Page 8 - InsuranceJournal145
P. 8
เรื่องเด่น
1. ผู้ควบคุมข้อมูล (Data Controller) จะเป็นโดยสภาพทันทีท่มีการเก็บ ใช้ เปิดเผยข้อมูล โดยมี ผู้ประมวลข้อมูล (Data Processor)
ี
่
�
�
ึ
ี
ี
เป็นผู้ที่ทาหน้าท่เหมือนกันในนามโดยอาจจะเป็นบุคคลหรือนิติบุคคลท่กระทาการแทนผู้ควบคุมข้อมูลก็ได้ ซ่งผู้ควบคุมข้อมูลมีหน้าทต้องแจ้ง
ี
วัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล ระยะเวลาที่เก็บเงื่อนไขต่าง ๆ รวมถึงสิทธิตามกฎหมายให้เจ้าของข้อมูลอย่าง
ชัดเจน เพื่อให้เจ้าของข้อมูลอ่านและท�าความเข้าใจก่อนที่จะยินยอมให้เก็บข้อมูล ทั้งนี้ หากเป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal
�
Data) อาทิ ข้อมูลสุขภาพ พฤติกรรมทางเพศ เช้อชาติ จะต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) หรือการแสดงความจานง
ื
ในการเปิดเผยข้อมูลเป็นสาธารณะจากเจ้าของข้อมูลก่อน ทั้งนี้ กฎหมายยังก�าหนดหน้าที่อื่น ๆ ของผู้ควบคุมข้อมูล เช่น แจ้งให้เจ้าของข้อมูล
ทราบว่าจะเก็บไปใช้ท�าอะไร เพื่ออะไร ข้อยกเว้นคืออะไร (โดยจัดท�าเป็นนโยบายความเป็นส่วนตัว หรือ Privacy Policy) รวมถึงการก�าหนด
�
หน้าท่ต้องเก็บรักษาข้อมูลให้ปลอดภัย ห้ามเปิดเผยหรือส่งต่อให้ผู้อ่นโดยไม่ได้รับอนุญาต ซ่งสาหรับหน้าท่จัดทาระบบให้ปลอดภัยไม่ให้ข้อมูล
ี
ื
ึ
ี
�
รั่วไหลนี้ จะสอดคล้องกับพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 ที่มีหน้าที่คล้ายคลึงกัน คือการกล่าวถึงสิ่งที่อาจจะ
ึ
ี
�
เกิดเหตุข้นในอนาคตเช่นเดียวกันกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยให้อานาจตรวจสอบความผิดปกติท่อาจเกิดข้น
ึ
ตั้งแต่ตอนที่ยังไม่เกิดภัยคุกคาม กล่าวคือ แม้ว่ายังไม่มีแฮกเกอร์มาเจาะข้อมูล แต่ผู้ควบคุมข้อมูลก็ต้องมีหน้าที่ป้องกันไว้ก่อน ถ้าไม่จัดท�าตามหน้าที่
ที่กฎหมายนี้ก�าหนดก็อาจมีโทษทางอาญาและทางแพ่ง ปรับได้ตั้งแต่ 5 แสนบาท 1 ล้านบาท 3 ล้านบาท 5 ล้านบาท หรือทั้งจ�าทั้งปรับ ตามแต่
ี
ี
ึ
ี
�
ี
�
�
ี
ั
กรณีท่ได้กระทาผิดตามพระราชบัญญัติน้ ซ่งหากเกิดกรณีท่เลวร้ายท่สุด ผู้ควบคุมข้อมูลได้ทาข้อมูลร่วไหล กฎหมายกาหนดหน้าท่ให้ต้อง
แจ้งเตือนให้เจ้าของข้อมูลทราบถึงการถูกละเมิดโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระท�าได้
2. เจ้าของข้อมูล (Data Subject) ผลกระทบต่อผู้เป็นเจ้าของข้อมูลก็คือประชาชนทั่วไป ซึ่งเหตุการณ์ที่พบเห็นได้ในปัจจุบัน คือ การ
ี
ึ
ี
ื
ั
โหลดแอปพลเคชนจะมเง่อนไขรายละเอยดต่าง ๆ เพ่มข้น โดยรายละเอยดจะเป็นการขอเข้าถึงข้อมูลในอุปกรณ์ เช่น การนาไปใช้งาน การส่ง
ิ
ี
�
ิ
ื
ข้อมูลให้ใครบ้าง สถานท่ปัจจุบัน ฯลฯ เม่อกดปุ่ม “ยอมรับ” เพ่อให้ใช้งานต่อไปได้ หรือเข้าเว็บไซต์แล้วมีให้กดยอมรับ “คุกก้” (โปรแกรมสอดแนม
ื
ี
ี
ี
ื
ติดตามพฤติกรรมออนไลน์อย่างหน่ง) ก็ถือเป็นการให้ข้อมูล จึงกลายเป็นว่าปัจจุบันเจ้าของข้อมูลมีทางเลือกท่ไม่อาจเลือกได้เพ่อให้ได้ใช้งานตาม
ึ
้
้
้
้
่
ระบบตอไป ส�าหรับในธุรกิจประกันภัยขอมูลที่สามารถระบุตัวตนของเจาของขอมูลอาจหมายถึง ขอมูลของลูกคา รวมถึงขอมูลของเจาของขอมูล
้
้
้
้
เอง เนื่องจากพระราชบัญญัติฉบับนี้ใช้บังคับเฉพาะกับบุคคล ซึ่งมีบุคคลอื่น ๆ ที่เกี่ยวข้องด้วย เช่น ลูกจ้าง บางองค์กรจึงมีนโยบายความเป็นส่วน
ตัวเฉพาะสาหรับลูกจ้างเพ่มเข้าไปจากนโยบายความเป็นส่วนตัวขององค์กร โดยเจ้าของข้อมูลสามารถขอตรวจสอบได้ว่าผู้ควบคุมข้อมูลเก็บข้อมูล
�
ิ
อะไรไปบ้าง คัดค้านการเก็บข้อมูล รวบรวมใช้ข้อมูล เปิดเผยข้อมูล ขอให้ลบหรือท�าลายหรือท�าให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ ขอ
ให้ระงับการใช้ ขอให้แก้ไขให้ถูกต้อง ฯลฯ ได้ตามสิทธิ
8 วารสารประกันภัย ฉบับที่ 145
