PDPA คืออะไร รู้หรือไม่! ข้อมูลลูกค้าหากจัดเก็บไม่ถูกวิธี อาจมีความผิดได้

pdpa คือ

รู้หรือไม่! ข้อมูลลูกค้าหากจัดเก็บไม่ถูกวิธี อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ ปฎิเสธไม่ได้เลยว่าการดำเนินธุรกิจและการตลาดอาศัยการขับเคลื่อนด้วยข้อมูลเป็นหลัก นั้นทำให้ “ข้อมูล” ของลูกค้ามีความสำคัญและมีค่าเป็นอย่างมาก

เนื่องจากธุรกิจและการทำการตลาดจะอาศัยข้อมูลเหล่านี้มาต่อยอดพัฒนาสินค้าและบริการเพื่อให้ตอบสนองต่อลูกค้าได้อย่างตรงเป้าหมาย หลายๆ คนคงเคยได้ยินเรื่องของ PDPA กันมาบ้างแล้ว แต่ก็มีอีกจำนวนไม่น้อยที่ยังสงสัยว่ามันคืออะไร และจะมีผลต่อธุรกิจอย่างไรบ้าง วันนี้เราจะมาทำความรู้จักกับ PDPA กันให้มากขึ้น

PDPA คือ

Personal Data Protection Act หรือเรียกสั้นๆ ว่า PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปเก็บ เปิดเผย ใช้ หรือการถ่ายโอนข้อมูล

เหตุผลที่มีการสร้างกฎหมาย PDPA ขึ้นมานั้น เนื่องจากปัจจุบันหลายธุรกิจสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้หลายช่องทาง เพื่อให้เจ้าของธุรกิจตลอดจนพนักงานทุกคนเกิดความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำกฎหมายฉบับนี้ขึ้นซึ่งหากไม่ปฎิบัติตามหรือมีการนำข้อมูลส่วนบุคคลไปใช้โดยไม่แจ้งจะทำให้ผู้เปิดเผยข้อมูลมีความผิดตามกฎหมาย สำหรับ PDPA จะมีผลบังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน 2565 (หากไม่ถูกเลื่อน)

ขั้นตอนการทำ PDPA

หลังจากทราบแล้วว่ากฎหมาย PDPA คืออะไร และมีความสำคัญอย่างไร เจ้าของธุรกิจและนักการตลาดหลายๆ คนอาจมีความเป็นกังวลว่า เรายังสามารถใช้ข้อมูลส่วนตัวของลูกค้าได้เป็นปกติหรือไม่ ต้องบอกเลยว่าภายใต้กฎหมาย PDPA เรายังสามารถใช้ข้อมูลเหล่านี้ได้เป็นปกติ แต่อาจจะใช้ข้อมูลเท่าที่จำเป็น หรืออาจต้องมีการแจ้งรายละเอียดการข้อใช้ข้อมูลให้เจ้าของรับทราบ หากเจ้าของข้อมูลยินยอมก็ไม่มีปัญหาแต่อย่างใด สำหรับขั้นตอนการทำ PDPA สรุปง่ายๆ ได้ดังนี้

1. เตรียมความพร้อม

การเตรียมความพร้อมเป็นขั้นตอนแรกที่มีความสำคัญที่สุด ในที่นี้เป็นการเตรียมความพร้อมของเจ้าของธุรกิจตลอดจนทุกคนในองค์กรให้มีความรู้ ความเข้าใจ หน้าที่ ขั้นตอนการดำนินการต่างๆ หลายคนอาจคิดว่าเป็นขั้นตอนที่มีความยุ่งยาก เนื่องจากกฎหมาย PDPA เป็นกฎหมายใหม่แต่หากทุกคนลองทำความเข้าใจและเปิดใจยอมรับจะพบว่ากฎหมาย PDPA ไม่ได้ยากอย่างที่คิด การเตรียมพร้อมตั้งแต่เนิ่นๆ จะให้สามารถทำธุรกิจต่อไปอย่างราบรื่น

2. ทำความเข้าใจ แจ้งความจำเป็น และจัดเก็บข้อมูล ให้ถูกวิธี

กฎหมาย PDPA กำหนดว่าหาก Data Controller ต้องการเก็บข้อมูลต้องมีการแจ้งให้เจ้าของข้อมูลรับทราบว่าจะนำข้อมูลส่วนตัวไปใช้เพื่อประโยชน์ด้านใดบ้าง ใครบ้างที่จะรับรู้ข้อมูลส่วนตัวนี้ ใช้เป็นเวลานานเท่าไหร่ และจะมีมาตรการใดบ้างที่จะรักษาความปลอดภัยและรับประกันสิทธิการเป็นเจ้าของข้อมูล โดยต้องแจ้งในเอกสารนโยบายความเป็นส่วนตัว หรือ Privacy Policy

3. การรักษาความปลอดภัย

นอกจากเอกสารนโยบายความเป็นส่วนตัวแล้ว การรักษาความปลอดภัยของข้อมูลก็เป็นส่วนสำคัญไม่เพียงแต่การรักษาความลับแต่ยังหมายรวมถึงความพร้อมและความถูกต้องของข้อมูลอีกด้วย สำหรับการรักษาความปลอดภัยของข้อมูลกฎหมายไม่ได้มีการกำหนดว่าควรทำที่ระดับใดแต่ขั้นต่ำ ประกอบด้วย

