PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ DPIA หมายถึง อะไร?

ฝากข่าว โดย :

PDPA คืออะไร?

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ซึ่ง PDPA ว่าด้วยเรื่อง ของ ข้อมูลส่วนบุคคล เป็นข้อมูลใด ๆ ที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม และกฎหมายฉบับดังกล่าว ได้เข้ามากำหนดหลักเกณฑ์ต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมาตรการลงโทษ หากมีผู้ใดล่วงละเมิดเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งมาตรการลงโทษค่อนข้างชดเจนและเข้มงวด
PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

GDPR คืออะไร?

GDPR (General Data Protection Regulation) เป็นกฎระเบียบของ EU ที่ออกมาเพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล กฎหมายนี้เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออก EU Directive เมื่อปี 1995 ซึ่ง GDPR บังคับใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลใน EU ไม่ว่าการประมวลผลจะทำใน EU หรือไม่ก็ตาม

DPIA หมายถึง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment)

DPIA เริ่มใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ในช่วงปี 1990 โดยหน่วยงานของภาครัฐ เพื่อแสดงให้เห็นถึงความรับผิดชอบของภาครัฐต่อประชาชน ก่อนที่ จะถูกพัฒนาเรื่อย ๆ มาจนเป็น DPIA อย่างที่มีการใช้แพร่หลายในปัจจุบัน อาจกล่าวได้ว่า DPIA เป็นกลไกการกำกับดูแลและเตือนภัยล่วงหน้า (ex-ante mechanism) โดยมุ่งเป้าไปที่การระบุผลกระทบเชิงลบที่อาจเกิดขึ้นและบรรเทาผลกระทบของความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล

ขั้นตอนและหลักการพื้นฐานในการทำ DPIA
DPIA
PDPA คืออะไร : What is the PDPA?
The Personal Data Protection Act (PDPA) provides a baseline standard of protection for personal data in Singapore. It complements sector-specific legislative and regulatory frameworks such as the Banking Act and Insurance Act.

สรุป รวม เกี่ยวกับ PDPA  : PDPA Overview
ข้อมูลส่วนบุคคล หมายถึง อะไร : What is Personal Data?
Personal data refers to data about an individual who can be identified from that data, or from that data and other information to which the organisation has or is likely to have access.

ข้อมูลส่วนบุคคล
คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

วัตถุประสงค์ของการทำ PDPA : Objectives of the PDPA
The PDPA recognises both the need to protect individuals’ personal data and the need of organisations to collect, use or disclose personal data for legitimate and reasonable purposes.

A data protection regime is necessary to safeguard personal data from misuse and to maintain individuals’ trust in organisations that manage their data.

By regulating the flow of personal data among organisations, the PDPA also aims to strengthen Singapore’s position as a trusted hub for businesses.

ขอบเขตและหน้าที่ของ PDPA :  Scope of the PDPA
The PDPA covers personal data stored in electronic and non-electronic formats.

It generally does not apply to:

  • Any individual acting on a personal or domestic basis.
  • Any individual acting in his/her capacity as an employee with an organisation.
  • Any public agency in relation to the collection, use or disclosure of personal data.
  • Business contact information such as an individual’s name, position or title, business telephone number, business address, business email, business fax number and similar information.กระบวนการจัดทำ DPIA
    กระบวนการจัดทำ DPIA
    DPO (Data Protection Officers)
    DPO คือ ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลขนาดใหญ่ และมีภารกิจหลักในการติดตามและประมวลผลข้อมูลเป็นประจำและเป็นระบบ (Regularly and Systematic monitoring Data Subjects)
    ซึ่งการแต่งตั้ง DPO ต้องคำนึงถึงคุณสมบัติด้านวิชาชีพและความเชี่ยวชาญด้านกฎหมายและภาคการปฏิบัติ โดยอาจแต่งตั้งเจ้าหน้าที่ภายในองค์กรหรือผู้ให้บริการภายนอก ต้องแจ้งข้อมูลการติดต่อกับทาง DPA และต้องมีทรัพยากรเหมาะสมกับการปฏิบัติภารกิจและพัฒนาความรู้ความเชี่ยวชาญของ DPO ทั้งนี้ DPO มีระบบรายงานต่อผู้บริหารระดับสูง และต้องไม่ทำหน้าที่อื่นที่อาจเป็นกรณีผลประโยชน์ทับซ้อน
    PII (Personally Identifiable information) หมายถึง ข้อมูลที่ยืนยันตัวตนได้ ข้อมูลที่ถูกจัดเก็บเกี่ยวกับประชากรของ EU ที่หากเปิดเผยแล้วอาจทำให้เกิดความเสียหายต่อผู้ที่ถูกละเมิดข้อมูลของตน PII อาจได้แก่ประวัติการแพทย์ ข้อมูลทางขีววิทยา หมายเลขหนังสือเดินทางและข้อมูลทางการเงินที่ระบุตัวตนได้ (PIFI) เช่น หมายเลขประกันสังคมหรือบัตรเครดิต ข้อมูลที่อาจไม่ถือเป็น PII ได้แก่ ชื่อและนามสกุลอาจถือเป็น PII หากเชื่อมโยงกับข้อมูลอื่น ๆOWASP (Open Web Application Security Project) คือ มาตราฐานความปลอดภัยของเว็บแอปพลิเคชัน ที่ร่วมกันจัดทำโดยองค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security โดยจะมี community เกี่ยวกับ เอกสาร เครื่องมือและเทคโนโลยีความปลอดภัยของเว็บแอปพลิเคชัน

     

Related Posts