PDPA ฉบับรวบรัด รวมทุกอย่างที่ธุรกิจต้องมี | Techsauce

PDPA ฉบับรวบรัด รวมทุกอย่างที่ธุรกิจต้องมี

หาก Data คือหัวใจสำคัญสำหรับธุรกิจในปัจจุบัน และอนาคต PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็คือหัวใจสำคัญในการเก็บ ใช้ และปกป้องความปลอดภัยของ Data ที่ทุกธุรกิจต้องรู้ และเตรียมตัวรับมือ โดยสำหรับหมวดที่เกี่ยวข้องกับภาคธุรกิจกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 ในบทความนี้เราจะขอนำทุกท่านไปทำความเข้าใจ PDPA อย่างรวบรัด และสรุปสิ่งที่ทุกธุรกิจต้องมีเพื่อให้สอดคล้องกับข้อกำหนดทางกฏหมายทั้งหมด

PDPA คืออะไร

PDPA ( Personal Data Protection Act ) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ไปเมื่อวันที่ 28 พฤษภาคม 2562 แต่ในหมวดที่เกี่ยวข้องกับภาคธุรกิจถูกเลื่อนไปให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 โดย พ.ร.บ. นี้มีขึ้นมาเพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด มีผลกับทั้งบุคคลธรรมดา และนิติบุคคลที่อยู่ในไทย และในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย โดยสำหรับผู้ที่ละเมิดข้อกฏหมายดังกล่าวอาจจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน

“ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” และ “สิทธิของเจ้าของข้อมูล”

ข้อมูลใด ๆ ก็ตามที่สามารถระบุตัวตนของเจ้าของข้อมูล (Data Subject) ได้ทั้งในทางตรง และทางอ้อม ทั้งที่เก็บแบบออนไลน์และออฟไลน์ ล้วนคือ “ข้อมูลส่วนบุคคล” เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย เป็นต้น PDPA ยังคุ้มครองไปจนถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive Personal Data)  เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ

โดย PDPA ได้ให้สิทธิกับเจ้าของข้อมูลอย่างครอบคลุม เช่น การได้รับแจ้งว่าจะมีการเก็บข้อมูล สามารถแก้ไข คัดค้านการจัดเก็บ การระงับใช้ ไปจนถึงการขอลบข้อมูล โดย PDPA กำหนดระยะในการทำตามคำร้องขอใช้สิทธิจากเจ้าของข้อมูลภายใน 30 วัน

5 เอกสารและแบบฟอร์มต่างๆ ที่ทุกธุรกิจต้องเตรียม

องค์กรที่ต้องการเก็บหรือใช้ประโยชน์ใดๆ จากข้อมูลส่วนบุคคล จำเป็นต้องดำเนินการตามหลักของ PDPA โดยควรมีเอกสารและแบบฟอร์มต่างๆ เพื่อแจ้งวัตถุประสงค์ ขอความยินยอมการเก็บข้อมูลจากเจ้าของข้อมูล (Consent) รวมไปถึงเตรียมช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิตาม PDPA ได้ โดยเอกสารและแบบฟอร์มเหล่านี้จะสามารถทำผ่านกระดาษหรือระบบออนไลน์ก็ได้ สิ่งสำคัญคือการต้องทำให้อ่านเข้าใจได้ง่าย ไม่ก่อให้เกิดความเข้าใจผิด และปราศจากนัยแอบแฝงโดยเงื่อนไขอื่นๆ แบบฟอร์มต่างๆ ที่ควรต้องเตรียมมีดังต่อไปนี้

1. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing (ROP)

บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่จะบอกว่าองค์กรหรือบริษัทจัดเก็บข้อมูลส่วนบุคคลที่ไหนอย่างไร นำไปประมวลผลอย่างไรบ้าง วัตถุประสงค์คืออะไร ใครคือผู้เกี่ยวข้องบ้าง นอกจากเป็นข้อกำหนดของ พ.ร.บ. เพื่อการตรวจสอบแล้ว การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP จะช่วยให้องค์เห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมด สามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากขึ้น

2. แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล

ตามที่ PDPA ได้กำหนดสิทธิเพื่อคุ้มครองข้อมูลส่วนบุคคลสำหรับเจ้าของข้อมูลนั้น บริษัทหรือผู้ให้บริการมีหน้าที่ในการจัดเตรียมช่องทางให้เจ้าของข้อมูลสามารถยื่นคำร้องขอใช้สิทธิดังกล่าวได้ไม่ว่าจะเป็นช่องทางใด ๆ ก็ตาม โดยองค์กรหรือผู้ให้บริการมีหน้าที่ต้องดำเนินการตามคำร้องขอภายใน 30 วันหลังจากได้รับคำขอ

สำหรับธุรกิจที่ให้บริการผ่านช่องทางเว็บไซต์ควรสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ให้ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ แบบฟอร์มควรจะมีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน ระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้ 

เมื่อได้รับคำขอใช้สิทธิ องค์กรสามารถพิจารณาว่าจะยอมรับแล้วดำเนินการตามคำร้อง หรือจะปฏิเสธคำขอโดยระบุเหตุผลที่ปฏิเสธไว้ในคำขอด้วย หากบริษัทปฏิเสธคำร้อง เจ้าของข้อมูลก็มีสิทธิยื่นเรื่องให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายพิจารณา

3. แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner

สำหรับเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งาน จำเป็นที่จะต้องมี แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน ตั้งแต่ข้อมูลพื้นฐาน เช่น ชื่อบัญชีผู้ใช้ ไปจนถึงการติดตามประวัติ หรือพฤติกรรมผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ โดยต้องแจ้งผู้ใช้งานทราบตั้งแต่เว็บไซต์มีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง

4. แบบฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล

หากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรหรือบริษัทจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูล โดยต้องแจ้งรายละเอียดสถานการณ์ที่เกิดขึ้นทั้งหมด ไม่ว่าจะเป็นจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล ประเมินผลกระทบที่อาจจะเกิดขึ้น ไปจนถึงระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy

ผู้ให้บริการต้องแจ้ง Privacy Policy หรือนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการ ระบุรายละเอียด และเงื่อนไขทั้งหมดว่าจะเก็บข้อมูลอะไรบ้าง จะนำไปประมวลผลใช้งานอย่างไรบ้าง ระยะเวลาในการจัดเก็บ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางติดต่อบริษัท ซึ่งเป็น "ผู้ควบคุมข้อมูล" (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)

บริการแพลตฟอร์มสร้าง PDPA ทางเลือกที่ง่าย และจบสำหรับทุกธุรกิจ

เมื่อจัดเตรียมเอกสารและแบบฟอร์มสำหรับการทำ PDPA สิ่งที่ต้องคำนึงถึงด้วยคือปัจจัยด้านการเปลี่ยนแปลงของข้อกำหนดทางกฏหมายที่จำเป็นต้องติดตาม และปรับตัวให้เท่าทันตลอดเวลา แต่อาจจะเป็นเรื่องลำบากสำหรับธุรกิจขนาดเล็กไปจนถึงขนาดกลางที่ไม่มีทีมดูแลด้านกฏหมายเป็นของตัวเอง

อีกปัจจัยคือเรื่องของภาษา ในกรณีที่ผู้ใช้งานที่เป็นเจ้าของข้อมูลใช้ภาษาอื่นๆ ซึ่งต้องแปลแบบฟอร์มเป็นภาษานั้น ๆ ให้ถูกต้องตามหลักภาษาทางกฏหมาย

สุดท้ายคือเรื่องของ User Experience โดยเฉพาะธุรกิจที่ให้บริการผ่านช่องทางออนไลน์ จะทำอย่างไรให้ขั้นตอนการขอ Consent ต่างๆ ซึ่งมีรายละเอียดจำนวนมาก และซับซ้อน ให้เป็นมิตรกับผู้ใช้งาน ผ่านการออกแบบให้เข้าใจง่าย ใช้งานง่าย และใช้ได้อย่างสะดวกในทุกแพลตฟอร์ม

ทางเลือกที่น่าสนใจ และตอบโจทย์ปัจจัยประเด็นที่กล่าวมาข้างต้นคือการเลือกใช้แพลตฟอร์มที่เปิดให้เข้าไปสร้างแบบฟอร์ม PDPA อย่างบริการของ PDPA Pro https://pdpa.pro ที่สามารถสร้าง Privacy Policy ให้กับเว็บไซต์ของคุณอย่างง่ายและฟรี ครอบคลุมการอัพเดทรายละเอียดกฏหมายที่อาจจะมีเพิ่มเติมในอนาคต ได้ทั้ง Privacy Policy ฉบับภาษาไทย และภาษาอังกฤษผ่านการทำเพียงครั้งเดียว ซึ่งนอกจากในส่วนของเงื่อนไข PDPA สำหรับธุรกิจที่เข้าเงื่อนไขกฏหมายคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศอย่าง CCPA ของรัฐแคลิฟอร์เนีย หรือ GDPR ของยุโรป ซึ่งจะมีทั้งเงื่อนไขที่เหมือนและแตกต่างจาก PDPA ของไทย ก็สามารถใช้บริการเสริมจาก PDPA Pro ในการสร้างแบบฟอร์มที่สอดคล้องกับกฏหมายนั้น ๆ ได้เช่นกัน ไปจนถึงบริการ สร้าง Cookie บนเว็บไซต์ที่สอดคล้องกับข้อกำหนดของ PDPA ง่ายๆ  https://cookiewow.com และ สร้างแบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูลตาม PDPA บนเว็บไซต์ https://pdpaform.com

ทั้งหมดนี้คือประเด็น PDPA ฉบับรวบรัด รวมไปถึงเรื่องของเอกสารแบบฟอร์มต่างๆ ที่ทุกธุรกิจควรต้องมี อีกปัจจัยสำคัญคือการเตรียมคนในองค์กรให้พร้อมสำหรับความเปลี่ยนแปลงที่จะมาถึง เพราะต่อให้องค์กรมีการกำหนดข้อปฏิบัติตาม PDPA ครบถ้วน แต่หากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามอย่างเคร่งครัดก็อาจจะทำให้เกิดการละเมิดข้อกฏหมายนำไปสู่บทลงโทษที่รุนแรงได้

ทั้งนี้ Mindset ที่สำคัญที่ผู้บริหารไปจนถึงพนักงานทุกระดับควรมีคือไม่มุ่งเน้นประเด็นว่า PDPA เป็นอุปสรรคต่อการดำเนินธุรกิจ แต่เป็นสิทธิในการปกป้องข้อมูลส่วนบุคคลที่เจ้าของข้อมูลทุกคนควรได้รับ และเป็นหลักปฏิบัติตามมาตรฐานระดับสากลที่จะทำให้องค์กร และภาพรวมเศรษฐกิจประเทศไทยมีมาตรฐานในการทำธุรกิจร่วมกับนานาชาติได้อย่างเท่าทันความเปลี่ยนแปลงของยุคสมัย

หากต้องการทราบข้อมูลหรือรายละเอียดบริการตัวช่วยในการทำ PDPA เพิ่มเติม ติดต่อได้ที่ https://www.facebook.com/pdpapro/

บทความนี้เป็น Advertorial

Sign in to read unlimited free articles

No comment

RELATED ARTICLE

Responsive image

VC เผยวิธีมองสตาร์ทอัพให้ขาด ก่อน ORZON Ventures เข้าไปลงทุน

คุยกับ 'คุณณรัณภัสสร์ ฐิติพัทธกุล ผู้อำนวยการการลงทุน ORZON Ventures' เรื่องการทำงานระหว่าง OR กับ 500 TukTuks, เกณฑ์การพิจารณาสตาร์ทอัพที่น่าลงทุน, เหตุที่บางดีลเกิด/ไม่เกิด รวม...

Responsive image

ติววิชา Sustainability ก่อนมุ่งสู่ ‘ESG Report’ คอนเทนต์ที่สตาร์ทอัพควรอ่าน จากงาน ESG ESSENTIAL WORKSHOP

Key Messages เกี่ยวกับ Sustainability & ESG จากงานสัมมนา ESG ESSENTIAL WORKSHOP: Navigating Sustainability for Post-Revenue Startups ในโครงการ KATALYST by KBank โดย Beacon VC...

Responsive image

ปรับองค์กรสู่ Digital Future เริ่มที่ ‘คน’ หรือ ‘เทคโนโลยี’ ฟัง NTT DATA ผู้เชี่ยวชาญ Digital Transformation

บทความนี้ Techsauce จะพาไปหาคำตอบว่า…ทำไมทรัพยากรคนถึงมีผลต่อ Digital Transformation และองค์กรควรรับมืออย่างไร?...