5 ข้อมูลส่วนบุคคลที่เสี่ยงถูกจารกรรม        สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) เตือนประชาชนระวังการให้ข้อมูลส่วนบุคคลแก่บุคคลอื่นรวมถึงทางออนไลน์และโซเชียลมีเดีย และหลีกเลี่ยงร่วมกิจกรรมออนไลน์ที่ให้เปิดข้อมูลส่วนบุคคล รวมถึงการรับรหัส ATM นำโชคต่างๆ เกี่ยวกับเรื่องความเชื่อที่กำลังเป็นที่นิยม โดย 5 ข้อมูลสำคัญที่ไม่ควรเปิดเผย ได้แก่ 1.ข้อมูลส่วนบุคคล เช่น เลขบัตรประชาชน เลขหนังสือเดินทาง เลขประจำตัวผู้เสียภาษี 2. ข้อมูลพิกัดที่อยู่อาศัย เบอร์โทรศัพท์ อีเมล 3.ข้อมูลเกี่ยวกับธุรกรรมทางการเงิน เลขบัญชี รหัส ATM เลขบัตรเครดิต 4.ข้อมูลชีวมิติ ลายนิ้วมือ ข้อมูลแสดงม่านตา 5.ข้อมูลเกี่ยวกับอุปกรณ์ต่างๆ IP Address MacAddress Cookie ID        นอกจากนี้ควรระวังส่วนของข้อมูลทรัพย์สินของบุคคล จำพวกทะเบียนรถยนต์ โฉนดที่ดิน ข้อมูลใดๆ ที่สามารถเชื่อมโยงไปถึงข้อมูลตนเองได้ เช่น วันเดือนปีเกิด เชื้อชาติ ข้อมูลทางการแพทย์ ข้อมูลการศึกษา หรือข้อมูลบันทึกอื่นๆ อีกด้วย สปสช.ยกเลิกสัญญาหน่วยบริการ 9 แห่ง        สำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) ยกเลิกการให้บริการสาธารณสุขรพ.เอกชน ระบบหลักประกันสุขภาพแห่งชาติ บัตรทอง 30 บาท 9 แห่ง มีผลวันที่ 1 ตุลาคม 2565 เป็นต้นไป เหตุจากการเบิกจ่ายไม่ถูกต้อง         ทั้งนี้ สปสช.มีแผนการรับรองผู้ป่วยแต่ละกลุ่ม ดังนี้ 1) ผู้ป่วยที่นอนรักษาตัวโรงพยาบาล 9 แห่ง หลัง 30 กันยายน 2565 ยังไม่ได้ออกจากโรงพยาบาล สามารถรักษาตัวต่อไปได้ทาง สปสช.จะรับผิดชอบค่าใช้ให้ 2) ผู้ป่วย 5 กลุ่ม เช่น สตรีใกล้คลอด ผู้ป่วยมะเร็งที่ต้องรับเคมีบำบัดและรังสีรักษา ผู้ป่วยมีนัดทำอัลตราซาวนด์ ทำซีทีสแกน และทำ MRI  ยังคงรักษาตัวตามนัดเดิมได้ 3) ผู้ป่วย 9 รพ.ที่ได้รับใบส่งตัวไปรักษาต่อที่โรงพยาบาลอื่นยังได้รับสิทธิส่งตัวไปรักษาตามปกติ 4) ผู้ป่วยโรคเรื้อรัง ให้เข้ารับการรักษาตัวต่อได้ที่ คลินิกเวชกรรม คลินิกอบอุ่น คลินิกการพยาบาลและการผดุงครรภ์ และร้านยา พร้อมจัดระบบบริการรูปแบบใหม่ คือ ระบบบริการแพทย์ทางไกลที่ใดก็ได้ 5) ผู้ป่วย HIV และวัณโรคให้เข้ารับการรักษาเหมือนผู้ป่วยโรคเรื้อรัง และ 6) สำหรับผู้ป่วยที่ต้องฟอกไต ผ่าตัดหัวใจ ทำบอลลูนหัวใจ ใส่สายสวนหัวใจ ยังคงได้รับการรักษาได้ตามโรงพยาบาลเดิม สำหรับผู้ที่ได้รับสิทธิรักษาในโรงพยาบาลทั้ง 9 แห่งแต่ไม่ได้เป็นผู้ป่วย สามารถเข้าเลือกหน่วยบริการใหม่ได้ที่เว็บไซต์ สปสช. แค่เดือนสิงหา ปชช.แจ้งความออนไลน์แล้ว 1.7 หมื่นคดี        จากสถิติ 1 มีนาคม – 31 กรกฎาคม 2565 ของศูนย์บริหารการรับแจ้งความออนไลน์ผ่านทางเว็บไซต์ www.thaipoliceonline.com  มีผู้เสียหายที่มาแจ้งความคดีออนไลน์จำนวนสูงถึง 59,846 เรื่อง ในส่วนของเดือนสิงหาคม 2565 พบสถิติประชาชนแจ้งความออนไลน์ผ่านเว็บไซต์ถึง  17,254 คดี รวมมูลค่าความเสียหายกว่า 3,317 ล้านบาท โดยประเภทที่มีการแจ้งความมากที่สุด ได้แก่ ซื้อสินค้าแต่ไม่ได้รับสินค้า (34.09%) หลอกให้ลงทุน (19.21%) หลอกให้ทำงานออนไลน์ (13.20%) หลอกให้กู้เงินแต่ไม่ได้เงิน (12.48%) และ ข่มขู่ให้เกิดความหวาดกลัวหรือคอลเซนเตอร์ (6.08%)           ดังนั้นเพื่อจะได้ไม่ตกเป็นเหยื่อของอาชญากรรมออนไลน์สามารถติดตามข้อมูลข่าวสารเกี่ยวกับอาชญากรรมทางเทคโนโลยีได้ผ่านทางช่องทางสื่อสังคมออนไลน์ของหน่วยงานในสำนักงานตำรวจแห่งชาติ ดังนี้ เพจ PCT Police, เพจ ตำรวจสอบสวนกลาง, เพจ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี บช.สอท. – CCIB นัดพิจารณานัดแรก ตุลาการผู้แถลงคดีมีความเห็นยกฟ้องกรณีแอชตัน อโศก        20 กันยายน 2565 ผู้สื่อข่าวรายงานว่าคดีแอชตัน อโศก ศาลปกครองสูงสุดได้พิจารณานัดแรก โดยตุลาการผู้แถลงคดีให้ความเห็นหลังจากฟังแถลงข้อเท็จจริงว่า กรณี รฟม.อนุญาตให้โครงการแอชตัน อโศก ใช้ที่ดินที่เวนคืนเพื่อเป็นทางเข้าออก ขยายถนนจากความกว้าง 6.4 เมตร เป็น 13 เมตร สอดรับกับกฎหมายควบคุมอาคาร ซึ่ง รฟม.ได้รับประโยชน์เป็นอาคารจอดรถและอาคารสำนักงานมูลค่า 97 ล้านบาท เป็นการดำเนินการโดยชอบคำอุทธรณ์ฟังขึ้น ดังนั้น ตุลาการผู้แถลงคดีจึงมีความเห็นโครงการดำเนินการไปโดยชอบ ควรกลับคำพิพากษาศาลปกครองกลาง (ศาลชั้นต้น) ให้ยกฟ้องจำเลยทุกคดี         อย่างไรก็ตาม คําแถลงการณ์ของตุลาการผู้แถลงคดีถือเป็นความเห็นโดยอิสระ ไม่ผูกพันองค์คณะในการจัดทําคําพิพากษาในคดี จึงต้องรอคำตัดสินทั้งองค์คณะต่อไป         ตุลาการผู้แถลงคดี คือตุลาการศาลปกครองที่ได้รับแต่งตั้งให้เป็นผู้จัดทำและเสนอคำแถลงการณ์ต่อองค์คณะ ผู้เป็นตุลาการผู้แถลงคดีต้องไม่ใช่ตุลาการในองค์คณะที่พิจารณาคดีนั้นๆ ตู้น้ำดื่ม-รถเมล์-ผังเมือง สามเรื่องสภาผู้บริโภค กทมฯ ยื่นข้อเสนอต่อผู้ว่ากทม ฯ         19 กันยายน 2565 มูลนิธิเพื่อผู้บริโภค (มพบ.) และสภาองค์กรของผู้บริโภค (สอบ.) จัดเวทีเสวนา การคุ้มครองผู้บริโภคกรุงเทพมหานคร จากกรณีศึกษาปัญหาผู้บริโภค 3 เรื่อง โดยคุณกชนุช แสงแถลง ผู้อำนวยการมูลนิธิเพื่อผู้บริโภคกล่าวว่า หลังจากที่สภาองค์กรของผู้บริโภคได้ก่อตั้งขึ้นในปี 2563  ได้มอบหมายให้ทางมูลนิธิเพื่อผู้บริโภค ซึ่งเป็นสำนักงานเลขาสภาองค์กรผู้บริโภคประจำจังหวัดกรุงเทพฯ ดำเนินงานในวัตถุประสงค์ด้านคุ้มครองผู้บริโภคให้มีคุณภาพชีวิตที่ดีและจัดเวทีเสวนาระดมแนวทางแก้ไขปัญหาเพื่อทำให้เครือข่ายการทำงานในพื้นที่กรุงเทพฯ ได้ทำงานร่วมกันอย่างเข้มแข็งมากขึ้น         ทั้งนี้จากการรวบรวมปัญหาและจัดทำข้อเสนอเพื่อการแก้ไขนั้น หน่วยงานประจำจังหวัดและเครือข่าย สรุป 3 ปัญหาสำคัญคือ บริการรถเมล์สาธารณะ ตู้น้ำดื่มหยอดเหรียญ และการจัดการผังเมืองอย่างมีส่วนร่วมและมอบหมายให้ตัวแทนทั้ง 3 เรื่องยื่นข้อเสนอต่อนายชัชชาติ สิทธิพันธุ์ ผู้ว่าราชการกรุงเทพมหานครในงานเสวนาดังกล่าว         นายชัชชาติได้ตอบรับและกล่าวขอบคุณที่ให้ตนได้มีโอกาสมารับฟังปัญหาและข้อเสนอแนะต่อการพัฒนาและแก้ไขปัญหาทั้ง 3 เรื่อง เรื่องบริการรถเมล์สาธารณะ แม้ภารกิจหลักจะเป็นอำนาจหน้าที่ของ ขสมก. แต่ กทม. อาจสามารถจัดบริการเสริมได้ในบางเส้นทาง ตู้น้ำดื่มอาจมีการพิจารณานำเรื่องน้ำดื่มฟรีที่ กทม. เคยทำมาแล้วกลับมาอีกครั้ง ส่วนผังเมืองเป็นเรื่องใหญ่คงต้องพูดคุยกันอีกหลายครั้ง อย่างไรก็ตาม ทุกเรื่องที่ได้มารับฟังปัญหาตนเองเห็นถึงสัญญาณที่ดี นั่นคือภาคประชาชนตื่นตัวซึ่งเป็นสิ่งสำคัญ

