Skip to content

พร้อมหรือยัง กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล?

หลายท่านคงจะเคยได้ยิน หรือคุ้นๆ กับคำศัพท์ชื่อ PDPA  ซึ่งย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งบอกเลยว่าเป็นเรื่องที่ใกล้ตัวมาก ๆ โดยจะมีผลบังคับใช้เต็มรูปแบบ ในวันที่ 27 พฤษภาคม 2563 นี้!

 

ยุคนี้สมัยนี้ผู้คนแลกเปลี่ยนข้อมูลกันตลอดเวลา ยิ่งในสถานการณ์ตอนนี้ เป็นช่วงที่ต้องรักษาระยะห่างทางสังคม (Social Distancing) เพราะสถานการณ์การระบาดของ ไวรัส โควิด-19 ซึ่งทำให้เราต้องปรับวิถีชีวิตมาใช้บริการทางเทคโนโลยีมากขึ้นและหลากหลายมากขึ้น นั่นทำให้เห็นว่า การจัดการข้อมูลอย่างมีมาตรฐานเป็นเรื่องสำคัญมากกว่าเดิม

 

อย่างไรก็ดี ถึงแม้ว่าข้อกฎหมายจะให้เวลาหน่วยงานต่าง ๆ เตรียมตัวมา 1ปีแล้วจะเริ่มบังคับใช้ในพฤษภาคม 2563 นี้ แต่ก็ยังมีความกังวลว่า หน่วยงานจำนวนมากอาจจะยังไม่พร้อม

เรามาดูกันว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ที่ตอนนี้เรียกชื่อย่อกันว่า PDPA (Personal Data Protection Act)  มันเป็นอย่างไร และมีอะไรบ้าง และหน่วยงานภาคธุรกิจต้องทำอะไร อย่างไร

 

ทำไมต้องทำ PDPA ?

ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล หรือพฤติกรรมต่าง ๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้น ๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

 

รู้จัก PDPA

PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดให้บุคคลธรรมดาและนิติบุคคลต้องทำการขออนุญาตลูกค้าเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลก่อนนำไปใช้เพื่อเสนอผลิตภัณฑ์หรือบริการแก่ลูกค้า และต้องมีการปกป้องข้อมูลชองลูกค้าตามมาตรฐาน ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

กฎหมายเกี่ยวกับข้อมูลเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคม เราซึ่งมีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย

นอกจากนี้ เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อน และเราในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้

อย่างไรก็ดี การเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย จริง ๆ ก็เป็นเรื่องของเงื่อนไขที่องค์กรต่าง ๆ ต้องปฏิบัติอยู่แล้ว  เพียงแต่ถ้าหากบ้านเราประกาศใช้กฎหมาย ก็จะช่วยสร้างความเชื่อมั่นเพราะมีมาตรฐานทางกฎหมายรองรับ ไม่ใช่แค่นโยบายที่อาจแตกต่างไปตามแต่ละหน่วยงาน

 

ใครบ้างที่ต้องทำตาม กฎหมาย PDPA ?

ในทางปฏิบัติแล้วสิ่งที่องค์กรเล็ก หรือ ใหญ่จะต้องทำ คือ การทำ privacy policy และ การบันทึกกิจกรรมประมวลผล เพื่อบันทึกและบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร โดยองค์กรที่ต้องทำตามกฎหมายของ PDPA มีลักษณะดังนี้

 องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล

● องค์กรที่เป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใด ๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล

● องค์กรที่อยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

 

รูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ คือ ข้อมูลส่วนบุคคลไม่ว่าทางตรงหรืออ้อม เช่น

▪️ ชื่อ นามสกุล
▪️ หมายเลขโทรศัพท์
▪️ ที่อยู่
▪️ อีเมล
▪️ หมายเลขบัตรประจำตัวประชาชน
▪️ รูปถ่าย
▪️ ประวัติการทำงาน
▪️ อายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง ) 
 

 

นอกจากนี้ก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

▪️ เชื้อชาติ
▪️ ชาติพันธุ์
▪️ ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring ▪️ Tools ที่จับประเด็นการเมือง)
▪️ ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
▪️ พฤติกรรมทางเพศ
▪️ ประวัติอาชญากรรม
▪️ สุขภาพ ความพิการ
▪️ สหภาพแรงงาน
▪️ พันธุกรรม
▪️ ชีวภาพ
▪️ ข้อมูลสุขภาพ (ตัวอย่างเช่น ใบรับรองแพทย์) หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

จะเห็นได้ว่า ข้อมูลต่าง ๆ ที่ถูกจัดเก็บเอาไว้ ล้วนแล้วแต่มีความสำคัญเป็นอย่างมาก นอกเหนือจาก กฎหมาย PDPA ที่เตรียมจะออกสู่มาตรการการบังคับใช้นี้แล้ว เรายังต้องระวังเหล่าผู้ร้าย หรือ แฮกเกอร์ทั้งหลายที่มุ่งหวังจะโจมตีเราอีกด้วย ก็คงจะดีกว่ามาก หากเรามีมาตรการการป้องกันและปกป้องข้อมูลในระหว่างที่เราใช้งานหรือกำลังกรอกข้อมูลหรือส่งข้อมูลส่วนบุคคลเหล่านี้ด้วย

 

บทความนี้ ก็อยากให้ทุกท่านเล็งเห็นถึงความสำคัญของการปกป้องข้อมูลของเราเอง ดังนั้น การหามาตรการการป้องกันและปกป้องข้อมูลส่วนบุคคลของเราให้ปลอดภัยและไม่รั่วไหลก็ย่อมเป็นสิ่งที่ดีกว่าการปล่อยปะละเลยและในท้ายสุดคือข้อมูลนั้นรั่วไหลหรือโดนแฮกเกอร์ขโมยไป

สนใจผลิตภัณฑ์เรามีพันธมิตรพร้อมให้คำปรึกษา ติดต่อแผนก Marketing

  02-2479898 ต่อ 87