2 ปี PDPA Update ความชัดเจนที่เพิ่มขึ้น

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้สมบูรณ์มาเป็นระยะเวลา 2 ปีกว่า และกำลังก้าวเข้าสู่ปีที่ 3 แล้ว และในช่วงปี พ.ศ. 2567 ที่ผ่านมา มีเหตุการณ์ที่น่าสนใจเกี่ยวข้องกับการบังคับใช้กฎหมาย PDPA มากขึ้นจากหลากหลายเหตุการณ์และหลายมิติ บทความฉบับนี้จะพาผู้ประกอบการและผู้อ่านทุกท่าน (ซึ่งเมื่อจดทะเบียนจัดตั้งในประเทศไทยก็ต้องอยู่ภายใต้บังคับของกฎหมายฉบับนี้เช่นกัน) ได้ย้อนกลับไปทบทวนความน่าสนใจของ PDPA ในปีที่ผ่านมาไปพร้อม ๆ กัน

การปรับโทษทางปกครองครั้งแรก

ในปีที่ผ่านมา เหตุการณ์ที่ทำให้ผู้ประกอบการเกือบทั้งหมดกลับมาให้ความสนใจในการทบทวนความพร้อมของตนในการปฏิบัติตาม PDPA ย่อมหนีไม่พ้นกรณีที่คณะกรรมการผู้เชี่ยวชาญภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีคำสั่งลงวันที่ 31 กรกฎาคม 2567 ให้บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด จ่ายค่าปรับทางปกครองรวม 7,000,000 บาท จากความบกพร่องในการปฏิบัติตามกฎหมายใน 3 ประเด็น ได้แก่ 

(1) การไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สั่งปรับโทษอัตราสูงสุด 1,000,000 บาท

(2) การไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท

(3) การไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด สั่งปรับโทษอัตราสูงสุด 3,000,000 บาท เช่นเดียวกัน

เหตุการณ์ดังกล่าว เป็นเหตุการณ์ที่แสดงให้เห็นความเอาจริงเอาจังของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในการบังคับมาตรการลงโทษทางปกครอง เพื่อปกป้องคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และเป็นเหตุการณ์ที่สะท้อนรวมถึงย้ำเตือนให้ผู้ประกอบการทั้งหมดเห็นว่าความเสี่ยงในการโดนลงโทษปรับทางปกครองนั้นง่ายดาย เพียงแค่เพราะบกพร่องในการทำหน้าที่ข้อใดข้อหนึ่งตาม PDPA ซึ่งคณะกรรมการฯ มีแนวโน้มลงโทษปกครองเต็มอัตรา แต่ในขณะเดียวกัน หากผู้ประกอบการถอดบทเรียนจากเหตุการณ์ดังกล่าวได้ ผู้ประกอบการจะเห็นช่องทางในการลดและบริหารความเสี่ยงการรับโทษทางปกครองได้ในทันที จากการที่ปฏิบัติให้ถูกต้องครบถ้วนตาม Checklist หน้าที่ของผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลภายใต้ PDPA

จึงขอทบทวนอีกครั้งถึงหน้าที่หลักของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย ซึ่งอาจสรุปได้เป็น 4 ข้อหลัก ได้แก่ 

1. Necessity (การประเมินความจำเป็นทั้งในแง่วัตถุประสงค์และระยะเวลาการประมวลผลข้อมูลส่วนบุคคล รวมถึงการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล หรือ ROPA ยกเว้นว่าจะได้รับการยกเว้นจากการเป็นผู้ประกอบการขนาดกลางหรือย่อม) 

2. No Surprise (การแจ้ง Privacy Notice และการความยินยอมกรณีจำเป็น) 

3. Keep it Safe (จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยตามความเสี่ยงของข้อมูลและกระบวนการในการเก็บข้อมูล การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหากอยู่ในเกณฑ์ต้องแต่งตั้ง และการเตรียมกระบวนการในการรับมือ รวมถึงแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล)

4. Respect the Rights (เคารพการใช้สิทธิเจ้าของข้อมูลส่วนบุคคล รวมถึงต้องดำเนินการบันทึกการปฏิบัติการขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคล)

คำพิพากษาโทษจำคุกจากกฎหมายคุ้มครองข้อมูลส่วนบุคคล

นอกจากโทษทางปกครองแล้ว ในเดือนตุลาคมและพฤศจิกายน 2566 ที่ผ่านมา มีการเผยแพร่คำพิพากษาศาลจังหวัดภูเก็ต ในคดีอาญา หมายเลขแดงที่ อ 1087/2566 และหมายเลขแดงที่ อ 1145/2566 โดยข้อเท็จจริงของคดีทั้งสองที่ตรงกันคือ จำเลยประกาศขายข้อมูลส่วนบุคคลของผู้อื่นผ่านทาง Facebook โดยศาลตีความว่า จำเลยเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่น เนื่องจากปฏิบัติหน้าที่ตามพระราชบัญญัติแล้วนำเอาข้อมูลส่วนบุคคลนั้นไปเปิดเผยแก่ผู้อื่น จึงถือเป็นความผิดตามมาตรา 80 ของ PDPA ลงโทษจำคุก 6 เดือนและปรับ 100,000 บาท โดยในคดีหมายเลขแดงที่ อ 1145/2566 ศาลมีคำพิพากษาชัดเจนว่า การนำข้อมูลส่วนบุคคลของผู้อื่นไปขายทำให้เกิดความเสียหายต่อเศรษฐกิจและสังคมอย่างร้ายแรง ทั้งยังส่งผลกระทบกับบุคลอื่นเป็นวงกว้าง และเป็นการสนับสนุนให้กลุ่มมิจฉาชีพนำข้อมูลดังกล่าวไปกระทำความผิดอื่นอีก พฤติการณ์แห่งคดีเป็นเรื่องร้ายแรง จึงไม่มีเหตุที่จะรอการลงโทษจำคุกจำเลย

จากคำพิพากษาทั้ง 2 ฉบับดังกล่าวได้สร้าง Case ตัวอย่างของการตีความบังคับใช้มาตรการลงโทษทางอาญาภายใต้ PDPA ที่ชัดเจนขึ้นมาจากองค์กรผู้บังคับใช้กฎหมายที่สำคัญ คือ อัยการและศาล ซึ่งจากการพิจารณาเจตนารมณ์และการให้เหตุผลของของศาลจะเห็นได้ว่า ศาลใช้มาตรการบังคับทางอาญาในกรณีดังกล่าวต่อผู้ประกาศขายข้อมูล ด้วยเจตนาป้องกันการใช้ข้อมูลส่วนบุคคลอย่างไม่ถูกต้องโดยมิจฉาชีพที่อาจเกิดขึ้นตามมา

แม้การพิพากษาคดีดังกล่าวจะยังไม่มีผลเป็นที่สุด และยังมีการสนทนากันในวงกว้างเกี่ยวกับการตีความการบังคับใช้มาตรา 80 ของ PDPA ในกรณีดังกล่าวอยู่ในกลุ่มนักกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่คำพิพากษาดังกล่าวได้สร้างมาตรฐานที่ชัดเจนถึงการบังคับใช้กฎหมาย PDPA โดยศาลที่น่าจะทวีความเข้มข้นมากขึ้น

ตัวชี้วัดตามแผนแม่บทการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงานฯ) เสนอแผนแม่บทการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคลของประเทศ พ.ศ. 2567 - 2570 ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ และได้รับความเห็นชอบประกาศวันที่ 5 เมษายน 2567 ภายใต้ Vision การมุ่งคุ้มครองและส่งเสริมการใช้ข้อมูลส่วนบุคคลอย่างมีธรรมาภิบาลเพื่อการพัฒนาเศรษฐกิจและสังคมดิจิทัล

สำหรับเป้าหมาย (Goals) มีดังนี้ 

(1) รับประกันให้ 100% ของหน่วยงานเป้าหมาย (ได้แก่ หน่วยงานภาครัฐและบริษัทในตลาดหลักทรัพย์แห่งประเทศไทย) ปฏิบัติตาม PDPA

(2) ลดสัดส่วนการละเมิดข้อมูลส่วนบุคคลร้ายแรงลง 20% 

(3) มีการปรับปรุงเพิ่มประสิทธิภาพและพัฒนากฎหมาย PDPA 

(4) มีบริการกลางด้าน PDPA e-Service อย่างน้อย 11 บริการหลักตามกลุ่มอุตสาหกรรมเป้าหมาย

(5) ยกระดับความสามารถในการแข่งขัน (World Digital Competitive Ranking) ด้าน Data Privacy ของประเทศให้อยู่ในกลุ่ม 30 อันดับแรกของการจัดอันดับนานาชาติ จากที่ในปี 2566 อยู่ที่ลำดับที่ 43

สำนักงานฯ กำหนดเป้าหมายมุ่งเน้นในเรื่องการสร้างมาตรการบังคับใช้ PDPA อย่างเคร่งครัดและยั่งยืน โดยการสร้างมาตรฐานและสร้างเครื่องมือในเรื่องการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะจะมีการออกแนวปฏิบัติที่จำเป็นครบ 100% ของกลุ่มอุตสาหกรรมเป้าหมายภายในปี 2570 (7 ประเภทอุตสาหกรรม ได้แก่ 1. ด้านความมั่นคงภาครัฐและบริการภาครัฐที่สำคัญ 2. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม 3. ด้านการค้าส่ง-ปลีก การค้าออนไลน์ 4. ด้านการเงิน การลงทุน และการประกันภัย 5. ด้านสาธารณสุข 6. ด้านการท่องเที่ยว และ 7. ด้านการศึกษา) และจะมีการจัดทำระบบการตรวจสอบความพร้อมในการคุ้มครองข้อมูลส่วนบุคคล โดยหนึ่งในเครื่องมือที่สำนักงานฯ จัดทำขึ้นเพื่อการตรวจสอบความพร้อมของแต่ละองค์กรในการปฏิบัติตาม PDPA คือ Privacy Maturity Level โดยสำนักงานตั้งเป้าหมายตัวชี้วัดภายใต้แผนแม่บทที่ต้องการให้

(1) หน่วยงานภาครัฐและบริษัทในตลาดหลักทรัพย์แห่งประเทศไทย 100% มีความพร้อมในระดับ 5 จากการประเมินตามเครื่องมือ Privacy Maturity Level โดย 50% ของหน่วยงานกลุ่มดังกล่าวได้เครื่องหมายรับรอง Trust Mark 

(2) ผู้ประกอบการ SMEs มีความพร้อมในระดับ 3 ภายในปี 2570

นอกจากเป้าหมายการสร้างกลไกและเครื่องมือแล้ว สำนักงานฯ ยังกำหนดเป้าหมายการพัฒนากำลังคนด้วยการสร้างมาตรฐานหลักสูตรการอบรมสำหรับ DPO/CIO พร้อมทั้งมีระบบการรับรอง รวมถึงการจัดทำฐานข้อมูลกลางของ DPO และยังมีเป้าหมายในการส่งเสริมให้มีการลงทุนในอุตสาหกรรมดิจิทัลที่มีการใช้ข้อมูลส่วนบุคคลอย่างมีธรรมาภิบาลให้เพิ่มขึ้น 5% จากปีฐาน และการจัดทำเครื่องมือ PDPA Service ร่วมกับเอกชนผ่านการทำ Sandbox หรือกลไกอื่น ๆ

ผลกระทบต่อผู้ประกอบการ

จากเป้าหมาย วิสัยทัศน์ และกลยุทธ์ที่ระบุไว้ในแผนแม่บทของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถสรุปผลกระทบที่ผู้ประกอบการต้องเข้าใจดังนี้ 

(1) เป้าหมายหลักของแผนแม่บท คือ การสร้างมาตรฐาน มาตรการพื้นฐานทั้งหมดที่จำเป็นเพื่อส่งเสริมการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ซึ่งมาตรฐานและมาตรการดังกล่าวเป็นสิ่งที่ผู้ประกอบการต้องเฝ้าติดตามอย่างใกล้ชิดเพื่อรับประกันให้ตนมีความพร้อมในการปฏิบัติตาม PDPA ได้โดยไม่มีความเสี่ยงในแง่ของโทษ โดยเฉพาะโทษทางปกครอง

(2) ด้วยความคาดหวังในแง่ระดับความพร้อม Privacy Maturity Level รวมถึงการออก PDPA Trust Mark ที่ถูกกำหนดเป็นตัวชี้วัดที่สำนักงานฯ ต้องดำเนินการประเมินความสำเร็จของแผนแม่บท ทำให้ผู้ประกอบการทุกระดับ ไม่ว่าจะเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์ (ซึ่งถูกกำหนดตามตัวชี้วัดว่าทั้ง 100% ต้องมี Privacy Maturity Level ระดับ 5 และ 50% ต้องได้รับ Trust Mark) และผู้ประกอบการ SMEs โดยเฉพาะผู้ประกอบการที่ดำเนินธุรกิจใน 7 ประเภทอุตสาหกรรมเป้าหมายต้องเตรียมความพร้อมรับมือการตรวจสอบระดับความพร้อมดังกล่าวที่สำนักงานฯ อาจประกาศกำหนดขึ้น 

(3) นอกจากมุมมองที่ผู้ประกอบการต้องเตรียมพร้อมเพื่อรับมือการตรวจสอบและการบังคับใช้กฎหมายแล้ว แม่บทดังกล่าวก็เปิดให้เห็นโอกาสของผู้ประกอบการที่มีความมุ่งมั่นตั้งใจในการปฏิบัติตาม PDPA เช่นกัน โดยเฉพาะเป้าหมายการส่งเสริมการทำธุรกิจดิจิทัลที่อยู่ภายใต้เกณฑ์ PDPA Compliance ที่ชัดเจน รวมถึงโอกาสการเข้าร่วม Sandbox เพื่อการจัดให้มีบริการ PDPA Service กลาง

(4) ท้ายที่สุด หากสำนักงานฯ สามารถปฏิบัติหน้าที่ในการสร้างโครงสร้างพื้นฐานและเครื่องมือเพื่อช่วยผู้ประกอบการในการปฏิบัติหน้าที่ตาม PDPA (PDPA e-Service) ได้ครบถ้วนจริง ผู้ประกอบการโดยเฉพาะ SMEs ย่อมได้รับประโยชน์ในการเข้าถึงเครื่องมือและบริการพื้นฐานที่มีประสิทธิภาพ รับประกันความถูกต้องสอดคล้องกับกฎหมายได้ง่ายขึ้น

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ออกมาเพิ่มเติมเพื่อสร้างความชัดเจน

ตั้งแต่ช่วงเดือนธันวาคม 2566 ถึงธันวาคม 2567 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำนวน 9 ฉบับ โดยหากสรุปประกาศที่มีความเกี่ยวข้องโดยตรงซึ่งผู้ประกอบการต้องใส่ใจ สามารถสรุปได้เป็น 5 ข้อดังนี้

1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา 28 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ มาตรา 29 โดยประกาศทั้ง 2 ฉบับดังกล่าวออกมาเพื่อจุดประสงค์หลักข้อหนึ่งคือ การสร้างความชัดเจนเกี่ยวกับหลักเกณฑ์การดำเนินการสำหรับการใช้บริการของผู้ให้บริการระบบคลาวด์ (Cloud Computing Service Provider) ซึ่งอยู่ต่างประเทศ ทั้งนี้ “การส่งหรือโอนข้อมูลส่วนบุคคล” ภายใต้บังคับของประกาศฯ ไม่ให้หมายความรวมถึง การส่งหรือรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (Intermediary) ในการส่งผ่านข้อมูล (Data Transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่าย หรือการเก็บพักข้อมูล (Data Storage) ในรูปแบบชั่วคราวหรือถาวรที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลดังกล่าว นอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้น เช่น กรณีการส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของ Cloud Computing Service Provider ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้นที่สามารถเข้าถึงข้อมูลดังกล่าวได้ เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ

ด้วยนิยามที่กำหนดไว้ หากผู้ประกอบการใช้บริการของ Cloud Service Provider ที่มีกระบวนการเทคนิคในการจำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้เฉพาะผู้ประกอบการเอง ไม่มีบุคคลภายนอกอื่นสามารถเข้าถึงได้ การใช้บริการของคลาวด์ดังกล่าวไม่ถือเป็นการส่งหรือโอนข้อมูลไปต่างประเทศตามนิยามที่กำหนดไว้ใน PDPA จึงไม่จำเป็นต้องประเมินมาตรการรักษาความปลอดภัยเฉพาะภายใต้ประกาศฯ

