คัดลอกลิงก์แล้ว!
Digital Business and Application

PDPA หรือ พรบ.คุ้มครอง คืออะไร? คุ้มครองอะไรบ้าง? เช็คลิสต์ทุกข้อสำคัญ พร้อมประยุกต์ใช้ได้เลย

Share

ในช่วง 2-3 ปีที่ผ่านมาเราคงได้ยินเกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA กันมาไม่มากก็น้อย ซึ่งปัจจุบันได้มีการบังคับใช้เมื่อวันที่ 1 มิถุนายน 2563 ที่ผ่านมาเพื่อปกป้องสิทธิส่วนตัวของบุคคล และให้ความมั่นใจผู้บริโภคในการจัดการข้อมูลส่วนบุคคลแก่ธุรกิจที่ดำเนินการในประเทศไทยหรือธุรกิจต่าง ๆ ที่จะนำข้อมูลของเราไปประมวลผล 

 

“กล่าวโดยสรุป” ในการปฏิบัติตาม PDPA และกฎหมายที่เกี่ยวข้องธุรกิจควรจะต้องมีการดำเนินการดังนี้

  • ตั้งกระบวนการที่เข้าใจและรองรับสิทธิของเจ้าของข้อมูล 
  • ตรวจสอบวิธีการขอยินยอมของเจ้าของข้อมูล และปรับปรุงนโยบายความเป็นส่วนตัว
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือ DPO 
  • จัดทำแผนการตอบสนองการละเมิดข้อมูล 
  • ประเมินความเสี่ยงและการตรวจสอบประสิทธิภาพในด้านความคุ้มครองข้อมูลส่วนบุคคล
  • ปฏิบัติตามกฎหมายอื่น ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 

โดยธุรกิจที่มีการประมวลผลข้อมูลส่วนบุคคลของลูกค้าจะต้องปฏิบัติตามข้อบังคับของกฎหมายนี้ ดังนั้นในบทความนี้ทาง G-Able จะให้ผู้ประกอบการทุกท่านเข้าใจในเรื่องสำคัญ ๆ ของ PDPA และแนวทางการปฏิบัติตามกฎหมายนี้ โดยมีดังนี้ 

 

1. สิทธิ์ของเจ้าของข้อมูล

 

MicrosoftTeams-image (58).png

 

ภายใต้ พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA นั้น มีสิทธิ์หลายประการในเรื่องข้อมูลส่วนตัวของตัวเองได้แก่

  • สิทธิ์ในการเข้าถึง: เจ้าของข้อมูลมีสิทธิ์เข้าถึงและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวในกรณีเกิดความไม่แน่ใจว่าตนเองได้ให้ความยินยอมไปหรือไม่ โดยสิทธิการเข้าถึงข้อมูลนั้นต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล  และการใช้สิทธินั้นต้องไม่ละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น
  • สิทธิในการแก้ไข: เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่สมบูรณ์
  • สิทธิในการลบ: หรือ ที่รู้จักกันในชื่อ “สิทธิ์ในการถูกลืม” เจ้าของข้อมูลสามารถขอให้ลบข้อมูลส่วนบุคคลของตัวเองในบางกรณี เช่น เมื่อข้อมูลไม่จำเป็นต่อวัตถุประสงค์เดิม 
  • สิทธิในการคัดค้าน: เจ้าของข้อมูลสามารถคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตัวเองเพื่อวัตถุประสงค์เฉพาะ เช่น การประมวลผลเพื่อการตลาด หรือ โฆษณา เป็นต้น 
  • สิทธิในการถือครองข้อมูล: บุคคลมีสิทธิ์รับข้อมูลส่วนบุคคลของตัวเองในรูปแบบที่มีโครงสร้าง นิยม และเหมาะสมสำหรับเครื่องคอมพิวเตอร์ และถือครองข้อมูลนั้นไปยังผู้ควบคุมข้อมูลคนอื่น ๆ 
  • สิทธิในการจำกัดการประมวลผล: เจ้าของข้อมูลสามารถขอหยุดการประมวลผลข้อมูลส่วนบุคคลของตัวเองชั่วคราวในสถานการณ์บางอย่าง เช่น เมื่อความถูกต้องของข้อมูลถูกโต้แย้ง เป็นต้น

