ปัจจุบันมีการนำข้อมูลทั้งภายในและภายนอกที่เป็นข้อมูลส่วนตัวมาประยุกต์ใช้ประกอบการดำเนินงาน ซึ่งภาครัฐได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลดังกล่าวเอาไว้ตามกฎระเบียบและพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยถือเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนบุคคล (Privacy Right) ของประชาชนที่ต้องได้รับการคุ้มครองเพื่อความมั่นใจในการทำธุรกรรมทางอิเล็กทรอนิกส์
โดยหน่วยงานที่มีการดำเนินการเก็บและใช้ข้อมูลส่วนบุคคลเอาไว้จะต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อที่จะนำมาเก็บ ประมวลผล และเผยแพร่ ซึ่งความยินยอมจะต้องให้เจ้าของข้อมูลสามารถเข้าใจและอ่านได้โดยง่ายและมีความชัดเจนไม่หลอกหลวง นอกจากนี้การเก็บข้อมูลจะต้องเก็บเท่าที่จำเป็นและตรงตามวัตถุประสงค์นั้นๆ
การดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นจะต้องกำหนดบทบาทหน้าที่ดังต่อไปนี้
1. เจ้าของข้อมูล (Data Subject) หมายถึง บุคคลที่สามารถนำข้อมูลนั้นไปชี้เฉพาะเจาะจงได้ เช่น รูปถ่าย เบอร์ติดต่อ ที่อยู่ เป็นต้น ถือเป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ
2. ผู้ควบคุมข้อมูล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยสรุปของผู้ควบคุมข้อมูลตามพระราชบัญญัติมีดังนี้
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล - ดำเนินการเพื่อป้องกันมิให้ผู้ใช้หรือผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยข้อมูลโดยมิชอบ - จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล - แจ้งเหตุการณ์ละเมิดให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง - แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการทำงาน - จัดทำและบันทึกรายการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีหน้าที่ในการใช้ วิเคราะห์ และประมวลผลข้อมูล บทบาทหน้าที่ตามมาตรา 40 - ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามพระราชบัญญัติ - จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น - จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
นอกจากนี้ยังมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officers (DPO) ในกรณีที่มีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะอีกด้วย
สำหรับสิทธิของเจ้าของข้อมูล ตามความคุ้มครองข้อมูลส่วนบุคคลตามมาตรา 30-42 โดยสรุปมีดังนี้ - สิทธิในการขอเข้าถึง สำเนา ยินยอมให้เปิดเผยหรือไม่ให้เปิดเผยได้ - สิทธิในการขอข้อมูลที่ผ่านการประมวลผลได้ - สิทธิในการขอให้โอนข้อมูลส่วนบุคคล - สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล - สิทธิขอให้ระงับการใช้ข้อมูล - สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล โดยการลบ (ถูกลืม) หรือ ทำลาย ได้
ข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่ "เรา" ทุกคนในฐานะเจ้าของข้อมูลต้องให้ความสำคัญและบุคคลหรือบริษัทต่างๆที่มีการเก็บข้อมูลส่วนบุคคลก็จะต้องให้ความสำคัญเป็นอย่างมากด้วยเช่นกัน
