PDPA คืออะไร? ทําไมทุกธุรกิจต้องให้ความสําคัญ กับ PDPA

PDPA คืออะไร?

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 หลังจากที่ถูกเลื่อนออกมาให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act  (PDPA) โดยจะมี คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นหน่วยงานกำกับดูแลพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โดย พ.ร.บ. ฉบับนี้ ถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

ประเด็นสำคัญของกฎหมายนี้จะมุ่งเน้นไปที่ ธุรกิจ องค์กร หน่วยงาน หรือ นิติบุคคลที่ต้องมี “มาตรฐาน” ในการจัดการข้อมูลอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร ในแต่ละองค์กรจึงจำเป็นต้องใช้กฎหมายป้องกันการรั่วไหลของข้อมูลลูกค้า เพื่อความน่าเชื่อถือ และได้รับความไว้วางใจจากลูกค้าด้วยเช่นกัน


ทำไมต้องให้ความสำคัญกับ PDPA

การปฎิบัติ พ.ร.บ. PDPA สำหรับธุรกิจ ต้องเริ่มตั้งแต่การเตรียมความพร้อมเพื่อปฏิบัติตาม เงื่อนไขใน พ.ร.บ. PDPA อีกทั้งการออกแบบและพัฒนานโยบาย (Policy) การคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและพันธมิตรทางการค้าเพื่อให้สอดคล้องกับรูปแบบการดำเนินธุรกิจ โดยการให้บริการคำปรึกษาดังกล่าว ครอบคลุมไปถึงรายละเอียดดังต่อไปนี้

    • การประเมินข้อกำหนดของกฎหมายเทียบกระบวนการปฏิบัติงานของบริษัท
    • การประเมินข้อกำหนดด้านความมั่นคงปลอดภัยเทียบกับการจัดการด้าน IT ของบริษัท
    • การจัดทำระเบียนบันทึกข้อมูลส่วนบุคคล Data Inventory Mapping (DIM)
    • การจัดทำเอกสารไดอะแกรมการบริหารจัดการข้อมูลส่วนบุคคล Personal Data Flow Diagram
    • การให้คำแนะนำกรณีเกิดการขอใช้สิทธิจากลูกค้า
    • การให้คำแนะนำและเอกสารตัวอย่าง หรือคู่มือเพื่อให้สามารถปฏิบัติงานได้ตามกฎหมาย พ.ร.บ. ประกอบด้วย
            - นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
            - ตัวอย่างแบบฟอร์มการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล 
            - นโยบายในการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy)
            - คู่มือปฏิบัติงานการแบ่งชั้นของข้อมูลส่วนบุคคล (Personal Data Classification Procedure)
            - นโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอน
              ข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ (Third Parties / Cross Border Data Transfer Policy)
            - ขั้นตอนปฏิบัติการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent Management Procedure)
            - คู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure)
    • แนวปฏิบัติต่อคำขอของเจ้าของข้อมูล (Data Subject Request Procedure)
    • บริการจัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)
    • การฝึกอบรมพนักงานเพื่อสร้างความตระหนักด้านการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้าน IT


    หน่วยงานใดที่มีความเกี่ยวข้องกับการบังคับใช้ พ.ร.บ.

    หลายภาคธุรกิจ ยังมองเรื่องการทำ PDPA เป็นเรื่องของหน่วยงานไอที (IT) เพียงเท่านั้น แต่ความจริงแล้ว กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไม่ได้มีความสำคัญกับแค่หน่วยงานด้านไอทีเพียงเท่านั้น แต่ยังได้บังคับใช้กับทุกหน่วยงานในองค์กรที่มีการเก็บข้อมูลส่วนบุคคลทั้งหมดด้วย ดังนั้นองค์กรจึงจำเป็นต้องให้ความสำคัญให้ครอบคลุมทุกหน่วยงานที่เกี่ยวข้องให้ปฏิบัติตามกฎหมายอย่างเหมาะสม


    โดยหน่วยงานที่มักที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้ มีดังนี้

    • หน่วยงานทรัพยากรมนุษย์ หรือ HR (Human resources)
    • หน่วยงานฝึกอบรม (Training Department)
    • หน่วยงานจัดซื้อจัดจ้าง (Procurement)
    • หน่วยงานปฏิบัติการ (Operation)
    • หน่วยงานการตลาด และการขาย (Marketing & Sales)


    บทลงโทษกรณีไม่ปฏิบัติตาม PDPA

    บทลงโทษในกรณีที่องค์กรนั้นๆ เพิกเฉย ไม่ปฏิบัติตามหน้าที่ที่ต้องพิจารณาคำร้องและดำเนินการตามคำร้องเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูล หรือถ้าธุรกิจไม่ปฏิบัติตาม PDPA จนเกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดก็อาจเกิดผลกระทบต่อธุรกิจได้ บทลงโทษ PDPA จึงกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

    แต่ภาพรวมในบทลงโทษ มีการระบุความรับผิดภายใต้ พ.ร.บ. ฉบับนี้เบื้องต้นไว้ดังต่อไปนี้

    • โทษปรับสูงสุด 5 ล้านบาท
    • โทษจำคุกสูงสุด 1 ปี
    • ค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง
    • หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย


    ต้องดำเนินการจัดการ "ข้อมูลส่วนบุคคล" อย่างไร

    จากรายละเอียดเบื้องต้นเป็นสิ่งสำคัญที่ทุกธุรกิจต้องเตรียมพร้อมเพื่อปฏิบัติตามมาตรฐานของ PDPA ให้ถูกต้องอย่างเคร่งครัดแต่หมดกังวลได้เลย เพราะทรูบิสิเนสมีบริการมากมายจากกล่มทรู นำโดยทรู ดิจิทัล ไซเบอร์ ซิเคียวริตี้ ที่มีทีมที่ปรึกษาและผู้เชี่ยวชาญแบบครบวงจรที่ให้คำปรึกษากฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) หรือเรียกว่า PDPA Consulting Service บริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล เพื่อตอบโจทย์ข้อบังคับตามกฎหมายไม่ว่าจะเป็น ที่ปรึกษานักกฎหมายเกี่ยวกับระบบ Data Privacy ทางด้าน PDPA and Cyber Law ที่สามารถช่วยตรวจสอบและจัดทำเอกสารต่างๆ เพื่อสอดรับกับข้อบังคับทางกฎหมายที่เกี่ยวข้องกับ PDPA รวมทั้งบริหารจัดการ และปรับปรุงกระบวนการทำงานและซอฟต์แวร์ระบบที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล  ที่พร้อมให้บริการในรูปแบบ PDPA Consulting โดยสามารถให้คำปรึกษากับทุกหน่วยงาน ที่ต้องการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างถูกต้อง โดยจัดทำเป็นโซลูชันแบบครอบคลุมครบถ้วนทั้งในเรื่องการจัดทำนโยบาย และ การบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. ดังกล่าวได้ เช่น การจัดการระบบที่เกี่ยวข้องต่าง ๆ ได้แก่ Cookies Consent,  Consent management, Data security หรือการป้องกัน Data Breach เป็นต้น รวมไปถึงการอบรมพนักงานให้มีความรู้ความเข้าใจ เกี่ยวกับกฏหมายที่เกี่ยวข้องเพื่อให้สามารถรองรับการป้องกันภัยของข้อมูลและจัดเก็บข้อมูลส่วนบุคคล ได้อย่างถูกต้องและเต็มประสิทธิภาพ พร้อมทั้งมีทีมงานที่ช่วยตอบข้อสงสัยเกี่ยวกับ PDPA ตลอดระยะเวลาของการให้บริการ สนใจปรึกษาหรือรับบริการ โทร. 1239 


    ข้อมูลเพิ่มเติม :  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. ๒๕๖๒ ฉบับแก้ไขล่าสุด ที่บรรจุไว้ใน พระราชกิจจานุเบกษา

    คลิก http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

    สอบถามข้อมูลเพิ่มเติมได้ที่
    ศูนย์บริการ
    ลูกค้าธุรกิจ
    1239
    หรือ