fbpx

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย PDPA

Cover การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA มีขอบเขตการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในราชอาณาจักรไทยทั้งหมด และมีผลกระทบต่อทุกภาคส่วนในวงกว้าง เนื่องมาจากสภาพสังคมดิจิทัลในปัจจุบันที่แต่ละองค์กรต่างมีข้อมูลไหลเวียนเป็นจำนวนมาก และในแต่ละวันก็มีข้อมูลส่วนบุคคลถูกเพิ่มเติมเข้ามาในระบบอยู่ตลอด ไม่ว่าจะเป็นการจัดการข้อมูลด้านบัญชี HR CRM ฐานลูกค้า ฯลฯ ธุรกิจหรือองค์กรต่าง ๆ จึงต้องตื่นตัวในการปฏิบัติตามเงื่อนไขของกฎหมายฉบับนี้ ก่อนกฎหมายจะมีผลบังคับใช้อย่างเต็มรูปแบบหลังวันที่ 27 พฤษภาคม 2563 (ปัจจุบันขยายเวลาบังคับใช้เป็น 1 มิถุนายน 2565)

ภายใต้พ.ร.บ.ฉบับนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะไม่สามารถกระทำได้อย่างอิสระ ยกเว้นแต่จะดำเนินการตามหลักการใดหลักการหนึ่ง ซึ่งมีรายละเอียดดังต่อไปนี้

Consent (การให้ความยินยอม)

  • เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
  • ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • มีแบบแยกออกมาอย่างเด่นชัด ข้อความอ่านเข้าใจง่าย และต้องไม่เป็นการหลักลวง
  • เจ้าขอข้อมูลส่วนบุคคลสามารถถอดความยินยอมเมื่อใดก็ได้ หากไม่มีข้อจำกัดสิทธิอื่น เช่น กฎหมายที่กำหนดให้เก็บรวบรวมส่วนบุคคลนั้นไว้ก่อน เป็นต้น

Scientific or Historical Research (การวิจัยทางวิทยาศาสตร์หรือประวัติศาสตร์)

  • จัดทำเอกสารประสัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย และสถิติ

Vital Interest (ฐานประโยชน์สำคัญต่อชีวิต)

  • เพื่อป้องกันหรือระงับอันตรายที่เกิดขึ้นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ที่โรงพยาบาล เป็นต้น

Contract (สัญญา)

  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ยกตัวอย่างเช่น เมื่อเจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร และธนาคารสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา

Public Task (ภารกิจสาธารณะ)

  • เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจของรัฐ เช่น หน่วยงานรัฐบาลจัดทำ Big Data เพื่อแก้ปัญหาความยากจนของราษฎรที่ประกอบอาชีพเกษตรกรรม เป็นต้น

Legitimate Interest (ฐานประโยชน์ตามกฎหมาย)

  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น บริษัทเอกชนสามารถติดตั้งกล้องวงจรปิดภายในอาคารเพื่อรักษาความปลอดภัย ซึ่งบริษัทสามารถเก็บรวบรวมภาพถ่ายและวิดีโอ ซึ่งเป็นข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบริเวณดังกล่าวได้ เป็นต้น

Legal Obligations (ภาระผูกพันตามกฎหมาย)

  • เป็นการปฏิบัติตามกฎหมายอื่น ๆ

นอกจากหลักการที่ได้กล่าวมาข้างต้นแล้ว ยังมีข้อมูลส่วนบุคคลอีกประเภทหนึ่งที่เรียกว่า “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน” (Sensitive Personal Data) จำพวก เชื้อชาติ ประวัติอาชญากรรม ข้อมูลพันธุกรรม และพฤติกรรมทางเพศ เป็นต้น ซึ่งการที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในลักษณะดังกล่าวจะมีหลักการควบคุมที่เข้มงวดมากกว่าข้อมูลส่วนบุคคลทั่วไป โดยจะกระทำได้ก็ต่อเมื่อ ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล หรือเพื่อป้องกันหรือระงับอันตรายที่เกิดขึ้นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลไม่อยู่ในสถานะที่สามารถให้ความยินยอมได้

ระวัง! หากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กรของคุณไม่ได้ตกอยู่ในเงื่อนไข หรือยังไม่ได้ปฏิบัติตามให้สอดคล้องกับเงื่อนไขใดข้างต้น อาจมีความผิดตามกฎหมายทางแพ่ง อาญา และปกครองได้ เมื่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถูกบังคับใช้อย่างเต็มรูปแบบ หรือถ้าหากไม่แน่ใจ องค์กรควรมีการขอความยินยอมต่อเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลเสมอในทุกครั้ง และจัดการข้อมูลส่วนบุคคลที่ได้รับมาให้สอดคล้อง ไม่ออกนอกขอบเขตที่ได้ระบุไว้ในความยินยอมนั้น

อย่าลืมตรวจสอบและปรับวิธีการทำงานขององค์กรให้ทันกับยุคสมัย

ที่ข้อมูลส่วนบุคคลกลายมาเป็นสิ่งที่ทั่วโลกให้ความสำคัญ

ขอบคุณข้อมูลจาก: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

สอบถามเพิ่มเติมเกี่ยวกับหลักสูตร PDPA by ICDLThailand พร้อมสอบวุฒิบัติได้ที่ Facebook PDPA ICDLTHAILAND

X