การเตรียมความพร้อมและผลกระทบของผู้ประกอบการ ตาม พรบ.ข้อมูลส่วนบุคคล เมื่อกฎหมายบังคับใช้
โดย
|
หลักเกณฑ์โดยย่อภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลผลกระทบและการเตรียมตัวของผู้ประกอบการ ที่ต้องเตรียมตัวปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลให้ทันก่อนวันบังคับใช้ภายในวันที่ 27 พฤษภาคม พ.ศ. 2563 ในปีหน้า
การโอนข้อมูลไปยังต่างประเทศ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมิได้ห้ามไม่ให้บริษัทและผู้ประกอบการในไทยโอนข้อมูลไปต่างประเทศ หากแต่กำหนดเงื่อนไขการโอนข้อมูลไปยังต่างประเทศไว้แตกต่างจากการเก็บรวบรวม ใช้ และเปิดเผยตามที่ กล่าวไว้ข้างต้น โดยหลักๆ แล้วนั้น ผู้ควบคุมข้อมูลส่วนบุคคลสามารถส่งข้อมูลส่วนบุคคลไปยังต่างประเทศได้เมื่อ 1. ประเทศปลายทางที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และต้องเป็นไปตาม หลักเกณฑ์ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด เว้นแต่เข้าข้อยกเว้นต่างๆ เช่น ข้อยกเว้นเรื่องความยินยอมและเจ้าของข้อมูลได้ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของ ประเทศปลายทางที่ไม่เพียงพอ 2. การโอนของบริษัทในเครือโดยมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองจาก คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 3. เมื่อได้จัดให้มีมาตรการคุ้มครองที่เหมาะสมสามารถบังคับได้ตามสิทธิของเจ้าของข้อมูล และมีมาตรการ เยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศ กำหนดในอนาคต
หน้าที่อื่นๆ ของผู้ควบคุมข้อมูลส่วนบุคคล บริษัทและผู้ประกอบการต่างๆ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ยังมีหน้าที่อื่นๆ ตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคลอีก เช่น 1. การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (security measure) เพื่อป้องกันการสูญหายเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ 2. การดำเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ได้รับข้อมูลไปนั้น ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอำนาจหรือโดยมิชอบ 3. การจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล เมื่อพ้นกำหนดระยะเวลาการเก็บ รักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวมรวมข้อมูลส่วนบุคคลนั้น หรือตามที่ เจ้าของข้อมูลส่วนบุคคลร้องขอหรือถอนความยินยอม เว้นแต่เข้าข้อยกเว้นตามกฎหมาย 4. การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเ72 ชั่วโมงนับแต่ทราบเหตุ เว้นแต่ การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล และต้องแจ้งให้เจ้าของข้อมูล ส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วยหากเป็นกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมี ผลกระทบต่อสิทธิและเสรีภาพของบุคคลนั้นๆ 5. บันทึกรายการต่างๆ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการข้อมูลส่วนบุคคลสามารถ ตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละ ประเภท ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับ บุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้นการปฏิเสธคำขอและ การคัดค้านต่างๆ ต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลและคำอธิบายเกี่ยวกับมาตรการการรักษาความมั่นคงปลอดภัย เป็นต้น
บางส่วนจากบทความ “การเตรียมความพร้อมและผลกระทบของผู้ประกอบการ ตาม พรบ.ข้อมูลส่วนบุคคล เมื่อกฎหมายบังคับใช้” อ่านบทความฉบับเต็มได้ใน... วารสารเอกสารภาษีอากร ปีที่ 38 ฉบับที่ 458 เดือนพฤศจิกายน 2562
|
|
Laws & News : Business Laws : ธีรพล สุวรรณประทีป , กฤติยาณี บูรณตรีเวทย์ วารสาร : เอกสารภาษีอากร พฤศจิกายน 2562 |
|
|