PDPA คืออะไร กระทบต่อภาคธุรกิจอย่างไร

หลังจากที่เลื่อนบังคับใช้มามากว่า 2 ปี เป็นที่แน่นอนแล้วว่าตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (The Personal Data Protection Act B.E. 2562 (2019)) หรือที่คุ้นหูกันว่า “PDPA” จะมีผลบังคับใช้ในประเทศไทยอย่างเป็นทางการ

PDPD คืออะไร?

PDPD คือกฎหมายที่ออกมาเพื่อปกป้องข้อมูลส่วนบุคคล (Personal data) หรือข้อมูลที่สามารถระบุตัวตนของบุคคลบุคคลหนึ่งได้ เช่น ชื่อ ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล เลขที่บัญชีธนาคาร ประวัติการรักษาพยาบาล เป็นต้น โดย PDPA กำนดไว้ว่าหากผู้ใดจะเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลเหล่านี้จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ซึ่งการขอความยินยอมอาจทำเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ก็ได้ โดยจะต้องแจ้งวัตถุประสงค์ในการใช้รวมถึงผลกระทบที่อาจเกิดขึ้นจากการใช้ข้อมูลดังกล่าว อย่างไรก็ตามบางกรณีผู้ใช้ข้อมูลอาจะไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากการเปิดเผยดังกล่าวเป็นไปเพื่อป้องกันอันตรายต่อชีวิตและทรัพย์สิน เพื่อดำเนินการทางกฎหมาย หรือเพื่อประโยชน์ต่อสาธารณะ เป็นต้น

PDPA กระทบต่อภาคธุรกิจอย่างไร?

ภาคธุรกิจที่มีการจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้งานในการดำเนินกิจกรรมต่างๆ หรือ “ผู้ควบคุมข้อมูลส่วนบุคคล”(Controller) ต้องจัดให้มีมาตรการต่างเหล่านี้เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคล

  • จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ อาทิ จัดให้มีนโยบายความเป็นส่วนตัว (Privacy Policy) ทั้งนี้จะต้องมีการทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
  • จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
  • จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อดูแลเกี่ยวกับการจัดการข้อมูลส่วนบุคคลโดยเฉพาะ โดยอาจแต่งตั้งพนักงานภายในของบริษัทเอง หรือจ้างบริษัทภายนอกเพื่อดูแลก็ได้ ทั้งนี้บังคับใช้กับหน่วยงานของรัฐ กิจการที่มีการใช้ข้อมูลส่วนบุลคลเป็นจำนวนมาก หรือกิจการที่กิจกรรมหลักเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล เป็นต้น
  • แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับจากทราบเหตุ
  • ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลยู่นอกราชอาณาจักร ต้องแต่งตั้งและมอบอำนาจให้ตัวแทนในราชอาณาจักรกระทำการแทนโดยไม่มีข้อจำกัดความรับผิดใดๆ

และข้อยกเว้นในการนำมาปฏิบัติ การศึกษากฎหมายฉบับนี้อย่างท่องแท้ รวมถึงขอคำปรึกษาจากผู้เชี่ยวชาญจะช่วยให้ภาคธุรกิจเตรียมตัวรับมือกับ PDPA ได้เป็นอย่างดี

Contact
สอบถามรายละเอียดเพิ่มเติม
สอบถามทางโทรศัพท์
+66 2 677 7270-5
10th Floor, Q. House Lumpini Building,
No. 1 South Sathorn Road, Tungmahamek, Sathorn, Bangkok 10120, Thailand