ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้ • ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท • ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท งงละสิ !!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ กฎหมาย…

‘ธุรกิจแม่บ้าน’ บริการทำความสะอาดและฉีดพ่นฆ่าเชื้อโรคในลักษณะเหมาจ่าย ซึ่งปัจจุบันมีการพัฒนารูปแบบการให้บริการผ่านแพลตฟอร์มทั้งเว็บไซต์และแอปพลิเคชันต่างๆ ซึ่งทำให้เกิดความสะดวกและเข้าถึงผู้บริโภคได้ง่าย จึงเป็นธุรกิจที่ได้รับความนิยมอย่างมาก เนื่องจากสอดรับกับไลฟ์สไตล์คนเมืองยุคที่ไม่มีเวลาจัดการความสะอาดภายในบ้าน หรือสำนักงาน รวมทั้งช่วงที่มีการระบาดของเชื้อไวรัสโควิด-19 ยังพ่วงบริการฉีดพ่นฆ่าเชื้อโรคและบริการซ่อมบำรุงต่างๆ ไว้อย่างครบวงจร กระนั้น บริการดังกล่าวผู้ประกอบการธุรกิจแม่บ้านจะต้องมีการเก็บข้อมูลส่วนบุคคลของพนักงานหรือผู้สมัครงาน เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทร ภาพถ่ายเปิดเผยใบหน้า สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ประวัติการทำงาน/ฝึกอบรม บุคคลอ้างอิง และเอกสารตรวจสอบประวัติอาชญากรรม เนื่องจากเป็นมาตรการป้องกันความปลอดภัยของบริษัทในเบื้องต้นให้ลูกค้าเกิดความมั่นใจ และสะดวกใจในการให้บุคคลภายนอกเข้ามาปฏิบัติงานในที่อยู่อาศัยส่วนตัวหรือสำนักงาน แต่ภายใต้ กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติให้ ‘ข้อมูลส่วนบุคคล’ ที่หมายถึง ข้อมูลใดก็ตามที่สามารถระบุตัวบุคคลทั้งตรงและทางอ้อมเป็นสิทธิที่ได้รับความคุ้มครอง ซึ่งการเก็บ ใช้หรือเปิดเผยจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการจัดเก็บ ระยะเวลาในการเก็บ และต้องได้รับความยินยอมของเจ้าของข้อมูล รวมทั้งต้องมีมาตรการในการรักษาข้อมูลที่ปลอดภัยเหมาะสมกับความเสี่ยง โดยเฉพาะอย่างยิ่ง ‘ประวัติอาชญากรรม’ ที่เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งโดยหลักการของกฎหมาย PDPA คือ ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้น…

ย้อนกลับไปช่วงต้นปี 2565 (ปีที่แล้ว) มีข่าวใหญ่ ข่าวดัง เกี่ยวกับบริษัทด้านธุรกิจสื่อสารรายใหญ่ของไทยถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA จะต้องแจ้งเหตุละเมิดภายในไม่เกิน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ ประเด็นนี้ อาจมองได้ว่าธุรกิจขนาดใหญ่ โดยเฉพาะ ‘บริษัทมหาชน’ ที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลลูกค้าจำนวนมาก กำลังตกเป็นเป้าโจมตีทางไซเบอร์ และจากสถิติการโจมตีทางไซเบอร์ในช่วงนับตั้งแต่มีสถานการณ์ COVID-19 มีอัตราการเพิ่มขึ้นเป็นตัวเลขที่น่าตกใจ อย่างไรก็ตาม บริษัทมหาชนยังมีอีกหลายประเด็นที่ ‘อ่อนไหว’ ไม่เฉพาะแค่เรื่อง Cyber Security ทำให้ช่วงเวลาที่ผ่านมาธุรกิจต่างๆ ได้มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมถึงมีการประกาศนโยบายคุ้มครองข้อมูลส่วนส่วนบุคคล (Privacy Notice) เพื่อปฏิบัติตามกฎหมาย PDPA และถึงแม้จะมีการดำเนินการในข้างต้น แต่ยังมีความเสี่ยงในอีกหลายด้านที่ข้อมูลส่วนบุคคลจะเกิด ‘การรั่วไหล’ อันนำไปสู่การ ‘ละเมิดสิทธิ’ ที่ไม่ใช่เฉพาะข้อมูลลูกค้า เพราะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุถึงสิทธิของทุกคนที่จะได้รับความคุ้มครองความเป็นส่วนตัว…

กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จัดทำ ‘บันทึกรายการกิจกรรมการประมวลผลข้อมูล’ หรือ RoPA (Record of Processing Activity) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ดังนี้ 1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม 2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท 3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล 4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล 5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น 6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล 7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล 8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม อย่างไรก็ตาม กฎหมายได้อนุโลมให้แก่ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศในกำหนด หรือมีการเก็บข้อมูลเป็นครั้งคราว ซึ่งให้ทำเฉพาะข้อ 7 หรือการปฏิเสธคำขอ และคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ถึงแม้ว่า จะมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หากข้อมูลเหล่านั้นมีความเสี่ยงก็จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล จำเป็นต้องทำบันทึกรายการทุกข้อตามที่กฎหมดกำหนด  …

