Home > เตรียมการไม่ทัน พรบ. ข้อมูลส่วนบุคคลฯ พ.ค. นี้ จะถูกลงโทษ ไม่เป็นความจริง!!

เตรียมการไม่ทัน พรบ. ข้อมูลส่วนบุคคลฯ พ.ค. นี้ จะถูกลงโทษ ไม่เป็นความจริง!!

Tags: gdpr, พรบ ข้อมูลส่วนบุคคลฯ, กฎหมายและนโยบายการสื่อสาร, บางกอกไลฟ์นิวส์, bangkoklifenews, โควิด-19, covid-19, โคโรนา 2019

เพจ “กฎหมายและนโยบายการสื่อสาร” แจง พรบ. ข้อมูลส่วนบุคคลฯ บังคับใช้พ.ค. นี้ เกือบทั้งหมดเป็นเรื่องมาตรฐาน ไม่ใช่เรื่องละเมิด การฟ้องทางปกครอง และอาญา ที่ไม่ทำตามมาตรฐาน จะยังต้องรอ ส่วนการฟ้องละเมิด สามารถฟ้องตาม ปพพ. มาตรา 420 เดิม และรัฐธรรมนูญรับรองไว้นานแล้ว ไม่จำเป็นต้องฟ้องตาม พรบ.ข้อมูลส่วนบุคคลฯ

 

          เฟซบุ๊ก “กฎหมายและนโยบายการสื่อสาร” เผยแพร่ข้อมูลซึ่งมีรายละเอียดเกี่ยวกับการบังคับใช้พระราชบัญญัติ ข้อมูลส่วนบุคคลฯ ในเดือนพฤษภาคม 2563 โดยมีรายละเอียด ดังนี้

 

          เตรียมการไม่ทัน พรบ. ข้อมูลส่วนบุคคลฯ พ.ค. นี้ จะถูกลงโทษ ไม่เป็นความจริง!!

 

          พรบ. ข้อมูลส่วนบุคคลฯกำลังจะมีผลบังคับใช้เดือนพฤษภาคม 2563 นี้และมีคำถามสำคัญว่าจะต้องเตรียมตัวอย่างไร ยิ่งในสถานการณ์ที่มี covid-19 แบบนี้ผู้ประกอบการจะยิ่งเดือดร้อนลำบากเป็นภาระและจะไม่สามารถเตรียมการรับมือได้ โดยเฉพาะว่าจะถูกฟ้องได้หากไม่สามารถเตรียมการได้ทัน เรื่องนี้มีประเด็นต้องทำความเข้าใจเป็นข้อๆประมาณนี้

 

          1. เรื่องการถูกฟ้องคดีนั้น จะเป็นการฟ้องละเมิด ที่สามารถฟ้องได้ตาม ปพพ.มาตรา 420 อยู่เดิม และรัฐธรรมนูญรับรองไว้นานแล้ว ไม่จำเป็นต้องฟ้องตาม พรบ. ข้อมูลส่วนบุคคลฯ

 

          2. พรบ. ข้อมูลส่วนบุคคลฯ จะมีผลบังคับใช้เดือนพฤษภาคมนี้จึงมีผลในลักษณะที่กำหนดมาตรฐานของการใช้ข้อมูลส่วนบุคคล เกือบทั้งหมดเป็นเรื่องมาตรฐาน ไม่ใช่เรื่องละเมิด การฟ้องทางปกครอง และอาญา ที่ไม่ทำตามมาตรฐาน จะยังต้องรอ สคส. อีกระยะหนึ่งอยู่ดี น่าจะประมาณอีก 1 ปี

 

          3. สำหรับประชาชนทั่วไปจะไม่มีภาระอะไรตามกฎหมาย แต่จะได้รับความคุ้มครองจากกฎหมายเพราะเป็น data subjects ที่กฎหมายต้องการคุ้มครอง ไม่ใช่เรื่องถ่ายรูปในที่สาธารณะแล้วจะมีความผิดได้ และกิจกรรมทั้งหมดที่ทำส่วนตัว ได้รับข้อยกเว้นตามกฎหมายอยู่แล้วครับ

 

          4. ขณะนี้ สคส. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) อยู่ระหว่างดำเนินการสรรหากรรมการ และเตรียมการสำนักงานเพื่อออกกฎระเบียบลำดับรองต่างๆ ซึ่งกฎต่างๆ ก็น่าจะไปในทางหลักเกณฑ์และวิธีการมารองรับการทำงาน ซึ่งกฎหมายก็ให้เวลาอีก 1 ปี

 

