COE

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สำคัญอย่างไร ? ทำไมต้องรู้ ? เรื่องควรรู้เกี่ยวกับ PDPA PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลกระทบต่อผู้ประกอบการในยุคดิจิทัล แม้ว่าชื่อของ พ.ร.บ. ทำให้มองไปที่ “การคุ้มครอง” ข้อมูลส่วนบุคคล แต่ใจความสำคัญของกฎหมายฉบับนี้ กลับมุ่งเน้นไปที่องค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” ในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมและเพียงพอ เมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล ทั้งนี้ก็เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร PDPA มีความสำคัญอย่างไร ? เหตุผลที่ประเทศไทยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เนื่องจากปัจจุบัน ประเทศไทยเป็นยุคที่ธุรกิจต่างต้องการข้อมูลลูกค้าที่หลากหลาย เพื่อพัฒนาสินค้าและการบริการขององค์กร ไม่ว่าจะเป็น ชื่อ , ที่อยู่ , เบอร์โทรศัพท์ , อีเมล หรือแม้แต่ใบหน้า และเสียงของตัวบุคคล ล้วนแต่เป็น “ข้อมูลส่วนบุคคล” ทั้งสิ้น เพราะฉะนั้น ในแต่ละองค์กรจึงจำเป็นต้องใช้กฎหมายป้องกันการรั่วไหลของข้อมูลลูกค้า เพื่อความน่าเชื่อถือ และได้รับความไว้วางใจจากลูกค้าด้วย ประเด็นสำคัญของ PDPA การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง ข้อมูลส่วนบุคคลประกอบไปด้วยอะไรบ้าง? รูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ คือ ข้อมูลส่วนบุคคลไม่ว่าทางตรงหรือทางอ้อม ได้แก่ ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน และอายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง) นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น ได้แก่ เชื้อชาติ ชาติพันธุ์ความคิดเห็นทางการเมือง (เช่น social media monitoring tools ที่จับประเด็นการเมือง) ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน) พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ สหภาพแรงงาน พันธุกรรมชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ผู้ที่เกี่ยวข้องกับ PDPA เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้ 1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง? สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten) สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)ทั้งนี้ ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกัน ก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อรับมือกับพ.ร.บ.นี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหารสำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้าตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ฉบับนี้จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม บทลงโทษของผู้กระทำความผิดโทษทางอาญา– จำคุกสูงสุด 1 ปี– ปรับสูงสุด 1 ล้านบาท โทษทางแพ่ง– จ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง โทษทางปกครอง– ปรับไม่เกิน 5 ล้านบาท

จากกระแสเรื่องข้อมูลหน้าบัตรประชาชนหลุดที่เกิดขึ้นไม่นานมานี้ ทำให้หลายๆ คนอดกังวลไม่ได้ว่าจะเกิดอะไรขึ้นกับตัวเองบ้าง MFEC เล็งเห็นความสำคัญถึงการให้ความรู้เพื่อเป็นการเตือนและเพิ่มการตระหนักถึงความปลอดภัยในการจัดเก็บข้อมูล และได้รับเกียรติจากคุณธนะพงษ์ จุลธรรมาศน์ (Information Security Director) มาเป็นผู้แนะนำในครั้งนี้ หากต้องการคำแนะนำเพิ่มเติมที่เกี่ยวข้องกับ Information security กับธุรกิจในองค์กรของท่าน ——– สามารถติดต่อหรือขอคำปรึกษาได้ที่ channel@mfec.co.th

หลังจากที่ร่าง พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2559 ผ่านการพิจารณาในวาระ 3ไปแล้ว เมื่อไม่กี่วันที่ผ่านมา (16 ธ.ค.) ผลสรุปของพ.ร.บ.ฉบับนี้สมาชิกสภานิติบัญญัติแห่งชาติ (สนช.) ให้ผ่านฉลุย  แม้จะมีกระแสต่อต้านร่างกฏหมายฉบับนี้อย่างมากในหลายภาคส่วนโดยเฉพาะคนไอทีก็ตาม ประเด็นหลักที่ถูกพูดถึงและแชร์ข้อมูลกันอย่างต่อเนื่อง คือ พ.ร.บ.ฉบับนี้ยังไม่มีความชัดเจนในเรื่องผลกระทบสิทธิประชาชน และที่สำคัญสิ่งที่หลายคนเป็นห่วงคือการคืนชีพ “Single Gateway” ซึ่งเป็นโครงการคุกคามสิทธิ์ส่วนบุคคลในโลกไซเบอร์ระดับประเทศ ทื่ล้มไม่เป็นท่า เพราะประชาชนต่างร่วมใจกันคัดค้าน ต่อมาเมื่อพ.ร.บ. คอมพิวเตอร์ฯ ฉบับนี้ถูกทำให้กลายเป็นกฏหมาย แน่นอนว่าผู้คนหลายกลุ่ม จึงตั้งข้อสังเกตถึง พ.ร.บ. ฉบับนี้ว่าเป็นการคืนชีพ “Single Gateway”  ในอีกรูปแบบหรือไม่ เพราะ (สนช.) ผ่านร่างทั้งที่ไม่ยอมฟังเสียงของประชาชนที่มีกระแสต่อต้าน พ.ร.บ. ดังกล่าวโดยมีผู้ใช้อินเตอร์เน็ตร่วมกันลงชื่อผ่านเว็บไซต์ change.org กระทั่งมียอดลงชื่อต้านกว่า 3 แสนคนเลยทีเดียว โดยเรื่องนี้ต้องย้อนกับไปพูดถึงการเริ่มต้นของ “Single Gateway”  กันเสียหน่อย ซึ่งเมื่อกว่าปีที่ผ่านมา รัฐบาลพยายามพลักดันจัดตั้งโครงการนี้ โดยมอบหมายให้กระทรวงไอซีทีรับผิดชอบภาพกว้าง ในการตรวจสอบข้อมูลที่ไม่เหมาะสม หรือบล็อกข้อมูลที่ก่อให้เกิดความวุ่นวาย รวมทั้งเพื่อป้องกันการโจมตีทางไซเบอร์ด้วยการก่อการร้าย ซึ่งอีกนัยหนึ่งรัฐบาลก็สามารถปิดกั้นการเข้าถึงข้อมูลของประชาชนได้อย่างถูกกฏหมายด้วย ซึ่งนั้นจะทำให้มีข้อเสียตามมาในอีกหลายด้านในอนาคต เรียกได้ว่ามีข้อเสียมากกว่าข้อดีก็ว่าได้โครงการนี้เลยสาบสูญไปแต่โดยดี กลับมาที่ปัจจุบัน ทางรัฐบาลเองก็ออกมายืนยันผ่าน พล.ต.ฤทธี อินทราวุธ ผู้อำนวยการศูนย์ไซเบอร์กองทัพบกว่า กรณีดังที่มีคนสงสัยว่า พ.ร.บ.คอมพิวเตอร์ใหม่ เป็นการคืนชีพ Single Gateway นั่นเป็นการพยายามสร้างกระแสบิดเบือนข้อกฎหมายของบุคคลบางกลุ่ม ให้เกิดความตื่นตระหนก ซึ่งในประเด็นนี้ มีผู้ที่ทำงานเกี่ยวข้องกับสายไอทีและนักฏหมายหลายท่านร่วมไปถึงทนายหน่อย-พิษณุ พานิชสุข นักกฎหมายได้ออกมาแสดงความคิดเห็นถึงเรื่องดังกล่าว กับหนุ่ย-พงศ์สุข หิรัญพฤกษ์ กูรูด้านไอทีชื่อดัง ผ่านการไลฟ์สด ถึงประเด็นการคืนชีพ Single Gateway เพื่อให้ความรู้ที่ถูกต้องกับประชาชนทำนองว่า หลังจากที่ได้พิจารณาร่างกฏหมายกันอย่างละเอียดถึง พ.ร.บ. คอมพิวเตอร์ฉบับนี้ จากการพูดคุยยาวนานของทั้งสองท่าน สรุปประเด็นนี้ได้คร่าวๆ ว่า พ.ร.บ. คอมพิวเตอร์ฯ ฉบับใหม่นี้ ไม่เกี่ยวข้องกับ Single Gateway เลยแม้แต่น้อย แต่จะมีความชัดเจนมากกว่า พ.ร.บ. คอมพิวเตอร์ฯ ปี 2550 ในเรื่องของความรุนแรงของการบังคับใช้ข้อกฏหมายเพื่อป้องปรามเหตุ ซึ่งสรุปได้ว่าในกรณีข้อเท็จจริงประเด็นการหยิบยกเรื่องของ Single Gateway มาเกี่ยวข้องกับ พ.ร.บ. คอมพิวเตอร์ฉบับนี้ไม่เป็นความจริง นอกจากนั้นทั้งคู่ยังให้ความรู้ถึง พ.ร.บ.ดังกล่าวอีกว่า พ.ร.บ. นี้จะเน้นไปที่เรื่องของประโยชน์ด้านการคุ้มครองลิขสิทธิ์ทางปัญญา และให้ความเป็นธรรมแก่ประชาชนทั่วไปและผู้ใช้งานคอมพิวเตอร์ในอีกหลายกรณีที่อาจเกิดการผิดพลาดด้วยความไม่รู้ ซึ่งแน่นอนว่า พ.ร.บ. คอมพิวเตอร์นี้ยังคงไม่มีความชัดเจนในเรื่องของการคุกคามสิทธิเสรีภาพของประชาชน อย่างที่ประชาชนเป็นห่วง และในอนาคตเรื่องนี้จะชัดเจนขึ้นเรื่องๆ เมื่อเกิดกรณีตัวอย่าง สุดท้ายสรุปอีกครั้งว่า พ.ร.บ. คอมพิวเตอร์ฯ ปี 2559 ไม่ได้มีความเกี่ยวข้องกับ Single Gateway เลยแม้แต่น้อย ซึ่งทั้งนี้ประชาชนควรเปิดใจและเข้าไปทำความเข้าใจกับแนวทางของ พ.ร.บ. คอมพิวเตอร์ฯ ปี 2559 ด้วยตัวเองจะเป็นเรื่องที่ดีที่สุด ทั้งคู่ยังฝากไว้อีกทำนองว่า ถ้าหากเราเองไม่ใช่คนที่มีความผิด ก็ไม่จำเป็นต้องกลัวอะไร ภาพจาก change.org