14 December, 2022 : By Admin Web3



PDPA สำคัญอย่างไรต่อองค์กรและบุคคล

 

นับตั้งแต่มีการประกาศใช้ PDPA (Personal Data Protection Act) หรือ พ.ร.บ. ข้อมูลส่วนบุคคลฯ เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา เพื่อป้องกันการนำข้อมูลส่วนบุคคลไปใช้งานโดยมิชอบ หรือไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้นๆ เราสามารถกล่าวได้ว่า บทบาทของ PDPA นั้นเกี่ยวข้องกับทุกคนอย่างแน่นอน โดยแบ่งผู้เกี่ยวข้องตามลักษณะของข้อมูล ได้แก่ เจ้าของข้อมูล (Data Subject) ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) ซึ่งวันนี้เราจะมาพูดถึงในส่วนของ ผู้ควบคุมข้อมูล ที่ส่งผลต่อบริษัทและองค์กรเอกชนกับเรื่องของการเก็บข้อมูลว่ามีประเด็นไหนบ้างที่จำเป็นต้องให้ความสำคัญ

 

สามารถอ่านบทความเพิ่มเติมเกี่ยวกับ PDPA : PDPA บัญญัติใหม่ รู้ไว้ปลอดภัย อุ่นใจกับทุกฝ่าย

 


บทบาทของ PDPA ที่มีผลต่อองค์กรแต่ละประเภท

PDPA เข้ามาควบคุมองค์กรเอกชนและบริษัทต่างๆ ในเรื่องของการเก็บข้อมูลจากเจ้าของข้อมูล (Data Subject) หรือก็คือ บุคคลธรรมดาทั่วไป ที่อาจจะอยู่ในฐานะของลูกค้าหรือสมาชิกของแต่ละองค์กร ซึ่งโดยภาพรวมแล้ว PDPA จะกำหนดบทบาทหน้าที่ของ ผู้ควบคุมข้อมูล (Data Controller) ไว้ในลักษณะคล้ายๆ กันโดย จะกำหนดให้ ผู้ควบคุมข้อมูล ต้องทำการขอยินยอมอนุญาต (Consent) จากเจ้าของข้อมูลก่อนถึงจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ซึ่งรายละเอียดการขอความยินยอมในมาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

 

 

โดยต้องระบุถึงวัตถุประสงค์ ข้อมูลที่ต้องการ ระยะเวลาที่จัดเก็บ ให้มีความชัดเจน ไม่หลอกลวง ด้วยรูปแบบข้อความเข้าถึงและเข้าใจได้ง่าย ภาษาอ่านง่าย พร้อมกับอนุญาตเจ้าของข้อมูลตามสิทธิต่างๆ รวมถึงสิทธ์ในการถอนความยินยอมได้โดยง่ายด้วย ไม่เช่นนั้นจะถือว่า ไม่มีผลผูกพันกับเจ้าของข้อมูลส่วนบุคคล ทำให้ผู้ควบคุมข้อมูลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หรือถ้าทำก็จะมีความผิดตามกฏหมายและถูกฟ้องร้องได้

 


ต้องการคำปรึกษาเกี่ยวกับการจัดทำระบบขององค์กรให้สอดคล้องกับ PDPA สามารถติดต่อสอบถามกับเรา IT Solution ได้ทาง: https://itsolution.co.th/contact-us

 


 

ซึ่งการคุ้มครองข้อมูลส่วนบุคคลมีรายละเอียดแตกต่างกันในแต่ละองค์กรที่ต้องคำนึงถึง ดังนี้

สถานศึกษา

สำหรับสถานศึกษา (โดยเฉพาะในระดับประถมและมัธยม) ต้องคำนึงเรื่องของการคุ้มครองข้อมูลเป็นพิเศษ เนื่องจากมีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ของนักเรียนรวมอยู่ด้วย เช่น เชื้อชาติ ศาสนา ข้อมูลสุขภาพ พฤติกรรมทางเพศ เป็นต้น ซึ่งกฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา หากมีการเก็บจะต้องมีเหตุผลจำเป็น นั่นทำให้ บุคลากรในสถาบันการศึกษา ซึ่งอาจประกอบด้วย ผู้อำนวยการ ครู อาจารย์ เจ้าหน้าที่สถานศึกษา ภารโรง เจ้าหน้าที่รักษาความปลอดภัย (รปภ.) และตำแหน่งอื่นๆ ควรมีความรู้ในเรื่องของความคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการละเมิดที่อาจเกิดขึ้น อีกทั้ง ยังมีเรื่องของ “ผู้เยาว์” ที่ยิ่งส่งผลต่อการประมวลผลข้อมูลส่วนบุคคลด้วย ซึ่งในกรณีของเด็กอายุต่ำกว่า 10 ขวบต้องให้ผู้ปกครองให้ความยินยอม ส่วนเด็กที่มีอายุ 10-19 ปี (ยังไม่บรรลุนิติภาวะ) จะต้องได้รับความยินยอมจากทั้งตัวนักเรียนเองและผู้ปกครอง

