คำถามเกี่ยวกับ PDPA
AUDIT ASSURANCE AND CONSULTING
PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ
คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น-
สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
-
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
-
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
-
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
-
สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
-
สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
-
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
-
-
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
-
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
-
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
-
-
ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
-
จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
-
ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
-
จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
-
จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
-
จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
-
ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น
เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
-
ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
-
โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
-
โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
-
ต้องปฏิบติตาม PDPA เพราะถือว่าเป็นธุรกิจหรือบริษัทนั้นๆ เป็นผู้ควบคุมข้อมูลหรือ Data Controller ที่มีการเก็บรวมรวมข้อมูลส่วนบุคคลของลูกจ้าง และนอกจากนั้นในการทำธุรกิจ B2B ก็จะมีการเก็บรวมรวม ข้อมูลที่ใช้ในการติดต่อ กับพนักงานของธุรกิจหรือพนักงานของบริษัทคู่ค้าที่สามารถระบุตัวบุคคลนั้นๆ ได้ ซึ่งล้วนเป็นข้อมูลส่วนบุคคล (Personal Data)
ยกเว้นข้อมูลการติดต่อนั้น เป็นข้อมูลของคู่ค้าที่เป็นของนิติบุคคลโดยแท้และที่ไม่สามารถระบุตัวบุคคลได้ เช่น อีเมล Customerservice@xyzabc.com หรือเบอร์โทรศัพท์ส่วนกลางของบริษัท เป็นต้นข้อมูลดังกล่าวแม้จะเป็นข้อมูลส่วนบุคคลเกี่ยวกับการเงินที่มีความสำคัญ แต่เป็นเพียง Personal Data จึงไม่ใช่ Sensitive Personal Data ตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
ไม่ เพราะไม่ใช่ข้อมูลของบุคคลธรรมดา จึงไม่ได้รับความคุ้มครองตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
แต่อาจได้รับความคุ้มครองตามกฏหมายอื่น เช่น กฏหมายละเมิดหรือความลับทางการค้าบริษัทผู้ขายสินค้าหรือให้บริการเฝ้าดูพฤติกรรมและประมวลผลข้อมูลการใช้บริการหรือความสนใจของลูกค้า on-line เพื่อการปรับปรุงการให้บริการ โดยอ้างความจำเป็นในการปฎิบัติตามสัญญา โดยไม่ขอความยินยอม ได้หรือไม่
คำตอบคือ ไม่ได้ เพราะการปรับปรุงการให้บริการ ไม่ใช่การจำเป็นในการปฏิบัติตามสัญญา ดังนั้นควรพิจารณาฐานอื่น เช่น ความยินยอม(Consent) หรือการประเมินฐานประโยชน์โดยชอบด้วยกฏหมาย (Legitimate Interest)ความยินยอมที่ให้ไว้ ยังมีผลสมบูรณ์จนกว่าจะมีการถอนความยินยอมหรือหมดความจำเป็นที่จะเก็บรวบรวม ใช้หรือเปิดเผยตามวัตถุประสงค์
นามบัตรจะมีข้อมูลบุคคลธรรมดา เช่น ชื่อ-นามสกุล ที่อยู่ อีเมล เบอร์โทรศัพท์
ข้อมูลในนามบัตรเป็นข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวเจ้าของนามบัตรได้
