มัดรวมทุกเรื่อง PDPA ที่คนทำธุรกิจสตาร์ทอัพต้องรู้ !
- StartUp Thailand Focus
#ทำความเข้าใจอีกที “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Personal Data Protection Act” เกี่ยวข้องกับ Startup Thailand อย่างไรบ้าง?
ในยุคของ Digital Business มีหลากหลายธุรกิจประสบความสำเร็จจากการขับเคลื่อนองค์กรด้วยการใช้ข้อมูล (Data) นำมาต่อยอดเป็นสินค้าและบริการที่ตอบโจทย์ผู้บริโภค
และแน่นอนว่าเมื่อข้อมูลได้รับความสนใจและถูกนำมาเป็นหนึ่งในเครื่องมือทางธุรกิจ ทำให้มีบางข้อมูลถูกนำไปใช้ในทางที่ผิด อย่างเช่น ข้อมูลส่วนบุคคล โดยในเดือนพฤศจิกายนปี 2020 ทั่วโลกมีการละเมิดข้อมูลถึง 8.8 พันล้านครั้ง ส่งผลให้การคุ้มครองข้อมูลกลายเป็นเรื่องที่หลายประเทศให้ความตระหนัก รวมถึงประเทศไทยของเราที่ได้มีการบังคับใช้กฎหมาย PDPA
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) เป็นกฎหมายที่กำหนดขึ้นมาเพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยไม่อนุญาตให้มีการเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคล หากที่ยังไม่ได้รับความยินยอมจากเจ้าของข้อมูล
อีกทั้งผู้ที่ได้รับอนุญาตให้เก็บข้อมูลส่วนบุคคลนั้น ยังมีหน้าที่รักษาความปลอดภัยของข้อมูล โดยเจ้าของข้อมูลยังสามารถถอนความยิมยอมได้ทุกเมื่อ
สำหรับข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่มีความเฉพาะเจาะจงขนาดที่ว่าสามารถระบุตัวตนของผู้เป็นเจ้าของข้อมูลเหล่านั้นได้ ไม่ว่าจะอยู่ในรูปแบบของเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ ยกตัวอย่างเช่น ชื่อ - นามสกุล, เลขประจำตัวบัตรประชาชน,ที่อยู่, เบอร์โทรศัพท์, อีเมล, ไอดีไลน์ ฯลฯ นอกจากนี้ยังรวมไปถึง ข้อส่วนบุคคลที่ละเอียดอ่อน (Personal Sensitive Data) ข้อมูลที่เกี่ยวข้องกับประเด็นที่ละเอียดอ่อน เช่น ข้อมูลด้านเชื้อชาติ, ความคิดเห็นทางการเมือง, ข้อมูลสุขภาพจิต, ประวัติอาชญากรรม เป็นต้น
ถ้าหากมีการละเมิด PDPA อาจมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษทางปกครอง ปรับไม่เกิน 1/3/5 ล้านบาท
PDPA ตัวแปรสำคัญที่บริษัท Startup ในไทยต้องปรับตัว
เมื่อเทคโนโลยีดิจิทัลและข้อมูล (Data) ถูกนำมาใช้เป็นเครื่องมือในการแข่งขันทางธุรกิจ ดังนั้นข้อมูลส่วนบุคคลของเจ้าของข้อมูลจึงกลายเป็นสิ่งสำคัญที่มีมูลค่าและต้องการความคุ้มครอง ซึ่งทำให้เกิดเป็นผลกระทบทั้งคนทำธุรกิจและ Startup ในไทยต้องมีการปรับตัว “PDPA Thailand” จึงเข้ามาเป็นมาตรฐานใหม่ของการทำธุรกิจ มาดูกันว่าหลัก ๆ แล้วจะมีจุดไหนบ้างที่เราต้อง ให้ความใส่ใจและปรับตัว
- ได้ข้อมูลมาอย่างถูกต้อง
ในฐานะของผู้เก็บข้อมูล เราจะสามารถเก็บข้อมูลส่วนบุคคลได้จากเจ้าของข้อมูลเท่านั้น ห้ามเก็บหรือรับมาจากแหล่งอื่น โดยเจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมนั้นเมื่อไหร่ก็ได้ ซึ่งผู้เก็บข้อมูลต้องแจ้งผลกระทบของการถอนความยินยอมด้วย
- ขอความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลทุกครั้ง
- แจ้งสิทธิของเจ้าของข้อมูล และแจ้งวัตถุประสงค์ในการเก็บข้อมูล
- ถอนความยินยอมง่ายเหมือนกับขอความยินยอม
- ใครเป็นใครในการใช้ข้อมูลส่วนบุคคล
ธุรกิจไหนที่มีการเก็บข้อมูลภายในและภายนอกองค์กรล้วนเกี่ยวข้องกับ PDPA โดยจะมีบุคคลที่เกี่ยวข้องทั้งหมด 3 บทบาทด้วยกัน สามารถแบ่งได้ ดังนี้
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) - ผู้ที่ข้อมูลสามารถระบุไปถึงตัวตนได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) - ผู้ที่มีอำนาจในการตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ รวมไปถึงเปิดเผยข้อมูลส่วนบุคคลได้
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) - ผู้ที่รับช่วงต่อจากคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” นำข้อมูลไปใช้หรือประมวลผล ยกตัวอย่างเช่น ธุรกิจบริษัทวิจัยทางการตลาด หรือบริษัทผู้ให้บริการ Cloud ต่างๆ
สิ่งที่เปลี่ยนแปลงไปหลังจากเราใช้ PDPA
- ด้านกฏหมาย การละเมิด PDPA Thailand ไม่ได้มีแค่โทษปรับสุดโหด แต่เจ้าของข้อมูลสามารถฟ้องร้องผู้เก็บข้อมูลได้ด้วย ถ้าหากการเก็บข้อมูลนั้นไม่เป็นไปตามข้อตกลงหรือมาตรฐานในการรักษาความปลอดภัยของข้อมูล
- ด้านพันธมิตรทางธุรกิจ หลังจากนี้การไปร่วมมือทำธุรกิจกับพาร์ทเนอร์อื่น ๆ ก็ต้องมีการปฏิบัติตามมาตรฐานในการรักษาความปลอดภัยของข้อมูลระดับเดียวกันทั้งสองฝ่าย ไม่ว่าจะเป็นระดับภายในประเทศหรือระดับสากล
- ด้านกลุ่มลูกค้า เหล่าผู้บริโภคหันมาตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลมากขึ้น ดังนั้นการที่ธุรกิจสตาร์ทอัพของเราใส่ใจ PDPA จึงเป็นสิ่งที่ช่วยสร้างความมั่นใจ พร้อมแสดงให้เห็นถึงความปลอดภัย เกิดเป็นความไว้ใจในการใช้บริการได้
เช็กลิสต์ความพร้อมเรื่อง PDPA Thailand สำหรับธุรกิจ Startup ในประเทศ
- รวบรวมรายการข้อมูลส่วนตัวที่ธุรกิจต้องใช้ทั้งของลูกค้าและพนักงาน ซึ่งมีเหตุในการใช้และวิธีการที่สามารถใช้ได้
- รู้จักว่าธุรกิจของตัวเองรับบทบาทเป็นใคร Data Controller - ผู้ควบคุมข้อมูล หรือ Data Processor - ผู้ประมวลผลข้อมูล
- ศึกษาผลกระทบทางธุรกิจถ้าหากเราละเมิด PDPA เช่น ความเสี่ยงทางกฎหมาย หรือความเสียโอกาสทางธุรกิจ
- จัดเตรียมวิธีการที่เหมาะสมสำหรับการแจ้งเตือนและการขอความยินยอมในการเก็บข้อมูลลูกค้าผู้ใช้บริการ
- ประชาสัมพันธ์และสร้างความตระหนักถึง PDPA ในองค์กรของเรา
ขั้นตอนต่อไปหลังจากที่เราเตรียมทุกอย่างพร้อมแล้ว AIS The StartUp จะพาไปดูกันว่าภายในองค์กรต้องมีการปรับหรือเพิ่มวิธีการดำเนินงานในด้านไหนบ้าง?
ผู้คน (People)
- จัดตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
- จัดอบรม เพื่อสร้างความตระหนักและความเข้าใจเรื่องความปลอดภัยของข้อมูลให้กับบุคลากรภายในองค์กร
กระบวนการ (Process)
- จัดทำแผนที่ข้อมูลต่าง ๆ (Data Mapping) โดยครอบคลุมทั้งแหล่งจัดเก็บไปถึงขอบเขตของการใช้งาน
- กำหนดโยบายความเป็นส่วนตัวและข้อมูลส่วนบุคคล (Privacy Policy)
- เตรียมเอกสารทางกฎหมาย เช่น เอกสารขอคำยินยอม เอกสารสำหรับสิทธิของเจ้าของข้อมูล
- จัดทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) เพื่อค้นหา และลดความเสี่ยงในดูแลความปลอดภัยของข้อมูล
เทคโนโลยี (Tech)
- ติดตั้งระบบแจ้งเตือนข้อมูลรั่วไหล (Breach Notification)
- นำเทคโนโลยีมาเสริมการคุ้มครองข้อมูลได้ตามขนาดและความจำเป็นของธุรกิจ
เราหลังว่าจะสามารถช่วยให้ทุกคนเตรียมพร้อมและดำเนินธุรกิจได้อย่างราบรื่น ผ่านการทำความเข้าใจและนำ PDPA ไปใช้ได้อย่างมีประสิทธิภาพ สำหรับใครที่สนใจอยากเข้าร่วมเป็นพาร์ทเนอร์กับ AIS The StartUp เพื่อรับสิทธิประโยชน์ดี ๆ พร้อมรับคำแนะนำเรื่องธุรกิจ Startup คลิก www.ais.co.th/thestartup
