PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่จะเริ่มบังคับใช้ในประเทศไทยอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยมีวัตถุประสงค์หลักเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้ถูกนำไปใช้โดยไม่ได้รับความยินยอม เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัว เช่น การนำเบอร์โทรศัพท์ไปขาย การโทรไปเสนอขายสินค้า SMS ข้อความการตลาด เป็นต้น
การเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล รูปภาพ ข้อมูลสุขภาพ ฯลฯ จะต้องทำโดยชอบด้วยกฎหมายและได้รับความยินยอมจากเจ้าของข้อมูล มิฉะนั้นจะมีความผิดตาม PDPA
PDPA ส่งผลกระทบกับภาคธุรกิจอย่างมาก เพราะปัจจุบันการทำธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล การเก็บข้อมูลลูกค้าเป็นเรื่องปกติ ธุรกิจต่างๆ จึงต้องปรับตัวให้สอดคล้องกับหลักการของ PDPA
องค์ประกอบสำคัญของ PDPA
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือบุคคลที่ข้อมูลชิ้นนั้นๆ สามารถระบุถึงตัวบุคคลนั้นได้ เจ้าของข้อมูลมีสิทธิต่างๆ เช่น สิทธิขอเข้าถึงข้อมูล สิทธิคัดค้านการเก็บใช้เปิดเผยข้อมูล ฯลฯ
ผู้ควบคุมข้อมูล (Data Controller) คือองค์กรหรือบริษัทที่เก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล เช่น พ่อค้าแม่ค้าออนไลน์ บริษัทที่มีข้อมูลลูกค้าหรือพนักงาน ฯลฯ มีหน้าที่ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด
ผู้ประมวลผลข้อมูล (Data Processor) คือองค์กรหรือบริษัทที่นำข้อมูลไปประมวลผลตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการเก็บข้อมูลบน cloud ฯลฯ
บุคลากรทั้ง 3 กลุ่มนี้ต้องทำความเข้าใจบทบาทหน้าที่ตามกฎหมาย PDPA และปฏิบัติตามอย่างเคร่งครัด มิฉะนั้นอาจต้องรับโทษทางกฎหมาย ทั้งโทษปรับ จำคุก ทางแพ่ง/อาญา
ขั้นตอนการปฏิบัติตาม PDPA สำหรับธุรกิจ
แจ้งข้อมูลการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
จัดทำ Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคล แจ้งเจ้าของข้อมูลว่าจะเก็บใช้ข้อมูลอะไรบ้าง เพื่ออะไร นานเท่าไหร่ เปิดเผยให้ใคร รักษาความปลอดภัยอย่างไร ใช้ภาษาที่เข้าใจง่าย
นอกจากแจ้งบน website แล้ว เมื่อมีการเก็บ cookie ก็ต้องแจ้งขอความยินยอมจากผู้ใช้ เช่น แบนเนอร์ข้อความที่มุมจอ
กรณีเก็บข้อมูลพนักงาน ต้องทำ HR Privacy Policy แจ้งพนักงานด้วย
ประมวลผลข้อมูลอย่างถูกวิธี
กำหนดแนวทางการใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม เท่าที่จำเป็น ไม่เปิดเผยข้อมูลให้บุคคลอื่นโดยไม่ได้รับอนุญาต
เก็บข้อมูลที่จำเป็นต่อการทำธุรกรรมเท่านั้น โดยเฉพาะข้อมูลละเอียดอ่อน (Sensitive Data) เช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ ต้องระมัดระวังเป็นพิเศษ
จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูล
กำหนดวิธีป้องกันรักษาความปลอดภัยข้อมูลให้เป็นไปตามมาตรฐานขั้นต่ำด้านความปลอดภัย ทั้งด้านการบริหาร เทคนิค และกายภาพ
มีกระบวนการแจ้งเตือนเมื่อเกิดการละเมิดข้อมูล (Data Breach)
กำหนดระยะเวลาเก็บข้อมูลและทำลายข้อมูลที่ไม่จำเป็นแล้ว
สรุปแล้ว PDPA เป็นกฎหมายสำคัญมากในยุคดิจิทัลที่ขับเคลื่อนด้วยข้อมูล ภาคธุรกิจต้องศึกษาทำความเข้าใจ PDPA และเตรียมความพร้อมเพื่อปฏิบัติตาม PDPA อย่างเคร่งครัด
การทำตาม PDPA อาจดูเหมือนยุ่งยากซับซ้อน แต่จริงๆ แล้วเป็นสิ่งที่ธุรกิจทำได้ไม่ยาก หลักการสำคัญคือต้องแจ้งวัตถุประสงค์การเก็บใช้ข้อมูล ขอความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้ และเก็บรักษาข้อมูลให้ปลอดภัย พร้อมให้เจ้าของข้อมูลสามารถใช้สิทธิคัดค้านหรือเพิกถอนความยินยอมได้
หากนำหลักการสำคัญนี้ไปพัฒนานโยบายและวิธีปฏิบัติของธุรกิจให้เป็นไปตามกฎหมาย จะช่วยลดความเสี่ยงต่อการถูกฟ้องร้องลงทัณฑ์ได้มาก
ยิ่งไปกว่านั้น ยังช่วยให้การทำธุรกิจโปร่งใส สร้างความเชื่อมั่นให้ลูกค้า เสริมสร้างภาพลักษณ์ที่ดีให้กับองค์กร ถือเป็นการสร้างความได้เปรียบทางการแข่งขันอีกทางหนึ่ง การทำตาม PDPA จึงเป็นประโยชน์กับทุกฝ่ายทั้งเจ้าของข้อมูลส่วนบุคคล ธุรกิจ และระบบเศรษฐกิจการค้าดิจิทัลในภาพรวม
📱 โทร: 093-789-4544
💬 Inbox: m.me/AlphaSecTH
📧 อีเมล: contact@alphasec.co.th
🔗 เว็บไซต์: https://www.alphasec.co.th
📲 ไลน์: https://line.me/ti/p/%40347dhwii