เนื่องจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่ผ่านมา โดยมีจุดมุ่งหมายเพื่อ กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยนับเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกขีดจำกัดความสามารถในการแข่งขันของประเทศไทยให้มีความเข้มแข็ง รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวัน
ถึงแม้จะมีการบังคับใช้ไปร่วม 3 เดือนแล้ว แต่หลายท่านคงยังมีความสงสัยในเรื่องของ PDPA และเพื่อเป็นการเตรียมความพร้อม รวมถึงไขข้อสงสัยให้กับผู้ประกอบการ รวมถึงผู้ที่มีความสนใจ ทาง PDPAThailand จึงได้สรุป 5 ประเด็นคำถามยอดฮิตเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาให้ทำความเข้าใจและตอบคำถามเกี่ยวกับ พรบ. ฉบับนี้กันค่ะ
ตอบ : ได้ ! ในกรณีที่ มีการถ่ายรูปและติดบุคคล ทั้งโดยตั้งใจไม่ตั้งใจ บุคคลนั้นๆสามารถขอให้ลบรูปได้
ตอบ : ได้ ! หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว และไม่ก่อนให้เกิดความเสียหาย เว้นแต่! มีการจงใจถ่ายที่ใบหน้า ร่างกายของบุคคลด้วยความจงใจ หรือการถ่ายนั้นสามารถนำมาซึ่งความอับอายหรือเสียหายได้ หรือมีการใช้ในเชิงพาณิช ถือว่า ผิด!
ตอบ : ‘กล้องหน้ารถ’ สามารถติดตั้งได้โดยที่ไม่ต้องแจ้งให้ใครทราบว่ารถของเรามีกล้อง แต่ให้ระมัดระวังในการใช้ภาพจากกล้อง
โดยหากมีการนำเนื้อหาในกล้องเฉพาะข้อมูลบางส่วนไปใช้เพื่อสร้างความเสียหาย อับอาย ให้แก่บุคคลที่ปรากฏในภาพ หรือนำไปใช้เพื่อการค้า หารายได้ หรือนำไปใช้กรณีอื่นๆ ที่ไม่ใช่เพื่อส่วนตัว แบบนี้จะผิดกฎหมายทันที
ตอบ : ข้อมูลศาสนา ถือเป็นข้อมูลประเภทอ่อนไหว หรือ Sensitive Data และในปัจจุบันรัฐบาลประกาศแล้วว่าไม่มีความจำเป็นต้องเก็บสำเนาบัตรประชาชน แต่ใช้วิธีการแจ้งเลขบัตรประชาชนแทน ดังนั้นหากหน่วยงานนั้น ไม่มีความจำเป็นช้องใช้ข้อมูลศาสนา ก็ควรตัดออก และไม่ควรเก็บข้อมูลศาสนา
ตอบ : Terms of Services เป็นเอกสารที่อธิบายถึงขอบเขตการให้บริการให้แก่ผู้ใช้บริการ เงื่อนไข ข้อจำกัด ความรับผิดต่างๆของผู้ให้บริการดังกล่าว รวมถึง การกำหนดข้อห้ามในการใช้บริการไว้ สำหรับเอกสารนี้กฎหมายไม่ได้กำหนดให้ต้องทำ และไม่มีแบบ
Privacy Notice เป็นเอกสารที่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องแจ้งให้ผู้ใช้บริการ ในฐานะเจ้าของข้อมูล ได้ทราบเกี่ยวกับการประมวลผลข้อมูลที่จะดำเนินการ โดย PDPA กำหนดให้เป็นหน้าที่ ที่ต้องทำ และกำหนดหัวข้อที่ต้องเขียนในเอกสารไว้
ทั้ง 2 เอกสาร นี้มีความเชื่อมโยงกัน โดย “Terms of Services” เป็นเอกสารที่แจ้ง การให้บริการซึ่งแสดงหน้าที่ตามสัญญาที่ผู้ควบคุมข้อมูลต้องให้แก่เจ้าของข้อมูล ซึ่งหากผู้ควบคุมข้อมูลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลส่วนใด เพื่อการปฏิบัติหน้าที่ตามที่ระบุไว้ใน Terms of Services ย่อมเป็นกรณีที่ผู้ควบคุมมีสิทธิประมวลข้อมูลดังกล่าวได้ด้วยฐานการปฏิบัติหน้าที่ตามสัญญา ซึ่งถือเป็นฐานการประมวลผลที่ พ.ร.บ. อนุญาตรองรับ และผู้ควบคุมข้อมูลมีเพียงหน้าที่แจ้งการ ประมวลผลดังกล่าวลงใน “Privacy Notice” เท่านั้น ไม่ต้องขอความยินยอม
จะเห็นได้ว่า พรบ. คุ้มครองข้อมูลส่วนบุลคล (PDPA) ฉบับใหม่นี้ได้เพิ่มความคุ้มครองและความปลอดภัยในการเข้าถึงข้อมูล โดยที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล รวมทั้งสามารถปฏิเสธการให้ข้อมูลได้ รวมทั้งการเพิ่มบทลงโทษให้ครอบคลุมถึงการฟ้องทั้งทางแพ่ง อาญาและปกครอง ต่อกรรมการหรือผู้จัดการที่กระทำผิดเกี่ยวข้องโดยตรง
