PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร
เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และผลกระทบต่อเว็บไซต์ของคุณมีอะไรบ้าง
กฎหมายทั้งฉบับจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 31 พ.ค. 2565เลื่อนจากเดือน พ.ค. 2563 เนื่องด้วยสถานการณ์การแพร่ระบาดของโควิด-19
PDPA คืออะไร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 (‘PDPA’) เผยแพร่เมื่อวันที่ 27 พฤษภาคม 2562 ในราชกิจจานุเบกษา กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายแรกที่เมืองไทยไม่เคยมีมาก่อน
PDPA ของประเทศไทย เพื่อไม่ให้สับสนกับ PDPC ของสิงคโปร์อ ธิบายถึงข้อกำหนดสำหรับเว็บไซต์เกี่ยวกับวิธีการรวบรวมความยินยอมก่อนการประมวลผลข้อมูลส่วนบุคคล
PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม
กฎหมายกำหนดให้เจ้าของข้อมูลที่เราเอาข้อมูลเขาไปใช้ให้ถูกต้อง ให้เขาเข้าใจว่าเขาถูกเอาข้อมูลไปทำอะไร เป็นต้น
หากคุณมีเว็บไซต์ในประเทศไทยหรือเป็น บริษัท ต่างชาติที่ทำธุรกิจในประเทศไทย PDPA ก็มีผลกับองค์กรนั้นเช่นกัน
การละเมิด PDPA อาจทำให้เสียค่าปรับสูงถึง 5.000.000 บาทหรือจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ
เราจะไฮไลต์ว่า PDPA อาจส่งผลกระทบต่อองค์กรต่างๆอย่างไรบ้าง และ Cookie Information สามารถช่วยให้คุณปฏิบัติตามกฎหมายได้โดยวิธีใด
สารบัญ
ตาม PDPA ข้อมูลส่วนบุคคล คืออะไร?
ตามมาตรา B1.5 ใน PDPA “ข้อมูลส่วนบุคคล” เป็น “ข้อมูล” ทั้งหลายที่สามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของข้อมูล” ได้
ตามมาตรา B1.6 ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล ชื่อ-นามสกุลหรือชื่อเล่น, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, ที่อยู่ อีเมลเบอร์โทรศัพท์ ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP adress, MAC adress, Cookie ID เป็นต้น
ตามมาตรา B3 ข้อมูลอ่อนไหวเป็นข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล ก็จะมีการปกป้องเพิ่มเติมในกฎ PDPA ตัวอย่างข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวคือ:
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ
- ศาสนาหรือปรัชญา
- ประวัติอาชญากรรม
- ข้อมูลสหภาพแรงงาน
- ข้อมูลชีวภาพ
- ข้อมูลพันธุกรรม
จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
มาตรา 24 หากองค์กรภาครัฐและเอกชนต่างๆเก็บข้อมูลส่วนบุคคลจึงต้องมีฐานหรือเหตุแห่งการประมวลผล ตามพื้นฐานทางกฎหมาย ซึ่งรวมถึง ปฏิบัติตามกฎหมาย, ประโยชน์โดยชอบด้วยกฎหมาย, อํานาจรัฐ, สัญญาระงับอันตรายต่อชีวิต และ ความยินยอม
การประมวลผลข้อมูลส่วนบุคคลตามกฎ PDPA คืออะไรบ้าง?
การประมวลผลข้อมูลส่วนบุคคลหมายถึงการรวบรวม, การเข้าถึง, การจัดเก็บประมวลผล และ/หรือ การโอนข้อมูลไปยังต่างประเทศ (ถ้ามี)
ตอนไหนที่ฉันประมวลผลข้อมูลส่วนบุคคล?
