เรื่องน่ารู้เกี่ยวกับ PDPA

✅ ใครบ้างที่ PDPA ใช้บังคับ?

1. องค์กรหรือบุคคลที่เป็นผู้ควบคุมข้อมูล (Data Controller)

   • บริษัท ห้างร้าน หน่วยงานภาครัฐ หรือบุคคลทั่วไปที่มีการเก็บข้อมูลส่วนบุคคลของลูกค้า ลูกจ้าง หรือบุคคลอื่น

2. องค์กรหรือบุคคลที่เป็นผู้ประมวลผลข้อมูล (Data Processor)

   • ผู้ที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลให้ดำเนินการจัดการข้อมูล เช่น บริษัทที่ให้บริการ Cloud Storage

3. องค์กรที่อยู่ต่างประเทศ แต่มีการเก็บข้อมูลของบุคคลในประเทศไทย (เช่น แพลตฟอร์มโซเชียลมีเดียต่างชาติ)

❌ ใครบ้างที่ PDPA ไม่ใช้บังคับ?

1. บุคคลธรรมดาที่เก็บหรือใช้ข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตัวหรือในครอบครัว เช่น ถ่ายภาพเพื่อนหรือเก็บเบอร์โทรของคนรู้จัก

2. หน่วยงานรัฐที่มีหน้าที่เกี่ยวกับความมั่นคงของประเทศ เช่น กองทัพ ตำรวจ หรือการป้องกันและปราบปรามอาชญากรรม

3. ข้อมูลของผู้เสียชีวิต (PDPA คุ้มครองเฉพาะข้อมูลของบุคคลที่ยังมีชีวิตอยู่)

หลักการสำคัญของ PDPA เกี่ยวกับการประมวลผลข้อมูลนอกราชอาณาจักร

PDPA มาตรา 5 วรรคสอง กำหนดว่า หากองค์กรที่อยู่นอกประเทศไทย มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย และมีการดำเนินกิจกรรมดังต่อไปนี้ จะต้องปฏิบัติตาม PDPA ด้วย:

1. เสนอขายสินค้า/บริการให้กับบุคคลที่อยู่ในประเทศไทย

   • ตัวอย่าง: เว็บไซต์อีคอมเมิร์ซต่างประเทศที่ขายของให้ลูกค้าในไทย

2. ติดตามพฤติกรรมของบุคคลที่อยู่ในประเทศไทย

   • ตัวอย่าง: แพลตฟอร์มโซเชียลมีเดียหรือแอปพลิเคชันที่ติดตามการใช้งานของคนไทยผ่านคุกกี้

ตัวอย่างที่ PDPA ใช้บังคับกับข้อมูลที่ประมวลผลนอกราชอาณาจักร

✅ Facebook, Google, TikTok – แพลตฟอร์มเหล่านี้เก็บข้อมูลของผู้ใช้ในไทย แม้เซิร์ฟเวอร์อยู่ต่างประเทศ ก็ต้องปฏิบัติตาม PDPA
✅ บริษัทข้ามชาติที่ให้บริการลูกค้าในไทย – เช่น บริษัทสหรัฐฯ ที่ขายซอฟต์แวร์ให้คนไทยและเก็บข้อมูลลูกค้า
✅ แอปพลิเคชันมือถือจากต่างประเทศที่ใช้ข้อมูลผู้ใช้ในไทย

ข้อยกเว้นที่ PDPA ไม่ใช้บังคับ

❌ เว็บไซต์ต่างประเทศที่ไม่มีเป้าหมายให้บริการคนไทย (เช่น เว็บไซต์ที่ไม่มีภาษาไทย ไม่มีการจัดส่งมายังไทย)
❌ บริษัทต่างชาติที่ไม่ได้ติดตามหรือเก็บข้อมูลของบุคคลในประเทศไทย

องค์กรต่างประเทศ มีการเก็บ ใช้ หรือประมวลผลข้อมูลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะอยู่ที่ไหนในโลก PDPA ก็บังคับใช้ ซึ่งคล้ายกับกฎหมายคุ้มครองข้อมูลของยุโรป (GDPR) 

ผู้ประมวลผลข้อมูล (Data Processor) มีหน้าที่ต้องแจ้งให้ผู้ควบคุมข้อมูล (Data Controller) ทราบทันทีเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

