PDPA คืออะไร ทำไมธุรกิจที่ทำ Digital Transformation ต้องให้ความสำคัญ

PDPA ย่อมาจาก คำว่า Personal Data Protection Act คือ เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม ดังนั้น พ.ร.บ. ฉบับนี้จึงมีความสำคัญเป็นอย่างมากในหลายองค์กรที่มีการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล เพราะปัจจุบันหลายธุรกิจเริ่มก้าวเข้าสู่ Digital Transformation ข้อมูลส่วนบุคคลถือว่าเป็นอีกหนึ่ง “สินทรัพย์” ที่มีมูลค่า หากข้อมูลรั่วไหลอาจต้องสูญเสียทั้งด้านการเงินและความปลอดภัยของเจ้าของข้อมูล กฎหมายฉบับนี้มีประโยชน์ต่อผู้บริโภค โดยบังคับกฎหมาย PDPA จะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ฐานะทางการเงิน การศึกษา ประวัติสุขภาพ ประวัติการทำงาน และข้อมูลส่วนบุคคลประเภทอื่น ๆ เช่น เลขบัตรประชาชน หรือข้อมูลการใช้งานเว็บไซต์ โดยที่เจ้าของข้อมูลไม่ได้ยินยอม

ทำไมธุรกิจที่ทำ Digital Transformation จึงต้องให้ความสำคัญกับ PDPA

ในยุคดิจิทัลนี้ที่หลากหลายธุรกิจหันมาทำ Digital Transformation เพื่อปรับตัวรับมือกับสถานการณ์โลกที่เปลี่ยนแปลงไปไม่มีวันหยุด PDPA เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ธุรกิจที่ทำ Digital Transformation ต้องให้ความสำคัญเพราะว่า พ.ร.บ. นี้ให้ประโยชน์แก่ผู้บริโภค และข้อมูลส่วนบุคคลของผู้บริโภคนั้นมีประโยชน์ต่อการทำ Digital Transformation เป็นอย่างมาก ทำให้สามารถเก็บข้อมูลพฤติกรรมของผู้บริโภค เพื่อนำไปพัฒนาธุรกิจให้ตรงใจกลุ่มเป้าหมายมากขึ้น และสามารถคาดการณ์ความเป็นไปในอนาคตได้ ซึ่งถ้าข้อมูลเหล่านี้หลุดไปหรือรั่วไหล จะส่งผลให้เกิดความเสียหายกับเจ้าของข้อมูลส่วนบุคคลและธุรกิจของเรา รวมไปถึงความน่าเชื่อถือของบริษัทเราก็จะลดลง ดังนั้น ธุรกิจที่ทำ Digital Transformation จึงไม่ควรมองข้ามกฎหมายนี้ไปเด็ดขาด

ทำไมข้อมูลส่วนบุคคลต้องถูกคุ้มครอง ?

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถระบุตัวตนคนนั้นได้ ทั้งทางตรงและทางอ้อม แต่ไม่รวมข้อมูลของผู้ถึงแก่กรรม ข้อมูลก็เหมือนทรัพย์สินส่วนบุคคล ซึ่งเป็นสิทธิ์ในความเป็นส่วนตัวของบุคคล ข้อมูลที่มีความละเอียดอ่อน ตัวอย่างเช่น ลายนิ้วมือ เราไม่สามารถเปลี่ยนลายนิ้วมือได้ หากมีการรั่วไหลไปสู่สาธารณะแล้ว จะทำให้เกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ว่าจะเป็นข้อมูลทางเพศ เชื้อชาติ ศาสนา ถ้ารั่วไหลไป ข้อมูลเหล่านี้จะนำไปสู่ความอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปอย่างมาก

ใครบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล?

