ทุกวันเราเกือบทุกคนทำงานผ่านระบบดิจิทัล ผ่านระบบเครือข่ายออนไลน์ มันกลายเป็นส่วนหนึ่งในชีวิตทำงานจนไปถึงการใช้ชีวิตปกติไปแล้ว แน่นอนว่าต้องมีการนำเข้าข้อมูลส่วนบุคคลเช่น ชื่อ นามสกุล เบอร์ติดต่อ ที่อยู่ แน่นอนว่าหากข้อมูลพวกนี้ถูกนำไปใช้โดยที่เราไม่ยินยอม ก็คงไม่ดีและอาจจะเกิดความเสียหายได้ เลยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่จะเริ่มใช้ในวันที่ 1 มิถุนายนนี้ในเมื่อเริ่มประกาศใช้วันที่ 1 มิถุนายน 2565 นี้แล้วเราก็ควรรู้จักไว้สักหน่อย ว่ามีอะไรที่สำคัญบ้าง โดยจะเน้นไปที่ผู้ใช้ ไม่ใช่องค์กร
PDPA คืออะไร ย่อมาจากอะไร?
PDPA ย่อมาจาก Personal Data Protection Act เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
สรุปคือ PDPA มีขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อนไม่เช่นนั้นบริษัทหรือบุคคลที่เอาไปจะมีความผิด
ข้อมูลส่วนบุคคลหลักๆ มีอะไรบ้าง?
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่
- ชื่อ-นามสกุล
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
- เบอร์โทรศัพท์ อีเมลส่วนตัว
- ที่อยู่ปัจจุบัน
- ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
- ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- ข้อมูลที่เชื่อมโยงไปหาบุคคลได้ เช่น วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
ใครที่เกี่ยวข้องกับข้อมูลส่วนบุคคลบ้าง?
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือ นิติบุคคล องค์กรต่าง ๆ ที่มีอำนาจตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เสมือนผู้ดูแลระบบ มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมแล้วไปใช้
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือ นิติบุคคล องค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
เราในฐานะเจ้าของข้อมูลส่วนบุคคลหรือ Data Subject ได้สิทธิอะไรบ้าง?
- สิทธิได้รับการแจ้งให้ทราบ ก่อนที่จะถูกเก็บข้อมูลต้องมีการแจ้งให้ทราบ ว่าเก็บอะไรบ้าง ไปทำอะไรบ้าง เก็บนานแค่ไหน
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล โดยการข้อเข้าถึงนี้ต้องไม่ผิดต้องหลักกฏหมายหรือส่งผลกระทบต่อสิทธิและเสรีภาพของคนอื่น
- สิทธิคัดค้านหรือใช้ข้อมูล
- สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
- สิทธิในการขอให้ระงับการใช้ข้อมูล
- สิทธิในการเพิกถอนความยินยอม
- สิทธิในการแก้ไขข้อมูลส่วนบุคคล
- สิทธิในการร้องเรียน
มีโทษหากไม่ปฎิบัติตาม PDPA
- โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
- โทษปกครอง: โทษปรับไม่เกิน 1 ,3 และ 5 ล้านบาท
สำหรับองค์กรหรือบริษัทก็ต้องจัดทำ Privacy Policy ให้เจ้าของข้อมูลทราบว่าจะใช้ข้อมูลไปทำอะไรบ้าง แจ้งนโยบายความเป็นส่วนตัวให้แก่พนักงาน และหากจะนำข้อมูลไปใช้ก็ต้องทำตาม PDPA อย่างเคร่งครัด ปัจจุบันก็มีหลายบริษัทที่ช่วยจัดทำเกี่ยวกับ PDPA ก็สามารถใช้บริการได้ตามที่บริษัทสนใจ ส่วนเราทุกคนควรรู้สิทธิเพื่อที่จะป้องกันตัวเอง
ติดตามข่าวดีๆแบบนี้ได้ที่สำนักข่าว ไอ.เอ็น.เอ็น
ติดตามเนื้อหาดีๆแบบนี้ได้ที่
Facebook : https://www.facebook.com/innnews.co.th
Twitter : https://twitter.com/innnews
Youtube : https://www.youtube.com/c/INNNEWS_INN
TikTok : https://www.tiktok.com/@inn_news
LINE Official Account : @innnews
ขอขอบคุณข้อมูล