ข่าวสารในปัจจุบัน มีเรื่องการขโมยข้อมูลส่วนบุคคลของลูกค้า หรือ ข้อมูลส่วนตัวของคนไข้ ออกมาเป็นระยะ ทั้งในต่างประเทศและประเทศไทย และหลายธุรกิจ ตั้งแต่ การท้องเที่ยว โรงพยาบาล ขายปลีก โรงพยาบาล หรือแม้แต่หน่วยงานรัฐ ดังนั้นการดูแลและจัดการข้อมูลส่วนบุคคลจึงมีบทบาทมากยิ่งขึ้น
ในวันที่ 28 พฤษภาคม 2561 (2018) สหภาพยุโรป ได้มีข้อกำหนดให้มีการบังคับใช้กฎหมาย เพื่อการคลุมครองข้อมูลส่วนบุคคลในชื่อว่า General Data Protection Regulation หรือ GDPR เพื่อให้องค์กรทั้งภาครัฐและเอกชน ที่ได้มีการบันทึกข้อมูลส่วนบุคคลของ คนยุโรป ต้องดำเนินการกฎหมายดังกล่าว
ในวัน 27 พฤษภาคม 2562 (2019) ประเทศไทยของเราก็มีการประกาศ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act หรือ PDPA) เพื่อการป้องกันและดูแลข้อมูลส่วนบุคคลของคนไทย แต่ด้วยสถานการณ์ด้านโรคระบาด จึงได้มีการยกเว้นการบังคับใช้ บางมาตราออกไปก่อน โดย ณ วันที่บทความนี้ ได้ประกาศ เลื่อนการบังคับใช้ เป็น วันที่ 1 มิถุนายน 2565 (2022)
บทความนี้ขอแนะนำข้อมูลเบื้องต้นสำหรับ กฎหมาย นี้ เพื่อการเตรียมตัว และการดำเนินเพื่อการดูแลข้อมูลของลูกค้าหรือคนไข้ ของกิจการ ซึ่งถือเป็น ตอนที่ 1 ในเรื่องของความหมาย และ กิจการที่ต้องเกี่ยวข้อง
“ข้อมูลส่วนบุคคล” (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุ ตัวบุคคล (Data Subject) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“บุคคล” หมายความว่า บุคคลธรรมดา ไม่รวม นิติบุคคล
ตัวอย่างข้อมูลส่วนบุคคลจึงประกอบด้วย
ตัวอย่างข้อมูลที่ไม่ถือเป็นข้อมูลส่วนบุคคล
นอกจากข้อมูลส่วนบุคคลโดยทั่วไป ข้อมูลที่ต้องให้ความสำคัญยิ่ง คือ ข้อมูลอ่อนไหว (Sensitive Data) เป็นข้อมูลส่วนบุคคลที่เป้นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและส่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอยางไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
ตัวอย่างข้อมูลอ่อนไหว
หน่วยงานที่เกี่ยวข้อง สำหรับ การคุ้มครองข้อมูลส่วนบุคคลนั้น สามารถแยกได้ดังนี้
“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งก็คือ บริษัทหรือหน่วยงานที่ทำหน้าที่ในการเก็บข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
หากเป็นบริษัท หรือ กิจการที่ดำเนินเอง โดยไม่ได้ใช้กิจการหรือหน่วยงานอื่นมาร่วมในการเก็บข้อมูลแล้ว ผู้ควบคุมข้อมูล และ ผู้ประมวลผลข้อมูล จะเป็นคนเดี่ยวกัน
แต่หากกิจการนำข้อมูลส่วนบุคคลไปให้บริษัก หรือ หน่วยงานอื่นในการดำเนินการ ผู้ที่รับข้อมูลนั้นก็จะเป็นผู้ประมวลผลข้อมูล ซึ่งต้องดำเนินการตามคำสั่งของ บริษัท ที่เป็นผู้ควบคุมข้อมูล อย่างเคร่งครัด เช่น การส่งข้อมูล ฟิล์มเอกซ์เรย์ ให้บริษัทหรือบุคคลช่วยในการแปลผล หากบริษัทหรือหน่วยงานนั้น นำข้อมูลรั่วออกไป ผู้ควบคุมข้อมูล ต้องรับผิดชอบต่อเจ้าของข้อมูล แต่หากสามารถเรียกร้องต้อง บริษัทหรือหน่วยงานที่ทำข้อมูลรั่วออกไปได้
——-
ข้อมูลอ้างอิง:
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
Thailand Data Protection Guidelines 3.0 : https://www.law.chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201208.pdf
Recent Comments