What's New Here?

แสดงบทความที่มีป้ายกำกับ Personal Data แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Personal Data แสดงบทความทั้งหมด

PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล


     Photo by : https://unsplash.com/photos/U69WqLoFGD4

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้


1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)


2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้


  • เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

  • เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

  •   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

  •   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

  • เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ



PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

Posted by pryn No comments


     Photo by : https://unsplash.com/photos/U69WqLoFGD4

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้


1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)


2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้


  • เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

  • เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

  •   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

  •   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

  • เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ



PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 

ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้




เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย


ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 


หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

   หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

- มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

- ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

- ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

- เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

- จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

- ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

- ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

หน้าที่ต่อบุคคลภายนอกองค์กร

- แจ้งเจ้าของข้อมูล 

- แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 


หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

หน้าที่ต่อบุคคลภายนอก

- ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

- แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 



Reference : Thailand Data Protection Guidelines 2.0


ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

Posted by pryn No comments

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 

ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้




เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย


ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 


หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

   หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

- มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

- ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

- ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

- เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

- จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

- ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

- ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

หน้าที่ต่อบุคคลภายนอกองค์กร

- แจ้งเจ้าของข้อมูล 

- แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 


หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

หน้าที่ต่อบุคคลภายนอก

- ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

- แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 



Reference : Thailand Data Protection Guidelines 2.0


ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน
https://unsplash.com/photos/JFk0dVyvdvw 

WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 


ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

HOW ? ต้องทำอะไรบ้าง ! 

หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 
1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 
2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 
    - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  
    - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 
    - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  
    - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  
    - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 
    - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ

PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Posted by pryn No comments

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน
https://unsplash.com/photos/JFk0dVyvdvw 

WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 


ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

HOW ? ต้องทำอะไรบ้าง ! 

หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 
1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 
2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 
    - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  
    - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 
    - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  
    - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  
    - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 
    - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ

สมัครสมาชิก: ความคิดเห็น ( Atom )

Latest Tweets

ขับเคลื่อนโดย Blogger.
back to top