พรบ. คุ้มครองข้อมูลส่วนบุคคล 2. บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
สรุปสาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ “PDPA - Privacy for All”
ผู้ที่เกี่ยวข้องกับ PDPA เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) ตามกฎหมายไม่ได้ให้คำนิยามไว้ แต่โดยหลักการทั่วไปแล้วหมายถึง บุคคลที่ข้อมูลนั้นระบุไปถึงในฐานะเจ้าของข้อมูลส่วนบุคคล ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนดวัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล สิทธิของเจ้าของข้อมูล (Data subject right) ได้แก่
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
ทั้งนี้ ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกัน ก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ได้แก่
- บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปีดเผยข้อมูล ส่วนบุคคล เซ่น หน่วยงานของรัฐ หรือเอกซนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปีดเผย'ข้อมูล ส่วนบุคคลของประซาซนหรือลูกค้าที่มาใช้บริการ
- ป้องกันมิให้ผู้อื่นใข้หรือเปิดเผยข้อมูลส่วน บุคคลโดยมิชอบ, แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคล ทราบภายใน ๗๒ ชั่วโมงนับแต่ทราบเหตุ, แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อตรวจสอบการทำงานของตน เป็นต้น
เพื่อรับมือกับ พ.ร.บ. ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหาร สำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย
นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้าตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ได้แก่
- บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ไข้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เซ่น บริการ cloud service เป็นต้น ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ
- ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่หลัก คือ ดำเนินการตามดำสั่งที่ไค้รับจากผู้ควบคุมข้อมูล ส่วนบุคคลเท่านั้น เว้นแต่ดำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับนี้ จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม
4. หน่วยงานอื่นที่เกี่ยวข้อง
- กฎหมายและระเบียบ (Legal and Compliance) ต้องกำหนดแนวทางการปฏิบัติตามข้อกำหนด การเขียนสัญญา ข้อตกลง และนโยบายต่าง ๆ เพื่อที่จะรับรอง
- งานเทคโนโลยีสารสนเทศ (IT) ต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
- ผู้ใช้ข้อมูล ต้องมีการป้องกันการเปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ และลบเมื่อถึงเวลาหรือเกินความจำเป็น
- ผู้จัดทำระบบโปรแกรมเมอร์ เว็บไซต์ แอพฟิลเคชั่น หรือระบบสมาชิก ก็ต้องปรับข้อมูลความยินยอมให้ตรงตามที่พรบ. มีการกำหนด
- การตลาด (Marketing) เป็นผู้ใช้และเก็บข้อมูลที่มากสุด โดยเฉพาะหากมีการทำตลาดแบบเฉพาะเจาะจง (Personalized Marketing) ซึ่งต้องใช้ในส่วนของข้อมูลส่วนบุคคลมากยิ่งขึ้น ต้องมีการทำการประเมินความเสี่ยงและรีบแก้ไขในทันที
- ฝ่ายขาย (Sales) ที่มีการเก็บข้อมูลต่าง ๆ ของลูกค้าและข้อมูลที่ใช้ในติดต่อของกลุ่มเป้าหมายหรือลูกค้าผู้ที่มีความสนใจ ต้องปรับปรุงข้อมูลความยินยอมให้เหมาะสมเสมอ
- ผู้ปฎิบัติงาน (Operation) ในกรณีที่ต้องมีการเก็บข้อมูลที่เป็นส่วนบุคคล เช่น บัตรประชาชน การติดตั้งกล้องถ่ายภาพถ่ายวีดีโอในสถานที่ จะเป็นการเข้าข่ายต้องพิจารณาโดยอาจมีการกำหนดเป็นข้อยกเว้น
- ฝ่ายบุลคล (HR) มีส่วนเกี่ยวข้อง เช่น ข้อมูลของพนักงาน เอกสารแนะนำตัว หรือใบสมัครงาน
.
-------------------------------------------------
ที่มาข้อมูล
-
ที่มาภาพและรวบรวมโดย
-------------------------------------------------
สนใจเรื่องราวเพิ่มเติมคลิกที่นี่
พรบ. คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA 2019)-------------------------------------------------