เราใช้คุกกี้เพื่อปรับปรุงประสบการณ์การใช้งานของคุณบนเว็บไซต์นี้

Sissada (Golf) Siripongsaroj

Sissada is the Digital Marketing Manager at Morphosis. He ensures that all SEO, PPC, and Content Marketing projects are delivered in a timely manner and of high standards.

องค์กรของคุณพร้อมรับมือกับกฎหมาย PDPA แล้วหรือยัง

เผยแพร่เมื่อ 28 Nov 2022 โพสไปที่

Product Development

หลังจากที่มีการเตรียมความพร้อมและถกเถียงอย่างยาวนาน ในที่สุดกฎหมาย GDPR ที่เกี่ยวกับการปกป้องข้อมูลส่วนตัวก็เริ่มบังคับใช้อย่างเต็มรูปแบบในสหภาพยุโรปเมื่อเดือนเมษายน ปี พ.ศ. 2559 ซึ่งส่งผลกระทบอย่างรุนแรงต่อวงการเทคโนโลยี โฆษณา และองค์กรธุรกิจขนาดใหญ่ กฎหมายดังกล่าวของสหภาพยุโรปจึงกลายเป็นประเด็นสำคัญในระดับโลกตั้งแต่นั้นเป็นต้นมา

สำหรับประเทศไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั้นเริ่มประกาศใช้ในราชกิจจานุเบกษาตั้งแต่วันที่ 27 พ.ค. 2562 โดย พรบ. นี้นับว่าเป็นชุดกฎหมายแรกของไทยเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พ.ค. 2564

พรบ. นี้มีเงื่อนไขและข้อบังคับที่ซับซ้อน ซึ่งเป็นสิ่งที่ท้าทายอย่างยิ่งสำหรับองค์กรต่างๆ ในไทยที่จะต้องปฏิบัติตาม โดยในปีสุดท้ายก่อนบังคับใช้เต็มรูปแบบนั้นผู้ควบคุมข้อมูลส่วนบุคคลของผู้ใช้จะต้องมีมาตรการความปลอดภัยตามที่ระบุไว้ใน พรบ. ดังกล่าว

PDPA บังคับใช้กับธุรกิจทุกขนาดไม่ว่าจะเป็นสตาร์ตอัป องค์กรขนาดกลาง หรือองค์กรขนาดใหญ่ที่มีการลงทุนข้ามชาติ โดยหลักเกณฑ์ของ PDPA นั้นบังคับให้ธุรกิจทั้งหลายปฏิบัติตามทั้งในเรื่องของการใช้ข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลในการทำสิ่งต่างๆ ต่อไปนี้

สิทธิได้รับการแจ้งให้ทราบ
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล และ สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
สิทธิขอให้ระงับการใช้ข้อมูล
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

สำหรับองค์กรแล้ว สิ่งเหล่านี้มีความท้าทายหลายอย่าง ซึ่งมักเกี่ยวข้องกับการใช้งานภายในองค์กร เช่น ข้อมูลส่วนตัวที่มีความอ่อนไหวของพนักงาน โดยครอบคลุมทั้งเพศ รสนิยมทางเพศ ศาสนา และอื่นๆ รวมถึงการนำข้อมูลไปใช้ทางการค้า เช่น รายได้ ตำแหน่ง หน่วยงานที่สังกัด และอื่นๆ

ไม่ว่าคนไทยหรือชาวต่างชาติที่อยู่ในไทยก็ต้องทำตาม พรบ. นี้ แต่ว่า PDPA แตกต่างจาก GDPR ของสหภาพยุโรปตรงที่ไม่มีข้อกำหนดเกี่ยวกับการห้ามธุรกิจหรือแพลตฟอร์มออนไลน์ในการตัดสินใจเกี่ยวกับข้อมูลของผู้ใช้ที่มาจากกระบวนการอัตโนมัติ

แนวทางแรกที่จะปกป้ององค์กรของคุณและปฏิบัติตาม พรบ. ดังกล่าวได้คือการกำหนดผู้รับผิดชอบ ซึ่งตามหลักของการปกป้องข้อมูลนั้น องค์กรจะต้องแต่งตั้งผู้เชี่ยวชาญภายในที่เรียกว่า Data Protection Officer (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) หรือ ‘DPO’

การปรับองค์กรให้สอดคล้องกับ PDPA นั้นต้องใช้ต้นทุนสูง ต้องใช้ผู้เชี่ยวชาญและพาร์ตเนอร์ทางเทคโนโลยีที่เหมาะสมเพื่อมาดูแลข้อมูลออนไลน์ของคุณ ขั้นตอนต่อไปก็คือการวางแนวทางเก็บข้อมูลส่วนบุคคลทั้งแบบออนไลน์และออฟไลน์ รวมถึงการติดตั้งระบบสำหรับขอความยินยอมจากผู้ใช้ในการเก็บข้อมูลส่วนบุคคล

การใช้และรับส่งข้อมูลส่วนบุคคลอาจดูเหมือนเป็นงานที่ใช้เวลาไม่นาน แต่ขั้นตอนดังกล่าวต้องเป็นไปตามหลักเกณฑ์ของ PDPA ที่บริษัทจะต้องมีผู้ควบคุมข้อมูลส่วนบุคคลเพื่อติดตามสถานะการเก็บข้อมูลส่วนบุคคลของบริษัท และเปิดเผยว่าบริษัทมีมาตรการในการเก็บรักษาความลับของข้อมูลอย่างไรบ้าง

ผู้ควบคุมข้อมูลส่วนบุคคลนี้มีหน้าที่รายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังจากที่พบว่ามีการละเมิดการใช้ข้อมูลส่วนบุคคลและอาจต้องเป็นผู้รับผิดชอบหากการเก็บข้อมูลของบริษัทนั้นไม่เป็นไปตามข้อกำหนดของ PDPA

เพื่อลดความเสี่ยงที่อาจเกิดขึ้น บริษัทต่างๆ จึงต้องทบทวนระบบการทำงานภายในองค์กร กฎระเบียบ มาตรการป้องกันข้อมูล ขั้นตอนการดำเนินงาน เทคโนโลยีและสถาปัตยกรรมที่เกี่ยวข้อง แต่สิ่งที่สำคัญที่สุดคือ ส่วนที่ให้บริการผู้บริโภคทางออนไลน์

มอร์โฟซิสได้ประกาศไปเมื่อวันที่ 1 ก.พ. 2564 แล้วว่าเราได้รับการแต่งตั้งให้เป็นตัวแทนจำหน่ายอย่างเป็นทางการของ Cookie Information ซึ่งเป็นแพลตฟอร์มการบริหารจัดการข้อมูลส่วนบุคคลระดับโลก เพื่อออกแบบและวางแผนการทำ digital transformation ให้กับองค์กรทั่วทั้งเอเชียตะวันออกเฉียงใต้และยุโรป

การร่วมมือทางธุรกิจครั้งนี้ทำให้เรามีโซลูชันให้คำปรึกษาด้านการขอความยินยอมและรักษาข้อมูลส่วนบุคคลที่ราคาย่อมเยา ทั้งยังสอดคล้องกับกฎหมายระดับสากลที่ครอบคลุมทั้ง ePrivacy, GDPR, LGPD, CCPA, และ PDPA

โซลูชันการขอความยินยอมของ Cookies Information นั้นรองรับกว่า 40 ภาษา รวมถึงภาษาไทยสำหรับ PDPA ซึ่งแพลตฟอร์มดังกล่าวมีลูกค้าที่ใช้บริการแล้วว่า 2,000 รายทั่วโลก โดยเก็บรวบรวมความยินยอมไปแล้วกว่า 15,000 ล้านรายการในปัจจุบัน ภารกิจของ Cookies Information คือการช่วยให้องค์กรและบริษัทต่างๆ ปฏิบัติตามกฎหมายเกี่ยวกับความเป็นส่วนตัวในหลายๆ ประเทศทั่วโลกที่พวกเขาให้บริการอยู่ ในขณะเดียวกันยังช่วยให้องค์กรเหล่านี้ได้ดำเนินตามกลยุทธ์ด้านการใช้ข้อมูลในเชิงพาณิชย์และบรรลุเป้าหมายด้านจรรยาบรรณในการใช้ข้อมูลอีกด้วย

โซลูชันดังกล่าวพร้อมให้บริการตั้งแต่วันที่ 1 ก.พ. 2564 ในเอเชียตะวันออกเฉียงใต้และยุโรป ซึ่งมอร์โฟซิสจะเป็นผู้บริหารจัดการในพื้นที่เอเชียตะวันออกเฉียงใต้โดยเฉพาะ สำหรับ PDPA นั้นรัฐบาลเน้นย้ำว่าจะมีผลบังคับใช้จริงตั้งแต่ 31 พ.ค. 2564 เป็นต้นไป