DPA Personal Data Protection Act พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กรมอนามัย
กรมอนามัย พร้อมให้ข้อมูลข่าวสารที่มีประโยชน์สำหรับคุณ
|
PDPA Personal Data Protection Act พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
|
PDPA คืออะไร ?
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อวันที่ 27 พฤษภาคม 2562 โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่นๆ ที่เราไม่ยินยอม เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัวเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล
* * * * * * * * * * * * * *
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เป็นต้น ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไปจะต้องเก็บเท่าที่จำเป็น และต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เข้าข้อยกเว้นตามกฎหมาย
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ลายนิ้วมือ เป็นต้น ซึ่งมีการควบคุมเข้มงวดกว่าข้อมูลทั่วไป พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ไม่ให้มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม หรือนำไปใช้ในทางมิชอบ โดยกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลเท่านั้น
ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คืออะไร มีอะไรบ้าง?ั
1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)
2. ศาสนา (Religious)
3. ข้อมูลสุขภาพ (Health)
4. รสนิยมทางเพศ (Sexual orientation)
5. ความคิดเห็นทางการเมือง (Political opinions)
6. ข้อมูลพันธุกรรม (Genetic data)
* * * * * * * * * * * * * *
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
ประชาชน
มั่นใจได้ว่าข้อมูลส่วนบุคคลได้รับการเก็บรักษาอย่างปลอดภัย เหมาะสม และจะถูกใช้หรือเผยแพร่
ภายใต้ขอบเขตวัตถุประสงค์ที่แจ้งไว้แต่แรก
ลดความเสียหายความเดือดร้อนอันเกิดจากการละเมิดข้อมูลส่วนบุคคล
มีสิทธิ ในการ รับทราบ วัตถุประสงค์การจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด อนุญาต/ไม่อนุญาต หรือถอน
ความยินยอมให้มีการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ขอเข้าถึง ขอรับสำเนาหรือขอให้ เปิดเผยการได้มาซึ่งข้อมูล
ส่วนบุคคล ขอให้ลบ ทำลาย หรือขอให้ระงับ การใช้ข้อมูลส่วนบุคคลได้
สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากพบว่ามีการใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้
* * * * * * * * * * * * * *
ภาครัฐ
ทัดเทียมนานาอารยประเทศในด้านกฎหมาย/กฎระเบียบในการคุ้มครองข้อมูลส่วนบุคคล
มีมาตรการกำกับดูแล รวมถึงเครื่องมือกำกับการดำเนินงานการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ
มีธรรมาภิบาล การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลมีความโปร่งใส ตรวจสอบได้
สร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐ
และภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม
ส่งเสริมภาพลักษณ์ประเทศ ในด้านประสิทธิภาพการคุ้มครองข้อมูลส่วนบุคคล
* * * * * * * * * * * * * *
ขั้นตอนการทำตาม PDPA ต้องทำอย่างไร ?
| Step 1 การเก็บรวบรวมข้อมูลส่วนบุคคล |
หน่วยงานที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล ต้องประกาศ นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ด้วยเอกสาร และเว็บไซต์ หรือช่องทางการติดต่ออื่น โดยมีเอกสารที่เกี่ยวข้อง ดังนี้
1. จัดทำรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบประกาศความเป็นส่วนตัว
(Privacy Notice) ของกรมอนามัย (รออธิบดีลงนาม)
- นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) กรมอนามัย
2. ผู้ที่มีความประสงค์จะจัดเก็บข้อมูลส่วนบุคคล ต้องจัดทำหนังสือให้ความยินยอม หรือ Consent Form คือเอกสารที่เป็นข้อตกลงระหว่างเจ้าของข้อมูล กับองค์กร โดยเจ้าของข้อมูลต้องให้ความยินยอมเป็นลายลักษณ์อักษร อนุญาตให้บุคคลหรือองค์กรอื่น เก็บ ประมวลผลข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลของตนได้
- หนังสือให้ความยินยอม หรือ Consent Form
| Step 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล |
หน่วยงานควรกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID ,ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
- บันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (Records of Processing Activity: ROPA)
| Step 3 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล |
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
- ทั้งนี้สำนักส่งเสริมสุขภาพ เปิดช่องทางรับคำร้องจากเข้าของข้อมูลส่วนบุคคลผ่านทาง website ของสำนักฯ ที่เมนู “ติดต่อเรา” หรือ Url:https://hp.anamai.moph.go.th/th/contact-us
| Step 4 การส่งหรือเปิดเผยข้อมูลส่วนบุคคล |
- ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
- ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
-เอกสารข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processingn Agreement: DPA)
| Step 5 การกำกับดูแลข้อมูลส่วนบุคคล |
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละหน่วยงานต้องปฏิบัติตาม โดยหน่วยงานที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทย ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี