PDPA-มณฑาทิพย์ นิลนารถ

PDPA คืออะไร? PDPA คอื พระราชบญั ญตั คิ มุ้ ครองขอ้ มูลส่วนบคุ คล ซ่ึงเป็นกฎหมายทถี่ กู สร้างมาเพ่ือป้องกนั การ ละเมดิ ขอ้ มูลส่วนบคุ คลของทกุ คน รวมถงึ การจดั เก็บขอ้ มูลและนาไปใชโ้ ดยไมไ่ ดแ้ จง้ ใหท้ ราบ และ ไม่ไดร้ ับความยนิ ยอมจากเจา้ ของขอ้ มูลเสียก่อน พระราชบญั ญตั ิคมุ้ ครองขอ้ มูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คอื กฎหมายใหม่ที่ออกมาเพื่อแกไ้ ขปัญหาการถกู ลว่ งละเมดิ ขอ้ มูลส่วนบุคคลท่เี พ่มิ มากข้นึ เรื่อย ๆ ใน ปัจจบุ นั เช่น การซ้ือขายขอ้ มลู เบอร์โทรศพั ทแ์ ละขอ้ มูลส่วนตวั อื่น ๆ โดยที่เจา้ ของขอ้ มูลไมย่ ินยอม ที่มกั พบไดม้ ากในรูปแบบการโทรมาโฆษณา หรือล่อลวงโดยกฎหมายน้ีไดเ้ ร่ิมบงั คบั ใชอ้ ยา่ งเต็ม รูปแบบเมอ่ื วนั ที่ 1 ม.ิ ย. 2565 เป็นกฎหมายท่ใี ห้ความคมุ้ ครองขอ้ มลู ส่วนบุคคล เช่น ชื่อ ทอ่ี ยู่ เบอร์ โทรศพั ท์ รูปถ่าย บญั ชีธนาคาร อีเมล ไอดีไลน์ บญั ชีผูใ้ ชข้ องเว็บไซต์ ลายนิ้วมอื ประวตั ิสุขภาพ เป็นตน้ ซ่ึงขอ้ มลู เหลา่ น้ีสามารถระบถุ ึงตวั เจา้ ของขอ้ มลู น้นั ได้ อาจเป็นไดท้ ้งั ขอ้ มูลในรูปแบบ เอกสาร กระดาษ หนงั สือ หรือจดั เกบ็ ในรูปแบบอเิ ลก็ ทรอนิกส์ก็ได้

PDPA คือ พระราชบญั ญตั ิคุม้ ครองขอ้ มลู ส่วนบคุ คล พ.ศ.2562 PDPA ยอ่ มาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายว่าดว้ ยการ ให้สิทธ์ิกบั เจา้ ของขอ้ มูลส่วนบุคคล สร้างมาตรฐานการรักษาขอ้ มูลส่วนบุคคลใหป้ ลอดภยั และนาไปใชใ้ ห้ถกู วตั ถุประสงคต์ ามคายินยอมที่เจา้ ของขอ้ มลู ส่วนบุคคลอนุญาต โดย กฎหมาย PDPA Thailand (พ.ร.บ.คุม้ ครองขอ้ มูลส่วนบคุ คล) ไดป้ ระกาศไวใ้ นราชกิจจาณุ เบกษาเม่ือวนั ที่ 27 พฤษภาคม 2562 และปัจจุบนั ไดถ้ ูกเลื่อนใหม้ ผี ลบงั คบั ใชใ้ นวนั ที่ 1 มิถนุ ายน 2565

PDPA สำคญั อย่ำงไร? ความสาคญั ของ PDPA คอื การทาใหเ้ จา้ ของขอ้ มลู มีสิทธิในขอ้ มูลส่วนตวั ที่ถกู จดั เก็บ ไปแลว้ หรือกาลงั จะถูกจดั เกบ็ มากข้นึ เพ่อื สร้างความปลอดภยั และเป็นส่วนตวั ให้แก่ เจา้ ของขอ้ มูล โดยมสี ิทธิที่สาคญั คอื สิทธิการรับทราบและยิมยอมการเกบ็ ขอ้ มูลส่วนตวั และสิทธิในการขอเขา้ ถึงขอ้ มลู ส่วนตวั คดั คา้ นและเพิกถอนการเกบ็ และนาขอ้ มูลไปใช้ และสิทธิขอให้ลบหรือทาลายขอ้ มลู ส่วนตวั สิทธิท่ีเพมิ่ ข้ึนของเจา้ ของขอ้ มูล ทาให้ผูป้ ระกอบการขององคก์ รและบริษทั ต่าง ๆ ตอ้ งปรับเปลีย่ นกระบวนการเกบ็ รวบรวมและนาขอ้ มลู ส่วนตวั ของเจา้ ของขอ้ มูลไมว่ า่ จะ เป็นลูกคา้ พนกั งานในองคก์ ร หรือบคุ คลใด ๆ ท่ีเก่ียวขอ้ งใหเ้ ป็นไปตามหลกั ปฏิบตั ิของ PDPA พ.ร.บ.คุม้ ครองขอ้ มูลส่วนบคุ คล โดยหากคณุ เป็นผปู้ ระกอบการ หรือเป็นตวั แทนองคก์ รที่ดาเนินการเร่ือง PDPA วนั น้ี เราจะช่วยคุณเปล่ยี นแนวทางการดาเนินงานเพ่ือใหส้ อดคลอ้ งกบั กฎหมาย PDPA กนั หากคุณตอ้ งการเกบ็ รวบรวมขอ้ มลู ประมวลผลขอ้ มูล นาขอ้ มลู ไปใช้ รวมถึงการเก็บ รักษาและดูแลความปลอดภยั ของขอ้ มูลส่วนบุคคคลของลกู คา้ และบคุ คลที่เกย่ี วขอ้ ง คณุ จะตอ้ งดาเนินการตามข้นั ตอนตอ่ ไปน้ีโดยด่วน เพราะในขณะน้ีประเทศไทยไดเ้ ริ่มบงั คบั ใช้ พ.ร.บ. PDPA แลว้ หากคุณไม่ดาเนินการตามหลกั ของ PDPA คณุ อาจตอ้ งรับโทษ ร้ายแรงท้งั ทางแพง่ อาญา และปกครอง

PDPA มีควำมเป็ นมำอย่ำงไร? กฎหมาย PDPA เรียกไดว้ ่าถอดแบบมาจากกฎหมายตน้ แบบอยา่ งกฎหมาย GDPR (General Data Protection Regulation) ซ่ึงเป็นกฎหมายคุม้ ครองขอ้ มลู ส่วนบคุ คล ของสหภาพยโุ รป วตั ถุประสงคข์ องการเก็บรักษาขอ้ มูลส่วนบุคคลของกฎหมายท้งั 2 ฉบบั กเ็ พ่ือป้องกนั ไมใ่ หผ้ ไู้ มป่ ระสงคด์ ีทาการแฮ็กขอ้ มลู หรือละเมิดความเป็น ส่วนตวั เพือ่ ขม่ ขู่หวงั ผลประโยชน์จากท้งั จากตวั เจา้ ของขอ้ มลู เองหรือจากบุคคลท่ี ดูแลขอ้ มูล



องค์ประกอบสำคญั ของ PDPA บุคคลท่ีตอ้ งปฏิบตั ิตามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของขอ้ มลู ส่วนบุคคล (Data Subject) และผคู้ วบคุมขอ้ มลู ส่วนบุคคล (Data Controller) โดยผคู้ วบคุม ขอ้ มูลส่วนบคุ คลน้นั เปรียบเสมอื นผูด้ แู ลระบบ เป็นฝ่ายปฏิบตั ิงาน มีหนา้ ที่เกบ็ รวบรวม และนาขอ้ มลู ส่วนบคุ คลท่ีขอความยนิ ยอม (Consent) จากเจา้ ของขอ้ มูลไป ใช้ ยกตวั อยา่ งเช่น เวบ็ ไซตข์ ายของออนไลน์ ตวั ผจู้ ดั ทาเวบ็ ไซตก์ ็จะตอ้ งขอขอ้ มลู ท้งั ช่ือ ที่อยู่ เบอร์โทรศพั ท์ ขอ้ มลู การจ่ายเงิน เพ่อื นาไปดาเนินการสงั่ ซ้ือและจดั ส่ง สินคา้ ไปยงั ที่อยขู่ องเจา้ ของขอ้ มูล ซ่ึง PDPA เมอ่ื ไดข้ อ้ มลู มาแลว้ ก็ตอ้ งจดั ใหม้ ี มาตรการรักษาความปลอดภยั ขอ้ มูลดว้ ย

ข้นั ตอนกำรทำตำม PDPA ต้องทำอย่ำงไร ? STEP 1 การเกบ็ รวบรวมขอ้ มูลส่วนบุคคล 1. จดั ทา Privacy Policy แจง้ ให้เจา้ ของขอ้ มลู ส่วนบุคคลทราบ องคก์ รหรือเจา้ ของเวบ็ ไซตส์ ามารถแจง้ เจา้ ของขอ้ มลู ผา่ น Privacy Policy บนเวบ็ ไซตห์ รือ แอปพลิเคชนั หรือช่องทางการติดต่ออ่ืน ๆ เช่น การลงทะเบียนผา่ นเวบ็ ไซต์ หรือทาง โซเซียลมีเดีย แจง้ ว่าจะขอเก็บขอ้ มลู อะไรบา้ ง เพอื่ วตั ถปุ ระสงคใ์ ด แจง้ สิทธิของเจา้ ของขอ้ มูล โดยสามารถถอนความยนิ ยอมไดท้ ุกเมื่อ ขอ้ ความอ่านเขา้ ใจง่าย ชดั เจน ใชภ้ าษาไมก่ ากวม ไม่มีเง่ือนไขในการยนิ ยอม คลิก PDPA Pro เพ่ือสร้าง Privacy Policy ท่ีถกู ตอ้ งตาม PDPA

2. กำรจดั กำรเว็บไซต์ แอปพลิเคชัน และ Third-party นอกจากการจดั ทา Privacy Policy ผา่ นเวบ็ ไซตห์ รือแอปพลเิ คชนั แลว้ การขอจดั เกบ็ Cookie กจ็ ะตอ้ งแจง้ เพ่อื ขอความยินยอมให้ใชข้ อ้ มูลส่วนบุคคลจากผใู้ ชง้ านดว้ ย ซ่ึง ท่ีเราพบเห็นไดท้ ว่ั ไป มกั แจง้ ขอเกบ็ Cookie เป็น Pop up เลก็ ๆ ทางดา้ นล่างเวบ็ ไซต์ คลิก Cookie Wow เพ่อื จดั ทา Cookie Consent Banner เพยี งไมก่ ี่นาที ส่วน Third Party ที่เกบ็ ขอ้ มลู ส่วนบคุ คล เช่น เวบ็ ไซตโ์ ฆษณาที่ทาการตลาด ก็ตอ้ งระบุ วตั ถปุ ระสงคแ์ ละขอความยินยอมการเก็บรวบรวมขอ้ มลู ไวใ้ น Privacy Policy ดว้ ย 3. กำรเกบ็ ข้อมูลพนักงำน สาหรับการเก็บขอ้ มูลส่วนบุคคลของพนกั งานน้นั ก็ตอ้ งจดั ทานโยบายความเป็น ส่วนตวั สาหรับพนกั งานหรือ HR Privacy Policy เพอื่ แจง้ วตั ถปุ ระสงคใ์ นการ ประมวลผลขอ้ มลู ส่วนบุคคลของพนกั งานเช่นเดียวกนั แนะนาว่าสาหรับพนกั งาน เกา่ ใหแ้ จง้ Privacy Policy เป็นเอกสารใหม่ ส่วนพนกั งานใหม่ ใหแ้ จง้ ในใบสมคั ร 1 คร้ัง และแจง้ ในสัญญาจา้ ง 1 คร้ัง คลกิ PDPA Pro เพือ่ สร้าง Privacy Policy สร้าง HR Privacy Policy ถกู ตอ้ งตาม PDPA

STEP 2 กำรใช้หรือประมวลผลข้อมูลส่วนบคุ คล แตล่ ะฝ่ายในองคก์ รควรร่วมกาหนดแนวทางหรือนโยบายในการดาเนินการดา้ น ขอ้ มลู ส่วนบคุ คล (Standard Operating Procedure) และบนั ทึกรายการขอ้ มลู ส่วน บคุ คลท่ีมกี ารเกบ็ หรือใช้ (Records of Processing Activity: ROPA) ท้งั ขอ้ มลู ที่ จดั เกบ็ ในฐานขอ้ มูลอิเลก็ ทรอนิกส์ ขอ้ มลู เอกสารท่ีจบั ตอ้ งได้ ขอ้ มูลส่วนบุคคล ทว่ั ไป ขอ้ มูลส่วนบคุ คลท่ีออ่ นไหว (Sensitive Personal Data) ซ่ึงเป็นขอ้ มลู ที่ระบตุ วั บคุ คลไดเ้ ฉพาะเจาะจงมากข้นึ เช่น เช้ือชาติ ความคดิ เห็นทางการเมอื ง ศาสนา พฤติกรรมทางเพศ ประวตั ิอาชญากรรม ขอ้ มูลสุขภาพ ขอ้ มูลสหภาพแรงงาน ขอ้ มลู พนั ธุกรรม ขอ้ มลู ชีวภาพ (face ID, ลายนิ้วมอื ) รวมถึงห้ามเปิ ดเผยขอ้ มูลส่วนบุคคล ใหก้ บั บุคคลที่ไมม่ ีความรับผิดชอบโดยตรง

