PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 ซึ่งปัจจุบันทางคณะรัฐมนตรีมีมติเห็นชอบออกพระราชกฤษฎีกา ขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไป โดยจะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565
และต่อไปนี้เป็น 5 ประเด็นสำคัญ ที่ทุกองค์กรต้องรู้ก่อนที่ PDPA จะมีผลบังคับใช้
- การเก็บข้อมูลศาสนาในบัตรประชาชนของลูกค้า สามารถทำได้แค่ให้ลูกค้ายินยอมก็พอ จริงหรือไม่
ตอบ : ปัจจุบันการประมวลผลข้อมูลบนบัตรประจำตัวประชาชนเพื่อยืนยันตัวตนผู้ใช้บริการ ข้อมูลศาสนาบนบัตร ประชาชนไม่ถือเป็นข้อมูลที่จำเป็นในการยืนยันตัวตนผู้ใช้บริการแต่อย่างใด การขอความยินยอมจากลูกค้านั้นไม่เพียงพอ จะต้องมีการเปิดเผยเหตุผลที่จำเป็นในเก็บข้อมูลศาสนาด้วยว่าจะนำไปใช้งานในวัตถุประสงค์ใด
- ข้อมูลศาสนา ไม่ใช่ข้อมูลที่มีความเสี่ยงร้ายแรง จริงหรือไม่
ตอบ : ข้อมูลส่วนบุคคลซึ่งแสดงให้เห็นถึงเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ศาสนา การเป็นสมาชิกสหภาพแรงงาน กระทั่งรหัสพันธุกรรม ข้อมูลด้านสุขภาพ ข้อมูลเกี่ยวกับค่านิยมทางเพศ ประวัติอาชญากรรม และการกระทำความผิด ทางกฎหมาย หรือมาตรการรักษาความปลอดภัยที่เกี่ยวข้อง ข้อมูลดังกลาวมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
- การสมัครบริการแล้วขอบัตรประชาชนของลูกค้า ที่มีข้อมูลศาสนาอยู่ ถือเป็นการเก็บข้อมูลประเภทอ่อนไหวหรือไม่ แล้วต้องขอความยินยอมโดยชัดแจ้งหรือไม่
ตอบ : ข้อมูลศาสนา ถือเป็นข้อมูลประเภทอ่อนไหว (Sensitive Data) และในปัจจุบันรัฐบาลประกาศแล้วว่าไม่มีความจำเป็นต้องเก็บสำเนาบัตรประชาชน ควรใช้วิธีการอ้างอิงตามเลขบัตรประชาชนแทน ถ้าไม่จำเป็นก็ควรตัดออก และไม่ควรเก็บข้อมูลศาสนา
- ในการทำสัญญาต่าง ๆ หากมีการขอให้ส่งสำเนาบัตรประชาชนมาด้วย ซึ่งมีข้อมูลศาสนา ที่เป็น ข้อมูลประเภทอ่อนไหว และไม่ได้จำเป็นต่อการปฏิบัติตามสัญญา ถือเป็น legal obligation ได้ไหม
ตอบ : กฎหมายไม่ได้บังคับต้องให้ข้อมูลส่วนบุคคล (legal obligation คือหน้าที่ตามกฎหมาย) ข้อมูลประเภทอ่อนไหว ใช้ฐานสัญญาทั่วไปไม่ได้ ต้องขอความยินยอมแยก แต่ถ้าเป็นข้อมูลที่ “ไม่จำเป็น” ต่อการปฏิบัติตามสัญญา ไม่สามารถใช้เป็นเหตุผลปฏิเสธการเข้าสู่สัญญาได้
- ข้อมูลส่วนบุคคลอ่อนไหวที่เคยเก็บรวบรวมซึ่งยังไม่เคยแจ้งวัตถุประสงค์ที่ชัดเจน เมื่อกฎหมายมีผลบังคับ บริษัทต้องทำลายเท่านั้นใช่หรือไม่ มีแนวทางแก้ไขอย่างไร
ตอบ : นอกจากวิธีการทำลายทิ้งแล้ว ยังมีอีกวิธี คือ สามารถทำการขีดฆ่าข้อมูลในเอกสารทำให้ไม่สามารถอ่านเข้าใจในข้อมูลดังกล่าวได้ ถือวาเราไม่ได้จัดเก็บข้อมูลดังกล่าวแล้ว เช่น บัตรประชาชนที่ข้อมูลตรงศาสนาถูกลบดวยปากกาลบคำผิด
เพื่อช่วยปกป้องข้อมูลส่วนบุคคลที่มีความอ่อนไหวของลูกค้าไม่ให้รั่วไหลเป็นไปตามมาตรฐานปกป้องข้อมูลส่วนบุคคล หรือ PDPA ที่ใกล้ประกาศใช้ เลือกใช้เทคโนโลยี OCR และ Data Masking ของ AppMan ที่จะช่วยปกป้องข้อมูลส่วนตัวของลูกค้าที่เป็น Sensitive Data ให้ได้รับการปกป้องสูงสุด
OCR (Optical Character Recognition) คือ เทคโนโลยีเครื่องมือแปลงเอกสาร พร้อมแยกเอกสารข้อความตัวอักษรที่อยู่ในรูปแบบเอกสาร PDF เปลี่ยนให้กลายเป็นเอกสารที่สามารถแก้ได้ และหลังจากเก็บข้อมูลในรูปแบบ Text แล้ว ยังสามารถทำการปกปิดข้อมูลในเอกสารนั้นโดนการคาดสีดำเพื่อทำปกปิดข้อมูลสำคัญของลูกค้าไม่ให้รั่วไหลได้อีกด้วย
แหล่งข้อมูลอ้างอิง : Thailand Data Protection Guidelines 1.0 : แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล จัดทำโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัย
แหล่งข้อมูล
https://www.facebook.com/184158628310723/posts/4721265821266625/?d=n
