PDPA คืออะไร
สิ่งที่กำลังพูดถึงและมาแรงเป็นกระแสอย่างยิ่งในตอนนี้ก็คงหนีไม่พ้น ด้วยข้อกฏหมาย PDPA แล้วมัน คืออะไร ข้อมูลทางอ้อม มีอะไรบ้าง กฎหมาย ซึ่งดูแล้วครูเรายังอัพเดทข้อมูลรูปภาพของเด็กที่ทำกิจกรรมลงในสื่อโซเชียล ฉะนั้นแล้วครูเราต้องได้ศึกษากันอย่างลึกถึงข้อมูล เช่น ข้อดีข้อเสียเป็นเช่นใด? ไปศึกษากันเลยครับ
สำหรับเจ้าตัว PDPA คือ กฎหมาย (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน
สิทธิของเจ้าของข้อมูลมีอะไรบ้าง?
เจ้าของข้อมูลส่วนบุคคลต้องได้รับการเคารพในสิทธิทั้งหมด 6 ด้าน โดยมีบางด้านที่มีการถกเถียงกันอย่างละเอียดในมุมของสถานศึกษา ได้แก่
- สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ไม่ว่าใครจะเก็บข้อมูลของเราเอาไว้ เราจะต้องสามารถเข้าถึงได้ ขอดูได้ เพราะเป็นข้อมูลส่วนบุคคลของเรา เมื่อได้รับ การร้องขอผู้ควบคุมข้อมูลไม่มีสิทธิปฏิเสธ เช่น เมื่อลูกสอบแล้วบอกผู้ปกครองว่าเอาผลสอบมาให้ดูไม่ได้ เพราะครูไม่ให้ดู ตามกฎหมายคุณครูจะต้องให้ข้อมูลผลสอบแก่เด็กผู้เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่จะไม่สามารถขอดูข้อมูลของคนอื่นได้
- สิทธิขอให้โอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลอื่น – เราสามารถบอกให้ผู้ควบคุมข้อมูลย้ายข้อมูลของเราจากที่หนึ่งไปยังอีกที่หนึ่งได้ เช่น อยู่โรงเรียน A แล้วย้ายไปเรียนที่โรงเรียน B สามารถขอย้ายข้อมูลของตนเองไปได้ และตัวอย่างเคสการย้ายโรงเรียนโดยยังไม่ได้จ่ายค่าเทอม โรงเรียนจึงไม่ยอมให้ย้ายข้อมูลจนกว่าจะจ่ายค่าเทอม ดร.อุดมธิปกมองว่าเป็นคนละเรื่องกัน เพราะอย่างไรก็ตามเจ้าของข้อมูลก็ต้องได้รับสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โรงเรียนไม่สามารถปฏิเสธและต้องโอนข้อมูลที่มี แต่อาจมีสิทธิไม่รับรองข้อมูลคะแนนผลของเด็กนักเรียนว่าจบหลักสตรหรือผ่านเกณฑ์ได้
- สิทธิคัดค้านการประมวลผลข้อมูล
- สิทธิขอให้ลบหรือทำลาย หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ – ยกตัวอย่างเช่น เด็กนักเรียนที่เคยมีความผิด และมีข้อมูลเก็บอยู่ในประวัติ เว็บไซต์ หรือเฟซบุ๊กของโรงเรียน อาจขอให้ลบข้อมูลได้ (เมื่อถึง Retention Period อันสมควร) บางคนกระทำความผิดตั้งแต่เป็นผู้เยาว์และจะตามหลอกหลอนไปอีกนาน ตลอดชีวิต โรงเรียนหรือมหาวิทยาลัยควรลบและป้องกันไม่ให้มีการเผยแพร่ข้อมูลประเภทนี้
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิขอให้ดำเนินการให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
ใครควรรู้เรื่อง PDPA บ้างในสถานศึกษา?
- ผู้ควบคุมข้อมูล = ผู้อำนวยการสถานศึกษา หรืออธิการบดีในกรณีของมหาวิทยาลัย คือคนที่รับบทหนักที่สุดในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล โดยเวลารับโทษจาก PDPA ผู้ที่มีอำนาจสูงสุดในการสั่งการควบคุมข้อมูลของทั้งนักเรียน ผู้ปกครอง และบุคลากรในโรงเรียนจะโดนโทษก่อนคนอื่น ๆ
- ผู้ประมวลผลข้อมูล = ครูอาจารย์ทุกคน ล้วนแล้วแต่เป็นผู้ประมวลผลข้อมูลทั้งหมด เพราะแต่ละคนต่างมีหน้าที่ประมวลผลคะแนนนักเรียน เช็กชื่อนักเรียนในห้องเรียน เช็กชื่อนักเรียนเพื่อทำกิจกรรม เป็นต้น นอกจากนั้นหากมีความรู้ด้านการคุ้มครองข้อมูล
- เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer – DPO) = ตำแหน่งนี้ไม่ว่าใครในสถานศึกษาก็สามารถเป็นได้ ยังไม่มีเกณฑ์ที่ชัดเจนออกมา แต่ในเบื้องต้นองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมากจำเป็นต้องมี DPO ดังนั้น เชื่อว่าโรงเรียนหรือมหาวิทยาลัยขนาดใหญ่ต้องมีตำแหน่งนี้ หรือแม้แต่โรงเรียนเล็กก็ควรต้องมี DPO แต่อาจจะเป็นการแชร์ Resource ร่วมกันหลาย ๆ โรงเรียน
นักการภารโรง แม่ค้าในโรงเรียน หรือตัวผู้ปกครองเอง ก็ควรทราบเรื่อง PDPA และแนวทางการคุ้มครองข้อมูลเอาไว้ เพราะไม่ว่าใครก็มีโอกาสเห็นข้อมูลส่วนบุคคลของนักเรียนได้
บทลงโทษของ PDPA รุนแรงขนาดไหน?
เมื่อเกิดการละเมิดที่เกี่ยวข้องกับสถานศึกษา (หรือวงการใด ๆ ก็ตาม) ผู้เสียหายจะต้องร้องเรียนไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีโทษแบ่งออกเป็น 3 ลักษณะคือ
- ทางปกครอง ค่าปรับสูงสุด 5 ล้านบาท ผู้ถูกฟ้องละเมิดเป็นผู้จ่ายค่าปรับ สำนักงานเป็นผู้รับค่าปรับเพื่อนำไปจัดการเยียวยาความเสี่ยงที่อาจเกิดขึ้น
- ทางอาญา ผู้ละเมิดอาจถูกจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท
- ทางแพ่ง ผู้ละเมิดต้องชดเชยค่าสินไหมทดแทนเป็น 2 เท่าของความเสียหายจริง
จุดที่สำคัญของการเก็บข้อมูลอ่อนไหวก็คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องบอกให้ได้ว่าเอาไปทำอะไร และไม่สามารถนำไปใช้ผิดวัตถุประสงค์ที่ระบุไว้ได้
โรงเรียน เจ้าของข้อมูลส่วนบุคคลที่ถูกเก็บข้อมูลส่วนใหญ่มีฐานะเป็น “ผู้เยาว์” การประมวลผลข้อมูลส่วนบุคคลจะมีความซับซ้อน กรณีของเด็กอายุต่ำกว่า 10 ขวบต้องให้ผู้ปกครองให้ความยินยอม ส่วนเด็กที่มีอายุ 10-19 ปี (ยังไม่บรรลุนิติภาวะ) จะต้องได้รับความยินยอมจากทั้งตัวนักเรียนเองและผู้ปกครอง
ส่วนการซักถาม-ตอบ แบบเจาะลึก ความรู้เรื่อง “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่คนไทยต้องรู้ คุณครูต้องสอน และสถานศึกษาต้องระวังไม่ละเมิด” โดย ดร.อุดมธิปก ไพรเกษตร ผู้เชี่ยวชาญด้าน Business Model และ Digital Marketing ตำแหน่งกรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และผู้อำนวยการ สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) และ ดร.วิริยะ ฤาชัยพาณิชย์ ผู้ทรงคุณวุฒิด้านความคิดสร้างสรรค์ กระทรวงศึกษาธิการ ผ่านเฟซบุ๊กเพจสุจริตไทย เมื่อวันที่ 23 พฤศจิกายน 2563 ตามลิ้งนี้เลย (((คลิก)))
ผู้จัดทำและเรียบเรียง เว็บไซต์ครูไทยฟรีดอทคอม
และขอขอบคุณที่มา บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด
เชิญติดตามได้ที่ เพจครูไทยฟรีดอทคอม ข่าวสารความเคลื่อนไหววงการศึกษา ข่าวสารการศึกษา แจกสื่อการเรียนการสอน แผนการสอน หลักสูตร ตัวชี้วัด ระบบดูแลช่วยเหลือนักเรียน วิจัย วิทยฐานะ การสอบบรรจุรับราชการ
สอบบรรจุครู ข้อสอบ ใบงาน กิจกรรมการเรียนการสอน ส่งเสริมการเรียนรู้ สื่อมัลติมีเดียครูยุค IT บทความ เทคนิคการสอน ไฟล์งานต่างๆ