Search

  • Australia
  • Thursday , Feb 1 , 2018

IC Customer Support (66) 0 2666 9449 (20 Lines) l csu@ic.or.th l Emergency 098 553 0447

Counter Service

IC เตรียมพร้อมจัดการข้อมูลความเป็นส่วนตัวตามกฎหมาย PDPA

มาจริงๆ แล้วนะทุกคน สำหรับกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้มีการเลื่อนการประกาศใช้มาจนถึงวันที่ 1 มิถุนายน 2565 และได้มีประกาศใช้กฎหมายฉบับนี้ ซึ่งถือเป็นเรื่องสำคัญมากสำหรับองค์กร หน่วยงาน และประชาชนทั่วไป เพราะ “ข้อมูล” ของทุกคนกลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญ โดยเฉพาะกับองค์กร หรือหน่วยงานต่างๆ ที่ต้องมีข้อมูลของลูกค้าหรือผู้ใช้บริการ ซึ่งจำเป็นอย่างยิ่งที่ต้องใช้ข้อมูลสำหรับธุรกิจในการต่อยอดเพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้
ดังนั้น เมื่อกฎหมาย PDPA ได้ประกาศและมีผลบังคับใช้แล้ว องค์กร บริษัท หน่วยงานต่างๆ จึงต้องให้ความสำคัญและเตรียมพร้อมไว้ เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าหรือผู้ใช้บริการ ทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้

IC จึงขอพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก โดยเน้นข้อมูลที่สำคัญต่อองค์กรและลูกค้า ซึ่งควรต้องรู้และรับทราบ พร้อมทำความเข้าใจเพื่อการปฏิบัติกับข้อมูลเหล่านั้นได้อย่างถูกต้อง และเข้าใจถึงวิธีปฏิบัติของสมาคมต่อการจัดการข้อมูลความเป็นส่วนตัวของผู้ใช้บริการ

PDPA คืออะไร
กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน โดยมุ่งให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นบริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง (มาตรา 6)

อย่างแรก คือ ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลได้
ไม่ว่าทางตรงและทางอ้อม ประกอบด้วย
• ชื่อ-นามสกุล
• เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
• เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
• ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
• ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
• วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
• ข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม PDPA และไม่รวมถึงข้อมูลผู้ถึงแก่กรรมเฉพาะด้วย

อย่างที่ 2 คือ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ประกอบด้วย
• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครเกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA บ้าง

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) ก็คือ คนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่างๆ เหนือข้อมูลส่วนบุคคลของตน
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คน บริษัทหรือองค์กรต่างๆ ที่เป็นคนตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความ
รับผิดชอบหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่สั่งซื้อของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่างๆ ที่ประมวลผลข้อมูล
ส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น เมสเซนเจอร์ส่งสินค้าที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่งสินค้าให้เพื่อเอาสินค้าไปส่งแทนเรา กรณีนี้เมสเซนเจอร์ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

สำหรับกรณีบริษัทที่ตั้งอยู่ในประเทศไทย แต่เก็บข้อมูลส่วนบุคคลของชาวต่างชาติไว้ จะต้องปฏิบัติตามกฏหมาย PDPA ด้วยหรือไม่นั้น คำตอบคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลในราชอาณาจักร ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะมีสัญชาติใดก็ตาม ก็ยังคงต้องปฏิบัติตามเงื่อนไขที่กฎหมายกำหนด
นั่นหมายความว่า ข้อมูลส่วนบุคคลของชาวต่างชาติที่อยู่ในครอบครองของบริษัทที่ตั้งในประเทศไทยก็ต้องอยู่ภายใต้กฎหมาย PDPA ด้วยเช่นกัน

รวม 3 ขั้นตอนง่ายๆ สำหรับการปฏิบัติตามกฎหมาย PDPA

ขั้นตอนที่ 1 การเตรียมความพร้อมของคนให้เข้าใจ PDPA เพราะเป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป หากทุกคนเปิดใจและทำความเข้าใจ เชื่อว่าไม่ใช่เรื่องที่ยากเกินไป ดังนั้น ขั้นตอนที่สำคัญอันดับแรกในการเตรียมตัว คือเตรียมความพร้อมของคนในองค์กรเพื่อให้เข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ

ขั้นตอนที่ 2 เข้าใจความจำเป็นของการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผลให้ถูกวิธี หากองค์กรหรือบริษัทต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล องค์กรหรือบริษัทนั้นจะต้องแจ้งเจ้าของข้อมูลให้ทราบว่าจะเก็บ ใช้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปอย่างไร โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัว
นอกจากการแจ้ง Privacy Policy แล้ว องค์กรและบริษัทต่างๆ อาจต้องขอความยินยอม (Consent) จากลูกค้าหรือผู้ใช้บริการก่อน เพื่อการเปิดเผยข้อมูลส่วนบุคคล หรือดำเนินการทางด้านการตลาดได้ภายใต้กฎหมาย PDPA โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การดำเนินกิจกรรมด้านข้อมูลส่วนบุคคลนั้นๆ ต้องหยุดในทันที
การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies เป็นอีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการเว็บไซต์ ภายใต้ PDPA นั่นคือ Cookies ที่ถูกใช้เพื่อจุดประสงค์ต่างๆ Cookies หรือเครื่องมือในการจัดเก็บข้อมูลเพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็นข้อมูลส่วนบุคคล หากองค์กรมีการติดตั้ง Cookies ในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน องค์กรจะต้องแจ้งและขอความยินยอมจากผู้ใช้งานเว็บไซต์ก่อน

ขั้นตอนที่ 3 การรักษาความปลอดภัยของข้อมูลส่วนบุคคล และการรับมือเหตุการณ์ต่างๆ เกี่ยวกับข้อมูลส่วนบุคคล เมื่อองค์กรหรือบริษัทมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลแล้ว ต้องมีหน้าที่รักษาความปลอดภัยของข้อมูล ให้เป็นความลับ มีความถูกต้อง และความพร้อมใช้ของข้อมูลส่วนบุคคลนั้นๆ อีกทั้งยังต้องเตรียมกลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก ได้แก่ (1) การเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) ไม่ว่าจะจากการโดนไวรัสเรียกค่าไถ่ (Ransomware) หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง Data Controller ต้องจัดการแก้ไข รวมถึงรายงานเหตุการณ์ที่เกิดขึ้นในกำหนดเวลา (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และ Data Controller ต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม

อย่างไรก็ตาม การคุ้มครองข้อมูลส่วนบุคคลจะสัมฤทธิ์ผลได้ตามกฎหมาย และสามารถคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างเป็นรูปธรรมนั้น ขึ้นอยู่กับความพร้อมขององค์กร บริษัท และหน่วยงานภาครัฐที่ต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัดและซื่อสัตย์ในการประมวลผลข้อมูลส่วนบุคคล ให้เป็นไปอย่างชอบธรรม โปร่งใส และตรวจสอบย้อนกลับได้ถึงการเชื่อมโยงและใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม

สมาคมสโมสรนักลงทุนได้ดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ทั้งด้านเอกสารและกระบวนการในทุกขั้นตอนอย่างเหมาะสมและถูกต้อง โดยดำเนินการเตรียมความพร้อมทั้งบุคลากรและเทคโนโลยีที่ใช้จัดการข้อมูลให้ครอบคลุมตามกฎหมายกำหนด เพื่อสร้างความเชื่อมั่นด้านความเป็นส่วนตัวของข้อมูลผู้ใช้บริการของสมาคมทุกราย โดยผู้ใช้บริการสามารถดูรายละเอียด IC Privacy Policy ได้ที่ www.ic.or.th
.
..............................

ข้อมูลอ้างอิง : t.ly/-HcH
https://easypdpa.com/article/easypdpa-summary-what-is-pdpa 
https://www.bangkokbiznews.com/columnist/996846 

calendar

IC Knowledge Management

1 TP&T Tower, 12th Fl., Vibhavadi-Rangsit Rd.,
Chatuchak, Bangkok 10900

(66) 0 2666 9449
< Customer Support Unit: CSU press 1 email : csu@ic.or.th
   - Using the RMTS system eMT Online  press 1 and press 1
   - Using the RMTS system RMTS  press 1 and press 2
< Follow up on machinery and raw materials press 2
   - Raw Material Database Service
   - Machinery Database Service
   - Raw Material Release Letter Service
   - Raw Material Balance Adjustment
     : Bangkok press 2 and press 1
     : Chonburi press 2 and press 2
< RMTS, eMT Online, Membership Application press 3
   -- Subscription and service users email : cus_service@ic.or.th
   -- Training & Seminar Service email : icis@ic.or.th
   -- Counter Service 
        - data entry service for machinery, raw material and e-expert 
          : counterservice@ic.or.th
        - Raw material filing service : bis_center@ic.or.th
        - Service for requesting information on machinery
          and raw materials : bis_center@ic.or.th
< Payment & Invoice press 4 email : finance@ic.or.th

IC : Your Trust, Our Commitment

    

 Copyright 2019 Investor Club Association About us All rights reserved.

logo

© 2018 Your Company. All Rights Reserved. Designed By Your Company

Search