PDPA คืออะไร สรุปจบครบในบทความเดียว

what-is-pdpa

ในช่วงนี้ทุกท่านที่ทำการตลาดออนไลน์หรือ Digital Marketing คงได้ยินเรื่อง PDPA กันบ่อยๆ หลายท่านอาจศึกษาข้อมูลเอาไว้แล้วบ้าง หลายท่านอาจยังสงสัยว่ามันคืออะไร ส่งผลกับเหล่านักการตลาด รวมไปถึงธุรกิจของท่านอย่างไรบ้าง แล้วต้องเตรียมตัวอย่างไร วันนี้ทาง Talka เราได้รวบรวมข้อมูล และสรุป ที่ทุกคนสามารถอ่านจบ ครบ ในที่เดียวไว้ให้แล้วค่ะ

PDPA คืออะไร?

What-is-PDPA

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีคำย่อมาจาก Personal Data Protection Act ให้ความคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และสามารถถอนความยินยอมเมื่อไหร่ก็ได้

กฎหมาย PDPA นี้ให้ความคุ้มครอง ข้อมูลส่วนบุคคล โดยออกเป็น 2 รูปแบบคือ

  • ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน *ไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิตแล้ว
  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน

กฎหมายมีผลบังคับใช้เมื่อไหร่

โดย PDPA ได้มีประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี จากเดิมคือ 1 มิถุนายน 2564 เลื่อนเป็นอีก  1 ปี

ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบ วันที่ 1 มิถุนายน 2565

กฎหมายมีส่วนเกี่ยวข้องกับใครบ้าง?

PDPA (Personal Data Protection Act) มีส่วนเกี่ยวข้องกับบุคคลต่าง ๆ ที่ข้อมูลส่วนบุคคลระบุถึง บุคคลที่มีอำนาจตัดสินใจในการเก็บรวบรวม ใช้งาน และเปิดเผย รวมไปถึงผู้ที่นำข้อมูลส่วนบุคคลมาประมวลผล ซึ่งเราจะแบ่งบุคคลเหล่านั้น ออกมาดังนี้

  • เจ้าของข้อมูล (Data Subject) คือ บุคคลที่เป็นเจ้าของและข้อมูลระบุไปถึง เช่น ลูกค้า ลูกจ้าง คนไข้
  • ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ
  • ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล

บทลงโทษเป็นอย่างไร

pdpa-punish

บทลงโทษหากไม่ปฏิบัติตาม PDPA ซึ่งตามกฎหมายมีบทลงโทษ 3 รูปแบบ คือ

  • โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

สิทธิของผู้บริโภคมีอะไรบ้าง

pdpa-customer

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

เจ้าของธุรกิจต้องเตรียมตัวอย่างไร

entrepreneur-and-pdpa

1.ศึกษาข้อมูลและสร้างความเข้าใจให้กับทุกคนในองค์กร

เริ่มต้นเราต้องศึกษาข้อมูล และสร้างความเข้าใจให้กับทุกคนในองค์กร ได้เข้าใจและตระหนักถึงความสำคัญของกฎหมาย PDPA ที่จะเกิดขึ้นในปีหน้า ซึ่งทุกคนจำเป็นต้องรู้ว่ากฎหมายนี้มีข้อบังคับ ข้อกำหนด บทลงโทษ การนำข้อมูลไปใช้งาน รวมไปถึงข้อมูลส่วนบุคคลนั่นมีความเกี่ยวข้องกับเนื้องานของแต่ละคนอย่างไรบ้าง

ข้อมูลส่วนบุคคลดังกล่าวนี้ คือ ข้อมูลที่ระบุถึงตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกจัดเก็บทั้งแบบ Online และ Offline 

 

2.กำหนดบทบาท

ต่อมาเราจำเป็นต้องกำหนดบทบาทมอบหมายความรับผิดชอบในแต่ละบุคคลออกดังนี้

  • ผู้ควบคุมข้อมูล (Data Controller) : บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล 
  • ผู้ประมวลผล (Data Processor) : มีบทบาท บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” *ต้องเป็นคนละคนกับผู้ควบคุม
  • หากมีการเก็บข้อมูลจำนวนมาก จำเป็นต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO(Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษา ตรวจสอบ ประสานงานกับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย

 

3.จัดทำ Privacy Policy 

หากคุณมีเว็บไซต์ แอปพลิเคชัน และใช้ Third-party ในการเก็บข้อมูล ลงทะเบียน หรือเชื่อมต่อกับช่องทางโซเชียลมีเดีย จำเป็นต้องจัดทำ Privacy Policy เพื่อขอความยินยอมในการให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน ซึ่งพวกเราอาจะคุ้นหน้าตาการแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ตรงด้านล่างเว็บไซต์ ส่วน Third Party ก็ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วยเช่นกัน

ในการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ผ่าน Privacy Policy บนเว็บไซต์ แอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ มีดังนี้

  • แจ้งขอความยินยอมผ่านกระดาษ หรือระบบออนไลน์ก็ได้
  • แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
  • แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ ทำได้ง่าย และมีการแจ้งถึงผลกระทบ
  • ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม

 

4.การปฎิบัติตามกฎหมาย PDPA

  1. การเก็บข้อมูล ต้องทำการเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 
  2. เก็บข้อมูลเท่าที่จำเป็น ต้องชอบด้วยกฎหมาย และต้องทำการลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
  3. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 
  4. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ 
  5. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ 

 

5.มีมาตราการรักษาความปลอดภัยของข้อมูล 

เราต้องมีมาตรการการรักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.หลังจากที่ทราบเหตุ

สรุป

เรื่อง PDPA เป็นเรื่องใกล้ตัวมากกว่าที่พวกเราทุกคนคิด ไม่ว่าจะฐานะผู้ใช้ข้อมูล หรือเป็นเจ้าของข้อมูล โดยเฉพาะหากคุณเป็นควบคุมข้อมูลส่วนบุคคลควรศึกษา และทำความเข้าใจก็สามารถปฎิบัติตามกฎได้ไม่ยาก หรือคุณสามารถปรึกษาผู้เชี่ยวชาญด้านกฎหมาย เพื่อหลีกเลี่ยงกรณีที่ข้อมูลจะถูกละเมิด 

แม้ว่า PDPA ได้มีประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบ วันที่ 1 มิถุนายน 2565 แต่เราก็สามารถเริ่มต้นเตรียมความพร้อมได้ตั้งแต่วันนี้ เพื่อให้ทุกฝ่ายสามารถดำเนินงานต่อได้อย่างต่อเนื่องนั้นเองค่ะ หวังว่าบทความนี้จะเป็นประโยชน์แก่ผู้อ่านทุกท่านค่ะ 🙂

 

ขอบคุณข้อมูลจาก

https://www.scb.co.th
https://techsauce.co
https://pdpa.pro

Leave a Reply

Your email address will not be published. Required fields are marked *