]

t-reg PDPA Platform

important PDPA

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

เนื้อหาในบทความ

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดี ๆ จะมีมูลค่ามหาศาล เพราะว่าองค์กร หรือบริษัทที่เก็บข้อมูลเหล่านี้สามารถนำข้อมูลผู้ใช้งานมาวิเคราะห์เพื่อนำมาสื่อสารทางการตลาด ซึ่งจะช่วยเพิ่มยอดขายสินค้า และบริการเป็นอย่างมาก แน่นอนว่า PDPA ถือว่าเป็นเรื่องที่สำคัญมากๆ

ส่วนผู้ประกอบการณ์ที่ต้องเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็น ที่อยู่ หมายเลขโทรศัพท์ จะต้องระมัดระวังมากขึ้นหากจะนำข้อมูลเหล่านั้นไปใช้

ซึ่ง 27 พฤษภาคม ที่ผ่านมา ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผ่านการพิจารณา และเริ่มบังคับใช้ภายในปีหน้า

ในบทความนี้ จะมาสรุปกฎหมายคุ้มครองข้อมูลว่าภาคธุรกิจที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องทำอย่างไรบ้าง ปกป้องข้อมูลส่วนตัวอย่างไรบ้าง  สิทธิของเจ้าของข้อมูลส่วนตัวว่ามีอะไรบ้าง

หลายมิติของ “สิทธิเจ้าของข้อมูล”

องค์กรที่ต้องการเก็บข้อมูลส่วนตัวของผู้ใช้งานนั้นสิ่งที่จำเป็นต้องทำมีดังนี้

  • วัตถุประสงค์ของการเก็บข้อมูลส่วนตัว
  • บอกถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนตัวเมื่อต้องทำสัญญารวมถึงผลกระทบหากไม่ให้ข้อมูล
  • บอกระยะเวลาที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานให้ชัดเจน
  • บอกว่าจะนำข้อมูลส่วนตัวไปใช้ทำอะไร ที่ไหน และอย่างไร
  • ระบุข้อมูลเกี่ยวกับองค์กร สถานที่ติดต่อ และวิธีการติดต่อหา
  • แจ้งสิทธิของผู้ใช้งาน หรือลูกที่ต้องให้ข้อมูลส่วนตัว

หมายเหตุ ห้ามให้องค์กรใดๆ ก็แล้วแต่เก็บข้อมูลส่วนตัวจากแหล่งที่มาอื่นไม่ใช่เจ้าของข้อมูลโดยตรง

สิทธิของเจ้าของข้อมูลนั้นสามารถเข้าถึง และขอรับสำเนาข้อมูลที่อยู่ในความรับผิดชอบขององค์กร (เว้นแต่ว่าหากเป็นคำสั่งของศาล หรือทำให้เกิดผลกระทบต่อบุคคลอื่นก็สามารถปฏิเสธได้) โดยองค์กรจะต้องดำเนินการตามคำขอภายใน 30 วัน

นอกจากนี้ยังสามารถคัดค้านการเก็บข้อมูลได้ก็ต่อเมื่อจุดประสงค์เกี่ยวกับการตลาดแบบตรง การศึกษาวิจัยต่าง ๆ

เจ้าของข้อมูลสามารถให้องค์กรลบข้อมูลได้เมื่อ…

  • ไม่มีความจำเป็นที่จะต้องเก็บข้อมูล
  • ถอนความยินยอม หรือคัดค้านการเก็บข้อมูลส่วนตัว
  • หากไม่ชอบด้วยกฎหมาย

ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานจะต้องมีหน้าที่ดังนี้

  1. จัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันไม่ให้ข้อมูลสูญหาย เข้าถึง และเปลี่ยนแปลงได้
  2. จะต้องดำเนินการป้องไม่ให้เปิดเผยข้อมูลส่วนบุคคลหากมีบริษัทหรือองค์กรมาขอข้อมูลส่วนตัว
  3. เมื่อพ้นกำหนดของการเก็บรักษาข้อมูลส่วนบุคคลแล้วจะต้องมีระบบการตรวจสอบเพื่อที่จะทำลาย หรือลบข้อมูล
  4. หากมีเหตุการละเมิดข้อมูลส่วนบุคคลจะต้องแจ้งสำนักงานภายใน 72 ช.ม.
  5. หากบริษัท หรือองค์กรอยู่ต่างประเทศจะต้องมีตัวแทนขององค์กรในประเทศด้วย

ประโยคที่ว่า Data is a new oil ในปัจจุบันนี้ก็คงไม่ผิดเพราะข้อมูลจราจรผู้ใช้งานไม่ว่าจะเป็นพนักงานในองค์กร หรือว่าลูกค้าก็ตาม สามารถนำข้อมูลเหล่ามาวิเคราะห์พฤติกรรมการใช้สินค้า และบริการเพื่อเป้าหมายทางการตลาด

ดังนั้นถึงแม้กฎหมายฉบับนี้จะบังคับใช้ในปีหน้า แต่องค์กรที่ต้องเก็บข้อมูลส่วนบุคคลควรที่จะเข้าใจ และรู้ก่อนที่จะเริ่มบังคับใช้นั่นเอง

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่