นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act : PDPA)
ภาพจาก https://www.mfec.co.th/
PDPA : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
PDPA ย่อมาจาก Personal data protection act หรือเรียกว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายระเบียบข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยเจ้าของข้อมูล (Data subject) ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม เว้นแต่บทบัญญัติแห่งพระราชบัญญัติหรือกฎหมายอื่นบัญญัติให้ทำได้ รวมถึงต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลซึ่งผู้ควบคุมข้อมูลจะไม่สามารถกระทำการเก็บ ใช้ หรือเปิดเผยนอกเหนือจากวัตถุประสงค์ที่แจ้งได้
PDPA กับ GDPR
GDPR เป็นตัวย่อของ General data protection regulation ซึ่งเป็นระเบียบข้อบังคับของกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัวของประชาชนในกลุ่มประเทศสหภาพยุโรป (EU) และป้องกันการนำข้อมูลไปใช้โดยผิดกฎหมาย ซึ่งวันที่มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 รวมถึงมีการระบุถึงข้อบังคับในการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA ด้วย ดังนั้น GDPR จึงสามารถใช้บังคับกับประเทศไทยได้เมื่อมีการติดต่อ แลกเปลี่ยน รับส่งข้อมูลระหว่างประเทศไทยกับประเทศในสหภาพยุโรป ซึ่งกฎหมาย PDPA ได้ถือเอา GDPR เป็นกฎหมายต้นแบบในการเขียน โดยที่ PDPA จะมีข้อกำหนดที่น้อยกว่าและมีการมุ่งเน้นในการมอบภาระหน้าที่ให้กับผู้ควบคุมข้อมูลในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามมาตราการเพื่อรักษาสิทธิความเป็นส่วนตัวของข้อมูล ในขณะที่ GDPR จะมุ่งเน้นไปที่การปกป้องการประมวลผลของข้อมูลเป็นหลัก (Data processing)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และได้ถูกเลื่อนการบังคับใช้เพื่อให้ภาคประชาชนและภาคธุรกิจได้เตรียมความพร้อมกับกฎหมายฉบับนี้ วันที่มีผลบังคับใช้เต็มรูปแบบ คือ วันที่ 1 มิถุนายน 2565 และจะมีการออกกฎหมายลูกของพรบ. คุ้มครองข้อมูลเพื่อคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมอีกในอนาคต
ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล ตามที่ระบุไว้ในมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุไว้ว่า ข้อมูลส่วนบุคคล คือ “ข้อมูลที่เกี่ยวข้องกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมก็ตาม” ข้อมูลนี้ได้แก่ ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ประวัติการทำงาน ข้อมูลการศึกษา ข้อมูลด้านการเงิน ข้อมูลสุขภาพ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด เชื้อชาติ น้ำหนักส่วนสูง รูปถ่าย ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น Username – password, Cookies IP address, GPS Location สำหรับข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของบุคคลได้ ได้แก่ ข้อมูลของบริษัท อีเมลบริษัท ข้อมูลนิรนาม ข้อมูลผู้ตาย เลขทะเบียนบริษัท เบอร์โทรศัพท์บริษัท ที่อยู่สำนักงาน เป็นต้น
นอกจากนี้ยังมี ข้อมูลที่มีความละเอียดอ่อนเป็นพิเศษ (Sensitive personal data) ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องระมัดระวังในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบที่ร้ายแรงต่อเจ้าของข้อมูลได้มากกว่าข้อมูลส่วนบุคคลแบบปกติ ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ ซึ่งเมื่อกระทำผิดจะทำให้มีบทลงโทษที่รุนแรงขึ้นด้วย ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เป็นต้น
ผู้ที่มีส่วนเกี่ยวข้องกับ PDPA
1. เจ้าของข้อมูลส่วนบุคคล (Data subject) คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นๆ สามารถชี้ระบุถึงได้ หรือก็คือ ตัวเรา ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคลได้ให้การปกป้องคุ้มครองสิทธิบุคคลในกลุ่มนี้เป็นหลัก
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือก็คือ บริษัทหรือองค์กรต่างๆ ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่หลักในการปฏิบัติตามและรับผิดชอบต่อข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล หรือก็คือ ผู้ที่เก็บใช้ เปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลนั่นเอง
4. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คือ คณะกรรมการจากภาครัฐที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่ในการกำกับดูแล ออกหลักเกณฑ์ รับเรื่องร้องเรียนและตรวจสอบ รวมถึงส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
การขอและถอนความยินยอมข้อมูลส่วนบุคคลจากเจ้าของข้อมูล
การขอความยินยอมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลสามารถทำได้ทั้งการเขียนเป็นลายลักษณ์อักษรทางหนังสือหรือกระทำผ่านทางระบบอิเล็กทรอนิกซ์ก็ได้ แต่ต้องมีรายละเอียดที่แจ้งไว้ เช่น ต้องแสดงการขอความยินยอมอย่างชัดแจ้ง ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องแยกการขอความยินยอมจากข้อความอื่นอย่างชัดเจน ข้อความต้องเข้าใจง่ายอ่านง่ายไม่หลอกลวงและต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล
สำหรับการถอนความยินยอมของข้อมูลส่วนบุคคล ผู้ที่เป็นเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อใดก็ได้และต้องถอนความยินยอมนั้นๆ ได้โดยง่ายเหมือนตอนที่ให้ความยินยอม และผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าถึงผลกระทบเมื่อเจ้าของข้อมูลถอนความยินยอม
การเก็บรวบรวมข้อมูลส่วนบุคคล
ตามมาตรา 22 ของพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ผู้ควบคุมข้อมูลจะต้องจัดเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้ระบุไว้เท่านั้น รวมถึงต้องแจ้งให้เจ้าของข้อมูลทราบถึง วัตถุประสงค์ของการจัดเก็บ ข้อมูลที่จัดเก็บ ระยะเวลาในการจัดเก็บ ผลกระทบเมื่อจ้าของข้อมูลไม่ยินยอม หน่วยงานที่ข้อมูลอาจถูกเปิดเผยและข้อมูลที่เกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
ในการจัดเก็บข้อมูล ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บข้อมูลจากที่อื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงได้ ยกเว้นว่าผู้ควบคุมข้อมูลได้แจ้งให้เจ้าของบุคคลทราบภายใน 30 วัน รวมถึงไม่สามารถเก็บรวบรวมข้อมูลที่มีความละเอียดอ่อน เช่น เชื้อชาติ พฤติกรรมทางเพศ ประวัติอาชญากรรม ได้หากไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าข้องข้อมูลส่วนบุคคล
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีระเบียบข้อบังคับระบุ ห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล รวมถึงห้ามใช้หรือเปิดเผยข้อมูลนั้นๆเมื่ออยู่นอกเหนือวัตถุประสงค์ที่แจ้งไว้ สำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์กรที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพออีกด้วย
ตัวอย่างสิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล (Data subject) มีสิทธิในข้อมูลของตนเอง ตามมาตรา 30- 35 ใน พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล พร้อมระบุรายละเอียดการขอข้อมูล เช่น เก็บข้อมูลอะไร วัตถุประสงค์ การนำไปใช้ ระยะเวลาในการเก็บ เป็นต้น
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) เป็นสิทธิที่เจ้าของข้อมูลสามารถนำเอาข้อมูลที่ให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่งได้4.สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) – เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure)
6. สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลส่วนบุคคลได้
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
บทลงโทษเมื่อผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตาม PDPA
เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามระเบียบข้อบังคับของพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะโดยจงใจหรือประมาทเลินเล่อก็ตาม จะมีโทษตามกฎหมายดังนี้
ความรับผิดทางแพ่ง – อัตราโทษชดใช้ค่าสินไหมทดแทนสูงสุด 2 เท่าของความเสียหายจริง อายุความ 3 ปีนับตั้งแต่รู้เรื่อง และ 10 ปีนับตั้งแต่เกิดการละเมิด
ความรับผิดทางอาญา – อัตราโทษจำคุกสูงสุด 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ซึ่งความผิดนี้เป็นความผิดที่สามารถยอมความได้
ความรับผิดทางปกครอง – อัตราโทษปรับสูงสุด ไม่เกิน 5 ล้านบาท