ดังนั้น ข้อมูลในนามบัตร จึงเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ดังนั้นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว จะต้องปฏิบัติตาม PDPAหากเป็นการลาป่วยตั้งแต่สามวันขึ้นไป บริษัทสามารถให้ลูกจ้างแสดงใบรับรองแพทย์ได้ ตามกฏหมายคุ้มครองแรงงาน บริษัทอาจเก็บรวบรวมใบรับรองแพทย์ได้ โดยไม่ต้องขอความยินยอมจากลูกจ้าง เพราะอาจถือว่าเป็นประโยชน์โดยชอบด้วยกฏหมายของบริษัทและเป็นการจำเป็นในการปฏิบัติตามกฏหมาย
เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน
เพื่อการปฏิบัติตามสิทธิหรือหน้าที่ของบริษัทรือลูกจ้าง
แต่ต้องมีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิหรือประโยชน์ของลูกจ้างตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ https://bit.ly/32JcrZc
การธำรงไว้ซึ่งความ ความถูกต้องครบถ้วน (Integrity) ของข้อมูลส่วนบุคคล คือการป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ซึ่งหากธำรงไว้ไม่ได้ จะมีผลกระทบทำให้ข้อมูลขาดความสมบูรณ์และขาดความน่าเชื่อถือ เช่น
ข้อมูลสมาชิกในเว็บไซต์หรือข้อมูลพนักงานที่เก็บไว้ในระบบฐานข้อมูล ถูกแก้ไข จากผู้ไม่มีสิทธิ หรือโปรแกรมทำงานผิดพลาด ทำให้การปฏิบัติงานที่เกี่ยวเนื่องกับข้อมูลนั้นผิดพลาดไปด้วย เช่น ทำให้ส่งข้อมูลไปยังอีเมลที่ไม่ถูกต้อง หรือส่งสินค้าไปผิดที่อยู่ หรือประมวลผลข้อมูลเงินเดือนผิดพลาด ทำให้พนักงานได้รับเงินเดือนที่ไม่ถูกต้อง หรือทำให้ข้อมูล Payroll Slip ผิดพลาด ทำให้พนักงานเห็นเงินเดือนของพนักงานคนอื่นๆ
ข้อมูลในระบบทะเบียนประวัติคนไข้ ถูกแก้ไขโดยผู้ไม่มีสิทธิ หรือเสียหายจากการประมวลผลที่ผิดพลาดของโปรแกรมคอมพิวเตอร์ ทำให้ข้อมูลการรักษาผิดเพี้ยน จำเป็นต้องใช้ข้อมูลจากเอกสารทดแทน ทำให้การปฏิบัติงานล่าช้า
โปรแกรมระบบนำทางของ Google map ทำงานผิดพลาดทำให้ตำแหน่งของท่านเพี้ยน และสุดท้ายพาท่านเข้าป่า หรือหลงทางไปหลายกิโลเมตร
ซึ่งจากเหตุการณ์ดังกล่าวที่เคยเกิดขึ้นกับหลายๆองค์กร นอกจากจะทำให้เกิดข้อผิดพลาดในการทำงานแล้ว ยังทำให้เสียเวลา เสียชื่อเสียงเพราะไม่สามารถให้บริการได้อย่างถูกต้อง พนักงานถูกตำหนิและถูกร้องเรียน หรืออาจจะถึงขั้นเลิกใช้บริการ ซึ่งองค์กรต้องเสียค่าใช้จ่ายในการออกสื่อประชาสัมพันธ์ เพื่อกู้ชื่อเสียงกลับคืนมา เป็นจำนวนมาก
ดังนั้นการรักษาความคงสภาพของข้อมูลหรือความสมบูรณ์ของข้อมูล (Integrity) จึงเป็นสิ่งที่สำคัญอีกประการหนึ่งที่ทุกองค์กรต้องรักษาให้ได้ โดยใช้กลไกในการป้องกันการเข้าถึงและการตรวจสอบเฝ้าระวังเพื่อป้องกันการแก้ไขข้อมูลจากผู้ไม่ได้รับอนุญาต
ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งควรครอบ คลุมถึง มาตรการป้องกันทางกายภาพ (physical safeguard)
ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓
โดยอุปกรณ์คอมพิวเตอร์พกพาที่มีข้อมูลส่วนบุคคล จะต้องได้รับการป้องกันทางกายภาพ จากการถูกโจรกรรม โดยเฉพาะเวลาที่อุปกรณ์เหล่านี้ถูกทิ้งไว้ เช่น ในรถ และยานพาหนะขนส่งในรูปแบบอื่น โรงแรม ศูนย์การประชุม และสถานที่ประชุม
อุปกรณ์ที่มีข้อมูลส่วนบุคคล ที่สำคัญจะต้องไม่ถูกปล่อยทิ้งไว้โดยไม่มีผู้ดูแล หากเป็นไปได้จะต้องถูกล็อคโดยอุปกรณ์ล็อคทางกายภาพ หรือตัวล็อคพิเศษเพื่อรักษาความปลอดภัยของอุปกรณ์
จะต้องมีการจัดฝึกอบรมสำหรับบุคลากรที่ใช้อุปกรณ์คอมพิวเตอร์พกพา เพื่อเพิ่มความตระหนักของความเสี่ยงที่จะเกิดขึ้นจากการทำงาน และการเลือกใช้การควบคุม
แนวปฏิบัติด้านความมั่นคงปลอดภัยทางกายภาพ ที่ควรพิจารณามีดังต่อไปนี้
