ข้อแนะนำแก่ภาคธุรกิจเพื่อเตรียมพร้อมสำหรับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ15 April 2020

สาระสำคัญของ พ.ร.บ.ฯ

พ.ร.บ.ฯ ฉบับนี้ กำหนดถึงวิธีการการเก็บรวมรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคล (ในบทความนี้ เรียกรวมกันว่า “การประมวลผลข้อมูลส่วนบุคคล”) ของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดา  โดยพ.ร.บ.ฯ มีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย  (ไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะได้กระทำขึ้นในหรือนอกประเทศไทย และไม่ว่าจะเป็นข้อมูลส่วนบุคคลของผู้มีสัญชาติไทยหรือสัญชาติอื่นใดก็ตาม) นอกจากนี้พ.ร.บ.ฯ ยังมีผลใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทย หากบุคคลดังกล่าวมีการเสนอผลิตภัณฑ์หรือบริการให้แก่ผู้ที่อาศัยอยู่ในประเทศไทยหรือได้มีการเฝ้าติดตามพฤติกรรมของบุคคลในประเทศไทย และประมวลผลข้อมูลส่วนบุคคลของบุคคลเหล่านั้น

เช่นเดียวกันกับ General Data Protection Regulation ของสหภาพยุโรป (“GDPR”) พ.ร.บ.ฯ ฉบับนี้มีวัตถุประสงค์เพื่อทำให้การประมวลผลข้อมูลส่วนบุคคลอยู่บนพื้นฐานตามกฎหมาย (“ฐานตามกฎหมาย”) การให้ความยินยอมเป็นเพียงหนึ่งในฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล และฐานตามกฎหมายอื่น ๆ ที่พ.ร.บ.ฯ กำหนด ได้แก่

• การจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เอกสารเกี่ยวกับการศึกษาวิจัยหรือสถิติ (“ฐานการวิจัย”)
• การป้องกันหรือการระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (“ฐานประโยชน์สำคัญต่อชีวิต”)
• เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น (“ฐานสัญญา”)
• เมื่อการประมวลผลเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือเพื่อปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานภารกิจของรัฐ”)
• เมื่อการประมวลผลเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวไม่ได้มีความสำคัญมากกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (“ฐานประโยชน์อันชอบธรรม”) และ
•  เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (“ฐานหน้าที่ตามกฎหมาย”)

ข้อกำหนดที่สำคัญอีกข้อหนึ่งของพ.ร.บ.ฯ ฉบับนี้ คือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเรื่องดังต่อไปนี้ในชณะหรือก่อนที่จะมีการเก็บรวบรวมข้อมูลส่วนบุคคล (1) รายละเอียดเกี่ยวกับวัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (2) การเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อบุคคลภายนอก และ (3) สิทธิของเจ้าของข้อมูลส่วนบุคคลต่อข้อมูลส่วนบุคคลของตนเอง

นอกจากนี้ พ.ร.บ.ฯ ยังได้กำหนดข้อปฏิบัติสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่นๆ ด้วย โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการทางด้านความปลอดภัยสำหรับการโอนข้อมูลส่วนบุคคลออกจากประเทศไทยไปยังประเทศอื่น

พ.ร.บ.ฯ ฉบับนี้ได้กำหนดกฎเกณฑ์และหน้าที่สำหรับภาคธุรกิจในการจัดการข้อมูลส่วนบุคคล โดยพ.ร.บ.ฯ ทั้งฉบับจะมีผลบังคับใช้ทันทีในวันที่ 27 พฤษภาคม 2563 แต่รายละเอียดในบางเรื่องยังคงอาศัยกฎหมายลำดับรองในการออกมาขยายความเพิ่มเติม โดยการออกกฎหมายลำดับรองเหล่านี้ยังคงต้องรอการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นผู้กำกับดูแลตามพ.ร.บ.ฯ และมีอำนาจออกกฎหมายลำดับรองตามพ.ร.บ.ฯ ฉบับนี้ อย่างไรก็ตาม แม้จะยังไม่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลก็สามารถดำเนินการทางกฎหมายต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้โดยตรงในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลตามพ.ร.บ.ฯ ได้

สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนวันที่ 27 พฤษภาคม 2563  พ.ร.บ.ฯ ฉบับนี้ได้เปิดช่องให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิมเท่านั้น แต่พ.ร.บ.ฯ ได้กำหนดเงื่อนไขเพิ่มเติมให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำหนดวิธีการยกเลิกความยินยอมของเจ้าของข้อมูลส่วนบุคคลในการใช้ข้อมูลส่วนบุคคลของตนที่ได้ให้ไว้ก่อนหน้านี้โดยง่ายและสะดวก ดังนั้นภาคธุรกิจต่างๆ ที่ประสงค์จะใช้ข้อมูลส่วนบุคคลต่อไปตามข้อยกเว้นนี้ควรทำความเข้าใจถึงข้อจำกัดและหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงวิธีการยกเลิกความยินยอมในการใช้ข้อมูลส่วนบุคคล

ผู้ประกอบธุรกิจในสหภาพยุโรปอาจเห็นว่า GDPR และพ.ร.บ.ฯ มีความคล้ายคลึงกัน แต่อย่างไรก็ตาม มาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่เป็นไปตาม GDPR ก็ควรต้องมีการปรับให้เข้ากับบริบทของประเทศไทยเพื่อให้เป็นไปตามพ.ร.บ.ฯ ฉบับนี้ สำนักงานฯ จึงขอแนะนำภาคธุรกิจที่มีการเก็บรักษาข้อมูลส่วนบุคคลให้ปฏิบัติตามขั้นตอนเบื้องต้น 7 ขั้นตอนเพื่อเตรียมความพร้อมสำหรับการปฏิบัติตามพ.ร.บ.ฯ ฉบับนี้ซึ่งกำลังจะมีผลบังคับอย่างสมบูรณ์

ขั้นตอนที่ 1 ตรวจสอบข้อมูลส่วนบุคคลที่จำเป็นต่อธุรกิจของท่าน

เนื่องจากพ.ร.บ.ฯ ฉบับนี้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานตามกฎหมายรองรับในการประมวลผลข้อมูลส่วนบุคคล ภาคธุรกิจจึงควรตรวจสอบว่าตนจำเป็นต้องใช้ข้อมูลส่วนบุคคลประเภทใดบ้างในการประกอบธุรกิจของตน เช่น ข้อมูลส่วนบุคคลที่ต้องมีเพื่อให้บริการต่อลูกค้า และข้อมูลส่วนบุคคลที่จำเป็นสำหรับการดำเนินการภายในบริษัท เช่น ข้อมูลส่วนบุคคลของพนักงานลูกจ้างและคู่ค้าของบริษัท โดยแต่ละประเภทของข้อมูลอาจมีฐานตามกฎหมายสำหรับการประมวลผลที่แตกต่างกันไป

การตรวจสอบนั้นควรดำเนินการเพื่อระบุขั้นตอนและกระบวนการที่เกี่ยวข้องในการใช้ข้อมูลส่วนบุคคลแต่ละประเภท รวมถึงบุคลากรและความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เพื่อที่จะออกแบบมาตรการที่เหมาะสมสำหรับฐานตามกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลแต่ละประเภท

ขั้นตอนที่ 2 ระบุฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล

นอกจากฐานความยินยอมแล้ว พ.ร.บ.ฯ ยังกำหนดฐานตามกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคลอีก 6 ฐานด้วยกันตามที่ได้กล่าวถึงข้างต้น แม้การให้ความยินยอมจะเป็นฐานตามกฎหมายที่ถูกใช้มากที่สุดสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลในอดีตที่ผ่านมา แต่ความยินยอมนั้นอาจจะไม่ได้เป็นฐานตามกฎหมายที่เหมาะสมที่สุดสำหรับทุกกรณี เนื่องจากเจ้าของข้อมูลส่วนบุคคลสามารถที่จะถอนความยินยอมได้ทุกเมื่อ ส่งผลให้ผู้ประกอบธุรกิจไม่สามารถใช้ข้อมูลส่วนบุคคลที่มีอยู่ได้

ขั้นที่ 3 จัดทำคำร้องขอความยินยอม หากจำเป็นต้องใช้ฐานความยินยอม

ก่อนที่จะมีการประกาศใช้พ.ร.บ.ฯ  ความยินยอมเป็นวิธีที่ภาคธุรกิจมักนำมาใช้เพื่อให้แน่ใจว่าการใช้ข้อมูลส่วนบุคคลจะไม่ถูกโต้แย้ง อย่างไรก็ดี พ.ร.บ.ฯ  ได้กำหนดวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อให้แน่ใจว่าบุคคลนั้นได้รับข้อมูลอย่างเพียงพอในการตัดสินใจก่อนมีการจัดเก็บข้อมูลส่วนบุคคล และการให้ความยินยอมนั้นเป็นการให้ความยินยอมโดยอิสระ