PDPA คืออะไร กระทบต่อภาคธุรกิจอย่างไร ทำความรู้จักคลิกอ่านที่นี่

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. ครบรอบ 4 ปี ในวันสถาปนาเมื่อวันที่ 1 มิ.ย.69 หลัง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (The Personal Data Protection Act B.E. 2562 (2019)) หรือที่คุ้นหูกันว่า “PDPA” มีผลบังคับใช้ในประเทศไทยอย่างเป็นทางการเมื่อวันที่ 1 มิ.ย.2565

PDPA คืออะไร?

PDPA คือ กฎหมายที่ออกมาเพื่อปกป้องข้อมูลส่วนบุคคล (Personal data) หรือข้อมูลที่สามารถระบุตัวตนของบุคคลบุคคลหนึ่งได้ เช่น ชื่อ ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล เลขที่บัญชีธนาคาร ประวัติการรักษาพยาบาล เป็นต้น

โดย PDPA กำหนดไว้ว่าหากผู้ใดจะเก็บรวมรวม ใช้ หรือ เปิดเผยข้อมูลเหล่านี้จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ซึ่งการขอความยินยอมอาจทำเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ก็ได้ โดยจะต้องแจ้งวัตถุประสงค์ในการใช้รวมถึงผลกระทบที่อาจเกิดขึ้นจากการใช้ข้อมูลดังกล่าว

อย่างไรก็ตามบางกรณีผู้ใช้ข้อมูลอาจะไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากการเปิดเผยดังกล่าวเป็นไปเพื่อป้องกันอันตรายต่อชีวิตและทรัพย์สิน เพื่อดำเนินการทางกฎหมาย หรือเพื่อประโยชน์ต่อสาธารณะ เป็นต้น

PDPA กระทบต่อภาคธุรกิจอย่างไ ร?

ภาคธุรกิจที่มีการจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้งานในการดำเนินกิจกรรมต่างๆ หรือ “ผู้ควบคุมข้อมูลส่วนบุคคล”(Controller) ต้องจัดให้มีมาตรการต่างเหล่านี้เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล

• จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ อาทิ จัดให้มีนโยบายความเป็นส่วนตัว (Privacy Policy) ทั้งนี้จะต้องมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
• จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
• จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อดูแลเกี่ยวกับการจัดการข้อมูลส่วนบุคคลโดยเฉพาะ โดยอาจแต่งตั้งพนักงานภายในของบริษัทเอง หรือจ้างบริษัทภายนอกเพื่อดูแลก็ได้ ทั้งนี้บังคับใช้กับหน่วยงานของรัฐ กิจการที่มีการใช้ข้อมูลส่วนบุลคลเป็นจำนวนมาก หรือกิจการที่กิจกรรมหลักเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล เป็นต้น
• แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับจากทราบเหตุ
• ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล อยู่นอกราชอาณาจักร ต้องแต่งตั้งและมอบอำนาจให้ตัวแทนในราชอาณาจักรกระทำการแทนโดยไม่มีข้อจำกัดความรับผิดใดๆ

และข้อยกเว้นในการนำมาปฏิบัติ การศึกษากฎหมายฉบับนี้อย่างท่องแท้ รวมถึงขอคำปรึกษาจากผู้เชี่ยวชาญจะช่วยให้ภาคธุรกิจเตรียมตัวรับมือกับ PDPA ได้เป็นอย่างดี

สคส.ประกาศยกระดับ PDPA

พันตำรวจเอก สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ตลอดระยะเวลา 4 ปีที่ผ่านมา สคส. มุ่งยกระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยให้สอดคล้องกับมาตรฐานสากล ผ่านการผลักดันนโยบาย การออกแนวปฏิบัติ การสร้างกลไกกำกับดูแล และการส่งเสริมความรู้ความเข้าใจด้าน PDPA ให้สามารถนำไปใช้ได้จริงในชีวิตประจำวัน

PDPA ไม่ใช่เพียงกฎหมายสำหรับองค์กรหรือภาคธุรกิจเท่านั้น แต่คือสิทธิขั้นพื้นฐานของประชาชนทุกคนในการควบคุมและปกป้องข้อมูลของตนเอง ในยุคที่ข้อมูลกลายเป็นส่วนสำคัญของชีวิตดิจิทัล การสร้างความเข้าใจเรื่องสิทธิข้อมูลส่วนบุคคลจึงเป็นเรื่องสำคัญของทั้งประเทศ

ตลอด 4 ปีที่ผ่านมา สคส. ได้ดำเนินภารกิจทั้งด้านการส่งเสริมองค์ความรู้ การให้คำปรึกษา การกำกับดูแล และการบังคับใช้กฎหมายอย่างต่อเนื่อง เพื่อสร้างสมดุลระหว่างการคุ้มครองสิทธิของประชาชนกับการขับเคลื่อนเศรษฐกิจดิจิทัลของประเทศ โดยให้ความสำคัญกับการใช้กฎหมายอย่างเหมาะสม เป็นธรรม และสอดคล้องกับบริบทเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว.

ที่มา:

• สคส.
• sbcs