PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สำคัญอย่างไร ? ทำไมต้องรู้ ? ตอนที่ 1 

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สำคัญอย่างไร ? ทำไมต้องรู้ ?

เรื่องควรรู้เกี่ยวกับ PDPA

PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลกระทบต่อผู้ประกอบการในยุคดิจิทัล แม้ว่าชื่อของ พ.ร.บ. ทำให้มองไปที่ “การคุ้มครอง” ข้อมูลส่วนบุคคล แต่ใจความสำคัญของกฎหมายฉบับนี้ กลับมุ่งเน้นไปที่องค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” ในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมและเพียงพอ เมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล ทั้งนี้ก็เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร

PDPA มีความสำคัญอย่างไร ?

เหตุผลที่ประเทศไทยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เนื่องจากปัจจุบัน ประเทศไทยเป็นยุคที่ธุรกิจต่างต้องการข้อมูลลูกค้าที่หลากหลาย เพื่อพัฒนาสินค้าและการบริการขององค์กร ไม่ว่าจะเป็น ชื่อ , ที่อยู่ , เบอร์โทรศัพท์ , อีเมล หรือแม้แต่ใบหน้า และเสียงของตัวบุคคล ล้วนแต่เป็น “ข้อมูลส่วนบุคคล” ทั้งสิ้น เพราะฉะนั้น ในแต่ละองค์กรจึงจำเป็นต้องใช้กฎหมายป้องกันการรั่วไหลของข้อมูลลูกค้า เพื่อความน่าเชื่อถือ และได้รับความไว้วางใจจากลูกค้าด้วย

ประเด็นสำคัญของ PDPA

การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

ข้อมูลส่วนบุคคลประกอบไปด้วยอะไรบ้าง?

รูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ คือ ข้อมูลส่วนบุคคลไม่ว่าทางตรงหรือทางอ้อม ได้แก่ ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน และอายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง) นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น ได้แก่ เชื้อชาติ ชาติพันธุ์ความคิดเห็นทางการเมือง (เช่น social media monitoring tools ที่จับประเด็นการเมือง) ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน) พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ สหภาพแรงงาน พันธุกรรมชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด