Q1: อะไรจะเกิดขึ้นหลังจากพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลอย่างเป็นทางการ

ผลกระทบต่อเจ้าของข้อมูล
เจ้าของข้อมูล ซึ่งหมายถึงบุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลซึ่งภาคธุรกิจประมวลผลมีสิทธิควบคุมการประมวลผลข้อมูลดังกล่าวได้มากขึ้น และมีสิทธิเรียกร้องหากพบกรณีที่ภาคธุรกิจทำให้ตนเองได้รับความเสียหายได้ด้วยบทลงโทษที่หนักขึ้น ดังนี้‍
     - มีสิทธิขอเข้าถึงขอสำเนา ขอให้มีการโอนถ่ายข้อมูล ขอคัดค้านและระงับการประมวลผลข้อมูล ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลหรือสิทธิในการเลือกให้หรือถอนความยินยอมอย่างอิสระ
     - กรณีได้รับความเสียหาย สามารถฟ้องได้ทั้งทางแพ่ง ทางอาญา และทางปกครอง


ผลกระทบต่อภาคธุรกิจ
ภาคธุรกิจ ในฐานะผู้ควบคุมข้อมูลยังสามารถประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินธุรกิจของตนได้เช่นเดิม แต่ต้องใช้ความระมัดระวัง และมีกรอบที่ต้องปฏิบัติตามที่ชัดเจนมากขึ้น ดังนี้

     - ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคล เพียงเท่าที่จำเป็น

     - การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย
      ปฏิบัติหน้าที่ตามสัญญา สิทธิอันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอม ต้องได้รับความยินยอมก่อน

     - ต้องอธิบาย และแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ 

     - ต้องรับประกันความมั่นคงปลอดภัยของข้อมูล

Q2: พรบ.​ มีผลบังคับย้อนหลังไปบังคับกับข้อมูลที่ได้มาก่อน 27 พ.ค. หรือไม่

โดยหลักกฎหมายที่ออกใหม่จะ "ไม่มีผลย้อนหลังเป็นโทษ" ดังนั้น พรบ. คุ้มครองข้อมูลส่วนบุคคล จะไม่มีผลกลับไปบังคับโทษสำหรับการประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการมาก่อน 27 พ.ค. แม้จะเป็นประมวลผลไม่ถูกต้องสอดคล้องกับพรบ. ก็ตาม

สำหรับข้อมูลที่เก็บรวบรวมไว้ตั้งแต่ก่อน 27 พ.ค. พรบ. กำหนดหลักเกณฑ์ที่ผู้ควบคุมข้อมูล ต้องดำเนินการกับข้อมูลส่วนบุคคลดังกล่าวภายใต้แนวทางดังนี้
‍
     - หากเป็นการประมวลผลข้อมูลด้วยฐานอันชอบด้วยกฎหมายอื่น ที่ไม่ใช่ฐานการขอความยินยอม ผู้ควบคุมข้อมูลสามารถประมวลผล
      ข้อมูลด้วยวัตถุประสงค์เดิมได้อยู่ แต่ต้องแจ้งให้เจ้าของข้อมูล ทราบเกี่ยวกับการประมวลผลข้อมูลดังกล่าว เช่น การทำ Privacy
      Notice และส่ง E-mail ไปแจ้ง
     - หากเป็นการประมวลผลข้อมูลด้วยฐานความยินยอม ผู้ควบคุมข้อมูลต้องตรวจสอบว่า เจ้าของข้อมูลเคยให้ความยินยอมในการ
      ประมวลผลข้อมูลแก่ผู้ควบคุมข้อมูลในลักษณะใดไว้หรือไม่
           หากเคย ผู้ควบคุมข้อมูลต้องแจ้งการให้ความยินยอมที่ผ่านมาให้เจ้าของข้อมูลทราบ และให้สิทธิเจ้าของข้อมูลในการถอนความ
                   ยินยอมได้ (Opt-Out)
          หากไม่เคย ผู้ควบคุมข้อมูลต้องขอความยินยอมในการประมวลผลข้อมูลดังกล่าวจากเจ้าของข้อมูลเป็นการเฉพาะภายใต้พรบ.
                   จึงจะสามารถประมวลผลข้อมูลดังกล่าวได้ (Opt-In)

