พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล Archives

PDPA ทางเลือกทางรอด ไปต่อได้หรือไม่ | ศุภวัชร์ มาลานนท์

บทความน่าสนใจBy Admin S.10 22 April 2022

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันติดปากว่า PDPA จะมีผลใช้บังคับทั้งฉบับ 1 มิถุนายนนี้ แต่ก็ดูเหมือนจะมีเสียงสะท้อนมาจากภาคอุตสาหกรรมถึงความไม่พร้อมหลายๆ ประการ รวมถึงข้อกังวลที่กฎหมายลำดับรองต่าง ๆ ยังไม่ออกมาใช้บังคับอีกด้วย ซึ่งก็เป็นเสียงสะท้อนที่ผู้เกี่ยวข้องทุกฝ่ายให้ความสำคัญและควรพิจารณาอย่างรอบด้าน ผู้เขียนในฐานะนักวิชาการจึงขอแสดงความคิดเห็นเพื่อหาทางออกร่วมกัน ดังนี้ (1) PDPA เป็นส่วนหนึ่งของกฎหมายที่เป็นระเบียบใหม่ของโลก การคุ้มครองข้อมูลส่วนบุคคลหรือการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลตามมาตรฐานสากล เป็นประเด็นที่จะถูกนำมาเป็นข้อกำหนดและเงื่อนไขเพื่อกีดกันทางการค้าได้ในอนาคต การใช้บังคับของกฎหมายที่เป็นไปตามมาตรฐานสากล ๆฟจะช่วยส่งเสริมศักยภาพการแข่งขันของประเทศไทยในภาพรวม หนึ่งในมาตรฐานสูงสุด ณ ขณะนี้ได้แก่ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่เป็นต้นแบบสำคัญของ PDPA ของไทย ดังนั้น การมีสภาพบังคับของ PDPA จึงเป็นหลักฐานเชิงประจักษ์ในแง่ของการมีกฎหมายที่เป็นไปตามมาตรฐานสากล (2) GDPR ใช้บังคับในเขตเศรษฐกิจยุโรปและสหภาพยุโรปรวม 30 ประเทศ หากรวมกับ UK GDPR ด้วย (แม้ว่าจะ Brexit แล้วแต่ยังใช้กฎหมายที่เป็นฉบับเดียวกับ GDPR ในเชิงเนื้อหา) จะรวมเป็น 31 ประเทศที่ใช้กฎหมายฉบับเดียวกัน GDPR จึงกลายเป็นกฎหมายที่ทรงอิทธิพลที่สุดในโลก ณ…

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแก้ไขของญี่ปุ่น

บทความน่าสนใจBy Admin S.10 17 April 2022

โลกในยุคปัจจุบันมีการแข่งขันทางการค้าสูง การเข้าถึงและครอบครองข้อมูลส่วนบุคคลจึงมีความสำคัญเพราะสามารถนำไปใช้ประโยชน์เพื่อให้เกิดความได้เปรียบเชิงธุรกิจได้ แต่ในขณะเดียวกัน การดำเนินการดังกล่าวโดยปราศจากการควบคุมย่อมก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ ดังนั้นแล้ว การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญยิ่ง ประเทศไทยได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ขึ้นมาโดยมีวัตถุประสงค์เพื่อสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ เนื่องจากในปัจจุบันเราจะพบปัญหาการละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น โดยเฉพาะการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์ หรือเปิดเผยโดยมิชอบ หรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอันส่งผลให้เกิดความเสียหายกับบุคคลจำนวนมาก กฎหมายดังกล่าวจะมีกำหนดบังคับใช้ทั้งฉบับในวันที่ 1 มิถุนายน พ.ศ.2565 อันส่งผลให้ผู้ประกอบการต่างๆ รวมถึงหน่วยงานของรัฐต้องปรับตัวและเตรียมความพร้อมเพื่อปฏิบัติตามกฎหมายฉบับนี้ สำหรับผู้ประกอบการที่มีคู่ค้าเป็นชาวต่างชาติ นอกจากจะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยแล้ว ก็จำต้องศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าด้วย เพื่อจะได้ไม่เกิดกรณีการทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ ประเทศญี่ปุ่นเป็นหนึ่งในประเทศที่เป็นคู่ค้าสำคัญของผู้ประกอบการไทย และเป็นหนึ่งในประเทศแรก ๆ ของเอเชียที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ญี่ปุ่นได้ตรากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (個人情報保護法 – Act on Protection of Personal Information – APPI) มาตั้งแต่ปี พ.ศ.2546 และมีผลบังคับใช้กับผู้ประกอบการทั้งหมด ที่เสนอขายสินค้าและบริการที่มีการดำเนินการกับข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในญี่ปุ่น ไม่ว่าจะมีที่ตั้งอยู่ในญี่ปุ่นหรือไม่ก็ตาม และหลังจากที่ได้มีการบังคับใช้ ก็ได้มีการตรากฎระเบียบอื่น…

‘เธียรชัย’ ยัน ‘1 มิ.ย.’ ไทยบังคับใช้ ‘ก.ม. PDPA’

