เมื่อพูดถึง “ข้อมูลส่วนบุคคล” ไม่เพียงแค่ประชาชนทั่วไปที่กังวลเรื่องความปลอดภัย หน่วยงานภาครัฐเองก็เผชิญความท้าทายไม่แพ้กัน โดยเฉพาะการจัดเก็บและใช้ข้อมูลของประชาชนให้ถูกต้องตามกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เบดร็อค อนาไลติกส์ จะพาไปไขข้อข้องใจว่าหน่วยงานภาครัฐ โดยเฉพาะองค์กรปกครองส่วนท้องถิ่นจะจัดการข้อมูลอย่างไรให้รอบคอบและไม่ผิดกฎหมาย


PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลคืออะไร


PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ไม่ให้ถูกนำข้อมูลไปใช้หรือเผยแพร่โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล โดยเฉพาะการทำธุรกรรมหรือการดำเนินการต่าง ๆ ที่อาจส่งผลต่อความเป็นส่วนตัวของบุคคล


สำหรับข้อมูลส่วนบุคคล (Personal Data) คือข้อมูลที่ทำให้สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล, ที่อยู่, เลขบัตรประชาชน, หมายเลขโทรศัพท์, อีเมล, ข้อมูลบัญชีเงินฝาก รวมถึงข้อมูลอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น


ba164b4cd2-83bd14f3101c9c74300620bd.webp


PDPA เกี่ยวข้องกับใครบ้าง


หลายคนอาจคิดว่ากฎหมาย PDPA เป็นเรื่องของประชาชนทั่วไปเท่านั้นที่ต้องระวังข้อมูลส่วนบุคคล แต่ที่จริงแล้ว กฎหมายนี้มีผลครอบคลุมทุกภาคส่วน


- ภาคธุรกิจทุกประเภท: ทั้งธุรกิจออนไลน์, บริษัท, โรงงาน, ธนาคาร หรือธุรกิจประเภทอื่นที่มีการเก็บข้อมูลส่วนบุคคลไว้เพื่อทำธุรกรรมต่าง ๆ ไม่ว่าจะเป็นของลูกค้า, คู่ค้า, พนักงาน


- หน่วยงานภาครัฐ: ทุกหน่วยงานที่ให้บริการประชาชน หรือมีการจัดเก็บข้อมูลของประชาชนไว้ในระบบ


การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้ในกรณีใดบ้าง


เป้าหมายของกฎหมาย PDPA คือการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอม แต่ก็มีบางกรณีที่กฎหมายอนุญาตให้เก็บ ใช้ หรือเปิดเผยข้อมูลได้ โดยต้องคำนึงถึงความสมดุลระหว่างการคุ้มครองข้อมูลส่วนบุคคลและประโยชน์ส่วนรวม


1. ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent)


2. จัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย หรือสถิติ เพื่อประโยชน์สาธารณะ


3. ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล รวมถึงเพื่อประโยชน์สาธารณะ เช่น ป้องกันโรคระบาด


4. จำเป็นต้องปฏิบัติกฎหมาย หรือสัญญา


5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น


6. เพื่อประโยชน์สาธารณะและการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ แต่ผู้ควบคุมต้องดูแลความปลอดภัยของข้อมูลและใช้เท่าที่จำเป็น โดยคำนึงถึงผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล


หน่วยงานท้องถิ่นต้องจัดเก็บข้อมูลส่วนบุคคลแบบไหน ถึงไม่ผิดกฎหมาย PDPA


หน่วยงานท้องถิ่นมักจะมีข้อมูลส่วนบุคคลของประชาชนเยอะมาก โดยเฉพาะข้อมูลที่ได้จากการดำเนินงานและให้บริการสาธารณะ ทำให้หลายท้องถิ่นอยากจะเอาข้อมูลเหล่านี้ไปต่อยอดพัฒนาเมือง แต่เกิดความสงสัยว่า ข้อมูลแบบไหนที่จะนำไปใช้หรือเปิดเผยได้ และมีข้อจำกัดอะไรบ้างในการใช้ข้อมูลส่วนตัวเหล่านั้น คู่มือพัฒนาเมืองอัจฉริยะ ชี้ให้เห็นว่า การเก็บข้อมูลส่วนบุคคลและนำไปใช้ต่อของท้องถิ่นนั้นสามารถทำได้ แต่ต้องอยู่ภายใต้กฎหมายและมีมาตรการรักษาความปลอดภัยตามที่กฎหมายกำหนดอย่างเคร่งครัดและเหมาะสม เพื่อปกป้องสิทธิของเจ้าของข้อมูล


