นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายคุ้มครองข้อมูลส่วนบุคคล

(Personal Data Protection Act : PDPA)

    องค์การบริหารส่วนตำบลบางโตนด ให้ความสำคัญ อย่างยิ่ง ในการรักษาความปลอดภัยในการเก็บรักษา ข้อมูลส่วนบุคคลของลูกค้า ประกอบกับ หน่วยงานฯ มีความมุ่งมั่น ที่จะปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ซึ่งกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ประกอบการที่เก็บ รวบรวม  ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลให้มีประสิทธิภาพ หน่วยงานฯ จึงได้กำหนดนโยบายเพื่อรองรับการ ปฏิบัติตามกฎหมายฉบับนี้

     PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

  - เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว

  - เพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

     ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้น ได้ไม่ว่าทางตรงหรือทางอ้อมจะเป็นรูปแบบใดก็ตาม เช่น รูปกระดาษหรืออิเล็กทรอนิกส์ ตัวหนังสือรูปภาพหรือเสียง โดยครอบคลุมตั้งแต่ ชื่อ นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล์ นอกจากนี้กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI หรือ Device ID ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม

     เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและหรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย

     - เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ข้อมูลส่วนบบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่มีชีวิต ที่สามารถระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล

     - ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

     - ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
     - โทษทางอาญา จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท

     - โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง

     - โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
     

     สิ่งที่องค์กรต้องเตรียมพร้อมกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคล คือ ทำ Privacy policy และ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ เช่น 

   ** มีนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies)

   ** มีการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)

   ** มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)

   ดังนั้นการบริหารจัดการข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับทุกภาคส่วนในองค์กรและจำเป็นต้องดำเนินการอย่างต่อเนื่อง การบริหารจัดการข้อมูลส่วนบุคคลให้มีประสิทธิภาพและประสิทธิผลที่ดีนั้นขึ้นอยู่กับดังต่อไปนี้

   - การกำกับดูแลของกรรมการและผู้บริหารและการมีส่วนร่วมของบุคคลในองค์กร

   - การออกแบบกระบวนการที่มีการสอดแทรกมาตรการการคุ้มครองข้อมูลส่วนบุคคล

   - การนำเทคโนโลยีเข้ามาช่วยในการติดตามตรวจสอบการปฏิบัติงาน การฝ่าฝืนนโยบาย และมาตรการที่กำหนดไว้ รวมถึงการวิเคราะห์ ตรวจสอบ ค้นหาและตอบสนองต่อภัยคุกคามจากภายนอก