การคุ้มครองข้อมูลส่วนบุคคลผู้บริโภค 

สืบเนื่องจาก ฝ่ายบริหารสำนักงาน สภาองค์กรของผู้บริโภค ได้จัดกิจกรรมอบรมหลักสูตร “ความรู้พื้นฐานเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” เพื่อให้บุคลากรมีความรู้และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเพิ่มความมั่นใจให้แก่ผู้บริโภคที่มาร้องเรียนว่าข้อมูลส่วนบุคคลของท่านจะปลอดภัยโดยสรุปเนื้อหาได้ดังนี้

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นคณะกรรมการที่ถูกจัดตั้งตาม พ.ร.บ.ซึ่งมีคณะรัฐมนตรีเป็นคนแต่งตั้งขึ้นมา คณะกรรมการกำกับสำนักงาน มีหน้าที่กำกับสำนักงาน ดูตัวของสำนักงานว่าสำนักงานจะไปทางไหน มีกฎเกณฑ์การบังคับใช้แบบไหน เป็นการสนับสนุนแบบไหน และดูเรื่องของสำนักงานด้วย

โดยคณะกรรมการผู้เชี่ยวชาญมี 2 คณะคือ คณะทางการเงินและเศรษฐกิจและคณะที่เกี่ยวข้องกับเทคโนโลยีและอื่น ๆ 

กรณีที่มีเรื่องร้องเรียนเข้ามาจะเข้ามาที่คณะกรรมการผู้เชี่ยวชาญก่อนแล้วจะถูกส่งไปที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อที่จะมีการวินิจฉัยต่าง ๆ สุดท้ายที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นเหมือนทำหน้าที่เป็นเลขาของคณะกรรมการทุกชุดเลย

ถัดมาก็จะเป็นกฎหมายระดับรอง มีการประกาศใช้จำนวนมาก โดยสามารถเข้าไปอ่านได้ในเว็บไซต์ หลังจากที่ประกาศกฎหมายที่ออกมาแล้วที่เป็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก็มีกฎหมายระดับรองในแต่ละ Industry หรือในแต่ละเรื่องอย่างไรบ้าง กรรมการก็จะมีการวินิจฉัยแล้วค่อย ๆ ออกกฎหมายลำดับรองต่อ

ทั่วโลกให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล 

ในเรื่องทั่วไปของกฎหมายพีดีพีเอ ทั่วโลกให้ความสำคัญกับกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่างช่น เครือสหภาพยุโรปก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งเรียกว่า GDPR (General Data Protection Regulation) สหรัฐอเมริกาก็มี CCPA (Califonia Consumer Production Act) สิงคโปร์ก็มีซึ่งชื่อเหมือนของไทยคือ PDPA แต่เนื้อหาอาจจะไม่ค่อยเหมือนของไทยมากเท่าไหร่ ทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแต่จะมีความแตกต่างในวัฒนธรรมของแต่ละประเทศไม่เหมือนกัน แต่ยังมีหลักการอยู่ว่าการคุ้มครองข้อมูลส่วนบุคคลต้องมีอะไรบ้าง

กฎหมายพีดีพีเอของไทยไปเอากฎหมาย GDPR มาซึ่งเป็นแม่แบบกฎหมายคุ้มครองข้อมูลส่วนบุคคลของโลกซึ่งมีทั้งหมด 156 หน้าและมีรายละเอียดจำนวนมาก แต่ของไทยมี 44 หน้าซึ่งจะมีการออกกฎหมายลูกไปเรื่อย ๆ ขณะที่ GDPR เริ่มเขียนกฎหมายตั้งแต่ปี 1970 กว่า และมีวิวัฒนาการของกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่ปี 70 ดังนั้นของไทยเพิ่งมีจะใส่เหมือนของเขาไม่ได้ เราก็ต้องมารอกฎหมายลูกที่จะออกต่อไปเรื่อย ๆ 

การจัดการข้อมูลในองค์กรช่วยเพิ่มประสิทธิภาพการคุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection หรือ Data Privacy เป็นหนึ่งใน Module ของ Data Governance ซึ่งเป็นส่วนหนึ่งของการจัดการ Data ในองค์กร ถ้าในหน่วยงานมีการจัดการ Data ในองค์กรที่ดี การ comply กฎหมายพีดีพีเอ เป็นเรื่องที่สบายมากๆ แต่ถ้าในองค์กรไม่มีการจัดการ Data ที่ดี การทำเรื่องพีดีพีเอจะมีความปวดหัวมากแน่นอน เพราะกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้เลือกปฏิบัติเฉพาะข้อมูลส่วนบุคคลในแบบดิจิทัล เราดูแลข้อมูลในรูปแบบกระดาษด้วย ดังนั้นถ้าหน่วยงานไหนไม่มีการจัดการ Data ทั้งรูปแบบของดิจิทัล และไม่มีการจัดการ Data ในรูปแบบของกระดาษ อาจจะต้องปวดหัวในเรื่อง comply ในเรื่องของกฎหมายแน่นอน 

ถัดมาเป็นเรื่องของคำว่า “ประมวลผล” ซึ่งตามกฎหมายหมายความว่าการเก็บรวบรวมใช้และเปิดเผย คำว่าประมวลผลในพีดีพีเอจะหมายถึงว่าการเก็บรวบรวมใช้และเปิดเผย โดยจะไม่เหมือนกับการประมวลผลทางคอมพิวเตอร์ที่เป็นการเอาข้อมูลมาวิเคราะห์ซึ่งไม่ใช่ตามตัวบทกฎหมาย แต่หมายถึงการเอาข้อมูลมาเก็บ รวบรวมใช้ และเปิดเผย

เข้าใจความหมายของข้อมูลส่วนบุคคลที่ถูกต้องคือกระดุมเม็ดแรกในการคุ้มครองข้อมูล

สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล กระดุมเม็ดแรกที่เราควรรู้นั่นคือสิ่งสำคัญมาก ๆ อันนี้คือกระดุมเม็ดแรก ถ้าเราติดผิดก็จะเบี้ยวทั้งเสื้อ ดังนั้นก็จะเน้นย้ำเป็นกระดุมไป

กระดุมเม็ดแรกที่ควรจะรู้คือ ข้อมูลส่วนบุคคลคืออะไร ความหมายตามมาตรา 6 ให้ความหมายว่า ข้อมูลส่วนบุคคลเป็นข้อมูลที่เกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ทางตรง อย่างเช่น ชื่อ เป็นต้น ส่วนทางอ้อมคือการเอาข้อมูลหลายๆ ข้อมูลมาประกอบกันแล้วย้อนกลับมาที่ตัวบุคคลนั้น แต่กฎหมายนี้ไม่รวมถึงข้อมูลของบุคคลที่ถึงแก่กรรมและข้อมูลนิติบุคคล ดังนั้นอะไรที่ย้อนมาที่ตัวบุคคลได้เป็นข้อมูลส่วนบุคคลหมดเลย อย่างเช่น ชื่อ นามสกุล ชื่อเล่น บัตรประชาชน ทะเบียนรถ เลขประจำตัวผู้เสียภาษี

ในส่วนมาตรา 26 แม้เป็นข้อมูลส่วนบุคคลเหมือนกัน แต่เป็นข้อมูลส่วนบุคคลที่ระบุในตัวกฎหมายว่าเป็นข้อมูลอ่อนไหว โดยข้อมูลส่วนบุคคลตามมาตรา 26 เกี่ยวข้องกับกฎหมายอาญาทั้งหมด ซึ่งกฎหมายได้ให้ความสำคัญกับข้อมูลกลุ่มนี้ เพราะจะส่งผลต่อการเลือกปฏิบัติต่อบุคคลได้ อย่างเช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรมและข้อมูลชีวภาพ ซึ่งยิ่งเก็บเยอะมากเท่าไหร่ ก็ยิ่งมีความเสี่ยงมากเท่านั้น เพราะกฎหมายให้ความคุ้มครองกับข้อมูลเหล่านี้ ถ้าเราเก็บข้อมูลเหล่านี้ ถามว่า เก็บได้ไหม เก็บได้ แต่ต้องมีมาตรการคุ้มครองหรือ security ที่ดี เพราะว่าถ้าเก็บต้องมี security ที่ดีเพิ่มขึ้นด้วย

ข้อมูลส่วนบุคคลถูกนำไปใช้ทำอะไรบ้าง ปัจจุบันข้อมูลส่วนบุคคลนั้นทะลุเข้ามาในบ้านมากขึ้นซึ่งมีทั้งข้อดีและข้อเสีย อย่างเช่น การนำไปทำธุรกรรมและยืนยันตัวบุคคล อย่างไรก็ตามก็มีมิจฉาชีพที่นำข้อมูลไปขาย กรณีที่เราดูแลข้อมูลไม่ดีหรือเอาไปให้ที่อื่น เขาก็จะเอาไปขายในตลาดมืดซึ่งมีมูลค่า โดยไม่ได้ขายเป็นเงินสด แต่ขายเป็นบิทคอยน์ เพราะบิทคอยน์ไม่สามารถตามตัวได้ ในท้องตลาดมีขายกันเยอะมาก จึงไม่แปลกใจทำไมมิจฉาชีพยังอยู่ เพราะข้อมูลมันหลุดมาก่อนที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในปัจจุบันนอกจากมีคนขายข้อมูลแล้ว  หากเราไม่รู้เรื่องการคุ้มครองข้อมูลส่วนบุคคลหรือสิทธิเจ้าของข้อมูลส่วนบุคคลแล้ว การใช้ชีวิตของเราก็อาจจะประมาทไปละเมิดสิทธิของคนอื่นโดยไม่รู้ตัวเหมือนกัน

สำหรับหลักการคุ้มครองข้อมูลส่วนบุคคลนั้น ใช้หลักการเดียวกันหมดทั่วโลกได้แก่ 

• ประมวลผลข้อมูลส่วนบุคคลด้วยชอบกฎหมาย เป็นธรรมและโปร่งใส (lawfullness, Fairness and Transparency) 

• ประมวลข้อมูลส่วนบุคคลได้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น (Purpose Limitation)  

• ห้ามไปประมวลผลตามวัตถุประสงค์อื่น ประมวลผลข้อมูลส่วนบุคคลเท่าที่มีความจำเป็นตามวัตถุประสงค์นั้นเท่านั้น (Data Minimization) 

• ต้องมีความถูกต้องจากเจ้าของข้อมูลส่วนบุคคล (Accuracy) 

• เก็บข้อมูลส่วนบุคคลมาแล้วต้องบอกได้ว่าเก็บระยะเวลาที่เท่าไหร่ถึงจะหมดความจำเป็น (Storage Limitation) ไม่ใช่เก็บไปตลอดเลยไม่ได้

• มีการจัดชั้นความลับ มีการจัดการการเข้าถึง (Integrity and Confidentiality) 

• หน้าที่รับผิดชอบในการประมวลผล (Accountability)

กรณีที่มีการเก็บข้อมูลส่วนบุคคล ต้องมีการเก็บ ROPA Record ( Records of Processing Activity ) หรือตามมาตรา 39 เรียกว่าบันทึกรายการ

