Generic selectors
Exact matches only
Search in title
Search in content

เข้าใจ Data Privacy และ Security ปรับธุรกิจรับมือ PDPA

7 พ.ค. 2021
SHARE

เมื่อข้อมูลกลายเป็นขุมทรัพย์สำหรับบริษัทใหญ่และในบางครั้งการใช้ข้อมูลมากเกินไปก็ทำให้คนที่เกี่ยวข้องเดือดร้อนได้ การปรับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) จึงกลายเป็นสิ่งสำคัญ เพื่อคุ้มครองความเป็นส่วนตัวของข้อมูล (Data Privacy) และเพิ่มความปลอดภัยในการใช้ข้อมูล (Data Security) ให้กับทุกๆ คน

โดยบทความนี้เป็นการสรุป พ.ร.บ.ข้อมูลส่วนบุคคลอย่างย่อเท่านั้น หากต้องการรายละเอียดเพิ่มเติมรวมถึงข้อกฎหมายเชิงลึกสามารถอ่านได้ที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

knowing-data-privacy-and-security-for-pdpa

รู้จัก PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection Act (PDPA) หรือในชื่อไทยคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อดูแลข้อมูลของผู้คนภายในประเทศไม่ให้องค์กหรือกลุ่มคนกลุ่มใดกลุ่มหนึ่งนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอม

พ.ร.บ.นี้ ใกล้ตัวขนาดไหน ? สำหรับประชาชนคนทั่วไปล่ะก็ อาจจะเคยเจอเหตุการณ์ เช่น บริษัทประกันโทรหาเพื่อเสนอขาย หรือมีการโฆษณาผ่านอีเมลจากที่ไหนไม่รู้โดยที่เราไม่ได้ยินยอมมาก่อน ซึ่งการเข้ามาของ PDPA จะช่วยลดเหตุการณ์เหล่านี้ให้น้อยลง เนื่องจากกลุ่มบุคคลการนำข้อมูลไปใช้โดยพละการจะต้องถูกดำเนินการตามกฎหมาย

หากใครรู้สึกคุ้นๆ กับ PDPA นี้ก็ไม่ใช่เรื่องแปลก เพราะพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ปรากฎเป็นข่าวมาพักใหญ่เมื่อช่วงปี 2563 แต่ได้มีการเลื่อนการบังคับใช้จากวันที่ 27 พ.ค.2563 เป็น 1 มิ.ย. 2565 เนื่องจากสถานการณ์ Covid-19 อย่างไรก็ดียังเป็นหน้าที่ของธุรกิจต่างๆ ที่ต้องตรวจสอบว่าธุรกิจของเรามีการละเมิด PDPA อยู่หรือเปล่า

knowing-data-privacy-and-security-for-pdpa

PDPA กับความเป็นส่วนตัวและความปลอดภัยของข้อมูล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ เป็นกฎหมายที่คุ้มครองข้อมูลทั้งบุคคลธรรมดา นิติบุคคลที่จดทะเบียนในไทย บริษัทในไทย และบริษัทต่างประเทศที่มีการขายสินค้าและบริการในประเทศไทยด้วย โดยครอบคลุมด้านข้อมูลใน 2 ประเด็นหลัก คือการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ไม่ให้คนอื่นมาล่วงละเมิด อีกประเด็นคือความปลอดภัยของข้อมูล (Data Security)

การคุ้มครองข้อมูลส่วนบุคคล

การคุ้มครองข้อมูลส่วนบุคคลนี้ จะทำให้ประชาชนเข้าถึงวัตถุประสงค์การจัดเก็บข้อมูลของธุรกิจและภาคส่วนต่างๆ ที่มีการใช้ข้อมูล สามารถขอให้ลบ ทำลาย ขอให้ระงับใช้ข้อมูล ร่วมถึงสามารถร้องเรียนและเรียกค่าสินไหมทดแทนกรณีมีการละเมิดหรือใช้ข้อมูลนอกเหนือวัตถุประสงค์

ความปลอดภัยทางข้อมูล

มีการกำหนดบทลงโทษสำหรับบุคคล ธุรกิจ หรือหน่วยงานหากมีการเก็บรวบรวมเกินความจำเป็น ไม่ได้มีการรักษาความปลอดภัยทางข้อมูลให้เหมาะสม ไม่แจ้งเหตุเมื่อถูกละเมิดข้อมูล

บทลงโทษของ PDPA นั้นมีทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีรายละเอียดดังนี้

  • โทษทางอาญา จำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
  • ความรับผิดทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง

แน่นอนว่าโทษของกฎหมายนี้ไม่ได้เบาเลย นั่นทำให้ทุกธุรกิจที่ทำงานเกี่ยวกับข้อมูลต้องให้ความสำคัญกับ PDPA ต้องมีการปรับตัวอย่างมาก เพื่อไม่ให้ทำผิดข้อกฎหมายไม่ว่าจะเป็นความประมาทไม่ตั้งใจหรือตั้งใจก็ตามที

