PDPA : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
PDPA ย่อมาจาก Personal data protection act หรือเรียกว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายระเบียบข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยเจ้าของข้อมูล (Data subject) ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม เว้นแต่บทบัญญัติแห่งพระราชบัญญัติหรือกฎหมายอื่นบัญญัติให้ทำได้ รวมถึงต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลซึ่งผู้ควบคุมข้อมูลจะไม่สามารถกระทำการเก็บ ใช้ หรือเปิดเผยนอกเหนือจากวัตถุประสงค์ที่แจ้งได้
PDPA กับ GDPR
GDPR เป็นตัวย่อของ General data protection regulation ซึ่งเป็นระเบียบข้อบังคับของกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัวของประชาชนในกลุ่มประเทศสหภาพยุโรป (EU) และป้องกันการนำข้อมูลไปใช้โดยผิดกฎหมาย ซึ่งวันที่มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 รวมถึงมีการระบุถึงข้อบังคับในการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA ด้วย ดังนั้น GDPR จึงสามารถใช้บังคับกับประเทศไทยได้เมื่อมีการติดต่อ แลกเปลี่ยน รับส่งข้อมูลระหว่างประเทศไทยกับประเทศในสหภาพยุโรป ซึ่งกฎหมาย PDPA ได้ถือเอา GDPR เป็นกฎหมายต้นแบบในการเขียน โดยที่ PDPA จะมีข้อกำหนดที่น้อยกว่าและมีการมุ่งเน้นในการมอบภาระหน้าที่ให้กับผู้ควบคุมข้อมูลในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามมาตราการเพื่อรักษาสิทธิความเป็นส่วนตัวของข้อมูล ในขณะที่ GDPR จะมุ่งเน้นไปที่การปกป้องการประมวลผลของข้อมูลเป็นหลัก (Data processing)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และได้ถูกเลื่อนการบังคับใช้เพื่อให้ภาคประชาชนและภาคธุรกิจได้เตรียมความพร้อมกับกฎหมายฉบับนี้ วันที่มีผลบังคับใช้เต็มรูปแบบ คือ วันที่ 1 มิถุนายน 2565 และจะมีการออกกฎหมายลูกของพรบ. คุ้มครองข้อมูลเพื่อคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมอีกในอนาคต
ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล ตามที่ระบุไว้ในมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุไว้ว่า ข้อมูลส่วนบุคคล คือ “ข้อมูลที่เกี่ยวข้องกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมก็ตาม” ข้อมูลนี้ได้แก่ ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ประวัติการทำงาน ข้อมูลการศึกษา ข้อมูลด้านการเงิน ข้อมูลสุขภาพ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด เชื้อชาติ น้ำหนักส่วนสูง รูปถ่าย ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น Username – password, Cookies IP address, GPS Location สำหรับข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของบุคคลได้ ได้แก่ ข้อมูลของบริษัท อีเมลบริษัท ข้อมูลนิรนาม ข้อมูลผู้ตาย เลขทะเบียนบริษัท เบอร์โทรศัพท์บริษัท ที่อยู่สำนักงาน เป็นต้น
นอกจากนี้ยังมี ข้อมูลที่มีความละเอียดอ่อนเป็นพิเศษ (Sensitive personal data) ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องระมัดระวังในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบที่ร้ายแรงต่อเจ้าของข้อมูลได้มากกว่าข้อมูลส่วนบุคคลแบบปกติ ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ ซึ่งเมื่อกระทำผิดจะทำให้มีบทลงโทษที่รุนแรงขึ้นด้วย ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เป็นต้น
ผู้ที่มีส่วนเกี่ยวข้องกับ PDPA
1. เจ้าของข้อมูลส่วนบุคคล (Data subject) คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นๆ สามารถชี้ระบุถึงได้ หรือก็คือ ตัวเรา ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคลได้ให้การปกป้องคุ้มครองสิทธิบุคคลในกลุ่มนี้เป็นหลัก
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือก็คือ บริษัทหรือองค์กรต่างๆ ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่หลักในการปฏิบัติตามและรับผิดชอบต่อข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล หรือก็คือ ผู้ที่เก็บใช้ เปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลนั่นเอง
4. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คือ คณะกรรมการจากภาครัฐที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่ในการกำกับดูแล ออกหลักเกณฑ์ รับเรื่องร้องเรียนและตรวจสอบ รวมถึงส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ปัจจัยสู่ความสำเร็จในการปฏิบัติตาม PDPA (Key success factor)
องค์กรต่างๆ จะประสบความสำเร็จในการปฏิบัติตามพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ก็ต่อเมื่อ องค์กรนั้นๆ ประสบความสำเร็จในการบริหารจัดการกับปัจจัยทั้ง 3 ปัจจัย ซึ่งประกอบไปด้วย
– ปัจจัยด้านบุคคล (People) องค์กรต้องดูแลและควบคุมบุคคลให้ปฏิบัติตาม PDPA โดยอาจทำได้หลายวิธี เช่น การให้ความรู้ การอบรม การให้คำแนะนำ รวมถึงการใช้หนังสือหรือเอกสารทางอิเล็กทรอนิกส์เพื่อขอความยินยอมของบุคคลนั้นๆ
– ปัจจัยด้านกระบวนการ (Process) องค์กรต้องตรวจสอบการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในปัจจุบันเพื่อระบุถึงที่มาของข้อมูล ประเภทของข้อมูล จัดกลุ่มข้อมูล ระบุถึงความเสี่ยงของข้อมูล และปรับเปลี่ยนวิธีการเมื่อพบว่าวิธีการนั้นมีความเสี่ยงต่อการละเมิดสิทธิข้อมูลส่วนบุคคล
– ปัจจัยด้านเทคโนโลยี (Technology) องค์กรต้องใช้เครื่องมือที่ทันสมัยเพื่อมารองรับในการดำเนินงาน ให้การจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพรบ. คุ้มครองข้อมูลส่วนบุคคล เช่น ระบบป้องกันข้อมูลรั่วไหล (Data loss prevention) ระบบแจ้งเตือน หรือระบบการเก็บข้อมูล เป็นต้น
เมื่อพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เริ่มประกาศใช้ องค์กรต่าง ๆ จำเป็นต้องดำเนินการในด้านต่าง ๆ ทั้งการวางนโยบาย แนวปฏิบัติ การบริหารจัดการ มีเอกสารที่รองรับต่อ PDPA และรวมถึงการจัดหาเทคโนโลยีที่เหมาะสมมาใช้เพื่อการบริหารจัดการข้อมูลส่วนบุคคลมีการดำเนินการอย่างถูกต้อง รัดกุม ปลอดภัย มีการจัดเก็บ ระบุกลุ่ม ทราบแหล่งที่มา และสามารถตามข้อมูลได้อย่างแม่นยำเมื่อเกิดปัญหารั่วไหล หลังจากเมื่อกระบวนการจัดการข้อมูลส่วนบุคคลได้ถูกสร้างสำเร็จแล้ว จึงค่อยนำเทคโนโลยีมาช่วยดูแลกระบวนการนั้นให้ทำงานได้ง่ายขึ้น รวดเร็วขึ้น และแม่นยำขึ้น