ควรบันทึกวันและเวลาการเข้าและออกของผู้มาเยือน และผู้มาเยือนทั้งหมดต้องอยู่ภายใต้การดูแล เว้นแต่การเข้าถึงนั้นได้มีการอนุมัติมาก่อนหน้าแล้ว
ผู้มาเยือนสามารถเข้าถึงเฉพาะวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น และจะต้องมีคำแนะนำเกี่ยวกับข้อกำหนดด้านความมั่นคงปลอดภัยของพื้นที่ และขั้นตอนปฏิบัติกรณีฉุกเฉินให้รับทราบ
การระบุตัวตนของผู้มาเยือนควรใช้วิธีการพิสูจน์ตัวตนที่เหมาะสม
การเข้าพื้นที่ที่มีการประมวลผล หรือเก็บข้อมูลสารสนเทศที่เป็นความลับจะต้องจำกัด
การเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น โดยใช้การควบคุมการเข้าถึงที่เหมาะสม เช่น การใช้วิธีการพิสูจน์ตัวตนแบบสองปัจจัย (Two-Factor Authentication) คือ การใช้บัตร และรหัสผ่านร่วมกัน
สมุดบันทึก หรืออุปกรณ์อิเล็กทรอนิกส์ที่ใช้บันทึกการเข้าออก ควรได้รับการดูแล และตรวจสอบอย่างปลอดภัย
พนักงาน ผู้รับเหมา และบุคคลภายนอกจะต้องสวมใส่สิ่งที่เอาไว้ระบุตัวตนให้ผู้อื่นเห็น และควรแจ้งเจ้าหน้าที่รักษาความปลอดภัยทราบทันทีเมื่อพบเห็นผู้ที่ไม่สวมใส่สิ่งที่เอาไว้ระบุตัวตน
บุคคลภายนอกควรได้รับอนุญาตให้เข้าถึงพื้นที่ที่มีการประมวลผลข้อมูลสารสนเทศที่เป็นความลับเฉพาะเมื่อจำเป็นเท่านั้น และการเข้าถึงนี้ควรได้รับการเฝ้าระวังหรือถูกติดตามโดยบุคคลภายในเสมอ
สิทธิในการเข้าถึงพื้นที่ที่ปลอดภัยควรได้รับการทบทวน และปรับปรุงอย่างสม่ำเสมอ และเพิกถอนสิทธิเมื่อจำเป็น-
ศึกษาข้อกฎหมาย รวมไปถึงทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามที่กฎหมายระบุให้ละเอียด
-
จัดทำข้อกำหนดและนโยบายต่างๆ ขององค์กรในการจัดเก็บข้อมูลภายใน โดยต้องมีการทบทวนและปรับปรุงข้อมูลที่มีอยู่ให้เป็นปัจจุบันเสมอ
-
ระบุขั้นตอนในการจัดเก็บข้อมูลให้เป็นมาตรฐาน รวมไปถึงการมีแบบฟอร์มหรือระบบรองรับที่ใช้ในองค์กรในการขอรับความยินยอม
-
กำหนดระเบียบและหลักเกณฑ์ต่างๆ ในองค์กร ทั้งการเก็บรวบรวมข้อมูล การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย ตลอดจนกำหนดมาตรการในการแก้ปัญหา กรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล
-
จัดทำระบบที่ช่วยให้การจัดเก็บข้อมูลส่วนบุคคลปลอดภัยและมีประสิทธิภาพ
-
ให้ความรู้อบรมกับบุคลากรภายในองค์กร เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลให้เข้าใจในหลักการ และนำไปใช้ในการทำงานได้ถูกต้องตามกฎหมาย
-
แต่งตั้งและมอบหมายผู้รับผิดชอบภายในองค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคลหรือที่เรียกว่า Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล) เพื่อดำเนินการให้สอดคล้องตามกฎหมาย
-
เครื่อง POS มีการเก็บข้อมูลเบอร์โทรศัพท์ซึ่งเป็นข้อมูลส่วนบุคคลของลูกค้า เจ้าของร้านอาหารจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีหน้าที่ต้องปฏิบัติตาม PDPA
หากลูกค้าเข้ามาแจ้งความประสงค์ในการขอสมัครสมาชิกกับร้าน แล้วหากร้านเห็นว่ามีความจำเป็นที่จะต้องใช้เบอร์โทรศัพท์เพื่อการปฏิบัติตามสัญญา กรณีนี้อาจใช้ฐานสัญญาได้ โดยไม่ต้องขอความยินยอม
แต่หากร้านเก็บเบอร์ของลูกค้าเพื่อโทรนำเสนอบริการหรือโปรโมชั่น อาจจะต้องพิจารณาฐานที่เหมาะสมอื่นๆ เช่น การขอ Consent หรือ ทำการประเมิน Legitimate Interest-
กรรมการหรือผู้บริหารสูงสุดต้องรู้ว่าองค์กรที่ตนกำกับดูแลและบริหารอยู่ ต้องปฏิบัติตามกฎหมายและกำหนดผู้รับผิดชอบเรื่องนี้ โดยต้องตระหนักว่าการปฏิบัติตาม PDPA ไม่ใช่เรื่องของ IT ฝ่ายเดียวแต่เป็นเรื่องที่หน่วยธุรกิจต้องเป็นเจ้าภาพ และต้องสนับสนุนทรัพยากรที่จำเป็นทั้งค่าใช้จ่าย เวลา บุคลากร ที่ปรึกษาและเครื่องมือต่างๆ
-
ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลของพนักงานและเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ไปเป็นผู้ให้บริการกับลูกค้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
-
ศึกษาและวิเคราะห์กระบวนการและกิจกรรมทางธุรกิจ เพื่อระบุ “ข้อมูลส่วนบุคคล” และข้อมูลที่เป็นข้อมูลส่วนบุคคลอ่อนไหว ที่ต้องดำเนินการตามกฎหมาย
-
ศึกษาและวิเคราะห์กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย หรือการดำเนินธุรกิจขององค์กร เพื่อกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ผลกระทบของการใช้สิทธิ และนโยบายและระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy)
-
จัดทำ “Personal Data Flow Diagram”, “Data Inventory” และฐานทางกฎหมาย “Lawful Basis” สำหรับกิจกรรมการรับ จัดเก็บ และใช้งานหรือประมวลผลข้อมูลส่วนบุคคล
-
จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และขั้นตอนปฏิบัติหรือคู่มือการปฏิบัติงาน ในการคุ้มครองข้อมูลส่วนบุคคล
-
ทบทวนและแก้ไขหนังสือยินยอม (Consent) สัญญา (Contract) หรือข้อตกลง (Agreement) และขั้นตอนการขอความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
-
จัดทำแนวปฏิบัติต่อคำขอของเจ้าของข้อมูล(Data Subject Request Procedure) เพื่อให้เจ้าของข้อมูลส่วนบุคคลแจ้งความประสงค์ ขอใช้สิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ Data Subject Access Request (DSAR)
-
จัดทำคู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อแจ้งเหตุการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน และ/หรือเจ้าของข้อมูลส่วนบุคคล
-
จัดทำนโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอนข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ(Third Parties / Cross Border Data Transfer Policy)
-
จัดทำนโยบายหรือแนวปฏิบัติในการจัดจ้าง และแนวทางในการกำกับดูแล บุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Outsource)
-
สร้างความตระหนัก และเสริมสร้างความรู้ให้กับกรรมการ ผู้บริหาร ผู้ปฏิบัติงานและผู้ที่เกี่ยวข้อง
-
แต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) และหมอบหมายหน้าที่ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจเป็บบุคลากรภายในหรือ Outsource https://www.facebook.com/113901013716219/posts/148658413573812/?extid=0&d=n
-
จัดเตรียม วางแผน และพัฒนามาตรการรักษาความมั่นคงปลอดภัย ทั้งด้าน บุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมลูส่วนบคุคล พ.ศ. ๒๕๖๓
-
เผยแพร่นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บนเว็บไซต์และกำหนดให้มี Cookies consent https://www.facebook.com/113901013716219/posts/143143730791947/?extid=0&d=n
-
จัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)
-
บางท่านอาจจะเคยเห็นข่าวอาชญากรรม ที่มีการแสดงภาพ ชื่อ ที่อยู่ ของผู้เสียชีวิต อย่างชัดเจน จนทำให้เกิดผลกระทบต่อความรู้สึกและความเป็นส่วนตัวของผู้อื่น โดยเฉพาะญาติที่อาศัยอยู่ในบ้านเดียวกันกับผู้เสียชีวิต
ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ระบุไว้ ดังนี้
มาตรา 4 (3) ว่า พระราชบัญญัตินี้ จะไม่ได้ใช้บังคับแก่ การใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อกิจการสื่อมวลชน อันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ
และ มาตรา 6 ว่า ข้อมูลส่วนบุคล จะไม่ครอบคลุมถึงข้อมูลผู้ถึงแก่กรรม
อย่างไรก็ตาม จริยธรรมแห่งการประกอบวิชาชีพ ก็ไม่ได้ระบุว่าอนุญาตให้เปิดเผยข้อมูลผู้เสียชีวิตได้ แต่เป็นธรรมเนียมปฏิบัติที่ทำกันมานาน
ซึ่งหากพิจารณาให้ดี ถึงแม้ว่าเป็นข้อมูลผู้เสียชีวิตแต่ก็มีผลกระทบกับความรู้สึกและกระทบต่อความเป็นส่วนตัวของญาติ
ดังนั้น ญาติที่ได้รับผลกระทบ สามารถติดต่อไปยังสำนักข่าวเพื่อขอลบข้อมูลอ่อนไหวที่กระทบความเป็นส่วนตัวออกได้
-
หากบุตรของท่านมีอายุไม่เกิน 10 ปี จะต้องได้รับความยินยอมจากท่านก่อน
-
ในกรณีที่บุตรของท่าน มีอายุเกิน 10 ปี แต่ไม่เกิน 20 ปี จะต้องได้รับความยินยอมจากบุตรและท่านด้วย
-
การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เพื่อการรักษาความปลอดภัยของระบบเครือข่ายและสารสนเทศ เช่นการเฝ้าระวังการเข้าถึงระบบเครือข่ายของผู้ควบคุมข้อมูลโดยผู้ที่ไม่ได้รับอนุญาตเพื่อป้องกันการโจมตีทางไซเบอร์ ซึ่งเกิดขึ้นโดยทั่วไปในหลายองค์กรในประเทศไทยและทั่วโลก และยังเป็นมาตรการพื้นฐานที่หน่วยงานกำกับดูแลต่างๆ กำหนดให้ต้องมีตามมาตรการที่สำคัญขอหนึ่งของ มาตรฐาน ISO/IEC 27001 ข้อ A.12.4 อีกด้วย โดยสรุปบริษัท สามารถทำได้โดยไม่ต้องขอความยินยอมจากพนักงาน เพราะเป็นประโยชน์โดยชอบด้วยกฎหมาย
โดยหลักแล้ว PDPA บังคับใช้กับทั้งภาครัฐและเอกชน รวมถึงรัฐวิสาหกิจ ดังนั้นหน่วยงานของรัฐและรัฐวิสาหกิจต้องปฏิบัติตาม PDPA เช่นเดียวกัน
แต่หน้าที่ของหน่วยงานอาจแตกต่างกันไป ขึ้นอยู่กับประเภทของหน่วยงานและกิจกรรมในการประมวลผลข้อมูลส่วนบุคคล
เช่น
กรณีที่ 1 หน่วยงานที่ได้รับการยกเว้นตามมาตรา 4 คือยกเว้นการบังคับใช้ของ PDPA เช่น การดำเนินการของหน่วยงานที่มีหน้าที่รักษาความมั่นคงของประเทศ การปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ ความมั่นคงปลอดภัยไซเบอร์ การพิจารณาคดีของศาลและเจ้าหน้าที่ในกระบวนพิจารณาคดี สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา และองค์กรอื่นๆ เป็นต้น แต่ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน
กรณีที่ 2 หน่วยงานของรัฐหรือรัฐวิสาหกิจต่างๆ ที่ไม่อยู่ในข้อยกเว้น ตามมาตรา 4 ในกรณีที่ 1 นั้นจะต้องปฏิบัติตาม PDPA เช่น กระทรวง ทบวง กรมต่างๆ ที่มีฐานะเป็นนิติบุคคล หรือรัฐวิสาหกิจ เช่น รัฐวิสาหกิจที่ผลิตและจำหน่ายน้ำหรือไฟฟ้า เป็นต้น
ในการแต่งตั้ง DPO หน่วยงานของรัฐ ไม่ว่าขนาดเล็กหรือขนาดใหญ่ หรือจะมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากหรือไม่นั้น ก็ต้องมีการแต่งตั้ง DPO ด้วยเช่นกัน เพราะกฏหมายไม่ได้กำหนดขนาดหรือจำนวนการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (เว้นแต่คณะกรรมการคุ้มครองฯ จะได้มีการประกาศกำหนดเป็นอย่างอื่น) ต่างจากภาคเอกชนที่จะดูว่ามีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากหรือกิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว (Sensitive Personal Data) หรือไม่ ดังนั้นหน่วยงานของรัฐคงจะต้องเตรียมการในเรื่องการแต่งตั้ง DPO ไว้
แต่อย่างไรก็ดี หน่วยงานของรัฐหรือรัฐวิสาหกิจที่มีภารกิจเพื่อประโยชน์สาธารณะหรือมีการใช้อำนาจรัฐ ตามที่กฏหมายหรือกฏหมายจัดตั้งกำหนดไว้ อาจอ้างฐาน Public Tasks ในกิจกรรมหลักหรือบางกิจกรรม ซึ่งอาจต้องพิจารณาเป็นองค์กรหรือรายกิจกรรมขององค์กรหรือหน่วยงานนั้นๆ แต่ยังคงต้องปฏิบัติตาม PDPA ในเรื่องอื่นๆ ด้วยเช่นเดียวกับบริษัทเอกชน