ส่วนกรณีหากเป็นการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศตามนิยามในประกาศฯ แล้ว โดยหลักผู้ควบคุมข้อมูลส่วนบุคคลต้องตรวจสอบประเทศปลายทางที่รับข้อมูลส่วนบุคคลให้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ โดยอ้างอิงจากปัจจัย (1) มีมาตรการทางกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับการคุ้มครองส่วนบุคคลภายใต้ PDPA และ (2) มีหน่วยงานที่มีหน้าที่บังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหากมีข้อสงสัยเกี่ยวกับความเพียงพอของประเทศปลายทาง สามารถเสนอปัญหาดังกล่าวต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อพิจารณาได้ และหากประเทศปลายทางได้รับการประเมินว่าไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยแจ้งให้เจ้าของข้อมูลดังกล่าวทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอนั้น หรือผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguard) ซึ่งสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ และมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพจึงจะสามารถทำได้ ทั้งนี้ ประกาศฯ ได้กำหนดหลักเกณฑ์การพิจารณา Appropriate Safeguard ดังกล่าวไว้เพิ่มเติม โดยเฉพาะการดำเนินมาตรการผ่านการทำข้อสัญญาในเรื่องการส่งหรือโอนข้อมูลส่วนบุคคลที่ต้องกำหนดหัวข้อข้อตกลงให้ครบถ้วนตามที่ประกาศฯ กำหนด

ส่วนการส่งต่อหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศให้แก่เครือกิจการหรือเครือธุรกิจเดียวกัน ตามมาตรา 29 ของ PDPA บริษัทในเครือกิจการหรือเครือธุรกิจได้รับการนิยามให้หมายถึง กิจการที่ผู้ประกอบกิจการมีอำนาจควบคุมหรือบริหารจัดการเหนือกิจการอื่นที่ถูกควบคุมโดยผู้ประกอบกิจการที่มีอำนาจเหนือกิจการอื่น ไม่ว่าจะเป็นรูปแบบบริษัทใหญ่ บริษัทย่อย บริษัทร่วมนั้น โดยหากจะมีการส่งข้อมูลไปให้แก่บริษัทที่อยู่ภายใต้นิยามดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการได้หากผู้ส่งหรือผู้โอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลนั้นมีการกำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (Binding Corporate Rules : BCRs) และ BCRs ดังกล่าวได้รับการรับรองจากสำนักงานฯ แล้ว โดยประกาศกำหนดชัดเจนเกี่ยวกับวิธีการในการนำส่ง BCRs เพื่อการตรวจสอบโดยสำนักงานฯ รวมถึงหลักเกณฑ์ที่สำนักงานฯ จะใช้เพื่อการรับรองนโยบายนั้น

2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งได้รับยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาใช้บังคับ อ้างอิงจากมาตรา 4 ของ PDPA มีบุคคลหรือนิติบุคคลบางส่วนที่ได้รับยกเว้นจากการปฏิบัติตาม PDPA แต่อย่างไรก็ตาม วรรคท้ายของมาตราดังกล่าว กำหนดว่าแม้ PDPA จะไม่มีผลบังคับใช้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลกลุ่มดังกล่าวยังต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตามมาตรฐาน ดังนั้นประกาศคณะกรรมการฉบับนี้ออกมาเพื่อกำหนดมาตรฐานขั้นต่ำที่บุคคลหรือนิติบุคคลดังกล่าวต้องปฏิบัติตาม โดยประกาศฯ ฉบับนี้ให้มีผลบังคับกับบุคคลหรือนิติบุคคลดังนี้ 

(1) หน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงปลอดภัยของรัฐ (2) บุคคลหรือนิติบุคคลที่ทำการเก็บรวบรวมข้อมูลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรม (3) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา (4) ศาลและเจ้าหน้าที่ที่อยู่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ และ (4) บริษัทข้อมูลเครดิตและสมาชิก ทั้งนี้ ผลกระทบของประกาศฉบับดังกล่าวต่อผู้ประกอบการมีอยู่ค่อนข้างจำกัด เนื่องจากโดยหลักการแล้วผู้ประกอบการต้องปฏิบัติตาม PDPA ทั้งฉบับและมีหน้าที่ในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเต็มรูปแบบอยู่แล้ว เว้นกรณีผู้ประกอบการที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรือวรรณกรรม อันเป็นไปตามจริยธรรมแห่งการประกอบอาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น ซึ่งโดยหลักได้รับการยกเว้นจาก PDPA แต่ต้องให้ความสำคัญในการปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยภายใต้ประกาศฉบับนี้ให้ครบถ้วน

3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย ซึ่งออกมาเพื่อสร้างความชัดเจนแก่ผู้ประกอบการที่มีความจำเป็นต้องเก็บข้อมูลประวัติอาชญากรรมของบุคคลภายใต้สังกัด โดยเฉพาะการเก็บข้อมูลดังกล่าวระหว่างกระบวนการรับสมัครงาน ทั้งนี้ “ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม” ซึ่งถือเป็นข้อมูลส่วนบุคคลอ่อนไหวตามที่กำหนดไว้ในมาตรา 26 แห่ง PDPA นั้น ให้มีความหมายว่า ข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญาที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐ โดยประกาศฯ กำหนดหลักเกณฑ์เพิ่มเติมว่าการเก็บรวบรวมข้อมูลประวัติอาชญากรรมนั้นจะสามารถดำเนินการได้เฉพาะ (1) เมื่อมีบทบัญญัติแห่งกฎหมายให้ต้องตรวจสอบโดยเฉพาะคุณสมบัติหรือลักษณะต้องห้าม หรือ (2) เมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเฉพาะเพื่อจุดประสงค์การพิจารณารับบุคคลเข้าทำงานหรือการตรวจสอบคุณสมบัติลักษณะต้องห้ามเท่านั้น โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งความจำเป็นในการเก็บรวบรวมประวัติอาชญากรรมดังกล่าว ตั้งแต่ขั้นตอนการประกาศหรือประชาสัมพันธ์การรับสมัครงาน พร้อมแจ้งให้ทราบผลกระทบหากเจ้าของข้อมูลส่วนบุคคลไม่ให้ความยินยอมหรือถอนความยินยอมการให้ข้อมูลนั้น และเมื่อมีการเก็บข้อมูลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยง ท้ายที่สุด เว้นแต่มีกฎหมายใดกำหนดเป็นการเฉพาะ เมื่อดำเนินการคัดเลือกพนักงานเสร็จสิ้นแล้ว ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บข้อมูลประวัติอาชญากรรมนั้นไว้ได้อีกไม่เกิน 6 เดือน นับแต่วันที่การดำเนินการดังกล่าวเสร็จสิ้น เว้นได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเป็นอย่างอื่น

ภายใต้ประกาศดังกล่าว หากผู้ประกอบการจำเป็นต้องประมวลผลข้อมูลประวัติอาชญากรรมของผู้สมัครงาน ผู้ประกอบการต้อง (1) ประเมินความจำเป็นอย่างละเอียดก่อน และ (2) หากจำเป็นสามารถดำเนินการได้ แต่ต้องแจ้งเงื่อนไขการเก็บรวบรวมข้อมูลดังกล่าวตั้งแต่กระบวนการรับสมัคร (3) ต้องขอความยินยอม (4) เก็บรักษาข้อมูลได้เพียงจำกัด 6 เดือน เว้นแต่มีความจำเป็นตามกฎหมายอื่น และ (5) ต้องรักษาความปลอดภัยของข้อมูลดังกล่าวอย่างเต็มประสิทธิภาพ เนื่องจากหากข้อมูลดังกล่าวหลุดรั่วไหลไปจะถือว่าเป็นการละเมิดข้อมูลส่วนบุคคลอ่อนไหวที่มีโทษทางปกครองสูงสุด 5 ล้านบาท และมีโทษทางอาญาตามมาด้วย

4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ประกาศฉบับนี้ออกมาเพื่อสร้างความชัดเจนเกี่ยวกับการลบหรือทำลายข้อมูลส่วนบุคคลกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตาม PDPA ในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ และให้ปรับใช้กับกระบวนการที่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลตามมาตรา 37 แห่ง PDPA ด้วยเช่นกัน 

การลบหรือทำลายข้อมูลตามประกาศต้องดำเนินการให้โดยไม่ชักช้า โดยต้องดำเนินการให้แล้วเสร็จไม่เกิน 90 วัน นับแต่วันที่ได้รับคำขอ โดยกำหนดว่าการลบหรือทำลายต้องดำเนินการให้ครอบคลุมไปถึงข้อมูลส่วนบุคคลที่ทำสำเนาหรือสำรองไว้ด้วย ทั้งนี้ หากมีเหตุผลทางเทคนิคที่อาจทำให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถลบหรือทำลายข้อมูลได้ตามกรอบระยะเวลา 90 วัน ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวนั้นเป็นไปได้ยากจนกว่าจะดำเนินการกระบวนการลบหรือทำลายสุดท้ายเสร็จสิ้น โดยต้องใช้มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน

นอกจากการลบหรือทำลายข้อมูลทั้งหมดแล้ว PDPA อนุญาตให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือการทำให้เป็นนิรนาม (Anonymization) ได้เช่นกัน โดยประกาศกำหนดหลักเกณฑ์การทำให้ข้อมูลเป็นนิรนามดังกล่าว โดย 

(1) ต้องมีกระบวนการลบหรือทำให้ปราศจากข้อมูลที่เป็นตัวระบุทางตรงของเจ้าของข้อมูลส่วนบุคคล ซึ่งได้แก่ ชื่อสกุล เลขประจำตัวบุคคลที่ออกโดยหน่วยราชการ เลขที่รหัสที่เป็นของเฉพาะตัวของบุคคล หมายเลขโทรศัพท์ e-Mail หมายเลขทะเบียนรถของบุคคล ภาพใบหน้าที่ระบุตัวตนได้ ข้อมูลชีวภาพของบุคคล User Account เป็นต้น 

(2) ต้องมีกระบวนการเพิ่มเติมเพื่อให้แน่ใจว่าข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลทางอ้อมได้อีกด้วย โดยแฝงข้อมูลที่เป็นตัวระบุทางอ้อม เช่น วัน-เดือน-ปีเกิด อายุ ตำแหน่ง สังกัด ที่อยู่ IP Address

ท้ายสุด ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลนิรนามตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลแล้ว ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่ใช้สิทธิทราบ ทั้งนี้ ในกรณีการทำข้อมูลให้เป็นนิรนาม ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งรายละเอียดการดำเนินการเพื่อให้เป็นนิรนามด้วย เว้นแต่เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดนั้นอยู่แล้ว

บทสรุปจากระยะเวลา 2 ปีกว่าภายหลังจากที่กฎหมายมีผลบังคับใช้ในปลายปี พ.ศ. 2567 จะเห็นว่ามีความชัดเจนในส่วนของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในหลาย ๆ ส่วน โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทั้งในแง่ของ

(1) การออกคำสั่งโทษปรับทางปกครองเป็นข่าวใหญ่ สร้างความตระหนักรู้และตื่นตัวกับผู้ประกอบการ 

(2) คำพิพากษาของศาลที่บังคับโทษบังคับทางอาญาต่อผู้เปิดเผยข้อมูลส่วนบุคคลของผู้อื่นโดยเจตนาทุจริต โดยมองว่า การกระทำดังกล่าวเป็นความผิดร้ายแรงกระทบต่อความมั่นคง ซึ่งเป็นหลักหมายสำคัญว่า ได้มีการบังคับมาตรการลงโทษภายใต้ PDPA โดยศาล สำหรับโทษทางอาญาที่ชัดเจนแล้วนอกเหนือจากโทษทางปกครอง

(3) การออกแผนแม่บทที่ค่อนข้างเข้มข้นพร้อมตัวชี้วัดผลความพร้อม Privacy Maturity Level ซึ่งย่อมส่งผลกระทบโดยตรงต่อผู้ประกอบการที่เป็นเป้าหมายของตัวชี้วัด

(4) การออกประกาศเพื่อกำหนดแนวทางการดำเนินการประมวลผลข้อมูลส่วนบุคคล เพื่อคลายประเด็นข้อสงสัย และอธิบายต่อยอดการบังคับใช้กฎหมายอย่างหลากหลาย ด้วยการทำงานของหน่วยงานกำกับดูแลที่เข้มแข็งและมีเป้าหมายมากขึ้นดังกล่าว ผู้ประกอบการทุกขนาดที่อยู่ภายใต้บังคับของ PDPA ย่อมควรต้องเรียนรู้ ทำความเข้าใจ และเตรียมทบทวนความพร้อมของตนเองในการปฏิบัติหน้าที่ให้ได้ตาม PDPA ให้ครบถ้วนตามไปด้วย 

อย่างน้อยที่สุด เพื่อเป้าหมายที่จะไม่ต้องอยู่ภายใต้บังคับมาตรการลงโทษ โดยเฉพาะโทษทางปกครองจากหน่วยงานกำกับนั้น