กฎหมายที่เกี่ยวข้อง

ตาม มาตรา 40 วรรคสอง ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ระบุว่า

"ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบโดยไม่ชักช้าเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล"

สรุปหน้าที่ของผู้ประมวลผล (Data Processor) เมื่อเกิดเหตุละเมิดข้อมูล

✅ แจ้งผู้ควบคุมข้อมูล (Data Controller) ทันที – ไม่สามารถเก็บเรื่องไว้เอง ต้องรายงานโดยเร็วที่สุด
✅ ให้รายละเอียดเกี่ยวกับเหตุละเมิดข้อมูล – อธิบายลักษณะของการละเมิดและข้อมูลที่ได้รับผลกระทบ
✅ ช่วยเหลือผู้ควบคุมข้อมูลในการแก้ไขปัญหา – สนับสนุนการสอบสวนและแก้ไขช่องโหว่

หน้าที่ของผู้ควบคุมข้อมูล (Data Controller) หลังจากได้รับแจ้ง

1. แจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ทราบภายใน 72 ชั่วโมง (มาตรา 37)

2. แจ้งเจ้าของข้อมูล (Data Subject) โดยเร็ว หากการละเมิดมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

3. ดำเนินมาตรการแก้ไข เพื่อลดความเสียหายและป้องกันไม่ให้เกิดซ้ำ

ตัวอย่างสถานการณ์จริง

• หากบริษัท A เป็น Data Processor และให้บริการ Cloud Storage กับบริษัท B ซึ่งเป็น Data Controller

• วันหนึ่งเซิร์ฟเวอร์ของบริษัท A ถูกแฮ็ก ทำให้ข้อมูลลูกค้าของบริษัท B รั่วไหล

• บริษัท A ต้องรีบแจ้งบริษัท B ทันที เพื่อให้บริษัท B สามารถแจ้ง PDPC และเจ้าของข้อมูลตามที่กฎหมายกำหนด

 ผู้ประมวลผลข้อมูล (Data Processor) มีหน้าที่ต้องแจ้งผู้ควบคุมข้อมูล (Data Controller) โดยไม่ชักช้าเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อให้สามารถแจ้งหน่วยงานที่เกี่ยวข้องและดำเนินการแก้ไขได้ทันเวลา

หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นบุคคลที่ได้รับมอบหมายให้ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร ตามมาตรา 41 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมีหน้าที่หลักดังต่อไปนี้:

1. ให้คำแนะนำเกี่ยวกับการปฏิบัติตาม PDPA

• แนะนำองค์กรเกี่ยวกับ นโยบายและมาตรการในการคุ้มครองข้อมูลส่วนบุคคล

• ให้คำปรึกษาแก่ ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor)

2. ตรวจสอบและกำกับดูแลการประมวลผลข้อมูลส่วนบุคคล

• ตรวจสอบให้แน่ใจว่าองค์กร ปฏิบัติตาม PDPA อย่างถูกต้อง

• ตรวจสอบว่าองค์กรได้รับ ความยินยอม (Consent) อย่างถูกต้อง และมีการปกป้องข้อมูลที่เพียงพอ

• จัดทำ บันทึกรายการกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities - RoPA)

3. ประสานงานกับหน่วยงานกำกับดูแล (PDPC)

• เป็น ตัวกลางระหว่างองค์กรกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

• แจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นต่อ PDPC ภายใน 72 ชั่วโมง ตามข้อกำหนดของ PDPA

4. จัดการคำร้องขอจากเจ้าของข้อมูล (Data Subject Rights Requests - DSRs)

• รับและดำเนินการตามคำขอของเจ้าของข้อมูล เช่น
  ✅ ขอเข้าถึงข้อมูล (Access Request)
  ✅ ขอแก้ไขหรือลบข้อมูล (Rectification/Erasure)
  ✅ ขอระงับหรือคัดค้านการใช้ข้อมูล (Restriction/Opposition)

5. เฝ้าระวังและประเมินความเสี่ยงด้านข้อมูลส่วนบุคคล

• ดำเนิน การประเมินผลกระทบด้านความเป็นส่วนตัว (Data Protection Impact Assessment - DPIA)

• ตรวจสอบ ความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันการรั่วไหล

องค์กรใดบ้างที่ต้องมี DPO?

