ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมากๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?
รู้หรือไม่?! การจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้
ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ Life Elevated จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก จัดเต็ม!
PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้
หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร?
กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน
ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่างๆ
ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้
ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆ นึงได้ ไม่ว่าทางตรงและทางอ้อม
ส่วนบุคคลทั่วไป
– ชื่อ-นามสกุล
– เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
– เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
– ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
– ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
– วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
– ข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม PDPA เลย
นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้
– เชื้อชาติ เผ่าพันธุ์
– ความคิดเห็นทางการเมือง
– ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
– พฤติกรรมทางเพศ
– ประวัติอาชญากรรม
– ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
– ข้อมูลสหภาพแรงงาน
– ข้อมูลพันธุกรรม
– ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ใครเป็นใครภายใต้ PDPA บ้าง?
หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่างๆ เหนือข้อมูลส่วนบุคคลของตน
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่างๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor
.
.
ติดตาม Life Elevated ได้ที่
Website: https://www.lifeelevated.club
Facebook: https://www.facebook.com/lifeelevatedclub
Twitter: https://twitter.com/lifeelevatedCLB
Instagram: http://instagram.com/lifeelevatedclub
Line OA: https://lin.ee/fBBFzWx
Blockdit: https://www.blockdit.com/lifeelevatedclub
Youtube: https://www.youtube.com/lifeelevatedclub
Pinterest: https://www.pinterest.com/lifeelevatedclub/
Blog สสส.: https://www.thaihealth.or.th/blog/allblog/1285/Life+Elevated+Club/
