PDPA คืออะไร ? PDPA คือ พระราชบญั ญตั ิคุม้ ครองขอ้ มูลส่วนบุคคล ซ่ึงเป็ น กฎหมายท่ีถูกสร้างมาเพ่ือป้องกนั การละเมิดขอ้ มูลส่วนบุคคลของทุก คน รวมถึงการจดั เก็บขอ้ มูลและนาไปใชโ้ ดยไม่ไดแ้ จง้ ให้ทราบ และ ไม่ได้รับความยินยอมจากเจา้ ของขอ้ มูลเสียก่อน พระราชบญั ญตั ิคุม้ ครองขอ้ มูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือ กฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดขอ้ มูลส่วน บุคคลท่ีเพ่ิมมากข้ึนเรื่อย ๆ ในปัจจุบนั เช่น การซ้ือขายขอ้ มูลเบอร์ โทรศพั ท์และขอ้ มูลส่วนตวั อ่ืน ๆ โดยท่ีเจา้ ของขอ้ มูลไม่ยินยอม ท่ีมกั พบไดม้ ากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายน้ีได้เร่ิมบงั คบั ใชอ้ ยา่ งเต็มรูปแบบเม่ือวนั ที่ 1 มิ.ย. 2565 เป็ นกฎหมายท่ีให้ความคมุ้ ครองขอ้ มูลส่วนบุคคล เช่น ช่ือ ท่ีอยู่ เบอร์โทรศพั ท์ รูปถ่าย บญั ชีธนาคาร อีเมล ไอดีไลน์ บญั ชีผูใ้ ช้ ของเวบ็ ไซต์ ลายน้ิวมือ ประวตั ิสุขภาพ เป็ นตน้ ซ่ึงขอ้ มูลเหล่าน้ี สามารถระบุถึงตวั เจา้ ของขอ้ มูลน้นั ได้ อาจเป็ นไดท้ ้งั ขอ้ มูลใน รูปแบบเอกสาร กระดาษ หนงั สือ หรือจดั เก็บในรูปแบบ PอิเลD็กPทรAอนมิกสคี ์ก็ไวดา้ มเปน็ มาอย่างไร ? กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายตน้ แบบอย่าง กฎหมาย GDPR (General Data Protection Regulation) ซ่ึงเป็ นกฎหมายคุม้ ครองขอ้ มูลส่วนบุคคลของ สหภาพยุโรป วตั ถุประสงคข์ องการเก็บรักษาขอ้ มูลส่วนบุคคลของ กฎหมายท้งั 2 ฉบบั ก็เพ่ือป้องกนั ไม่ให้ผูไ้ ม่ประสงค์ดีทาการแฮ็ก ขอ้ มูลหรือละเมิดความเป็ นส่วนตวั เพ่ือข่มขู่หวงั ผลประโยชน์จากท้งั จากตวั เจา้ ของขอ้ มูลเองหรือจากบุคคลท่ีดูแลขอ้ มูล
PDPA สำคัญอย่างไร? ความสาคญั ของ PDPA คือการทาให้เจา้ ของขอ้ มูลมีสิทธิใน ขอ้ มูลส่วนตวั ที่ถูกจดั เก็บไปแลว้ หรือกาลงั จะถูกจดั เก็บมากข้ึน เพ่ือสร้างความปลอดภยั และเป็ นส่วนตวั ให้แก่เจา้ ของขอ้ มูล โดยมี สิทธิท่ีสาคญั คือ สิทธิการรับทราบและยิมยอมการเก็บขอ้ มูล ส่วนตวั และสิทธิในการขอเขา้ ถึงขอ้ มูลส่วนตวั คดั คา้ นและเพิก ถอนการเก็บและนาขอ้ มูลไปใช้ และสิทธิขอให้ลบหรือทาลาย ขอ้ มูลส่วนตัว สิทธิท่ีเพิ่มข้ึนของเจา้ ของขอ้ มูล ทาให้ผูป้ ระกอบการขององคก์ ร และบริษทั ต่าง ๆ ตอ้ งปรับเปล่ียนกระบวนการเก็บรวบรวมและนา ขอ้ มูลส่วนตวั ของเจา้ ของขอ้ มูลไม่ว่าจะเป็ นลูกคา้ พนักงานใน องคก์ ร หรือบุคคลใด ๆ ท่ีเกี่ยวขอ้ งให้เป็ นไปตามหลกั ปฏิบตั ิของ PDPA พ.ร.บ.คุม้ ครองขอ้ มูลส่วนบุคคล โดยหากคุณเป็ นผปู้ ระกอบการ หรือเป็ นตวั แทนองค์กรที่ ดาเนินการเร่ือง PDPA วนั น้ีเราจะช่วยคุณเปล่ียนแนวทางการ ดาเนินงานเพ่ือให้สอดคลอ้ งกบั กฎหมาย PDPA กนั
หากคุณตอ้ งการเก็บรวบรวมขอ้ มูล ประมวลผลขอ้ มูล นาขอ้ มูลไป ใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภยั ของขอ้ มูลส่วน บุคคคลของลูกคา้ และบุคคลที่เก่ียวขอ้ ง คุณจะตอ้ งดาเนินการตาม ข้นั ตอนต่อไปน้ีโดยด่วน เพราะในขณะน้ีประเทศไทยได้เริ่มบงั คบั ใช้ พ.ร.บ. PDPA แลว้ หากคุณไม่ดาเนินการตามหลกั ของ PDPA คุณอาจตอ้ งรับโทษร้ายแรงท้งั ทางแพ่ง อาญา และปกครอง องค์ประกอบสำคัญPDPA บุคคลที่ตอ้ งปฎิบตั ิตามกฎหมาย PDPA ประกอบด้วย เจา้ ของ ขอ้ มูลส่วนบุคคล (Data Subject) และผูค้ วบคุมขอ้ มูลส่วน บุคคล (Data Controller) โดยผูค้ วบคุมขอ้ มูลส่วนบุคคล น้นั เปรียบเสมือนผูด้ ูแลระบบ เป็ นฝ่ ายปฏิบตั ิงาน มีหน้าที่เก็บ รวบรวม และนาขอ้ มูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจา้ ของขอ้ มูลไปใช้ ยกตวั อยา่ งเช่น เว็บไซต์ ขายของออนไลน์ ตวั ผูจ้ ดั ทาเวบ็ ไซต์ก็จะตอ้ งขอขอ้ มูลท้งั ช่ือ ท่ีอยู่ เบอร์โทรศพั ท์ ขอ้ มูลการจ่ายเงิน เพ่ือนาไปดาเนินการสั่งซ้ือและ จดั ส่งสินคา้ ไปยงั ท่ีอยู่ของเจา้ ของขอ้ มูล ซ่ึง PDPA เมื่อได้ขอ้ มูล มาแลว้ ก็ตอ้ งจดั ให้มีมาตรการรักษาความปลอดภยั ขอ้ มูลด้วย
ขน้ั ตอนการทำ PDPA ตอ้ งทำอยา่ งไร? SEAT 1 การเก็บข้อมลู ส่วนบคุ คล 1.จัดทา Privacy Policy แจ้งให้เจ้าของขอ้ มูลสว่ นบคุ คล ทราบ องคก์ รหรือเจา้ ของเวบ็ ไซต์สามารถแจง้ เจา้ ของขอ้ มูลผ่าน Privacy Policy บนเวบ็ ไซต์หรือแอปพลิเคชนั หรือช่อง ทางการติดต่ออ่ืน ๆ เช่น การลงทะเบียนผา่ นเวบ็ ไซต์ หรือทาง โซเชียลมีเดีย • แจง้ วา่ เจา้ ของเก็บขอ้ มลู อะไรบา้ ง เพอื่ วตั ถปุ ระสงคใ์ ด • แจง้ สิทธิของเจา้ ของขอ้ มลู โดยสามารถถอนความยินยอม ไดท้ กุ เม่ือ • ขอ้ ความอา่ นเขา้ ใจง่าย ชดั เจน ใชภ้ าษาไม่กากวม ไมม่ ี เง่อื นไขในการยินยอม คลิก PDPA Pro เพอ่ื สรา้ ง Privacy Policy ท่ีถูกตอ้ งตาม PDPA
2. การจัดการเวบ็ ไซต์ แอปพลเิ คชนั และ Third-party นอกจากการจดั ทา Privacy Policy ผ่านเว็บไซตห์ รือแอปพลิเคชนั แลว้ การขอจดั เกบ็ Cookie ก็จะตอ้ งแจง้ เพอื่ ขอความยินยอมใหใ้ ช้ ขอ้ มลู สว่ นบคุ คลจากผใู้ ชง้ านดว้ ย ซง่ึ ทเ่ี ราพบเห็นไดท้ ่วั ไป มกั แจง้ ขอเกบ็ Cookie เป็น Pop up เล็ก ๆ ทางดา้ นล่างเว็บไซต์ คลิก Cookie Wow เพ่อื จดั ทา Cookie Consent Banner เพยี งไมก่ ่ีนาที ส่วน Third Party ที่เก็บขอ้ มลู ส่วนบคุ คล เช่น เวบ็ ไซตโ์ ฆษณาที่ทา การตลาด กต็ อ้ งระบวุ ตั ถปุ ระสงคแ์ ละขอความยินยอมการเก็บรวบรวม ขอ้ มลู ไวใ้ น Privacy Policy ดว้ ย 3. การเกบ็ ขอ้ มูลพนักงาน สาหรบั การเกบ็ ขอ้ มลู สว่ นบคุ คลของพนกั งานนนั้ ก็ตอ้ งจดั ทานโยบาย ความเป็นส่วนตวั สาหรบั พนกั งานหรือ HR Privacy Policy เพือ่ แจง้ วตั ถปุ ระสงคใ์ นการประมวลผลขอ้ มลู ส่วนบคุ คลของพนกั งาน เชน่ เดียวกนั แนะนาว่าสาหรบั พนกั งานเก่า ใหแ้ จง้ Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ใหแ้ จง้ ในใบสมคั ร 1 ครง้ั และแจง้ ใน สญั ญาจา้ ง 1 ครง้ั คลิก PDPA Pro เพื่อสรา้ ง Privacy Policy สรา้ ง HR Privacy Policy ถกู ตอ้ งตาม PDPA
STEP 2 การใชห้ รือประมวลผลขอ้ มูลสว่ นบคุ คล แต่ละฝ่ ายในองคก์ รควรร่วมกาหนดแนวทางหรือนโยบายในการ ดาเนินการด้านขอ้ มูลส่วนบุคคล (Standard Operating Procedure) และบนั ทึกรายการขอ้ มูลส่วนบุคคลท่ีมีการเก็บหรือ ใช้ (Records of Processing Activity: ROPA) ท้งั ขอ้ มูลท่ีจดั เก็บในฐานขอ้ มูลอิเล็กทรอนิกส์ ขอ้ มูลเอกสารที่จบั ตอ้ งได้ ขอ้ มูลส่วนบุคคลทว่ั ไป ขอ้ มูลส่วนบุคคลท่ีอ่อนไหว (Sensitive Personal Data) ซ่ึงเป็ นขอ้ มูลที่ระบุตวั บุคคลไดเ้ ฉพาะเจาะจง มากข้ึน เช่น เช้ือชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทาง เพศ ประวตั ิอาชญากรรม ขอ้ มูลสุขภาพ ขอ้ มูลสหภาพแรงงาน ขอ้ มูล พนั ธุกรรม ขอ้ มูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิ ดเผย ขอ้ มูลส่วนบุคคลให้กบั บุคคลที่ไม่มีความรับผิดชอบโดยตรง
สิ่งทีค่ วรทำ • แอด Line เจา้ ของขอ้ มลู สว่ นบคุ คล หลงั จากขออนญุ าตแลว้ • ส่ง Direct Marketing ใหล้ กู คา้ หลงั จากที่ลกู คา้ ยินยอม แลว้ • ส่งขอ้ มลู ลกู คา้ จาก Cookie ไป Target Advertising ตอ่ หลงั จากท่ลี กู คา้ ยินยอมแลว้ • สง่ ขอ้ มลู ให้ Vendor หลงั จากบริษทั ไดท้ าความตกลงกบั Vendor ท่ีมขี อ้ กาหนดเรอ่ื งความคมุ้ ครองขอ้ มลู ส่วนบคุ คล แลว้ • การใหบ้ รกิ ารท่ีตอ้ งวิเคราะหข์ อ้ มลู สว่ นบคุ คลจานวนมากหรอื ใช้ Sensitive Personal Data เชน่ การสแกนใบหนา้ จะตอ้ งขอความยินยอมกอ่ น • รวบรวมสถติ ิลกู คา้ เพอื่ พฒั นาบรกิ าร โดยไม่ใชข้ อ้ มลู ส่วนบุคคล ของลกู คา้
STEP 3 มาตรการด้านความปลอดภยั ของข้อมลู สว่ นบุคคล • กาหนดแนวทางอยา่ งนอ้ ยตามมาตรฐานขน้ั ต่าดา้ นการรกั ษาความ ปลอดภยั ขอ้ มลู สว่ นบคุ คล (Minimum Security Requirements) ไดแ้ ก่ การรกั ษาความลบั (Confidentiality) ความถูกตอ้ งครบถว้ น (Integrity) และ สภาพพรอ้ มใชง้ าน (Availability) ซ่งึ ควรครอบคลมุ ถงึ มาตรการ ปอ้ งกนั ดา้ นการบริหารจัดการ (Administrative Safeguard) มาตรการปอ้ งกนั ดา้ นเทคนคิ (Technical Safeguard) และมาตรการปอ้ งกนั ทางกายภาพ (Physical Safeguard) ในเร่อื งการเขา้ ถึงหรือควบคมุ การใชง้ านขอ้ มลู ส่วน บคุ คล (Access Control) ตามประกาศกระทรวงดิจิทลั เพื่อ เศรษฐกิจและสงั คม • กาหนดนโยบายรกั ษาระยะเวลาการเกบ็ ขอ้ มลู และการทาลาย เอกสารทม่ี ขี อ้ มลู ส่วนบคุ คล (Data Retention) • มกี ระบวนการ Breach Notification Protocol ซง่ึ เป็น ระบบแจง้ เตือนเพอื่ ปกปอ้ งขอ้ มลู จากการโจมตีจากผไู้ ม่หวงั ดี
STEP 4 การสง่ หรือเปดิ เผยขอ้ มลู สว่ นบุคคล • ทาสญั ญาหรอื ขอ้ ตกลงกบั ผใู้ หบ้ ริการภายนอก หรือทา Data Processing Agreement เพื่อคมุ้ ครองขอ้ มลู สว่ นบคุ คลให้ เป็นไปตามมาตรฐานกฎหมาย PDPA • ในกรณีโอนขอ้ มลู ไปตา่ งประเทศ ใหท้ าสญั ญากบั บริษทั ปลายทางเพ่ือคมุ้ ครองขอ้ มลู ตามมาตรฐาน PDPA • มกี ระบวนการรบั คารอ้ งจากเจา้ ของขอ้ มลู สว่ นบคุ คล ควรเป็นวธิ ี ทีง่ ่ายไม่ซบั ซอ้ น และไมก่ าหนดเง่อื นไข อาจผา่ นการย่นื แบบฟอรม์ ส่งคารอ้ งผา่ นช่อง Chat หรือสง่ อเี มลก็ได้
STEP 5 การกำกับดูแลข้อมูลส่วนบุคคล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มลู ส่วนบคุ คล ซ่งึ เป็นหนว่ ยงานภาครฐั เป็นผกู้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ต่ละ องคก์ รตอ้ งปฏิบตั ติ าม โดยองคก์ รท่ีทาการเกบ็ รวบรวม นาไปใช้ หรือ เปิดเผยขอ้ มลู ของเจา้ ของขอ้ มลู ส่วนบคุ คลในราชอาณาจกั รไทยเพือ่ การขายสนิ คา้ หรือบริการใหก้ ับเจา้ ของขอ้ มลู ควรมเี จา้ หนา้ ท่ีคมุ้ ครอง ขอ้ มลู หรือ DPO (Data Protection Officer) ซง่ึ เป็นผมู้ ี ความรูด้ า้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและ ตรวจสอบนโยบายการเกบ็ รกั ษาขอ้ มลู สว่ นบคุ คลของลกู คา้ ใหเ้ กิด ความปลอดภยั ทงั้ นขี้ นึ้ อย่กู ับขนาดและประเภทของธุรกิจเป็นเกณใ์ น การพิจารณาว่าควรแต่งตง้ั DPO หรอื ไม่ ? และทส่ี าคญั หากผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลและบคุ ลากรในองคก์ รมี ความรูค้ วามเขา้ ใจและปฏบิ ตั ติ ามมาตรการรกั ษาความปลอดภยั ของ ขอ้ มลู ตาม PDPA แลว้ ความเส่ียงกรณีขอ้ มลู ถกู ละเมดิ กจ็ ะนอ้ ยลง ซ่งึ จะสรา้ งความเช่อื ม่นั ต่อองคก์ รใหก้ บั ผใู้ ชง้ านไดเ้ ป็นอย่างดี หากคณุ ยงั มขี อ้ สงสยั เก่ียวกบั DPO คือใคร ทาหนา้ ท่ีอะไรบา้ ง และจาเป็นต่อ องคก์ รของคณุ หรือไม่ ทาหนา้ ท่ีอะไรบา้ ง สามารถศึกษาเพิ่มเติมไดท้ ่ี บทความ: DPO คืออะไร ? ตวั ชว่ ยดแู ลขอ้ มลู สว่ นบคุ คลทไ่ี วใ้ จได้
ตอนนถี้ งึ เวลาแลว้ ท่อี งคก์ รต่าง ๆ จะตอ้ งปฏบิ ตั ิตาม PDPA อย่าง เครง่ ครดั หากคณุ กาลงั มองหาตวั ช่วยในการเร่ิมกระบวนการ PDPA ไมว่ า่ จะเป็นการสรา้ งนโยบายความเป็นสว่ นตวั การสรา้ งแบนเนอรข์ อ ความยนิ ยอมในการเก็บขอ้ มลู หรืออยากเรยี นรูเ้ ก่ียวกบั PDPA เพมิ่ เติม เราพรอ้ มช่วยคณุ อยา่ งมืออาชีพ
นางสาว กณั ฐมณี ศภุ ลกั ษณห์ ริ ญั 66302040078 1 สทธ 3
Search
Read the Text Version
- 1 - 13
Pages:
