สาระสำคัญประกาศกฎหมายลำดับรองภายใต้ PDPA 4 ฉบับ

สาระสำคัญประกาศกฎหมายลำดับรองภายใต้ PDPA 4 ฉบับ

เมื่อวันที่ 20 มิ.ย. 2565 ที่ผ่านมา ราชกิจจานุเบกษาได้เผยแพร่กฎหมายลำดับรองจำนวน 4 ฉบับซึ่งออกตามความในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีสาระสำคัญของกฎหมายลำดับรอง ทั้ง 4 ฉบับ

1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565

ผู้ควบคุมข้อมูลส่วนบุคคลตามประกาศฯ ฉบับดังกล่าวหมายถึง บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล หรือผู้ประกอบธุรกิจฟรีแลนซ์ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือพนักงาน โดยผู้ประกอบการที่มีลักษณะตามที่กำหนดไว้ในประกาศฯ ได้รับการยกเว้นไม่ต้องทำ “บันทึกรายการ” ดังนี้

  • วิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลางตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม 
  • วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
  • วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
  • สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกรตามกฎหมายว่าด้วยสหกรณ์
  • มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
  • กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน

ตามกฎกระทรวงกําหนดลักษณะของวิสาหกจิขนาดกลางและขนาดย่อม พ.ศ. 2562 แบ่งประเภทวิสาหกิจไว้ดังนี้ 

ทั้งนี้ ผู้ให้บริการที่ได้รับการยกเว้นต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลปริมาณมากประเภทต่อไปนี้

  • ผู้ประกอบกิจการโทรคมนาคมและ กิจการกระจายภาพและเสียง (Telecom and Broadcast Carrier)
  • ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access Service Provider) 
  • ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรมประยุกต์ต่างๆ (Hosting Service Provider)
  • ผู้ให้บริการแอปพลิเคชันติดต่อสื่อสารข้อมูลถึงกัน (Online Application Store)
  • ผู้ให้บริการสื่อสังคมออนไลน์  
  • ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชันต่างๆ (Content and Application Service Provider) 
  • ผู้ให้บริการคลาวด์ซึ่งให้บริการโดยตรงกับผู้ใช้งาน เช่น IaaS PaaS SaaS CDN
  • ผู้ให้บริการดิจิทัลที่ใช้เครือข่ายคอมพิวเตอร์เป็นส่วนหนึ่งของการให้บริการ (Digital Service Provider)

อย่างไรก็ตาม ผู้ประกอบการที่ได้รับการยกเว้นไม่ต้องทำ “บันทึกรายการ” ยังมีหน้าที่อื่น ๆ ตามที่กฎหมายกำหนด อาทิ ยังต้องแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมกับขนาดและประเภทของกิจการ เป็นต้น

ประกาศนี้มีผลใช้บังคับแล้ว

2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

ผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศฯ ฉบับนี้ ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์ที่รับจ้างหรือให้บริการประมวลผลข้อมูลให้ผู้ควบคุมข้อมูลส่วนบุคคล

โดยประกาศฉบับนี้กำหนดให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดดังนี้

  • ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล 
  • ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลรับจ้างดำเนินการให้
  • ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 
  • ประเภทหรือลักษณะของกิจกรรมการประมวลผล 
  • ประเภทของหน่วยงานที่ได้รับข้อมูล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

ประกาศนี้มีผลใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษา (มีผลบังคับใช้ 17 ธ.ค. 2565) ซึ่งจะทำให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีระยะเวลาในการเตรียมความพร้อมขององค์กรในการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด

 

3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ที่สำคัญของผู้ควบคุมข้อมูลส่วนบุคคล ประกาศฉบับนี้จึงได้กำหนดมาตรฐานขั้นต่ำเพื่อเป็นแนวทางในการดำเนินการสำหรับองค์กรต่าง ๆ โดยในส่วนของผู้ประกอบการขนาดเล็กควรให้ความสำคัญกับประเด็นดังต่อไปนี้

  • องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมไม่ว่าจะเก็บข้อมูลในรูปแบบกระดาษหรืออิเล็กทรอนิกส์
  • ต้องธำรงไว้ซึ่งการเป็นความลับของข้อมูล (confidentiality) ความถูกต้องครบถ้วน (integrity) และทำให้ข้อมูลพร้อมใช้งาน (availability)
  • ต้องมีมาตรการในการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ 
  • ต้องทบทวนมาตรการเมื่อมีความจำเป็น เช่นเมื่อมีเหตุการละเมิดเกิดขึ้น
  • สำหรับผู้ประกอบการขนาดเล็ก ประกาศฉบับนี้กำหนดชัดเจนว่าให้จัดมาตรการป้องกันเท่าที่จำเป็นเหมาะสม โดยคำนึงถึงระดับความเสี่ยงขององค์กร

ประกาศนี้มีผลใช้บังคับแล้ว

 

4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565

ประกาศนี้เป็นการกำหนดหลักเกณฑ์พิจารณาลงโทษปรับทางปกครองมีความชัดเจนมากขึ้น โดยให้คณะกรรมการผู้เชี่ยวชาญซึ่งมีหน้าที่พิจารณาเรื่องร้องเรียน ตรวจสอบการกระทำ ไกล่เกลี่ยข้อพิพาท และออกคำสั่งทางปกครองดำเนินการโดยคำนึงถึงปัจจัยต่าง ๆ หลายประการ อาทิ

  • เป็นการกระทำผิดโดยเจตนาหรือจงใจ หรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
  • ความร้ายแรงของพฤติกรรมที่กระทำผิด
  • ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  • ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้กระทำความผิด
  • การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษา ความมั่นคงปลอดภัยในขณะที่มีการกระทำความผิด
  • การเยียวยาและบรรเทาความเสียหายเมื่อทราบเหตุที่กระทำความผิด
  • การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจหรือมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลขณะที่มีการกระทำความผิด

โดยประกาศกำหนดให้คณะกรรมการผู้เชี่ยวชาญพิจารณาออกคำสั่งตามระดับความร้ายแรงของการทำความผิด ดังนี้

  • กรณีไม่ร้ายแรง ให้ตักเตือน หรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำ
  • กรณีร้ายแรง หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษปรับทางปกครอง

ประกาศนี้มีผลใช้บังคับแล้ว

 

กฎหมายลำดับรองทั้ง 4 ฉบับดังกล่าวถือว่าเป็นกฎหมายลำดับรองชุดแรกที่ออกตามความในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย 3 ฉบับมีผลใช้บังคับตั้งแต่วันที่ 21 มิ.ย. 2565 และอีกหนึ่งฉบับให้ระยะเวลาแก่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการจัดเตรียมกระบวนการเพื่อจัดทำบันทึกรายการตามที่กฎหมายกำหนดและจะใช้บังคับในวันที่ 17 ธ.ค. 2565