t-reg PDPA Platform

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

understand PDPA in 5 Min

เนื้อหาในบทความ

          PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะถึงบังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2565 (ถ้าปีนี้ไม่ถูกเลื่อน)

          ดังนั้น พ.ร.บ. ฉบับนี้จึงมีความสำคัญเป็นอย่างมาก ในหลาย ๆ องค์กรที่มาการเก็บ รวบรวม และ ใช้ข้อมูลส่วนบุคคล เพราะในปัจจุบันข้อมูลส่วนบุคคลถือว่าเป็นอีกหนึ่งสินทรัพย์ที่มีมูลค่า ทั้งด้านการเงิน ที่ต้องสูญเสียถ้าหากข้อมูลรั่วไหล และความปลอดภัยของเจ้าของข้อมูล (Data Subject) ซึ่งในบทความนี้จะทำให้คุณได้เข้าใจทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล)

What is พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

          สรุปง่าย ๆ เลยนะครับ PDPA (Personal Data Protection Act) คือ ข้อบังคับสำหรับองค์กรที่จัดเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล โดยจุดมุ่งหมายที่สำคัญในตัวกฎหมายฉบับนี้ จะเป็นการจัดการแนวทางการเก็บข้อมูลส่วนบุคคล พร้อมทั้งยกระดับความปลอดภัยในการเก็บข้อมูล

          ในด้านเจ้าของข้อมูลส่วนบุคคล (Data Subject) กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะทำให้มีสิทธ์ิในการเข้าถึงข้อมูลของตัวเอง สามารถเปลี่ยนแปลง และลบข้อมูลของตัวเองได้ ซึ่งจะเป็นการยกระดับกฎหมาย ให้ตามทันในยุคดิจิทัลที่มี การเก็บข้อมูลส่วนบุคคลจนเป็นเรื่องปกตินั่นเอง

รายละเอียดข้อบังคับ PDPA

  • การขออนุญาตเก็บข้อมูล

    การขออนุญาตข้อมูลส่วนบุคคลจากเจ้าของข้อมูลนั้นจะต้องมีเงื่อนไขการยินยอมที่ชัดเจน ซึ่งหมายความว่าจุดประสงค์ของการขอเก็บข้อมูลต้องเข้าใจได้ง่าย มีการกำหนดระยะเวลาการเก็บข้อมูล มีช่องที่เหมาะสมสำหรับการติดต่อ DPO ให้ชัดเจน เพื่อไม่ให้เจ้าของข้อมูลเกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถถอน หรือลบเมื่อไหร่ก็ได้

  • ระยะเวลาในการแจ้งเตือนหากว่ามีข้อมูลส่วนบุคคลรั่วไหล

    หาก Data Subject ขอสำเนาข้อมูลของตนในองค์กรจะต้องออกแบบ ฟอร์ม หรือระบุช่องทางการขอข้อมูลที่มีรายละเอียดครบถ้วน ในส่วนนี้องค์กรต้องส่งข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับเจ้าของข้อมูล รวมถึงวิธีต่าง ๆ  ที่คุณใช้ข้อมูลของเจ้าของข้อมูลด้วย

  • สิทธิ์ในการขอลบข้อมูลของเจ้าของข้อมูล

    เมื่อข้อมูลส่วนบุคคลมีการใช้งานจนบรรลุวัตถุประสงค์ หรือครบระยะเวลาในการเก็บแล้ว ผู้ควบคุมข้อมูล (Data Controller) จะต้องทำการลบข้อมูลส่วนบุคคลทั้งหมดตามที่ระบุไว้ใน Consent ขออนุญาตเก็บข้อมูล อีกทั้งเจ้าของข้อมูลมีสิทธิ์ที่จะขอลบข้อมูลเมื่อไหรก็ได้

  • สิทธิ์ในถ่ายโอน หรือเลือกใช้ข้อมูลส่วนบุคคล

    เจ้าของข้อมูลส่วนบุคคล (Data Owner) สามารถให้สิทธิ์แก่องค์กรนำข้อมูลไปใช้กับอีกองค์กรในเครือได้โดยการใช้สิทธิ์นั้นจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิของผู้อื่น

  • ออกแบบระบบ และรูปแบบการเก็บข้อมูลที่มีความปลอดภัย

    ในตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดที่ว่า องค์กรที่มีการเก็บ ประมวลผล และใช้ข้อมูลส่วนบุคคลต้องมีระบบการเก็บข้อมูลที่มีประสิทธิภาพ และชัดเจน สามารถ Monitor และแจ้งเตือนหากมีการล่วง หรือละเมิดข้อมูลส่วนบุคคลได้

  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่มีศักยภาพ

    หากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลเป็นปริมาณมาก ๆ จำเป็นจะต้องมีตำแหน่ง DPO (Data Protection Officer) ไว้กำกับดูแลข้อมูลส่วนบุคคล ทั้งนี้ก็ใช่ว่าทุกองค์กรจะต้องมี DPO เสมอไป ขึ้นอยู่กับขนาดของข้อมูลที่เก็บ และกระบวนการภายใน

หากองค์กรไม่ Comply PDPA

จะเกิดอะไรขึ้นหากองค์กรที่คุณให้ข้อมูลไว้ไม่ Comply PDPA

          ตรงกันข้าม หากว่าองค์กรที่มีการเก็บข้อมูลส่วนบุคคลไม่ Comply พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งระบุโทษโดยตั้งแต่ปรับ 5 แสนบาท ไปจนถึง 1 ล้านบาทเลยทีเดียว ส่วนในด้านเจ้าของข้อมูลส่วนบุคคล ถ้าเกิดองค์กรที่ให้ข้อมูลไว้เกิดทำข้อมูลรั่วไหล และไม่ได้ Comply กฎหมายตัวนี้ ก็จะทำให้เสียหายทั้งทรัพย์สิน และทำให้ข้อมูลรั่วไหล

PDPA กระทบธุรกิจ

PDPA ส่งผลต่อธุรกิจของคุณอย่างไร

          กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะยกระดับความโปร่งใสในการรวบรวมการจัดเก็บและการใช้งานข้อมูลให้สามารถตรวจสอบได้ หากบริษัท ของคุณมีข้อมูลลูกค้าอยู่ในมือ คุณจะต้องปฏิบัติตามข้อบังคับเพื่อให้สอดคล้องกับ 7 ประเด็นข้างต้นรวมถึงรายละเอียดปลีกย่อยอื่น ๆ ทั้งหมด

          หากว่าองค์กรของคุณปฏิบัติตามกฎหมาย PDPA จะช่วยมาตรฐานด้านความปลอดภัยให้กับข้อมูลส่วนบุคคลมากขึ้น ทั้งในการตรวจสอบให้แน่ใจว่ากระบวนการปฏิบัติงานของคุณเป็นไปตามกฎหมาย อีกทั้งยังช่วยให้มั่นใจได้ว่าเทคโนโลยีที่มีอยู่ของคุณได้รับการออกแบบและปรับให้เหมาะสม 

          นอกจากเพื่อให้แน่ใจว่าองค์กรจะปฎิบัติตามข้อกำหนด อาจจะต้องจ้างเจ้าหน้าที่ Audit เพื่อช่วยตรวจสอบและจัดการกิจกรรมการเก็บ รวบรวมข้อมูล ซึ่งนี่จัดเป็นการลงทุนที่ดีที่จะทำให้เกิดความไว้วางใจ และความเชื่อมั่นในสายตาของลูกค้าผู้ให้ข้อมูลส่วนบุคคล (Data Owner) ของคุณได้

         ส่วนบริษัท ที่ละเมิด หรือไม่ Comply ตามข้อบังคับจะเริ่มถูกมองว่าขาดความน่าเชื่อถือในสายตาของสาธารณชนโดยเฉพาะอย่างยิ่ง หากโดนค่าปรับจากส่วนต่างกำไรเหล่านั้น จะทำให้องค์กรสูญเสียรายได้เป็นจำนวนมหาศาล

สรุป

       สุดท้ายนี้ กฎหมายเป็นเรื่องที่ใกล้ตัวที่ส่งผลกระทบด้านเจ้าของข้อมูลส่วนบุคคล และ องค์กรที่มีการเก็บรวบรวมข้อมูล อีกทั้งยังมีรายละเอียดปลีกย่อยอีกมาก โดยบทความนี้จะทำให้คุณจะเข้าใจพื้นฐานของกฎหมายตัวนี้ ดังนั้นคนที่เกี่ยวข้องในองค์กรหากต้องการ Comply กฎหมายดังกล่าวจะต้องศึกษาให้ละเอียดมากขึ้น

         โดยในตัวกฎหมายฉบับนี้ จะทำให้การปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ดีขึ้น และปรับปรุงขั้นตอนการจัดการข้อมูลลูกค้าภายในขององค์กร ประมวลผล หรือใช้ข้อมูลส่วนบุคคลได้อย่างปลอดภัย

         ซึ่งให้มองว่านี่เป็นโอกาสที่ดีที่จะช่วยปกป้องสิทธิข้อมูลของผู้บริโภคในโลกที่สามารถเข้าถึงได้มากขึ้น และเช่นเดียวกับที่ปกป้องผู้บริโภค เพื่อให้องค์กรสามารถนำข้อมูลมาใช้ได้อย่างมีประสิทธิภาพ และปลอดภัยยิ่งขึ้น

Share this post with your friends

Share on facebook
Share on google
Share on twitter
Share on linkedin

Recent Post