Tax Magazine: ฉบับพฤษภาคม 2565 / Section: Cover Story / Column: Cover Story

ผู้เขียน: ปริญญา หอมเอนก1

PDPA Final Call

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล องค์กรพร้อมหรือยัง?
PDPA หรือ พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีการพูดถึงและเป็ นประเด็นร้อนต่อเนื่องมาหลายปี
กาลังจะมีการบังคับใช้ในวันที่ 1 มิถนุ ายน 2565 นีแ้ ล้ว
เชื่อว่าองค์กรทั้งหลายคงได้ดาเนินการตาม พ.ร.บ. ฉบับนีก้ ันแล้ว แต่สาหรับเตรียมตัวโค้งสุดท้ายกับเวลาที่
เหลืออยู่ เราอยากมายา้ เรื่องสาคัญในการดูแลจัดการข้อมูลส่วนบุคคลด้วยความเข้าใจที่ถกู ต้อง
เพื่อให้องค์กรพร้อมมากที่สดุ สาหรับ PDPA ....Final Call

ประวัติความเป็ นมาของ GDPR และ PDPA

ในอดีต อินเทอร์เน็ตเเละโซเชียลมีเดียยังไม่ได้รบั ความนิยมเท่าในปั จจุบนั เรื่องของข้อมูลส่วนบุคคลในเวลานัน้
จึงยังไม่ค่อยมีใครพูดถึงเเละให้ความสาคัญเท่าใดนัก เเต่ในหลายปี ท่ีผ่านมาจากความนิยมของโซเชียลมีเดีย การเติบโต
ของอินเทอร์เน็ต เเละการนาเทคโนโลยี Big Data และ AI มาใช้ในการวิเคราะห์ขอ้ มูลพฤติกรรมส่วนตัวของลูกค้าเพื่ อ
ประโยชน์ทางธุรกิจโดยที่ตวั ลูกค้าเองส่วนใหญ่จะไม่ทราบถึงการวิเคราะห์ดงั กล่าว ที่ทาให้เกิดความเสี่ยง มีผลกระทบทัง้
ทางตรงเเละทางอ้อมต่อตัวบุคคลที่ถกู นาข้อมูลส่วนตัวไปใช้โดยไม่ได้รบั อนุญาต
จากนั้นจึงมีการพูดถึงเรื่องข้อมูลส่วนบุคคลและความเป็ นส่วนตัวของข้อมูล โดยเริ่มจากหน่วยงาน OECD ได้
พัฒนา OECD Guideline on the Protection of Privacy and Transborder Flow of Personal Data ในช่วงปี พ.ศ. 2513
- 2523 ปั จจุบันได้ถูกปรับปรุ งพัฒนาเป็ น Version ล่าสุดในปี พ.ศ. 2556 เห็นได้ว่า การให้ความสาคัญเรื่องข้อมูลส่วน
บุคคลมีมานานกว่า 30 ปี เเล้ว เเต่เพิ่งจะมานิยมหลังจากสหภาพยุโรป หรือ EU ได้ออกระเบียบในกฎหมายสหภาพยุโรป
ว่าด้วยการคุม้ ครองข้อมูลส่วนบุคคล ขึน้ ในปี พ.ศ. 2559 เเละมีผลบังคับใช้ในปี พ.ศ. 2561 ที่เรารูจ้ กั กันในนาม General
Data Protection Regulation (GDPR) EU 2016/679 ใช้แทนคาสั่งคุม้ ครองข้อมูล Data Protection Directive 95/46/EC
นับจากที่ GDPR เริ่มบังคับใช้ได้เพียง 1 ปี พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคลของไทย หรือที่เรารูก้ ันในชื่อย่อ “PDPA” ก็ถูก
ประกาศในราชกิจจานุเบกษาในปี พ.ศ. 2562
ปั จจุบนั นับเป็ นเวลากว่า 3 ปี ท่ี PDPA จะถูกนามาบังคับใช้อย่างจริงจังในประเทศไทย ควบคู่กับการทางานของ
หน่วยงาน Regulator ใหม่ล่าสุด “สานักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบุคคล” หรือ “สคส.” จะเห็นได้ว่าประเทศ
ไทยมีการเตรียมการเเละมีความพร้อมในระดับหนึ่งที่ประชาชนได้รบั รูเ้ เละเตรียมตัวกันมาหลายปี นับจากกฎหมายได้ถกู
ประกาศให้สาธารณชนได้รบั ทราบ

