กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น ประวัติการเดินทาง, ข้อมูลที่เกี่ยวข้องกับพาสสปอร์ต, มื้ออาหาร และข้อมูลบัตรเครดิตบางส่วน ที่มา https://www.techtalkthai.com/bangkok-airways-has-been-attacked-by-lockbit-2-0/ https://www.hackread.com/bangkok-airways-hit-by-lockbit-ransomware/ https://www.infosecurity-magazine.com/news/bangkok-airlines-attackers-stole/   กันยายน 2564 สถาบันโรคไตภูมิราชนครินทร์ ถูกแฮกเกอร์ฉกข้อมูลคนไข้ ‘สถาบันโรคไตภูมิราชนครินทร์’ ถูกแฮกเกอร์ฉกข้อมูลคนไข้กว่า 4 หมื่นราย เกิดความเสียหายในส่วนของข้อมูลผู้ป่วยที่มารักษา รวมถึงไม่สามารถเข้าไปดูผลเอกซเรย์ย้อนหลัง ทำให้ไม่สามารถนำผลเอกซเรย์มาเปรียบเทียบเพื่อดูการเปลี่ยนแปลงกับการรักษาคนไข้ในปัจจุบันได้ ที่มา https://www.dailynews.co.th/news/249228/   กันยายน 2564  CP Freshmart ถูกแฮกข้อมูลลูกค้า “CP Freshmart” ถูกแฮกข้อมูลลูกค้า …

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้ อีกทั้งยังสร้างความเชื่อมั่นว่า ข้อมูลที่เป็นความลับของคนไข้นั้นจะได้รับการดูแลรักษาเป็นอย่างดี กฤตพล ศรีระษา ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลอาวุโส PDPA Thailand

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล ควรมีรายละเอียดขั้นต่ำ ดังนี้ นิยาม (Definition) สิทธิและหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลต่อผู้ประมวลผลและข้อกำหนดห้ามไม่ให้ผู้ประมวลผลทำการนอกเหนือจากคำสั่ง ข้อสัญญาเกี่ยวกับหน้าที่รักษาความลับ ข้อสัญญาเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ข้อสัญญาเกี่ยวกับผู้ประมวลผลช่วง (Sub-Processor) ข้อสัญญากำหนดหน้าที่ผู้ประมวลผลในการช่วยเหลือผู้ควบคุมข้อมูลให้ปฏิบัติหน้าที่ตามกฎหมาย ข้อสัญญาเกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ข้อสัญญาเกี่ยวกับการลบหรือส่งคืนข้่อมูลส่วนบุคคล ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) นี้ โรงแรมอาจกำหนดไว้เป็นสัญญาข้อหนึ่ง (Clause) ในสัญญาพื้นฐานหรือจัดทำเป็นสัญญาใหม่อีกหนึ่งฉบับ แยกจากสัญญาพื้นฐาน หรือ จัดทำเป็นข้อตกลงแนบท้าย (Annex) สัญญาพื้นฐานที่มีอยู่เดิมระหว่างโรงแรมและบริษัท Outsource limousine กรณี …

ข้อมูลเป็นกลไกสำคัญในการขับเคลื่อนการดําเนินงานของหน่วยงาน เพื่อนําไปสู่เป้าหมายที่กําหนดไว้ ทั้งยังเป็นหนึ่งในทรัพย์สินที่สําคัญที่องค์กรต้องให้ความสำคัญ การจัดเก็บและควบคุมไม่ให้เกิดการใช้ข้อมูลอย่างไม่ถูกต้องตามวัตถุประสงค์และเป้าหมายขององค์กร จึงมีความสำคัญอย่างยิ่งที่องค์กรจะต้องดำเนินการ โดยการจัดให้มีการกำกับดูแลข้อมูลภายในองค์กรให้เป็นไปตามเป้าหมายที่กำหนดไว้ ทั้งเป็นการดำเนินการให้ข้อมูลมีความพร้อมใช้งาน ความสมบูรณ์ และความปลอดภัย ยิ่งข้อมูลดังกล่าวเป็นข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลองค์กรยิ่งมีความจำเป็นอย่างยิ่งในการที่จะต้องจัดการให้มีความพร้อมใช้งานและมีความปลอดภัยมากยิ่งขึ้นเพื่อป้องกันมิให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล เนื่องจากในปัจจุบันนี้การเก็บข้อมูลของแต่ละองค์กรมีเป็นจำนวนมาก ซึ่งข้อมูลที่เก็บรวบรวมไว้นั้นอาจนำมาใช้หรือไม่นำมาใช้เพื่อให้บรรลุวัตถุประสงค์หรือเป้าหมายที่แท้จริงได้ อีกทั้งปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลจากการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ความเสียหายต่อเศรษฐกิจโดยรวม ทำได้โดยง่าย สะดวก ละรวกดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญในการจัดการข้อมูลและสร้างมาตราการในการคุ้มคุ้มครองข้อมูลส่วนบุคคลไปพร้อม ๆ กัน Data Governance หรือธรรมภิบาลข้อมูล คือ การกําหนดสิทธิในการตัดสินใจและความรับผิดชอบ ในการส่งเสริมให้เกิดกระบวนการจัดทํา การใช้งาน และ การบริหารจัดการข้อมูล รวมถึงกระบวนการที่กําหนดบทบาท นโยบาย และมาตรฐาน ที่ช่วยสนับสนุนให้การ ดําเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผลให้หน่วยงานหรือองค์กรทั้งภาครัฐและเอกชนสามารถบรรลุเป้าหมายได้ ในการจัดทำ Data Governance หรือธรรมาภิบาลข้อมูลขององค์นั้น ได้มีการกำหนดองค์ประกอบหลักสำคัญของการจัดการข้อมูลที่ดี โดยหน่วยงาน Intra-governmental Group on Geographic Information (IGGI, 2005) ซึ่งต้องประกอบไปด้วย 1) มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคลโดยมีมาตรการในการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคล 2)มีมาตรการควบคุมและจัดการระบบบริหารและกระบวนการจัดการข้อมูลหรือวงจรชีวิตของข้อมูล 3) มีนโยบายการใช้ข้อมูลที่ชัดเจน 4) มีการกําหนดบทบาทหน้าที่ของเจ้าของข้อมูล 5) ข้อมูลมี Meta Data 6) ข้อมูลมีคุณภาพ      ดังนั้นการจัดทำ Data Governance จึงเป็นเรื่องที่องค์กรต้องให้ความสำคัญ เพื่อเป็นการกำหนดถึงสิทธิ หน้าและนโยบายเกี่ยวกับการดำเนินการต่าง ๆ เกี่ยวกับข้อมูลทุกประเภทที่อยู่ภายใต้การควบคุมและการดำเนินงานขององค์กร และครอบคลุมถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมขององค์กรเช่นเดียวกัน เมื่อมีการดำเนินการเกี่ยวกับ Data Governance ในองค์แล้วนั้นจะทำให้การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA สามารถทำได้ง่ายขึ้น เนื่องจาก Data Governance เป็นการจัดระเบียบและกำกับการใช้ข้อมูลในองค์กร เมื่อข้อมูลต่าง ๆ ถูกกำกับดูแลแล้วนั้น จะทำให้ทราบว่าข้อมูลเหล่านั้นมีการเก็บรวบรวมจากแหล่งใด ข้อมูลนั้นมีคุณภาพหรือไม่ และมีวิธีการเก็บและทำลายอย่างไร ซึ่งการดำเนินเนิการดังกล่าวมีลักษณะที่ใกล้เคียงกับการทำ PDPA คือ การดำเนินงานของ PDPA จะเริ่มต้นตั้งแต่กระบวนการเก็บรวบรวมข้อมูลส่วนบุคคลตลอดจนการทำลายข้อมูลส่วนบุคคล กล่าวคือ PDPA กำหนดให้ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลทุกครั้ง ถึงการนำข้อมูลเหล่านั้นมาใช้หรือเปิดเผย โดยการแจ้งดังกล่าวองค์กรต้องมีการจัดทำประกาศความเป็นส่วนตัวในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่าจะมีข้อมูลส่วนบุคคลใดบ้างที่มีการเก็บรวบรวม และข้อมูลส่วนบุคคลนั้นจะถูกนำไปใช้เพื่อวัตถุประสงค์ใด รวมทั้งมีข้อมูลส่วนบุคคลใดบ้างที่เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลเพื่อปฏิบัติตามสัญญา ข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาในการเก็บข้อมูลส่วนบุคคลเหล่านั้น และสิทธิของเจ้าของข้อมูลส่วนบุคคลที่พึงมีต่อผู้ควบคุมข้อมูลส่วนบุคคล เมื่อมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแล้วนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาว่า ข้อมูลส่วนบุคคลที่จัดเก็บมานั้นจำเป็นต้องขอความยินยอมหรือไม่ หากต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องกระทำโดยชัดแจ้งเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ อีกทั้งในการเก็บรวบรวมข้อมูลส่วนบุคคลต้องเก็บเท่าที่จำเป็นตามวัตถุประสงค์ที่จะนำมาใช้งาน เมื่อนำข้อมูลส่วนบุคคลมาใช้งานแล้วผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการจัดทำบันทึกรายการของกิจกรรมหารประมวลผลเพื่อแสดงให้เห็นถึงวงจรการใช้ข้อมูลส่วนบุคคลขององค์กร (Data Life …

กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสาธารณรัฐประชาชนจีน (Personal Information Protection Law) หรือ PIPL เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่รัฐบาลจีนออกในเดือนสิงหาคม 2021 โดยมีวัตถุประสงค์เพื่อเสริมสร้างการปกป้องข้อมูลส่วนบุคคลและความเป็นส่วนตัวของประชาชนจีน กฎหมายนี้ใช้กับองค์กรและธุรกิจที่รวบรวม ใช้ ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลของพลเมืองจีนไม่ว่าจะตั้งอยู่ที่ใด กำหนดข้อกำหนดในการขอความยินยอม การปกป้องข้อมูลส่วนบุคคล และการให้สิทธิแก่บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลของตน กฎหมายยังมีบทลงโทษสำหรับการฝ่าฝืน ทั้งปรับ พักใช้ หรือเพิกถอนใบอนุญาตประกอบกิจการ PIPL คาดว่าจะมีผลกระทบอย่างมีนัยสำคัญต่อวิธีการดำเนินงานของธุรกิจในประเทศจีนและวิธีการประมวลผลข้อมูลส่วนบุคคล ทั้ง PDPA และ PIPL ต่างก็เป็นกฎหมายที่มุ่งเน้นคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลในประเทศของตน แม้ว่ากฎหมายทั้งสองจะมีความคล้ายคลึงกันอยู่บ้าง แต่ก็มีข้อแตกต่างที่สำคัญบางประการเช่นกัน ข้อแตกต่างบางประการระหว่าง PDPA ของไทยกับ PIPL ของจีน มีดังนี้ ขอบเขตการบังคับใช้(Scope) : PDPA แบ่งแยกกันระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ในขณะที่ PIPL รวมทุกอย่างเป็นผู้ประมวลผลข้อมูล คำจำกัดความ(Definition) : กฎหมายทั้งสองฉบับใช้คําจํากัดความที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแตกต่างกันบางคํา ตัวอย่างเช่น PDPA นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นเกี่ยวกับบุคคลนั้น” ในขณะที่ PIPL นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลทั้งหมดที่บันทึกทางอิเล็กทรอนิกส์หรือวิธีการอื่น ๆ ซึ่งสามารถใช้เพื่อระบุตัวบุคคลธรรมดาได้อย่างอิสระหรือรวมกับข้อมูลอื่น ๆ เพื่อระบุตัวตนของบุคคลธรรมดา” การจัดเก็บและประมวลผลข้อมูลในประเทศ(Data Localization) : PIPL กำหนดข้อกำหนดการจัดเก็บและประมวลผลข้อมูลในประเทศที่เข้มงวดกว่า PDPA โดยกำหนดให้ข้อมูลสำคัญที่เกี่ยวข้องกับความมั่นคงของชาติหรือผลประโยชน์สาธารณะต้องจัดเก็บไว้ในประเทศจีนและผ่านการประเมินความปลอดภัย ในขณะที่ PDPA ไม่มีข้อกำหนดเฉพาะในการจัดเก็บและประมวลผลข้อมูลในประเทศ การถ่ายโอนข้อมูลข้ามพรมแดน(Cross-border Data Transfer) : PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนทำการถ่ายโอนข้อมูลส่วนบุคคลออกนอกประเทศไทย แต่ PIPL มีกฎระเบียบที่เข้มงวดมากขึ้นเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดนและกำหนดให้ผู้ควบคุมข้อมูลทำการประเมินความปลอดภัยและได้รับการอนุมัติจากรัฐบาลก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลออกนอกประเทศจีน บทลงโทษ(Fines) : PDPA มีโทษปรับสูงสุด 5 ล้านบาท (ประมาณ 150,000 ดอลลาร์สหรัฐ) และ/หรือจำคุกสูงสุดหนึ่งปีสำหรับการละเมิด ในขณะที่บทลงโทษของ PIPL นั้นสูงกว่าแบบมีนัย โดยค่าปรับสูงสุดคือ 50 ล้านหยวน (ประมาณ 7.8 ล้านดอลลาร์สหรัฐ) หรือ 5% ของรายได้ต่อปีขององค์กร หรือการพักใช้หรือเพิกถอนใบอนุญาตประกอบธุรกิจ แล้วแต่จํานวนใดจะสูงกว่า          โดยรวมแล้ว ทั้ง PDPA และ PIPL มีเป้าหมายที่จะปกป้องสิทธิความเป็นส่วนตัวของบุคคลโดยควบคุมการเก็บ รวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล อย่างไรก็ตาม กฎหมายเหล่านี้เป็นกฎหมายที่แตกต่างกันสองฉบับที่ตราขึ้นโดยสองประเทศที่แตกต่างกัน โดยมีขอบเขตและข้อกำหนดที่แตกต่างกันบางประการ นายสุชเนศ จรรยา ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA Thailand

จากบทความครั้งที่แล้ว เรื่อง เก็บข้อมูลผู้เข้าพักอย่างไร ในขั้นตอนการลงทะเบียนเข้าพัก (Checked-in Process) ให้ถูกต้องตาม PDPA ที่ได้มีการกล่าวถึงกระบวนการการเก็บข้อมูลเมื่อลูกค้าเข้าพักซึ่งเป็นจุดที่มีการเก็บข้อมูลผู้เข้าพักครั้งแรกโดยโรงแรมมีหน้าที่แจ้งประกาศความเป็นส่วนตัวและการขอความยินยอมกรณีที่อาจมีการเก็บข้อมูลอ่อนไหวเมื่อโรงแรมไม่สามารถหาฐานทางกฎหมายมารองรับได้ ในบทความนี้เราจะกล่าวถึงกิจกรรมที่มีความต่อเนื่องจากการลงทะเบียนเข้าพัก นั่นก็คือ กระบวนการการนำส่งทะเบียนผู้เข้าพัก (ร.ร.4) ซึ่งเป็นหน้าที่ตามกฎหมายที่โรงแรมต้องส่งรายละเอียดผู้เข้าพักให้กับกรมการปกครอง รวมถึงเราจะมาพิจารณาถึงความเสี่ยงอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล กิจกรรมการนำส่งเอกสารการเข้าพักให้กับราชการ ในการลงทะเบียนเข้าพักนั้น เอกสารที่โรงแรมมีหน้าที่ต้องนำส่งหน่วยงานราชการมีอยู่ด้วยกัน 2 เอกสาร คือ 1) เอกสารทะเบียนผู้เข้าพัก หรือ  ร.ร.4 ให้กับกรมการปกครอง และ 2) เอกสาร ตม.30 ที่ต้องนำส่งให้กับสำนักงานตรวจคนเข้าเมือง ซึ่งผู้เขียนจะนำไปกล่าวถึงในบทความถัดไป      สำหรับเอกสาร ร.ร.3 หรือ บัตรทะเบียนผู้พักโรงแรม เป็นเอกสารที่กรมการปกครองกำหนดให้โรงแรมต้องจัดให้มีการบันทึกรายการต่างๆ เกี่ยวกับผู้พักและจํานวนผู้พักในแต่ละห้องทันทีที่มีการเข้าพัก โดยให้ผู้พักคนใดคนหนึ่งเป็นผู้ลงลายมือชื่อในบัตรทะเบียนผู้พัก หากผู้พักมีอายุต่ำกว่า 18 ปีบริบูรณ์และเข้าพักตามลําพัง ให้ผู้จัดการหรือผู้แทนลงลายมือชื่อกํากับไว้และ ภาพแสดงตัวอย่าง แบบฟอร์มใบ ร.ร.3 โรงแรมต้องนําไปบันทึกลงในทะเบียนผู้พัก (ร.ร.4) ให้แล้วเสร็จภายใน 24 ชั่วโมงหลังจากมีการลงทะเบียนเข้าพัก ข้อมูลส่วนบุคคลที่มีการเก็บใน ร.ร.3 ที่กฎหมายกำหนด ได้แก่ ชื่อ นามสกุล วันเดือนปีเกิด อาชีพ สัญชาติ ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์ มากจากที่ใด และจะไปที่ใด เลขบัตรประชาชน และรายละเอียดต่างๆในบัตร รายละเอียดการเข้าพัก ซึ่งโดยส่วนใหญ่โรงแรมจะทำการพิมพ์แบบฟอร์ม ร.ร.3 เพื่อให้ผู้เข้าพักทำการกรอกรายละเอียดเอง จากนั้นโรงแรมจะนำข้อมูลดังกล่าวกรอกในแบบ ร.ร.4 ซึ่งเป็นแบบฟอร์มทะเบียนผู้พักโรงแรม ซึ่งโรงแรมมีหน้าที่ต้องส่งสําเนาทะเบียนผู้พัก (ร.ร. 4) ในแต่ละวันไปให้นายทะเบียนทุกสัปดาห์แล้วให้นายทะเบียนทําใบรับมอบให้ไว้เป็นสําคัญ หากโรงแรมอยู่ห่างไกลหรือไม่สามารถส่งได้ตามกําหนดดังกล่าว ให้นายทะเบียนพิจารณากําหนดระยะเวลาส่งสําเนาดังกล่าวและแจ้งให้ผู้จัดการทราบ โดยข้อมูลที่มีการเก็บใน ร.ร.4 ได้แก่ วันที่เข้าพัก ชื่อนามสกุล สัญชาติ เลขประจำตัวประชาชนหรือเลขพาสปอร์ต ที่อยู่ อาชีพ รายละเอียดการเดินทาง ภาพแสดงตัวอย่าง แบบฟอร์มใบ ร.ร.4 ในการเก็บข้อมูล ร.ร.3 และ ร.ร.4 นั้น เป็นการจัดเก็บตามกฎหมาย ได้แก่ พระราชบัญญัติโรงแรม พ.ศ. 2547 ดังนั้น โรงแรมสามารถอ้างฐานปฏิบัติตามกฎหมาย (Legal Obligation) มาตรา 24(6) ในการใช้และเปิดเผยได้ ทั้งนี้ โรงแรมต้องมีการแจ้งวัตถุประสงค์ในการประมวลผลดังกล่าวในประกาศความเป็นส่วนตัวให้ผู้เข้าพักทราบเมื่อมีการเก็บข้อมูลครั้งแรก ซึ่งอาจแจ้งในขั้นตอนที่มีการลงทะเบียนเข้าพักก็ได้ เนื่องการส่งเอกสารดังกล่าวในปัจจุบันนั้นโรงแรมสามารถส่งรูปแบบออนไลน์ได้ แต่สิ่งที่น่ากังวลเกี่ยวกับ PDPA คือ เมื่อโรงแรมนำส่งเอกสารให้กับหน่วยงานราชการแล้ว เอกสารที่มีอยู่ทั้งรูปแบบออนไลน์และรูปแบบกระดาษโรงแรมควรจัดการอย่างไร เพราะข้อมูลที่มีอยู่นั้นถือเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงกระทบต่อตัวเจ้าของข้อมูล …

จากบทความครั้งที่แล้ว เรื่อง Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม ที่ได้มีการกล่าวถึงกระบวนการการรับส่งผู้เข้าพักจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ซึ่งอาจมีความเสี่ยงเกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ในบทความนี้จะกล่าวถึง กระบวนการการลงทะเบียนเข้าพัก (Checked-in Process) ซึ่งเป็นขั้นตอนที่เมื่อลูกค้าได้ทำการค้นหาที่พัก เปรียบเทียบราคา ทำการจองห้องพักและได้เดินทางมาที่โรงแรม สิ่งแรกที่ผู้เข้าพักจะต้องทำคือการลงทะเบียนเข้าพัก ซึ่งการที่โรงแรมจะสามารถดำเนินการให้ครอบคลุมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โรงแรมต้องพิจารณาจากวงจรการไหลเวียนข้อมูล ตั้งแต่ การเก็บ การเก็บรักษา การใช้ การเปิดเผย และการทำลายข้อมูล ในการเก็บข้อมูลการลงทะเบียนเข้าพัก โดยทั่วไปแล้วข้อมูลที่มีการจัดเก็บในกระบวนการนี้ เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน/เลขหนังสือเดินทาง อีเมล หมายเลขโทรศัพท์ ช่วงเวลาการเข้าพักและการเดินทาง หลักฐานการโอนเงิน ข้อมูลบัตรเครดิต ข้อมูลการแพ้ทางร่างกายและอาหารที่แพ้ ข้อมูลโรค สภาพความพิการ เป็นต้น ในการจัดเก็บข้อมูลทางโรงแรมสามารถใช้ฐานสัญญา ตามมาตรา 24 (3) ในการจัดเก็บข้อมูลส่วนบุคคลทั่วไป ของผู้เข้าพักได้ เนื่องจากเป็นการดำเนินการการตามสัญญาใช้บริการ ในส่วนข้อมูลที่มีความอ่อนไหว (Sensitive data) เช่น ข้อมูลการแพ้ ข้อมูลโรค ซึ่งเป็นสุขภาพ โรงแรมควรใช้ฐานความยินยอม (Consent) ตามมาตรา 19 ประกอบมาตรา 