Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

ข้อมูลส่วนบุคคลในไทย และ การใช้กฎหมายนี้ของประเทศไทย

ข้อมูลส่วนบุคคลในไทย (PDPA) ในที่สุด PDPA จะเปลี่ยนแนวการปกป้องข้อมูลในประเทศไทยเนื่องจากเป็นกฎหมายรวมฉบับแรกของประเทศในเรื่องนี้ หลักการและภาระผูกพันหลายประการภายใน PDPA ได้รับการดัดแปลงมาจากกฎระเบียบการคุ้มครองข้อมูลส่วนบุคคล (GDPR) ของสหภาพยุโรปซึ่งบ่งชี้ว่าไทยมีความหวังที่จะได้รับการตัดสินใจอย่างเพียงพอจากคณะกรรมาธิการยุโรป การใช้กฎหมายนี้ของประเทศไทยส่วนหนึ่งได้รับแรงบันดาลใจจากหลักการ GDPR หลายประการและจะเพิ่มข้อกำหนดด้านความเป็นส่วนตัวสำหรับธุรกิจที่ดำเนินงานในประเทศไทยอย่างมาก แม้ว่าจะยังไม่มีการแปล PDPA เป็นภาษาอังกฤษอย่างเป็นทางการ แต่องค์กรที่ดำเนินงานในประเทศไทยหรือจัดการข้อมูลส่วนบุคคลภาษาไทยจะต้องทำความคุ้นเคยกับกฎหมายฉบับนี้อย่างรวดเร็วก่อนวันที่จะปฏิบัติตามซึ่งจะใช้เวลาไม่ถึงหนึ่งปี

หลังจากความพยายามในการออกกฎหมายหลายครั้งในที่สุดพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคลในไทย (PDPA) ก็ได้รับการอนุมัติจากสภานิติบัญญัติแห่งชาติในเดือนกุมภาพันธ์ พ.ศ. 2562 หลังจากที่ร่างกฎหมายนี้ผ่านไปแล้ว PDPA ได้รับการประกาศในราชกิจจานุเบกษาและมีผลบังคับใช้ในเดือนพฤษภาคม 28 ธันวาคม 2019 ขณะนี้ บริษัท มีเวลาหนึ่งปีในการนำแนวทางปฏิบัติไปสู่การปฏิบัติอย่างสมบูรณ์ภายในวันที่ 27 พฤษภาคม 2020

ภาพรวมของ PDPA
เช่นเดียวกับ GDPR ความตั้งใจของ PDPA คือการปกป้องเจ้าของข้อมูล (เช่นเจ้าของข้อมูลภายใต้ GDPR) ในประเทศไทยจากการเก็บรวบรวมการใช้หรือการเปิดเผยและการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย PDPA ใช้กับองค์กรนอกประเทศไทยที่นำเสนอผลิตภัณฑ์และบริการให้กับบุคคลในประเทศไทย (ไม่ว่าจะต้องชำระเงินใด ๆ ก็ตาม) หรือตรวจสอบพฤติกรรมของบุคคลในประเทศไทย กฎหมายดังกล่าวคาดว่าจะมีผลอย่างมากต่อผู้ให้บริการออนไลน์ที่อยู่นอกประเทศไทยซึ่งหวังว่าจะให้บริการในตลาดไทยต่อไป คุ้มครองข้อมูลส่วนบุคคลในไทย

PDPA ของไทยยืมข้อกำหนดหลายประการจาก GDPR ประการแรกกฎหมายกำหนดชุดฐานที่ชอบด้วยกฎหมายที่องค์กรต้องใช้เพื่อประมวลผลข้อมูลของเจ้าของข้อมูล เช่นเดียวกับ GDPR ฐานที่ชอบด้วยกฎหมายเหล่านี้ ได้แก่ ความยินยอมภาระผูกพันทางกฎหมายผลประโยชน์สาธารณะและผลประโยชน์โดยชอบด้วยกฎหมาย นอกจากนี้สิทธิส่วนบุคคลภายใต้ PDPA ยังมีลักษณะคล้ายกันมากกับสิทธิที่พบภายใต้ GDPR ซึ่งครอบคลุมถึงสิทธิ์ในการเข้าถึงวัตถุการลบและแก้ไข และสุดท้ายเช่นเดียวกับหน่วยงานปกป้องข้อมูล (DPAs) ของ GPDR PDPA จะจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เพื่อบังคับใช้กฎหมายและเผยแพร่คำแนะนำเพื่อช่วยให้องค์กรมั่นใจว่าปฏิบัติตาม PDPA มาดูข้อกำหนดและหลักการสำคัญที่พบในกฎหมายใหม่ของประเทศไทย

