Skip to content

Table of Contents

          หลังจากที่ทุกคนทราบกันดีอยู่แล้วว่ากฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มีการประกาศให้บังคับใช้อย่างเป็นทางการแล้วเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาแล้วนั้นเอง ซึ่งในปัจจุบันนั้นการทำธุรกิจในประเทศไทยได้เริ่มมีการเปลี่ยนผ่านเข้าสู่ระบบดิจิทัลมีการใช้เทคโนโลยีมากยิ่งขึ้นเป็นจำนวนมาก ดังนั้นแล้วประเทศไทยจึงได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 ขึ้นมา หรือที่เรียกว่ากฎหมาย PDPA เพื่อใช้ปกป้องสิทธิส่วนบุคคลการให้ข้อมูลมีความปลอดภัยต่อผู้ใช้งานหรือบุคคลที่เป็นเจ้าของข้อมูลมากยิ่งขึ้น และเพื่อเป็นการใช้สำหรับการประมวลผลข้อมูลเหล่านั้นอย่างมีความรับผิดชอบ โดยกฎหมายฉบับนี้ได้มีผลบังคับใช้ทั้งกับระดับบุคคลที่เป็นเจ้าของข้อมูล และนิติบุคคลที่จดทะเบียนในประเทศไทย รวมไปถึงบริษัทที่มีที่ตั้งอยู่ในต่างประเทศแต่ได้มีส่งขายสินค้าหรือบริการให้กับลูกค้าที่เป็นคนไทย

          และเรามักจะพบว่าข้อมูลส่วนบุคคลในบางครั้งถูกเก็บไปใช้งานได้ง่ายดายและรวดเร็วยิ่งขึ้น โดยเฉพาะผ่านสื่อดิจิทัล ดังนั้น คนที่ทำธุรกิจผ่านระบบดิจิทัล หรือใช้บริการในระบบดิจิทัลในการปฏิบัติการต่างๆ ในสายงานที่เกี่ยวข้องกับบริบทขององค์กรกับการเข้าถึงข้อมูลส่วนบุคคล จึงมีความเกี่ยวข้องกับกฎหมาย PDPA นี้เป็นอย่างมาก

          ทั้งนี้ บริษัทหรือองค์ธุรกิจที่อยู่ในฐานะของผู้ควบคุม และประมวลผลข้อมูล ต้องมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ รวมถึงการเผยแพร่และต้องระบุระยะเวลาในการเก็บข้อมูลที่ชัดเจน

ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?

กฎหมาย PDPA ได้มีการระบุถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 3 กลุ่ม ได้แก่

  1. “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) นั้นหมายถึงคนทุกคนที่เป็นเจ้าของข้อมูลหรือ Data Subject ในรูปแบบต่าง ๆ ทั้งทางตรง และทางอ้อม ที่สามารถนำข้อมูลเหล่านั้นมาระบุถึงตัวบุคคลคนนั้นได้
  2. “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  3. “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง

สิ่งที่คนทำธุรกิจต้องคำนึงถึงและต้องเตรียมรับมือ เพื่อตอบรับกับกฎหมาย PDPA

  1. เตรียมเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล

         เป็นเอกสารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) ที่จะต้องมีการระบุถึงรูปแบบว่านำข้อมูลไปประมวลผลอย่างไรบ้าง มีวัตถุประสงค์เพื่อการใด ใครบ้างคือผู้เกี่ยวข้อง และนอกจากเป็นข้อกำหนดตาม พ.ร.บ. เพื่อทำการตรวจสอบแล้ว ตัวเอกสารการทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP ก็จะเป็นส่วนช่วยให้องค์กรมองเห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมดของพนักงานผู้เป็นเจ้าของข้อมูล และยังสามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

  1. เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์

         เป็นเอกสารเพื่อให้เจ้าของข้อมูลนั้น สามารถขอมีสิทธิในการเข้าถึงข้อมูลส่วนตัวได้ ไม่ว่าผ่านทางช่องทางใดๆ ก็ตาม และจะต้องมีการดำเนินการตามคำร้องภายใน 30 วันนับแต่ทราบ แต่สำหรับธุรกิจที่มีการให้บริการผ่านช่องทางเว็บไซต์ จำเป็นอย่างยิ่งที่ควรจะสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ของตนเพื่อให้ผู้ใช้บริการซึ่งมีสิทธิในการเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ และแบบฟอร์มควรจะระบุให้มีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน รวมทั้งระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้นั้นเองค่ะ

  1. แจ้งเจ้าของข้อมูลเกี่ยวกับนโยบายความเป็นส่วนตัว หรือ Privacy Policy

         เพื่อเป็นเอกสารยืนยันให้กับทางเจ้าของข้อมูลรับทราบว่าข้อมูลที่จะนำไปใช้นั้นมีวัตถุประสงค์ในการใช้เพื่ออะไร หรือมีเงื่อนไขอะไรบ้างนำไปใช้ รวมไปถึงระยะเวลาในการจัดเก็บข้อมูล รวมไปถึงระบุมาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางการติดต่อบริษัท ซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)

  1. การขอคำยินยอมในการใช้ Cookie ธุรกิจ

        จำเป็นอย่างยิ่งที่หน้าเว็บไซต์ของแต่ละธุรกิจจะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลที่เป็นผู้ใช้งานหน้าเว็บไซต์ในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจับเก็บ นับตั้งแต่ข้อมูลพื้นฐาน ไม่ว่าจะเป็น ชื่อบัญชีผู้ใช้งาน รวมไปจนถึงการติดตามประวัติการใช้งาน หรือพฤติกรรมของผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ ที่องค์ได้มีการระบุได้ รวมำไปถีงสิทธิของผู้ใช้งานเพื่อเป็นการตัดสินใจในการยินยอมเข้าถึงข้อมูลส่วนบุคคลใดบ้าง

     5. การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล

         หากเกิดการรั่วไหลของข้อมูลที่องค์กรเป็นผู้ดูแล คนทำธุรกิจหรือองค์กรจะต้องมีการแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือถูกนำไปใช้ในทางที่ผิด จะต้องมีการประเมินส่วนที่ขาดหาย และวิธีการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ได้รับความเสียหาย

          เมื่อสิ่งนี้ถูกเรียกว่าเป็นกฎหมายแล้ว หากคนทำธุรกิจยังมีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎจากผู้ที่มีหน้าที่ควบคุมข้อมูลหรือจัดเก็บข้อมูลส่วนบุคคลของผู้อื่น ก็จะถูกพิจารณาความรับผิดในโทษตามที่กฎหมายกำหนดไม่ว่าจะเป็น โทษทั้งทางแพ่ง โทษทางอาญาและโทษทางการปกครอง โดยกำหนดให้มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ เพิ่มเติม โทษ PDPA

⠀⠀สรุป หลังจากที่กฎหมาย PDPA ได้มีการบังคับใช้อย่างเป็นทางการไปแล้วนั้นเมื่อ วันที่ 1 มิถุนายน พ.ศ. 2565 ดังนั้นจำเป็นอย่างยิ่งที่คนทำธุรกิจ หรือในองค์กรต่างๆ จึงต้องตระหนักในการปฏิบัติตามกฎหมายและควรเริ่มศึกษา เรียนรู้ และให้ความสำคัญกับกฎหมาย PDPA อย่างจริงจัง เพื่อสร้างความเชื่อมั่นให้กับบุคคลที่เป็นเจ้าของข้อมูลที่เราจัดเก็บข้อมูล รวมถึงลูกค้าผู้ที่เข้ามาซื้อสินค้าและใช้บริการ และเพื่อให้สามารถการดำเนินธุรกิจอย่างถูกต้องตามกฎหมายอีกด้วยค่ะ

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง

trustvision

PDPA สำหรับ HR

PDPA สำหรับ HR PDPA สำหรับ HR คืออะไร? คำตอบก็คือ.. ฝ่าย HR  เป็นฝ่ายที่มีการใช้ข้อมูลส่วนบุคคลภายในองค์กรเป็นอันดับต้นๆ เพราะเป็นผู้

Read More »

‌HR Competency:
Get ready for the future

‌powered by Trust Vision

สรรหาคนที่ใช่ให้กับองค์กร โดยการ
ประเมินสมรรถนะที่เหมาะสมด้วย
Trust Vision Competency