Article

ข้อแนะนำแก่ภาคธุรกิจเพื่อเตรียมพร้อมสำหรับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ15 April 2020

Share this Page

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของประเทศไทยจะมีผลบังคับอย่างสมบูรณ์ในวันที่ 27 พฤษภาคม 2563 ในบทความนี้ สำนักงานฯ ได้รวบรวมข้อแนะนำเบื้องต้นที่สำคัญสำหรับการเตรียมความพร้อมของภาคธุรกิจเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ.ฯ”) ซึ่งจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้ เป็นกฎหมายฉบับแรกของประเทศไทยที่กำหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ บทความนี้มุ่งนำเสนอสาระสำคัญโดยสรุปของพ.ร.บ.ฯ และให้คำแนะนำเบื้องต้นสำหรับภาคธุรกิจในการเตรียมตัวสำหรับการมีผลบังคับใช้อย่างสมบูรณ์ของพ.ร.บ.ฯ ฉบับนี้

"เช่นเดียวกันกับ General Data Protection Regulation ของสหภาพยุโรป (“GDPR”) พ.ร.บ.ฯ ฉบับนี้มีวัตถุประสงค์เพื่อทำให้การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานตามกฎหมาย"

สาระสำคัญของ พ.ร.บ.ฯ

พ.ร.บ.ฯ ฉบับนี้ กำหนดถึงวิธีการการเก็บรวมรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคล (ในบทความนี้ เรียกรวมกันว่า “การประมวลผลข้อมูลส่วนบุคคล”) ของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดา โดยพ.ร.บ.ฯ มีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย (ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะได้กระทำขึ้นในหรือนอกประเทศไทย และไม่ว่าจะเป็นข้อมูลส่วนบุคคลของผู้มีสัญชาติไทยหรือสัญชาติอื่นใดก็ตาม) นอกจากนี้พ.ร.บ.ฯ ยังมีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทย หากบุคคลดังกล่าวมีการเสนอผลิตภัณฑ์หรือบริการให้แก่ผู้ที่อาศัยอยู่ในประเทศไทยหรือได้มีการเฝ้าติดตามพฤติกรรมของบุคคลในประเทศไทย และประมวลผลข้อมูลส่วนบุคคลของบุคคลเหล่านั้น

เช่นเดียวกันกับ General Data Protection Regulation ของสหภาพยุโรป (“GDPR”) พ.ร.บ.ฯ ฉบับนี้มีวัตถุประสงค์เพื่อทำให้การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานตามกฎหมาย (“ฐานตามกฎหมาย”) การให้ความยินยอมเป็นเพียงหนึ่งในฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล และฐานตามกฎหมายอื่น ๆ ที่พ.ร.บ.ฯ กำหนด ได้แก่

การจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เอกสารเกี่ยวกับการศึกษาวิจัยหรือสถิติ (“ฐานการวิจัย”)
การป้องกันหรือการระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (“ฐานประโยชน์สำคัญต่อชีวิต”)
เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น (“ฐานสัญญา”)
เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานภารกิจของรัฐ”)
เมื่อการประมวลผลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวไม่ได้มีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ฐานประโยชน์อันชอบธรรม”) และ
เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานหน้าที่ตามกฎหมาย”)

ข้อกำหนดที่สำคัญอีกข้อหนึ่งของพ.ร.บ.ฯ ฉบับนี้ คือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเรื่องดังต่อไปนี้ในชณะหรือก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล (1) รายละเอียดเกี่ยวกับวัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (2) การเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อบุคคลภายนอก และ (3) สิทธิของเจ้าของข้อมูลส่วนบุคคลต่อข้อมูลส่วนบุคคลของตนเอง

นอกจากนี้ พ.ร.บ.ฯ ยังได้กำหนดข้อปฏิบัติสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่นๆ ด้วย โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการทางด้านความปลอดภัยสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่น

"มาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่เป็นไปตาม GDPR ก็ควรต้องมีการปรับให้เข้ากับบริบทของประเทศไทยเพื่อให้เป็นไปตามพ.ร.บ.ฯ ฉบับนี้ "

