หลายคนคงเคยได้ยินการทำ General Data Protection Regulation ( GDPR ) เป็นกฎหมายของทางสหภาพยุโรป European Union ( EU ) ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ส่วนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย Personal Data Protection Act B.E. ( PDPA ) ที่จะมีผลบังคับใช้ทั้งฉบับในวันที่ 27 พฤษภาคม 2563
ข้อมูลส่วนบุคคล ( Personal Data )
ข้อมูลส่วนบุคคลตามนิยามของ GDPR คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมถึงข้อมูลที่นำมารวมกันแล้วสามารถใช้ระบุอัตลักษณ์ของบุคคลได้ ไม่ครอบคลุมถึงผู้ตาย แต่เปิดให้รัฐสมาชิกออกกฎหมายเฉพาะของตนเอง
ปัจจุบัน ข้อมูลถือเป็นทรัพย์สินที่มีค่ายิ่งกว่าทองคำ และ น้ำมัน โดยที่เราสามารถนำข้อมูลมาวิเคราะห์ด้วย Big Data เพื่อทำกำไร แต่ในกรณีของ Cambridge Analytica ที่นำข้อมูลจาก Facebook มาทำ Campaign ในการหาเสียง ซึ่งเป็นการนำข้อมูลมาใช้ในทางที่ผิด
ประโยชน์ของการทำ GDPR นอกจากจะเป็นการทำให้ถูกต้องตามกฎหมาย ยังช่วยในเรื่องของการจัดระเบียบและการเพิ่มมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูล การจำกัดสิทธิ์ในการเข้าถึงข้อมูล ลดการจัดเก็บข้อมูลที่ไม่จำเป็น และที่สำคัญคือช่วยเพิ่มภาพลักษณ์และความน่าเชื่อถือ
สรุปสาระสำคัญของ ( EU GDPR )
- มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 เป็นต้นไป
- มีผลบังคับใช้นอกอาณาเขต กล่าวคือ ข้อมูลส่วนบุคคลของพลเมืองทั้ง 28 ประเทศ ที่เป็นสมาชิกของทางสหภาพยุโรป จะอยู่ภายใต้ความคุ้มครองของกฎหมายฉบับนี้
- การได้มาซึ่งข้อมูล จะต้องขอความยินยอมจากเจ้าของข้อมูลต้องชัดเจนและชัดแจ้ง พร้อมบอกวัตถุประสงค์ในการใช้งาน และวิธีการจัดเก็บข้อมูล รวมถึงการสำรองข้อมูลโดยห้ามคิดค่าใช้จ่าย
- กรณีที่ไม่ปฏิบัติตาม จะต้องจ่ายค่าปรับตามคำสั่งของ “คณะกรรมการข้อมูลส่วนบุคคล” เป็นเงิน 4 % ของรายได้ทั้งหมดทั่วโลก
- กรณีที่ข้อมูลสูญหาย ถูกเผยแพร่ ถูกขโมยไป จะต้องแจ้งให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง
- กรณีที่เจ้าของข้อมูล ต้องการขอให้ลบข้อมูล สามารถกระทำได้
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ( TDPG 2.0 )
- แนวปฏิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล ( Guideline for Personal
Data Classification ) - แนวปฏิบัติเกี่ยวกับฐานในการประมวลผลข้อมูลส่วนบุคคล ( Guideline on Lawful
Basis for Processing Personal Data ) - แนวปฏิบัติเกี่ยวกับหน้าที่และความรับผิดชอบของผู้ควบคุมและผู้ประมวลผลข้อมูล
( Guideline on Duties and Responsibilities of Controllers and Processors ) - แนวปฏิบัติเพื่อการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ( Guideline on Data Protection Impact Assessment )
- แนวปฏิบัติเกี่ยวกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ ( Guideline on Cross-border Data Transfer )
- แนวปฏิบัติเกี่ยวกับการจัดทำข้อมูลนิรนาม ( Guideline on Anonymization )
ตัวอย่างข้อมูลส่วนบุคคล
- ชื่อ-นามสกุล, ชื่อเล่น
- เลขบัตรประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต
- ที่อยู่, อีเมล, เลขโทรศัพท์
- ข้อมูลอุปกรณ์เครือข่าย เช่น IP address, MAC address, Cookie ID, Log File
- ข้อมูลทางการแพทย์ ( Biometric ) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์,
ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม - ข้อมูลทางการศึกษา ( Education ) เช่น ทรานสคริป, งานวิจัย, วิทยานิพนธ์, ใบรับปริญญา
- ข้อมูลแสดงทรัพย์สิน เช่น ทะเบียนรถยนต์, โฉนดที่ดิน, พินัยกรรม
- ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อ
ชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่, ข้อมูลการแพทย์,
ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน - ข้อมูลอ่อนไหว เช่น เชื้อชาติ ศาสนา การเมือง รสนิยมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ( มีข้อยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูล )
- Vital Interest : ในกรณีรักษาสุขภาพ ร่างกาย และชีวิต เช่น เจ้าของข้อมูลประสบอุบัติเหตุ ไม่ได้สติ แต่มีความจำเป็นต้องเก็บข้อมูลสุขภาพ เพื่อใช้ในการรักษา รวมถึงการรักษาประโยชน์ส่วนรวมของบุคคลอื่นด้วย เช่น โรคระบาด ภัยธรรมชาติ
- Social Protection & Non-profit : ในกรณีดำเนินกิจกรรมโดยชอบด้วยกฏหมายขององค์กรไม่แสวงหากำไร เช่น มูลนิธิ สมาคม สหภาพแรงงาน
- Manifestly made public : ในกรณีที่ข้อมูลถูกเปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถจัดเก็บข้อมูลดังกล่าวโดยไม่ต้องขอความยินยอมอีก เช่น การให้สัมภาษณ์ การออกอากาศทางโทรทัศน์
- Legal Claim : ในกรณีเรียกร้องสิทธิตามกฏหมาย เช่น ผู้ทรงสิทธิเรียกร้องอยู่ระหว่างการเตรียมคำฟ้องเพื่อขอให้ศาลยุติธรรมบังคับการตามสิทธิเรียกร้องของตน ในการเตรียมคำฟ้องนั้นทนายไม่ต้องขอคำยินยอมในการจัดเก็บข้อมูลของบุคคลที่สาม
- Preventive or Occupational Medicine : ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายด้านเวชศาสตร์ป้องกัน ( มาตรการป้องกันโรค ) หรืออาชีวเวชศาสตร์ ( การดูแลสุขภาพของพนังาน )
- Public Health : ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายด้านสาธารณะสุข การป้องกันโรคติดต่อ
- Health or Social Care System : ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายด้านการคุ้มครองและประกันสังคม เช่น การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพ สวัสดิการการรักษาพยาบาล การคุ้มครองผู้ประสบภัย
- Archiving, Scientific or Historical Research : ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายด้านงานวิจัย
- Substantial Public Interest : ในกรณีที่การจัดเก็บข้อมูลอ่อนไหวไม่ตรงกับข้อยกเว้นที่กล่าวมา แต่เปิดช่องให้สามารถจัดเก็บข้อมูลเพื่อประโยชน์สาธารณะ เช่น การปฏิบัติงานตามอำนาจหน้าที่ของหน่วยงานรัฐ การป้องกันการดำเนินการที่ไม่ชอบด้วยกฎหมาย
การนำไปปรับใช้
การนำไปใช้งาน ส่วนตัวคิดว่าสามารถนำแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล ( TDPG 2.0 ) ไปปรับใช้ได้เลย โดยให้จัดทำแบบฟอร์มมาตรฐานก่อน แล้วค่อยส่งไปให้แต่ละหน่วยงาน ทั้ง 6 แนวปฏิบัติ ควรจัดทำแบบฟอร์มให้เข้าใจง่าย และมีความยืดหยุ่น
เอกสารที่เกี่ยวข้อง
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 1.0
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 2.0
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 3.0
- รายการช่วยประเมินการเตรียมความพร้อมเบื้องต้น
- คู่มือ PDPA สำหรับประชาชน
- คู่มือ PDPA สำหรับผู้ประกอบการ SMEs
- คู่มือการปฏิบัติงานของบุคลากรในส่วนของการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล 1.0
อ่านเพิ่มเติม : http://bit.ly/2HZo4zA
Leave a Reply