Personal Data ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล หรือที่เรียกว่า PDPA (Personal Data Protection Act.) ได้มีการกำหนดขึ้นเมื่อวันที่ 27 พฤษภาคม 2562 ได้มีการออกกฎหมายที่พูดถึงข้อมูลส่วนบุคคลหรือ PDPA ขึ้นมา ซึ่งจะมีผลบังคับใช้ตามกฎหมายทั้งฉบับเมื่อวันที่ 1 มิถุนายน 2565 และเนื่องจากโลกของเรานั้นได้มีการเปลี่ยนแปลงไปอย่างรวดเร็วตามยุคสมัยนี้มีและผู้คนแลกเปลี่ยนข้อมูลส่วนบุคคลกันตลอดเวลา โดยเฉพาะยิ่งเป็นช่วงที่ต้องมีการรักษาระยะห่างทางสังคม (Social Distancing) ในยุคของสถานการณ์ COVID-19 ดังนั้นจึงทำให้คนต้องหันมาใช้บริการเทคโนโลยีมากและหลากหลายมากยิ่งขึ้น โดยการใช้เทคโนโลยีต่างๆ นั้นอาจจะต้องมีการกรอกข้อมูลส่วนบุคคลต่างๆที่มีความเป็นส่วนตัว เพื่อใช้การสมัครสมาชิกหรือใช้บริการ นั่นจึงทำให้เห็นได้ชัดว่า การจัดการข้อมูลส่วนบุคคลอย่างมีมาตรฐานเป็นเรื่องที่สำคัญมากยิ่งขึ้นภายใต้สภาวะแบบนี้นั่นเองจึงเป็นสาเหตุหลักในการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ออกมาควบคุม
หลังจากที่หลายๆคนคงพอทราบไปเบื้องต้นเกี่ยวกับที่มาที่ไปของกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่มีประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565 ไปแล้วนั้น อย่างที่เรารู้ๆ กันว่าหลักกฏหมายคุ้มครองข้อมูลส่วนบุคคลนี้มีขึ้นมาเพื่อจัดระบียบในการป้องกันการนำข้อมูลส่วนบุคคลเข้าสู่ระบบอันเป็นเท็จ หรือเพื่อป้องกันการเผยแพร่ข้อมูลอันเป็นเท็จและหากในกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น ผู้ที่ละเมิดสิทธิจะต้องเกิดได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และโทษปรับที่หนักสูงสุดถึง 5 ล้านบาท หรือจำคุกสูงสุด 1 ปี และยังต้องจ่ายค่าสินไหมทดแทน ตามความเหมาะสมในแต่ละกรณีนั้น ๆ
PDPA ( Prosonal Data Protection Act.) คือ ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถทำให้สามารถระบุถึงตัวบุคคลนั้นได้ไม่ว่าจะเป็นทางตรง หรือข้อมูลทางอ้อม เว้นแต่ไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อมูลทางตรงข้อมูลทางอ้อมประกอบไปด้วยอะไรบ้าง?
ข้อมูลทางตรง
ข้อมูลทางอ้อม
1. ข้อมูลทางตรงที่สามารถระบุถึงตัวบุคคลนั้นได้อย่างชัดเจน เช่น
- ชื่อจริง นามสกุล
- ที่อยู่
- หมายเลขโทรศัพท์
- หมายเลขบัตรประชาชน
- รูปถ่ายของบุคลลนั้น ๆ
- อายุ
- ประวัติการศึกษา
- ประวัติการทำงาน
2. ข้อมูลทางอ้อม คือ ข้อมูลที่สามารถนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามถึงตัวบุคคลได้ และมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆ ข้างนอก หรือสามารถนำข้อมูลเหล่านี้สามารถบอกลักษณะการใช้ชีวิตของเขาได้
ยกตัวอย่างข้อมูลทางอ้อม เช่น
- บุคคลนี้เติมน้ำมันที่ปั๊มใด ละแวกใด
- การตรวจสอบการขึ้นลงรถไฟ การเดินทางไปสถานีใดบ้างมีการใช้บัตรเป็นรายวัน หรือรายเดือน ต่างๆ
- บัญชีออนไลน์นี้ เคยซื้อของออนไลน์หมวดหมู่ใดบ้าง และมีรูปแบบของการซื้อของใหม่ซ้ำบ่อยแค่ไหน
- การเข้าถึงเว็บไซต์ผ่านโลกออนไลน์ ไม่ว่าจะเป็น อีเมล หรือเฟสบุค เป็นต้น
" ดังนั้น ข้อมูลที่สื่อถึงสิ่งเหล่านี้สามารถนำมาระบุตัวตนคนคนหนึ่งได้ เนื่องจากเป็นข้อมูลทางอ้อมที่สามารถเกี่ยวโยงไปถึงวิถีลักษณะการใช้ชีวิตของเจ้าของข้อมูลได้นั่นเองได้ "
สิ่งที่องค์กรต้องเตรียมรับมือเพื่อตอบรับกับกฎหมาย PDPA ประกอบไปด้วยอะไรบ้าง?
เราจะเห็นได้ว่าองค์กรนั่นได้มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลทั้งข้อมูลของบุคคลภายในองค์กร หรือข้อมูลของบุคคลภายนอกอย่างผู้สมัครงาน ลูกค้า หรือคู่ค้าทางธุรกิจ (Vendor) ต่างๆ เพื่อใช้ในการประกอบธุรกิจ เรียกได้ว่าแทบจะทุกธุรกิจเลยก็ว่าได้ที่มีการจัดเก็บข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตามกฎหมาย PDPA ( Prosonal Data Protection Act.) ทั้งสิ้นสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีการมุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคลและกระบวนการพิจารณาดำเนินการกรณีมีการร้องเรียนโดยเจ้าของข้อมูล ซึ่งอาจเป็นการไกล่เกลี่ย ตักเตือน และมีหลายขั้นตอนในการยุติปัญหาข้อพิพาทที่เกิดขึ้นปัจจุบันนี้หลายองค์กรมีการนำเทคโนโลยีมาปรับใช้เพื่อเพิ่มประสิทธิภาพในการทำงานและบริหาร ทั้งในด้านการเก็บรวบรวม เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการเผยแพร่ข้อมูลต่าง ๆ
ในส่วนของความผิดและบทกำหนดโทษ คุณเธียรชัยชี้ว่ากฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่น ๆ ที่ผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงโดยความผิดและบทกำหนดโทษของ PDPA แบ่งออกเป็น 2 ส่วน คือ ความรับผิดทางแพ่งอย่างการการชดใช้ค่าสินไหมทดแทน และบทกำหนดโทษคือโทษอาญาและโทษทางปกครอง ซึ่งโทษอาญานั้นมีทั้งปรับ จำคุก หรือจำคุกและปรับ ส่วนในด้านโทษทางปกครอง มีโทษปรับโดยไม่มีโทษจำคุก เป็นส่วนที่องค์กรหรือผู้ประกอบการต่างมีความกังวลเนื่องจากมีอัตราค่าปรับที่สูงสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จะมีการมุ่งเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคลและกระบวนการพิจารณาดำเนินการกรณีมีการร้องเรียนโดยเจ้าของข้อมูล ซึ่งอาจเป็นการไกล่เกลี่ย ตักเตือน และมีหลายขั้นตอนในการยุติปัญหาข้อพิพาทที่เกิดขึ้น
สิ่งที่องค์จะต้องแจ้งเพื่อให้เจ้าของข้อมูลรู้
- แจ้งวัตถุประสงค์การเก็บรวบรวมข้อมูลส่วนบุคคล
- แจ้งให้ทราบถึงเหตุผลการให้ข้อมูล เพื่อปฏิบัติตามกฎหมาย หรือสัญญาหรือมีความจำเป็น และผลกระทบ
- แจ้งระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- แจ้งประเภทของบุคคลหรือหน่วยงานที่สามที่ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
- แจ้งข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล รวมท้ั้งสถานที่ติดต่อและวิธีการติดต่อ
- แจ้งสิทธิของเจ้าของข้อมูลส่วนบุคคล
สิ่งที่เจ้าของธุรกิจจะต้องดำเนินการ
- ประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล
- แต่งตั้งให้บุคคลใดบุคคลหนึ่ง (outsource) เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
- ปรับปรุงใบสมัครงาน/สัญญา จ้างแรงงาน/ข้อบังคับการทำงาน
- สร้างระบบการเข้าถึงข้อมูล เช่น ตู้เก็บเอกสารข้อมูลส่วนบุคคลให้มีระบบ ล็อก กุญแจ หรือล็อคระบบการเข้าถึง
- จัดทำแบบฟอร์มการแจ้งยกเลิกการให้ความยินยอม
- ต้องทำแบบฟอร์มให้ความยินยอม การเก็บ ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล (รวมถึงพนักงานเก่า)
- ทำ Data Flow/ประเมินความ เสี่ยงของข้อมูลส่วนบุคคล (DPIA) เพิ่มเติม DPIA หมายถึง
- บันทึกรายการข้อมูลส่วนบุคคล
สรุป ดังนั้นการที่ประเทศไทยได้มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาก็เพื่อที่จะเป็นการคุ้มครองข้อมูลส่วนตัวของทุกคนเพื่อไม่ให้เกิดการรั่วไหลหรือถูกนำไปใช้ในทางที่ผิด และเพื่อป้องกันการเข้าถึงข้อมูลส่วนตัวอื่นๆที่จะสามารถระบุถึงตัวเจ้าของข้อมูลได้นั่นเอง หรือแม้แต่เป็นการป้องกันการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมนั่นเองค่ะ
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
