มาทำความรู้จัก PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลให้มากขึ้น !
สวัสดีค่ะทุกคน ในช่วงที่ผ่านมาหลายๆคนคงเคยได้ยิน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA หรือที่ย่อมาจาก Personal Data Protection Act ที่ได้ถูกประกาศออกมาเมื่อปี 2562 แต่ด้วยสถานการณ์หลายๆอย่างในปัจจุบันที่ทำให้ต้องเลื่อนมาบังคับใช้ในปีนี้ ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิ.ย. 2565 นี้นี่เอง
จึงเป็นที่มาของ Blog ในวันนี้ค่ะ ตั้งใจอยากจะพาทุกคนมาทำความรู้จัก PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลให้มากขึ้นค่ะ
ก่อนอื่นเรามาดูกันว่า ที่มาของ PDPA มาจากไหนกัน?
ต้องขอบอกว่ากฎหมาย PDPA ถูกถอดแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์หลักของกฎหมายทั้ง 2 ฉบับ ก็คือป้องกันไม่ให้ผู้ประสงค์ร้ายทำการขโมยข้อมูลหรือละเมิดข้อมูลความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูลเรานั่นเอง
แล้วทำไม PDPA ถึงมีความสำคัญ ?
พ.ร.บ. ฉบับนี้มีความสำคัญเป็นอย่างมากค่ะ เพราะเราทุกคนอยู่ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วย “ข้อมูล” ซึ่งเปรียบเสมือนหัวใจสำคัญสำหรับการทำธุรกิจในปัจจุบัน ดังนั้นในหลาย ๆ องค์กรจึงมีการเก็บ รวบรวม มีการเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานมากขึ้น เพราะในปัจจุบันข้อมูลส่วนบุคคลถือว่าเป็นอีกหนึ่งสินทรัพย์ที่มีมูลค่าเป็นอย่างมาก หากมีเหตุการณ์ที่ข้อมูลรั่วไหลออกไป ก็จะมีผลกระทบทั้งด้านการเงินที่ต้องสูญเสีย หรือสูญเสียเวลาที่ต้องมีการดำเนินคดี และยังส่งผลกระทบต่อความปลอดภัยของเจ้าของข้อมูล (Data Subject) ด้วยเหตุผลนี้เอง บทความนี้จะมาทำให้ทุกคน และ องค์กรธุรกิจเข้าใจทุกสิ่งที่จำเป็นต้องรู้เกี่ยวกับ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล)
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA คืออะไร ?
PDPA (Personal Data Protection Act) ก็คือ เกิดขึ้นมาเพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด จะมีผลกับทั้งบุคคลธรรมดา และนิติบุคคลที่อยู่ในไทย และในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย โดยสำหรับผู้ที่ละเมิดข้อกฎหมายดังกล่าวจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทนอีกด้วย
คำนิยามสำคัญข้อมูลของกฎหมายนี้ ประกอบด้วย
1. ข้อมูลส่วนบุคคล (Personal Data) : เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย เป็นต้น
2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) : เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ
3. เจ้าของข้อมูลส่วนบุคคล (Data Subject) : คือ ประชาชนทุกคน หากเป็นหน่วยงานทั่วไปก็หมายถึง ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวอีกนัยคือเป็นบุคคลที่ข้อมูลชี้ไปถึง แต่ไม่รวมถึงคนตายและนิติบุคคล *ทั้งนี้เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น
4. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) : หน่วยงาน / องค์กร / สถาบัน ที่กำหนดวัตถุประสงค์ วิธีการประมวลผล และใช้ประโยชน์จากข้อมูลส่วนบุคคล บุคคลธรรมดาก็อาจเป็นผู้ควบคุมข้อมูลได้เช่นเดียวกัน
5. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : ผู้ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยหลักคือ Outsource ที่รับจ้าง *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน / องค์กร / สถาบัน
6. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) : คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำหรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน / องค์กร / สถาบัน ให้เป็นไปตามกฎหมาย
PDPA ให้สิทธิ์กับเจ้าของข้อมูล (Data Subject) ดังนี้
· สิทธิ์ที่จะได้รับแจ้งข้อมูล
· สิทธิ์ในการขอแก้ไข
· สิทธิ์ในการขอเข้าถึง
· สิทธิ์ในการคัดค้าน
· สิทธิ์ในการลบหรือทำลาย
· สิทธ์ในการขอระงับการใช้
· สิทธิ์ในการเพิกถอนความยินยอม
· สิทธิ์ในการขอรับหรือขอให้โอนถ่ายข้อมูล
หน้าที่ของผู้ควบคุมข้อมูล หรือ องค์กร หน่วยงานธุรกิจ จะต้องดำเนินการ มีดังนี้
ทุกคนลองคิดตามนะคะ หากองค์กรหรือหน่วยงานต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคลไว้นั้น จำเป็นต้องดำเนินการตามหลักของ PDPA ให้ถูกต้องคือควรมีเอกสารและแบบฟอร์มต่างๆ ทำเพื่อต้องแจ้งวัตถุประสงค์ขอเก็บข้อมูลจากเจ้าของข้อมูล (Consent) รวมไปถึงต้องเตรียมช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิ์ตาม PDPA ได้ และนี่คือสิ่งสำคัญที่หลักตัว พ.ร.บ. ได้กำหนดไว้ คือต้องทำให้เอกสารต่างๆ หรือ Consent form มีความเข้าใจได้ง่าย ไม่ก่อให้เกิดความเข้าใจผิด และต้องไม่แอบแฝงนัยยะหรือเงื่อนไขอื่นๆในเอกสาร ดังนั้นสิ่งที่องค์กรหรือหน่วยงานต่างๆ ควรต้องเตรียมและให้ความสำคัญมีดังต่อไปนี้
1. บันทึกกิจกรรมการประมวลผลของข้อมูลส่วนบุคคล หรือ Record of Processing (ROP) : แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล ซึ่งเป็นเอกสารที่จะบอกว่าองค์กรที่จัดเก็บข้อมูลส่วนบุคคลไว้ที่ไหน อย่างไรบ้าง นำไปใช้งานอย่างไร มีวัตถุประสงค์คืออะไร และใครคือผู้เกี่ยวข้องกับข้อมูลบ้าง เพื่อให้ตรงตามข้อกำหนดของ พ.ร.บ. และเพื่อให้เป็นการทำให้ตรวจสอบได้ และต้องการทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลด้วยเช่นกัน
2. แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล : จะเป็นแบบฟอร์มแจ้งเตือนหากเกิดการรั่วไหลของข้อมูลส่วนบุคคล ทางบริษัทจะต้องมีหน้าที่ในการจัดเตรียมช่องทางให้เจ้าของข้อมูลสามารถยื่นคำร้องได้ ขอใช้สิทธิดังกล่าวได้ไม่ว่าจะเป็นช่องทางใด ๆ ก็ตาม โดยองค์กรจะต้องมีหน้าที่ต้องดำเนินการตามคำร้องขอภายใน 30 วันหลังจากได้รับคำขอจากเจ้าของข้อมูล
3. แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner นโยบายความเป็นส่วนตัว : สำหรับเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งานจะเห็นได้ว่าหลายๆเว็บไซต์เริ่มที่จะมีการเก็บ Cookie กันบ้างแล้ว กล่าวได้คือหน้าเว็บไซต์จำเป็นที่จะต้องมีแบนเนอร์ด้วยถือเป็นสิ่งสำคัญ เพื่อที่จะต้องขอความยินยอมการใช้คุกกี้ ต้องแจ้งผู้ใช้งานทราบด้วยตั้งแต่เว็บไซต์มีการใช้คุกกี้ เพื่อเก็บข้อมูล ต้องแจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บคืออะไร ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอม หรือไม่ยินยอมที่จะให้เก็บข้อมูลส่วนใดบ้าง เป็นต้น
4. แบบฟอร์มแจ้งเตือนเมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล : หากมีเหตุการณ์ที่ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลเกิดขึ้น องค์กรจำเป็นต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลด้วย โดยต้องแจ้งรายละเอียดคือ สถานการณ์ที่เกิดขึ้นทั้งหมดว่ามีจุดไหนบ้าง ต้องแจ้งเรื่องจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล และต้องประเมินผลกระทบที่อาจจะเกิดขึ้นด้วย ไปจนถึงต้องระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายอีกด้วย
5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy : องค์กรหรือหน่วยงานที่ให้บริการต้องทำ Privacy Policy หรือนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการด้วย จำเป็นต้องระบุรายละเอียด เงื่อนไขทั้งหมดว่าจะเก็บข้อมูลอะไรบ้าง จะนำไปประมวลผลใช้งานอย่างไรบ้าง ระยะเวลาในการจัดเก็บนานเท่าไหร่ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูลเป็นอย่างไร ไปจนถึงช่องทางติดต่อบริษัทต้องแจ้งให้ชัดเจน กล่าวคือเป็น “ผู้ควบคุมข้อมูล” (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer) เป็นต้น
ประโยชน์ของการดำเนินการตาม พ.ร.บ. คุ้มครงข้อมูลส่วนบุคคล
ว่าด้วยเรื่องประโยชน์ที่จะเกิดขึ้นของการดำเนินการตาม พ.ร.บ. นี้ หากมองในหลายมุมมองแล้วจะเห็นได้ว่าประโยชน์ไม่ได้ตกอยู่แค่องค์กรหรือหน่วยงานที่เก็บข้อมูลส่วนบุคคลเท่านั้น แต่ยังเกิดประโยชน์กับหลายๆ ภาคส่วนเลยก็ว่าได้ เช่น ประโยชน์ให้กับทั้งประชาชนทั่วไปหรือเจ้าของข้อมูล ประโยช์ให้กับองค์กร หน่วยงานธุรกิจภาคเอกชนต่างๆ และยังรวมไปถึงหน่วยงานภาครัฐอีกด้วย ซึ่งประโยชน์ของการดำเนินการตาม พ.ร.บ. นี้ ในแต่ละภาคส่วนเราได้แยกออกมาให้เห็นในแต่ละภาคส่วน ดังนี้
ภาคประชาชน
1. ประชาชนมีความมั่นใจกับองค์กรหรือหน่วยงานว่าข้อมูลส่วนบุคคลถูกเก็บไว้อย่างปลอดภัย
2. ลดความเสียหายจากการละเมิดข้อมูลส่วนบุคคลของประชาชน
3. ประชาชนมีสิทธิที่จะทราบว่าองค์กรหรือหน่วยงานเก็บข้อมูลส่วนบุคคลไว้เพื่ออะไร วัตถุประสงค์การจัดเก็บใช้/เผยแพร่ข้อมูลคืออะไร
4. ประชาชนมีสิทธิอนุญาต/ไม่อนุญาต/ถอนความยินยอมให้จัดเก็บข้อมูลขอให้ลบ/ระงับได้
5. ประชาชนมีสิทธิที่จะขอค่าสินไหมทดแทนได้หากข้อมูลถูกใช้งานผิดจากวัตถุประสงค์ที่แจ้ง
ภาคธุรกิจ
1. องค์กรมีความเชื่อมั่นในสายตาประชาชนหรือผู้ใช้บริการมากขึ้นว่ามีมาตรฐานจัดเก็บรักษาข้อมูลเป็นอย่างดี
2. เพิ่มขีดความสามารถและโอกาสให้กับองค์กรในการทำธุรกิจ
3. แสดงให้เห็นว่าองค์กรมีกระบวนการทำงาน กลไก ที่มีประสิทธิภาพในการให้บริการแก้ประชาชนผู้ใช้งาน
4. ส่งเสริมภาพลักษณ์องค์กรในสายตาประชาชนและสายตาคู่ค้า และการแข่งขันในตลาด
ภาครัฐ
1. ทำให้เห็นหน่วยงานภาครัฐมีมาตรฐานด้านกฎหมายที่ทัดเทียมกับต่างประเทศ มีความโปร่งใสในการให้บริการแก้ประชาชน
2. ทำให้หน่วยงานภาครัฐมีมาตรฐานการกำกับดูแลข้อมูลส่วนบุคคลในรูปแบบที่ถูกต้อง และเป็นไปตามกฎหมาย
3. หน่วยงานภาครัฐมีธรรมาภิบาลด้านการคุ้มครองข้อมูล
4. การดำเนินการตาม พ.ร.บ. ยังส่งเสริมภาพลักษณ์ให้กับประเทศอีกด้วย
มาถึงตรงนี้แล้ว หวังว่าทุกๆคนจะเข้าใจในตัวกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมากขึ้น ว่าใจความสำคัญหลักๆแล้ว คือต้องการให้ความปกป้อง คุ้มครองกับเจ้าของข้อมูลของประชนทั่วไปท่ามกลางยุคที่ธุรกิจดำเนินด้วยเทคโนโลยี ที่ต้องมีการพัฒนาธุรกิจแบบไม่หยุดยั้ง และได้มีการเก็บรวบรวมข้อมูลของเราไปโดยไม่มีการขออนุญาต จึงเป็นที่มาของ พรบ.ตัวนี้นั่นเอง
และ blog หน้าจะเป็นเรื่องอะไร เพื่อนๆสามารถติดตามได้ที่ https://www.facebook.com/SRSIntegration เลยค่า และหากอยากรู้ว่าพวกเรามีบริการอะไรบ้างจิ้มๆ link นี่เลยค่า https://www.srsi.co.th/ ^_^