        ในตอนที่ 2 เราได้อธิบายความเบื้องต้น ในการให้ทราบว่ามีบุคคลใดบ้างที่เข้ามาเกี่ยวข้องกับกฎหมายฉบับนี้ เรื่องหลักในการคุ้มครองข้อมูลส่วนบุคคลหลายคนคิดว่าจะเป็นมาตรการที่ห้ามใช้ ห้ามบันทึก ข้อมูลของคน ซึ่งไม่ใช่ เพราะที่จริงแล้ว เนื้อหาหลักคือ ให้นำไปใช้เท่าที่จำเป็น ปลอดภัย และโปร่งใส โดยอยู่บนพื้นฐานในเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคลซึ่งถือว่าเป็นสิทธิที่เกิดจากความสมัครใจในการที่จะเลือกในการให้ “ความยินยอม” ในการให้ข้อมูลส่วนบุคคล ความยินยอมนั้นเป็นการแสดงเจตนาฝ่ายเดียว คือผู้ให้ความยินยอมซึ่งแสดงต่ออีกฝ่ายหนึ่ง และต้องมีผู้รับการแสดงเจตนาคือผู้ควบคุมข้อมูลส่วนบุคคลโดยมีหน้าที่ที่จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในรูปแบบที่กฎหมายที่กำหนด แต่ไม่ได้หมายความว่า ความยินยอมของเจ้าของข้อมูลส่วนบุคคลจะเป็นใบอนุญาตให้ทำอะไรก็ได้กับข้อมูลนั้น โดยรายละเอียดของความยินยอมจะต้องประกอบด้วยหลักเกณฑ์ ดังต่อไปนี้         1) ลักษณะทั่วไปของความยินยอม            ความยินยอมต้องขอก่อนจะมีการประมวลผล โดยเจ้าของข้อมูลส่วนบุคคลจะต้องให้ความยินยอมโดยปราศจากความกลัวที่จะเกิดผลเสียสำหรับตนเองหรือปราศจากอิทธิพลหรือแรงกดดันจากปัจจัยภายนอก ซึ่งความยินยอมดังกล่าวต้องเกิดจากความสมัครใจและเป็นอิสระหมายความว่า ความยินยอมนั้นจะต้องไม่เป็นเงื่อนไขในการให้เข้าทำสัญญาหรือใช้บริการใดๆและไม่มีเงื่อนไขในการยินยอมเพื่อการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลอื่นที่ไม่มีความจำเป็น        2) วิธีการหรือแบบของการขอความยินยอม            การขอความยินยอมจะต้องชัดแจ้งหรือเป็นการเจตนาของเจ้าของข้อมูลส่วนบุคคลที่ชัดเจนว่าได้มีความยินยอมเพื่อการเก็บใช้รวบรวมใช้หรือประมวลผลข้อมูลส่วนบุคคล ซึ่งตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้งเท่านั้น และต้องไม่ขอความยินยอมในลักษณะที่กำหนดไว้ล่วงหน้า โดยวิธีการของความยินยอมโดยหลักนั้นจะต้องทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ - การขอความยินยอมนั้นต้องแยกออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าใจง่ายและเข้าถึงง่าย การขอความยินยอมจะต้องมีรายละเอียดข้อมูลต่างๆอย่างครบถ้วน แต่เนื้อหาต้องไม่ยาวจนเกินไป รวมทั้งภาษาที่อ่านง่ายด้วย        3) ข้อมูลเพื่อการขอความยินยอม ซึ่งจะต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลและการแจ้งวัตถุประสงค์นั้นจะต้องไม่ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์และไม่เป็นการหลอกลวง ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเพิ่มวัตถุประสงค์ใหม่เองได้โดยไม่ขอความยินยอมใหม่        4) การให้ความยินยอมต้องเพิกถอนได้ โดยหลักแล้ว เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม การกำหนดวิธีการยกเลิกหรือเพิกถอนความยินยอม อาจเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย เช่น ทางเว็บไซต์ของผู้ควบคุมข้อมูล เป็นต้น กล่าวโดยสรุป “ความยินยอม”(Consent) ต้องประกอบด้วย            1. ต้องทำโดยชัดเจนเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์            2. ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล            3. ต้องแยกส่วนความยินยอม ใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวง            4. ต้องมีความเป็นอิสระในการให้ความยินยอม            5. ต้องสามารถถอนความยินยอมเมื่อไหร่ก็ได้ เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอม         ดังนั้น หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย กว่าที่ขอความยินยอมไม่ได้ นอกจากนี้เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อนและเราในฐานะเจ้าของข้อมูลสามารถบอกเลิกการครอบครองข้อมูลนั้นได้ ด้วยเหตุนี้ การที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิในการที่จะเลือกในการให้ความยินยอมในการให้ข้อมูลแล้ว หน้าที่ของผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล จะต้องทำอะไรบ้างและห้ามทำอะไรบ้าง เป็นเรื่องที่สำคัญมากและมีกฎหมายบัญญัติไว้อย่างชัดเจน โปรดติดตามตอนต่อไป

       ความเดิมจากตอนที่ 1 ที่ได้อธิบายข้อมูลส่วนบุคคลคืออะไร ได้แก่อะไร ซึ่งตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะมีผลบังคับใช้เกี่ยวข้องกับเราทุกคนในฐานะที่เป็นเจ้าของข้อมูล รวมถึงผู้ประกอบการ หน่วยงานต่างๆที่มีหน้าที่โดยตรงกับการเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้งาน        ทำไมต้องมีกฎหมายฉบับนี้ เนื่องมาจากสหภาพยุโรป (European EU) ได้ออก GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues) ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย และที่สำคัญคือความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีผลกระทบต่อการค้าระหว่างประเทศและการทำธุรกิจระหว่างประเทศ   หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกด้วย เพราะปัจจุบันมีการตื่นตัวเรื่อง Data Protection เนื่องจากมีหลายเหตุการณ์ใหญ่ๆ ที่เกิดขึ้นแล้ว เช่น การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี หรือกรณีความลับทางทหารของประเทศมหาอำนาจได้รั่วไหลออกมาสู่สาธารณะ เป็นต้น ที่ผ่านมาเรื่องข้อมูลส่วนบุคคลของประเทศไทยได้กำหนดไว้โดยทั่วไปในกฎหมายแต่ละฉบับ ซึ่งไม่ได้บัญญัติไว้อย่างเฉพาะเจาะจงในเรื่องดังกล่าวนี้         อย่างไรก็ตาม ข้อมูลส่วนบุคคลก็ถือว่าเป็นปัจจัยสำคัญในการประกอบธุรกิจในยุคปัจจุบันเพราะสามารถส่งต่อกันข้ามประเทศได้ และการใช้ข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้นในการนำไปใช้ประโยชน์ จึงถือได้ว่าข้อมูลส่วนบุคคลเป็นเรื่องที่สำคัญมากทั้งในด้านธุรกิจและในด้านความมั่นคงในความปลอดภัยในชีวิตและทรัพย์สินของตนเอง และเพื่อเป็นการทำความเข้าใจ เราจึงจำเป็นต้องทราบข้อกฎหมายที่เกี่ยวข้อง และบุคคลหรือหน่วยงานที่เป็นผู้เก็บข้อมูลส่วนบุคคลของเรานั้นคือใครบ้าง         รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560 มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียงและครอบครัว การกระทำอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลหรือการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆ จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จำเป็นเพื่อประโยชน์สาธารณะ และ         การละเมิดสิทธิความเป็นส่วนตัว ตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420 ผู้ใดจงใจหรือประมาทเลินเล่อ ทำต่อบุคคลอื่นโดยผิดกฎหมายให้เขาเสียหายถึงแก่ชีวิตก็ดี แก่ร่างกายก็ดี อนามัยก็ดี เสรีภาพก็ดี ทรัพย์สินหรือสิทธิอย่างหนึ่งอย่างใด ผู้นั้นทำละเมิดจำต้องใช้ค่าสินไหมทดแทนเพื่อการนั้น ดังนั้นหากเจ้าของข้อมูลส่วนบุคคลถูกนำข้อมูลส่วนบุคคลไปเผยแพร่เพื่อหาประโยชน์โดยไม่ได้รับอนุญาต โดยหลักทั่วไป ผู้เผยแพร่ก็จะมีความผิดตามกฎหมายนี้         ด้วยเหตุนี้ บุคคลสำคัญที่เก็บข้อมูลของเราอาจจะเป็นบุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ส่วนใครจะเป็นผู้ใช้ข้อมูลส่วนบุคคลของเราก็ต้องขออนุญาตเจ้าของข้อมูลก่อนหรือไม่ และใช้ข้อมูลเพื่อวัตถุประสงค์อะไร การเก็บข้อมูลส่วนบุคคลใครจะมีอำนาจที่จะเก็บได้ตามหลักกฎหมาย เหล่านี้คือคำถามที่ต้องหาคำตอบกันต่อไป ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล          การเก็บข้อมูลส่วนบุคคลต่าง ๆ เพื่อนำไปรวบรวม ใช้ หรือเปิดเผยข้อมูลต่อไปนั้น ต้องเก็บจากเจ้าของข้อมูลโดยตรง และได้รับการยินยอมโดยตรงจากเจ้าของข้อมูลเป็นลายลักษณ์อักษรหรือผ่านระบบออนไลน์ตามรูปแบบที่กำหนด ดังนั้นก่อนที่จะยินยอม เจ้าของมูลต้องอ่านรายละเอียดให้ดี รวมถึงเก็บข้อมูลว่าได้ยินยอมให้เก็บ ใช้ เปิดเผยข้อมูล ไปกับหน่วยงานใดบ้าง โดยต้องแจ้งรายละเอียดชัดเจนครบถ้วน ผู้เก็บข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล ระยะเวลาที่เก็บ เงื่อนไขต่างๆ ให้เจ้าของข้อมูลอย่างชัดเจน ที่สำคัญข้อมูลรายละเอียดในการขอความยินยอมจากเจ้าของข้อมูลต้องแยกส่วนออกมาจากข้อความอื่นอย่างชัดเจน อ่านเข้าใจง่าย เพื่อให้เจ้าของข้อมูลอ่านและทำความเข้าใจก่อนที่จะยินยอมให้เก็บข้อมูล         ข้อมูลส่วนบุคคลที่ให้ไว้นั้น ผู้มีสิทธิเด็ดขาดคือเจ้าของข้อมูล เจ้าของข้อมูลสามารถยกเลิกการเก็บข้อมูล การนำไปใช้ แก้ไขและลบข้อมูลออกจากระบบได้ โดยที่ผู้เก็บข้อมูลไม่สามารถปฏิเสธได้ ดังนั้น ผู้เก็บข้อมูลต้องเตรียมการให้การยกเลิกทำได้สะดวกเช่นเดียวกับการยอมรับ ซึ่งการคุ้มครองนี้รวมถึงข้อมูลส่วนตัวที่ส่งไปเพื่อสมัครงาน ผู้สมัครสามารถแจ้งให้ทางบริษัทส่งข้อมูลกลับหรือทำลายข้อมูลส่วนตัว เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน รูปถ่าย เอกสารการศึกษา ฯลฯ หลังจากการสมัคร เพื่อป้องกันไม่ให้ข้อมูลส่วนตัวสำคัญเหล่านี้รั่วไหลออกไป และผู้เก็บต้องรักษาข้อมูลให้ปลอดภัยเป็นความลับ ผู้เก็บรวบรวมข้อมูลส่วนบุคคลจะต้องมีหน้าที่รักษาความมั่นคงปลอดภัยของข้อมูล มิให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่ใช่เจ้าของของมูล หรือเข้าถึงข้อมูลโดยมิชอบ และดูแลไม่ให้เกิดการสูญหาย ซึ่งเรื่องนี้ทางผู้ประกอบการหรือองค์กรที่เก็บข้อมูลต้องมีการวางระบบ วิธีการ คณะทำงาน ทีมงานที่รับผิดชอบ ในการดูแลข้อมูลให้ปลอดภัยมากที่สุด แต่หากข้อมูลเกิดรั่วไหลหรือถูกขโมยไป ผู้เก็บข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบใน 72 ชั่วโมงนับแต่ทราบเหตุ         ในฐานะเราเป็นเจ้าของข้อมูลส่วนบุคคล เรามีสิทธิอะไรบ้างตามกฎหมายในการที่จะติดตามหรือตรวจสอบในการไม่เอาข้อมูลส่วนบุคคลของเราไปเผยแพร่โดยไม่ได้รับอนุญาต รายละเอียดนี้ ติดตามกันต่อไปในตอนที่ 3

        สถานการณ์ปัจจุบันกับการเฝ้าระวังและดูแลตนเองไม่ให้ติดเชื้อโควิค – 19 แต่ในขณะเดียวกัน ในเร็วๆ นี้ก็จะมีการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 ในวันที่ 28 พ.ค.2563 ซึ่งบทบัญญัติดังกล่าวอาจส่งผลกระทบต่อการใช้ชีวิตประจำวัน รูปแบบการดำเนินธุรกิจและการกระทำของหน่วยงานรัฐ โดยผู้เขียนจะยกเอาประเด็นทั่วไปมากล่าวเบื้องต้น        ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งตามกฎหมายไม่ได้ยกตัวอย่างว่าอย่างไรบ้างที่เป็นข้อมูลส่วนบุคคล ดังนั้นเพื่อให้มีหลักในการพิจารณาโดยจะกำหนดแนวปฎิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล ดังนี้        แนวปฎิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล        ขั้นตอนพื้นฐานเพื่อจัดการข้อมูลส่วนบุคคล แบ่งได้เป็น 2 ส่วน คือ        1. ขอบเขตของข้อมูลส่วนบุคคล ซึ่งจะช่วยให้ทราบว่าข้อมูลใดเป็นข้อมูลที่อยู่ในขอบเขตความหมายของข้อมูลส่วนบุคคล        2. การกำหนดและแยกแยะข้อมูลส่วนบุคคล ซึ่งจะช่วยให้สามารถระบุข้อมูลส่วนบุคคลตามกระบวนการทำงานต่างๆขององค์กรและจัดการตามความเสี่ยงของแนวปฎิบัติ        ความสามารถในการระบุไปถึงเจ้าของข้อมูลมี 3 ลักษณะ        1.การแยกแยะ หมายถึง การที่ข้อมูลสามารถระบุแยกแยะตัวบุคคลออกจากกันได้ เช่น ชื่อสกุล หรือเลขบัตรประชาชน        2. การติดตาม หมายถึง การที่ข้อมูลสามารถถูกใช้ในการติดตามพฤติกรรมหรือกิจกรรมที่บุคคลนั้นทำได้ เช่น Log file        3. การเชื่อมโยง หมายถึง การที่ข้อมูลสามารถถูกใช้เชื่อมโยงกันเพื่อระบุไปถึงตัวบุคคล         ดังนั้นข้อมูลส่วนบุคคลจึงเป็นข้อมูลทั้งหลายที่สามารถใช้ระบุถึงบุคคลที่เป็นเจ้าของข้อมูลได้ แม้ว่าข้อมูลที่มีอยู่นั้นจะไม่สามารถใช้ระบุถึงบุคคลได้แต่หากใช้ร่วมกับข้อมูลหรือสารสนเทศอื่นๆประกอบกันแล้วก็สามารถระบุถึงตัวบุคคลได้ โดยไม่จำเป็นว่าข้อมูลหรือสารสนเทศอื่นนั้นได้มีอยู่ด้วยกัน ไม่ว่าข้อมูลนั้นจะเป็นจริงหรือเป็นเท็จ และเมื่อเป็นข้อมูลที่เป็นข้อมูลส่วนบุคคล หน่วยงานหรือองค์กรทั้งหลายจะต้องขอความยินยอมในการที่จะเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลสำหรับการติดต่อทางธุรกิจ และต้องปฎิบัติตามแนวปฎิบัติในส่วนที่เกี่ยวข้องกับข้อมูลสำหรับการติดต่อทางธุรกิจ         ตัวอย่างที่เป็นข้อมูลที่เป็นข้อมูลส่วนบุคคล เช่น ชื่อสกุลหรือชื่อเล่น เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัตรเครดิต หรือข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address , Cookie ID หรือข้อมูลทางชีวมิติ เช่น รูปใบหน้า,ลายนิ้วมือ,ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ,ข้อมูลอัตลักษณ์เสียง,ข้อมูลพันธุกรรม หรือข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์,โฉนดที่ดิน หรือข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดหรือสถานที่เกิด,เชื้อชาติ,สัญชาติ,น้ำหนัก ส่วนสูง ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลบันทึกต่างๆที่ใช้ติดตามหรือตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log file เป็นต้น         ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล เช่น ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือที่อยู่ที่ทำงาน ,อีเมล์ที่ใช้ในการทำงาน,อีเมล์ของบริษัท หรือข้อมูลผู้ตาย         ข้อมูลอ่อนไหว ( Sensitive Personal Data ) เป็นข้อมูลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฎิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ ตัวอย่างข้อมูลอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต ข้อมูลชีวภาพ เป็นต้น         ข้อมูลที่เป็นข้อมูลส่วนบุคคล จึงเป็นสาระสำคัญเบื้องต้นที่คนไทยจะต้องเข้าใจว่าคืออะไร และได้แก่อะไรบ้าง รายละเอียดเนื้อหาต่อไป โปรดติดตามตอนที่ 2 ครับ

โดย ดร.ไพบูลย์ ช่วงทอง เครือข่ายนักวิชาการเพื่อผู้บริโภค ประธานอนุกรรมการองค์การอิสระเพื่อการคุ้มครองผู้บริโภค ด้านสินค้าและบริการตอนนี้การประมูลทีวีดิจิตัลก็เสร็จเรียบร้อย กำลังทดลองออกอากาศในบางพื้นที่ แต่นโยบายแจกกล่อง set top box กำลังเป็นประเด็นที่ถกเถียงถึงความโปร่งใส และราคาคูปองที่จะแจกให้ผู้บริโภค ที่ราคาอาจจะสูงเกินจริง จนทำให้ประเทศชาติเสียหายได้ ถ้าไม่ระมัดระวังและมีการควบคุมวิธีการแจกคูปองที่ดี อย่างไรก็ตามสังคมกำลังเดินหน้าไปสู่การสื่อสารยุคดิจิตัล การให้ความรู้ความเข้าใจเบื้องต้นกับผู้บริโภค เพื่อเตรียมความพร้อมในการก้าวเข้าสู่ยุคทีวีดิจิตัลเป็นสิ่งสำคัญ วันนี้ผมขอนำสถานการณ์เกี่ยวกับ เรื่อง Smart TV ของเยอรมนี ที่อยู่ในยุคทีวีดิจิตอล แล้วเป็นข้อกังวลสำหรับคนที่ต้องการคุ้มครองข้อมูลส่วนบุคคลมานำเสนอครับ Smart TV คือ อะไร คำว่า smart แปลเป็นภาษาไทย คือ ฉลาด และ smart TV เป็นโทรทัศน์ที่นอกจากสามารถดูรายการต่างๆ ได้เหมือนกับเครื่องรับโทรทัศน์อื่นๆ แล้ว ยังสามารถเชื่อมต่ออินเตอร์เน็ต และสามารถลง Application เหมือนกับ Smartphone ได้อีกด้วย นอกจากนี้ยังสามารถทำหน้าที่เป็นเครื่องมือสื่อสารไปยัง social media ไม่ว่าจะเป็น facebook Twitter และ Youtube ผู้ชมสามารถใช้รีโมต ที่สามารถพิมพ์ตัวอักษร ในการเลือกช่องทางการสื่อสารที่สามารถเกิดขึ้นได้ไปพร้อมๆ กับการชมรายการทางโทรทัศน์  ที่เกิดขึ้นบนจอเดียวกัน สำหรับการเลือกซื้อ Smart TV ผู้บริโภคจะต้องพิจารณาถึงความคมชัดของจอภาพ หากผู้ใดสนใจ ว่า Smart TV รุ่นไหนดีอย่างไรนั้น ต้องสอบถามมาที่ กอง บก. เนื่องจากสามารถเข้าถึงผลการทดสอบ Smart TV ของ ICRT ได้ แต่เงื่อนไขที่สำคัญคือ ต้องมี Wifi หรือสัญญาณอินเตอร์เน็ตเชื่อมต่อ  โดยจะต้องมีความเร็วของอินเตอร์เน็ตไม่ต่ำกว่า 6 Mbits/ Second และสำหรับการรับชม HD Video ก็ไม่ควรมีความเร็วต่ำกว่า 8 Mbits/sec   ข้อน่ากังวลต่อประเด็นการคุ้มครองข้อมูลส่วนบุคคล สถานีโทรทัศน์ในเยอรมนีหลายช่อง รวมทั้ง Google ได้มีการเก็บข้อมูล ด้วยโปรแกรมที่ทำหน้าที่เหมือนกับสปาย (Google Universal Analytics) ที่สามารถสะกดรอยทางดิจิตัล (Digital trace) ผ่าน smart TV ได้ เมื่อผู้ชม Smart TV ใช้บริการของ Gmail หรือ Google ก็จะรู้ทันทีว่าใครเป็นผู้ใช้ ไม่สามารถปกปิด Identity ได้ นอกจากนี้ Smart TV บางยี่ห้อ เช่น ซัมซุง จะมีกล้องติดไว้ที่ Smart TV ด้วย เพื่อการสื่อสาร face to face communication Smart TV ก็จะจำหน้าของคนในครอบครัวที่ดูทีวีได้อีกด้วย ซึ่ง Smart TV จะจำได้ว่าสมาชิกในครอบครัวคนไหน ชอบดูรายการใด และสามารถรู้ได้อีกเช่นกันว่า ตรงไหนคือ เวลาโฆษณา ซึ่งจะทำให้ซัมซุงมีข้อมูลของผู้ชมทุกคนในครอบครัว หากใครต้องการปกปิดข้อมูลส่วนตัวนี้ ก็สามารถไปปิด Function Smart TV ที่เรียกว่า Personlization and Recommendation service นอกจากนั้นยังจะมีไมโครโฟนสำหรับใช้เสียงสั่งงานด้วย เช่น การใช้เสียงเปลี่ยนช่องรายการ เสียงที่ส่งไปยัง TV นั้น เป็นข้อมูลที่สำคัญเฉพาะตัว (Biomimetric data) ที่ไม่สมควรจะปล่อยออกไปยังอินเตอร์เน็ต เพราะสามารถถูกโจรกรรมข้อมูลและขโมย password ของเราได้ ทางที่ดีเราไม่ควรใช้งานอินเตอร์เน็ตด้วยระบบสั่งการด้วยเสียง การคุ้มครองข้อมูลส่วนบุคคลจะเป็นงานที่สำคัญในเชิงเทคนิคสำหรับหน่วยงานภาครัฐ ในการสื่อสารยุคดิจิตัลที่พลเมืองในฐานะผู้บริโภคต้องได้รับความคุ้มครอง การมีคณะกรรมการระดับชาติจึงมีความจำเป็น แม้ว่า ใน พ.ร.บ. องค์กรจัดสรรคลื่นความถี่ 2553 จะมี มาตราที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล แต่ก็ยังไม่เพียงพอในการรับมือกับสภาพการณ์ที่เปลี่ยนมาสู่ยุคดิจิตัล แน่นอนว่าจะต้องมีการเคลื่อนไหวในเรื่องนี้อย่างแน่นอน   แหล่งข้อมูล test ฉบับที่ 12/2011 และ test 5/2014