การดำเนินการของผู้ประกอบการในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ด้วยพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาทหลักในการบังคับให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ปฏิบัติตามบทบัญญัติเพื่อให้คุ้มครองและไม่ละเมิดต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data subject) ผู้ประกอบการจึงต้องมีการปรับเปลี่ยนองค์กรทั้งพนักงาน กระบวนการและเทคโนโลยีเพื่อให้รองรับต่อ PDPA โดยผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ปฏิบัติดังต่อไปนี้
1. ต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย จากเจ้าของข้อมูลส่วนบุคคล (Consent Management)
2. ต้องมีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)
3. จัดทำนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies) ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
4. ต้องป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ – ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
5. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล – ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือข้อมูลไม่เกี่ยวข้องตามวัตถุประสงค์ หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
6. แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล – แจ้งเหตุแก่สำนักงานภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา
7. จัดทำบันทึกรายการ – ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ ซึ่งสามารถบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษา สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล การใช้หรือเปิดเผย การปฏิเสธคำขอหรือการคัดค้าน คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
8.แต่งตั้งตัวแทนภายในราชอาณาจักร – ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data protection officer: DPO ) มีหน้าที่ต่อไปนี้
1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง และบุคคลอื่นๆที่เกี่ยวข้องกับพรบ. นี้
2. ตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ประสานงานและให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกรณีเกิดปัญหา
4. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ตามกฎหมายนี้
ขั้นตอนในการเตรียมความพร้อมขององค์กรเพื่อรองรับต่อ PDPA
1. ตั้งคณะทำงานภายในองค์กร จัดตั้งคณะกรรมการในองค์กรเบื้องต้น ได้แก่ ฝ่ายกำหนดนโยบายองค์กร ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศและฝ่ายบุคคล เพื่อร่วมกันกำหนดและศึกษาทำความเข้าใจบริบทของกฎหมาย เตรียมความพร้อมปรับเปลี่ยนให้องค์กรรองรับต่อ พรบ. คุ้มครองข้อมูลส่วนบุคคล
2. จับคู่ข้อมูล (Data map) ตรวจสอบกระบวนการที่ใช้เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีในองค์กร ตามกระบวนการไหลของข้อมูล (Data flow) เพื่อให้ทราบถึงแหล่งและประเภทข้อมูล
3. แต่งตั้งเจ้าหน้าที่ คุ้มครองข้อมูล (DPO) เพื่อดำเนินการให้คำแนะนำ ตรวจสอบ ประสานงานให้ความร่วมมือพร้อมรักษาความลับของข้อมูลส่วนบุคคล
4. ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data protection Impact) – บอกถึงขอบเขตวัตถุประสงค์ ความจำเป็น ของข้อมูลส่วนบุคคล เพื่อนำมาจัดการความเสี่ยงและกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล
5. ระบุ บันทึกแหล่งที่มาของข้อมูลส่วนบุคคลที่หน่วยงานจัดเก็บ
6. กำหนดและแยกแยะข้อมูลส่วนบุคคลตามความเสี่ยงและความร้ายแรงที่อาจกระทบต่อสิทธิและเสรีภาพของบุคคล
7. ระบุ กำหนดฐานการประมวลผลของข้อมูลส่วนบุคคลแบบทั่วไป และแบบละเอียดอ่อน
8. กำหนดหลักเกณฑ์และวิธีการขอความยินยอมสอดคล้องกับสิทธิของเจ้าของข้อมูล – รวมถึงการใช้สิทธิถอนความยินยอม ขอการเข้าถึงและสิทธิในการปรับปรุงข้อมูลให้เป็นปัจจุบัน
9. จัดทำนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลขององค์กร – กำหนดหลักการต่างๆ เช่น การรวบรวม การใช้หรือการรักษาข้อมูลส่วนบุคคล เป็นต้น
10. กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ – ต้องสอดคล้องกับมาตรฐานสากล เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
11. กำกับ ดูแล ตรวจสอบและประเมินความเสี่ยง
12. ทบทวน ปรับปรุงกระบวนการและมาตรการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
13. สร้างความตระหนักรู้ และฝึกอบรม – ฝึกอบรมให้ความรู้กับผู้ที่เกี่ยวข้องเป็นประจำ
14. กำหนดมาตรการที่เหมาะสมด้านการรั่วไหลของข้อมูล (Data Breaches)
15. การออกแบบและพัฒนาระบบโดยคำนึงถึงความมั่นคงปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล (Security and Privacy by Design) – ออกแบบและพัฒนาระบบเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การใช้นามแฝง หรือ การเข้ารหัสข้อมูล (Encoding)
16. กำหนดให้มีการรักษาความมั่นคงปลอดภัยข้อมูลทางด้านกายภาพ (Physical Security)
17. กำหนดหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน
18. กำหนดมาตรการหรือแนวปฏิบัติที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เพียงพอ (Cross-Border Data Transfer)
ปัจจัยสู่ความสำเร็จในการปฏิบัติตาม PDPA (Key success factor)
องค์กรต่างๆ จะประสบความสำเร็จในการปฏิบัติตามพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ก็ต่อเมื่อ องค์กรนั้นๆ ประสบความสำเร็จในการบริหารจัดการกับปัจจัยทั้ง 3 ปัจจัย ซึ่งประกอบไปด้วย
– ปัจจัยด้านบุคคล (People) องค์กรต้องดูแลและควบคุมบุคคลให้ปฏิบัติตาม PDPA โดยอาจทำได้หลายวิธี เช่น การให้ความรู้ การอบรม การให้คำแนะนำ รวมถึงการใช้หนังสือหรือเอกสารทางอิเล็กทรอนิกส์เพื่อขอความยินยอมของบุคคลนั้นๆ
– ปัจจัยด้านกระบวนการ (Process) องค์กรต้องตรวจสอบการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในปัจจุบันเพื่อระบุถึงที่มาของข้อมูล ประเภทของข้อมูล จัดกลุ่มข้อมูล ระบุถึงความเสี่ยงของข้อมูล และปรับเปลี่ยนวิธีการเมื่อพบว่าวิธีการนั้นมีความเสี่ยงต่อการละเมิดสิทธิข้อมูลส่วนบุคคล
– ปัจจัยด้านเทคโนโลยี (Technology) องค์กรต้องใช้เครื่องมือที่ทันสมัยเพื่อมารองรับในการดำเนินงาน ให้การจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพรบ. คุ้มครองข้อมูลส่วนบุคคล เช่น ระบบป้องกันข้อมูลรั่วไหล (Data loss prevention) ระบบแจ้งเตือน หรือระบบการเก็บข้อมูล เป็นต้น
เมื่อพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เริ่มประกาศใช้ องค์กรต่าง ๆ จำเป็นต้องดำเนินการในด้านต่าง ๆ ทั้งการวางนโยบาย แนวปฏิบัติ การบริหารจัดการ มีเอกสารที่รองรับต่อ PDPA และรวมถึงการจัดหาเทคโนโลยีที่เหมาะสมมาใช้เพื่อการบริหารจัดการข้อมูลส่วนบุคคลมีการดำเนินการอย่างถูกต้อง รัดกุม ปลอดภัย มีการจัดเก็บ ระบุกลุ่ม ทราบแหล่งที่มา และสามารถตามข้อมูลได้อย่างแม่นยำเมื่อเกิดปัญหารั่วไหล หลังจากเมื่อกระบวนการจัดการข้อมูลส่วนบุคคลได้ถูกสร้างสำเร็จแล้ว จึงค่อยนำเทคโนโลยีมาช่วยดูแลกระบวนการนั้นให้ทำงานได้ง่ายขึ้น รวดเร็วขึ้น และแม่นยำขึ้น
ที่มาของข้อมูล : http://www.dtci.co.th/pdpa
การดำเนินการของโรงเรียนปรินส์รอยแยลส์วิทยาลัย
หากท่านมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคลของโรงเรียน หรือเกี่ยวกับนโยบายนี้ หรือท่านต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ที่
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ชื่อ: โรงเรียนปรินส์รอยแยลส์วิทยาลัย
สถานที่ติดต่อ: เลขที่ 117 ถนนแก้วนวรัฐ ตำบลวัดเกต อำเภอเมืองเชียงใหม่ จังหวัดเชียงใหม่ 50000
โทรศัพท์ : 0-5324-2038, 0-5324-2550 แฟกซ์ : 0-5324-1132, 0-5324-1133
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
ชื่อ : นางชุลีพร แก่นวงค์ หัวหน้าแผนกบุคคล
โทร.0-5324-2038, 0-5324-2550 ต่อ 242
สถานที่ติดต่อ: เลขที่ 117 ถนนแก้วนวรัฐ ตำบลวัดเกต อำเภอเมืองเชียงใหม่ จังหวัดเชียงใหม่ 50000
ช่องทางการติดต่อ: [email protected]
โดยแจ้งข้อมูลดังต่อไปนี้ประกอบการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
1. ชื่อ นามสกุล เลขที่บัตรประจำตัวประชาชน/เลขที่หนังสือเดินทาง
2. ข้อสงสัยเกี่ยวกับข้อมูลส่วนบุคคล หรือสิทธิที่ต้องการใช้ตามกฎหมาย
3. หมายเลขโทรศัพท์ ที่อยู่ และอีเมลที่สามารถติดต่อกลับได้