• ตาม PDPA มาตรา 41 กำหนดว่าองค์กรต้องแต่งตั้ง DPO หากมีเงื่อนไขดังต่อไปนี้:
  ✅ เป็นหน่วยงานรัฐ ที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก
  ✅ ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก เป็นแกนหลักของธุรกิจ เช่น โรงพยาบาล สถาบันการเงิน บริษัทประกัน
  ✅ ประมวลผลข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลสุขภาพ ข้อมูลชีวภาพ ข้อมูลเชื้อชาติ

การเรียกร้องค่าสินไหมทดแทนกรณีละเมิดข้อมูลส่วนบุคคล

มาตรา 77 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดว่า เจ้าของข้อมูลส่วนบุคคลสามารถเรียกร้องค่าสินไหมทดแทนได้ภายใน 3 ปี นับแต่วันที่ทราบถึงการละเมิดสิทธิของตน หรือ ภายใน 10 ปี นับแต่วันที่เกิดเหตุละเมิด แล้วแต่ว่ากรณีใดจะถึงก่อน

📌 สรุปอายุความ

✅ 3 ปี นับจากวันที่เจ้าของข้อมูลทราบว่าข้อมูลของตนถูกละเมิด
✅ 10 ปี นับจากวันที่เกิดเหตุละเมิด แม้เจ้าของข้อมูลจะไม่ทราบ

📌 ตัวอย่างสถานการณ์

1️⃣ กรณีเจ้าของข้อมูลทราบเร็ว

• วันที่ 1 ม.ค. 2567 บริษัท A ทำข้อมูลลูกค้าหลุด และเจ้าของข้อมูลทราบเรื่องทันที

• เจ้าของข้อมูลสามารถฟ้องเรียกร้องค่าสินไหมได้ ภายใน 3 ปี (ถึง 31 ธ.ค. 2569)

2️⃣ กรณีเจ้าของข้อมูลทราบช้า

• วันที่ 1 ม.ค. 2565 บริษัท B รั่วไหลข้อมูลลูกค้า แต่เจ้าของข้อมูลเพิ่งทราบเมื่อวันที่ 1 ม.ค. 2570

• เจ้าของข้อมูลสามารถฟ้องได้ถึง 1 ม.ค. 2573 (3 ปีนับจากวันที่ทราบ)

• แต่หากทราบหลัง 1 ม.ค. 2575 จะฟ้องไม่ได้ เพราะเกินอายุความ 10 ปี

📌 สิทธิที่เจ้าของข้อมูลสามารถเรียกร้องได้

• ค่าเสียหายทางแพ่ง

• ค่าชดเชยจากความเสียหายที่เกิดขึ้น

• ค่าปรับทางปกครอง (กรณีร้องเรียนต่อสำนักงาน PDPC)

• ค่าทดแทนสำหรับความเสียหายที่ไม่ใช่ตัวเงิน (เช่น ผลกระทบต่อชื่อเสียง)

มาตรฐานที่เกี่ยวข้องกับ PDPA

• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) 

• GDPR (General Data Protection Regulation): สำหรับข้อมูลที่เกี่ยวข้องกับลูกค้าในยุโรป การรักษาความลับต้องเป็นไปตามกฎหมาย GDPR

• มาตรฐาน ISO/IEC 27001: เกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล

• มาตรฐาน ISO/IEC27701: เกี่ยวข้องกับการบริหารความเป็นส่วนตัว (Privacy Information Management System)

เพิ่มประสิทธิภาพด้านความความมั่นคงปลอดภัยสารสนเทศขององค์กรด้วยที่ปรึกษา ISO/IEC27001:2022 รวมถึงสารสนเทศด้านความเป็นส่วนตัว ISO/IEC27701:2019

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) รวมถึงสารสนเทศด้านความเป็นส่วนตัว ISO/IEC27701:2019 มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านสารสนเทศ เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

ให้เราช่วยนำองค์กรของคุณไปสู่มาตรฐานระดับสากล เพื่อความปลอดภัยและความมั่นคงในระยะยาว!

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO27001, ISO27701, ISO9001 หรืออื่น ๆ  โทร. 084-1147666 

#Cybersecurity, #PIMS, #ISMS, #ISO27001, #PDPA, #27701