Search
A
A
A
Back
Home
Clubhouse

Clubhouse

ข่าวและบทความที่เกี่ยวข้อง

All Clubhouse

PostType Filter En

บทความ
Movements
PDPA and You: มาทำความเข้าใจกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“เราถ่ายรูปกับเพื่อนแล้วอัปโหลดลงโซเชียล ผิด PDPA ไหมนะ เพื่อนฟ้องเราได้หรือเปล่า?” “การใช้ภาพจากกล้องติดหน้ารถยนต์ที่ถ่ายเห็นคนอื่นบนถนนมาเป็นหลักฐานตอนเกิดอุบัติเหตุ ถือเป็นการละเมิดความเป็นส่วนตัวหรือไม่?” บทความนี้จะมาไขข้อข้องใจกับคำถามทั่ว ๆ ไปที่หลายคนสงสัยเกี่ยวกับ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มบังคับใช้ภายในกลางปีหน้า จากผู้เชี่ยวชาญด้าน PDPA ทั้ง 3 ท่าน ที่ได้ให้เกียรติมาร่วมสนทนาพูดคุยใน Clubhouse event เมื่อวันที่ 30 กันยายน ที่ผ่านมา โดยเราได้สรุปเนื้อหาและประเด็นที่น่าสนใจต่าง ๆ ที่ได้จากการพูดคุยมาให้ได้อ่านกันค่ะ Clubhouse event นี้เป็นส่วนหนึ่งของความร่วมมือระหว่าง Government Big Data Institute (GBDi) และ ASEAN CIO Association Club (ACIOA) เพื่อส่งเสริมความฉลาดรู้ทางข้อมูล (Data Literacy) ในภูมิภาคอาเซียน โดยได้รับเกียรติจากวิทยากรผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลถึง 3 ท่าน ได้แก่ ดร.สุนทรีย์ ส่งเสริม สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม  ดร.พีรพัฒ โชคสุวัฒนสกุล อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และอาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ก่อนอื่นเลย มาทำความเข้าใจกันก่อนว่า PDPA คืออะไร สำคัญอย่างไร ดร.พีรพัฒ: PDPA ย่อมาจาก Personal Data Protection Act หรือว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ออกมาเพื่อคุ้มครองคนที่ข้อมูลส่วนบุคคลชี้ไปหา หรือที่เราเรียกว่าเจ้าของข้อมูลส่วนบุคคล เวลาที่มีคนจะมายุ่งกับข้อมูลของเรา เขาต้องบอกให้ได้ว่ามีสิทธิอะไร ถ้าจะมาทำให้ความเป็นส่วนตัวในข้อมูลส่วนบุคคลของเราได้รับการกระทบมากเกินไปเขาก็ควรจะไม่มีสิทธินั้น หรือเราเองก็ควรมีสิทธิที่จะปกป้องผลกระทบที่อาจเกิดขึ้นกับเราเอง กฎหมายฉบับนี้ถูกสร้างมาเพื่อคุ้มครองการใช้ชีวิตของเรา เช่น บน Social media บน Internet ที่มีข้อมูล มี Footprints ของเราเต็มไปหมด ซึ่งก็ไม่ใช่แค่ประเทศไทยที่มีกฎหมายนี้ อย่างในยุโรปก็มี GDPR ที่มีจุดประสงค์ก็เพื่อคุ้มครองพวกเราทุก ๆ คน แล้วคำสำคัญที่ควรรู้มีอะไรบ้าง ดร.สุนทรีย์: แน่นอนก็คือคำว่า ‘ข้อมูลส่วนบุคคล’ ซึ่งหมายถึงข้อมูลอะไรก็แล้วแต่ที่ชี้มาทำให้ระบุตัวคนได้ทั้งทางตรงและทางอ้อม นิยามนี้เป็นนิยามตามมาตรฐานสากล ถ้าถามว่าทำไมต้องให้นิยามกว้างขนาดนี้ ทำไมไม่เจาะจงไปเลยว่าอะไรคือข้อมูลส่วนบุคคลบ้าง นั่นเป็นเพราะเทคโนโลยีที่พัฒนาอย่างรวดเร็วทำให้บางครั้งข้อมูลบางอย่างที่เราไม่เคยนึกว่าจะโยงมาถึงตัวเราได้ แต่เมื่อมาประกอบกันก็อาจสามารถระบุมาถึงตัวเราได้ คำนิยามของ “ข้อมูลส่วนบุคคล” จึงต้องครอบคลุมทั้งข้อมูลที่ระบุตัวเราได้ทั้งทางตรงและทางอ้อม คำต่อมาก็คือคำว่า ‘เจ้าของข้อมูลส่วนบุคคล’ สมัยก่อนเมื่อเราได้ยินคำว่าเจ้าของ เราจะเข้าใจว่าหน่วยงานที่เป็นคนเก็บข้อมูลก็คือเจ้าของข้อมูล แต่สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล คำว่าเจ้าของข้อมูลส่วนบุคคลหรือที่ภาษาอังกฤษใช้คำว่า ‘Data Subject’ นั้นหมายถึงบุคคลธรรมดาอย่างเรานี่แหละที่เป็นเจ้าของข้อมูลส่วนบุคคล ศัพท์ใหม่ที่เพิ่มขึ้นมาอีกสองคำคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)’ Data Controller คือคนที่เก็บรวบรวมข้อมูลของเรา ใช้ข้อมูลเรา หรือเอาไปเปิดเผย อย่างเช่น การซื้อของออนไลน์ บริษัทที่เราไปซื้อของจำเป็นต้องเก็บข้อมูลของเรา เช่นนี้จะถือว่าเขาเป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ของเรา ถ้าบริษัทนี้ส่งข้อมูลไปให้อีกบริษัทหนึ่งให้ช่วยจัดการคำสั่งซื้อสินค้า บริษัทหลังนี้จะถือว่าเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ นั่นก็คือผู้ที่รับข้อมูลจากผู้ควบคุมฯ ให้ไปทำตามคำสั่ง คำต่อมาที่อยากแนะนำคือ ‘ความยินยอม (Consent)’ กับคำว่า ‘ประกาศความเป็นส่วนตัว (Privacy Notice)’ เวลาเข้าเว็บไซต์ต่าง ๆ ก็จะเห็น pop-up ขึ้นมาและมีคำถามให้กดยอมรับหรือยินยอม เจอคำว่าประกาศความเป็นส่วนตัว บางทีก็เป็นคำว่านโยบายคุ้มครองข้อมูลส่วนบุคคล หลายคนก็งงว่าตกลงมันคืออะไร เป็นสิ่งเดียวกันหรือเปล่า ตามกฎหมายแล้วจะมีสองเรื่องอยู่ในนี้ก็คือเรื่อง ‘ความยินยอม’ กับ ‘Privacy Notice’ หรือการประกาศแจ้งความเป็นส่วนตัว เป็นการแจ้งรายละเอียดว่าเว็บไซต์นั้นจะเก็บข้อมูลอะไรเราบ้าง สมมุติจะเก็บคุกกี้ ก็ต้องบอกว่าจะเก็บคุกกี้เรื่องอะไรบ้าง หรือถ้าเราไปทำธุรกรรมที่ธนาคาร ธนาคารจะเก็บข้อมูลอะไรเราบ้าง PDPA ถูกเลื่อนการบังคับใช้ไปหลายครั้ง ครั้งนี้จะมีการขยายเวลาอีกหรือไม่ ดร.สุนทรีย์: ในส่วนของเรื่องการบังคับใช้กฎหมาย  ทางรัฐบาลและกระทรวงตั้งใจจะให้กฎหมายฉบับนี้มีผลบังคับใช้ตามกำหนด คือในวันที่ 1 มิถุนายนปีหน้า ในปีที่ผ่านมาหลายท่านอาจจะได้เห็นกิจกรรมที่ทางสำนักงานฯ และกระทรวงฯ จัดมาตลอดเพื่อเตรียมความพร้อมให้กับผู้ประกอบการ เนื่องจากเป็นกฎหมายใหม่ที่ทำให้ต้องปรับตัวกันเยอะมาก และจะต้องออกกฎหมายระดับรอง ประกาศ หรือหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก ซึ่งเรา (สำนักงานฯ) พยายามดึงผู้เกี่ยวข้องเข้ามามีส่วนร่วมให้มากที่สุด โดยกฎหมายระดับรองจะมีประกาศที่เกี่ยวข้องทั้งหมด 18 เรื่องที่เป็นเนื้อหาเฉพาะ อีกโครงการคือการจัดทำแผนแม่บท ซึ่งหมายถึงการวางนโยบายระยะยาว 1-5 ปี ยุทธศาสตร์ที่สำคัญแรกเลยคือการให้ความรู้ สร้างความตระหนักรู้ และสร้างบุคคลากรให้เข้าใจกฎหมายฉบับนี้ เรามีการทำแนวทางปฏิบัติ (Guideline) เพื่อใช้เป็นแนวทางตัวอย่างสำหรับนำไปปฏิบัติเมื่อถึงเวลาที่กฎหมายฉบับนี้ถูกบังคับใช้ โดยโครงการที่ได้จัดทำขึ้นไปแล้วเป็นการเน้นในฝั่งของผู้ประกอบการ สำหรับโครงการหลังจากนี้เราจะเน้นการสร้างความรู้ความเข้าใจให้กับประชาชนให้มากขึ้น วันนี้ต้องขอบคุณทาง GBDi มากที่จัดกิจกรรมนี้ขึ้นเพื่อเป็นช่องทางให้สำนักงานฯ ได้มีโอกาสสื่อสารกับคนทั่วไป ได้รับฟังว่าคนทั่วไปมีความสงสัยในกฎหมายฉบับนี้อย่างไรบ้าง เพื่อนำไปปรับทำเป็นแผนที่จะสื่อสารส่งความรู้ เพิ่มความเข้าใจให้ประชาชนได้มากขึ้น ให้กฎหมายฉบับนี้สามารถพร้อมบังคับใช้ได้ในวันที่ 1 มิถุนายนปีหน้า ในระหว่างนี้แต่ละฝ่ายควรมีการเตรียมตัวอย่างไรบ้าง อ.