Skip to content

Personal Data ข้อมูลทางตรง ทางอ้อมและสิ่งที่องค์กรควรรู้

Table of Contents

Personal Data ข้อมูลส่วนบุคคล

          ข้อมูลส่วนบุคคล หรือที่เรียกว่า PDPA (Personal Data Protection Act.) ได้มีการกำหนดขึ้นเมื่อวันที่ 27 พฤษภาคม 2562 ได้มีการออกกฎหมายที่พูดถึงข้อมูลส่วนบุคคลหรือ PDPA ขึ้นมา ซึ่งจะมีผลบังคับใช้ตามกฎหมายทั้งฉบับเมื่อวันที่ 1 มิถุนายน 2565 และเนื่องจากโลกของเรานั้นได้มีการเปลี่ยนแปลงไปอย่างรวดเร็วตามยุคสมัยนี้มีและผู้คนแลกเปลี่ยนข้อมูลส่วนบุคคลกันตลอดเวลา โดยเฉพาะยิ่งเป็นช่วงที่ต้องมีการรักษาระยะห่างทางสังคม (Social Distancing) ในยุคของสถานการณ์ COVID-19 ดังนั้นจึงทำให้คนต้องหันมาใช้บริการเทคโนโลยีมากและหลากหลายมากยิ่งขึ้น โดยการใช้เทคโนโลยีต่างๆ นั้นอาจจะต้องมีการกรอกข้อมูลส่วนบุคคลต่างๆที่มีความเป็นส่วนตัว เพื่อใช้การสมัครสมาชิกหรือใช้บริการ นั่นจึงทำให้เห็นได้ชัดว่า การจัดการข้อมูลส่วนบุคคลอย่างมีมาตรฐานเป็นเรื่องที่สำคัญมากยิ่งขึ้นภายใต้สภาวะแบบนี้นั่นเองจึงเป็นสาเหตุหลักในการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ออกมาควบคุม

          หลังจากที่หลายๆคนคงพอทราบไปเบื้องต้นเกี่ยวกับที่มาที่ไปของกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่มีประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565 ไปแล้วนั้น อย่างที่เรารู้ๆ กันว่าหลักกฏหมายคุ้มครองข้อมูลส่วนบุคคลนี้มีขึ้นมาเพื่อจัดระบียบในการป้องกันการนำข้อมูลส่วนบุคคลเข้าสู่ระบบอันเป็นเท็จ หรือเพื่อป้องกันการเผยแพร่ข้อมูลอันเป็นเท็จและหากในกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น ผู้ที่ละเมิดสิทธิจะต้องเกิดได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และโทษปรับที่หนักสูงสุดถึง 5 ล้านบาท หรือจำคุกสูงสุด 1 ปี และยังต้องจ่ายค่าสินไหมทดแทน ตามความเหมาะสมในแต่ละกรณีนั้น ๆ

          PDPA ( Prosonal Data Protection Act.) คือ ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถทำให้สามารถระบุถึงตัวบุคคลนั้นได้ไม่ว่าจะเป็นทางตรง หรือข้อมูลทางอ้อม เว้นแต่ไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อมูลทางตรงข้อมูลทางอ้อมประกอบไปด้วยอะไรบ้าง?

ข้อมูลทางตรง

ข้อมูลทางอ้อม

1. ข้อมูลทางตรงที่สามารถระบุถึงตัวบุคคลนั้นได้อย่างชัดเจน เช่น

  • ชื่อจริง นามสกุล
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • หมายเลขบัตรประชาชน
  • Email
  • รูปถ่ายของบุคลลนั้น ๆ
  • อายุ
  • ประวัติการศึกษา
  • ประวัติการทำงาน

2. ข้อมูลทางอ้อม คือ ข้อมูลที่สามารถนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามถึงตัวบุคคลได้ และมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆ ข้างนอก หรือสามารถนำข้อมูลเหล่านี้สามารถบอกลักษณะการใช้ชีวิตของเขาได้

ยกตัวอย่างข้อมูลทางอ้อม เช่น

  • บุคคลนี้เติมน้ำมันที่ปั๊มใด ละแวกใด
  • การตรวจสอบการขึ้นลงรถไฟ การเดินทางไปสถานีใดบ้างมีการใช้บัตรเป็นรายวัน หรือรายเดือน ต่างๆ
  • บัญชีออนไลน์นี้ เคยซื้อของออนไลน์หมวดหมู่ใดบ้าง และมีรูปแบบของการซื้อของใหม่ซ้ำบ่อยแค่ไหน
  • การเข้าถึงเว็บไซต์ผ่านโลกออนไลน์ ไม่ว่าจะเป็น อีเมล หรือเฟสบุค เป็นต้น

" ดังนั้น ข้อมูลที่สื่อถึงสิ่งเหล่านี้สามารถนำมาระบุตัวตนคนคนหนึ่งได้ เนื่องจากเป็นข้อมูลทางอ้อมที่สามารถเกี่ยวโยงไปถึงวิถีลักษณะการใช้ชีวิตของเจ้าของข้อมูลได้นั่นเองได้ "

สิ่งที่องค์กรต้องเตรียมรับมือเพื่อตอบรับกับกฎหมาย PDPA ประกอบไปด้วยอะไรบ้าง?

         เราจะเห็นได้ว่าองค์กรนั่นได้มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลทั้งข้อมูลของบุคคลภายในองค์กร หรือข้อมูลของบุคคลภายนอกอย่างผู้สมัครงาน ลูกค้า หรือคู่ค้าทางธุรกิจ (Vendor) ต่างๆ เพื่อใช้ในการประกอบธุรกิจ เรียกได้ว่าแทบจะทุกธุรกิจเลยก็ว่าได้ที่มีการจัดเก็บข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตามกฎหมาย PDPA ( Prosonal Data Protection Act.)  ทั้งสิ้นสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีการมุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคลและกระบวนการพิจารณาดำเนินการกรณีมีการร้องเรียนโดยเจ้าของข้อมูล ซึ่งอาจเป็นการไกล่เกลี่ย ตักเตือน และมีหลายขั้นตอนในการยุติปัญหาข้อพิพาทที่เกิดขึ้นปัจจุบันนี้หลายองค์กรมีการนำเทคโนโลยีมาปรับใช้เพื่อเพิ่มประสิทธิภาพในการทำงานและบริหาร ทั้งในด้านการเก็บรวบรวม  เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการเผยแพร่ข้อมูลต่าง ๆ

          ในส่วนของความผิดและบทกำหนดโทษ คุณเธียรชัยชี้ว่ากฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่น ๆ ที่ผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงโดยความผิดและบทกำหนดโทษของ  PDPA  แบ่งออกเป็น 2 ส่วน คือ ความรับผิดทางแพ่งอย่างการการชดใช้ค่าสินไหมทดแทน และบทกำหนดโทษคือโทษอาญาและโทษทางปกครอง ซึ่งโทษอาญานั้นมีทั้งปรับ  จำคุก  หรือจำคุกและปรับ ส่วนในด้านโทษทางปกครอง มีโทษปรับโดยไม่มีโทษจำคุก เป็นส่วนที่องค์กรหรือผู้ประกอบการต่างมีความกังวลเนื่องจากมีอัตราค่าปรับที่สูงสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีการมุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคลและกระบวนการพิจารณาดำเนินการกรณีมีการร้องเรียนโดยเจ้าของข้อมูล ซึ่งอาจเป็นการไกล่เกลี่ย ตักเตือน และมีหลายขั้นตอนในการยุติปัญหาข้อพิพาทที่เกิดขึ้น

สิ่งที่องค์จะต้องแจ้งเพื่อให้เจ้าของข้อมูลรู้

  • แจ้งวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล
  • แจ้งให้ทราบถึงเหตุผลการให้ข้อมูล เพื่อปฏิบัติตามกฎหมาย หรือสัญญาหรือมีความจำเป็น และผลกระทบ
  • แจ้งระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
  • แจ้งประเภทของบุคคลหรือหน่วยงานที่สามที่ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
  • แจ้งข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล รวมท้ั้งสถานที่ติดต่อและวิธีการติดต่อ
  • แจ้งสิทธิของเจ้าของข้อมูลส่วนบุคคล

สิ่งที่เจ้าของธุรกิจจะต้องดำเนินการ

  • ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล
  • แต่งตั้งให้บุคคลใดบุคคลหนึ่ง (outsource) เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
  • ปรับปรุงใบสมัครงาน/สัญญา จ้างแรงงาน/ข้อบังคับการทำงาน
  • สร้างระบบการเข้าถึงข้อมูล เช่น ตู้เก็บเอกสารข้อมูลส่วนบุคคลให้มีระบบ ล็อก กุญแจ หรือล็อคระบบการเข้าถึง
  • จัดทำแบบฟอร์มการแจ้งยกเลิกการให้ความยินยอม
  • ต้องทำแบบฟอร์มให้ความยินยอม การเก็บ ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล (รวมถึงพนักงานเก่า)
  • ทำ Data Flow/ประเมินความ เสี่ยงของข้อมูลส่วนบุคคล (DPIA) เพิ่มเติม DPIA หมายถึง
  • บันทึกรายการข้อมูลส่วนบุคคล

สรุป ดังนั้นการที่ประเทศไทยได้มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาก็เพื่อที่จะเป็นการคุ้มครองข้อมูลส่วนตัวของทุกคนเพื่อไม่ให้เกิดการรั่วไหลหรือถูกนำไปใช้ในทางที่ผิด และเพื่อป้องกันการเข้าถึงข้อมูลส่วนตัวอื่นๆที่จะสามารถระบุถึงตัวเจ้าของข้อมูลได้นั่นเอง หรือแม้แต่เป็นการป้องกันการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมนั่นเองค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง