เรียนรู้อย่างเข้าใจกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีขึ้นมาเผื่อปกป้องสิทธิการเข้าถึงข้อมูลส่วนบุคคล ซึ่งในปัจจุบันผู้คนส่วนใหญ่ผูกบริการต่าง ๆ มากมายผ่านสื่อสังคมเทคโนโลยีออนไลน์ โดยข้อมูลของเราที่อยู่ในบริการเหล่านั้นต่างอยู่ในมือของผู้ให้บริการทั้งสิ้น ซึ่งข้อมูลเหล่านี้ถูกรวบรวมโดยผ่านการยอมรับข้อตกลงและเงื่อนไข ตั้งแต่ตอนแรกที่เราสมัครบัญชีผู้ใช้งานของเครือข่ายนั้น ๆ หรือแบบที่เราไม่ได้ตั้งใจให้ข้อมูล ดังนั้นข้อมูลที่ถูกรวบรวมไปก็จะเป็นข้อมูลที่เรามีทั้งแบบตั้งใจและไม่ตั้งใจให้เขาไปนั่นเอง

โดยพฤติกรรมส่วนใหญ่ของคนไทยชอบเปิดเผยข้อมูล เช่น แชร์ว่าเราไปไหน แชร์โลเคชั่นว่าเราอยู่ไหนไปทำอะไรกับใคร หรือโพสต์รูปภาพต่างๆ ซึ่งข้อมูลที่เราแชร์หรือที่เราระบุใส่อยู่ในบริการต่าง ๆ สามารถนำมาประมวล วิเคราะห์ข้อมูล หรือทำสิ่งต่างๆ ไม่ว่าจะเป็น การตรวจสอบ วิเคราะห์ ปรับปรุงบริการ วิเคราะห์พฤติกรรมของผู้ใช้งาน ซึ่งสิ่งนี้เป็นสิ่งที่ต้องระวังเพราะผู้ไม่หวังดีอาจนำการวิเคราะห์พฤติกรรมการใช้งานของเราไปทำในสิ่งที่เรารู้หรือไม่อาจรู้ได้

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ.ย่อมาจาก พระราชบัญญัติ  คือ รูปแบบของกฎหมายที่พระมหากษัตริย์ทรงตราขึ้นโดยคำแนะนำและยินยอมของฝ่ายนิติบัญญัติ  ส่วนข้อมูลส่วนบุคคล คือ ข้อมูลของเราที่สามารถระบุตัวตนของเราได้  ดังนั้นพ.ร.บ.ข้อมูลส่วนบุคคล ก็คือ กฎหมายที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ประโยชน์ด้านอื่น ๆ เพื่อป้องกันและแก้ไขปัญหาการล่วงละเมิดสิทธิ และข้อมูลส่วนบุคคล โดยกำหนดหลักเกณฑ์ และมาตรการกำกับดูแลการเก็บรวบรวม การใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นมาตรฐานสากล เพื่อคุ้มครองไม่ให้มีการก่อความเดือดร้อนรำคาญ หรือสร้างความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล จึงมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมา เพื่อช่วยดูแลด้านต่างๆ ให้ข้อมูลไม่รั่วไหลไปสู่ภาคส่วนอื่น ๆ และถูกเก็บไว้เป็นความลับ เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญ หรือ ความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของ เทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้

สาระสำคัญของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โดยกฎหมายฉบับนี้จะบังคับใช้กับ หน่วยงานภาคเอกชนและภาครัฐ ที่มีการจัดเก็บข้อมูลส่วนบุคคลของประชาชนเอาไว้ และสิ่งผู้ให้บริการอาจจะต้องกังวลกันมากในระยะหลังจากที่บังคับใช้กฎหมายฉบับนี้ คือการจะต้องรีบจัดสรรงบประมาณจำนวนหนึ่งเพื่อที่จะมาสร้างระบบความมั่นคง ปลอดภัย เพื่อไม่ให้ระบบข้อมูลผู้ใช้รั่วไหลออกไป และต้องมีมาตรฐานตามที่จะมีการกำหนดขึ้น ซึ่งหากพบว่ามีข้อมูลรั่วไหลจากทางใดทางหนึ่งก็จะถือว่า ระบบไม่มีมาตรฐาน และมีความผิด เนื่องจากกฎหมายนี้มีบทลงโทษ ทั้งทางอาญาและทางปกครอง ทั้งนี้ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อม 1 ปี นับจากวันประกาศ หรือสรุปว่ามีผลในวันที่ 28 พฤษภาคม พ.ศ. 2563 สาระสำคัญในกฏหมายฉบับนี้มีดังนี้

