fbpx
×
×
×
×

PDPA Compliance Overview

สรุปวิธีการปฏิบัติตามพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)




What is PDPA?


อะไรคือพ.ร.บ.ข้อมูลส่วนบุคคล


UPDATE – 20th May 2020: The Personal Data Protection Act (PDPA), due to go into effect on the 27th of May 2020 has been postponed for another full year by the Thai government. We will update this page as more details are released.

 

PDPA refers to the Personal Data Protection Act of 2019. Regarded as Thailand’s very own adaptation of the GDPR, the data privacy regulations of this act pertain to the same key points of rights of data, data controlling and non-compliance penalties.

 

The act was published on the 27th of May 2019 through Thailand’s Government Gazette. However, its operational provisions are only set to go into effect on the 27th of May 2020, a full year since the PDPA was first published.

 

Though the core ideals behind this act are very similar to those of GDPR, it’s very important that companies operating within Thailand take the initiative to remain informed and up to date on PDPA provisions, non-compliance penalties, as well as the obligations and liberties of data controllers.

 

อัพเดตเกี่ยวกับพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) – 20 พฤษภาคม 2563: ที่ประชุมคณะรัฐมนตรี (ครม.) มีมติอนุมัติในหลักการร่างพระราชกฤษฎีกา จากเดิมที่จะมีผลบังคับใช้ในวันที่ 27 พ.ค. 2563 นี้ ให้ขยายออกไปอีก 1 ปี

 

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act of 2019) ซึ่งถือได้ว่า พ.ร.บ.ดังกล่าว มาจากการดัดแปลงมาจากหลักกฎหมาย GDPR ว่าด้วยเรื่องกฎหมายข้อมูลส่วนบุคคล ว่าด้วยเรื่องความเหมาะสมของเรื่องสิทธิของผู้ถูกจัดเก็บ เรื่องในการจัดเก็บข้อมูล และเรื่องบทลงโทษหากไม่ปฏิบัติตาม

 

พระราชบัญญัติได้รับการประกาศลงราชกิจจานุเบกษา ณ วันที่ 27 พฤษภาคม พ.ศ. 2562 แต่ถึงกระนั้นก็ดี ผลของพ.ร.บ. ฉบับดังกล่าว จะเริ่มใช้บังคับในวันที่ 27 พฤษภาคม พ.ศ. 2563 หรือหนึ่งปีนับแต่วันที่ได้ประกาศลงราชกิจจานุเบกษา

 

ถึงแม้หัวใจหลักของพ.ร.บ. นี้จะมีความใกล้เคียงกับ GDPR แต่ถือว่ามีความสำคัญสำหรับบริษัทที่เปิดกิจการในประเทศไทยอย่างสูงที่ต้องเริ่มเตรียมรับอัพเดทกับบทบัญญัติข้อมูลส่วนบุคคล บทลงโทษหากไม่ปฏิบัติตาม รวมถึงอิสระในการใช้ข้อมูล หน้าที่ ความรับผิดต่อข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล

 


Overview


ภาพรวม


Key Definitions in the PDPA

 

  • Personal Data: Any and all information relating to a specific Person, which enables the identification of a Person, whether directly or indirectly, but does not include the information of deceased Persons.
  • Person: A natural person.
  • Data Controller: Person or a juristic person having the power and duties to make decisions regarding the collection, use, or disclosure of the Personal Data.

 

 

How is PDPA Applied?

 

The PDPA sets regulations for how personal data is collected and used. This applies to all businesses located in Thailand, regardless of whether the data was collected or distributed outside the country.

 

The PDPA also applies to businesses located outside the kingdom, if a few conditions are met:

  • When goods or services are offered to data subjects or citizens within Thailand, regardless of whether there is any payment involved.
  • When monitoring data subjects or citizens’ behavior in Thailand.

 

 

What are PDPA’s lawful bases?

 

There are six lawful bases that must be met in every act of collecting or using data in order to remain PDPA compliant. All other cases that these lawful bases do not cover, will require the data subject’s consent for collection, usage, and disclosure of the personal data.

 

The lawful purposes are:

  1. for the preparation of historical documents or archives for the public interest, or relating to research or statistics, in which suitable measures to safeguard the data subject’s rights and freedoms are put in place and in accordance with any notification prescribed by the Office;
  2. for preventing or suppressing danger to a person’s life, body or health;
  3. where it is necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the data subject prior to entering into a contract;
  4. where it is necessary for the performance of a task carried out in the public interest by the data controller, or in order to exercise the official authority vested in the data controller;
  5. for the legitimate interests of the data controller or any other persons, except where such interests are overridden by the fundamental rights of the data subjects with respect to their Personal Data; or
  6. where it is necessary to comply with any laws to which the data controller is subject.

 

 

Consent

 

Certain criteria must be met for the data subject’s consent to be considered valid:

  • the consent must be explicitly made in a written statement or via electronic means;
  • the data subject must be informed of the purpose of the collection, use, or disclosure of the Personal Data;
  • the request for consent must be clearly distinguishable from other content provided to the data subject;
  • the form of the request for consent must be easily accessible and intelligible;
  • the request for consent must be in clear and plain language; and
  • the request for consent must not be deceptive or misleading to the data subject in respect to its purposes.

 

 

Privacy Notice

 

The privacy notice serves the purpose of keeping data subjects informed of when their data is collected and the purpose it’s used for. The data controller must provide the data subject with a privacy notice prior to or by the time the Personal Data is collected.

 

The notice must include the following information:

  • the Personal Data to be collected;
  • the purpose of the collection, usage or disclosure of the Personal Data, including the lawful basis relied on;
  • whether the data subject must provide his or her Personal Data, including the consequence where the data subject does not provide the Personal Data;
  • the period for which the Personal Data will be retained and, if it is not possible to specify a retention period, the expected data retention period according to the data retention standard;
  • the categories of Persons or entities to whom the Personal Data may be disclosed;
  • the contact details of the data controller, and where applicable, contact details of the data controller’s representative or data protection officer; and
  • the rights of the data subject, which include the right to withdraw consent, the right to access and obtain a copy of the Personal Data, the right to request for the transfer of the Personal Data in machine-readable formats to other data controllers, the right to object to the collection, usage and disclosure of the Personal Data, the right to request for deletion, the right to request for suspension of use, the right to have Personal Data maintained accurately, and the right to file complaints.

 

 

Breach Notification

 

A data controller is required to notify the Office of any data breach affecting Personal Data within 72 hours after becoming aware of it. If the breach is likely to pose a high risk to the rights and freedom of the data subject, the data subject must also be notified without delay.

 

 

Security obligations

 

A data controller has a duty to keep Personal Data secure, including the following:

  • ensuring that there are appropriate security measures in place to prevent the unauthorized or unlawful loss, access to, use, alteration, correction or disclosure of Personal Data;
  • preventing the recipient of the Personal Data (e.g. a data processor) from using or disclosing such Personal Data unlawfully or without authorization; and
  • ensuring that there is a system to destroy the Personal Data once the retention period expires.

 

 

Cross Border Data Transfer

 

In the event that a data controller sends or transfers Personal Data to a foreign country, the destination country that receives such Personal Data shall have adequate data protection standards, unless an exemption is met (e.g. a consent from the data subject is obtained for the transfer of the Personal Data to a country which the data protection standard that is not adequate, or the transfer is for compliance with the law). The guideline on adequate data protection standard is yet to be issued.

 

 

Penalties

 

A violation of the PDPA could result in civil liability, criminal liability and administrative fines.

 

For example, a data controller who collects, uses or discloses the Personal Data without consent from the data subject (where consent is required) will be liable.

