1623 จำนวนผู้เข้าชม |
PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) กฎหมายบังคับใช้เมื่อวันที่ 1 มิถุนายน พ.ศ.2565 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลเช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย
PDPA สำคัญอย่างไร ?
ความสำคัญของ PDPA คือการทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
โดยหากคุณเป็นผู้ประกอบการ หรือเป็นตัวแทนองค์กรที่ดำเนินการเรื่อง PDPA วันนี้เราจะช่วยคุณเปลี่ยนแนวทางการดำเนินงานเพื่อให้สอดคล้องกับกฎหมาย PDPA กัน
หากคุณต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้โดยด่วน เพราะในขณะนี้ประเทศไทยได้เริ่มบังคับใช้ พ.ร.บ. PDPA แล้ว หากคุณไม่ดำเนินการตามหลักของ PDPA คุณอาจต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง
นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)มีดังต่อไปนี้
1. สิทธิได้รับการแจ้งให้ทราบ
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
3. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
4. สิทธิขอให้ลบหรือทำลาย
5. สิทธิในการเพิกถอนความยินยอม
6. สิทธิขอให้ระงับการใช้ข้อมูล
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
8. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
ในส่วนของผู้ควบคุมข้อมูลส่วนบุคคล ไม่ว่าจะเป็นบุคคลธรรมดา หรือนิติบุคคล (บริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม) หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย จำเป็นต้องระบุให้ชัดเจนว่าจะนำข้อมูลไปใช้ในทางใด เว้นแต่จะเป็นไปตามข้อยกเว้นที่ พ.ร.บ.กำหนดไว้ 6 ข้อดังนี้
· เป็นการทำตามสัญญา
· เป็นการใช้ที่มีกฎหมายให้อำนาจ
· เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
· เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
· เป็นการใช้เพื่อประโยชน์สาธารณะ
· เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
จะเห็นได้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เข้ามาเพื่อต้องการรักษาสิทธิแก่เจ้าของข้อมูล อย่างไรก็ตามก่อนนำข้อมูลไปใช้ผู้เก็บข้อมูลต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อน ผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาอย่างรอบคอบเช่นกันว่าการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์อะไร และเราก็สามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเราก็เป็นได้
สำหรับผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ความรู้แก่บุคคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA ต่อไป