26 โดยการขอความยินยอม นั้นอาจทำเป็นเอกสารกระดาษหรือรูปแบบอิเล็กทรอนิกส์ก็ได้ ควรขอความยินยอมเจ้าของข้อมูลก่อนหรือขณะที่ลูกค้าทำการลงทะเบียนเข้าพัก ต้องมีการแจ้งวัตถุประสงค์ในการเก็บที่ชัดเจน ต้องใช้รูปแบบของข้อความที่เข้าใจง่าย ต้องให้ความอิสระกับผู้เข้าพักโดยไม่เป็นการบังคับให้ต้องเลือกหรือเป็นการเลือกไว้แล้วล่ววงหน้า ต้องไม่มีเงื่อนไขในการให้บริการ และต้องแจ้งผลกระทบการถอนความยินยินยอม ภาพแสดงตัวอย่างการขอความยินยอมที่ถูกต้อง                นอกจากหนังสือขอความยินยอมแล้ว ทางโรงแรมต้องมีการแจ้งประกาศความเป็นส่วนตัว (Privacy notice) ให้ผู้เข้าพักทราบในจุดต่างๆ เพื่อแจ้งรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล โดยอาจแจ้งผ่านหน้าเว็บไซต์ ทางอีเมล เอกสาร หรือผ่านทาง QR code เพื่อให้ผู้เข้าพักทราบ ทั้งนี้ขึ้นอยู่กับความสะดวกของโรงแรม โดยต้องมีรายละเอียดขั้นต่ำที่กฎหมายกำหนด ได้แก่ วัตถุประสงค์ของการเก็บรวบรวม ใช้ เปิดเผย แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติ ตามกฎหมายหรือสัญญาหรือรวมทั้งแจ้งถึง ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูล ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ สิทธิของเจ้าของข้อมูลส่วนบุคคล                เว็บไซต์                      …

การมีผลบังคับใช้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีการกำหนดหลักเกณฑ์และวิธีการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมไปถึงกำหนดบทบาทหน้าที่ต่าง ๆ ให้กับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วน หนึ่งในหน้าที่ที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติคือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล โดยมาตรการดังกล่าวต้องรวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งาน (user) หรือเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล  PDPA awareness คือการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ที่เป็นการสื่อสารให้บุคลากร พนักงาน หรือลูกจ้างในองค์กรเห็นว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นมีความสำคัญอย่างไร ทั้งยังชี้ให้เห็นถึงความเสี่ยงที่เกิดจากการใช้ข้อมูลส่วนบุคคลในการทำงานโดยไม่ใช้ความระมัดระวัง จะก่อให้เกิดโทษอย่างไรบ้าง การสร้างเสริมความตระหนักรู้ให้แก่บุคลากร พนักงาน หรือลูกจ้าง เป็นการป้องกันความผิดพลาดที่เกิดจากบุคคล (human error) ในการนำข้อมูลส่วนบุคคลไปใช้ใช้การดำเนินงานขององค์กร สิ่งสำคัญอย่างแรกที่จะต้องมีการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร คือ ความรู้พื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA Fundamental awareness) เพื่อให้บุคลากรได้ทราบว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นสำคัญอย่างไรกับการทำงาน มีหลัการพื้นฐานอย่างไร การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการอย่างไรจึงจะสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้างตามกฎหมายฉบับนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีบทบาทหน้าที่อะไรบ้าง รวมถึงโทษที่จะได้รับหากไม่ปฏิบัติตามกฎหมาย ซึ่งการสร้างความตระหนักรู้ในส่วนนี้บุคลากร พนักงาน ลูกจ้าง กรรมการบริษัท และผู้บริหารขององค์กร ควรได้รับการสร้างความตระหนักรู้ทุกคน ลำดับถัดมา คือ การอบรมสัมมนาเชิงปฏิบัติการ (workshop) ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยแบ่งเป็น 2 เรื่องคือ 1) บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) ที่จะทำให้บุคลากรในองค์กรบันทึกข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ไหลเวียนอยู่ในองค์กร ซึ่งเอกสารบันทึกรายการฉบับนี้จะนำไปสู่การประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลขององค์กรในลำดับถัดไป และ 2) การบริหารจัดการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Management) เป็นการสร้างความตระหนักรู้เพื่อเตรียมความพร้อมรับมือเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้นกับองค์กร เพื่อให้พนักงานสามารถดำเนินการแก้ไขได้อย่างรวดเร็ว และเพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลและองค์กรได้น้อยที่สุด การอบรมเชิงปฎิบัติการนี้ควรเน้นไปที่ผู้ปฏิบัติงานเป็นหลัก แต่ผู้บริหารขององค์กรก็ควรที่จะมีความรู้ในส่วนนี้เพื่อที่จะสารมารถบริหารจัดการหรือสั่งการได้อย่างรวดเร็ว นอกจาก PDPA Fundamental awareness และ workshop แก่บุคลากรในองค์กรแล้วนั้น หากองค์กรใดได้มีการจัดทำเอกสารต่าง ๆ ให้สอดคล้องกับที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดแล้วนั้น ควรมีการอบรมเกี่ยวกับเอกสารที่จัดทำเหล่านั้น ให้กับผู้บริหารขององค์กรได้รับรู้รับทราบ ว่าเอกสารเหล่านั้นคืออะไร นำไปใช้อย่างไร รวมถึงเพื่อออกคำสั่งให้นำเอกสารเหล่านั้นไปใช้รวมกับการดำเนินงานต่าง ๆ ในองค์กร นอกจากการสร้างความตระหนักรู้ให้กับบุคลากรที่เป็นผู้ปฏิบัติงานแล้วนั้น การสร้างความตระหนักรู้แก่ระดับผู้บริหารขององค์กรก็มีความสำคัญไม่ยิ่งหย่อนไปกว่ากัน เพราะหากผู้บริหารมีความรู้และให้ความสำคัญกับเรื่องดังกล่าวก็จะนำมาซึ่งการขับเคลื่อนขององค์กรที่ดี  และนำมาซึ่งการให้ความสำคัญ การป้องกัน และลดความเสียหายที่จะเกิดแก่เจ้าของข้อมูลส่วนบุคคลและองค์กรได้อย่างมาก การสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ในปัจจุบันนั้นมีหลายองค์กรที่จัดให้มีการสร้างความตระหนักรู้ด้านนี้ขึ้น ทั้งหน่วยงานภาครัฐและเอกชน แต่อาจจะเป็นเพียงการอบรมให้ความรู้พื้นฐานเพียงเท่านั้น ซึ่งอาจจะยังไม่เพียงพอเมื่อเทียบกับกฎหมายที่จะมีการบังคับใช้อย่างเข้มข้นมากขึ้นในอนาคต ดังนั้นแล้วการสร้างความตระหนักรู้จึงควรรวมถึงการอบรมสัมมนาเชิงปฎิบัติการด้วย นางสาวชไมพร วุฒิมานพ ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก …

สิทธิในการเข้าถึงข้อมูลส่วนบุคคลนั้น เป็นสิทธิที่ให้เจ้าของข้อมูลส่วนบุคคลสามารถแสดงคำขอเข้าถึงข้อมูลส่วนบุคคลของตนได้จากผู้ควบคุมข้อมูลส่วนบุคคลไม่ว่าจะเป็นหน่วยงานรัฐหรือหน่วยงานเอกชน เมื่อไม่นานมานี้ สำนักบริหารการทะเบียน กรมการปกครอง ได้ออกประกาศเพื่อให้ประชาชนสามารถเข้าถึงข้อมูลส่วนบุคคล ซึ่งแสดงรายละเอียดว่ามีใคร หรือหน่วยงานใดที่เข้าถึงข้อมูลเราบ้าง ซึ่งสามารถใช้สิทธิได้ทั้งรูปแบบออนไลน์หรือที่สำนักบริหารทะเบียนได้โดยตรง สำนักบริหารการทะเบียน คือ หน่วยงานที่มีอำนาจหน้าที่ดำเนินการตามกฎหมายว่าด้วยการทะเบียนราษฎร บัตรประจำตัวประชาชน กฎหมายว่าด้วยสัญชาติและการทะเบียนอื่นที่อยู่ในความรับผิดชอบของกรมการบริหารจัดการฐานข้อมูลกลาง เพื่อการใช้ประโยชน์ร่วมกันทั้งภาครัฐ และภาคเอกชน รวมทั้ง ปฏิบัติงานร่วมกับหรือสนับสนุนการปฎิบัติงานอื่นที่เกี่ยวข้องหรือที่ได้รับมอบหมาย พระราชบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ได้กำหนดให้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการเข้าถึงและและขอสำเนา (Right of Access) ซึ่งสิทธินี้เป็นสิทธิที่ให้เจ้าของข้อมูลส่วนบุคคลสามารถแสดงคำขอเข้าถึงข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมเก็บรวมรวมไว้ เพื่อตรวจสอบและรับรู้รายละเอียดที่เกี่ยวข้อง และสามารถขอรับสำเนาข้อมูลส่วนบุคคลที่ผู้ควบคุมได้เก็บรวบรวมไว้ นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิเสธการใช้สิทธิได้ หากเป็นกรณี 1) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการปฏิเสธนั้นเป็นไปตามกฎหมายหรือคำสั่งศาล 2) คำขอนั้นขัดต่อสิทธิหรือเสรีภาพของผู้อื่น เช่น ความลับทางการค้า มีข้อมูลทรัพย์สินทางปัญญา เป็นส่วนหนึ่งของข้อมูล เป็นต้น นอกจากนี้ การขอเข้าถึงข้อมูลดังกล่าวยังเป็นไปตามระเบียบสำนักทะเบียนกลาง กรมการปกครอง ว่าด้วยการคุ้มครองและการจัดการข้อมูลทะเบียนประวัติราษฎร พ.ศ. 2561 ที่กำหนดให้เจ้าของข้อมูลมีสิทธิขอให้เปิดเผยข้อมูลทะเบียนราษฎร พร้อมหลักฐานต่อนายทะเบียน ณ สำนักทะเบียนกลาง หรือหน่วยงานบริการงานทะเบียนอื่นแห่งใดก็ได้ สำนักบริหารการทะเบียน กรมการปกครอง ได้ให้สิทธิในการเข้าถึงและขอสำเนาแสดงรายละเอียดว่าบุคคลใดบ้างที่ได้เข้าถึงและเข้าใช้ข้อมูลส่วนบุคคล ในข้อมูลทะเบียนราษฎรและบัตรประจำตัวประชาชนของตน ซึ่งในการขอเข้าใช้สิทธิ เจ้าของข้อมูลหรือผู้ที่ทำการแทน สามารถขอใช้สิทธิ โดยการเดินทางไปที่ สำนักบริหารการทะเบียน กรมการปกครองได้โดยตรง หรือ จะยื่นขอใช้สิทธิผ่านช่องทางออนไลน์ โดยมีรายละเอียดดังนี้ การขอตรวจสอบการเข้าถึงหรือเข้าใช้ข้อมูลส่วนบุคคลของผู้ร้อง จะต้องกรอกรายละเอียดตามแบบฟอร์มที่สำนักทะเบียนกลางกำหนด เขียนด้วยลายมือ หรือพิมพ์เอกสาร โดยระบุรายละเอียดให้ครบถ้วน ประกอบด้วย ชื่อ นามสกุล เลขประจำตัวประชาชน ที่อยู่ในการติดต่อ/ส่งเอกสารผลการตรวจสอบ เบอร์โทรศัพท์ที่สามารถติดต่อได้ ไปรษณีย์อิเล็กทรอนิกส์ หรือช่องทางสื่อสารเพิ่มเติม ความเสียหายที่เกิดขึ้น ช่วงเวลาที่ต้องการตรวจสอบ ซึ่งต้องระบุให้ชัดเจน เช่น ตั้งแต่วันที่ 1 ตุลาคม 2565 – 31 ธันวาคม 2565) การแนบเอกสารประกอบตามหนังสือคำร้อง ประกอบด้วย 2.1 สำเนาหลักฐานการลงบันทึกประจำวัน 2.2 สำเนาบัตรประจำตัวประชาชนของผู้ร้อง ผู้ร้องจะต้องแนบแบบฟอร์มการขอตรวจสอบและเอกสารแนบส่งไปยังที่อยู่โดย เรียน ผู้อำนวยการทะเบียนกลางสำนักทะเบียนกลาง กรมการปกครอง เลขที่ 59 หมู่ที่ 11 ถนนลำลูกกา ตำบลบึงทองหลาง อำเภอลำลูกกา จังหวัดปทุมธานี 12150 หรือส่งมาที่ E-mail : [email protected] ไพศาล สามิภัตย์ ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand