pdpa-ภูวนาท

PDPA คอื อะไร ? PDPA คอื พระราชบญั ญตั คิ มุ้ ครองขอ้ มูลสว่ นบคุ คล ซ่ึงเป็นกฎหมาย ทถี่ กู สรา้ งมาเพอื่ ปอ้ งกนั การละเมดิ ขอ้ มูลสว่ นบคุ คลของทกุ คน รวมถงึ การจดั เกบ็ ขอ้ มูลและนาไปใชโ้ ดยไมไ่ ดแ้ จง้ ใหท้ ราบ และไมไ่ ดร้ บั ความ ยนิ ยอมจากเจา้ ของขอ้ มูลเสยี กอ่ น พระราชบญั ญตั คิ มุ้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คอื กฎหมายใหม่ทอี่ อกมาเพอื่ แกไ้ ขปัญหาการถกู ลว่ งละเมิดขอ้ มูลสว่ นบคุ คลทเี่ พ่มิ มากขึน้ เรอื่ ย ๆ ใน ปัจจบุ นั เชน่ การซอื้ ขายขอ้ มูลเบอรโ์ ทรศพั ทแ์ ละขอ้ มูลสว่ นตวั อนื่ ๆ โดยทเี่ จา้ ของขอ้ มูลไมย่ นิ ยอม ทมี่ กั พบไดม้ ากในรูปแบบการโทรมา โฆษณา หรือลอ่ ลวง โดยกฎหมายนไี้ ดเ้ ร่ิมบงั คบั ใชอ้ ย่างเตม็ รูปแบบเมอื่ วนั ที่ 1 ม.ิ ย. 2565 เป็นกฎหมายทใี่ หค้ วามคมุ้ ครองขอ้ มูลสว่ นบคุ คล เชน่ ชอื่ ทอี่ ยู่ เบอร์ โทรศพั ท์ รูปถา่ ย บญั ชธี นาคาร อเี มล ไอดไี ลน์ บญั ชผี ูใ้ ชข้ องเวบ็ ไซต์ ลายนวิ้ มือ ประวตั สิ ขุ ภาพ เป็นตน้ ซ่ึงขอ้ มูลเหล่านสี้ ามารถระบถุ งึ ตวั เจา้ ของขอ้ มูลนนั้ ได้ อาจเป็นไดท้ งั้ ขอ้ มูลในรูปแบบเอกสาร กระดาษ หนงั สอื หรอื จดั เก็บในรูปแบบอเิ ลก็ ทรอนกิ สก์ ็ได้

PDPA มีความเป็ นมาอย่างไร ? กฎหมาย PDPA เรยี กไดว้ ่าถอดแบบมาจากกฎหมายตน้ แบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซ่งึ เป็นกฎหมายคมุ้ ครอง ขอ้ มูลสว่ นบคุ คลของสหภาพยโุ รป วตั ถปุ ระสงคข์ องการเกบ็ รกั ษาขอ้ มูลสว่ นบคุ คลของกฎหมายทงั้ 2 ฉบบั ก็เพอื่ ปอ้ งกนั ไมใ่ หผ้ ไู้ มป่ ระสงคด์ ที าการแฮ็กขอ้ มูลหรือละเมดิ ความเป็นสว่ นตวั เพอื่ ข่มขู่หวงั ผลประโยชนจ์ ากทงั้ จากตวั เจา้ ของขอ้ มูลเองหรอื จากบคุ คลทดี่ แู ลขอ้ มูล

