Tech Support
ทุกวันนี้ระบบดิจิทัลหรือระบบเครือข่ายออนไลน์กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราไปแล้ว มีหลากหลายช่องทางในการติดต่อสื่อสารเพื่อวัตถุประสงค์ต่างๆ มีแพลตฟอร์มมากมายให้เลือกใช้ โดยแต่ละช่องทางที่เราใช้งาน ก็จะมีการเก็บข้อมูลส่วนบุคคลของเราก่อนเข้าใช้งานด้วย เช่น ชื่อ นามสกุล , Email , เบอร์โทรศัพท์, ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ตามแต่ที่เจ้าของ ช่องทางเรียกขอข้อมูล การที่เราจะให้ข้อมูลส่วนบุคคลใครไป ย่อมพิจารณาว่าให้ใครไปและให้เพราะอะไร? ยกตัวอย่างเช่น ถ้าเราจะสั่งซื้อของออนไลน์ เราก็ยินยอมที่จะให้ข้อมูลส่วนตัว ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ในการติดต่อ เพื่อใช้ข้อมูลเหล่านี้ในการส่งสินค้ามาให้เรา ซึ่งเป็นข้อมูลส่วนบุคคลที่เราเข้าใจได้และยินยอมที่จะให้ไปเพื่อส่งสินค้ามายังเรา หรือว่า ข้อมูลส่วนบุคคลที่เราให้ต่อบริษัทเพื่อสมัครเข้าทำงาน แต่เราจะรู้ได้อย่างไร? ว่าข้อมูลที่เราให้ไปนั้น จะใช้เพื่อวัตถุประสงค์นั้นจริงๆ และไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใด ที่นอกเหนือความยินยอมของเรา
ความเป็นมา
เมื่อปี 2561 ในประเทศภาคพื้นยุโรป มีการประกาศกฎหมายตัวหนึ่งเพื่อคุ้มครองข้อมูลส่วนบุคคล ที่เรียกว่า General Data Protection Regulation หรือที่มักได้ยินในนาม GDPR
กฎหมายฉบับดังกล่าว ได้เข้ามากำหนดหลักเกณฑ์ต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมาตรการลงโทษ หากมีผู้ใดล่วงละเมิดเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งมาตรการลงโทษค่อนข้างเข้ม ในต่างประเทศเลยมีการเตรียมตัวเพื่อรองรับกฎหมายที่ประกาศใช้ หลังจากนี้.. ข้อมูลส่วนบุคคล ได้รับความคุ้มครอง ไม่ให้ถูกนำไปใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม
แม้กฎหมายดังกล่าว จะใช้ในภาคพื้นยุโรป แต่เมื่อโลกในยุคปัจจุบัน ไร้ซึ่งพรมแดน ประเทศต่าง ๆ ก็เลยต้องมีการปรับตัว และออกกฎหมายขึ้นมาเพื่อคุ้มครองประชาชน และเพื่อให้สอดคล้องกับ GDPR ด้วย รวมถึงประเทศไทยด้วยเช่นกัน
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่จะบังคับใช้ในประเทศไทยนี้ จะมีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย ดังนั้น PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ก็นับว่าเป็นกฎหมายที่เราทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กร บริษัท ห้างร้าน หรือแพลตฟอร์มต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นลูกค้า ผู้ใช้งาน หรือจะเป็นพนักงานที่ทำงานภายในองค์กรเองก็ตาม องค์กรต่าง ๆ จึงได้รับผลกระทบพอสมควรกับการประกาศใช้ PDPA เพื่อเพิ่มมาตรฐานนโยบายการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยิมยอนที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้ และที่สำคัญต้องสอดคล้องต่อ PDPA ด้วย ทำให้กระบวนการทำ PDPA ไม่ใช่เรื่องที่ง่ายสักทีเดียว ที่เราจะทำได้ภายในระยะเวลาอันสั้น โดยเฉพาะองค์กรขนาดใหญ่ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลและมีการนำข้อมูลส่วนบุคคลไปใช้เป็นจำนวนมาก แต่อย่างไรก็ตาม บุคคลหรือองค์กรต่าง ๆ ก็ยังมีเวลาเพียงพอที่จะเริ่มดำเนินการกับข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ PDPA ภายในระยะเวลาที่เหลืออีก 1 ปี (บทความเขียนเมื่อปี 64) เพราะกฎหมายฉบับนี้อย่างไรก็จะมีมาบังคับใช้ต่อผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างแน่นอน จึงควรเริ่มทำตั้งแต่เนิ่น ๆ ไว้ เพื่อป้องกันปัญหาที่จะอาจตามมาทางด้านกฎหมาย ซึ่งจะมีผลเสียหายต่อองค์กร หากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหล หรือเผลอนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว บุคคลหรือองค์กรที่ไม่ได้ดำเนินการตาม PDPA ไว้ ย่อมเสียหายร้ายแรงกว่าผู้ที่ดำเนินการไว้แล้ว และผู้รับโทษตามกฎหมายก็อาจเป็นเจ้าของกิจการที่ต้องรับโทษแทนพนักงานเองก็เป็นได้ จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการทำ PDPA ก่อนถึงวันบังคับใช้เป็นอย่างยิ่ง
ข้อมูลส่วนบุคคล คืออะไร? ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์มือถือ, วันเกิด, อีเมล, เพศ, อาชีพ, ข้อมูลการศึกษา, ข้อมูลการเงิน, เลขบัตรเครดิต, เลขบัญชีธนาคาร, เลขที่ใบขับขี่, รูปถ่าย เป็นต้น นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางพันธุกรรม-ชีวภาพ (เช่น ข้อมูลสแกนลายนิ้วมือ), ศาสนาและปรัชญา, พฤติกรรมทางเพศ, ข้อมูลสุขภาพ, เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ, ประวัติอาชญากรรม, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลภาพจำลองใบหน้า, ข้อมูลจำลองม่านตา, ข้อมูลจำลองลายนิ้วมือ เป็นต้น เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป (Personal Data) เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล(Data Subject)ได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ ยกตัวอย่างเช่น ข้อมูลลายนิ้วมือ เราไม่สามารถไปเปลี่ยนลายนิ้วมือได้ ลายนิ้วมือเป็นข้อมูลส่วนบุคคลที่จะอยู่กับเราไปจนวันเสียชีวิต หรือว่าจะเป็น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก
ใครเป็นใครใน PDPA
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ประชาชนทุกคน ที่ข้อมูลชี้ไปถึงแต่ไม่รวมถึงคนตายและนิติบุคคล ทั้งนี้เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้นใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะให้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปได้ดังต่อไปนี้ -
สิทธิได้รับการแจ้งให้ทราบ การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล (ยกเว้นเจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว เช่น ไปธนาคารเพื่อจะไปเปิดบัญชี หรือว่าการสมัครใช้ผลิตภัณฑ์หรือบริการต่าง ๆ ) โดยมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล, การนำไปใช้หรือส่งต่อไปมีให้ใครบ้าง, วิธีเก็บข้อมูลอย่างไร, เก็บข้อมูลนานแค่ไหน, วิธีขอการเปลี่ยนแปลง แก้ไข เพิกถอนข้อมูลส่วนบุคคลที่ให้ไปสามารถทำได้อย่างไรบ้าง -
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ถ้าไม่ขัดหรือส่งผลกระทบดังกล่าว เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธิภายใน 30 วันนับจากวันที่ ผู้ควบคุมข้อมูลส่วนบุคคล ได้รับคำขอ -
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดด้วยกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ -
สิทธิขอให้ลบหรือทำลาย กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเอง -
สิทธิในการเพิกถอนความยินยอม ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้ และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้ -
สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้ -
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย -
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ หน่วยงาน องค์กร สถาบัน ที่กำหนดวัตถุประสงค์ วิธีการประมวลผลและใช้ประโยชน์จากข้อมูลส่วนบุคคล
หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล - จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย
- ป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
- แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชม. นับแต่ทราบเหตุ
- แต่งตั้งตัวแทนภายในราชอาณาจักร กรณีเป็นผู้ควบคุมข้อมูลส่วนบุคคลต่างชาติ
- จัดทำบันทึกรายการ (มาตรา 39)
ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตาม มาตรฐานขั้นต่ำที่กฎหมายได้กำหนดไว้ - พื้นฐานความมั่นคงปลอดภัยของข้อมูล หมายความว่า
- Confidentiality (ธำรงไว้ซึ่งความลับ)
- Integrity (ความครบถ้วนสมบูรณ์)
- Availability (ความพร้อมใช้งาน)
ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ - มีการแจ้งถึงมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และสร้างเสริมความตระหนักรู้ ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่ บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ เพื่อให้ปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มีหลักการดังนี้
- เก็บเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
- การแจ้งรายละเอียด ให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังนี้
- วัตถุประสงค์ของการเก็บรวบรวม
- ข้อมูลที่จะมีการเก็บและระยะเวลาในการเก็บรวบรวม
- ประเภทของบุคคลหรือหน่วยงาน ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
- การเปลี่ยนวัตถุประสงค์ในการประมวลผล ต้องแจ้งวัตถุประสงค์ใหม่ ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อน ยกเว้นว่า กฎหมายนี้หรือกฎหมายอื่นบัญญัติให้ทำได้
- ข้อยกเว้น ไม่ต้องได้รับความยินยอม
- เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลเจ้าของข้อมูล
- มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคล
- มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
- เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล
- จัดให้มีมาตรการเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) โดยอย่างน้อยต้องประกอบด้วย
- การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผล
- การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
- การบริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
- การกำหนดหน้าทึ่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
- การจัดให้มีวิธีการตรวจสอบย้อนหลังการเข้าถึงข้อมูลส่วนบุคคลได้
- สามารถใช้มาตรฐานที่สูงกว่าประกาศฉบับนี้ได้
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ ผู้ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล outsource ที่รับจ้าง ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน /องค์กร
หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล - ทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย
- แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
- จัดทำและเก็บรักษารายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
- แต่งตั้งตัวแทนภายในราชอาณาจักร กรณีเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต่างชาติ
- ประมวลผลข้อมูส่วนบุคคลซึ่งไม่ปฏิบัติตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล ให้ถือว่า ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือ คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำหรือ ตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน / องค์กร ให้เป็นไปตามกฎหมาย
หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล - ให้คำแนะนำ
- ตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
- ประสานงานและให้ความร่วมมือกับสำนักงานฯ
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหนมายนี้
บทลงโทษ ถ้าไม่ปฏิบัติตาม PDPA บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่
Create Date : 21 กรกฎาคม 2564 |
Last Update : 24 สิงหาคม 2564 10:47:43 น. |
|
0 comments
|
Counter : 927 Pageviews. |
|
|