Q3: บทกำหนดโทษก่อน-หลังพรบ. ต่างกันอย่างไร

     ก่อนมีพรบ. ในกรณีที่เจ้าของข้อมูลได้รับความเสียหายอันเกี่ยวเนื่องจากการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถฟ้องร้องผู้กระทำผิดดังกล่าวซึ่งหมายถึง ตัวบุคคล หรือนิติบุคคลใดหนึ่งที่เป็นผู้กระทำการดังกล่าวได้โดยตรง โดยการดำเนินคดีเป็น 2 ลักษณะ คือ ฟ้องคดีแพ่งและฟ้องคดีอาญา 

     หลังมีพรบ. เจ้าของข้อมูลที่ได้รับความเสียหายจะได้รับประโยชน์ความคุ้มครองในการเรียกร้องสิทธิมากขึ้น ด้วยการดำเนินคดีเป็น 3 ลักษณะ โดยเป็นการดำเนินคดีกับองค์กรผู้ควบคุมข้อมูลทั้งองค์กร ไม่ใช่เพียงบุคคลใดบุคคลหนึ่งที่กระทำผิด คือ

Q4: Privacy Notice vs Terms of Services

ทุกครั้งที่สมัครบัญชีผู้ใช้งาน หรือสมัครสมาชิก รวมถึงใช้บริการทางออนไลน์ผ่านหน้าเว็บไซต์ หรือ Application ต่างๆ ในตอนท้ายก่อนทำรายการ จะมีกล่องข้อความให้กดยินยอมเอกสาร 2 ฉบับอยู่ เสมอ คือ “เงื่อนไขการให้บริการ” (Terms of Services) และ “นโยบายข้อมูลส่วนบุคคล” (Privacy Notice) เอกสารทั้งสองฉบับถูกสร้างขึ้นด้วยจุดประสงค์ที่แตกต่างกัน แต่ต้องใช้คู่กัน ‍

     Terms of Services เป็นเอกสารที่อธิบายถึงขอบเขตการให้บริการ ที่ภาคธุรกิจให้แก่ผู้ใช้บริการ เงื่อนไขข้อจำกัดความรับผิดต่างๆของผู้ให้บริการดังกล่าว รวมถึง การกำหนดข้อห้ามในการใช้บริการไว้ สำหรับเอกสารนี้กฎหมายไม่ได้กำหนดให้ต้องทำและไม่มีแบบ

     Privacy Notice เป็นเอกสารที่ภาคธุรกิจ ในฐานะ ผู้ควบคุมข้อมูล มีหน้าที่ต้องแจ้งให้ผู้ใช้บริการ ในฐานะเจ้าของข้อมูล ได้ทราบเกี่ยวกับการประมวลผลข้อมูลที่จะดำเนินการ โดย พรบ. กำหนดเป็นหน้าที่ที่ต้องทำ และกำหนดหัวข้อที่ต้องเขียนในเอกสารไว้


ความเชื่อมโยงระหว่าง 2 เอกสารคือ "Terms of Services" เป็นเอกสารที่บอกถึงการให้บริการซึ่งแสดงหน้าที่ตามสัญญาที่ผู้ควบคุมข้อมูลต้องให้แก่เจ้าของข้อมูล ซึ่งหากผู้ควบคุมข้อมูลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลส่วนใด เพื่อการปฏิบัติหน้าที่ตามที่ระบุไว้ใน Terms of Services ย่อมเป็นกรณีที่ผู้ควบคุมมีสิทธิประมวลข้อมูลดังกล่าวได้ด้วยฐานการปฏิบัติหน้าที่ตามสัญญา ซึ่งถือเป็นฐานการประมวลผลที่ พรบ. อนุญาตรองรับ และผู้ควบคุมข้อมูลมีเพียงหน้าที่แจ้งการ ประมวลผลดังกล่าวลงใน "Privacy Notice" เท่านั้น ไม่ต้องขอ Consent

Q 5 : รูปแบบการขอความยินยอมที่ถูกต้อง ต้องเป็นอย่างไร

กรณีการประมวลผลข้อมูลส่วนบุคคลด้วยฐานความยินยอม ผู้ควบคุมข้อมูลต้องขอความยินยอม จากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลดังกล่าว โดยต้องดำเนินการ ดังนี้

จะเห็นได้ว่า พรบ. คุ้มครองข้อมูลส่วนบุลคล (PDPA) ฉบับใหม่นี้ได้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งสามารถปฏิเสธการให้ข้อมูลได้ รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง 

ในตอนต่อไปเราจะพูดถึง พรบ. คุ้มครองข้อมูลส่วนบุคคล ที่ใกล้ตัวเรามากขึ้น เช่น การขอใช้สิทธิ์ของเจ้าของข้อมูลเพื่อลบข้อมูลจะต้องลบทุกกรณีหรือไม่? การลงนามในสัญญารักษาความลับ (Non Disclosure Agreement : NDA) เพียงพอแล้วหรือยัง? หรือ Cookies Policy ในการเข้าเว็บไซต์ต่าง ๆ ของเราในแต่ละครั้งสำคัญอย่างไร?

Q6: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือใคร และในองค์กรจำเป็นต้องมีการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเสมอไปหรือไม่

พรบ. ไม่ได้กำหนดให้ทุกองค์กรต้องมี DPO เว้นแต่เป็นองค์กรที่มีลักษณะตามที่ระบุไว้ซึ่งหากเข้าเกณฑ์ องค์กรมีหน้าที่ต้องตั้ง DPO หากไม่ตั้งอาจโดนโทษปกครองไม่เกิน 1,000,000 บาท ทั้งนี้ การไม่ตั้ง DPO ไม่มีผลลงโทษทางแพ่งหรืออาญา 

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดเกณฑ์ขององค์กรที่ต้องตั้ง DPO เบื้องต้น ได้แก่

    - ผู้ควบคุมข้อมูล หรือประมวลผลข้อมูลที่จำเป็นต้องประมวลผลข้อมูลส่วนบุคคลจำนวนมาก 
    - ผู้ควบคุมข้อมูล หรือประมวลผข้อมูลที่มีกิจกรรมหลักประมวลผลข้อมูลส่วนบุคคลอ่อนไหว

หากเป็นองค์กรที่ไม่ได้ประมวลผลข้อมูลจำนวนมหาศาล โดยเฉพาะข้อมูลส่วนบุคคลอ่อนไหว อาจไม่มีหน้าที่ตาม พรบ. ที่ต้องแต่งตั้ง DPO เป็นการเฉพาะ 

อย่างไรก็ตาม ไม่ว่ากรณีใดในทุกองค์กรควรจัดให้มีหน่วยงานรับผิดชอบเพื่อให้คำแนะนำและ ตรวจสอบการดำเนินงานตาม พรบ. ไว้เสมอ โดยอาจไม่จำเป็นต้องปรับโครงสร้างตั้งตำแหน่งใหม่ ทั้งนี้ส่ิงที่องค์กรพึงตระหนักคือ หากพนักงาน 1 คนในองค์กรกระทำผิด บทลงโทษต่าง ๆ จะถูกบังคับกับองค์กรทั้งองค์กร 

สำหรับองค์กรที่จะแต่งตั้ง DPO กฎหมายยังไม่ได้กำหนดคุณสมบัติของ DPO ไว้ ดังนั้น DPO อาจเป็นบุคคลคนเดียวหรือเป็นทีมงานจากภายในหรือภายนอกองค์กรก็ได้ 

Q7: จำเป็นต้องบันทึกทุกรายการประมวลผลข้อมูลเลยหรือไม่

ผู้ควบคุมข้อมูลมีหน้าที่ตาม พรบ. ที่จะต้องบันทึกรายการ ที่แสดงรายละเอียดการประมวลผลข้อมูล เช่น รายละเอียดข้อมูลส่วนบุคคล วัตถุประสงค์การประมวลผลข้อมูล การใช้และประมวลผลข้อมูลที่เกิดขึ้น รวมถึงต้องบันทึกการปฏิเสธคำขอใช้สิทธิต่างๆของเจ้าของข้อมูล และต้องบันทึกคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่ได้ดำเนินการทั้งหมดให้ครบถ้วน หากไม่ดำเนินการอาจ มีโทษปรับทางปกครองไม่เกิน 1,000,000 บาท

ทุกองค์กรมีหน้าที่ต้องบันทึกการปฏิเสธคำขอหรือการคัดค้านการขอใช้สิทธิของเจ้าของข้อมูล แต่คณะกรมการคุ้มครองข้อมูลส่วนบุคคล อาจกำหนดหลักเกณฑ์ในการยกเว้นการบันทึกรายละเอียดการประมวลผลข้อมูลให้แก่กิจการขนาดเล็กได้ 

แม้สุดท้ายผู้ควบคุมข้อมูลส่วนบุคคลขนาดเล็ก อาจได้รับยกเว้นจากการทำบันทึกฉบับเต็ม แต่การบัน ทึกรายการประมวลผลข้อมูล เป็นสิ่งที่ทุกองค์กรควรทำ เพราะบันทึกดังกล่าวอาจใช้เป็นเครื่องมือ หรือหลักฐานในการพิสูจน์เพื่อหลุดพ้นความรับผิดภายใต้ พรบ. ได้ทั้งในคดีแพ่ง อาญา หรือปกครอง

Q8: ถ้าเจ้าของข้อมูลขอใช้สิทธิลบหรือทำลายข้อมูล ต้องลบทุกกรณีหรือไม่

พรบ. กำหนดให้สิทธิแก่เจ้าของข้อมูลในการขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นเป็นข้อ มูลที่ไม่สามารถระบุตัวตนที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (De-Identification) แต่การจะใช้สิทธิดังกล่าว พรบ. กำหนดกรอบที่ชัดเจนว่าจะขอได้ด้วยเหตุผลเพียง 4 ข้อเท่านั้น คือ

    - เมื่อข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ ตามวัตถุประสงค์ที่แจ้งแล้ว
    - เมื่อเจ้าของข้อมูลถอนความยินยอมในการประมวลผลข้อมูลแล้ว
    - เมื่อเจ้าของข้อมูลคัดค้านการเก็บประมวลผลข้อมูล และผู้ควบคุมข้อมูลไม่มีเหตุจะปฏิเสธการคัดค้านดังกล่าว
    - เมื่อข้อมูลส่วนบุคคลนั้นถูกประมวลผล โดยไม่ชอบด้วยกฎหมาย

ดังนั้น จะเห็นได้ว่าไม่ใช่ทุกกรณีที่เจ้าของข้อมูลจะขอใช้สิทธิลบหรือทำลายข้อมูลได้เสมอไป และไม่สามารถอ้างขอใช้สิทธิได้ตามอำเภอใจ 

แต่หากเป็นการใช้สิทธิขอลบตามกรอบที่ พรบ. กำหนด ผู้ควบคุมข้อมูลมีหน้าที่ต้องดำเนินการตามคำขอ แต่เป็นกรณีที่ต้องลบหรือทำลายเฉพาะส่วนของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคำขอใช้สิทธิแต่ละส่วนเป็นการเฉพาะเท่านั้น เช่น หากเป็นกรณีการขอลบหลังจากถอนความยินยอม ผู้ควบคุมข้อมูล มีหน้าที่ต้องลบเฉพาะข้อมูลส่วนบุคคลที่ถูกประมวลผลด้วยการให้ความยินยอมของเจ้าของข้อมูลเท่านั้น ส่วนการประมวลผลข้อมูลด้วยฐานกฎหมายอื่น ผู้ควบคุมข้อมูลไม่จำเป็นต้องลบหรือทำลาย 

Q9: NDA = DPA หรือไม่ หากมีสัญญารักษาความลับแล้วถือว่าเพียงพอแล้วหรือไม่

เมื่อมีการแลกเปลี่ยนข้อมูลระหว่างองค์กร โดยปกติในทางปฏิบัติองค์กรเหล่านั้นจะลงนามใน สัญญารักษาความลับ (Non Disclosure Agreement : NDA) ระหว่างกันซึ่งเนื้อหาหลักกำหนดให้องค์กรที่เป็นผู้ได้รับข้อมูลต่างๆไป มีหน้าที่ในการรักษาความลับของข้อมูลดังกล่าวไม่เปิดเผย เว้นแต่ได้รับอนุญาตจากองค์กรที่เป็นฝ่ายเปิดเผยข้อมูล 

