ในยุคที่ข้อมูลมีค่ายิ่งกว่าทอง หลากหลายธุรกิจต่างก็ต้องการข้อมูลจากผู้บริโภค ทั้งเพื่อส่งเสริมการขายและทำการตลาด การคุ้มครอง “ข้อมูลส่วนบุคคล” จึงกลายเป็นเรื่องที่ควรให้ความสำคัญควบคู่กันไป กฎหมาย PDPA จึงถูกพูดถึงกันมากช่วงนี้ สำหรับผู้ใช้งานทั่วไปอย่างเรา ๆ ต้องรู้อะไรบ้าง วันนี้เงินติดล้อจะมาแนะนำให้ทุกคนรู้กันว่า PDPA คืออะไร มีสิทธิประโยชน์อะไรที่เราควรรู้ ติดตามกันได้เลยครับ
PDPA คืออะไร ?
PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่หลาย ๆ คนรู้จักกันในชื่อ PDPA ซึ่งย่อมาจากคำว่า ‘Personal Data Protection Act’ เป็นกฎหมายที่เข้ามากำหนดเกณฑ์ต่าง ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยพ.ร.บ.ฉบับนี้จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 แต่ก็เพียงบางหมวดเท่านั้น เนื่องจากผลกระทบจากสถานการณ์โควิด 19 จึงมีการประกาศเลื่อนการบังคับใช้จากเดิมออกไปจนถึงวันที่ 31 พฤษภาคม 2564 และ จะบังคับใช้อย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2564 เป็นต้นไป
ความสำคัญของ PDPA
ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลถูกเก็บและนำไปใช้ประโยชน์อย่างกว้างขวางกฎหมาย PDPA จึงมีความสำคัญในการสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยและน่าเชื่อถือ การเข้าใจว่า PDPA คืออะไร จะช่วยให้ทั้งภาคธุรกิจและประชาชนทั่วไปตระหนักถึงสิทธิและความรับผิดชอบของตนเอง ช่วยป้องกันการละเมิดสิทธิความเป็นส่วนตัว การถ่ายรูปที่อาจเข้าข่ายผิด PDPA และลดความเสี่ยงจากการที่ข้อมูลรั่วไหลหรือถูกนำไปใช้ในทางที่ผิด
องค์ประกอบสำคัญของ PDPA
เพื่อให้กฎหมาย PDPA สามารถคุ้มครองข้อมูลของเราได้อย่างสมบูรณ์ จะต้องมีองค์ประกอบที่เป็นบุคคลและหน่วยงานเข้ามาเกี่ยวข้อง ซึ่งแต่ละฝ่ายก็มีบทบาทหน้าที่แตกต่างกันไปตามองค์ประกอบดังนี้
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ตัวบุคคลที่ข้อมูลนั้นสามารถใช้ระบุตัวตนได้ หรือเรียกง่ายๆ ว่าเป็น "เจ้าของข้อมูล" เช่น ลูกค้าที่มาใช้บริการกับเงินติดล้อ หรือผู้ที่เข้ามาลงทะเบียนในเว็บไซต์ ซึ่งในฐานะเจ้าของข้อมูล เรามีสิทธิต่างๆ ตามที่กฎหมาย PDPA กำหนดไว้
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือองค์กรที่มีอำนาจ "ตัดสินใจ" ว่าจะเก็บรวบรวม, ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร เปรียบเสมือนผู้ที่รับผิดชอบข้อมูลชุดนั้นโดยตรง เช่น บริษัทเงินติดล้อ หรือธุรกิจอื่นๆ ที่เราไปใช้บริการและให้ข้อมูลไว้
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือองค์กรที่จะเข้ามาดำเนินการเกี่ยวกับข้อมูล "ตามคำสั่ง" ของผู้ควบคุมข้อมูล (Data Controller) เท่านั้น ไม่มีสิทธิ์ตัดสินใจนำข้อมูลไปใช้นอกเหนือจากที่ได้รับมอบหมาย
PDPA คุ้มครองอะไรบ้าง
หลายคนอาจสงสัยว่าขอบเขตของกฎหมาย PDPA ครอบคลุม "ข้อมูลส่วนบุคคล" ซึ่งหมายถึงข้อมูลใดๆ ที่สามารถใช้ระบุตัวตนของบุคคลนั้นได้ ทั้งทางตรงและทางอ้อม โดยแบ่งออกเป็น 2 ประเภทหลัก ดังนี้
ข้อมูลส่วนบุคคลทั่วไป (Personal Data)
