ทำไมต้องรู้! PDPA คืออะไร? เกี่ยวข้องกับเราอย่างไร?

สวัสดีค่ะมิตรชาวไร่ทุกคน ที่ผ่านมาหลายคนอาจจะเคยเจอปัญหา บริษัทขายประกัน แหล่งเงินกู้ หรือเบอร์โทรศัพท์ที่มีเสียงด้วยระบบอัตโนมัติ แจ้งว่าเป็นหน่วยงานต่าง ๆ ติดต่อมาที่เบอร์ส่วนตัวเรากันบ้างนะคะ พอรับสายหลายคนอาจเอะใจว่า ได้เบอร์เรามาจากไหน ทำไมรู้ไปถึงที่อยู่ หรือข้อมูลส่วนตัวเราหลาย ๆ อย่าง

…..ใช่ค่ะ เมื่อเจอแบบนี้ อนุมานได้เลยว่า ข้อมูลส่วนตัวของเรารั่วไหลไปถึงไหนต่อไหนแล้วก็ไม่รู้ แบบนี้แล้ว หลายคนคงเริ่มรู้สึกไม่ปลอดภัยแล้วใช่ไหมคะ?

ปัญหาข้อมูลส่วนบุคคลรั่วไหลนี้ เป็นประเด็นทางสังคมที่สำคัญ จนทำให้เกิดร่าง พ.ร.บ.เพื่อคุ้มครองข้อมูลส่วนบุคคลขึ้น ซึ่งถูกดำเนินการมาอย่างต่อเนื่องภายใต้ชื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งดีเดย์จะประกาศใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 นี้

PDPA คืออะไร หลายคนอาจจะไม่คุ้นเคยมาก่อน เดี๋ยววันนี้เราจะมาสรุปโดยย่อให้มิตรชาวไร่เข้าใจกฎหมายตัวนี้ไปพร้อม ๆ กัน เพื่อสิทธิในการปกป้องข้อมูลส่วนตัวของเราค่ะ

PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งเป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาตเท่านั้น ย้ำนะคะว่า “ต้องตามคำยินยอมของเจ้าของข้อมูลเท่านั้น”

ข้อมูลส่วนบุคคลอะไรบ้างที่อยู่ภายใต้การคุ้มครองของ PDPA

ข้อมูลส่วนบุคคล ถูกแบ่งออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคลทั่วไป กับข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ข้อมูลส่วนบุคคลทั่วไป ได้แก่ ชื่อ-นามสกุล เบอร์โทรศัพท์ รูปภาพ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง รวมถึงข้อมูลอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location ค่ะ

ต่อมาคือข้อมูลส่วนบุคคลที่ต้องระวังมากเป็นพิเศษ คือข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ทำไมเรียกว่าอ่อนไหว ก็เพราะข้อมูลต่อไปนี้คือข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

สำหรับกฎหมาย PDPA มีใครเกี่ยวข้องบ้าง และเราในฐานะประชาชนของประเทศจะอยู่ในส่วนไหน

ภายใต้กฎหมาย PDPA ประกอบด้วย

เจ้าของข้อมูลส่วนบุคคล (Data Subject)
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

แน่นอนว่า เราจะอยู่ในส่วนของเจ้าของข้อมูล เว้นเสียแต่ว่ามีใครที่ทำงานในบริษัทหรือองค์กรที่ต้องใช้ข้อมูลส่วนบุคคล เราก็ต้องเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย ซึ่งก็ต้องห้ามเปิดเผยข้อมูลส่วนบุคคลของผู้อื่นโดยปราศจากการยินยอมค่ะ