ตามให้ทัน…PDPA…ใครต้องรู้บ้าง ตอนที่ 1
PDPA เชื่อว่าหลายคนเคยได้ยิน รู้หรือยังว่าคืออะไร จะบังคับใช้วันที่ 1 มิถุนายน 2565 นี้แล้ว ถ้าไม่ศึกษาไว้แล้วทำผิดพลาด อาจติดคุกได้เลย!
.
PDPA คืออะไร ?
.
PDPA หรือ Personal Data Protection Act เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยที่ไม่ได้แจ้งให้เจ้าของข้อมูลทราบ หรือ ได้รับการอนุญาตจากเจ้าของข้อมูลก่อนนำไปใช้
.
ปัจจุบัน องค์กรต่าง ๆ มักเข้าถึงหรือได้รับข้อมูลส่วนบุคคลของผู้อื่นโดยง่าย ไม่ว่าจะช่องทางออนไลน์ เช่น การสมัครสมาชิกของลูกค้าหรือผู้ใช้งานบนเว็บไซต์ การทำธุรกรรมผ่าน Application แม้แต่การขอเข้าถึงตำแหน่ง GPS ก็ถือว่าเป็นข้อมูลส่วนบุคคล (เห็นได้จากตอนที่เราติดตั้ง Application แล้วระบบของ Smartphone ขอเข้าถึงตำแหน่งที่ตั้งของเราก่อนใช้งาน) รวมไปถึงข้อมูลส่วนบุคลลที่องค์กรได้จากการสมัครงานของผู้สมัคร โดยสิ่งที่ปรากฏในใบสมัครงานนั้นมักเป็นข้อมูลที่สามารถเข้าถึงบุคคลนั้นได้โดยง่าย เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์
.
ดังนั้น จึงได้มีการสร้าง กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้องค์กร พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น ถ้าองค์กรเก็บรวบรวมข้อมูลโดยที่ไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน ว่าจะนำไปใช้ทำอะไร เก็บไว้นานเท่าใด รวมถึงไม่ได้มีการขอความยินยอมสำหรับการใช้หรือจัดเเก็บข้อมูลส่วนบุคคลนี้ นั่นหมายถึงองค์กรไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดตามกฎหมายได้
.
PDPA คุ้มครองข้อมูลอะไรบ้าง ?
.
ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูล เช่น
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์ Email ส่วนตัว ที่อยู่
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ (รวมถึงการทำสำเนาด้วย)
- ข้อมูลทางการศึกษา
- ข้อมูลทางการแพทย์ เช่น ภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลพันธุกรรม
- ข้อมูลทางการเงิน เช่น บัญชีธนาคาร ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน
- วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ที่อาจนำไปสู่การเลือกปฏิบัติได้ เช่น
- สัญชาติ เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นหรือทัศนคติทางการเมือง
- ความเชื่อ ลัทธิ ศาสนา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคลได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ
.
ใครที่เกี่ยวข้องกับ PDPA ?
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลทำให้สามารถระบุตัวตนได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น HR บริษัทที่รวบรวมข้อมูลของพนักงานหรือผู้สมัคร หรือแม้แต่แม่ค้าที่ได้ข้อมูลจัดส่งสินค้าของลูกค้า
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น Rider หรือ Messenger ส่งพัสดุหรือเอกสารตามชื่อและที่อยู่ หรือบริษัทที่บริการเก็บข้อมูลบนระบบ Cloud Service
.
สำหรับบทความเรื่อง PDPA ในตอนที่ 2 เราจะพาไปดู “สิทธิ” ของเจ้าของข้อมูลส่วนบุคคลว่าได้รับสิทธิอะไรบ้าง และคำถามที่กำลังถกเถียงกันว่าเมื่อ PDPA บังคับใช้แล้ว ทำอย่างนี้ได้หรือไม่! รวมถึง โทษ ของการละเมิดกฎหมาย PDPA คนที่ไม่ทำตามต้องโดนอะไร!
.
References :
https://easypdpa.com/article/easypdpa-summary-what-is-pdpa
https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
Related Content :
