ข่าวสารและบทความล่าสุด

ธุรกิจขนาดกลางและขนาดย่อม (Small and Medium Enterprises หรือ SMEs) เป็นธุรกิจที่มีรายได้ การจ้างงาน และสินทรัพย์ไม่มากนัก แต่หากในการดำเนินธุรกิจมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า พนักงาน หรือคู่ค้า ธุรกิจเหล่านี้ย่อมอยู่ภายใต้ข้อบังคับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ผู้ประกอบการที่มีอำนาจตัดสินใจในการดำเนินการข้างต้นเกี่ยวกับข้อมูลส่วนบุคคลมีบทบาทเป็นผู้ควบคุมข้อมูลส่วนบุคคล ทำให้ผู้ประกอบการมีหน้าที่ต้องปฏิบัติเพื่อให้สอดคล้องตามกฎหมาย ดังนี้

1. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

SMEs ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรพิจารณาว่าตนเองจำเป็นต้องแต่งตั้ง DPO หรือไม่ ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41(2) โดยหากกิจกรรมหลักของธุรกิจมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความจำเป็นต้องตรวจสอบข้อมูลหรือระบบอย่างสม่ำเสมอ เช่น กิจกรรมที่มีการติดตาม เฝ้าสังเกต หรือทำนายลักษณะเฉพาะของบุคคลอย่างเป็นระบบและเกิดขึ้นเป็นประจำ โดยกิจกรรมนั้นมีข้อมูลส่วนบุคคลเป็นจำนวนมาก ไม่ว่าจะพิจารณาจากจำนวนเจ้าของข้อมูล ประเภทของข้อมูล ระยะเวลาการเก็บรักษา หรือขอบเขตการใช้ข้อมูล ก็ควรจัดให้มี DPO ผู้มีความรู้ความเข้าใจเกี่ยวกับ PDPA เพื่อให้คำแนะนำ ตรวจสอบ และกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ดี แม้ไม่เข้าเกณฑ์ตามกฎหมาย การมี DPO ก็ยังคงเป็นประโยชน์ต่อองค์กร เพราะช่วยกำกับดูแล ให้คำแนะนำ ตรวจสอบการใช้ข้อมูล และลดความเสี่ยงด้านการละเมิดข้อมูลอย่างเป็นระบบ

2. การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ RoPA)

ตาม PDPA ในมาตรา 39 กำหนดให้องค์กรต้องจัดทำ RoPA เพื่อบันทึกรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล อย่างไรก็ดี ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 ได้อนุโลมให้บางกิจการไม่ต้องจัดทำ RoPA ครบทุกกระบวนการ โดยสามารถจัดทำเฉพาะบางรายการหรือทำในรูปแบบย่อได้ ได้แก่

1) วิสาหกิจขนาดกลางและขนาดย่อม (SMEs)

2) วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน

3) วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม

4) สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร

5) มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร

6) กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน

อย่างไรก็ตาม หากกิจการเป็นผู้ให้บริการที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (ยกเว้นร้านอินเทอร์เน็ต) หรือมีลักษณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล รวมถึงกรณีที่ไม่ใช่การดำเนินการเป็นครั้งคราว หรือเกี่ยวข้องกับข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 จะไม่เข้าข้อยกเว้นข้างต้น องค์กรยังคงมีหน้าที่ต้องจัดทำ RoPA ฉบับเต็ม

3. การแจ้งให้เจ้าของข้อมูลทราบก่อนเก็บข้อมูลส่วนบุคคล

ก่อนหรือขณะเก็บข้อมูล SMEs มีหน้าที่ต้องปฏิบัติตามมาตรา 23 แห่ง PDPA ในการแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยสามารถจัดทำเอกสารประกาศความเป็นส่วนตัว (Privacy Notice) เพื่อใช้ในการแจ้งได้ โดยมีรายละเอียด ดังต่อไปนี้

1) วัตถุประสงค์และฐานการประมวลผลข้อมูลส่วนบุคคล

2) ประเภทข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

3) ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล

4) การส่งหรือโอนข้อมูลข้อมูลส่วนบุคคล

5) การรักษาความปลอดภัยของข้อมูลส่วนบุคคล

6) สิทธิของเจ้าของข้อมูลส่วนบุคคล

7) ข้อมูลการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล

โดย Privacy Notice ควรอ่านง่าย ชัดเจน และเข้าถึงได้ง่าย เช่น บนเว็บไซต์ เอกสารสมัครงาน หรือแอปพลิเคชัน เป็นต้น

4. การขอความยินยอม

ความยินยอมเป็นหนึ่งในฐานการประมวลผลข้อมูลส่วนบุคคลตาม PDPA ซึ่งการจะใช้ฐานความยินยอมมี 2 กรณี ได้แก่

1) กรณีการประมวลผลข้อมูลส่วนบุคคลทั่วไป เมื่อไม่สามารถใช้ฐานอื่นตามมาตรา 24 ได้

PDPA กำหนดฐานการประมวลผลข้อมูลส่วนบุคคลไว้ทั้งสิ้น 7 ฐาน ได้แก่ ฐานการวิจัย สถิติ และเอกสารทางประวัติศาสตร์ ฐานประโยชน์ต่อชีวิต ร่างกาย อนามัย ฐานสัญญา ฐานภารกิจรัฐ ฐานประโยชน์โดยชอบด้วยกฎหมาย ฐานหน้าที่ตามกฎหมาย และฐานความยินยอม โดยความยินยอมเป็นฐานที่ควรพิจารณาเป็นฐานสุดท้ายเมื่อไม่สามารถใช้ฐานอื่น ๆ ได้ เนื่องจากในการขอความยินยอมเจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ นำมาซึ่งภาระหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการที่จะบริหารจัดการความยินยอม

2) กรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 เช่น ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็น ทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เว้นแต่เข้าข้อยกเว้นที่จะไม่ต้องขอความยินยอม ได้แก่

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคล
• เพื่อการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ
• มูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร
• เป็นข้อมูลที่เปิดเผยต่อสาธารณะ ด้วยความยินยอมโดยชัดแจ้ง
• เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
• เพื่อเป็นการจำเป็นในการปฏิบัติตามกฎหมาย

ทั้งนี้ การขอความยินยอมไม่ว่าจะเป็นข้อมูลทั่วไปหรืออ่อนไหว ต้องทำก่อนหรือขณะเก็บข้อมูลส่วนบุคคล โดยต้องมีความชัดเจน ไม่คลุมเครือ ระบุวัตถุประสงค์เฉพาะเจาะจง แยกส่วนออกจากข้อความอื่นอย่างชัดเจน และใช้ภาษาที่เข้าใจง่าย พร้อมทั้งต้องเป็นความยินยอมที่ให้โดยสมัครใจ ไม่ถูกหลอกลวงหรือทำให้เข้าใจผิด และต้องไม่เป็นเงื่อนไขในการเข้าทำสัญญาหรือให้บริการ

5. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ SMEs ควรจัดให้มีนโยบายในการเก็บรักษาและคุ้มครองข้อมูลส่วนบุคคลตาม PDPA ตั้งแต่มาตรการเชิงกายภาพ เช่น การเก็บเอกสารไว้ในที่ปลอดภัย มีระบบล็อกและจำกัดสิทธิ์ ไปจนถึงมาตรการเชิงเทคนิค เช่น การใช้ระบบจัดเก็บข้อมูลที่เข้ารหัส การสำรองข้อมูลอย่างสม่ำเสมอ การใช้ระบบยืนยันตัวตนสองชั้น สำหรับการเข้าถึงระบบ รวมถึงมาตรการเชิงองค์กร อย่างการอบรมพนักงานให้เข้าใจถึงความสำคัญของข้อมูล และรู้วิธีการป้องกันภัยเบื้องต้น เช่น การไม่ส่งข้อมูลผ่านช่องทางที่ไม่ปลอดภัย การไม่เปิดไฟล์แนบจากแหล่งที่ไม่รู้จัก เป็นต้น

6. การเปิดเผยข้อมูลส่วนบุคคลแก่หน่วยงานภายนอก

ในกรณีที่ SMEs ในฐานะผู้ควบคุมข้อมูลมีการเปิดเผยข้อมูลส่วนบุคคลแก่หน่วยงานภายนอกซึ่งเป็นผู้ประมวลผลข้อมูล จะต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreements หรือ DPA) ตามมาตรา 40 แห่ง PDPA เพื่อกำหนดขอบเขตในการประมวลผลข้อมูลส่วนบุคคล

ในขณะเดียวกัน หาก SMEs มีการเปิดเผยข้อมูลส่วนบุคคลแก่หน่วยงานภายนอกซึ่งเป็นผู้ควบคุมข้อมูลเช่นเดียวกัน จะต้องจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Data Sharing Agreement หรือ DSA) เพื่อกำหนดขอบเขต หน้าที่ ความรับผิดชอบของทั้งสองฝ่าย

7. การจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล

PDPA ได้บัญญัติรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ดังนั้น SMEs จึงควรจัดให้มีช่องทางและขั้นตอนในการดำเนินการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิของตนได้ตามที่กฎหมายกำหนดได้ ซึ่งได้แก่

1) สิทธิในการได้รับแจ้งข้อมูล (Right to be informed)

2) สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)

3) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right of Access)

4) สิทธิในการแก้ไขข้อมูลส่วนบุคคล (Right to Rectification)

5) สิทธิในการลบข้อมูลส่วนบุคคล (Right to Erasure)

6) สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restrict Processing)

7) สิทธิในการโอนข้อมูลส่วนบุคคล (Right to Data Portability)

8) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to Object)

ทั้งนี้ ผู้ควบคุมข้อมูลสามารถปฏิเสธการใช้สิทธิได้ในบางกรณี หากมีเหตุจำเป็นตามกฎหมาย

8. การแจ้งเหตุการณ์ข้อมูลรั่วไหล

หากเกิดเหตุข้อมูลรั่วไหลหรือเหตุการณ์ละเมิดข้อมูลส่วนบุคคล PDPA กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีการประเมินความเสี่ยง หาก SMEs พิจารณาแล้วว่ามีความเสี่ยง จะต้องแจ้งเหตุละเมิดข้อมูลส่วนบุคคลไปยังสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ทราบภายใน 72 ชั่วโมง โดยถ้าหากมีความเสี่ยงสูง SMEs จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย

โดยสรุปแล้ว การปฏิบัติตาม PDPA เป็นอีกหน้าที่สำคัญของ SMEs ทุกประเภทที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดให้มีมาตรการด้านเอกสาร ขั้นตอนภายใน มาตรการรักษาความปลอดภัยข้อมูล และการตอบสนองต่อสิทธิของเจ้าของข้อมูลอย่างเป็นระบบ จะช่วยให้ธุรกิจลดความเสี่ยงทางกฎหมาย เสริมความน่าเชื่อถือ และสร้างความไว้วางใจจากพนักงาน ลูกค้า และคู่ค้าในระยะยาว