สรุปกฎหมาย PDPA ฉบับเข้าใจง่าย
กฎหมาย PDPA คืออะไร บทความนี้จะมาเล่าให้ฟัง เพราะเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ถูกสร้างมา เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน กฏหมายภาษี จะพาไปดูรายละเอียดด้านล่างเพิ่มเติมได้เลย
ความเป็นมาของกฎหมาย PDPA
กฎหมาย PDPA เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 65 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคลทั้งหมด และข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
กฎหมาย PDPA มีความเป็นมาอย่างไร
กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลของกฎหมายทั้ง 2 ฉบับ เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัว
กฎหมาย PDPA สำคัญอย่างไร
เป็นกฎหมายที่ทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยินยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว และบุคคลที่ต้องปฏิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูล (Data Subject) และผู้ควบคุมข้อมูล (Data Controller) โดยผู้ควบคุมข้อมูลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ เช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย โดยมีขั้นตอนการทำ ดังนี้
1. การเก็บรวบรวมข้อมูลส่วนบุคคล องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ
2. การใช้หรือประมวลผลข้อมูลส่วนบุคคล แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทาง หรือนโยบายในการดำเนินการด้านข้อมูล และบันทึกรายการข้อมูลที่มีการเก็บ หรือใช้ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์
3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล การกำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูล
4. การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
5. การกำกับดูแลข้อมูลส่วนบุคคล
ปัจจุบันถึงเวลาแล้วที่องค์กรต่าง ๆ จะต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด
