PDPA พ.ร.บ.ข้อมูลส่วนบุคคล ที่ต้องรู้ !!! ทำแล้วผิดกฏหมายมีอะไรบ้าง

ประทีป สุขสมัย

ประทีป สุขสมัย

วันที่เขียน 2/6/2565 11:39:09 แก้ไขล่าสุดเมื่อ 21/11/2567 21:07:29

เปิดอ่าน: 5687 ครั้ง

ความรู้จากการเข้าร่วมสัมมนา/อบรม

PDPA พ.ร.บ.ข้อมูลส่วนบุคคล ที่ต้องรู้ !!! ทำได้ไม่ผิดกฏหมาย

ปัจจุบันมีการใช้งานกรอกข้อมูลส่วนบุคคลบนออนไลน์ ทำให้เกิดการหลอกลวงจากแก็งคอลเซนเตอร์ที่มาในทุกรูปแบบ เช่น ส่งข้อความ SMS โทรมาแจ้งพัสดุตกค้าง
โทรมาแจ้งเป็นหนี้บัตร เครดิต เป็นต้น ทำให้ข้อมูลส่วนบุคคลของเรารั่วไหล ดังนั้นจึงมีกฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่เราเรียกว่า พ.ร.บ.ข้อมูลส่วนบุคคล ดังนั้นมาทำความรู้จักว่าคืออะไร สิ่งใดที่ทำได้ สิ่งใดทำแล้วผิดกฏหมาย

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือกฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act จะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 กฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

เตรียมความพร้อมตาม PDPA

บุคคลที่สำคัญตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย ขั้นตอนดังนี้

ขั้นตอนที่ 1. การเก็บรวบรวมข้อมูลส่วนบุคคล

1.1) จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้ง
เจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย

แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ

- ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro
เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA

1.2) การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์
        หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคล
        จากผู้ใช้งานด้วย ซึ่งที่พบเห็นทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์
        คลิก Cookiewow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่
        เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอม
        การเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

1.3) การเก็บข้อมูลพนักงาน สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็น
        ส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วน
        บุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่
        ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร ๑ ครั้ง และแจ้งในสัญญาจ้าง ๑ ครั้ง คลิก PDPA Pro เพื่อสร้าง
        Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA

ขั้นตอนที่ 2. การใช้หรือประมวลผลข้อมูลส่วนบุคคล

แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

สิ่งที่ควรทำ

แอด line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว

การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า

ขั้นตอนที่ 3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

ขั้นตอนที่ 4. การส่งหรือเปิดเผยข้อมูลส่วนบุคคล

ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

ขั้นตอนที่ 5. การกำกับดูแลข้อมูลส่วนบุคคล

ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมายPDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมายยิ่งไปกว่านั้น องค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

ถึงเวลาปฏิบัติตาม PDPA แล้ว จะเห็นได้ว่าถ้าศึกษารายละเอียดของกฎหมายให้เข้าใจ องค์กรของเราก็สามารถปฏิบัติตาม PDPA ได้ไม่ยาก ทั้งนี้ก็มีผู้เชี่ยวชาญที่จะช่วยสร้างนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี

สรุปง่ายๆ การใช้งานบนโลกออนไลน์ ที่ทำแล้วผิดกฎหมาย ดังรูป

คำสำคัญ :

PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

กลุ่มบทความ :

กลุ่มงานตามสมรรถนะบุคลากร

หมวดหมู่ :

กลุ่มงานบริการการศึกษา

แชร์ :

https://erp.mju.ac.th/acticleDetail.aspx?qid=1278

ความคิดเห็นทั้งหมด (0)

ไม่มีข้อมูลตามเงื่อนไขที่ท่านกำหนด

รายการบทความการแลกเปลี่ยนเรียนรู้หมวดหมู่ : กลุ่มงานบริการการศึกษา

	ความรู้จากการเข้าร่วมอบรม » รู้หรือไม่ สายfiber optic สามารถย่อโลกให้เล็กลงได้
	สายfiber optic หรือ สายใยแก้วนําแสง คือ สายสัญญาณชนิดหนึ่งที่ผลิตมาจากแก้ว หุ้มด้วยใยพิเศษเพื่อป้องกันการกระแทก โดยการส่งข้อมูลของเส้นใยแก้วนำแสง นั้นจะทำงานจาก การแปลงสัญญาณข้อมูลไฟฟ้าจากอุปกรณ์ต...
	Fiber Optic Cable ไฟเบอร์ออฟติก สายใยแก้วนําแสง กลุ่มงานตามสมรรถนะบุคลากร กลุ่มงานบริการการศึกษา
	ผู้เขียน ประทีป สุขสมัย วันที่เขียน 6/9/2567 16:49:45 แก้ไขล่าสุดเมื่อ 21/11/2567 16:49:57 เปิดอ่าน 92 ครั้ง \| แสดงความคิดเห็น 0 ครั้ง

	การศึกษาดูงานบริการการศึกษา ณ มหาวิทยาลัยแม่ฟ้าหลวง และ มหาวิทยาลัยราชภัฏเชียงราย » KM งานบริการการศึกษาและกิจการนักศึกษา คณะบริหารธุรกิจ จากการเข้าศึกษาดูงาน มหาวิทยาลัยแม่ฟ้าหลวง วันที่ 1 พฤษภาคม 2567 และมหาวิทยาลัยราชภัฎเชียงราย วันที่ 3 พฤษภาคม 2567
	งานบริการการศึกษาและกิจการนักศึกษา คณะบริหารธุรกิจ มีแผนการพัฒนางานประจำเพื่อนำความรู้ที่ได้มาปรับปรุงงานประจำ หรือพัฒนาให้เกิดนวัตกรรมของงาน จึงได้วางแผนตั้งแต่การขออนุมัติเข้าร่วมอบรม การพัฒนางาน...
	KM, งานบริการการศึกษา กลุ่มงานตามสมรรถนะบุคลากร กลุ่มงานบริการการศึกษา
	ผู้เขียน กฤตาณัฐ ศรีประภา วันที่เขียน 30/8/2567 14:58:46 แก้ไขล่าสุดเมื่อ 21/11/2567 16:04:23 เปิดอ่าน 142 ครั้ง \| แสดงความคิดเห็น 0 ครั้ง

	วิชาการและการศึกษา » การอบรม เรื่องการพัฒนางานประจำ สู่ นวัตกรรมการให้บริการ

	กลุ่มงานตามสมรรถนะบุคลากร กลุ่มงานบริการการศึกษา
	ผู้เขียน ธณัฐดา ธรรมยศ วันที่เขียน 30/8/2567 13:40:45 แก้ไขล่าสุดเมื่อ 21/11/2567 15:35:11 เปิดอ่าน 106 ครั้ง \| แสดงความคิดเห็น 0 ครั้ง

	วิชาการและการศึกษา » กำหนดผลลัพธ์การเรียนรู้ระดับหลักสูตร รายวิชา ระดับชั้นปี และการวัดประเมินผลแบบ Rubric

	กลุ่มงานตามสมรรถนะบุคลากร กลุ่มงานบริการการศึกษา
	ผู้เขียน ธณัฐดา ธรรมยศ วันที่เขียน 30/8/2567 11:43:13 แก้ไขล่าสุดเมื่อ 21/11/2567 15:34:45 เปิดอ่าน 88 ครั้ง \| แสดงความคิดเห็น 0 ครั้ง

	อบรมการพัฒนาตนเองด้านความรู้ ทักษะและพฤติกรรม ปี 2567 » กระบวนการพัฒนางานประจำสู่นวัตกรรมการให้บริการ
	การพัฒนางานประจำสู่นวัตกรรมการให้บริการนั้นเป็นกระบวนการที่ต้องใช้เวลาและความพยายาม รวมถึงการมีส่วนร่วมจากพนักงานทุกระดับในองค์กร การนำเทคโนโลยีและการปรับปรุงกระบวนการมาใช้ จะช่วยให้องค์กรสามารถสร้...
	การพัฒนา งานประจำ นวัตกรรม กลุ่มงานตามสมรรถนะบุคลากร กลุ่มงานบริการการศึกษา
	ผู้เขียน ภาวิณี จีปูคำ วันที่เขียน 27/6/2567 14:10:39 แก้ไขล่าสุดเมื่อ 21/11/2567 15:43:07 เปิดอ่าน 233 ครั้ง \| แสดงความคิดเห็น 0 ครั้ง