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล คือต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลเสียเอง

รายละเอียดข้อบังคับ PDPA

1.การขออนุญาตเก็บข้อมูล

การขออนุญาตเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล จะต้องมีเงื่อนไขการยินยอมที่ชัดเจน หมายความว่า จุดประสงค์ของการเก็บข้อมูลต้องเข้าใจได้ง่าย มีระยะเวลากำหนดว่าจะเก็บข้อมูลนานเท่าไหร่ มีช่องทางที่เหมาะสมสำหรับการติดต่อ DPO (Data Protection Officer) ที่ชัดเจน เพื่อให้เจ้าของข้อมูลไม่เกิดความสับสน และสามารถถอน หรือลบข้อมูลของตนเองเมื่อไหร่ก็ได้

2.ระยะเวลาในการแจ้งเตือนหากว่ามีข้อมูลส่วนบุคคลรั่วไหล

หากเจ้าของข้อมูลส่วนบุคคลขอสำเนาข้อมูลของตนเอง องค์กรจะต้องออกแบบฟอร์ม หรือระบุช่องทางการขอข้อมูลให้มีรายละเอียดครบถ้วน องค์กรต้องส่งข้อมูลที่มีอยู่ทั้งหมดที่เกี่ยวกับเจ้าของข้อมูล รวมถึงวิธีที่ใช้ข้อมูลของเจ้าของข้อมูลด้วย

3.สิทธิ์ในการขอลบข้อมูลของเจ้าของข้อมูล

เมื่อข้อมูลส่วนบุคคลมีการใช้งานจนบรรลุวัตถุประสงค์หรือครบระยะเวลาที่กำหนดในการเก็บข้อมูลแล้ว ผู้ควบคุมข้อมูล จะต้องทำการลบข้อมูลส่วนบุคคลทั้งหมดตามที่ระบุไว้ในการขออนุญาตเก็บข้อมูล เจ้าของข้อมูลมีสิทธิ์ที่จะลบข้อมูลเมื่อไหร่ก็ได้

4. สิทธิ์ในการถ่ายโอน หรือเลือกใช้ข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลสามารถให้สิทธิ์แก่องค์กรนำข้อมูลไปใช้กับอีกองค์กรในเครือได้ โดยการใช้สิทธิ์นั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิของผู้อื่น

5. ออกแบบระบบและรูปแบบการเก็บข้อมูลที่มีความปลอดภัย

ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดที่ว่า องค์กรที่มีการเก็บข้อมูล ประมวลผล และใช้ข้อมูลส่วนบุคคลต้องมีระบบการเก็บข้อมูลที่มีประสิทธิภาพและชัดเจน สามารถแจ้งเตือนหากมีการละเมิดข้อมูลส่วนบุคคลได้

6.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่มีศักยภาพ

หากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลที่มีปริมาณมาก จำเป็นต้องมีตำแหน่ง DPO (Data Protection Officer) ไว้กำกับดูแลข้อมูลส่วนบุคคล ทุกองค์กรอาจจะไม่จำเป็นจะต้องมี DPO (Data Protection Officer) เสมอไป ขึ้นอยู่กับขนาดข้อมูลที่เก็บ และกระบวนการภายในองค์กร

กฎหมายเป็นเรื่องใกล้ตัวที่ส่งผลกระทบทั้งเจ้าของข้อมูลส่วนบุคคลและองค์กรที่มีการเก็บรวบรวมข้อมูล การทำ Digital Transformation หากไม่ใส่ใจในกฎหมายนี้ก็อาจทำให้เกิดปัญหากับธุรกิจของคุณได้ กฎหมายฉบับนี้คุ้มครองข้อมูลส่วนบุคคลจะทำให้ผู้ที่เป็นเจ้าของข้อมูลมีสิทธิ์ในการเข้าถึงข้อมูลของตนเอง สามารถเปลี่ยนแปลง และลบข้อมูลของตนเองได้ และปรับปรุงขั้นตอนการจัดการข้อมูลของลูกค้าภายในองค์กร หรือใช้ข้อมูลส่วนบุคคลได้อย่างปลอดภัย และมีประสิทธิภาพมากขึ้น

ขอบคุณข้อมูลจาก : https://t-reg.co/blog/t-reg-knowledge/%e0%b9%80%e0%b8%82%e0%b9%89%e0%b8%b2%e0%b9%83%e0%b8%88-pdpa-%e0%b9%83%e0%b8%99-5-%e0%b8%99%e0%b8%b2%e0%b8%97%e0%b8%b5-%e0%b8%aa%e0%b8%a3%e0%b8%b8%e0%b8%9b%e0%b8%97%e0%b8%b8%e0%b8%81%e0%b8%ad/

Social Listening และการตลาดแห่งอนาคต: ข้อมูล Real-Time ที่คุณไม่ควรมองข้าม