          5. สำหรับปัญหา Covid-19 กับประเด็นคุ้มครองข้อมูลส่วนบุคคล ยิ่งน่าจะทำให้ผู้ประกอบการมีโอกาสละเมิดข้อมูลส่วนบุคคลน้อยลง เพราะกิจกรรมการตลาดจะลดลงมาก การทำ consent ต่างๆ เกิดขึ้นได้น้อย และการเข้าถึงข้อมูลก็ต้องผ่าน social media หรือ app ต่างๆ ซึ่งเค้าก็มีมาตรการรองรับกันอยู่แล้ว ปัญหาที่ต้องห่วงคือ กรณีเราเก็บข้อมูลเองมากกว่า

 

          6. Covid-19 จึงน่าจะเป็นช่วงเวลาที่เราจะเตรียมการได้ง่ายขึ้น เพราะกิจกรรมหลายอย่างหยุดลง ทำให้จัดการได้ง่าย หลายองค์กรก็ใช้เวลานี้ในการเตรียมการเสร็จเรียบร้อยไปแล้ว

 

          7. กรณีต้องการทำ app ต่างๆเพื่อเก็บข้อมูลสุขภาพช่วงนี้ เอกชนต้องระมัดระวังให้มาก โดยเฉพาะว่าเป็นสถานการณ์พิเศษ อาจร่วมมือกับหน่วยงานที่มีภารกิจมารับรองเพื่อใช้ฐาน public tasks และ substantial public interest และโดยสภาพตอนให้ติดตั้ง app ก็ต้องมีการแจ้งขอ explicit consent กรณีที่ไม่จัดเก็บข้อมูลมาส่วนกลาง แต่เก็บข้อมูลไว้ที่อุปกรณ์ของผู้ใช้เอง ก็จะมีความปลอดภัยเพิ่มขึ้น เรื่องนี้ดูรายละเอียดเพิ่มเติมได้ที่ https://www.blognone.com/node/115864

 

          8. กรณีต้องการทำ app เพื่อธุรกิจเรื่องอื่นๆ ก็ยังคงทำได้ต่อไป เพียงแต่ทำตามข้อแนะนำในข้อต่อไป โดยเฉพาะเรื่องความปลอดภัย

 

          9. ข้อแนะนำต่อไปนี้เป็นเรื่องมาตรฐานที่กฎหมายเขียนไว้ชัดเจน จึงไม่ใช่เรื่องที่ต้องรอให้สำนักงานฯมาออกกฎให้ทำอะไรยังไง และถ้าออก ก็ไม่สามารถออกให้แตกต่างจากมาตรฐานสากลได้ GDPR, ISO27701, NIST Privacy Framework, etc.

 

          10. ทีนี้มาตรฐานที่ต้องทำมีอะไรบ้าง ในระยะนี้คำแนะนำคือ

          a. [มาตรา 23] การแจ้งการประมวลผลซึ่งทำกันแล้วอย่างกว้างขวางด้วย สิ่งที่เรียกว่า privacy policy

          b. [มาตรา 24] ซึ่งในการแจ้งนี้ หลักข้อนึงคือการอธิบายการทำงานได้ด้วยฐานการประมวลข้อมูล

          c. [มาตรา 19] กรณีที่ต้องขอความยินยอมก็ต้องมี consent form

          d. [มาตรา 37] มาตรการเพื่อความปลอดภัยของข้อมูล หลักๆคือ อย่าปล่อยให้ข้อมูล ไม่มี Access Control

          e. [มาตรา 39] มีการบันทึกกิจกรรมการประมวลข้อมูลส่วนบุคคล ที่ทำกันแล้วอย่างกว้างขวาง ที่เรียกว่า ROP (Record of Processing Activities)

 

          11. สิ่งที่แนะนำในข้อ 10 ทั้งหมดผู้ประกอบการสามารถดำเนินการได้ด้วยตัวเอง และดูตัวอย่างได้มากมายในอินเทอร์เน็ต เว็บดีๆที่แนะนำ เช่น

          a. https://ico.org.uk/global/privacy-notice/

          b. https://www.scb.co.th/…/personal-banking/privacy-policy.html

          c. https://www.apthai.com/th/privacy-policy

          d. http://www.ais.co.th/privacypolicy/th/

 

          12. สรุปว่าควรใช้เวลานี้เตรียมการเพราะ Covid-19 มาช่วยให้เราทำอะไรได้ง่ายขึ้น เรื่องข้อกังวลอื่นๆที่กลัวโดนฟ้อง กลัวจะทำไม่ทันจะถูกลงโทษ ไม่เป็นความจริงครับ สำหรับคำอธิบายต่างๆ ท่านสามารถอ่านได้เพิ่มเติมจาก TDPG2.0 https://www.law.chula.ac.th/…/20…/10/TDPG2.0-C5-20191009.pdf และเอกสารมากมายที่มีเผยแพร่ทั่วไป

 

 

#dataprotection

#guidelines

#covid19

 

CR : Facebook “กฎหมายและนโยบายการสื่อสาร”
https://www.facebook.com/thaicommlawnpolicy