top of page

PDPA คืออะไร? ทำไมต้องสนใจ


PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่จะเริ่มบังคับใช้ในประเทศไทยอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยมีวัตถุประสงค์หลักเพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้ถูกนำไปใช้โดยไม่ได้รับความยินยอม เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัว เช่น การนำเบอร์โทรศัพท์ไปขาย การโทรไปเสนอขายสินค้า SMS ข้อความการตลาด เป็นต้น

การเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล รูปภาพ ข้อมูลสุขภาพ ฯลฯ จะต้องทำโดยชอบด้วยกฎหมายและได้รับความยินยอมจากเจ้าของข้อมูล มิฉะนั้นจะมีความผิดตาม PDPA

PDPA ส่งผลกระทบกับภาคธุรกิจอย่างมาก เพราะปัจจุบันการทำธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล การเก็บข้อมูลลูกค้าเป็นเรื่องปกติ ธุรกิจต่างๆ จึงต้องปรับตัวให้สอดคล้องกับหลักการของ PDPA

องค์ประกอบสำคัญของ PDPA

  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือบุคคลที่ข้อมูลชิ้นนั้นๆ สามารถระบุถึงตัวบุคคลนั้นได้ เจ้าของข้อมูลมีสิทธิต่างๆ เช่น สิทธิขอเข้าถึงข้อมูล สิทธิคัดค้านการเก็บใช้เปิดเผยข้อมูล ฯลฯ

  2. ผู้ควบคุมข้อมูล (Data Controller) คือองค์กรหรือบริษัทที่เก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล เช่น พ่อค้าแม่ค้าออนไลน์ บริษัทที่มีข้อมูลลูกค้าหรือพนักงาน ฯลฯ มีหน้าที่ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด

  3. ผู้ประมวลผลข้อมูล (Data Processor) คือองค์กรหรือบริษัทที่นำข้อมูลไปประมวลผลตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการเก็บข้อมูลบน cloud ฯลฯ

บุคลากรทั้ง 3 กลุ่มนี้ต้องทำความเข้าใจบทบาทหน้าที่ตามกฎหมาย PDPA และปฏิบัติตามอย่างเคร่งครัด มิฉะนั้นอาจต้องรับโทษทางกฎหมาย ทั้งโทษปรับ จำคุก ทางแพ่ง/อาญา

ขั้นตอนการปฏิบัติตาม PDPA สำหรับธุรกิจ

  1. แจ้งข้อมูลการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

  • จัดทำ Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคล แจ้งเจ้าของข้อมูลว่าจะเก็บใช้ข้อมูลอะไรบ้าง เพื่ออะไร นานเท่าไหร่ เปิดเผยให้ใคร รักษาความปลอดภัยอย่างไร ใช้ภาษาที่เข้าใจง่าย

  • นอกจากแจ้งบน website แล้ว เมื่อมีการเก็บ cookie ก็ต้องแจ้งขอความยินยอมจากผู้ใช้ เช่น แบนเนอร์ข้อความที่มุมจอ

  • กรณีเก็บข้อมูลพนักงาน ต้องทำ HR Privacy Policy แจ้งพนักงานด้วย

  1. ประมวลผลข้อมูลอย่างถูกวิธี

  • กำหนดแนวทางการใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม เท่าที่จำเป็น ไม่เปิดเผยข้อมูลให้บุคคลอื่นโดยไม่ได้รับอนุญาต

  • เก็บข้อมูลที่จำเป็นต่อการทำธุรกรรมเท่านั้น โดยเฉพาะข้อมูลละเอียดอ่อน (Sensitive Data) เช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ ต้องระมัดระวังเป็นพิเศษ

  1. จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูล

  • กำหนดวิธีป้องกันรักษาความปลอดภัยข้อมูลให้เป็นไปตามมาตรฐานขั้นต่ำด้านความปลอดภัย ทั้งด้านการบริหาร เทคนิค และกายภาพ

  • มีกระบวนการแจ้งเตือนเมื่อเกิดการละเมิดข้อมูล (Data Breach)

  • กำหนดระยะเวลาเก็บข้อมูลและทำลายข้อมูลที่ไม่จำเป็นแล้ว

สรุปแล้ว PDPA เป็นกฎหมายสำคัญมากในยุคดิจิทัลที่ขับเคลื่อนด้วยข้อมูล ภาคธุรกิจต้องศึกษาทำความเข้าใจ PDPA และเตรียมความพร้อมเพื่อปฏิบัติตาม PDPA อย่างเคร่งครัด

การทำตาม PDPA อาจดูเหมือนยุ่งยากซับซ้อน แต่จริงๆ แล้วเป็นสิ่งที่ธุรกิจทำได้ไม่ยาก หลักการสำคัญคือต้องแจ้งวัตถุประสงค์การเก็บใช้ข้อมูล ขอความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้ และเก็บรักษาข้อมูลให้ปลอดภัย พร้อมให้เจ้าของข้อมูลสามารถใช้สิทธิคัดค้านหรือเพิกถอนความยินยอมได้

หากนำหลักการสำคัญนี้ไปพัฒนานโยบายและวิธีปฏิบัติของธุรกิจให้เป็นไปตามกฎหมาย จะช่วยลดความเสี่ยงต่อการถูกฟ้องร้องลงทัณฑ์ได้มาก ยิ่งไปกว่านั้น ยังช่วยให้การทำธุรกิจโปร่งใส สร้างความเชื่อมั่นให้ลูกค้า เสริมสร้างภาพลักษณ์ที่ดีให้กับองค์กร ถือเป็นการสร้างความได้เปรียบทางการแข่งขันอีกทางหนึ่ง การทำตาม PDPA จึงเป็นประโยชน์กับทุกฝ่ายทั้งเจ้าของข้อมูลส่วนบุคคล ธุรกิจ และระบบเศรษฐกิจการค้าดิจิทัลในภาพรวม

📱 โทร: 093-789-4544

💬 Inbox: m.me/AlphaSecTH

📧 อีเมล: contact@alphasec.co.th

🔗 เว็บไซต์: https://www.alphasec.co.th

ดู 25 ครั้ง

Comments