อมูลส่วนบุคคล (เช่น ผู้ประกอบการ) จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคล (เช่น ลูกค้า) ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่จะมีกฎหมายกำหนดให้ทำได้

การคุ้มครองข้อมูลส่วนบุคคลจำกัดเฉพาะธุรกิจออนไลน์หรือไม่?

การคุ้มครองข้อมูลส่วนบุคคลปรับใช้กับทั้ง ออนไลน์ และ ออฟไลน์

ข้อมูลส่วนบุคคล คืออะไร?

ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?

โดยทั่วไป เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลได้ รวมถึงขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ด้วย

นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ รวมถึงขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลท่ีไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ และขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ด้วยเช่นกัน

ผู้ควบคุมข้อมูลส่วนบุคคลในกิจการขนาดเล็กมีหน้าที่อะไรบ้าง?

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้จัดทำคู่มือ PDPA สำหรับผู้ประกอบการ SMEs โดยเฉพาะ โดยสามารถสรุปหน้าที่ของกิจการ SMEs ในฐานะผู้ควบคุมข้อมูลไว้ดังนี้

1. แจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

  • วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และฐานอํานาจในการเก็บรวบรวม ข้อมูลส่วนบุคคล
  • การปฏิบัติตามกฎหมาย สัญญา หรือการแจ้งรายละเอียดประโยชน์โดยชอบด้วยกฎหมาย
  • ประเภทของข้อมูลส่วนบุคคลและระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
  • ประเภทของผู้รับข้อมูล ในกรณีที่มีการส่งข้อมูลส่วนบุคคลให้กับบุคคลท่ีสาม
  • แหล่งที่มาของข้อมูลส่วนบุคคล (กรณีเก็บรวบรวมข้อมูลมาจากแหล่งอื่นที่ไม่ใช่เจ้าของ ข้อมูลโดยตรง)
  • ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • สิทธิของเจ้าของข้อมูลส่วนบุคคล

การแจ้งรายละเอียดของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลข้างต้นอาจอยู่ในรูปแบบ ของ “ประกาศการคุ้มครองข้อมูลส่วนบุคคล” หรือ “privacy notice” ซึ่งกฎหมายไม่ได้กําหนดมีรูปแบบ ตายตัว อาจทําได้หลายวิธี ทั้งการทําเป็นหนังสือลายลักษณ์อักษร ทางวาจา หรือสื่ออิเล็กทรอนิกส์ เช่น ข้อความ SMS อีเมล เป็นต้น โดยอาจแจ้งข้อมูลเบื้องต้นแบบสั้นและจัดทําเป็นลิงก์หรือ QR Code เชื่อมโยงไปยังเว็บไซต์เพื่อแจ้งรายละเอียดที่ครบถ้วนตามที่กฎหมายกําหนดอีกชั้นหนึ่ง (Layered Approach)

ในกรณีของการจ้างพนักงานอาจเพิ่มเรื่องประกาศการคุ้มครองข้อมูลส่วนบุคคลอาจจะระบุไว้ใน ส่วนใดส่วนหนึ่งของสัญญาจ้างงานก็ได้ เช่น ในส่วนท้ายของสัญญาจ้างงาน เป็นต้น

2. การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลที่กําหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปดเผยข้อมูลส่วนบุคคล โดยปราศจากอํานาจหรือโดยมิชอบ

ทั้งนี้ ข้อกําหนดตามประกาศดังกล่าวถือเป็นมาตรฐานขั้นต่ำที่ให้ไว้เป็นแนวทางสําหรับผู้ประกอบการนําไปปฏิบัติ ได้แก่

  • การเสริมสร้างความตระหนักรู้ เกี่ยวกับความสําคัญของข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness)
  • มีการควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่สําคัญ (access control) โดยอาจจะต้องมีการพิสูจน์ และยืนยันตัวตน (identity proofing and authentication) และมีมาตรการสําหรับอนุญาตหรือการกําหนดสิทธิในการเข้าถึงและใช้งาน (authorization) ที่เหมาะสมเพื่อให้สอดคล้องกับหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • การกําหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เป็นต้น

3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เช่น ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมไว้ภายในองค์กรรั่วไหล ผู้ประกอบการซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุให้แก่สํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล (สํานักงานฯ) ทราบโดยไม่ชักช้า

อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้กําหนด ระดับของความเสี่ยงไว้ 3 ระดับ ได้แก่

  • “ไม่มีความเสี่ยง” กรณีนี้อาจจะไม่ต้องแจ้งต่อสํานักงานฯ แต่ผู้ประกอบการอาจจะต้องทําการบันทึกรายละเอียดของการเกิดเหตุไว้
  • “มีความเสี่ยงน้อย” ผู้ประกอบการจะต้องแจ้งให้สํานักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไม่ชักช้าภายใน 72 ชั่วโมง
  • “มีความเสี่ยงสูง” ซึ่งกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ประกอบการจะต้องแจ้งให้สํานักงานฯ ทราบถึงเหตุของการละเมิดนั้นโดยไม่ชักช้าภายใน 72 ชั่วโมง รวมถึงแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมแนวทางการป้องกันความเสียหายที่จะเกิดขึ้นด้วย

กฎหมายกําหนดหลักการสําคัญในการแจ้งเหตุละเมิดว่า ควรเป็นการใช้ภาษาที่ชัดเจนและมีการอธิบายถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลที่เข้าใจง่าย ในกรณีที่ต้องแจ้งให้กับสํานักงานฯ และเจ้าของ ข้อมูลส่วนบุคคลทราบ จะต้องมีการบรรยายลักษณะของการเหตุละเมิดข้อมูลส่วนบุคคล เช่น ประเภทของ ข้อมูลที่รั่วไหล จํานวนข้อมูลที่รั่วไหล แจ้งผลกระทบที่จะเกิดขึ้นและอาจเกิดขึ้นในอนาคต รวมถึงมาตรการ หรือแนวทางท่ีจะบรรเทาผลกระทบที่อาจเกิดข้ึน เป็นต้น

4. การจัดทําบันทึกรายการ

ผู้ประกอบการซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลอาจต้องมีการจัดทําบันทึกรายการ (Record of Processing Activity: RoPA) เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานสามารถตรวจสอบได้ ซึ่งวิธีการจัดทําบันทึกนั้นจะเป็นเอกสารกระดาษหรือใช้ระบบอิเล็กทรอนิกส์ก็ได้ โดยต้องมีรายละเอียดดังต่อไปนี้

  • ข้อมูลเก่ียวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลส่วนบุคคลท่ีมีการเก็บรวบรวม
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล 
    ส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
  • การปฏิเสธคําขอหรือการคัดค้าน
  • คําอธิบายเก่ียวกับมาตรการรักษาความมั่นคงปลอดภัย

อย่างไรก็ตาม กฎหมายไม่ได้กําหนดรูปแบบของบันทึกรายการไว้ตายตัว เป็นเพียงการกําหนดสาระสําคัญของรายการที่ต้องบันทึกไว้เท่านั้น นอกจากนี้ ผู้ประกอบการซึ่งอยู่ในขอบเขตของการเป็นกิจการขนาดเล็ก จะได้รับการยกเว้นตามกฎหมายไม่ต้องจัดทําบันทึกรายการดังกล่าวก็ได้