PDPA
(Personal Data Protection Act)
นโยบาย/ระเบียบ/แนวทาง/แนวปฏิบัติ
นโยบายการคุ้มครองข้อมูลส่วนบุคคลกระทรวงสาธารณสุข
แนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลกระทรวงสาธารณสุข
แนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคล สำนักงานปลัดกระทรวงสาธารณสุข
หนังสือแจ้งการประมวลผลส่วนบุคคล สำนักงานปลัดกระทรวงสาธารณสุข
มอบอำนาจให้หัวหน้าหน่วยงานลงนามในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA)
เจ้าหน้าที่ประสานงาน DPO ระดับจังหวัด (คำสั่งที่ 1480/2565)
บันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (Records of Processing Activity : ROPA)
แต่งตั้งคณะทำงานธรรมาภิบาลด้านข้อมูลและเทคโนโลยีสุขภาพ ระดับจังหวัด
10 คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA
1. Consent
“ความยินยอม” โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้ใช้งานก่อนนำไปเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลซึ่งสามารถทำได้ด้วยวิธีต่อไปนี้
· ต้องทำโดยชัดแจ้ง จะทำเป็นเอกสารหรือทำแบบอิเล็กทรอนิกส์ก็ได้
· ไม่มีเงื่อนไข และต้องใช้ภาษาเข้าใจง่าย
· เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ
2. Privacy Notice
คือการแจ้งวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลของผู้ใช้งานไปเปิดเผย โดยมีหลักเกณฑ์ต่าง ๆ ในการบริหารจัดการข้อมูลส่วนบุคคลที่เราให้ความยินยอม ซึ่งในการแจ้งควรประกอบด้วย
· ข้อความที่ขอความยินยอมการใช้ข้อมูลส่วนบุคคล
· วัตถุประสงค์การขอใช้ข้อมูล และระยะเวลาในการจัดเก็บ
· ชัดเจน ข้อความไม่กำกวม และเข้าใจง่าย
· ห้ามเผยแพร่ หรือนำข้อมูลไปใช้ก่อนได้รับอนุญาต
· อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น
3. Cookies
“คุกกี้” เป็นไฟล์ข้อมูลที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์ของมันคือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับไปใช้งานอีกครั้ง ซึ่งการจัดเก็บไฟล์คุกกี้ถือเป็นการจัดเก็บข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย
4. Data Subject
“เจ้าของข้อมูลส่วนบุคคล” มีสิทธิให้ความยินยอมที่จะให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งไว้ รวมถึงร้องขอให้แก้ไข หรือลบข้อมูลได้อีกด้วย แต่ถ้าข้อมูลนั้นรั่วไหล หรือถูกเปิดเผยโดยไม่ได้รับอนุญาต เจ้าของข้อมูลก็มีสิทธิได้รับการเยียวยาความเสียหายที่เกิดขึ้นได้ด้วย
5. Data Protection Officer : DPO
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ถือว่าเป็นผู้เชี่ยวชาญที่สามารถแนะนำให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ซึ่งมีหน้าที่ตามมาตรา 42 (1)-(4) ดังนี้ มีหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน ให้ความร่วมมือกับองค์กรรัฐที่กำกับดูแล รักษาความลับ
6. Data Controller
“ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นผู้ที่มีอำนาจตัดสินใจในการเก็บรวมรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้
· มีอำนาจตัดสินใจเกี่ยวกับนโยบายข้อมูลส่วนบุคคลขององค์กร
· วางแผนนโยบายเก็บรวมรวมข้อมูล
· หากมีคดีความ หรือโทษ จะต้องรับผิดชอบตามกฎหมาย PDPA
7. Data Processor
“ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นผู้ที่ดำเนินการเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้
· เป็นบุคคลทำตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล”
· แจ้งวัตถุประสงค์การใช้ข้อมูลส่วนบุคคล
· จัดทำ Privacy Notice ที่ชัดเจน เข้าใจง่าย
· เก็บรักษาข้อมูลให้เป็นความลับ และปลอดภัย
8. Personal Data
“ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร
9. Sensitive personal data
“ข้อมูลส่วนบุคคลที่อ่อนไหว” เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรม กฎหมาย PDPA จึงห้ามเก็บข้อมูล อาทิ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน แต่ก็มีข้อยกเว้น เช่น
· เจ้าของข้อมูลยินยอมอย่างชัดแจ้ง
· มีความจำเป็นต้องใช้ข้อมูลนั้นตามสิทธิหากถูกฟ้องร้องหรือขึ้นศาล
· เพื่อป้องกันอันตรายต่อชีวิตหรือร่างกายของเจ้าของข้อมูล
10. Legitimate Interest
เป็นการใช้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลคาดหมายได้ว่านำไปใช้ตามวัตถุประสงค์ที่แจ้งแต่แรก ตาม “ฐานประโยชน์อันชอบธรรม” ยกตัวอย่างเหตุการณ์ เช่น
· การติดกล้องวงจรปิดในห้างสรรพสินค้า แม้ว่าห้างจะไม่ได้ขอความยินยอมให้บันทึกภาพจากลูกค้าโดยตรงก็ตาม แต่ลูกค้าก็สามารถคาดเดาได้ว่าการติดกล้องเช่นนี้มีวัตถุประสงค์เพื่อรักษาความปลอดภัยโดยรวม ห้างจึงสามารถบันทึกภาพลูกค้าได้ตามหลักดังกล่าว
เป็นคำศัพท์ที่พบเห็นได้ทั่วไปใน Privacy Policy เราจึงควรทำความเข้าใจนโยบายเบื้องต้นก่อนกดให้ความยินยอม เพื่อรักษาสิทธิการเป็นเจ้าของข้อมูล หรือหากเราเป็นผู้บริการเว็บไซต์ ก็จำเป็นต้องเรียนรู้เพื่อไม่ให้ข้อมูลของลูกค้าถูกละเมิด ซึ่งอาจส่งผลเสียต่อภาพลักษณ์องค์กร รวมถึงมีโทษและต้องรับผิดทางกฎหมายได้