PDPA Thailand อัปเดตประเด็นสำคัญตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส.) ได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเพิ่มเติมมาตราที่ 41 (2) เมื่อวันที่ 14 กันยายน พ.ศ. 2566 ซึ่งกำหนดว่าองค์กรใดที่เกี่ยวข้องตามประกาศกฎหมายนี้ จำเป็นต้องมีการจัดตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ “DPO” (Data Protection Officer) ซึ่งจะมีผลบังคับใช้ในวันที่ 13 ธันวาคม พ.ศ. 2566 นี้ 

        องค์กรที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ต้องเป็นกิจการที่ดำเนินการเพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล ให้กับ Data Controller หรือผู้ควบคุมข้อมูลส่วนบุคคล และ Data Processor หรือผู้ประมวลผลข้อมูลส่วนบุคคล จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยองค์กรที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่ประกาศกำหนด สมควรกำหนดหลักเกณฑ์ที่ต้องจัดให้มี DPO โดยมีองค์ประกอบดังนี้

1.การดำเนินกิจกรรมของ Data Controller และ Data Processor ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลักที่มีการติดตาม, เฝ้าสังเกต, วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (Profile) ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (Systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (Regular) ให้ถือว่าการดำเนินกิจกรรมนั้นมีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ สมควรกำหนดหลักเกณฑ์ที่ต้องจัดให้มี DPO โดยมีองค์ประกอบดังนี้

• • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ถือบัตรสมาชิก บัตรอิเล็กทรอนิกส์ หรือบัตรในลักษณะเดียวกัน ซึ่งสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้
  • ข้อมูลลูกค้าในบริการที่มีการตรวจสอบสถานะ ประวัติ ก่อนเข้าทำสัญญา หรือบริการในลักษณะเดียวกัน เพื่อประเมินความเสี่ยงด้านในต่างๆ เช่น การให้คะแนนเครดิต, การพิจารณาเบี้ยประกัน, การป้องกันการโกง/ฉ้อฉล  เป็นต้น
  • มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการโทรคมนาคม
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัย ตามสถานที่ต่างๆ
  • กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

2.การดำเนินกิจกรรมของ Data Controller และ Data Processor เป็นกิจกรรมหลัก ซึ่งมีข้อมูลส่วนบุคคลเป็นจำนวนมาก จะมีการพิจารณาดังนี้

• • จำนวนหรือสัดส่วนของเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง  
  • ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคล
  • ระยะเวลาของการเก็บรวบรวมข้อมูล 
  • ขอบเขตของพื้นที่หรือจำนวนประเทศในการใช้ข้อมูลส่วนบุคคลขององค์กร 

รวมถึงกรณีดังต่อไปนี้ ก็ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก 

• • มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป
  • มีการโฆษณาผ่านโปรแกรมค้นหาหรือสื่อสังคมออนไลน์ ที่มีผู้ใช้งานอย่างกว้างขวาง
  • มีการใช้ข้อมูลส่วนบุคคลเกี่ยวกับประกันชีวิตหรือสถาบันการเงิน
  • ผู้ได้รับใบอนุญาตประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมาย
  • กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

       แม้ว่ากฎหมาย PDPA ไม่ได้กำหนดคุณสมบัติ DPO ไว้ แต่ DPO ควรมีความรู้และความเข้าใจกฎหมาย PDPA เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล และต้องมีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้เป็นอย่างดี

ยกตัวอย่าง ธุรกิจที่จำเป็นต้องจัดตั้ง DPO ตามประกาศฉบับนี้ ได้แก่

1. 1. ธุรกิจที่ใช้ช่องทาง Social Media สำหรับการสื่อสาร
   2. ธุรกิจเกี่ยวกับประกันชีวิต ประกันวินาศภัย หรือสถาบันการเงิน
   3. ผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์
   4. ธุรกิจเกี่ยวกับโทรคมนาคม
   5. ผู้ให้บริการด้านการโฆษณาตามพฤติกรรม ผ่านโปรแกรมค้นหา ที่มีการใช้งานอย่างกว้างขวาง

         นอกจากนี้ ธุรกิจหรือองค์กรใดที่มีการใช้ข้อมูลส่วนบุคคลเป็นจำนวนมากอยู่สม่ำเสมอก็จำเป็นที่จะต้องมี DPO ด้วยเช่นกัน

ที่มาของประกาศกฎหมายฉบับใหม่ : https://shorturl.at/anzH9

#PDPAThailand #DBCGroup
#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
#DPO #เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
#ผู้ช่วยองค์กร #ผู้ดูแลองค์กร #บริการ #ประกาศ