สิ่งที่จะเก็บมาต้องบอกวัตถุประสงค์ให้ได้ว่าทำไมถึงเก็บข้อมูลส่วนบุคคลหรือประมวลผลข้อมูล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลประกาศใช้มาตั้งแต่ปี 2562 มีผลบังคับใช้เมื่อวันที่ 28 พฤษภาคม 2562 แต่กรรมการที่ถูกแต่งตั้งมาจาก พ.ร.บ.ฉบับนี้เห็นว่ายังไม่มีความพร้อมมาก ก็เลยมีการประกาศเลื่อนการบังคับใช้มาปี 2563 แต่กระทรวงก็ได้มีการออกประกาศเพิ่มเติมให้หน่วยงานจัดทำมาตรฐานรักษาความมั่นคงปลอดภัยควบคู่กันไปด้วย ต่อมาได้มีการประกาศเลื่อนการบังคับใช้เป็นฉบับที่ 2 ในปี 2564 โดยมี security ประกาศเพิ่มเติม ดังนั้น security กับ privacy จะอยู่ด้วยกันเสมอ ซึ่งประกาศในปี 2564 มีเนื้อหาระบุในมาตรา 2 ว่า พระราชกฤษฎีกานี้บังคับใช้ตั้งแต่วันที่ 27 พฤษภาคม 2563 จนถึงวันที่ 31 พฤษภาคม 2565 ดังนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้ในวันถัดไปในวันที่ 1 มิถุนายน 2565 โดยส่วนแรกเป็นเรื่องสร้างความเชื่อมั่นให้กับประเทศ เนื่องจากในโลกนี้มีกฎหมายคุ้มครองส่วนบุคคลทั้งโลกเลย ถ้าเราไม่มีไม่ได้ ถ้าเราไม่มีสิ่งที่จะหายไปคือความเชื่อมั่นระดับโลกที่เราไม่มี เพราะเราไม่มีการยกระดับเรื่องมาตรการคุ้มครองข้อมูลส่วนบุคคล อันดับแรกเลยสร้างความเชื่อมั่นให้กับหน่วยงานรัฐ หน่วยงานเอกชนและบุคคลธรรมดาที่มีการประมวลผลข้อมูลส่วนบุคคลทั้งสองรูปแบบ ทั้งรูปแบบดิจิทัลและรูปแบบที่เป็นกระดาษ 

นอกจากนี้ยังมีการยกระดับมาตรการในการดูแล มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะยกระดับ เรื่องของการดูแลข้อมูลบุคคล 

ในส่วนการเชื่อมโยงมาตรฐานสากลนั้น ข้อมูลคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีฉบับเดียวในโลก ซึ่งมีมาตรฐานของโลกอยู่ เพราะฉะนั้นเราจะยกระดับเรื่องพวกนี้ โดยการสร้างความโปร่งใส การเก็บใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นตามกฎหมาย รับรองสิทธิเจ้าของข้อมูลส่วนบุคคล มีกลไกเคลื่อนย้ายข้อมูลข้ามประเทศ

ประโยชน์ที่ได้จากกฎหมายคุ้มครองข้อมูลส่วนบุคคลหลักๆ มี 3 กลุ่มด้วยกันได้แก่ ประชาชนซึ่งได้รับการคุ้มครองข้อมูลส่วนบุคคล สามารถร้องเรียนและขอสินไหมทดแทนได้เมื่อเกิดความเสียหาย ลดความเดือดร้อนรำคาญโดยผู้เสียหายจากการละเมิดข้อมูลส่วนบุคคล หน่วยงานเอกชนและหน่วยงานรัฐมีมาตรฐานในการเก็บใช้หรือเปิดเผยข้อมูลส่วนบุคคล  ส่งเสริมการดำเนินการการทำธุรกิจเกี่ยวกับข้อมูล สะดวกและลดค่าใช้จ่ายในการดำเนินธุรกิจระหว่างประเทศ ทั้งนี้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะทำเรื่องมาตรการส่งข้อมูลไปต่างประเทศ 

ขณะที่ประเทศได้ประโยชน์ในด้านมาตรการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับหลักสากลและการยอมรับในระดับสากล 

นอกจากนี้ยังเป็นการสร้างความเข้มแข็งของสังคม สามารถตรวจสอบการดำเนินงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลได้อย่างเหมาะสม ต้องมีช่องทางให้ประชาชนเข้าไปตรวจสอบได้ 

สำหรับเนื้อของกฎหมายมีทั้งหมด 7 หมวดและมีบทเฉพาะกาล  มีทั้งหมด 95 มาตรา โดยเน้นที่นิยามของข้อมูลส่วนบุคคลและนิติบุคคลที่มีการเก็บ รวบรวม เปิดเผย ใช้ตามวัตถุประสงค์ของนิติบุคคลนั้น รวมทั้งผู้ประมวลผลข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ถัดมาข้อ 3 เพื่อกิจการสื่อสารมวลชนหรืองานศิลปะวัฒนธรรม อันเป็นไปตามจริยธรรมการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น 

ข้อ 4 ผู้แทนราษฎร วุฒิสภา รัฐสภา รวมถึงคณะกรรมาธิการต่างๆ 

ข้อ 5 การพิจารณาคดีของศาล

ข้อ 6 การดำเนินการ (ฟังไม่ชัด) เป็นเรื่องของเครดิตบูโรซึ่งสามารถนำไปตรวจสอบได้อย

หกกิจกรรมนี้เป็นหกกิจกรรมที่ไม่มีผลบังคับใช้หรือเป็นการละเว้นของตัวกฎหมาย 

ขอบเขตของตัวกฎหมาย

กฎหมายนี้บังคับใช้แก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้กำหนดข้อมูลส่วนบุคคลที่มีการประมวลผลข้อมูลอยู่ในราชอาณาจักรไทย 

กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้กำหนดข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พ.ร.บ.บังคับใช้ได้แก่ การนำเสนอสินค้าและบริการ การเฝ้าติดตาม 

ในการจะไปประมวลผลข้อมูลส่วนบุคคลจะต้องพิจารณาดังต่อไปนี้

1. สัญญาที่เป็นข้อตกลงร่วมกันในการใช้ข้อมูลส่วนบุคคล

2. ต้องเป็นประโยชน์สำคัญต่อชีวิต อย่างเช่น กรณีเกิดอุบัติเหตุและจำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลเพื่อรักษาชีวิต

3. หน้าที่ตามกฎหมาย 

4. ภารกิจหลัก

5. ประโยชน์อันชอบธรรม

6. จดหมายเหตุ วิจัย สถิติ ซึ่งในอนาคตอาจจะมีการออกแนวปฏิบัติ

7. ความยินยอมซึ่งต้องดำเนินการก่อนหรือขณะประมวลผลข้อมูล ต้องแจ้งวัตถุประสงค์ในการประมวลผล ยินยอมโดยชัดแจ้ง ใช้ภาษาที่เข้าใจง่าย ความยินยอมจะต้องไม่เป็นเงื่อนไขในการให้บริการ

อย่างไรก็ตาม มาตรา 23 ระบุว่า หากมีการใช้ข้อมูลอะไรก็แล้วแต่ตามที่กล่าวมาจะต้องมีการแจ้งเจ้าของข้อมูล โดยต้องแจ้งวัตถุประสงค์ในการประมวลผล หรือเพื่อปฏิบัติตามกฎหมายและในสัญญาระบุถึงความจำเป็นในการใช้ข้อมูลเพื่อทำสัญญารวมทั้งผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่จะประมวลผลข้อมูลส่วนบุคคลและระยะเวลาในการรวบรวม ประเภทของข้อมูลหรือหน่วยงานที่มีการเก็บข้อมูลที่อาจจะถูกเปิดเผย

กรณีมาตรา 25 พูดถึงการประมวลผลข้อมูลจากแหล่งอื่นที่ไม่ได้ขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งหากจะนำมาประมวผลต้องแจ้งให้กับเจ้าข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า ไม่เกิน 30 วันนับตั้งแต่วันที่เก็บรวบรวม และต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย และหากเป็นการเก็บรวบรวมข้อมูลโดยไม่ได้ขอความยินยอม เจ้าของข้อมูลต้องให้ความยินยอมก่อน และต้องแจ้ง Privacy Notice ตามมาตรา 21 และมาตรา 23 เว้นแต่กลุ่มเจ้าของข้อมูลส่วนบุคคลทราบแล้วไม่ต้องแจ้ง หลักการตามมาตรา 25 คือได้ข้อมูลจากแหล่งอื่นมาแล้วต้องแจ้งเจ้าของข้อมูลภายใน 30 วัน แต่ถ้าเป็นฐานความยินยอมให้เขายินยอม

