< Back to insights hub

Article

ข้อแนะนำแก่ภาคธุรกิจเพื่อเตรียมพร้อมสำหรับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ15 April 2020

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของประเทศไทยจะมีผลบังคับอย่างสมบูรณ์ในวันที่ 27 พฤษภาคม 2563 ในบทความนี้ สำนักงานฯ ได้รวบรวมข้อแนะนำเบื้องต้นที่สำคัญสำหรับการเตรียมความพร้อมของภาคธุรกิจเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ.ฯ”) ซึ่งจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้ เป็นกฎหมายฉบับแรกของประเทศไทยที่กำหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ บทความนี้มุ่งนำเสนอสาระสำคัญโดยสรุปของพ.ร.บ.ฯ และให้คำแนะนำเบื้องต้นสำหรับภาคธุรกิจในการเตรียมตัวสำหรับการมีผลบังคับใช้อย่างสมบูรณ์ของพ.ร.บ.ฯ ฉบับนี้

"เช่นเดียวกันกับ General Data Protection Regulation ของสหภาพยุโรป (“GDPR”) พ.ร.บ.ฯ ฉบับนี้มีวัตถุประสงค์เพื่อทำให้การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานตามกฎหมาย"

สาระสำคัญของ พ...

พ.ร.บ.ฯ ฉบับนี้ กำหนดถึงวิธีการการเก็บรวมรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคล (ในบทความนี้ เรียกรวมกันว่า “การประมวลผลข้อมูลส่วนบุคคล”) ของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดา  โดยพ.ร.บ.ฯ มีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย  (ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะได้กระทำขึ้นในหรือนอกประเทศไทย และไม่ว่าจะเป็นข้อมูลส่วนบุคคลของผู้มีสัญชาติไทยหรือสัญชาติอื่นใดก็ตาม) นอกจากนี้พ.ร.บ.ฯ ยังมีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทย หากบุคคลดังกล่าวมีการเสนอผลิตภัณฑ์หรือบริการให้แก่ผู้ที่อาศัยอยู่ในประเทศไทยหรือได้มีการเฝ้าติดตามพฤติกรรมของบุคคลในประเทศไทย และประมวลผลข้อมูลส่วนบุคคลของบุคคลเหล่านั้น

เช่นเดียวกันกับ General Data Protection Regulation ของสหภาพยุโรป (“GDPR”) พ.ร.บ.ฯ ฉบับนี้มีวัตถุประสงค์เพื่อทำให้การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานตามกฎหมาย (“ฐานตามกฎหมาย”) การให้ความยินยอมเป็นเพียงหนึ่งในฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล และฐานตามกฎหมายอื่น ๆ ที่พ.ร.บ.ฯ กำหนด ได้แก่

  • การจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เอกสารเกี่ยวกับการศึกษาวิจัยหรือสถิติ (“ฐานการวิจัย”)
  • การป้องกันหรือการระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (“ฐานประโยชน์สำคัญต่อชีวิต”)
  • เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น (“ฐานสัญญา”)
  • เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานภารกิจของรัฐ”)
  • เมื่อการประมวลผลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวไม่ได้มีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ฐานประโยชน์อันชอบธรรม”) และ
  •  เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานหน้าที่ตามกฎหมาย”)

ข้อกำหนดที่สำคัญอีกข้อหนึ่งของพ.ร.บ.ฯ ฉบับนี้ คือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเรื่องดังต่อไปนี้ในชณะหรือก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล (1) รายละเอียดเกี่ยวกับวัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (2) การเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อบุคคลภายนอก และ (3) สิทธิของเจ้าของข้อมูลส่วนบุคคลต่อข้อมูลส่วนบุคคลของตนเอง

นอกจากนี้ พ.ร.บ.ฯ ยังได้กำหนดข้อปฏิบัติสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่นๆ ด้วย โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการทางด้านความปลอดภัยสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่น

"มาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่เป็นไปตาม GDPR ก็ควรต้องมีการปรับให้เข้ากับบริบทของประเทศไทยเพื่อให้เป็นไปตามพ.ร.บ.ฯ ฉบับนี้ "

