PDPA FAQ

คำถามที่มักถามบ่อยเกี่ยวกับ PDPA

ALPHASEC เราเชี่ยวชาญในการให้คำปรึกษาเพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย โดยมีที่ปรึกษาทั้งทางกฏหมายและความมั่นคงปลอดภัยสารสนเทศ

PDPA คืออะไร

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

ข้อมูลส่วนบุคคลคืออะไร

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่อะไรบ้าง

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 

  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)

  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 

  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีใครบ้าง

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีใดบ้าง

  • ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล

  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ

  • ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

  • จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา

  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น

  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer) คืออะไร

ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA มีอะไรบ้าง

เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้

  • ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง

  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

ธุรกิจที่มีรูปแบบการให้บริการระหว่างธุรกิจและธุรกิจ โดยไม่มีการขายสินค้าหรือบริการให้กับบุคคลทั่วไปหรือ Business to Business (B2B) ต้องปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) หรือไม่​

ต้องปฏิบติตาม PDPA เพราะถือว่าเป็นธุรกิจหรือบริษัทนั้นๆ เป็นผู้ควบคุมข้อมูลหรือ Data Controller ที่มีการเก็บรวมรวมข้อมูลส่วนบุคคลของลูกจ้าง และนอกจากนั้นในการทำธุรกิจ B2B ก็จะมีการเก็บรวมรวม ข้อมูลที่ใช้ในการติดต่อ กับพนักงานของธุรกิจหรือพนักงานของบริษัทคู่ค้าที่สามารถระบุตัวบุคคลนั้นๆ ได้ ซึ่งล้วนเป็นข้อมูลส่วนบุคคล (Personal Data)
ยกเว้นข้อมูลการติดต่อนั้น เป็นข้อมูลของคู่ค้าที่เป็นของนิติบุคคลโดยแท้และที่ไม่สามารถระบุตัวบุคคลได้ เช่น อีเมล Customerservice@xyzabc.com หรือเบอร์โทรศัพท์ส่วนกลางของบริษัท เป็นต้น

ข้อมูลเงินเดือนพนักงานและผู้บริหารเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ตาม PDPA หรือไม่

ข้อมูลดังกล่าวแม้จะเป็นข้อมูลส่วนบุคคลเกี่ยวกับการเงินที่มีความสำคัญ แต่เป็นเพียง Personal Data จึงไม่ใช่ Sensitive Personal Data ตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

ชื่อ ที่อยู่และข้อมูลทางการค้าหรือการเงินของบริษัท เป็นข้อมูลส่วนบุคคลหรือไม่

ไม่ เพราะไม่ใช่ข้อมูลของบุคคลธรรมดา จึงไม่ได้รับความคุ้มครองตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
แต่อาจได้รับความคุ้มครองตามกฏหมายอื่น เช่น กฏหมายละเมิดหรือความลับทางการค้า

การประมวลผลข้อมูลลูกค้าเพื่อการปรับปรุงการให้บริการ อ้างฐานสัญญา โดยไม่ขอความยินยอมได้หรือไม่

บริษัทผู้ขายสินค้าหรือให้บริการเฝ้าดูพฤติกรรม
และประมวลผลข้อมูลการใช้บริการหรือความสนใจของลูกค้า on-line เพื่อการปรับปรุงการให้บริการ โดยอ้างความจำเป็นในการปฎิบัติตามสัญญา โดยไม่ขอความยินยอม ได้หรือไม่
คำตอบคือ ไม่ได้ เพราะการปรับปรุงการให้บริการ ไม่ใช่การจำเป็นในการปฏิบัติตามสัญญา ดังนั้นควรพิจารณาฐานอื่น เช่น ความยินยอม(Consent) หรือการประเมินฐานประโยชน์โดยชอบด้วยกฏหมาย (Legitimate Interest)

ความยินยอมที่ผู้ใช้อำนาจปกครองของผู้เยาว์ให้ไว้หรือให้ความยินยอมไว้ ต่อมาเมื่อผู้เยาว์บรรลุนิติภาวะ ความยินยอมจะยังมีผลสมบูรณ์อยู่หรือไม่

ความยินยอมที่ให้ไว้ ยังมีผลสมบูรณ์จนกว่าจะมีการถอนความยินยอมหรือหมดความจำเป็นที่จะเก็บรวบรวม ใช้หรือเปิดเผยตามวัตถุประสงค์

นามบัตรเป็นข้อมูลส่วนบุคคลหรือไม่

นามบัตรจะมีข้อมูลบุคคลธรรมดา เช่น ชื่อ-นามสกุล ที่อยู่ อีเมล เบอร์โทรศัพท์
ข้อมูลในนามบัตรเป็นข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวเจ้าของนามบัตรได้
ดังนั้น ข้อมูลในนามบัตร จึงเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ดังนั้นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว จะต้องปฏิบัติตาม PDPA

บริษัทขอใบรับรองแพทย์เพื่อพิจารณาอนุมัติการลาให้กับพนักงาน เช่น ลาป่วย ซึ่งใบรับรองแพทย์จะมีข้อมูลสุขภาพ (Sensitive Personal Data) จำเป็นต้องขอความยินยอมโดยชัดแจ้งจากพนักงานก่อนหรือไม่

