กฎหมายคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่เรารู้จักกันในชื่อ กฎหมาย PDPA ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา โดยมีบทบาทในการคุ้มครองและให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงกำหนดหน้าที่ความรับผิดชอบแก่องค์กรธุรกิจที่มีฐานะเป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล และสร้างมาตรฐานในการประมวลผลข้อมูลส่วนบุคคลขององค์กรให้เป็นไปโดยชอบด้วยกฎหมาย เหตุด้วยปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเพิ่มมากขึ้นจนสร้างความเดือดร้อนให้กับหลายบุคคล ซึ่งล้วนเกี่ยวข้องกับ พ.ร.บ.ฉบับนี้ทั้งสิ้น โดยหากผู้ใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมาย
โดยธุรกิจ SME เป็นธุรกิจชนิดหนึ่งที่ทำการดำเนินกิจกรรมทางด้านการผลิต จำหน่าย ที่มีขนาดย่อม เป็นธุรกิจที่มีความเป็นอิสระ มีเอกชนเป็นเจ้าของไม่ตกอยู่ภายใต้อิทธิพล ของบุคคล หรือธุรกิจอื่น มีต้นทุนในการดำเนินงานต่ำ และมีพนักงานจำนวนไม่เกิน สองร้อยคน หรือมีรายได้ต่อปีไม่เกินห้าร้อยล้านบาท
ทั้งนี้เราจะเห็นหลักการปฏิบัติสำหรับชาว SME มากมายที่จำเป็นต้องทำเพื่อให้ธุรกิจสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA …ล่าสุด! เมื่อวันที่ 20 มิถุนายน 2565 ได้มีประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยใช้ชื่อว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565” มีกำหนดการให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป โดยธุรกิจขนาดเล็ก ถึงกลาง หรือSMEs ได้รับการยกเว้นไม่ต้องดำเนินการทำ ‘บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoPA)’
คุยกันให้เข้าใจง่ายๆ บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoPA) เป็นสิ่งที่กฎหมาย PDPA กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มี ตามมาตรา 39 ซึ่งถือเป็นเครื่องมือสำคัญในการปฏิบัติตามกฎหมาย PDPA เป็นส่วนที่จะช่วยให้องค์กรมีการบริหารจัดการข้อมูลส่วนบุคคลในมืออย่างเป็นระบบและมีมาตรฐาน รวมถึงแสดงภาพรวมเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในแต่ละกิจกรรมขององค์กรที่ชัดเจน และที่สำคัญองค์กรสามารถที่จะประเมินความเสี่ยงในแต่ละกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลผ่านการจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลในองค์กรได้อย่างมีประสิทธิภาพ
ซึ่งจาก ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565มีกำหนดการให้SMEs ที่ได้รับการยกเว้นไม่ต้องทำ RoPA คืออยู่ในประเภทดังต่อไปนี้
ถึงแม้จะมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลสำหรับธุรกิจ SMEs แล้ว แต่ก็อย่าพึ่งดีใจไป ! ไม่ใช่ SMEs ทั้งหมดจะได้รับการยกเว้นว่าไม่ต้องทำ RoPA นะครับ เพราะคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดเงื่อนไขในการละเว้น RoPA ดังนี้ ‘ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กที่ได้รับการยกเว้น จะต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการร้านอินเตอร์เน็ต ที่ได้รับการยกเว้น’ ดังนั้นมาเช็คลิสต์กันครับ ว่าธุรกิจของเราเข้าข่ายเป็นธุรกิจประเภทเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมาย หรือพูดง่ายๆก็คือยังเป็นธุรกิจยังต้องทำ RoPA หรือไม่
ประกาศจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กำหนดประเภทของผู้ให้บริการที่มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ออกเป็น 2 ประเภทดังนี้
- ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเตอร์เน็ต หรือให้สามารถติดต่อถึงกันโดยประการอื่น เช่น
- ผู้ประกอบกิจการโทรคมนาคม และการกระจายภาพและเสียง
- ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์
- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือโปรแกรมประยุกต์ต่างๆ
- ผู้ให้บริการโปรแกรมคอมพิวเตอร์ ซอฟแวร์ แอพพลิรเคชัน (ที่ทำให้ผู้คนติดต่อสื่อสารกันได้)
- ผู้ให้บริการสื่อสังคมออนไลน์
- ผู้ให้บริการในฐานะตัวกลางในการรับส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ ทั้งมีสมาชิกของตัวเอง และไม่มีสมาชิกเป็นของตัวเอง
- ผู้ให้บริการในการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
- ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอพพลิเคชั่นต่างๆ
- ผู้ให้บริการเก็บ หรือพักข้อมูลทั้งในรูปแบบชั่วคราวหรือถาวร
- ผู้ให้บริการระบบดิจิทัล
แม้ธุรกิจ SMEs ที่ไม่เข้าข่ายเป็นผู้ให้บริการที่มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามประกาศฯ ข้างต้น จะได้รับการยกเว้นการทำบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล หรือ RoPA อย่างไรก็ตาม มีข้อพึงระวังว่า ธุรกิจ SMEs ที่มีการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือมีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว ก็จะไม่เข้าข่ายเป็นกิจการขนาดเล็กที่ได้รับการยกเว้นการทำ บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoPA) ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 ดังกล่าว ถึงแม้ธุรกิจ SMEs บางประเภทจะได้รับการยกเว้นการทำ RoPA แต่ SMEs ทุกประเภทยังคงต้องมีการจดบันทึกกิจกรรมการปฏิเสธการขอใช้สิทธิของเจ้าของข้อมูลฯ และยังต้องปฏิบัติตามข้อกฎหมาย PDPA อยู่ดีเพราะฉะนั้นแล้วในฐานะที่เป็น SMEs ควรเช็คในดีว่ากิจกรรมทางของธุรกิจของคุณเข้าข่ายเป็นธุรกิจประเภทใด พร้อมทั้งนำไปปฏิบัติตามได้อย่างถูกต้อง
หากชาว SME ยังมีข้อสงสัย หรือมีคำถามที่ไม่รู้จะปรึกษาใคร เราช่วยคุณได้ ! PDPA Thailand บริการที่ปรึกษา หรือบริการตรวจสอบ จากผู้เชี่ยวชาญทางด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล รายละเอียดเพิ่มเติมได้ที่ pdpa.online.th
