พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขอบข่ายของกฎหมายเพื่อคุ้มครองการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนคนไทย ซึ่งถ้าหากเราไม่ดำเนินการตามกฎหมายและเกิดกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น อาจทำให้คุณเสียค่าปรับสูงสุดถึง 5 ล้านบาท (เฉพาะโทษทางปกครอง และยังไม่นับรวมโทษอื่นอีก) ดังนั้น บริษัท หน่วยงานและองค์กรต่าง ๆ หรือแม้แต่ผู้ประกอบการรายย่อยต้องระวัง! แล้วคุณจะทำอย่างไรไม่ให้เข้าข่ายมีความผิดกันนะ? PDPC มีคำตอบครับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้ง 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กำหนดให้ “การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถปฏิบัติได้อย่างถูกต้องตามกฎหมาย หากคุณดำเนินการภายใต้ฐานทางกฎหมายที่เหมาะสม ข้อควรสังเกต: GDPR ระบุฐานของการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายเอาไว้ 6 ฐาน ส่วน PDPA ได้ปรับปรุงฐานของการประมวลผลข้อมูลเพิ่มเติมขึ้นมาอีก 1 ฐาน คือ ฐานจดหมายเหตุ/วิจัย/สถิติ เพื่อให้สอดคล้องกับบริบทของประเทศไทย รวมเป็นทั้งหมด 7 ฐานด้วยกัน มีรายละเอียดดังนี้…

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมายที่เรารู้จักกันดีในนาม PDPA (Personal Data Protection Act) มีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ภายหลังจากที่ได้รับการยกเว้นบังคับใช้ เนื่องมาจากวิกฤตโควิด-19 ซึ่งส่งผลให้การเตรียมพร้อมคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานหลาย ๆ ภาคส่วนในสังคมยังดำเนินการไม่เรียบร้อย โดยสถานศึกษา (ของคุณ) ก็อาจเป็นหนึ่งในนั้นเช่นกัน คุณเข้าข่ายเป็น “สถานศึกษา” หรือไม่? พระราชบัญญัติการศึกษาแห่งชาติ พ.ศ.2542 ให้นิยามของ “สถานศึกษา” ว่าหมายถึง หน่วยงานของรัฐหรือของเอกชนที่มีอำนาจหน้าที่หรือมีวัตถุประสงค์ในการจัดการศึกษา ดังนั้น ไม่ว่าจะเป็นโรงเรียนระดับอนุบาล ประถม มัธยม วิทยาลัย มหาวิทยาลัย หรือแม้แต่บรรดาสถาบันกวดวิชา สถาบันสอนอาชีพ สถาบันสอนทักษะเฉพาะทาง หรือสถานทำการในทำนองเดียวกัน ก็เข้าข่ายเป็นสถานศึกษาด้วยเช่นกัน โดยหากลองพิจารณาอย่างถี่ถ้วน จะพบว่าสถานศึกษาแต่ละแห่งล้วนแล้วแต่เป็นสถานที่ที่มีข้อมูลส่วนบุคคลไหลเวียนอยู่ไม่น้อยเลย โดยส่วนใหญ่จะพบว่าเป็นข้อมูลส่วนบุคคลของนักเรียน พ่อแม่ผู้ปกครอง บุคลากรภายใน ตลอดจนคู่ค้า (Partner) ของโรงเรียนในหลาย ๆ ด้าน ยกตัวอย่างข้อมูลส่วนบุคคล เช่น ประวัติส่วนตัวของนักเรียนและบุคลากร เลขทะเบียนประจำตัวนักเรียน…

GDPR – General Data Protection Regulation หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เป็นกฎหมายที่ได้รับการยอมรับว่าเป็นแม่แบบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA จึงมีความคล้ายคลึงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยในองค์รวม ผู้ที่สนใจด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยเฉพาะผู้บริหารระดับสูง เจ้าหน้าที่คุ้มครองข้อมูล หรือผู้ที่ได้รับมอบหมายให้จัดการเรื่องการคุ้มครองข้อมูลส่วนบุคคลประจำองค์กร จึงควรจะต้องศึกษากฎหมายฉบับนี้ด้วยอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะประเด็นเกี่ยวกับ หลักความรับผิดชอบ หลักความรับผิดชอบ (Accountability) คืออะไร? “หลักความรับผิดชอบ” เป็นหนึ่งในหลักการคุ้มครองข้อมูลส่วนบุคคลที่สำคัญตาม GDPR ซึ่งมีอยู่ด้วยกัน 7 ประการ (หรือจำแนกตามการเขียนของ GDPR คือ 6+1 หลักการ) ดังนี้ หลักความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness, and Transparency) ข้อมูลส่วนบุคคลต้องถูกประมวลผลอย่างชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส หลักการจำกัดวัตถุประสงค์ (Purpose Limitation) ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างมีวัตถุประสงค์ และไม่ถูกใช้ไปในวัตถุประสงค์นอกเหนือจากที่ระบุ หลักความถูกต้อง (Accuracy) ข้อมูลส่วนบุคคลต้องถูกเก็บอย่างแม่นยำ…

ทราบหรือไม่ว่าประเทศไทยของเรามีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วนะ? กฎหมายตัวนี้มีชื่อเรียกว่า Personal Data Protection Act หรือเรียกสั้น ๆ ว่า PDPA ซึ่งมีผลกระทบกับเราคนไทยทุกคน! ทำผิดมีโทษทั้งทางแพ่ง อาญา และปกครอง โดยมีโทษปรับสูงถึง 5 ล้านบาทและจำคุกสูงสุด 1 ปี ดร.อุดมธิปก ไพรเกษตร กรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (DBC) และผู้อำนวยการสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) ให้สัมภาษณ์ในรายการ Digital Thailand (From Home) รูปแบบพิเศษสืบเนื่องมาจากช่วงโควิด-19 เกี่ยวกับเรื่อง PDPA ว่าคืออะไรและมีผลกระทบต่อคนไทยทุกคนอย่างไร? พร้อมยกตัวอย่างให้เราเข้าใจได้ชัดเจนมากยิ่งขึ้น บทสัมภาษณ์ของ “อาจารย์โดม” ฉบับเรียบเรียงใหม่โดย ICDL PDPC ความยาว 8 นาทีนี้ จะช่วยให้ทุกคน รู้เรื่อง…