PDPA คืออะไร? แล้วมีความสำคัญอย่างไร?

ก่อนอื่นเลยที่เราต้องรู้ เพราะ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act จะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้

กฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ซึ่งอาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ อาจจะเรียกง่ายๆ ว่าเป็นข้อมูลส่วนบุคคล

ดังนั้น เมื่อใครก็ตามที่ต้องการจะใช้ข้อมูลที่ผู้อื่นเป็นเจ้าของ ต้องขออนุญาตจากเจ้าของก่อน ในทางกฎหมายก็เช่นกัน ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอม (Consent)จากเจ้าของข้อมูลส่วนบุคคล โดยแจ้งวัตถุประสงค์ก่อนว่าจะเก็บรวบรวมข้อมูลอะไร และนำข้อมูลนั้นไปใช้เพื่ออะไรบ้าง

ทำไมต้องมีการจัดการคำร้องขอใช้สิทธิตาม PDPA ?

– ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผู้ให้บริการต้องให้เจ้าของข้อมูลสามารถร้องขอใช้สิทธิจัดการข้อมูลส่วนบุคคลได้ และต้องดำเนินการตามคำร้องนั้นภายใน 30 วัน

– หากไม่ปฏิบัติตาม อาจมีโทษปรับสูงสุด 5 ล้านบาท จำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ

แล้ว PDPA องค์กรควรเริ่มแบบไหนก่อนดี

ทุกองค์กรควรจะเริ่มมีการสำรวจรายการ หรือ รายละเอียดในองค์กรของเราก่อน ยกตัวอย่างเช่น

1.เรื่องของ Website จะต้องมีการขอคำยินยอมในการใช้ Cookie แต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจับเก็บ

2. เรื่องของ HR Policy ใช้เพื่อแจ้งการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้กับพนักงานภายในบริษัท หรือ candidate กรณีที่มีการส่งข้อมูลส่วนบุคคล เช่น resume / CV, บัตรประจำตัวประชาชน, รวมถึงข้อมูลส่วนบุคคลอ่อนไหว เพื่อเข้ามาสมัครงานกับบริษัท, การปฏิบัติตามสัญญาจ้างพนักงาน รวมถึงหน้าที่อื่นๆ ของแผนก HR

3. เรื่องกล้องวงจรปิด CCTV Policy จะใช้กรณีที่ธุรกิจ/บริษัทมีการติดตั้งกล้องวงจรปิด (CCTV) ในพื้นที่อาคาร สำนักงาน หรือโรงงาน เพื่อเป็นการแจ้งให้ผู้มาติดต่อ พนักงาน หรือบุคคลทั่วไปทราบว่าบริเวณนี้มีการติดตั้งกล้องวงจรปิด องค์กรกล้องวงจรปิดจะมีการเก็บข้อมูลส่วนบุคคล เช่น รูปภาพใบหน้าทั้งภาพนิ่งหรือภาพเคลื่อนไหว รวมถึงเสียง (ถ้ามี) โดยตามกฎหมาย PDPA กำหนดให้องค์กรต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย

การทำ PDPA มีขั้นตอนอย่างไรบ้าง?

การทำ PDPA เริ่มต้นที่ขั้นตอนการแจ้งให้ทราบว่าจะมีการเก็บข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องติดต่อเจ้าของข้อมูลเพื่อขอความยินยอม พร้อมกำหนดรายละเอียดชัดเจนเกี่ยวกับวัตถุประสงค์ของการจัดเก็บข้อมูลนั้นๆ รวมไปถึงระยะเวลาในการจัดเก็บข้อมูล เป็นต้น ซึ่งเจ้าของข้อมูลมีสิทธิให้ความยินยอมหรือไม่ให้ความยินยอมก็ได้

การวางแผนระบบ PDPA ให้กับบริษัทของคุณจะช่วยสร้างความปลอดภัยและความมั่นใจในการใช้งานข้อมูล อีกทั้งยังช่วยให้สามารถนำข้อมูลต่างๆ ไปวิเคราะห์ต่อยอด เพื่อนำเสนอสิ่งที่ดีที่สุดและตรงใจผู้ใช้งานได้อย่างถูกต้องตามข้อกฏหมายนั่นเอง

และออพติมุสก็มีทางเลือกที่น่าสนใจ และตอบโจทย์ในทุกเงื่อนไขและประเด็นต่างๆ ที่กล่าวมาข้างต้น ดังนั้นออพติมุสจึงขอแนะนำ ให้ทุกท่านได้รู้จักกับ บริการในรูปแบบ Solution ต่างๆ ที่เกี่ยวกับ PDPA ในบริการที่ชื่อว่า OSL-PDPA