วันจันทร์ที่ 7 ตุลาคม พ.ศ. 2567

หลักการสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562



            พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ลงประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 
             
              ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน หมายเลขโทรศัพท์ อีเมล เป็นต้น
              บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 
              1) เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลที่ข้อมูลสามารถระบุไปถึงได้
              2) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) 
                  2.1) บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ 
                  2.2) ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่สำคัญที่กฎหมายกำหนดไว้ เช่น จัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยข้อมูลส่วนบุคคล , ดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ , แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคล ทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุ , แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อตรวจสอบการทำงานของตน เป็นต้น
              3) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
                  3.1) บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น
                  3.2) ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่หลัก คือ ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูล ส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
              สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
              1) สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) หมายถึง เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
              2) สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)) หมายถึง เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถ ระบุตัวบุคคลได้ หากข้อมูลส่วนบุคคลที่หมดความจำเป็น หรือข้อมูลส่วนบุคคลที่ขอถอนความยินยอมแล้ว 

ที่มา :  สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล



ที่มา : TDGA สถาบันพัฒนาบุคลากรภาครัฐด้านดิจิทัล
เขียนโดย ที่
ป้ายกำกับ: