สถาบันการศึกษาต้องจัดเก็บข้อมูลส่วนบุคคล ตามกฎหมาย PDPA

PDPA

ปัญหาการละเมิดสิทธิ หรือละเมิดข้อมูลส่วนบุคคล ยังคงเป็นปัญหาเกิดขึ้นอย่างต่อเนื่องในปัจจุบัน ส่วนหนึ่งเกิดจากการที่ประชาชน และคนในองค์กรยังขาดความรู้ความเข้าใจในกฎหมาย PDPA ทั้งที่กฎหมายฉบับดังกล่าวถูกบังคับใช้มากว่า 1 ปีแล้ว

ไม่เพียงแต่ในภาคธุรกิจที่ต้องทำความเข้าใจกับกฎหมาย และรายละเอียดของการจัดเก็บข้อมูลส่วนบุคคล หากสถานศึกษา ก็ถือเป็นองค์กรที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลเป็นจำนวนมาก ไม่ว่าจะเป็นข้อมูลของบุคลากร ผู้ที่มาติดต่อ ผู้ปกครอง รวมไปถึงข้อมูลของนักเรียน ซึ่งยังเป็นผู้เยาว์ ด้วยเหตุนี้เองสถานศึกษาจึงต้องมีการขอความยินยอมในการจัดเก็บข้อมูล และระบุให้ชัดเจนถึงวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลทั้งหมด

โดยหากเป็นข้อมูลส่วนบุคคลที่เกี่ยวข้องกับผู้ใหญ่ หรือผู้ที่บรรลุนิติภาวะแล้ว การขอความยินยอมก็สามารถขอโดยตรงกับตัวเจ้าของข้อมูลส่วนบุคคลได้ แต่หากเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ กฎหมายได้ระบุถึงเงื่อนไขในการขอความยินยอมไว้อย่างชัดแจ้ง ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 20 ที่ว่า 

  “(1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอม โดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่ง และพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย

  (2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจ กระทำการแทนผู้เยาว์”

ทั้งนี้ ตามประมวลกฎหมายแพ่งและพาณิชย์ ได้ระบุถึงผู้เยาว์ ไว้ว่า

มาตรา 22  ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น หากเป็นเพียงเพื่อจะได้ไปซึ่งสิทธิอันใดอันหนึ่ง หรือเป็นการเพื่อให้หลุดพ้นจากหน้าที่อันใดอันหนึ่ง

มาตรา 23  ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้นซึ่งเป็นการต้องทำเองเฉพาะตัว

มาตรา 24  ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้นซึ่งเป็นการสมแก่ฐานานุรูปแห่งตน และเป็นการอันจำเป็นเพื่อเลี้ยงชีพตามสมควร

จากข้อความข้างต้น จึงสรุปได้ว่า หากจำเป็นต้องมีการขอความยินยอมจากผู้เยาว์ สามารถให้ผู้ปกครองที่มีอำนาจ เช่น บิดา มารดา หรือบุคคลอื่นที่บิดา หรือมารดา แต่งตั้งขึ้นเพื่อปกครองผู้เยาว์ ลงนามความยินยอมแทนผู้เยาว์ได้ และการให้ความยินยอมดังกล่าวนี้จะสิ้นสุดลงเมื่อผู้เยาว์บรรลุนิติภาวะ คือ เมื่ออายุครบ 20 ปีบริบูรณ์ หรือ บรรลุนิติภาวะด้วยการสมรส

หากผู้เยาว์มีอายุเกิน 20 ปีบริบูรณ์ จะต้องขอความยินยอมใหม่ หรือไม่

 เมื่อผู้เยาว์มีอายุครบ 20 ปีบริบูรณ์แล้ว ความยินยอมที่ผู้ปกครองที่มีอำนาจกระทำแทนผู้เยาว์เคยให้ไว้จะถือว่าสิ้นสุดทันที ดังนั้นหากยังมีการจัดเก็บข้อมูล หรือความยินยอมเหล่านั้นอยู่ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำการขอความยินยอมโดยตรงจากตัวเจ้าของข้อมูลใหม่

หากสถานศึกษาไม่มีการขอความยินยอม จะมีโทษอย่างไร?

หากสถานศึกษาไม่มีการขอความยินยอมให้ชัดแจ้ง ไม่ว่าจะเป็นความยินยอมจากผู้ปกครองที่มีอำนาจกระทำแทนผู้เยาว์ หรือจากตัวเจ้าของข้อมูลเอง เมื่ออายุครบ 20 ปี บริบูรณ์ กรณีนี้สถานศึกษาจะมีความผิดตามกฎหมาย PDPA มาตรา 82 – 87 ซึ่งอาจระวางโทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท 

นอกจากนี้หากข้อมูลที่ไม่ได้รับการขอความยินยอมรั่วไหล และก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล ก็จะมีความผิด และมีโทษจำคุก 6 เดือน – 1 ปี ปรับสูงสุดถึง 500,000 บาท หรือทั้งจำทั้งปรับ

ทราบแบบนี้แล้ว หากสถาบันการศึกษาใดที่ยังไม่มีนโยบาย หรือมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคล อาจต้องหันกลับมาเริ่มต้นให้ความสำคัญอย่างจริงจัง ก่อนเกิดความเสียหาย

หากสถาบันการศึกษาใดกำลังมองหาที่ปรึกษา และแพลตฟอร์มช่วยบริหารจัดการข้อมูลส่วนบุคคลในองค์กร Security Pitch ขอนำเสนอ OneFence แพลตฟอร์มบริหารจัดการความปลอดภัยแบบครบวงจร โดยเรามี โซลูชัน Privacy Management ที่จะช่วยรวบรวม จัดการความยินยอมจากทุกช่องทางได้อย่างเป็นมืออาชีพ ถูกต้องตามกฎหมาย PDPA 

และนี่คืออีกหนึ่งความพยายามที่ Security Pitch ตั้งใจพัฒนา เพื่อสร้างระบบนิเวศความปลอดภัยที่ไร้รอยต่ออย่างแท้จริง

สอบถามข้อมูลผลิตภัณฑ์ OneFence

Tel. : 081-972-2500

Line : @securitypitch

Email : [email protected]