ทาไมเราต้องให้ความสาคัญกับเรื่องข้อมูลส่วนบุคคลและความเป็ นส่วนตัวของข้อมูล
ในปั จจุบันเราได้ยินข่าว “ข้อมูลรั่วไหล” หรือข้อมูลส่วนบุคคลหลุด ออกไปสู่ สาธารณะหรื อ ไปอยู่ในมื อ ของ
มิจฉาชีพ ทาให้เกิดความเดือดร้อนต่อเจ้าของข้อมูลส่วนบุคคลไม่เว้นเเต่ละวัน โดยมีอัตราการเกิดความเสียหายอย่าง
ต่อเนื่อง สาเหตุท่ที าให้เราต้องให้ความสาคัญกับข้อมูลส่วนบุคคล ก็คือ เมื่อข้อมูลส่วนบุคคลอยู่กบั ตัวเราโดยที่เราสามารถ

1 ผูเ้ ชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและระบบเทคโนโลยีสารสนเทศ ACIS Professional Center/Cybertron

ควบคุมได้ ปั ญหาจะยังไม่เกิดจนกว่าข้อมูลส่วนบุคคลของเราจะถูกนาไปใช้หรือถูกเข้าถึงโดยมิชอบโดยบุคคลอื่น ทัง้ ที่เรา
รูต้ วั จากการเเจ้งให้ทราบหรือโดยที่เราไม่รูต้ วั เลยก็มีให้เห็นอยู่เป็ นประจา จนเกิดคาถามที่ว่า “เขารูข้ อ้ มูลส่วนตัวของเราได้
อย่างไร ?” ไม่ว่าจะเป็ นชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขประจาตัวบัตรประชาชน หรือเลขบัญชีธนาคาร โดยข้อมูลส่วน
บุคคลของเรา ถือเป็ นสินทรัพย์สารสนเทศ หรือ “Information Asset” ที่สามารถนาไปทาประโยชน์ได้โดยมีผไู้ ด้ประโยชน์
จากการประมวลผลข้อมูลส่วนบุคคลของเรา และผูเ้ สียประโยชน์ก็คือตัวเรานั่นเอง
ดังนัน้ พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคล จึงเน้นไปที่ขอ้ มูลส่วนบุคคล ไม่ได้เน้นไปที่ขอ้ มูลขององค์กร เมื่อมีการ
รั่วไหลของข้อมูลส่วนบุคคลและทาให้สามารถระบุตัวตนของบุคคลที่เป็ นเจ้าของข้อมูลส่วนบุคคลได้ ให้ถือว่าเกิดการ
ละเมิดข้อมูลส่วนบุคคลขึน้ เเล้ว ทาให้ผคู้ วบคุมข้อมูลส่วนบุคคลเเละผูป้ ระมวลผลข้อมูลส่วนบุคคลต้องมีหน้า ที่รบั ผิดชอบ
ในเหตุการณ์ร่วั ไหลของข้อมูลดังกล่าวตามกฎหมาย
จึ ง สรุ ป ได้ว่ า เรื่ อ งความเป็ น ส่ ว นตั ว ของข้อ มู ล ในยุ ค นี ้ ร่ อ งรอยทางดิ จิ ทั ล หรื อ “Digital Footprint“ มี
ความสาคัญอย่างมาก สามารถสร้างความเดือดร้อนความเสียหายต่อบุคคลที่ขอ้ มูลส่วนบุคคลหลุดออกไปโดยไม่ได้ตงั้ ใจ
และไม่เต็มใจ เมื่อมีความเสียหายเกิดขึน้ โดยเฉพาะด้านชื่อเสียงทัง้ บุคคลและองค์กรเเล้ว ก็ยากที่จะกลับมาเหมือนตอนที่
ข้อมูลยังไม่หลุดรั่วออกไป ว่ากันว่าในยุคไซเบอร์ “ Reputational Risk” หรือความเสี่ยงด้านชื่อเสียงและภาพลักษณ์ ถือ
เป็ นความเสี่ยงที่เกิดความเสียหายสูงสุดต่อเจ้าของข้อมูลส่วนบุคคล เพราะในโลกไซเบอร์มีขอ้ มูล “Digital Footprint” ถูก
เก็บไว้อยู่ในระบบ Cloud เป็ นจานวนมาก เก็บไว้ยอ้ นหลังเป็ นเวลาหลายปี ทาให้มีความเสี่ยงต่อเจ้าของข้อมูลทัง้ ทางตรง
และทางอ้อมอยู่ตลอดเวลาที่ยงั มีการเข้าถึง “Digital Footprint” ได้
เรื่องการป้ องกันข้อมูล หรือ “Data Protection” จึงกลายเป็ นเรื่องสาคัญที่หลีกเลี่ยงไม่ได้ โดยต้องเริ่ม
จากเรื่องความมั่นคงปลอดภัยของข้อมูล หรือ “Data Security” เสียก่อนทีจ่ ะมาพูดกันต่อในเรื่องของความเป็ น
ส่วนตัวของข้อมูล หรือ “Data Privacy” ดังคากล่าวที่ว่า “You Can Get Security Without Privacy But You Can’t
Get Privacy Without Security”

PDPA กฎหมายใกล้ตัว เกี่ยวข้องกับเราอย่างไร ?

PDPA ย่ อ มาจาก Personal Data Protection Act หรื อ พ.ร.บ.คุ้ม ครองข้ อ มู ล ส่ ว นบุ ค คล พ.ศ. 2562 มี
วัตถุประสงค์บญ ั ญัติขึน้ เพื่อให้การคุม้ ครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูล
ส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลมีประสิทธิภาพ กฎหมายได้กาหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล
เน้นไปที่การรักษาข้อมูลส่วนบุคคลให้ปลอดภัย เป็ นหน้าที่ของผูค้ มุ้ ครองข้อมูลส่วนบุคคล โดยข้อมูลส่วนบุคคลต้องถูก
นาไปใช้ให้ตรงกับวัตถุประสงค์ตามคายินยอมที่เจ้าของข้อ มูลส่วนบุคคลอนุญาต โดยกฎหมายได้ประกาศไว้ในราชกิจจา
นุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และกาลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 โดยในตัวบทกฎหมายหลาย
มาตราสามารถบังคับใช้ได้โดยไม่จาเป็ นต้องรอให้กฎหมายลาดับรองภายใต้พระราชบัญญัติคมุ้ ครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ประกาศใช้ทงั้ หมด

ความเข้าใจผิดเกี่ยวกับ GDPR/PDPA และ Data Protection/Data Security/Data Privacy

ตัวอักษรย่อ “DP” ใน “GDPR” และ “PDPA” ย่อมาจากคาว่า “Data Protection” ไม่ใช่ “Data Privacy” เเละใน
GDPR ทุกมาตราไม่มีการกล่าวถึง “Data Privacy” เลย มีเเต่การกล่าวถึง “Data Protection” ในหลายมาตราของ GDPR
โดย Data Protection หมายถึง “การป้องกันข้อมูล” ซึ่งอาศัยหลักการพืน้ ฐานด้านความมั่นคงปลอดภัย “CIA Triad” ได้แก่
Confidentiality, Integrity เเละ Availability หากเรื่องความมั่นคงปลอดภัยของข้อมูลยังปฏิบตั ิไม่ได้ คงไม่ตอ้ งพูดถึงเรื่อง
“Data Privacy” หรือความเป็ นส่วนตัวของข้อมูล เพราะในความหมายของ “Data Privacy” จะมีความหมายที่กว้างกว่า
“Data Protection” แต่ตอ้ งปฏิบตั ิเรื่อง “Data Protection” ให้ได้ก่อนเป็ นพืน้ ฐาน แล้วค่อยมาลงรายละเอียดต่อเรื่อง “Data
Privacy” ที่เป็ นเรื่องที่ตอ้ งทาเพิ่มเติม จึงไม่น่าแปลกใจที่องค์กรต้องปฏิบัติตาม ISO/IEC 27001:2013 ก่อน ถึงจะทา
ISO/IEC 27701:2019 ได้

รูปที่ 1: About Data Protection, Data Security and Data Privacy

Credit : Data Privacy Manager https://dataprivacymanager.net/

การป้องกันข้อมูลหรือ “Data Protection”ที่ถูกกาหนดไว้ทั้งในกฎหมาย PDPA และ GDPR เป็ นการผสมผสาน

กันของ 2 เรื่องสาคัญ ได้แก่ “Data Security” และ “Data Privacy” หมายถึง ต้องทาทัง้ “Security” และ “Privacy” (ดูรูปที่
1) โดย “Data Security” หรือการรักษาความมั่นคงปลอดภัยข้อมูลจะมุ่งเน้นไปที่ CIA Triad ดังที่กล่าวมาแล้ว เน้นไปที่
การป้องกันผูท้ ่ีไม่เกี่ยวข้องเข้าถึงข้อมูลได้โดยมิชอบ เริ่มตัง้ แต่การมีระบบ Access Control และ Network Security ที่ได้
มาตรฐาน การทา Two Factors Authentication (2FA) เป็ นส่วนหนึ่งของ Data Security การเข้ารหัสรหัสข้อมูลหรือ Data
Encryption รวมไปถึ ง การเตรี ย มการเรื่ อ ง Data Breach Response การเฝ้ า ระวัง ข้อ มูล รั่ว ไหลโดยมี ศู น ย์ Security
Operation Center (SOC) และทีมงาน Incident Response (IR) เป็ นต้น
สาหรับ “Data Privacy” จะเน้นไปที่กระบวนการในการรักษาความเป็ นส่วนตัวของข้อมูล การขอความยินยอมใน
การนาข้อมูลส่วนบุคคลไปใช้ได้เฉพาะผูท้ ่ีได้รบั อนุญาต การปฏิบัติตามกฎหมายการบริหารจัดการบุคคลที่ 3 ที่มีความ
เกี่ยวข้องกับข้อมูลส่วนบุคคล