พ.ร.บ.ฯ ฉบับนี้ได้กำหนดกฎเกณฑ์และหน้าที่สำหรับภาคธุรกิจในการจัดการข้อมูลส่วนบุคคล โดยพ.ร.บ.ฯ ทั้งฉบับจะมีผลบังคับใช้ทันทีในวันที่ 27 พฤษภาคม 2563 แต่รายละเอียดในบางเรื่องยังคงอาศัยกฎหมายลำดับรองในการออกมาขยายความเพิ่มเติม โดยการออกกฎหมายลำดับรองเหล่านี้ยังคงต้องรอการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นผู้กำกับดูแลตามพ.ร.บ.ฯ และมีอำนาจออกกฎหมายลำดับรองตามพ.ร.บ.ฯ ฉบับนี้ อย่างไรก็ตาม แม้จะยังไม่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลก็สามารถดำเนินการทางกฎหมายต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้โดยตรงในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ ได้

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่ 27 พฤษภาคม 2563 พ.ร.บ.ฯ ฉบับนี้ได้เปิดช่องให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมเท่านั้น แต่พ.ร.บ.ฯ ได้กำหนดเงื่อนไขเพิ่มเติมให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำหนดวิธีการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลในการใช้ข้อมูลส่วนบุคคลของตนที่ได้ให้ไว้ก่อนหน้านี้โดยง่ายและสะดวก ดังนั้นภาคธุรกิจต่างๆ ที่ประสงค์จะใช้ข้อมูลส่วนบุคคลต่อไปตามข้อยกเว้นนี้ควรทำความเข้าใจถึงข้อจำกัดและหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงวิธีการยกเลิกความยินยอมในการใช้ข้อมูลส่วนบุคคล

ผู้ประกอบธุรกิจในสหภาพยุโรปอาจเห็นว่า GDPR และพ.ร.บ.ฯ มีความคล้ายคลึงกัน แต่อย่างไรก็ตาม มาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่เป็นไปตาม GDPR ก็ควรต้องมีการปรับให้เข้ากับบริบทของประเทศไทยเพื่อให้เป็นไปตามพ.ร.บ.ฯ ฉบับนี้ สำนักงานฯ จึงขอแนะนำภาคธุรกิจที่มีการเก็บรักษาข้อมูลส่วนบุคคลให้ปฏิบัติตามขั้นตอนเบื้องต้น 7 ขั้นตอนเพื่อเตรียมความพร้อมสำหรับการปฏิบัติตามพ.ร.บ.ฯ ฉบับนี้ซึ่งกำลังจะมีผลบังคับอย่างสมบูรณ์

ขั้นตอนที่ 1 ตรวจสอบข้อมูลส่วนบุคคลที่จำเป็นต่อธุรกิจของท่าน

เนื่องจากพ.ร.บ.ฯ ฉบับนี้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานตามกฎหมายรองรับในการประมวลผลข้อมูลส่วนบุคคล ภาคธุรกิจจึงควรตรวจสอบว่าตนจำเป็นต้องใช้ข้อมูลส่วนบุคคลประเภทใดบ้างในการประกอบธุรกิจของตน เช่น ข้อมูลส่วนบุคคลที่ต้องมีเพื่อให้บริการต่อลูกค้า และข้อมูลส่วนบุคคลที่จำเป็นสำหรับการดำเนินการภายในบริษัท เช่น ข้อมูลส่วนบุคคลของพนักงานลูกจ้างและคู่ค้าของบริษัท โดยแต่ละประเภทของข้อมูลอาจมีฐานตามกฎหมายสำหรับการประมวลผลที่แตกต่างกันไป

การตรวจสอบนั้นควรดำเนินการเพื่อระบุขั้นตอนและกระบวนการที่เกี่ยวข้องในการใช้ข้อมูลส่วนบุคคลแต่ละประเภท รวมถึงบุคลากรและความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เพื่อที่จะออกแบบมาตรการที่เหมาะสมสำหรับฐานตามกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลแต่ละประเภท