คลินิก สถานให้บริการสุขภาพ การดูแลตกแต่ง และการรักษาโรคที่ดำเนินการโดยนิติบุคคล ซึ่งตามข้อบัญญัติของกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่ต้องมีการดำเนินการหลาย ๆ ด้านตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ขณะเดียวกัน คลินิกยังมีจุดที่ต้องระมัดระวัง เนื่องจากมีการเก็บข้อมูลส่วนบุคคลทั่วไป (Personal Data) ที่เป็นข้อมูลประวัติส่วนตัวของลูกค้า เช่น ชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ ทะเบียนรถ ธุรกรรมการเงิน และมีการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ ‘เป็นจำนวนมาก’ ซึ่งตามกฎหมาย การจะเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อ ‘ได้รับความยินยอม’ จากเจ้าของข้อมูล เนื่องจากอาจส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นได้ง่าย หรือเกิดการละเมิดข้อมูลส่วนบุคคล ด้วยเหตุนี้ การดำเนินกิจการภายใต้กฎหมาย PDPA ของคลินิกจึงมีหลายแง่มุมที่น่าสนใจในการวิเคราะห์เพื่อหาทางออกที่ถูกต้อง ภายใต้ในการดำเนินธุรกิจให้ถูกต้องตามกฎหมายฉบับใหม่ที่ได้บังคับเป็นที่เรียบร้อยแล้ว…

บริษัทรักษาความปลอดภัย เป็นอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่ายตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งบังคับใช้กฎหมายใหม่ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมถึงมาตรการรักษาความปลอดภัยบางอย่าง สามารถนำไปสู่กรณีละเมิดที่สามารถฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ ยกตัวอย่างการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงานภายในบริษัทรักษาความปลอดภัย ได้แก่ ประวัติอาชญากรรม และลายนิ้วมือ แม้กระทั่งการที่บริษัทรักษาความปลอดภัยติดกล้องวงจรปิดในสถานที่ทำงาน หรือสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการด้วยเช่นกัน นอกจากนี้ บริษัทรักษาความปลอดภัยยังมีการเก็บและส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ หรือการเก็บข้อมูลจากบุคคลที่สามด้วย ซึ่งมีลักษณะเป็นการเก็บข้อมูลจากแหล่งอื่นที่เจ้าของข้อมูลไม่ทราบ ทั้งบริษัทรักษาความปลอดภัยยังเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลจำนวนมาก อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย รวมทั้งการดำเนินการยังเกี่ยวข้องกับข้อมูลส่วนบุคคลอื่น ๆ เช่น ข้อมูลคู่ค้า – คู่สัญญา ดังนั้นจะเห็นได้ว่า บริษัทรักษาความปลอดภัยดำเนินธุรกิจโดยมีรูปแบบที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในหลากหลายกิจกรรม กระนั้นบริษัทรักษาความปลอดภัยได้รับการจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์…

หลายประเทศทั่วโลกได้ก้าวเข้าสู่สังคมผู้สูงอายุ (Aging Society) อย่างเต็มรูปแบบ จากข้อมูลสถิติในปีที่ผ่านมาได้ระบุว่า ประเทศไทยมีจำนวนประชากรผู้สูงอายุ ตั้งแต่ 60 ปีขึ้นไป ประมาณร้อยละ 14 ของปริมาณประชากรทั้งประเทศ หมายถึงประเทศไทยคือหนึ่งในประเทศที่ก้าวสู่สังคมสูงอายุเช่นเดียวกัน ทำให้ธุรกิจที่เกี่ยวข้องกับการให้บริการผู้สูงอายุเกิดขึ้นตามความต้องการที่เพิ่มมากขึ้น เช่น ธุรกิจด้านการดูแลรักษาพยาบาล การแพทย์ บ้านพักคนชรา บริการด้านความงาม ท่องเที่ยว อสังหาริมทรัพย์ อาหารฟังก์ชัน (Functional Food) รวมทั้งสินค้าอุปโภคและบริโภค ซึ่งเป็นธุรกิจมาแรง และมีธุรกิจใหม่เกิดขึ้นเพื่อสอดรับกับกระแสเทรนด์โลก ขณะเดียวกัน การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA มีผลต่อทุกธุรกิจเป็นอย่างมาก โดยผู้ประกอบการที่ดำเนินธุรกิจที่เกี่ยวข้องกับผู้สูงอายุจะต้องมีมาตรการและความพร้อมสำหรับรับมือ ‘กฎหมายใหม่’ ที่มีความอ่อนไหวและสุ่มเสี่ยงการละเมิดสิทธิได้ง่ายมาก ซึ่งผู้ประกอบการควรให้ความสำคัญกับประเด็นหลัก 3 อย่าง ดังนี้ 1. เก็บข้อมูลส่วนบุคคลของผู้สูงอายุ จะต้องขอความยินยอม การเก็บ รวบรวมใช้ หรือเปิดเผยเพื่อกิจกรรมทางธุรกิจในรูปแบบต่าง ๆ ทั้งปราศจากฐานทางกฎหมายอื่น หรือการนำข้อมูลไปใช้เพื่อประโยชน์ทางการตลาด…

ในการทำธุรกิจหรือธุรกรรมระหว่างองค์กรหรือบริษัท เป็นไปไม่ได้เลยที่จะต้องใช้หรือเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมต่าง ๆ อาทิ การจัดซื้อจัดจ้าง การทำสัญญา ฯลฯ ซึ่งแน่นอนว่าการทำธุรกิจหรือธุรกรรมระหว่างกัน เป็นกิจกรรมที่องค์กรหรือบริษัทดำเนินงานร่วมกันภายใต้สัญญาที่มีข้อตกลงเป็นลายลักษณ์อักษร ข้อมูล “คู่ค้า และคู่สัญญา” ขององค์กรหรือบริษัทที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล ต้องไม่ลืมที่จะตรวจสอบในแน่ใจว่าองค์กรหรือบริษัท ดำเนินกิจกรรมต่าง ๆ ได้สอดคล้องกับกฎหมาย PDPA แล้วหรือยัง ?   PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง? ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยมของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพราะข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูลตามกฎหมาย PDPA ไม่ใช่เพียงแค่ข้อมูลของลูกค้า เจ้าหน้าที่ หรือพนักงานในบริษัทเท่านั้น แต่รวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่บริษัทมีการเก็บใช้ ซึ่งเป็นสิ่งที่ค่อนข้าง ‘อ่อนไหวและสุ่มเสี่ยง’ ต่อการละเมิดกฎหมาย PDPA เนื่องจากขาดความเข้าใจเกี่ยวกับกฎหมายที่ดีพอ…

สำหรับโทษปรับฐานละเมิดและไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกลายเป็นประเด็นร้อนสำหรับองค์กรธุรกิจทั่วมุมโลกตั้งแต่ปี 2561 เป็นต้นมา หลังจากการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และต้นแบบของกฎหมายคุ้มครองส่วนบุคคลที่ทั่วโลกนำไปปรับใช้ รวมถึง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทยด้วย ทำให้ธุรกิจหลายแห่งถูกปรับหรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล กรณีศึกษาตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M, Amazon, Apple, Google, Netflix, Spotify และ Marriot Hotels องค์กรเหล่านี้ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบกฎหมายใหม่นี้อยู่ เนื่องจากระเบียบใหม่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลกลายเป็น ‘ต้นทุนการจัดการ’ เพื่อให้การดำเนินการถูกต้องตามกฎหมาย หากฝ่าฝืนจะมีโทษปรับที่ค่อนข้างรุนแรง โดยมีกรณีที่เคยเกิดขึ้น ดังนี้   Google โดนผู้ควบคุมข้อมูลของฝรั่งเศส (CNIL) ปรับเงิน 50…

“เวชระเบียน” เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึก และเก็บรวบรวมประวัติของผู้ป่วยทั้งประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา ค่ารักษา ไทม์ไลน์ของผู้ป่วยติดเชื้อโรคติดเชื้อไวรัสโคโรนา (COVID-19) ตลอดจนข้อมูลส่วนตัว ครอบครัว และข้อมูลต่าง ๆ ที่มีการบันทึกซึ่งเกี่ยวข้องกับผู้ป่วย นับเป็นข้อมูลที่สามารถบ่งชี้ตัวบุคคลได้ทั้งทางตรงและทางอ้อม ถือเป็น ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) การจะเก็บ รวบรวมใช้ หรือเปิดเผยได้ก็ต่อเมื่อ ได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA  ยกตัวอย่างกรณีที่เห็นกันบ่อยครั้ง คือการจัดเก็บ รวบรวมและเปิดเผยข้อมูลผู้ติดเชื้อโควิด-19 ไทม์ไลน์ก่อนติดเชื้อ ซึ่งหากตอบแบบกำปั้นทุบดินก็นับว่าผิดกฎหมาย PDPA หากการกระทำดังกล่าวไม่ได้รับความยินยอมจากเจ้าของข้อมูลตามสิทธิขั้นพื้นฐานของกฎหมายฉบับนี้   ซึ่งเป็นที่ทราบดีว่า ‘เวชระเบียน’ ถือเป็นข้อมูลสุขภาพ และเป็นข้อมูลส่วนบุคคลอ่อนไหว หากบุคคลหรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ เช่น กรณีตัวอย่างการเปิดเผยไทม์ไลน์ หรือประวัติการรักษาผู้ป่วยติดเชื้อโควิด-19 ด้วยเหตุนี้สถานพยาบาล โรงงานพยาบาล หน่วยงาน และเจ้าหน้าที่ด้านสาธารณสุขต่าง ๆ หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ฐานความยินยอม ของเจ้าของข้อมูล เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้ …