พ.ร.บ.ฯ ฉบับนี้ได้กำหนดกฎเกณฑ์และหน้าที่สำหรับภาคธุรกิจในการจัดการข้อมูลส่วนบุคคล โดยพ.ร.บ.ฯ ทั้งฉบับจะมีผลบังคับใช้ทันทีในวันที่ 27 พฤษภาคม 2563 แต่รายละเอียดในบางเรื่องยังคงอาศัยกฎหมายลำดับรองในการออกมาขยายความเพิ่มเติม โดยการออกกฎหมายลำดับรองเหล่านี้ยังคงต้องรอการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นผู้กำกับดูแลตามพ.ร.บ.ฯ และมีอำนาจออกกฎหมายลำดับรองตามพ.ร.บ.ฯ ฉบับนี้ อย่างไรก็ตาม แม้จะยังไม่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลก็สามารถดำเนินการทางกฎหมายต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้โดยตรงในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ ได้

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่ 27 พฤษภาคม 2563  พ.ร.บ.ฯ ฉบับนี้ได้เปิดช่องให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมเท่านั้น แต่พ.ร.บ.ฯ ได้กำหนดเงื่อนไขเพิ่มเติมให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำหนดวิธีการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลในการใช้ข้อมูลส่วนบุคคลของตนที่ได้ให้ไว้ก่อนหน้านี้โดยง่ายและสะดวก ดังนั้นภาคธุรกิจต่างๆ ที่ประสงค์จะใช้ข้อมูลส่วนบุคคลต่อไปตามข้อยกเว้นนี้ควรทำความเข้าใจถึงข้อจำกัดและหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงวิธีการยกเลิกความยินยอมในการใช้ข้อมูลส่วนบุคคล

ผู้ประกอบธุรกิจในสหภาพยุโรปอาจเห็นว่า GDPR และพ.ร.บ.ฯ มีความคล้ายคลึงกัน แต่อย่างไรก็ตาม มาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่เป็นไปตาม GDPR ก็ควรต้องมีการปรับให้เข้ากับบริบทของประเทศไทยเพื่อให้เป็นไปตามพ.ร.บ.ฯ ฉบับนี้ สำนักงานฯ จึงขอแนะนำภาคธุรกิจที่มีการเก็บรักษาข้อมูลส่วนบุคคลให้ปฏิบัติตามขั้นตอนเบื้องต้น 7 ขั้นตอนเพื่อเตรียมความพร้อมสำหรับการปฏิบัติตามพ.ร.บ.ฯ ฉบับนี้ซึ่งกำลังจะมีผลบังคับอย่างสมบูรณ์

ขั้นตอนที่ 1 ตรวจสอบข้อมูลส่วนบุคคลที่จำเป็นต่อธุรกิจของท่าน

เนื่องจากพ.ร.บ.ฯ ฉบับนี้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานตามกฎหมายรองรับในการประมวลผลข้อมูลส่วนบุคคล ภาคธุรกิจจึงควรตรวจสอบว่าตนจำเป็นต้องใช้ข้อมูลส่วนบุคคลประเภทใดบ้างในการประกอบธุรกิจของตน เช่น ข้อมูลส่วนบุคคลที่ต้องมีเพื่อให้บริการต่อลูกค้า และข้อมูลส่วนบุคคลที่จำเป็นสำหรับการดำเนินการภายในบริษัท เช่น ข้อมูลส่วนบุคคลของพนักงานลูกจ้างและคู่ค้าของบริษัท โดยแต่ละประเภทของข้อมูลอาจมีฐานตามกฎหมายสำหรับการประมวลผลที่แตกต่างกันไป

การตรวจสอบนั้นควรดำเนินการเพื่อระบุขั้นตอนและกระบวนการที่เกี่ยวข้องในการใช้ข้อมูลส่วนบุคคลแต่ละประเภท รวมถึงบุคลากรและความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เพื่อที่จะออกแบบมาตรการที่เหมาะสมสำหรับฐานตามกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลแต่ละประเภท

