เอกสาร PDPA

ข้อมูลส่วนบุคคลตามที่กำหนดไว้ในมาตรา 6 ของ PDPA คือข้อมูลใดๆ ที่ระบุตัวบุคคลโดยตรงหรือโดยอ้อม ซึ่งรวมถึงชื่อของบุคคล ที่อยู่ ที่อยู่อีเมล หมายเลขโทรศัพท์ หมายเลขประจำตัว และข้อมูลอื่นใดที่ระบุตัวตนของบุคคลเหล่านี้ PDPA จะให้การคุ้มครองเพิ่มเติมสำหรับข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งรวมถึงข้อมูลเกี่ยวกับ:

หากข้อมูลที่รวบรวมโดยธุรกิจ เว็บไซต์ หรือนายจ้างเกี่ยวกับบุคคลใดบุคคลหนึ่งสามารถนำมาใช้เพื่อระบุตัวบุคคลนี้ได้ (เจ้าของข้อมูล) บุคคลนี้จะได้รับการคุ้มครองภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากมีพื้นฐานทางกฎหมาย ข้อมูลส่วนบุคคลเกี่ยวกับพนักงาน ลูกค้า หรือผู้ใช้เว็บไซต์อาจได้รับภาระผูกพันทางกฎหมาย ผลประโยชน์สาธารณะ ผลประโยชน์ที่ชอบด้วยกฎหมาย หรือการยินยอม ล้วนเป็นตัวอย่างของสิ่งนี้.

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย พ.ศ. 2562 (PDPA) เผยแพร่ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของประเทศไทย. ความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นหัวข้อสำคัญทั่วโลก และกำลังกลายเป็นประเด็นสำคัญสำหรับนักการเมืองไทยอย่างรวดเร็ว พวกเขาเข้าใจดีว่าขั้นตอนขององค์กรต้องมีการจัดเตรียมและการปรับปรุงอย่างรอบคอบ ไม่มีทางอื่นใดที่จะรับรองการปฏิบัติตามและแสดงให้เห็นถึงความรับผิดชอบได้มากไปกว่าการจัดการและรักษาข้อมูลส่วนบุคคล.

ผู้ทำธุรกิจในประเทศไทยตระหนักดีถึงความเสี่ยงและข้อกำหนดด้านความเป็นส่วนตัวของข้อมูล และในปัจจุบัน ประเทศไทยมีความคืบหน้าอย่างมากในด้านนี้ โดยมีการวางรากฐาน แต่อย่างไรก็ตาม การพัฒนายังคงมีอะไรต้องทำอีกมาก.

บริษัทต่างๆ ต้องใช้แนวทางที่ครอบคลุมในทุกๆ ด้าน รวมไปถึงแนวทางปฏิบัติ โดยมีทรัพยากรเพียงพอและหน้าที่ที่กำหนดไว้อย่างชัดเจน เพื่อเตรียมพร้อมอย่างสมบูรณ์ตั้งแต่เดือนมิถุนายน พ.ศ. 2565 และต่อ ๆ ไป.

บุคคล บริษัท และเว็บไซต์ทั้งหมดที่รวบรวมข้อมูลส่วนบุคคลจากผู้ใช้ชาวไทยอยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างไรก็ตาม กฎหมายยังบังคับใช้กับองค์กรระหว่างประเทศที่ทำธุรกิจร่วมกับคนไทยหรือรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการจัดหาผลิตภัณฑ์หรือบริการแก่พวกเขา หรือติดตามพฤติกรรมของพวกเขา.

ผู้ถือข้อมูลอาจยังคงใช้ข้อมูลส่วนบุคคลที่รวบรวมก่อนวันที่ 1 มิถุนายน พ.ศ. 2565 ภายใต้ PDPA ในทางกลับกัน ผู้ถือข้อมูลจะต้อง:

ข้อมูลส่วนบุคคลจะต้องถูกรวบรวม ใช้ และเปิดเผยตามหนึ่งในหกฐานทางกฎหมายที่ระบุไว้ด้านล่างในสถานการณ์อื่นๆ ทั้งหมด และต้องได้รับความยินยอมจากเจ้าของข้อมูลในการรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล โดยมีเป้าหมายที่ถูกต้องตามกฎหมาย ดังต่อไปนี้:

1. สำหรับการสร้างเอกสารทางประวัติศาสตร์หรือเอกสารที่เป็นสาธารณประโยชน์ หรือเพื่อการวิจัยหรือสถิติ โดยมีเงื่อนไขว่าต้องมีการป้องกันที่เหมาะสมสำหรับสิทธิและเสรีภาพของเจ้าของข้อมูล และตามประกาศที่ได้รับคำสั่งจากสำนักงาน.

2. เพื่อหลีกเลี่ยงหรือขจัดภัยคุกคามต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล.

3. จำเป็นสำหรับการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญาหรือดำเนินการตามคำขอของเจ้าของข้อมูลก่อนที่จะทำสัญญา.

4. ในกรณีที่ผู้ถือข้อมูลต้องปฏิบัติหน้าที่เพื่อสาธารณประโยชน์หรือการใช้อำนาจหน้าที่ของทางราชการซึ่งจะถือว่าเป็นความจำเป็น.

5. สำหรับผู้ถือข้อมูลหรือผลประโยชน์ที่ชอบด้วยกฎหมายของบุคคลอื่น เว้นแต่ผลประโยชน์เหล่านั้นจะถูกแทนที่โดยสิทธิ์พื้นฐานของเจ้าของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพวกเขา หรือ.

6. ในกรณีที่กฎหมายกำหนดไว้ซึ่งผู้ถือข้อมูลอยู่ภายใต้บังคับ.

คำขอความยินยอมจะต้องแยกออกจากเอกสารอื่นๆ และแสดงเป็นภาษาอังกฤษและภาษาไทย ซึ่งหมายความว่าไม่สามารถซ่อนคำขอความยินยอมในการหนังสือยินยอมอย่างไม่เป็นการทางหรือรวมเข้ากับข้อกำหนดและเงื่อนไขอื่นๆ ได้ หากความยินยอมเขียนเป็นภาษาเดียว มีความเสี่ยงอย่างยิ่งที่เจ้าของภาษาในภาษาอื่นจะโต้แย้งว่าไม่ได้ร้องขอตาม โดยต้องกรอกเกณฑ์ต่อไปนี้เพื่อให้ความยินยอม PDPA ถูกต้อง:

ก่อนหรือในช่วงเวลาของการรวบรวมข้อมูลส่วนบุคคล ผู้ถือข้อมูลจะต้องส่งหนังสือเกี่ยวกับความเป็นส่วนตัวให้กับเจ้าของข้อมูล หนังสือดังกล่าวต้องมีข้อมูลต่อไปนี้:

ผู้ถือข้อมูลต้องแจ้งให้สำนักงานทราบภายใน 72 ชั่วโมงหลังจากทราบว่ามีการละเมิดข้อมูลส่งผลกระทบต่อข้อมูลส่วนบุคคล หากการละเมิดได้รับการพิจารณาว่ามีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล จะต้องแจ้งให้ผู้กระทำความผิดทราบโดยเร็วที่สุด.

ผู้ถือข้อมูลมีหน้าที่ในการปกป้องข้อมูลส่วนบุคคล ซึ่งรวมถึง:

เว้นแต่จะได้รับการยกเว้น เมื่อผู้ถือข้อมูลส่งหรือถ่ายโอนข้อมูลส่วนบุคคลไปยังเขตอำนาจศาลต่างประเทศ ประเทศปลายทางที่ได้รับข้อมูลจะต้องมีมาตรฐานการปกป้องข้อมูลที่ยอมรับได้ (เช่นได้รับความยินยอมจากเจ้าของข้อมูลสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการปกป้องข้อมูลไม่เพียงพอหรือการโอนเป็นไปตามกฎหมาย) แนวทางมาตรฐานการปกป้องข้อมูลที่เพียงพอยังไม่ได้รับการเผยแพร่.

การละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อาจส่งผลให้ได้รับโทษทางแพ่ง อาญา และทางปกครอง ผู้ถือข้อมูลที่รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล (ในกรณีที่จำเป็นต้องได้รับความยินยอม) จะถูกปรับสูงสุด ห้าล้านบาท (หรือสูงสุด 4% ของรายได้ทั้งหมดของบริษัท) และโทษทางอาญาสูงสุดหนึ่งปีในคุก.

เราได้รวบรวมคำแนะนำง่ายๆ ในการปฏิบัติตาม PDPA ภายในวันที่ 1 มิถุนายน พ.ศ. 2565 ซึ่งคุณสามารถดูได้ที่ด้านล่าง:

ขั้นตอนที่ 1: ตรวจสอบว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)มีผลบังคับใช้กับบริษัทของคุณและการดำเนินงานของบริษัทหรือไม่ หากคุณอยู่ภายใต้ PDPA คุณต้องทำตามขั้นตอนต่อไปนี้:

ขั้นตอนที่ 2: สร้างผังงานสำหรับข้อมูลของคุณ (เช่น ข้อมูลใดที่องค์กรรวบรวมและรวบรวมอย่างไรและใช้งานอย่างไร)

