ปัจจุบันข้อมูลส่วนบุคคลของเรานั้นถูกเก็บรวบรวมเพื่อใช้งานในด้านต่าง ๆ ไม่ว่าเป็นการแสดงผลในโซเชียลเน็ตเวิร์กต่างๆ เพื่อบอกเอกลักษณ์ของเรา เช่น เพศ อายุ ชื่อ วันเกิด หรืออื่น ๆ หรือการประวัติการท่องเว็บ Cookie ที่ถูกเก็บรวบรวม ล้วนแต่ก็เป็นข้อมูลส่วนบุคคลที่ระบบเก็บไปเผื่อประมวลผลหรือทำสิ่งต่างๆ ไม่ว่าจะเป็น การตรวจสอบ วิเคราะห์ ปรับปรุงบริการ วิเคราะห์พฤติกรรมของผู้ใช้งาน ค้นหาวิดีโอที่ผู้ใช้อยากชม การกรอกข้อมูลที่เคยบันทึกไว้อัตโนมัติ นำทางผู้ใช้งานไปยังสถานที่ที่ไปเป็นประจำ นำเสนอโฆษณาที่ผู้ใช้งานสนใจหรือใกล้เคียงกับความสนใจ ซึ่งข้อมูลเหล่านี้ถูกรวบรวมโดยผ่านการยอมรับข้อตกลงและเงื่อนไขของเราในตอนแรกที่เราสมัครบัญชีผู้ใช้งานของเครือข่ายนั้นๆ ดังนั้นข้อมูลที่ถูกรวบรวมไปก็จะเป็นข้อมูลที่เรายินยอมให้เขาไปนั่นเอง
การคุ้มครองข้อมูลส่วนบุคคล ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
การคุ้มครองข้อมูลส่วนบุคคล ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. สรุปสาระสำคัญ ดังนี้ เป็นกฎหมายกลางในการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป (มีขอบเขตการใช้บังคับกับหน่วยงานของรัฐด้วย) หากมีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้วให้เป็นไปตามกฎหมายนั้น (มาตรา 3) เว้นแต่ บทบัญญัติเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล และบทกำหนดโทษที่เกี่ยวข้อง จะต้องนำบทบัญญัติแห่งพระราชบัญญัตินี้ไปใช้บังคับเป็นการเพิ่มเติม ไม่ว่า จะซ้ำกับกฎหมายนั้นหรือไม่ก็ตาม บทบัญญัติในเรื่องการร้องเรียน บทบัญญัติที่ให้อำนาจแก่คณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัตินี้ เฉพาะในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน สำหรับข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล มาตรา 31 ได้กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ทำประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติ มาตรา 42 กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการใดๆ อันทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้น เว้นแต่จะพิสูจน์ได้ว่า (1) ความเสียหายนั้นเกิดจากเหตุสุดวิสัย (2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจหน้าที่ตามกฎหมาย และ (3) เป็นการปฏิบัติครบถ้วนตามข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 31 จากข้างต้นการคุ้มครองข้อมูลส่วนบุคคลที่มีความเกี่ยวข้องและใกล้เคียงกันระหว่างประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 […]
การคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
การคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐตามพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 สรุปสาระสำคัญ ดังนี้ ตามความในหมวด 4 ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ มาตรา 35 แห่งพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ได้กำหนดให้การทำ “คำขอ การอนุญาต การจดทะเบียน คำสั่งทางปกครอง การชำระเงิน การประกาศ หรือการดำเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทำในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กำหนดโดยพระราชกฤษฎีกา ให้นำพระราชบัญญัตินี้มาใช้บังคับและให้ถือว่ามีผลโดยชอบด้วยกฎหมายเช่นเดียวกับการดำเนินการตามหลักเกณฑ์และวิธีการที่กฎหมายในเรื่องนั้นกำหนด…” ทั้งนี้ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่ติดต่อหรือทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานภาครัฐ โดยในมาตรา 6 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 (ซึ่งออกโดยอาศัยอำนาจตามมาตรา 35) กำหนดว่า “ในกรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพร่ข้อมูล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคลไม่ว่าโดยตรงหรือโดยอ้อมให้หน่วยงานของรัฐจัดทำแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลด้วย” คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดหลักเกณฑ์และวิธีการในการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องตามความในมาตรา 6 แห่งพระราชกฤษฎีกาฯ โดยจัดทำเป็นประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งมีสาระสำคัญ ที่หน่วยงานของรัฐจะต้องจัดทำเนื้อหาและรายละเอียดให้ครอบคลุมดังนี้ […]
โครงสร้างของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
โครงสร้างของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….. ประกอบด้วย บททั่วไป (มาตรา 1 – มาตรา 6) หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 7 – มาตรา 16) หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล ส่วนที่ 1 บททั่วไป (มาตรา 17 – มาตรา 18) ส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล (มาตรา 19 – มาตรา 23) ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 24 – มาตรา 25) หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล (มาตรา 26 – มาตรา 30) หมวด […]
สิทธิของเจ้าของข้อมูล
สิทธิของเจ้าของข้อมูล โดยเจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน มีสิทธิขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงมีสิทธิโต้แย้ง หรือ คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพิ่มเติมจากการมีสิทธิเข้าถึง และขอให้เปิดเผยถึงการได้มาซึ่งข้อมูล ขอให้ลบทำลาย หรือเปลี่ยนแปลงข้อมูลที่องค์กรต่างๆ นำไปใช้
การรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษาในประเทศ หรือกรณีการโอนย้ายข้อมูลไปนอกประเทศ ประเทศปลายทางต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
วัตถุประสงค์ในการใช้ข้อมูล
ต้องแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการเก็บ ใช้ หรือ เปิดเผย และต้องไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้ง
การขอความยินยอม
การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ โดยขอบเขตการบังคับใช้ในร่างพรบ. ฉบับล่าสุดยังได้ขยายขอบเขตครอบคลุมถึงกรณีผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่อยู่นอกประเทศโดยมี 1) การเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในประเทศ ไม่ว่าจะมีการชำระเงินหรือไม่ และ 2) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในประเทศ
มาตราใดบ้างที่เลื่อนบังคับใช้ไปอีก 1 ปี
ล่าสุด ที่ประชุมคณะรัฐมนตรี (ครม.) รับทราบถึงความจำเป็นในการออกร่างพระราชกฤษฎีกา จึงขยายเวลาการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในหมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ และความในมาตรา 95 และมาตรา 96 ออกไปอีก 1 ปี ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ ถือเป็นการบรรเทาผลกระทบที่อาจเกิดขึ้นกับหน่วยงานภาครัฐ เอกชน และประชาชน เนื่องจากหากมีการบังคับใช้ตามกำหนดเวลาเดิมในขณะที่ทุกภาคส่วนยังไม่พร้อม อาจทำให้เกิดการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายได้โดยไม่ตั้งใจ รวมทั้งอาจเป็นช่องทางให้ผู้ที่ทุจริตแสวงหาผลประโยชน์โดยมิชอบ กฎหมายคุ้มครองข้อมูลส่วนบุคคลเรื่องที่ภาคอสังหาฯ ต้องปรับตัว ถึงแม้ว่าจะมีข้อยกเว้นมากมาย ต่างไปจากประเทศที่มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเข้มงวด แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้นับเป็นก้าวแรกที่สำคัญอย่างยิ่งที่สร้างความคุ้มครองทางกฎหมายให้แก่ข้อมูลส่วนบุคคลที่เคยเป็นปัญหามาตลอดในประเทศไทย ถือเป็นการสร้างมาตรฐานใหม่ในการจัดการกับข้อมูลส่วนบุคคล และยังเปลี่ยนแปลงความคุ้มครองสิทธิบางอย่างไปจากหลักกฎหมายแพ่งและพาณิชย์เดิมให้เป็นคุณกับประชาชนมากขึ้น เช่น – อายุความฟ้องคดี 3 ปี นับแต่รู้ (จากเดิม 1 ปีนับแต่รู้) […]