สถานสุขภาพ

สิ่งที่เป็นเรื่องควรระวังสำหรับสถานสุขภาพ เช่น โรงพยาบาล หน่วยงานสาธารณะสุข คลินิก และสถาบันเสริมความงาม ก็คือ เรื่องของ เวชระเบียน ที่หมายถึง เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึกและเก็บรวบรวมประวัติของผู้ป่วย อาทิ ประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา และประวัติการใช้ยา ซึ่งถือเป็น ข้อมูลส่วนบุคคลอ่อนไหว ที่ PDPA กำหนดว่าหากต้องการจะเก็บ รวบรวมใช้ หรือเปิดเผย จะทำได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน ยกตัวอย่าง กรณีของการระบาดเชื้อโควิด-19 ที่ผ่านมา ผู้ติดเชื้อต้องทำการเปิดเผยไทม์ไลน์ของการเดินทาง ซึ่งหากจะนำข้อมูลส่วนนี้ของผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ฐานความยินยอม ของเจ้าของข้อมูลดังที่กล่าวไป

 

อย่างไรก็ตาม ล่าสุดได้มี ประกาศกระทรวงสาธารณสุข เรื่อง การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรค จากการประกอบอาชีพและโรคจากสิ่งแวดล้อม พ.ศ. 2562 กำหนดให้สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้โดย ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ เช่น การระบาดของโรค (ไม่ครอบคลุมคลินิกและสถาบันเสริมความงาม เนื่องจากเป็นกิจกรรมทางการค้าหรือการบริการที่เป็นลักษณะหารายได้หรือแบ่งปันผลกำไร จึงไม่เข้าข่ายเพื่อประโยชน์สาธารณะ)

 

ธุรกิจค้าปลีก

ตัวอย่างเช่น ร้านโชห่วย ร้านสะดวกซื้อ ซูเปอร์มาร์เก็ต ห้างสรรพสินค้า คอมมูนิตี้มอลล์ และร้านค้าออนไลน์ เหล่านี้จะมีความเสี่ยงในเรื่องของการละเมิด PDPA โดยไม่ตั้งใจ ได้จากกรณีดังนี้

 

  1. การบันทึกภาพบุคคลนิ่ง หรือภาพเคลื่อนไหวผ่านกล้องวงจรปิด CCTV เพื่อความปลอดภัยของร้าน โดยไม่ได้ขอความยินยอมจากเจ้าของข้อมูลหรือแจ้งว่าพื้นที่ดังกล่าวได้มีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน รวมถึง เรื่องของ ทะเบียนรถ ก็เป็นข้อมูลที่สามรถระบุตัวบุคคลได้ จึงควรระมัดระวังในส่วนนี้ด้วย

  2. การจัดทำระบบสมาชิก โดยปกติจะมีการขอข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน และอาจจะมีภาพถ่ายใบหน้า ซึ่งจะต้องผ่านการขอความยินยอม (Consent) จากเจ้าของข้อมูลก่อน ตามในมาตรา 19 ที่ได้กล่าวไปแล้ว

  3. การทำ Omni Channel ที่เป็นรูปแบบของการผสานระว่างช่องทางค้าปลีกออฟไลน์และค้าปลีกออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย การซื้อซ้ำ และ สร้างความภักดีของผู้ซื้อ (Loyalty Customers) อย่างเช่น การให้ลูกค้ากรองข้อมูลส่วนตัวเพื่อสมัครสมาชิกในการรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ และยังรวมไปถึงข้อมูลเรื่องของวันเวลาที่ลูกค้าจะมาที่ร้าน ข้อมูลธุรกรรมการเงิน เลขบัตรเครดิต ที่ถูกนำไปใช้เพื่อการติดตามผล กิจกรรมด้านการส่งเสริมการขาย (Promotion) และการตลาดอื่นๆ ซึ่งไม่เฉพาะภายในองค์กรแต่ยังนับรวมถึงการส่งต่อข้อมูลเหล่านี้ไปให้บุคคลที่สามใช้งานเพื่อประโยชน์ในธุรกิจอีกด้วย จึงจำเป็นต้องแจ้งให้ลูกค้าทราบถึง การใช้งานข้อมูล ว่าจะนำไปทำอะไรบ้างด้วย

