PDPA คืออะไร? ทําไมทุกธุรกิจต้องให้ความสําคัญ กับ PDPA

ขอข้อมูลเพิ่มเติม

PDPA คืออะไร?

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 หลังจากที่ถูกเลื่อนออกมาให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) โดยจะมี คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นหน่วยงานกำกับดูแลพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

โดย พ.ร.บ. ฉบับนี้ ถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

ประเด็นสำคัญของกฎหมายนี้จะมุ่งเน้นไปที่ ธุรกิจ องค์กร หน่วยงาน หรือ นิติบุคคลที่ต้องมี “มาตรฐาน” ในการจัดการข้อมูลอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร ในแต่ละองค์กรจึงจำเป็นต้องใช้กฎหมายป้องกันการรั่วไหลของข้อมูลลูกค้า เพื่อความน่าเชื่อถือ และได้รับความไว้วางใจจากลูกค้าด้วยเช่นกัน

ทำไมต้องให้ความสำคัญกับ PDPA

การปฎิบัติ พ.ร.บ. PDPA สำหรับธุรกิจ ต้องเริ่มตั้งแต่การเตรียมความพร้อมเพื่อปฏิบัติตาม เงื่อนไขใน พ.ร.บ. PDPA อีกทั้งการออกแบบและพัฒนานโยบาย (Policy) การคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและพันธมิตรทางการค้าเพื่อให้สอดคล้องกับรูปแบบการดำเนินธุรกิจ โดยการให้บริการคำปรึกษาดังกล่าว ครอบคลุมไปถึงรายละเอียดดังต่อไปนี้

การประเมินข้อกำหนดของกฎหมายเทียบกระบวนการปฏิบัติงานของบริษัท
การประเมินข้อกำหนดด้านความมั่นคงปลอดภัยเทียบกับการจัดการด้าน IT ของบริษัท
การจัดทำระเบียนบันทึกข้อมูลส่วนบุคคล Data Inventory Mapping (DIM)
การจัดทำเอกสารไดอะแกรมการบริหารจัดการข้อมูลส่วนบุคคล Personal Data Flow Diagram
การให้คำแนะนำกรณีเกิดการขอใช้สิทธิจากลูกค้า
การให้คำแนะนำและเอกสารตัวอย่าง หรือคู่มือเพื่อให้สามารถปฏิบัติงานได้ตามกฎหมาย พ.ร.บ. ประกอบด้วย
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
- ตัวอย่างแบบฟอร์มการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล
- นโยบายในการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด (Personal Data Disposal Policy)
- คู่มือปฏิบัติงานการแบ่งชั้นของข้อมูลส่วนบุคคล (Personal Data Classification Procedure)
- นโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอน
ข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ (Third Parties / Cross Border Data Transfer Policy)
- ขั้นตอนปฏิบัติการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent Management Procedure)
- คู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure)
แนวปฏิบัติต่อคำขอของเจ้าของข้อมูล (Data Subject Request Procedure)
บริการจัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)
การฝึกอบรมพนักงานเพื่อสร้างความตระหนักด้านการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้าน IT

หน่วยงานใดที่มีความเกี่ยวข้องกับการบังคับใช้ พ.ร.บ.

หลายภาคธุรกิจ ยังมองเรื่องการทำ PDPA เป็นเรื่องของหน่วยงานไอที (IT) เพียงเท่านั้น แต่ความจริงแล้ว กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไม่ได้มีความสำคัญกับแค่หน่วยงานด้านไอทีเพียงเท่านั้น แต่ยังได้บังคับใช้กับทุกหน่วยงานในองค์กรที่มีการเก็บข้อมูลส่วนบุคคลทั้งหมดด้วย ดังนั้นองค์กรจึงจำเป็นต้องให้ความสำคัญให้ครอบคลุมทุกหน่วยงานที่เกี่ยวข้องให้ปฏิบัติตามกฎหมายอย่างเหมาะสม

โดยหน่วยงานที่มักที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้ มีดังนี้

หน่วยงานทรัพยากรมนุษย์ หรือ HR (Human resources)
หน่วยงานฝึกอบรม (Training Department)
หน่วยงานจัดซื้อจัดจ้าง (Procurement)
หน่วยงานปฏิบัติการ (Operation)
หน่วยงานการตลาด และการขาย (Marketing & Sales)

บทลงโทษกรณีไม่ปฏิบัติตาม PDPA

บทลงโทษในกรณีที่องค์กรนั้นๆ เพิกเฉย ไม่ปฏิบัติตามหน้าที่ที่ต้องพิจารณาคำร้องและดำเนินการตามคำร้องเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูล หรือถ้าธุรกิจไม่ปฏิบัติตาม PDPA จนเกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดก็อาจเกิดผลกระทบต่อธุรกิจได้ บทลงโทษ PDPA จึงกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

แต่ภาพรวมในบทลงโทษ มีการระบุความรับผิดภายใต้ พ.ร.บ. ฉบับนี้เบื้องต้นไว้ดังต่อไปนี้

โทษปรับสูงสุด 5 ล้านบาท
โทษจำคุกสูงสุด 1 ปี
ค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง
หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย

ต้องดำเนินการจัดการ "ข้อมูลส่วนบุคคล" อย่างไร

จากรายละเอียดเบื้องต้นเป็นสิ่งสำคัญที่ทุกธุรกิจต้องเตรียมพร้อมเพื่อปฏิบัติตามมาตรฐานของ PDPA ให้ถูกต้องอย่างเคร่งครัดแต่หมดกังวลได้เลย เพราะทรูบิสิเนสมีบริการมากมายจากกล่มทรู นำโดยทรู ดิจิทัล ไซเบอร์ ซิเคียวริตี้ ที่มีทีมที่ปรึกษาและผู้เชี่ยวชาญแบบครบวงจรที่ให้คำปรึกษากฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) หรือเรียกว่า PDPA Consulting Service บริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล เพื่อตอบโจทย์ข้อบังคับตามกฎหมายไม่ว่าจะเป็น ที่ปรึกษานักกฎหมายเกี่ยวกับระบบ Data Privacy ทางด้าน PDPA and Cyber Law ที่สามารถช่วยตรวจสอบและจัดทำเอกสารต่างๆ เพื่อสอดรับกับข้อบังคับทางกฎหมายที่เกี่ยวข้องกับ PDPA รวมทั้งบริหารจัดการ และปรับปรุงกระบวนการทำงานและซอฟต์แวร์ระบบที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ที่พร้อมให้บริการในรูปแบบ PDPA Consulting โดยสามารถให้คำปรึกษากับทุกหน่วยงาน ที่ต้องการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างถูกต้อง โดยจัดทำเป็นโซลูชันแบบครอบคลุมครบถ้วนทั้งในเรื่องการจัดทำนโยบาย และ การบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. ดังกล่าวได้ เช่น การจัดการระบบที่เกี่ยวข้องต่าง ๆ ได้แก่ Cookies Consent, Consent management, Data security หรือการป้องกัน Data Breach เป็นต้น รวมไปถึงการอบรมพนักงานให้มีความรู้ความเข้าใจ เกี่ยวกับกฏหมายที่เกี่ยวข้องเพื่อให้สามารถรองรับการป้องกันภัยของข้อมูลและจัดเก็บข้อมูลส่วนบุคคล ได้อย่างถูกต้องและเต็มประสิทธิภาพ พร้อมทั้งมีทีมงานที่ช่วยตอบข้อสงสัยเกี่ยวกับ PDPA ตลอดระยะเวลาของการให้บริการ สนใจปรึกษาหรือรับบริการ โทร. 1239

ข้อมูลเพิ่มเติม : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. ๒๕๖๒ ฉบับแก้ไขล่าสุด ที่บรรจุไว้ใน พระราชกิจจานุเบกษา

คลิก http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF