เหตุผล ความจำเป็น ... ความเร่งด่วนในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ด้วยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (2019)“ PDPA” มีผลใช้บังคับเมื่อวันที่ 28 พฤษภาคม 2562 ปัจจุบันมีความจำเป็นสำหรับองค์กรธุรกิจและบุคคลที่เกี่ยวข้องที่จะต้องตระหนักถึงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยรวมและปฏิบัติให้เป็นไปตามกฎหมายดังกล่าว

กฎหมายนี้แบ่งออกเป็น 7 หมวด 96 มาตรา ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในสองขั้นตอน ในระยะแรกพระราชบัญญัตินี้มีผลบังคับใช้ในวันถัดจากวันที่ประกาศในราชกิจจานุเบกษาได้แก่วันที่ 28 พฤษภาคม พ.ศ. 2562 ยกเว้นบทบัญญัติบางประการ ได้แก่บทบัญญัติในหมวด 2 หมวด 3 หมวด 5 หมวด 6 หมวด 7 และความในมาตรา 95 และมาตรา 96 ซึ่งส่วนใหญ่เกี่ยวข้องกับผู้ประกอบการ จะมีผลบังคับใช้หลังจากพ้นกำหนดหนึ่งปีนับจากวันที่ประกาศได้แก่ วันที่ 27 พฤษภาคม พ.ศ. 2563

ต่อมาได้มีพระราชกฎษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พ.ศ.2563 ออกตามความในมาตรา 4 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดให้ 22 หน่วยงานและกิจการไม่ต้องอยู่ในบังคับใช้ของกฎหมายฉบับนี้ จึงมีผลให้วันที่บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เลื่อนออกไปเป็นวันที่ 31 พฤษภาคม 2564

วัตถุประสงค์หลักของกฎหมายฉบับนี้คือเพื่อปกป้องข้อมูลส่วนบุคคลของกลุ่มข้อมูลจากการละเมิดทุกรูปแบบเพื่อให้บรรลุเป้าหมายดังกล่าวกฎหมายจึงพยายามกำหนดกลไกที่เหมาะสมซึ่งจะขัดขวางการละเมิดสิทธิในการปกป้องข้อมูลส่วนบุคคลและรับประกันตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

เพื่อเป็นการปฏิบัติตามกฎหมายให้ทันตามกำหนดเวลา จึงมีความสำคัญสูงสุดสำหรับองค์ที่เกี่ยวข้องที่จะต้องทราบว่าบทบัญญัติใดเกี่ยวข้องกับองค์กรโดยตรงเพื่อที่องค์กรจะสามารถเลือก และมุ่งเน้นที่จะปฏิบัติตามบทบัญญัติเกี่ยวข้องได้อย่างถูกต้อง

สรุปสาระสำคัญ

ขั้นตอนต่อไปคือการดำเนินการอะไรบ้าง ?

ในเดือนพฤษภาคม พ.ศ. 2562 แม้ว่าจะมีกฎหมายออกมาผ่อนผันเวลาการบังคับใช้ต่อไปจนถึงวันที่ 31 พฤษภาคม 2564 ระยะเวลาการเปลี่ยนผ่านของสองปีที่กำลังจะหมดลงสำหรับองค์กรธุรกิจและผู้ประกอบการในการจะอนุวัติใช้มาตรการที่จำเป็นเพื่อให้สอดคล้องกับการปฎิบัติตามพระราชบัญญัตินี้ จึงจำเป็นต้องมีการดำเนินการตามขั้นตอนต่างๆอย่างเร่งด่วนให้เสร็จสิ้นสมบูรณ์ภายในเดือนพฤษภาคมพ.ศ.2564 แนวทางปฏิบัติที่แนะนำอาจรวมถึงสิ่งต่อไปนี้

1. ทบทวนและวิเคราะห์นโยบายและแนวปฏิบัติภายในและระบบการจัดการและป้องกันข้อมูลส่วนบุคคล
2. การประเมินความเสี่ยงของการละเมิดสิทธิในข้อมูลส่วนบุคคล และการปรับระดับการปฏิบัติตามกฎหมายและการปรับปรุง ทบทวนมาตรการรักษาความปลอดภัยที่มีอยู่
3. การวิเคราะห์กลุ่มของข้อมูลและการกำหนดพื้นฐานทางกฎหมายและภาระผูกพันที่บังคับใช้ภายใต้กฎหมาย และเตรียมเอกสารทางกฎหมายที่จำเป็น
4. การดำเนินการรณรงค์สร้างความตระหนักภายในองค์กร และฝึกอบรมบุคลากร และพนักงานเพื่อความพร้อมในการจัดการกับปัญหาข้อมูลส่วนบุคคลให้เป็นไปอย่างมีประสิทธิภาพยิ่งขึ้น
5. การใช้งานระบบการจัดการข้อมูลที่ได้รับการอัพเกรดตามข้อกำหนดของกฎหมาย
6. การดำเนินการตามขั้นตอนที่เหมาะสมอื่น ๆ รวมถึงการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลภายในและตัวแทนเมื่อจำเป็น
7. การแนะนำระบบที่เกี่ยวกับการแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลและการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน

ขอแนะนำว่าก่อนที่กฎหมายจะมีผลบังคับใช้ องค์กรธุรกิจและผู้ประกอบการต่างๆควรดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดเพื่อให้ตนเองสามารถปฏิบัติตามกฎหมายฉบับนี้ได้อย่างเต็มที่

สามารถศึกษาข้อมูลเพิ่มเติมเกี่ยวกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มได้ที่นี่

หมายเหตุ : ภายใต้บทบัญญัติเฉพาะกาล ตามมาตรา 95 ข้อมูลส่วนบุคคลที่รวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย