พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 (‘PDPA’) เผยแพร่เมื่อวันที่ 27 พฤษภาคม 2562 ในราชกิจจานุเบกษา กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายแรกที่เมืองไทยไม่เคยมีมาก่อน
PDPA ของประเทศไทย เพื่อไม่ให้สับสนกับ PDPC ของสิงคโปร์อ ธิบายถึงข้อกำหนดสำหรับเว็บไซต์เกี่ยวกับวิธีการรวบรวมความยินยอมก่อนการประมวลผลข้อมูลส่วนบุคคล
PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม
กฎหมายกำหนดให้เจ้าของข้อมูลที่เราเอาข้อมูลเขาไปใช้ให้ถูกต้อง ให้เขาเข้าใจว่าเขาถูกเอาข้อมูลไปทำอะไร เป็นต้น
หากคุณมีเว็บไซต์ในประเทศไทยหรือเป็น บริษัท ต่างชาติที่ทำธุรกิจในประเทศไทย PDPA ก็มีผลกับองค์กรนั้นเช่นกัน
การละเมิด PDPA อาจทำให้เสียค่าปรับสูงถึง 5.000.000 บาทหรือจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ
เราจะไฮไลต์ว่า PDPA อาจส่งผลกระทบต่อองค์กรต่างๆอย่างไรบ้าง และ Cookie Information สามารถช่วยให้คุณปฏิบัติตามกฎหมายได้โดยวิธีใด
ตามมาตรา B1.5 ใน PDPA “ข้อมูลส่วนบุคคล” เป็น “ข้อมูล” ทั้งหลายที่สามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของข้อมูล” ได้
ตามมาตรา B1.6 ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล ชื่อ-นามสกุลหรือชื่อเล่น, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, ที่อยู่ อีเมลเบอร์โทรศัพท์ ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP adress, MAC adress, Cookie ID เป็นต้น
ตามมาตรา B3 ข้อมูลอ่อนไหวเป็นข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล ก็จะมีการปกป้องเพิ่มเติมในกฎ PDPA ตัวอย่างข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวคือ:
จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
มาตรา 24 หากองค์กรภาครัฐและเอกชนต่างๆเก็บข้อมูลส่วนบุคคลจึงต้องมีฐานหรือเหตุแห่งการประมวลผล ตามพื้นฐานทางกฎหมาย ซึ่งรวมถึง ปฏิบัติตามกฎหมาย, ประโยชน์โดยชอบด้วยกฎหมาย, อํานาจรัฐ, สัญญาระงับอันตรายต่อชีวิต และ ความยินยอม
การประมวลผลข้อมูลส่วนบุคคลหมายถึงการรวบรวม, การเข้าถึง, การจัดเก็บประมวลผล และ/หรือ การโอนข้อมูลไปยังต่างประเทศ (ถ้ามี)
การประมวลผลข้อมูลส่วนบุคคลจะมีหลายวิธี ตามกฎหมาย PDPA หากคุณประมวลผลข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม จึงต้องทำตามแนวปฏิบัติ PDPA
คุกกี้บนหน้าบราวเซอร์หรือหน้า Chrome ต่างๆ ก็คือชิ้นส่วนของข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่บุคคลใช้งานสร้างขึ้นจาก server และจะบันทึกข้อมูลผ่านคอมพิวเตอร์ของผู้ที่เยี่ยมชมเว็บไซต์
คุกกี้สามารถเข้าถึงข้อมูลนี้และสามารถสร้างโปรไฟล์ของแต่ละบุคคลเพื่อกำหนดเป้าหมายโฆษณา ข้อมูลนั้นก็อาจจะเป็นอย่างเช่น IP address, ข้อมูลตำแหน่งที่อยู่, เครื่องมือ ID, Cookie ID เป็นต้น
ถึงแม้ว่าคุกกี้อาจจะไม่ได้เป็นของคุณ คุกกี้ต่างๆสามารถตั้งค่าโดยบริการที่คุณใช้บนเว็บไซต์ของคุณ อย่างเช่น Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag เป็นต้น
ตัวโน้ต:ในฐานะผู้ควบคุมข้อมูล (data controller) คุณต้องรับผิดชอบในการรวบรวมความยินยอมต่อคุกกี้ที่กำหนดโดยบุคคลที่สาม
วิธีปฏิบัติตาม PDPA:
สรุปเมื่อใดก็ตามที่ผู้เยี่ยมชมเข้าสู่เว็บไซต์คุณต้องขอความยินยอมจากเจ้าของข้อมูลในการใช้คุกกี้ (ผ่านคุกกี้ pop-up) และหากผู้เยี่ยมชมปฏิเสธคุณควรจะนับถือทางเลือกของเจ้าของข้อมูลโดยไม่ใช้คุกกี้
ใช่แล้ว ผู้ควบคุมข้อมูล (คุณ) จะต้องได้รับความยินยอมจากเจ้าของข้อมูล (ผู้เยี่ยมชมเว็บไซต์) ก่อนจึงจะเก็บรวบรวม ใช้ เปิดเผยข้อมูลนั้นๆ ได้
มาตรา C2.9 เมื่อคุณขอคำยินยอม คำขอจะต้องชัดเจนและเป็นการเลือกของเจ้าของข้อมูลเสมอ ดังนั้นเพื่อให้เจ้าของข้อมูลสามารถ “เลือก” ได้อย่างแท้จริงจึงต้องออกแบบให้เจ้าของข้อมูลต้องมีการกระทำที่ให้ความยินยอมอย่างชัดเจน (clear affirmative action)
สิ่งนี้สามารถทำได้ในแบนเนอร์คุกกี้ระดับมืออาชีพ
มาตรา 26(5) ระบุไว้ว่า ความยินยอมต้องกระทำโดยอิสระ (freely given) เฉพาะเจาะจง (specific) โปร่งใส ชัดเจน แจ้งเจ้าของข้อมูลครบถ้วน (informed) และไม่คลุมเครือ (unambiguous)
ความยินยอมตามปกติไม่ถูกต้องใน PDPA
คุณต้องตรวจสอบให้มั่นใจว่า คุกกี้แบนเนอร์ของคุณขอคำยินยอมด้วยการยืนยัน ว่า “ยอมรับ” หรือ “ไม่ยอมรับ” แบนเนอร์ต้องมีปุ่มให้ผู้เยี่ยมชมเว็บไซต์เลือกได้ ระหว่างยอมรับกับปฏิเสธคุกกี้
หากผู้เก็บข้อมูลไม่ทำตามกฎข้อบังคับดังกล่าว หรือมีการละเมิด มีการเปิดเผยข้อมูลโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล ก็มีสิทธิ์ที่จะต้องโทษทางอาญาได้ โดยบทลงโทษคือการจำคุก 6 เดือน ถึง 1 ปี หรือปรับไม่เกิน 5 ล้านบาท บาท หรือทั้งจำทั้งปรับ (มาตรา 26, มาตรา 27, มาตรา 28, มาตรา 29)
เรานำเสนอระบบจัดเก็บการยินยอม (Consent Management Platform) แบบมืออาชีพ แพลตฟอร์มของเราสามารถเชื่อมต่อแอปพลิเคชันหรือ ระบบที่คุณมีอยู่, จัดเก็บการยินยอมของลูกค้าไว้ที่แพลตฟอร์มเดียว, สร้าง pop-up/คุ๊กกี้แบนเนอร์ สำหรับการขอการใช้งานที่เหมาะกับเว็บไซต์ของคุณ และ แก้ไขเนื้อหาการใช้งานคุ๊กกี้ได้ตอลดเวลา
ระบบจัดเก็บการยินยอมให้ใช้คุกกี้ของเรามีทุกสิ่งที่คุณต้องการเพื่อให้เว็บไซต์ของคุณสอดคล้องกับ กฎหมาย PDPA
บริษัท คุ๊กกี้ อินฟอร์เมชั่น ช่วยบริษัทปฏิบัติตามกับกฎหมาย เช่น GDPR, CCPA, LGPD และ PDPA โซลูชันของเราถูกใช้กับลูกค้ามากกว่า 1,500 รายและเรารวบรวม 15 พันล้านกับการขอคำยินยอมทุกปี
หากคุณมีข้อคำถาม สามารถนัดประชุมกับผู้จัดการของเรา; Salee Yemram – ใช่แล้ว สาลี่พูดภาษาไทยได้ด้วย 🙂
* Log into Consent Management to access your Website Consent Banner and Mobile App account. Log into Privacy & Compliance to access Data Discovery and Data Subject Request.