ซึ่งผู้ประกอบการ ต้องตั้งระบบเพื่อตอบสนองคำขอของเจ้าของข้อมูลและตอบสนองภายในระยะเวลาที่กำหนด ซึ่งรวมถึงการให้คำแนะนำในการปฏิบัติตามสิทธิ์ของตัวเองและการฝึกอบรมเจ้าหน้าที่ในการจัดการคำขอเหล่านี้

 

2. ความต้องการในการยินยอม

 

MicrosoftTeams-image (56).png

 

พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA กำหนดให้ผู้ประกอบการจะต้องขอยินยอมชัดเจนจากลูกค้าก่อนประมวลผลข้อมูลส่วนบุคคล ยกเว้นกรณีที่มีข้อกฎหมายที่ระบุสาเหตุสำหรับการประมวลผลโดยไม่ต้องขอยินยอม ยินยอมต้องได้รับอย่างเสรี ทราบข้อมูลที่ครบถ้วน และไม่กำกวม โดยต้องมีการดำเนินการจากเจ้าของข้อมูลด้วยตนเอง

 

ผู้ประกอบการควรตรวจสอบการปฏิบัติการเก็บข้อมูลและวิธีการขอยินยอมเพื่อให้เป็นไปตาม PDPA ซึ่งมีดังนี้: 

  • ปรับปรุงนโยบายความเป็นส่วนตัวเพื่ออธิบายอย่างชัดเจนว่าข้อมูลส่วนบุคคลจะถูกเก็บ เก็บรักษา และเปิดเผยอย่างไร
  • การใช้วิธีขอยินยอมที่ใช้งานง่าย เช่น กล่องที่เลือก ซึ่งอนุญาตให้บุคคลสามารถให้ยินยอมแบบกระตือรือร้น 
  • การให้แน่ใจว่าเจ้าของข้อมูลสามารถเพิกถอนคำยินยอมได้ง่าย ๆ รวมถึงให้คำแนะนำในวิธีการ

 

3. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือ DPO

 

MicrosoftTeams-image (54).png

 

สำหรับผู้ประกอบการที่ประกอบธุรกิจตามเกณฑ์เฉพาะ เช่น บริษัทที่ประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนสูง หรือมีการตรวจสอบเจ้าของข้อมูลเป็นประจำ จะต้องแต่งตั้ง DPO เพื่อดูแลกิจกรรมการคุ้มครองข้อมูล โดย DPO มีความผู้รับผิดชอบในการให้คำปรึกษา ตรวจสอบ และติดตามการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ภายในองค์กร ทั้งนี้ในการแต่งตั้ง DPO ควรมีเกณฑ์การพิจารณาดังต่อไปนี้ 

  • ตัดสินใจเกี่ยวกับการแต่งตั้ง DPO อย่างชัดเจนตามความต้องการของกฎหมาย
  • ให้แน่ใจว่า DPO มีความรู้ความสามารถในด้านคุ้มครองข้อมูลส่วนบุคคลและกฎหมายที่เกี่ยวข้อง
  • กำหนดบทบาทและความรับผิดชอบของ DPO ภายในองค์กร 

 

4.แผนการตอบสนองการละเมิดข้อมูล

 

MicrosoftTeams-image (57).png

 

พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA กำหนดให้บริษัทจัดทำแผนการตอบสนองการละเมิดข้อมูล โดยมีขั้นตอนเพื่อระบุ สอบสวน และรายงานการละเมิดข้อมูลส่วนบุคคล โดยบริษัทควรมีแผนดังกล่าวเพื่อรับมือกับการละเมิดข้อมูลที่อาจเกิดขึ้น และลดความเสี่ยงที่เกี่ยวข้อง โดย ข้อเสนอแนะในการจัดทำแผนการตอบสนองการละเมิดข้อมูลดังนี้

การกำหนดหน่วยงานหรือบุคคลที่รับผิดชอบในการระบุ สอบสวน และรายงานการละเมิดข้อมูล

  • การสร้างกระบวนการสื่อสารภายในองค์กรเพื่อให้ทราบถึงการละเมิดข้อมูลทันทีเมื่อเกิดขึ้น
  • การวางแผนการสื่อสารเพื่อแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบ PDPC และหน่วยงานที่เกี่ยวกับการละเมิดข้อมูล
  • การกำหนดมาตรการป้องกันและแก้ไขเพื่อลดความเสี่ยงที่อาจเกิดจากการละเมิดข้อมูลในอนาคต

 

5. การประเมินความเสี่ยงและการตรวจสอบประสิทธิภาพ

 

MicrosoftTeams-image (55).png

 

บริษัทควรดำเนินการประเมินความเสี่ยงด้านความคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ หากมีการเปลี่ยนแปลงในกระบวนการทำงาน หรือเมื่อมีเหตุผลที่มีนัยสำคัญในการประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ ธุรกิจควรดำเนินการตรวจสอบประสิทธิภาพของมาตรการความคุ้มครองข้อมูลในการป้องกันการละเมิดข้อมูลส่วนบุคคล โดยการประเมินความเสี่ยงและการตรวจสอบประสิทธิภาพนั้นจะรวมถึง

  • การวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
  • การพิจารณามาตรการป้องกันที่เหมาะสมสำหรับความเสี่ยงที่ตัดสินใจเสี่ยง
  • การตรวจสอบประสิทธิภาพของมาตรการความคุ้มครองข้อมูลปัจจุบัน
  • การสร้างแนวทางในการปรับปรุงมาตรการความคุ้มครองข้อมูลในอนาคต

 

6. การปฏิบัติตามกฎหมายอื่น ๆ

 

MicrosoftTeams-image (53).png

 

นอกจาก พรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA บริษัทที่ประมวลผลข้อมูลส่วนบุคคลในประเทศไทยอาจต้องปฏิบัติตามกฎหมายอื่น ๆ ที่เกี่ยวข้อง ตัวอย่างเช่น กฎหมายที่ควบคุมการใช้ข้อมูลส่วนบุคคลในเชิงพาณิชย์ การคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเด็ก หรือกฎหมายที่เกี่ยวข้องกับข้อมูลสุขภาพ ธุรกิจควรทบทวนและปรับปรุงกระบวนการปฏิบัติตามกฎหมายเหล่านี้ให้สอดคล้องกัน การปฏิบัติตามกฎหมายอื่น ๆ นั้นอาจรวมถึง 

ศึกษาและทำความเข้าใจกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในธุรกิจของคุณ 

  • การปรับปรุงกระบวนการทำงานและนโยบายเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง 
  • การติดต่อที่ปรึกษาที่มีความรู้ความสามารถในด้านกฎหมายเกี่ยวกับความคุ้มครองข้อมูลส่วนบุคคล

 

สรุป 

การปฏิบัติตาม PDPA เป็นสิ่งสำคัญสำหรับธุรกิจที่ประมวลผลข้อมูลส่วนบุคคลในประเทศไทย ที่บริษัทควรประเมินและปรับปรุงกระบวนการทำงานและนโยบายให้สอดคล้องกับกฎหมาย เพื่อป้องกันความเสี่ยงที่เกี่ยวข้องกับความคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ บริษัทควรสามารถตอบสนองต่อคำขอของเจ้าของข้อมูล และพิจารณากฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในการดำเนินธุรกิจของคุณ

หากองค์กรหรือธุรกิจของคุณ ต้องการข้อมูลเพิ่มเติมหรือกำลังมองหาผู้เชี่ยวชาญในการเป็นที่ปรึกษาเกี่ยวพรบ.คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือ PDPA 

 

G-Able ในฐานะการเป็น “Trusted Tech Enabler Partner for Business Resilience” หรือ ผู้ที่นำศักยภาพความพร้อมของเทคโนโลยีในทุกๆ ด้าน เพื่อผลักดันและสนับสนุนลูกค้าให้สามารถทำการแข่งขันได้ในโลกดิจิทัล 

 

เราเชื่อในแนวคิด “Possible. Simple.” จึงได้พัฒนาโซลูชัน WhiteFact เพื่อทวีคูณความเป็นไปได้ สร้างโอกาส และเตรียมความพร้อมของธุรกิจในฐานะผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคล ให้เกิดความโปร่งใสในการจัดเก็บและตรวจสอบการใช้งานของข้อมูลดังกล่าวได้ถูกต้องตามที่ พ.ร.บ. กำหนด โดยสามารถเข้าไปศึกษารายละเอียดเพิ่มเติมได้ที่ https://whitefact.co/ 

 

ให้เราช่วยเสริมศักยภาพของคุณ เตรียมพร้อมต่อการเปลี่ยนแปลง

สอบถามข้อมูลเกี่ยวกับผลิตภัณฑ์และบริการเพิ่มเติม

ติดต่อเรา