PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม
- เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว
- เพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล
ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้น ได้ไม่ว่าทางตรงหรือทางอ้อมจะเป็นรูปแบบใดก็ตาม เช่น รูปกระดาษหรืออิเล็กทรอนิกส์ ตัวหนังสือรูปภาพหรือเสียง โดยครอบคลุมตั้งแต่ ชื่อ นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล์ นอกจากนี้กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI หรือ Device ID ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม
เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและหรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ข้อมูลส่วนบบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่มีชีวิต ที่สามารถระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
สิ่งที่องค์กรต้องเตรียมพร้อมกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคล คือ ทำ Privacy policy และ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ เช่น
- มีนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies)
- มีการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)
- มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)
ดังนั้นการบริหารจัดการข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับทุกภาคส่วนในองค์กรและจำเป็นต้องดำเนินการอย่างต่อเนื่อง
การบริหารจัดการข้อมูลส่วนบุคคลให้มีประสิทธิภาพและประสิทธิผลที่ดีนั้นขึ้นอยู่กับดังต่อไปนี้
- การกำกับดูแลของกรรมการและผู้บริหารและการมีส่วนร่วมของบุคคลในองค์กร
- การออกแบบกระบวนการที่มีการสอดแทรกมาตรการการคุ้มครองข้อมูลส่วนบุคคล
- การนำเทคโนโลยีเข้ามาช่วยในการติดตามตรวจสอบการปฏิบัติงาน การฝ่าฝืนนโยบาย และมาตรการที่กำหนดไว้ รวมถึงการวิเคราะห์ ตรวจสอบ ค้นหาและตอบสนองต่อภัยคุกคามจากภายนอก