PDPA สาคัญอย่างไร ? ความสาคญั ของ PDPA คือการทาใหเ้ จา้ ของขอ้ มูลมีสทิ ธิในขอ้ มูลสว่ นตวั ทีถ่ กู จดั เก็บไป แลว้ หรือกาลงั จะถกู จดั เก็บมากขึน้ เพอื่ สรา้ งความปลอดภยั และเป็นสว่ นตวั ใหแ้ ก่เจา้ ของ ขอ้ มูล โดยมีสทิ ธิทสี่ าคญั คอื สทิ ธิการรบั ทราบและยมิ ยอมการเก็บขอ้ มูลสว่ นตวั และสทิ ธิ ในการขอเขา้ ถงึ ขอ้ มูลสว่ นตวั คดั คา้ นและเพกิ ถอนการเก็บและนาขอ้ มูลไปใช้ และสทิ ธิ ขอใหล้ บหรือทาลายขอ้ มูลส่วนตวั สทิ ธทิ เี่ พม่ิ ขนึ้ ของเจา้ ของขอ้ มูล ทาใหผ้ ปู้ ระกอบการขององคก์ รและบริษัทตา่ ง ๆ ตอ้ ง ปรบั เปลยี่ นกระบวนการเก็บรวบรวมและนาขอ้ มูลสว่ นตวั ของเจา้ ของขอ้ มูลไม่ว่าจะเป็น ลกู คา้ พนกั งานในองคก์ ร หรือบุคคลใด ๆ ทเี่ กยี่ วขอ้ งใหเ้ ป็นไปตามหลกั ปฏบิ ตั ขิ อง PDPA พ.ร.บ.คมุ้ ครองขอ้ มูลสว่ นบุคคล โดยหากคณุ เป็นผูป้ ระกอบการ หรือเป็นตวั แทนองค์กรทดี่ าเนนิ การเรือ่ ง PDPA วนั นเี้ รา จะช่วยคณุ เปลีย่ นแนวทางการดาเนินงานเพอื่ ใหส้ อดคลอ้ งกบั กฎหมาย PDPA กนั หากคณุ ตอ้ งการเก็บรวบรวมขอ้ มูล ประมวลผลขอ้ มูล นาขอ้ มูลไปใช้ รวมถงึ การเก็บรกั ษา และดูแลความปลอดภยั ของขอ้ มูลสว่ นบคุ คคลของลูกคา้ และบคุ คลทเี่ กยี่ วขอ้ ง คณุ จะตอ้ ง ดาเนนิ การตามขนั้ ตอนต่อไปนโี้ ดยด่วน เพราะในขณะนีป้ ระเทศไทยไดเ้ ร่ิมบงั คบั ใช้ พ.ร.บ. PDPA แลว้ หากคณุ ไม่ดาเนนิ การตามหลกั ของ PDPA คณุ อาจตอ้ งรบั โทษรา้ ยแรงทงั้ ทางแพง่ อาญา และปกครอง

องค์ประกอบสาคัญของ PDPA บคุ คลทตี่ อ้ งปฎิบตั ติ ามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของ ขอ้ มูลสว่ นบคุ คล (Data Subject) และผูค้ วบคมุ ขอ้ มูลสว่ น บคุ คล (Data Controller) โดยผคู้ วบคมุ ขอ้ มูลสว่ นบคุ คล นนั้ เปรียบเสมือนผูด้ ูแลระบบ เป็นฝ่ายปฏิบตั งิ าน มีหนา้ ทเี่ ก็บ รวบรวม และนาขอ้ มูลสว่ นบคุ คลทขี่ อความยนิ ยอม (Consent) จากเจา้ ของขอ้ มูลไปใช้ ยกตวั อย่างเช่น เวบ็ ไซต์ ขายของออนไลน์ ตวั ผูจ้ ดั ทาเวบ็ ไซตก์ จ็ ะตอ้ งขอขอ้ มูลทงั้ ชอื่ ทอี่ ยู่ เบอรโ์ ทรศพั ท์ ขอ้ มูลการจ่ายเงนิ เพอื่ นาไปดาเนนิ การสง่ั ซือ้ และ จดั สง่ สนิ คา้ ไปยงั ทอี่ ยูข่ องเจา้ ของขอ้ มูล ซ่ึง PDPA เมอื่ ไดข้ อ้ มูล มาแลว้ ก็ตอ้ งจดั ใหม้ มี าตรการรกั ษาความปลอดภยั ขอ้ มูลดว้ ย

ข้ันตอนการทาตาม PDPA ต้องทาอย่างไร ? STEP 1 การเก็บรวบรวมขอ้ มูลส่วนบุคคล จดั ทา Privacy Policy แจง้ ใหเ้ จา้ ของขอ้ มูลสว่ นบคุ คลทราบ องคก์ รหรอื เจา้ ของเวบ็ ไซตส์ ามารถแจง้ เจา้ ของขอ้ มูลผา่ น Privacy Policy บนเวบ็ ไซตห์ รอื แอปพลเิ คชนั หรอื ชอ่ งทางการตดิ ต่ออนื่ ๆ เช่น การลงทะเบียนผา่ นเวบ็ ไซต์ หรือทางโซเชยี ลมเี ดยี • แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพ่ือวัตถุประสงค์ใด • แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเม่ือ • ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กากวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA

STEP 2 การใช้หรือประมวลผลขอ้ มูลส่วนบุคคล แตล่ ะฝ่ ายในองคก์ รควรร่วมกาหนดแนวทางหรอื นโยบายในการ ดาเนนิ การดา้ นขอ้ มูลสว่ นบคุ คล (Standard Operating Procedure) และบนั ทกึ รายการขอ้ มูลสว่ นบคุ คลทมี่ กี ารเก็บหรือใช้ (Records of Processing Activity: ROPA) ทงั้ ขอ้ มูลที่ จดั เก็บในฐานขอ้ มูลอเิ ลก็ ทรอนกิ ส์ ขอ้ มูลเอกสารทจี่ บั ตอ้ งได้ ขอ้ มูลสว่ น บคุ คลท่วั ไป ขอ้ มูลสว่ นบคุ คลทอี่ อ่ นไหว (Sensitive Personal Data) ซ่งึ เป็นขอ้ มูลทรี่ ะบตุ วั บคุ คลไดเ้ ฉพาะเจาะจงมากขึน้ เชน่ เชอื้ ชาติ ความคดิ เหน็ ทางการเมอื ง ศาสนา พฤตกิ รรมทางเพศ ประวตั ิ อาชญากรรม ขอ้ มูลสขุ ภาพ ขอ้ มูลสหภาพแรงงาน ขอ้ มูลพนั ธุกรรม ขอ้ มูลชวี ภาพ (face ID, ลายนวิ้ มอื ) รวมถงึ หา้ มเปิดเผยขอ้ มลู สว่ น บคุ คลใหก้ บั บคุ คลทไี่ มม่ ีความรบั ผดิ ชอบโดยตรง

STEP 3 มาตรการดา้ นความปลอดภยั ของขอ้ มูลส่วนบุคคล กาหนดแนวทางอย่างนอ้ ยตามมาตรฐานขนั้ ต่าดา้ นการรกั ษาความ ปลอดภยั ขอ้ มูลสว่ นบคุ คล (Minimum Security Requirements) ไดแ้ ก่ การรกั ษาความลบั (Confidentiality) ความถกู ตอ้ งครบถว้ น (Integrity) และ สภาพพรอ้ มใชง้ าน (Availability) ซ่งึ ควรครอบคลมุ ถงึ มาตรการ ป้องกนั ดา้ นการบริหารจดั การ (Administrative Safeguard) มาตรการป้องกนั ดา้ นเทคนคิ (Technical Safeguard) และ มาตรการปอ้ งกนั ทางกายภาพ (Physical Safeguard) ในเรอื่ ง การเขา้ ถงึ หรอื ควบคมุ การใชง้ านขอ้ มูลสว่ นบคุ คล (Access Control) ตามประกาศกระทรวงดจิ ทิ ลั เพอื่ เศรษฐกจิ และสงั คม กาหนดนโยบายรกั ษาระยะเวลาการเก็บขอ้ มูล และการทาลายเอกสารที่ มขี อ้ มูลสว่ นบคุ คล (Data Retention) มีกระบวนการ Breach Notification Protocol ซ่งึ เป็นระบบ แจง้ เตอื นเพอื่ ปกปอ้ งขอ้ มูลจากการโจมตจี ากผไู้ มห่ วงั ดี

STEP 4 การส่งหรือเปิ ดเผยขอ้ มูลส่วนบุคคล ทาสญั ญาหรอื ขอ้ ตกลงกบั ผใู้ หบ้ ริการภายนอก หรือทา Data Processing Agreement เพอื่ คมุ้ ครองขอ้ มูลสว่ นบคุ คลให้ เป็นไปตามมาตรฐานกฎหมาย PDPA ในกรณโี อนขอ้ มูลไปตา่ งประเทศ ใหท้ าสญั ญากบั บริษัทปลายทางเพอื่ คมุ้ ครองขอ้ มูลตามมาตรฐาน PDPA มีกระบวนการรบั คารอ้ งจากเจา้ ของขอ้ มูลสว่ นบคุ คล ควรเป็นวธิ ที งี่ า่ ย ไม่ซบั ซอ้ น และไม่กาหนดเงอื่ นไข อาจผา่ นการยนื่ แบบฟอรม์ สง่ คารอ้ ง ผา่ นชอ่ ง Chat หรอื สง่ อเี มลกไ็ ด้

STEP 5 การกากบั ดูแลขอ้ มูลส่วนบุคคล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มูลสว่ น บคุ คล ซ่ึงเป็นหนว่ ยงานภาครฐั เป็นผูก้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ต่ละองคก์ รตอ้ งปฏิบตั ติ าม โดยองคก์ รทที่ าการเกบ็ รวบรวม นาไปใช้ หรือเปิดเผยขอ้ มูลของเจา้ ของขอ้ มูลสว่ นบคุ คล ในราชอาณาจกั รไทยเพอื่ การขายสนิ คา้ หรือบริการใหก้ บั เจา้ ของ ขอ้ มูล ควรมีเจา้ หนา้ ทคี่ มุ้ ครองขอ้ มูล หรือ DPO (Data Protection Officer) ซ่ึงเป็นผมู้ ีความรูด้ า้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและตรวจสอบนโยบายการ เกบ็ รกั ษาขอ้ มูลสว่ นบคุ คลของลูกคา้ ใหเ้ กิดความปลอดภยั ทงั้ นี้ ขึน้ อย่กู บั ขนาดและประเภทของธรุ กิจเป็นเกณฑใ์ นการพจิ ารณา ว่าควรแตง่ ตงั้ DPO หรือไม่ ?





จดั ทำโดย นำยภวู นำท จนั ทรน์ ำน 66302040099 1สทธ3