PDPA คืออะไร?
ในโลกที่สังคม เศรษกิจขับเคลื่อนไปด้วยข้อมูล การจัดเก็บข้อมูลเป็นเรื่องธรรมดาที่ธุรกิจไม่ว่าจะขนาดใหญ่ กลาง เล็ก หรือ แม้กระทั่งหน่วยงานของรัฐทำเป็นกิจวัตรทั่วไป ไม่ว่าจะเป็นการทำธุรกรรมผ่านช่องทางออนไลน์ การสมัครสมาชิกรับชมภาพยนต์ โปรแกรมแชท หรือโซเชีบลมีเดีย ล้วนมีการเก็บข้อมูลส่วนตัวของเราทั้งสิ้น เช่น ชื่อ-นามสกุล หมายเลขโทรศัพท์ email มิหนำซ้ำ ยังการยืนยันตัวตนต่างๆเพื่อการคุ้มครองข้อมูลที่แน่นหนามากขึ้นด้วยการส่ง SMS เข้าที่เบอร์โทรศัพท์ การถ่ายรูปบัตรประชาชนพร้อมใบหน้า
ที่ผ่านมาการจัดเก็บข้อมูลต่างๆซึ่งสามารถนำพาไปสู่การระบุตัวตนของเจ้าของข้อมูลเป็นเรื่องทำกระทำกันโดยทั่วไป แต่ไม่เคยมีกฤหมายคุ้มครองการเก็บข้อมูลส่วนเหล่านี้อย่างเฉพาะเจาะจงมาก่อน เมื่อเกิดการใช้ข้อมูลส่วนตัวที่ผิดพลาด การรั่วไหลของข้อมูล การถูกการโจมตีทางไซเบอร์ จึงสร้างความเสียหายอันประเมินมูลค่าไม่ได้ และสร้างความเดือดร้อนให้กับเจ้าของข้อมูลอย่างมากในอดีต
ด้วยปัญหาเหล่านี้ สหภาพยุโรป (European Union) จึงได้จัดทำ General Data Protection Regulation (หรือที่เรียกว่า GDPR) ซึ่งมีวัตถุประสงค์เพื่อให้ หน่วยงานหรือองค์กรที่จัดเก็บและจัดการข้อมูลส่วนบุคคลจะต้องเพิ่มมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลตามฐานที่ชอบด้วยกฎหมายทั้งนี้เพื่อประโยชน์สุขของเจ้าของข้อมูลส่วนบุคคลนั้นๆ
เพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้เท่าทันระดับสากล ประเทศไทยจึงมีการนำหลักการ มาตรฐานจากกฎหมาย GDPR มาปรับปรุงเพื่อให้สอดคล้องกับบริบทของประเทศและตราเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ในเวลาต่อมา
* ที่มา/ความหมาย
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) เป็นกฎหมายว่าด้วยการให้สิทธิ์คุ้มครองข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย
กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีเหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคล (หน่วยงานหรือองค์กร) ตามพระราชบัญญัติเพื่อให้
การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ
โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
* จุดประสงค์/ความสำคัญ
ดังที่กล่าวไว้ข้างต้นจุดประสงค์ของ PDPA เพื่อการคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคล โดยจำกัดสิทธิและเสรีภาพของหน่วยงานหรือองค์กร ตามพระราชบัญญัติในการจัดเก็บและจัดการข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล กำหนดให้มีมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล และกำหนดให้หน่วยงานหรือองค์กรต้องสามารถระบุฐานที่ชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลทั้งนี้เพื่อประโยชน์สุขของเจ้าของข้อมูลส่วนบุคคลนั้นๆ หากหน่วยงานหรือองค์กรใดละเลยไม่ปฏิบัติตามจะต้องโทษตามกฎหมาย ซึ่งมีบทลงโทษทางแพ่ง ทางอาญา และโทษทางปกครองด้วย
* เกี่ยวข้องกับใครบ้าง
จากกฎหมาย PDPA เราสามารถแบ่งบุคคลที่เกี่ยวข้องออกได้เป็น 3 บุคคลคือ
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลอันข้อมูลส่วนบุคคลที่ถูกจัดเก็บและประมวลผลสามารถระบุไปถึงได้
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจใดๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
* ผลกระทบเป็นอย่างไร
เมื่อกฎหมาย PDPA มีผลบังคับใช้ หน่วยงานหรือองค์กรจะต้องปรับตัว ยกระดับการจัดการด้านข้อมูลส่วนบุคคล การจัดเก็บข้อมูลส่วนบุคคล ประมวลผลและใช้ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลภายในองค์กร เช่นข้อมูลส่วนตัวของพนักงาน หรือข้อมูลภายนอกองค์กร เช่นข้อมูลของคู่ค้า ให้เหมาะสมและใช้เท่าที่จำเป็นจริงๆ สามารถอ้างอิงฐาน วัตถุประสงค์ในการประมวลผลข้อมูล มีการขอความยินยอมจากเจ้าของข้อมูล เพิ่มมาตรฐานความปลอดภัยในการจัดเก็บ รวมถึงมีมาตรการที่ชัดเจนในการลบ/ทำลาย ข้อมูลส่วนบุคคลที่จัดเก็บไว้เว่นแต่จะมีฐานในการอ้างอิงเพื่อเก็บข้อมูลต่อไป
เนื่องจากในปัจจุบันการจัดเก็บข้อมูลส่วนบุคคลเป็นสิ่งที่หลีกเลี่ยงไม่ได้แต่หน่วยงานสามารถเพิ่มความปลอดภัยและจำกัดการจัดเก็บข้อมูลส่วนบุคคลได้เพราะหากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหลหรือมีการนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว หน่วยงานย่อมเสียหายร้ายแรงและต้องรับโทษตามกฎหมาย จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการกฎหมาย PDPA เป็นอย่างมาก
ที่มา :
