Personal Data Protection Act :PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นหนึ่งกฎหมายดิจิทัลเพื่อสร้างความเชื่อมั่นในการใช้เทคโนโลยี เพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่นการควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ปัจจุบันมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคลให้เห็นอยู่บ่อยๆ เช่น ชื่อ-นามสกุล เลขบัตรประชาชน ที่อยู่ เบอร์โทร เชื้อชาติ ประวัติอาชญากรรม และข้อมูลสุขภาพ
ดังนั้น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงมีประโยชน์ต่อเราทุกคนอย่างมาก และจะเริ่มบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้
PDPA ดีต่อผู้บริโภคอย่างไร
– ได้ทราบวัตถุประสงค์ของการจัดเก็บข้อมูล
– ขอให้ลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลได้
– ร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน ถ้ามีการใช้ข้อมูลเกิดขอบเขตที่แจ้งไว้
– ลดความเสียหายที่อาจเกิดจากการละเมิดข้อมูลส่วนบุคคล
PDPA ดีต่อภาครัฐและเอกชนในด้านใด
– สร้างความน่าเชื่อถือให้องค์กร/หน่วยงาน ในเรื่องการจัดเก็บข้อมูล
– มีขอบเขตในการจัดเก็บ นำไปใช้ หรือเผยแพร่ข้อมูลที่ชัดเจน
– มีความโปร่งใส รับผิดชอบต่อสังคม และตรวจสอบได้
Cookie เกี่ยวข้องกับ PDPA อย่างไร?
Cookie ไม่ใช่ชื่อขนม แต่เป็นไฟล์ข้อมูลขนาดเล็ก ที่เก็บไว้ในเซิร์ฟเวอร์ของผู้ให้บริการเว็บไซต์ โดยจะแสดงประวัติการเข้าเว็บไซต์และแสดงตัวตนของคนๆ นั้น ซึ่งผู้ให้บริการเว็บไซต์หรือเจ้าของเว็บฯ จะนำข้อมูลเหล่านี้มาทำการตลาดออนไลน์ เพื่อเจาะกลุ่มเป้าหมาย ไม่ว่าจะเป็นโลเคชั่นของผู้ใช้งาน ข้อมูลความสนใจ และข้อมูลการใช้งานอินเทอร์เน็ต เป็นต้น
ใครบ้างที่เกี่ยวข้องกับ PDPA
1. เจ้าของข้อมูล (Data Subject) หมายถึง ประชาชนที่เป็นเจ้าของข้อมูลทุกคน
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง หน่วยงาน องค์กร สถาบัน อาจเป็นบุคคลธรรมดาหรือนิติบุคคลก็ได้ โดยมีหน้าที่ตัดสินใจเกี่ยวกับการเก็บข้อมูล และใช้ประโยชน์จากข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง ผู้ที่ทำตามคำสั่งของ Data Controller ซึ่งอาจเป็น Outsource ที่รับจ้าง
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หมายถึง คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคล
Data Controller จะลบข้อมูลส่วนบุคคลก็ต่อเมื่อ
อย่างที่กล่าวไปข้างต้นว่าประชาชนสามารถขอให้ลบหรือทำลายข้อมูลส่วนบุคคลได้ ดังนั้น เมื่อเจ้าของข้อมูลแจ้งมา Data Controller อาจต้องดำเนินการลบข้อมูลดังกล่าว และเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเก็บข้อมูลมากเกินความจำเป็น ก็อาจต้องลบเช่นกัน
5 เช็คลิสต์ตั้งค่าเว็บไซต์อย่างไรให้พร้อมรับ PDPA
การออกแบบหรือตั้งค่าเว็บไซต์ที่มีการเก็บข้อมูล ถือว่ามีความสำคัญอย่างยิ่ง หากตอนนี้คุณมีเว็บไซต์ และต้องการลดโอกาสที่จะเกิดการละเมิดข้อมูลส่วนบุคคล
1. ควรตั้งค่าเริ่มต้นไม่ให้เว็บไซต์เก็บข้อมูลอัตโนมัติ เจ้าของเว็บไซต์ต้องทำ Privacy Policy และแจ้งให้ผู้ใช้เว็บไซต์ทราบว่าต้องการเก็บข้อมูลอะไรบ้าง และนำไปใช้ในจุดประสงค์ใด ควรแยกส่วนให้ชัดเจน ใช้ภาษาเข้าใจง่าย
2. ผู้ใช้เว็บไซต์ต้องให้ความยินยอมตามเงื่อนไขข้อ 1 จึงจะถือว่าเป็นความยินยอมที่ชอบด้วยกฎหมาย
3. หน้าเว็บไซต์ต้องมีฟีเจอร์ให้ผู้ใช้เลือกว่าจะ “อนุญาต” หรือ “ไม่อนุญาต” ให้เว็บไซต์เก็บข้อมูล
4. นอกจากความยินยอมในข้อ 4 แล้ว เว็บไซต์ต้องมีช่องทางให้ผู้ใช้เว็บไซต์ตั้งค่าการเก็บคุกกี้ได้
5. หน้าเว็บไซต์ต้องมีช่องทางให้ผู้ใช้เว็บแจ้งลบคุกกี้ที่ถูกอนุญาตไปแล้ว และช่องทางให้ผู้ใช้แก้ไข เปลี่ยนแปลงความยินยอมได้
อีกไม่กี่เดือน กฎหมาย PDPA จะเริ่มบังคับใช้แล้ว เจ้าของเว็บไซต์ต้องศึกษารายละเอียด ข้อบังคับ และบทลงโทษให้ชัดเจน เพื่อให้องค์กรปฏิบัติได้อย่างถูกต้อง ถูกกฎหมาย มีการกำหนดนโยบายการเก็บรักษาข้อมูลส่วนบุคคลที่ดี เพื่อให้เกิดความปลอดภัย และสร้างความไว้วางใจกับผู้บริโภค
ข้อมูลจาก
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
