14 September, 2022 : By Admin Web3



PDPA บัญญัติใหม่ รู้ไว้ปลอดภัย อุ่นใจกับทุกฝ่าย

ในยุคที่ข้อมูลขนาดใหญ่ (Big Data) สามารถสร้างมูลค่าได้มหาศาลสำหรับธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจที่เกี่ยวข้องกับ Digital Marketing ที่ต้องอาศัยข้อมูลเกี่ยวกับผู้บริโภคเป็นจำนวนมากเพื่อวิเคราะห์พฤติกรรมผู้บริโภค ย่อมทำให้สิ่งเหล่านี้เป็นตัวแปรสำคัญสำหรับภาคธุรกิจในปัจจุบัน และถ้าหากยังจำกันได้ เมื่อปี 2019 บริษัทเจ้าของแฟลตฟอร์มระดับโลกอย่าง Facebook (Meta) ได้ถูกปรับในฐานบกพร่องการป้องกันข้อมูลความเป็นส่วนตัวผู้ใช้ ทำให้ข้อมูลผู้ใช้งานมากกว่า 87 ล้านราย รั่วไหลไปยัง Cambridge Analytica เป็นจำนวนเงินสูงถึง 5 พันล้านดอลลาร์สหรัฐ หรือประมาณ 155,000 ล้านบาท จึงทำให้ ณ เวลานี้ ทุกฝ่ายต่างให้ความสำคัญกับเรื่องของข้อมูลส่วนบุคคลกันมากขึ้น จึงเป็นที่มาของหัวข้อ PDPA ในครั้งนี้นั่นเอง

 

 

 

PDPA คืออะไร

PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีขึ้นเพื่อให้ความคุ้มครองข้อมูลส่วนบุคคล และป้องกันการละเมิดสิทธิที่เกิดจากการนำข้อมูลส่วนบุคคลไปใช้ต่ออันก่อให้เกิดความเดือดร้อน รำคาญ หรือสร้างความเสียหายให้แก่เจ้าขอข้อมูลส่วนบุคคล โดยมีการกำหนดให้ต้องแจ้งเพื่อได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง รวมถึงจะต้องสามารถถอนความยินยอมเมื่อไหร่ก็ได้ตามที่ต้องการ (โดยมีการนำหลักการของ GDPR: General Data Protection Regulation มาใช้เพื่อเพิ่มความเป็นมาตรฐานสากลของบัญญัติอีกด้วย) ซึ่งได้มีการประกาศบังคับใช้กฎหมายตัวนี้อย่างเต็มรูปแบบไปแล้วเมื่อ วันที่ 1 มิถุนายน 2565 ที่ผ่านมา

 

ข้อมูลใดที่อยู่ในข่ายคุ้มครองของ PDPA

 

PDPA ให้ความคุ้มครองข้อมูลในส่วนที่เป็น ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมลส่วนตัว, ที่อยู่ปัจจุบัน, วันเดือนปีเกิด, สัญชาติ, น้ำหนักส่วนสูง, เลขบัตรประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่, รูปถ่าย, ประวัติการทำงาน, ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน, ข้อมูลทางการศึกษา, ข้อมูลทางการเงิน, ข้อมูลทางการแพทย์ รวมถึงข้อมูลทางอิเล็กทรอนิกส์ที่สามารถระบุตัวตนของบุคคลนั้นๆ ได้ เช่น Username/password, Cookies, IP address, GPS, Location เป็นต้น

 


 

นอกจากนี้ PDPA ยังคุ้มครองในส่วนของข้อมูลที่จัดอยู่ในกลุ่มของ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งแม้จะไม่ได้ระบุเกี่ยวกับบุคคลนั้นๆ โดยตรง แต่ก็อาจจะมีการส่งผลต่อบุคคลนั้นๆ ได้ ในแง่ของการทำงาน และสภาพความเป็นอยู่ ซึ่งในท้ายที่สุดอาจส่งผลต่อการเลือกปฏิบัติได้

 

  • เชื้อชาติ เผ่าพันธุ์ ชาติกำเนิด
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมหรือรสนิยมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
 

ใครบ้างที่เกี่ยวข้องกับ PDPA ?

PDPA สามารถแบ่งผู้เกี่ยวข้องตามลักษณะของข้อมูล ได้ดังนี้

  • เจ้าของข้อมูล (Data Subject) หมายถึง บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลที่ข้อมูลเหล่านั้นระบุไปถึง ซึ่งอาจในทางบริษัทจะอยู่ในลักษณะของลูกค้า ลูกจ้าง ผู้ใช้ สมาชิก หรือ คนไข้ ผู้ป่วย เป็นต้น
  • ผู้ควบคุมข้อมูล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ผู้ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ รวมไปถึงพ่อค้าแม่ค้าออนไลน์ที่มีการเก็บข้อมูลลูกค้าเพื่อใช้ในการติดต่อส่งของก็เข้าข่ายเป็นผู้ควบคุมข้อมูลด้วยเช่นกัน
  • ผู้ประมวลผลข้อมูล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล หรือพูดอีกอย่างคือเป็นบุคคลที่สามที่ไม่เกี่ยวข้องกับการเก็บรวบรวมข้อมูล
 

การเก็บข้อมูลให้ถูกต้องสอดคล้องกับ PDPA

ทั้งนี้เจ้าของธุรกิจหรือผู้ควบคุมข้อมูล ยังสามารถเก็บข้อมูลจากผู้ใช้หรือลูกค้าของตนเองได้อยู่ เพียงแต่ต้องมีวิธีปฏิบัติที่มีรูปแบบมากขึ้น ซึ่งมีข้อที่ต้องปฏิบัติ ดังนี้

 

1. ทำความเข้าใจในสิทธิ์ของเจ้าของข้อมูล ซี่งเจ้าของข้อมูลมีสิทธิ์ในข้อมูลของตัวเองดังต่อไปนี้

 

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

2. วิธีการเก็บข้อมูล

 

การเก็บข้อมูลที่จะนำมาใช้นั้น จะต้องเป็นข้อมูลที่ได้จากเจ้าของข้อมูลโดยตรง และจำเป็นต้องมีการแจ้งให้เจ้าของข้อมูลทราบทุกครั้งที่มีการเก็บข้อมูล รวมถึงสิทธิ์ รายละเอียด วัตถุประสงค์ของการขอเก็บข้อมูลนั้นๆ และต้องแจ้งวันที่จะทำการลบข้อมูลที่เก็บมาเมื่อพ้นระยะการใช้งานแล้ว นอกจากนี้ยังมีเรื่องของการขอความยินยอม (Privacy Policy) จากเจ้าของข้อมูลจะต้องเป็นไปในทิศทางที่อ่านง่าย ไม่ก่อให้เกิดความเข้าใจผิดหรือหลอกลวง และแยกอย่างชัดเจนจากเงื่อนไขอื่นๆ ของบริษัทด้วย การถอนความยินยอมก็เช่นกันต้องมีเงื่อนไขที่ ให้เจ้าของข้อมูลทำการยกเลิกเมื่อใดก็ได้ ทำได้ง่ายเหมือนกับการให้ความยินยอม และต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น

 

 

 

 

3. การสร้างความปลอดภัยในการเก็บข้อมูล

 

แน่นอนว่าทางผู้ควบคุมข้อมูลต้องมีมาตรการในการสร้างความปลอดภัยของข้อมูล เพื่อป้องกันการรั่วไหลของข้อมูล อันจะก่อให้เกิดผลกระทบตามมากับทั้งเจ้าของข้อมูลและผู้ควบคุมข้อมูลด้วยเช่นกัน (อย่างกรณีของ Facebook ซึ่งบทลงโทษและค่าปรับของแต่ละประเทศก็จะแตกต่างกันออกไป) การสร้างความปลอดภัยของข้อมูล ทำได้ 3 ขั้นตอน คือ

 

3.1. การฝึกอบรมสร้างความเข้าใจให้แก่บุคลากร ทั้งนี้เพื่อเข้าใจใน PDPA


3.2. การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล


3.3. มาตรการ IT Security อื่น ๆ เช่น firewall / encryption ซึ่งเป็นด่านสุดท้ายในการรักษาความปลอดภัย ทั้งนี้ ตัวกฏหมายไม่ได้ระบุชัดเจนถึงระดับของความปลอดภัย ซึ่งขึ้นอยู่กับความเสี่ยงของผู้ควบคุมข้อมูล ถ้าเป็นองค์กรขนาดใหญ่ก็อาจจะมีความเสียหายและผลกระทบที่มากกว่า

 

 


สรุป

PDPA เป็นกฏหมายที่ออกมาเพื่อการคุ้มครองข้อมูลของเจ้าของข้อมูลเป็นสำคัญ ซึ่งทั้งนี้เป็นเรื่องที่ดีที่ข้อมูลเหล่านี้มีกฏหมายในการควบคุมเพื่อป้องกันไม่ให้เกิดการเอารัดเอาเปรียบหรือเกิดการคุกคามต่อเจ้าของข้อมูล และรวมถึงการใช้ผลประโยชน์เกินความจำเป็นด้วย ผู้ควบคุมข้อมูลจึงต้องศึกษาตัวกฏหมายนี้อย่างละเอียดถี่ถ้วนเพื่อช่วยเพิ่มการรัดกุมในการทำงานและหลีกเลี่ยงการฟ้องร้องที่อาจจะเกิดขึ้นได้ในอนาคต

 


 









สอบถามรายละเอียดเพิ่มเติมได้ที่ 02-725-6400 , 084-424-2428

 

Tags : PDPA, Personal Data Protection Act, PDPA for HR, Sensitive Data, Data Protection, บทลงโทษสำหรับการละเมิด PDPA, Privacy Data, Privacy Internet, Privacy Encryption, Privacy Confidential, Privacy Surveillance, Privacy Hacking, Cyber Security, Cyber Security Application, Cyber Security Information, Cyber Security Network, Cyber Security Operational, Cyber Security Encryption, Cyber Security Access Control, Cyber Security End-user Education, Cyber Security Disaster Recovery