กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA คืออะไร ?

PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่บังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ค่ะ มีเป้าหมายเพื่อป้องกันการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมและไม่แจ้งให้เจ้าของข้อมูลทราบ ธุรกิจในไทยที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า พนักงาน หรือผู้ใช้งาน จำเป็นต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัดค่ะ

ข้อกำหนดหลักที่ธุรกิจต้องให้ความสำคัญ

1. การขอความยินยอม (Consent)

ต้องขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูลก่อนการเก็บ ใช้ หรือเปิดเผยข้อมูล โดยควรทำเป็นลายลักษณ์อักษรหรือผ่านช่องทางอิเล็กทรอนิกส์ที่ตรวจสอบได้

2. สิทธิ์ของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิ์รับทราบ, เข้าถึง, แก้ไข, ลบข้อมูลของตนเอง หรือถอนความยินยอมได้ตลอดเวลา

3. วัตถุประสงค์ในการเก็บข้อมูล

ต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลให้ชัดเจน และเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์นั้น

4. มาตรการรักษาความปลอดภัย

ธุรกิจต้องมีมาตรการที่เหมาะสมเพื่อป้องกันข้อมูลรั่วไหลหรือถูกเข้าถึงโดยไม่ได้รับอนุญาต

5. การโอนข้อมูลไปต่างประเทศ

หากมีการโอนข้อมูลส่วนบุคคลไปต่างประเทศ ต้องได้รับความยินยอม และประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ

6. นโยบายความเป็นส่วนตัว (Privacy Policy)

ต้องจัดทำนโยบายความเป็นส่วนตัวที่โปร่งใส อธิบายวิธีการจัดการข้อมูลส่วนบุคคล

7. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

ธุรกิจที่มีการประมวลผลข้อมูลจำนวนมากหรือมีความเสี่ยงสูง อาจต้องแต่งตั้ง DPO

บทลงโทษหากไม่ปฏิบัติตาม

มีทั้งโทษทางแพ่ง ทางปกครอง และทางอาญา ซึ่งอาจรวมถึงค่าปรับสูงสุด 5 ล้านบาท และโทษจำคุกสูงสุด 1 ปี (ขึ้นอยู่กับความผิด)

ตัวอย่างการนำไปปรับใช้ในธุรกิจ

  • ขอความยินยอมก่อนเก็บข้อมูลลูกค้า เช่น การสมัครสมาชิก, การใช้คุกกี้บนเว็บไซต์
  • จัดทำหน้า Privacy Policy เพื่อแจ้งรายละเอียดการใช้ข้อมูลและสิทธิ์ของผู้ใช้
  • จัดให้มีช่องทางให้ลูกค้าสามารถขอเข้าถึง แก้ไข หรือลบข้อมูลส่วนตัวได้
  • ใช้มาตรการรักษาความปลอดภัยข้อมูล เช่น การตั้งรหัสผ่านที่รัดกุม, การเข้ารหัสข้อมูล

สรุป

PDPA เป็นกฎหมายสำคัญที่ธุรกิจไทยทุกขนาดต้องปฏิบัติตาม เพื่อสร้างความน่าเชื่อถือ ป้องกันความเสียหาย และหลีกเลี่ยงปัญหาทางกฎหมายที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลค่ะ

คำถามที่พบบ่อย

ธุรกิจต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลเมื่อใด และต้องขออย่างไร?

ต้องขอความยินยอมจากเจ้าของข้อมูลก่อนเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยการขอความยินยอมต้องมีวัตถุประสงค์เฉพาะเจาะจง ไม่สามารถขอแบบกว้างๆ หรือล่วงหน้าโดยไม่ระบุวัตถุประสงค์ได้

ข้อมูลส่วนบุคคลตาม PDPA คืออะไร และมีตัวอย่างใดบ้าง?

ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุตัวตนของบุคคลได้ เช่น ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน ข้อมูลสุขภาพ ภาพถ่าย ฯลฯ

ข้อมูลที่ได้มาก่อน PDPA มีผลบังคับใช้ จะต้องขอความยินยอมใหม่หรือไม่?

หากเคยได้รับความยินยอมอย่างถูกต้องตาม PDPA แล้ว สามารถใช้ข้อมูลต่อได้ แต่หากไม่ได้ขอความยินยอมตามมาตรฐาน PDPA ต้องดำเนินการขอใหม่ให้ถูกต้อง

ธุรกิจต้องแจ้งอะไรให้เจ้าของข้อมูลทราบบ้าง?

ต้องแจ้งรายละเอียด เช่น ประเภทข้อมูลที่เก็บ วัตถุประสงค์ ระยะเวลาการเก็บ วิธีการใช้สิทธิ์ของเจ้าของข้อมูล และช่องทางติดต่อของผู้รับผิดชอบข้อมูล (เช่นใน Privacy Policy)

ธุรกิจต้องมีมาตรการรักษาความปลอดภัยข้อมูลอย่างไรบ้าง?

ต้องมีมาตรการทั้งทางเทคนิคและการดำเนินงาน เช่น การเข้ารหัส จำกัดสิทธิ์เข้าถึงข้อมูล มีระบบบันทึกและติดตามการใช้ข้อมูล

หากเกิดเหตุข้อมูลรั่วไหล ต้องดำเนินการอย่างไร?*

ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และเจ้าของข้อมูลภายใน 72 ชั่วโมงหลังทราบเหตุการณ์

กรณีถ่ายภาพ วิดีโอ หรือใช้กล้องวงจรปิดในพื้นที่ธุรกิจ ต้องดำเนินการอย่างไร?*

ต้องแจ้งให้ทราบโดยชัดเจน เช่น การติดป้าย CCTV Notice ในจุดที่มีกล้อง และต้องมีบันทึกการประมวลผลข้อมูล (ROP)