- AI Tools, Cyber Security, Featured, Free Training Course, Online course, Services, Webinars
สรุป PDPA คืออะไร ฉบับเข้าใจง่าย พร้อมแนะแนว
PDPA คืออะไร ?
PDPA คือการปฏิบัติตามกฎอัยการสูงสุดซึ่งอาจสร้างมาเพื่ออ้างถึงทุกคนที่มีการเผยแพร่และนำไปใช้โดยไม่ได้แจ้งให้ทราบและมีการเผยแพร่ความจากเจ้าของข้อมูลเสียก่อน
เพื่อคุ้มครองสุขภาพ พ.ศ. พ.ศ. 2562 (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล: PDPA) นั่นคือกฎหมายใหม่ออกมาเพื่อแก้ไขปัญหาที่ถูกพูดถึงที่ต่อเนื่องเป็นเวลานานๆ จนถึงปัจจุบัน หมายถึงข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่นๆ โดยที่เจ้าของข้อมูลไม่เก็บข้อมูล ที่มักจะพบได้มากในคืนนี้มาโฆษณาหรือล่อลวง
โดยกฎหมายจะเริ่มดำเนินการอย่างเป็นทางการอีกครั้ง 1 มิ.ย. 2565 เป็นกฎหมายที่อาจต้องใช้เวลาเช่นชื่ออีเมล เบอร์โทรศัพท์ซึ่งอาจมีอีเมล ไอดีไลน์หมายเหตุของเว็บไซต์ต่างๆ สืบค้นสุขภาพ เป็นต้น ซึ่งข้อมูลบางอย่างสามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้อาจเป็นไปได้ เอกสารข้อมูลในรูปแบบหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
PDPA มีความเป็นมาอย่างไร ?
กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
PDPA สำคัญอย่างไร ?
ใน PDPA หมายถึงเจ้าของข้อมูลสิทธิในข้อมูลส่วนตัวของสถานที่ไปแล้ว หรือกำลังดำเนินการเพื่อสร้างความปลอดภัยส่วนบุคคลให้แก่เจ้าของข้อมูลโดยผู้มีสิทธิสำคัญคือสิทธิการประพฤติและ ยิมยอมยึดถือข้อมูลส่วนตัวและสิทธิในการขอเข้าถึงข้อมูลส่วนตัวและส่วนใหญ่จะถอนการเก็บและนำข้อมูลการควบคุมและสิทธิขอให้ลบหรือทำลายความเป็นส่วนตัว
พฤติกรรมของเจ้าของข้อมูลส่วนใหญ่เป็นผู้ประกอบการในองค์กรและบริษัทต่าง ๆ เป็นประจำและนำข้อมูลส่วนตัวของเจ้าของข้อมูลและลูกค้าพนักงานในองค์กรหรือบุคคลใด ๆ ที่เกี่ยวข้องให้ปฏิบัติตามหลักปฏิบัติ ของ PDPA พ.ร.บ.คุ้มครองทรัพย์สิน
โดยระบบเป็นผู้ประกอบการหรือองค์กรที่ดำเนินการเรื่อง PDPA วันนี้เราเปลี่ยนความต้องการของกฎหมายเพื่อให้กฎหมาย PDPA กัน
ตรวจสอบข้อมูลเพื่อตรวจสอบข้อมูลนำข้อมูลระบบควบคุมและดูแลข้อมูลส่วนบุคคคลของลูกค้าและบุคคลนั้นจะต้องดำเนินการตามขั้นตอนในการดำเนินการโดยด่วนเนื่องจากใน ในที่สุดประเทศไทยก็เริ่มได้อีกครั้ง พ.ร.บ. PDPA แล้วไม่ต้องดำเนินการตามคำสั่งของ PDPA เราต้องรับโทษที่สำคัญทั้งทางแพ่งอาญาและเฝ้าระวัง
องค์ประกอบสำคัญของ PDPA
จะต้องปฏิบัติตามกฎข้อบังคับของ PDPA เพียงอย่างเดียวในการตรวจสอบ (หัวเรื่องข้อมูล) ทำหน้าที่ควบคุมการควบคุมข้อมูล (ผู้ควบคุมข้อมูล) โดยผู้ควบคุมดูแลการทำงานของสิ่งนั้นที่มีลักษณะเฉพาะของผู้บริหารระดับสูง การควบคุมดูแล และควบคุมข้อมูล… จำเป็นต้องมีที่ขอความความเชื่อ (ความยินยอม) จากเจ้าของข้อมูลเพื่อตรวจสอบอย่างสม่ำเสมอในการขายของออนไลน์พนักงานเจ้าหน้าที่เว็บไซต์ก็ขอข้อมูลทั้งชื่ออีเมล์เบอร์โทรศัพท์ข้อมูลการจ่ายเงินเพื่อให้ดำเนินการสั่งซื้อและ จัดส่งสินค้าไปยังที่อยู่ของข้อมูลเจ้าของ ซึ่ง PDPA จะได้ข้อมูลมาแล้ว จะต้องคำนึงถึงมาตรการสอบสวนข้อมูลด้วย
ขั้นตอนการทำตาม PDPA ต้องทำอย่างไร ?
STEP 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย
2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
3. การเก็บข้อมูลพนักงานสำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง
STEP 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
สิ่งที่ควรทำ
- แอด Line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
- ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
- ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
- ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
- การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
- รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า
STEP 3 มาตรฐานการด้านความปลอดภัยของข้อมูลส่วนบุคคล
- กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
- กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Retention)
- มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
STEP 4 การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
- ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
- ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
- มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
STEP 5 การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทยเพื่อการขายสินค้าหรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี เข้ามาดูแลและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย ทั้งนี้ขึ้นอยู่กับขนาดและประเภทของธุรกิจเป็นเกณฑ์ในการพิจารณาว่าควรแต่งตั้ง DPO หรือไม่ ?
และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี หากคุณยังมีข้อสงสัยเกี่ยวกับ DPO คือใคร ทำหน้าที่อะไรบ้าง และจำเป็นต่อองค์กรของคุณหรือไม่ ทำหน้าที่อะไรบ้าง
ตอนนี้ถึงเวลาแล้วที่องค์กรต่าง ๆ จะต้องปฏิบัติตาม PDPA อย่างเคร่งครัด หากคุณกำลังมองหาตัวช่วยในการเริ่มกระบวนการ PDPA ไม่ว่าจะเป็นการสร้างนโยบายความเป็นส่วนตัว การสร้างแบนเนอร์ขอความยินยอมในการเก็บข้อมูล หรืออยากเรียนรู้เกี่ยวกับ PDPA เพิ่มเติม เราพร้อมช่วยคุณอย่างมืออาชีพ
บทความอื่นๆ ที่เกี่ยวข้อง
- Cyber Security, Featured, Free Training Course, Online course, Services, Webinars
- Cyber Security, Featured, Free Training Course, Online course, Services, Webinars
- Cyber Security, Featured, Free Training Course, Online course, Services, Webinars