พระราชบัญญัติป้องกันข้อมูลส่วนบุคคล พ.ศ. 2562

By Peter Tyllack
Metal lock an different key on a dark brown wooden table

เมื่อวันที่ 27 พ.ค. 2562 ที่ผ่านมา ได้มีการประกาศ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา โดยจะมีผลบังคับใช้ภายในหนึ่งปีนับจากวันประกาศ

เรามาทำความรู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กันเถอะ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยนั้น คล้ายคลึงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulation (GDPR) เนื่องจากมีบางข้อที่ปรับมาจากกฏหมายนี้

วัตถุประสงค์หลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือการป้องกันข้อมูลส่วนบุคคลไม่ให้รั่วไหลและเกิดผลกระทบต่อเจ้าของข้อมูล ตามบทบัญญัติดังต่อไปนี้
- สิทธิ์ของเจ้าของข้อมูล
- กฎระเบียบบังคับใช้แก่ผู้ควบคุมข้อมูลส่วนบุคคล / ผู้ประมวลผลข้อมูลส่วนบุคคล
- ข้อจำกัดในการโอนถ่ายข้อมูลส่วนตัวไปประเทศที่สาม
- กฏระเบียบการขอความยินยอมจากเจ้าของข้อมูลก่อนที่จะขอข้อมูลหรือนำข้อมูลส่วนตัวไปใช้
- ข้อบังคับในการวัดมาตรการความปลอดภัยในการจัดเก็บข้อมูลส่วนตัวของผู้อื่น โดยเฉพาะในกรณีเป็นข้อมูลที่เป็นความลับ
- เงื่อนไขหรือกฎระเบียบในการแจ้งเตือนหากมีข้อมูลรั่วไหล
- ข้อบังคับสำหรับผู้ถือข้อมูลที่อยู่ภายนอกประเทศไทย ให้แต่งตั้งตัวแทนที่อยู่ในประเทศไทยดูแลแทน

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission) จะต้องเป็นผู้รับผิดชอบในการออกเงื่อนไข กฎระเบียบและแนวทางคร่าวๆของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ผู้ถือครองข้อมูลและหน่วยประมวลผลข้อมูลต่างๆจะต้องแต่งตั้งพนักงานดูแลป้องกันข้อมูลและต้องวางมาตรการเพื่อแจ้งให้กับเจ้าหน้าที่หรือเจ้าของข้อมูลทราบในกรณีที่ข้อมูลรั่วไหล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้จะมีผลบังคับใช้กับบริษัทต่างชาติที่ทำธุรกิจในประเทศไทยด้วยเช่นกัน โดย พ.ร.บ. นี้จะควบคุมและนำไปปรับใช้กับการเสนอบริการและสินค้าให้กับเจ้าของข้อมูลทุกท่านที่เกิดขึ้นในประเทศไทย ดังนั้นบริษัทต่างชาติจำนวนมากที่มีลูกค้าเป็นคนไทยก็ต้องทำตาม พ.ร.บ. นี้ด้วยเช่นกัน

Classic chessmen on a dark brown wooden table

สิทธิ์ของเจ้าของข้อมูล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ควบคุมสิทธิ์ของเจ้าของข้อมูลคล้ายๆกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตัวอย่างเช่น
- ถอนความยินยอมในการให้ข้อมูลส่วนตัวได้
- ปฏิเสธการขอข้อมูล เปิดเผยข้อมูล หรือการนำข้อมูลส่วนตัวไปใช้ ได้
- สิทธิ์ในการเข้าถึงข้อมูลของตนเองจากผู้ถือข้อมูล
- สิทธิ์ในการขอลบข้อมูลส่วนตัวหรือห้ามไม่ให้นำไปใช้
- สั่งให้ผู้ถือข้อมูลของตนรักษาความแม่นยำและความถูกต้องของข้อมูล
- มีสิทธิ์ร้องเรียนหากผู้ถือข้อมูลของตนฝ่าฝืนสิทธิ์ของผู้ครองข้อมูล

ความรับผิดชอบของผู้ถือครองข้อมูล/ผู้ประมวลผลข้อมูล

“ผู้ถือครองข้อมูล” หมายถึงบุคคลหรือองค์กรที่สามารถตัดสินใจในเรื่องการเก็บข้อมูล การใช้ข้อมูลหรือการเปิดเผยข้อมูล ตามเงื่อนไขของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ถือครองข้อมูลจะต้อง
- แจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ของการขอข้อมูล การนำข้อมูลที่ขอไปใช้หรือเปิดเผยอย่างไร
- กำหนดมาตรการความปลอดภัยในการปกป้องข้อมูลให้เพียงพอ
- มีการเก็บข้อมูลตลอดระยะเวลาที่นำข้อมูลไปใช้
- ลบข้อมูลทิ้งหากไม่จำเป็นต้องใช้แล้วหรือเมื่อเจ้าของข้อมูลถอนความยินยอม
- ในกรณีเกิดข้อมูลรั่วไหลต้องรายงานภายใน 72 ชั่วโมง

