สรุปประเด็นสำคัญพรบ ข้อมูลส่วนบุคคล 2562 (Data Privacy )

เพื่อให้ทุกคนสามารถเข้าใจ พรบ ข้อมูลส่วนบุคคลได้ง่ายขึ้นผมอยากจะขอสรุปประเด็นสำคัญของกฏหมายให้ได้อ่านกันนะครับ โดยข้อมูลจะมาจาก พรบ และการฟังบรรยายสรุปของ อ. กษิพัท ที่ ITSC, CMU วันที่ 6 ส.ค. 2562

  1. พรบ ฉบับนี้ถอดแบบมาจากกฎหมาย General Data Privacy Regulation (GDPR) ของสหาภาพยุโรป เป็นหลัก ใครก็ตามที่อยากเข้าใจ พรบ นี้ให้ลึกซึ้งสามารถศึกษา GDPR เพิ่มเติมได้ นอกจากนี้ยังได้มีการประยุกต์ใช้มาตรฐาน OECD, ISO 29110 และ ISO 27701 ร่วมด้วย
  2. พรบ นี้ประกาศใช้ตั้งแต่ 28 พ.ค. 2562 แต่จะมีผลเฉพาะหมวดที่เกี่ยวข้องกับการจัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเท่านั้น แต่ที่จะมีผลกระทบบังคับใช้กับปัจเจกบุคคลและนิติบุคคลตั้งแต่ 28 พ.ค. 2563
  3. “ข้อมูลส่วนบุคคล” นั้นหมายถึง ข้อมูลใดๆก็ตามที่ทำให้สามารถระบุตัวตนของบุคคลนั้นไม่ได้ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ข้อมูลทางตรง เช่น ชื่อ สกุล รหัสบัตรประชาชน รหัสนักศึกษา และข้อมูล biometrics (ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ) ข้อมูลทางอ้อม เช่น พิกัดตำแหน่ง ดังนั้นข้อมูลใดๆก็ตามที่ทำให้สามารถระบุตัวตนได้จะเข้าข่ายกฎหมายนี้ทันที
  4. พรบ นิยามผู้ที่เกี่ยวข้องไว้ 3 ฝ่ายได้แก่ เจ้าของข้อมูล (Data Subject) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
    • Data Subject คือผู้เป็นเจ้าของข้อมูล
    • Data Controller คือผู้ที่เมีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวมข้อมูล เพื่อเอาไว้ใช้ประโยชน์ หรือเปิดเผยข้อมูลส่วนบุคคล
    • Data processor คือ ผู้ที่มีหน้าที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งของ Data Controller
      เพื่อที่จะให้เข้าใจได้ง่ายขอยกตัวอย่างดังนี้ นักศึกษาที่เข้าศึกษาในมหาวิทยาลัยเชียงใหม่ต้องมีการให้ข้อมูลกับมหาวิทยาลัยเพื่อบันทึกเป็นประวัติและเก็บไว้ตลอดระยะเวลาการศึกษา รวมถึงหลังจากสำเร็จการศึกษาด้วย ในกรณีนี้ นักศึกษาจะเป็นเจ้าของข้อมูล (Data Subject) มหาวิทยาลัยเชียงใหม่จะเป็น Data Controller ในขณะที่สำนักทะเบียนซึ่งดำเนินการบันทึก จัดเก็บ ใช้ และเปิดเผยข้อมูลในนามของมหาวิทยาลัยฯ เป็น Data Controller
  5. Data Controller ต้องให้ รายละเอียดสำหรับการติดต่อ เช่น เบอร์โทรศัพท์​ ที่อยู่ อย่างชัดเจน เพื่อให้เจ้าของข้อมูลสามารถติดต่อได้โดยง่าย
  6. ทุกหน่วยงานต้องมี Data Protection Office ซี่งทำหน้าที่ให้คำปรึกษา กำกับ ตรวจสอบ ดูแล การใช้ข้อมูลส่วนบุคคลให้เป็นไปตาม พรบ ข้อมูลส่วนบุคคล องค์กรไม่มีสิทธิ์ห้ามไม่ให้ DPO ทำหน้าที่ หรือไล่ DPO ออก หาก DPO ทำหน้าที่ตามที่ พรบ กำหนด DPO อาจจะเป็นบุคคลเพียงบุคคลเดียว หรือมีการตั้งเป็นคณะทำงานก็ย่อมได้
  7. วิธีที่ดีที่สุดคือการให้ Data Subject ทำการยินยอม (Consent) ให้มีการใช้ข้อมูลตามที่องค์กรต้องการ องค์กรสามารถระบุเงื่อนไขการใช้ข้อมูลส่วนบุคคลเอาไว้ในสัญญาได้ แต่การระบุเงื่อนไขต้องทำให้ชัดเจน เขียนด้วยภาษาที่เข้าใจง่าย และอ่านเห็นได้ชัด
  8. Consent ที่อเคยขอไว้แล้วไม่ต้องให้มีการ Consent ใหม่หากวัตตถุประสงค์ของการใช้ข้อมูลไม่เปลี่ยนแปลง แต่หากวัตถุประสงค์เปลี่ยนแปลงไปต้องขอ Consent จาก Data Subject ใหม่ โดยมีการแจ้งวัตถุประสงค์การใช้ข้อมูลให้ชัดเจน
  9. เจ้าของข้อมูลสามารถบอกถอนการยินยอมให้ใช้ข้อมูลส่วนบุคคลได้ตลอดเวลา
  10. หาก ​ Data Controller ได้ขอมูลส่วนบุคคลมาจากแหล่งอื่น จะต้องมีการแจ้งให้เจ้าของข้อมูลทราบภายใน 30 วัน
  11. ข้อมูลบางประเภทห้ามเก็บไว้เด็ดขาด เช่น ข้อมูลเกี่ยวกับความพิการ Biometric พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ศาสนา เป็นต้น (เว้นแต่จะได้รับการยินยอมจากเจ้าของข้อมูล)
  12. การส่งช้อมูลส่วนบุคคลออกนอกประเทศเพื่อประโยชน์ใดๆ จะต้องมั่นใจว่าประเทศที่รับข้อมูลปลายทางจะต้องมีกฏหมายรักษา Data Privacy ที่ไม่ต่ำกว่ามาตรฐานของ พรบ นี้
  13. องค์กรควรจัดทำ IT Inventory เพื่อแยกแยะว่าข้อมูลใดที่เป็น privacy ข้อมูลใดเป็น non-privacy

One thought on “สรุปประเด็นสำคัญพรบ ข้อมูลส่วนบุคคล 2562 (Data Privacy )

Leave a Reply

Your email address will not be published. Required fields are marked *