PDPA คืออะไร? คนทำธุรกิจต้องอ่าน!

หลาย ๆ คน อาจจะยังไม่รู้จักกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือPDPA กันสักเท่าไร ซึ่งบทความนี้ จะพาไปรู้จักกับ PDPA คือ อะไรกัน มีความสำคัญอย่างไร? ไปอ่านพร้อม ๆ กันเลยจ้า

PDPA คือ อะไร?

PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ถูกสร้างมา เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูล และนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหา การถูกล่วงละเมิดข้อมูลส่วนบุคคล ที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์ และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง นั่นเอง

โดยกฎหมายนี้ ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้ สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

กฎหมาย PDPA เรียกได้ว่า ถอดแบบมาจาก กฎหมายต้นแบบอย่าง กฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคล ของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดี ทำการแฮ็กข้อมูล หรือละเมิดความเป็นส่วนตัว เพื่อข่มขู่หวังผลประโยชน์ จากทั้งจากตัวเจ้าของข้อมูลเอง หรือจากบุคคลที่ดูแลข้อมูล

PDPA สำคัญอย่างไร?

ความสำคัญของ PDPA คือ การทำให้เจ้าของข้อมูล มีสิทธิในข้อมูลส่วนตัว ที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัย และเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญ คือ สิทธิการรับทราบ และยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้าน เพิกถอนการเก็บ และนำข้อมูลไปใช้ และสิทธิขอให้ลบ หรือทำลายข้อมูลส่วนตัว

สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กร และบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลส่วนตัวของเจ้าของข้อมูล ไม่ว่าจะเป็น ลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยหากคุณเป็นผู้ประกอบการ  หรือเป็นตัวแทนองค์กรที่ดำเนินการเรื่อง PDPA นั่นเอง


องค์ประกอบสำคัญของPDPA

บุคคลที่ต้องปฏิบัติตามกฎหมายPDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้น เปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้  เช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน  เพื่อนำไปดำเนินการสั่งซื้อ และจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่งPDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย


ขั้นตอนการทำPDPA มีอะไรบ้าง?

การเก็บรวบรวมข้อมูลส่วนบุคคล

จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ

องค์กร หรือเจ้าของเว็บไซต์ สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์ หรือแอพพลิเคชั่น หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย เช่น

  • แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
  • แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
  • ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม 

การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party

นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์ หรือแอพพลิเคชั่นแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคล จากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณา ที่ทำการตลาด ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

การเก็บข้อมูลพนักงาน

สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้น ต้องจัดทำนโยบายความเป็นส่วนตัว สำหรับพนักงาน หรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่า สำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง 

การใช้หรือประมวลผลข้อมูลส่วนบุคคล

แต่ละฝ่ายในองค์กร ควรร่วมกำหนดแนวทาง หรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคล ที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์, ข้อมูลเอกสารที่จับต้องได้, ข้อมูลส่วนบุคคลทั่วไป, ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูล ที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง สิ่งที่ควรทำ ได้แก่

  • แอด Line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
  • ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
  • ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
  • ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
  • การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
  • รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า

มาตรการด้านความปลอดภัย ของข้อมูลส่วนบุคคล

  • กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำ ด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึง มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง หรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัล เพื่อเศรษฐกิจ และสังคม 
  • กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสาร ที่มีข้อมูลส่วนบุคคล (Data Retention) 
  • มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือน เพื่อปกป้องข้อมูลจากการโจมตี จากผู้ไม่หวังดี

การส่งหรือเปิดเผยข้อมูลส่วนบุคคล

  • ทำสัญญา หรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคล ให้เป็นไปตามมาตรฐานกฎหมายPDPA
  • ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทาง เพื่อคุ้มครองข้อมูลตามมาตรฐานPDPA
  • มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่าย ไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

การกำกับดูแลข้อมูลส่วนบุคคล

ในประเทศไทย มีสำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐ เป็นผู้กำกับดูแลกฎหมายPDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคล ในราชอาณาจักรไทย เพื่อการขายสินค้า หรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ ด้านกฎหมายPDPA ด้านเทคโนโลยี เข้ามาดูแล และตรวจสอบนโยบาย การเก็บรักษาข้อมูลส่วนบุคคลของลูกค้า ให้เกิดความปลอดภัย ทั้งนี้ ขึ้นอยู่กับขนาด และประเภทของธุรกิจ เป็นเกณฑ์ในการพิจารณาว่า ควรแต่งตั้ง DPO หรือไม่?


เป็นอย่างไรกันบ้างกับ ความรู้ที่เรานำมาฝากกัน คงทำให้หลายคนเข้าใจPDPA กันมากขึ้น ที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคล และบุคลากรในองค์กร มีความรู้ความเข้าใจ และปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตามPDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิด ก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี บทความหน้า จะมีอะไรดี ๆ มาฝากกันอีก อย่าลืมติดตามกันด้วยนะจ๊ะ สามารถอ่านบทความดี ๆ ที่น่าสนใจ ได้ที่นี่

สำหรับใครที่ต้องการ ต่อยอดธุรกิจ สร้างรายได้เสริม มาเริ่มต้นธุรกิจ “แฟรนไชส์ไก่ทอด” ที่คุ้มค่ามากที่สุด กับ นายหัวไก่ทอดหาดใหญ่ กันดีไหม? เริ่มต้นธุรกิจเพียง 2,490 บาท การันตีได้ว่า เป็นแฟรนไชส์ ไก่ทอด ที่ได้มาตรฐานความอร่อย และสามารถสร้างรายได้ ได้จริง คืนทุนไว คุ้มราคาอย่างแน่นอน! สนใจเริ่มต้นธุรกิจกับพวกเรา แฟรนไชส์ นายหัวไก่ทอดหาดใหญ่ คลิกเลย


อ้างอิงข้อมูลจาก: pdpa.pro