PDPA คืออะไร สรุปจบครบในบทความเดียว

what-is-pdpa

PDPA คือ อะไร? – ช่วงนี้นักการตลาดออนไลน์หลายคนอาจได้ยินหลายคนพูดถึงกฎหมาย PDPA กันบ่อยๆ หลายคนอาจศึกษาข้อมูลเอาไว้กันบ้างแล้ว แต่หลายคนอาจยังมีข้อสงสัยว่ากฎหมายนี้คืออะไร? เมื่อมีการบังคับใช้จะส่งผลกระทบกับเหล่านักการตลาด รวมไปถึงธุรกิจของเราอย่างไรบ้าง วันนี้ Talka จะมาสรุปให้ทุกคนได้อ่าน ว่าเราต้องปรับตัว หรือ ปรับแผนและกลยุทธ์ด้านการตลาดอย่างไร ซึ่งเราได้รวบรวมข้อมูล และสรุป ที่ทุกคนสามารถอ่านจบ ครบ ในที่เดียวไว้ให้แล้วค่ะ

PDPA คือ อะไร?

What-is-PDPA

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีคำย่อมาจาก Personal Data Protection Act ให้ความคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และสามารถถอนความยินยอมเมื่อไหร่ก็ได้

ซึ่งกฎหมาย PDPA ให้ความคุ้มครอง ข้อมูลส่วนบุคคล โดยออกเป็น 2 รูปแบบคือ

  • ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ วันเกิด อีเมล การศึกษา เพศ อาชีพ รูปถ่าย ข้อมูลทางการเงิน *ไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิตแล้ว
  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ ข้อมูลทางพันธุกรรมและเอกลักษณ์บุคคล เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม และ ข้อมูลสหภาพแรงงาน

กฎหมายมีผลบังคับใช้เมื่อไหร่

ได้มีการประกาศบังคับใช้กฎหมายอย่างเต็มรูปแบบไปแล้วเมื่อ วันที่ 1 มิถุนายน 2565 ที่ผ่านมา 

กฎหมายมีส่วนเกี่ยวข้องกับใครบ้าง?

PDPA (Personal Data Protection Act) มีส่วนเกี่ยวข้องกับบุคคลต่าง ๆ ที่ข้อมูลส่วนบุคคลระบุถึง บุคคลที่มีอำนาจตัดสินใจในการเก็บรวบรวม ใช้งาน และเปิดเผย รวมไปถึงผู้ที่นำข้อมูลส่วนบุคคลมาประมวลผล ซึ่งเราจะแบ่งบุคคลเหล่านั้น ออกมาดังนี้

  • เจ้าของข้อมูล (Data Subject) คือ บุคคลที่เป็นเจ้าของและข้อมูลระบุไปถึง เช่น ลูกค้า ลูกจ้าง คนไข้
  • ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ
  • ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล

บทลงโทษเป็นอย่างไร

pdpa-punish

บทลงโทษหากไม่ปฏิบัติตาม PDPA ซึ่งตามกฎหมายมีบทลงโทษ 3 รูปแบบ คือ

  • โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

สิทธิของผู้บริโภคมีอะไรบ้าง?

pdpa-customer

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

เจ้าของธุรกิจต้องเตรียมตัวอย่างไร

entrepreneur-and-pdpa

1. ศึกษาข้อมูล PDPA และสร้างความเข้าใจให้กับทุกคนในองค์กร

เริ่มต้นเราต้องศึกษาข้อมูล และสร้างความเข้าใจให้กับทุกคนในองค์กร ได้เข้าใจและตระหนักถึงความสำคัญของกฎหมาย PDPA ที่จะเกิดขึ้นในปีหน้า ซึ่งทุกคนจำเป็นต้องรู้ว่ากฎหมายนี้มีข้อบังคับ ข้อกำหนด บทลงโทษ การนำข้อมูลไปใช้งาน รวมไปถึงข้อมูลส่วนบุคคลนั่นมีความเกี่ยวข้องกับเนื้องานของแต่ละคนอย่างไรบ้าง

ข้อมูลส่วนบุคคลดังกล่าวนี้ คือ ข้อมูลที่ระบุถึงตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกจัดเก็บทั้งแบบ Online และ Offline 

2. กำหนดบทบาทเมื่อ PDPA บังคับใช้

ต่อมาเราจำเป็นต้องกำหนดบทบาทมอบหมายความรับผิดชอบในแต่ละบุคคลออกดังนี้

  • ผู้ควบคุมข้อมูล (Data Controller) : บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล 
  • ผู้ประมวลผล (Data Processor) : มีบทบาท บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” *ต้องเป็นคนละคนกับผู้ควบคุม
  • หากมีการเก็บข้อมูลจำนวนมาก จำเป็นต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO(Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษา ตรวจสอบ ประสานงานกับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย

3. จัดทำ Privacy Policy 

หากคุณมีเว็บไซต์ แอปพลิเคชัน และใช้ Third-party ในการเก็บข้อมูล ลงทะเบียน หรือเชื่อมต่อกับช่องทางโซเชียลมีเดีย จำเป็นต้องจัดทำ Privacy Policy เพื่อขอความยินยอมในการให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน ซึ่งพวกเราอาจะคุ้นหน้าตาการแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ตรงด้านล่างเว็บไซต์ ส่วน Third Party ก็ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วยเช่นกัน

ในการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ผ่าน Privacy Policy บนเว็บไซต์ แอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ มีดังนี้

  • แจ้งขอความยินยอมผ่านกระดาษ หรือระบบออนไลน์ก็ได้
  • แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
  • แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ ทำได้ง่าย และมีการแจ้งถึงผลกระทบ
  • ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม

4. การปฎิบัติตามกฎหมาย PDPA

  1. การเก็บข้อมูล ต้องทำการเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 
  2. เก็บข้อมูลเท่าที่จำเป็น ต้องชอบด้วยกฎหมาย และต้องทำการลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
  3. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 
  4. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ 
  5. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ 

5. มีมาตราการรักษาความปลอดภัยของข้อมูล 

เราต้องมีมาตรการการรักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.หลังจากที่ทราบเหตุ

สรุป PDPA คือ อะไร?

PDPA เป็นเรื่องที่ใกล้ตัวนักการตลาดออนไลน์มากกว่าที่ทุกคนคิด ไม่ว่าจะในฐานะผู้ใช้ข้อมูล หรือเจ้าของข้อมูล โดยเฉพาะหากคุณเป็นผู้ควบคุมข้อมูลส่วนบุคคล ควรศึกษา และทำความเข้าใจให้ละเอียด ทั้งนี้ก็เพื่อช่วยให้คุณสามารถปฎิบัติตามกฎหรือไม่ทำผิดกฎได้  หรือ หากยังมีข้อสงสัยสามารถปรึกษาผู้เชี่ยวชาญด้านกฎหมาย เพื่อหลีกเลี่ยงกรณีการโดนฟ้องร้องได้ 

ขอบคุณข้อมูลจาก

https://www.scb.co.th
https://techsauce.co
https://pdpa.pro

Leave a Reply

Your email address will not be published. Required fields are marked *