PDPA (Personal Data Protection Act) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลเพื่อกำจัดและลดปัญหาการละเมิดสิทธิข้อมูลส่วนบุคคล (PDPA Breach) เป็นกฎหมายที่เจ้าของธุรกิจและฝ่ายทรัพยากรบุคคล (HR) ต้องให้ความสำคัญเนื่องจากเป็นผู้ถือข้อมูลส่วนบุคคลของผู้สมัครและพนักงานทุกคนภายในองค์กรไม่ว่าจะเป็นข้อมูลใบสมัครงาน ประวัติส่วนตัว หลักฐานทางการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน เงินเดือน ผลการประเมินการทำงาน ขาด ลา มาสาย ประวัติสุขภาพ ประวัติอาชญากรรม ล้วนเป็นข้อมูลส่วนบุคคลที่ ฝ่ายทรัพยากรบุคคล (HR) ต้องเก็บรักษาและปฏิบัติตาม PDPA (PDPA Compliance) อย่างเคร่งครัด
จากเหตุการณ์ที่ผ่านมาหน่วยงานหรือองค์กรขนาดใหญ่เป็นต้นเหตุของการรั่วไหลของข้อมูลจำนวนมาก ดังนั้น ในฐานะฝ่ายทรัพยากรบุคคล (HR) ขององค์กรซึ่งถือเป็นผู้เกี่ยวข้องหลักในการเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคล หรือเรียกว่า ผู้ควบคุมข้อมูลส่วนบุคคล จะต้องศึกษาเกี่ยวกับการเก็บข้อมูลส่วนบุคคลให้ตรงตามข้อกำหนดของ PDPA สำหรับการทำงานในฝ่ายทรัพยากรบุคคล (HR) การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลนั้นต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นๆ ให้ชัดเจน
ฝ่ายทรัพยากรบุคคล (HR) คือ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ก็ต่อเมื่อ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เก็บข้อมูลจากการทำสัญญากับเจ้าของข้อมูลนั้น จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล จำเป็นเพื่อปฏิบัติตามกฎหมาย หรือสัญญา
หากฝ่ายทรัพยากรบุคคล (HR) ทำผิดข้อกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะมีบทลงโทษอย่างไร
โทษทางแพ่ง
- ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องชดใช้ค่าสินไหมทดแทนเพื่อลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
- มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
- มีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครองของผู้ควบคุมข้อมูล
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล มีโทษปรับตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท
หากเจ้าหน้าที่ผู้ควบคุมข้อมูลและอุปกรณ์ที่เกี่ยวข้อง รวมไปถึงสถานที่จัดเก็บข้อมูลไม่รัดกุมและปฏิบัติอย่างถูกต้อง ความผิดพลาดนั้นอาจมีโทษทางกฎหมายร้ายแรง ทำให้องค์กรสูตรเสียโอกาสทางธุรกิจ การมีที่ปรึกษาด้าน PDPA (PDPA Compliance Service) จะช่วยให้องค์กรปฏิบัติตามข้อกำหนดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างเคร่งครัด ช่วยให้องค์กรมีความน่าเชื่อถือในการจัดการข้อมูลส่วนบุคคล มีนโยบายและแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลขององค์กร Vinarco ผู้เชี่ยวชาญด้านการให้คำปรึกษาด้าน PDPA ให้คำปรึกษาด้านการจัดเก็บข้อมูลด้วย PDPA Solution ที่ครอบคลุม ช่วยให้องค์กรปกป้องและจัดเก็บข้อมูลได้อย่างเหมาะสม สามารถควบคุมรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ตามข้อกำหนด PDPA
