มารู้จัก PDPA คืออะไร แล้วเราควรเตรียมตัวอย่างไร

มารู้จัก PDPA คืออะไร? แล้วเราควรเตรียมตัวอย่างไร?

ตอนนี้ทุกคนอาจจะได้ยินข่าวเรื่องของ PDPA กันมาบ้างแล้วใช่ไหมครับ ว่ามันคืออะไร และได้เริ่มใช้งานไปแล้วตั้งแต่วันที่ 1 มิ.ย. 65 แต่ก็ยังมีหลาย ๆ คนที่เข้าใจผิดเกี่ยวกับตัว PDPA อยู่เช่นกัน วันนี้ผมจะพาทุกคนมารู้จัก PDPA และทำความเข้าใจกับมัน พร้อมทั้งการเตรียมตัวเพื่อที่จะไม่ละเมิดกฏหมายข้อนี้กันครับ

PDPA คือ อะไร?

PDPA หรือ Personal Data Protection Act เป็น พรบ.คุ้มครองข้อมูลส่วนบุคคล ถูกสร้างขึ้นเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ป้องกันการเข้าถึงข้อมูลโดยไม่ชอบและไม่ได้รับความยินยอมจากเจ้าข้องข้อมูล ซึ่งในปัจจุบัน มีการเข้าถึงข้อมูลส่วนบุคคลได้จากหลาย ๆ ช่องทาง โดยเฉพาะ การทำการตลาดในธุรกิจ ที่จำเป็นต้องมีการเก็บข้อมูลส่วนบุคคล เพื่อไม่ให้เกิดการละเมิดหรือนำข้อมูลส่วนบุคคลไปใช้ในทางมิชอบ จึงได้มีการบัญญัติพรบ.นี้ขึ้นมานั่นเอง

โดยกฏหมายนี้ ได้เริ่มใช้งานไปแล้วตั้งแต่วันที่ 1 มิ.ย. 2565 โดยจะคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ข้อมูลทั่วไป จนถึงข้อมูลเฉพาะ ไม่ว่าจะเป็น

  • ชื่อ-นามสกุล
  • ที่อยู่
  • เบอร์โทรศัพท์
  • อีเมล
  • เลขบัตรประชาชน/เลขใบอนุญาตขับขี่/เลขหนังสือเดินทาง
  • ข้อมูลทางการศึกษา
  • วันเดือนปีเกิด
  • ข้อมูลที่สามารถระบุตัวตนได้บนอินเทอร์เน็ต ทั้ง Username/Password และอื่น ๆ อีกมากหมาย

ซึ่ง PDPA เป็นกฏหมายที่ถอดแบบมาจาก GDPR หรือ General Data Protection Regulation เป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่ใช้งานกันอย่างสากล จุดประสงค์ของกฏหมายทั้ง 2 ประเภทนี้เหมือนกันก็คือ ป้องกันไม่ให้ข้อมูลส่วนบุคคลถูกละเมิด และป้องกันไม่ให้ผู้ประสงค์ไม่ดี นำข้อมูลไปใช้เพื่อข่มขู่ทั้งตัวเจ้าของข้อมูลและผู้รักษาข้อมูลนี้ และผมจะมาสรุปถึงวิธีการปฏิบัติตามกฏหมาย PDPA ว่าต้องทำอย่างไร

ขั้นตอนการปฏิบัติตามกฏหมาย PDPA

การเก็บรวบรวมข้อมูล

  1. สร้าง Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวมข้อมูล
    เจ้าของเว็บไซต์ ควรแจ้งเจ้าของข้อมูลเกี่ยวกับการเก็บรวบรวมข้อมูล โดยสามารถทำได้โดยการสร้างหน้า Privacy Policy และแจ้งว่าต้องการเก็บข้อมูลไปเพื่อทำอะไร ใช้ประโยชน์กับข้อมูลอย่างไร ให้เจ้าของข้อมูลยินยอมก่อนนำไปใช้
  2. แจ้งการเก็บข้อมูล Cookie ผ่านหน้าเว็บไซต์ และ Third-Party ที่มีการรวบรวมข้อมูลส่วนบุคคลเพื่อไปใช้ในการตลาด ก็ต้องมีการแจ้งเพื่อขอความยินยอมด้วยเช่นกัน

การใช้หรือประมวลผลส่วนบุคคล

องค์กรควรมีนโยบายในการดำเนินข้อมูลส่วนบุคคล และมีบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บและใช้ ทั้งข้อมูลที่เป็นอิเล็กทรอนิกส์และข้อมูลที่เป็นเอกสารที่จับต้องได้ ข้อมูลที่เก็บทั้งข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งข้อมูลเหล่านั้น เป็นข้อมูลที่ระบุได้เฉพาะเจาะจงมากขึ้น ต้องห้ามเปิดเผยให้คนที่ไม่ใช่ผู้รับผิดชอบข้อมูลโดยตรงโดยเด็ดขาด

มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

ต้องมีการกำหนดแนวทางในการใช้ข้อมูลอย่างปลอดภัย ตามมาตรฐานด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ได้แก่

  1. การรักษาความลับ
  2. ความถูกต้องครบถ้วนและสภาพพร้อมใช้งาน
  3. มาตรการป้องกันด้านการบริหารจัดการ
  4. มาตรการป้องกันด้านเทคนิค
  5. มาตรการป้องกันทางกายภาพรวมถึงกำหนดนโบายรักษาระยะเวลาในการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคลและต้องมีการแจ้งเตือน เพื่อปกป้องข้อมูลที่ได้รับการโจมตีจากผู้ไม่หวังดีด้วย

การส่งหรือเปิดเผยข้อมูลส่วนบุคคล

มีการทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานของกฏหมาย PDPA หรือถ้าหากมีการโอนข้อมูลไปยังต่างประเทศ ต้องมีร่างสัญญากับปลายทาง เพื่อคุ้มครองข้อมูล

การกำกับดูแลข้อมูลส่วนบุคคล

ผู้กำกับดูแลกฏหมาย PDPA ในประเทศไทย คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยองค์กรใดที่มีการนำข้อมูลส่วนบุคคลไปใช้เพื่อการขายสินค้าและบริการให้กับเจ้าของข้อมูล ต้องมีเจ้าหน้าที่ดูแลข้อมูลในส่วนนี้ หรือที่เราเรียกว่า DPO (Data Protection Officer) ต้องมีความรู้ด้าน PDPA และความรู้ทางด้านกฏหมายเทคโนโลยีด้วย

สรุปสั้น ๆ ง่ายนะครับว่า ตอนนี้กฏหมาย PDPA มีผลบังคับใช้แล้ว องค์กรไหน บริษัทไหน ที่มีการเก็บข้อมูลส่วนบุคคล ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด เพื่อไม่ให้เกิดปัญหาในภายภาคหน้า ถ้าคุณเป็นคนที่ทำเว็บไซต์ โดยใช้ WordPress อยู่แล้ว ผมแนะนำให้ติดตั้งปลั๊กอิน PDPA ซึ่งในตอนนี้มีปลั๊กอินนี้ให้เลือกใช้เยอะเลยครับ เมื่อติดตั้งเสร็จแล้ว ก็สร้างหน้า Privacy Policy เพื่อบอกถึงข้อกำหนดและการเก็บข้อมูลบนเว็บไซต์ของคุณ เพียงแค่ปฏิบัติตามกฏหมาย ก็จะไม่มีปัญหาแล้วครับ

Leave a Reply

Your email address will not be published.