กฎใหม่ PDPA ออกใหม่แล้วสดๆร้อนๆ หลังราชกิจจานุเบกษาเผยแพร่ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กำหนดหลักเกณฑ์การใช้สิทธิเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลอย่างเป็นรูปธรรม เปิดทางให้ประชาชนตรวจสอบว่าองค์กรเก็บข้อมูลอะไรไว้ รวมถึงขอทราบแหล่งที่มาของข้อมูลที่ไม่ได้ให้ความยินยอม ขณะที่บริษัท หน่วยงานรัฐ และผู้ให้บริการต่าง ๆ ต้องเตรียมระบบรับคำขอและดำเนินการภายในเวลาที่กฎหมายกำหนด
ประกาศดังกล่าวมีชื่ออย่างเป็นทางการว่า ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม พ.ศ. 2569
ประกาศในราชกิจจานุเบกษา เล่ม 143 ตอนพิเศษ 175 ง เมื่อวันที่ 16 กรกฎาคม 2569 และกำหนดให้ใช้บังคับเมื่อพ้น 60 วันนับจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป นั่นหมายความว่ากฎใหม่ PDPA ที่ออกประกาศแล้ว จะเริ่มบังคับใช้จริงคือ 14 กันยายน 2569
กฎใหม่ PDPA สำคัญต่อประชาชนอย่างไร
สาระสำคัญของประกาศฉบับนี้ คือการทำให้สิทธิในการเข้าถึงข้อมูลตามกฎหมาย PDPA มีขั้นตอนที่ชัดเจนและนำไปใช้ได้จริงมากขึ้น จากเดิมที่ประชาชนอาจทราบว่าตนมีสิทธิขอข้อมูล แต่ยังไม่มีรายละเอียดกลางว่าต้องยื่นอย่างไร องค์กรต้องตอบเมื่อใด หรือเรียกเก็บค่าใช้จ่ายได้แค่ไหน
เมื่อประกาศมีผลใช้บังคับ เจ้าของข้อมูลจะสามารถยื่นคำขอต่อบริษัท หน่วยงาน หรือผู้ให้บริการที่ครอบครองข้อมูล เพื่อดำเนินการในเรื่องสำคัญ ได้แก่
- ขอเข้าตรวจดูข้อมูลส่วนบุคคลของตัวเอง
- ขอรับสำเนาข้อมูลที่องค์กรเก็บรวบรวม ใช้ หรือเปิดเผย
- ขอให้องค์กรเปิดเผยว่าได้ข้อมูลของตนมาจากแหล่งใด ในกรณีที่ไม่ได้ให้ความยินยอม
- มอบอำนาจให้บุคคลอื่นดำเนินการแทนได้
ผู้ควบคุมข้อมูลต้องจัดช่องทางให้ประชาชนยื่นคำขอได้อย่างน้อยผ่านสถานที่ทำการหรือทางไปรษณีย์ และสามารถเพิ่มช่องทางอิเล็กทรอนิกส์ เช่น เว็บไซต์ แอปพลิเคชัน หรืออีเมลได้
องค์กรต้องดำเนินการภายใน 30 วัน
เมื่อผู้ควบคุมข้อมูลได้รับคำขอที่มีรายละเอียดและเอกสารประกอบถูกต้องครบถ้วน รวมถึงสามารถยืนยันได้ว่าผู้ยื่นเป็นเจ้าของข้อมูลหรือผู้รับมอบอำนาจจริง องค์กรต้องดำเนินการโดยไม่ชักช้า และต้องแล้วเสร็จภายใน 30 วันนับจากวันที่ได้รับคำขอ
กรณีคำขอมีข้อมูลจำนวนมากหรือมีเหตุจำเป็นที่ทำให้ดำเนินการไม่ทัน องค์กรสามารถขยายเวลาได้อีกไม่เกิน 30 วัน แต่ต้องแจ้งเหตุผลและรายละเอียดให้เจ้าของข้อมูลทราบ
หากคำขอหรือหลักฐานไม่ครบถ้วน องค์กรต้องแจ้งให้ผู้ยื่นแก้ไขหรือส่งเอกสารเพิ่มเติม โดยต้องกำหนดเวลาให้ไม่น้อยกว่า 10 วัน หากผู้ยื่นไม่ดำเนินการภายในกำหนด องค์กรอาจจำหน่ายคำขอได้ แต่ไม่ตัดสิทธิที่จะยื่นคำขอใหม่ภายหลัง
