(hitect) 2020121_56370.jpg

พรบ.คุ้มครองข้อมูลส่วนบุคคล? 2562 (เริ่มบังคับใช้? 28? พ.ค.63)

Posted by on Jan 25, 2020

ไม่ใช่แค่กลุ่มธนาคาร? หรือกลุ่มประกันภัยเท่านั้นที่ต้องปฏิบัติตามกฎหมายนี้....


ทุกองค์กร!!!!


โดยเฉพาะองค์กรที่มีการเก็บข้อมูลส่วนบุคคลมาก  ๆ? ไม่ว่าจะเป็น

1.ข้อมูลลูกค้า

2.? ข้อมูลพนักงาน

3.? ข้อมูลคู่ค้า? หรือ? Supplier?


ต้องมีมาตรการดูแลและบริหารจัดการ..หากองค์กรใดไม่ปฏิบัติตาม? โทษปรับสูงสุด? 5? ล้านบาท!!!


กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA) ได้ประกาศใช้แล้วเมื่อเดือนพฤษภาคมที่ผ่านมา

องค์กรมีเวลาเตรียมตัว 1 ปี เพื่อเตรียมพร้อมนโยบาย วิธีการ และเครื่องมือสำหรับจัดการข้อมูลส่วนบุคคล

(Personal Data) ให้สอดคล้องต่อกฎหมาย


วันนี้เราขอแนะนำตัวอย่างข้อมูลส่วนบุคคลที่องค์กรจะต้องให้ความสำคัญเป็นพิเศษ ตั้งแต่กระบวนการได้มา

ขออนุญาตเจ้าของข้อมูล การนำไปใช้ การจัดเก็บ และการทำลาย


ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล

(1) ชื่อ-นามสกุล หรือชื่อเล่น

(2) เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัว

ผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มี

ข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

(3) ที่อยู่, อีเมล, เลขโทรศัพท์

(4) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา,

ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม

(6) ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

(7) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง,

ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

(8) ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนี

ข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้นข้อมูลในไมโครฟิล์มจึงเป็นข้อมูลส่วนบุคคล

(9) ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

(10) ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file

(11) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต


ทุกองค์กรในประเทศไทย จำเป็นต้องเตรียมแผนงานและการปรับปรุงระบบต่าง ๆ รวมถึงกระบวนการทำงานของทุก

ส่วนงานทุกแผนกให้สอดคล้องต่อกฎหมายนี้ และสำหรับองค์กรที่ต้องใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับประเทศใน

กลุ่มสหภาพยุโรปก็สามารถใช้ลักษณะแผนงานนี้ปรับใช้กับ GDPR ได้เช่นกัน


อ้างอิง: แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์

จุฬาลงกรณ์มหาวิทยาลัย