ขั้นตอนที่ 2 ระบุฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล

นอกจากฐานความยินยอมแล้ว พ.ร.บ.ฯ ยังกำหนดฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลอีก 6 ฐานด้วยกันตามที่ได้กล่าวถึงข้างต้น แม้การให้ความยินยอมจะเป็นฐานตามกฎหมายที่ถูกใช้มากที่สุดสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลในอดีตที่ผ่านมา แต่ความยินยอมนั้นอาจจะไม่ได้เป็นฐานตามกฎหมายที่เหมาะสมที่สุดสำหรับทุกกรณี เนื่องจากเจ้าของข้อมูลส่วนบุคคลสามารถที่จะถอนความยินยอมได้ทุกเมื่อ ส่งผลให้ผู้ประกอบธุรกิจไม่สามารถใช้ข้อมูลส่วนบุคคลที่มีอยู่ได้

ขั้นที่ 3 จัดทำคำร้องขอความยินยอม หากจำเป็นต้องใช้ฐานความยินยอม

ก่อนที่จะมีการประกาศใช้พ.ร.บ.ฯ  ความยินยอมเป็นวิธีที่ภาคธุรกิจมักนำมาใช้เพื่อให้แน่ใจว่าการใช้ข้อมูลส่วนบุคคลจะไม่ถูกโต้แย้ง อย่างไรก็ดี พ.ร.บ.ฯ  ได้กำหนดวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อให้แน่ใจว่าบุคคลนั้นได้รับข้อมูลอย่างเพียงพอในการตัดสินใจก่อนมีการจัดเก็บข้อมูลส่วนบุคคล และการให้ความยินยอมนั้นเป็นการให้ความยินยอมโดยอิสระ

ภายใต้พ.ร.บ.ฯ คำร้องขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจนและต้องใช้ภาษาที่อ่านง่าย กล่าวคือ คำร้องขอความยินยอมไม่ควรพิมพ์ด้วยตัวอักษรขนาดเล็ก หรือแทรกอยู่ในข้อกำหนดและเงื่อนไขทั่วไปอื่นๆ

ภายใต้พ.ร.บ.ฯ คำร้องขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจนและต้องใช้ภาษาที่อ่านง่าย กล่าวคือ คำร้องขอความยินยอมไม่ควรพิมพ์ด้วยตัวอักษรขนาดเล็ก หรือแทรกอยู่ในข้อกำหนดและเงื่อนไขทั่วไปอื่นๆ นอกจากนี้ คำร้องขอความยินยอมควรจัดทำเป็นหลายภาษา เพื่อหลีกเลี่ยงการโต้แย้งจากผู้ใช้ภาษาอื่นว่าการขอความยินยอมไม่เป็นไปตามที่กำหนดไว้ในพ.ร.บ.ฯ

หลักเกณฑ์สำคัญอีกประการหนึ่ง คือ ผู้ประกอบการจะต้องไม่กำหนดเงื่อนไขให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการให้บริการแก่เจ้าของข้อมูลส่วนบุคคลนั้นๆ กล่าวคือ แนวทางปฏิบัติทั่วไปในปัจจุบันซึ่งกำหนดให้ลูกค้าต้องให้ความยินยอมแบบเหมารวมโดยเป็นส่วนหนึ่งของการยอมรับข้อกำหนดและเงื่อนไขทั้งหมดเกี่ยวกับการใช้ข้อมูลส่วนบุคคลก่อนที่ลูกค้าจะใช้บริการ ซึ่งมักรวมถึงการใช้ข้อมูลส่วนบุคคลสำหรับการตลาดแบบตรงหรือการแบ่งปันข้อมูลส่วนบุคคลให้บริษัทในเครือเพื่อวัตถุประสงค์ทางการตลาด จะไม่สามารถทำได้ภายใต้พ.ร.บ.ฯ  ฉบับนี้