หากเป็นการลาป่วยตั้งแต่สามวันขึ้นไป บริษัทสามารถให้ลูกจ้างแสดงใบรับรองแพทย์ได้ ตามกฏหมายคุ้มครองแรงงาน บริษัทอาจเก็บรวบรวมใบรับรองแพทย์ได้ โดยไม่ต้องขอความยินยอมจากลูกจ้าง เพราะอาจถือว่าเป็นประโยชน์โดยชอบด้วยกฏหมายของบริษัทและเป็นการจำเป็นในการปฏิบัติตามกฏหมาย
เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน
เพื่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทรือลูกจ้าง
แต่ต้องมีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิหรือประโยชน์ของลูกจ้าง

จะเกิดอะไรขึ้นถ้าข้อมูลลูกค้าถูกแก้ไขจนทำให้พนักงานไม่สามารถให้บริการลูกค้าได้

ตาม ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ https://bit.ly/32JcrZc

การธำรงไว้ซึ่งความ ความถูกต้องครบถ้วน (Integrity) ของข้อมูลส่วนบุคคล คือการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ซึ่งหากธำรงไว้ไม่ได้ จะมีผลกระทบทำให้ข้อมูลขาดความสมบูรณ์และขาดความน่าเชื่อถือ เช่น

ข้อมูลสมาชิกในเว็บไซต์หรือข้อมูลพนักงานที่เก็บไว้ในระบบฐานข้อมูล ถูกแก้ไข จากผู้ไม่มีสิทธิ หรือโปรแกรมทำงานผิดพลาด ทำให้การปฏิบัติงานที่เกี่ยวเนื่องกับข้อมูลนั้นผิดพลาดไปด้วย เช่น ทำให้ส่งข้อมูลไปยังอีเมลที่ไม่ถูกต้อง หรือส่งสินค้าไปผิดที่อยู่ หรือประมวลผลข้อมูลเงินเดือนผิดพลาด ทำให้พนักงานได้รับเงินเดือนที่ไม่ถูกต้อง หรือทำให้ข้อมูล Payroll Slip ผิดพลาด ทำให้พนักงานเห็นเงินเดือนของพนักงานคนอื่นๆ

ข้อมูลในระบบทะเบียนประวัติคนไข้ ถูกแก้ไขโดยผู้ไม่มีสิทธิ หรือเสียหายจากการประมวลผลที่ผิดพลาดของโปรแกรมคอมพิวเตอร์ ทำให้ข้อมูลการรักษาผิดเพี้ยน จำเป็นต้องใช้ข้อมูลจากเอกสารทดแทน ทำให้การปฏิบัติงานล่าช้า

โปรแกรมระบบนำทางของ Google map ทำงานผิดพลาดทำให้ตำแหน่งของท่านเพี้ยน และสุดท้ายพาท่านเข้าป่า หรือหลงทางไปหลายกิโลเมตร

ซึ่งจากเหตุการณ์ดังกล่าวที่เคยเกิดขึ้นกับหลายๆองค์กร นอกจากจะทำให้เกิดข้อผิดพลาดในการทำงานแล้ว ยังทำให้เสียเวลา เสียชื่อเสียงเพราะไม่สามารถให้บริการได้อย่างถูกต้อง พนักงานถูกตำหนิและถูกร้องเรียน หรืออาจจะถึงขั้นเลิกใช้บริการ ซึ่งองค์กรต้องเสียค่าใช้จ่ายในการออกสื่อประชาสัมพันธ์ เพื่อกู้ชื่อเสียงกลับคืนมา เป็นจำนวนมาก

ดังนั้นการรักษาความคงสภาพของข้อมูลหรือความสมบูรณ์ของข้อมูล (Integrity) จึงเป็นสิ่งที่สำคัญอีกประการหนึ่งที่ทุกองค์กรต้องรักษาให้ได้ โดยใช้กลไกในการป้องกันการเข้าถึงและการตรวจสอบเฝ้าระวังเพื่อป้องกันการแก้ไขข้อมูลจากผู้ไม่ได้รับอนุญาต

เมื่อคุณมีบทบาทเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องทำอะไรบ้าง

ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบ คลุมถึง มาตรการป้องกันทางกายภาพ (physical safeguard)
ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓
โดยอุปกรณ์คอมพิวเตอร์พกพาที่มีข้อมูลส่วนบุคคล จะต้องได้รับการป้องกันทางกายภาพ จากการถูกโจรกรรม โดยเฉพาะเวลาที่อุปกรณ์เหล่านี้ถูกทิ้งไว้ เช่น ในรถ และยานพาหนะขนส่งในรูปแบบอื่น โรงแรม ศูนย์การประชุม และสถานที่ประชุม
อุปกรณ์ที่มีข้อมูลส่วนบุคคล ที่สำคัญจะต้องไม่ถูกปล่อยทิ้งไว้โดยไม่มีผู้ดูแล หากเป็นไปได้จะต้องถูกล็อคโดยอุปกรณ์ล็อคทางกายภาพ หรือตัวล็อคพิเศษเพื่อรักษาความปลอดภัยของอุปกรณ์
จะต้องมีการจัดฝึกอบรมสำหรับบุคลากรที่ใช้อุปกรณ์คอมพิวเตอร์พกพา เพื่อเพิ่มความตระหนักของความเสี่ยงที่จะเกิดขึ้นจากการทำงาน และการเลือกใช้การควบคุม
แนวปฏิบัติด้านความมั่นคงปลอดภัยทางกายภาพ ที่ควรพิจารณามีดังต่อไปนี้
ควรบันทึกวันและเวลาการเข้าและออกของผู้มาเยือน และผู้มาเยือนทั้งหมดต้องอยู่ภายใต้การดูแล เว้นแต่การเข้าถึงนั้นได้มีการอนุมัติมาก่อนหน้าแล้ว
ผู้มาเยือนสามารถเข้าถึงเฉพาะวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น และจะต้องมีคำแนะนำเกี่ยวกับข้อกำหนดด้านความมั่นคงปลอดภัยของพื้นที่ และขั้นตอนปฏิบัติกรณีฉุกเฉินให้รับทราบ
การระบุตัวตนของผู้มาเยือนควรใช้วิธีการพิสูจน์ตัวตนที่เหมาะสม
การเข้าพื้นที่ที่มีการประมวลผล หรือเก็บข้อมูลสารสนเทศที่เป็นความลับจะต้องจำกัด
การเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น โดยใช้การควบคุมการเข้าถึงที่เหมาะสม เช่น การใช้วิธีการพิสูจน์ตัวตนแบบสองปัจจัย (Two-Factor Authentication) คือ การใช้บัตร และรหัสผ่านร่วมกัน
สมุดบันทึก หรืออุปกรณ์อิเล็กทรอนิกส์ที่ใช้บันทึกการเข้าออก ควรได้รับการดูแล และตรวจสอบอย่างปลอดภัย
พนักงาน ผู้รับเหมา และบุคคลภายนอกจะต้องสวมใส่สิ่งที่เอาไว้ระบุตัวตนให้ผู้อื่นเห็น และควรแจ้งเจ้าหน้าที่รักษาความปลอดภัยทราบทันทีเมื่อพบเห็นผู้ที่ไม่สวมใส่สิ่งที่เอาไว้ระบุตัวตน
บุคคลภายนอกควรได้รับอนุญาตให้เข้าถึงพื้นที่ที่มีการประมวลผลข้อมูลสารสนเทศที่เป็นความลับเฉพาะเมื่อจำเป็นเท่านั้น และการเข้าถึงนี้ควรได้รับการเฝ้าระวังหรือถูกติดตามโดยบุคคลภายในเสมอ
สิทธิในการเข้าถึงพื้นที่ที่ปลอดภัยควรได้รับการทบทวน และปรับปรุงอย่างสม่ำเสมอ และเพิกถอนสิทธิเมื่อจำเป็น

สิ่งที่ผู้ประกอบการต้องเตรียมพร้อมเพื่อรองรับ PDPA

  1. ศึกษาข้อกฎหมาย  รวมไปถึงทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามที่กฎหมายระบุให้ละเอียด

  2. จัดทำข้อกำหนดและนโยบายต่างๆ ขององค์กรในการจัดเก็บข้อมูลภายใน  โดยต้องมีการทบทวนและปรับปรุงข้อมูลที่มีอยู่ให้เป็นปัจจุบันเสมอ  

  3. ระบุขั้นตอนในการจัดเก็บข้อมูลให้เป็นมาตรฐาน  รวมไปถึงการมีแบบฟอร์มหรือระบบรองรับที่ใช้ในองค์กรในการขอรับความยินยอม

  4. กำหนดระเบียบและหลักเกณฑ์ต่างๆ ในองค์กร ทั้งการเก็บรวบรวมข้อมูล  การใช้  และการเปิดเผยข้อมูลส่วนบุคคล  ให้สอดคล้องกับกฎหมาย   ตลอดจนกำหนดมาตรการในการแก้ปัญหา  กรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล

  5. จัดทำระบบที่ช่วยให้การจัดเก็บข้อมูลส่วนบุคคลปลอดภัยและมีประสิทธิภาพ

  6. ให้ความรู้อบรมกับบุคลากรภายในองค์กร  เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลให้เข้าใจในหลักการ  และนำไปใช้ในการทำงานได้ถูกต้องตามกฎหมาย

  7. แต่งตั้งและมอบหมายผู้รับผิดชอบภายในองค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคลหรือที่เรียกว่า Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล)  เพื่อดำเนินการให้สอดคล้องตามกฎหมาย  

 

ALPHASEC

02-309-3559, HOT LINE : 080-556-4662

บริษัท อัลฟ่าเซค จำกัด
เลขที่ 18 อาคาร ปาร์คเวนเชอร์ อีโคเพล็ก 57 ถนนวิทยุ แขวงลุมพินี เขต ปทุมวัน กรุงเทพฯ 10330

  • Facebook

©2020 by AlphaSec Co., Ltd.