PDPA กฎหมายที่ผู้ประกอบการต้องรู้

กลางปีนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act จะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิ.ย. 2565

กฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

STEP 1

การเก็บรวบรวมข้อมูลส่วนบุคคล 1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบองค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดียแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใดแจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA

2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ คลิก Cookiewow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

3.การเก็บข้อมูลพนักงาน สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง คลิก PDPA Pro เพื่อสร้าง Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA

STEP 2

การใช้หรือประมวลผลข้อมูลส่วนบุคคลแต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น

เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

1. สิ่งที่ควรทำแอด line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้วส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้วส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว

ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้วการให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อนรวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า

STEP 3

มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลกำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)

มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

STEP 4

การส่งหรือเปิดเผยข้อมูลส่วนบุคคล ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPAในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

STEP 5

การกำกับดูแลข้อมูลส่วนบุคคลในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมายPDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น องค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

เมื่อความซับซ้อนทางกฏหมายเพิ่มขึ้น ระบบเพื่อรองรับอาจเป็นกุญแจในการคลายความซับซ้อนอย่าง “DPA Thailand Starter Kit” นายอุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ หรือ DBC เจ้าของ PDPA Thailand เปิดเผยว่า DBC ได้เปิดตัวนวัตกรรมใหม่ของการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยให้แก่ SMEs ด้วย PDPA Thailand Starter Kit เพื่อทำให้ SMEs เริ่มต้นได้อย่างถูกต้อง ครบถ้วน ปลอดภัย ด้วยราคาที่คุ้มค่าที่สุด ทำให้เกิดความพร้อมในการดำเนินการตาม PDPA ในเดือนมิถุนายนนี้ประกันภัยในโครงการ PDPA Thailand Starter Kit นั้นจะครอบคลุมความเสียหายที่จะเกิดขึ้นทุกด้านถึง 12 ด้านประกอบด้วย

1. การตรวจสอบการจัดการข้อมูล (Data Administrative Procedures) 2. ค่าปรับจากการจัดการข้อมูล (Data Administrative Fines) 3. ค่าใช้จ่ายในการกอบกู้ชื่อเสียง (PR Costs - Repair of Reputation) 4. ค่าใช้จ่ายในการแจ้งเตือนและเฝ้าระวัง (Notification & Credit Monitoring) 5. ค่าใช้จ่ายเกี่ยวกับข้อมูล อิเล็กทรอนิกส์ (Electronic Data) 6. ค่าใช้จ่ายในการจ้างผู้เชี่ยวชาญทางด้านระบบหรือนิติวิทยาศาสตร์เชิงรุก (Forensics Costs) 7. ค่าไถ่และค่าใช้จ่ายที่เกิดขึ้นจากการขู่ทำลายทางไซเบอร์ (Cyber Extortion) 8. รายได้ที่ สูญเสียและค่าใช้จ่ายที่เกิดขึ้นจากการหยุดชะงักของเครือข่าย (Network Interruption Insurance)

9. ความรับผิดตามกฎหมายต่อข้อมูลส่วนบุคคล (Personal Data Liability) 10. ความรับผิดตามกฎหมายต่อข้อมูลเกี่ยวกับบริษัท (Corporate Data Liability) 11. ค่าใช้จายในการต่อสู้คดี (Defense Costs) 12. ความรับผิดตามกฎหมายต่อสื่อต่าง ๆ (Media Liability)โดยแพ็กเกจออกแบบมาเพื่อรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งหาก SMEs ต้องการหาประกันภัยในท้องตลาดด้วยตนเองในขณะนี้ อาจเกิดปัญหาด้านความครอบคลุม และเงื่อนไขที่ไม่สอดคล้องกับความเสียหายที่แท้จริงได้

ทั้งนี้ จำนวนเงินจำกัดความรับผิดสูงสุดต่อกรมธรรมประกันภัย ขึ้นกับที่เลือกโดยอิงกับรายได้ของ SMEs นั้น ๆ เช่น รายได้ไม่เกิน 100 ล้านบาท สามารถเลือกความคุ้มครองตั้งแต่ 5 ล้านบาท 10 ล้านบาท 20 ล้านบาท ถือเป็นความคุ้มครองเริ่มต้นที่ผู้ประกอบการควรมีเพื่อให้สอดคล้องและรองรับกับพระราชบัญญัติดังกล่าว

เมื่อกฏหมายคุ้มครองข้อมูลส่วนบุคคล จะถูกบังคับใช้และเป็นความยากลำบากของหลายๆองค์กรที่ต้องเฟ้นหาองค์ความรู้ในการศึกษาข้อมูลเพื่อปกป้ององค์กรตนเองจากการผิดกฏหมาย DPA Thailand Starter Kit อาจกลายเป็นหนึ่งตัวเลือกสำหรับองค์กรเพื่ออำนวยความสะดวกในปัจจุบัน