นอกจากนี้ พ.ร.บ.ฯ  ยังมีข้อกำหนดในการขอความยินยอมที่รัดกุมยิ่งขึ้นสำหรับข้อมูลส่วนบุคคลบางประเภทที่ถือเป็นข้อมูลอ่อนไหว ได้แก่ ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง  ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และข้อมูลส่วนบุคคลอื่นใดตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด  ทั้งนี้ความยินยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลจำพวกนี้จะต้องเป็น “ความยินยอมโดยชัดแจ้ง” ซึ่งต้องแยกส่วนโดยชัดเจนจากคำร้องขอความยินยอมสำหรับการประมวลผลข้อมูลส่วนบุคคลทั่วไปอื่น ๆ

"พ.ร.บ.ฯ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดวิธีการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น รวมไปถึงฐานตามกฎหมายที่เกี่ยวข้องสำหรับการประมวลผลข้อมูลส่วนบุคคล บุคคลภายนอกที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผย"

ขั้นตอนที่ 4 จัดเตรียมและใช้นโยบายความเป็นส่วนตัว

พ.ร.บ.ฯ  กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดวิธีการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น รวมไปถึงฐานตามกฎหมายที่เกี่ยวข้องสำหรับการประมวลผลข้อมูลส่วนบุคคล บุคคลภายนอกที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผย ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล รายละเอียดติดต่อของผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้ามี) และสิทธิของเจ้าของข้อมูลส่วนบุคคล

ข้อมูลที่กล่าวมานี้อาจอยู่ในรูปแบบของ “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่จัดทำให้เจ้าของข้อมูลส่วนบุคคลอ่านและทำความเข้าใจก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล ประกาศความเป็นส่วนตัวนี้ควรเป็นเอกสารที่กระชับและใช้ภาษาที่เข้าใจง่าย โดยอาจมีลิงก์ (link) เพื่อนำผู้อ่านไปสู่รายละเอียดเพิ่มเติมใน “นโยบายความเป็นส่วนตัว (Privacy Policy)” ซึ่งเป็นเอกสารที่อธิบายรายละเอียดเพิ่มเติมเกี่ยวกับเหตุผลของการประมวลผล รวมถึงวิธีการประมวลข้อมูลส่วนบุคคล และวิธีการสำหรับเจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิของตนตามพ.ร.บ.ฯ

ขั้นตอนที่ 5 จัดเตรียมข้อตกลงการประมวลผลข้อมูลส่วนบุคคล

หากธุรกิจของท่านไม่ได้ทำการประมวลผลข้อมูลส่วนบุคคลด้วยตนเอง พ.ร.บ.ฯ  กำหนดให้ท่านซึ่งถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องเข้าทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลที่ท่านว่าจ้าง “การประมวลผล” ครอบคลุมถึงขั้นตอนดำเนินงานประจำวันและงานสนับสนุนต่างๆ (back office) รวมถึงการจัดเก็บเอกสาร (data storage) ไม่ว่าเป็นการเก็บโดยผู้ให้บริการจัดเก็บเอกสารแบบดั้งเดิมหรือการเก็บข้อมูลผ่านระบบคลาวด์ (cloud-based storage) ดังนั้น สำนักงานฯ เห็นว่าผู้ประกอบการจำนวนไม่น้อยมีความจำเป็นที่จะต้องทำข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการซึ่งจะถือว่าเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ ฉบับนี้

ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล คู่สัญญาทั้งสองฝ่ายควรมีการแบ่งความรับผิดชอบอย่างเหมาะสมและรัดกุม เนื่องจากโทษตามพ.ร.บ.ฯ  มีทั้งบทลงโทษทางแพ่ง ปกครอง และอาญา อีกทั้งยังให้สิทธิเจ้าของข้อมูลส่วนบุคคลในการเรียกร้องค่าเสียหายเชิงลงโทษในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล

ขั้นตอนที่ 6 พิจารณาว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

เช่นเดียวกับ GDPR หากการดำเนินกิจกรรมของธุรกิจของท่านจำเป็นต้องมีการ “ตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เนื่องจากข้อมูลส่วนบุคคลมีเป็นจำนวนมาก” หรือหากมีกิจกรรมหลักเป็นการประมวลผลข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว พ.ร.บ.ฯ  กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ตาม เกณฑ์การพิจารณาว่ากิจกรรมใดเป็นการ “ตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เนื่องจากมีข้อมูลส่วนบุคคลเป็นจำนวนมาก” ยังต้องมีการพิจารณาและกำหนดโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต่อไป อย่างไรก็ตาม แม้ว่าประเด็นนี้จะยังไม่มีความชัดเจน แต่ก็มีความเป็นไปได้ที่ธุรกิจขนาดใหญ่และผู้ประกอบการ SMEs ที่มีขนาดใหญ่จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ นี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำเกี่ยวกับการปฏิบัติตามพ.ร.บ.ฯ  ตรวจสอบการประมวลผลข้อมูลส่วนบุคคลโดยบริษัทและลูกจ้างของบริษัท และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการปฏิบัติตามพ.ร.บ.ฯ

ในกรณีที่พ.ร.บ.ฯ กำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแต่บริษัทมิได้ปฏิบัติตาม กรณีดังกล่าวดังกล่าวจะถือเป็นการฝ่าฝืนพ.ร.บ.ฯ  แม้ว่าการรวบรวมและการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะเป็นไปตามพ.ร.บ.ฯ ก็ตาม

"หน้าที่ในการปฏิบัติตามพ.ร.บ.ฯ จะมีเพิ่มขึ้นเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีการจัดตั้งและเริ่มปฏิบัติงานโดยสมบูรณ์"

ขั้นตอนที่ 7 จัดทำนโยบายกลุ่มสำหรับการโอนข้อมูลส่วนบุคคลให้แก่บริษัทในเครือซึ่งอยู่ต่างประเทศ

พ.ร.บ.ฯ  ควบคุมการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยด้วยวิธีการที่คล้ายคลึงกับกับหลักการ adequacy decision ของ GDPR อย่างไรก็ตาม เนื่องจากรายละเอียดของประเทศที่ถือว่า “มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ” ยังไม่ได้มีการกำหนด ผู้ควบคุมข้อมูลส่วนบุคคลอาจอาศัยเหตุอื่นตามพ.ร.บ.ฯ สำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทย กล่าวคือ  ฐานการปฏิบัติตามกฎหมาย ฐานสัญญา การปฏิบัติตามหน้าที่ตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลที่สามเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ฐานประโยชน์สำคัญต่อชีวิต และการดำเนินงานที่สำคัญเพื่อสาธารณประโยชน์

สำหรับบริษัทที่มีการแบ่งปันข้อมูลส่วนบุคคลกับบริษัทในเครือซึ่งอยู่นอกประเทศไทย พ.ร.บ.ฯ  ได้มีวิธีการที่คล้ายกันกับ Binding Corporate Rules ตาม GDPR โดยพ.ร.บ.ฯ  อนุญาตให้มีการโอนข้อมูลส่วนบุคคลออกนอกประเทศไทยได้ หากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ถูกโอนไปยังบริษัทในเครือที่อยู่ต่างประเทศ โดยนโยบายที่ใช้ภายในกลุ่มนี้ต้องได้รับการอนุมัติจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก่อน

แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะยังไม่ได้กำหนดหลักเกณฑ์สำหรับนโยบายกลุ่มในการคุ้มครองข้อมูลส่วนบุคคลสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทย แต่ภาคธุรกิจควรเริ่มจัดทำมาตรการคุ้มครองข้อมูลส่วนบุคคลเพื่อนำมาใช้ระหว่างบริษัทในเครือของตน

เนื้อหาในบทความนี้เป็นเพียงการอธิบายรายละเอียดของพ.ร.บ.ฯ โดยสังเขปเท่านั้น โดยหน้าที่ในการปฏิบัติตามพ.ร.บ.ฯ จะมีเพิ่มขึ้นเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีการจัดตั้งและเริ่มปฏิบัติงานโดยสมบูรณ์

ท่านสามารถติดต่อสำนักงานฯ เพื่อขอรับปรึกษา หรือหากท่านมีคำถามหรือต้องการคำแนะนำใดๆ เกี่ยวกับการเตรียมความพร้อมของธุรกิจในการดำเนินการตามพ.ร.บ.ฯ ฉบับนี้