กฎหมาย PDPA ถือเป็นหัวข้อที่หลาย ๆ คนกำลังให้ความสนใจอย่างมาก เพราะมันกระทบกับชีวิตส่วนตัวบางส่วนของเรา โดยเฉพาะเรื่องของความปลอดภัย แต่อย่างไรก็ตามก็มีหลายเรื่องที่เรายังเข้าใจผิดเกี่ยวกับกฎหมายตัวนี้กันอยู่ วันนี้ G2B จึงมาพูดถึงกฎหมายตัวนี้กันว่า แท้จริงแล้วมันเป็นอย่างไร และมีรายละเอียดอย่างไรบ้าง โดยเฉพาะผู้ทำการตลาด กฎหมายตัวนี้เราต้องยิ่งรู้มากกว่าเดิม
กฎหมาย PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่สร้างขึ้นมาเพื่อป้องกันการละเมิดนข้อมูลส่วนบุคคลของทุกคน รวมไปถึงการจัดเก็บข้อมูลนำไปใช้โดยไม่แจ้งให้ทราบและไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน
กฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา โดยจะคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีในเว็บไซต์ต่าง ๆ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์
ความสำคัญของ PDPA คือเจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่มีการจัดเก็บไปแล้วหรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวของเจ้าของข้อมูล โดยมีสิทธิที่สำคัญไม่ว่าจะเป็น สิทธิในการรับทราบและยินยอมเก็บข้อมูลส่วนตัว, สิทธิในการขอเข้าถึงข้อมูลส่วนตัว, การคัดค้านและเพิกถอนการเก็บข้อมูลไปใช้และสิทธิในการลบข้อมูลส่วนตัว
และเมื่อกฎหมายมาในรูปแบบนี้ ทำให้ผู้ประกอบการและบริษัทต่าง ๆ จำเป็นต้องปรับรูปแบบการเก็บข้อมูลใหม่ เพื่อให้สอดคล้องกับตัวของกฎหมายมากขึ้น เช่น การทำการตลาดที่มีข้อมูลส่วนบุคคลมาเป็นตัวแปร ก็ต้องมีการยินยอมจากเจ้าของข้อมูล และ ให้สิทธิในการเข้าไปตรวจสอบด้วย
กฎหมาย PDPA ของไทยมีผลบังคับใช้กับองค์กรที่ตั้งอยู่ในประเทศไทยหรือตั้งอยู่ในต่างประเทศแต่มีส่วนเกี่ยวข้องในการควบคุมและประมวลผลสินค้า บริการและข้อมูลพฤติกรรมผู้บริโภคในประเทศไทย ธุรกิจควรคำนึงถึงข้อมูลสองประเภท ข้อมูลทั่วไป เช่น ชื่อ วันเกิด หมายเลขโทรศัพท์ ฯลฯ) ข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลทางเชื้อชาติ เพศศาสนา สุขภาพ การเมือง และไบโอเมตริกซ์
หากทราบแล้วว่ากฎหมาย PDPA เป็นเช่นไร แล้วเราควรปฎิบัติอย่างไร เรามาไล่ดูไปทีละ Step กัน
Step 1 : จัดทำ Privacy Policy แจ้งให้เจ้งของข้อมูลทราบทุกครั้งที่มีการขอเก็บข้อมูล โดยต้องแจ้งวัตถุประสงค์ในการนำข้อมูลไปใช้ แจ้งสิทธิต่อเจ้าของ โดยต้องเป็นภาษาที่เข้าใจง่ายไม่ยุ่งยาก ทั้งนี้จะต้องทำ ไม่ว่าจะเป็นในเว็บไซต์, โซเชียลมีเดีย หรือแม้กระทั่งแอปพลิเคชัน
Step 2 : จัดการเรื่องการเก็บ Cookie บนเว็บไซต์, แอปพลิเคชัน และ Third Party โดยต้องแจ้งผู้ใช้งานเสมอในเรื่องการเก็บ Cookie และมีสิทธิให้ผู้ใช้ทั้งยินยอมและไม่ยินยอมในการเก็บข้อมูลส่วนนี้ด้วยเช่นกัน
Step 3 : การเก็บข้อมูลพนักงานต้องมีการจัดทำนโยบายที่ชัดเจนและแจ้งวัตถุประสงค์ในการเก็บข้อมูลทั้งหมดว่านำไปใช้อย่างไรและเจ้าของข้อมูลต้องมีสิทธิอย่างเต็มที่สำหรับข้อมูลนั้นด้วย
Step 4 : การใช้หรือประมวลผลข้อมูลส่วนบุคคล ต้องมีการกำหนดแนวทางและนโยบายด้านข้อมูลส่วนบุคคลและการจัดเก็บอย่างมีทิศทางและมีประสิทธิภาพ โดยข้อมูลลับเช่นเชื้อชาติ, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ข้อมูลสุขภาพ, ข้อมูลทางชีวภาพ จะต้องมีกฎชัดเจนว่าห้ามเผยแพร่หรือถูกนำไปให้คนอื่นที่ไม่มีความเกี่ยวข้อง
Step 5 : มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลต้องแน่นหนาเชื่อใจได้ มีการกำหนดระยะเวลาในการเก็บรักษาข้อมูลและทำลายทิ้งเมื่อไม่ถูกนำมาใช้งาน ข้อมูลทุกชนิดต้องมีการรักษาความปลอดภัยที่เท่าเทียมกันและมีการจัดการอย่างรวดเร็วหากเกิดเหตุไม่คาดฝัน รวมถึงระบบแจ้งเตือนเมื่อพบการโจมตีจากผู้ที่ไม่หวังดีด้วย
Step 6 : การส่งหรือเปิดเผยข้อมูลส่วนตัวต้องมีการทำสัญญาตามมาตรฐานกฎหมาย PDPA อย่างเคร่งครัด และมีการคุ้มของข้อมูลที่ถูกส่งไปอย่างรัดกุมเพื่อให้เกิดความมั่นใจว่าจะไม่มีการรั่วไหลไปสู่ภายนอก
Step 7 : การกำกับดูแลข้อมูลส่วนบุคคล ควรจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนตัว ที่มีความเชี่ยวชาญด้านกฎหมาย PDPA เพื่อให้การทำงานเป็นไปตามนโยบายของกฎหมาย รวมถึงการวางรากฐานป้องกันข้อมูลส่วนบุคคลรั่วไหลอย่างมีประสิทธิภาพ
กฎหมาย PDPA ถูกจัดตั้งขึ้นมาเพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งทุกคนมีสิทธิในการจัดการข้อมูลส่วนนี้ หากเราศึกษาและปฎิบัติตาม ก็ไม่มีปัญหาอะไรที่น่ากังวลในการทำการตลาดครับผม
ขอขอบคุณข้อมูลจาก https://pdpa.pro/blogs/
