บริษัทห้างร้าน ผู้ประกอบการค้าพึงระวัง ก่อนการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 1 มิถุนายน 2565 นี้

บริษัทห้างร้าน ผู้ประกอบการค้าพึงระวัง ก่อนการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 1 มิถุนายน 2565 นี้

วันที่เผยแพร่ 08 มิ.ย. 2565


     บริษัทห้างร้าน ผู้ประกอบการค้าพึงระวัง ก่อนการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 1 มิถุนายน 2565 นี้

    บริษัทห้างร้าน ผู้ประกอบการค้าต้องจัดทำนโยบาย และแนวทางปฏิบัติงานของหน่วยงาน (Privacy Policy and Codes of Practice) โดยจะต้องทำนโยบายที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลทั้งในรูปแบบของ Privacy Policy กับ Privacy Notice เพื่อกำหนดแนวทางปฏิบัติในกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กำหนดบทลงโทษสำหรับผู้ที่ฝ่าฝืนหรือทำผิดนโยบายการรักษาข้อมูลส่วนบุคคล  กำหนดแนวทางปฏิบัติในกรณีที่ข้อมูลรั่วไหลอีก

1.Privacy Policy นโยบายการจัดเก็บข้อมูลส่วนบุคคล

       1.การเก็บข้อมูลนี้จะเป็นแบบฟอร์มให้กรอกในรูปแบบอิเล็กทรอนิกส์ หรือ รูปแบบหนังสือ ก็ได้บริษัทห้างร้าน ผู้ประกอบการค้าที่ต้องจัดเก็บข้อมูลส่วนบุคคล ต้องแจ้งข้อมูลส่วนบุคคลอะไรบ้างที่เราเก็บรวบรวม ใช้ และ/หรือจะเปิดเผยถ้ามี

     2.แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล 

  • สิทธิได้รับการแจ้งให้ทราบ
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิขอให้ลบหรือทำลาย
  • สิทธิในการเพิกถอนความยินยอม
  • สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

    3. แจ้งเรื่องการจะเปิดเผยข้อมูลส่วนบุคคล (ถ้ามี)

    4. แจ้งระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล

     5. แจ้งมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคล

        หากบริษัทห้างร้าน ผู้ประกอบการค้า นำข้อมูลส่วนบุคคล ไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูลก่อน การนำไปเปิดเผยโดยไม่ได้รับการอนุญาตมีความผิด มีบทลงโทษ

2.Privacy Notice นโยบายความเป็นส่วนตัว

    นโยบายความเป็นส่วนตัวเป็นกรณีที่ไม่จำเป็นต้องขอคำยินยอม แต่ผู้ควบคุมข้อมูลต้องทำคำประกาศถึงเจ้าของข้อมูลที่จะต้องกล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล โดยทำเป็นการประกาศความเป็นส่วนตัวจากองค์กรเพื่อแจ้งให้ทราบกับสาธารณชนทราบ เช่น กล้องวงจรปิด CCTV ขององค์กรส่องไปยังผู้มาใช้บริการ หรือ ส่องออกไปที่สาธารณะ ซึ่ง Privacy Notice มีส่วนประกอบได้แก่

    1. แจ้งการจัดเก็บข้อมูลส่วนบุคคล

    2. แจ้งวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล

    3. แจ้งข้อมูลส่วนบุคคลที่จัดเก็บ

    4. แจ้งเรื่องการเปิดเผยข้อมูลส่วนบุคคล

    5. แจ้งสิทธิตามพระราชบัญญัติฯ

    6. แจ้งระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล

    7. แจ้งมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

    8. แจ้งความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล

    9. แจ้งการเปลี่ยนแปลงแก้ไขประกาศเกี่ยวกับความเป็นส่วนตัว

   10. แจ้งแหล่งการติดต่อสอบถาม ติดต่อได้ที่ใคร ทีไหน

   11. แจ้งชื่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

3.นโยบาย Cookie Consent

         Cookie consent คือ การขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ถ้าองค์กร หรือบริษัทมีเว็ปไซต์ ซึ่งไฟล์คุกกี้นี้ก็ถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่จัดเก็บข้อมูลจากเจ้าของข้อมูลหลายรูปแบบจากการเข้าชมเว็บไซต์ ดังนั้นเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งาน เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย หรือ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน โดยต้องแจ้งผู้ใช้งานทราบตั้งแต่เว็บไซต์มีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง

4. ฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล

       องค์กรหรือบริษัทที่จัดเก็บข้อมูลส่วนบุคคล ถ้าหากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรหรือบริษัทจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหรือแจ้งให้เจ้าของข้อมูลทราบด้วย โดยต้องแจ้งรายละเอียดสถานการณ์ที่เกิดขึ้นทั้งหมด ไม่ว่าจะเป็นจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล ประเมินผลกระทบที่อาจจะเกิดขึ้น ไปจนถึงระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

5.การบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ ROPA)

     พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 กำหนดให้องค์กรมีหน้าที่ในการจัดให้มีบันทึกรายการกิจกรรม เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้ ซึ่งข้อมูลที่ต้องบันทึก มีดังนี้ ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท  ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล การใช้หรือเปิดเผย  การบันทึกรายละเอียดการปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย ทั้งนี้การบันทึกขึ้นอยู่กับจุดประสงค์ของการดำเนินการ และที่สำคัญการทำ ROPA ส่วนใหญ่จะบังคับกับองค์กรธุรกิจขนาดกลาง ถึงขนาดใหญ่  ในส่วนขนาดเล็กนั้นได้รับการยกเว้น

บทลงโทษตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหากไม่ปฏิบัติ

โทษทางแพ่ง

      มีโทษทางแพ่ง โดยต้องชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง     

โทษทางอาญา

       มีโทษทางอาญาโดยจะมีทั้งโทษจำคุกและโทษปรับ ซึ่งโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง

       มีโทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท

ศึกษาเพิ่มเติมได้ที่ https://www.dga.or.th/document-sharing/article/59030/

ฝ่ายเลขานุการคณะกรรมการกฎหมายธุรกิจและกฎระเบียบ

หอการค้าไทยและสภาหอการค้าแห่งประเทศไทย





ย้อนกลับ