PDPA Personal Data Protection Act พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กรมอนามัย

PDPA คืออะไร ?

 PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อวันที่ 27 พฤษภาคม 2562 โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่นๆ ที่เราไม่ยินยอม เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัวเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

* * * * * * * * * * * * * * 

ประชาชน

มั่นใจได้ว่าข้อมูลส่วนบุคคลได้รับการเก็บรักษาอย่างปลอดภัย เหมาะสม และจะถูกใช้หรือเผยแพร่
ภายใต้ขอบเขตวัตถุประสงค์ที่แจ้งไว้แต่แรก

ลดความเสียหายความเดือดร้อนอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

มีสิทธิ ในการ รับทราบ วัตถุประสงค์การจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด อนุญาต/ไม่อนุญาต หรือถอน
ความยินยอมให้มีการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ขอเข้าถึง ขอรับสำเนาหรือขอให้ เปิดเผยการได้มาซึ่งข้อมูล
ส่วนบุคคล ขอให้ลบ ทำลาย หรือขอให้ระงับ การใช้ข้อมูลส่วนบุคคลได้

สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากพบว่ามีการใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้

* * * * * * * * * * * * * * 

ภาครัฐ

ทัดเทียมนานาอารยประเทศในด้านกฎหมาย/กฎระเบียบในการคุ้มครองข้อมูลส่วนบุคคล

มีมาตรการกำกับดูแล รวมถึงเครื่องมือกำกับการดำเนินงานการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ

มีธรรมาภิบาล การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลมีความโปร่งใส ตรวจสอบได้

สร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐ
และภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม

ส่งเสริมภาพลักษณ์ประเทศ ในด้านประสิทธิภาพการคุ้มครองข้อมูลส่วนบุคคล

* * * * * * * * * * * * * * 

ขั้นตอนการทำตาม PDPA ต้องทำอย่างไร ?

หน่วยงานแจ้งเจ้าของข้อมูลผ่าน Privacy Policy ด้วยเอกสาร และเว็บไซต์หรือช่องทางการติดต่ออื่น โดยมีรายละเอียดที่เกี่ยวข้อง ดังนี้

1. จัดทำรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบประกาศความเป็นส่วนตัว
(Privacy Notice) ของกรมอนามัย (รออธิบดีลงนาม)
- ทั้งนี้สำนักส่งเสริมฯ มีการขับเคลื่อน Privacy Notice สอดคล้องกับกรมอนามัย (ผอ.ลงนาม)  

2. จัดทำหนังสือให้ความยินยอม หรือ Consent Form คือ เอกสารที่เป็นข้อตกลงระหว่างเจ้าของข้อมูล กับองค์กร โดยเจ้าของข้อมูลต้องให้ความยินยอมเป็นลายลักษณ์อักษร อนุญาตให้บุคคลหรือองค์กรอื่น เก็บ ประมวลผลข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลของตนได้

* * * * * * * * * * * * * * 

 หน่วยงานควรกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID ,ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

* * * * * * * * * * * * * * 

• มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
  - ทั้งนี้สำนักส่งเสริมสุขภาพ เปิดช่องทางรับคำร้องจากเข้าของข้อมูลส่วนบุคคลผ่านทาง website ของสำนักฯ ที่เมนู
  “ติดต่อเรา” หรือ Url:https://hp.anamai.moph.go.th/th/contact-us

* * * * * * * * * * * * * * 

• ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
• ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA

* * * * * * * * * * * * * * 

 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละหน่วยงานต้องปฏิบัติตาม โดยหน่วยงานที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทย ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี 

* * * * * * * * * * * * * *