พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมายที่เรารู้จักกันดีในนาม PDPA (Personal Data Protection Act) มีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ภายหลังจากที่ได้รับการยกเว้นบังคับใช้ เนื่องมาจากวิกฤตโควิด-19 ซึ่งส่งผลให้การเตรียมพร้อมคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานหลาย ๆ ภาคส่วนในสังคมยังดำเนินการไม่เรียบร้อย โดยสถานศึกษา (ของคุณ) ก็อาจเป็นหนึ่งในนั้นเช่นกัน
คุณเข้าข่ายเป็น “สถานศึกษา” หรือไม่?
พระราชบัญญัติการศึกษาแห่งชาติ พ.ศ.2542 ให้นิยามของ “สถานศึกษา” ว่าหมายถึง หน่วยงานของรัฐหรือของเอกชนที่มีอำนาจหน้าที่หรือมีวัตถุประสงค์ในการจัดการศึกษา ดังนั้น ไม่ว่าจะเป็นโรงเรียนระดับอนุบาล ประถม มัธยม วิทยาลัย มหาวิทยาลัย หรือแม้แต่บรรดาสถาบันกวดวิชา สถาบันสอนอาชีพ สถาบันสอนทักษะเฉพาะทาง หรือสถานทำการในทำนองเดียวกัน ก็เข้าข่ายเป็นสถานศึกษาด้วยเช่นกัน
โดยหากลองพิจารณาอย่างถี่ถ้วน จะพบว่าสถานศึกษาแต่ละแห่งล้วนแล้วแต่เป็นสถานที่ที่มีข้อมูลส่วนบุคคลไหลเวียนอยู่ไม่น้อยเลย โดยส่วนใหญ่จะพบว่าเป็นข้อมูลส่วนบุคคลของนักเรียน พ่อแม่ผู้ปกครอง บุคลากรภายใน ตลอดจนคู่ค้า (Partner) ของโรงเรียนในหลาย ๆ ด้าน ยกตัวอย่างข้อมูลส่วนบุคคล เช่น ประวัติส่วนตัวของนักเรียนและบุคลากร เลขทะเบียนประจำตัวนักเรียน ผลการสอบ บันทึกผลการเรียน ข้อมูลสุขภาพของนักเรียนและบุคลากร (เพื่อผลประโยชน์ด้านสวัสดิการ/บริการสุขภาพ) รายละเอียดติดต่อของผู้ปกครอง รายละเอียดติดต่อของ Outsource/Supplier เป็นต้น
มัดรวม 7 มิติคุ้มครองข้อมูลส่วนบุคคล (ฉบับสถานศึกษา)
หากคุณเป็นผู้บริหารหรือผู้ที่เกี่ยวข้อง และยังไม่ทราบว่าควรจะเริ่มต้นดำเนินการอย่างไรเพื่อจัดการคุ้มครองข้อมูลส่วนบุคคลของสถานศึกษาที่อยู่ภายใต้ความรับผิดชอบ PDPA Thailand ขอแนะนำ “7 มิติของการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA ที่ผู้บริหารสถานศึกษาต้องทราบ” เพื่อเป็น Guideline ให้คุณสามารถมองเห็นทิศทางและขั้นตอนในการดำเนินงานเบื้องต้นที่จำเป็น
มิติที่ 1: ผู้รับผิดชอบด้านการคุ้มครองข้อมูล
- ผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ควรเป็นผู้บริหารระดับสูงหรือผู้ที่มีอำนาจในการสั่งการ
- อาจแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลช่วนดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
- ดำเนินงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
- พิจารณาและอนุมัติการสื่อสาร Official ในนามองค์กรทุกครั้ง
- จำกัด Access ของผู้ที่สามารถใช้ช่องทางการสื่อสารทางการ เฉพาะผู้ที่เกี่ยวข้อง
- หากเกิดเหตุละเมิด แจ้งเจ้าของข้อมูลอย่างรวดเร็วที่สุด และแจ้งสำนักงานคณะกรรมการฯ ภายใน 72 ชั่วโมงเมื่อทราบเหตุ
มิติที่ 2: การสื่อสารถึงนักเรียนและผู้ปกครอง
- ควรแจ้งเจ้าของข้อมูลว่าจะมีการสื่อสาร + วัตถุประสงค์
- การสื่อสารแบ่งออกเป็น 2 ประเภท การบริการ (ประโยชน์อันชอบธรรม) และ การตลาด (ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล)
- นักเรียนอายุต่ำกว่า 10 ปี ให้ขอความยินยอมจากผู้ปกครอง
- นักเรียนอายุ 11-19 ปี ให้ขอความยินยอมจากทั้งนักเรียนและผู้ปกครอง
- และความยินยอมสำหรับการสื่อสารด้านการตลาด ต้องมีช่องทางให้เจ้าของข้อมูลถอนความยินยอมได้
มิติที่ 3: การลงทะเบียนเข้าร่วมกิจกรรม
- ออกแบบฟอร์มลงทะเบียน เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์
- วางระบบการเก็บรวบรวมแบบฟอร์ม และเก็บข้อมูลเข้าส่วนเก็บรักษาข้อมูลอย่างปลอดภัยโดยรวดเร็วที่สุด
- บอกวัตถุประสงค์ของการเก็บรวบรวมข้อมูล ณ จุดลงทะเบียน หรือหน้าเว็บลงทะเบียน
มิติที่ 4: การจัดการมาตรการด้าน Data Securities
- จัดทำนโยบาย เพื่อประโยชน์ด้าน คนในรับทราบ เข้าใจ ทำตาม + คนนอกมองเห็นความตั้งใจและเชื่อมั่น
- วาง Protocol/มาตรการเก็บข้อมูลเข้าสู่ส่วนกลางหลังการใช้งาน
- อบรมผู้เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ
- คุ้มครองข้อมูลด้วยการใส่ Password / ล็อกหน้าจอคอมพิวเตอร์ / ล็อกตู้เก็บเอกสาร / ไม่ปล่อยเอกสารไว้ตามยถากรรม
- ติดตั้งกล้อง CCTV บริเวณเก็บเอกสารกลางของสถานศึกษา
- และมาตรการคุ้มครองข้อมูลอื่น ๆ ตามสมควร เช่น การจัดจ้าง Outsource ดูแล Server ของสถานศึกษา เป็นต้น
มิติที่ 5: การเก็บรักษาข้อมูลและการทำลาย (Data Retention)
- องค์กรไม่ควรเก็บรักษาข้อมูลไว้นานเกินความจำเป็น
- จัดทำ Data Map หรือ Record of Processing Activities และจำแนกเหตุผลของการเก็บรักษาข้อมูลแต่ละประเภท ซึ่งมีระยะการเก็บตามข้อบังคับกฎหมาย/ระเบียบที่แตกต่างกัน ดำเนินการจัดทำเป็น —> ตารางเวลาเก็บรักษาและทำลายข้อมูล
- ระยะเวลาการเก็บข้อมูลปรับใช้กับทั้งข้อมูลรูปแบบเอกสารกระดาษและอิเล็กทรอนิกส์
- ข้อมูลรูปแบบกระดาษควรถูกทำลาย (ไม่ให้นำกลับมาใช้ใหม่ได้) และนำไปทิ้งตามสมควร
- ข้อมูลอิเล็กทรอนิกส์หลังจากลบออกแล้ว ควรล้าง Device ที่เคยใช้เก็บข้อมูลด้วย
มิติที่ 6: ความเกี่ยวข้องกับผู้ให้บริการ Third-Party
- สถานศึกษาต้องสำรวจดูว่ามีการจ้างวาน Third-Party ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้หรือเปล่า
- แนะนำให้ประเมิน Third-Party ว่ามีมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่าหรือมากกว่าขององค์กร ก่อนการจ้างวาน
- สถานศึกษาเป็น “ผู้ควบคุมข้อมูล” ส่วนผู้ให้บริการ Third-Party ถือว่าเป็น “ผู้ประมวลผลข้อมูล”
- ต้องทำสัญญาข้อตกลงการประมวลผลอย่างเป็นลายลักษณ์อักษร ก่อน Outsource ของคุณจะสามารถเข้าถึงข้อมูลส่วนบุคคลของสถานศึกษา เพื่อกำหนดระเบียบ/ความรับผิดหากเกิดการละเมิด
- หลังหมดสัญญา Third-Party ต้องลบทำลาย ไม่เก็บข้อมูลของสถานศึกษาเอาไว้ใช้งานต่อ* (ควรระบุไว้ในสัญญาข้อตกลง)
มิติที่ 7: ด้านภาพถ่ายและวิดีโอ
- ภาพถ่าย/วิดีโอสามารถระบุ Identity ของบุคคลได้ = ข้อมูลส่วนบุคคล
- สถานศึกษาควรแจ้งเตือนบุคคลตามสถานที่ ใบสมัครเข้าร่วม บัตรเข้างาน Event ว่าจะมีการเก็บภาพ/วิดีโอ
- หากต้องการใช้ภาพ/วิดีโอเพื่อโฆษณาประชาสัมพันธ์ภายหลัง ต้องขอความยินยอมจากผู้ถูกถ่ายก่อน โดยอาจขอความยินยอมล่วงหน้าในส่วนของจุดลงทะเบียน ใบสมัคร หน้าเว็บลงทะเบียน ฯลฯ
- กรณี CCTV เป็นการรักษาความปลอดภัย สามารถอ้างได้ตามฐานทางกฎหมาย “ประโยชน์อันชอบธรรม” (Legitimate Interest) เพียงแต่ต้องแจ้งให้ผู้ถูกถ่ายทราบ
หากคุณเป็นคนหนึ่งที่สนใจแนวทางการดำเนินงาน (เพิ่มเติม) เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสถานศึกษา โปรดติดตามอ่าน Personal Data Protection Guideline คู่มือเตรียมความพร้อมสำหรับ PDPA (ฉบับสถานศึกษา) ลงทะเบียนเพื่อโหลด PDF e-Book ฉบับเต็มได้ฟรี!
