PDPA คือ อะไร? – ช่วงนี้นักการตลาดออนไลน์หลายคนอาจได้ยินหลายคนพูดถึงกฎหมาย PDPA กันบ่อยๆ หลายคนอาจศึกษาข้อมูลเอาไว้กันบ้างแล้ว แต่หลายคนอาจยังมีข้อสงสัยว่ากฎหมายนี้คืออะไร? เมื่อมีการบังคับใช้จะส่งผลกระทบกับเหล่านักการตลาด รวมไปถึงธุรกิจของเราอย่างไรบ้าง วันนี้ Talka จะมาสรุปให้ทุกคนได้อ่าน ว่าเราต้องปรับตัว หรือ ปรับแผนและกลยุทธ์ด้านการตลาดอย่างไร ซึ่งเราได้รวบรวมข้อมูล และสรุป ที่ทุกคนสามารถอ่านจบ ครบ ในที่เดียวไว้ให้แล้วค่ะ
PDPA คือ อะไร?
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีคำย่อมาจาก Personal Data Protection Act ให้ความคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และสามารถถอนความยินยอมเมื่อไหร่ก็ได้
ซึ่งกฎหมาย PDPA ให้ความคุ้มครอง ข้อมูลส่วนบุคคล โดยออกเป็น 2 รูปแบบคือ
- ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ วันเกิด อีเมล การศึกษา เพศ อาชีพ รูปถ่าย ข้อมูลทางการเงิน *ไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิตแล้ว
- ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ ข้อมูลทางพันธุกรรมและเอกลักษณ์บุคคล เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม และ ข้อมูลสหภาพแรงงาน
PDPA (Personal Data Protection Act) มีส่วนเกี่ยวข้องกับบุคคลต่าง ๆ ที่ข้อมูลส่วนบุคคลระบุถึง บุคคลที่มีอำนาจตัดสินใจในการเก็บรวบรวม ใช้งาน และเปิดเผย รวมไปถึงผู้ที่นำข้อมูลส่วนบุคคลมาประมวลผล ซึ่งเราจะแบ่งบุคคลเหล่านั้น ออกมาดังนี้
- เจ้าของข้อมูล (Data Subject) คือ บุคคลที่เป็นเจ้าของและข้อมูลระบุไปถึง เช่น ลูกค้า ลูกจ้าง คนไข้
- ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ
- ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล
บทลงโทษหากไม่ปฏิบัติตาม PDPA ซึ่งตามกฎหมายมีบทลงโทษ 3 รูปแบบ คือ
- โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
1. ศึกษาข้อมูล PDPA และสร้างความเข้าใจให้กับทุกคนในองค์กร
เริ่มต้นเราต้องศึกษาข้อมูล และสร้างความเข้าใจให้กับทุกคนในองค์กร ได้เข้าใจและตระหนักถึงความสำคัญของกฎหมาย PDPA ที่จะเกิดขึ้นในปีหน้า ซึ่งทุกคนจำเป็นต้องรู้ว่ากฎหมายนี้มีข้อบังคับ ข้อกำหนด บทลงโทษ การนำข้อมูลไปใช้งาน รวมไปถึงข้อมูลส่วนบุคคลนั่นมีความเกี่ยวข้องกับเนื้องานของแต่ละคนอย่างไรบ้าง
ข้อมูลส่วนบุคคลดังกล่าวนี้ คือ ข้อมูลที่ระบุถึงตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกจัดเก็บทั้งแบบ Online และ Offline
2. กำหนดบทบาทเมื่อ PDPA บังคับใช้
ต่อมาเราจำเป็นต้องกำหนดบทบาทมอบหมายความรับผิดชอบในแต่ละบุคคลออกดังนี้
- ผู้ควบคุมข้อมูล (Data Controller) : บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผล (Data Processor) : มีบทบาท บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” *ต้องเป็นคนละคนกับผู้ควบคุม
- หากมีการเก็บข้อมูลจำนวนมาก จำเป็นต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO(Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษา ตรวจสอบ ประสานงานกับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย
3. จัดทำ Privacy Policy
หากคุณมีเว็บไซต์ แอปพลิเคชัน และใช้ Third-party ในการเก็บข้อมูล ลงทะเบียน หรือเชื่อมต่อกับช่องทางโซเชียลมีเดีย จำเป็นต้องจัดทำ Privacy Policy เพื่อขอความยินยอมในการให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน ซึ่งพวกเราอาจะคุ้นหน้าตาการแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ตรงด้านล่างเว็บไซต์ ส่วน Third Party ก็ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วยเช่นกัน
ในการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ผ่าน Privacy Policy บนเว็บไซต์ แอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ มีดังนี้
- แจ้งขอความยินยอมผ่านกระดาษ หรือระบบออนไลน์ก็ได้
- แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
- แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ ทำได้ง่าย และมีการแจ้งถึงผลกระทบ
- ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม
4. การปฎิบัติตามกฎหมาย PDPA
- การเก็บข้อมูล ต้องทำการเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
- เก็บข้อมูลเท่าที่จำเป็น ต้องชอบด้วยกฎหมาย และต้องทำการลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
- การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
- การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้
- การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ
5. มีมาตราการรักษาความปลอดภัยของข้อมูล
เราต้องมีมาตรการการรักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.หลังจากที่ทราบเหตุ
สรุป PDPA คือ อะไร?
PDPA เป็นเรื่องที่ใกล้ตัวนักการตลาดออนไลน์มากกว่าที่ทุกคนคิด ไม่ว่าจะในฐานะผู้ใช้ข้อมูล หรือเจ้าของข้อมูล โดยเฉพาะหากคุณเป็นผู้ควบคุมข้อมูลส่วนบุคคล ควรศึกษา และทำความเข้าใจให้ละเอียด ทั้งนี้ก็เพื่อช่วยให้คุณสามารถปฎิบัติตามกฎหรือไม่ทำผิดกฎได้ หรือ หากยังมีข้อสงสัยสามารถปรึกษาผู้เชี่ยวชาญด้านกฎหมาย เพื่อหลีกเลี่ยงกรณีการโดนฟ้องร้องได้
ขอบคุณข้อมูลจาก