พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA)

ปัจจุบันมีการนำข้อมูลทั้งภายในและภายนอกที่เป็นข้อมูลส่วนตัวมาประยุกต์ใช้ประกอบการดำเนินงาน ซึ่งภาครัฐได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลดังกล่าวเอาไว้ตามกฎระเบียบและพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยถือเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนบุคคล (Privacy Right) ของประชาชนที่ต้องได้รับการคุ้มครองเพื่อความมั่นใจในการทำธุรกรรมทางอิเล็กทรอนิกส์

โดยหน่วยงานที่มีการดำเนินการเก็บและใช้ข้อมูลส่วนบุคคลเอาไว้จะต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อที่จะนำมาเก็บ ประมวลผล และเผยแพร่ ซึ่งความยินยอมจะต้องให้เจ้าของข้อมูลสามารถเข้าใจและอ่านได้โดยง่ายและมีความชัดเจนไม่หลอกหลวง นอกจากนี้การเก็บข้อมูลจะต้องเก็บเท่าที่จำเป็นและตรงตามวัตถุประสงค์นั้นๆ

การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นจะต้องกำหนดบทบาทหน้าที่ดังต่อไปนี้

1. เจ้าของข้อมูล (Data Subject)
 หมายถึง บุคคลที่สามารถนำข้อมูลนั้นไปชี้เฉพาะเจาะจงได้ เช่น รูปถ่าย เบอร์ติดต่อ ที่อยู่ เป็นต้น ถือเป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ

2. ผู้ควบคุมข้อมูล (Data Controller)
 หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยสรุปของผู้ควบคุมข้อมูลตามพระราชบัญญัติมีดังนี้

- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
 - ดำเนินการเพื่อป้องกันมิให้ผู้ใช้หรือผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยข้อมูลโดยมิชอบ
 - จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
 - แจ้งเหตุการณ์ละเมิดให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
 - แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการทำงาน
 - จัดทำและบันทึกรายการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูล (Data Processor)
 หมายถึง บุคคลหรือนิติบุคคลซึ่งมีหน้าที่ในการใช้ วิเคราะห์ และประมวลผลข้อมูล บทบาทหน้าที่ตามมาตรา 40
 - ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามพระราชบัญญัติ
 - จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
 - จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

นอกจากนี้ยังมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officers (DPO) ในกรณีที่มีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะอีกด้วย

สำหรับสิทธิของเจ้าของข้อมูล ตามความคุ้มครองข้อมูลส่วนบุคคลตามมาตรา 30-42 โดยสรุปมีดังนี้
  - สิทธิในการขอเข้าถึง สำเนา ยินยอมให้เปิดเผยหรือไม่ให้เปิดเผยได้
  - สิทธิในการขอข้อมูลที่ผ่านการประมวลผลได้
  - สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
  - สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  - สิทธิขอให้ระงับการใช้ข้อมูล
  - สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล โดยการลบ (ถูกลืม) หรือ ทำลาย ได้

ข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่ "เรา" ทุกคนในฐานะเจ้าของข้อมูลต้องให้ความสำคัญและบุคคลหรือบริษัทต่างๆที่มีการเก็บข้อมูลส่วนบุคคลก็จะต้องให้ความสำคัญเป็นอย่างมากด้วยเช่นกัน

#PDPA #Bigdata #Data #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล #DPO #DigitalTransform #Coraline