สำหรับการแจ้งรายละเอียด Privacy Notice ให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายใน 30 วันที่มีการเก็บรวบรวม เว้นแต่กรณีที่นำข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคลต้องแจ้งตั้งแต่ครั้งแรก 

กรณีที่เอาใช้ในกิจการที่เกี่ยวข้องกับการติดต่อสื่อสารต้องแจ้งตั้งแต่ครั้งแรก

กระดุมเม็ดแรกคือข้อมูลส่วนบุคคลคืออะไร

กระดุมเม็ดที่สองคือ เราเป็นใคร

กระดุมเม็ดที่สามคือ ฐานอำนาจในการประมวลผลข้อมูลส่วนบุคคล

กระดุมเม็ดที่สี่คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย ได้แก่

1. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Rights to Access) เราสามารถเข้าถึงข้อมูลส่วนบุคคลของเราเองได้ 

2. สิทธิที่จะได้รับการรับแจ้งข้อมูลส่วนบุคคล ( Rights to be informed) หมายถึงว่า ถ้าข้อมูลส่วนบุคคลโดยแฮกหรือมีการละเมิดข้อมูลส่วนบุคคล มีการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตจะต้องแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วย 

3. สิทธิในการคัดค้านการเก็บข้อมูล 

4. สิทธิในการขอลบและทำลายข้อมูลส่วนบุคคล

5. สิทธิในการขอระงับ

6. สิทธิในการขอแก้ไข

7. สิทธิในการขอถ่ายโอนข้อมูล (กรณีระหว่างคอมพิวเตอร์กับคอมพิวเตอร์เท่านั้น)

8.  สิทธิในการถอนความยินยอม

9.  สิทธิในการร้องเรียนอาจจะร้องเรียนที่ Data Controller หรือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

10. ต้องดำเนินการภายใน 30 วัน หากเกิน 30 วันสามารถร้องเรียนได้

เหตุแห่งการปฏิเสธ

• กรณีที่ขอข้อมูลส่วนบุคคลที่ไม่สมเหตุสมผล

• กรณีที่ระบุตามกฎหมาย

ผู้คุ้มครองส่วนบุคคล (DPO)

1. ต้องจัดให้มีเจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล

2. ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหน่วยงานรัฐตามที่คณะกรรมการกำหนดซึ่งต้องมีการจัดตั้ง DPO และแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าใครเป็น DPO 

3. กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลต้องเป็นกิจกรรมที่เป็นการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่เป็นประเภท Sensitive Data ถ้าหน่วยงานนั้นมีการเก็บข้อมูล Sensitive Data ซึ่งได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ประวัติอาชญากรรม พฤติกรรมทางเพศ ข้อมูลสหภาพแรงงาน Biomatrix, Genetic 

4. การดำเนินกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บ รวบรวม ใช้ เปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลอย่างสม่ำเสมอโดยที่มีเหตุข้อมูลส่วนบุคคลเป็นจำนวนมากซึ่งจะมีการประกาศกฎเกณฑ์ออกมาเร็วๆ นี้ 

5. ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีเครือข่ายหรือเครือข่ายธุรกิจเดียวกันตามที่คณะกรรมการกำหนด อาจจะให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ และต้องสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย 

6. หากไม่จัดตั้ง ตามมาตรา 85 ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ใดไม่ปฏิบัติหน้าที่ตามมาตรา 41 ต้องระวังโทษปรับทางปกครองไม่เกิน 1 ล้านบาท 

หน้าที่ของผู้คุ้มครองข้อมูลส่วนบุคคลตามมาตร 42

1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงเจ้าหน้าที่และเจ้าพนักงาน 

2.  ตรวจสอบการดำเนินการของเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงเจ้าหน้าที่ 