“ผู้ประมวลผลข้อมูล” หมายถึงคนหรือบริษัทฯที่ประมวลผลข้อมูลส่วนตัวแทนผู้ถือครองข้อมูล ผู้ถือครองข้อมูลจะต้องให้คำสั่งผู้ประมวลผลข้อมูล ซึ่งต้องทำตามทุกประการ ณ ตอนประมวลผลข้อมูล ผู้ประมวลผลข้อมูลจะต้องมั่นใจว่ามีมาตรการป้องกันข้อมูลส่วนตัวที่เพียงพอและมีการลงบันทึกหลังจากการประมวลข้อมูลทุกครั้ง

การลงโทษ

หากผู้ถือครองข้อมูลไม่ทำตาม พ.ร.บ.ที่กำหนด จะมีโทษทางแพ่ง อาญาและปกครอง

การฝ่าฝืนหรือไม่ทำตามอาจนำไปสู่การฟ้องร้องจากเจ้าของข้อมูล (ปรับไม่เกิน 2 เท่า) และอาจต้องระวางโทษจำคุกหรือปรับ นอกจากนี้อาจมีค่าปรับ สูงสุดถึง 5 ล้านบาท

การผ่อนผัน

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถผ่อนผันได้ 1 ปี ซึ่งกฎเสริมอื่นๆจะออกโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

Many different classic keys on a dark brown wooden table

การเตรียมรับมือกับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อาจเป็นจุดเปลี่ยนของหลายๆบริษัทฯ

เนื่องจากในช่วงปลายปีที่ผ่านมากฎหมายเรื่องการปกป้องข้อมูลส่วนตัวในประเทศไทยนั้นค่อนข้างอ่อนตรงข้ามกับ พ.ร.บ. ใหม่โดยสิ้นเชิง ดังนั้นบริษัทฯต่างชาติที่ทำธุรกิจในประเทศไทยอาจต้องเผชิญกับความท้าทายในการนำ พ.ร.บ.นี้ไปปรับใช้

การที่บริษัทฯต้องทำตาม พ.ร.บ.นี้อาจทำให้ค่าใช้จ่ายการปฏบัติการสูงขึ้น และอาจทำให้พวกเค้าต้องกลับมาตระหนักวิธีการในการรักษาความปลอดภัยของข้อมูล เพราะว่ากฎระเบียบของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ละเอียดเท่ากับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ในช่วงระหว่างนี้ บริษัทฯควรจะเริ่มนำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562 ไปใช้บ้างเพื่อเตรียมพร้อม โดยอาจเริ่มจากการวิเคราะห์สถานะปัจจุบันของบริษัทฯตนเอง การวิเคราะห์หาช่องโหว่ที่บริษัทฯต้องเติมเต็ม เมื่อเจอแล้วก็ค่อยๆหามาตรการป้องกันหรืออุดช่องโหว่นั้นตามระดับความปลอดภัยของข้อมูลและการปกป้องข้อมูลส่วนตัว เช่น แนะนำขั้นตอนการจัดการด้วยการจำกัดความสภาพแวดล้อมด้าน IT ใหม่

บริษัทฯ นีออส ไอที เซอร์วิสเซส ผู้เชี่ยวชาญด้านไอที สามารถช่วยคุณสรรหาเทคโนโลยีที่เหมาะสมในการรักษาระดับความปลอดภัยในข้อมูลขององค์กรคุณหรือข้อมูลของลูกค้าในองค์กรคุณได้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ควรเป็นเรื่องที่ฝ่ายบริหารให้ความสนใจเป็นอันดับต้นๆ เนื่องจากมีความซับซ้อนและหากปฏิบัติผิด อาจสร้างผลกระทบอย่างมหาศาลต่อบริษัทฯ

Classic compass on a dark brown wooden table

เกี่ยวกับผู้เขียน ปีเตอร์ ทิลแล็ค​

The text author Peter Tyllack

ปีเตอร์ ทิลแล็คเป็นที่ปรึกษาด้านกฎหมายและ Chief Compliance Officer ของบริษัทฯ นีออส ไอที เซอร์วิสเซส ในเมืองมิวนิค ปีเตอร์เป็นทนายสัญชาติเยอรมันที่เก่งด้านการปกป้องข้อมูลและเทคโนโลยี ที่นีออส ปีเตอร์มีหน้าที่รับผิดชอบประเด็นที่เกี่ยวกับกฎหมายทั้งหมดของบริษัทฯนีออส​

Featured Articles

eBook Mockup Cloud Adoption Program
#Cloud
7 Steps to a successful Cloud Adoption Program
Read More