ถึงเวลาบังคับใช้ PDPA แล้ว เตรียมเว็บไซต์ให้พร้อมหรือยัง?

meeting-business-people-group-corporate-discussion-investment-investment-concept-conference-room-Website-scaled-1

Personal Data Protection Act (PDPA) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นหนึ่งในกฎหมายดิจิทัลที่ถูกออกแบบมาเพื่อสร้างความเชื่อมั่นในการใช้เทคโนโลยี โดยมีวัตถุประสงค์ในการคุ้มครองสิทธิของข้อมูลส่วนบุคคล เช่น การควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ปัจจุบันมีเหตุการณ์ละเมิดข้อมูลส่วนบุคคลบ่อยครั้ง เช่น ชื่อ-นามสกุล เลขบัตรประชาชน ที่อยู่ เบอร์โทร เชื้อชาติ ประวัติอาชญากรรม และข้อมูลสุขภาพ ดังนั้น PDPA จึงมีประโยชน์อย่างมากต่อเราทุกคน และจะเริ่มบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ.2565

หัวข้อ

PDPA ดีต่อผู้บริโภคอย่างไร?

ทราบวัตถุประสงค์ของการจัดเก็บข้อมูล
- ผู้บริโภคจะทราบถึงเหตุผลที่องค์กรเก็บข้อมูลและวิธีการใช้งาน
ขอให้ลบ ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลได้
- ผู้บริโภคมีสิทธิ์ในการขอให้ลบข้อมูลที่ไม่จำเป็นหรือไม่ต้องการใช้อีกต่อไป
ร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน
- หากมีการใช้ข้อมูลนอกเหนือจากที่แจ้งไว้ ผู้บริโภคสามารถร้องเรียนและขอค่าชดเชยได้
ลดความเสียหายที่อาจเกิดจากการละเมิดข้อมูลส่วนบุคคล
- กฎหมายช่วยลดความเสี่ยงและผลกระทบจากการละเมิดข้อมูล

PDPA ดีต่อภาครัฐและเอกชนในด้านใด?

สร้างความน่าเชื่อถือให้องค์กร/หน่วยงาน
- การปฏิบัติตาม PDPA ทำให้องค์กรมีความน่าเชื่อถือในการจัดเก็บข้อมูล
มีขอบเขตในการจัดเก็บ นำไปใช้ หรือเผยแพร่ข้อมูลที่ชัดเจน
- PDPA กำหนดขอบเขตการใช้งานข้อมูลอย่างชัดเจนและถูกต้องตามกฎหมาย
มีความโปร่งใส รับผิดชอบต่อสังคม และตรวจสอบได้
- องค์กรต้องมีความโปร่งใสในการจัดการข้อมูลและสามารถตรวจสอบได้

Cookie ไม่ใช่เพียงชื่อขนม แต่เป็นไฟล์ข้อมูลขนาดเล็กที่เก็บไว้ในเซิร์ฟเวอร์ของผู้ให้บริการเว็บไซต์ ซึ่งเก็บข้อมูลประวัติการเข้าเว็บไซต์และแสดงตัวตนของผู้ใช้ เว็บไซต์จะนำข้อมูลเหล่านี้มาทำการตลาดออนไลน์เพื่อเจาะกลุ่มเป้าหมาย เช่น ข้อมูลความสนใจและการใช้งานอินเทอร์เน็ต ดังนั้นการใช้ Cookie ต้องได้รับความยินยอมจากผู้ใช้ตามที่ PDPA กำหนด

ใครบ้างที่เกี่ยวข้องกับ PDPA

เจ้าของข้อมูล (Data Subject) หมายถึง ประชาชนที่เป็นเจ้าของข้อมูลทุกคน
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง หน่วยงาน องค์กร สถาบัน อาจเป็นบุคคลธรรมดาหรือนิติบุคคลก็ได้ โดยมีหน้าที่ตัดสินใจเกี่ยวกับการเก็บข้อมูล และใช้ประโยชน์จากข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง ผู้ที่ทำตามคำสั่งของ Data Controller ซึ่งอาจเป็น Outsource ที่รับจ้าง
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หมายถึง คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคล

Data Controller จะลบข้อมูลส่วนบุคคลก็ต่อเมื่อ

ตามที่กล่าวไปข้างต้น เจ้าของข้อมูลสามารถขอให้ลบหรือทำลายข้อมูลส่วนบุคคลได้ เมื่อแจ้งมา Data Controller จะต้องดำเนินการลบข้อมูลนั้น นอกจากนี้เมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือเก็บข้อมูลมากเกินความจำเป็น Data Controller ก็ต้องลบข้อมูลเช่นกัน

5 เช็คลิสต์ตั้งค่าเว็บไซต์อย่างไรให้พร้อมรับ PDPA

ตั้งค่าเริ่มต้นไม่ให้เว็บไซต์เก็บข้อมูลอัตโนมัติ
- เจ้าของเว็บไซต์ต้องมี Privacy Policy และแจ้งให้ผู้ใช้ทราบถึงข้อมูลที่เก็บและจุดประสงค์การใช้งาน
การยินยอมที่ถูกต้องตามกฎหมาย
- ผู้ใช้เว็บไซต์ต้องให้ความยินยอมตามเงื่อนไขข้อ 1 เพื่อให้ถือว่าเป็นการยินยอมที่ชอบด้วยกฎหมาย
ฟีเจอร์เลือกอนุญาตหรือไม่อนุญาต
- หน้าเว็บไซต์ต้องมีฟีเจอร์ให้ผู้ใช้เลือกว่าจะ “อนุญาต” หรือ “ไม่อนุญาต” ให้เก็บข้อมูล
ตั้งค่าการเก็บ Cookie
- เว็บไซต์ต้องมีช่องทางให้ผู้ใช้ตั้งค่าการเก็บ Cookie ได้
แจ้งลบและแก้ไข Cookie
- หน้าเว็บไซต์ต้องมีช่องทางให้ผู้ใช้แจ้งลบ Cookie และแก้ไขความยินยอมได้

สรุป

กฎหมาย PDPA เริ่มบังคับใช้แล้ว เจ้าของเว็บไซต์และองค์กรต่างๆ ควรศึกษารายละเอียด ข้อบังคับ และบทลงโทษให้ชัดเจน เพื่อปฏิบัติตามกฎหมายอย่างถูกต้องและมีประสิทธิภาพ การกำหนดนโยบายการเก็บรักษาข้อมูลส่วนบุคคลที่ดีจะช่วยให้เกิดความปลอดภัยและสร้างความไว้วางใจให้กับผู้บริโภค

ข้อมูลจาก

ตอนนี้ถึงเวลาแล้วที่องค์กรต่างๆ จะต้องปฏิบัติตาม PDPA อย่างเคร่งครัด หากคุณกำลังมองหาตัวช่วยในการเริ่มกระบวนการ PDPA ไม่ว่าจะเป็นการสร้างนโยบายความเป็นส่วนตัว การสร้างแบนเนอร์ขอความยินยอมในการเก็บข้อมูล หรืออยากเรียนรู้เกี่ยวกับ PDPA เพิ่มเติม สามารถติดต่อ PDPA Thailand ได้เลย