เมื่อมีประกาศการบังคับใช้กฎหมาย PDPA ออกมา แน่นอนว่าทุกองค์กรต้องเตรียมความพร้อมในการจัดการกับข้อมูลส่วนบุคคลเพื่อให้สอดคล้องและเป็นไปตามกฎหมาย อย่างไรก็ตาม หลาย ๆ คนอาจยังมีข้อสงสัยในรายละเอียดของกฎหมายข้อนี้ ว่ากฎหมาย PDPA คืออะไร มีรายละเอียดอย่างไรบ้าง และเรามีส่วนเกี่ยวข้องกับกฎหมายที่ว่านี้มากน้อยแค่ไหน พวกเรา t-reg ได้หาคำตอบของคำถามเหล่านั้นไว้ให้แล้ว
PDPA คืออะไร ?
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
ทุกวันนี้ระบบดิจิทัลหรือระบบเครือข่ายออนไลน์กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราไปแล้ว มีแพลตฟอร์มมากมายให้เลือกใช้ และหลากหลายช่องทางในการติดต่อสื่อสารเพื่อวัตถุประสงค์ต่าง ๆ โดยแต่ละช่องทางที่เราใช้งานก็จะมีการเก็บข้อมูลส่วนบุคคลของเราก่อนเข้าใช้งานด้วย เช่น ชื่อ นามสกุล , Email , เบอร์โทรศัพท์, ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ตามแต่ที่เจ้าของช่องทางเรียกขอข้อมูล
ทั้งนี้ทั้งนั้น การที่เราจะให้ข้อมูลส่วนบุคคลใครไป ต้องมีการพิจารณาว่าให้ ใคร และให้ เพราะอะไร? อาทิเช่น หากเราจะสั่งซื้อของออนไลน์ เราก็ยินยอมที่จะให้ข้อมูลส่วนตัว ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ในการติดต่อ เพื่อใช้ข้อมูลเหล่านี้ในการส่งสินค้ามาให้เรา ซึ่งเป็นข้อมูลส่วนบุคคลที่สามารถเข้าใจได้และยินยอมที่จะให้ไปเพื่อส่งสินค้ามายังเรา หรือว่า ข้อมูลส่วนบุคคลที่ให้ต่อบริษัทเพื่อสมัครเข้าทำงาน
แต่เราจะรู้ได้อย่างไร? ว่าข้อมูลที่ให้ไปนั้นจะถูกใช้เพื่อวัตถุประสงค์นั้นจริง ๆ และไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใด ที่นอกเหนือความยินยอมของเรา
กฎหมาย PDPA ที่บังคับใช้ในประเทศไทยนี้ จะมีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคลในการเก็บ รวบรวม หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษนั้น มีทั้งโทษทางแพ่ง อาญา และทางปกครองด้วย
ดังนั้น PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ก็นับว่าเป็นกฎหมายที่เราทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กร บริษัท ห้างร้าน หรือแพลตฟอร์มต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นลูกค้า ผู้ใช้งาน หรือจะเป็นพนักงานที่ทำงานภายในองค์กรเองก็ตาม
องค์กรต่าง ๆ จึงได้รับผลกระทบพอสมควรกับการประกาศใช้ PDPA เพื่อเพิ่มมาตรฐานนโยบายการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยิมยอนที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้ และที่สำคัญต้องสอดคล้องต่อ PDPA ด้วย ทำให้กระบวนการทำ PDPA ไม่ใช่เรื่องที่ง่ายสักทีเดียว ที่เราจะทำได้ภายในระยะเวลาอันสั้น โดยเฉพาะองค์กรขนาดใหญ่ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลและมีการนำข้อมูลส่วนบุคคลไปใช้เป็นจำนวนมาก
อย่างไรก็ตาม บุคคลหรือองค์กรต่าง ๆ ก็ต้องดำเนินการกับข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ PDPA ให้เรียบร้อย เพราะกฎหมายฉบับนี้ไม่ว่าอย่างไรอย่างไรก็จะมีผลกระทบต่อผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างแน่นอน จึงควรเริ่มทำตั้งแต่เนิ่น ๆ ไว้ เพื่อป้องกันปัญหาที่จะอาจตามมาทางด้านกฎหมาย ซึ่งจะมีผลเสียหายต่อองค์กร หากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหล หรือเผลอนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว บุคคลหรือองค์กรที่ไม่ได้ดำเนินการตาม PDPA ไว้ ย่อมเสียหายร้ายแรงกว่าผู้ที่ดำเนินการไว้แล้ว และผู้รับโทษตามกฎหมายก็อาจเป็นเจ้าของกิจการที่ต้องรับโทษแทนพนักงานเองก็เป็นได้ จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการทำ PDPA เป็นอย่างยิ่ง
PDPA กับ GDPR
PDPA (Personal Data Protection Act) ของประเทศไทย และ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เป็นกฎหมายที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ถึงแม้ว่า PDPA และ GDPR จะมีวัตถุประสงค์ที่คล้ายคลึงกันในการคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีความแตกต่างในรายละเอียดและขอบเขตการบังคับใช้ที่สำคัญ องค์กรที่ดำเนินธุรกิจในประเทศไทยและมีการประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปจำเป็นต้องปฏิบัติตามทั้งสองกฎหมายเพื่อให้สอดคล้องกับข้อกำหนดที่เกี่ยวข้อง
ข้อมูลส่วนบุคคล คืออะไร ?
ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว
ซึ่งได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น, รูปถ่าย, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)
รวมถึง ที่อยู่, อีเมล์, เลขโทรศัพท์ / ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID / ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน / ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน / ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ / ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง / ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file / ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
นอกจากนี้ ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ PDPA หรือ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม เป็นต้น และข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป (Personal Data) นั่นเป็นเพราะ หากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจจะก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก
ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ?
เราสามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ในกฎหมาย PDPA ได้ 3 ประเภท ประกอบด้วย
1. เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
2. ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
แล้ว PDPA ให้เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรบ้าง ?
เพื่อให้ง่ายต่อความเข้าใจในสิทธิของเจ้าของข้อมูล (Data Subject) เรามาทำความรู้จักกับคำว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เพิ่มเติมอีกสักหน่อย
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คืออะไร ? ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller หมายถึงบุคคลหรือนิติบุคคล ที่มีส่วนในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และหากดูที่ความหมายอย่างละเอียดแล้ว นั่นหมายความว่าเพียงแค่เรามีการเก็บข้อมูลส่วนบุคคลของผู้อื่นไว้ ก็ถือว่าเราเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่จะต้องปฏิบัติตามกฎหมาย PDPA ไปด้วยเหมือนกัน
ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะให้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปได้ดังต่อไปนี้
สามารถอ่านเนื้อหาเพิ่มเติมเกี่ยวกับ Privacy Policy กับ Privacy Notioce ต่างกันอย่างไร ?
ผู้ควบคุมข้อมูลส่วนบุคคล จะสามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ก็ต่อเมื่อ ?
บุคคลธรรมดา หรือนิติบุคคล (บริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม) หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้นที่ พ.ร.บ.กำหนดไว้ โดยมีข้อยกเว้นดังต่อไปนี้
ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลทั่วไป (Personal Data)
– จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
– จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
– จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
– จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
– เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น
ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
– การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมือง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น
– เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล
– เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น
– เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น / ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ / การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, หรือประโยชน์สาธารณะอื่น / ประโยชน์สาธารณะที่สำคัญ
คำถามที่มักพบบ่อย : ข้อมูลเก่าที่เคยเก็บไว้ก่อนที่ พ.ร.บ. นี้จะบังคับใช้ ต้องทำอย่างไร ?
ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ ก่อนหน้าที่ PDPA จะบังคับใช้ใน วันที่ 1 มิถุนายน 2565 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำอย่างไรบ้าง ตามมาตรา 95 ใน พ.ร.บ.ได้ระบุไว้ว่า
“ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ”
การส่ง หรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศก็สำคัญ
ผู้ควบคุมข้อมูลส่วนบุคคล จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องตรวจสอบว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่ ยกเว้นว่าจะเป็นไปเพื่อเป็นไปตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล, จำเป็นเพื่อปฏิบัติตามสัญญา, ป้องกันอันตรายที่จะเกิดต่อเจ้าของข้อมูลที่ไม่สามารถให้ยินยอมในขณะนั้นได้ หรือเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏิบัติตาม จะมีบทลงโทษอะไรบ้าง ?
ถ้าไม่ปฏิบัติตาม PDPA บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่
อัปเดต! องค์กรที่ต้องจัดตั้ง DPO
เมื่อวันที่ 14 กันยายน พ.ศ. 2566 ที่ผ่านมา ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้เผยแพร่ประกาศฉบับใหม่ที่มี เนื้อหาเพิ่มเติมมาตราที่ 41(2) ซึ่งมีกำหนดว่า กิจการใดบ้างต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” โดยมีผลบังคับใช้ในวันที่ 13 ธันวาคม พ.ศ. 2566
DPO (Data Protection Officer) หรือ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” คือ เจ้าหน้าที่ที่ทำหน้าที่หลักเป็นเหมือนตัวแทนของเจ้าของข้อมูลในการตรวจสอบว่าองค์กรมีการนำข้อมูลส่วนบุคคลทั้งภายใน (ข้อมูลพนักงาน) และภายนอก (ข้อมูลลูกค้า) ไปใช้อย่างถูกต้องตามกฎหมายหรือไม่ นอกจากนั้น DPO ยังเป็นผู้ที่คอยประสานงานระหว่างองค์กร เจ้าของข้อมูล (Data Subject) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ในกรณีที่เกิดเหตุละเมิดอีกด้วย
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องจัดให้มี DPO คือกิจการที่ มีการดำเนินกิจกรรมหลัก ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก
หากสนใจรายละเอียดเกี่ยวกับ DPO เพิ่มเติม สามารถอ่านต่อได้ ที่นี่
สรุปใจความสำคัญของ PDPA
จะเห็นได้ว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีหัวใจสำคัญก็เพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล ว่าข้อมูลส่วนตัวของเราจะปลอดภัย และถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง อย่างไรก็ตาม ผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาอย่างรอบคอบเช่นกันว่าการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์อะไร? ข้อมูลที่ให้ไปมีเพียงพอกับวัตถุประสงค์นั้นแล้วหรือยัง? หากมองว่ามีการให้ข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราก็สามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของตน
สำหรับในส่วนผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ความรู้แก่บุคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม ใช้ เผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย จำกัดการเข้าถึงข้อมูลส่วนบุคคล รวมไปถึงการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA ต่อไป มาถึงตรงนี้ผู้อ่านก็พอจะทราบแล้วว่า PDPA คืออะไร ? และเกี่ยวข้องกับเราอย่างไร
สรุปแล้ว PDPA คืออะไร และเกี่ยวข้องกับเราอย่างไร?
สรุป PDPA ฉบับเข้าใจง่าย คือ PDPA เกี่ยวข้องกับเราทุกคน เพราะทุกคนมีข้อมูลส่วนตัว ทุกคนควรรู้สิทธิที่เราพึงมีต่อข้อมูลส่วนตัวของเราว่าเราทําอะไรได้บ้าง หากไม่รู้สิทธิที่มีอาจถูกเอาเปรียบ ทำให้เกิดความเสียหายภายหลังได้ รวมถึงค่าสินไหมที่ควรได้รับก็ไม่ได้
และทุกองค์กร มีการเก็บข้อมูลส่วนตัว ดังนั้นแล้วบุคคลากรในองค์กรต้องทราบขอบเขตใน การนำข้อมูลส่วนบุคคลไปใช้ไปเปิดเผยรวม ถึงการจัดเก็บข้อมูลส่วนตัวให้ปลอดภัย หากเกิดความเสียหายอันเกิดจากการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคลโดยไม่เป็นไปตาม PDPA แล้ว ก็จะได้รับบทลงโทษ
สำเร็จ PDPA อย่างครบวงจรในที่เดียวกับ t-reg
t-reg Platform by Ragnar Corporation จะสามารถทำให้องค์กรของท่านผ่าน PDPA ได้อย่างครบวงจรในที่เดียว ด้วยทีมงานผู้เชี่ยวชาญทางด้านกฎหมาย และทีมโปรแกรมเมอร์ที่มากด้วยประสบการณ์ จะทำให้การปฏิบัติตามกฎหมาย PDPA ขององค์การของท่านเป็นเรื่องง่ายสะดวกสบาย และสามารถทำสำเร็จได้ภายใน 1 เดือน
- มีทีมที่ปรึกษาที่จะช่วยจับมือทำ PDPA ตั้งแต่ต้นจนจบ พร้อมแพลตฟอร์ม
- จัดการเอกสารตามกฎหมายกำหนดผ่านระบบออนไลน์
- ช่วยให้คุณเห็นภาพรวมข้อมูลส่วนบุคคลในองค์กร
- ช่วยให้องค์กรของคุณปฏิบัติตาม PDPA ภายใน 30 วัน
รายการ Digital Thailand สถานีโทรทัศน์ช่อง 3 “t-reg platform ช่วยทำ PDPA ให้เป็นเรื่องง่าย”
คำบอกเล่าแชร์ประสบการณ์การดำเนินงานเพื่อปฏิบัติตามกฎหมาย PDPA ของ บริษัท ศรีจันทร์สหโอสถ จำกัด โดย CEO คุณรวิศ หาญอุตสาหะ และตัวแทนฝ่ายกฎหมายของบริษัทศรีจันทร์ ในการใช้บริการของ t-reg Platform by Ragnar Corporation
คำบอกเล่า บริษัท ส. ขอนแก่นฟู้ดส์ จำกัด (มหาชน) ในการใช้บริการ t-reg Platform by Ragnar Corporation
ฟีเจอร์การใช้งานเพียงบางส่วน ของโปรแกรม t-reg platform
Cookie Consent | ระบบจัดการคำยินยอม
ROP | ระบบบันทึกกิจกรรมข้อมูลส่วนบุคคล
อีกหนึ่งทางเลือกที่ บริษัท Ragnar Corporation ได้จัดทำไว้เพื่อให้ทุกองค์กรสามารถปฏิบัติตามและนำไปใช้ เพื่อ Comply PDPA ได้ 100% (ใช้ได้โดยไม่เสียค่าใช้จ่าย ฟรี!)
บริษัท Ragnar Corporation ได้เล็งเห็นถึงความสำคัญในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ให้ถูกต้องบนพื้นฐานของข้อกฎหมายที่ครบถ้วน ในภาวะสถานการณ์ที่ทุกองค์กรต้องเผชิญกับความท้าทายของเศรษฐกิจในยุคโควิด19 ทีมงานผู้เชี่ยวชาญด้านกฎหมายจาก Ragnar Corporation จึงได้จัดทำโครงการ CSR เป็น แหล่งความรู้ไกด์ไลน์ (Opensource PDPA Thailand | Openpdpa.org) แนะนำขั้นตอนการปฏิบัติตาม PDPA ตั้งแต่ขั้นเริ่มต้นจนจบกระบวนการ ด้วยระบบ PDPA ECOSYSTEM ที่เป็นระบบเฟรมเวิร์กเพื่อการดำเนินตาม พ.ร.บ. ฉบับนี้ได้อย่างครอบคลุมและรอบด้านที่สุดที่ทุกองค์กรพึงปฏิบัติตามให้ครบ ซึ่งประกอบไปด้วย People / Process / Technology พร้อมกันนี้ Openpdpa.org ยังได้รวบรวมไฟล์แบบฟอร์มให้ได้ดาวน์โหลดใช้กันได้อย่างฟรีๆ โดยไม่มีเงื่อนไขใดๆ สามารถนำไปปรับใช้ให้เหมาะสมกับองค์กรของท่านได้ตามต้องการ “เราเชื่อว่าสังคมไทยดีขึ้นได้ด้วยการช่วยเหลือและการแบ่งปันซึ่งกันและกัน” สามารถเข้า Opensource PDPA Thailand คลิกที่ไอคอนสีเขียวด้านล่าง!
สำหรับในส่วนผลิตภัณฑ์แพลตฟอร์มของ Ragnar Corporation การทำ PDPA ECOSYSTEM เรามีครบทุกกระบวนการ มากด้วยประสบการณ์ทางกฎหมาย ทั้งสื่อมีเดียเรียนรู้ และเทคโนโลยีนำสมัย ครบวงจรเป็นอันดับ 1 ในประเทศไทย มีทีมงานพร้อมซัพพอร์ต รวมครบจบในที่เดียว หมดปัญหากังวลใจ จ้างแล้วจ้างอีก เสียแล้วเสียอีกแล้วไม่จบกระบวนการ
People : secap.co
Process : ทีมกฎหมาย และ t-reg platform
Technology : ilog.ai , v-insight และ t-reg platform
ความรู้เพิ่มเติม PDPA THAILAND
5 ข้อดีของการมีกฎหมาย PDPA
ชื่อเรียกผู้ที่มีส่วนเกี่ยวข้องกับ PDPA มีใครบ้าง
PDPA Ecosystem (ระบบนิเวศที่ต้องทำใน PDPA)
ผ่าน PDPA อย่างครบวงจร ด้วย t-reg platform
- สามารถคลิกอ่านข้อมูล พ.ร.บ. ฉบับเต็ม : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
- อ่านข้อมูลจาก ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย : แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Thailand Data Protection Guidelines 3.0)
บริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด ( Ragnar Corporation Company Limited )
บริษัทผู้นำการสร้างผลิตภัณฑ์ Cyber Security อย่างครบวงจร
เรามีทีมงานผู้เชี่ยวชาญทางด้านกฎหมายและเทคโนโลยี เพื่อการดำเนินการให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ในทุกกระบวนการที่กฎหมายได้กำหนดไว้ และเพื่อให้รองรับทุกการอัพเดทในข้อกฎหมายฉบับลูกที่ออกมาใหม่ในอนาคต มีครบจบในที่เดียว ใช้งานง่าย ครบทุกกระบวนการที่กฎหมายกำหนด มีเจ้าหน้าที่ให้การซัพพอร์ตทุกขั้นตอน
