PDPA คืออะไร ทำไมธุรกิจที่ทำ Digital Transformation ต้องให้ความสำคัญ
PDPA ย่อมาจาก คำว่า Personal Data Protection Act คือ เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม ดังนั้น พ.ร.บ. ฉบับนี้จึงมีความสำคัญเป็นอย่างมากในหลายองค์กรที่มีการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล เพราะปัจจุบันหลายธุรกิจเริ่มก้าวเข้าสู่ Digital Transformation ข้อมูลส่วนบุคคลถือว่าเป็นอีกหนึ่ง “สินทรัพย์” ที่มีมูลค่า หากข้อมูลรั่วไหลอาจต้องสูญเสียทั้งด้านการเงินและความปลอดภัยของเจ้าของข้อมูล กฎหมายฉบับนี้มีประโยชน์ต่อผู้บริโภค โดยบังคับกฎหมาย PDPA จะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ฐานะทางการเงิน การศึกษา ประวัติสุขภาพ ประวัติการทำงาน และข้อมูลส่วนบุคคลประเภทอื่น ๆ เช่น เลขบัตรประชาชน หรือข้อมูลการใช้งานเว็บไซต์ โดยที่เจ้าของข้อมูลไม่ได้ยินยอม
ทำไมธุรกิจที่ทำ Digital Transformation จึงต้องให้ความสำคัญกับ PDPA
ในยุคดิจิทัลนี้ที่หลากหลายธุรกิจหันมาทำ Digital Transformation เพื่อปรับตัวรับมือกับสถานการณ์โลกที่เปลี่ยนแปลงไปไม่มีวันหยุด PDPA เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ธุรกิจที่ทำ Digital Transformation ต้องให้ความสำคัญเพราะว่า พ.ร.บ. นี้ให้ประโยชน์แก่ผู้บริโภค และข้อมูลส่วนบุคคลของผู้บริโภคนั้นมีประโยชน์ต่อการทำ Digital Transformation เป็นอย่างมาก ทำให้สามารถเก็บข้อมูลพฤติกรรมของผู้บริโภค เพื่อนำไปพัฒนาธุรกิจให้ตรงใจกลุ่มเป้าหมายมากขึ้น และสามารถคาดการณ์ความเป็นไปในอนาคตได้ ซึ่งถ้าข้อมูลเหล่านี้หลุดไปหรือรั่วไหล จะส่งผลให้เกิดความเสียหายกับเจ้าของข้อมูลส่วนบุคคลและธุรกิจของเรา รวมไปถึงความน่าเชื่อถือของบริษัทเราก็จะลดลง ดังนั้น ธุรกิจที่ทำ Digital Transformation จึงไม่ควรมองข้ามกฎหมายนี้ไปเด็ดขาด
ทำไมข้อมูลส่วนบุคคลต้องถูกคุ้มครอง ?
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถระบุตัวตนคนนั้นได้ ทั้งทางตรงและทางอ้อม แต่ไม่รวมข้อมูลของผู้ถึงแก่กรรม ข้อมูลก็เหมือนทรัพย์สินส่วนบุคคล ซึ่งเป็นสิทธิ์ในความเป็นส่วนตัวของบุคคล ข้อมูลที่มีความละเอียดอ่อน ตัวอย่างเช่น ลายนิ้วมือ เราไม่สามารถเปลี่ยนลายนิ้วมือได้ หากมีการรั่วไหลไปสู่สาธารณะแล้ว จะทำให้เกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ว่าจะเป็นข้อมูลทางเพศ เชื้อชาติ ศาสนา ถ้ารั่วไหลไป ข้อมูลเหล่านี้จะนำไปสู่ความอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปอย่างมาก
ใครบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล?
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล คือต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลเสียเอง
รายละเอียดข้อบังคับ PDPA
1.การขออนุญาตเก็บข้อมูล
การขออนุญาตเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล จะต้องมีเงื่อนไขการยินยอมที่ชัดเจน หมายความว่า จุดประสงค์ของการเก็บข้อมูลต้องเข้าใจได้ง่าย มีระยะเวลากำหนดว่าจะเก็บข้อมูลนานเท่าไหร่ มีช่องทางที่เหมาะสมสำหรับการติดต่อ DPO (Data Protection Officer) ที่ชัดเจน เพื่อให้เจ้าของข้อมูลไม่เกิดความสับสน และสามารถถอน หรือลบข้อมูลของตนเองเมื่อไหร่ก็ได้
2.ระยะเวลาในการแจ้งเตือนหากว่ามีข้อมูลส่วนบุคคลรั่วไหล
หากเจ้าของข้อมูลส่วนบุคคลขอสำเนาข้อมูลของตนเอง องค์กรจะต้องออกแบบฟอร์ม หรือระบุช่องทางการขอข้อมูลให้มีรายละเอียดครบถ้วน องค์กรต้องส่งข้อมูลที่มีอยู่ทั้งหมดที่เกี่ยวกับเจ้าของข้อมูล รวมถึงวิธีที่ใช้ข้อมูลของเจ้าของข้อมูลด้วย
3.สิทธิ์ในการขอลบข้อมูลของเจ้าของข้อมูล
เมื่อข้อมูลส่วนบุคคลมีการใช้งานจนบรรลุวัตถุประสงค์หรือครบระยะเวลาที่กำหนดในการเก็บข้อมูลแล้ว ผู้ควบคุมข้อมูล จะต้องทำการลบข้อมูลส่วนบุคคลทั้งหมดตามที่ระบุไว้ในการขออนุญาตเก็บข้อมูล เจ้าของข้อมูลมีสิทธิ์ที่จะลบข้อมูลเมื่อไหร่ก็ได้
4. สิทธิ์ในการถ่ายโอน หรือเลือกใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลสามารถให้สิทธิ์แก่องค์กรนำข้อมูลไปใช้กับอีกองค์กรในเครือได้ โดยการใช้สิทธิ์นั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิของผู้อื่น
5. ออกแบบระบบและรูปแบบการเก็บข้อมูลที่มีความปลอดภัย
ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดที่ว่า องค์กรที่มีการเก็บข้อมูล ประมวลผล และใช้ข้อมูลส่วนบุคคลต้องมีระบบการเก็บข้อมูลที่มีประสิทธิภาพและชัดเจน สามารถแจ้งเตือนหากมีการละเมิดข้อมูลส่วนบุคคลได้
6.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่มีศักยภาพ
หากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลที่มีปริมาณมาก จำเป็นต้องมีตำแหน่ง DPO (Data Protection Officer) ไว้กำกับดูแลข้อมูลส่วนบุคคล ทุกองค์กรอาจจะไม่จำเป็นจะต้องมี DPO (Data Protection Officer) เสมอไป ขึ้นอยู่กับขนาดข้อมูลที่เก็บ และกระบวนการภายในองค์กร
กฎหมายเป็นเรื่องใกล้ตัวที่ส่งผลกระทบทั้งเจ้าของข้อมูลส่วนบุคคลและองค์กรที่มีการเก็บรวบรวมข้อมูล การทำ Digital Transformation หากไม่ใส่ใจในกฎหมายนี้ก็อาจทำให้เกิดปัญหากับธุรกิจของคุณได้ กฎหมายฉบับนี้คุ้มครองข้อมูลส่วนบุคคลจะทำให้ผู้ที่เป็นเจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลของตนเอง สามารถเปลี่ยนแปลง และลบข้อมูลของตนเองได้ และปรับปรุงขั้นตอนการจัดการข้อมูลของลูกค้าภายในองค์กร หรือใช้ข้อมูลส่วนบุคคลได้อย่างปลอดภัย และมีประสิทธิภาพมากขึ้น
