ภายใต้ข้อบังคับในกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทุกองค์กรล้วนต้องปรับตัวและปรับเปลี่ยน เพื่อให้การดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องตามที่กฎหมายกำหนด ไม่เว้นแม้แต่แวดวงโซเชียลมีเดีย นักสื่อสารออนไลน์ และ Youtuber ที่จะต้องเข้าใจเรื่องเหล่านี้ ก่อนกฎหมายบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ทั้งก่อนอื่นต้องทราบว่า บุคคล มีสิทธิที่ได้รับความคุ้มครองเป็นส่วนตัว ชื่อเสียง เกียรติยศตามกฎหมาย การละเมิดจึงเป็นความผิดทั้งทางแพ่ง และอาญา รวมทั้งตามข้อบัญญัติในกฎหมาย PDPA ยังมีโทษทางปกครองร่วมด้วย ดังนั้น ภาพนิ่ง ภาพเคลื่อนไหวของบุคคล แม้แต่ป้ายทะเบียนรถ หรือข้อมูลอื่นๆ ที่สามารถระบุถึงตัวบุคคลนั้นๆ ได้ ไม่ว่าจะทางตรงหรือทางอ้อม จึงเป็นสิ่งที่นักสื่อสารออนไลน์หรือ Youtuber จะต้องระมัดระวังในการทำงาน เพราะเสี่ยงต่อการทำผิดกฎหมาย และนำไปสู่การฟ้องร้องคดีละเมิดได้ง่ายมาก ถ่ายคลิปวิดีโอ ภาพนิ่ง อย่างไร ถึงปลอดภัยจากกฎหมาย PDPA? ภายใต้การทำงานของนักสื่อสารออนไลน์ หรือ Youtuber ที่ส่วนใหญ่…

ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้ ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท   ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท   งงละสิ!!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ กฎหมาย PDPA…

หากไม่มี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะผิดกฎหมายหรือไม่ ? เราเชื่อว่าหลายๆ บริษัทอยากทราบข้อเท็จจริงและทางออกสำหรับเรื่องนี้ เนื่องจากข้อบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ระบุไว้ ‘ค่อนข้างกว้าง’ สำหรับแง่มุมขององค์กรธุรกิจ โดยเฉพาะ SME ที่ยังมีคำถามคาใจ ว่าโครงสร้างบริษัทขนาดเล็กอย่าง SME จะต้องมีการแต่งตั้ง DPO ภายในองค์กรด้วยหรือไม่ ซึ่งหากดูกันตามนิยามของกฎหมาย ‘ขนาด’ กลับไม่ใช่ประเด็นสำคัญ แต่รูปแบบการดำเนินการและขั้นตอนกลับเป็นสิ่งชี้วัดว่าจำเป็นต้องมีตำแหน่งดังกล่าวภายในบริษัท โดยจะต้องพิจารณาจากเรื่องเหล่านี้ ใครบ้างต้องแต่งตั้ง DPO ในองค์กร ? หน่วยงานรัฐและองค์กรสาธารณะที่มีการจัดเก็บข้อมูลประชาชน (ยกเว้นศาล) องค์กรที่มีการเก็บและประมวลผลข้อมูลบุคคลเป็น ‘จำนวนมาก’ หรือมีการเก็บ ประมวลผลและติดตามข้อมูลส่วนบุคคลอย่างต่อเนื่อง   ทั้งนี้จะเห็นว่า กฎหมาย PDPA…

