หาก Data คือหัวใจสำคัญสำหรับธุรกิจในปัจจุบัน และอนาคต PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็คือหัวใจสำคัญในการเก็บ ใช้ และปกป้องความปลอดภัยของ Data ที่ทุกธุรกิจต้องรู้ และเตรียมตัวรับมือ โดยสำหรับหมวดที่เกี่ยวข้องกับภาคธุรกิจกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 ในบทความนี้เราจะขอนำทุกท่านไปทำความเข้าใจ PDPA อย่างรวบรัด และสรุปสิ่งที่ทุกธุรกิจต้องมีเพื่อให้สอดคล้องกับข้อกำหนดทางกฏหมายทั้งหมด

PDPA คืออะไร

PDPA ( Personal Data Protection Act ) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ไปเมื่อวันที่ 28 พฤษภาคม 2562 แต่ในหมวดที่เกี่ยวข้องกับภาคธุรกิจถูกเลื่อนไปให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 โดย พ.ร.บ. นี้มีขึ้นมาเพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด มีผลกับทั้งบุคคลธรรมดา และนิติบุคคลที่อยู่ในไทย และในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย โดยสำหรับผู้ที่ละเมิดข้อกฏหมายดังกล่าวอาจจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน

“ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” และ “สิทธิของเจ้าของข้อมูล”

ข้อมูลใด ๆ ก็ตามที่สามารถระบุตัวตนของเจ้าของข้อมูล (Data Subject) ได้ทั้งในทางตรง และทางอ้อม ทั้งที่เก็บแบบออนไลน์และออฟไลน์ ล้วนคือ “ข้อมูลส่วนบุคคล” เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย เป็นต้น PDPA ยังคุ้มครองไปจนถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive Personal Data)  เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ

โดย PDPA ได้ให้สิทธิกับเจ้าของข้อมูลอย่างครอบคลุม เช่น การได้รับแจ้งว่าจะมีการเก็บข้อมูล สามารถแก้ไข คัดค้านการจัดเก็บ การระงับใช้ ไปจนถึงการขอลบข้อมูล โดย PDPA กำหนดระยะในการทำตามคำร้องขอใช้สิทธิจากเจ้าของข้อมูลภายใน 30 วัน

5 เอกสารและแบบฟอร์มต่างๆ ที่ทุกธุรกิจต้องเตรียม

องค์กรที่ต้องการเก็บหรือใช้ประโยชน์ใดๆ จากข้อมูลส่วนบุคคล จำเป็นต้องดำเนินการตามหลักของ PDPA โดยควรมีเอกสารและแบบฟอร์มต่างๆ เพื่อแจ้งวัตถุประสงค์ ขอความยินยอมการเก็บข้อมูลจากเจ้าของข้อมูล (Consent) รวมไปถึงเตรียมช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิตาม PDPA ได้ โดยเอกสารและแบบฟอร์มเหล่านี้จะสามารถทำผ่านกระดาษหรือระบบออนไลน์ก็ได้ สิ่งสำคัญคือการต้องทำให้อ่านเข้าใจได้ง่าย ไม่ก่อให้เกิดความเข้าใจผิด และปราศจากนัยแอบแฝงโดยเงื่อนไขอื่นๆ แบบฟอร์มต่างๆ ที่ควรต้องเตรียมมีดังต่อไปนี้

1. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing (ROP)

บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่จะบอกว่าองค์กรหรือบริษัทจัดเก็บข้อมูลส่วนบุคคลที่ไหนอย่างไร นำไปประมวลผลอย่างไรบ้าง วัตถุประสงค์คืออะไร ใครคือผู้เกี่ยวข้องบ้าง นอกจากเป็นข้อกำหนดของ พ.ร.บ. เพื่อการตรวจสอบแล้ว การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP จะช่วยให้องค์เห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมด สามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากขึ้น

2. แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล

ตามที่ PDPA ได้กำหนดสิทธิเพื่อคุ้มครองข้อมูลส่วนบุคคลสำหรับเจ้าของข้อมูลนั้น บริษัทหรือผู้ให้บริการมีหน้าที่ในการจัดเตรียมช่องทางให้เจ้าของข้อมูลสามารถยื่นคำร้องขอใช้สิทธิดังกล่าวได้ไม่ว่าจะเป็นช่องทางใด ๆ ก็ตาม โดยองค์กรหรือผู้ให้บริการมีหน้าที่ต้องดำเนินการตามคำร้องขอภายใน 30 วันหลังจากได้รับคำขอ

สำหรับธุรกิจที่ให้บริการผ่านช่องทางเว็บไซต์ควรสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ให้ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ แบบฟอร์มควรจะมีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน ระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้ 

เมื่อได้รับคำขอใช้สิทธิ องค์กรสามารถพิจารณาว่าจะยอมรับแล้วดำเนินการตามคำร้อง หรือจะปฏิเสธคำขอโดยระบุเหตุผลที่ปฏิเสธไว้ในคำขอด้วย หากบริษัทปฏิเสธคำร้อง เจ้าของข้อมูลก็มีสิทธิยื่นเรื่องให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายพิจารณา

3. แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner

สำหรับเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งาน จำเป็นที่จะต้องมี แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน ตั้งแต่ข้อมูลพื้นฐาน เช่น ชื่อบัญชีผู้ใช้ ไปจนถึงการติดตามประวัติ หรือพฤติกรรมผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ โดยต้องแจ้งผู้ใช้งานทราบตั้งแต่เว็บไซต์มีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง

4. แบบฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล

หากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรหรือบริษัทจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูล โดยต้องแจ้งรายละเอียดสถานการณ์ที่เกิดขึ้นทั้งหมด ไม่ว่าจะเป็นจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล ประเมินผลกระทบที่อาจจะเกิดขึ้น ไปจนถึงระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy

ผู้ให้บริการต้องแจ้ง Privacy Policy หรือนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการ ระบุรายละเอียด และเงื่อนไขทั้งหมดว่าจะเก็บข้อมูลอะไรบ้าง จะนำไปประมวลผลใช้งานอย่างไรบ้าง ระยะเวลาในการจัดเก็บ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางติดต่อบริษัท ซึ่งเป็น "ผู้ควบคุมข้อมูล" (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)

บริการแพลตฟอร์มสร้าง PDPA ทางเลือกที่ง่าย และจบสำหรับทุกธุรกิจ

เมื่อจัดเตรียมเอกสารและแบบฟอร์มสำหรับการทำ PDPA สิ่งที่ต้องคำนึงถึงด้วยคือปัจจัยด้านการเปลี่ยนแปลงของข้อกำหนดทางกฏหมายที่จำเป็นต้องติดตาม และปรับตัวให้เท่าทันตลอดเวลา แต่อาจจะเป็นเรื่องลำบากสำหรับธุรกิจขนาดเล็กไปจนถึงขนาดกลางที่ไม่มีทีมดูแลด้านกฏหมายเป็นของตัวเอง

อีกปัจจัยคือเรื่องของภาษา ในกรณีที่ผู้ใช้งานที่เป็นเจ้าของข้อมูลใช้ภาษาอื่นๆ ซึ่งต้องแปลแบบฟอร์มเป็นภาษานั้น ๆ ให้ถูกต้องตามหลักภาษาทางกฏหมาย

สุดท้ายคือเรื่องของ User Experience โดยเฉพาะธุรกิจที่ให้บริการผ่านช่องทางออนไลน์ จะทำอย่างไรให้ขั้นตอนการขอ Consent ต่างๆ ซึ่งมีรายละเอียดจำนวนมาก และซับซ้อน ให้เป็นมิตรกับผู้ใช้งาน ผ่านการออกแบบให้เข้าใจง่าย ใช้งานง่าย และใช้ได้อย่างสะดวกในทุกแพลตฟอร์ม

ทางเลือกที่น่าสนใจ และตอบโจทย์ปัจจัยประเด็นที่กล่าวมาข้างต้นคือการเลือกใช้แพลตฟอร์มที่เปิดให้เข้าไปสร้างแบบฟอร์ม PDPA อย่างบริการของ PDPA Pro https://pdpa.pro ที่สามารถสร้าง Privacy Policy ให้กับเว็บไซต์ของคุณอย่างง่ายและฟรี ครอบคลุมการอัพเดทรายละเอียดกฏหมายที่อาจจะมีเพิ่มเติมในอนาคต ได้ทั้ง Privacy Policy ฉบับภาษาไทย และภาษาอังกฤษผ่านการทำเพียงครั้งเดียว ซึ่งนอกจากในส่วนของเงื่อนไข PDPA สำหรับธุรกิจที่เข้าเงื่อนไขกฏหมายคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศอย่าง CCPA ของรัฐแคลิฟอร์เนีย หรือ GDPR ของยุโรป ซึ่งจะมีทั้งเงื่อนไขที่เหมือนและแตกต่างจาก PDPA ของไทย ก็สามารถใช้บริการเสริมจาก PDPA Pro ในการสร้างแบบฟอร์มที่สอดคล้องกับกฏหมายนั้น ๆ ได้เช่นกัน ไปจนถึงบริการ สร้าง Cookie บนเว็บไซต์ที่สอดคล้องกับข้อกำหนดของ PDPA ง่ายๆ  https://cookiewow.com และ สร้างแบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูลตาม PDPA บนเว็บไซต์ https://pdpaform.com

ทั้งหมดนี้คือประเด็น PDPA ฉบับรวบรัด รวมไปถึงเรื่องของเอกสารแบบฟอร์มต่างๆ ที่ทุกธุรกิจควรต้องมี อีกปัจจัยสำคัญคือการเตรียมคนในองค์กรให้พร้อมสำหรับความเปลี่ยนแปลงที่จะมาถึง เพราะต่อให้องค์กรมีการกำหนดข้อปฏิบัติตาม PDPA ครบถ้วน แต่หากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามอย่างเคร่งครัดก็อาจจะทำให้เกิดการละเมิดข้อกฏหมายนำไปสู่บทลงโทษที่รุนแรงได้

ทั้งนี้ Mindset ที่สำคัญที่ผู้บริหารไปจนถึงพนักงานทุกระดับควรมีคือไม่มุ่งเน้นประเด็นว่า PDPA เป็นอุปสรรคต่อการดำเนินธุรกิจ แต่เป็นสิทธิในการปกป้องข้อมูลส่วนบุคคลที่เจ้าของข้อมูลทุกคนควรได้รับ และเป็นหลักปฏิบัติตามมาตรฐานระดับสากลที่จะทำให้องค์กร และภาพรวมเศรษฐกิจประเทศไทยมีมาตรฐานในการทำธุรกิจร่วมกับนานาชาติได้อย่างเท่าทันความเปลี่ยนแปลงของยุคสมัย

หากต้องการทราบข้อมูลหรือรายละเอียดบริการตัวช่วยในการทำ PDPA เพิ่มเติม ติดต่อได้ที่ https://www.facebook.com/pdpapro/

บทความนี้เป็น Advertorial