ใครเป็นใครใน PDPA?
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
บุคคลที่ข้อมูลนั้นชี้ไปถึง ไม่รวมถึงบุคคลที่เสียชีวิตหรือนิติบุคคล หมายรวมถึงประชาชนทุกคนที่มีข้อมูลอยู่ในภาครัฐ และลูกค้าหรือพนักงานที่มีข้อมูลอยู่กับหน่วยงานหรือองค์กรต่างๆ โดยเจ้าของข้อมูลส่วนบุคคล มีสิทธิทราบวัตถุประสงค์ในการจัดเก็บ/ ใช้ / เผยแพร่ข้อมูล รวมถึงขอให้ลบ/ ระงับได้เมื่อไม่ต้องการ และยังสามารถร้องเรียน/ ขอค่าสินไหมทดแทนได้ หากข้อมูลของตนถูกใช้งานผิดจากวัตถุประสงค์ที่แจ้ง
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หน่วยงาน / องค์กร / สถาบันที่มีอำนาจในการตัดสินใจ เป็นผู้กำหนดวัตถุประสงค์ วิธีการประมวลผล และจัดทำบันทึกรายการการใช้ประโยชน์จากข้อมูลส่วนบุคคล
นอกจากนั้นต้องมีมาตรการรักษาความมั่นคงปลอดภัยและป้องกันไม่ให้ผู้อื่นนำข้อมูลไปใช้โดยมิชอบ
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ที่ทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากประมวลผลข้อมูล นอกเหนือคำสั่งที่ได้รับ จะถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล โดยหลักคือ ผู้ที่รับจ้าง เช่น ร้านรับทำนามบัตร บริษัทรับทำบัญชี
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงานและการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน / องค์กร / สถาบันให้เป็นไปตามกฎหมาย
ในฐานะองค์กรต้องปรับตัวอย่างไรบ้าง?
แจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่ต้องปฏิบัติงานเกี่ยวข้องกับข้อมูลส่วนบุคคลให้ทราบ เพื่อให้ปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด
จัดให้มีมาตรการการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access control) โดยอย่างน้อยต้องประกอบด้วย
1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผล
2. การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
4. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
5. การจัดให้มีวิธีการตรวจสอบย้อนหลังการเข้าถึงข้อมูลส่วนบุคคลได้
สรุปประโยชน์ของ PDPA ใครได้อะไร?
ประชาชน
- รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด
- ขอให้ลบ ทำลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
- สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก
- ลดความเดือดร้อนรำคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล
หน่วยงานรัฐและเอกชน
- ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ในระดับนานาชาติ
- มีขอบเขตในการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน
- การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้
ประเทศ
- มีมาตรการในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ
- มีเครื่องมือในการกำกับการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
- สามารถสร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐและภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม
ในฐานะของประชาชน พนักงาน และลูกค้า ประโยชน์ของกฎหมายฉบับนี้ช่วยปกป้องคุ้มครองความปลอดภัยส่วนบุคคล ทำให้เราตระหนักได้ว่าข้อมูลส่วนตัวของเรามีมูลค่าสูงมากอย่างไม่น่าเชื่อเมื่อเทียบกับความสูญเสียที่อาจเกิดขึ้น หรืออย่างน้อยที่สุดเมื่อเทียบกับบทลงโทษและค่าปรับ
ในแง่ของภาคธุรกิจและองค์กร แม้ว่าเรื่องการจัดการด้านข้อมูลจะค่อนข้างซับซ้อน และมีข้อพึงระวังที่ต้องให้ความสำคัญมากกว่าเดิม หากมองในทางกลับกัน เมื่อแผนการเก็บ รวบรวม รักษาความปลอดภัย และการเผยแพร่มีประสิทธิภาพ เป็นไปอย่างถูกต้องตามเงื่อนไขด้วยชอบตามกฎหมายแล้ว องค์กรของคุณก็จะสามารถสร้างคงวามเชื่อมั่นให้กับพนักงาน ได้รับความไว้วางใจจากลูกค้าและคู่ค้าได้ ด้วยการออกแบบระบบ ออกแบบบริการให้ถูกต้องตามกฎหมาย และยังสร้างความเชื่อมั่นให้ผู้บริโภคได้อีกด้วย
ขอบคุณข้อมูลจาก:
Digital Marketing Executive | Aware Group ตั้งใจที่จะส่งมอบเนื้อหาที่เป็นประโยชน์ เขียนให้อ่านง่ายและเข้าใจง่าย แม้ผู้ที่ไม่มีความรู้ทางด้านเทคโนโลยีมาก่อนก็สามารถศึกษาร่วมกันได้ ยินดีที่จะนำเสนอเรื่องราวน่าสนใจด้านเทคโนโลยี มาร่วมเรียนรู้ด้วยกันนะคะ