พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ปัจจุบันมีการนำข้อมูลทั้งภายในและภายนอกที่เป็นข้อมูลส่วนตัวมาประยุกต์ใช้ประกอบการดำเนินงาน ซึ่งภาครัฐได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลดังกล่าวเอาไว้ตามกฎระเบียบและพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยถือเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนบุคคล (Privacy Right) ของประชาชนที่ต้องได้รับการคุ้มครองเพื่อความมั่นใจในการทำธุรกรรมทางอิเล็กทรอนิกส์ โดยหน่วยงานที่มีการดำเนินการเก็บและใช้ข้อมูลส่วนบุคคลเอาไว้จะต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อที่จะนำมาเก็บ ประมวลผล และเผยแพร่ ซึ่งความยินยอมจะต้องให้เจ้าของข้อมูลสามารถเข้าใจและอ่านได้โดยง่ายและมีความชัดเจนไม่หลอกหลวง นอกจากนี้การเก็บข้อมูลจะต้องเก็บเท่าที่จำเป็นและตรงตามวัตถุประสงค์นั้น ๆ การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นจะต้องกำหนดบทบาทหน้าที่ดังต่อไปนี้ 1. เจ้าของข้อมูล (Data Subject)
หมายถึง บุคคลที่สามารถนำข้อมูลนั้นไปชี้เฉพาะเจาะจงได้ เช่น รูปถ่าย เบอร์ติดต่อ ที่อยู่ เป็นต้น ถือเป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ 2. ผู้ควบคุมข้อมูล (Data Controller)
หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยสรุปของผู้ควบคุมข้อมูลตามพระราชบัญญัติมีดังนี้ - จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- ดำเนินการเพื่อป้องกันมิให้ผู้ใช้หรือผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยข้อมูลโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
- แจ้งเหตุการณ์ละเมิดให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการทำงาน
- จัดทำและบันทึกรายการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 3. ผู้ประมวลผลข้อมูล (Data Processor)
หมายถึง บุคคลหรือนิติบุคคลซึ่งมีหน้าที่ในการใช้ วิเคราะห์ และประมวลผลข้อมูล บทบาทหน้าที่ตามมาตรา 40
- ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามพระราชบัญญัติ
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด นอกจากนี้ยังมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officers (DPO) ในกรณีที่มีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะอีกด้วย สำหรับสิทธิของเจ้าของข้อมูล ตามความคุ้มครองข้อมูลส่วนบุคคลตามมาตรา 30-42 โดยสรุปมีดังนี้
- สิทธิในการขอเข้าถึง สำเนา ยินยอมให้เปิดเผยหรือไม่ให้เปิดเผยได้
- สิทธิในการขอข้อมูลที่ผ่านการประมวลผลได้
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิขอให้ระงับการใช้ข้อมูล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล โดยการลบ (ถูกลืม) หรือ ทำลาย ได้ ข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่ "เรา" ทุกคนในฐานะเจ้าของข้อมูลต้องให้ความสำคัญและบุคคลหรือบริษัทต่างๆที่มีการเก็บข้อมูลส่วนบุคคลก็จะต้องให้ความสำคัญ(เป็นอย่างมาก) ด้วยเช่นกัน #PDPA #Bigdata #Data #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล #DPO #DigitalTransform #Coraline

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ปัจจุบันมีการนำข้อมูลทั้งภายในและภายนอกที่เป็นข้อมูลส่วนตัวมาประยุกต์ใช้ประกอบการดำเนินงาน ซึ่งภาครัฐได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูล...