ทำความเข้าใจ PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทุกคนต้องรู้ สรุปแบบเข้าใจง่าย
PDPA คืออะไร ?
PDPA หรือเรียกเต็ม ๆ ว่า Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างขึ้นมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมไปถึงการจัดเก็บข้อมูลที่ไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกละเมิดข้อมูลส่วนบุคคลที่มีมากขึ้นเรื่อย ๆ ในปัจจุบัน ตัวอย่างเช่น การซื้อขายข้อมูลเบอร์โทรศัพท์ และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ได้ยินยอม มักพบได้มากในรูปแบบของการโทรมาโฆษณา หรือล่อลวง
กฎหมายนี้เริ่มมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสารกระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
ความเป็นมาของกฎหมาย PDPA
กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป มีวัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูล หรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์ทั้งจากตัวเจ้าของข้อมูล หรือจากบุคคลที่ดูแลข้อมูล
ความสำคัญของกฎมาย PDPA
ความสำคัญของกฎหมายของ PDPA คือ เจ้าของข้อมูลมีสิทธิ์ในข้อมูลสวนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัย และเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิ์ที่สำคัญ คือ สิทธิ์การรับทราบ และยินยอมการเก็บข้อมูลส่วนตัว และสิทธิ์ในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิ์ขอให้ลบ หรือทำลายข้อมูลส่วนตัว
สิทธิ์ที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กร และบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวลรวม และนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
หากองค์กรต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษา และดูแลความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า หรือบุคคลที่เกี่ยวข้อง องค์กรจะต้องดำเนินการตามขั้นตอนต่อไป เพราะขณะนี้ประเทศไทยเริ่มบังคับใช้ พ.ร.บ. PDPA แล้ว หากไม่ดำเนินการตามหลัก PDPA อาจจะต้องได้รับโทษร้ายแรง ทั้งทางแพ่ง และอาญา
ขั้นตอนการดำเนินการตาม PDPA
ขั้นตอนที่ 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
องค์กร หรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์ หรือแอพพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย
2. การจัดการเว็บไซต์ แอพพลิเคชัน และ Third-Party
นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์ หรือแอพพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็ต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไปมักแจ้งขอเก็บ Cookie เป็น Pop Up เล็ก ๆ ทางด้านล่างของเว็บไซต์
3. การเก็บข้อมูลพนักงาน
สำหรับการเก็บข้อมูลส่วนตัวของบุคคลของพนักงานก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงาน หรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่าให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง
ขั้นตอนที่ 2 การใช้ หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกันกำหนดแนวทาง หรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล และบันทึกข้อมูลรายการส่วนบุคคลที่มีการเก็บ หรือใช้ ทั้งข้อมูลที่จัดเก็บในระบบฐานข้อมูล ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งเป็นข้อมูลที่ระบุตัวตนได้เฉพาะเจาะจงมากขึ้น ตัวอย่างเช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุบภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (Face ID, ลายนิ้วมือ) รวมไปถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
ขั้นตอนที่ 3 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
สนใจบริการสแกนเอกสาร และบันทึกข้อมูล โทร.02-551-2097 กด 601
ขั้นตอนที่ 4 การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล
ขั้นตอนที่ 5 การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทยมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทยเพื่อการขายสินค้า หรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยีเข้ามาดูแล และตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย ทั้งนี้ขึ้นอยู่กับขนาด และประเภทของธุรกิจเป็นเกณฑ์ในการพิจารณาว่าควรแต่งตั้ง DPO หรือไม่
ที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคล และบุคลากรในองค์กรมีความรู้ ความเข้าใจ และปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี
สรุป
ตอนนี้ถึงเวลาแล้วที่องค์กรต่าง ๆ จะต้องปฏิบัติตาม PDPA อย่างเคร่งครัด หากคุณกำลังมองหาตัวช่วยในการ PDPA เกี่ยวกับการจัดเก็บข้อมูล รวมไปถึงการทำลายข้อมูล อย่างมืออาชีพเราพร้อมช่วยคุณ โทร. 02 551 2097 ต่อ 601
บริษัท แบง-อัพ โปรดักส์ ได้มุ่งเน้นการจัดการแก้ไขปัญหาเอกสารขององค์กรมาอย่างยาวนาน และให้ความสำคัญกับงานด้านเอกสาร เราได้รับการยอมรับจากองค์กรขนาดใหญ่ ขนาดกลาง ไปจนถึงขนาดเล็กมากมาย ยินดีให้คำปรึกษา และจัดการปัญหาด้านเอกสารให้องค์กรของคุณ