PDPA คือ มีผลกระทบต่อองค์กรยังไง!
PDPA คือ มีผลกระทบต่อองค์กรยังไง!
หลายคนคงจะคุ้นหูมาบ้างกับคำว่า PDPA คือ กฏหมายชนิดหนึ่งที่ใช้คุ้มครองข้อมูลส่วนบุคคล จะเริ่มมีการประกาศใช้ในกลางปี 2021 นี้ และแน่นอนว่า มีผลต่อการเก็บข้อมูลของบริษัททุกระดับอย่างแน่นอน ด้วยความเข้มงวดและบทลงโทษที่มากขึ้น บทความนี้ SGEPRINT ขอเป็นตัวแทนนำข้อมูลจากเพจ Techforteam มาอธิบายให้ทราบว่ากฎหมายฉบับนี้มันคืออะไร มีความสำคัญอย่างไร บทลงโทษคืออะไร และต้องทำอะไรบ้าง ไปดูกันเลยค่ะ…
PDPA คือ ย่อมาจาก Personal Data Protection Act. หรือ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” ซึ่งหน้าที่ของมันคือคุ้มครองข้อมูลส่วนบุคคล ที่ทางองค์กรได้รับรู้หรือครอบครอง ซึ่งคุ้มครองปกป้องข้อมูลบุคคลในทุกๆ บทบาท เช่น ลูกค้า พนักงาน หรือใครก็ตามที่บริษัทจัดเก็บไว้
นั่นหมายความว่า ถ้าข้อมูลลูกจ้างหรือลูกค้า มีการถูกนำไปใช้ภายนอกอย่างผิดจุดประสงค์ และพิสูจน์ได้ว่าข้อมูลเหล่านั้นหลุดมาจาก Database ของบริษัท บุคคลที่เสียหายก็มีสิทธิ์ใช้กฏหมายฉบับนี้ในการฟ้องร้ององค์กร ตามกฎหมายนั่นเองค่ะ ซึ่งจะมีการเริ่มใช้ในปี 2021 นี้แล้ว
ข้อมูลส่วนบุคคล คืออะไร
ข้อมูลส่วนบุคคล หรือ “Personal Data” หมายถึงข้อมูลไดก็ตามที่มีความเกี่ยวข้องกับการระบุลักษณะบุคคลนั้นๆ ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม ยกตัวอย่างเช่น ชื่อนามสกุล, ที่อยู่อาศัย, อีเมลล์, เลขประจำตัวประชาชน, เบอร์โทรศัพท์ หรือ ข้อมูลทางการแพทย์ เป็นต้น สามารถเจาะลึกประเภทของ Personal Data ลงไปได้อีกเป็นข้อมูลส่วนบุคคลที่อ่อนไหว หรือ “Sensitive Personal Data” ได้อีก เป็นข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บบันทึกและนำไปใช้ เช่น ศาสนา, ความชอบทางเพศ, ความชอบทางการเมือง หรือ โรคประจำตัว เป็นต้น ซึ่งถ้ามีการฟ้องร้องกันในส่วนการรั่วไหลของข้อมูลส่วนบบุคคลที่อ่อนไหวนี้ มูลค่าการเรียกร้องความเสียหายก็จะสูงขึ้นไปอีก การเข้ามาของ PDPA ทำให้หากข้อมูลเหล่านี้รั่วไหลออกไป ผู้เสียหายจะสามารถดำเนินคดีได้ตามกฎหมาย
ใครมีบทบาทและหน้าที่อะไรบ้าง
มาดูกันว่า ใครกันบ้างที่จะได้รับผลกระทบหรือมีบทบาทเพิ่มเติมจากการประกาศใช้ PDPA และต้องมีหน้าที่ทำอะไรบ้าง
| บทบาท | คำอธิบายหน้าที่ |
|---|---|
| ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) | ทำหน้าที่จัดเก็บและนำข้อมูลส่วนตัวของบุคคลต่างๆ ของ Data Subject (เช่น พนักงานหรือลูกค้า) ไปใช้นั่นเอง หน้าที่สำคัญคือ ต้องมีมาตรฐานการดูแลรักษาความปลอดภัยที่ผ่านเกณฑ์พร้อมหมั่นตรวจสอบอยู่เสมอ พร้อมทั้งมีการทำลายข้อมูลที่ไม่ต้องการใช้งานแล้วอย่างมีประสิทธิภาพ และที่สำคัญ หากค้นพบว่าข้อมูลมีการรั่วไหล ต้องมีระบบการแจ้งเตือนพร้อมแก้ปัญหาที่ทันท่วงที รวมถึงจัดทำบันทึกรายงานอย่างมีระบบ บทบาท Controller นี้คือกลุ่มที่ได้รับผลกระทบจาก PDPA มากที่สุด เนื่องจากต้องเป็นผู้รับผิดชอบหากมีข้อมูลรั่วไหล |
| ผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) | ได้แก่ บุคคล บริษัท หรือองค์กร ที่ได้รับคำสั่ง หรือถูกว่าจ้างจากกลุ่ม Controller ให้นำข้อมูลไปใช้ต่ออีกทีหนึ่ง เช่น พนักงานบริษัท ที่นำข้อมูลลูกค้าไปใช้ทำงาน หรือ บริษัทบัญชีที่ถูกจ้างให้นำข้อมูลพนักงานของบริษัทไปทำเรื่องเงินเดือน เป็นต้น กลุ่ม Processor นี้มีหน้าที่ เก็บ ใช้ และเปิดเผยข้อมูลตามขอบเขต พร้อมทั้งจัดมาตรการดูแล Security และแจ้งเหตุที่เกิดขึ้นให้ Controller ทราบทันที |