ขั้นตอนที่ 3: อนุญาตให้เจ้าของข้อมูลคัดค้านการใช้ข้อมูลส่วนบุคคลของตนอย่างต่อเนื่องสำหรับข้อมูลส่วนบุคคลที่มีอยู่ และใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ตั้งใจไว้เท่านั้น อย่างไรก็ตาม หากผู้ถือข้อมูลยังไม่ได้ส่งหนังสือบอกกล่าวความเป็นส่วนตัวแก่เจ้าของข้อมูลที่มีข้อมูลที่เกี่ยวข้อง ผู้ถือข้อมูลจะต้องดำเนินการส่งหนังสือดังกล่าวภายในวันที่ 1 มิถุนายน พ.ศ. 2565.

ขั้นตอนที่ 4: กำหนดพื้นฐานทางกฎหมายสำหรับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในอนาคต เพื่อดูว่าจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลหรือไม่ ลูกค้า คู่ค้าทางธุรกิจ หรือบุคคลอื่นใดที่คุณได้รับข้อมูลส่วนบุคคล จะต้องมีหนังสือบอกกล่าวเกี่ยวกับความเป็นส่วนตัว และขอความยินยอมหากจำเป็น.

ขั้นตอนที่ 5: ปฏิบัติตามข้อกำหนดอื่นๆ ของ PDPA สำหรับผู้ถือข้อมูล.

เมื่อพูดถึงการปฏิบัติตาม PDPA เราขอเสนอให้ธุรกิจต่างๆ (เช่น ผู้ถือข้อมูล) ให้ความสำคัญกับการได้รับความยินยอมจากผู้บริโภคแต่ละคนให้น้อยที่สุด เนื่องจากความยินยอมเป็นพื้นฐานทางกฎหมายที่มีความสำคัญมากซึ่งสามารถเพิกถอนได้ตลอดเวลา เนื่องจาก สถาบันคุ้มครองเงินฝากยังใหม่อยู่ บางคนเชื่อว่าจำเป็นต้องมีการยินยอมเสมอ อย่างไรก็ตาม ในความเป็นจริง ผู้ถือข้อมูลสามารถพึ่งพาพื้นฐานทางกฎหมายที่ยาวนานกว่าได้หลายประการ เช่น ความต้องการตามสัญญา ผลประโยชน์ที่ชอบด้วยกฎหมาย และความรับผิดชอบทางกฎหมาย ซึ่งควรใช้ในทุกที่ที่ทำได้.

นอกจากนี้ เมื่อเตรียมหนังสือบอกกล่าวเรื่องความเป็นส่วนตัวเพื่อให้เป็นไปตามข้อกำหนดการแจ้งเตือนของ PDPA (ภายใต้มาตรา 23 ของพระราชบัญญัติ) ธุรกิจต้องตรวจสอบให้แน่ใจว่าหนังสือดังกล่าวมี “ข้อมูลที่ชัดเจนและเพียงพอ” เพื่อให้เจ้าของข้อมูลสามารถเข้าใจและคาดหวังผลที่ตามมาจากความเป็นส่วนตัวได้อย่างสมเหตุสมผล.

ควรสังเกตว่า ความคิดและกฎเกณฑ์สำหรับข้อมูลส่วนบุคคลของเด็ก (ผู้เยาว์) ไม่เหมือนกับเกณฑ์อื่นๆ ที่ผิดจากมาตรฐานสากล เนื่องจากมีการแปลเป็นภาษาท้องถิ่นอย่างชัดแจ้งเพื่อให้สอดคล้องกับข้อจำกัดของประมวลกฎหมายแพ่งและพาณิชย์ของไทยว่าด้วยผู้เยาว์.

บริษัทข้ามชาติระดับนานาชาติและระดับท้องถิ่นที่มีบริษัทในเครือในหลายประเทศอาจพิจารณาร่างมาตรฐานองค์กรที่มีผลผูกพัน (หรือปรับให้เข้ากับท้องถิ่นตามความเหมาะสม) สำหรับการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดนภายในกลุ่มบริษัทของตนตามข้อกำหนดการถ่ายโอนข้ามพรมแดนของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล.

คณะกรรมการคุ้มครองข้อมูลจะออกกฎระเบียบเพิ่มเติมในอนาคตอันใกล้นี้ เพื่อชี้แจงข้อกำหนดสำหรับการแจ้งการละเมิดข้อมูลและข้อมูลประจำตัวที่จำเป็นของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เป็นเวลา 72 ชั่วโมง.