คำจำกัดความที่สำคัญ
ข้อกำหนดที่กำหนดไว้ซึ่งใช้ใน PDPA ส่วนใหญ่สอดคล้องกับกฎหมายที่ได้รับแรงบันดาลใจจาก GDPR อื่น ๆ ซึ่งบ่งชี้ว่าประเทศไทยอาจกำลังแสวงหาข้อตกลงที่เพียงพอกับสหภาพยุโรป

ข้อมูลส่วนบุคคล:กำหนดโดยกว้างว่าเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อมโดยไม่รวมข้อมูลของผู้เสียชีวิตและข้อมูลธุรกิจส่วนตัวเช่นข้อมูลติดต่อชื่อหรือที่อยู่
ผู้ควบคุมข้อมูล:บุคคลหรือหน่วยงานที่มีอำนาจในการตัดสินใจเกี่ยวกับการรวบรวมการใช้งานหรือการเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูล:บุคคลหรือหน่วยงานที่รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน
PDPA มีข้อกำหนดที่เข้มงวดสำหรับการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อนซึ่งรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ:

ต้นกำเนิดทางเชื้อชาติหรือชาติพันธุ์
ความคิดเห็นทางการเมือง
ความเชื่อทางศาสนาหรือปรัชญา
ประวัติอาชญากรรม
การเป็นสมาชิกสหภาพแรงงาน
ข้อมูลทางพันธุกรรม
ข้อมูลไบโอเมตริกซ์
บันทึกสุขภาพ
รสนิยมทางเพศหรือความชอบ
ห้ามรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อนโดยไม่ได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลยกเว้นในบางสถานการณ์เช่นกรณีฉุกเฉินทางการแพทย์หรือตามที่กฎหมายกำหนด

สิทธิ์ของเจ้าของข้อมูล
สิทธิ์ของเจ้าของข้อมูลภายใต้ PDPA มีลักษณะคล้ายกับใน GDPR ภายใต้ PDPA เจ้าของข้อมูลชาวไทยจะมีสิทธิ์ร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตนและสามารถส่งคำขอให้ลบทำลายหรือเปิดเผยข้อมูลส่วนบุคคลของตนได้

ข้อกำหนดการยินยอม
PDPA ระบุว่าต้องได้รับความยินยอมอย่างชัดเจนและชัดเจน (ไม่ว่าจะเป็นลายลักษณ์อักษรหรือผ่านระบบอิเล็กทรอนิกส์) ในหรือก่อนการรวบรวมข้อมูลส่วนบุคคลและคำขอไม่ควรทำให้เข้าใจผิดหรือหลอกลวง เจ้าของข้อมูลสามารถเพิกถอนความยินยอมได้ตลอดเวลา แต่การเพิกถอนจะไม่ส่งผลต่อการรวบรวมการใช้งานหรือการเปิดเผยข้อมูลส่วนบุคคลก่อนหน้านี้ที่ได้รับความยินยอมตามกฎหมาย ข้อยกเว้นจากข้อกำหนดการขอความยินยอมนั้นค่อนข้างกว้างซึ่งครอบคลุมถึงภาระผูกพันตามสัญญาผลประโยชน์สาธารณะและเหตุผลที่ชอบด้วยกฎหมาย

สำหรับผู้เยาว์ PDPA ต้องได้รับความยินยอมจากผู้ปกครองสำหรับเจ้าของข้อมูลที่มีอายุต่ำกว่า 10 ปี (และสำหรับผู้เยาว์ที่มีอายุมากกว่า 10 ปีในบางสถานการณ์) ในขณะที่ GDPR ต้องได้รับความยินยอมจากผู้ปกครองสำหรับเด็กทุกคนที่อายุต่ำกว่า 16 ปี

การบังคับใช้และบทลงโทษ
การบังคับใช้ PDPA จะตกอยู่ภายใต้อำนาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งจัดตั้งขึ้นเพื่อบังคับใช้การปฏิบัติตาม PDPC จะสร้างแนวทางสำหรับการใช้กรอบการป้องกันข้อมูล

หากพบว่าไม่ปฏิบัติตามองค์กรต่างๆอาจถูกลงโทษทั้งทางแพ่งและทางอาญา ค่าปรับสูงสุดภายใต้ PDPA จะเป็นจำนวนมาก (แม้ว่าจะไม่รุนแรงเท่า GDPR ก็ตาม ) โดยการกระทำความผิดแต่ละครั้งอาจต้องเสียค่าปรับทางปกครองสูงถึง 5 ล้าน TBH (165,000 ดอลลาร์สหรัฐ) และค่าปรับทางอาญาสูงถึง 1 ล้าน TBH (33,000 ดอลลาร์สหรัฐ) ). PDPA ยังให้อำนาจศาลในการตัดสินความเสียหายเชิงลงโทษได้ถึงสองเท่าของค่าเสียหายจริงและจำคุกไม่เกินหนึ่งปี นอกจากนี้เจ้าของข้อมูลยังสามารถฟ้องร้องดำเนินคดีแบบกลุ่มของตนเองได้

การถ่ายโอนข้อมูลข้ามพรมแดน
ภายใต้ PDPA ข้อกำหนดการโอนข้ามพรมแดนจะถูกกำหนดไว้อย่างคลุมเครือซึ่งจะเพิ่มความเสี่ยงในการปฏิบัติตามกฎระเบียบ PDPA จะต้องมีหนึ่งในสามเงื่อนไขสำหรับการโอนเงินระหว่างประเทศ:

โอนไปยังประเทศที่กำหนดมาตรการปกป้องข้อมูลที่รัดกุมซึ่งเป็นไปตามแนวทางที่กำหนดโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ความยินยอม
สัญญาที่มีอยู่แล้วระหว่างเจ้าของข้อมูลและผู้ควบคุม
เจ้าหน้าที่คุ้มครองข้อมูล
เช่นเดียวกับ GDPR ผู้ควบคุมข้อมูลหรือผู้ประมวลผลที่รวบรวมใช้ตรวจสอบและเปิดเผยข้อมูลส่วนบุคคลจำนวนมากจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อตรวจสอบและตรวจสอบการปฏิบัติตาม PDPA DPO จะดำเนินการตรวจสอบและตรวจสอบการปฏิบัติตามข้อกำหนดและจะโต้ตอบกับหน่วยงานกำกับดูแลหากจำเป็น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดมาตราส่วนที่แน่นอนในภายหลัง

การเตรียมพร้อมสำหรับการปฏิบัติตามข้อกำหนด
ด้วยระยะเวลาผ่อนผันที่สั้นสำหรับการปฏิบัติตามข้อกำหนดจึงเป็นสิ่งสำคัญที่องค์กรต่างๆจะต้องเริ่มตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (เช่นข้อมูลลูกค้าข้อมูลซัพพลายเออร์ข้อมูลพนักงานเอกสารการเรียกเก็บเงินและการชำระเงิน ฯลฯ ) ในตอนนี้และดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้แน่ใจว่าเป็นไปตาม นโยบาย PDPA ทั้งหมดจะมีขึ้นในวันที่ 27 พฤษภาคม 2020 ขั้นตอนต่างๆเหล่านี้ ได้แก่ :

การทำแผนที่ข้อมูลเพื่อทำความเข้าใจว่า บริษัท ของคุณรวบรวมประมวลผลส่งและจัดเก็บข้อมูลอย่างไรซึ่งรวมถึงการระบุพื้นฐานทางกฎหมายในการรวบรวมและใช้ข้อมูลส่วนบุคคล
การทบทวนนโยบายภายในข้อตกลงและการปฏิบัติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลในไทย
การใช้กระบวนการจัดการข้อมูลและระบบปฏิบัติการ
การอัปเดตประกาศเกี่ยวกับความเป็นส่วนตัวที่มีอยู่และการสร้างเอกสารทางกฎหมายที่เกี่ยวข้อง
ดูแลให้พนักงานและบุคลากรได้รับการฝึกอบรมตามข้อกำหนดที่เกี่ยวข้องของ PDPA อย่างครบถ้วน
ทำการประเมินช่องว่างเพื่อระบุระดับการปฏิบัติตามข้อกำหนดในปัจจุบัน
มีกระบวนการที่ใช้สิทธิของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตน
เนื่องจากความคล้ายคลึงกันระหว่าง PDPA และ GDPR องค์กรที่อยู่ภายใต้ GDPR จึงควรได้รับการจัดวางให้ปฏิบัติตามได้อย่างเหมาะสม อย่างไรก็ตามการปฏิบัติตาม GDPRจะไม่รับประกันการปฏิบัติตาม PDPA และด้วยบทลงโทษที่สำคัญสำหรับการไม่ปฏิบัติตามและอีกไม่ถึงหนึ่งปีจนกว่าจะถึงกำหนดองค์กรที่จัดการข้อมูลส่วนบุคคลของเจ้าของข้อมูลในประเทศไทยไม่ควรรอที่จะเริ่มดำเนินการเกี่ยวกับการปฏิบัติตาม

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

Related Articles