| คณะกรรมการ (Organization Committee) | ตำแหน่งนี้คือเจ้าหน้าที่รัฐ ที่รับคำร้องจากผู้เสียหาย (Data Subject) และดำเนินการลงโทษผู้กระทำผิด (Controller) นั่นเอง หลักๆ คือทำหน้าที่ดูแล Law Compliance ตามเกณฑ์ PDPA สามารถแบ่งออกได้เป็น 2 หน่วยงานได้แก่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทำหน้าที่ จัดทำแผนแม่บท, กำหนดมาตรการ, ออกประกาศหลักเกณฑ์, วินิจฉัย และ ส่งเสริม เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล และคณะกรรมการผู้เชี่ยวชาญ ทำหน้าที่ พิจารณาเรื่องร้องเรียน และตรวจสอบการดำเนินการ |
| เจ้าของข้อมูลส่วนบุคคล (Data Subject) | ได้แก่ผู้ที่มอบข้อมูลส่วนบุคคลให้แก่บริษัท ทำการจัดเก็บเพื่อนำไปใช้ในจุดประสงค์ต่างๆ เช่น ลูกค้าหรือพนักงานบริษัทเอง เป็นต้น โดยกลุ่มนี้มีหน้าที่ยอมรับ และให้ความยินยอมในการเปิดเผยข้อมูลเท่าที่เหมาะสมและจำเป็นเท่านั้น พร้อมทั้งต้องรับรู้และใช้สิทธิของตนที่มีให้เกิดประสิทธิผลมากที่สุด ในกรณีที่เกิดการรั่วไหลของข้อมูล กลุ่ม Data Subject นี้ ก็คือผู้เสียหายนั่นเอง ซึ่งหากมีผลกระทบมากก็สามารถทำการฟ้องร้องได้ |
บทลงโทษของ PDPA คือ
ความผิดทางแพ่ง – ผู้ควบคุ้มข้อมูล (Controller) หรือผู้ประมวลผล (Processor) ที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล (Data Subject) ต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าจะเกิดจากการกระทำโดยจงใจ หรือประมาทเลินเล่อก็ตาม นอกจากค่าสินไหมทดแทนที่แท้จริงแล้ว ศาลมีอำนาจในการสั่งจ่ายค่าสินไหมเพิ่มเติมได้ตามสมควร แต่ไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง ในส่วนอายุความนั้น มีระยะเวลา 3 ปีนับตั้งแต่วันที่เจ้าของข้อมูลทราบถึงความเสียหายที่เกิดขึ้น และรู้ตัวผู้กระทำผิดที่ต้องรับผิดชอบ หรือ 10 ปีนับตั้งแต่วันที่มีการเกิดเหตุละเมิดข้อมูลส่วนบุคคลขึ้น
โทษอาญา – กรณีที่เป็นผู้ใช้ หรือเปิดเผยข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) นอกเหนือจากวัตถุประสงค์ที่มีการตกลงกันไว้ หรือมีการส่งถ่ายข้อมูลไปยังต่างประเทศโดยไม่ได้รับอนุญาต มีโทษ จำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 500,000 บาท และในกรณีที่ผู้เสียหายพิสูจน์ได้ ว่าผู้กระทำผิด ตั้งใจทำเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบ จะเพิ่มโทษเป็น จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท สำหรับผู้ที่ล่วงรู้ข้อมูลส่วนบุคคล เนื่องจากการปฏิบัติตามหน้าที่ในกฏหมายนี้เอง แล้วนำไปเผยแพร่ให้ผู้อื่นรู้ มีโทษ จำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 500,000 บาท กรรมการ, ผู้จัดการ หรือบุคคลใดที่รับผิดชอบในการดำเนินงานของนิติบุคคล หากมีส่วนเกี่ยวข้องในการสั่งการ หรือสั่งห้าม จนเป็นเหตุให้นิติบุคคลมีความผิด ต้องรับโทษตามที่บัญญัติไว้ด้วย
โทษทางปกครอง – การกระทำที่เป็นความผิด ฝ่าฝืน หรือไม่ปฏิบัติตามที่กฏหมายกำหนด อาทิเช่น ไม่แจ้งวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลให้เจ้าของข้อมูล (Data Subject) จ้าง หรือหลอกลวงจนเจ้าของข้อมูลยินยอม มีโทษ ปรับสูงสุดไม่เกิน 5,000,000 บาท เลยทีเดียว
Comments
Post a Comment