logo1001alt
  • About Us
  • Servicesarrow-menu-up
    • รับทำเว็บไซต์บริษัท ( Corporate website )
    • รับทำเว็บไซต์ E-commerce ( E-commerce website )
    • รับทํา Mobile Application
    • รับดูแลเว็บไซต์ และปรับปรุงข้อมูล
    • Web Hosting & VPS
    • รับทำ SEO
    • รับทำ Google ads
  • Portfolio
  • Blog
  • Contact Us
1001click-telephon-contact 1001click-line-contact
Home ∘ Blog ∘

เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม

เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม

24 กุมภาพันธ์ 2022
PDPA

เคยสังเกตไหมว่าตอนที่เราได้เข้าไปที่เว็บไซต์หรือแอปพลิเคชันต่างๆ มักจะมี Pop up ข้อความขึ้นมาให้กดยินยอมหรืออนุญาต เพื่ออนุญาตให้เจ้าของสามารถนำข้อมูลต่างๆไปใช้ได้ แล้วทำไมต้องมีการขออนุญาต ถ้าได้ลองอ่านรายละเอียดก่อนจะกดยินยอมอนุญาตแล้ว ก็อาจจะเจอคำอธิบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ ซึ่งการคุ้มครองนี้มีความสำคัญแค่ไหน ไม่ว่าจะเป็นผู้ใช้งานหรือเป็นเจ้าของธุรกิจเองก็ต้องเข้าใจและตระหนักเกี่ยวกับ PDPA เช่นกัน ลองมาดูความหมายกันครับ

PDPA

ยาวไปอยากเลือกอ่าน

  • ทำความรู้จัก PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
  • สิทธิอะไรบ้างที่ PDPA ดูแล?
  • 5 วิธีเริ่มปฏิบัติตาม PDPA

ทำความรู้จัก PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

PDPA หรือ Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ซึ่ง PDPA เป็นกฎหมายที่ออกมาคุ้มครองสิทธิข้อมูลส่วนบุคคล เพราะในปัจจุบันมีการพัฒนาเทคโนโลยีที่ทำให้ข้อมูลส่วนบุคคลนั้นสำคัญในการพัฒนาธุรกิจ ทำให้เกิดโอกาสที่จะมีผู้ไม่หวังดีทำการละเมิดสิทธิส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้นครับ

PDPA จึงเข้ามามีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อดูแลและการให้ความคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่างเช่น การนำข้อมูลส่วนบุคคลไปใช้ ต้องได้รับความยินยอมจากบุคคลนั้นๆก่อน การนำข้อมูลไปใช้ผิดๆ ที่พบเห็นกันได้ทั่วไป คือ การซื้อขายฐานข้อมูลส่วนตัวลูกค้า เพื่อการขายทางโทรศัพท์โดยไม่ได้รับความยินยอม อย่างรูปแบบแก๊งคอลเซ็นเตอร์ในตอนนี้

ข้อบังคับกฎหมาย PDPA จะคุ้มครองข้อมูลส่วนบุคคลครอบคลุมถึงการศึกษา ฐานะ การเงิน ประวัติสุขภาพ ประวัติการทำงาน ลายพิมพ์นิ้วมือ เสียงบันทึก เลขบัตรประชาชน หรือแม้กระทั่ง ข้อมูลการใช้งานบนเว็บไซต์ต่างๆอีกด้วยนะครับ

What is PDPA

สิทธิอะไรบ้างที่ PDPA ดูแล?

สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดในการเก็บข้อมูล ว่านำไปใช้เพื่อสิ่งใด ตัวอย่างเช่น การแจ้งความยินยอมในการนำที่อยู่ส่วนบุคคลเพื่อนำไปใช้ในการส่งสินค้าทดลองสำหรับกิจกรรมโปรโมทการขาย
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่างเช่น การขอเข้าถึงข้อมูลประวัติบัญชีรายการฝากเงิน หรือ สเตทเม้น
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) เจ้าของข้อมูลสามารถโอนถ่ายข้อมูลที่เคยให้ไว้กับผู้ควบคุมรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย ยกตัวอย่างเช่น การดำเนินในการส่งต่อข้อมูลผู้ป่วยไปแต่ละแผนก Right to data portability
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกตัวอย่างเช่น การปกปิดผู้ให้ข้อมูลในเหตุการณ์เป็นพยานอุบัติเหตุทางรถยนต์
  • สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (Right to erasure / Right to be forgotten) หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบ ทำลายข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ ยกตัวอย่างเช่น การถูกนำตัวอย่างผลงานไปวิจารณ์ในทางลบบนสื่อออนไลน์
  • สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ ยกตัวอย่างเช่น การเปลี่ยนใจที่จะลงรีวิวสถาบันสอนพิเศษเมื่อสอบติดมหาลัย
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ยกตัวอย่างเช่น ธนาคารอยู่ระหว่างการตรวจสอบการซื้อประกันสุขภาพ ก็สามารถขอให้ธนาคารระงับการใช้ข้อมูลส่วนบุคคลแทนการลบหรือทำลายข้อมูลที่ไม่มีความจำเป็นอีกต่อไป
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง ยกตัวอย่างเช่น การแก้ไขข้อมูลส่วนตัวในการสมัครสมาชิกเว็บไซต์ทุกเว็บไซต์

5 วิธีเริ่มปฏิบัติตาม PDPA

บุคคลที่ต้องปฏิบัติตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรืออธิบายๆ ง่ายๆ ก็คือ ลูกค้า กับตัวเจ้าของธุรกิจ

เจ้าของธุรกิจจึงมีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมจากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายสินค้าออนไลน์ เจ้าของเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องมีมาตรการรักษาความปลอดภัยข้อมูลด้วย หากเจ้าของธุรกิจมือใหม่ยังไม่รู้จะเริ่มต้นอย่าง ลองไปดูคำแนะนำได้เลยครับ

PDPA Data Controller

1.การเก็บรวบรวมข้อมูลส่วนบุคคล

ควรที่จะต้องจัดทำ Privacy Policy เพื่ออธิบายให้เจ้าของข้อมูลส่วนบุคคลทราบ(ผู้ใช้งาน) โดยสามารถแจ้งผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน ในรูปแบบการลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย ซึ่งจะต้องแจ้งว่า

  • เก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
  • เจ้าของข้อมูลมีสิทธิอะไรบ้าง
  • เจ้าของข้อมูลสามารถยกเลิกความยินยอมได้ทุกเมื่อ

ข้อความที่อธิบายให้กับผู้ใช้งาน จะต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมเช่นกันครับ

PDPA Data Controller

2.การใช้ข้อมูลส่วนบุคคล

หลังจากที่ได้รับความยินยอมจากผู้ใช้งานในการเข้าถึงข้อมูลส่วนตัวแล้ว ก็จำเป็นที่จะต้องมีกระบวนการบันทึกข้อมูลส่วนบุคคล มีการเก็บข้อมูล มีการใช้ข้อมูล ที่ต้องระมัดระวังเป็นอย่างมาก รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

ซึ่งในฐานข้อมูลได้มีการแบ่งข้อมูลที่ถูกดูแลผ่าน PDPA ไว้ 3 ประเภท ได้แก่ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ข้อมูลส่วนบุคคลที่อ่อนไหวจะเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ)

3.มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

  • กำหนดแนวทางตามมาตรฐานด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล ได้แก่
    - การรักษาความลับ (Confidentiality)
    - ความถูกต้องครบถ้วน (Integrity)
    - สภาพพร้อมใช้งาน (Availability)
    - มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
    - มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
    - มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง
    - ควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control)
  • กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
  • มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

4.การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคล

  • ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
  • ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
  • มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

5.การดูแลข้อมูลส่วนบุคคล

ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล

ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับธุรกิจต่างๆ และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น ธุรกิจขนาดกลางไปจนถึงขนาดใหญ่ ควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

ธุรกิจส่วนใหญ่จำเป็นต้องมีความเกี่ยวข้องกับกฎหมาย PDPA ครับ ถึงแม้ว่าจะเป็นกฎหมายที่ดูใหม่สำหรับเจ้าของธุรกิจคนไทย แต่ก็เป็นสิ่งที่ทุกธุรกิจต้องปรับตัวให้ทัน เพราะถ้าหากมีการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ก็ตามจะมีความผิดตามกฎหมาย ซึ่งจะส่งผลเสียหายต่อภาพลักษณ์และความน่าเชื่อถือขององค์กรในระยะยาวต่อไปได้ครับ

  • สามารถติดต่อเพื่อขอคำปรึกษาได้ที่ 081 116 1001
  • Line Id : 1001click
  • Email : info@1001click.com
Share
1001click-facebook-share
1001click-email-share
บทความล่าสุด
สร้างเว็บไซต์ธุรกิจขนาดเล็กเตรียมตัวอย่างไร ให้พัฒนาต่อได้อย่างมั่นคง
04 มกราคม 2023
สร้างเว็บไซต์ธุรกิจขนาดเล็กเตรียมตัวอย่างไร ให้พัฒนาต่อได้อย่างมั่นคง
การออกแบบเว็บไซต์
04 มกราคม 2023
การออกแบบเว็บไซต์ (Web Design) ออกแบบอย่างไรให้คนเห็นเป็นต้องว้าว
รับทำ SEO สายขาว
26 ธันวาคม 2022
รับทำ SEO สายขาว-สายดำคืออะไร ทำได้ประโยชน์เหมือนกันหรือเปล่า?
รับทำเว็บ
26 ธันวาคม 2022
5 สิ่งที่ต้องเตรียมก่อนจ้างบริษัทรับทำเว็บ ได้งานไวคุยงานง่ายแน่นอน!
เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม
โปรดกรอกข้อมูลที่สำคัญ (*) ให้ครบถ้วน

1001 Click Co., Ltd

ท่านสามารถติดต่อขอรับคำปรึกษาเกี่ยวกับบริการ รับทำเว็บไซต์ , รับทำเว็บอีคอมเมิร์ส , รับทำ Mobile application และ SEO ได้ที่ รายละเอียดด้านล่าง

1001click-telephon-contact
+66 811161001
1001click-email-contact
info@1001click.com
1001click-map-contact
Map
  • About Us
  • Services
    • ∘ รับทำเว็บไซต์บริษัท ( Corporate website )
    • ∘ รับทำเว็บไซต์ E-commerce ( E-commerce website )
    • ∘ รับทํา Mobile Application
    • ∘ รับดูแลเว็บไซต์ และปรับปรุงข้อมูล
    • ∘ Web Hosting & VPS
    • ∘ รับทำ SEO
    • ∘ รับทำ Google ads
  • Portfolio
  • Blog
  • Contact Us
  • Privacy Policy
  • Cookies Policy
© 2021 1001 Click official website, all rights reserved. Web design by 1001 Click