  1. ผู้รับผิดชอบรักษาความปลอดภัยของข้อมูลควรได้รับการฝึกอบรมและสร้างความเข้าใจในหน้าที่อย่างดี เพื่อจะได้ปฎิบัติงานอย่างถูกต้อง
  2. จัดให้มี Access Control & Logging เพื่อให้ทราบว่ามีใครเข้าถึงข้อมูลบ้างหากเกิดปัญหาจะได้สามารถตรวจสอบข้อมูลย้อนหลังได้ทันที
  3. จัดให้มีมาตรการ IT Security เช่น firewall

PDPA คุ้มครองข้อมูลส่วนบุคคลอะไรบ้าง

PDPA คุ้มครองข้อมูลส่วนบุคคลอะไรบ้าง หลายคนอาจยังไม่ทราบถึงความหมายและประเภทของข้อมูลส่วนตัวที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA สำหรับข้อมูลส่วนตัวสามารถแบ่งออกได้เป็น 2 รูปแบบ คือ

1. ข้อมูลส่วนตัว (Personal Data)

  • ชื่อ-นามสกุล
  • เบอร์โทรศัพท์
  • อีเมล
  • วันเดือนปีเกิด
  • สัญชาติ
  • น้ำหนักและส่วนสูง
  • ข้อมูลการศึกษา
  • ที่อยู่
  • เลขบัตรต่างๆ เช่น เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
  • เอกสารต่าง เช่น ข้อมูลทางการเงิน ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน

ภายใต้กฎหมาย PDPA มีข้อมูลบางประเภทที่ไม่อยู่ใต้ข้อกำหนด คือ หากข้อมูลไม่สามารถระบุตัวตนเจ้าของได้ เช่น ข้อมูลบริษัท จะไม่ถือเป็นข้อมูลส่วนตัว และไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิต

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)

  • ความคิดเห็นทางการเมือง
  • เชื้อชาติ เผ่าพันธุ์
  • ประวัติอาชญากรรม
  • ความเชื่อ ศาสนา หรือปรัชญา
  • ข้อมูลพันธุกรรม
  • พฤติกรรมทางเพศ
  • ข้อมูลชีวภาพ
  • ข้อมูลด้านสุขภาพ
  • ข้อมูลสหภาพแรงงาน

PDPA มีส่วนเกี่ยวข้องกับใครบ้าง

  1. เจ้าของข้อมูล (Data Subject) : บุคคลที่เป็นเจ้าของข้อมูลส่วนตัวๆ หรือนั้นก็คือตัวเราเอง สำหรับกฎหมาย PDPA ให้ความคุ้มครองกับเจ้าของของมูลส่วนตัวอย่างเต็มที่โดยคุ้มครองและมีสิทธิเหนือข้อมูลส่วนบุคคลของตน
  2. ผู้ควบคุมข้อมูล (Data Controller) : บุคคลหรือนิติบุคคล มีอำนาจในการตัดสินใจเก็บ เปิดเผย ใช้ หรือการถ่ายโอนข้อมูล เช่น เจ้าของบริษัท
  3. ผู้ประมวลผลข้อมูล (Data Processor) : บุคคลหรือนิติบุคคล ที่ประมวลผลข้อมูลภายใต้คำสั่งหรือในนามของ Data Controller เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

PDPA กับ ธุรกิจ

สำหรับแวดวงการตลาดออนไลน์ หรือ Digital Marketing คงเคยได้ยินเกี่ยวกับกฎหมาย PDPA กันมาบ้างแล้ว ซึ่งหลายๆ ธุรกิจเริ่มหันมาให้ความสนใจและให้ความรู้กับบุคคลที่มีส่วนเกี่ยวข้องกับกฎหมายนี้ เนื่องจากปัจจุบันการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าทำได้ง่าย โดยข้อมูลดังกล่าวก็มีความสำคัญที่จะช่วยให้เกิดการพัฒนาธุรกิจ
แต่หากผู้ใช้ข้อมูลไม่มีความรู้ด้านกฎหมาย นำข้อมูลออกไปใช้อย่างผิดวิธี หรือจงใจเปิดเผยข้อมูลส่วนบุคคลก็อาจจะส่งผลเสียมาสู่ธุรกิจเช่นกัน ดังนั้นเพื่อลดข้อผิดพลาดต่างๆ เจ้าของธุรกิจตลอดจนคนในองค์กรควรศึกษาและให้ความสำคัญกับกฎหมายฉบับนี้อย่างจริงจัง

โทษของการไม่ปฎิบัติตามกฎหมาย PDPA

สำหรับโทษของการไม่ปฎิบัติตามกฎหมาย PDPA แบ่งเป็น 3 รูปแบบ ดังนี้

  • ทางแพ่ง : สูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
  • โทษทางอาญา : จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง : ปรับสูงสุดไม่เกิน 5 ล้านบาท

สรุป ทำไม PDPA จึงสำคัญมาก

จากข้อมูลเบื้องต้นจะเห็นว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฎหมายที่มีความสำคัญและเป็นเรื่องใกล้ตัวที่เจ้าของธุรกิจและคนในองค์ควรรู้และให้ความสนใจศึกษา เพราะหลายๆ บริษัทมีการเข้าถึงข้อมูลส่วนตัวและนำออกมาใช้งานเพื่อการพัฒนาสินค้าและบริการอยู่เสมอ ดังนั้น การรู้ขอบเขตการใช้ข้อมูลส่วนตัวว่าสามารถทำได้ถึงระดับไหนจะเป็นผลดีและไม่ก่อให้เกิดความเสียหาย อย่างไรก็ตาม การจัดทำกฎหมายฉบับนี้อยากให้มองว่าเป็นโอกาสดีที่จะช่วยคุ้มครองข้อมูลของผู้บริโภคและให้บริษัทนำข้อมูลมาใช้อย่างปลอดภัยและมีประสิทธิภาพที่สุด