PDPA สรุป สิ่งที่ต้องรู้ของ พรบ.ข้อมูลส่วนบุคคล ที่บังคับใช้ 1 มิ.ย. 2565

PDPA สรุป

PDPA สรุป 5 หัวข้อสำคัญสำหรับการปรับตัว ในสถานการณ์ตอนนี้ เป็นช่วงที่ต้องรักษาระยะห่างทางสังคม (Social Distancing) เพราะสถานการณ์การระบาดของ ไวรัส โควิด-19 ซึ่งทำให้เราต้องปรับวิถีชีวิตมาใช้บริการทางเทคโนโลยีมากขึ้นและหลากหลายมากขึ้นนั่นทำให้เห็นว่า การจัดการข้อมูลอย่างมีมาตรฐานเป็นเรื่องสำคัญมากกว่าเดิม

ปฐมบท PDPA สรุป ที่ยังไม่เริ่มต้น

หลายท่านคงจะเคยได้ยิน หรือคุ้นๆ กับคำศัพท์ชื่อ PDPA ซึ่งย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

โดยจะมีผลบังคับใช้เต็มรูปแบบ ในวันที่ 1 มิถุนายน 2565 เรามาดูกันว่า กฎหมายฉบับนี้มันเป็นอย่างไร และมีอะไรบ้าง และหน่วยงานภาคธุรกิจต้องทำอะไร ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล หรือพฤติกรรมต่าง ๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้น ๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

อบรม PDPA

5 สิ่งที่ธุรกิจต้องเตรียมตัว

  • PDPA สรุป ผู้มีส่วนได้ส่วนเสียออกมาชัดเจน

สิ่งจำเป็นสำหรับการเริ่มทำ  พรบ.ข้อมูลส่วนบุคคล สิ่งแรกคือการจำแนกออกว่าใครในองค์กรมีส่วนได้ ส่วนเสียสำหรับการเพิ่ม PDPA เข้ามาในกระบวนการทำงานที่เพิ่มขึ้นมา ตัวอย่างเช่น

” พนักงาน(ลูกจ้าง) ต้องมอบข้อมูลแก่ บริษัท”
(1) ลูกจ้าง รับบทเป็น เจ้าของข้อมูล
(2) ฝ่ายบุคคล รับบทเป็น ผู้ประมวลผลข้อมูล
(3) บริษัท รับบทเป็น ผู้ควบคุมข้อมูล 

  • วางแผน PDPA สรุป การทำงานที่เฉพาะเจาะจงกับแต่ละแผนก

บทบาทการทำงานกับ PDPA ของแต่ละแผนกนั้นมีความแตกต่างกัน ดังนั้นการวางแผนการ รวมถึงสร้างความเข้าใจอันดีกับผู้มีส่วนเกี่ยวข้องจะทำให้ทำงานนั้นรัดกุม รวดเร็วยิ่งขึ้น ยกตัวอย่าง

(1) แผนกการตลาด ต้องดูแลการเก็บข้อมูลลูกค้าผ่านแบบฟอร์มออนไลน์
(2) แผนกลูกค้าสัมพันธ์ ต้องดูแลการเก็บข้อมูลลูกค้าผ่าน Call center
(3) แผนกเซลล์ ต้องดูแลการเก็บข้อมูลผ่านเอกสารสัญญา ตอนที่ไปพบลูกค้าfirewall คือ

  • ออนไลน์ หรือ ออฟไลน์ แยกประเด็นให้ออก

สิ่งต่อมาที่ต้องเตรียมตัวไว้ คือรูปแบบการรับข้อมูลของบริษัท ก็จะเป็นสิ่งหนึ่งที่ต้องแยกแยะ เตรียมการด้านโครงสร้างก่อนที่จะเริ่มดำเนินการ เช่น การเก็บการขอเก็บข้อมูลออนไลน์ ต้องมีการเตรียมระบบฐานข้อมูลลูกค้า การเก็บ Dush board หรือ การเก็บข้อมูลลูกค้าผ่านเอกสาร ต้องมีกระบวนการจัดเก็บข้อมูลอย่างไร เก็บที่ไหน ใครดูแลและได้รับมอบหมาย เป็นต้น

  • การเปลี่ยนแปลงมีผลกระทบกับใครบ้าง

หลังจากการค้นพบว่าหน้าที่ของคนทำงานในแต่ละแผนกอย่างเป็นระบบแล้ว การวัดผลกระทบการทำ PDPA นั้นต้องคำนึงถึงผลกระทบสำหรับบุคคลทั้ง 3 กลุ่ม ได้แก่ (1) เจ้าของข้อมูล (2) ผู้ประมวลผล (3) ผู้ควบคุม เพราะทุกการเปลี่ยนแปลงนั้น คนทั้งสามกลุ่มจะได้รับผลกระทบก่อนเสมอ
ต้วอย่าง ถ้าหากหลังการทำตามแผนทุกอย่างแล้ว มีการอัปเดตข้อกฏหมาย PDPA ในส่วนที่เกี่ยวข้องกับการเก็บข้อมูลออนไลน์ ผู้ที่ควบคุมข้อมูล ต้องมีการอัปเดต สัญญา ข้อตกลง เพิ่มเติมไปให้กับเจ้าของข้อมูล โดยผู้ประมวลผลจะทำหน้าที่เก็บ Record ที่อัปเดตใหม่ และแน่นอนที่สุดก็คือกระบวนการทำงานที่เปลี่ยนแปลงไป จะต้องกระทบกับทุกคนในกระบวนการเหล่านี้เป็นอันดับแรกๆนั่นเอง

  • อัปสกิลคนทำงานให้ทันกัน

ส่วนที่สำคัญที่สุด และต้องการพัฒนาทักษะ PDPA ให้ทันคือกลุ่มของคนที่ทำงานทั้ง 3 กลุ่มที่กล่าวมาข้างต้นนั่นเอง ถึงแม้ว่าตัวกระบวนการต่างๆของการทำ PDPA นั้นจะไม่ได้นาน และซับซ้อน แต่การสร้างการรับรู้ และเข้าใจกับพนักงานจึงเป็นสิ่งสำคัญไม่น้อยไปกว่าทุกกระบวนการข้างต้นที่กล่าวมา การฝึกอบรม หรือ คอร์สออนไลน์ จะช่วยมาตอบโจทย์การพัฒนาทักษะของพนักงานในเวลารวดเร็วนั่นเอง

กฎหมายเกี่ยวกับข้อมูลเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคม เราซึ่งมีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลยPDPA คืออะไร

ทุกคนต้องมาร่วมมือกัน

ในทางปฏิบัติแล้วสิ่งที่องค์กรเล็ก หรือ ใหญ่จะต้องทำ PDPA สรุป คือ การทำ privacy policy และ การบันทึกกิจกรรมประมวลผล

เพื่อบันทึกและบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร โดยองค์กรที่ต้องทำตามกฎหมายของ PDPA มีลักษณะดังนี้

  • องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล

    ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล

  • องค์กรที่เป็นหน่วยงานที่ผู้ควบคุมข้อมูล

    ว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใด ๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล

  • องค์กรที่อยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย

    มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

เลือก Solution nี่เหมาะสมกับธุรกิจของคุณ

ลดเวลาทำงาน เพิ่มเวลาทำเงิน

PDPA Prokit

บริการเอกสาร PDPA ที่จำเป็นสำหรับธุรกิจ ในบริการเดียว!!