ขั้นตอนที่ 2 ระบุฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล

นอกจากฐานความยินยอมแล้ว พ.ร.บ.ฯ ยังกำหนดฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลอีก 6 ฐานด้วยกันตามที่ได้กล่าวถึงข้างต้น แม้การให้ความยินยอมจะเป็นฐานตามกฎหมายที่ถูกใช้มากที่สุดสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลในอดีตที่ผ่านมา แต่ความยินยอมนั้นอาจจะไม่ได้เป็นฐานตามกฎหมายที่เหมาะสมที่สุดสำหรับทุกกรณี เนื่องจากเจ้าของข้อมูลส่วนบุคคลสามารถที่จะถอนความยินยอมได้ทุกเมื่อ ส่งผลให้ผู้ประกอบธุรกิจไม่สามารถใช้ข้อมูลส่วนบุคคลที่มีอยู่ได้

ขั้นที่ 3 จัดทำคำร้องขอความยินยอม หากจำเป็นต้องใช้ฐานความยินยอม

ก่อนที่จะมีการประกาศใช้พ.ร.บ.ฯ ความยินยอมเป็นวิธีที่ภาคธุรกิจมักนำมาใช้เพื่อให้แน่ใจว่าการใช้ข้อมูลส่วนบุคคลจะไม่ถูกโต้แย้ง อย่างไรก็ดี พ.ร.บ.ฯ ได้กำหนดวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อให้แน่ใจว่าบุคคลนั้นได้รับข้อมูลอย่างเพียงพอในการตัดสินใจก่อนมีการจัดเก็บข้อมูลส่วนบุคคล และการให้ความยินยอมนั้นเป็นการให้ความยินยอมโดยอิสระ

< Back to insights hub

Key contacts

Nattanit Boonruang

Associate Bangkok

ภายใต้พ.ร.บ.ฯ คำร้องขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจนและต้องใช้ภาษาที่อ่านง่าย กล่าวคือ คำร้องขอความยินยอมไม่ควรพิมพ์ด้วยตัวอักษรขนาดเล็ก หรือแทรกอยู่ในข้อกำหนดและเงื่อนไขทั่วไปอื่นๆ นอกจากนี้ คำร้องขอความยินยอมควรจัดทำเป็นหลายภาษา เพื่อหลีกเลี่ยงการโต้แย้งจากผู้ใช้ภาษาอื่นว่าการขอความยินยอมไม่เป็นไปตามที่กำหนดไว้ในพ.ร.บ.ฯ

หลักเกณฑ์สำคัญอีกประการหนึ่ง คือ ผู้ประกอบการจะต้องไม่กำหนดเงื่อนไขให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการให้บริการแก่เจ้าของข้อมูลส่วนบุคคลนั้นๆ กล่าวคือ แนวทางปฏิบัติทั่วไปในปัจจุบันซึ่งกำหนดให้ลูกค้าต้องให้ความยินยอมแบบเหมารวมโดยเป็นส่วนหนึ่งของการยอมรับข้อกำหนดและเงื่อนไขทั้งหมดเกี่ยวกับการใช้ข้อมูลส่วนบุคคลก่อนที่ลูกค้าจะใช้บริการ ซึ่งมักรวมถึงการใช้ข้อมูลส่วนบุคคลสำหรับการตลาดแบบตรงหรือการแบ่งปันข้อมูลส่วนบุคคลให้บริษัทในเครือเพื่อวัตถุประสงค์ทางการตลาด จะไม่สามารถทำได้ภายใต้พ.ร.บ.ฯ ฉบับนี้

นอกจากนี้ พ.ร.บ.ฯ ยังมีข้อกำหนดในการขอความยินยอมที่รัดกุมยิ่งขึ้นสำหรับข้อมูลส่วนบุคคลบางประเภทที่ถือเป็นข้อมูลอ่อนไหว ได้แก่ ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และข้อมูลส่วนบุคคลอื่นใดตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ความยินยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลจำพวกนี้จะต้องเป็น “ความยินยอมโดยชัดแจ้ง” ซึ่งต้องแยกส่วนโดยชัดเจนจากคำร้องขอความยินยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลทั่วไปอื่น ๆ

"พ.ร.บ.ฯ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดวิธีการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น รวมไปถึงฐานตามกฎหมายที่เกี่ยวข้องสำหรับการประมวลผลข้อมูลส่วนบุคคล บุคคลภายนอกที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผย"

ขั้นตอนที่ 4 จัดเตรียมและใช้นโยบายความเป็นส่วนตัว

พ.ร.บ.ฯ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดวิธีการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น รวมไปถึงฐานตามกฎหมายที่เกี่ยวข้องสำหรับการประมวลผลข้อมูลส่วนบุคคล บุคคลภายนอกที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผย ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล รายละเอียดติดต่อของผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้ามี) และสิทธิของเจ้าของข้อมูลส่วนบุคคล

ข้อมูลที่กล่าวมานี้อาจอยู่ในรูปแบบของ “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่จัดทำให้เจ้าของข้อมูลส่วนบุคคลอ่านและทำความเข้าใจก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล ประกาศความเป็นส่วนตัวนี้ควรเป็นเอกสารที่กระชับและใช้ภาษาที่เข้าใจง่าย โดยอาจมีลิงก์ (link) เพื่อนำผู้อ่านไปสู่รายละเอียดเพิ่มเติมใน “นโยบายความเป็นส่วนตัว (Privacy Policy)” ซึ่งเป็นเอกสารที่อธิบายรายละเอียดเพิ่มเติมเกี่ยวกับเหตุผลของการประมวลผล รวมถึงวิธีการประมวลข้อมูลส่วนบุคคล และวิธีการสำหรับเจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิของตนตามพ.ร.บ.ฯ

ขั้นตอนที่ 5 จัดเตรียมข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

หากธุรกิจของท่านไม่ได้ทำการประมวลผลข้อมูลส่วนบุคคลด้วยตนเอง พ.ร.บ.ฯ กำหนดให้ท่านซึ่งถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องเข้าทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลที่ท่านว่าจ้าง “การประมวลผล” ครอบคลุมถึงขั้นตอนดำเนินงานประจำวันและงานสนับสนุนต่างๆ (back office) รวมถึงการจัดเก็บเอกสาร (data storage) ไม่ว่าเป็นการเก็บโดยผู้ให้บริการจัดเก็บเอกสารแบบดั้งเดิมหรือการเก็บข้อมูลผ่านระบบคลาวด์ (cloud-based storage) ดังนั้น สำนักงานฯ เห็นว่าผู้ประกอบการจำนวนไม่น้อยมีความจำเป็นที่จะต้องทำข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการซึ่งจะถือว่าเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ ฉบับนี้

ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล คู่สัญญาทั้งสองฝ่ายควรมีการแบ่งความรับผิดชอบอย่างเหมาะสมและรัดกุม เนื่องจากโทษตามพ.ร.บ.ฯ มีทั้งบทลงโทษทางแพ่ง ปกครอง และอาญา อีกทั้งยังให้สิทธิเจ้าของข้อมูลส่วนบุคคลในการเรียกร้องค่าเสียหายเชิงลงโทษในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล

ขั้นตอนที่ 6 พิจารณาว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

เช่นเดียวกับ GDPR หากการดำเนินกิจกรรมของธุรกิจของท่านจำเป็นต้องมีการ “ตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เนื่องจากข้อมูลส่วนบุคคลมีเป็นจำนวนมาก” หรือหากมีกิจกรรมหลักเป็นการประมวลผลข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว พ.ร.บ.ฯ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ตาม เกณฑ์การพิจารณาว่ากิจกรรมใดเป็นการ “ตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เนื่องจากมีข้อมูลส่วนบุคคลเป็นจำนวนมาก” ยังต้องมีการพิจารณาและกำหนดโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต่อไป อย่างไรก็ตาม แม้ว่าประเด็นนี้จะยังไม่มีความชัดเจน แต่ก็มีความเป็นไปได้ที่ธุรกิจขนาดใหญ่และผู้ประกอบการ SMEs ที่มีขนาดใหญ่จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ นี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำเกี่ยวกับการปฏิบัติตามพ.ร.บ.ฯ ตรวจสอบการประมวลผลข้อมูลส่วนบุคคลโดยบริษัทและลูกจ้างของบริษัท และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการปฏิบัติตามพ.ร.บ.ฯ

