ตอนนี้ทุกคนอาจจะได้ยินข่าวเรื่องของ PDPA กันมาบ้างแล้วใช่ไหมครับ ว่ามันคืออะไร และได้เริ่มใช้งานไปแล้วตั้งแต่วันที่ 1 มิ.ย. 65 แต่ก็ยังมีหลาย ๆ คนที่เข้าใจผิดเกี่ยวกับตัว PDPA อยู่เช่นกัน วันนี้ผมจะพาทุกคนมารู้จัก PDPA และทำความเข้าใจกับมัน พร้อมทั้งการเตรียมตัวเพื่อที่จะไม่ละเมิดกฏหมายข้อนี้กันครับ
PDPA คือ อะไร?
PDPA หรือ Personal Data Protection Act เป็น พรบ.คุ้มครองข้อมูลส่วนบุคคล ถูกสร้างขึ้นเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ป้องกันการเข้าถึงข้อมูลโดยไม่ชอบและไม่ได้รับความยินยอมจากเจ้าข้องข้อมูล ซึ่งในปัจจุบัน มีการเข้าถึงข้อมูลส่วนบุคคลได้จากหลาย ๆ ช่องทาง โดยเฉพาะ การทำการตลาดในธุรกิจ ที่จำเป็นต้องมีการเก็บข้อมูลส่วนบุคคล เพื่อไม่ให้เกิดการละเมิดหรือนำข้อมูลส่วนบุคคลไปใช้ในทางมิชอบ จึงได้มีการบัญญัติพรบ.นี้ขึ้นมานั่นเอง
โดยกฏหมายนี้ ได้เริ่มใช้งานไปแล้วตั้งแต่วันที่ 1 มิ.ย. 2565 โดยจะคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ข้อมูลทั่วไป จนถึงข้อมูลเฉพาะ ไม่ว่าจะเป็น
- ชื่อ-นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- เลขบัตรประชาชน/เลขใบอนุญาตขับขี่/เลขหนังสือเดินทาง
- ข้อมูลทางการศึกษา
- วันเดือนปีเกิด
- ข้อมูลที่สามารถระบุตัวตนได้บนอินเทอร์เน็ต ทั้ง Username/Password และอื่น ๆ อีกมากหมาย
ซึ่ง PDPA เป็นกฏหมายที่ถอดแบบมาจาก GDPR หรือ General Data Protection Regulation เป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่ใช้งานกันอย่างสากล จุดประสงค์ของกฏหมายทั้ง 2 ประเภทนี้เหมือนกันก็คือ ป้องกันไม่ให้ข้อมูลส่วนบุคคลถูกละเมิด และป้องกันไม่ให้ผู้ประสงค์ไม่ดี นำข้อมูลไปใช้เพื่อข่มขู่ทั้งตัวเจ้าของข้อมูลและผู้รักษาข้อมูลนี้ และผมจะมาสรุปถึงวิธีการปฏิบัติตามกฏหมาย PDPA ว่าต้องทำอย่างไร
ขั้นตอนการปฏิบัติตามกฏหมาย PDPA
การเก็บรวบรวมข้อมูล
- สร้าง Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวมข้อมูล
เจ้าของเว็บไซต์ ควรแจ้งเจ้าของข้อมูลเกี่ยวกับการเก็บรวบรวมข้อมูล โดยสามารถทำได้โดยการสร้างหน้า Privacy Policy และแจ้งว่าต้องการเก็บข้อมูลไปเพื่อทำอะไร ใช้ประโยชน์กับข้อมูลอย่างไร ให้เจ้าของข้อมูลยินยอมก่อนนำไปใช้ - แจ้งการเก็บข้อมูล Cookie ผ่านหน้าเว็บไซต์ และ Third-Party ที่มีการรวบรวมข้อมูลส่วนบุคคลเพื่อไปใช้ในการตลาด ก็ต้องมีการแจ้งเพื่อขอความยินยอมด้วยเช่นกัน
การใช้หรือประมวลผลส่วนบุคคล
องค์กรควรมีนโยบายในการดำเนินข้อมูลส่วนบุคคล และมีบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บและใช้ ทั้งข้อมูลที่เป็นอิเล็กทรอนิกส์และข้อมูลที่เป็นเอกสารที่จับต้องได้ ข้อมูลที่เก็บทั้งข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งข้อมูลเหล่านั้น เป็นข้อมูลที่ระบุได้เฉพาะเจาะจงมากขึ้น ต้องห้ามเปิดเผยให้คนที่ไม่ใช่ผู้รับผิดชอบข้อมูลโดยตรงโดยเด็ดขาด
มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
ต้องมีการกำหนดแนวทางในการใช้ข้อมูลอย่างปลอดภัย ตามมาตรฐานด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ได้แก่
- การรักษาความลับ
- ความถูกต้องครบถ้วนและสภาพพร้อมใช้งาน
- มาตรการป้องกันด้านการบริหารจัดการ
- มาตรการป้องกันด้านเทคนิค
- มาตรการป้องกันทางกายภาพรวมถึงกำหนดนโบายรักษาระยะเวลาในการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคลและต้องมีการแจ้งเตือน เพื่อปกป้องข้อมูลที่ได้รับการโจมตีจากผู้ไม่หวังดีด้วย
การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
มีการทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานของกฏหมาย PDPA หรือถ้าหากมีการโอนข้อมูลไปยังต่างประเทศ ต้องมีร่างสัญญากับปลายทาง เพื่อคุ้มครองข้อมูล
การกำกับดูแลข้อมูลส่วนบุคคล
ผู้กำกับดูแลกฏหมาย PDPA ในประเทศไทย คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยองค์กรใดที่มีการนำข้อมูลส่วนบุคคลไปใช้เพื่อการขายสินค้าและบริการให้กับเจ้าของข้อมูล ต้องมีเจ้าหน้าที่ดูแลข้อมูลในส่วนนี้ หรือที่เราเรียกว่า DPO (Data Protection Officer) ต้องมีความรู้ด้าน PDPA และความรู้ทางด้านกฏหมายเทคโนโลยีด้วย
สรุปสั้น ๆ ง่ายนะครับว่า ตอนนี้กฏหมาย PDPA มีผลบังคับใช้แล้ว องค์กรไหน บริษัทไหน ที่มีการเก็บข้อมูลส่วนบุคคล ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด เพื่อไม่ให้เกิดปัญหาในภายภาคหน้า ถ้าคุณเป็นคนที่ทำเว็บไซต์ โดยใช้ WordPress อยู่แล้ว ผมแนะนำให้ติดตั้งปลั๊กอิน PDPA ซึ่งในตอนนี้มีปลั๊กอินนี้ให้เลือกใช้เยอะเลยครับ เมื่อติดตั้งเสร็จแล้ว ก็สร้างหน้า Privacy Policy เพื่อบอกถึงข้อกำหนดและการเก็บข้อมูลบนเว็บไซต์ของคุณ เพียงแค่ปฏิบัติตามกฏหมาย ก็จะไม่มีปัญหาแล้วครับ