วันศุกร์, 4 เมษายน 2568
หน้าแรก
ข่าวบริษัท
hot
ข่าวไอที
ลาออนไลน์
new
ปฏิทินวันหยุด
นโยบาย
Privacy Notice
Cookies Policy
ติดต่อเรา
ข้อเสนอแนะ

MIS News (ฉบับที่ 23) Personal Data Protection Act หรือ PDPA คืออะไร?

MIS NEWS
25 พ.ค. 2022

Personal Data Protection Act หรือ PDPA คือ เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็น กฏหมายที่ออกมาคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่น การควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม ด้วยความที่ในปัจจุบันมีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ยกตัวอย่างง่ายๆ เช่น การครอบครองเบอร์โทรศัพท์โดยการซื้อฐานข้อมูลมาจากที่อื่นและโทรไปหาโดยที่ไม่มีการรับรู้จากเจ้าของเบอร์โทรศัพท์นั้น หรือการที่เราได้รับโฆษณาบน Social Media จากข้อมูลการใช้งานของเรา โดยที่เราไม่รู้ตัว หรือไม่ได้ยินยอมให้องค์กรเก็บข้อมูล เป็นต้น

ดังนั้นกฎหมายฉบับนี้จึงเป็นประโยชน์ต่อผู้บริโภค โดยข้อบังคับกฎหมาย PDPA จะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติการทำงาน และข้อมูลส่วนบุคคลประเภทอื่นๆ เช่น ลายพิมพ์นิ้วมือ บันทึกเสียง เลขบัตรประชาชน หรือข้อมูลการใช้งานเว็บไซต์ เพื่อประโยชน์โดยที่เจ้าของข้อมูลไม่ยินยอม

โดยครั้งแรก PDPA เคยมีการประกาศบังคับใช้ในวันที่ 27 พ.ค. 2563 จนกระทั่งเมื่อวันที่ 12 พ.ค. ที่ผ่านมา ได้มีประกาศเลื่อนบังคับใช้ออกไปอีก 1 ปี เพราะฉะนั้นจะเริ่มบังคับใช้ในวันที่ 1 มิถุนายน 2565 นั่นเอง

แล้วข้อบังคับกฏหมาย PDPA จะเริ่มบังคับใช้เมื่อไหร่?

โดยครั้งแรก PDPA เคยมีการประกาศบังคับใช้ในวันที่ 27 พ.ค. 2563 จนกระทั่งเมื่อวันที่ 12 พ.ค. ที่ผ่านมา ได้มีประกาศเลื่อนบังคับใช้ออกไปอีก 2 ปี เพราะฉะนั้นจะเริ่มบังคับใช้ใน วันที่ 1 มิถุนายน 2565 นั่นเอง

Days
Hours
Minutes
Seconds

PDPA มีผลกระทบแค่ไหน แล้วธุรกิจจะปรับตัวอย่างไรดี?

เมื่อพูดถึงเรื่องข้อมูลส่วนบุคคล เราก็จะนึกถึงพวก Digital Marketing หากนึกภาพไม่ออก ให้นึกถึงเวลาที่เรากำลังคุยกับเพื่อนหรือเข้าเว็บ Shopping Online เว็บไหนนานๆ หรือบ่อยๆ ก็จะมีโฆษณาสินค้าที่คุณเข้าไปส่องสินค้าบ่อยๆ แสดงขึ้นมาประหนึ่งว่ารู้ความคิดของเรา โดยก่อนหน้านี้เราอาจจะเคยเจอการหว่านโฆษณาโดยอิงกลุ่มเป้าหมายแบบกว้างๆ เช่น กลุ่มอายุ, เพศ, ความสนใจ แต่ปัจจุบันเราอาจเคยได้ยินว่า Social Media อาจมีการดักฟังคำสนทนาของเราเพื่อเสิร์ฟโฆษณาให้ตรงกับแต่ละคน หรือมีการทำ Personalized Ads นั่นเอง ถึงสิ่งเหล่านี้จะแสดงให้เห็นว่าเราได้รับโฆษณาที่ตรงใจตัวเอง แต่มันก็มีเส้นบางๆ ระหว่างการเข้าถึงข้อมูลส่วนตัวโดยที่เราไม่รู้ตัวนั่นเอง ซึ่งการปรับตัวของธุรกิจเพื่อรับกับกฏหมาย PDPA และข้อยกเว้นต่างๆ เรามีข้อแนะนำดังนี้

1. สร้างความเข้าใจ
    หากจะพูดว่าทีม Digital Marketing เป็นแผนกเดียวที่ได้รับผลกระทบจากฏหมายนี้ก็คงไม่ใช่ซะทีเดียว เพราะสุดท้ายแล้วเราก็ต้องทำความเข้าใจกันหมด ไม่ว่าเราจะเป็นคนทำธุรกิจหรือผู้บริโภคก็ตาม โดยเฉพาะภาคธุรกิจที่ต้องมีการปรับกลยุทธ์ทั้งในส่วนของการทำงาน และการตลาด ซึ่งถ้าธุรกิจสามารถทำให้กลุ่มลูกค้าสร้างการรับรู้และตระหนักถึงกฏหมาย PDPA ก็จะสามารถสร้าง Brand Loyalty ได้ไม่ยากอีกด้วย

2. ใช้ระบบจัดเก็บข้อมูลที่มีมาตรฐาน
    การที่เรามีข้อมูลแต่ไม่มีการจัดเก็บข้อมูลที่ดี ก็อาจทำให้เราจัดสรรหรือดำเนินธุรกิจให้ตอบโจทย์กับผู้บริโภคได้ยาก หรือ Worst Case สุดๆ อาจมีข้อมูลรั่วไหลออกไป จนทำให้เกิดการละเมิดสิทธิส่วนบุคคลจากการจัดเก็บข้อมูลที่ไม่ดีก็ได้ โดยส่วนใหญ่แล้วจะใช้ซอฟต์แวร์จากต่างประเทศที่ต้องมีการรองรับ GDPR (General Data Protection Regulation) หรือกฏหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป แต่ถ้าเป็นระบบจัดเก็บข้อมูลของบริษัทในไทย สามารถสอบถามกับผู้ผลิตเรื่องการรองรับ PDPA และข้อสรุปต่างๆ โดยตรงได้เลย

3. สร้าง Privacy Policy
    ก่อนที่เราจะได้ข้อมูลจากผู้บริโภคนั้น แน่นอนว่าเราก็ต้องทำการขออนุญาตก่อน ซึ่งในเชิงของการขอเข้าถึงข้อมูลออนไลน์ เราต้องสร้างหน้า Privacy Policy เพื่ออธิบายและสร้างความเข้าใจเรื่องมาตรการปกป้องความเป็นส่วนตัวของข้อมูล เช่น เราจะเก็บข้อมูลใดบ้าง, วัตถุประสงค์ในการเก็บข้อมูลคืออะไร, ใช้อะไรในการเก็บรักษาข้อมูล เพื่อให้ผู้บริโภคสบายใจมากขึ้น และเราต้องสามารถเก็บรักษาข้อมูลให้เป็นความลับ ไม่มีการรั่วไหลออกไปให้ได้ เพื่อให้ถูกต้องตามข้อบังคับของ PDPA ด้วย

4. ข้อมูลต้องชัดเจน
    ส่วนใหญ่การทำเว็บไซต์จะเน้นเรื่องการใช้งานให้ง่ายเข้าไว้ เพื่อให้ผู้ใช้รู้สึกไม่ยุ่งยาก แต่ในกรณีที่มีเรื่องกฏหมายเกิดขึ้นหรือมีการเข้าถึงข้อมูล เราต้องแจ้งรายละเอียดและเน้นย้ำให้ผู้ใช้งานมีเวลาในการพิจารณาอ่าน และต้อง Bullet แต่ละข้อให้ชัดเจนว่าเราจะขออนุญาตข้อมูลส่วนไหนบ้าง และสามารถให้ผู้ใช้เลือกปฏิเสธในบางข้อมูลได้ ถึงมันอาจจะยุ่งยากตอนวางระบบ แต่ถ้าผู้ใช้เกิดการรับรู้ที่ถูกต้อง และทราบว่าเราให้ความสำคัญกับข้อบังคับ PDPA เขาก็พร้อมเปิดใจให้กับธุรกิจของเราด้วยนะ

แล้วธุรกิจแบบไหนบ้างที่จำเป็นต้องปรับตัวโดยเร็ว?

ที่จริงแล้วธุรกิจทุกส่วนก็ควรจะปรับตัวเพื่อรองรับข้อกฏหมายข้อบังคับ PDPA แต่ด้วยความที่ธุรกิจส่วนใหญ่ทุกวันนี้มีการเก็บ Data กันเกือบทั้งหมด และส่วนใหญ่ก็จะมีการทำ Re-Marketing คือโฆษณาซ้ำไปซ้ำมา บางคนอาจมองว่าเป็นการสะกดจิตก็ว่าได้ หรือเน้นการเสิร์ฟโฆษณาแบบให้ตรงกับความต้องการของแต่ละคน โดยเฉพาะในกลุ่มสินค้าที่ต้องใช้การตัดสินใจซื้อสูงเช่น ประกัน, รถยนต์, อสังหาริมทรัพย์, ท่องเที่ยว, เครื่องใช้ไฟฟ้า และกลุ่มที่ทำ E-Commerce
สนใจศึกษาข้อกฏหมาย PDPA แบบฉบับเต็มก็สามารถคลิกเข้าไปอ่านกันที่นี่
อ่าน พรบ. เกี่ยวกับ PDPA

ถึงแม้ว่ากฏหมาย PDPA จะเลื่อนประกาศใช้เป็นในปี 2565 แล้ว แต่คุณก็สามารถเตรียมตัวเพื่อรองรับกฏหมาย PDPA เพื่อหลีกเลี่ยงค่าปรับจากการกระทำความผิดที่เกี่ยวข้อง หรือจะเริ่มต้นล่วงหน้าก่อนก็ได้ เพื่อสร้างความมั่นใจให้กับผู้ซื้อสินค้าและบริการ สำหรับบุคคลในฐานะลูกค้าหรือผู้ใช้งานนั้น อาจต้องคำนึงเพิ่มเติมว่าองค์กรขอข้อมูลไปเพื่ออะไร, จำเป็นไหมที่จะต้องให้ข้อมูลกับเขา, เขาได้ประโยชน์อะไรจากการขอข้อมูลเหล่านั้น ตอบโจทย์เราหรือเปล่า เพื่อเตรียมความพร้อมในการปกป้องสิทธิส่วนบุคคลของตัวเราเอง

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน
  • เลขหนังสือเดินทาง
  • เลขใบอนุญาตขับขี่
  • ข้อมูลทางการศึกษา
  • ข้อมูลทางการเงิน
  • ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์
  • โฉนดที่ดิน
  • ทะเบียนบ้าน
  • วันเดือนปีเกิด
  • สัญชาติ
  • น้ำหนักส่วนสูง
  • ข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครเป็นใครภายใต้ PDPA

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject)
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่างๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร  ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

โทษหากไม่ปฎิบัติตาม PDPA

  • โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  • โทษปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

ขอบคุณข้อมูลจาก krungsri.com , thansettakij.com