รูปที่ 2 : Data Privacy <> Data Security

Credit : Data Privacy Manager https://dataprivacymanager.net/

ตัวอย่างที่ชัดเจนของความแตกต่างระหว่าง “Data Security” และ “Data Privacy” ได้แก่ การใช้งานฟรีอีเมล

โดยชื่อผูใ้ ช้และรหัสผ่าน อาจรวมถึงการใช้ 2FA เป็ นเรื่องของ “Data Security” แต่การที่ผใู้ ห้บริการฟรีอีเมล เช่น Hotmail
(Microsoft) หรือ Gmail (Google) จะนาข้อมูลของเราไปใช้ในการทาธุรกิจของเขา เป็ นเรื่องของ “Data Privacy” ที่เขาต้อง
ตกลงกับเราซึ่งเป็ นผูใ้ ช้บริการเสียก่อนว่าเราจะยินยอมให้เขานาข้อมูลของเราไปใช้หรือไม่ อีกทัง้ เขายังต้องจัดเก็บข้อมูล
ของเราให้มีความมั่นคงปลอดภัยซึ่งเป็ นส่วนหนึ่งของ “Data Security” อีกด้วย

ข้อมูลส่วนบุคคลรั่วไหลจากช่องทางไหนได้บ้าง ?
ในปั จจุบนั ปั ญหาข้อมูลส่วนบุคคลรั่วไหลกลายเป็ นปั ญหาระดับโลกที่แก้ไม่ตกและเกิดขึน้ อย่างมีนยั ยะ สาคัญ
ต่อเนื่อง มีแนวโน้มที่จะเพิ่มขึน้ ทุกวัน ไม่ว่าจะเกิดจากแฮกเกอร์ มิจฉาชีพ หรือพนักงานในองค์กรเอง แม้กระทั่งเกิดจาก
การที่ผใู้ ห้บริการ Cloud/Social Media ทาข้อมูลรั่วไหลเสียเองก็มีความเป็ นไปได้ทงั้ สิน้ ปั ญหาข้อมูลส่วนบุคคลรั่วไหลเป็ น
ปั ญหาที่เราต้องเปลี่ยน Mindset จาก “IF” เป็ น “WHEN” เนื่องจากข้อมูลส่วนบุคคลอาจรั่วไหลได้ผ่านทางช่องทางที่
หลากหลายไม่ว่าจะเป็ นอิเล็กทรอนิกส์เมล โปรแกรม Chat ยอดนิยมต่าง ๆ ไม่ว่าจะเป็ น LINE, WhatsApp, Facebook
Messenger การรั่ว ไหลผ่ า นทางเว็ บ ไซต์ และ Cloud Drive ต่ า ง ๆ ไม่ ว่ า จะเป็ น OneDrive, Google Drive, Dropbox
แม้กระทั่งการรั่วไหลจากเครื่อง PC, Notebook, Smartphone ไปจนถึงการรั่วไหลด้านกายภาพจากการถูกขโมยหรือสูญ
หาย
ดั ง นั้ น การเตรี ย มความพร้ อ มในเรื่ อ งปั ญ หาข้ อ มู ล ส่ ว นบุ ค คลรั่ ว ไหลทั้ ง ส่ ว นตั ว และองค์ก รจึ ง มี
ความสาคัญอย่างยิ่ง เนื่องจากความเสี่ยงและอุบัติการณ์ทข่ี ้อมูลส่วนบุคคลรั่วไหลสามารถเกิดขึน้ ได้กับทุกคน
ทุกองค์กร ทุกที่ และทุกเวลา ไม่ได้ขนึ้ กับขนาดของธุรกิจแต่อย่างใด