สุดท้าย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีอนุประโยคที่อาจทำให้ธุรกิจสามารถดำเนินการรวบรวมและใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เดิมของตนต่อไปได้หลังจากที่ PDPA มีผลบังคับใช้ในปี พ.ศ. 2565 เมื่อดำเนินการตามแผนการปฏิบัติตามข้อกำหนด บริษัทต่างๆ ควรให้ความสนใจเป็นพิเศษกับข้อกำหนดเหล่านี้และผลกระทบต่อข้อกำหนดที่มีอยู่ การปฏิบัติและกระบวนการ.

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมของประเทศไทย (MDES) ได้เผยแพร่ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 17 กรกฎาคม พ.ศ. 2563 โดยสรุปหลักเกณฑ์ความปลอดภัยขั้นต่ำของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยประกาศจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมนี้มีผลตั้งแต่วันที่ 18 กรกฎาคม พ.ศ. 2563 ถึง 31 พฤษภาคม พ.ศ. 2565.

มาตรฐานขั้นต่ำของการแจ้งเตือนนั้นใกล้เคียงกับมาตรฐานความปลอดภัยที่ยอมรับกันอย่างกว้างขวางทั่วโลก ตามที่ระบุไว้ใน ISO/IEC: 27001 มาตรฐานความปลอดภัยของข้อมูล (ISO) ขององค์การมาตรฐานสากล ในทางกลับกัน ผู้ที่คุ้นเคยกับมาตรฐาน ISO/IEC อาจสังเกตว่าการแจ้งเตือนของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมของประเทศไทยนั้นไม่ละเอียดถี่ถ้วนและให้ความช่วยเหลือน้อย.

เพื่อความสะดวกในการอ้างอิง การเปรียบเทียบองค์ประกอบที่สำคัญของการประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมของประเทศไทยกับแง่มุมที่เปรียบเทียบได้ของ ISO/IEC: 27001 ได้แสดงไว้ด้านล่าง.

เมื่อใช้ข้อมูลส่วนบุคคล มาตรฐานความปลอดภัยที่กำหนดโดยการประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจำเป็นต้องมีการนำการป้องกันด้านการบริหาร ด้านเทคนิค และทางกายภาพมาใช้เพื่อควบคุมการเข้าถึง การดำเนินการตามมาตรการที่ระบุไว้ในคอลัมน์ด้านซ้ายมือด้านล่าง (ซึ่งเชื่อมโยงกับมาตรการ ISO/IEC: 27001 ที่สอดคล้องกันเสมอ) เป็นสิ่งจำเป็นเพื่อให้ได้รับการคุ้มครองเหล่านี้.

มาตรฐานที่ระบุไว้ในประกาศนี้เป็นมาตรฐานขั้นต่ำที่ผู้ควบคุมข้อมูลต้องปฏิบัติตาม และไม่มีข้อจำกัดเกี่ยวกับมาตรฐานหรือการดำเนินการที่เหนือกว่าเกณฑ์พื้นฐาน (เช่น ISO/IEC 27001) ด้วยเหตุนี้ องค์กรข้ามชาติหลายแห่งจึงอาจสำรวจการนำมาตรฐานการปกป้องข้อมูลมาใช้ซึ่งอยู่เหนือเกณฑ์การประกาศฉบับใหม่ของประเทศไทย เพื่อที่จะประสานความรับผิดชอบในการปกป้องข้อมูลข้ามเขตอำนาจศาลต่างๆ และรับรองการปฏิบัติตามกฎหมาย ประกาศนี้สามารถบังคับใช้โดยรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม.

ส่วนขยายนี้ช่วยให้ธุรกิจมีความคล่องตัวเพิ่มขึ้นในการเตรียมพร้อมสำหรับการปฏิบัติตาม PDPA. บริษัทต่างๆ ควรจับตาดูกฎระเบียบเพิ่มเติมที่จะเผยแพร่เพื่อการประชาพิจารณ์ต่อไปก่อนที่จะนำไปใช้ตลอดระยะเวลาที่ขยายออกไป รัฐบาลได้เปิดเผยต่อสาธารณะว่าข้อบังคับเพิ่มเติมจะรับรองและปฏิบัติตามมาตรฐานการปกป้องข้อมูลระหว่างประเทศ คล้ายกับหลักการที่ PDPA ยอมรับ ซึ่งได้รับอิทธิพลอย่างมากจากมาตรฐานการปกป้องข้อมูลระหว่างประเทศ (โดยเฉพาะกฎระเบียบให้ความคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป หรือ GDPR) (อีกครั้ง โดยเฉพาะของ GDPR).