PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

วันที่ : 15 มีนาคม 2565

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล และหรือ PDPA ที่มีการประกาศใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 แต่อาจจะยังไม่เข้าใจกันมากนัก โดยเรื่องนี้ถือเป็นเรื่องใหม่ที่สำคัญมาก เพราะปัจจุบันมีการจัดเก็บข้อมูลที่หลากหลาย และสามารถนำไปใช้ประโยชน์ได้มากมาย

PDPA คืออะไร 

PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง

·       ชื่อ-นามสกุล 

·       เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

·       เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 

·       ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์

·       ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน

·       วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง

·       ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ข้อมูลส่วนบุคคลที่อาจนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม แต่หากข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม PDPA

 

ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

ในกฎหมาย PDPA เราสามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล  ได้ 3 ประเภท ดังนี้

 เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้

 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรบ้าง

·       สิทธิได้รับการแจ้งให้ทราบ

·       สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

·       สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

·       สิทธิขอให้ลบหรือทำลาย

·       สิทธิในการเพิกถอนความยินยอม

·       สิทธิขอให้ระงับการใช้ข้อมูล

·       สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

·       สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

แนวทางในการเก็บข้อมูลส่วนบุคคล

สำหรับบริษัทที่ต้องการเก็บข้อมูลส่วนบุคคล จำเป็นต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลและขอความยินยอมจากเจ้าของข้อมูลก่อน โดยจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เพื่ออธิบายและสร้างความเข้าใจในมาตรการปกป้องความเป็นส่วนตัวของข้อมูลให้เจ้าของข้อมูลรับทราบและให้ความยินยอม โดยมีเอกสารทั้งหมด 15 แบบที่ตกจัดเตรียม ยกตัวอย่างเช่น

·       นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

·       นโยบายคุกกี้ (Cookies Policy)

·       คำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice)