นโยบายการคุ้มครองข้อมูลส่วนบุคคล มทส.

รายละเอียด PDPA

PDPA คืออะไร?

  • ความหมาย PDPA, เกี่ยวข้องกับเราอย่างไร

PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) หรือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

PDPA ที่จะบังคับใช้ในประเทศไทยนี้ มีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย

รายละเอียดข้อบังคับ PDPA

  • การขออนุญาตเก็บข้อมูล

การขออนุญาตข้อมูลส่วนบุคคลจากเจ้าของข้อมูลนั้นจะต้องมีเงื่อนไขการยินยอมที่ชัดเจน ซึ่งหมายความว่าจุดประสงค์ของการขอเก็บข้อมูลต้องเข้าใจได้ง่าย มีการกำหนดระยะเวลาการเก็บข้อมูล มีช่องที่เหมาะสมสำหรับการติดต่อ DPO ให้ชัดเจน เพื่อไม่ให้เจ้าของข้อมูลเกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถถอน หรือลบเมื่อไหร่ก็ได้

  • ระยะเวลาในการแจ้งเตือนหากมีข้อมูลส่วนบุคคลรั่วไหล

หากเจ้าของข้อมูลส่วนบุคคล (Data Subject) ขอสำเนาข้อมูลของตนในองค์กรจะต้องออกแบบฟอร์มหรือระบุช่องทางการขอข้อมูลที่มีรายละเอียดครบถ้วน ในส่วนนี้องค์กรต้องส่งข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับเจ้าของข้อมูล รวมถึงวิธีที่คุณใช้ข้อมูลของเจ้าของข้อมูลอีกด้วย

  • สิทธิ์ในการขอลบข้อมูลของเจ้าของข้อมูล

เมื่อข้อมูลส่วนบุคคลมีการใช้งานจนบรรลุวัตถุประสงค์หรือครบระยะเวลาในการเก็บแล้ว ผู้ควบคุมข้อมูล (Data Controller) จะต้องทำการลบข้อมูลส่วนบุคคลทั้งหมดตามที่ระบุไว้ใน Consent ขออนุญาตเก็บข้อมูล อีกทั้งเจ้าของข้อมูลมีสิทธิ์ที่จะขอลบข้อมูลได้ทุกเวลา

  • สิทธิ์ในการถ่ายโอน หรือเลือกใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Owner) สามารถให้สิทธิ์แก่องค์กรนำข้อมูลไปใช้กับอีกองค์กรในเครือได้โดยการใช้สิทธิ์นั้นจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิของผู้อื่น

  • ออกแบบระบบและรูปแบบการเก็บข้อมูลที่มีความปลอดภัย

ในตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดที่ว่า องค์กรที่มีการเก็บ ประมวลผล และใช้ข้อมูลส่วนบุคคลต้องมีระบบการเก็บข้อมูลที่มีประสิทธิภาพ และชัดเจน สามารถ Monitor และแจ้งเตือนหากมีการล่วง หรือละเมิดข้อมูลส่วนบุคคลได้

  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่มีศักยภาพ

หากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลเป็นปริมาณมาก จำเป็นจะต้องมีตำแหน่ง DPO (Data Protection Officer) ไว้กำกับดูแลข้อมูลส่วนบุคคล ขึ้นอยู่กับขนาดของข้อมูลที่เก็บ และกระบวนการภายใน

จะเกิดอะไรหากองค์กรที่คุณให้ข้อมูลไว้ไม่ Comply PDPA

หากองค์กรที่มีการเก็บข้อมูลส่วนบุคคลไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งระบุโทษโดยตั้งแต่ปรับ 5 แสนบาท ไปจนถึง 1 ล้านบาท ด้านเจ้าของข้อมูลส่วนบุคคล หากองค์กรที่ให้ข้อมูลไว้เกิดทำข้อมูลรั่วไหล และไม่ได้ปฏิบัติตาม ก็จะทำให้เสียหายทั้งทรัพย์สิน และทำให้ข้อมูลรั่วไหล

การคุ้มครองข้อมูลส่วนบุคคล

หลักการคุ้มครองข้อมูลส่วนบุคคล

This image has an empty alt attribute; its file name is image.png

ข้อมูลส่วนบุคคล

  • ข้อมูลส่วนบุคคลทั่วไป
This image has an empty alt attribute; its file name is image-1.png
  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
This image has an empty alt attribute; its file name is image-2.png

สิทธิของเจ้าของข้อมูลส่วนบุคคล

This image has an empty alt attribute; its file name is image-3.png

Security Safeguards

มหาวิทยาลัยหรือส่วนงานจะต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

การมีส่วนร่วม

  1. ผู้บริหาร บุคลากร และนักศึกษาทุกระดับของส่วนงานภายในมหาวิทยาลัย จะต้องให้ความร่วมมือและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ตลอดจนนโยบาย แนวปฏิบัติ และมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกำหนดขึ้นตามประกาศนี้
  2. มหาวิทยาลัยและส่วนงานมีหน้าที่กำกับดูแลให้ผู้บริการ บุคลากร และนักศึกษาของมหาวิทยาลัยหรือส่วนงานปฏิบัติตามกฎหมาย นโยบาย แนวปฏิบัติ และมาตรการตามวรรคหนึ่ง
  3. ให้มหาวิทยาลัยและส่วนงานดำเนินการให้การคุ้มครองข้อมูลส่วนบุคคล เป็นส่วนหนึ่งของการบริหารความเสี่ยง (Enterprise Risk Management) ของมหาวิทยาลัยและส่วนงานที่มีการควบคุมความเสี่ยงอย่างเหมาะสมและมีการติดตาม ทบทวนอย่างสม่ำเสมอ

บุคคลที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

This image has an empty alt attribute; its file name is image-4.png

การแจ้งเหตุการณ์ละเมิด

  1. ส่วนงานจะต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลดังกล่าวให้มหาวิทยาลัย และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยทราบตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่หาวิทยาลัยประกาศกำหนด
  2. มหาวิทยาลัยจะต้องดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือ เจ้าของข้อมูลส่วนบุคคล แล้วแต่กรณี ตามที่กฎหมายกำหนด

ที่มา : https://muit.mahidol.ac.th/muit_training/data-privacy2021/PDPA2021-non-healthcare-Workshop-Sotarat_Session1.pdf