ก่อนที่เราจะบอกถึงเหตุผลและความสำคัญของการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งเป็นคนที่จะมาดูแลให้บริษัทดำเนินการได้ถูกต้อง และป้องกันความเสี่ยงจากการทำผิดกฎหมาย หรือเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) โดยประกาศใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา  เบื้องต้น จะต้องเข้าใจรูปแบบและกิจกรรมต่างๆ ของธุรกิจค้าปลีกสมัยใหม่เสียก่อน ทั้งนี้หากแยกประเภทของ ‘ธุรกิจค้าปลีก’ ที่มีอยู่ในปัจจุบัน โดยแบ่งตามรูปแบบของการดำเนินธุรกิจ สามารถระบุประเภทได้ดังนี้ 1.ร้านโชห่วย หรือร้านค้าปลีกรายย่อยที่อยู่ตามตรอกซอกซอย หรือตามพื้นที่ชุมชนต่างๆ และถือว่ากิจการโชห่วยถือว่าเป็นกิจการที่มีมานมนาน แต่ในปัจจุบันได้มีการพัฒนาทั้งรูปแบบและสินค้า รวมทั้งบริการที่มีความทันสมัยมากขึ้น กระนั้นแม้จะมีการพัฒนาหน้าตาไปมาก แต่ยังอยู่ในกรอบการดำเนินกิจกรรมแบบเดิม คือการซื้อสินค้าราคาส่งมาขายปลีกแก่คนทั่วไป 2.ร้านสะดวกซื้อ พัฒนาการค้าปลีกที่ได้ปรับรูปแบบจากโชห่วยแบบเดิมไปสู่ร้านสะดวกซื้อที่เน้นขายสินค้าในชีวิตประจำวันให้บริการแบบ 24 ชม.และมีเพิ่มบริการบางอย่างที่อำนวยความสะดวกให้ลูกค้า เช่น บริการด้านธุรกิจกรรมเงิน จ่ายบิลค่าบัตรเครดิต สินเชื่อ ค่าน้ำ ค่าไฟ…

วันที่ 5 ก.ค. 2565 – รายงานข่าวจากทำเนียบรัฐบาล จากการประชุมครม. เผยว่า มีมติที่น่าสนใจ คือ ครม.อนุมัติหลักการของกฎหมายลูก หรือ “ร่างพระราชกฤษฎีกา กำหนดลักษณะ กิจการ หรือหน่วยงานที่ยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล(PDPA) พ.ศ. 2562 มาใช้บังคับ .” การกำหนดลักษณะ กิจการ หรือหน่วยงาน ที่มีการยกเว้นมิให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ได้รับการเสนอต่อสำนักเลขาธิการคณะรัฐมนตรี สำนักงานสภาความมั่นคงแห่งชาติ และสำนักงานอัยการสูงสุดพิจารณาเสนอการกำหนดข้อยกเว้นให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” สามารถดำเนินการเก็บรวบรวม ใช้ เปิดเผย รวมถึงประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการรักษาความมั่นคง และความปลอดภัยของประเทศ รวมถึงความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการตามสัญญาผูกมัดระหว่างประเทศ การดำเนินการของหน่วยงานของศาล อัยการ และผู้บังคับใช้กฎหมาย โดยกำหนดไม่ให้มีการนำบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ดังต่อไปนี้…

กฎหมายคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่เรารู้จักกันในชื่อ กฎหมาย PDPA ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา  โดยมีบทบาทในการคุ้มครองและให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงกำหนดหน้าที่ความรับผิดชอบแก่องค์กรธุรกิจที่มีฐานะเป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล     ในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล และสร้างมาตรฐานในการประมวลผลข้อมูลส่วนบุคคลขององค์กรให้เป็นไปโดยชอบด้วยกฎหมาย เหตุด้วยปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเพิ่มมากขึ้นจนสร้างความเดือดร้อนให้กับหลายบุคคล ซึ่งล้วนเกี่ยวข้องกับ พ.ร.บ.ฉบับนี้ทั้งสิ้น โดยหากผู้ใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมาย   โดยธุรกิจ SME เป็นธุรกิจชนิดหนึ่งที่ทำการดำเนินกิจกรรมทางด้านการผลิต จำหน่าย ที่มีขนาดย่อม เป็นธุรกิจที่มีความเป็นอิสระ มีเอกชนเป็นเจ้าของไม่ตกอยู่ภายใต้อิทธิพล ของบุคคล หรือธุรกิจอื่น มีต้นทุนในการดำเนินงานต่ำ และมีพนักงานจำนวนไม่เกิน สองร้อยคน หรือมีรายได้ต่อปีไม่เกินห้าร้อยล้านบาท   ทั้งนี้เราจะเห็นหลักการปฏิบัติสำหรับชาว SME มากมายที่จำเป็นต้องทำเพื่อให้ธุรกิจสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA …ล่าสุด! เมื่อวันที่ 20 มิถุนายน 2565 ได้มีประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล…

โดยบทบาทหน้าที่หลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) คือทำให้แน่ใจว่าองค์กรมีการดำเนินการได้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยพึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เป็นกฎหมายว่าด้วยการปกป้องและคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการนำข้อมูลส่วนตัวที่องค์กรต่างๆ มีการจัดเก็บหรือนำมาประมวลผลที่อาจก่อให้เกิดผลกระทบทั้งด้านร่างกายและจิตใจต่อเจ้าของข้อมูล อาทิ เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง อับอาย ถูกเลือกปฏิบัติ หรือเพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย หรืออาจนำไปสู่เรื่องร้ายแรงกว่านั้น ด้วยเหตุนี้ ‘ข้อมูลส่วนบุคคล’ ที่ในอดีตภาคธุรกิจได้นำมาเป็นเครื่องมือในการขับเคลื่อนธุรกิจจึงเป็นสิ่งที่กฎหมายให้ความคุ้มครอง ดังนั้นจึงต้องระมัดระวังในการนำมาใช้ภายใต้การประกาศใช้กฎหมายใหม่ที่มีรายละเอียดที่ค่อนข้าง ‘อ่อนไหว’ อีกทั้งยังต้องอาศัยการตีความตามข้อกฎหมาย โดยในหลายกรณีเหตุการณ์ฟ้องร้องหรือถูกปรับเงินที่เกิดขึ้นในต่างประเทศ ส่วนใหญ่เกิดจากการขาดตีความตามข้อกฎหมายเป็นเหตุให้เกิดการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคล ด้วยเหตุผลนี้ จึงสามารถกล่าวได้ว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO จึงมีความสำคัญมากกับทุกองค์กร องค์กรแบบไหน? ต้องแต่งตั้ง DPO ตามบัญญัติในกฎหมาย PDPA ภายใต้การบังคับใช้กฎหมาย PDPA ของไทย ซึ่งระบุว่า องค์กรที่มีความ ‘จำเป็น’ ต้องแต่งตั้ง…

ภายใต้เส้นตายของการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้องค์กรธุรกิจต่างเร่งปรับตัวเพื่อดำเนินการให้สอดคล้องกับกฎหมายนี้ และอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่าย นั่นคือ ‘บริษัทรักษาความปลอดภัย’ แต่ก่อนจะเข้าเรื่องกฎหมาย PDPA เรามาดูกันก่อนว่า ทำไม่ถึงบอกว่า บริษัทรักษาความปลอดภัยเสี่ยงละเมิดกฎหมาย PDPA เพราะเนื่องจากรูปแบบการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมทั้งมาตรการักษาความปลอดภัย ‘บางอย่าง’ ก็สามารถนำไปสู่กรณีละเมิดที่นำไปสู่การฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ง่าย เช่น บริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงาน อาทิ ประวัติอาชญากรรม ลายนิ้วมือ บริษัทรักษาความปลอดภัยมีการติดกล้องวงจรปิดในสถานที่ทำงาน และสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการ บริษัทรักษาความปลอดภัยมีการเก็บและส่งต่อข้อมูลส่วนบุคคลที่มีการจัดเก็บแก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ ซึ่งอาจรวมถึงการเก็บข้อมูลจากบุคคลที่สาม ซึ่งเป็นลักษณะการเก็บจากแหล่งอื่น โดยที่เจ้าของข้อมูลก็อาจจะไม่ทราบ ยกตัวอย่างให้เห็นภาพง่ายๆ อาทิ ข้อมูลลูกบ้านในโครงการ ข้อมูลผู้อยู่อาศัยในคอนโดมิเนียม ข้อมูลพนักงานในบริษัทลูกค้าหรือที่มีผู้ว่าจ้าง ข้อมูลบุคคลทั่วไปที่เข้าชมงานแสดงดนตรี บริษัทรักษาความปลอดภัยเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลเป็นจำนวนมาก โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA…