พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ปัจจุบันมีการนำข้อมูลทั้งภายในและภายนอกที่เป็นข้อมูลส่วนตัวมาประยุกต์ใช้ประกอบการดำเนินงาน ซึ่งภาครัฐได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลดังกล่าวเอาไว้ตามกฎระเบียบและพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) เพื่อเป็นการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยถือเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนบุคคล (Privacy Right) ของประชาชนที่ต้องได้รับการคุ้มครองเพื่อความมั่นใจในการทำธุรกรรมทางอิเล็กทรอนิกส์

โดยหน่วยงานที่มีการดำเนินการเก็บและใช้ข้อมูลส่วนบุคคลเอาไว้จะต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อที่จะนำมาเก็บ ประมวลผล และเผยแพร่ ซึ่งความยินยอมจะต้องให้เจ้าของข้อมูลสามารถเข้าใจและอ่านได้โดยง่ายและมีความชัดเจนไม่หลอกหลวง นอกจากนี้การเก็บข้อมูลจะต้องเก็บเท่าที่จำเป็นและตรงตามวัตถุประสงค์นั้น ๆ

ซึ่งการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นจะต้องกำหนดบทบาทหน้าที่ดังต่อไปนี้

1. เจ้าของข้อมูล (Data Subject) หมายถึง บุคคลที่สามารถนำข้อมูลนั้นไปชี้เฉพาะเจาะจงได้ เช่น รูปถ่าย เบอร์ติดต่อ ที่อยู่ เป็นต้น ถือเป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ

2. ผู้ควบคุมข้อมูล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยสรุปของผู้ควบคุมข้อมูลตามพระราชบัญญัติมีดังนี้

• จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
• ดำเนินการเพื่อป้องกันมิให้ผู้ใช้หรือผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยข้อมูลโดยมิชอบ
• จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
• แจ้งเหตุการณ์ละเมิดให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการทำงาน
• จัดทำและบันทึกรายการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีหน้าที่ในการใช้ วิเคราะห์ และประมวลผลข้อมูล บทบาทหน้าที่ตามมาตรา 40

• ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามพระราชบัญญัติ
• จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้ง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
• จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

นอกจากนี้ยังมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officers (DPO) ในกรณีที่มีข้อมูลประมวลผลจำนวนมาก หรือข้อมูลอ่อนไหว จำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO สามารถเป็นบุคลากรในองค์กร ซึ่งทำหน้าที่ในการประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะอีกด้วย

สำหรับสิทธิของเจ้าของข้อมูลตามความคุ้มครองข้อมูลส่วนบุคคลตามมาตรา 30–42 โดยสรุปมีดังนี้

• สิทธิในการขอเข้าถึง สำเนา ยินยอมให้เปิดเผยหรือไม่ให้เปิดเผยได้
• สิทธิในการขอข้อมูลที่ผ่านการประมวลผลได้
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
• สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ระงับการใช้ข้อมูล
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลโดยการลบ (ถูกลืม) หรือทำลายได้

ข้อมูลส่วนบุคคล เป็นสิ่งสำคัญ ที่ “เรา” ทุกคนในฐานะเจ้าของข้อมูล ต้องให้ความสำคัญ และบุคคล หรือบริษัทต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ก็จะต้องให้ความสำคัญ(เป็นอย่างมาก) ด้วยเช่นกัน

#BigData #DataScience #Optimization #ProductivityImprovement #DigitalTransformation #MachineLearning #ArtificialIntelligence

We turn your DATA into your KEY of success.
ให้คำปรึกษาการทำโครงการ Big Data, Data Model, Artificial Intelligence และ Digital Transformation เพื่อเพิ่มศักยภาพของธุรกิจ
ติดต่อ inquiry@coraline.co.th, Tel: 099–425–5398