  • รวมเอกสารที่จำเป็นสำหรับ PDPA กว่า 69 รายการ
  • ลดเวลาการเตรียมระบบจาก 6 เดือนเหลือ 30 วัน
  • รับการอัปเดตกฏหมาย PDPA ต่อเนื่อง 12 เดือน
  • ปรึกษาการใช้เอกสารได้ต่อเนื่อง 30 วัน
FWaaS

บริการ Cyber Security สำหรับธุรกิจ SMEs โดยเฉพาะ (FWaaS)

  • บริการออกแบบระบบ Network ให้ง่ายต่อการป้องกัน Ransomware
  •  พร้อมติดตั้งอุปกรณ์ และอัปเกรดให้ทันทีที่มีระบบที่ปลอดภัยกว่า 
  • มีทีม Cyber Security ดูแล และให้คำปรึกษาตลอดอายุสัญญา
MaaS

บริการ อีเมลบริษัท ปลอดภัยสูง โดยทีม Cyber Security (MaaS)

  • บริการอีเมลโดย Private hosting เสถียรสูง ไม่หน่วง ไม่ช้า
  •  บริการโดยซอฟแวร์ Kerio technnology ที่ให้บริการในองค์กรชั้นนำในอเมริกา
  • มีทีม Cyber Security ดูแล และให้คำปรึกษาตลอดอายุสัญญา
JOTT

บริการ เก็บแชท ไฟล์เอกสาร ในแอพพลิเคชั่น LINE สูงสุด 10 ปี

  • บริการบันทึกประวัติแชท บันทึกรูปภาพ บันทึกวีดีโอ ลงบน Cloud Server
  •  โดยช่วยยืดอายุไฟล์จาก 7 วันให้สูงสุด 10 ปี ตามความต้องการของลูกค้า
  • ระบบปลอดภัยสูง เพราะมีการเข้าดูไฟล์ด้วย QR Code ในบัญชีไลน์ส่วนตัว

ปรึกษาการทำระบบ PDPA

ทีมงานจะติดต่อกลับไป

PDPA คืออะไร? คุ้มค่าไหมกับเสียประโยชน์ของคนไทย บังคับใช้ 1 มิ.ย.65 นี้

PDPA คืออะไร มีผลบังคับใช้ 1 มิ.ย. 65

ยุคนี้สมัยนี้ผู้คนแลกเปลี่ยนข้อมูลกันตลอดเวลา ยิ่งในสถานการณ์ตอนนี้ เป็นช่วงที่ต้องรักษาระยะห่างทางสังคม (Social Distancing) เพราะสถานการณ์การระบาดของ ไวรัส โควิด-19 ซึ่งทำให้เราต้องปรับวิถีชีวิตมาใช้บริการทางเทคโนโลยีมากขึ้นและหลากหลายมากขึ้นนั่นทำให้เห็นว่า การจัดการข้อมูลอย่างมีมาตรฐานเป็นเรื่องสำคัญมากกว่าเดิม

► BIG DATA กับการเก็บข้อมูลตามกฏหมาย

หลายท่านคงจะเคยได้ยิน หรือคุ้นๆ กับคำศัพท์ชื่อ PDPA ซึ่งย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยจะมีผลบังคับใช้เต็มรูปแบบ ในวันที่ 1 มิถุนายน 2565 เรามาดูกันว่า กฎหมายฉบับนี้มันเป็นอย่างไร และมีอะไรบ้าง และหน่วยงานภาคธุรกิจต้องทำอะไร 

ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล หรือพฤติกรรมต่าง ๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้น ๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

► ทำไมต้องทำ PDPA ?

PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดให้บุคคลธรรมดาและนิติบุคคลต้องทำการขออนุญาตลูกค้าเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลก่อนนำไปใช้เพื่อเสนอผลิตภัณฑ์หรือบริการแก่ลูกค้า และต้องมีการปกป้องข้อมูลชองลูกค้าตามมาตรฐาน ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

Cyber security คือ

กฎหมายเกี่ยวกับข้อมูลเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคม เราซึ่งมีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย นอกจากนี้ เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อน และเราในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้

อย่างไรก็ดี การเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย จริง ๆ ก็เป็นเรื่องของเงื่อนไขที่องค์กรต่าง ๆ ต้องปฏิบัติอยู่แล้ว เพียงแต่ถ้าหากบ้านเราประกาศใช้กฎหมาย ก็จะช่วยสร้างความเชื่อมั่นเพราะมีมาตรฐานทางกฎหมายรองรับ ไม่ใช่แค่นโยบายที่อาจแตกต่างไปตามแต่ละหน่วยงานPDPA คืออะไร

▶︎ ใครมีส่วนได้เสียใน PDPA ?

ในทางปฏิบัติแล้วสิ่งที่องค์กรเล็ก หรือ ใหญ่จะต้องทำ คือ การทำ privacy policy และ การบันทึกกิจกรรมประมวลผล เพื่อบันทึกและบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร โดยองค์กรที่ต้องทำตามกฎหมายของ PDPA มีลักษณะดังนี้

  • องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
  • องค์กรที่เป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใด ๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
  • องค์กรที่อยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

▶︎ เก็บข้อมูลอะไรบ้างที่ต้องขออนุญาตเจ้าตัว

รูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ คือ ข้อมูลส่วนบุคคลไม่ว่าทางตรงหรืออ้อม เช่น

  • ชื่อ นามสกุล
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • อีเมล
  • หมายเลขบัตรประจำตัวประชาชน
  • รูปถ่าย
  • ประวัติการทำงาน
  • อายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับการยืนยอมจากผู้ปกครอง)

PDPA ปรึกษา

 

▶︎ ข้อมูลละเอียดอ่อนมีอะไรบ้าง

นอกจากนี้ก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

  •  เชื้อชาติ
  • ชาติพันธุ์
  • ความคิดเห็นทางการเมือง (เช่น social media monitoring หรือ Tools ที่จับประเด็นการเมือง)
  • ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน)
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • สุขภาพ ความพิการ
  • สหภาพแรงงาน
  • พันธุกรรม
  • ชีวภาพ
  • ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์) หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

จะเห็นได้ว่า ข้อมูลต่าง ๆ ที่ถูกจัดเก็บเอาไว้ ล้วนแล้วแต่มีความสำคัญเป็นอย่างมาก นอกเหนือจาก กฎหมาย PDPA ที่เตรียมจะออกสู่มาตรการการบังคับใช้นี้แล้ว เรายังต้องระวังเหล่าผู้ร้าย หรือ แฮกเกอร์ทั้งหลายที่มุ่งหวังจะโจมตีเราอีกด้วย ก็คงจะดีกว่ามาก หากเรามีมาตรการการป้องกันและปกป้องข้อมูลในระหว่างที่เราใช้งานหรือกำลังกรอกข้อมูลหรือส่งข้อมูลส่วนบุคคลเหล่านี้ด้วย

▶︎ สรุป

หลายองค์กรนั้นยังไม่ค่อยเห็นการเปลี่ยนแปลงด้านกฏหมาย PDPA เพราะมันอาจจะดูไกลตัว แต่จริงๆแล้วแค่มีเบอร์แปลกโทรมาขายประกันในทุกเดือน มันก็คือการแอบเอาข้อมูลของเรามาขายให้กับคนอื่นเช่นเดียวกัน เหล่านี้ถ้าหากมีการบังคับใช้จริงจะสามารถติดตามกลับไปหาคนที่ทำข้อมูลเราหลุดและฟ้องร้องดำเนินคดีได้นั่นเอง ถ้าหากไม่รู้จะเริ่มต้นการทำ PDPA ยังไงก็สามารถกรอกแบบฟอร์มให้ทีมงานของเราเข้าไปช่วยเหลือได้เลย


อ้างอิงข้อมูล : source

 

PDPA ปรึกษา

ปรึกษาการทำ PDPA สำหรับองค์กร

กรอกแบบฟอร์มด้านล่างนี้