ขอข้อมูลออนไลน์โดยหลักต้องไม่เสียค่าธรรมเนียม
ประกาศกำหนดว่า หากเป็นการให้ข้อมูลผ่านช่องทางอิเล็กทรอนิกส์ โดยไม่ต้องจัดทำข้อมูลในรูปแบบพิเศษ และไม่มีค่าใช้จ่ายในการขนส่งหรือจัดส่งโดยตรง ผู้ควบคุมข้อมูลต้องไม่เรียกเก็บค่าธรรมเนียมจากประชาชน
อย่างไรก็ตาม องค์กรอาจเรียกเก็บค่าธรรมเนียมได้ในบางกรณี เช่น คำขอเรื่องเดิมที่ยื่นซ้ำเป็นจำนวนมาก คำขอที่เกี่ยวข้องกับข้อมูลปริมาณมาก หรือคำขอที่ทำให้องค์กรมีภาระมากกว่าปกติ โดยค่าธรรมเนียมต้องสมเหตุสมผลและไม่เกินต้นทุนจริง
อัตราสูงสุดที่กำหนดไว้ในบัญชีท้ายประกาศ เช่น
- สำเนากระดาษขนาด A4 หน้าละไม่เกิน 1 บาท
- สำเนาจากเครื่องพิมพ์คอมพิวเตอร์บนกระดาษ A4 หน้าละไม่เกิน 3 บาท
- ค่ารับรองความถูกต้องของข้อมูล คำรับรองละไม่เกิน 5 บาท
ก่อนเรียกเก็บค่าธรรมเนียม องค์กรต้องแจ้งอัตราและรายละเอียดให้เจ้าของข้อมูลทราบก่อนหรือในขณะที่ใช้สิทธิ
องค์กรปฏิเสธคำขอได้หรือไม่
ผู้ควบคุมข้อมูลสามารถปฏิเสธคำขอได้เฉพาะกรณีที่มีเหตุรองรับ เช่น
- การเปิดเผยเป็นการฝ่าฝืนกฎหมายหรือคำสั่งศาล
- อาจกระทบสิทธิและเสรีภาพของบุคคลอื่น
- มีข้อมูลที่เป็นความลับราชการ ความลับทางการค้า ลิขสิทธิ์ หรือทรัพย์สินทางปัญญาของบุคคลอื่น
- คำขอไม่ชัดเจนหรือสร้างภาระเกินสมควรโดยไม่มีเหตุผล
กรณีที่ข้อมูลบางส่วนอาจกระทบสิทธิของผู้อื่น องค์กรควรเปิดเผยเฉพาะส่วนที่สามารถเปิดเผยได้ โดยอาจลบ ตัดทอน หรือปกปิดข้อมูลส่วนที่มีปัญหา แทนการปฏิเสธคำขอทั้งหมด
หากปฏิเสธ องค์กรต้องแจ้งเหตุผลให้ผู้ยื่นทราบ และบันทึกการปฏิเสธพร้อมเหตุผลไว้ตามที่กฎหมายกำหนด
บริษัทและหน่วยงานต้องเก็บหลักฐานอย่างน้อย 2 ปี
ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายละเอียดคำขอ เอกสารหลักฐาน การดำเนินการ และการปฏิเสธคำขอ พร้อมเก็บรักษาไว้อย่างน้อย 2 ปี เพื่อประโยชน์ในการตรวจสอบและอ้างอิง โดยสามารถจัดเก็บในรูปแบบอิเล็กทรอนิกส์ได้
ข้อกำหนดนี้ทำให้องค์กรที่เก็บข้อมูลลูกค้า พนักงาน สมาชิก หรือผู้ใช้บริการ ต้องเร่งเตรียมระบบภายใน ตั้งแต่ช่องทางรับคำขอ การตรวจสอบตัวตน การค้นหาข้อมูลจากหลายระบบ ไปจนถึงขั้นตอนการปกปิดข้อมูลของบุคคลอื่นก่อนส่งมอบ
ประกาศนี้ ไม่ได้สั่งให้องค์กรต้องซื้อระบบไอทีใหม่โดยตรง แต่ข้อกำหนดต่าง ๆ ทำให้บริษัทและหน่วยงานที่เก็บข้อมูลส่วนบุคคลต้องปรับระบบหลังบ้านอย่างมีนัยสำคัญ เพราะต้องค้นหา ตรวจสอบ คัดกรอง และส่งมอบข้อมูลให้เจ้าของข้อมูลได้ภายในเวลาที่กำหนด
ประกาศนี้ผลกระทบหลักต่อระบบไอทีอย่างไร ?
1. ต้องมีระบบรับและติดตามคำขอใช้สิทธิ PDPA
องค์กรควรมีระบบสำหรับรับคำขอเข้าถึงหรือขอสำเนาข้อมูล เช่น หน้าเว็บไซต์ แบบฟอร์มออนไลน์ อีเมล หรือระบบ Ticket โดยต้องบันทึกวันที่รับคำขอ สถานะ ผู้รับผิดชอบ เอกสารประกอบ และกำหนดเวลาให้ชัดเจน เพราะเมื่อเอกสารครบถ้วนแล้ว ต้องดำเนินการโดยไม่ชักช้าและไม่เกิน 30 วัน ส่วนกรณีซับซ้อนอาจขยายเวลาได้อีกไม่เกิน 30 วันโดยต้องแจ้งเหตุผลแก่ผู้ยื่นคำขอ
ระบบควรมีฟังก์ชันแจ้งเตือนก่อนครบกำหนด เพื่อป้องกันคำขอตกหล่นหรือดำเนินการล่าช้า
2. ต้องเชื่อมข้อมูลจากหลายระบบเข้าด้วยกัน
ข้อมูลของลูกค้าหนึ่งคนอาจกระจายอยู่ในหลายระบบ เช่น
- ระบบสมาชิกและ CRM
- แอปพลิเคชันและเว็บไซต์
- ระบบขายและชำระเงิน
- ระบบบริการลูกค้าและ Call Center
- ระบบอีเมลและการตลาด
- ระบบกล้องวงจรปิดหรือบันทึกการเข้าใช้งาน
- ระบบทรัพยากรบุคคล
ฝ่ายไอทีจึงต้องรู้ว่าองค์กรเก็บข้อมูลประเภทใด อยู่ที่ระบบใด และใช้ตัวระบุใดในการค้นหา เช่น เลขสมาชิก หมายเลขโทรศัพท์ อีเมล หรือเลขประจำตัวอื่น เพราะประกาศเปิดให้องค์กรขอข้อมูลระบุตัวตนเพิ่มเติมได้เท่าที่จำเป็น เพื่อให้ค้นหาและยืนยันเจ้าของข้อมูลได้ถูกต้อง
3. ต้องพัฒนาความสามารถในการค้นหาและส่งออกข้อมูล
ระบบเดิมจำนวนมากออกแบบมาเพื่อให้พนักงานดูข้อมูล แต่ไม่ได้ออกแบบให้รวบรวมข้อมูลทั้งหมดของบุคคลหนึ่งออกมาเป็นไฟล์เพื่อส่งมอบ
องค์กรจึงอาจต้องเพิ่มเครื่องมือสำหรับค้นหาข้อมูลข้ามฐานข้อมูล และส่งออกเป็นรูปแบบที่ประชาชนเปิดอ่านได้ เช่น PDF, CSV หรือไฟล์อิเล็กทรอนิกส์อื่น โดยประกาศกำหนดว่าสามารถจัดให้เข้าถึงหรือรับสำเนาในรูปแบบอิเล็กทรอนิกส์ได้ และหากผู้ยื่นคำขอผ่านช่องทางอิเล็กทรอนิกส์โดยไม่ได้ขอรูปแบบอื่น องค์กรควรจัดส่งในรูปแบบอิเล็กทรอนิกส์หากทำได้
4. ต้องมีระบบตรวจสอบและปกปิดข้อมูลของบุคคลอื่น
ไฟล์หรือเอกสารที่เจ้าของข้อมูลร้องขออาจมีข้อมูลของบุคคลอื่นอยู่ด้วย เช่น บทสนทนาระหว่างลูกค้ากับพนักงาน รายงานภายใน หรือภาพจากกล้องวงจรปิด
ก่อนส่งข้อมูล ฝ่ายไอทีและฝ่ายกฎหมายจึงต้องมีขั้นตอนตรวจสอบและปกปิดข้อมูล เช่น การทำ Data Redaction การเบลอใบหน้า การซ่อนชื่อ เบอร์โทร หรือข้อมูลลับ โดยประกาศกำหนดให้องค์กรพิจารณาตัดทอน ปกปิด หรือใช้วิธีอื่น เพื่อเปิดเผยข้อมูลได้เฉพาะส่วนที่ไม่กระทบสิทธิและเสรีภาพของผู้อื่น
5. ระบบยืนยันตัวตนต้องรัดกุมขึ้น
ความเสี่ยงสำคัญคือ มิจฉาชีพอาจปลอมตัวเป็นเจ้าของข้อมูลแล้วขอสำเนาข้อมูลส่วนบุคคล ดังนั้นระบบต้องตรวจสอบตัวตนก่อนเปิดเผยข้อมูล
องค์กรอาจต้องรองรับการตรวจสอบเอกสารประจำตัว การยืนยันผ่าน OTP การเข้าสู่ระบบบัญชีเดิม หรือการตรวจสอบข้อมูลประกอบอื่น โดยวิธีที่ใช้ต้องเหมาะสมกับความเสี่ยง และไม่สร้างอุปสรรคเกินสมควรแก่เจ้าของข้อมูล
ข้อมูลยืนยันตัวตนและสำเนาบัตรที่รับเข้ามาก็ต้องได้รับการคุ้มครองเช่นเดียวกัน ไม่ควรส่งต่อผ่านช่องทางที่ไม่มีการเข้ารหัสหรือเปิดให้พนักงานที่ไม่เกี่ยวข้องเข้าถึง
6. ต้องส่งข้อมูลผ่านช่องทางที่ปลอดภัย
การส่งไฟล์ข้อมูลส่วนบุคคลผ่านอีเมลทั่วไปโดยไม่มีการป้องกันอาจเกิดการส่งผิดคนหรือถูกดักอ่านได้ องค์กรจึงควรใช้ช่องทาง เช่น
- พอร์ทัลที่ต้องเข้าสู่ระบบ
- ลิงก์ดาวน์โหลดที่หมดอายุได้
- ไฟล์เข้ารหัสหรือมีรหัสผ่าน
- การยืนยันตัวตนซ้ำก่อนดาวน์โหลด
- การแยกรหัสผ่านออกจากช่องทางส่งไฟล์
ประกาศไม่ได้กำหนดเทคโนโลยีเฉพาะ แต่เมื่อองค์กรต้องส่งสำเนาข้อมูลให้เจ้าของข้อมูล ความมั่นคงปลอดภัยของช่องทางส่งมอบจึงเป็นส่วนสำคัญในการป้องกันข้อมูลรั่วไหล
7. ต้องเก็บ Audit Log และหลักฐานอย่างน้อย 2 ปี
ประกาศกำหนดให้ผู้ควบคุมข้อมูลบันทึกรายละเอียดคำขอ เอกสารที่ได้รับ การดำเนินการ และกรณีปฏิเสธคำขอ พร้อมเก็บไว้อย่างน้อย 2 ปี โดยสามารถเก็บในรูปแบบอิเล็กทรอนิกส์ได้
ระบบจึงควรบันทึกได้ว่าใครเปิดดูข้อมูล ใครเป็นผู้ส่งออกไฟล์ ส่งข้อมูลเมื่อใด ส่งผ่านช่องทางใด และมีการปกปิดข้อมูลส่วนใดบ้าง เพื่อใช้ตรวจสอบภายหลังหากเกิดข้อร้องเรียนหรือข้อมูลรั่วไหล
8. ต้องจัดทำข้อมูลแหล่งที่มาหรือ Data Lineage
เจ้าของข้อมูลไม่ได้มีสิทธิขอเพียงสำเนาข้อมูลเท่านั้น แต่ยังสามารถขอให้องค์กรเปิดเผยว่าได้ข้อมูลมาจากแหล่งใด ในกรณีที่ตนไม่ได้ให้ความยินยอม
ระบบไอทีจึงควรเก็บ Metadata หรือ Data Lineage เช่น ข้อมูลนี้ได้รับจากเว็บไซต์ พันธมิตร บริษัทในเครือ นายหน้าข้อมูล หรือแหล่งสาธารณะใด รวมถึงวันที่รับข้อมูลและวัตถุประสงค์ที่นำมาใช้ มิฉะนั้นองค์กรอาจไม่สามารถตอบคำขอได้อย่างครบถ้วน
ระบบใดจะได้รับผลกระทบมากที่สุด
ระบบที่มีแนวโน้มต้องปรับปรุงก่อน ได้แก่ CRM, Customer Data Platform, ระบบสมาชิก, ระบบ Call Center, ระบบจัดเก็บเอกสาร, ระบบ HR, ระบบ Marketing Automation และระบบ Data Warehouse เพราะมักมีข้อมูลส่วนบุคคลจำนวนมากและเชื่อมต่อกับหลายแหล่งข้อมูล
สำหรับองค์กรขนาดใหญ่ อาจต้องพัฒนาระบบ Data Subject Access Request หรือ DSAR โดยเฉพาะ เพื่อรับคำขอ ยืนยันตัวตน ค้นหาข้อมูล ปกปิดข้อมูล อนุมัติ และส่งมอบข้อมูลภายในกระบวนการเดียว
สิ่งที่ฝ่ายไอทีควรเริ่มทำ
ฝ่ายไอทีควรร่วมกับ DPO ฝ่ายกฎหมาย และเจ้าของระบบ เพื่อจัดทำบัญชีว่าข้อมูลของประชาชนอยู่ที่ใด ใครเข้าถึงได้ และสามารถดึงออกมาได้เร็วเพียงใด จากนั้นทดสอบสถานการณ์จริง เช่น มีผู้ใช้หนึ่งรายขอข้อมูลทั้งหมด องค์กรสามารถรวบรวม ตรวจสอบ และส่งมอบอย่างปลอดภัยภายใน 30 วันได้หรือไม่
ผลกระทบสำคัญไม่ได้อยู่เพียงการเพิ่มแบบฟอร์มบนเว็บไซต์ แต่คือการทำให้ระบบข้อมูลทั้งองค์กร ค้นหาได้ เชื่อมโยงได้ ตรวจสอบย้อนหลังได้ ปกปิดข้อมูลผู้อื่นได้ และส่งมอบอย่างปลอดภัยภายในกำหนดเวลา.
ประชาชนได้ประโยชน์อะไรจากประกาศฉบับนี้
ประกาศฉบับนี้ถือเป็นอีกก้าวสำคัญของการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย เพราะทำให้ประชาชนสามารถตรวจสอบได้ชัดเจนขึ้นว่า บริษัท แอปพลิเคชัน ร้านค้าออนไลน์ สถาบันการเงิน โรงพยาบาล หน่วยงานรัฐ หรือผู้ให้บริการต่าง ๆ เก็บข้อมูลอะไรของตนไว้ และนำข้อมูลเหล่านั้นมาจากที่ใด
นอกจากนี้ ยังช่วยลดปัญหาการนำเบอร์โทรศัพท์ อีเมล ที่อยู่ หรือข้อมูลอื่นไปใช้โดยไม่ทราบแหล่งที่มา เพราะเจ้าของข้อมูลสามารถยื่นคำขอให้องค์กรเปิดเผยการได้มาของข้อมูล ในกรณีที่ไม่ได้ให้ความยินยอมได้โดยตรง
ในฝั่งผู้ประกอบการ ประกาศนี้ส่งสัญญาณชัดเจนว่า การมีเพียงนโยบายความเป็นส่วนตัวอาจไม่เพียงพอ แต่ต้องมีระบบที่สามารถตอบสนองต่อการใช้สิทธิของประชาชนได้จริงภายในระยะเวลาที่กำหนด หากไม่เตรียมพร้อม อาจเสี่ยงต่อข้อร้องเรียนและการตรวจสอบตามกฎหมาย PDPA
อ้างอิง ราชกิจจานุเบกษา cover iT24Hrs
อ่านบทความและข่าวอื่นๆเพิ่มเติมได้ที่ it24hrs.com
กฎใหม่ PDPA ประชาชนขอสำเนาข้อมูลส่วนบุคคลได้ องค์กรต้องตอบภายใน 30 วัน ลงราชกิจจาฯแล้ว
อย่าลืมกดติดตามอัพเดตข่าวสาร ทิปเทคนิคดีๆกันนะคะ Please follow us
Youtube it24hrs
Twitter it24hrs
Tiktok it24hrs
facebook it24hrs
