PDPA คืออะไร? มีความสำคัญอย่างไรกับเราบ้าง?
เว็บผึ้งงานคิดว่าหลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่คงยังไม่รู้ว่า PDPA คืออะไร? ซึ่ง PDPA นี้จะประกาศเริ่มใช้ในวันที่ 1 มิถุนายน 2565 เป็นต้นไป
.
กฎหมาย PDPA (Personal Data Protection Act) เป็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน ซึ่งในต่างประเทศมีใช้มาหลายปีแล้ว ดั่งจะเห็นข่าวเกี่ยวกับการระเมิดข้อมูลส่วนบุคคลในที่สาธารณะของแพลตฟอร์มดังต่างๆที่เคยผ่านมา ซึ่งในปัจจุบันบริษัท เว็บไซต์ และนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า ได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ ซึ่งทั้งหมดนี้ถูกกำหนดใน พรบ.ฉบับนี้ทั้งสิ้น ผู้ใช้จึงต้องขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้าเสียก่อน
.
ทั้งนี้การสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูล โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้
.
ใครบ้างละ ที่ต้องอยู่ภายใต้ PDPA ฉบับนี้?
PDPA ออกแบบมาเพื่อทุกคนอย่างเท่าเทียมกัน ดังนี้
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
คือ คนที่เป็นเจ้าของข้อมูลส่วนบุคคลชุดนั้นๆ และสามารถชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ โดยชอบธรรม
.
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ คน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF เพื่อติดต่อส่งของให้ลูกค้า ก็จัดเป็น Data Controller เช่นกัน และองค์กรบริษัทที่มีพนักงานอย่างน้อย 1 คน ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น
.
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง เพื่อเอาของไปส่งแทนเรา กรณีนี้ messenger ก็เป็น Data Processor เช่นกัน หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor
.
ข้อมูลส่วนบุคคล ที่ว่านี้ มีอะไรบ้างละ?
เรามีดูกัน โดยแยกออกเป็น 2 กรณี ดังนี้
1. ส่วนบุคคลทั่วไป
-ชื่อ-นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
-เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
-ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
-ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
-วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
-ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
.
2.ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
-เชื้อชาติ เผ่าพันธุ์
-ความคิดเห็นทางการเมือง
-ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
-พฤติกรรมทางเพศ
-ประวัติอาชญากรรม
-ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
-ข้อมูลสหภาพแรงงาน
-ข้อมูลพันธุกรรม
-ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
.
สิทธิของเจ้าของข้อมูล มีอะไรบ้าง?
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดให้พวกเราซึ่งเป็นเจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตัวเอง ดังนี้
-สิทธิในการได้รับการแจ้งให้ทราบเมื่อมีการเก็บข้อมูล วัตถุประสงค์ในการใช้ข้อมูล หรือเวลาจะนำข้อมูลไปใช้
-สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ได้มีการเก็บรวบรวมไว้เมื่อไหร่ก็ได้
-สิทธิในการอนุญาตให้มีการโอนข้อมูลส่วนบุคคลของเราไปยังผู้ให้บริการอีกรายหนึ่ง
-สิทธิในการถอดถอนความยินยอมในการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลที่เราเคยได้ให้ไว้
-สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
-สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
-สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน หรือให้ถูกต้อง
-สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
.
เว็บผึ้งงานเชื่อว่า PDPA นี้จะเป็นประโยชน์ต่อทุกคนอย่างเท่าเทียม เมื่อใดก็ตามที่เราให้ข้อมูลส่วนบุคคลก็ควรอ่านข้อกำหนดการใช้งานบนเว็บไซต์หรือในสัญญาก่อนทุกครั้งที่คลิกยินยอมนะครับ
.