Tip: กฎหมายนี้ในประเทศแถบยุโรปก็มีเช่นกัน โดยจะใช้ชื่อว่า General Data Protection Regulation (GDPR) โดยต่างกับ PDPA ของไทยที่บุคคลที่คุ้มครองและบทลงโทษของกฎหมาย

knowing-data-privacy-and-security-for-pdpa

การปรับธุรกิจเพื่อรับมือกับ PDPA

1.ให้ความรู้เพื่อให้คนในองค์กรเกิดความตระหนักและความเข้าใจกับเรื่อง PDPA

ไม่เพียงแค่ฝ่ายกฎหมายในองค์กรเท่านั้นที่ต้องให้ความสำคัญกับ PDPA เพราะเรื่องนี้ครอบคลุมตั้งแต่การออกนโยบาย การจัดเก็บข้อมูล ฝ่ายการตลาดที่ต้องทำความเข้าใจกับลูกค้า ดังนั้นทุกธุรกิจจึงต้องมีการกำหนดบทบาทและบุคลากรที่ทำงานเกี่ยวกับเรื่องนี้อย่างจริงจัง เพื่อรับผิดชอบงานด้านนี้ และทำการประสานงานกับเจ้าหน้าที่ที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลหากเกิดปัญหา

2.มีการชี้แจงเกี่ยวกับการเก็บข้อมูลทุกครั้ง

ทางธุรกิจจะต้องมีการชี้แจงกับลูกค้าหรือบุคคลที่กำลังจะเก็บข้อมูลทุกครั้งก่อน และดำเนินการเก็บข้อมูลเมื่ออีกฝ่ายยินยอมเท่านั้น

ตัวอย่างในเรื่องนี้มักพบเห็นจากเว็บไซต์ต่างๆ หลายคนอาจเห็นแถบเล็กๆ ที่มีการเขียนระบุเกี่ยวกับ Privacy Policy หรือการอธิบายมาตรการเกี่ยวกับการปกป้องข้อมูลส่วนตัว โดยจะมีรายละเอียดเกี่ยวกับข้อมูลที่จัดเก็บ แหล่งที่มา วัตถุประสงค์การเก็บข้อมูล รวมถึงสิทธิของเจ้าของข้อมูล และในอนาคตจะมีหน้า Privacy Policy เช่นนี้ทุกเว็บไซต์เนื่องจากกฎหมายกำหนด

3.มีการป้องกันทางข้อมูลที่รัดกุม

การจารกรรมข้อมูลทางคอมพิวเตอร์เป็นอีกกรณีที่สามารถพบเห็นได้บ่อยครั้งในปัจจุบัน ซึ่งถ้าธุรกิจที่มีการเก็บข้อมูล ไม่ได้มีการป้องกันข้อมูลที่ดีเพียงพอ หรือจงใจปล่อยให้ข้อมูลถูกจารกรรมจนมีผู้เสียหาย อาจถูกดำเนินคดีได้

ดังนั้นควรทำให้แน่ใจว่าเว็บไซต์หรือแพลตฟอร์มที่ถูกสร้างขึ้น มีความแข็งแกร่งมากพอ รวมถึงมีการป้องกันที่ดีพอไม่ให้ถูกเจาะและถูกล้วงข้อมูลได้ง่ายๆ

หากมีการปรับเปลี่ยนธุรกิจและการจัดการข้อมูลได้เหมาะสมแล้ว PDPA เองก็เป็นเพียงอีกหนึ่งข้อกฎหมายที่เพิ่มขึ้นมาเพื่อความปลอดภัยของประชาชนคนทั่วไปเท่านั้นเอง

สรุป

PDPA เป็นอีกกฎหมายใหม่ที่คนทำธุรกิจทุกประเภทที่มีการเก็บข้อมูลลูกค้า ไม่ว่าจะออนไลน์หรือออฟไลน์จำเป็นจะต้องรู้เอาไว้ เพื่อการดำเนินงานที่ถูกต้องและโปร่งใส รวมถึงป้องกันข้อผิดพลาดที่อาจเกิดขึ้นได้ในอนาคต

ซึ่งเป็นที่น่าจับตามองว่าหลังจากการประกาศใช้ พ.ร.บ.คุ้มครองส่วนบุคคลนี้ไปแล้ว สถิติการละเมิดข้อมูลรวมถึงความปลอดภัยทางข้อมูลจะลดลงหรือไม่ คงต้องติดตามต่อไปในอนาคต

PTT-ebook-2-startup

  • SUBSCRIBE TO BE
    THE FIRST INNOVATOR.

logo