ปปป

สรุปการประชุมเชิงปฏิบัติการเพื่อระดมความคิดเห็นต่อ (ร่าง) กรอบแผนแม่บทฯ ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ( PDPA )

meeting March feature image article

สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับ สถาบันวิชาการนโยบายกิจการสาธารณะกับธุรกิจและการกำกับดูแล มหาวิทยาลัยหอการค้าไทย ได้จัดการประชุมในรูปแบบออนไลน์ จำนวน 5 ครั้ง

ภายใต้ชื่อ การประชุมเชิงปฏิบัติการเพื่อระดมความคิดเห็นต่อ (ร่าง) กรอบแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 – 2568  ทั้งในส่วนกลางและส่วนภูมิภาค ในระหว่างวันที่ 15-19 มี.ค. 2564 ที่ผ่านมา

กำหนดการประชุมแต่ละครั้ง ประกอบด้วย ช่วงเช้า เป็นการบรรยายให้ความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ช่วงบ่าย เป็นการนำเสนอ (ร่าง) กรอบแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 – 2568 โดยมีวิทยากรให้การบรรยายในแต่ละช่วง ได้แก่

  1. ผู้ช่วยศาสตราจารย์ ดร.ประพันธ์พงษ์ ขำอ่อน
    ที่ปรึกษาเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  2. ผู้ช่วยศาสตราจารย์ ดร.ณัฐริกา แชน
    คณบดีคณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย
  3. ผู้ช่วยศาสตราจารย์ ดร.อรอมล อาระพล
    รองคณบดีฝ่ายบริหารคณะนิติศาสตร์มหาวิทยาลัยหอการค้าไทย
  4. ผู้ช่วยศาสตราจารย์ ปกรณ์ วิญญูหัตถกิจ
    อาจารย์ประจาคณะนิติศาสตร์มหาวิทยาลัยหอการค้าไทย
  5. ดร.ชัชชัย หวังวิวัฒนา
    ผู้ช่วยอธิการบดีฝ่ายเทคโนโลยีสารสนเทศ มหาวิทยาลัยหอการค้าไทย

โดยในการประชุมได้มีการพูดถึงประเด็นต่างๆ โดยสรุปได้ ดังนี้

  • สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้มีการเตรียมความพร้อม 3 เรื่อง ได้แก่
    • กฎหมายลำดับรอง
    • การจัดทำแนวปฏิบัติ โดยแบ่งตามประเภทกิจการ
    • การจัดทำแผนแม่บทการคุ้มครองข้อมูลส่วนบุคคล
  • การบรรยายให้ความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    • ข้อมูลส่วนบุคคล มี 2 ประเภท ได้แก่
      • ข้อมูลส่วนบุคคล (ทั่วไป) เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน ฯลฯ
      • ข้อมูลส่วนบุคคลที่อ่อนไหว กฎหมายจะให้การคุ้มครองที่เข้มงวดกว่าข้อมูลส่วนบุคคล (ทั่วไป) เนื่องจากข้อมูลประเภทนี้มีโอกาสโดนละเมิดสูงกว่า เช่น เชื้อชาติ ความเชื่อทางศาสนา ข้อมูลพันธุกรรม รสนิยมทางเพศ เป็นต้น
    • ความจำเป็นในการคุ้มครองข้อมูลส่วนบุคคล
      • เพื่อสร้างความเชื่อมั่น
      • ยกระดับการธรรมาภิบาลข้อมูล ( มีการกำกับดูแลข้อมูลที่ดีกว่าเก่า )
      • ยกระดับสู่มาตรฐานสากล
    • หลักการของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
      • บังคับใช้กับใคร
        • ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล ที่อยู่ในประเทศไทย และ ที่อยู่นอกประเทศไทยแต่ประมวลผลข้อมูลส่วนบุคคลของคนที่อยู่ในประเทศไทย
      • หลักการคุ้มครอง
        • เก็บหรือใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่แจ้งกับเจ้าของข้อมูล
        • ต้องแจ้งให้เจ้าของข้อมูลทราบวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลก่อนที่จะนำข้อมูลมาใช้
        • ให้ความมั่นคงปลอดภัยกับข้อมูลส่วนบุคคล
        • ฐานกฎหมายที่ให้ใช้ข้อมูลได้
          • Consent: เจ้าของข้อมูลส่วนบุคคลยินยอม
          • Contract: เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล
          • Legitimate interest: เป็นผลประโยชน์อันชอบด้วยกฎหมายของผู้ประมวลผลข้อมูลหรือบุคคลภายนอก
          • ฐานอื่นๆ เช่น ใช้ข้อมูลส่วนบุคคลเพื่อการวิจับ หรือการปฏิบัติตามกฎหมาย ฯลฯ
      • สิทธิของเจ้าของข้อมูลส่วนบุคคล ได้แก่ สิทธิขอเข้าถึงและขอรับสำเนา สิทธิขอให้โอนข้อมูล สิทธิคัดค้านการเก็บรวบรวม สิทธิระงับการเก็บรวบรวม สิทธิขอให้ลบหรือทำลายข้อมูล
      • องค์กรกำกับดูแลเรื่องข้อมูลส่วนบุคคล คือ สำนักงานคณะกรรมการคุ้มครองข้อมุลส่วนบุคคล (สคส.) มีหน้าที่
        • ส่งเสริมมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
        • สนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคล
        • ส่งเสริมและสนับสนุนงานวิจัย
        • ประสานงานกับหน่วยงานในประเทศและต่างประเทศ
        • ให้คำปรึกษา และเป็นศูนย์กลางในการบริการวิชาการ
        • กำหนดหลักสูตรและการฝึกอบรม
        • ติดตามประเมินผลการดาเนินงานตาม พ.ร.บ.
      • กระบวนการร้องเรียนโดยเจ้าของข้อมูลส่วนบุคคล
        1. เจ้าของข้อมูลส่วนบุคคลร้องเรียนต่อ สคส. และคณะกรรมการผู้เชี่ยวชาญของ สคส. พิจารณาเรื่องร้องเรียน
        2. คู่กรณีไกล่เกลี่ยข้อพิพาท ( หากไกล่เกลี่ยได้ ข้อพิพาทยุติ )
        3. หากไกล่เกลี่ยไม่ได้ สคส.มีคำสั่งให้ดำเนินการแก้ไขการกระทำ/สั่งห้ามกระทำการ เพื่อระงับความเสียหาย
        4. หากผู้กระทำผิดยังไม่แก้ไขการกระทำ สคส.สั่งปรับทางปกครอง ( โทษทางปกครอง )
      • การลงโทษผู้ไม่ปฏิบัติตาม
        • ความรับผิดทางแพ่ง (เมื่อมีการเรียกร้องโดยผู้เสียหายผ่านกระบวนการทางศาลยุติธรรมเท่านั้น) ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
        • โทษทางอาญา (โทษจำคุก 6 เดือน – 1 ปี และโทษปรับ 5 แสน – 1 ล้านบาท) (เฉพาะกรณีที่เข้าองค์ประกอบความผิดทางอาญาเท่านั้น) มีโทษทางอาญาถ้าความผิดทำให้เกิดการเสียชื่อเสียงถูกดูหมิ่น เกลียดชัง หรือได้รับความอับอาย สามารถยอมความกันได้
        • การปรับทางปกครอง (1-5 ล้านบาท) คณะกรรมการผู้เชี่ยวชาญของ สคส.มีอำนาจสั่งโทษปรับทางปกครองได้ โดยคำนึงถึงความร้ายแรงของพฤติกรรม ขนาดของกิจการ ฯลฯ โดยอาจตักเตือนก่อนก็ได้ (มาตรา 90)
      • ตัวอย่างการลงโทษบริษัทในยุโรปตามกฎหมาย GDPR
        • ประเทศฮังการี : สำนักงานทะเบียนที่ดิน โดนปรับ 1,715 ยูโร เนื่องจากสำนักงานได้ส่งเอกสารคำตัดสินเรื่องการเปลี่ยนผู้เช่าอสังหาริมทรัพย์ไปให้ผู้เช่า และในคำตัดสินนั้นมีการเปิดเผยข้อมูลส่วนบุคคลของผู้เป็นเจ้าของอสังหาริมทรัพย์ทุกคนที่ได้ทำสัญญากับผู้เช่า
        • ประเทศเดนมาร์ก : เทศบาลเมือง Hørsholm Municipality โดนปรับ 7,000 ยูโร เนื่องจากมีเจ้าหน้าที่เทศบาลทำคอมพิวเตอร์ของสำนักงานหาย และในคอมพิวเตอร์เครื่องนั้นมีข้อมูลส่วนบุคคลของพนักงานของเทศบาลมากกว่า 1,600 คน ประกอบไปด้วยข้อมูลส่วนบุคคลที่อ่อนไหวและหมายเลขประกันสังคม
        • ประเทศโปรตุเกส : โรงพยาบาลแห่งหนึ่งโดนปรับ 400,000 ยูโร เนื่องจากพบว่ามีการใช้โปรไฟล์ปลอมในการเข้าถึงข้อมูลคนไข้ (ซึ่งเป็นข้อมูลอ่อนไหว) และพบว่า ระบบ IT security ของโรงพยาบาลไม่มีความปลอดภัยเพียงพอ นอกจากนีัพบว่ามีโปรไฟล์ของคนที่เป็นแพทย์ในระบบถึง 985 คน ทั้งๆ ที่แพทย์ในโรงพยาบาลมีแค่ 296 คน
  • สรุปผลการศึกษาแผนงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของกลุ่มความร่วมมือระหว่างประเทศ ได้แก่
    • กลุ่มความร่วมมือ ASEAN
    • กลุ่มความร่วมมือ OECD
    • กลุ่มความร่วมมือ EU
    • กลุ่มความร่วมมือ APEC
  • สรุปผลการศึกษาแผนงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศ ได้แก่
    • ประเทศสาธารณรัฐสิงคโปร์
    • ประเทศออสเตรเลีย
    • สหราชอาณาจักร
    • ประเทศญี่ปุ่น
    • สาธารณรัฐฝรั่งเศส
    • สาธารณรัฐฟิลิปปินส์
  • สรุปผลการวิเคราะห์ปัจจัยภายในและภายนอกประเทศ ด้วย SWOT Analysis และ TOWS Analysis
  • นำเสนอร่างกรอบแผนแม่บทการดำเนินงานด้านการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2564-2568 ซึ่งครอบคลุมประเด็น ดังต่อไปนี้
    • ยุทธศาสตร์ที่ 1 พัฒนาคนให้มีความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล
    • ยุทธศาสตร์ที่ 2 ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนานวัตกรรมและเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
    • ยุทธศาสตร์ที่ 3 พัฒนามาตรฐาน กฎระเบียบที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการบังคับใช้ที่มีประสิทธิภาพ
    • ยุทธศาสตร์ที่ 4 สร้างความเชื่อมั่นด้านการคุ้มครองข้อมูลส่วนบุคคล
    • ยุทธศาสตร์ที่ 5 เชื่อมโยงและพัฒนากฎเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลสู่ระดับสากล