t-reg PDPA Platform

สรุป PDPA

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะถึงบังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ซึ่งใกล้เข้ามาแล้วนะครับ

ดังนั้น พ.ร.บ. ฉบับนี้จึงมีความสำคัญเป็นอย่างมากในหลาย ๆ องค์กรที่มาการเก็บ รวบรวม และ ใช้ข้อมูลส่วนบุคคล เพราะในปัจจุบันข้อมูลส่วนบุคคลถือว่าเป็นอีกหนึ่งสินทรัพย์ที่มีมุลค่า ทั้งด้านการเงินที่ต้องสูญเสียถ้าหากข้อมูลรั่วไหล และความปลอดภัยของเจ้าของข้อมูล (Data Subject) ซึ่งในบทความนี้ จะทำให้คุณได้เข้าใจทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยว PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล)

What is พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

what is PDPA

สรุปง่าย ๆ เลยนะครับ PDPA (Personal Data Protection Act) คือ ข้อบังคับสำหรับองค์กรที่จัดเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล

โดยจุดมุ่งหมายที่สำคัญในตัวกฎหมายฉบับนี้ จะเป็นการจัดการแนวทางการเก็บข้อมูลส่วนบุคคล พร้อมทั้งยกระดับความปลอดภัยในการเก็บข้อมูล

ในด้านเจ้าของข้อมูลส่วนบุคคล (Data Subject) กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้จะทำให้มีสิทธ์ิในการเข้าถึงข้อมูลของตัวเอง สามารถเปลี่ยนแปลง และลบข้อมูลของตัวเองได้

ซึ่งจะเป็นการยกระดับกฎหมาย ให้ตามทันในยุคดิจิทัลที่มี การเก็บข้อมูลส่วนบุคคลจนเป็นเรื่องปกตินั่นเอง

รายละเอียดข้อบังคับ PDPA

1.การขออนุญาตเก็บข้อมูล

การขออนุญาตข้อมูลส่วนบุคคลจากเจ้าของข้อมูลนั้นจะต้องมีเงื่อนไขการยินยอมที่ชัดเจน ซึ่งหมายความว่าจุดประสงค์ของการขอเก็บข้อมูลต้องเข้าใจได้ง่าย มีการกำหนดระยะเวลาการเก็บข้อมูล มีช่องที่เหมาะสมสำหรับการติดต่อ DPO ให้ชัดเจน เพื่อไม่ให้เจ้าของข้อมูลเกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถถอน หรือลบเมื่อไหร่ก็ได้

2. ระยะเวลาในการแจ้งเตือนหากว่ามีข้อมูลส่วนบุคคลรั่วไหล

หากเกิดการเกิดข้อมูลรั่วไหล องค์กรมีเวลา 72 ชั่วโมงในการรายงานการละเมิดข้อมูลให้ทั้งเจ้าของข้อมูลส่วนบุคคล (Data Subject) และหน่วยงานของรัฐทราบหาก บริษัท ของคุณมีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก องค์กรจำเป็นจะต้องใช้ Solution ในการตรวจจับ และควบคุมข้อมูล ตามกฎหมาย PDPA หากไม่มีการรายงานการละเมิดภายในกรอบเวลานี้ ก็จะทำให้มีโทษตามกฎหมาย

2. สิทธิ์ในการเข้าถึง และเปลี่ยนแปลงข้อมูล

หาก Data Subject ขอสำเนาข้อมูลของตนในองค์กรจะต้องออกแบบ ฟอร์ม หรือระบุช่องทางการขอข้อมูลที่มีรายละเอียดครบถ้วน ในส่วนนี้องค์กรต้องส่งข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับเจ้าของข้อมูล รวมถึงวิธีต่าง ๆ  ที่คุณใช้ข้อมูลของเจ้าของข้อมูลด้วย

3. สิทธิ์ในการขอลบข้อมูลของเจ้าของข้อมูล

เมื่อข้อมูลส่วนบุคคลมีการใช้งานจนบรรลุวัตถุประสงค์ หรือครบระยะเวลาในการเก็บแล้ว ผู้ควบคุมข้อมูล (Data Controller) จะต้องทำการลบข้อมูลส่วนบุคคลทั้งหมดตามที่ระบุไว้ใน Consent ขออนุญาตเก็บข้อมูล อีกทั้งเจ้าของข้อมูลมีสิทธิ์ที่จะขอลบข้อมูลเมื่อไหรก็ได้

4. สิทธ์ในถ่ายโอน หรือเลือกใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Owner) สามารถให้สิทธิ์แก่องค์กรนำข้อมูลไปใช้กับอีกองค์กรในเครือได้โดยการใช้สิทธิ์นั้นจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิของผู้อื่น

5. ออกแบบระบบ และรูปแบบการเก็บข้อมูลที่มีความปลอดภัย

ในตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดที่ว่า องค์กรที่มีการเก็บ ประมวลผล และใช้ข้อมูลส่วนบุคคลต้องมีระบบการเก็บข้อมูลที่มีประสิทธิภาพ และชัดเจน สามารถ Monitor และแจ้งเตือนหากมีการล่วง หรือละเมิดข้อมูลส่วนบุคคลได้

6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่มีศักยภาพ

หากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลเป็นปริมาณมาก ๆ จำเป็นจะต้องมีตำแหน่ง DPO (Data Protection Officer) ไว้กำกับดูแลข้อมูลส่วนบุคคล ทั้งนี้ก็ใช่ว่าทุกองค์กรจะต้องมี DPO เสมอไป ขึ้นอยู่กับขนาดของข้อมูลที่เก็บ และกระบวนการภายใน

จะเกิดอะไรขึ้นหากองค์กรที่คุณให้ข้อมูลไว้ไม่ Comply PDPA

สิ่งที่เกิดขึ้นกับองค์กรไม่ทำตาม PDPA

ตรงกันข้าม หากว่าองค์กรที่มีการเก็บข้อมูลส่วนบุคคลไม่ Comply พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งระบุโทษโดยตั้งแต่ปรับ 5 แสนบาท ไปจนถึง 1 ล้านบาทเลยทีเดียว ส่วนในด้านเจ้าของข้อมูลส่วนบุคคล ถ้าเกิดองค์กรที่ให้ข้อมูลไว้เกิดทำข้อมูลรั่วไหล และไม่ได้ Comply กฎหมายตัวนี้ ก็จะทำให้เสียหายทั้งทรัพย์สิน และทำให้ข้อมูล

PDPA ส่งผลต่อธุรกิจของคุณอย่างไร

PDPA effect on Company

กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะยกระดับความโปร่งใสในการรวบรวมการจัดเก็บและการใช้งานข้อมูลให้สามารถตรวจสอบได้ หากบริษัท ของคุณมีข้อมูลลูกค้าอยู่ในมือ คุณจะต้องปฏิบัติตามข้อบังคับเพื่อให้สอดคล้องกับ 7 ประเด็นข้างต้นรวมถึงรายละเอียดปลีกย่อยอื่น ๆ ทั้งหมด

หากว่าองค์กรของคุณปฏิบัตตามกฎหมาย PDPA จะช่วยมาตรฐานด้านความปลอดภัยให้กับข้อมูลส่วนบุคคลมากขึ้น ทั้งในการตรวจสอบให้แน่ใจว่ากระบวนการปฏิบัติงานของคุณเป็นไปตามกฎหมาย อีกทั้งยังช่วยให้มั่นใจได้ว่าเทคโนโลยีที่มีอยู่ของคุณได้รับการออกแบบและปรับให้เหมาะสม

นอกจากเพื่อให้แน่ใจว่าองค์กรจะปฎิบัติตามข้อกำหนด อาจจะต้องจ้างเจ้าหน้าที่ Audit เพื่อช่วยตรวจสอบและจัดการกิจกรรมการเก็บ รวบรวมข้อมูล

ซึ่งจัดเป็นการลงทุนที่ดีที่จะทำให้เกิดความไว้วางใจ และความเชื่อมั่นในสายตาของลูกค้าผู้ให้ข้อมูลส่วนบุคคล (Data Owner) ของคุณได้

ส่วนบริษัท ที่ละเมิด หรือไม่ Comply ตามข้อบังคับจะเริ่มถูกมองว่าขาดความน่าเชื่อถือในสายตาของสาธารณชนโดยเฉพาะอย่างยิ่ง

หากพวกเขาโดนค่าปรับจากส่วนต่างกำไรเหล่านั้น จึงให้องค์กรสูญเสียรายได้เป็นจำนวนมหาศาล

สุดท้ายนี้ กฎหมายเป็นเรื่องที่ใกล้ตัวที่ส่งผลกระทบด้านเจ้าของข้อมูลส่วนบุคคล และ องค์กรที่มีการเก็บรวบรวมข้อมูล อีกทั้งยังมีรายละเอียดปลีกย่อยอีกมาก โดยบทความนี้จะทำให้คุณจะเข้าใจพื้นฐานของกฎหมายตัวนี้ ดังนั้นคนที่เกี่ยวข้องในองค์กรหากต้องการ Comply กฎหมายดังกล่าวจะต้องศึกษาให้ละเอียดมากขึ้น

โดยในตัวกฎหมายฉบับนี้ จะทำให้การปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ดีขึ้น และปรับปรุงขั้นตอนการจัดการข้อมูลลูกค้าภายในขององค์กร ประมวลผล หรือใช้ข้อมูลส่วนบุคคลได้อย่างปลอดภัย

ซึ่งให้มองว่านี่เป็นโอกาสที่ดีที่จะช่วยปกป้องสิทธิข้อมูลของผู้บริโภคในโลกที่สามารถเข้าถึงได้มากขึ้น และเช่นเดียวกับที่ปกป้องผู้บริโภค เพื่อให้องค์กรสามารถนำข้อมูลมาใช้ได้อย่างมีประสิทธิภาพ และปลอดภัยยิ่งขึ้น

ในบทความถัดไปเราจะมาเจาะลึก Step การปฎิบัติตามข้อบังคับ

Reference : https://www.coredna.com/blogs/general-data-protection-regulation

Leave a Comment

Your email address will not be published. Required fields are marked *