ในกรณีที่พ.ร.บ.ฯ กำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแต่บริษัทมิได้ปฏิบัติตาม กรณีดังกล่าวดังกล่าวจะถือเป็นการฝ่าฝืนพ.ร.บ.ฯ แม้ว่าการรวบรวมและการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นไปตามพ.ร.บ.ฯ ก็ตาม

"หน้าที่ในการปฏิบัติตามพ.ร.บ.ฯ จะมีเพิ่มขึ้นเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีการจัดตั้งและเริ่มปฏิบัติงานโดยสมบูรณ์"

ขั้นตอนที่ 7 จัดทำนโยบายกลุ่มสำหรับการโอนข้อมูลส่วนบุคคลให้แก่บริษัทในเครือซึ่งอยู่ต่างประเทศ

พ.ร.บ.ฯ ควบคุมการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยด้วยวิธีการที่คล้ายคลึงกับกับหลักการ adequacy decision ของ GDPR อย่างไรก็ตาม เนื่องจากรายละเอียดของประเทศที่ถือว่า “มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ” ยังไม่ได้มีการกำหนด ผู้ควบคุมข้อมูลส่วนบุคคลอาจอาศัยเหตุอื่นตามพ.ร.บ.ฯ สำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทย กล่าวคือ ฐานการปฏิบัติตามกฎหมาย ฐานสัญญา การปฏิบัติตามหน้าที่ตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลที่สามเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ฐานประโยชน์สำคัญต่อชีวิต และการดำเนินงานที่สำคัญเพื่อสาธารณประโยชน์

สำหรับบริษัทที่มีการแบ่งปันข้อมูลส่วนบุคคลกับบริษัทในเครือซึ่งอยู่นอกประเทศไทย พ.ร.บ.ฯ ได้มีวิธีการที่คล้ายกันกับ Binding Corporate Rules ตาม GDPR โดยพ.ร.บ.ฯ อนุญาตให้มีการโอนข้อมูลส่วนบุคคลออกนอกประเทศไทยได้ หากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ถูกโอนไปยังบริษัทในเครือที่อยู่ต่างประเทศ โดยนโยบายที่ใช้ภายในกลุ่มนี้ต้องได้รับการอนุมัติจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก่อน

แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะยังไม่ได้กำหนดหลักเกณฑ์สำหรับนโยบายกลุ่มในการคุ้มครองข้อมูลส่วนบุคคลสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทย แต่ภาคธุรกิจควรเริ่มจัดทำมาตรการคุ้มครองข้อมูลส่วนบุคคลเพื่อนำมาใช้ระหว่างบริษัทในเครือของตน

เนื้อหาในบทความนี้เป็นเพียงการอธิบายรายละเอียดของพ.ร.บ.ฯ โดยสังเขปเท่านั้น โดยหน้าที่ในการปฏิบัติตามพ.ร.บ.ฯ จะมีเพิ่มขึ้นเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีการจัดตั้งและเริ่มปฏิบัติงานโดยสมบูรณ์

ท่านสามารถติดต่อสำนักงานฯ เพื่อขอรับปรึกษา หรือหากท่านมีคำถามหรือต้องการคำแนะนำใดๆ เกี่ยวกับการเตรียมความพร้อมของธุรกิจในการดำเนินการตามพ.ร.บ.ฯ ฉบับนี้

< Back to insights hub

Key contacts

Nattanit Boonruang

Associate Bangkok

Share this Page

ข้อแนะนำแก่ภาคธุรกิจเพื่อเตรียมพร้อมสำหรับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ15 April 2020

สาระสำคัญของ พ.ร.บ.ฯ

Key contacts

Nattanit Boonruang

Key contacts

Nattanit Boonruang

Related stories

WFW advises Eavor on €350m investment to build first commercial-scale Eavor-Loop geothermal project

WFW advises EnTrust Global on OMP Acquisition

Commercial Disputes Weekly – Issue 204

Follow us on

Sectors

Services