PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ผู้ประกอบการทุกคนต้องเข้าใจ!
PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ซึ่งหลังจากบังคับใช้แล้ว ตัวกฎหมายนี้จะส่งผลกระทบกับภาคธุรกิจที่มีข้อมูลส่วนบุคคลอยู่ในมือโดยตรง เราไปดูกันว่าในฐานะผู้ประกอบการ เจ้าของธุรกิจ ผู้บริหารองค์กรต่างๆ นั้น ควรเทคแอคชั่น และเตรียมความพร้อมอย่างไรบ้าง?
กฎหมาย PDPA คืออะไร?
PDPA ย่อมาจาก Personal Data Protection Act เป็นพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีต้นแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป GDPR (General Data Protection Regulation) จุดประสงค์เพื่อปกป้องข้อมูลส่วนตัวของแต่ละบุคคล ไม่ให้ถูกองค์กร บริษัท หรือธุรกิจจัดเก็บหรือนำไปใช้โดยไม่ได้รับความยินยอม
กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคลแบบไหนบ้าง?
ข้อมูลส่วนบุคคลที่พูดถึงนั้น ได้แก่ ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, บัญชีธนาคาร, เลขบัตรเครดิต, อีเมล, บัญชีไลน์, เลขบัตรประชาชน, เลขหนังสือเดินทาง, ทะเบียนบ้าน, วันเดือนปีเกิด, Username/Password จากการลงทะเบียนเว็บไซต์, IP Address, ลายนิ้วมือ, รูปภาพใบหน้า, ทะเบียนรถ, น้ำหนัก/ส่วนสูง, ตำแหน่ง Location รวมถึงข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, ประวัติอาชญากรรม และประวัติการรักษาสุขภาพจิต เป็นต้น ข้อมูลส่วนบุคคลเหล่านี้จะได้รับความคุ้มครองทั้งหมด ไม่ว่าจะอยู่ในรูปแบบของเอกสาร หรือถูกจัดเก็บแบบอิเล็กทรอนิกส์
นั่นหมายความว่าหลังจากบังคับใช้กฎหมาย PDPA แล้ว บริษัท และธุรกิจต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ผ่านทางการสมัครสมาชิก สมัครรับข่าวสาร ลงทะเบียน การทำธุรกรรมออนไลน์ การเข้าถึงตำแหน่งที่ตั้งของผู้ใช้ รวมถึงการจัดเก็บ Cookie นั้น ทุกขั้นตอนต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูล ทั้งยังต้องมีการแจกแจงรายละเอียดว่าจะนำข้อมูลไปใช้กับเรื่องอะไร รวมถึงมีความรัดกุมในการเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัยมากยิ่งขึ้น และเจ้าของข้อมูลมีสิทธิ์ที่จะยกเลิก ระงับ และขอให้ลบข้อมูลส่วนบุคคลนั้นได้ทุกเมื่อ
ดังนั้น หากบริษัท หรือธุรกิจต่างๆ มีการเก็บข้อมูลโดยไม่แจ้งล่วงหน้า ไม่ขอความยินยอม หรือไม่ชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูล จะถือว่ามีความผิด
ใครที่ต้องเตรียมพร้อมรับมือกฎหมาย PDPA
ผู้ที่ต้องเตรียมพร้อมปฏิบัติตามกฎหมาย PDPA ที่กำลังจะบังคับใช้ ได้แก่
- องค์กร บริษัท และธุรกิจที่มีการเก็บข้อมูลของพนักงาน และลูกจ้าง
- องค์กร บริษัท และธุรกิจที่มีการเก็บข้อมูลของลูกค้า ไม่ว่าจะอยู่ในรูปแบบของเอกสาร หรือข้อมูลอิเล็กทรอนิกส์ เช่น เว็บไซต์อีคอมเมิร์ซที่มีการสมัครสมาชิก การทำธุรกรรมออนไลน์ รวมถึงพ่อค้าแม่ค้าออนไลน์ที่มีข้อมูลชื่อ ที่อยู่ และเบอร์โทรของลูกค้า
3 แนวทางเตรียมธุรกิจให้พร้อมทำตามกฎหมาย PDPA
1.ให้ความรู้เรื่องกฎหมาย PDPA กับทุกคนในองค์กร
ขั้นแรกต้องทำให้ทุกคนในองค์กร บริษัท หรือธุรกิจ เข้าใจภาพรวมเกี่ยวกับตัวกฎหมาย PDPA รวมถึงเห็นความสำคัญของการเก็บรักษา และคุ้มครองข้อมูลส่วนบุคคล เพื่อให้พนักงานทุกคนในองค์กรสามารถปฏิบัติหน้าที่ตามกฎหมาย PDPA ได้อย่างถูกต้อง
2.จัดทำ Privacy Policy
บริษัท องค์กร และธุรกิจที่มีการเก็บข้อมูลของลูกค้า หรือผู้ใช้งานเว็บไซต์ ต้องจัดทำ Privacy Policy เพื่อชี้แจงรายละเอียดในการเก็บและการใช้ข้อมูล รวมถึงขอความยินยอมก่อนเก็บข้อมูลส่วนบุคคล เนื้อหาที่ต้องมีใน Privacy Policy เช่น
- จะใช้ข้อมูลส่วนบุคคลในวัตถุประสงค์อะไรบ้าง?
- จัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
- จะเผยแพร่ข้อมูลส่วนบุคคลในช่องทางไหน หรือเผยแพร่ให้ใครบ้าง?
- วิธีการรักษาความปลอดภัยข้อมูลส่วนบุคคล
ส่วนเว็บไซต์ที่มีการเก็บ Cookie* จะต้องแจ้งเพื่อขอความยินยอมจากผู้ใช้งานก่อน โดยส่วนใหญ่แล้วจะมาในรูปแบบของป็อปอัพบาร์ ซึ่งผู้ใช้งานมีสิทธิ์ที่จะยินยอมหรือไม่ก็ได้
*Cookie คือ เครื่องมือในการจัดเก็บข้อมูล เพื่อวิเคราะห์พฤติกรรมของผู้ใช้งานเว็บไซต์ มีจุดประสงค์เพื่อเพิ่มประสิทธิภาพให้การใช้งานบนเว็บไซต์นั้นๆ มากยิ่งขึ้น
นอกจาก Privacy Policy และ Cookie แล้ว ธุรกิจที่มีการทำการตลาด เช่น การประชาสัมพันธ์ผ่านช่องทางต่างๆ ไม่ว่าจะเป็น SMS หรือ Email ต้องได้รับความยินยอมจากลูกค้าก่อน ถึงจะสามารถส่งข้อความหรือจดหมายประชาสัมพันธ์เหล่านั้นได้ ซึ่งลูกค้ามีสิทธิ์ที่จะยินยอม ไม่ยินยอม หรือยกเลิกได้ทุกเมื่อ และหากลูกค้ายกเลิกแล้วก็ต้องหยุดทำการประชาสัมพันธ์ทั้งหมดโดยทันที
3.เตรียมพร้อมรักษาความปลอดภัยให้ข้อมูลส่วนบุคคล
นอกจากการขออนุญาต ขอความยินยอมในการเก็บข้อมูลแล้ว บริษัท องค์กร และธุรกิจต่างๆ มีหน้าที่ต้องรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่เก็บมาด้วย
หากเป็นข้อมูลอิเล็กทรอนิกส์ควรมีมาตรการความปลอดภัยทางด้านไอที เช่น ติดตั้ง Firewall หรือเข้ารหัสข้อมูล (Encryption) เพื่อป้องกันข้อมูลโดนขโมย หรืออาจจะมีการจำกัดคนที่สามารถเข้าถึงข้อมูลส่วนบุคคลผ่านการกำหนดสิทธิ์การเข้าถึง และไม่เปิดเผยข้อมูลส่วนบุคคลให้ผู้ที่ไม่ได้มีหน้าที่รับผิดชอบโดยตรง วิธีนี้จะช่วยป้องกันการรั่วไหลของข้อมูลได้ส่วนหนึ่ง และช่วยให้ตรวจสอบได้ง่ายขึ้นหากเกิดเหตุข้อมูลส่วนบุคคลรั่วไหล
สำหรับข้อมูลส่วนบุคคลในรูปแบบของกระดาษ หนังสือ เอกสาร แผ่นซีดี ต้องจัดเก็บให้เป็นระเบียบ มีการรักษาความปลอดภัยอย่างรัดกุม เช่น ใส่ในตู้เซฟ หรือเก็บในตู้ที่มีกุญแจล็อกแน่นหนา หากต้องการทำลายเอกสารข้อมูลส่วนบุคคลที่ไม่ใช้แล้ว อย่ามัดรวมกันแล้วเก็บไปทิ้ง หรือขายเป็นของเก่าโดยเด็ดขาด ควรใช้เครื่องทำลายเอกสารย่อยเอกสารข้อมูลส่วนบุคคลเหล่านั้นให้เป็นชิ้นเล็กๆ ก่อนแล้วจึงนำไปทิ้ง
สำหรับเอกสารข้อมูลส่วนบุคคลที่เป็นความลับ หรือมีข้อมูลที่อ่อนไหว เช่น สำเนาบัตรประชาชน สำเนาบัญชีธนาคาร ฯลฯ ควรเลือกใช้เครื่องทำลายเอกสารที่สามารถตัดกระดาษเป็นชิ้นเล็กแบบ Micro Cut ระดับ P7 เพื่อป้องกันผู้ไม่ประสงค์ดีนำข้อมูลไปปะติดปะต่อกันได้
บทลงโทษหากไม่ทำตามกฎหมาย PDPA
หากมีการเก็บข้อมูลโดยไม่ยินยอม หรือทำข้อมูลส่วนบุคคลรั่วไหล เจ้าของข้อมูลมีสิทธิ์ไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อลงโทษทางกฎหมายแก่องค์กร ริษัท หรือธุรกิจได้ ซึ่งบทลงโทษมี 3 ประเภท ได้แก่
- บทลงโทษทางอาญา : จำคุกไม่เกิน 6 เดือน – 1 ปี หรือปรับไม่เกิน 500,000 – 1,000,000 บาท หรือทั้งจำทั้งปรับ
- บทลงโทษทางแพ่ง : จ่ายค่าสินไหมทดแทน และค่าสินไหมเพื่อการลงโทษ
- บทลงโทษทางปกครอง : ปรับไม่เกิน 1-5 ล้านบาท
ถ้าเห็นบทลงโทษแล้วร้อนๆ หนาวๆ ก็อย่าลืมเตรียมความพร้อมจัดทำ Privacy Policy และหาวิธีเพิ่มความปลอดภัยให้การจัดเก็บข้อมูลส่วนบุคคลกันนะคะ สำหรับการทำลายเอกสารข้อมูลส่วนบุคคลที่ไม่ใช้แล้ว คุณสามารถเข้ามาเลือกซื้อเครื่องทำลายเอกสารไปช่วยรักษาความปลอดภัยให้ข้อมูลส่วนบุคคลได้เลยในเว็บไซต์ OfficeMate เรามีเครื่องทำลายเอกสารให้เลือกหลากหลายรุ่น ทั้งยังมากฟังก์ชัน ย่อยได้ทั้งกระดาษ คลิปหนีบกระดาษ และลวดเย็บกระดาษโดยไม่ต้องเสียเวลาแกะออก หรือจะย่อยแผ่นซีดี บัตรเครดิต บัตรพนักงานต่างๆ ก็ทำได้ รับรองว่าถูกกฎหมาย ลูกค้าไว้ใจ ความลับไม่รั่วไหล ไม่ต้องเสียเงินล้าน! ช้อปเลย!
บทความแนะนำ!
ขอบคุณข้อมูลจาก
