คลอดแล้ว กฎหมายลูก PDPA (4 ฉบับ)
หลังจากประเทศไทยมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเป็นทางการ เพื่อยกระดับมาตรฐานคุ้มครองข้อมูลส่วนบุคคลให้เทียบเท่าสากล จนเกิดกรณีศึกษาขึ้นมาหลายเคส ล่าสุด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส) ได้คลอดกฎหมายลูก ซึ่งเป็นแนวทางปฏิบัติ ออกมา 4 ฉบับ
วานนี้ (20 มิถุนายน 2565) เว็บไซต์ราชกิจจานุเบกษา ได้เผยแพร่ประกาศ ข้อกฎหมายลำดับรอง ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จำนวน 4 ฉบับ ดังนี้
ฉบับที่ 1 : เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
ว่าด้วยเรื่อง ข้อกำหนดหลักเกณฑ์การได้รับการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็ก อาทิ วิสาหกิจขนาดย่อม วิสาหกิจขนาดกลาง วิสาหกิจชุมชน หรือ เครือข่ายวิสาหกิจชุมชน จะต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต ทั้งนี้ ไม่รวมถึงกรณีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่การเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
โดยประกาศนี้ให้ใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา (10 มิ.ย. 2565) เป็นต้นไป
ฉบับที่ 2 : เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
ว่าด้วยเรื่อง การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล จึงกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ และต้องคำนึงถึง พร้อมทบทวนมาตรการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องกับขั้นตอนการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคล รวมถึงจัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล
โดยประกาศนี้ให้ใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป
ฉบับที่ 3 : เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
ว่าด้วยเรื่อง ข้อกำหนดหลักเกณฑ์และวิธีการในการจัดทำ และเก็บรักษาบันทึกรายการสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของแต่ละประเภทกิจกรรมไว้ โดยต้องจัดทำเป็นลายลักษณ์อักษร เป็นหนังสือ หรือ ในรูปแบบอิเล็กทรอนิกส์ก็ได้ แต่จะต้องเข้าถึงได้ง่าย และสามารถแสดงให้ สคส ผู้ควบคุมข้อมูลส่วนบุคคล หรือ บุคคลที่ได้รับมอบหมาย ตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ
โดยประกาศนี้ให้ใช้บังคับ เมื่อพ้นกำหนด 180 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (10 มิ.ย. 2565) เป็นต้นไป
ฉบับที่ 4 : เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
ว่าด้วยเรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง ซึ่งต้องมีการคำนึงปัจจัย ดังต่อไปนี้
- กรณีที่เป็นการกระทำผิดโดยเจตนาหรือจงใจ หรือ ประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
- ความร้ายแรงของพฤติกรรมที่กระทำผิด
- ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
- ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหาย หรือ ความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่เพียงใด
- ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ บุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจ หรือ กิจการอื่นที่เกี่ยวข้อง
- มูลค่าความเสียหาย และความร้ายแรงที่เกิดจากการกระทำผิดนั้น
- ระดับโทษปรับทางปกครอง และมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน (ถ้ามี)
- ประวัติการถูกลงโทษปรับทางปกครอง และใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
- ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การเยียวยา และบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
- การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
- ข้อเท็จจริงอื่น ๆ ที่เกี่ยวข้อง
ส่วนมาตรการลงโทษ กรณีไม่ร้ายแรง ให้ตักเตือน หรือ สั่งให้ปฏิบัติหรือดำเนินการแก้ไข หยุด ระงับ ละเว้น หรืองดเว้น การกระทำที่ฝ่าฝืน หรือ ไม่ปฏิบัติตามกฎหมายให้ถูกต้องภายในระยะเวลาที่กำหนด สั่งห้ามกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูล และสั่งจำกัดการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
กรณีร้ายแรง หรือคำสั่งให้แก้ไขหรือตักเตือนไม่เป็นผล ให้คณะกรรมการผู้เชี่ยวชาญมีคำสั่งลงโทษปรับทางปกครองแก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่เกี่ยวข้อง ตามระเบียบและบัญชีค่าปรับที่คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลกำหนดโดยคำนึงถึงความร้ายแรงและพฤติการณ์อื่นในการลงโทษปรับทางปกครองตามที่เห็นสมควร หากผู้ถูกลงโทษปรับทางปกครองไม่ดำเนินการชำระค่าปรับ หรือ ชำระค่าปรับไม่ครบถ้วน ให้เจ้าหน้าที่บังคับโทษปรับทางปกครอง
นำบทบัญญัติเกี่ยวกับการบังคับทางปกครอง ตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองมาใช้บังคับโดยอนุโลม
ทั้งนี้ ในกรณีที่ต้องมีการยึด อายัด หรือขายทอดตลาดทรัพย์สินของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อบังคับตามหลักเกณฑ์ที่กำหนดไว้ ในกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง ในกรณีที่ไม่มีเจ้าหน้าที่ดำเนินการบังคับตามคำสั่ง หรือ มีแต่ไม่สามารถดำเนินการบังคับทางปกครองได้ ให้คณะกรรมการผู้เชี่ยวชาญฟ้องคดีต่อศาลปกครองเพื่อบังคับชำระค่าปรับทางปกครอง
โดยประกาศนี้ให้ใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป