ผู้ที่เกี่ยวข้องกับ PDPA
เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้
1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)
ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล
สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
ทั้งนี้ ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกัน ก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อรับมือกับพ.ร.บ.นี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหารสำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย
นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้าตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร
ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ฉบับนี้จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม
บทลงโทษของผู้กระทำความผิด
โทษทางอาญา
– จำคุกสูงสุด 1 ปี
– ปรับสูงสุด 1 ล้านบาท
โทษทางแพ่ง
– จ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง
โทษทางปกครอง
– ปรับไม่เกิน 5 ล้านบาท
