องค์กรของคุณละเมิดกฎหมาย PDPA อยู่หรือเปล่า

10 Checklists ตรวจสอบว่าองค์กรของคุณมีขั้นตอนการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย PDPA หรือไม่?

1.) การประมวลผลข้อมูลส่วนบุคคลมีฐานทางกฎหมายตาม PDPA รองรับหรือไม่

• ฐานความยินยอม (Consent)

• ฐานทางสัญญา (Contract)

• ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

• ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

• ฐานภารกิจของรัฐ (Public Task)

• ฐานประโยชน์อันชอบธรรม (Legitimate Interest)

• ฐานจดหมายเหตุ/วิจัย/สถิติ (Research and Statistics)

2.) มีการจัดทำและประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) สำหรับลูกค้า ผู้สมัครงาน พนักงาน และคู่ค้าขององค์กรแล้วหรือไม่?

• ต้องระบุวัตถุประสงค์ ข้อมูลส่วนบุคคลที่มีการจัดเก็บ และระยะเวลาในการเก็บรวบรวม หน่วยงานซึ่งข้อมูลส่วนบุคคลอาจถูกเปิดเผย และข้อมูลติดต่อขององค์กร

3.) หากเจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิในการจัดการข้อมูลของตนเองตาม PDPA องค์กรมีแนวทางการจัดการคำร้องขอแล้วหรือไม่

• ก่อนดำเนินการตามคำร้องขอ องค์กรควรทำการพิสูจน์ตัวตนของผู้ยื่นคำร้องขอก่อนว่าเป็นเจ้าของข้อมูลส่วนบุคคลที่แท้จริงหรือไม่

4.) มีการจัดอบรมบุคลากรขององค์กรให้มีความรู้และความเข้าใจที่ถูกต้องเกี่ยวกับมาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงผลกระทบที่อาจเกิดขึ้นตาม PDPA แล้วหรือยัง

• เช่น การเก็บเอกสารด้วยรหัสผ่านและล็อกตู้เก็บเอกสาร การปิดหน้าจอหลังลุกจากโต๊ะทำงาน

5.) มีการจัดทำแผนผังการไหลเวียนข้อมูล (Data Flow) เพื่อจัดระเบียบการเข้าถึงข้อมูลของบุคลากรในแผนกและระดับต่างๆ ที่มีส่วนเกี่ยวข้องโดยตรงกับการประมวลผลข้อมูลส่วนบุคคล (Authorized Person) แล้วหรือไม่ และมีวิธีการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตแล้วหรือไม่ และแผนรับมือ

• หากไม่มี อาจเกิดความเสี่ยงของการรั่วไหลข้อมูลและส่งผลกระทบต่อชื่อเสียงของธุรกิจและมีโทษทางกฎหมายด้วย

6.) หากมีเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด ซึ่งการแจ้งต้องทำตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ กำหนด

7.) มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ขององค์กรแล้วหรือยัง

• DPO คือ ผู้ที่ให้คำแนะนำ ตรวจสอบ และกำหนดแนวทางการประมวลผลข้อมูลส่วนบุคคลทั้งหมดขององค์กร เพื่อให้การประมวลผลข้อมูลส่วนบุคคลปลอดภัยและสอดคล้องกับ PDPA อีกทั้งประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุุคคล หากมีเหตุข้อมูลรั่วไหลหรือมีการละเมิดของข้อมูล

8.) มีการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity) แล้วหรือไม่

• เพื่อแสดงความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ

9.) การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศขององค์กรเป็นไปตามมาตรฐานที่ PDPA กำหนดหรือไม่

10.) มีการจัดทำแบบประเมินผลกระทบความเสี่ยงด้านการคุ้มครองข้อมูล (DPIA) เพื่อสร้างระบบการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมตามมาตรฐานของ PDPA แล้วหรือยัง

• โดยประเมินความเสี่ยงจาก ความน่าจะเป็น (likelihood) และความร้ายแรง (severity) ของผลที่จะเกิดตามมาจากการประมวลผลข้อมูลนั้น

*อย่างไรก็ตามหากธุรกิจยังไม่ได้มีการเตรียมพร้อมเรื่องข้อบังคับตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอาจจะทำให้เกิดผลเสีย หรือข้อพิพาทได้ซึ่งต้องมีการรับผิดทางกฎหมาย เช่น *

โทษทางแพ่ง

1.1 ค่าสินไหมทดแทนตามจริง (ประเมินจากความเสียหายที่เจ้าของข้อมูลได้รับ) และ

1.2 ค่าเสียหายเชิงลงโทษ (นอกจากค่าสินไหมทดแทนตามจริงแล้ว ศาลอาจสั่งใหมีการจ่ายคาสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริง แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง)

โทษทางอาญา

2.1 ข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทร ต้องระวางโทษจำคุกไม่เกิน 6 ปี หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

2.2 ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว เช่น ศาสนา เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

• สำหรับความผิดทางอาญาที่นิติบุคคลกระทำตามพ.ร.บ. นี้ กรรมการ, ผู้จัดการ, ผู้ที่มีหน้าที่ในการ สั่งการในการดำเนินการนั้นของบริษัทฯ ต้องระวางโทษในความผิดนั้นด้วย

โทษทางปกครอง

3.โทษปรับทางปกครองไม่เกิน 5,000,000 บาท

*หากสนใจตรวจสอบว่า องค์กรของคุณดำเนินการครอบคลุมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วหรือไม่? * *

สามารถติดต่อทีมผู้เชี่ยวชาญด้านกฎหมายของเราได้ที่ Email : sales@datawow.io หรือโทร 02-024-5560