PDPA กฎหมายสำคัญที่เจ้าของธุรกิจควรรู้

22 กุมภาพันธ์ 2021
PDPA กฎหมายสำคัญที่เจ้าของธุรกิจควรรู้

 

          ในปัจจุบัน ธุรกิจใครมี "ข้อมูล" มากกว่าย่อมได้เปรียบ เพราะคุณสามารถดำเนินการสร้างแผนธุรกิจที่ตอบโจทย์ลูกค้า ให้แตกต่างและน่าสนใจ แน่นอนว่าปลายทางมันคือกำไรทางธุรกิจ หลายธุรกิจเห็นความสำคัญนี้ แล้วเริ่มที่จะเก็บข้อมูลผ่านช่องทางต่างๆ เพื่อนำมาวิเคราะห์และใช้ต่อยอดแผนธุรกิจ ในขณะเดียวกันเมื่อข้อมูลมีประโยชน์และมีมูลค่ามากขึ้น ทำให้สิทธิของเจ้าของข้อมูลและความปลอดภัยของข้อมูลก็สำคัญมากขึ้นเช่นกัน จึงต้องมีกฎหมายสร้างมาคุ้มครอง "ข้อมูล" นั่นเอง

 

PDPA  คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

PDPA (Personal Data Protection Act) คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสาระสำคัญคือ "ห้ามเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล" เพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัว ซึ่งอาจสร้างความเดือดร้อน, ความรำคาญ และความเสียหายต่อของเจ้าของข้อมูลได้ โดยมีแม่แบบกฎหมายจาก GDPR (General Data Protection Regular) กฎหมายคุ้มครองข้อมูลที่ใช้กันอย่างแพร่หลายในยุโรป 

ประเทศไทยเริ่มบังคับใช้ PDPA เมื่อวันที่ 27 พ.ค. 2563 แต่เพราะผลกระทบจาก COVID-19 จึงเลื่อนใช้งานเป็นวันที่ 1 มิ.ย. 2564 เป็นโอกาสให้หลายองค์กรได้ศึกษาเพิ่มเติม เพื่อความรัดกุมในการทำงาน

 

 

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวตนของเจ้าของข้อมูลได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมซึ่งไม่ส่งผลให้เกิดความเสียหาย

  • ข้อมูลทางตรง คือข้อมูลที่ระบุถึงตัวตนเจ้าของข้อมูลอย่างตรงไปตรงมา เช่น
    • ชื่อ นามสกุล
    • อายุ (กรณีที่เป็นเด็กจะต้องได้รับการยินยอมจากผู้ปกครองที่ระบุได้)
    • เลขบัตรประจำตัวประชาชน หรือ หมายเลขหนังสือเดินทาง
    • รูปถ่าย
    • ที่อยู่
    • เบอร์โทรศัพท์
    • อีเมล
    • ฯลฯ
  • ข้อมูลทางอ้อม คือ ข้อมูลที่สามารถแยกแยะประมวลผลเพื่อบ่งบอกตัวตนของบุคคลได้ เช่น ข้อมูลการสั่งซื้อ ข้อมูลการเข้าเว็บไซต์ ข้อมูลการเดินทาง เป็นต้น

นอกจากนี้ยังครอบคลุมไปถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ, ชาติพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา, พฤติกรรมทางเพศ, ข้อมูลทางสุขภาพ หรือข้อมูลอื่นใดๆ ที่ส่งผลกระทบต่อเจ้าของข้อมูล

จะเห็นได้ว่า PDPA ส่งผลต่อทุกภาคส่วน ไม่ว่าจะเป็นลูกค้า ลูกจ้าง พนักงาน องค์กร ผู้ประกอบการ ทุกภาคส่วนมีเกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าข้อมูลนั้นจะจัดเก็บด้วยวิธีใด รูปแบบใด ทุกแพลทฟอร์มมีความเกี่ยวข้องทั้งหมด

 

บุคคลที่เกี่ยวข้องตามหลัก PDPA มีใครบ้าง?

    • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ "ข้อมูลระบุตัวตนถึง"
    • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ "ตัดสินใจ"  ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
    • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่ดำเนินการเก็บ รวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล "ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล" ทั้งนี้ต้องไม่ใช่บุคคลเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

 

Checklist เพื่อเตรียมความพร้อมธุรกิจของคุณกับ PDPA

สำหรับเจ้าของธุรกิจและผู้ประกอบการ แน่นอนว่าต้องมีความเกี่ยวข้องกับ PDPA เพราะคุณอาจจะเคยเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือข้อมูลต่างๆ ที่นำมาใช้วิเคราะห์ต่อยอดพัฒนาการขายและการทำการตลาด จึงสำคัญอย่างมากที่คุณต้องรีบปรับธุรกิจให้รองรับกฎหมายฉบับนี้ ไม่ว่าจะเป็นการวางระบบการเก็บเอกสาร การจัดการข้อมูลต่างๆ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลด้วยเช่นกันค่ะ

คุณต้องเริ่มปรับแผนการทำงานอย่างไร ให้สอดคล้องตาม PDPA เรามี Checklist มาฝาก

    • สร้างความเข้าใจแก่ทุกคนในองค์กรเกี่ยวกับกฎหมาย PDPA ทุกคนจำเป็นต้องรู้ว่าเนื้องานของตัวเอง มีความเกี่ยวข้องอย่างไรกับข้อมูลส่วนบุคคลบ้าง
    • จัดตั้ง "เจ้าหน้าที่คุ้มครองข้อมูล" กรณีที่เป็นองค์กรธุรกิจขนาดใหญ่ ควรมีการจัดตั้งขึ้นโดยเฉพาะ เพื่อความสอดคล้องของกฎหมาย อ่านเพิ่มเติม
    • สำรวจข้อมูลในธุรกิจด้วย Data Map เพื่อให้คุณเห็นภาพว่า ในธุรกิจของคุณมีการเก็บข้อมูลส่วนบุคคลอย่างไรบ้าง โดยข้อมูลที่ขอมาก่อนหน้านี้ เราสามารถใช้ตามวัตถุประสงค์เดิมได้ เว้นแต่ว่ามีการนำข้อมูลไปใช้เพื่อการอื่น จะต้องขอความยินยอมใหม่ 
    • จัดเก็บข้อมูลส่วนบุคคลให้เป็นตามมาตรฐาน PDPA กำหนด
    • เก็บข้อมูลส่วนบุคคลอย่างโปร่งใส ด้วยการแจ้งและขอความยินยอมทุกครั้ง
    • แจ้งเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทันที เมื่อเกิดเหตุข้อมูลรั่วไหล เพื่อประเมินความเสียหายและเยียวยาข้อมูลอย่างทันท่วงที

 

ถ้าธุรกิจของคุณต้องเก็บข้อมูลจากลูกค้า เพื่อให้ถูกต้องตามหลัก PDPA ทุกข้อมูลควรได้รับการยินยอมและรับทราบจากเจ้าของโดยตรง ให้เค้ารู้ว่าเราจะนำข้อมูลนั้นนำไปใช้อย่างไร เพราะถ้าหากเราทำผิดจากที่แจ้งไว้ลูกค้ามีสิทธิแจ้งข้อหาละเมิดกฎหมายได้ค่ะ

 

ถ้าคุณมีเว็บไซต์ในธุรกิจ เรื่องนี้ห้ามพลาดค่ะ

หากธุรกิจของคุณมีเว็บไซต์ สิ่งที่เว็บไซต์ของคุณต้องมีเพื่อให้พร้อมสำหรับ PDPA จะต้องประกอบไปด้วย 3 ส่วน ดังนี้

  1. Privacy Policy
  2. Cookie Consent Banner
  3. แบบฟอร์มการขอใช้สิทธิตามหลัก PDPA

มาดูรายละเอียดกัน ว่าแต่ละข้อนั้นมีรายละเอียดอย่างไรบ้าง

 

☑️ Privacy Policy

เว็บไซต์ธุรกิจของคุณต้องมี Privacy Policy เมื่อธุรกิจมีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การเก็บชื่ออีเมลและเบอร์โทร เพื่อใช้นำเสนอสินค้าและบริการ เพื่อแจ้งเจ้าของข้อมูลว่าเราจะนำข้อมูลที่เก็บไว้ไปใช้งานอย่างไรบ้าง

ในรายละเอียดนี้จะต้องแจ้งเกี่ยวกับการจัดเก็บข้อมูลทั้งหมด ไม่ว่าจะเป็นวัตถุประสงค์ของการจัดเก็บ การใช้ข้อมูล เวลาในการจัดเก็บ มีการเปิดเผยข้อมูลหรือไม่ ตลอดจนฐานกฎหมายในการประมวลข้อมูลส่วนบุคคล (Lawful Basis) รวมไปถึงรายละเอียดอื่นๆ ที่เกี่ยวข้องของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และแจ้งสิทธิการยินยอมของเจ้าของข้อมูล (Data Subject) 


Checklist:
ข้อมูลที่จะต้องบอกให้ละเอียดใน Privacy Policy

  1. สิทธิของเจ้าของข้อมูล (Data Subject Rights) 
  2. ข้อมูลส่วนบุคคลที่มีการจัดเก็บ มีอะไรบ้าง?
  3. วิธีการจัดเก็บข้อมูล
  4. ขั้นตอนในการจัดเก็บข้อมูล
  5. วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล
  6. รายละเอียดการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม (Third-party)
  7. มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล
  8. รายละเอียดการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

 

☑️ Cookie Consent Banner

เป็นแบนเนอร์เตือน เพื่อแจ้งให้เจ้าของข้อมูลรับรู้และให้ความยินยอมในการเก็บข้อมูลส่วนบุคคล  เนื่องจากเว็บไซต์มักจะมีการติดตั้งคุ้กกี้บนหน้าเว็บเอาไว้ 

Cookies เป็นไฟล์ขนาดเล็กที่ใช้ในการจัดเก็บข้อมูลผู้ใช้งานที่หน้าเว็บ โดยสามารถใช้จดจำข้อมูลต่างๆ ไม่ว่าจะเป็นบัญชีผู้ใช้งาน ประวัติการเข้าชม รวมไปถึงสามารถนำไปประมวลผลตามแต่ละจุดประสงค์ของผู้ให้บริการ เช่น การปรับปรุงระบบ การวิเคราะห์ข้อมูลเพื่อต่อยอดแผนธุรกิจ การส่งเสริมการตลาด

ยกตัวอย่างเช่น เมื่อคุณเข้าเว็บไซต์ขายสินค้าออนไลน์ แล้วเลือกสินค้าเก็บไว้ ก่อนจะปิดเว็บไซต์ไป เมื่อเปิดใช้งานอีกครั้ง ระบบยังจดจำสินค้าที่คุณเลือกเอาไว้อยู่ ทำให้สะดวกต่อผู้ใช้งานนั่นเองค่ะ บนเว็บไซต์มีคุ้กกี้หลายประเภทดังนี้

    • คุ้กกี้ที่มีความจำเป็น (Strictly Necessary Cookies) - เป็นคุ้กกี้ที่เว็บจำเป็นต้องใช้เพื่อการใช้งานเว็บไซต์และให้ผู้เข้าชมสามารถเข้าถึงข้อมูลได้อย่างปลอดภัย
    • คุ้กกี้สำหรับการวิเคราะห์ (Analytics Cookies) - มีหน้าที่จัดเก็บข้อมูลสำหรับนำไปวิเคราะห์ เพื่อใช้พัฒนาการทำงานเว็บไซต์
    • คุ้กกี้เพื่อการทำงานของเว็บไซต์  (Functionality Cookies) - ทำหน้าที่จดจำการการตั้งค่าการใช้งานของเว็บไซต์
    • คุ้กกี้สำหรับกลุ่มเป้าหมาย (Targeting Cookies) - ทำหน้าที่จดจำรูปแบบการใช้งาน เพื่อนำไปปรับปรุงเนื้อหาให้ตอบโจทย์ ซึ่งอ่านจะมีการเปิดเผยข้อมูลให้กับบุคคลที่สาม (Third-party)
    • คุ้กกี้เพื่อการโฆษณา (Advertising Cookies) - ทำหน้าบันทึกข้อมูลของผู้ใช้งาน เพื่อนำเสนอขายสินค้าให้เหมาะสม

ตรวจเช็ค Cookies ที่ใช้บนเว็บไซต์ของคุณได้ที่ https://www.cookieserve.com/

 


ตัวอย่าง Cookie Consent Banner

 

Checklist: ข้อมูลที่ต้องชี้แจงในรายละเอียด Cookie Consent Banner

  1. แจ้งให้ผู้ใช้งานทราบถึงการใช้งาน Cookie ด้วยเนื้อหาที่กระชับ เข้าใจง่าย
  2. อธิบายวัตถุประสงค์การใช้งาน Cookie แต่ละประเภทในหน้าเว็บไซต์ของคุณ
  3. ระบุการใช้งานของ Cookie แต่ละประเภท ว่าจะเก็บข้อมูลใดบ้าง ในระยะเวลาเท่าไหร่ถึงจะมีการลบข้อมูล
  4. ตัวเลือกในการยินยอม เป็นอีกหนึ่งเรื่องสำคัญที่ผู้ใช้งานมีสิทธิตัดสินใจเลือกว่าจะยินยอมให้เก็บข้อมูลใดบ้าง โดยสามารถเลือกทั้งหมดหรือเลือกบางส่วน

 

☑️ แบบฟอร์มการขอใช้สิทธิตามหลัก PDPA

เพื่อให้สอดคล้องกับกฎหมาย อีกหนึ่งเรื่องสำคัญคือเจ้าของข้อมูลมีสิทธิในการจัดการข้อมูลตัวเอง ตั้งแต่การขอลบ แก้ไข โอน ตลอดจนการอัปเดตข้อมูลให้เป็นปัจจุบัน ไม่ว่าจะเป็นข้อมูลใดก็ตามที่มีการเก็บเอาไว้ 

ซึ่งผู้ควบคุมข้อมูลต้องสร้างแบบฟอร์มขอใช้สิทธิเอาไว้หน้าเว็บไซต์ เพื่อให้เจ้าของข้อมูลสามารถจัดการกับข้อมูลส่วนตัวได้สะดวก คำขอร้องนั้นๆ จะถูกส่งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อดำเนินการต่อไป โดยต้องตอบสนองคำขอทันทีภายในเวลา 30 วันหลังจากได้รับคำขอ 


สิทธิของเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง ที่ PDPA ได้กำหนดไว้?

    • สิทธิขอถอนความยินยอม 
    • สิทธิในการขอเข้าถึงข้อมูล
    • สิทธิในการขอให้โอนถ่ายข้อมูล
    • สิทธิขอคัดค้าน 
    • สิทธิขอให้ลบหรือทำลายข้อมูล
    • สิทธิขอให้ระงับการใช้ข้อมูลชั่วคราว
    • สิทธิในการแก้ไขข้อมูลให้ถูกต้องสมบูรณ์และเป็นปัจจุบัน
    • สิทธิร้องเรียน

 

แบบฟอร์มใช้สิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ตัวอย่าง แบบฟอร์มการขอใช้สิทธิ

 

Checklist: รายละเอียดในแบบฟอร์มที่ควรมีให้ครบถ้วนตาม PDPA

  1. ชื่อและนามสกุล ที่อยู่ของเจ้าของข้อมูล ในที่นี้ตัวแทนก็สามารถกรอกได้ค่ะ
  2. เอกสารยืนยันตัวตนของเจ้าของข้อมูล เช่นสำเนาบัตรประชาชนและพาสปอร์ต
  3. ความสัมพันธ์กับผู้ควบคุมข้อมูล ในฐานะผู้ติดต่อ หรือพันธมิตร
  4. สิทธิที่เจ้าของข้อมูลต้องการใช้ พร้อมระบุสาเหตุ
  5. รับรองความถูกต้อง

 

จะเห็นได้ว่าหากคุณเป็นเจ้าของธุรกิจและยิ่งถ้ามีเว็บไซต์ มีสิ่งที่คุณจะต้องทำอยู่มาก เพื่อความถูกต้องควรจัดตั้งทีมงานเฉพาะเพื่อดูแลเรื่องนี้ รวมไปถึงการจ้างนักกฎหมายเข้ามาดูแลปรับแผนการทำงาน และฝ่ายไอทีสำหรับปรับรายละเอียดเว็บ อาจจะมีค่าใช้จ่ายที่สูงและใช้ระยะเวลานานในการเตรียมตัว เพราะหากเกิดไม่คาดฝันขึ้นอาจจะทำให้ธุรกิจของคุณสะดุดได้ มาดูบทลงโทษของข้อกฎหมาย PDPA กันค่ะ

 

บทลงโทษหากละเมิดกฎหมาย PDPA

    • โทษทางแพ่ง - จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
    • โทษทางอาญา - จำคุกไม่เกิน 1 ปี ปรับสูงสุดไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
    • โทษทางปกครอง - ปรับไม่เกิน 5 ล้านบาท