วันที่ 1 มิถุนายน 2565 เคยสงสัยกันบ้างหรือเปล่า? ว่าทำไมก่อนเข้าชมเนื้อหาเว็บไซต์ เฟสบุค หรือแอปพลิเคชัน ทำธุรกรรมใดๆ ต้องกด ยินยอม ให้มีการเข้าถึงข้อมูล เพราะเนื่องจากเริ่มมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกว่า (PDPA) เพราะหากใครฝ่าฝืนผิดกฏหมายและได้รับโทษ!!! มาทำความรู้จักเกี่ยวกับ PDPA กัน
PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้อย่างเต็มรูปแบบในทุกหน่วยงาน ตั้งแต่วันที่ 1 มิถุนายน 2565 ส่งผลกระทบต่อองค์กรทั้งภาครัฐ ภาครัฐวิสาหกิจ และภาคเอกชนจำนวนมาก โดยเฉพาะหน่วยงานในมหาวิทยาลัยแม่โจ้ ที่มีการเก็บข้อมูลส่วนบุคคลของผู้รับบริการจำนวนมากที่อยู่ในระบบงานต่างๆ เช่น ข้อมูลบุคลากร ข้อมูลนักศึกษา เป็นต้น โดยข้อมูลส่วนบุคคลบางอย่างไม่สามารถเปิดเผยได้ ถือว่าเป็นกฎหมายที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
ส่วนบุคคลทั่วไป ดังนี้ ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ดังนี้ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมืองความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ผู้ที่มีบทบาทภายใต้ PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA
ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูล
ด้วยตัวเอง
บทลงโทษหากไม่ปฎิบัติตาม PDPA
โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
โทษปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท
มี PDPA แล้ว จะทำให้แก๊ง Call Center ลดลงได้หรือไม่
การมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เชื่อว่าจะทำให้ข้อมูลในอนาคตไม่หลุดรั่วออกไปเนื่องจาก พ.ร.บ. ดังกล่าวมีส่วนช่วยให้ทุกภาคส่วนเก็บข้อมูล และระมัดระวังความปลอดภัยมากยิ่งขึ้น แต่การทำให้แก๊ง Call Center ลดลงได้หรือไม่นั้น PDPA อย่างเดียวไม่เพียงพอ จะต้องคาดหวังกับ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ที่จะต้องมีการพัฒนาเครื่องมือใดๆ หรืออาจจะต้องทำงานร่วมกับหน่วยงานอย่าง กรมสอบสวนคดีพิเศษ (ดีเอสไอ) หรือ โอเปอเรเตอร์ ผู้ให้บริการเครือข่าย ดั่งเช่นในต่างประเทศที่เขามีเครื่องมือกันสิ่งเหล่านี้