thumbsup » PDPA 101 เริ่มต้นรู้จักความปลอดภัยในโลกออนไลน์ ที่ธุรกิจต้องวางแนวทางให้ดี

PDPA 101 เริ่มต้นรู้จักความปลอดภัยในโลกออนไลน์ ที่ธุรกิจต้องวางแนวทางให้ดี

22 มกราคม 2021
11   0

PDPA คืออะไร

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล

ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น

ข้อมูลส่วนบุคคล

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัย ให้ข้อมูลว่า ทำไมแบรนด์ถึงต้องทำความรู้จักเรื่องของ PDPA นั่นก็เพราะการที่เราแท็ก (Tag) หรือเก็บข้อมูลส่วนบุคคลของใครมา แล้วสามารถระบุตัวตนจริงของเขาได้นั้น ถือว่าเป็น Data Subject และกฏหมายก็จำเป็นต้องคุ้มครองบุคคลคนนี้

ส่วน Data Controller ก็คือคนที่กฏหมายกำหนดไว้ว่าหากบุคคลนี้ทำข้อมูลรั่วไหล จำเป็นต้องเป็นผู้รับผิดชอบ โดยในที่นี้ อาจหมายถึง Media Agency ที่ช่วยดูแลเรื่องสื่อออนไลน์และนำข้อมูลมาจัดเก็บให้แบรนด์ ส่วนคนที่รับผิดชอบเรื่องการจัดทำข้อมูลก็จำเป็นต้องอธิบายให้ได้ว่า คุณกำลังทำอะไร และจะนำข้อมูลของลูกค้าไปใช้อะไร จะแอบทำไม่ได้

หากเกิดปัญหาขึ้นจะต้องบอกได้ทันทีว่าเกิดขึ้นจากจุดไหนและต้องไม่กระทบต่อ Data Processor ที่เป็นคนจัดทำข้อมูลตามคำสั่ง วิเคราะห์ผล และหากทีมนี้เป็นคนปล่อยให้ข้อมูลรั่วไหลก็จำเป็นต้องเป็นฝ่ายรับผิดชอบด้วย

ข้อกฏหมายมาตราที่ 81 ในกรณีที่ผู้กระทำความผิดตามพรบ.เป็นนิติบุคคล ถ้ามีหน้าที่สั่งการแต่ไม่สั่งการและเกิดปัญหาข้อมูลรั่วไหลต้องรับผิดชอบ คือ โทษอาญา

ดังนั้น เราต้องแยกเรื่องของข้อมูลส่วนตัวกับข้อมูลส่วนบุคคลให้ชัดเจน เช่น เราไปกินสตรีทฟู้ดมา เห็นบรรยากาศสวยเลยถ่ายภาพมา แต่เราถ่ายติดบุคคลอื่นนั่นเรากำลังละเมิดสิทธิส่วนบุคคลไหม เกาหลีคือห้ามถ่ายรูปติดผู้อื่นเลย เพราะถือว่าเป็นการละเมิดสิทธิส่วนบุคคล คนทั่วไปจะไม่ถูกถ่ายรูปและคาดหวังอย่างสมเหตุสมผลว่าจะไม่ถูกใช้ข้อมูลอย่าง Public ความเป็นส่วนตัวจะมีการฟ้องได้ว่าภาพนั้นปรากฏในทางส่วนตัวไหม ความคาดหวังอย่างสมเหตุสมผลอยู่ที่ไหน 

ข้อมูลในโซเชียลจะเป็นการอธิบายตามกิจกรรมไม่ใช่ตามข้อมูล

ส่วนข้อมูลที่แบรนด์หรือนักการตลาดสามารถขอจากลูกค้าได้นั้น มีอะไรที่เกี่ยวข้องกับ PDPA บ้าง

ข้อมูลพื้นฐาน

  • หมายเลขบัตรประจำตัวประชาชน  ชื่อ นามสกุล
  • หมายเลขโทรศัพท์ ที่อยู่ อีเมล
  • รูปถ่าย ประวัติการทำงาน
  • อายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง)

ข้อมูลละเอียดอ่อน (มีการควบคุมเข้มงวดขึ้น)

  • เชื้อชาติ ชาติพันธุ์
  • ความคิดเห็นทางการเมือง ( เช่น การใช้ Social Listening ที่จับประเด็นการเมือง)
  • ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน)
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์)
  • และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

ก่อนที่จะทำการขอข้อมูลจากเจ้าของข้อมูลนั้น เจ้าของข้อมูลจะมีสิทธิกระทำการต่างๆ ดังต่อไปนี้ได้

  • สิทธิได้รับการแจ้งให้ทราบ
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล – สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

ดังนั้น หากแบรนด์หรือนักการตลาดที่อยากได้มาซึ่งข้อมูล ก็จำเป็นจะต้องแจ้งรายละเอียดเหล่านี้ให้แก่เจ้าของข้อมูลได้ทราบก่อนทุกครั้ง

การขอความยินยอม 

  1. เก็บข้อมูลผ่านกระดาษ หรือระบบออนไลน์ก็ได้
  2. เนื้อหาในรายละเอียดจะต้องอ่านง่าย เข้าใจง่าย
  3. ไม่หลอกลวงให้เข้าใจผิด
  4. แยกชัดเจนจากเงื่อนไขอื่นๆ และจะต้องไม่เอาเงื่อนไขใดๆ มาผูกมัด

หรือในกรณีที่เจ้าของข้อมูลแสดงความต้องการอยากยกเลิกการให้ข้อมูลก็สามารถทำได้เช่นกัน

การถอนความยินยอม

  1. เจ้าของข้อมูลจะขอยกเลิกเมื่อไหร่ก็ได้
  2. ทำได้ง่ายเหมือนกับการให้ความยินยอม
  3. แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น

ที่มา : Primal, SCB

The post PDPA 101 เริ่มต้นรู้จักความปลอดภัยในโลกออนไลน์ ที่ธุรกิจต้องวางแนวทางให้ดี appeared first on Thumbsup.

[source: https://www.thumbsup.in.th/pdpa-101-intro-security?utm_source=rss&utm_medium=rss&utm_campaign=pdpa-101-intro-security]