PDPA คือ

PDPA คือกฎหมาย เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

"เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้"

ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

การเก็บรวบรวมข้อมูลส่วนบุคคล
1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย
2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party
นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up
เล็ก ๆ ทางด้านล่างเว็บไซต์ คลิก Cookiewow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
3.การเก็บข้อมูลพนักงาน
สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง คลิก PDPA Pro เพื่อสร้าง Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA

การใช้หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมายPDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น องค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

ถึงเวลาปฏิบัติตาม PDPA แล้ว จะเห็นได้ว่าถ้าศึกษารายละเอียดของกฎหมายให้เข้าใจ องค์กรของคุณก็สามารถปฏิบัติตาม PDPA ได้ไม่ยาก ทั้งนี้ก็มีผู้เชี่ยวชาญที่จะช่วยสร้างนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี

เกิดคำถามมากมายเกี่ยวกับ PDPA

ขอบข่ายของกฎหมายครอบคลุมทั้งออนไลน์และออฟไลน์?
แม้ว่าเราจะเริ่มต้นพูดถึงในแง่มุมของยุคดิจิทัลก็ตาม กฎหมายฉบับนี้ครอบคลุมทุกกิจกรรมการเก็บข้อมูล หรือการใช้ข้อมูลส่วนบุคคลของประชาชน ยกตัวอย่างง่าย ๆ ก็คือ
การมีคนโทรศัพท์หาเราเพื่อขายสินค้าหรือบริการแบบ Cold Call เราก็จะงงมากว่าเขาเอาเบอร์โทรศัพท์ของเรามาจากไหน นี่ก็คือข้อมูลส่วนบุคคลที่มีคนเก็บรวบรวมแล้วเอามาใช้กับเรา สังเกตได้ว่าประเด็นนี้ไม่ใช่ดิจิทัล
การสมัครงานแล้วกรอกข้อมูลส่วนบุคคลในกระดาษ หรือทุกวันนี้เราไม่กรอกใส่กระดาษแล้วแต่ส่งเป็นอีเมลไป ซึ่งเวลาสัมภาษณ์งาน ทางบริษัทหรือองค์กรอาจจะปริ้นข้อมูลออกมาเป็นกระดาษเพื่อเอาไว้ตรวจสอบและพูดคุยกับเราถูกไหมครับ? คำถามก็คือ กระดาษที่เป็นประวัติของเรา (ข้อมูลส่วนบุคคล) เขาเอาไปทำอะไรต่อ เราก็อาจจะเห็นว่ากระดาษแผ่นนี้หลุดออกไปเป็นถุง “กล้วยแขก” เป็นต้น นี่แหละครับก็คือการเอาข้อมูลส่วนบุคคลของเราไปใช้หรือเอาไปให้คนอื่น ไม่ว่าจะโดยตั้งใจหรือไม่ตั้งใจ ซึ่งคนอื่นถ้าเขาดูถุงกล้วยแขกก็อาจได้ข้อมูลของเรา เป็นต้น

พิเศษ !!! สำหรับลูกค้าจดทะเบียนใหม่

ส่วนลดพิเศษ!! จัดทำเว็บไซต์จาก
ปกติ 12,000 บาท เหลือเพียง 5,000 บาท
ฟรี !!! ระบบอีเมล์ภายใต้ชื่อโดเมนเนม

*** พิเศษ บริการทำการตลาดด้วย SMS/MMS (โปรดติดต่อพนักงาน)

พิเศษ !!!  ลูกค้าจดทะเบียนใหม่และทำบัญชี

• ออกแบบเว็บไซต์ลดพิเศษเหลือ 3,500 บาท
• ฟรี ออกแบบโลโก้บริษัท พร้อมแนะนำการทำตลาดออนไลน์
• ฟรี รูปแบบใบส่งสินค้า ใบแจ้งหนี้ ใบกำกับภาษี ใบเสร็จรับเงินและเอกสารสำคัญอื่นๆ
• ฟรี ขึ้นทะเบียน ระบบ E-FILING เพื่อใช้นำส่งงบการเงินกับกระทรวงพาณิชย์
• ฟรี จดทะเบียน ภ.อ.01 เพื่อใช้ยื่นภาษีผ่านระบบออนไลน์
• ฟรี จัดเตรียมเอกสารขึ้นทะเบียน E-GP (ระบบจัดซื้อจัดจ้างภาครัฐ)
• ฟรี ที่ปรึกษาด้านการตลาดและบริหารธุรกิจ

จดทะเบียนบริษัทภาคกลาง
กำแพงเพชร : ชัยนาท  : นครนายก  :  นครปฐม :  นครสวรรค์ :  นนทบุรี :  ปทุมธานี :  พระนครศรีอยุธยา  : พิจิตร  : พิษณุโลก  : เพชรบูรณ์  : ลพบุรี  : สมุทรปราการ  : สมุทรสงคราม  : สมุทรสาคร  : สิงห์บุรี  : สุโขทัย  : สุพรรณบุรี  : สระบุรี  : อ่างทอง  : อุทัยธานี

จดทะเบียนบริษัทภาคใต้
กระบี่ : ชุมพร : ตรัง : นครศรีธรรมราช : นราธิวาส : ปัตตานี : พังงา : พัทลุง : ภูเก็ต : ระนอง : สตูล : สงขลา : สุราษฎร์ธานี : ยะลา

จดทะเบียนบริษัทภาคตะวันออกเฉียงเหนือ
อุดรธานี : กาฬสินธุ์ : ขอนแก่น : ชัยภูมิ : นครพนม : นครราชสีมา : บึงกาฬ : บุรีรัมย์ : มหาสารคาม : มุกดาหาร : ยโสธร : ร้อยเอ็ด : เลย : สกลนคร : สุรินทร์ : ศรีสะเกษ : หนองคาย : หนองบัวลำภู : อุบลราชธานี : อำนาจเจริญ

จดทะเบียนบริษัทภาคเหนือ
เชียงราย : เชียงใหม่ : น่าน : พะเยา : แพร่ : แม่ฮ่องสอน : ลำปาง : ลำพูน : อุตรดิตถ์

จดทะเบียนบริษัทภาคตะวันตก
กาญจนบุรี : ตาก : ประจวบคีรีขันธ์ : เพชรบุรี : ราชบุรี

จดทะเบียนบริษัทภาคตะวันออก
จันทบุรี : ฉะเชิงเทรา : ชลบุรี : ตราด : ปราจีนบุรี : ระยอง : สระแก้ว