3.  ประสานงานและให้ความร่วมมือกับสำนักงานกรณีที่มีปัญหา อย่างเช่น กรณีที่มีข้อมูลหลุดหรือมีการละเมิดข้อมูลส่วนบุคคล

4.  รักษาความลับเพราะว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องไปดูรายละเอียดต่าง ๆ ดูข้อมูลต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ดังนั้นถ้าไม่รักษาความลับอันตรายเพราะข้อมูลจะหลุด

5.  ในกรณีที่มีปัญหาเจ้าของข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถรายงานผู้บริหารสูงสุดได้ 

บทลงโทษ 

ทางแพ่ง

1. ฝ่าฝืนหรือไม่ปฏิบัติตามและเกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

2. ต้องชดใช้ค่าเสียหายตามความจริงหรือไม่เกินสองเท่าของค่าเสียหายจริง แต่เจ้าของข้อมูลต้องพิสูจน์ให้ได้ว่ามีความเสียหายอย่างไร

ทางอาญา

1. โทษทางอาญาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่เป็น sensitive data และเกิดความเสียหายมีโทษจำคุกไม่เกิน 6 เดือนปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ

2. แสวงหาผลประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท 

3. นิติบุคคลที่กระทำความผิด ผู้ที่มีอำนาจในการสั่งการถือว่ามีความผิดนั้นด้วย 

โทษทางปกครอง

1. ไม่แจ้งสิทธิ ไม่แจ้งผลกระทบโดนปรับไม่เกิน 1 ล้านบาท

2. ไม่มีอำนาจ หลอกลวงทำให้เกิดความเข้าใจผิดในวัตถุประสงค์การใช้ข้อมูลปรับไม่เกิน 3 ล้านบาท

3. ฝ่าฝืนการประมวลผลข้อมูลส่วนบุคคลแบบ sensitive data ปรับไม่เกิน 5 ล้านบาทและเป็นโทษทางอาญาด้วย

ในส่วน มาตรา 95 ได้พูดถึงการเก็บข้อมูลก่อนกฎหมายคุ้มครองข้อมูลมีผลบังคับใช้ โดยผู้ควบคุมข้อมูลส่วนบุคคลก่อนที่กฎหมายพีดีพีเอบังคับใช้ให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นเป็นไปตามวัตถุประสงค์เดิม แต่หากเป็นฐานความยินยอมที่ต้องแจ้งก็ต้องแจ้งกลับไปยังเจ้าของข้อมูลส่วนบุคคลเดิมด้วยและแจ้งวัตถุประสงค์ รวมทั้งประชาสัมพันธ์ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์และเปิดโอกาสให้ช่องทางให้เจ้าของข้อมูลยกเลิกความยินยอมได้

การละเมิดข้อมูลส่วนบุคคลประกอบไปด้วย 3 ลำดับ

ปกติหากพูดถึง security ก็จะพูดถึงหลักการของ security จะประกอบไปด้วย ข้อมูลต้องเป็นความลับ (confidentiality) , ข้อมูลที่พร้อมใช้ (integrity) และ ข้อมูลที่พร้อมใช้ (availibility) หากเกิดการละเมิดข้อมูลส่วนบุคคล เช่น การละเมิดความลับข้อมูลส่วนบุคคล มีการเข้าถึงข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคล ปราศจากอำนาจโดยมิชอบหรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ อย่างเช่น การส่งข้อมูลลูกค้าผิดคน 

การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคลซึ่งมีการเปลี่ยนแปลงข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่สมบูรณ์ ไม่ครบถ้วน ปราศจากอำนาจโดยมิชอบ หรือเกิดจากข้อผิดพลาด บกพร่องหรืออุบัติเหตุ

ละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคลทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคลทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพพร้อมใช้งาน

การแจ้งเหตุแห่งการละเมิด

• หลังจากที่แจ้งเหตุไปแล้ว จะต้องมีการตรวจสอบและพิสูจน์ความผิด และหากเกิดความผิดจริงก็ต้องพิจารณาว่ามีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพไหม รวมทั้งต้องแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมการเยียวยาโดยไม่ชักช้า

• กรณีที่มีความเสี่ยงต้องดูว่ามีความเสี่ยงไหม หากมีความเสี่ยงต้องรีบแจ้งเหตุ แต่ถ้ารู้ช้าเกินกว่า 72 ชั่วโมง ต้องดูรายละเอียดที่เกี่ยวข้องและเหตุผลอะไรที่หลีกเลี่ยงไม่ได้และรู้ช้าซึ่งต้องไม่เกิน 15 วัน

• นอกจากนี้ยังต้องแจ้งลักษณะการละเมิดข้อมูลส่วนบุคคลด้วยว่ามีการละเมิดอย่างไรซึ่งต้องเข้าไปตรวจสอบ รวมทั้งต้องแจ้งข้อมูลเกี่ยวกับผลกระทบที่เกิดขึ้น

• ต้องทบทวนมาตราการรักษาความมั่นคงปลอดภัยของหน่วยงาน

• ต้องแจ้งรายละเอียดไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากมีการดำเนินการครบถ้วน

การตรวจสอบข้อเท็จจริงแบ่งเป็น 3 แบบด้วยกัน

• มาตรการเชิงองค์กร ได้แก่ นโยบายต่างๆ ภายในองค์กร อย่างเช่น Privacy Policy, Security Policy 

• มาตรการเชิงเทคนิค ได้แก่ คู่มือ แนวปฏิบัติ การติดตั้ง Firewall บนอุปกรณ์คอมพิวเตอร์ การ Set Up ต่างๆ ที่เกี่ยวข้องกับ Security ที่เป็นดิจิทัล

• มาตราการเชิงกายภาพ ได้แก่ กล้องวงจรปิด อุปกรณ์ต่างๆ 

การเตรียมความพร้อม

• ต้องประเมินความพร้อมในปัจจุบันของสำนักงาน รวมทั้งบุคคลากรและความรู้ของบุคคลากร

• กลไกลในการขับเคลื่อน

• แต่งตั้ง DPO

• ติดตามประกาศจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

• สำรวจประเมินข้อมูลส่วนบุคคล

• Privacy Policy

• การเก็บรวบรวมข้อมูล

• การทบทวนการเก็บข้อมูลเท่าที่จำเป็น

• การทบทวนแบบฟอร์มความยินยอม

• การทบทวน การลบหรือทำลายข้อมูลส่วนบุคคล

• เก็บบันทึกกิจกรรมข้อมูลส่วนบุคคล

• การทบทวน Privacy Policy

• การทบทวนข้อมูลส่วนบุคคลของบุคคลที่ 3 

• การทบทวนเอกสารข้อตกลงต่างๆ อย่างเช่น การประมวลผล การถ่ายโอน ระยะเวลาการเก็บเอกสาร การทำลาย

• ช่องทางในการจัดการสิทธิ

• ช่องทางในการติดต่อ

• ออกแบบกระบวนการยื่นคำขอ

• จัดทำแบบฟอร์มคำขอ

• การรักษาความมั่นคงปลอดภัย การจัดชั้นความลับ การยืนยันตนของลูกค้า การจัดการสิทธิการเข้าถึงข้อมูล 

การเก็บข้อมูล

• การเก็บข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

• วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละประเภท

• ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล

• ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล

• สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิที่เข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

• การใช้หรือเปิดเผยข้อมูลตามมาตรา 27 ซึ่งหมายถึงข้อมูลที่ส่งต่อไปยังหน่วยงานภายนอก 

• การปฏิเสธคำขอหรือคำคัดค้านตามมาตรา 30 มาตรา 31 มาตรา 32 มาตรา 36

• คำอธิบายเกี่ยวกับมาตรฐานการรักษาความมั่นคงปลอดภัย 

#ผู้บริโภค #สภาองค์กรของผู้บริโภค #สภาผู้บริโภค