เข้าสู่ระบบ/ลงทะเบียน

อภิธานศัพท์ – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (เรียงลำดับตามพยัญชนะภาษาไทย)

แชร์

อ่าน

307

ครั้ง

โดย : pornpilast.su

อภิธานศัพท์ – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (เรียงลำดับตามพยัญชนะภาษาไทย)

แชร์

อ่าน

307

ครั้ง

โดย : pornpilast.su

Glossary – Personal Data Protection Act B.E. 2562 (Thai Alphabetical Version)

รวบรวมคำศัพท์และคำย่อที่เกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act B.E. 2562 (PDPA) พร้อมระบุคำแปลภาษาอังกฤษ และความหมายอย่างละเอียด เพื่อให้คุณศึกษาตัวบทกฎหมายและทำความเข้าเรื่องราวที่เกี่ยวข้องกับพระราชบัญญัติฉบับนี้ได้อย่างลึกซึ้ง

โดยเรียงคำศัพท์และคำย่อตามลำดับตัวอักษรภาษาไทย (ก-ฮ) ดังรายการต่อไปนี้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation – GDPR)

GDPR เป็นกฎหมายที่ปรับปรุงมาจาก EU Data Protection Directive เมื่อปี 2538 โดยขยายความเรื่องการคุ้มครองข้อมูลและการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปให้มีความชัดเจน/รัดกุมมากขึ้น ตามความเหมาะสมของสถานการณ์ในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล มีวัตถุประสงค์หลักเพื่อคุ้มของประชาชนในกลุ่มประเทศสหภาพยุโรป และบังคับใช้กับหน่วยงานทั้งที่อยู่ภายในและภายนอกสหภาพยุโรปที่มีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของประชาชนในกลุ่มประเทศดังกล่าว

GDPR มีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561 ได้รับการยอมรับว่าเป็นกฎหมายแม่แบบ และมีความคล้ายคลึงกับ PDPA ของไทยในหลายประการ

การขอความยินยอม (A Request for Consent)

หมายถึง การที่ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือในขณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจกระทำผ่านเอกสารหรือผ่านระบบอิเล็กทรอนิกส์อย่างชัดแจ้ง โดยการขอความยินยอมต้องมีลักษณะดังต่อไปนี้

  • แจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • แยกส่วนออกจากข้อความอื่นอย่างชัดเจน
  • รูปแบบหรือข้อความสามารถเข้าถึงได้ง่ายและเข้าใจได้
  • ภาษาอ่านง่าย ไม่หลอกลวงหรือทำให้เข้าใจผิด
 

การเข้ารหัสข้อมูล (Encryption)

หมายถึง รูปแบบการจัดการข้อมูลอย่างหนึ่ง เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยกระบวนการนำข้อมูลส่วนบุคคลมาเข้ารหัสที่คนทั่วไปไม่สามารถเข้าใจได้ เรียกว่า Ciphertext โดยเฉพาะผู้ที่ได้รับอนุญาตหรือมีกุญแจเท่านั้นที่จะสามารถถอดรหัสกลับคืนมาเป็นข้อมูลธรรมดาที่สามารถอ่านเข้าใจได้อีกครั้งหนึ่ง

การคัดค้านการใช้ข้อมูลส่วนบุคคล (Personal Data Objection)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สามารถคัดค้านการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเองเมื่อใดก็ได้ ในกรณีดังต่อไปนี้

  1. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามพระราชบัญญัติฉบับนี้
  2. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยเพื่อวัตถุประสงค์เกี่ยวกับการทำการตลาดแบบตรง
  3. เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ (ยกเว้นเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล)
 

การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection)

หมายถึง การดูแลปกป้องบุคคลจากการถูกละเมิดเกี่ยวกับข้อมูลส่วนบุคคลโดยกฎหมาย ซึ่งเป็นการจำกัดสิทธิและเสรีภาพบางประการของบุคคลที่เก็บรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้อื่น เพื่อให้เกิดการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเยียวยาเจ้าของข้อมูลที่มีประสิทธิภาพ

GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เป็นกฎหมายแม่แบบเพื่อใช้ปรับปรุงเป็น PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่มีเนื้อหาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของไทย

การตลาดทางตรง (Direct Marketing)

หมายถึง การทำการตลาดในลักษณะของการเสนอขายสินค้าหรือบริการโดยตรงต่อผู้บริโภคแต่ละคน โดยมุ่งหวังให้ผู้บริโภคมีปฏิกิริยาตอบกลับเพื่อซื้อสินค้าหรือบริการจากผู้ประกอบธุรกิจ

การทำการตลาดแบบตรงมักมีการเก็บรวบรวมฐานข้อมูลของลูกค้าเพื่อใช้สื่อสารไปยังลูกค้า จึงได้รับผลกระทบโดยตรงเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกบังคับใช้

การถอนความยินยอม (Consent Withdrawal)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการถอนความยินยอมที่ให้ไว้สำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยจะต้องสามารถถอนความยินยอมเมื่อใดก็ได้และสามารถทำได้โดยง่าย เว้นแต่จะมีข้อจำกัดด้านกฎหมายหรือสัญญาที่เป็นประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม (ถ้ามี)

การทำการตลาดส่วนบุคคล (Personalized Marketing)

หมายถึง แนวคิดการทำการตลาดในยุคดิจิทัล ที่พยายามนำเสนอสินค้าหรือบริการให้ตรงตามความต้องการของผู้บริโภคให้มากที่สุด โดยสินค้าและบริการที่นำเสนอให้กับแต่ละบุคคลไม่จำเป็นต้องเหมือนกันและมีความแตกต่างกันออกไป เพื่อสร้างประสบการณ์การใช้งานแพลตฟอร์มที่น่าประทับใจ

การทำการตลาดส่วนบุคคล มีพื้นฐานวิธีการทำการตลาดผ่านการเก็บข้อมูลผู้ใช้งานบนแพลตฟอร์มดิจิทัล แล้วนำมาวิเคราะห์เพื่อให้สามารถตอบโต้ได้ตรงตามความคาดหวังของแต่ละบุคคล โดยใช้เครื่องมืออัตโนมัติเป็นช่วย จึงมีความเกี่ยวข้องกับการเก็บรวบรวมและใช้ข้อมูล่สวนบุคคล นักการตลาดจึงต้องตื่นตัวและปรับตัวเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกบังคับใช้

การทำข้อมูลให้เป็นนิรนาม (Anonymization)

หมายถึง การทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้ เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการนำข้อมูลที่ใช้ระบุตัวตนของบุคคลได้ในชุดข้อมูลมาเข้ารหัส ลบ หรือทำลาย ตามกฎหมายได้ระบุไว้ด้วยว่าการทำข้อมูลให้ Anonymized หรือเป็นนิรนามอย่างแท้จริง ข้อมูลดังกล่าวควรจะไม่สามารถกู้กลับคืนมาเป็นลักษณะดั้งเดิมที่สามารถระบุตัวตนของบุคคลได้อีก

การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

หมายถึง การดำเนินการหรือชุดการดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับปรุง การใช้ การเปิดเผย การทำให้สามารถเข้าถึงได้ การยับยัง หรือการลบหรือทำลายข้อมูลส่วนบุคคล เป็นต้น

การประเมินผลกระทบต่อข้อมูลส่วนบุคคล (Data Protection Impact Assessment – DPIA)

หมายถึง เป็นการประเมินความผลกระทบต่อความเป็นส่วนตัว หากมีกระบวนการใดที่มีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องดำเนินการประเมินความเสี่ยงของแนวทางการประมวลผลก่อนการประมวลผลข้อมูลจริง

การแฝงข้อมูล (Pseudonymization)

หมายถึง รููปแบบการจัดการข้อมูลอย่างหนึ่ง เพื่อวัตถุประสงค์ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการทดแทนข้อมูลบางส่วนที่สามารถระบุตัวตนของบุคคลในชุดข้อมูลด้วยนามแฝงซึ่งประดิษฐ์ขึ้น เรียกว่า Pseudonym การใช้นามแฝงจะช่วยให้สามารถระบุตัวตนของบุคคลได้ยากขึ้นขณะการโอนเคลื่อนย้ายข้อมูลหรือเมื่อถูกจารกรรม แต่ยังเป็นรูปแบบข้อมูลที่สามารถนำมาแปลงกลับมาเพื่อระบุผู้ที่เกี่ยวข้องได้อยู่ เมื่อมีข้อมูลประกอบเพิ่มเติม

การระงับการใช้ข้อมูลส่วนบุคคล (Personal Data Restriction)

หมายถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่สามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในระหว่างที่ผู้ควบคุมข้อมูลส่วนบุคคลกำลังดำเนินการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลได้ร้องขอ ให้ผู้ควบคุมข้อมูลส่วนบุคคลได้ดำเนินการแก้ไขข้อมูลส่วนบุคคลให้เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

การละเมิดข้อมูลส่วนบุคคล (Personal Data Breach)

หมายถึง การกระทำการโดยจงใจหรือประมาทต่อบุคคลอื่นโดยผิดกฎหมาย ทำให้บุคคลอื่นเสียหายสืบเนื่องมาจากประเด็นเรื่องข้อมูลส่วนบุคคล โดยผู้ละเมิดจะต้องได้รับโทษตามกฎหมายและชดใช้ค่าสินไหมทดแทนความเสียหายนั้น

กิจการขนาดเล็ก (Small Organization)

หมายถึง ธุรกิจขนาดเล็ก หรือกิจการที่ความเป็นเจ้าของและการดำเนินงานเป็นไปอย่างอิสระ และในเวลาเดียวกันนั้นต้องไม่มีอิทธิพลครอบงำต่อการดำเนินงานของกิจการอื่นในแขนงเดียวกัน

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลของกิจการขนาดเล็ก ได้รับการยกเว้นการบังคับใช้ของข้อกฎหมายบางประการ เกี่ยวกับการจัดทำบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ ยกเว้นแต่การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ของกิจการจะมีความเสี่ยงมีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ไม่ใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือขัดต่อข้อกฎหมายที่ห้ามการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว

ข้อมูลชีวภาพ (Biometric Data)

หมายถึง ข้อมูลส่วนบุคคลที่เกิดขึ้นจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นได้ (ที่ไม่เหมือนกับบุคคลอื่น) เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ

ข้อมูลพันธุกรรม (Genetic Data)

หมายถึง ข้อมูลส่วนบุคคลที่ได้มาจากการทดสอบพันธุกรรม

การทดสอบพันธุกรรม หมายถึง การวิเคราะห์สารพันธุกรรมดีเอ็นเอา (DNA) อาร์เอ็นเอ (RNA) โครโมโซม (Chromosome) โปรตีน และสารบางอย่างในร่างกาย เพื่อที่จะตรวจหาลักษณะทางพันธุกรรมที่เกี่ยวข้องกับการเกิดโรคและลักษณะที่แสดงออก เพื่อที่จะนำข้อมูลดังกล่าวไปใช้ในการแพทย์และการทดลอง

ข้อมูลพันธุกรรมเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน โดยนอกจากจะเป็นข้อมูลที่บ่งชี้ไปยังตัวบุคคลได้แล้ว ยังมีลักษณะเฉพาะตัวซึ่งในบางกรณีผู้ที่ข้อมูลนั้นเชื่อมโยงไปถึงอาจไม่ประสงค์ให้เปิดเผยข้อมูลดังกล่าวอีกด้วย กล่าวให้เข้าใจง่ายก็คือ การเปิดเผยข้อมูลพันธุกรรมของบุคคลหนึ่งเสมือนเป็นการเปิดเผยข้อมูลพันธุกรรมของสมาชิกอื่นในครอบครัว

ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคลลซึ่งทำให้สามารถระบุตัวตนนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรมไปแล้ว

ข้อมูลอ่อนไหว (Sensitive Personal Data)

หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ

PDPA ได้ห้ามมิให้เก็บรวบรวมข้อมูลอ่อนไหว คือ เชื่อชาติ เผ่าพันธ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล มีข้อยกเว้นบางประการ คือ

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มขงที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร
  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
  • เป็นการจำเป็นเพื่อการก่อตั้ง ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
 
 

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee)

หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการสรรหาและแต่งตั้งตามที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบไปด้วย ประธานกรรมการ 1 คน รองประธานกรรมการ 1 คน กรรมการโดยตำแหน่ง 5 คน และกรรมการผู้ทรงคุณวุฒิ 9 คน (รวม 16 คน)

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่และอำนาจในการ

  1. จัดทำแผนแม่บทการดำเนินงานด้านการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง
  2. ส่งเสริมและสนับสนุนหน่วยงานของรัฐและเอกชน ในการดำเนินงานตามแผนแม่บท และจัดให้มีการประเมินผล
  3. กำหนดมาตรการและแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  4. ออกประกาศหรือระเบียบเพื่อให้การดำเนินการต่าง ๆ เป็นไปตามพระราชบัญญัตินี้
  5. กำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ
  6. กำหนดข้อปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
  7. เสนอแนะการตราหรือปรับปรุงกฎหมายที่บังคับใช้เกี่ยวกบการคุ้มครองข้อมูลส่วนบุคคลต่อคณะรัฐมนตรี
  8. เสนอแนะทบทวนความเหมาะสมของพระราชบัญญัตินี้อย่างน้อยทุกรอบ 5 ปี
  9. ให้คำแนะนำและคำปรึกษาเกี่ยวกับการดำเนินการเพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานภาครัฐและเอกชนง
  10. ตีความและวินิจฉัยชี้ขาดเมื่อเกิดปัญหาที่เกิดขึ้นจากการใช้พระราชบัญญัตินี้
  11. ส่งเสริมและสนับสนุนให้ประชาชนเกิดทักษะ ความรู้ และความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  12. ส่งเสริมและสนับสนุนการวิจัย เพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  13. ปฏิบัติการอื่นตามพระราชบัญญัตินี้หรือที่กฎหมายอื่นกำหนดให้เป็นหน้าที่และอำนาจของคณะกรรมการฯ

*พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้คำว่า “คณะกรรมการ”” หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการผู้เชี่ยวชาญ (Expert Committee)

หมายถึง คณะกรรมการที่ได้รับการแต่งตั้งจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามความเชี่ยวชาญในแต่ละเรื่องตามสมควร โดยมีหน้าที่รับผิดชอบและอำนาจดังต่อไปนี้

  • พิจารณาเรื่องร้องเรียนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • ตรวจสอบการกระทำการใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงลูกจ้างหรือผู้รับจ้าง ที่ก่อให้เกิดคามเสียหายแก่เจ้าของข้อมูลส่วนบุคคล
  • ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล
  • อื่น ๆ ตามพระราชบัญญติกำหนดหรือตามที่คณะกรรมการฯ มอบหมาย
 
 

คนไร้ความสามารถ (Incompetent Person)

หมายถึง บุคคลที่ศาลสั่งให้เป็นคนไร้ความสามารถ เนื่องจากเป็นบุคคลวิกลจริต ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้อนุบาล

คนเสมือนไร้ความสามารถ (Quasi-incompetent Person)

หมายถึง บุคคลที่ศาลสั่งให้เป็นคนเสมือนไร้ความสามารถ เนื่องจากมีความพิการทางกาย มีจิตไม่สมประกอบ มีพฤติกรรมสุรุ่ยสุร่ายเสเพลเป็นปกตินิสัย ติดสุราของมึนเมา หรือมีเหตุอื่น ๆ ทำนองเดียวกัน จนไม่สามารถจัดทำการงานโดยตนเองได้ หรือจัดกิจการในทางที่อาจจะเสื่อมเสียแก่ทรัพย์สินของตนเองหรือครอบครัว ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของคนเสมือนไร้ความสามารถ ต้องได้รับความยินยอมจากผู้พิทักษ์

ความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy or Information Privacy)

หมายถึง การให้ความคุ้มครองข้อมูลส่วนบุคคลโดยการวางหลักเกณฑ์เกี่ยวกับการเก็บรวบรวมและบริหารจัดการข้อมูลส่วนบุคคล ที่บุคคลอื่นห้ามเก็บรวบรวม ใช้ หรือเผยแพร่โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล

ความมั่นคงปลอดภัยไซเบอร์ (Cyber Security)

หมายถึง กระบวนการหรือการกระทำทั้งหมดที่จำเป็น เพื่อทำให้องค์กรปราศจากความเสี่ยง และความเสียหายที่มีผลต่อความปลอดภัยของข้อมูลข่าวสาร (Information) ในทุกรูปแบบ รวมถึงการระวังป้องกันต่อการอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะไม่บังคับใช้กับด้านความมั่นคงปลอดภัยทางไซเบอร์ เนื่องจากเป็นส่วนหนึ่งของการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ

ความยินยอม (Consent)

หมายถึง การแสดงเจตนาของเจ้าของข้อมูลส่วนบุคคล หรือผู้มีอำนาจกระทำการแทนเจ้าของข้อมูลส่วนบุคคล อนุญาตให้ผู้อื่นเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ผ่านเอกสารหรือผ่านระบบอิเล็กทรอนิกส์ โดยการกระทำข้างต้น (เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบคคล) จะถือว่าไม่เป็นการละเมิด ไม่ถือว่าเป็นความเสียหาย บุคคลจึงไม่มีสิทธิเรียกค่าเสียหายอันเกิดจากการกระทำที่ตนให้ความยินยอม

ค่าสินไหมทดแทน (Compensation)

หมายถึง การชดใช้ความเสียหายที่เกิดขึ้นแก่บุคคลอันเนื่องมาจากละเมิดหรือผิดสัญญาในกรณีที่เกี่ยวข้องกับข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายทั้งหมดที่เจ้าของข้อมูลส่วนบุคคลได้ใช้จ่ายไปตามความจำเป็นในการป้องกันความเสียหายที่กำลังจะเกิดขึ้น หรือระงับความเสียหายที่เกิดขึนแล้วด้วย

คุกกี้ (Cookies)

หมายถึง ไฟล์ข้อมูลขนาดเล็กซึ่งจะถูกบันทึกลงบนเบราว์เซอร์ของผู้เข้าชมเว็บไซต์ ทำให้ทราบถึงข้อมูลบางประการ เช่น ข้อมูลแบบฟอร์มที่เคยกรอก ข้อมูลการเข้าใช้งานเว็บไซต์ ข้อมูลการตั้งค่าบนเว็บไซต์ เป็นต้น ซึ่งมีประโยชน์ในทั้งสองทางคือความสะดวกสบายของผู้ใช้งานและเจ้าของเว็บไซต์ก็สามารถเก็บข้อมูลการใช้งานของผู้เข้าชมเว็บไซต์เช่นเดียวกัน บางส่วนอาจเป็นข้อมูลที่สามารถใช้ระบุตัวตนของผู้เข้าชมเว็บไซต์ได้ จึงจัดเป็นข้อมูลส่วนบุคคล

PDPA ส่งผลกระทบต่อการเก็บข้อมูลบนหน้าเว็บไซต์ และต้องมีการขอความยินยอมอนุญาตให้บันทึกคุกกี้ โดยต้องปรับปรุงให้ระบุถึงวัตถุประสงค์และนโยบายการใช้งานของคุกกี้อย่างชัดเจน

เจ้าของข้อมูลส่วนบุคคล (Personal Data Subject)

หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล แต่ไม่ใช่กรณีที่บุคคลที่ครอบครองข้อมูล หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลจะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึงนิติบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO)

หมายถึง พนักงานหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ให้คำแนะนำเกี่ยวกับการปฏฺิบัตตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลแก่บุคคลในองค์กร ตรวจสอบการดำเนินงานว่าสอดคล้องกับพระราชบัญญัติฯ หรือไม่ และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

โดยองค์กร (ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีที่

  • เป็นหน่วยงานของรัฐ
  • มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำนวนมาก และจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือข้อมูลอย่างสม่ำเสมอ
  • ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นกิจกรรมหลัก

ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller’s Representative)

หมายถึง ผู้ที่ได้รับมอบหมายให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคล

ในกรณีที่ผู้ควบคุมข้อมูลอยู่นอกราชอาณาจักรไทยจะต้องแต่งตั้งตัวแทนอย่างเป็นหนังสือลายลักษณ์อักษร ซึ่งตัวแทนจะต้องอยู่ในราชอาณาจักรและได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลโดยไม่มีข้อจำกัดความรับผิดใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูล

นิติบุคคล (Legal Entity)

หมายถึง บุคคลที่กฎหมายสมมติให้มีสภาพบุคคลเช่นเดียวกับบุคคลธรรมดา แต่มีความสามารถ สิทธิ และหน้าที่ตามที่ประมวลกฎหมายแพ่งและพาณิชย์หรือกฎหมายอื่น ๆ ได้ระบุไว้

นิติบุคคลแบ่งออกเป็น 2 ประเภท ได้แก่

  1. นิติบุคคลตามกฎหมายเอกชน คือ นิติบุคคลที่บัญญัติไว้ในประมวลกฎหมายแพ่งและพาณิชย์ มีด้วยกัน 5 ประเภท ได้แก่ บริษัทจำกัด ห้างหุ้นส่วนจำกัด ห้างหุ้นส่วนสามัญจดทะเบียน สมาคม และมูลนิธิ
  2. นิติบุคคลตามกฎหมายมหาชน คือ นิติบุคคลที่บัญญัติไว้ในกฎหมายมหาชนอื่น ๆ ซึ่งมีเป็นจำนวนมาก เช่น วัด จังหวัด กระทรวง ทบวง กรม องค์การมหาชน ฯลฯ”
 

บทบัญญัติ (Provision)

หมายถึง ข้อความที่กำหนดไว้เป็นลายลักษณ์อักษรในกฎหมาย

บุคคล (Person)

หมายถึง บุคคลธรรมดา หรือ คนหรือมนุษย์ปุถุชนซึ่งสามารถมีสิทธิและหน้าที่ตามกฎหมาย

ผู้ควบคุมข้อมูลส่วนบุคคล (Personal Data Controller)

หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ใช้อำนาจปกครอง (Parent)

หมายถึง บิดามารดาของผู้เยาว์ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจากบิดามารดา ส่วนผู้เยาว์ที่มีอายุเกิน 10 ปี ต้องได้รับความยินยอมจากบิดามารดาร่วมด้วย หากไม่เข้าข่ายการกระทำใด ๆ ซึ่งผู้เยาว์สามารถให้ความยินยอมโดยลำพังได้

ผู้ประมวลผลข้อมูลส่วนบุคคล (Personal Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลหรือนิติบุคคลดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ผู้พิทักษ์ (Custodian)

หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนเสมือนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนเสมือนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้พิทักษ์ จะต้องได้รับความยินยอมจากผู้พิทักษ์ก่อน

ผู้เยาว์ (Minor)

หมายถึง บุคคลที่ยังไม่บรรลุนิติภาวะ โดยมีอายุไม่ครบ 20 ปีบริบูรณ์ หรือไม่ได้สมรสอย่างถูกต้องตามกฎหมาย ซึ่งในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของผู้เยาว์นั้น

  • ผู้เยาว์อายุไม่เกิน 10 ปี ต้องได้ความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
  • ผู้เยาว์อายุเกินกว่า 10 ปี ต้องได้รับความยินยอมจากผู้เยาว์และผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ร่วมกัน (ยกเว้นว่าเป็นการกระทำใด ๆ ซึ่งผู้เยาว์สามารถให้ความยินยอมโดยลำพังได้)

ผู้อนุบาล (Curator)

หมายถึง บุคคลซึ่งศาลมีคําสั่งแต่งตั้งให้เป็นผู้ปกครองดูแลคนไร้ความความสามารถ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคนไร้ความสามารถที่อยู่ภายใต้ปกครองของผู้อนุบาล จะต้องได้รับความยินยอมจากผู้อนุบาลก่อน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act B.E. 2562 – PDPA)

กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งราชอาณาจักรไทย (ฉบับแรกอย่างเป็นทางการ) ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พ.ค. 2562

พฤติการณ์ (Circumstance)

หมายถึง สถานการณ์หรือเหตุการณ์จากการกระทำของคน ที่เกิดขึ้นมาแล้วหรือกำลังจะเกิดขึ้น มักเจาะจงในแง่ของตัวผู้กระทำ เวลา และสถานที่

เลขที่อยู่ไอพี (IP Address)

ย่อมากจาก Internet Protocol Address คือ สิ่งที่ใช้ระบุตัวตนของเครื่องคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ ที่เชื่อมต่อเข้าสู่เครื่องข่ายอินเทอร์เน็ต โดยมักปรากฏให้เห็นในรูปแบบของตัวเลข 4 ชุด เครื่องมืออิเล็กทรอนิกส์แต่ละชิ้นจะมีหมายเลข IP Address ที่ไม่ซ้ำกัน

IP Address โดยลำพังแล้วไม่จัดว่าเป็นข้อมูลส่วนบุคคล แต่เมื่ออยู่รวมกับข้อมูลอื่น ๆ เป็นชุดข้อมูลที่ทำให้สามารถระบุตัวตนของผู้ใช้งานเครื่องคอมพิวเตอร์หรือเครื่องมืออิเล็กทรอนิกส์บนเครือข่ายได้ จะนับว่าเป็นหนึ่งในข้อมูลส่วนบุคคล

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of the Personal Data Protection Commission – PDPC)

หมายถึง หน่วยงานของรัฐที่มีฐานะเป็นนิติบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ มีอำนาจหน้าที่ดังนี้

  1. จัดทำร่างแผนแม่บทการดำเนินงานด้านการส่งเสริม แก้ไขปัญหา และการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบาย ยุทธศาสตร์ชาติ และแผนระดับชาติที่เกี่ยวข้อง
  2. ส่งเสริมและสนับสนุุนการวิจัยเพื่อพัฒนาเทคโนโลยีที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  3. วิเคราะห์และรับรองมาตรฐาน มาตรการ หรือกลไลในการกำกับดูแลที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  4. สำรวจ เก็บรวบรวมข้อมูล ติดตามความเคลื่อนไหวของสถานการณ์ด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
  5. ประสานงานกับหน่วยงานราชการ รัฐวิสาหกิจ ราชการส่วนท้องถิ่น องค์การมหาชน หรือหน่วยงานอื่นของรัฐ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  6. ให้คำปรึกษาแก่หน่วยงานของรัฐและเอกชนเกี่ยวกับการการปฏิบัติตามพระราชบัญญตินี้
  7. เป็นศุนย์กลางในการให้บริการทางวิชาการหรือให้บริการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล แก่หน่วยงานต่าง ๆ และประชาชน
  8. กำหนดหลักสูตรฝึกอบรมการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง และประชาชนทั่วไป
  9. ทำความตกลงและความร่วมมือกับองค์การหรือหน่วยงานทั้งในไทยและต่างประเทศ
  10. ติดตามและประเมินผลการปฏิบัติงานตามพระราชบัญญัตินี้
  11. ปฎิบัติการอื่น ๆ ตามที่หน่วยงานที่เกี่ยวข้องที่มีอำนาจหน้าที่ หรือกฎหมายกำหนด
 
 

สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล (Right and Freedom of Data Subject)

หมายถึง “สิทธิ” ประโยชน์หรืออำนาจของบุคคลที่กฎหมายรับรองและคุ้มครองและ “เสรีภาพ” อิสระในการตัดสินใจที่จะเลือกดำเนินพฤติกรรมของตนเอง (ที่ไม่ขัดต่อกฎหมาย) โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งสอดคล้องกับรัฐธรรมนูญแห่งราชอาณาจักรไทย เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ และมีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ

โหลด PDF อภิธานศัพท์ - การคุ้มครองข้อมูลส่วนบุคคล ฟรี!
Click here !!
อ่านข่าวสารเกี่ยวกับ PDPA อื่นๆได้ที่
BACK
NEXT

Share :

บทความที่เกี่ยวข้อง

สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
อ่านเพิ่มเติม

ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
อ่านเพิ่มเติม

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
อ่านเพิ่มเติม
Copyright © 2022 Digital Business Consult, All Rights Reserved.

Privacy Notice

Privacy Policy

thThai
en_USEnglish thThai

ลงทะเบียน

Please accept the Terms and Conditions to proceed.
เข้าสู่ระบบ ลืมรหัสผ่าน?

เข้าสู่ระบบ