เมื่อข้อมูลส่วนบุคคลรั่วไหลเราควรทาอย่างไร?
จากหลากหลายช่องทางที่ขอ้ มูลส่วนตัวสามารถรั่วไหลได้ การป้องกันไม่ให้ขอ้ มูลส่วนตัวของเรารั่วไหลแบบ
100% จึงเป็ นไปได้ยากมาก ดังนัน้ เราควรมีการเตรียมการไว้ล่วงหน้า เช่น ไม่เก็บข้อมูลสาคัญไว้ใน Cloud Drive หรือทา
การเข้ารหัสข้อมูลและสาหรับสารองข้อมูลไว้ก่อนที่จะเกิดเหตุการณ์ไม่พึงประสงค์ เมื่อข้อมูลรั่วไหลจะได้ไม่เกิดผลกระทบ
กับ ตัว เรามากนัก และเมื่ อ ข้อ มูลได้ร่ ัว ไหลไปแล้ว ก็ ต ้อ งกลับ มาตั้ง สติ ป ฏิ บัติ ต ามขั้น ตอนที่ เ ราได้ท าการศึก ษาและ
เตรียมการไว้ล่วงหน้าในการกูข้ อ้ มูลกับคืนมาใช้งานได้ตามปกติ

เมื่อข้อมูลส่วนบุคคลรั่วไหล องค์กรควรทาอย่างไร?
การเตรียมการเรื่อง “Breach Response” เป็ นส่วนหนึ่งในหน้าที่ของผูค้ วบคุมข้อมูลส่วนบุคคล
• ต้องปฏิบตั ิตามกฎหมายเมื่อมีเหตุการณ์ไม่พึงประสงค์เกิดขึน้ กับข้อมูลที่มีความเสี่ยง
• ต้องรีบแจ้งให้กับสานักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบุคคลให้ทราบภายใน 72 ชั่วโมง ตาม
มาตรา 37 (4) และข้อมูลที่มีความเสี่ยงสูงต้องแจ้งกับเจ้าของข้อมูลส่วนบุคคลโดยไม่ชกั ช้าอีกด้วย
• การแต่ ง ตั้ง โฆษกประจ าองค์ก รที่ มี ห น้า ที่ ชี ้แ จงกั บ นั ก ข่ า วก็ เ ป็ น เรื่ อ งส าคั ญ ในการท า “Crisis
Management” เพื่อไม่ให้เกิดผลกระทบต่อชื่อเสียงและภาพลักษณ์ขององค์กร
• การเตรียมการก่อนการเกิดเหตุการณ์ไม่พึงประสงค์กบั ข้อมูลส่วนบุคคล ก็เป็ นเรื่องสาคัญไม่ว่าจะเป็ น
การทา “Data Pseudonymization” หรือ “Data Encryption” ก็เป็ นเรื่องที่องค์กรควรจัดเตรียมการให้
พร้อมต่อการถูกโจมตีโดยผูไ้ ม่หวังดีท่อี าจเกิดขึน้ ได้ทกุ เวลา