บทความน่าสนใจBy Admin S.10 16 April 2022

ประธาน คกก.คุ้มครองส่วนบุคคล ยัน 1 มิ.ย.ไทยจะประกาศใช้กฎหมาย PDPA เป็นประเทศที่ 3 ของอาเซียน ดึงงานวิจัยจุฬาเป็นวิธีการปฎิบัติ ไม่มีบทลงโทษทางกฎหมาย สร้างการรับรู้ให้องค์กรเตรียมตัว ย้ำประกาศล่าช้าตัดโอกาสประเทศ ยกระดับดูแลข้อมูลส่วนบุคคลองค์กรไทยสู่มาตรฐานสากล นายเธียรชัย ณ นคร ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยกับ “กรุงเทพธุรกิจ” และสื่อในเครือเนชั่น ว่า ขณะนี้เป็นที่แน่ชัดแล้วว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยไม่เลื่อนการบังคับใช้ ตามที่คณะกรรมการร่วมภาคเอกชน 3 สถาบัน (กกร.) เสนอ เนื่องจากขณะนี้มีการแต่งตั้ง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ขึ้นมาเป็นที่เรียบร้อยแล้ว เมื่อเดือนมกราคมที่ผ่านมา ขณะเดียวกัน ยังมองว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิพื้นฐาน และจะกลายระเบียบใหม่ของโลก ที่ขณะนี้มีประเทศในกลุ่มอียู และกลุ่มประเทศที่ไม่ใช่อียู 50 ประเทศ การบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล หากไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่มีมาตรฐานไม่น้อยกว่า…

การเก็บสำเนาบัตรประชาชนเพื่อการยืนยันตัวตน

บทความน่าสนใจBy Admin S.10 13 April 2022

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องปฏิบัติเมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล และเป็นกฎหมายที่กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ อาทิ สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลตามมาตรา 30 (Right of access) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลตามมาตรา 31 (Right to data portability) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 32 (Right to object) สิทธิในการขอให้ลบข้อมูลส่วนบุคคลตามมาตรา 33 (Right to erasure) สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 34 (Right to restriction of processing) และสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตามมาตรา 36 (Right to rectification) การดำเนินการตามคำร้องขอใช้สิทธิในบริบทของการบริหารจัดการมีประเด็นสำคัญหลายประการที่องค์กรต่าง ๆ อาจจะต้องเตรียมความพร้อมก่อนที่กฎหมายจะใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565 อาทิ ช่องทางการรับคำร้อง การตรวจสอบยืนยันตัวตน การค้นหาข้อมูลที่เกี่ยวข้องกับคำร้อง…

การเริ่มนับระยะเวลา แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล | ศุภวัชร์ มาลานนท์

บทความน่าสนใจBy Admin S.10 13 March 2022

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) กำหนดให้องค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้” หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยเฉพาะการเริ่มนับระยะเวลา 72 ชั่วโมงว่าเริ่มเมื่อไหร่ เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายกำหนด ถ้อยคำหนึ่งในมาตรา 37(4) ที่เป็นจุดเริ่มต้นสำคัญของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ซึ่งต้องทำความเข้าใจทั้งข้อเท็จจริงและข้อกฎหมายประกอบกัน เพื่อทำความเข้าใจจุดเริ่มต้นการนับระยะเวลาดังกล่าวมากขึ้น ผู้เขียนขอนำกรณีศึกษาตาม WP29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (GDPR) มาเพื่อใช้ประกอบการพิจารณา ดังนี้ WP29 ให้ข้อแนะนำว่าตาม GDPR “นับแต่ทราบเหตุ” ให้เริ่มต้นเมื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีความแน่ใจในว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด…

CCTV ใช้อย่างไร ไม่ให้ผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

บทความน่าสนใจBy Admin S.10 6 December 2021

กล้อง CCTV หรือกล้องวงจรปิดที่ใช้อย่างแพร่หลาย ย่อมส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลอย่างหลีกเลี่ยงไม่ได้ การใช้กล้อง CCTV (Closed-circuit television) หรือกล้องวงจรปิด เพื่อรักษาความปลอดภัยและป้องกันอาชญากรรม แต่ส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลอย่างหลีกเลี่ยงไม่ได้ เนื่องจากข้อมูลที่ถูกบันทึกไว้นั้นเป็นข้อมูลส่วนบุคคลของผู้ถูกบันทึกภาพ ดังนี้ ผู้ใช้กล้อง CCTV จึงมีความจำเป็นต้องทำความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ) เพื่อจัดการให้การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล (การประมวลผลข้อมูลส่วนบุคคล) เป็นไปโดยชอบด้วยกฎหมาย ในบทความนี้ ผู้เขียนแบ่งการใช้กล้อง CCTV เป็น 2 กรณี โดยแยกตามวัตถุประสงค์ของการใช้ ดังนี้ กรณีที่ 1 การใช้กล้อง CCTV เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัว ในกรณีการใช้กล้อง CCTV เพื่อรักษาความปลอดภัยของบ้านเรือนและสมาชิกในครอบครัวนั้น แม้ว่าข้อมูลที่ถูกเก็บรวบรวมจะเป็นข้อมูลส่วนบุคคลก็ตาม แต่ก็เป็นข้อยกเว้นที่ไม่อยู่ภายใต้บังคับของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ตามที่มาตรา 4(1) บัญญัติว่าพระราชบัญญัตินี้ไม่ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น กล่าวคือ ผู้ใช้กล้อง CCTV เพื่อวัตถุประสงค์ดังกล่าวสามารถประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องพิจารณาถึงฐานในการประมวลผลตามกฎหมายแต่อย่างใด อย่างไรก็ตาม การใช้กล้อง…

Tag Archives: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล