ปรับแน่ ถ้าธุรกิจไม่ปรับตัว “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562”
แม้จะมีประกาศอย่างเป็นทางการจากเว็บไซต์ราชกิจจานุเบกษา ได้ประกาศเมื่อวันที่ 21 พฤษภาคม 2563 ที่ผ่านมา โดยมาตรา 4 ได้ระบุไว้ชัดเจน ว่า องค์กรที่ได้รับการยกเว้นทั้ง 22 องค์กร ยังต้องรักษาความมั่งคงปลอดภัยของข้อมูลตามมาตรฐาน ถึงแม้จะเลื่อนออกไปอีก 1 ปี อย่างไรก็ตามก็ถือเป็นโอกาสที่ดีมาก ที่ธุรกิจและองค์กรต่าง ๆ จะมีเวลาได้เตรียมตัว เพื่อรับมือ “พรบ.คุ้มครองข้อมูลส่วนบุคคล” ฉบับนี้กัน ไม่พูดพร่ำทำเพลงเราไปดูกันเลยว่า สาระสำคัญของ พ.ร.บ. ฉบับนี้มีอะไรกันบ้าง และถ้าละเลยจะเกิดผลกระทบอะไรกับภาคธุรกิจอย่างไร
ข้อมูลส่วนบุคคลคือ คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
สิ่งที่องค์กรต้องเตรียมพร้อม
1. ศึกษาข้อมูลในแต่ละมาตราของพ.ร.บ. เพื่อให้เข้าใจกระบวนการคุ้มครองข้อมูลส่วนบุคคลเบื้องต้น
2. แต่งตั้งผู้รับผิดชอบ หรือ DPO ในองค์กร เพื่อให้คำแนะนำ ตรวจสอบการดำเนินงาน ไม่ว่าจะเป็นการเก็บ ใช้ หรือเปิดเผยข้อมูล
3. กำหนดประเภทของข้อมูล เพื่อให้ทราบถึงวัตถุประสงค์และผู้รับผิดชอบข้อมูลส่วนบุคคลที่จัดเก็บ
4. จัดเตรียมนโยบายหรือแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายกำหนด โดยคำนึงถึงการเก็บรวบรวมต้องทำเท่าที่จำเป็นและเหมาะสม
5. พัฒนากระบวนการแจ้งเตือน (Breach Notification) ให้กับเจ้าของข้อมูล และประชาสัมพันธ์ให้บุคคลที่เกี่ยวข้องได้รับทราบ
6. พัฒนาทักษะกระบวนการตรวจสอบ (Audit) และให้สิทธิต่าง ๆ แก่เจ้าหน้าที่เพื่อดูแลข้อมูล ไม่ว่าจะเป็นการเข้าถึง การขอลบ หรือทำลาย
7. ปรับปรุงและเฝ้าระวังกระบวนการการดูแลข้อมูลให้เหมาะสมอยู่เสมอ
ผลกระทบ และโทษปรับที่ภาคธุรกิจต้องเจอ
ผลกระทบ
Non-Compliance
- สูญเสียความน่าเชื่อถือ
- ถูกดำเนินคดีทางกฎหมาย ทั้งจำทั้งปรับ
- เกิดค่าเสียโอกาส และเพิ่มต้นทุนค่าใช้จ่าย
- เสียเปรียบในการแข่งขันทางการค้า
Effective-Compliance
- ความเชื่อมั่นและไว้วางใจทั้งพนักงาน ลูกค้า และคู่ค้า
- สามารถใช้ข้อมูลเพื่อทำการตลาดให้ดึงดูดใจลูกค้า
โทษปรับ หากผู้เก็บรวบรวมข้อมูลฝ่าฝืน จะมีบทลงโทษทั้งทางอาญา และทางปกครองโดยมีโทษทางอาญาคือ จำคุกไม่เกิน 6 เดือนถึง 1 ปี หรือปรับไม่เกิน 5 แสนถึง 1 ล้านบาท โทษทางปกครองมีโทษปรับตั้งแต่ไม่เกิน 5 แสนบาทถึง 5 ล้านบาท
สำหรับบริษัทหรือองค์กรใดที่ต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ PDPA (Personal Data Protection Act) กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) พร้อมให้ข้อมูล และเป็นที่ปรึกษาให้กับองค์กรของท่าน
สอบถามเพิ่มเติม
โทร : 02 2534736
Line:@acis (มี@ข้างหน้า)
Website : https://www.acisonline.net