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) คือข้อมูลที่เกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวตนได้ ไม่ว่าจะเป็นข้อมูลพื้นฐานหรือข้อมูลที่เกี่ยวข้องกับการใช้ชีวิตและการทำงาน ตัวอย่างเช่น
- ชื่อ-นามสกุล, เลขบัตรประจำตัวประชาชน, เลขหนังสือเดินทาง
- ที่อยู่, อีเมล, หมายเลขโทรศัพท์
- ข้อมูลทางการเงิน เช่น เลขบัญชีธนาคาร, เลขบัตรเครดิต
- ข้อมูลระบุทรัพย์สิน เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
- ข้อมูลที่สามารถระบุตัวตนทางออนไลน์ได้ เช่น IP Address, Cookie ID
ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือ เป็นข้อมูลที่มีความละเอียดอ่อนเป็นพิเศษ และอาจส่งผลกระทบต่อเจ้าของข้อมูลได้อย่างมากหากถูกเปิดเผยโดยไม่ได้รับอนุญาต การเก็บข้อมูลประเภทนี้ต้องใช้ความระมัดระวังและต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลก่อนเสมอ ซึ่ง PDPA พ.ร.บ. คุ้มครองข้อมูลเหล่านี้ ได้แก่
- เชื้อชาติ, เผ่าพันธุ์
- ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ, ความพิการ, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ (เช่น ลายนิ้วมือ, ภาพสแกนม่านตา)
- ข้อมูลสหภาพแรงงาน
สิทธิของเจ้าของข้อมูล ที่คุณต้องรู้ !
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA ได้กำหนดให้พวกเราซึ่งเป็นเจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตัวเอง ดังนี้
- สิทธิในการได้รับการแจ้งให้ทราบเมื่อมีการเก็บข้อมูล วัตถุประสงค์ในการใช้ข้อมูล หรือเวลาจะนำข้อมูลไปใช้
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ได้มีการเก็บรวบรวมไว้เมื่อไหร่ก็ได้
- สิทธิในการอนุญาตให้มีการโอนข้อมูลส่วนบุคคลของเราไปยังผู้ให้บริการอีกรายหนึ่ง
- สิทธิในการถอดถอนความยินยอมในการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลที่เราเคยได้ให้ไว้
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน หรือให้ถูกต้อง
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
ขั้นตอนการทำตาม PDPA
สำหรับเจ้าของธุรกิจต่างๆ ที่มีการทำธุรกรรมออนไลน์เข้ามาเกี่ยวข้อง การปฏิบัติตาม พ.ร.บ. PDPA ไม่ใช่เรื่องซับซ้อน แต่ต้องอาศัยความเข้าใจในหลักการและขั้นตอนที่ถูกต้อง โดยเฉพาะกระบวนการที่เกี่ยวข้องกับการเก็บรวบรวมและการเปิดเผยข้อมูล ซึ่งเป็นหัวใจสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เจ้าของธุรกิจสามารถประยุกต์ใช้ขั้นตอนได้ตามวัตถุประสงค์ดังนี้
ขั้นตอนการเก็บข้อมูล
- กำหนดวัตถุประสงค์และฐานกฎหมาย อันดับแรกก่อนเก็บข้อมูล ต้องระบุให้ชัดเจนว่าจะนำข้อมูลไปใช้ทำอะไร (เช่น เพื่อการสมัครสินเชื่อ, การตลาด) และอ้างอิงฐานกฎหมายที่เหมาะสม (เช่น ความยินยอม, สัญญา)
- แจ้งเจ้าของข้อมูล (Privacy Notice) ต้องจัดทำคำประกาศความเป็นส่วนตัว เพื่อแจ้งรายละเอียดที่สำคัญให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บข้อมูล เช่น วัตถุประสงค์, ประเภทข้อมูลที่จะเก็บ, ระยะเวลา, และสิทธิของเจ้าของข้อมูล
- ขอความยินยอม (Consent) หากการเก็บข้อมูลต้องอาศัยความยินยอม ต้องขอความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง, เป็นอิสระ, เข้าใจง่าย และสามารถถอนความยินยอมได้สะดวก
- เก็บข้อมูลเท่าที่จำเป็น เก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น หลีกเลี่ยงการเก็บข้อมูลที่ไม่เกี่ยวข้อง
- จัดทำบันทึกรายการ (ROPA) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล เพื่อให้สามารถตรวจสอบได้ว่ามีการเก็บและใช้ข้อมูลอะไรบ้าง
ขั้นตอนการเปิดเผยข้อมูล
- ตรวจสอบวัตถุประสงค์และคำยินยอม ก่อนเปิดเผยข้อมูล ต้องตรวจสอบให้แน่ใจว่าการเปิดเผยนั้นเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้และได้รับความยินยอมจากเจ้าของข้อมูลแล้ว
- พิจารณาฐานกฎหมายอื่น หากไม่มีความยินยอม การเปิดเผยข้อมูลอาจทำได้หากเข้าข้อยกเว้นตามกฎหมาย เช่น เป็นการปฏิบัติตามกฎหมาย, เพื่อประโยชน์ต่อชีวิตหรือร่างกาย, หรือเพื่อการทำวิจัย/สถิติ
- ทำข้อตกลงกับผู้ประมวลผลข้อมูล กรณีส่งต่อข้อมูลให้ผู้ประมวลผลข้อมูล (Data Processor) ต้องจัดทำข้อตกลงเป็นลายลักษณ์อักษร เพื่อควบคุมให้ผู้รับข้อมูลปฏิบัติตามกฎหมายอย่างเคร่งครัด
- ใช้มาตรการรักษาความปลอดภัย ในการส่งต่อหรือเปิดเผยข้อมูล ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม เช่น การเข้ารหัสข้อมูล เพื่อป้องกันการรั่วไหล
- บันทึกการเปิดเผยข้อมูล ควรบันทึกประวัติการเปิดเผยข้อมูลไว้เสมอว่าได้เปิดเผยข้อมูลให้ใคร, เมื่อใด และด้วยเหตุผลอะไร เพื่อใช้ในการตรวจสอบภายหลัง
ต้องรู้มี PDPA แล้ว ชีวิตดียังไง?
หลายคนอาจสงสัยว่า แล้วมันจะทำให้ชีวิตเราดีขึ้นอย่างไร จริง ๆ แล้วการมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะช่วยให้เจ้าของข้อมูลส่วนตัวรู้ และสามารถจัดการ ข้อมูลส่วนบุคคลของคุณได้มากขึ้น
ยกตัวอย่างง่าย ๆ ให้สมมุติว่า “ข้อมูลส่วนบุคคลของคุณเป็นรถยนต์” เวลาเพื่อนของคุณจะขอยืมรถ หรือถ้าจะเอารถไปที่ไหนจะต้องขออนุญาตกับคุณก่อน จะส่งให้ใครต่อก็ต้องบอกให้คุณรู้ และแน่นอนคุณมีสิทธิในการขอรถคืน หรือกำหนดเงื่อนไขในการใช้รถได้ตามข้อตกลงกับเพื่อนของคุณ ได้ทุกเมื่อ
นอกจากจะสามารถจัดการข้อมูลส่วนบุคคลของคุณที่เพิ่มขึ้นแล้ว คุณจะมีความมั่นใจมากขึ้นว่า ข้อมูลของคุณจะปลอดภัย, ถูกนำไปใช้อย่างถูกต้อง และเป็นประโยชน์สูงสุดกับตัวคุณเอง
สรุปความสำคัญของ PDPA ที่ทุกคนควรรู้
สิทธิในข้อมูลส่วนบุคคลเป็นเรื่องที่เราทุกคนต้องตระหนัก เพื่อประโยชน์สูงสุดและความปลอดภัยในข้อมูลของตัวคุณ การมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ทำให้หลายธุรกิจเริ่มให้ความสำคัญในสิทธิด้านข้อมูลส่วนตัวของผู้บริโภคมากขึ้น และเงินติดล้อก็เป็นหนึ่งในสถาบันการเงินที่ให้ความสำคัญกับเรื่องนี้มาก ๆ เพื่อประโยชน์สูงสุดต่อผู้ใช้บริการ
สำหรับทุกการทำธุรกรรม หรือบริการสินเชื่อทะเบียนรถยนต์จากเงินติดล้อ ได้มีจัดการข้อมูลตามมาตรฐานของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ทำให้มั่นใจได้เลยว่า ข้อมูลของคุณจะปลอดภัย ไม่รั่วไหล และไม่ถูกนำไปใช้ผิดวัตถุประสงค์ตามที่ผู้ขอข้อมูลได้แจ้งและคุณได้ให้ความยินยอมไว้ เพื่อประโยชน์สูงสุดต่อตัวคุณเอง
สามารถอ่านเพิ่มเติมได้ที่
ที่มา: PDPA.PRO