×

START A PROJECT

We are here to build a high-quality extension for brands to serve your consumers.

    รับคำปรึกษาฟรี
    By Kaewklaow Robru - 16 สิงหาคม 2022

    PDPA คืออะไร? ทำไมถึงต้องให้ความสำคัญกับกฎหมายนี้

    เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมามีการบังคับใช้กฎหมาย PDPA หรือ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคลอย่างเต็มรูปแบบ โดยเลื่อนการประกาศบังคับใช้มาจากปีที่แล้ว ซึ่งได้ประกาศพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA นี้มาตั้งแต่ปี 2562 กฎหมาย PDPA ในประเทศไทยนั้นถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล เพื่อใช้ใ้นการป้องกันข้อมูลส่วนบุคคลจากการเก็บรวบรวมใช้เปิดเผยผิดวัตถุประสงค์ โดยมีกลไกการจัดการข้อมูลส่วนบคุคลที่เหมาะสม เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้รับความคุ้มครอง โดยสามารถตรวจสอบและควบคุมผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของตนเอง และเพื่อสร้างความเชื่อมั่นให้แก่นานาชาติว่าประเทศไทยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

    ภาพ; Security จาก; https://www.pexels.com/photo/security-logo-60504/

    ความสำคัญของ PDPA

    จากข้อมูลของ PDPA.Pro ที่กล่าวถึงเรื่องความสำคัญของ PDPA ว่ากฎหมายนี้คือการทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยินยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว สามารถคัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

    ซึ่งถ้าย้อนกลับไปในบทความที่แล้วที่ผมได้เคยพูดถึงเทคโนโลยีการเก็บข้อมูลต่าง ๆ ในหัวข้อเรื่อง ทำความรู้จักเทคโนโลยีการเก็บข้อมูล ข้อมูลที่คุณมีอยู่ควรเลือกเก็บแบบไหน ซึ่งพูดถึงเรื่องราวในยุคปัจจุบันที่องค์กรต่าง ๆ เห็นคุณค่าของ Big Data เพื่อนำไปต่อยอดธุรกิจนั้นอาจจะต้องมีการคำนึงถึงกฎหมายข้อนี้เป็นอย่างมาก ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งหากต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ รวมถึงการเก็บรักษาและดูแลความปลอดภัยของข้อมูลส่วนบุคคคลของลูกค้าและบุคคลที่เกี่ยวข้อง จะต้องดำเนินการตามขั้นตอนตามกฎหมาย PDPA โดยด่วน เพราะในขณะนี้ประเทศไทยได้เริ่มบังคับใช้ พ.ร.บ. PDPA แล้ว หากไม่ดำเนินการตามหลักของ PDPA อาจจะต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง

    ภาพ; Privacy Policy จาก; https://www.pexels.com/photo/close-up-shot-of-a-typewriter-4160125/

    โทษของการไม่ปฏิบัติตาม PDPA

    - ทุกองค์กรต้องมีจัดทำนโยบายความเป็นส่วนตัวเท่านั้น ไม่มีข้อยกเว้น ต้องจัดทำ Privacy Policy เพื่อให้สอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแสดงความโปร่งใสในการขอจัดเก็บข้อมูล และการนำข้อมูลไปใช้งาน ซึ่งหากไม่ปฏิบัติตามก็จะมีการลงโทษและดำเนินการทางกฎหมายดังนี้

    - โทษปรับสูงสุด 5 ล้านบาท

    - จำคุกสูงสุด 1 ปี

    - จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง

    - กรรมการที่มีส่วนเกี่ยวข้องในการดำเนินงาน อาจต้องรับผิดชอบด้วยในทุกกรณี

    ตัวอย่างการปฏิบัติตาม PDPA

    - จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ เช่น แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด โดยสามารถถอนความยินยอมได้ทุกเมื่อ

    - HR Privacy Policy หรือการเก็บข้อมูลส่วนตัวของพนักงานในบริษัทก็ต้องได้รับความยินยอมเช่นเดียวกัน

    - การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party เช่น การขอจัดเก็บ Cookie ไม่ว่าจะเป็นตำแหน่งโลเคชั่นของผู้ใช้งาน ภาษาการใช้งานหน้าเว็บ หรือข้อมูลของผู้ใช้เพื่อทำการตลาดโฆษณาแบบเจาะกลุ่มเป้าหมาย การใช้ไฟล์คุกกี้ถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ผู้ดูแลเว็บไซต์จะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย (อ้างอิง: PDPA.Pro

    ภาพ; Cookies Consent by Clint Kadera จาก; https://dribbble.com/shots/14914294-Cookies

    นอกจากประเทศไทยมีที่ไหนบ้างที่มีกฎหมาย PDPA

    นั่นอย่างที่บอกไปข้างต้นว่ากฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป มีสาระสำคัญคือ บริษัทธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ นอกจากนี้ในกฎหมายกำหนดไว้ว่า ข้อมูลเหล่านี้จะไม่สามารถนำไปใช้ในเชิงพาณิชย์ได้ หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล การละเมิดกฎระเบียบนี้อาจถูกปรับเป็นจำนวนเงินค่อนข้างสูง และกฎหมายนี้จะมีผลยังคับใช้ปกป้องข้อมูลพลเมืองสหภาพยุโรปไม่ว่าจะอยู่ที่ใดในโลกนี้ และแม้ว่าบริษัทธุรกิจดังกล่าวจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม

    และประเทศในแถบเอเชียก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่คล้ายกับไทยนั่นก็คือ ญี่ปุ่นและ สิงคโปร์ นั่นเอง

    กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น เรียกว่า Act on the Protection of Personal Information: APPI ประกาศใช้อย่างเต็มรูปแบบทุกภาคส่วนในปี 2548 โดยในปี 2562 ที่ผ่านมา ทาง EU รับรองมาตรฐานการคุ้มครองข้อมูลกับประเทศญี่ปุ่น ให้สามารถถ่ายโอนข้อมูลส่วนตัวระหว่างสองเขตเศรษฐกิจได้อย่างอิสระ ช่วยให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นสูงขึ้น เพิ่มขีดความสามารถในการแข่งขันและการทำธุรกิจ โดยกฎหมายนี้มีมาตรการป้องกันไม่ให้สามารถระบุตัวตนได้ รวมถึงข้อมูลส่วนบุคคลทุกประเภทจะต้องได้รับการคุ้มครอง และเจ้าของข้อมูลมีสิทธิในการตรวจสอบ การแก้ไขข้อมูล การไม่ยินยอมให้ประมวลผลได้ด้วย

    ประเทศสิงคโปร์มีตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA มีการบังคับใช้อย่างเต็มรูปแบบในปี 2556 โดยบังคับใช้เฉพาะภาคเอกชนเท่านั้น การขอความยินยอม ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นการขอความยินยอมเฉพาะจุดประสงค์และความยินยอม เฉพาะที่เจ้าของข้อมูลให้การอนุญาต และการคุ้มครองข้อมูลส่วนบุคคลต้องคำนึงถึงความต้องการในการปกป้องความเป็นส่วนตัวของบุคคลและความต้องการขององค์กรในการนำข้อมูลเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย โดยให้ความคุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์

    ภาพ; Personal data protection จาก; https://www.freepik.com/author/macrovector

    สิ่งที่น่าสนใจของ PDPA ประเทศไทย คือการปกป้องข้อมูลของผู้ใช้งานให้มีความปลอดภัย ไม่ทำให้ข้อมูลหลุดออกไปโดยไม่ได้รับอนุญาต โดยเพิ่มขีดจำกัดในการทำธุรกิจระหว่างภาคเอกชนด้วยกันเอง รวมถึงภาคประชาชน จะได้เกิดความมั่นใจในการให้ข้อมูลส่วนบุคคลเพื่อนำไปใช้งาน และมีการคุ้มครองข้อมูลที่ค่อนข้างครอบคลุม ทั้งด้านการคุ้มครองข้อมูลส่วนบุคคลที่เป็นข้อมูลที่ทำให้สามารถระบุตัวตนของบุคคลนั้น ๆ ได้ทั้งทางตรงและทางอ้อม คุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหว อีกทั้งยังคุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์ โดยเจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคล แก้ไขข้อมูลให้เป็นปัจจุบัน และถอนความยินยอมได้ตลอดเวลา ซึ่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องให้คำแนะนำ ตรวจสอบ และประสานงานกับองค์กรเป็นหลักอีกด้วย (อ้างอิงข้อมูล: ฐานเศรษฐกิจ)

    การประกาศบังคับใช้กฎหมาย PDPA ครั้งนี้อาจนำไปสู่การสร้างความตระหนักแก่ประชากรในประเทศไทยถึงการให้ความสำคัญกับข้อมูลส่วนบุคคลของผู้อื่นในหลาย ๆ แง่ และอาจทำให้ประชาชนทั่วไปอย่างเราอาจจะต้องคำนึงถึงการให้ข้อมูลหรือการถูกขอข้อมูลว่ามันจำเป็นที่จะให้ไปมากขนาดไหน มีประโยชน์ต่อเราหรือไม่ องค์กรขอข้อมูลของเราไปเพื่ออะไร เพื่อปกป้องสิทธิส่วนบุคคลขั้นพื้นฐานของตัวเราที่พึงมีอยู่ในปัจจุบันนี้

    SHARE THIS STORY

    RELATES TAGS

    MORE ARTICLES

    15.10.2024
    27.05.2024
    25.03.2024

    0 Comment

    Hocco Co.,Ltd.

    226 Visetsiri Building Phaholyothin Road, Samsen Nai Sub-district, Phayathai District, Bangkok 10400

    Hocco we are here to build a high-quality extension for brands to serve your consumers.

    COPYRIGHT © 2020 HOCCO CO.,LTD. ®