 

 

คำจำกัดความในพ.ร.บ.ข้อมูลส่วนบุคคล

 

  • ข้อมูลส่วนบุคคล: ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
  • บุคคล: บุคคลธรรมดา
  • ผู้ควบคุมข้อมูลส่วนบุคคล: บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

 

 

พ.ร.บ.ข้อมูลส่วนบุคคลนำมาปรับใช้อย่างไร

 

พ.ร.บ.ข้อมูลส่วนบุคคลวางหลักกฎหมายสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลและนำมาใช้ หลักกฎหมายดังกล่าวนั้น ไม่ว่าข้อมูลนั้นจะถูกจัดเก็บหรือมาจากภายนอกประเทศก็ตาม

 

พ.ร.บ.ข้อมูลส่วนบุคคลยังสามารถนำมาปรับใช้กับกิจการที่จัดตั้งภายนอกราชอาณาจักรได้ หากเป็นไปตามเงื่อนไข

  • เมื่อสินค้าหรือบริการมีการเก็บข้อมูลโดย เจ้าของข้อมูลส่วนบุคคลเป็นคนไทย หรือพลเมืองภายในประเทศ
  • เมื่อมีการสังเกตการณ์พฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เป็นคนไทย หรือพลเมืองไทย

 

 

สิ่งใดที่ฐานทางกฎหมายของพ.ร.บ.ข้อมูลส่วนบุคคล

 

ในพ.ร.บ. จะมีฐานทางกฎหมาย 6 ประการ โดยการจัดเก็บข้อมูลหรือนำมาใช้นั้น ต้องเป็นไปตามฐานทางกฎหมาย เพื่อจะได้ไม่ขัดต่อ พ.ร.บ.ข้อมูลส่วนบุคคล ในกรณีอื่นที่ฐานทางกฎหมายไม่ครอบคลุม จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน สำหรับการจัดเก็บ นำไปใช้ และเปิดเผย

 

วัตถุประสงค์ที่ชอบด้วยกฎหมายคือ:

  1. ในการจัดเตรียมเอกสารทางประวัติศาสตร์ หรือ หอจดหมายเหตุเพื่อประโยชน์สาธารณะ หรืออันเกี่ยวเนื่องกับงานวิจัย หรือสถิติ ให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการประกาศกำหนด
  2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  3. หากเป็นการจำเป็นในการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
  4. หากเป็นการจำเป็นในการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุม ข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
  5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูล
  6. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

 

 

ความยินยอม

 

ความยินยอมจากเจ้าของข้อมูลจะถือว่าสมบูรณ์ได้ต่อเมื่อเข้าหลักเกณฑ์ดังนี้

  • การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
  • เจ้าของข้อมูลจะต้องได้รับแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • การขอความยินยอมจากเจ้าของข้อมูลนั้นนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
  • แบบหรือข้อความการขอความยินยอมต้องเข้าถึงและเข้าใจได้โดยง่าย
  • การขอความยินยอมต้องใช้ภาษาที่อ่านง่ายและชัดแจ้ง
  • การขอความยินยอมต้องไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์

 

 

การประกาศเรื่องความเป็นส่วนตัว

 

การประกาศเรื่องความเป็นส่วนตัวมีจุดประสงค์เพื่อแจ้งเจ้าของข้อมูลเมื่อข้อมูลถูกจัดเก็บและวัตถุประสงค์ในการใช้ ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องแสดงข้อความก่อน หรือ ในขณะที่มีการจัดเก็บข้อมูลส่วนบุคคล

 

ข้อความประกาศจะต้องประกอบไปด้วยข้อมูลดังต่อไปนี้

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงความชอบทางกฎหมาย
  • ในประกาศในการขอเก็บข้อมูลส่วนบุคคล จำเป็นต้องแจ้งผลที่ตามมา หากเจ้าของข้อมูลไม่ยินยอมให้จัดเก็บข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูล หากไม่สามารถระบุระยะเวลาที่จะเก็บรักษาข้อมูลไว้ได้ ให้ใช้ระยะเวลาคาดการณ์ตามระยะเวลามาตราฐาน
  • ประเภทของบุคคลหรือหน่วยงานที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล
  • ข้อมูลติดต่อของผู้ควบคุมข้อมูลส่วนตัวที่สามารถติดต่อได้ หรือข้อมูลติดต่อของตัวแทนผู้ควบคุมข้อมูลส่วนตัว หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล.
  • สิทธิของเจ้าของข้อมูล รวมถึงถอนความยินยอม และสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล สิทธิส่งต่อข้อมูลส่วนบุคคลในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติไปยังผู้ควบคุมข้อมูลอีกคน สิทธิในการคัดค้านการจัดเก็บข้อมูล นำไปใช้ และเปิดเผย สิทธิขอให้ดำเนินการลบข้อมูล สิทธิในการขอระงับการใช้ข้อมูล สิทธิที่คงข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน และสิทธิในการร้องเรียน

 

 

กระบวนการแจ้งเตือนเหตุข้อมูลรั่ว

 

ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งหน่วยงานสำหรับข้อมูลส่วนบุคคลใดๆ ก็ตามที่รั่วไหลออกไปภายใน 72 ชั่วโมงหลังจากที่ทราบ ถ้าการรั่วไหลมีโอกาสที่จะทำให้เกิดความเสี่ยงที่สูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล เจ้าของข้อมูลจะต้องได้รับการแจ้งเตือนโดนทันทีด้วยเช่นกัน

 

 

หน้าที่ในการรักษาความปลอดภัยของข้อมูล

 

ผู้ที่ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ที่จะต้องรักษาความปลอดภัยของข้อมูล ดังนี้

  • ต้องมีที่เก็บข้อมูลที่มีมาตรการความปลอดภัยเพื่อป้องกันบุคคลอื่นเข้าไปทำให้เกิดความเสียหาย เข้าถึงข้อมูล นำไปใช้ แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
  • ป้องกันไม่ให้ผู้รับข้อมูล (เช่น ผู้ประมวลผลข้อมูล) นำข้อมูลไปเปิดเผยโดยไม่ได้รับความยินยอม
  • เมื่อถึงกำหนดหมดระยะเวลาการเก็บข้อมูล ต้องมีระบบทำลายข้อมูลส่วนบุคคล

 

การส่งหรือโอนข้อมูลส่วนบุคคลข้ามประเทศ

 

สำหรับผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปให้ประเทศอื่น ประเทศปลายทางที่รับข้อมูลส่วนบุคคลจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ (ในกรณี่ที่จะต้องส่งข้อมูลไปยังประเทศปลายทางที่ไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลทราบก่อน)

 

 

บทลงโทษ

 

ผู้ที่ละเมิดพ.ร.บ. การควบคุมข้อมูลส่วนบุคคล มีโอกาสที่จะโดนมาตรการลงโทษทางแพ่ง(ชดใช้สินไหมทดแทน) โทษทางอาญา(จำคุก) รวมถึงการบังคับชําระค่าปรับตามกฎหมายหรือคําสั่งศาล

 

ตัวอย่างเช่น ผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บข้อมูล ใช้หรือเปิดเผยข้อมูลโดยที่เจ้าของข้อมูลไม่ยินยอม อาจโดนบังคับชําระค่าปรับตามกฎหมายโดยจำนวนค่าปรับจะขึ้นอยู่กับความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล


About Manatal and PDPA compliance

มานาตัล และการปฏิบัติตาม พ.ร.บ.ข้อมูลส่วนบุคคล


We at Manatal are committed to deliver the tools required by today’s talent acquisition professionals--not solely to hire top talents, but also to support compliance throughout every region.

ทางมานาตัล มุ่งมั่นที่จะส่งมอบเครื่องมือที่จำเป็นต้องใช้สำหรับกลุ่มผู้เชี่ยวชาญด้านการสรรหาบุคลากร และเราไม่ได้หยุดอยู่ที่การจ้างงานกลุ่มผู้ที่มีศักยภาพอันโดดเด่นเท่านั้น แต่ยังให้ความสำคัญกับการช่วยสนับสนุนการปฏิบัติตามข้อกำหนดตลอดทั่วทุกภูมิภาคอีกด้วย


manatal-gdpr
  • We provide you with tools supporting your PDPA compliance.

  • We encrypt and secure all of your data using the latest technologies.

  • We allow access, modification and permanent deletion of your data.

  • เรามอบเครื่องมือที่ช่วยสนับสนุนการปฏิบัติตาม พ.ร.บ.ข้อมูลส่วนบุคคลให้แก่คุณ

  • เราเข้ารหัสและคุ้มครองทุกข้อมูลของคุณโดยเทคโนโลยีสมัยใหม่

  • เราให้สิทธิการเข้าถึง เปลี่ยนแปลง และการลบข้อมูลของคุณอย่างถาวร


How Manatal helps you stay compliant

มานาตัลช่วยให้การทำงานของคุณเป็นไปตามข้อกฏหมายบังคับได้อย่างไร


As personal data privacy, yours as well as that of your candidates, is of the utmost importance to us, our platform was designed to simplify and ease compliance to PDPA regulations. To that end, we’ve included features that help Manatal users meet the specific requirements set by the PDPA.

 

Our goal is to provide you with the tools necessary to adhere to data privacy laws and regulations, and remain informed of the various rights accorded to yourself and your candidates as you recruit.

 

Manatal supports your PDPA compliance by allowing you to:

  • Obtain and record consent of data subjects
  • Publish your organization’s privacy policy and PDPA compliance terms
  • Delete permanently candidate information​
  • We also support other data subject rights such as:
    • Right to Access
    • Right to Rectification
    • Right to Object
  • Compliance reports

ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของคุณหรือของผู้สมัครก็ล้วนแล้วแต่มีความสำคัญกับเราเป็นอย่างยิ่ง

ซอฟต์แวร์ของเราได้ถูกออกแบบมาเพื่อช่วยให้ทำงานง่ายขึ้นและเป็นไปตามข้อบังคับของพ.ร.บ.ข้อมูลส่วนบุคคลอีกด้วย ด้วยเหตุนี้ เราได้รวบรวมฟีเจอร์ต่างๆ ที่ช่วยให้การทำงานของผู้ใช้งานมานาตัลเป็นไปตามข้อกำหนดเฉพาะที่ถูกวางโดยพ.ร.บ. ฉบับนี้

 

เป้าหมายของเรา คือ การมอบเครื่องมือที่จำเป็นต่อการปฏิบัติตามกฎหมายและข้อบังคับว่าด้วยเรื่องข้อมูลส่วนบุคคล และยังคงแจ้งคุณให้ทราบถึงสิทธิต่างๆ ที่คุณมี รวมถึงผู้สมัครที่คุณสรรหามา

 

มานาตัลสนับสนุนการปฏิบัติตาม พ.ร.บ โดยการ:

  • จัดเก็บและบันทึก ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
  • เผยแพร่นโยบายความเป็นส่วนตัวและข้อกำหนดการปฏิบัติตามพ.ร.บ. ขององค์กรคุณ
  • ลบข้อมูลของผู้สมัครถาวร
  • เราสนับสนุนสิทธิของเจ้าของข้อมูลส่วนบุคคล
    • สิทธิในการเข้าถึง
    • สิทธิในการแก้ไขข้อมูลให้ถูกต้อง
    • สิทธิในการคัดค้าน
  • รายงานการปฏิบัติตามข้อกำหนด

manatal-gdpr
Security
ความปลอดภัย
manatal-gdpr
Analytics
การวิเคราะห์
  • We encrypt all of our clients’ candidate databases.
  • We run daily back-ups of our database to ensure your information bank is safe.
  • For more detailed information, please check Manatal’s security page.

 

 

  • เราเข้ารหัส (Encrypt) ฐานข้อมูลของผู้สมัครจากลูกค้าทุกคน
  • เราทดสอบประสิทธิภาพของฐานข้อมูลทุกวัน เพื่อทำให้มั่นใจว่าข้อมูลได้รับการจัดเก็บปลอดภัย
  • สำหรับข้อมูลเพิ่มเติม โปรดเข้า Manatal’s security page.
  • Out-of-the-box compliance reports and analytics allowing you to set up goals and guidelines to remain compliant.

 

 

  • รายงานการปฏิบัติตามข้อกำหนดและการวิเคราะห์ข้อมูลที่สามารถปรับใช้ได้โดยง่าย จะช่วยให้คุณตั้งเป้าหมายและข้อแนะนำเพื่อให้เป็นไปตามข้อบังคับได้

 

 

Sign up to our newsletter