Data protection PDPA

ทำความรู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กฎหมายใหม่ใกล้ตัว

จากบทความก่อนหน้านี้ที่ได้อธิบายถึงความสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กันไปแล้วนั้น บริษัทหรือองค์กรของคุณได้เตรียมพร้อมและปรับวิธีการทำงานให้เข้ากับ พ.ร.บ. นี้เรียบร้อยแล้วหรือยัง 
ทั้งการจัดให้มีนโยบายความเป็นส่วนตัว การแจ้งวัตถุประสงค์ในการเก็บรวบรวมใช้ เปิดเผยข้อมูลส่วนบุคคล วิธีการขอความยินยอม หรือแม้กระทั่งจัดให้มีวิธีการและขั้นตอนสำหรับการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อครบระยะเวลาการจัดเก็บ ซึ่งในแต่ละหัวข้อที่กล่าวมานี้ก็สามารถทำได้มากมายหลายรูปแบบ ทั้งในเรื่องของการขอความยินยอมและการทำลายข้อมูลส่วนบุคคล บางองค์กรอาจจะขอความยินยอมโดยการจัดทำเป็นหนังสือหรือจดหมาย ในขณะที่บางองค์กรจัดทำผ่านระบบอิเล็กทรอนิกส์ และเมื่อกล่าวถึงการลบ/ทำลายข้อมูลส่วนบุคคล บางองค์กรอาจจัดให้มีเครื่องทำลายเอกสาร เนื่องจากเป็นอุปกรณ์ที่สะดวก รวดเร็วแถมยังปลอดภัย เป็นตัวเลือกที่ดีเลยทีเดียว ในขณะที่บางองค์กรที่จัดเก็บข้อมูลไว้ในคลาวด์ก็อาจจัดให้มีโปรแกรมสำหรับลบข้อมูลอัตโนมัติก็ได้

Personal Data Protection PDPA

ไม่ว่าองค์กรจะเล็กหรือใหญ่ ก็ต้องปฏิบัติตาม พ.ร.บ.อย่างเคร่งครัด

อย่างที่เราทราบกันดีว่า พ.ร.บ.นี้ กำหนดมาเพื่อคุ้มครองเจ้าของข้อมูลจากการละเมิดสิทธิความเป็นส่วนตัวต่างๆ ที่มาพร้อมบทลงโทษสำหรับผู้ฝ่าฝืนไม่ปฏิบัติตาม ดังนั้น เราจึงต้องเตรียมพร้อมในทุกขั้นตอน ไม่ว่าคุณจะเป็นองค์กรขนาดเล็ก องค์กรขนาดกลาง หรือองค์กรขนาดใหญ่ก็จำเป็นต้องปฏิบัติตามอย่างเคร่งครัดตามที่กฎหมายระบุไว้ รวมถึงต้องรู้ความหมายและคำจำกัดความที่เกี่ยวข้องกับ พ.ร.บ.นี้โดยตรง ตั้งแต่บุคคลที่เกี่ยวข้องทั้งหมด รายละเอียดของข้อมูลส่วนบุคคล ไปจนถึงข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล เพื่อช่วยให้เราจำแนกข้อมูลแต่ละประเภทและเลือกวิธีการจัดการได้ดีมากยิ่งขึ้น

องค์กรใดบ้างที่ต้องสนใจ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

เราทุกคนควรจะต้องรู้เกี่ยวกับกฎหมายนี้ แต่ถ้าพูดถึงผู้ที่ต้องรู้ข้อมูลเชิงลึกและทำความเข้าใจกับ พ.ร.บ.นี้มากที่สุดก็คือ บริษัทหรือองค์กรต่างๆ โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลมีกิจกรรมดังนี้

  1. เป็นองค์กรที่มีการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร

  2. กรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร แต่มีการเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ และเป็นองค์กรที่มีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร

Personal Data Protection PDPA

บุคคลที่เกี่ยวข้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น ซึ่งเป็นบุคคลธรรมดาเท่านั้น และไม่รวมถึงนิติบุคคล (Juristic Person) ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด
  2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
Personal Data Protection PDPA

ตัวอย่างข้อมูลส่วนบุคคล
(Personal Data)

  • ชื่อ นามสกุล ชื่อเล่น
  • เลขประจำตัวประชาชน เลขหนังสือเดินทาง 
    เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆ ที่มีข้อมูลส่วนบุคคล)
  • ที่อยู่ อีเมล โทรศัพท์
  • ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
  • ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถ โฉนดที่ดิน
  • ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
  • ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม
  • ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
  • ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆ ของบุคคล เช่น Log Files
  • ข้อมูลที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ตัวอย่างข้อมูลละเอียดอ่อน (Sensitive Data)

  • เชื้อชาติ ชาติพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อทางศาสนา หรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์)
  • และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

 

ข้อมูลแบบไหนที่ไม่ใช่ข้อมูลส่วนบุคคล

  • เลขทะเบียนบริษัท
  • ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมลบริษัท เช่น th.orders@lyreco.com
  • ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
  • ข้อมูลผู้ตาย
  • ข้อมูลนิติบุคคล

 

ที่มาจาก: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

PDPA Paper Shredder

เตรียมพร้อมและนับถอยหลังสู่ PDPA

เตรียมองค์กรให้พร้อมสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ (Personal Data Protection Act: PDPA) ที่จะมีผลการบังคับใช้เร็วๆ นี้ ด้วยเครื่องทำลายเอกสารคุณภาพดีจากแบรนด์ชั้นนำหลายรายการ เพื่อการบริหารจัดการข้อมูลอย่างเป็นระบบและปฏิบัติตามกฎหมาย