การทาความเข้าใจกับคาศัพท์พนื้ ฐานทีเ่ กี่ยวข้องกับ PDPA

• ความแตกต่างของ Data Controller และ Data Processor
 ผู้ค วบคุม ข้อ มูล ส่ ว นบุค คล หรื อ Data Controller เป็ น ผู้มี ห น้า ที่ รับ ผิ ด ชอบสูง สุด ในการปฏิ บัติ ต าม PDPA
เนื่องจากผูค้ วบคุมข้อมูลส่วนบุคคล มีอานาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิ ดเผยข้อมูลส่วนบุคคล
นับเป็ นผูร้ บั ผิดชอบหลักเวลาเกิดคดีความเกี่ยวกับ PDPA ซึ่งอาจเป็ นบุคคลหรือนิติบคุ คลก็ได้ แต่จะไม่ใช่การกาหนดให้
พนักงานในองค์กรคนใดคนหนึ่งหรือเจ้าหน้าที่ของบริษัทมาเป็ นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ถูกต้องตาม
หลักการ รวมไปถึงผูป้ ระมวลผลข้อมูลส่วนบุคคลหรือ Data Processor นับเป็ นผูท้ ่รี บั ผิดชอบรองลงมาจากผูค้ วบคุมข้อมูล
ส่วนบุคคล โดยทาหน้าที่เก็บรวบรวม ใช้ หรือเปิ ดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผูค้ วบคุมข้อมูลส่วน
บุคคล ทัง้ นี ้ บุคคลหรือนิติบคุ คลซึ่งดาเนินการดังกล่าวไม่เป็ นผูค้ วบคุมข้อมูลส่วนบุคคล ผูป้ ระมวลผลข้อมูลส่วนบุคคลจึง
จัดได้ว่าเป็ นผูร้ บั ผิดชอบรองมาจากผูค้ วบคุมข้อมูลส่วนบุคคล
ดังนั้นการตรวจสอบสัญญาทางกฎหมายระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูล
ส่วนบุคคลจึงมีความสาคัญมาก จาเป็ นต้องมีการทบทวนให้ถูกต้องชัดเจนให้เข้าใจตรงกันทัง้ 2 ฝ่ าย
• ความแตกต่างของ Privacy Policy และ Privacy Notice
Privacy Policy คือ นโยบายการคุม้ ครองข้อมูลส่วนบุคคลที่องค์กรควรกาหนดให้มี แต่กฎหมายไม่ได้กาหนดให้
จัดทาขึน้ แต่ควรทา เพื่อเป็ นประโยชน์ในการบริหารจัดการข้อมูลขององค์กรเอง เป็ นเอกสารที่สื่อสารถึงบุคลากรในองค์กร
โดยมีขอบเขตเป็ นนโยบายและแนวปฏิบตั ิขององค์กรในการคุม้ ครองข้อมูลส่วนบุคคล กาหนดทิศทางในการเก็บรวบรวมไว้
หรือเปิ ดเผยข้อมูลรายบุคคลเพื่อให้สอดคล้องกับหลักการและเงื่อนไขตามกฎหมายคุม้ ครองข้อมูลส่วนบุคคล
สาหรับ “Privacy Notice” คือ ประกาศความเป็ นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลให้รบั ทราบเกี่ยวกับวิธีในการ
เก็บรวบรวมไว้หรือเปิ ดเผยข้อมูลส่วนบุคคล โดยกฎหมายกาหนดให้ผคู้ วบคุมข้อมูลส่วนบุคคลมีหน้าที่ตอ้ งเเจ้งให้เจ้าของ
ข้อมูลทราบถึงรายละเอียดจัดเก็บรวบรวมข้อมูลตามมาตรา 23 PDPA โดย Privacy Policy อาจครอบคลุม Privacy
Notice ก็ได้โดยพิจารณาจากเนือ้ หาภายใน หากครบถ้วนตามที่กฎหมายกาหนดก็จะถือว่ามีการแจ้งวัตถุประสงค์ตาม
มาตรา 23 PDPA แล้ว

ทาความเข้าใจในบทบาทหน้าทีข่ อง DPO
หลายคนอาจสงสัย ว่ า อาชี พ ใหม่ ท่ี ก าลัง มาแรงในขณะนี ้ ได้แ ก่ อาชี พ “เจ้า หน้า ที่ คุ้ม ครองข้อ มูล ” หรื อ Data
Protection Officer มีหน้าที่ตามมาตรา 42 พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคล อย่างไร ?
หน้าทีห่ ลักของ DPO มี 4 ข้อดังนี้
1. ให้คาแนะนาแก่ผคู้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการปฏิบตั ิตาม
พ.ร.บ. คุม้ ครองข้อมูลส่วนบุคคล
2. ประสานงานและให้ความร่วมมือกับสานักงาน ในกรณีท่ีมีปัญหาเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือ
เปิ ดเผยข้อมูลส่วนบุคคลของผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลผลข้อมูลส่วนบุคคล
3. ตรวจสอบการดาเนินงานของผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
4. รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรูห้ รือได้มาจากการปฏิบตั ิหน้าที่ DPO
การปฏิบตั ิหน้าที่ DPO สามารถเป็ นได้ทงั้ พนักงานของผูค้ วบคุมข้อมูลส่ วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
อีกทัง้ ยังสามารถ Outsource ให้บริษัทที่ให้บริการ DPO ภายนอกสามารถปฏิบตั ิหน้าที่ DPO ได้เช่นกัน โดยเป็ นผูร้ บั จ้าง
ให้บริการตามสัญญากับผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
แนวทางจั ด ท าบั น ทึ ก รายการกิ จ กรรมการประมวลผลข้ อ มู ล ส่ ว นบุ ค คล ROPA (Records of Processing
Activities)
เราได้ยินคาว่า “ROPA” กันบ่อยครัง้ ในช่วงหลายเดือนที่ ผ่านมาว่าเป็ นเรื่ องที่ องค์กรต้องปฏิบัติตาม PDPA
มาตรา 39 โดย ROPA ย่อมาจาก Records of Processing Activities หมายถึง การบันทึกกิจกรรมการประมวลผลของ
องค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยจะต้องอยู่ในรูปแบบข้อความที่เป็ นลายลักษณ์อกั ษรหรืออิเล็กทรอนิกส์
ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทาและเก็บรัก ษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
ประกอบด้วยประเภทกิจกรรมโดยมีรายละเอียดดังต่อไปนี ้
1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3. ข้อมูลที่เกี่ยวกับผูค้ วบคุมข้อมูลส่วนบุคคล
4. ระยะเวลาในการเก็บรักษาและการลบข้อมูลส่วนบุคคล
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล
6. การใช้หรือเปิ ดเผยข้อมูลที่ได้รบั การยกเว้นไม่ตอ้ งขอความยินยอม
7. การปฏิเสธคาขอหรือการคัดค้าน
8. อธิบายเกี่ยวกับมาตรการในการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
โดย ROPA ต้องทาให้สามารถเข้าถึงได้ง่าย และเมื่อมีการร้องขอ ผูค้ วบคุมข้อมูลส่วนบุคคลต้องสามารถแสดง
ให้เจ้าของข้อมูลส่วนบุคคลและสานักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้

Checklist โค้งสุดท้าย PDPA

5 ข้อควรปฏิบัติสาหรับพนักงาน/ประชาชน
1. เวลาอ่านและศึกษา พ.ร.บ. คุม้ ครองข้อมูลส่วนบุคคล เพื่อให้เข้าใจในคาศัพท์และ Terminology ต่าง ๆ ที่
เกี่ยวกับ PDPA
2. ฝึ กอบรมหาความรูด้ ว้ ยตนเองหรือเข้าฟั งสัมมนาที่องค์กรจัดให้เพื่อทาความเข้าใจ PDPA มากขึน้
3. รับรูส้ ิทธิของตนเองที่สามารถขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายได้ หลังจากวันที่กฎหมาย
มีผลบังคับใช้
4. ควรพิ จ ารณาให้ถี่ ถ้ว นเวลาที่ ต ้อ งให้ค วามยิ น ยอมกั บ Mobile/Web Application หรื อ หน่ ว ยงานที่ เ รา
จาเป็ นต้องให้ขอ้ มูลส่วนบุคคลว่าเราควรยินยอมหรือไม่ยินยอมให้ขอ้ มูลส่วนบุคคล เพื่อไม่ให้เกิดผลกระทบ
ในภายหลัง
 5. สละเวลาตั้ง ค่าความมั่นคงปลอดภัยต่าง ๆ ใน Mobile/Web Application ที่ เ ราใช้งานอยู่ ไม่ ว่ าจะเป็ น
Social Media, Free Email หรือ Mobile Banking และ Online Shopping ต่าง ๆ เพื่อป้องกันไม่ให้เกิดการ
รั่วไหลของข้อมูลส่วนบุคคล

11 ข้อควรปฏิบัติสาหรับองค์กร2
1. แต่งตัง้ เจ้าหน้าที่คมุ้ ครองข้อมูลส่วนบุคคล DPO ให้เป็ นไปตามมาตรา 41 PDPA
2. จัดทาประกาศความเป็ นส่วนตัว (Privacy Notice) ให้เป็ นไปตามมาตรา 23 PDPA
3. จัดทาบันทึกรายการกิจกรรมการประมวลผล (ROPA) ให้เป็ นไปตามมาตรา 39 PDPA (ในกรณีท่ีเข้าข่าย
ต้องปฏิบตั ิตาม PDPA)
4. จัด ท าแบบขอความยิ นยอมในกรณี ท่ีมี ความจาเป็ น ต้องใช้ (Consent Form) ให้เ ป็ น ไปตามมาตรา 19
PDPA
5. จัด ท าข้อ ตกลงการประมวลผลในกรณี ท่ี มี ก ารจ้า งผู้ป ระมวลผลข้อ มูล ส่ ว นบุค คล (Data Processing
Agreement) ให้เป็ นไปตามมาตรา 40 PDPA
6. ควรจัดตัง้ คณะทางาน PDPA ภายในองค์กร
7. การสารวจข้อมูลภายในองค์กรและจัดทาผังวงจรชีวิตข้อมูลส่วนบุคคล (Data Inventory)
8. ควรจัดทานโยบายและแนวทางปฏิบัติ ขององค์กรในเรื่องการคุม้ ครองข้อมูลส่วนบุคคล (Privacy Policy
and Code of Practices)
9. ในกรณีท่ีมีการแบ่งปั นหรือแลกเปลี่ยนข้อมูลระหว่างองค์กร ควรจัดทาข้อตกลงการแลกเปลี่ยนข้อมูลส่วน
บุคคล (Data Sharing Agreement)
10. ควรสร้างความตระหนักรูแ้ ละฝึ กอบรมเรื่องการคุม้ ครองข้อมูลส่วนบุคคลให้แก่พนักงานและผูบ้ ริหารองค์กร
(Capacity Building and Awareness Raising)
11. ควรกากับดูแลและตรวจสอบอย่างสม่าเสมอ (Audit and Compliance)

สิ่งทีอ่ งค์กรไม่ควรทาในการปฏิบัติตาม PDPA

การจัดซือ้ จัดจ้างเครื่องมือหรือ Software สาเร็จรู ปมาใช้งานในองค์กรเพื่อให้ผ่านเส้นตายการบังคับใช้ PDPA
เป็ นสิ่งที่ผบู้ ริหารองค์กรหลายท่านเข้าใจผิดว่า เมื่อซือ้ หรือเช่าใช้ Software มาแล้วจะทาให้ผ่าน PDPA ซึ่งความเป็ นจริง
การลงทุนซือ้ ระบบโดยยังไม่ได้ทาความเข้าใจอย่างถ่องแท้กบั ตัวบทกฎหมายและยังไม่มีกระบวนการปฏิบตั ิท่ีดีรองรับ ไม่
สามารถทาให้เกิดความสาเร็จตามที่ตงั้ ใจไว้ได้ เพราะลาพัง Tool หรือ Software ไม่สามารถทาให้องค์กรผ่าน PDPAได้
จาเป็ นต้องปฏิบตั ิตาม 11 ข้อดังที่ได้กล่าวไว้ในตอนต้นเสียก่อน แล้วค่อยพิจารณาจัดซือ้ หรือเช่าใช้ Software เพื่อทา Data
Inventory และ ROPA รวมถึงเรื่องการประมวลผล DSRs (Data Subject Requests) ไปจนถึงการบริหารจัดการ Cookies
ในเว็บไซต์ขององค์กรแบบอัตโนมัติ ซึ่งเป็ นเพียงส่วนหนึ่งในการปฏิบตั ิตาม PDPA

ข้อคิดเกี่ยวกับการปฏิบัติตาม PDPA ประโยชน์แฝงทีอ่ งค์กรอาจมองไม่เห็น

2 อ้างอิง : ประกาศจาก Facebook สานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 Credit ภาพการ์ตนู By Chris Slane, @slanecartoon

ปั จจุบนั และอนาคตความเสี่ยงทางด้านภาพลักษณ์และชื่อเสียง (Reputational Risk) จัดเป็ นความเสี่ยงที่สงู สุด

ของบุคคลและองค์กร เมื่อเสียชื่อเสียงไปแล้วต้องใช้เวลานานกว่าที่จะสามารถกูก้ ลับคืนมาได้ เพราะเรื่องราวที่เราไม่พึง
ประสงค์จะให้เกิดขึน้ อาจจะอยู่ในข่าวหรือความทรงจาเป็ น Digital footprints ไปอีกนานเท่านาน
ดังนัน้ การให้ความสาคัญเรื่องการปฏิบตั ิตาม PDPA จึงเป็ นเรื่องสาคัญที่ก่อให้เกิดประโยชน์อย่างมากต่อองค์กร
ในระยะยาว เพราะเรื่องความไว้เนือ้ เชื่อใจ (Trust) ของลูกค้าและพนักงานเป็ นเรื่องสาคัญขององค์กรในศตวรรษที่ 21 การ
ใช้งบประมาณทัง้ ด้านปรึกษา ค่าฝึ กอบรม ค่าซอฟต์แวร์ต่าง ๆ รวมถึงค่าใช้จ่ายในการทา DPO Outsourcing อาจจะมอง
เป็ นค่าใช้จ่ายขององค์กร แต่จริง ๆ แล้วเป็ นการลงทุนที่จะปกป้องข้อมูลส่วนบุคคลของลูกค้าและพนักงานตลอดจนการ
รักษาชื่อเสียงและภาพลักษณ์ขององค์กรไว้ว่าจะเป็ นการรักษา Brand Loyalty และ Trust ไปจนถึงราคาหุน้ หรือผลกาไร
ของบริษัท ส่งผลให้เกิดประโยชน์ต่อองค์กรในระยะยาว

จึงเห็นควรให้เจ้าของกิจการหรือผู้บริหารระดับสูงขององค์กรควรให้การสนับสนุ น การปฏิบัติตาม
PDPA ทัง้ นีเ้ พื่อความยั่งยืน (Sustainability) ขององค์กรในระยะยาวต่อไป
+++++++++++++++++++++++++++++++++++