Get to know PDPA

ทำความรู้จักพีดีพีเอ


การประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อน สร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมาย PDPA ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น


ในยุคดิจิทัลที่ข้อมูลส่วนบุคคล หรือข้อมูลพฤติกรรมต่างๆ นั้นเป็นสิ่งที่มีค่า และสำคัญมาก เพราะมันสามารถนำมาวิเคราะห์และต่อยอดให้องค์กรต่างๆ ที่สามารถเข้าใจถึงความต้องการผู้บริโภคได้มากขึ้น ด้วยเหตุผลนี้จึงนำมาสู่ PDPA เพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล


ทั้งนี้ยังป้องกันความเสี่ยงไม่ว่าจะเป็นการถูกขโมยตัวตน การแสวงหาผลประโยชน์ทางการตลาด การขายข้อมูล และการติดตามหรือสอดแนม เป็นต้น และหากวิเคราะห์ในมุมมองเศรษฐกิจ พ.ร.บ.นี้คือการสร้างความเชื่อมั่นให้แก่นานาชาติว่าประเทศไทยมีมาตรฐานการป้องกันที่เพียงพออีกด้วย


ข้อมูลส่วนบุคคลคืออะไร :

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุไปถึงตัวบุคคลนั้นๆ ได้ ไม่ว่าจะเป็นทางตรง หรือทางอ้อมก็ตาม ทั้ง ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, เพศ, การศึกษา, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน และรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนอีกด้วย แต่จะไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และข้อมูลของนิติบุคคลที่ไม่ใช่ข้อมูลส่วนบุคคลตาม พ.ร.บ. ฉบับนี้


ข้อมูลส่วนบุคคลประกอบด้วยอะไรบ้าง :

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่มีความเกี่ยวข้องกับเชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสหภาพแรงงาน ข้อมูลด้านสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์) และข้อมูลอื่น ๆ ที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน เป็นต้น เป็นที่ทราบกันดีว่าประเทศไทยเราประกาศ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกชื่อย่อว่า PDPA (Personal Data Protection Act) ซึ่งมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และความปลอดภัยทั้งในด้าน การจัดเก็บ การประมวลผล และการเผยแพร่ และเพื่อให้มีมาตรการเยียวยาสำหรับเจ้าของข้อมูลส่วนบุคคลจากการละเมิดสิทธิ จากเหตุผลดังกล่าวนี้ส่งผลให้ทุกองค์กร หรือ ทุกภาคส่วนธุรกิจที่มีข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลของ ผู้สมัครงาน พนักงาน ลูกค้า คู่ค้าผู้ขาย ผู้ติดต่อ และผู้ใช้งานซอฟต์แวร์ หรือแอพพลิเคชั่น ในบริษัทหรือองค์ธุรกิจ ต้องปฏิบัติตามข้อกำหนดใน พ.ร.บ. นี้ทั้งสิ้น เพื่อป้องกันการละเมิดกฎหมายที่อาจจะเกิดขึ้นทั้งที่ตั้งใจและไม่ตั้งใจ สำหรับองค์กรธุรกิจที่มีข้อมูลผู้สมัครงาน ข้อมูลพนักงาน ข้อมูลลูกค้า ข้อมูลผู้ขาย ข้อมูลผู้ติดต่อ และข้อมูลผู้ใช้งานซอฟต์แวร์หรือ แอพพลิเคชั่น จะต้องปฏิบัติอย่างไร ซึ่งเจมอร์โปรแกรม(Jamore) สามารถช่วยองค์กรธุรกิจของท่านได้


บทบาทสำคัญสำหรับ PDPA :
สำหรับ พ.ร.บ. นี้ กำหนดผู้ที่เกี่ยวข้องไว้ 3 บทบาทหลัก ได้แก่
  • เจ้าของข้อมูล (Data Subject)
  • ผู้ควบคุมหรือเก็บข้อมูล (Data Controller)
  • ผู้ประมวลผลข้อมูล (Data Processor)

โดยมีรายละเอียดเพิ่มเติมดังนี้
Flow PDPA
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่เป็นเจ้าของข้อมูล หรือบุคคลที่ข้อมูลระบุไปถึง

สิทธิของเจ้าของข้อมูล : การให้สิทธิเจ้าของข้อมูลนับเป็นส่วนสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีสิทธิดังต่อไปนี้
  • สิทธิในการแก้ไขข้อมูล
  • สิทธิในการขอรับข้อมูล และสิทธิในการที่จะได้รับแจ้ง
  • สิทธิในการถอนความยินยอม
  • สิทธิในการขอระงับการใช้ข้อมูล
  • สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
  • สิทธิในการเข้าถึง ขอสำเนา หรือให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล
  • สิทธิในการขอคัดค้านการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิในการร้องเรียนกรณีที่ผู้ควบคุม หรือผู้ประมวลผลไม่ได้ปฏิบัติตาม พ.ร.บ. นี้
  • สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว
  • สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์
  • สิทธิในการร้องเรียน เจ้าของข้อมูลมีสิทธิร้องเรียนในกรณีผู้ควบคุม ผู้ประมวลผล รวมทั้งลูกจ้าง หรือผู้รับจ้างของผู้ควบคุม ผู้ประมวลผล ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคล (องค์กรธุรกิจ) ซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน่วยงานที่เอาข้อมูลจาก Data Subject มาจัดเก็บ ด้วยวิธีการต่างๆ เช่น โทรศัพท์สอบถาม, กรอกเอกสารลงทะเบียน, ฟอร์มรับสมัครบนเว็บไซต์ และอื่นๆ ซึ่งอาจจะกล่าวได้ว่า เป็นส่วนงานที่รู้จัก และรับผิดชอบโดยตรงกับเจ้าของข้อมูล ซึ่งตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะกำหนดให้ Data Controller ทำการขอ ให้การยินยอมอนุญาต (Consent) จากเจ้าของข้อมูล ก่อนถึงจะกระทำได้

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
  • ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัย หรือการจัดทำสถิติ
  • ป้องกัน หรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลอื่น
  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

หน้าที่สำหรับ Data Controller :

จาก พ.ร.บ. กำหนดให้การควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลเสียก่อน โดยระบุถึงวัตถุประสงค์ ข้อมูลที่ต้องการ ระยะเวลาที่จัดเก็บ ซึ่งต้องมีความชัดเจน ถึงจะดำเนินการได้ พร้อมกับขออนุญาตเจ้าของข้อมูลตามสิทธิต่างๆ ด้วย ดังนั้นการดำเนินการเก็บข้อมูลส่วนบุคคลที่เกิดขึ้น ในทุกหน่วยงานขององค์กร ต้องมั่นใจว่า ข้อมูลเหล่านั้นมีการขอให้การยินยอมที่ถูกต้องแล้ว พร้อมกับหลักฐานการขอให้การยินยอม และในส่วนการดำเนินการนั้นๆ ตามการร้องขอจากเจ้าของข้อมูลจะต้องมีระบบติดตาม และหลักฐานการดำเนินการที่เรียบร้อยไว้เป็นหลักฐานเช่นกัน ดังนั้นจะเห็นว่า หลักฐานกิจกรรมที่เกิดขึ้นในกระบวนการเป็นสิ่งที่จำเป็นอย่างมาก

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล หรือนิติบุคคล (องค์กรธุรกิจ) ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เมื่อ Data Processor ได้ข้อมูลส่วนบุคคลมาแล้ว และต้องการดำเนินการอย่างใดอย่างหนึ่งกับข้อมูลนั้น การดำเนินการดังกล่าวจะเป็นหน้าที่ของ Data Processor เช่น การจัดเก็บ การวิเคราะห์ การเผยแพร่ การส่งต่อ ซึ่งตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะกำหนดให้ Data Processor มีสิทธิทำได้เพียงเฉพาะตามที่ขอให้การยินยอมอนุญาต (Consent) จากเจ้าของข้อมูลเท่านั้น ซึ่งการกระทำที่นอกเหนือจากนั้นถือเป็นการละเมิดสิทธิเจ้าของข้อมูลทั้งสิ้น ซึ่งมีบทลงโทษทั้งทางแพ่ง และอาญา

หน้าที่สำหรับ Data Processor :

หน้าที่ของผู้ที่ประมวลผลข้อมูลจะต้องเข้าใจข้อกำหนดในหน้าที่ของผู้ประมวลผลข้อมูล เช่น การดำเนินการใดๆ จะต้องทำเฉพาะที่ได้รับการยินยอมจาก Data Controller ที่ขอให้การยินยอม (Consent) จากเจ้าของข้อมูลเท่านั้น และจัดให้มีมาตรการรักษาความมั่งคงปลอดภัยกับระบบจัดเก็บข้อมูลส่วนบุคคล โดยไม่ถูกลับลอบ ขโมยข้อมูล หรือการรั่วไหลจากการกระทำของคนภายในได้ ซึ่งจากที่กล่าวไว้แล้วว่า หากองค์กรของท่านรับหน้าที่เป็นเพียง Data Processor ที่บริษัทลูกค้าของท่าน Data Controller จ้างดำเนินการ หรือแม้กระทั่งบริษัทที่เป็นทั้ง 2 บทบาท ท่านจะต้องทราบรายละเอียดในการขอให้การยินยอม (Consent) เพื่อมิให้กระทำเกินขอบเขตหน้าที่ แต่ถ้าหากท่านไม่ทราบ หรือ Data Controller ไม่ได้ขอให้การยินยอมมาครบถ้วนถูกต้อง ท่านจะต้องมีมาตรการป้องกันตัวเองเพื่อมิให้ละเมิดขอบเขต นั่นก็คือ Data Processor จะต้องทำสัญญาที่กำหนดขอบเขต (Scope of Work) อย่างชัดเจนกับลูกค้าที่เป็น Data Controller ของท่าน และไม่กระทำใดๆ ที่นอกเหนือจากนั้น โดยการกระทำใดๆ จะต้องมีหลักฐานที่ชัดเจน ป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต


ประโยชน์ของ Data Consent Log :

การบันทึกหลักฐานกิจกรรมต่างๆ เป็นสิ่งที่จำเป็นมาก ทั้งในส่วนของ Data Controller และ Data Processor หรือองค์กรที่รับบทบาททั้ง 2 หน้าที่ ดังนั้นบทบาทของระบบการจัดการ Consent หรือ การจัดเก็บ Log การเข้าถึงข้อมูล หรือการใช้ข้อมูลโดยระบบ จึงมีส่วนสำคัญเพิ่มขึ้น นอกเหนือจากความสำคัญในด้านการจัดเก็บ Log ตาม พ.ร.บ. คอมพิวเตอร์ที่กำหนดไว้แล้ว การจัดเก็บ Log ของโปรแกรมเจมอร์ (Jamore) จะสามารถใช้ในการยืนยันหลักฐานต่างๆ ตามข้อกำหนดใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อีกด้วย