มารู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กันค่ะ
มารู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กันค่ะ
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พ.ค.2562 และจะมีผลบังคับใช้ภายในหนึ่งปีนับจากวันประกาศ ส่งผลกระทบต่อองค์กรทั้งภาครัฐและเอกชนในวงกว้างระดับประเทศ ที่องค์กรจำเป็นต้องมีการเตรียมการเพื่อรองรับ พ.ร.บ.ฉบับนี้ภายในระยะเวลาเพียง 1 ปี นับจากวันที่ พ.ร.บ. ประกาศในราชกิจจานุเบกษา
ดาวน์โหลดเอกสารเพิ่มเติม

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คืออะไร?

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ประโยชน์ด้านอื่นๆ เพื่อป้องกันและแก้ไขปัญหาการล่วงละเมิดสิทธิ และข้อมูลส่วนบุคคลที่หลายคนกังวล โดยมีการกำหนดหลักเกณฑ์ และมาตรการกำกับดูแลการเก็บรวบรวม, การใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นมาตรฐานสากล เพื่อคุ้มครองไม่ให้มีการก่อความเดือดร้อน, รำคาญ หรือสร้างความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล จึงมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมา เพื่อช่วยดูแลด้านต่างๆ ให้ข้อมูลไม่รั่วไหลไปสู่ภาคส่วนอื่นๆ และถูกเก็บไว้เป็นความลับ โดยร่างกฎหมายฉบับนี้ได้นำหลักการของสหภาพยุโรป (General Data Protection Regulation: GDPR) มาใช้ด้วย เพื่อให้เป็นไปตามมาตรฐานสากลให้ได้มากที่สุด

 

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 

  1. เจ้าของข้อมูลต้องให้ความยินยอมในการเก็บรวบรวม, การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม, ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น (ผู้เก็บรวบรวมต้องขออนุมัติจากเจ้าของข้อมูลก่อน เช่น หากผู้เก็บรวบรวมจะเก็บข้อมูลบัตรเครดิตของลูกค้าไว้ในระบบ จะต้องมีข้อความให้กดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม และการใช้ หากลูกค้าไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต ผู้เก็บรวบรวมข้อมูลนั้นจะไม่สามารถใช้ข้อมูลบัตรเครดิตของลูกค้าได้)
  2. ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น โรงพยาบาล จะต้องมีการเก็บข้อมูลของคนไข้ให้เป็นแบบความลับ และต้องไม่เปิดเผยให้แก่ผู้อื่นโดยไม่ได้รับอนุญาตจากคนไข้
  3. เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล

 

สิ่งที่องค์กรควรเตรียมความพร้อมเตรียมการเพื่อรองรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Data Protection by Design

  • แต่งตั้ง Working Group ในองค์กร
  • แต่งตั้ง data protection officer (DPO)
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวน Data Protection Policy
  • ควรทบทวนการบริหารจัดการ Personal Data และหลักเกณฑ์การให้ความยินยอม
  • ทบทวนกระบวนการเข้าถึงแก้ไขลบข้อมูลเมื่อได้รับการร้องขอ
  • ทบทวน life-cycle ของการเก็บรักษาและทําลายข้อมูล
  • จัดเตรียมข้อปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
  • ทบทวนมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศที่มีการโอนย้ายข้อมูลไป
  • จัดทำเอกสาร (Document) มาตราการรักษาความมั่นคงปลอดภัยกับข้อมูลส่วนบุคคล
  • จัดอบรมให้กับบุคลากรพนักงานและเจ้าหน้าที่
  • พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit)

Privacy by Design และSecurity by Design

  • พัฒนากระบวนการแจ้งเตือน (Breach Notification)
  • ได้รับงบประมาณและการสนับสนุนจากผู้บริหาร

 

 

อ้างอิง: ศูนย์ความรู้เกี่ยวกับข้อมูลส่วนบุคคล โดย สพธอ. และ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม