PDPA ต้องทำอะไรบ้าง? สรุปสิ่งที่ต้องเตรียมเพื่อรองรับ PDPA

June 02, 2021

PDPA ต้องทำอะไรบ้าง? สรุปสิ่งที่ต้องเตรียมเพื่อรองรับ PDPA

PDPA คืออะไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ สำหรับ PDPA เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

เมื่อธุรกิจมีการจัดเก็บข้อมูลส่วนบุคคล ก็จำเป็นต้องปฏิบัติตามกฎหมาย และเตรียมความพร้อม PDPA ก่อนที่ กฎหมายจะบังคับใช้เต็มรูปแบบในปีหน้า ทั้งด้านการจัดการข้อมูลส่วนบุคคล (Personal Data) ซึ่งรวมถึงการเตรียมความพร้อมด้านระบบที่รองรับและเอกสารทางกฎหมาย การรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน รวมทั้งการสร้าง Awareness ด้าน PDPA ให้กับพนักงานในองค์กร

Personal Data มีอะไรบ้าง

สำหรับการจัดการข้อมูลส่วนบุคคลมีความสำคัญในแง่ของการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล โดยภาคธุรกิจจะต้องแจ้งวัตถุประสงค์ก่อนว่าจะเก็บรวบรวมข้อมูลอะไร และนำข้อมูลนั้นไปใช้เพื่ออะไรบ้าง ซึ่งข้อมูลส่วนบุคคล (Personal Data) แบ่งออกเป็น 2 ประเภท คือ - ข้อมูลส่วนบุคคลทั่วไป คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร - ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) หรือข้อมูลอื่นในทำนองเดียวกัน ซึ่งข้อมูลเหล่านี้มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้ ดังนั้น กฎหมาย PDPA จึงต้องให้ความคุ้มครองอย่างเข้มงวดมากกว่าข้อมูลส่วนบุคคลทั่วไป

ธุรกิจอะไรบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA

จะเห็นได้ว่าองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ประกอบธุรกิจ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของลูกค้า ข้อมูลส่วนบุคคลของพนักงานในองค์กร ข้อมูลส่วนบุคคลของคู่ค้า (Vendor) เรียกได้ว่าแทบจะทุกธุรกิจที่มีข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตาม PDPA ทั้งสิ้น และบทบาทเหล่านี้เองที่ทำให้องค์กรที่ปฏิบัติตาม PDPA มีฐานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล”

ธุรกิจต้องเตรียมความพร้อม PDPA อย่างไรบ้าง

ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตาม PDPA มีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ ในด้านการจัดการข้อมูลส่วนบุคคล และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA กำหนดว่าเมื่อธุรกิจได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย โดยสิ่งสำคัญที่ธุรกิจต้องมีเพื่อเตรียมความพร้อม PDPA มีดังนี้

  1. จัดทำระบบหรือเอกสารขอความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ธุรกิจหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่านนโยบายความเป็นส่วนตัว (Privacy Policy) บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ ด้วยข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด เจ้าของข้อมูลมีสิทธิอะไรบ้าง สำหรับการขอจัดเก็บไฟล์ Cookie ในหน้าเว็บไซต์ของธุรกิจ ก็จะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย นอกจากนี้ หากมีการเปลี่ยนแปลงการจัดเก็บข้อมูลส่วนบุคคลของพนักงานในองค์กร บริษัทสามารถแจ้งผ่าน Privacy Notice ได้

  2. เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) ROP เป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยใช้บันทึกรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง ซึ่งภาคธุรกิจจะต้องกำหนดนโยบายสำหรับการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) รวมถึงการจัดการข้อมูลส่วนบุคคล เช่น การห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง การจำกัดสิทธิเข้าถึงข้อมูลส่วนบุคคลของพนักงานแต่ละตำแหน่งในองค์กร

การจัดวางระบบและสร้างเอกสารให้สอดคล้องกับกฎหมาย PDPA อาจเป็นเรื่องละเอียดอ่อนและต้องอาศัยความชำนาญ บริการ PDPA Implementation จาก PDPA Core ให้ผู้เชี่ยวชาญช่วยวิเคราะห์โครงสร้างการดำเนินธุรกิจและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด อีกทั้งยังมีทีมนักกฎหมายที่ให้คำแนะนำและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมดเพื่อให้ธุรกิจสอดคล้องตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

  1. มีมาตรการด้านความปลอดภัยข้อมูล ธุรกิจจะต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุม ตรงตามมาตรฐานสากล เพื่อปกป้องข้อมูลของบุคคลไม่ให้ถูกถ่ายโอน รั่วไหล หรือนำไปใช้ในทางที่ผิด โดยกำหนดแนวทางด้านมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Security) เช่น Access Control, Security Assessment, Security Policy ระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่ประสงค์ดี (Breach Notification Protocol) รวมทั้งกำหนดระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล

  2. จัดทำเอกสารสำหรับส่งหรือเปิดเผยข้อมูลส่วนบุคคล ธุรกิจจะต้องจัดทำเอกสารสำคัญในกรณีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก เพื่อให้สอดคล้องและเป็นไปตามมาตรฐาน PDPA เช่น การทำสัญญาหรือข้อตกลงกับบุคคลภายนอกที่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล การทำสัญญากับบริษัทปลายทางในกรณีที่โอนข้อมูลส่วนบุคคลไปต่างประเทศ นอกจากนี้ การจัดทำกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข ธุรกิจจะต้องมีระบบรองรับการยื่นคำร้อง โดยให้เจ้าของข้อมูลส่วนบุคคลยื่นคำร้องผ่านแบบฟอร์ม ผ่านทางช่อง chat หรือส่งอีเมลก็ได้

  3. ปฏิบัติตามแนวทางกำกับดูแลข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดให้ธุรกิจที่ปฏิบัติตาม PDPA ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้สอดคล้องเป็นไปตามกฎหมาย PDPA รวมทั้ง มีข้อกำหนดให้ธุรกิจจะต้องสร้างองค์ความรู้ หรือ Awareness ด้าน PDPA ให้กับพนักงานผ่านการจัดอบรม เทรนนิ่ง หรือสัมมนา เพื่อให้พนักงานในองค์กรรู้หน้าที่และมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง ปรึกษาผู้เชี่ยวชาญเฉพาะด้านกฎหมายมากประสบการณ์ที่จะให้คำแนะนำผ่านบริการ PDPA Advisory จาก PDPA Core

สิ่งสำคัญที่ธุรกิจจะต้องเตรียมความพร้อม PDPA คือการศึกษากฎหมาย PDPA ให้เข้าใจและปฏิบัติตามแนวทางให้ถูกต้อง แต่คงจะดีกว่า ถ้ามีผู้เชี่ยวชาญทางด้านธุรกิจและนักกฎหมายมากประสบการณ์ที่จะช่วยธุรกิจวิเคราะห์การดำเนินธุรกิจให้สอดคล้องตามกฎหมาย พร้อมกับจัดทำมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA ส่งผลให้ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม