สาระสำคัญประกาศกฎหมายลำดับรองภายใต้ PDPA 4 ฉบับ
เมื่อวันที่ 20 มิ.ย. 2565 ที่ผ่านมา ราชกิจจานุเบกษาได้เผยแพร่กฎหมายลำดับรองจำนวน 4 ฉบับซึ่งออกตามความในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีสาระสำคัญของกฎหมายลำดับรอง ทั้ง 4 ฉบับ
1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
ผู้ควบคุมข้อมูลส่วนบุคคลตามประกาศฯ ฉบับดังกล่าวหมายถึง บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล หรือผู้ประกอบธุรกิจฟรีแลนซ์ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือพนักงาน โดยผู้ประกอบการที่มีลักษณะตามที่กำหนดไว้ในประกาศฯ ได้รับการยกเว้นไม่ต้องทำ “บันทึกรายการ” ดังนี้
- วิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลางตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม
- วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
- วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
- สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกรตามกฎหมายว่าด้วยสหกรณ์
- มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
- กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน
ตามกฎกระทรวงกําหนดลักษณะของวิสาหกจิขนาดกลางและขนาดย่อม พ.ศ. 2562 แบ่งประเภทวิสาหกิจไว้ดังนี้
ทั้งนี้ ผู้ให้บริการที่ได้รับการยกเว้นต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลปริมาณมากประเภทต่อไปนี้
- ผู้ประกอบกิจการโทรคมนาคมและ กิจการกระจายภาพและเสียง (Telecom and Broadcast Carrier)
- ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider)
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ (Hosting Service Provider)
- ผู้ให้บริการแอปพลิเคชันติดต่อสื่อสารข้อมูลถึงกัน (Online Application Store)
- ผู้ให้บริการสื่อสังคมออนไลน์
- ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชันต่างๆ (Content and Application Service Provider)
- ผู้ให้บริการคลาวด์ซึ่งให้บริการโดยตรงกับผู้ใช้งาน เช่น IaaS PaaS SaaS CDN
- ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ (Digital Service Provider)
อย่างไรก็ตาม ผู้ประกอบการที่ได้รับการยกเว้นไม่ต้องทำ “บันทึกรายการ” ยังมีหน้าที่อื่น ๆ ตามที่กฎหมายกำหนด อาทิ ยังต้องแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับขนาดและประเภทของกิจการ เป็นต้น
ประกาศนี้มีผลใช้บังคับแล้ว
2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
ผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศฯ ฉบับนี้ ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์ที่รับจ้างหรือให้บริการประมวลผลข้อมูลให้ผู้ควบคุมข้อมูลส่วนบุคคล
โดยประกาศฉบับนี้กำหนดให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดดังนี้
- ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล
- ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลรับจ้างดำเนินการให้
- ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ประเภทหรือลักษณะของกิจกรรมการประมวลผล
- ประเภทของหน่วยงานที่ได้รับข้อมูล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
ประกาศนี้มีผลใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษา (มีผลบังคับใช้ 17 ธ.ค. 2565) ซึ่งจะทำให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีระยะเวลาในการเตรียมความพร้อมขององค์กรในการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ที่สำคัญของผู้ควบคุมข้อมูลส่วนบุคคล ประกาศฉบับนี้จึงได้กำหนดมาตรฐานขั้นต่ำเพื่อเป็นแนวทางในการดำเนินการสำหรับองค์กรต่าง ๆ โดยในส่วนของผู้ประกอบการขนาดเล็กควรให้ความสำคัญกับประเด็นดังต่อไปนี้
- องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมไม่ว่าจะเก็บข้อมูลในรูปแบบกระดาษหรืออิเล็กทรอนิกส์
- ต้องธำรงไว้ซึ่งการเป็นความลับของข้อมูล (confidentiality) ความถูกต้องครบถ้วน (integrity) และทำให้ข้อมูลพร้อมใช้งาน (availability)
- ต้องมีมาตรการในการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ
- ต้องทบทวนมาตรการเมื่อมีความจำเป็น เช่นเมื่อมีเหตุการละเมิดเกิดขึ้น
- สำหรับผู้ประกอบการขนาดเล็ก ประกาศฉบับนี้กำหนดชัดเจนว่าให้จัดมาตรการป้องกันเท่าที่จำเป็นเหมาะสม โดยคำนึงถึงระดับความเสี่ยงขององค์กร
ประกาศนี้มีผลใช้บังคับแล้ว
4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565
ประกาศนี้เป็นการกำหนดหลักเกณฑ์พิจารณาลงโทษปรับทางปกครองมีความชัดเจนมากขึ้น โดยให้คณะกรรมการผู้เชี่ยวชาญซึ่งมีหน้าที่พิจารณาเรื่องร้องเรียน ตรวจสอบการกระทำ ไกล่เกลี่ยข้อพิพาท และออกคำสั่งทางปกครองดำเนินการโดยคำนึงถึงปัจจัยต่าง ๆ หลายประการ อาทิ
- เป็นการกระทำผิดโดยเจตนาหรือจงใจ หรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
- ความร้ายแรงของพฤติกรรมที่กระทำผิด
- ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
- ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้กระทำความผิด
- การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษา ความมั่นคงปลอดภัยในขณะที่มีการกระทำความผิด
- การเยียวยาและบรรเทาความเสียหายเมื่อทราบเหตุที่กระทำความผิด
- การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจหรือมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลขณะที่มีการกระทำความผิด
โดยประกาศกำหนดให้คณะกรรมการผู้เชี่ยวชาญพิจารณาออกคำสั่งตามระดับความร้ายแรงของการทำความผิด ดังนี้
- กรณีไม่ร้ายแรง ให้ตักเตือน หรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำ
- กรณีร้ายแรง หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษปรับทางปกครอง
ประกาศนี้มีผลใช้บังคับแล้ว
กฎหมายลำดับรองทั้ง 4 ฉบับดังกล่าวถือว่าเป็นกฎหมายลำดับรองชุดแรกที่ออกตามความในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย 3 ฉบับมีผลใช้บังคับตั้งแต่วันที่ 21 มิ.ย. 2565 และอีกหนึ่งฉบับให้ระยะเวลาแก่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการจัดเตรียมกระบวนการเพื่อจัดทำบันทึกรายการตามที่กฎหมายกำหนดและจะใช้บังคับในวันที่ 17 ธ.ค. 2565