“PDPA” ดีเดย์ 1 มิ.ย. กฎหมายต้องรู้ SME ยุคดิจิทัล พร้อมหรือยัง! | ทันข่าว Today
08 พฤษภาคม 2565
404

“PDPA” ดีเดย์ 1 มิ.ย. กฎหมายต้องรู้ SME ยุคดิจิทัล พร้อมหรือยัง!

“PDPA” ดีเดย์ 1 มิ.ย. กฎหมายต้องรู้  SME ยุคดิจิทัล พร้อมหรือยัง!
Highlight

กฎหมาย PDPA หรือ พร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ในเดือนหน้านี้แล้ว ต่อไปหากพบเจอการนำข้อมูลของเราไปใช้โดยไม่ได้รับความยินยอมผู้ที่นำไปเปิดเผยย่อมมีความผิดตามกฎหมาย เป็นความเสี่ยงกิจการ ที่ต้องบริหารจัดการให้ดีก่อนเกิดปัญหา รวมถึงการป้องกันภัยไซเบอร์ หากข้อมูลของลูกค้าถูกแฮกปัญหาจะตามมามากมาย บทลงโทษผู้กระทำความผิดมีทั้งจำทั้งปรับ สูงสุดเป็นหลักล้าน นับเป็นกฏหมายที่สำคัญไม่ควรมองข้าม เพราะอาจส่งผลกระทบถึงความอยู่รอดของกิจการได้เช่นเดียวกัน โดยเฉพาะกิจการขนาดเล็ก


พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เกี่ยวข้องกับทุกคนอย่างไรบ้าง มีความสำคัญที่ผู้ประกอบการ SME ควรรู้อย่างไร เตรียมตัวก่อนใช้จริง เพื่อช่วยให้องค์กรสามารถนำข้อมูลมาใช้ได้อย่างมีประสิทธิภาพ และปลอดภัยยิ่งขึ้นสำหรับธุรกิจยุคดิจิทัล

PDPA คืออะไร สำคัญอย่างไร?

กฎหมาย PDPA (Personal Data Protection Act) คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ หรือได้รับความยินยอมจากเจ้าของข้อมูล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ หรือการที่เราได้รับโฆษณาบน Social Media จากข้อมูลการใช้งานของเรา

โดยที่เราไม่รู้ตัว หรือไม่ได้ยินยอมให้องค์กรเก็บข้อมูล ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ โดยจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิ.ย. 2565 

ดังนั้น ภายในเดือนมิถุนายนปีนี้ แทบจะทุกธุรกิจที่มีข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ทั้งสิ้น โดยต้องวางระบบการบริหารจัดการข้อมูลต่างๆ ไม่ให้ไปละเมิดข้อมูลส่วนบุคคลของลูกค้าหรือผู้มาติดต่อ และที่สำคัญเพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮกข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลหรือจากบุคคลที่ดูแลข้อมูล

ธุรกิจออนไลน์ต้องปรับให้ทัน เพื่อคุ้มครองผู้บริโภค

สำหรับภาคธุรกิจออนไลน์ที่มีหน้าร้านในรูปแบบแฟนเพจ เว็บไซต์ หรือแอปพลิเคชัน ยิ่งต้องปรับตัวให้ทันเพื่อเพิ่มกลยุทธ์การทำตลาดออนไลน์ และจะดีกว่าไหมหากทุกแผนการตลาด และโฆษณาของคุณยืนอยู่บนมาตรฐานของการใส่ใจลูกค้าในมิติด้านอื่นเพิ่มเติม

โดยเฉพาะการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า การปฏิบัติที่เป็นไปตามมาตรฐาน ถูกต้องตามกฎหมาย การจัดการความยินยอม สิทธิของลูกค้าในความเป็นเจ้าของข้อมูล และคัดสรรเฉพาะโปรโมชันที่ลูกค้าอยากได้ ในเวลาที่ต้องการ ตามหลักของการตลาดเฉพาะบุคคล เพื่อคุ้มครองผู้บริโภค

4 ขั้นตอน เตรียมความพร้อมสำหรับผู้ประกอบการ SME เพิ่มประสิทธิภาพธุรกิจ

1. เตรียมความพร้อมสำหรับคนในองค์กรให้เข้าใจก่อน

องค์กรควรให้ความสำคัญกับการอบรมบุคลากรขององค์กร ให้เข้าใจและเคยชินกับการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะผู้ที่เกี่ยวข้องโดยตรงกับกระบวนการด้านข้อมูล จนกลายเป็นวัฒนธรรมใหม่ขององค์กร เพื่อที่ทุกคนจะได้ร่วมด้วยช่วยกัน ลดอัตราการละเมิดอันเนื่องมาจากความผิดพลาดภายในองค์กรให้น้อยที่สุด 

ดังนั้นขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัว จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ ยิ่งไปกว่านั้นองค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

2. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลทราบ

องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด 

3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

วางมาตรการการจัดการตามกำหนดกฎหมาย PDPA เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ ปรับใช้ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล ที่เหมาะสมและได้มาตรฐาน รวมไปถึงจัดให้มีมาตรการรับมือเมื่อเกิดการละเมิด เช่น ข้อมูลรั่วไหล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังเกิดเหตุ และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด

4. มีกระบวนการรับคำร้องที่ง่าย ไม่ซับซ้อน

ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่องแชทหรือส่งอีเมลก็ได้

บังคับใช้แต่ไม่ได้ปฏิบัติตาม จะมีบทลงโทษอย่างไรบ้าง?

หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น จะมีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง โดยมีการรวบรวมมาให้ศึกษาทั้งหมด 8 ข้อ ได้แก่

1. การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

2. การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

3. การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการ SME เปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความ ยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

4. การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

5. การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

6. การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

7. มาตรา 77 กำหนดว่า ผู้ประกอบการ SME ที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่

8. ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

กฎหมายฉบับนี้ นอกจากจะทำให้การปกป้องข้อมูลส่วนบุคคลของลูกค้าได้ดีขึ้น และปรับปรุงขั้นตอนการจัดการข้อมูลลูกค้าภายในขององค์กร ประมวลผลหรือใช้ข้อมูลส่วนบุคคลได้อย่างปลอดภัยแล้ว ยังถือเป็นโอกาสที่ดีที่จะช่วยให้องค์กรสามารถนำข้อมูลมาใช้ได้อย่างมีประสิทธิภาพ และปลอดภัยยิ่งขึ้น และหากองค์กรใดเตรียมความพร้อมได้เร็ว ยิ่งส่งผลต่อการสร้างความได้เปรียบทางการแข่งขันของผู้ประกอบการ SME เพิ่มประสิทธิภาพธุรกิจยุคดิจิทัลมากขึ้น

ที่มา : https://pdpa.pro/blogs/in-summary-what-is-pdpa
https://easypdpa.com/article/easypdpa-summary-what-is-pdpa/
Bangkok bank SME

ติดต่อโฆษณา!