เตรียมตัวให้พร้อมก่อนพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะเริ่มมีผลบังคับใช้กลางปี 63 | |
ปัจจุบันเทคโนโลยีทำให้การเก็บและบันทึกข้อมูลบนโลกดิจิทัลทำได้อย่างง่ายดาย ซึ่งข้อมูลส่วนใหญ่ที่เก็บบันทึกมักเป็น “ข้อมูลส่วนบุคคล” ของผู้ใช้งานไม่ว่าจะเป็นชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ ที่อยู่ เลขบัตรประชาชนและอื่นๆที่สามารถระบุตัวตนของผู้ใช้งานได้ ข้อมูลเหล่านี้ล้วนมีมูลค่ามหาศาล โดยเฉพาะการซื้อขายทางออนไลน์ ที่สามารถนำข้อมูลผู้ใช้งานมาวิเคราะห์พฤติกรรมเพื่อนำเสนอสินค้าและบริการให้ตรงกับความต้องการ ซึ่งมีประโยชน์อย่างยิ่งสำหรับการดำเนินธุรกิจ“ข้อมูลส่วนบุคคล” ที่ถูกบันทึกได้ง่ายบนโลกดิจิทัลทำให้ผู้ใช้หลายคนอาจมีความกังวลถึงความปลอดภัยของข้อมูลตนเอง ว่าจะหลุดไปสู่ภายนอก หรือถูกนำไปใช้กรณีอื่น เพื่อยกระดับการปกป้องข้อมูลดังกล่าวทำให้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯผ่านการพิจารณาและมีผลบังคับใช้ในเดือนพฤษภาคม พ.ศ.2563โดยสรุปสาระสำคัญของพ.ร.บ.ฉบับนี้ คือ · ฝ่ายผู้เก็บรวบรวมข้อมูลจะต้องชี้แจงข้อมูลที่จะเก็บ วัตถุประสงค์ และต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้น จึงจะสามารถเข้าถึงและใช้ข้อมูลของเจ้าของได้ · ฝ่ายผู้เก็บรวบรวมข้อมูลต้องรักษาความปลอดภัยและความมั่นคงของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล · เจ้าของข้อมูลสามารถยกเลิกสิทธิ์การเข้าถึงข้อมูลของผู้เก็บรวบรวมข้อมูล และสามารถขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ทั้งนี้ภาครัฐได้แต่งตั้งหน่วยงานที่ดูแล Law compliance ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้แก่ · สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) มีหน้าที่จัดทำแผนแม่บท กำหนดมาตรการในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูล พร้อมให้ความรู้แก่ภาครัฐ เอกชนและประชาชนทั่วไป · คณะกรรมการผู้เชี่ยวชาญ จะเป็นผู้พิจารณาเรื่องร้องเรียน ตรวจสอบ และไกล่เกลี่ยข้อพิพาท และเพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้
1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)
ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล
สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?
· สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) · สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) · สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) · สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) · สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten) · สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) · สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) ทั้งนี้ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกันก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อรับมือกับ พ.ร.บ.นี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหารสำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้าตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร 3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ฉบับนี้จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม
ผู้ที่ได้รับมอบหมายให้ทำหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะต้องให้คำแนะนำในการปฎิบัติ ตรวจสอบกระบวนการให้เป็นไปตามแผนที่ตั้งไว้ ประสานงานเมื่อเกิดปัญหา และรักษาเป็นความลับ ซึ่งผู้ทำหน้าที่นี้อาจเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้ แต่ทั้งนี้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถือได้ว่าเป็นเรื่องใกล้ตัวที่ทุกคนในองค์กร ทุกภาคส่วน รวมถึงบุคคลทั่วไปก็ควรศึกษาข้อมูลและเตรียมพร้อม เพื่อสิทธิ์ ประโยชน์ และเลี่ยงปัญหาหลังจากที่พ.ร.บ.ฉบับนี้จะมีผลบังคับใช้ในเดือนพฤษภาคม พ.ศ.2563 จากสถานการณ์ดังกล่าว องค์กรในฐานะเป็นผู้เก็บรวบรวมข้อมูลอาจจะต้องพัฒนาปรับเปลี่ยนระบบให้มีความเสถียรและเพิ่มความปลอดภัยไซเบอร์มากขึ้น เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นี้ โดยใช้เทคโนโลยีหรือหาเครื่องมือใหม่ๆเข้ามาช่วย ซึ่งปัจจุบันมีโซลูชั่นมากมายที่มีคุณสมบัติในการเก็บรวบรวม การใช้ข้อมูลส่วนบุคคลให้ปลอดภัย ตลอดจนการป้องกันข้อมูลสูญหาย สามารถปรึกษาและสอบถามข้อมูลเพิ่มเติมเกี่ยวกับโซลูชั่นข้างต้นได้ที่ CSL ลูกค้าสัมพันธ์: 0-2263-8222 ติดต่อสอบถามบริการ: 0-2263-8185 E-mail: presales@csl.co.th บทความอ้างอิง : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
|