เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม
![PDPA](https://www.1001click.com/imgadmins/blog-banner/pdpa-personal-cover-10.webp)
เคยสังเกตไหมว่าตอนที่เราได้เข้าไปที่เว็บไซต์หรือแอปพลิเคชันต่างๆ มักจะมี Pop up ข้อความขึ้นมาให้กดยินยอมหรืออนุญาต เพื่ออนุญาตให้เจ้าของสามารถนำข้อมูลต่างๆไปใช้ได้ แล้วทำไมต้องมีการขออนุญาต ถ้าได้ลองอ่านรายละเอียดก่อนจะกดยินยอมอนุญาตแล้ว ก็อาจจะเจอคำอธิบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ ซึ่งการคุ้มครองนี้มีความสำคัญแค่ไหน ไม่ว่าจะเป็นผู้ใช้งานหรือเป็นเจ้าของธุรกิจเองก็ต้องเข้าใจและตระหนักเกี่ยวกับ PDPA เช่นกัน ลองมาดูความหมายกันครับ
ยาวไปอยากเลือกอ่าน
![เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม](https://www.1001click.com/imgadmins/blog-detail/pdpa-personal-01.webp)
ทำความรู้จัก PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
PDPA หรือ Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ซึ่ง PDPA เป็นกฎหมายที่ออกมาคุ้มครองสิทธิข้อมูลส่วนบุคคล เพราะในปัจจุบันมีการพัฒนาเทคโนโลยีที่ทำให้ข้อมูลส่วนบุคคลนั้นสำคัญในการพัฒนาธุรกิจ ทำให้เกิดโอกาสที่จะมีผู้ไม่หวังดีทำการละเมิดสิทธิส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้นครับ
PDPA จึงเข้ามามีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อดูแลและการให้ความคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่างเช่น การนำข้อมูลส่วนบุคคลไปใช้ ต้องได้รับความยินยอมจากบุคคลนั้นๆก่อน การนำข้อมูลไปใช้ผิดๆ ที่พบเห็นกันได้ทั่วไป คือ การซื้อขายฐานข้อมูลส่วนตัวลูกค้า เพื่อการขายทางโทรศัพท์โดยไม่ได้รับความยินยอม อย่างรูปแบบแก๊งคอลเซ็นเตอร์ในตอนนี้
ข้อบังคับกฎหมาย PDPA จะคุ้มครองข้อมูลส่วนบุคคลครอบคลุมถึงการศึกษา ฐานะ การเงิน ประวัติสุขภาพ ประวัติการทำงาน ลายพิมพ์นิ้วมือ เสียงบันทึก เลขบัตรประชาชน หรือแม้กระทั่ง ข้อมูลการใช้งานบนเว็บไซต์ต่างๆอีกด้วยนะครับ
![เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม](https://www.1001click.com/imgadmins/blog-detail/pdpa-personal-02.webp)
สิทธิอะไรบ้างที่ PDPA ดูแล?
สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดในการเก็บข้อมูล ว่านำไปใช้เพื่อสิ่งใด ตัวอย่างเช่น การแจ้งความยินยอมในการนำที่อยู่ส่วนบุคคลเพื่อนำไปใช้ในการส่งสินค้าทดลองสำหรับกิจกรรมโปรโมทการขาย
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่างเช่น การขอเข้าถึงข้อมูลประวัติบัญชีรายการฝากเงิน หรือ สเตทเม้น
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) เจ้าของข้อมูลสามารถโอนถ่ายข้อมูลที่เคยให้ไว้กับผู้ควบคุมรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย ยกตัวอย่างเช่น การดำเนินในการส่งต่อข้อมูลผู้ป่วยไปแต่ละแผนก
![เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม](https://www.1001click.com/imgadmins/blog-detail/pdpa-personal-03.webp)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกตัวอย่างเช่น การปกปิดผู้ให้ข้อมูลในเหตุการณ์เป็นพยานอุบัติเหตุทางรถยนต์
- สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (Right to erasure / Right to be forgotten) หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบ ทำลายข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ ยกตัวอย่างเช่น การถูกนำตัวอย่างผลงานไปวิจารณ์ในทางลบบนสื่อออนไลน์
- สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ ยกตัวอย่างเช่น การเปลี่ยนใจที่จะลงรีวิวสถาบันสอนพิเศษเมื่อสอบติดมหาลัย
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ยกตัวอย่างเช่น ธนาคารอยู่ระหว่างการตรวจสอบการซื้อประกันสุขภาพ ก็สามารถขอให้ธนาคารระงับการใช้ข้อมูลส่วนบุคคลแทนการลบหรือทำลายข้อมูลที่ไม่มีความจำเป็นอีกต่อไป
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง ยกตัวอย่างเช่น การแก้ไขข้อมูลส่วนตัวในการสมัครสมาชิกเว็บไซต์ทุกเว็บไซต์
5 วิธีเริ่มปฏิบัติตาม PDPA
บุคคลที่ต้องปฏิบัติตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรืออธิบายๆ ง่ายๆ ก็คือ ลูกค้า กับตัวเจ้าของธุรกิจ
เจ้าของธุรกิจจึงมีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมจากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายสินค้าออนไลน์ เจ้าของเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องมีมาตรการรักษาความปลอดภัยข้อมูลด้วย หากเจ้าของธุรกิจมือใหม่ยังไม่รู้จะเริ่มต้นอย่าง ลองไปดูคำแนะนำได้เลยครับ
![เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม](https://www.1001click.com/imgadmins/blog-detail/pdpa-personal-04.webp)
1.การเก็บรวบรวมข้อมูลส่วนบุคคล
ควรที่จะต้องจัดทำ Privacy Policy เพื่ออธิบายให้เจ้าของข้อมูลส่วนบุคคลทราบ(ผู้ใช้งาน) โดยสามารถแจ้งผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน ในรูปแบบการลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย ซึ่งจะต้องแจ้งว่า
- เก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
- เจ้าของข้อมูลมีสิทธิอะไรบ้าง
- เจ้าของข้อมูลสามารถยกเลิกความยินยอมได้ทุกเมื่อ
ข้อความที่อธิบายให้กับผู้ใช้งาน จะต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมเช่นกันครับ
![เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม](https://www.1001click.com/imgadmins/blog-detail/pdpa-personal-05.webp)
2.การใช้ข้อมูลส่วนบุคคล
หลังจากที่ได้รับความยินยอมจากผู้ใช้งานในการเข้าถึงข้อมูลส่วนตัวแล้ว ก็จำเป็นที่จะต้องมีกระบวนการบันทึกข้อมูลส่วนบุคคล มีการเก็บข้อมูล มีการใช้ข้อมูล ที่ต้องระมัดระวังเป็นอย่างมาก รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
ซึ่งในฐานข้อมูลได้มีการแบ่งข้อมูลที่ถูกดูแลผ่าน PDPA ไว้ 3 ประเภท ได้แก่ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลที่อ่อนไหวจะเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ)
3.มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
- กำหนดแนวทางตามมาตรฐานด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล ได้แก่
- การรักษาความลับ (Confidentiality)
- ความถูกต้องครบถ้วน (Integrity)
- สภาพพร้อมใช้งาน (Availability)
- มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
- มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
- มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง
- ควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) - กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
- มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
4.การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคล
- ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
- ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
- มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
5.การดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล
ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับธุรกิจต่างๆ และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น ธุรกิจขนาดกลางไปจนถึงขนาดใหญ่ ควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง
ธุรกิจส่วนใหญ่จำเป็นต้องมีความเกี่ยวข้องกับกฎหมาย PDPA ครับ ถึงแม้ว่าจะเป็นกฎหมายที่ดูใหม่สำหรับเจ้าของธุรกิจคนไทย แต่ก็เป็นสิ่งที่ทุกธุรกิจต้องปรับตัวให้ทัน เพราะถ้าหากมีการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ก็ตามจะมีความผิดตามกฎหมาย ซึ่งจะส่งผลเสียหายต่อภาพลักษณ์และความน่าเชื่อถือขององค์กรในระยะยาวต่อไปได้ครับ
- สามารถติดต่อเพื่อขอคำปรึกษาได้ที่ 081 116 1001
- Line Id : 1001click
- Email : info@1001click.com