เมื่อ Data Marketing กลายเป็นกลยุทธ์หลักเพื่อใช้ในการตีตลาดของทุกบริษัท ข้อมูลของลูกค้ากลายเป็นสิ่งสำคัญ ที่สามารถระบุทิศทางของอนาคตบริษัทได้ ทำให้เกิดปัญหาในกรณีที่บางบริษัทได้นำข้อมูลส่วนตัวของลูกค้าไปใช้หาผลประโยชน์ เปิดเผยต่อที่สาธารณะ หรือแม้กระทั่งนำข้อมูลของเราไปขายต่อกับบริษัทอื่น โดยที่เจ้าของข้อมูลไม่ได้ยินยอมให้ทางบริษัทนั้นเข้ามาเก็บข้อมูลเพื่อใช้ในวาระอื่น ๆ ถือว่าเป็นการละเมิดสิทธิส่วนบุคคล ที่หลายธุรกิจในสมัยก่อนนิยมทำกันและทำการเอาผิดได้ยาก แต่ในปัจจุบันได้มีกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั่นก็คือ Personal Data Protection Act หรือ PDPA เข้ามาเพื่อช่วยควบคุมและป้องกันเหตุการณ์ดังกล่าว
Personal Data Protection Act หรือ PDPA คืออะไร
กฎหมาย Personal Data Protection Act หรือ PDPA เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่น การควบคุมไม่ให้องค์กรนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอม เช่น เปิดเผยข้อมูลของเราในที่สาธารณะ หรือนำข้อมูลของเราไปขายให้กับบริษัทอื่น เช่น มีบริษัทประกัน A โทรมาขายประกันเรา ทั้ง ๆ ที่เราไม่เคยให้ข้อมูลเบอร์โทรศัพท์ให้ เพราะทางบริษัทเจ้าหนึ่งมีเบอร์โทรศัพท์คุณ และนำเบอร์ของคุณไปขาย เพื่อให้บริษัทประกัน A โทรมาขายของกับเรา
ทั้งนี้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทบาทในการคุ้มครองสิทธิที่ควรมีต่อข้อมูลส่วนบุคคลของเราเอง รวมไปถึงสร้างมาตรฐานของบุคคลหรือนิติบุคคลในการเก็บข้อมูลส่วนบุคคล รวบรวมข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตาม มีบทลงโทษตามกฎหมาย ทั้งโทษทางอาญา โทษทางแพ่ง และโทษทางปกครอง
รายละเอียดของ PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีอะไรบ้าง
รายละเอียดความคุ้มครองของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นั้นมีรายละเอียดค่อนข้างเยอะ แต่เราจะสรุปความคุ้มครองที่ พ.ร.บ. นี้ให้สิทธิของเจ้าของข้อมูลส่วนบุคคล ดังนี้
สิทธิได้รับการแจ้งให้ทราบ
ทางองค์กรหรือในเว็บไซต์จะต้องแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยจะต้องมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลอะไรบ้าง วัตถุประสงค์ในการเก็บข้อมูล ต้องการนำข้อมูลไปใช้หรือส่งต่อให้ใคร วิธีเก็บข้อมูลเป็นอย่างไร หรือจะเก็บข้อมูลเรานานแค่ไหน เป็นต้น
สิทธิการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล จะมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น
สิทธิคัดค้านการเก็บ หรือ เปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บข้อมูล และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งสามารถแจ้งสิทธิคัดค้านเมื่อใดก็ได้
สิทธิขอให้ลบหรือทำลาย
กรณีที่ผู้เก็บข้อมูลเปิดเผยข้อมูลส่วนบุคคลต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้เก็บข้อมูลจะต้องรับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่าย
สิทธิในการเพิกถอนความยินยอม
หากเจ้าของข้อมูลเคยยินยอมการใช้ข้อมูลไปแล้ว แต่ต่อมาต้องการยกเลิกก็สามารถทำเมื่อใดก็ได้ และการยกเลิกจะต้องทำได้ง่ายเหมือนกับตอนที่เจ้าของข้อมูลให้ความยินยอม
สิทธิขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นกรณีที่เกิดการเปลี่ยนใจ หรือต้องการให้ทำลายข้อมูลเมื่อครบกำหนด ก็สามารถทำได้
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นข้อมูลปัจจุบัน และไม่ก่อให้เกิดความผิดได้
สิทธิในการขอโอนข้อมูลส่วนบุคคล
นกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้กับผู้เก็บข้อมูลรายหนึ่ง ไปใช้กับผู้เก็บข้อมูลอีกราย เจ้าของข้อมูลสามารถแจ้งให้ผู้เก็บข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้กับเจ้าของข้อมูลเอง หรือส่งตรงไปให้กับผู้เก็บข้อมูลรายอื่นโดยตรงได้เช่นกัน
ความสำคัญของกฎหมาย PDPA
PDPA คือ กฎหมายสำคัญที่ปกป้องสิทธิความเป็นส่วนตัวในยุคดิจิทัล โดยมอบอำนาจให้ประชาชนมีสิทธิ์จัดการข้อมูลส่วนบุคคลของตนเองได้อย่างเต็มที่ ไม่ว่าจะเป็นการให้ความยินยอมในการจัดเก็บ การเข้าถึง การแก้ไข หรือแม้แต่การขอลบข้อมูล ด้วยเหตุนี้ส่งผลให้องค์กรต้องปรับเปลี่ยนกระบวนการจัดการข้อมูลครั้งใหญ่ โดยเฉพาะข้อมูลของลูกค้าและพนักงาน เพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมายที่อาจส่งผลกระทบรุนแรงต่อองค์กรและธุรกิจของคุณได้ ดังนั้นการปฏิบัติตามกฎหมาย PDPA จึงไม่ใช่เพียงการทำตามกฎหมาย แต่ยังเป็นการแสดงความรับผิดชอบต่อผู้มีส่วนได้ส่วนเสียทุกฝ่าย และสร้างความน่าเชื่อถือให้กับองค์กรในระยะยาวอีกด้วย
5 ขั้นตอนการปฏิบัติตาม PDPA
1. เก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA มีทั้งหมด 3 องค์ประกอบสำคัญที่องค์กรต้องดำเนินการให้ครบถ้วน ได้แก่
- การจัดทำ Privacy Policy ทุกองค์กรจำเป็นต้องจัดทำนโยบายความเป็นส่วนตัวที่ชัดเจนและเข้าใจง่าย โดยระบุประเภทข้อมูลที่จัดเก็บ วัตถุประสงค์การใช้งานและสิทธิของเจ้าของข้อมูลในการถอนความยินยอม ซึ่งสามารถแจ้งผ่านหลายช่องทาง เช่น เว็บไซต์ แอปพลิเคชันหรือแพลตฟอร์มโซเชียลมีเดีย
- การจัดการคุกกี้และบุคคลที่สาม นอกเหนือจาก Privacy Policy องค์กรต้องขอความยินยอมในการจัดเก็บคุกกี้ผ่าน Cookie Consent Banner และต้องระบุการใช้งานข้อมูลโดยบุคคลที่สาม เช่น แพลตฟอร์มโฆษณาหรือการตลาดให้ชัดเจนในนโยบายความเป็นส่วนตัว
- การจัดการข้อมูลพนักงาน สำหรับข้อมูลภายในองค์กร ต้องจัดทำ HR Privacy Policy แยกต่างหาก โดยแจ้งให้พนักงานเก่าทราบผ่านเอกสารใหม่ ส่วนพนักงานใหม่ต้องระบุในเอกสารสมัครงานและสัญญาจ้างให้ครบถ้วน
2. การประมวลผลข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องดำเนินการไปอย่างรอบคอบและเป็นระบบ โดยทุกฝ่ายในองค์กรต้องร่วมกันกำหนดแนวทางปฏิบัติมาตรฐาน (Standard Operating Procedure) และจัดทำบันทึกกิจกรรมการประมวลผล (Records of Processing Activity: ROPA) ให้ครอบคลุมข้อมูลทุกประเภท ตั้งแต่ข้อมูลทั่วไปไปจนถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive data) เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์หรือความเชื่อทางศาสนา เป็นต้น
3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
มาตรการด้านรักษาความปลอดภัยข้อมูลส่วนบุคคลตามกฎหมาย PDPA ที่เป็นไปตามมาตรฐานขั้นต่ำ (Minimum Security Requirements) ได้แก่ การรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) การดูแลให้ข้อมูลพร้อมใช้งาน (Availability) โดยจะครอบคลุมมาตรการการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ตามประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เพื่อกำหนดนโยบายระยะเวลาการจัดเก็บและทำลายข้อมูล (Data Retention) ไปจนถึงควบคุมการเข้าถึงและใช้งานข้อมูล (Access Control) เพื่อป้องกันการรั่วไหลของข้อมูลที่อ่อนไหว
4. การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
เนื่องจากพ.ร.บ. PDPA เป็นกฎหมายที่เข้ามาช่วยคุ้มครองข้อมูลส่วนบุคคล ดังนั้นการส่งหรือเปิดเผย Sensitive Data จึงจำเป็นต้องทำสัญญาหรือมีข้อตกลง เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ทั้งนี้การเปิดเผยข้อมูลก็จำเป็นต้องมีกระบวนการรับคำร้องจากเจ้าของข้อมูลอีกด้วย
5. กำกับดูแลข้อมูลส่วนบุคคล
การกำกับดูแลข้อมูลส่วนบุคคลในประเทศไทยอยู่ภายใต้การดูแลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรที่ดำเนินธุรกิจในประเทศไทยและมีการจัดเก็บข้อมูลส่วนบุคคลจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO) เพื่อทำหน้าที่ตรวจสอบและดูแลการจัดการข้อมูลให้เป็นไปตามมาตรฐาน โดย DPO จำเป็นต้องมีความรู้ทั้งด้านกฎหมาย PDPA และเทคโนโลยี เพื่อให้สามารถกำกับดูแลความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ
สรุปบทความ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA คือกฎหมายที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ที่ทางรัฐได้มุ่งเน้นให้ความสำคัญและทำให้หลายองค์กรต้องหันมาให้ความสนใจเรื่องนี้กันมากขึ้น โดยเฉพาะภาครัฐและหน่วยงานราชการต่าง ๆ ด้วยเหตุนี้ Ditto จึงได้พัฒนา ระบบจัดการเอกสาร อบต. และ อบจ. อย่างต่อเนื่อง เพราะมุ่งเน้นถึงความสำคัญของข้อมูลส่วนบุคคลของผู้ใช้งานทุกคน เพื่อการรักษาความปลอดภัยของข้อมูลที่มีประสิทธิภาพ ป้องกันข้อมูลรั่วไหล ช่วยปรับให้ทุกการดำเนินงานด้านเอกสารสะดวก รวดเร็ว รัดกุม ตอบโจทย์การบริหารราชการ และเป็นที่ไว้วางใจจากประชาชนได้
สามารถติดต่อสอบถามรายละเอียด ระบบระบบจัดการเอกสาร อบต. และ อบจ. เพิ่มเติม
📞 02-517-5555
Line ID: @dittothailand