- มีมาตรการรักษาความมั่นคงปลอดภัย: เก็บข้อมูลส่วนบุคคลภายใต้มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2564 


- ใช้แนวปฏิบัติ PDPA: ต้องปฏิบัติตามแนวปฏิบัติที่กำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อปกป้องสิทธิของเจ้าของข้อมูลอย่างเคร่งครัดและเหมาะสม 


- มีบันทึกข้อตกลงการประมวลผลข้อมูล: เมื่อต้องมอบหมายให้หน่วยงานอื่นประมวลผลแทน จะต้องมีการจัดทำ Data Processing Agreement (DPA) หรือสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล


- ให้ความรู้เจ้าหน้าที่: สร้างความเข้าใจและตระหนักรู้ให้กับผู้บริหารและเจ้าหน้าที่เกี่ยวกับ PDPA ที่ถูกต้องอย่างสม่ำเสมอ 


- ปรึกษาผู้เชี่ยวชาญ: ขอคำแนะนำจากผู้เชี่ยวชาญในหน่วยงานภาครัฐหรือเอกชน เพื่อป้องกันการถูกล่วงละเมิดข้อมูลส่วนบุคคลและความเสียหายที่อาจเกิดจากการร้องเรียน


ต้องการใช้และเปิดเผยข้อมูลส่วนบุคคลต้องทำอย่างไร


ปัจจุบัน หน่วยงานท้องถิ่นส่วนใหญ่ยังขาดการแจ้งให้ประชาชนทราบเกี่ยวกับการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทำให้ประชาชนไม่มั่นใจในการคุ้มครองข้อมูลและมองว่าขาดความโปร่งใส ดังนั้น เพื่อให้ประชาชนเข้าใจง่ายขึ้น หน่วยงานท้องถิ่นควรมีแนวทางปฏิบัติ ดังนี้


- แจ้งวัตถุประสงค์ที่จะเก็บจากเจ้าของข้อมูลก่อนให้ชัดเจน


- ให้อิสระเจ้าของข้อมูลในการเลือกให้ความยินยอม


- เก็บข้อมูลเท่าที่จำเป็น และลบข้อมูลเมื่อครบกำหนดระยะเวลาที่แจ้งไว้


- แจ้งสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงาน


- ข้อมูลต้องมาจากเจ้าของข้อมูลเท่านั้น หากมีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลจากที่อื่นจะต้องขอความยินยอมจากเจ้าของข้อมูลเสียก่อน


- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่ต้องขอความยินยอมตามที่กฎหมาย


PDPA กำหนด PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้ปิดกั้นการใช้ข้อมูลทุกประเภท แต่เป็นการวางกรอบการใช้หรือเปิดเผยข้อมูลส่วนบุคคล อีกทั้งยังช่วยเปิดโอกาสให้นำข้อมูลไปต่อยอดได้อย่างมีประสิทธิภาพ โดยเฉพาะในระดับท้องถิ่น ที่การบริหารจัดการข้อมูลที่ดีเป็นพื้นฐานสำคัญในการวางแผนเชิงกลยุทธ์ ออกแบบนโยบาย และดำเนินโครงการให้ตอบโจทย์ความต้องการของประชาชนได้อย่างแท้จริงและพัฒนาเมืองอย่างรู้เท่าทัน


ขอบคุณข้อมูล

https://www.etda.or.th/th/Useful-Resource/knowledge-sharing/articles/Digital-Law/PDPA.aspx

https://pdpathailand.com/knowledge-pdpa/8-นาที-รู้เรื่อง-pdpa-กฎหมายที/?srsltid=AfmBOoqQ--WjBECrzVRc_4RlE0wSwOF97FEUoAzDKTU4jUByqrBfaQQ4

https://www.scb.co.th/th/personal-banking/stories/tips-for-you/pdpa-about-us