พรบ.คุ้มครองข้อมูลส่วนบุคคล


17/Mar/2021
Data Security and Privacy

   

    โดยนิยามบริบทของผู้เกี่ยวข้องดังนี้

    "ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล, ที่อยู่, เลขประจำตัวประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, อีเมล, ประวัติอาชญากรรม เป็นต้น

แต่ข้อมูลส่วนบุคคลบางประเภทมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่

    "ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน" เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น

    "ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

    "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ก่อนหน้านั้นทำความเข้าใจสาระสำคัญกันก่อนดังนี้

สาระสำคัญของ พ.ร.บ. ฉบับนี้ มี 3 ประเด็นหลัก ดังนี้

  1. เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บ การนำใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น ดังนั้น จะไม่สามารถใช้ข้อมูลได้ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน ไม่ว่าจะเป็นโปรแกรมเว็บไซด์ แอปพลิเคชัน หรือระบบอะไรก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม และการใช้ หากเราไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต หรือ ข้อมูลที่อ้างอิงถึงตัวบุคคล ผู้ให้บริการแอปพลิเคชันนั้นก็ไม่สามารถใช้ข้อมูลบัตรเครดิตหรือข้อมูลส่วนบุคคลของเราได้
  2. ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น บริการใดมีการเก็บข้อมูลผู้ใช้ไม่ว่าจะเป็นระบบซื้อขายออนไลน์ ธนาคาร โรงพยาบาล ห้างร้านต่างๆ จะต้องไม่ละเมิดขอบเขตตามการอนุญาตของเจ้าของข้อมูลในเงื่อนไขจากข้อที่ 1
  3. เจ้าของข้อมูลมีสิทธิเปลี่ยนแปลงแก้ไขความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล

ส่วนตัวพ.ร.บ. นั้นมีประเด็นหลักดังนี้

1.ปกป้องข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล คือข้อมูลที่เกี่ยวข้องกับบุคคล ที่สามารถนำมาระบุถึงตัวบุคคลได้ในทางตรงหรือทางอ้อม ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน เบอร์โทรศัพท์ รูปถ่าย ทั้งหมดนี้ถือเป็นข้อมูลส่วนบุคคล

2.การเก็บข้อมูลส่วนบุคคล

ต้องเป็นไปตามที่ พรบ.คุ้มครองข้อมูลส่วนบุคคล กำหนดไว้ในกฏหมาย และการเก็บข้อมูลส่วนบุคคล กับการนำข้อมูลส่วนบุคคลไปใช้ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล การจัดเก็บข้อมูลจะต้องปลอดภัย ได้มาตรฐานไม่ให้ข้อมูลเกิดการรั่วไหล

3. ข้อมูลส่วนบุคคลที่บริษัทต่างๆเก็บรวบรวมไว้ จะต้องตรวจสอบได้

ข้อมูลเหล่านั้นต้องตรวจสอบได้ว่า ได้มายังไง ได้มาอย่างถูกต้องไหม ตรงตามข้อกำหนดหรือไม่

4. เกิดอาชีพใหม่คือ DPO หรือ Data Protection Officer

หลังจากประกาศให้มีการบังคับใช้กฎหมายก็เปิดโอกาสให้เกิดอาชีพใหม่ คือ DPO หรือ Data Protection Officer ที่จะมาทำหน้าที่ดูแลและตรวจเช็ค ปกป้องข้อมูล ให้เป็นไปตามกฎหมาย

5. การสร้างความตระหนักในวงกว้างถูกสร้างอย่างต่อเนื่องแต่ ยังไม่สามารถบังคับใช้ได้

ทั้งนี้การบังคับให้มีการเตรียมรับมือ แต่ความพร้อมเรื่องการศึกษา และ ขั้นตอนการปฏิบัติของบางองค์กรนั้นยังคงเป็นปัญหาจึงไม่สามารถที่จะทำให้ระบบมีความพร้อม จึงสืบเนื่องให้มีการบังคับใช้นั้นเลื่อนออกไป

6. พรบ.คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ทั้งฉบับ ในวันที่ 27 พฤษภาคม 2563 แต่ก็เลื่อนการบังคับใช้ออกไป

และสำหรับใครที่ต้องการทราบถึงหน่วยงานรับผิดชอบ กฎหมายแบ่งผู้รับผิดชอบเป็น 2 ส่วน ได้แก่

        1. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) มีหน้าที่กำหนดมาตรฐานในการเก็บรวบรวมข้อมูล การใช้ และการเปิดเผยข้อมูลส่วนบุคคล รวมถึงให้ความรู้และฝึกอบรมเจ้าหน้าที่ภาครัฐ เอกชน และบุคคลทั่วไปให้มีความเข้าใจและสามารถรักษาข้อมูลส่วนบุคคลอย่างปลอดภัย

        2. คณะกรรมการผู้เชี่ยวชาญ มีหน้าที่พิจารณาเรื่องร้องเรียนเมื่อมีการละเมิด ตรวจสอบผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงการไกล่เกลี่ยข้อพิพาทต่าง ๆ

และนี้ก็เป็นเว็บไซด์หลักในการอ่านประกาศและประชาสัมพันธ์ของภาครัฐ

https://sites.google.com/view/pdpa-2019/pdpa-home?fbclid=IwAR23Kl_UgEyZcb9pNnOf07HB2w-vphXloP5i_R9k9QvJYA7qpefoymPy-Fw

สุดท้ายเรื่องของการปรับ

เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้

  • ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

ทั้งนี้ในบทความต่อไปสำหรับวิธีการปฏิบัติตัวอย่างไร และ มีขั้นตอนอย่างไร จะแจ้งให้ทราบในบทความต่อไป