ส่ิงที่ควรทำ • แอด Line เจา้ ของขอ้ มูลส่วนบคุ คล หลงั จากขออนุญาตแลว้ • ส่ง Direct Marketing ใหล้ ูกคา้ หลงั จากที่ลูกคา้ ยินยอมแลว้ • ส่งขอ้ มลู ลกู คา้ จาก Cookie ไป Target Advertising ต่อ หลงั จากท่ีลูกคา้ ยินยอม แลว้ • ส่งขอ้ มลู ให้ Vendor หลงั จากบริษทั ไดท้ าความตกลงกบั Vendor ที่มขี อ้ กาหนด เรื่องความคุม้ ครองขอ้ มลู ส่วนบคุ คลแลว้ • การให้บริการท่ีตอ้ งวเิ คราะห์ขอ้ มลู ส่วนบคุ คลจานวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหนา้ จะตอ้ งขอความยินยอมกอ่ น • รวบรวมสถิติลูกคา้ เพ่ือพฒั นาบริการ โดยไม่ใชข้ อ้ มูลส่วนบุคคลของลูกคา้

STEP 3 มำตรกำรด้ำนควำมปลอดภัยของข้อมูลส่วนบุคคล • กำหนดแนวทำงอย่ำงน้อยตำมมำตรฐำนข้นั ตำ่ ด้ำนกำรรักษำควำมปลอดภัย ข้อมูลส่วนบคุ คล (Minimum Security Requirements) ได้แก่ กำรรักษำ ควำมลับ (Confidentiality) ควำมถกู ต้องครบถ้วน (Integrity) และสภำพ พร้อมใช้งำน (Availability) ซึ่งควรครอบคลุมถงึ มำตรกำรป้องกันด้ำนกำร บริหำรจดั กำร (Administrative Safeguard) มำตรกำรป้องกนั ด้ำนเทคนคิ (Technical Safeguard) และมำตรกำรป้องกันทำงกำยภำพ (Physical Safeguard) ในเร่ืองกำรเข้ำถึงหรือควบคมุ กำรใช้งำนข้อมูลส่วนบุคคล (Access Control) ตำมประกำศกระทรวงดิจทิ ลั เพื่อเศรษฐกิจและสังคม • กำหนดนโยบำยรักษำระยะเวลำกำรเก็บข้อมูล และกำรทำลำยเอกสำรท่มี ี ข้อมลู ส่วนบคุ คล (Data Retention) • มกี ระบวนกำร Breach Notification Protocol ซ่ึงเป็ นระบบแจ้งเตือนเพ่ือ ปกป้องข้อมูลจำกกำรโจมตีจำกผู้ไม่หวังดี

STEP 4 กำรส่งหรือเปิ ดเผยข้อมูลส่วนบคุ คล • ทาสญั ญาหรือขอ้ ตกลงกบั ผใู้ ห้บริการภายนอก หรือทา Data Processing Agreement เพื่อคุม้ ครองขอ้ มูลส่วนบุคคลใหเ้ ป็นไปตามมาตรฐานกฎหมาย PDPA • ในกรณีโอนขอ้ มลู ไปตา่ งประเทศ ใหท้ าสัญญากบั บริษทั ปลายทางเพ่อื คุม้ ครอง ขอ้ มูลตามมาตรฐาน PDPA • มกี ระบวนการรับคาร้องจากเจา้ ของขอ้ มูลส่วนบคุ คล ควรเป็นวิธีที่งา่ ยไม่ ซบั ซอ้ น และไม่กาหนดเง่ือนไข อาจผา่ นการย่ืนแบบฟอร์ม ส่งคาร้องผา่ นช่อง Chat หรือส่งอีเมลก็ได้ STEP 5 กำรกำกับดูแลข้อมูลส่วนบคุ คล ในประเทศไทย มีสานกั งานคณะกรรมการคมุ้ ครองขอ้ มูลส่วนบุคคล ซ่ึงเป็น หน่วยงานภาครัฐเป็นผกู้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ตล่ ะองคก์ รตอ้ งปฏิบตั ิตาม โดย องคก์ รท่ีทาการเก็บรวบรวม นาไปใช้ หรือเปิ ดเผยขอ้ มูลของเจา้ ของขอ้ มูลส่วนบคุ คลใน ราชอาณาจกั รไทยเพอ่ื การขายสินคา้ หรือบริการใหก้ บั เจา้ ของขอ้ มูล ควรมเี จา้ หนา้ ที่ คุม้ ครองขอ้ มูล หรือ DPO (Data Protection Officer) ซ่ึงเป็นผมู้ คี วามรู้ดา้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและตรวจสอบนโยบายการเกบ็ รักษาขอ้ มลู ส่วนบคุ คล ของลูกคา้ ใหเ้ กิดความปลอดภยั ท้งั น้ีข้ึนอยกู่ บั ขนาดและประเภทของธุรกิจเป็นเกณฑใ์ น การพิจารณาว่าควรแตง่ ต้งั DPO หรือไม่ ?

จัดทำโดย นำงสำว มณฑำทพิ ย์ นลิ นำรถ 66302040100 1สธท3