PDPA พ.ร.บ.ข้อมูลส่วนบุคคล ที่ต้องรู้ !!! ทำแล้วผิดกฏหมายมีอะไรบ้าง
วันที่เขียน 2/6/2565 11:39:09     แก้ไขล่าสุดเมื่อ 4/7/2565 0:52:11
เปิดอ่าน: 406 ครั้ง

ความรู้จากการเข้าร่วมสัมมนา/อบรม

PDPA พ.ร.บ.ข้อมูลส่วนบุคคล ที่ต้องรู้ !!! ทำได้ไม่ผิดกฏหมาย

               ปัจจุบันมีการใช้งานกรอกข้อมูลส่วนบุคคลบนออนไลน์ ทำให้เกิดการหลอกลวงจากแก็งคอลเซนเตอร์ที่มาในทุกรูปแบบ เช่น ส่งข้อความ SMS โทรมาแจ้งพัสดุตกค้าง
โทรมาแจ้งเป็นหนี้บัตร เครดิต เป็นต้น ทำให้ข้อมูลส่วนบุคคลของเรารั่วไหล ดังนั้นจึงมีกฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่เราเรียกว่า พ.ร.บ.ข้อมูลส่วนบุคคล ดังนั้นมาทำความรู้จักว่าคืออะไร สิ่งใดที่ทำได้ สิ่งใดทำแล้วผิดกฏหมาย 

               พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือกฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act จะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 กฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

               กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

เตรียมความพร้อมตาม PDPA

                     บุคคลที่สำคัญตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย ขั้นตอนดังนี้

ขั้นตอนที่ 1. การเก็บรวบรวมข้อมูลส่วนบุคคล

1.1) จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ  องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้ง
       เจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย 

  • แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง  เพื่อวัตถุประสงค์ใด
  • แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ

     -   ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro
         เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA

1.2)  การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party  นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์
        หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคล
        จากผู้ใช้งานด้วย ซึ่งที่พบเห็นทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์
        คลิก Cookiewow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่
        เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอม
        การเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

1.3) การเก็บข้อมูลพนักงาน  สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็น
        ส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วน
        บุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่
        ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร ๑ ครั้ง และแจ้งในสัญญาจ้าง ๑ ครั้ง คลิก PDPA Pro เพื่อสร้าง
        Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA

 ขั้นตอนที่ 2.  การใช้หรือประมวลผลข้อมูลส่วนบุคคล

         แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

สิ่งที่ควรทำ

  • แอด line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
  • ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
  • ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
  • ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
  • การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
  • รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า

ขั้นตอนที่ 3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

  • กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
  • กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
  • มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

ขั้นตอนที่ 4. การส่งหรือเปิดเผยข้อมูลส่วนบุคคล

  • ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
  • ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
  • มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

ขั้นตอนที่ 5. การกำกับดูแลข้อมูลส่วนบุคคล

          ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมายPDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมายยิ่งไปกว่านั้น องค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

          ถึงเวลาปฏิบัติตาม PDPA แล้ว จะเห็นได้ว่าถ้าศึกษารายละเอียดของกฎหมายให้เข้าใจ องค์กรของเราก็สามารถปฏิบัติตาม PDPA ได้ไม่ยาก ทั้งนี้ก็มีผู้เชี่ยวชาญที่จะช่วยสร้างนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี

 สรุปง่ายๆ การใช้งานบนโลกออนไลน์ ที่ทำแล้วผิดกฎหมาย ดังรูป

ความคิดเห็นทั้งหมด (0)
ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด
รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานบริการการศึกษา
การศึกษา การแลกเปลี่ยนนักศึกษา ฝึกงาน หรือฝึกอบรมต่างประเทศ » การเดินทางเข้า-ออกราชอาณาจักรไทย ของบุคลากรและนักศึกษาต่างชาติ ในสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโควิด-19
จากสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรรัสโควิด-19 ซึ่งตาม พรก. ฉุกเฉิน และคำสั่ง ศบค. ได้ผ่อนปรนให้ผู้ไม่มีสัญชาติไทยซึ่งมีใบอนุญาตทำงานหรือนักศึกษาต่างชาติได้รับอนุญาตให้เข้ามาทำงานหรือศึกษาในร...
ราชอาณาจักรไทย  โรคติดเชื้อไวรัสโควิด-19     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานบริการการศึกษา
ผู้เขียน อาจารีย์ สว่างศรี  วันที่เขียน 8/9/2563 14:08:27  แก้ไขล่าสุดเมื่อ 3/7/2565 10:05:20   เปิดอ่าน 2219  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
ด้านความปลอดภัยและวิทยุสื่อสาร » คู่มือเครือข่ายสื่อสารองค์กรด้านการข่าวเพื่อการประสานงานและการประชาสัมพันธ์(วิทยุคมนาคม – วิทยุสื่อสาร ชุดที่1/62)
การจัดทำเอกสารคู่มือเครือข่ายสื่อสารองค์กรด้านการข่าวเพื่อการประสานงานและการประชาสัมพันธ์(วิทยุคมนาคม – วิทยุสื่อสาร ชุดที่1/62) สำหรับเป็นแหล่งข้อมูลและรวบรวมสาระความรู้เกี่ยวกับการติดต่อสื่อสาร ป...
  กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานบริการการศึกษา
ผู้เขียน นพกิจ แผ่พร  วันที่เขียน 31/10/2562 16:36:24  แก้ไขล่าสุดเมื่อ 3/7/2565 23:19:57   เปิดอ่าน 1821  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
การเตรียมการในการจัดงานเลี้ยงรับรองในการจัดประชุม/สัมมนา/ฝึกอบรมนานาชาติ » ความสำคัญของการจัดงานเลี้ยงรับรองและประเภทของงานเลี้ยงรับรอง
การจัดงานเลี้ยงรับรองเป็นช่วงเวลาที่มีความสำคัญไม่ยิ่งหย่อนไปกว่าการหารือกันในห้องประชุม เพราะผู้เข้าร่วมงานเลี้ยงรับรองทุกคน จะได้อยู่ในบรรยากาศที่มีความสนุกสนานและเป็นกันเอง ซึ่งจะสามารถนำไปสู่กา...
  กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานบริการการศึกษา
ผู้เขียน พอหทัย ตนะกุล  วันที่เขียน 9/10/2562 9:54:41  แก้ไขล่าสุดเมื่อ 3/7/2565 22:43:42   เปิดอ่าน 2680  ครั้ง | แสดงความคิดเห็น 0  ครั้ง
ขั้นตอนการปฏิบัติงาน » ยศทหาร-ตำรวจไทย (ภาษาอังกฤษ)
การจำตำแหน่ง ยศต่างๆ ของทหารและตำรวจ อาจเป็นเรื่องง่ายสำหรับคนที่ทำงานหรืออยู่กับสายงานนี้ แต่สำหรับบุคคลทั่วไป อาจจะมีคำศัพท์หลายคำที่ย่อแล้วอาจสับสนเบาๆ นอกจากนั้น ยังมีในหมวดยศต่างๆ เป็นภาษาอังก...
Police Ranks  Royal Thai Air Force Ranks  Royal Thai Army Ranks  Royal Thai Navy Ranks  ยศตำรวจ  ยศทหารบก  ยศทหารเรือ  ยศทหารอากาศ     กลุ่มงานตามสมรรถนะบุคลากร   กลุ่มงานบริการการศึกษา
ผู้เขียน ธัฒฌา ธนัญชัย  วันที่เขียน 6/10/2562 17:13:11  แก้ไขล่าสุดเมื่อ 4/7/2565 0:51:17   เปิดอ่าน 255367  ครั้ง | แสดงความคิดเห็น 0  ครั้ง