ในปัจจุบันนี้ คงปฏิเสธไม่ได้ว่า ข้อมูล (Data) เป็นหัวใจสำคัญสำหรับธุรกิจในปัจจุบัน และอนาคต PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็คือหัวใจสำคัญในการเก็บ -ใช้ และปกป้องความปลอดภัยของ Data ที่ทุกธุรกิจต้องรู้ และเตรียมตัวรับมือ โดยสำหรับหมวดที่เกี่ยวข้องกับภาคธุรกิจกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 นี้ ซึ่งออพติมุสขอรวบรวมและพาให้ทุกท่านไปทำความเข้าใจกับ PDPA ที่ภาคธุรกิจต้องมีกัน
ทำความรู้จักกับ PDPA
PDPA ( Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ไปเมื่อวันที่ 28 พฤษภาคม 2562 แต่ในหมวดที่เกี่ยวข้องกับภาคธุรกิจถูกเลื่อนไปให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 โดย พ.ร.บ. นี้มีขึ้นมาเพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด โดย มีผลกับทั้งบุคคลธรรมดา และนิติบุคคลที่อยู่ในไทย และในต่างประเทศที่มีการเก็บ- ใช้ -เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย โดยสำหรับผู้ที่ละเมิดข้อกฏหมายดังกล่าวอาจจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน
ข้อมูลใด ๆ ก็ตามที่สามารถระบุตัวตนของเจ้าของข้อมูล (Data Subject) ได้ทั้งในทางตรง และทางอ้อม ทั้งที่เก็บแบบออนไลน์และออฟไลน์ ล้วนคือ “ข้อมูลส่วนบุคคล” เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย เป็นต้น PDPA ยังคุ้มครองไปจนถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive Personal Data) เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ
โดย PDPA ได้ให้สิทธิกับเจ้าของข้อมูลอย่างครอบคลุม เช่น การได้รับแจ้งว่าจะมีการเก็บข้อมูล สามารถแก้ไข คัดค้านการจัดเก็บ การระงับใช้ ไปจนถึงการขอลบข้อมูล โดย PDPA กำหนดระยะในการทำตามคำร้องขอใช้สิทธิจากเจ้าของข้อมูลภายใน 30 วัน
ที่นี้ เรามาทำความเข้าใจในส่วนของเอกสารและแบบฟอร์มต่างๆ ที่ภาคธุรกิจต้องเตรียมการกันบ้าง
สำหรับองค์กรที่ต้องการเก็บหรือใช้ประโยชน์ใดๆ จากข้อมูลส่วนบุคคล จำเป็นต้องดำเนินการตามหลักของ PDPA โดยควรมีเอกสารและแบบฟอร์มต่างๆ เพื่อแจ้งวัตถุประสงค์ ขอความยินยอมการเก็บข้อมูลจากเจ้าของข้อมูล (Consent) รวมไปถึงเตรียมช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิตาม PDPA ได้ โดยเอกสารและแบบฟอร์มเหล่านี้จะสามารถทำผ่านกระดาษหรือระบบออนไลน์ก็ได้ สิ่งสำคัญคือการต้องทำให้อ่านเข้าใจได้ง่าย ไม่ก่อให้เกิดความเข้าใจผิด และปราศจากนัยแอบแฝงโดยเงื่อนไขอื่นๆ แบบฟอร์มต่างๆ ที่ควรต้องเตรียมมีดังต่อไปนี้
1. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing (ROP)
บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่จะบอกว่าองค์กรหรือบริษัทจัดเก็บข้อมูลส่วนบุคคลที่ไหนอย่างไร นำไปประมวลผลอย่างไรบ้าง วัตถุประสงค์คืออะไร ใครคือผู้เกี่ยวข้องบ้าง นอกจากเป็นข้อกำหนดของ พ.ร.บ. เพื่อการตรวจสอบแล้ว การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP จะช่วยให้องค์เห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมด สามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากขึ้น
2. แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล
ตามที่ PDPA ได้กำหนดสิทธิเพื่อคุ้มครองข้อมูลส่วนบุคคลสำหรับเจ้าของข้อมูลนั้น บริษัทหรือผู้ให้บริการมีหน้าที่ในการจัดเตรียมช่องทางให้เจ้าของข้อมูลสามารถยื่นคำร้องขอใช้สิทธิดังกล่าวได้ไม่ว่าจะเป็นช่องทางใด ๆ ก็ตาม โดยองค์กรหรือผู้ให้บริการมีหน้าที่ต้องดำเนินการตามคำร้องขอภายใน 30 วันหลังจากได้รับคำขอ
สำหรับธุรกิจที่ให้บริการผ่านช่องทางเว็บไซต์ควรสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ให้ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ แบบฟอร์มควรจะมีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน ระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้
เมื่อได้รับคำขอใช้สิทธิ องค์กรสามารถพิจารณาว่าจะยอมรับแล้วดำเนินการตามคำร้อง หรือจะปฏิเสธคำขอโดยระบุเหตุผลที่ปฏิเสธไว้ในคำขอด้วย หากบริษัทปฏิเสธคำร้อง เจ้าของข้อมูลก็มีสิทธิยื่นเรื่องให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายพิจารณา
3. แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner
สำหรับเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งาน จำเป็นที่จะต้องมี แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน ตั้งแต่ข้อมูลพื้นฐาน เช่น ชื่อบัญชีผู้ใช้ ไปจนถึงการติดตามประวัติ หรือพฤติกรรมผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ โดยต้องแจ้งผู้ใช้งานทราบตั้งแต่เว็บไซต์มีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง
4. แบบฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล
หากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรหรือบริษัทจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูล โดยต้องแจ้งรายละเอียดสถานการณ์ที่เกิดขึ้นทั้งหมด ไม่ว่าจะเป็นจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล ประเมินผลกระทบที่อาจจะเกิดขึ้น ไปจนถึงระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย
5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy
ผู้ให้บริการต้องแจ้ง Privacy Policy หรือนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการ ระบุรายละเอียด และเงื่อนไขทั้งหมดว่าจะเก็บข้อมูลอะไรบ้าง จะนำไปประมวลผลใช้งานอย่างไรบ้าง ระยะเวลาในการจัดเก็บ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางติดต่อบริษัท ซึ่งเป็น “ผู้ควบคุมข้อมูล” (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)
ทั้งนี้ เมื่อองค์กรภาคธุรกิจเข้าใจแล้วว่าต้องเตรียมการอย่างไร ขั้นตอนต่อไปก็คือการจัดเตรียมเอกสารและแบบฟอร์มสำหรับการทำ PDPA ซึ่งสิ่งที่ต้องคำนึงถึงอีกข้อก็คือปัจจัยด้านการเปลี่ยนแปลงของข้อกำหนดทางกฏหมายที่จำเป็นต้องติดตาม และปรับตัวให้เท่าทันตลอดเวลา แต่อาจจะเป็นเรื่องลำบากสำหรับธุรกิจขนาดเล็กไปจนถึงขนาดกลางที่ไม่มีทีมดูแลด้านกฏหมายเป็นของตัวเองและรวมไปถึงเรื่องของภาษา ในกรณีที่ผู้ใช้งานที่เป็นเจ้าของข้อมูลใช้ภาษาอื่นๆ ซึ่งต้องแปลแบบฟอร์มเป็นภาษานั้น ๆ ให้ถูกต้องตามหลักภาษาทางกฏหมาย และในข้อสุดท้ายก็คือเรื่องของ User Experience โดยเฉพาะธุรกิจที่ให้บริการผ่านช่องทางออนไลน์ ต้องคำนึงด้วยว่า จะทำอย่างไรให้ขั้นตอนการขอ Consent ต่างๆ ซึ่งมีรายละเอียดจำนวนมาก และซับซ้อน ให้เป็นมิตรกับผู้ใช้งาน ผ่านการออกแบบให้เข้าใจง่าย ใช้งานง่าย และใช้ได้อย่างสะดวกในทุกแพลตฟอร์ม
แต่สำหรับท่านที่อ่านมาจนถึงตรงนี้ ก็ไม่ต้องกังวลใจไป!!
เพราะออพติมุสก็มีทางเลือกที่น่าสนใจ และตอบโจทย์ในทุกเงื่อนไขและประเด็นต่างๆ ที่กล่าวมาข้างต้น ออพติมุสขอแนะนำ ให้ทุกท่านได้รู้จักกับ บริการสร้างแบบฟอร์ม PDPA ในบริการที่ชื่อว่า OSL-PDPA (SKU : OSL-PDPA-TC) ที่สามารถสร้าง Privacy Policy ให้กับเว็บไซต์ของคุณอย่างง่ายและฟรี ครอบคลุมการอัพเดทรายละเอียดกฏหมายที่อาจจะมีเพิ่มเติมในอนาคต ได้ทั้ง Privacy Policy ฉบับภาษาไทย และภาษาอังกฤษ โดย ผ่านการใส่ข้อมูลเพียงครั้งเดียว ซึ่งนอกจากในส่วนของเงื่อนไข PDPA สำหรับธุรกิจที่เข้าเงื่อนไขกฏหมายคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศอย่าง CCPA ของรัฐแคลิฟอร์เนีย หรือ GDPR ของยุโรป ซึ่งจะมีทั้งเงื่อนไขที่เหมือนและแตกต่างจาก PDPA ของไทย ก็สามารถใช้บริการเสริมจาก OSL-PDPA ในการสร้างแบบฟอร์มที่สอดคล้องกับกฏหมายนั้น ๆ ได้เช่นกัน ไปจนถึงบริการ สร้าง Cookie บนเว็บไซต์ที่สอดคล้องกับข้อกำหนดของ PDPA
โปรดทราบว่าเราจะใช้ข้อมูลเหล่านี้เพื่อวัตถุประสงค์ในการติดต่อคุณ เพื่อแนะนำสินค้าและบริการ PDPA เท่านั้น
สร้าง Privacy Policy ง่ายๆ อย่างมืออาชีพ ถูกต้องตาม PDPA
OPT-Solutions PDPA คือเครื่องมือสร้าง Privacy Policy ถูกต้องตาม PDPA
นำไปใช้ได้จริง ประหยัดเวลา และไม่ต้องจ้างนักกฎหมาย
สอบถามข้อมูลเพิ่มเติม สามารถติดต่อได้ที่ ติดต่อแผนก Marketing
โทร : 02-2479898 ต่อ 87
Email : [email protected]
จุดประกายโดย : คุณ จิตร์ธีรา กิตติพัฒน์ธนคุณ
