คลังความรู้ สู่สังคมไทย | Advanced Research Group

Back

PDPA คืออะไร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้เดือนพฤษภาคม 2563

PDPA คืออะไร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้เดือนพฤษภาคม 2563

07-04-2020

        หลังจากผู้คนหันมาใช้ออนไลน์กันมากขึ้น จึงทำให้ข้อมูลต่าง ๆ ของเราถูกบันทึกและจัดเก็บอยู่ในระบบข้อมูล ซึ่งเราไม่สามารถทราบได้เลยว่าผู้ให้บริการออนไลน์หรือบริษัทเหล่านี้จะนำข้อมูลของเราไปทำอะไรบ้าง ดังนั้นเพื่อความปลอดภัยของข้อมูลของผู้บริโภคจึงมีการออกกฎหมายต่าง ๆ ให้สามารถคุ้มครองข้อมูลส่วนบุคคลเหล่านี้ได้

        ถ้าหากย้อนกลับไป การคุ้มครองข้อมูลส่วนบุคคลได้เริ่มต้นขึ้นในปี 2012 โดยคณะกรรมาธิการยุโรปได้กำหนดแผนการปฏิรูปการคุ้มครองข้อมูลทั่วสหภาพยุโรป เพื่อให้ยุโรปมีความเหมาะสมกับยุคดิจิทัล และเมื่อปี 2018 ได้มีข้อตกลงและวิธีการบังคับประกาศใช้อย่างเป็นทางการออกมา นั่นจึงทำให้หลาย ๆ บริษัทโดนค่าปรับจำนวนมหาศาลไปหลายราย

        หนึ่งในองค์ประกอบสำคัญของการปฏิรูปคือการออกกฎการป้องกันข้อมูลส่วนบุคคล (General Data Protection Regulation) หรือเรียกด้วยอักษรย่อว่า GDPR เป็นกรอบการทำงานใหม่ของสหภาพยุโรปที่จะใช้กับองค์กรทุกประเทศในสหภาพยุโรป ซึ่งมีผลกระทบต่อธุรกิจและบุคคลทั่วไปอย่างวงกว้าง

        อย่างไรก็ตามถึงแม้ว่า GDPR จะประกาศใช้ในสหภาพยุโรปเท่านั้น แต่ก็ส่งผลกระทบไปทั่วโลกเช่นกัน เพราะธุรกิจจะต้องระวังการใช้ข้อมูลส่วนตัวของลูกค้ามากขึ้น โดยเฉพาะคนที่ทำธุรกิจทั้งในประเทศและต่างประเทศ หากนำข้อมูลไปใช้ในทางที่ไม่ควรหรือเจ้าของข้อมูลไม่ทราบว่าจะนำข้อมูลไปใช้กับอะไรบ้าง ตรงนี้เจ้าของข้อมูลมีสิทธิฟ้องร้องเรียกค่าเสียหายจากองค์กรได้เช่นกัน

        สำหรับประเทศไทยเองก็ไม่ได้ปล่อยผ่านเรื่องการคุ้มครองความเป็นส่วนตัวของข้อมูล (Data Privacy) เพราะเมื่อปีที่ผ่านมาทางประเทศไทยได้ประกาศในราชกิจจานุเบกษาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของประชาชนชาวไทย แม้จะยังไม่ครอบคลุมการคุ้มครองความเป็นส่วนตัวของข้อมูลทั้งหมด อย่างการรวบรวม การใช้ การเปิดเผย สิทธิการเข้าถึง การร้องเรียน การรับผิดทางแพ่ง และการกำหนดโทษก็ตาม แต่ในปี 2563 นี้ได้เตรียมบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act B.E. 2562 (2019) หรือ PDPA) ในวันที่ 27 พฤษภาคม 2563 ซึ่งเหลือเวลอีก 1 เดือน 18 วัน เท่านั้น

        ใจความสำคัญของ PDPA คือ การให้การคุ้มครองความเป็นส่วนตัวของข้อมูล ไม่ว่าจะเป็นข้อมูลส่วนบุคคล ฐานะทางการเงิน การศึกษา ประวัติสุขภาพ ประวัติอาชญากรรม หรือประวัติการทำงาน รวมถึงลายนิ้วมือ บัตรประชาชน ตัวเลข การบันทึกเสียง หรือเอกสารส่วนตัวอื่น ๆ โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฉบับนี้มีขึ้นเพื่อไม่ให้ผู้อื่นนำข้อมูลข้างต้นไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าขอข้อมูลไม่ได้ยินยอมให้นำไปใช้ประโยชน์

        นั่นเท่ากับว่า “ข้อมูลส่วนบุคคล” จึงเป็นข้อมูลทุกข้อมูลที่สามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของข้อมูล” ได้ และไม่ว่าข้อมูลนั้นจะเป็นความจริงหรือไม่จริงก็ตาม เพราะหากข้อมูลส่วนบุคคลนั้นรั่วไหลไปสู่สาธารณะหรือบุคคลที่สาม ซึ่งเป็นการละเมิดมาตรการความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเกิดความเสียหาย, สูญหาย, เปิดเผยโดยไม่ได้รับอนุญาต, เข้าถึงข้อมูลส่วนบุคคล หรือมีการเปลี่ยนแปลงแก้ไขข้อมูล ไม่ว่าข้อมูลนั้นจะเป็นความจริงหรือไม่จริงก็ตาม ผู้ควบคุมข้อมูล ซึ่งเป็นบุคคลธรรมดาหรือนิติบุคคล, หน่วยงานของรัฐ, หน่วยงานหรือองค์กรใดซึ่งเป็นผู้นำไปสู่การประมวลผลข้อมูลส่วนบุคคล จะต้องได้รับโทษตามที่กฎหมายกำหนด

        ดังนั้นองค์กร หรือหน่วยงานใดต้องการนำข้อมูลส่วนบุคคลไปใช้ในการประมวลผล จะต้องเขียนข้อตกลงและวิธีการนำข้อมูลไปใช้ เพื่อให้เจ้าของข้อมูลยินยอมที่จะเปิดเผยข้อมูลเสียก่อน และเมื่อไหร่ก็ตามที่เกิดการละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

        ถึงแม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะยังไม่ครอบคลุมการคุ้มครองข้อมูลทุกส่วน แต่ก็ยังดีกว่าไม่มีกฎหมายมาคุ้มครองข้อมูลของเราเลย ซึ่งในอนาคตอาจมีการแก้ไขกฎหมายเพื่อครอบคลุมมากยิ่งขึ้น ส่วนองค์กร หรือหน่วยงานต่าง ๆ ควรเตรียมตัวให้พร้อมกับการบังคับใช้กฎหมาย โดยเริ่มจากระบุรายละเออียดการนำข้อมูลไปใช้ และรายละเอียดการขอใช้ข้อมูล เพื่อให้เจ้าของข้อมูลรับทราบและยินยอมให้นำข้อมูลไปใช้ได้

บอกต่อ : 
The Knowledge Provider (AR Group)

Back