การประมวลผลข้อมูลส่วนบุคคลจะมีหลายวิธี ตามกฎหมาย PDPA หากคุณประมวลผลข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม จึงต้องทำตามแนวปฏิบัติ PDPA
PDPA และ คุกกี้
คุกกี้บนหน้าบราวเซอร์หรือหน้า Chrome ต่างๆ ก็คือชิ้นส่วนของข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่บุคคลใช้งานสร้างขึ้นจาก server และจะบันทึกข้อมูลผ่านคอมพิวเตอร์ของผู้ที่เยี่ยมชมเว็บไซต์
คุกกี้สามารถเข้าถึงข้อมูลนี้และสามารถสร้างโปรไฟล์ของแต่ละบุคคลเพื่อกำหนดเป้าหมายโฆษณา ข้อมูลนั้นก็อาจจะเป็นอย่างเช่น IP address, ข้อมูลตำแหน่งที่อยู่, เครื่องมือ ID, Cookie ID เป็นต้น
ถึงแม้ว่าคุกกี้อาจจะไม่ได้เป็นของคุณ คุกกี้ต่างๆสามารถตั้งค่าโดยบริการที่คุณใช้บนเว็บไซต์ของคุณ อย่างเช่น Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag เป็นต้น
ตัวโน้ต:ในฐานะผู้ควบคุมข้อมูล (data controller) คุณต้องรับผิดชอบในการรวบรวมความยินยอมต่อคุกกี้ที่กำหนดโดยบุคคลที่สาม
คุณจะปฏิบัติตาม PDPA ได้อย่างไร?
วิธีปฏิบัติตาม PDPA:
- มาตรา C2. “ความยินยอมเป็นฐานในการประมวลผล” จึงต้องตั้งค่าคุกกี้แบนเนอร์ที่แจ้งให้ผู้เยี่ยมชมเว็บไซต์ของคุณทราบเกี่ยวกับคุกกี้ต่างๆ: ข้อมูลใดที่พวกเขารวบรวม, ผู้รวบรวมข้อมูลคือใคร, และเก็บระยะเวลาเท่าไหร่
- มาตรา C2.4 “ความยินยอมต้องขอก่อนจะมีการประมวลผลเกิดขึ้น” จึงต้องบล็อกคุกกี้ต่างๆจนกว่าผู้เยี่ยมชมของคุณจะยินยอมให้คุณใช้คุกกี้
- มาตรา C2.9 “ความยินยอมต้องชัดเจนไม่คลุมเครือ”
จึงต้อง เสนอวิธีง่ายๆให้ผู้ใช้ของคุณในการเปลี่ยนแปลงหรือถอนความยินยอมในการใช้คุกกี้ - จัดเก็บความยินยอมเป็นเวลา 5 ปี
สรุปเมื่อใดก็ตามที่ผู้เยี่ยมชมเข้าสู่เว็บไซต์คุณต้องขอความยินยอมจากเจ้าของข้อมูลในการใช้คุกกี้ (ผ่านคุกกี้ pop-up) และหากผู้เยี่ยมชมปฏิเสธคุณควรจะนับถือทางเลือกของเจ้าของข้อมูลโดยไม่ใช้คุกกี้
เราต้องได้รับความยินยอมก่อนตั้งค่าคุกกี้หรือไม่?
ใช่แล้ว ผู้ควบคุมข้อมูล (คุณ) จะต้องได้รับความยินยอมจากเจ้าของข้อมูล (ผู้เยี่ยมชมเว็บไซต์) ก่อนจึงจะเก็บรวบรวม ใช้ เปิดเผยข้อมูลนั้นๆ ได้
มาตรา C2.9 เมื่อคุณขอคำยินยอม คำขอจะต้องชัดเจนและเป็นการเลือกของเจ้าของข้อมูลเสมอ ดังนั้นเพื่อให้เจ้าของข้อมูลสามารถ “เลือก” ได้อย่างแท้จริงจึงต้องออกแบบให้เจ้าของข้อมูลต้องมีการกระทำที่ให้ความยินยอมอย่างชัดเจน (clear affirmative action)
สิ่งนี้สามารถทำได้ในแบนเนอร์คุกกี้ระดับมืออาชีพ
ความยินยอมตาม PDPA คืออะไร?
มาตรา 26(5) ระบุไว้ว่า ความยินยอมต้องกระทำโดยอิสระ (freely given) เฉพาะเจาะจง (specific) โปร่งใส ชัดเจน แจ้งเจ้าของข้อมูลครบถ้วน (informed) และไม่คลุมเครือ (unambiguous)
ความยินยอมตามปกติไม่ถูกต้องใน PDPA
คุณต้องตรวจสอบให้มั่นใจว่า คุกกี้แบนเนอร์ของคุณขอคำยินยอมด้วยการยืนยัน ว่า “ยอมรับ” หรือ “ไม่ยอมรับ” แบนเนอร์ต้องมีปุ่มให้ผู้เยี่ยมชมเว็บไซต์เลือกได้ ระหว่างยอมรับกับปฏิเสธคุกกี้
องค์กรใดต้องปฏิบัติตามกฎหมาย PDPA?
- หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้า หรือ ธุรกิจที่ส่งของ (e-Commerce)
- หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคค
- หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์
บทลงโทษ
หากผู้เก็บข้อมูลไม่ทำตามกฎข้อบังคับดังกล่าว หรือมีการละเมิด มีการเปิดเผยข้อมูลโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล ก็มีสิทธิ์ที่จะต้องโทษทางอาญาได้ โดยบทลงโทษคือการจำคุก 6 เดือน ถึง 1 ปี หรือปรับไม่เกิน 5 ล้านบาท บาท หรือทั้งจำทั้งปรับ (มาตรา 26, มาตรา 27, มาตรา 28, มาตรา 29)
Cookie Information สามารถช่วยให้คุณปฏิบัติตาม PDPA ได้
เรานำเสนอระบบจัดเก็บการยินยอม (Consent Management Platform) แบบมืออาชีพ แพลตฟอร์มของเราสามารถเชื่อมต่อแอปพลิเคชันหรือ ระบบที่คุณมีอยู่, จัดเก็บการยินยอมของลูกค้าไว้ที่แพลตฟอร์มเดียว, สร้าง pop-up/คุ๊กกี้แบนเนอร์ สำหรับการขอการใช้งานที่เหมาะกับเว็บไซต์ของคุณ และ แก้ไขเนื้อหาการใช้งานคุ๊กกี้ได้ตอลดเวลา
ระบบจัดเก็บการยินยอมให้ใช้คุกกี้ของเรามีทุกสิ่งที่คุณต้องการเพื่อให้เว็บไซต์ของคุณสอดคล้องกับ กฎหมาย PDPA
บริษัท คุ๊กกี้ อินฟอร์เมชั่น ช่วยบริษัทปฏิบัติตามกับกฎหมาย เช่น GDPR, CCPA, LGPD และ PDPA โซลูชันของเราถูกใช้กับลูกค้ามากกว่า 1,500 รายและเรารวบรวม 15 พันล้านกับการขอคำยินยอมทุกปี
หากคุณมีข้อคำถาม สามารถนัดประชุมกับผู้จัดการของเรา; Salee Yemram – ใช่แล้ว สาลี่พูดภาษาไทยได้ด้วย 🙂
ระบบจัดเก็บการยินยอมของ Cookie Information รวมทุกอย่าง เช่น:
- คุ๊กกี้ Pop Up สำหรับเว็บไซต์แบบมืออาชีพ
- นโยบายคุกกี้เฉพาะสำหรับเว็บไซต์
- คุกกี้ Control บล็อกคุกกี้ต่างๆจนกว่าผู้เยี่ยมชมยืนยัน
- การสแกนไซต์ของคุณบ่อยๆเพื่อหาคุกกี้ต่างๆและการละเมิดในกฎหมาย PDPA
- ฐานความรู้ (ข้อมูลเกี่ยวกับคุกกี้ทั้งหมด)
- บันทึกการยินยอมและการจัดเก็บคุกกี้เป็นเวลา 5 ปี (ในกรณีที่ พรบขอตรวจสอบ)
