Copyright 2020 - สำนักงานทนายความ ฉัตรประพล แย้มเพริศศรี CP Law 63/261 ซ.10 ม.6 ต.เสาธงหิน อ.บางใหญ่ จ.นนทบุรี 11140 โทร.094-303-9999

แนวทางปรับตัวของธุรกิจ กับ พรบ.ข้อมูลส่วนบุคคล

 อีกไม่กี่วัน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ.2562 PDPA (Personal Data Protection Act) จะบังคับใช้ คือ วันที่ 28 พฤษภาคม 2563 นี้ เราจึงจำเป็นต้องทำความเข้าใจเพื่อให้องค์กรธุรกิจมีแนวทางการจัดสรรข้อมูลให้สอดคล้องกับกฎหมาย

 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ.2562 เป็นกฎหมายที่ให้การคุ้มครอง “ข้อมูลส่วนบุคคล” ( Personal Data+ คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ฯ

โดยสรุปสาระสำคัญของพ.ร.บ.ฉบับนี้ คือ

1.ฝ่ายผู้เก็บรวบรวมข้อมูล เช่น  ฝ่ายบุคคลของบริษัท บริษัทที่เก็บข้อมูลลูกค้า จะต้องชี้แจงข้อมูลที่จะเก็บ วัตถุประสงค์ และต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้น จึงจะสามารถเข้าถึงและใช้ข้อมูลของเจ้าของได้ เช่น ธนาคารต้องการขอข้อมูลลูกค้าเพื่อทำการตลาดต้องขอความยินยอมจากเจ้าของข้อมูลก่อน หากฝ่าฝืนกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

2.ในการขอความยินยอมจากเจ้าของข้อมูล การขอความยินยอมต้องทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ ซึ่งอาจจะทำเป็นหนังสือขอความยินยอมแยกจากข้อมูลให้ชัดแจ้ง หรือมีลิ้งก์ทางเวปไซต์แยกให้เจ้าของข้อมูลอ่านรายละเอียดในการเก็บรวบรวมข้อมูล หรือ DATA privacy และให้เจ้าของข้อมูลมีอิสระในการให้ความยินยอม ไม่นำความยินยอมของเจ้าของข้อมูลเป็นสาระสำคัญในการทำให้เจ้าของข้อมูลเสียสิทธิไม่ได้

3.ฝ่ายผู้เก็บรวบรวมข้อมูลต้องรักษาความปลอดภัยและความมั่นคงของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น  มีมาตรการเฉพาะและปลอดภัยในการจัดเก็บข้อมูล ให้บุคคลที่ควบคุมข้อมูลเท่านั้นที่สามารถเข้าถึงข้อมูลได้

 

4.เจ้าของข้อมูลสามารถยกเลิกสิทธิ์การเข้าถึงข้อมูลของผู้เก็บรวบรวมข้อมูล และสามารถขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ กล่าวคือ ต้องมีช่องทางให้เจ้าของข้อมูลยื่นคำร้องขอให้แก้ไข ส่งสำเนา หรือลบข้อมูลส่วนบุคคลได้ เช่น มีช่องทางติดต่อให้แก่เจ้าของข้อมูลส่วนบุคคลที่ทางเว็ปไซต์ขององค์กร

 

5.ธุรกิจขนาดใหญ่ตามที่กฎหมายกำหนด จะต้องมี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”                      (Data Protection Officer: DPO)

สำหรับธุรกิจขนาดใหญ่ตามที่กฎหมายกำหนดไว้ คือ องค์กรที่มีบุคลากรมากกว่า 250 คนจะต้องมี เจ้าหน้าที่คุ้มครองข้อมูล ซึ่งอาจจะเป็นพนักงานขององค์กร หรือ ผู้รับจ้างให้บริการ                                        ( outsources )  ก็ได้ หากผู้ประกอบการที่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มาตรา 85 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

 

ทั้งนี้ภาครัฐได้แต่งตั้งหน่วยงานที่ดูแลควบคุมให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้แก่

1.สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) มีหน้าที่จัดทำแผนแม่บท กำหนดมาตรการในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูล พร้อมให้ความรู้แก่ภาครัฐ เอกชนและประชาชนทั่วไป

2.คณะกรรมการผู้เชี่ยวชาญ จะเป็นผู้พิจารณาเรื่องร้องเรียน ตรวจสอบ และไกล่เกลี่ยข้อพิพาท

 

 

 

ที่มา www.etda.or.th/publishing-detail/the-context-of-personal-data-protection-in-other-laws.html

บทความอ้างอิง : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

 

 

            

 ทนายออนไลน์ โดย ซีพี ลอว์ CP LAW
ติดต่อ 094-303-9999
ไลน์แอด https://line.me/R/ti/p/%40cplawfirm

f t g m

Who's Online

มี 87 ผู้มาเยือน และ ไม่มีสมาชิกออนไลน์ ออนไลน์

Login Form