PDPA คืออะไร สิ่งที่บรรดาธุรกิจยุคใหม่ต้องทำความเข้าใจให้ดี

ข้อมูลส่วนตัวของลูกค้าหรือผู้บริโภคเป็นสิ่งที่มีความละเอียดอ่อน และเป็นเรื่องสำคัญที่ควรได้รับการปกป้องอย่างดีที่สุด นั่นจึงเป็นเหตุผลสำคัญในการผลักดันกฎหมาย PDPA จนท้ายที่สุดก็เกิดขึ้นจริง เหล่าบรรดาคนทำธุรกิจทั้งหลายอาจยังมีข้อสงสัยว่า PDPA คืออะไร ต้องดำเนินการอย่างไรบ้างจึงจะไม่ส่งผลกระทบในภายหลัง มาศึกษาข้อมูลกันได้เลย

 

ตอบข้อสงสัย PDPA คืออะไร?

Personal Data Protection Act หรือ PDPA คือ พระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีการออกและประกาศใช้อย่างเป็นทางการภายใต้วัตถุประสงค์สำคัญเกี่ยวกับเรื่องป้องกันการละเมิดข้อมูลส่วนบุคคล การจัดเก็บและการนำไปใช้งานของใครก็ตามที่ไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ๆ มีการประกาศบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา

ซึ่งคำว่าข้อมูลส่วนตัวมีด้วยกันหลายรูปแบบ เช่น ชื่อ-สกุล เบอร์โทรศัพท์ อีเมล ที่อยู่ปัจจุบัน เลขที่บัตรประชาชน เลขบัญชีธนาคาร เลขใบอนุญาตขับขี่ ข้อมูลด้านการเงิน ข้อมูลทางการศึกษา ข้อมูลด้านการแพทย์ ทะเบียนบ้าน โฉนดที่ดิน ทะเบียนรถยนต์ น้ำหนัก ส่วนสูง สัญชาติ ศาสนา วันเดือนปีเกิด ไปจนถึงข้อมูลการเข้าถึงอินเทอร์เน็ตที่สามารถระบุตัวตนหรือการเชื่อมต่อไปยังข้อมูลส่วนบุคคลอื่น ๆ ได้ อาทิ Password, IP Address, GPS Location เป็นต้น

 

PDPA Consent คืออะไร และ PDPA ส่งผลให้ธุรกิจต้องปรับตัวอย่างไร?

ในอดีตธุรกิจแทบทุกประเภทสามารถขอข้อมูลส่วนบุคคลของลูกค้ามาใช้งานได้โดยไม่มีความผิดใด ๆ ซึ่งตรงนี้มักเป็นช่องโหว่ให้เกิดการนำข้อมูลไปขายต่อ หรือนำไปใช้ในทางที่เจ้าของได้รับความเสียหาย เมื่อมีกฎหมาย PDPA ออกมา ส่งผลให้เจ้าของข้อมูลมีสิทธิในการปกป้องตนเองมากขึ้น ธุรกิจจึงต้องทำการขออนุญาตในกรณีที่ต้องการจัดเก็บ หรือนำข้อมูลดังกล่าวไปใช้ตามความเหมาะสม ซึ่งตรงนี้จะถูกเรียกว่า PDPA Consent

ตามหลักการเบื้องต้นของ PDPA Consent คือ ต้องมีการระบุวัตถุประสงค์ของการเก็บรวบรวมข้อมูลและการนำข้อมูลไปใช้ เจ้าของข้อมูลตัดสินใจด้วยตนเองว่าจะให้หรือไม่ มีการแยกสัดส่วนด้านความยินยอมจากเรื่องอื่นชัดเจน เพิกถอนความยินยอมได้ แต่ต้องระบุผลที่อาจเกิดขึ้นให้กับเจ้าของข้อมูลรู้หากจะทำการเพิกถอน

 

 

ขั้นตอนการทำ PDPA ของธุรกิจ

  1. ทำ Privacy Policy เพื่อแจ้งให้กับเจ้าของข้อมูลรู้เกี่ยวกับวัตถุประสงค์ที่จัดเก็บ สิทธิสำหรับเจ้าของ การนำไปใช้ วิธีป้องกัน ซึ่งเนื้อหาควรอ่านแล้วเข้าใจง่าย ไม่ซับซ้อน
  2. ปรับการทำเว็บไซต์ แอปพลิเคชัน และ Third-Party หากมีการจัดเก็บ Cookies ต้องแจ้งเพื่อได้รับการยินยอมในการนำข้อมูลส่วนตัวไปใช้งาน ซึ่งเกิดขึ้นได้ทั้งกับเว็บไซต์และแอปพลิเคชัน ส่วนบุคคลที่ 3 ที่จะจัดเก็บข้อมูล เช่น เว็บโฆษณาต้องระบุจุดประสงค์และข้อมูลทุกอย่างชัดเจนใน Privacy Policy
  3. มีการเก็บข้อมูลของพนักงานภายใต้กฎหมาย PDPA ในลักษณะเดียวกัน

ทั้งนี้การนำข้อมูลส่วนตัวต่าง ๆ ไปใช้งานต้องอยู่ภายใต้มาตรฐานแห่งความปลอดภัย เช่น การรักษาความลับ การป้องกันในเชิงเทคนิค การป้องกันไม่ให้เกิดการเข้าถึงข้อมูลจากบุคคลภายนอก ซึ่งในเรื่องนี้ควรต้องศึกษาเพิ่มเติม เพื่อสร้างความมั่นใจและยังไม่ต้องกังวลในเรื่องดังกล่าวอีกด้วย