พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายที่ถูกประกาศใช้เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย และสร้างมาตรฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์เพื่อป้องกันการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล มาตรการนี้ครอบคลุมถึงการขออนุญาตเปิดกล้องถ่ายภาพหรือวิดีโอที่เกี่ยวข้องกับข้อมูลส่วนบุคคลด้วย
หลักการพื้นฐานของ PDPA
- ความยินยอม (Consent):
ข้อมูลส่วนบุคคลจะต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนที่จะถูกเก็บรวบรวม
ใช้ หรือเปิดเผย
ยกเว้นในกรณีที่กฎหมายอนุญาตให้ทำได้โดยไม่ต้องขอความยินยอม
- วัตถุประสงค์ (Purpose): การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องทำตามวัตถุประสงค์ที่ได้ระบุไว้อย่างชัดเจน และต้องแจ้งให้เจ้าของข้อมูลทราบ
- ความเหมาะสม (Proportionality): ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมต้องเป็นข้อมูลที่จำเป็นและเหมาะสมกับวัตถุประสงค์ที่ได้แจ้งไว้
- ความปลอดภัย (Security): ข้อมูลส่วนบุคคลต้องได้รับการปกป้องและรักษาความปลอดภัยจากการเข้าถึงหรือการใช้โดยไม่ได้รับอนุญาต
ข้อมูลส่วนบุคคลที่ครอบคลุม
ข้อมูลส่วนบุคคลที่ PDPA คุ้มครองนั้นครอบคลุมถึงข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล และรวมถึงข้อมูลที่ละเอียดอ่อนเช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม หรือข้อมูลชีวภาพ
การขอเปิดกล้องและการเก็บรวบรวมข้อมูลด้วยกล้อง
เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกล้องถ่ายภาพหรือวิดีโอ เช่น การบันทึกภาพในที่สาธารณะ การติดตั้งกล้องวงจรปิดในสถานที่ทำงาน หรือการขอให้ผู้ใช้เปิดกล้องในระหว่างการสนทนาทางวิดีโอ มีข้อกำหนดหลายประการที่ต้องปฏิบัติตาม:
- การแจ้งเตือนและการขอความยินยอม: ต้องแจ้งให้เจ้าของข้อมูลทราบถึงการใช้กล้องและวัตถุประสงค์ของการเก็บรวบรวมข้อมูล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะทำการบันทึก
- การระบุวัตถุประสงค์: ต้องระบุวัตถุประสงค์ในการใช้กล้องและการเก็บรวบรวมข้อมูลอย่างชัดเจน และข้อมูลที่ถูกเก็บรวบรวมต้องสอดคล้องกับวัตถุประสงค์นั้น
- การปกป้องข้อมูล: ข้อมูลที่ถูกบันทึกด้วยกล้องต้องได้รับการปกป้องอย่างเหมาะสม เพื่อป้องกันการเข้าถึงหรือการใช้ข้อมูลโดยไม่ได้รับอนุญาต
- การเก็บรักษาและการลบข้อมูล: ต้องมีการกำหนดระยะเวลาที่เหมาะสมในการเก็บรักษาข้อมูล และต้องลบข้อมูลเมื่อพ้นระยะเวลานั้นหรือเมื่อข้อมูลไม่จำเป็นอีกต่อไป
การประยุกต์ใช้ในทางปฏิบัติ
ในกรณีขององค์กรที่มีการติดตั้งกล้องวงจรปิดในสถานที่ทำงาน หรือสถานที่สาธารณะ องค์กรต้องปฏิบัติตามแนวทางดังนี้:
- ติดป้ายแจ้งเตือน: ติดป้ายแจ้งเตือนในบริเวณที่มีกล้องติดตั้ง เพื่อให้บุคคลที่เข้ามาในพื้นที่ทราบถึงการบันทึกภาพ
- นโยบายการใช้กล้อง: จัดทำนโยบายการใช้กล้องที่ระบุวัตถุประสงค์ ระยะเวลาการเก็บรักษาข้อมูล และมาตรการปกป้องข้อมูล และต้องแจ้งให้พนักงานหรือบุคคลที่เกี่ยวข้องทราบถึงนโยบายนี้
- การเก็บรวบรวมข้อมูลออนไลน์: ในกรณีที่มีการขอให้ผู้ใช้เปิดกล้องในการสนทนาทางวิดีโอ ต้องแจ้งให้ผู้ใช้ทราบถึงวัตถุประสงค์และขอความยินยอมก่อนการเปิดกล้อง
ประโยชน์ของการใช้คุกกี้
การจัดการสถานะผู้ใช้ (User Session Management)
คุกกี้สามารถใช้เพื่อเก็บข้อมูลเกี่ยวกับสถานะของผู้ใช้ เช่น การเข้าสู่ระบบ (login) หรือสถานะการช็อปปิ้งในรถเข็น ซึ่งช่วยให้ผู้ใช้ไม่ต้องเข้าสู่ระบบใหม่ทุกครั้งที่เปิดหน้าเว็บใหม่
การตั้งค่าผู้ใช้ (User Preferences)
คุกกี้สามารถใช้เพื่อจดจำการตั้งค่าของผู้ใช้ เช่น ภาษา ธีมสี หรือการตั้งค่าอื่น ๆ เพื่อให้ผู้ใช้ได้รับประสบการณ์การใช้งานที่ดียิ่งขึ้น
การติดตามและวิเคราะห์ (Tracking and Analytics)
คุกกี้สามารถใช้เพื่อติดตามพฤติกรรมการใช้งานของผู้ใช้บนเว็บไซต์ ซึ่งช่วยให้นักพัฒนาหรือผู้ดูแลเว็บไซต์สามารถวิเคราะห์ข้อมูลและปรับปรุงเว็บไซต์ได้อย่างมีประสิทธิภาพ
ความปลอดภัย (Security)
การตั้งค่าคุกกี้เป็น httpOnly ช่วยเพิ่มความปลอดภัยเนื่องจากคุกกี้นี้จะไม่สามารถเข้าถึงได้จาก JavaScript ฝั่งไคลเอนต์ ซึ่งลดความเสี่ยงจากการถูกโจมตีแบบ Cross-Site Scripting (XSS)
