ที่ผ่านมา Personal Data Protection Act (PDPA) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้บางส่วนไปแล้ว แต่กำลังจะมีผลบังคับใช้ทั้งฉบับในวันที่ 1 มิ.ย. 2565 ประชาชนทั่วไปไม่ว่าจะอยู่ในฐานะเจ้าของข้อมูล หรือในฐานะผู้ประกอบธุรกิจที่ต้องการนำข้อมูลไปใช้ควรทำความเข้าใจในข้อกฎหมายนี้ให้ดี เพื่อป้องกันไม่ให้เกิดการละเมิดสิทธิและการฟ้องร้อง อันจะนำไปสู่การลงโทษทางกฎหมายอย่างรุนแรง
PDPA คืออะไร?
PDPA คือกฎหมายที่ประเทศไทยกำหนดขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล ไม่ให้บริษัทต่างๆ ที่ได้รับข้อมูล นำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน พรบ.ฉบับนี้ถูกประกาศใช้เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนหรือความเสียหายให้เจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความก้าวหน้าของเทคโนโลยีในปัจจุบัน ทำให้การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทำได้ง่าย และรวดเร็ว จึงทำให้เกิดความเสียหายต่อเศรษฐกิจโดยรวมได้ หากไม่มีกฎหมายมาบังคับใช้
ข้อมูลส่วนบุคคลมีอะไรบ้าง?
- ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม
- ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือข้อมูลส่วนบุคคลที่อาจนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม
ข้อมูลเหล่านี้ต้องระมัดระวังเป็นพิเศษในการเก็บรวมรวม และกฎหมายให้การคุ้มครองข้อมูลประเภทนี้เข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา
ผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เจ้าของข้อมูล (Data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นระบุถึง หรือเป็นเจ้าของข้อมูลนั่นเอง แต่ไม่นับรวมผู้ที่เสียชีวิตไปแล้วและนิติบุคคล
- ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลหรือนิติบุคคลผู้มีอำนาจและหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคลผู้ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล หรือในนามของผู้ควบคุมข้อมูล ไม่ได้เป็นผู้ตัดสินใจทำการประมวลผลข้อมูลเอง
สิทธิของเจ้าของข้อมูลส่วนบุคคล
แนวทางในการเก็บข้อมูลส่วนบุคคล
ผู้ประกอบธุรกิจหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล จำเป็นต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลและขอความยินยอมจากเจ้าของข้อมูลก่อน โดยจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เพื่ออธิบายและสร้างความเข้าใจในมาตรการปกป้องความเป็นส่วนตัวของข้อมูลให้เจ้าของข้อมูลรับทราบและให้ความยินยอม หัวข้อที่จะต้องระบุในนโยบายความเป็นส่วนตัวมีดังนี้
- ข้อมูลส่วนบุคคลที่เก็บรวบรวมมีอะไรบ้าง
- วัตถุประสงค์ในการเก็บข้อมูล
- ระยะเวลาที่จะเก็บข้อมูล
- มาตรการรักษาความปลอดภัยของข้อมูล
- การเปิดเผยข้อมูล ผู้ที่ได้รับการเปิดเผยข้อมูลมีใครบ้าง
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- ข้อมูลการติดต่อเจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีข้อควรระวังคือ
- ต้องแยกส่วนการขอความยินยอมออกจากข้อความอื่นอย่างชัดเจน เข้าถึงง่าย มีคำอธิบายที่เข้าใจง่าย
- ไม่ใช้วิธีการหรือเนื้อหาที่ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์
- เจ้าของข้อมูลสามารถถอนการยินยอมเมื่อใดก็ได้ โดยจะต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
บทลงโทษหากละเมิดพรบ.คุ้มครองข้อมูลส่วนบุคคล
10 แนวปฏิบัติเพื่อเตรียมความพร้อมสำหรับองค์กร
- ตั้งคณะทำงานภายในองค์กร โดยมีเจ้าหน้าที่จากฝ่ายกำหนดนโยบาย ฝ่ายกฎหมาย ฝ่ายไอที และฝ่ายบุคคล เพื่อร่วมกันทำความเข้าใจกฎหมาย
เตรียมแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ให้มีเนื้อหาที่ครอบคลุมเรื่องต่างๆ ดังนี้
- การกำหนดวัตถุประสงค์ที่ชัดเจน
- การรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น
- การรักษาความปลอดภัยข้อมูล
- คุณภาพของข้อมูลส่วนบุคคล
- การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล
- การเปิดเผยข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย
- ความรับผิดชอบของผู้ทำหน้าที่ควบคุมข้อมูลและประมวลผลข้อมูล
ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล พิจารณาความจำเป็นในการประมวลผลข้อมูล และจัดความเสี่ยงที่จะมีผลกระทบต่อเสรีภาพของบุคคล พร้อมทั้งกำหนดมาตรการคุ้มครองข้อมูลอย่างเหมาะสม
- จัดทำ Data Mapping เพื่อตรวจสอบว่าข้อมูลส่วนบุคคลที่แต่ละแผนกได้รับ นำมาใช้ และจัดเก็บ เป็นข้อมูลส่วนบุคคลประเภทใด มีการจัดเก็บอย่างไร และผู้ควบคุมข้อมูลคือใคร แล้วทำระบบบันทึกข้อมูลเพื่อระบุแหล่งที่มา บันทึกทุกกิจกรรมที่เกิดขึ้นกับข้อมูล และแยกแยะข้อมูลตามความเสี่ยงและความร้ายแรงที่อาจเกิดขึ้น
- กำหนดนโยบายความเป็นส่วนตัวและวิธีขอความยินยอมที่ชัดเจน เข้าใจง่าย
- กำหนดมาตรการรักษาความปลอดภัยด้านสารสนเทศ ป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย และรักษาความปลอดภัยของข้อมูลทางกายภาพ อุปกรณ์ประมวลผลและอุปกรณ์ที่เกี่ยวข้องจะต้องมีความปลอดภัย เช่น กำหนดเครือข่ายและระบบสื่อสาร จัดการสื่อบันทึกข้อมูล
- กำหนดมาตรการกรณีข้อมูลรั่วไหล จัดทำคู่มืออธิบายวิธีป้องกันการละเมิด ตรวจสอบและรายงานผลการละเมิดข้อมูลที่อาจเกิดขึ้น และหากมีข้อมูลรั่วไหลผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
- กำกับดูแลและตรวจสอบการดำเนินงานของผู้เกี่ยวข้อง ให้มีการปฏิบัติตามแนวทางที่กำหนด และประเมินความเสี่ยงเป็นประจำ หากพบว่ามีการทำงานที่ไม่สอดคล้องกับกฎหมาย หรือมีความเสี่ยงจะต้องทบทวนหรือปรับปรุงกระบวนการทำงานที่เกี่ยวข้อง ทั้งการจัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- ฝึกอบรมและสร้างความตระหนักรู้อยู่เสมอ เพื่อให้ผู้เกี่ยวข้องเข้าใจในความรับผิดชอบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล และผลกระทบที่จะเกิดขึ้นจากการละเมิดนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร
- ออกแบบและพัฒนาระบบโดยคำนึงถึงความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล เช่น ใช้การเข้ารหัสข้อมูล ใช้นามแฝง
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) ตามกฎหมาย PDPA ได้กำหนดให้องค์กร 3 ประเภทต่อไปนี้ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และเป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแต่งตั้ง DPO
- หน่วยงานรัฐ
- องค์กรที่ประกอบธุรกิจหลักเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว เช่น บริษัทที่ประมวลผลข้อมูลการจดจำใบหน้า บริษัทประกัน โรงพยาบาล
- องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก
- กำหนดมาตรการที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (หากมี) ต้องพิจารณาว่าประเทศปลายทางที่รับข้อมูล มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่
การละเมิดข้อมูลส่วนบุคคล นอกจากจะต้องรับบทลงโทษตามกฎหมายแล้ว ยังมีความเสี่ยงที่จะสูญเสียความน่าเชื่อถือของบริษัทอีกด้วย ดังนั้น ผู้ประกอบธุรกิจที่จำเป็นต้องนำข้อมูลส่วนบุคคลไปใช้ หรือแม้แต่แผนกต่างๆ ในบริษัทที่ต้องนำข้อมูลของพนักงานไปประมวลผล จะต้องทำความเข้าใจเกี่ยวกับ PDPA ให้ดี และเตรียมความพร้อมให้องค์กรสามารถป้องกันปัญหาที่จะเกิดขึ้นได้