  4. บริการ Delivery เป็นที่นิยมในการส่งสินค้าให้ลูกค้าโดยที่ลูกค้าเองไม่ต้องมารับที่ร้าน ทั้งแบบส่งด่วน ส่งผ่านแอปพลิเคชัน หรือช่องทางที่ร้านค้าพัฒนาขึ้นเอง รวมถึงการส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express และระบบไปรษณีย์ ซึ่งล้วนแล้วแต่ต้องมีการเปิดเผยข้อมูลของผู้รับ ซึ่งก็คือ ลูกค้า ที่เป็นเจ้าของข้อมูล ให้แก่บุคคลที่สามที่เป็นบริการ Delivery นั่นเอง

  5. จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกบางแห่งอาจมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ของลูกค้า ซึ่งเป็นข้อมูลที่เข้าข่าย ข้อมูลส่วนบุคคลอ่อนไหว โดย PDPA กำหนดไว้ว่าจะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย และต้องเป็นไปตามในมาตรา 19 เช่นกัน

  6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก ในยุคแห่งข้อมูลยิ่งมีข้อมูลมากก็ยิ่งเป็นประโยชน์สำหรับการวิเคราะห์และประมวลผล ซึ่งเป็นปัจจัยสำคัญให้มีการออก PDPA ขึ้นมานั่นเอง ตามนิยามของกฎหมาย PDPA ที่ระบุถึงขอบเขตของ ข้อมูลจำนวนมาก คือ บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลส่วนบุคคลที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลอ่อนไหว มากกว่า 5 พันรายการ และร้านค้าปลีกที่เข้าเกณฑ์นี้จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือ DPO เข้ามาจัดการดูแล

 

 

สถาบันการเงิน

ในอดีตหลายคนมักมีประสบปัญหาในการถูกโทรมาขายสินค้า ที่ก่อให้เกิดความเดือดร้อนรำคาญ ซึ่งส่วนหนึ่งเกิดจากการที่สถาบันการเงินมีการนำข้อมูลของลูกค้าที่มีบัญชีกับธนาคารหรือบัตรเครดิตหรือบริษัทประกันภัย ประกันชีวิต ไปให้บริษัทบุคคลที่สามใช้ Telemarketing หรือการโทรมาขายสินค้า แต่เมื่อมีการออกกฏหมาย PDPA ขึ้นมาแล้ว สถาบันการเงินจะไม่สามารถนำข้อมูลของเราไปใช้ได้อีกต่อไป หากไม่ได้รับความยินยอมหรือขอความยินยอมจากเจ้าของข้อมูลเสียก่อน

บุคคลทั่วไป

ในระดับบุคคลแม้ว่าจะไม่ได้มีการจัดเก็บข้อมูลจำนวนมาก เพื่อใช้ในการตลาดหรือเพื่อผลประโยชน์ทางธุรกิจ แต่ถึงอย่างนั้นก็มีการกระทำที่อาจจะนำไปสู่การละเมิดกฏหมาย PDPA ได้ นั่นคือเรื่องของ ถ่ายภาพนิ่งและคลิปวิดีโอ ที่อาจจะบันทึกข้อมูลส่วนบุคคลโดยไม่ตั้งใจ เช่น ใบหน้า ป้ายทะเบียนรถ บ้านเลขที่ สถานที่ทำงาน ซึ่งคนที่ควรจะระมัดระวังเรื่องนี้เป็นพิเศษ ได้แก่ นักสื่อสารออนไลน์ Youtuber เป็นต้น เพราะเป็นการกระทำเพื่อวัตถุประสงค์ในการแสวงหาประโยชน์เชิงการค้าหรือการแบ่งปันผลกำไร จึงต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนจึงจะทำได้

 

ตัวอย่างของการรั่วไหลของข้อมูลส่วนบุคคลและผลกระทบที่เกิดขึ้น

การรั่วไหลของข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคล (Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) อาจเกิดขึ้นได้จากการตั้งใจ เช่น การนำข้อมูลไปให้บริษัทบุคคลที่สาม หรือ ผู้ประมวลผลข้อมูล (Data Processor) ในการวิเคราะห์ข้อมูลเพื่อนำมาใช้ประโยชน์ และที่เกิดจากความไม่ได้ตั้งใจ เช่น การถูกโจมตีโดยแฮกเกอร์ผู้ไม่หวังดี ก็เป็นสาเหตุที่ทำให้เกิดการรั่วไหลของข้อมูลได้เช่นกัน

 

ในกรณีที่เกิดจากการตั้งใจนั้น ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของ PDPA ในประเทศไทย ตั้งแต่ปี 2561 เป็นต้นมา บริษัทยักษ์ใหญ่ของโลกหลายแห่ง เช่น Google, Meta (Facebook), British Airways และบริษัทอื่นๆ อีกมากมาย ที่ถูกศาลตัดสินให้ต้องจ่ายค่าสินไหมทดแทนในกรณีละเมิดข้อมูลส่วนบุคคล

 

 

ส่วนกรณีของการถูกโจมตีทาง Cyber นั้น จากรายงานของ The State of Ransomware ที่ทำการสำรวจองค์กรขนาดกลางที่มีขนาด User 100 -5000 คน ในกว่า 31 ประเทศทั่วโลก เมื่อช่วงต้นปี 2022 พบว่า มีองค์กรจำนวนถึง 66 เปอร์เซนต์ที่ถูกโจมตีด้วย Ransomware และมีถึง 65 เปอร์เซนต์ที่ผู้บุกรุกสามารถ Data Encryption ได้สำเร็จ ซึ่งความเสียหายและความรุนแรงของการโจมตีก็มีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง โดยบริษัทที่ถูกโจมตีนั้น ต้องจ่ายเงินในหลัก 10 ล้านบาท เพื่อกู้คืนข้อมูล ซึ่งมีทั้งได้ข้อมูลคืนและไม่ได้ข้อมูลคืน ทั้งนี้ในประเทศไทยก็มีเหยื่อจากการถูกโจมตีด้วย Ransomware ทั้งภาคเอกชนและรัฐบาล

 

 

ตัวอย่างเช่น ข้อมูลผู้ป่วยจาก ร.พ.แห่งหนึ่งในจังหวัดเพชรบูรณ์ ถูกแฮกกว่า 16 ล้านรายการและถูกนำไปขายบนเว็บไซต์แห่งหนึ่งในราคา 500 ดอลลาร์ และอีกกรณีของ ร.พ.ในจังหวัดสระบุรี ที่ถูกโจมตีโดย มัลแวร์เรียกค่าไถ่ (Ransomware) ครั้งนั้นมีการอ้างอิงจำนวนเงินที่ถูกเรียกค่าไถ่สูงถึง 200,000 บิทคอยน์ ซึ่งเป็นการสะท้อนถึงระบบ Cyber Security ในไทยที่ยังไม่ได้มาตรฐาน ข้อมูลที่หลุดไปส่วนใหญ่เป็น “ข้อมูลส่วนบุคคล” (Personal Data) ทั้ง ชื่อ-นามสกุล วันเกิด เลขบัตรประจำตัวประชาชน หรือข้อมูลบัตรเครดิตและบัญชีธนาคาร ที่ถูกเก็บในองค์กรเหล่านั้น

 

 

ซึ่งนอกจากจะต้องเสียเงินค่าไถ่แล้ว ยังต้องถูกดำเนินการทางกฏหมายตามที่ PDPA กำหนดไว้อย่างชัดเจน แบ่งเป็น 3 ลักษณะดังนี้

โทษทางแพ่ง

เมื่อเกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียหายจริงที่เกิดขึ้น

โทษทางอาญา

หากทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ และถ้าทำเพื่อการแสวงหาประโยชน์ จะมีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง

เมื่อเกิดการละเมิดกฏหมาย PDPA ขึ้น สำหรับผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล จะต้องโทษปรับสูงสุดไม่เกิน 5,000,000 บาท

 

อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหายต่อเจ้าของข้อมูล ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย ซึ่งขึ้นอยู่กับดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ และหากมีความร้ายแรงจริงๆ ก็มีโอกาสที่จะได้รับโทษทั้ง 3 ทางเลยอีกด้วย

 

IT Solution เป็นผู้เชี่ยวชาญด้าน Solution & Service ดำเนินการให้บริการมายาวนานกว่า 20 ปี


 









 

สอบถามรายละเอียดเพิ่มเติมได้ที่ช่องทางนี้ โทร.02-725-6400 , 084-424-2428 / อีเมล sales@itsolution.co.th หรือ websupport1@itsolution.co.th

 

Tags : PDPA, ข้อบังคับ PDPA , กฏหมาย PDPA, การคุ้มครองข้อมูลส่วนบุคคล, พ.ร.บ. ข้อมูลส่วนบุคคล, Personal Data Protection Act, การรั่วไหลของข้อมูลส่วนบุคคล, ITSC, ITSolution