ภายใต้ พรบ. ข้อมูลส่วนบุคคล มีการพูดถึงสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) กันมากขึ้นสำหรับเนื้อหาหลักของ DPA ประกอบด้วย การ อธิบายถึงการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลระหว่างองค์กร โดยระบุชัดเจนถึงขอบเขตสิทธิและหน้าที่ของคู่สัญญาแต่ละฝ่าย พร้อมทั้งต้องระบุวัตถุประสงค์ในการส่งต่อเปิดเผยข้อมูลอย่างชัดเจน ซึ่งถือเป็นกรอบการปฏิบัติที่สำคัญ หากคู่สัญญาฝ่ายใดฝ่ายหนึ่งดำเนินการนอกกรอบดังกล่าว ฝ่ายนั้นย่อมต้องรับผิดและต้องชดเชยให้คู่สัญญาอีกฝ่ายหนึ่ง นอกจากนี้จะมีการกำหนดหน้าที่ของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลตามที่ พรบ. กำหนดให้คู่สัญญาทั้งสองฝ่ายต้องปฏิบัติตาม เช่น หน้าที่ในการบันทึกหน้าที่ในการรายงานการละเมิดข้อมูลต่างๆ อีกด้วย 

จะเห็นได้ว่า ขอบเขตหรือจุดประสงค์หลักของ DPA มีเนื้อหาที่ครอบคลุมและกว้างมากกว่า NDA ซึ่งจะมุ่งเน้นเพียงเงื่อนไขและหน้าที่การรักษาความลับของข้อมูล ดังนั้น การลงนามใน NDA เพียง อย่างเดียว โดยไม่มีการทำ DPA อาจไม่เพียงพอที่จะเป็นสัญญาหรือหลักฐานที่ปกป้องสิทธิขององค์กรที่มีการเปิดเผยและส่งต่อข้อมูลได้เต็มที่ครบถ้วนตาม พรบ.

Q10: Cookies Policy สำคัญยังไง จำเป็นต้องมีหรือไม่

หลังจากที่ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมีผลบังคับใช้ จะเห็นได้ว่าหน้าเว็บไซต์หรือ Application ต่าง ๆ จะมีการขึ้น Cookies Policy มาแสดงผลอยู่หน้าเว็บไซต์หรือ Application จำนวนมาก การดำเนินการดังกล่าวเป็นไปตามข้อกำหนดของ GDPR ที่ถือว่าเทคโนโลยีการใช้ Cookies เป็นข้อมูลส่วนบุคคลรูปแบบหนึ่ง ซึ่งผู้ใช้เทคโนโลยีดังกล่าวมีหน้าที่ต้องแแจ้ง และอาจต้องขอความยินยอมในการใช้ Cookies ดังกล่าว

สำหรับกรณีประเทศไทย จากการตีความนิยามภายใต้ พรบ. Cookies ถือว่าเข้านิยามการเป็น “ข้อมูลส่วนบุคคล” ดังนั้นการใช้ Cookies ที่หน้าเว็บไซต์ หรือ Application ก็ต้องมีการแจ้ง Cookies Policy เช่นเดียวกัน แต่อย่างไรก็ตามหากเว็บไซต์หรือ Application ดังกล่าวดำเนินการประมวลผลข้อมูลส่วนบุคคลในลักษณะอื่นนอกเหนือจากการใช้เทคโนโลยี Cookies เช่น มีการสร้าง Username / Password มีการกรอกข้อมูลเพื่อลงทะเบียน ซึ่งการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ผู้ควบคุม ข้อมูลต้องจัดทำ Privacy Notice หรือการขอความยินยอมรวมทุกการประมวลผลข้อมูลส่วนบุคคลอยู่แล้ว ผู้ควบคุมข้อมูลนั้นสามารถนำ Cookies Policy เข้าไปรวมเป็นเนื้อหาใน Privacy Notice หรือการขอความยินยอมรวม โดยไม่ต้องทำ Cookies Policy ขึ้นมาเป็นหน้าต่างแยกก็ได้ 

จะเห็นได้ว่าพรบ. คุ้มครองข้อมูลส่วนบุคคล นั้นมีผลครอบคลุมถึงการควบคุมการเข้าถึงข้อมูลส่วนบุคคลทั้งออฟไลน์และออนไลน์ แน่นอนว่าอาจจะเป็นทั้งผลดีและผลเสียของทั้งผู้ที่ต้องการใช้ข้อมูลและเจ้าของข้อมูล อย่างไรก็ตามการมีผลบังคับใช้ของพรบ. จะช่วยให้เรามองเห็นขอบเขตและข้อกำหนดต่าง ๆ ชัดเจนขึ้นและเป็นข้อกำหนดที่เข้าใจร่วมกันในประเทศไทย 

ที่มา : https://www.hubbathailand.com/hubba-blog/10-pdpa-part1
       https://www.hubbathailand.com/hubba-blog/10-pdpa-part2