1. กำหนดนิยามคำว่า “ข้อมูลส่วนบุคคล” ให้ชัดเจนว่าคือข้อมูลที่ทำให้ระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อมก็ตาม
2. กำหนดสิทธิเจ้าของข้อมูล ให้ผู้ใช้มีสิทธิเข้าถึงข้อมูลส่วนตัวของตน พร้อมเปิดเผยที่มาของข้อมูล รวมถึงมีสิทธิแก้ไขข้อมูลให้ถูกต้อง และให้สิทธิ์เจ้าของระงับการใช้ข้อมูลหรือทำลายข้อมูลของตัวเองได้
3. เมื่อเกิดการละเมิดข้อมูลส่วนบุคคล โดนแฮก หรือข้อมูลรั่วไหล ผู้ให้บริการต้องรีบแจ้งให้เจ้าของข้อมูลทราบ พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลถึงมาตรการเยียวยา
4. หน้าที่พวกผู้ควบคุมครองข้อมูล กำหนดหน้าที่ในการดุแลข้อมูลส่วนบุคคล การเก้บ การรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องขอความยินยอม แจ้งวัตุประสงค์ชัดเจน หรือลบ หรือทำลายข้อมูล เมื่อพ้นระยะเวลา
5. หน้าที่ผู้ประมวลข้อมวลส่วนบุคคล ทั้งเก็บรวบรวมใช้ หรือเปิดเผยตามคำสั่งของผู้ควบคุ้มครองมูลส่วนบุคคล ที่ต้องมีมาตรการดูแลความมั่นคง ปลอดภัย ในการประมวลผลข้อมูล
6. มาตรการความปลอดภัย ให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล จัดให้มีมาตรการรักษาความมั่นคง ปลอดภัยที่เหมาะสม
7. ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเปิดเผยจะมีบทลงโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และ มาตรา 79)

ผู้ให้บริการและบุคคลทั่วไปต้องทำอะไรบ้าง?

   หากอยู่ในฐานะขององค์กร หรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสำคัญคือ ต้องรู้ขอบเขตของการเข้าถึงข้อมูลส่วนบุคคล มีระบบควบคุมการเข้าถึง ข้อมูล ส่วนบุคคล มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูลส่วนบุคคล รวมไปถึงต้องมีการกำหนดนโยบาย สำหรับบุคคลภายในองค์กรที่ต้อง เกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้ว เนื่องจากมีข้อบังคับต่าง ๆ ที่หากละเมิดแล้ว จะมีผลให้เกิดโทษอาญา โทษทางปกครอง ซึ่งมีโทษปรับมากถึง 5 ล้านบาท

   ส่วนในฐานะบุคคลทั่วไปหรือเจ้าของข้อมูลส่วนบุคคล ก่อนจะให้ข้อมูลสำคัญ ควรมีการเก็บบันทึกเป็นหลักฐานไว้ หรือมีการขอสำเนาของเอกสารที่มีข้อมูลส่วนบุคคล เมื่อใดพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ก็จะได้ใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ และมีสติรอบคอบในการให้ข้อมูลส่วนบุคคลแก่ เว็บไซต์แอพพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล ยกตัวอย่างเช่น การทำงานของเว็บไซต์ แอพพลิเคชัน เช่น ปัจจุบันนี้ หลายแอพพลิเคชันจะเชื่อมต่อระบบสมาชิกกับเฟซบุ๊ก มีการขอชื่ออีเมลและรายชื่อเพื่อนในเฟซบุ๊กของเรา หากเราเห็นว่าไม่จำเป็นที่ต้องให้ข้อมูลรายชื่อเพื่อน ก็สามารถคลิกเพื่อไม่ยินยอม และยินยอมให้เฉพาะอีเมลเพื่อการเข้าระบบของแอปพลิเคชันนั้น ๆ ได้ กล่าวอีกนัยหนึ่ง ตัวเจ้าของข้อมูลต้องทำหน้าที่ “คุ้มครองข้อมูลของตนเอง” ด้วย ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล

   ถือเป็นสัญญาณที่ดีของประเทศไทย เพื่อก้าวไปสู่เศรษฐกิจและสังคมดิจิทัล โดยสามารถนำเทคโนโลยีดิจิทัล ไปช่วยขับเคลื่อนการพัฒนาประเทศได้อย่างมีประสิทธิภาพ ลดความเสี่ยง และรับมือกับภัยคุกคาม ซึ่งเป็นปัญหาใหญ่ที่ทั่วโลก เผชิญหน้าอยู่ในปัจจุบันและอนาคต

• Facebook
• Twitter
• Line