ฐิติรัตน์: ระหว่างที่รอกฎหมายมีผลบังคับใช้ กลุ่มธุรกิจหรือองค์กรต่าง ๆ สามารถเริ่มเตรียมการเพื่อที่จะทำตามกฎหมายได้ทันที เพราะการดำเนินกิจการขององค์กรล้วนแต่มีการใช้ข้อมูลส่วนบุคคลอยู่แล้ว โดยข้อมูลส่วนบุคคลในแต่ละองค์กรอาจมาจาก ข้อมูลของลูกค้า พาร์ตเนอร์ หรือลูกจ้าง ซึ่งแต่ละกลุ่มล้วนมีความสำคัญต่อหน่วยงาน เมื่อเราเอาข้อมูลของพวกเขามาใช้เราก็ควรจะดูแลใหัดี ถ้าเราดูแลไม่ดีมันก็จะเกิดปัญหาขึ้นแบบที่เห็นในข่าว เช่น ลูกค้าเกิดความไม่พอใจแล้วหนีไปใช้แบรนด์อื่น หรือลูกจ้างรู้สึกไม่สบายใจกับองค์กรซึ่งจะนำมาสู่บรรยากาศที่ไม่ดีต่อการทำงานและอาจจะก่อให้เกิดความเสียหายต่าง ๆ ตัวกฎหมายที่ออกมานี้ถือเป็นการกำหนดมาตรฐาน สร้างความคาดหวังในสังคมที่ตรงกันว่านี่คือ ขั้นตอนที่เราจะดูแลข้อมูลของคนที่เราจะทำงานด้วยให้ดี ไม่ว่าจะเป็นลูกค้า พาร์ตเนอร์ หรือลูกจ้าง การเตรียมตัวขององค์กรอาจจะเริ่มต้นจากการประเมินว่าองค์กรของตนใช้ข้อมูลแบบไหนอยู่บ้าง มีความเสี่ยงตรงไหน มีเรื่องไหนที่ควรจะกังวลแล้วเริ่มจากจุดนั้น เมื่อกฎหมายมีกำหนดบังคับใช้ในปีหน้าเราจะพูดได้อย่างเต็มปากว่าได้ทำตามกฎหมายแล้ว ยิ่งถ้าทำได้ก่อนก็ยิ่งแสดงให้เห็นถึงความตั้งใจ ในความเป็นจริงมีหลายหน่วยงานที่ได้ปฏิบัติตามกฎหมายนี้แล้วถึงแม้ตัวกฎหมายจะถูกเลื่อนการบังคับใช้ โดยเฉพาะหน่วยงานด้านการเงินการธนาคาร ซึ่งถือเป็นการพัฒนาการที่ดีและสะท้อนให้เห็นว่าประชาชนมีความตื่นตัวในเรื่องพวกนี้อยู่แล้ว PDPA เกี่ยวข้องกับประชาชนทุกคนอย่างไร ประชาชนจะได้รับประโยชน์หรือเสียผลประโยชน์จากการบังคับใช้ PDPA อย่างไรบ้าง อ.ฐิติรัตน์: คนทั่วไปน่าจะได้ประโยชน์มากกว่าเสียผลประโยชน์ในเชิงที่ว่าเราจะมีข้อมูลมากขึ้นจากบริการและแพลตฟอร์มต่าง ๆ ที่เราใช้ ถ้าใครจะเอาข้อมูลเราไปเขาต้องบอกเราว่าจะเอาไปใช้ทำอะไร ถ้าบริการไหนใช้ข้อมูลของเรามากเกินไปหรือบอกเราไม่ชัดเจน เราก็มีสิทธิเลือกไม่ใช้บริการนั้น ซึ่งแรงตอบสนองจากผู้บริโภคจะทำให้ธุรกิจต่าง ๆ ปรับตัว เช่น เคยมี E-commerce Platform ที่เชื่อมบัญชีกับเบอร์มือถือของเราเพื่อยืนยันตัวตน ซึ่งนอกจากจะเชื่อมเบอร์มือถือแล้วยังขอเข้าถึงสมุดโทรศัพท์ในมือถือเราด้วย ทำให้รู้เบอร์เพื่อน ๆ ของเรา ถ้าหากเพื่อนของเรามีบัญชีอยู่บนแพลตฟอร์มเดียวกัน เราจะสามารถเห็นได้ว่าเพื่อนไปซื้อของจากร้านไหน โดยที่แพลตฟอร์มไม่ได้บอกเราก่อนหรือไม่ได้ให้ตัวเลือกเราเลยว่าเราต้องการเชื่อมข้อมูลเหล่านั้นหรือไม่ เหตุการณ์นี้ทำให้เกิดการตอบสนองที่ค่อนข้างรุนแรง มีคนเข้าไปต่อว่า ทำให้บริษัทต้องรีบปรับตัวภายใน 1-2 วัน มีการปรับแก้ฟังก์ชันเหล่านี้ กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง หรือถูกนำไปแชร์ให้บุคคลที่สามหรือไม่ หรือเวลาที่เรารับ Spam Call เราก็สามารถถามได้ว่าเขาเอาข้อมูลเรามาจากไหน และเรามีสิทธิที่จะขอให้เขาหยุดเอาข้อมูลของเราไปใช้งาน หรือขอให้ลบจากระบบเลยก็ยังได้ หากพบว่าใครไม่ปฏิบัติตามเราสามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานใหม่ที่ตั้งขึ้นมาเพื่อกำกับดูแลให้องค์กรต่าง ๆ ทั้งรัฐและเอกชนทำตามกฎหมายนี้และคุ้มครองสิทธิของประชาชน กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ...
7 October 2021
Read More

บทความ
Big Data 101
Data Scientists พวกเค้าคือใคร?
ทำความรู้จักกับบุคคลที่เรียกตัวเองว่า Data Scientist ว่าพวกเค้าเป็นสิ่งมีชีวิตแบบไหน ในแต่ละวันพวกเค้าต้องเจออะไรบ้าง และทุกวันนี้ที่คนต่างสนใจงานสาย Data Science ความจริงแล้วมันสวยงามแบบนั้นจริงหรือ พร้อมกับเรื่องราวที่น่าตื่นเต้นจากผู้มีประสบการณ์ตรงในองค์กรชื่อดัง
10 May 2021
Read More

สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน)

Big Data Institute (Public Organization)

234/432 Soi Lat Phrao 12, Chomphon, Chatuchak, Bangkok 10900, Thailand

Contact Us

0 2480 8833
saraban@bdi.or.th (For receiving and sending electronic documents)
info@bdi.or.th (For general inquiries)

Quick Link

About Us

© Big Data Institute | Privacy Policy

Web Setting
PDPA Icon

We use cookies to optimize your browsing experience and improve our website’s performance. Learn more at our Privacy Policy and adjust your cookie settings at Settings

Settings Reject Accept
Privacy Preferences

You can choose your cookie settings by turning on/off each type of cookie as needed, except for necessary cookies.

Accept all
Manage Consent Preferences
  • Strictly Necessary Cookies
    Always Active

    This type of cookie is essential for providing services on the website of the Personal Data Protection Committee Office, allowing you to access various parts of the site. It also helps remember information you have previously provided through the website. Disabling this type of cookie will result in your inability to use key services of the Personal Data Protection Committee Office that require cookies to function.
    Cookies Details

  • Performance Cookies

    This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

  • Functional Cookies

    This type of cookie enables the Big Data Institute (Public Organization)’s website to remember the choices you have made and deliver enhanced features and content tailored to your usage. For example, it can remember your username or changes you have made to font sizes or other customizable settings on the page. Disabling these cookies may result in the website not functioning properly.

  • Targeting Cookies

    "This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

Save settings
Privacy Preferences
Name
Strictly Necessary Cookies
Category
Strictly Necessary Cookies
Host
https://bdi.or.th
Duration
1 ปี
Description
Strictly Necessary Cookies
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.