เมื่อ Data Marketing กลายเป็นกลยุทธ์หลักเพื่อใช้ในการตีตลาดของทุกบริษัท ข้อมูลของลูกค้ากลายเป็นสิ่งสำคัญ ที่สามารถระบุทิศทางของอนาคตบริษัทได้ ทำให้เกิดปัญหาในกรณีที่บางบริษัทได้นำข้อมูลส่วนตัวของลูกค้าไปใช้หาผลประโยชน์ เปิดเผยต่อที่สาธารณะ หรือแม้กระทั่งนำข้อมูลของเราไปขายต่อกับบริษัทอื่น โดยที่เจ้าของข้อมูลไม่ได้ยินยอมให้ทางบริษัทนั้นเข้ามาเก็บข้อมูลเพื่อใช้ในวาระอื่น ๆ ถือว่าเป็นการละเมิดสิทธิส่วนบุคคล ที่หลายธุรกิจในสมัยก่อนนิยมทำกันและทำการเอาผิดได้ยาก แต่ในปัจจุบันได้มีกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั่นก็คือ Personal Data Protection Act หรือ PDPA เข้ามาเพื่อช่วยควบคุมและป้องกันเหตุการณ์ดังกล่าว
PDPA คืออะไร
กฎหมาย Personal Data Protection Act หรือ PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ออกมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่น การควบคุมไม่ให้องค์กรนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอม เช่น เปิดเผยข้อมูลของเราในที่สาธารณะ หรือนำข้อมูลของเราไปขายให้กับบริษัทอื่น เช่น มีบริษัทประกัน A โทรมาขายประกันเรา ทั้ง ๆ ที่เราไม่เคยให้ข้อมูลเบอร์โทรศัพท์ให้ เพราะทางบริษัทเจ้าหนึ่งมีเบอร์โทรศัพท์คุณ และนำเบอร์ของคุณไปขาย เพื่อให้บริษัทประกัน A โทรมาขายของกับเรา
ทั้งนี้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทบาทในการคุ้มครองสิทธิที่ควรมีต่อข้อมูลส่วนบุคคลของเราเอง รวมไปถึงสร้างมาตรฐานของบุคคลหรือนิติบุคคลในการเก็บข้อมูลส่วนบุคคล รวบรวมข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตาม มีบทลงโทษตามกฎหมาย ทั้งโทษทางอาญา โทษทางแพ่ง และโทษทางปกครอง
กฎหมาย PDPA มีที่มาอย่างไร
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยได้รับแนวทาง และปรับประยุกต์มาจากระเบียบข้อบังคับด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือที่รู้จักกันในชื่อ GDPR (General Data Protection Regulation) โดยมีเป้าหมายหลักในการสร้างมาตรฐานความปลอดภัยขั้นสูง เพื่อสกัดกั้นไม่ให้ผู้ไม่หวังดีเข้ามาเจาะระบบหรือละเมิดสิทธิความเป็นส่วนตัว ซึ่งอาจนำไปสู่การข่มขู่หรือแสวงหาผลประโยชน์โดยมิชอบจากทั้งผู้ดูแลระบบและตัวเจ้าของข้อมูลเอง
องค์ประกอบสำคัญของกฎหมาย PDPA มีอะไรบ้าง
กฎหมาย PDPA มีองค์ประกอบสำคัญที่องค์กรและผู้เกี่ยวข้องต้องเข้าใจ เพื่อให้สามารถปฏิบัติตามได้อย่างถูกต้อง โดยมีรายละเอียดหลัก ๆ ดังนี้
- ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะเป็นข้อมูลโดยตรง เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ หรือข้อมูลทางอ้อม เช่น IP Address, พฤติกรรมการใช้งาน เป็นต้น
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง หรือข้อมูลชีวมิติ ซึ่งต้องได้รับการคุ้มครองในระดับที่เข้มงวดมากขึ้น
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ที่ดำเนินการเกี่ยวกับข้อมูลตามคำสั่งของ Data Controller เช่น ผู้ให้บริการระบบ IT หรือ Cloud
- ฐานทางกฎหมายในการประมวลผลข้อมูล (Lawful Basis) องค์กรต้องมีเหตุผลทางกฎหมายรองรับ เช่น การขอความยินยอม (Consent), การปฏิบัติตามสัญญา, การปฏิบัติตามกฎหมาย หรือประโยชน์โดยชอบด้วยกฎหมาย
- สิทธิของเจ้าของข้อมูล (Data Subject Rights) เจ้าของข้อมูลมีสิทธิ เช่น ขอเข้าถึงข้อมูล ขอแก้ไข ลบข้อมูล ถอนความยินยอม หรือคัดค้านการใช้ข้อมูล
- มาตรการรักษาความปลอดภัยของข้อมูล (Security Measures) องค์กรต้องมีมาตรการป้องกันข้อมูลรั่วไหล ถูกเข้าถึงโดยไม่ได้รับอนุญาต หรือถูกนำไปใช้ในทางที่ผิด
องค์ประกอบเหล่านี้ถือเป็นหัวใจสำคัญของ PDPA ที่ช่วยให้องค์กรสามารถบริหารจัดการข้อมูลได้อย่างมีมาตรฐาน ลดความเสี่ยงด้านกฎหมาย และสร้างความน่าเชื่อถือในระยะยาว
รายละเอียดของ PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีอะไรบ้าง
รายละเอียดความคุ้มครองของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นั้นมีรายละเอียดค่อนข้างเยอะ แต่เราจะสรุปความคุ้มครองที่ พ.ร.บ. นี้ให้สิทธิของเจ้าของข้อมูลส่วนบุคคล ดังนี้
สิทธิได้รับการแจ้งให้ทราบ
ทางองค์กรหรือในเว็บไซต์จะต้องแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยจะต้องมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลอะไรบ้าง วัตถุประสงค์ในการเก็บข้อมูล ต้องการนำข้อมูลไปใช้หรือส่งต่อให้ใคร วิธีเก็บข้อมูลเป็นอย่างไร หรือจะเก็บข้อมูลเรานานแค่ไหน เป็นต้น
สิทธิการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล จะมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลอื่น
สิทธิคัดค้านการเก็บ หรือ เปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บข้อมูล และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งสามารถแจ้งสิทธิคัดค้านเมื่อใดก็ได้
สิทธิขอให้ลบหรือทำลาย
กรณีที่ผู้เก็บข้อมูลเปิดเผยข้อมูลส่วนบุคคลต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้เก็บข้อมูลจะต้องรับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่าย
สิทธิในการเพิกถอนความยินยอม
หากเจ้าของข้อมูลเคยยินยอมการใช้ข้อมูลไปแล้ว แต่ต่อมาต้องการยกเลิกก็สามารถทำเมื่อใดก็ได้ และการยกเลิกจะต้องทำได้ง่ายเหมือนกับตอนที่เจ้าของข้อมูลให้ความยินยอม
สิทธิขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นกรณีที่เกิดการเปลี่ยนใจ หรือต้องการให้ทำลายข้อมูลเมื่อครบกำหนด ก็สามารถทำได้
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นข้อมูลปัจจุบัน และไม่ก่อให้เกิดความผิดได้
สิทธิในการขอโอนข้อมูลส่วนบุคคล
นกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้กับผู้เก็บข้อมูลรายหนึ่ง ไปใช้กับผู้เก็บข้อมูลอีกราย เจ้าของข้อมูลสามารถแจ้งให้ผู้เก็บข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้กับเจ้าของข้อมูลเอง หรือส่งตรงไปให้กับผู้เก็บข้อมูลรายอื่นโดยตรงได้เช่นกัน
ความสำคัญของกฎหมาย PDPA
PDPA คือ กฎหมายสำคัญที่ปกป้องสิทธิความเป็นส่วนตัวในยุคดิจิทัล โดยมอบอำนาจให้ประชาชนมีสิทธิ์จัดการข้อมูลส่วนบุคคลของตนเองได้อย่างเต็มที่ ไม่ว่าจะเป็นการให้ความยินยอมในการจัดเก็บ การเข้าถึง การแก้ไข หรือแม้แต่การขอลบข้อมูล ด้วยเหตุนี้ส่งผลให้องค์กรต้องปรับเปลี่ยนกระบวนการจัดการข้อมูลครั้งใหญ่ โดยเฉพาะข้อมูลของลูกค้าและพนักงาน เพื่อให้สอดคล้องกับข้อกำหนดทางกฎหมายที่อาจส่งผลกระทบรุนแรงต่อองค์กรและธุรกิจของคุณได้ ดังนั้นการปฏิบัติตามกฎหมาย PDPA จึงไม่ใช่เพียงการทำตามกฎหมาย แต่ยังเป็นการแสดงความรับผิดชอบต่อผู้มีส่วนได้ส่วนเสียทุกฝ่าย และสร้างความน่าเชื่อถือให้กับองค์กรในระยะยาวอีกด้วย
5 ขั้นตอนการปฏิบัติตาม PDPA
1. เก็บรวบรวมข้อมูลส่วนบุคคล
การเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA มีทั้งหมด 3 องค์ประกอบสำคัญที่องค์กรต้องดำเนินการให้ครบถ้วน ได้แก่
- การจัดทำ Privacy Policy ทุกองค์กรจำเป็นต้องจัดทำนโยบายความเป็นส่วนตัวที่ชัดเจนและเข้าใจง่าย โดยระบุประเภทข้อมูลที่จัดเก็บ วัตถุประสงค์การใช้งานและสิทธิของเจ้าของข้อมูลในการถอนความยินยอม ซึ่งสามารถแจ้งผ่านหลายช่องทาง เช่น เว็บไซต์ แอปพลิเคชันหรือแพลตฟอร์มโซเชียลมีเดีย
- การจัดการคุกกี้และบุคคลที่สาม นอกเหนือจาก Privacy Policy องค์กรต้องขอความยินยอมในการจัดเก็บคุกกี้ผ่าน Cookie Consent Banner และต้องระบุการใช้งานข้อมูลโดยบุคคลที่สาม เช่น แพลตฟอร์มโฆษณาหรือการตลาดให้ชัดเจนในนโยบายความเป็นส่วนตัว
- การจัดการข้อมูลพนักงาน สำหรับข้อมูลภายในองค์กร ต้องจัดทำ HR Privacy Policy แยกต่างหาก โดยแจ้งให้พนักงานเก่าทราบผ่านเอกสารใหม่ ส่วนพนักงานใหม่ต้องระบุในเอกสารสมัครงานและสัญญาจ้างให้ครบถ้วน
2. การประมวลผลข้อมูลส่วนบุคคล
การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องดำเนินการไปอย่างรอบคอบและเป็นระบบ โดยทุกฝ่ายในองค์กรต้องร่วมกันกำหนดแนวทางปฏิบัติมาตรฐาน (Standard Operating Procedure) และจัดทำบันทึกกิจกรรมการประมวลผล (Records of Processing Activity: ROPA) ให้ครอบคลุมข้อมูลทุกประเภท ตั้งแต่ข้อมูลทั่วไปไปจนถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive data) เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์หรือความเชื่อทางศาสนา เป็นต้น
3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
มาตรการด้านรักษาความปลอดภัยข้อมูลส่วนบุคคลตามกฎหมาย PDPA ที่เป็นไปตามมาตรฐานขั้นต่ำ (Minimum Security Requirements) ได้แก่ การรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) การดูแลให้ข้อมูลพร้อมใช้งาน (Availability) โดยจะครอบคลุมมาตรการการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ตามประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เพื่อกำหนดนโยบายระยะเวลาการจัดเก็บและทำลายข้อมูล (Data Retention) ไปจนถึงควบคุมการเข้าถึงและใช้งานข้อมูล (Access Control) เพื่อป้องกันการรั่วไหลของข้อมูลที่อ่อนไหว
4. การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
เนื่องจากพ.ร.บ. PDPA เป็นกฎหมายที่เข้ามาช่วยคุ้มครองข้อมูลส่วนบุคคล ดังนั้นการส่งหรือเปิดเผย Sensitive Data จึงจำเป็นต้องทำสัญญาหรือมีข้อตกลง เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ทั้งนี้การเปิดเผยข้อมูลก็จำเป็นต้องมีกระบวนการรับคำร้องจากเจ้าของข้อมูลอีกด้วย
5. กำกับดูแลข้อมูลส่วนบุคคล
การกำกับดูแลข้อมูลส่วนบุคคลในประเทศไทยอยู่ภายใต้การดูแลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรที่ดำเนินธุรกิจในประเทศไทยและมีการจัดเก็บข้อมูลส่วนบุคคลจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) เพื่อทำหน้าที่ตรวจสอบและดูแลการจัดการข้อมูลให้เป็นไปตามมาตรฐาน โดย DPO จำเป็นต้องมีความรู้ทั้งด้านกฎหมาย PDPA และเทคโนโลยี เพื่อให้สามารถกำกับดูแลความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ
Article Summary
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA คือกฎหมายที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งภาครัฐได้ให้ความสำคัญอย่างจริงจัง ส่งผลให้ทั้งหน่วยงานราชการและองค์กรต่าง ๆ ต้องปรับตัวและยกระดับการจัดการข้อมูลให้ปลอดภัยมากยิ่งขึ้น ด้วยเหตุนี้ Ditto จึงได้พัฒนาระบบจัดการเอกสารสำหรับ อบต. และ อบจ. โดยมุ่งเน้นการดูแลข้อมูลส่วนบุคคลของผู้ใช้งานทุกคนให้มีความปลอดภัยสูงสุด ช่วยลดความเสี่ยงจากการรั่วไหลของข้อมูล พร้อมยกระดับการทำงานด้านเอกสารให้มีความสะดวก รวดเร็ว และเป็นระบบมากขึ้น รองรับการบริหารราชการยุคดิจิทัลได้อย่างมีประสิทธิภาพ
ในขณะเดียวกัน ภาคเอกชนเองก็จำเป็นต้องปฏิบัติตาม PDPA อย่างเคร่งครัดเช่นกัน การนำระบบ DMS (Document Management System) เข้ามาใช้ จึงเป็นอีกหนึ่งตัวช่วยสำคัญที่ช่วยให้การจัดเก็บ ค้นหา และบริหารจัดการเอกสารทำได้อย่างเป็นระบบ ลดความซ้ำซ้อน และควบคุมสิทธิ์การเข้าถึงข้อมูลได้อย่างรัดกุม ช่วยป้องกันการรั่วไหลของข้อมูลสำคัญ และเสริมความน่าเชื่อถือให้กับองค์กรในระยะยาว
สามารถติดต่อสอบถามรายละเอียด ระบบระบบจัดการเอกสาร อบต. และ อบจ. เพิ่มเติม
📞 02-517-5555
Line ID: @dittothailand
คำถามที่พบบ่อย
PDPA มีผลบังคับใช้กับใครบ้าง?
PDPA มีผลบังคับใช้กับทุกองค์กรที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นบริษัทเอกชน หน่วยงานราชการ หรือแม้แต่ผู้ประกอบการรายย่อย (SME) รวมถึงธุรกิจออนไลน์ที่มีการเก็บข้อมูลลูกค้า เช่น ชื่อ เบอร์โทร หรืออีเมล
หากธุรกิจไม่ปฏิบัติตาม PDPA จะมีโทษอย่างไร?
หากองค์กรไม่ปฏิบัติตาม PDPA อาจได้รับโทษ 3 รูปแบบ ได้แก่ โทษทางแพ่ง เช่น การชดใช้ค่าเสียหายให้เจ้าของข้อมูล, โทษทางอาญา เช่น โทษจำคุกหรือปรับ, โทษทางปกครอง เช่น ค่าปรับทางปกครองสูงสุดหลายล้านบาท
จำเป็นต้องขอความยินยอม (Consent) ทุกกรณีหรือไม่?
ไม่จำเป็นในทุกกรณี เนื่องจากกฎหมาย PDPA ได้กำหนดฐานทางกฎหมายในการประมวลผลข้อมูลไว้หลายรูปแบบ เช่น การใช้ข้อมูลเพื่อการทำสัญญา การปฏิบัติตามข้อกฎหมาย หรือเพื่อประโยชน์โดยชอบด้วยกฎหมายขององค์กร อย่างไรก็ตาม ในบางกรณี โดยเฉพาะการนำข้อมูลไปใช้เพื่อวัตถุประสงค์ทางการตลาด องค์กรจำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลก่อน เพื่อให้การใช้ข้อมูลเป็นไปอย่างถูกต้องตามกฎหมายและเคารพสิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลสามารถถอนความยินยอมได้หรือไม่?
สามารถทำได้ โดยเจ้าของข้อมูลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ และองค์กรต้องทำให้ขั้นตอนการถอนความยินยอมทำได้ง่าย ไม่ซับซ้อน
