PDPA ฉบับย่อยง่าย อะไรที่ธุรกิจควรรู้และควรระวัง



พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ Personal Data Protection Act (PDPA) นั้นกำลังจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 ที่ใกล้จะถึงนี้ แม้จะมีเวลาเตรียมตัวกันมาสักพักใหญ่หลายองค์กรก็ยังมีความกังวลต่อความเปลี่ยนแปลงที่กำลังจะเกิด ในบทความนี้ ขอเชิญทุกท่านมาทบทวนความรู้เกี่ยวกับ PDPA ด้วยความรู้ที่ได้รับมาจากการสัมภาษณ์คุณเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล 

 

PDPA เกิดขึ้นเพื่ออะไร

พรบ.คุ้มครองข้อมูลส่วนบุคคลนั้นเกิดขึ้นโดยมีเป้าหมายหลักใน 2 ด้าน ด้านแรกที่เป็นที่เข้าใจกันดีคือการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลในยุคที่ธุรกิจเก็บข้อมูลสำคัญของผู้มาใช้บริการมากขึ้นเรื่อยๆ ป้องกันไม่ให้เกิดการนำข้อมูลไปใช้ในทางที่ไม่ชอบที่อาจจะก่อให้เกิดความเสียหายตามมา 

และอีกด้านหนึ่งคือการวางแนวทางการจัดการและส่งต่อข้อมูล ทั้งในระดับของการดำเนินธุรกิจและการโอนข้อมูลข้ามระหว่างองค์กร ซึ่งจำเป็นจะต้องมีกฎหมายกำกับดูแลเพื่อให้สอดคล้องกับแนวทางสากล และสร้างความมั่นใจให้กับองค์กรจากประเทศที่มีกฎหมายคุ้มครองข้อมูลท้องถิ่นว่าข้อมูลของลูกค้าที่พวกเขาจะส่งมอบมายังองค์กรไทยนั้นจะถูกรักษาเป็นอย่างดี 

อะไรบ้างที่อยู่ในกฎหมาย PDPA

พรบ.ฉบับนี้ได้ให้นิยามของสิ่งที่เกี่ยวข้องหลักๆ ไว้ 4 อย่าง คือ

  • ข้อมูลส่วนบุคคล หมายถึงข้อมูลใดๆที่ทำให้สามารถระบุตัวบุคคลนั้นๆได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์
  • ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) หมายถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลอื่นๆตามที่ได้ประกาศไว้ซึ่งกระทบต่อเจ้าของข้อมูล
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึงบุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บ ใช้ หรือเผยแพร่ข้อมูล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึงบุคคลหรือนิติบุคคลซึ่งดำเนินการเก็บ ใช้ หรือเผยแพร่ข้อมูลในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ความแตกต่างระหว่าง PDPA และ GDPR 

GDPR หรือ General Data Protection Regulation นั้นเป็นกฎหมายที่บังคับใช้ขึ้นหลายปีแล้วในสหภาพยุโรป แนวทางของ PDPA นั้นมีความสอดคล้องกับ GDPR อยู่หลายประการ ทว่า PDPA นั้นจะเน้นไปที่แนวทางการเก็บรวบรวม รักษา การใช้และเปิดเผยข้อมูล ในขณะที่ GDPR นั้นมีเนื้อหาหลักที่การจัดการการประมวลผลข้อมูลของธุรกิจ

ส่วนประกอบของ PDPA 

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นั้นประกอบไปด้วย 96 มาตรา ซึ่งแบ่งออกเป็น 7 หมวด ครอบคลุมการดูแลข้อมูลในด้านต่างๆ ได้แก่

  • การคุ้มครองข้อมูลส่วนบุคคล – หากธุรกิจต้องการเก็บข้อมูล จะต้องแจ้งวัตถุประสงค์ในการใช้งานและได้รับความยินยอมจากลูกค้า และเก็บเพียงข้อมูลที่จำเป็นต่อการใช้งานเท่านั้น
  • การใช้หรือเปิดเผยข้อมูล – ต้องได้รับการยินยอมและเป็นไปตามเงื่อนไขที่แจ้งไว้
  • การส่งผ่านข้อมูลไปต่างประเทศ – ประเทศปลายทางจะต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอต่อการรักษาความปลอดภัย
  • การร้องเรียนโดยเจ้าของข้อมูล – มีขั้นตอนและแนวทางในการดำเนินการที่ถูกกำหนดไว้โดยเฉพาะ
  • ความผิดทางแพ่ง – จะเกิดขึ้นเมื่อมีการฟ้องร้องต่อศาล และศาลจะเป็นผู้กำหนดสินไหมทดแทน 
  • บทกำหนดโทษ – มีทั้งโทษอาญาและโทษทางปกครอง แปรผันตามความเสียหายและดุลยพินิจของคณะกรรมการผู้เชี่ยวชาญ 

ธุรกิจต้องกังวลถึงบทลงโทษแค่ไหน

บทบัญญัติของ PDPA นั้นกำหนดโทษขององค์กรที่ไม่สามารถดำเนินการได้สอดคล้องกับหลักการไว้ค่อนข้างสูง อย่างไรก็ตามกฎหมายนั้นไม่มีเจตนาที่จะลงโทษขั้นสูงสุดทุกกรณี และจะพิจารณาตามปัจจัยอื่นๆ เช่น ความร้ายแรงของผลกระทบ จำนวนของข้อมูล และขนาดขององค์กร ธุรกิจจึงไม่ต้องกังวลเกินกว่าเหตุนัก

อย่างไรก็ตาม การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลของลูกค้าเป็นสิ่งที่ธุรกิจจะต้องตระหนัก และระมัดระวังในการดำเนินการเกี่ยวกับข้อมูลให้มากขึ้นกว่าที่เคย ซึ่งการตระหนักรู้ในประเด็นนี้นอกจากจะเป็นประโยชน์ต่อผู้ใช้บริการแล้ว ยังส่งเสริมให้ธุรกิจมีความปลอดภัยที่ดีขึ้น และลดความเสี่ยงและความเสียหายจากการโจมตีทางไซเบอร์ด้วย 

ศึกษารายละเอียดเพิ่มเติมเกี่ยวกับ PDPA และการสัมภาษณ์นี้ฉบับเต็มได้ที่ https://www.jrit-ichi.com/cutting/2022/04/01/1020/ 

CR:https://www.techtalkthai.com/jrit-pdpa-quick-guide-what-to-know/

View : 745
เราใช้คุกกี้เพื่อเพิ่มประสิทธิภาพในการให้บริการและปรับปรุงบริการ คุณสามารถเลือกตั้งค่าความยินยอมการใช้คุกกี้ได้ที่ปุ่ม "ตั้งค่าคุกกี้" Privacy Policy    ยอมรับทั้งหมด