Categories
Uncategorized

cookies privacy คือ อะไร? ทำไมเจ้าของเว็บไซต์จึงไม่ควรมองข้าม!

ในยุคนี้ บริษัทส่วนใหญ่ล้วนมีเว็บไซต์ เพื่อให้บริการและให้ข้อมูลที่ถูกต้องเกี่ยวกับสินค้าและบริการของบริษัทด้วย โดยนักการตลาดส่วนใหญ่มักจะใช้ Cookies เป็นเครื่องมือในการเก็บข้อมูลของผู้ใช้งาน เพื่อมาวิเคราะห์และวางแผนทางการตลาดเพิ่มเติม แต่น้อยคนนักที่จะรู้ว่า cookies privacy คืออะไร? ทำไมทุกเว็บไซต์ถึงจำเป็นต้องมี? วันนี้ เราจะมีแนะนำความรู้ดี ๆ เกี่ยวกับ  Cookies Privacy Policy ที่จะช่วยให้บริษัทสามารถเก็บข้อมูลได้อย่างถูกต้องและถูกหลักกฎหมาย PDPA กันค่ะ 

cookies privacy คือ

ทำไมเว็บไซต์ถึงมี Cookies

Cookies คืออะไร? Cookies คือไฟล์ข้อความขนาดเล็ก (Text File) ถูกสร้างขึ้นเพื่อใช้เก็บข้อมูลของผู้ใข้งานบนเว็บไซต์ หลักการทำงานของ Cookies จะเกิดขึ้นเมื่อผู้ใช้งานมีการเข้าขมเว็บไซต์ของเรา โดยไฟล์ Cookies นี้จะจดจำข้อมูลการใช้งานเว็บบราวเซอร์ เช่น ถ้าหากผู้ใช้งาน Log in ด้วย Facebook แล้วปิดหน้าต่างนั้นไป หลังจากกลับมาใช้งานใหม่ ผู้ใช้งานก็จะไม่ต้อง Log in ใหม่ เนื่องจากเว็บได้อ่าน Cookies ที่ถูกบันทึกไว้แล้วนั่นเอง เราจึงจะเห็นได้ว่าไฟล์ Cookies มีการเก็บข้อมูลใช้งานและข้อมูลของผู้ใข้าเยี่ยมชมเว็บไซต์ด้วย บริษัทจึงจะต้องมีการแจ้งและขอความยินยอมผ่าน  Cookies Privacy Policy เพื่อเก็บข้อมูลบนเว็บไซต์​

รู้จักกับ Cookies Privacy คืออะไร?

Cookies Privacy คืออะไร? Cookies Privacy Policy คือเอกสารที่ใช้สำหรับการแจ้งรายละเอียดการเก็บ ใช้ และจัดการข้อมูลส่วนบุคคล โดยเราสามารถแนบ  Cookies Privacy Policy นี้ไว้กับ Cookies Popup ได้เลย ซึ่งถ้าหากบริษัทของเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่าง ๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) บริษัทจำเป็นที่จะต้องแจ้งให้ผู้ใช้รับทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว ก่อนที่จะมีการเก็บข้อมูลของผู้ใช้งาน

เก็บข้อมูลผู้ใช้งานบนเว็บไซต์อย่างถูกต้อง ด้วยเอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บนเว็บไซต์ทั้งภาษาไทย และภาษาอังกฤษ พร้อมคำแนะนำเกี่ยวกับการแจ้งสิทธิการตั้งค่า Cookies Cookies Privacy Package ราคาเพียง 599 บาท

Cookie Consent Banner สำหรับเว็บไซต์ 

Cookies Popup หรือ Cookie Consent Banner คือการขอความยินยอมจากผู้ใช้งานว่าเว็บไซต์ของเรา จะมีการเก็บ Cookies เพื่อนำไปใช้งานในจุดประสงค์ต่าง ๆ โดยลักษณะของ Cookies Popup จะมีรูปแบบเป็นแถบ Popup เด้งขึ้นมาหลังจากที่เราเข้าสู่เว็บไซต์ ซึ่งการใช้ Cookie Consent Banner มีวัตถุประสงค์เพื่อแจ้งการเข้าถึงข้อมูล และขอความยินยอมจากผู้ใช้งานในการเก็บ Cookies รูปแบบต่าง ๆ นั่นเอง โดยสาเหตุที่เราต้องติดตั้ง Cookies Popup เนื่องจากการเก็บ Cookies ถือเป็นการเก็บข้อมูลส่วนบุคคลรูปแบบหนึ่ง ดังนั้นเจ้าของเว็บไซต์ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล จึงจำเป็นต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลด้วย ตามพรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA

cookies privacy คือ

ประเภทของเว็บไซต์ที่ต้องติดตั้ง Cookies Popup

ถ้าหากเว็บไซต์ของเราหรือของบริษัท มีการติตตั้ง Cookies เพื่อใช้ในการเก็บข้อมูลของผู้ใช้งานบนเว็บไซต์ เราจำเป็นที่จะต้องติดตั้ง Cookies Popup ในฐานะที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงต้องการขอความยินยอมผ่าน Cookies Privacy Policy เพื่อให้เราสามารถเก็บข้อมูลของผู้ใช้งานบนเว็บไซต์ได้อย่างถูกต้อง ซึ่งถ้าบริษัทไหนไม่ได้ติดตั้ง Cookies Popup พร้อมขอความยินยอมผ่าน Cookies Privacy Policy  ก็อาจจะโดนโทษทั้งทางแพ่ง อาญา และปกครอง ตามพรบ. คุ้มครองข้อมูลส่วนบุคคล PDPA ได้

cookies privacy คือ

เก็บข้อมูลบนเว็บไซต์ถูกหลัก PDPA ด้วย Cookies Privacy Policy

เก็บข้อมูลบนเว็บไซต์ได้อย่างถูกต้องด้วย Cookies Privacy Policy หากเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) เราจำเป็นต้องแจ้งให้ผู้ใช้ทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว เอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บน Website ภาษาไทย และแปลภาษาอังกฤษ พร้อมคำแนะนำ เกี่ยวกับการแจ้งให้สิทธิตั้งค่า Cookies Popup จาก EasyCookies พร้อมขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย  Cookies Privacy Policy เราพร้อมให้บริการด้านกฎหมาย PDPA อย่างครบวงจร ช่วยให้เว็บไซต์ของคุณสามารถเก็บข้อมูลได้อย่างถูกต้องตามหลักกฎหมาย PDPA ได้

cookies privacy คือ

พิเศษ! สำหรับลูกค้าของ EasyPDPA ซื้อ Cookies Popup วันนี้ แถมฟรี Cookies Privacy Package  ฉบับพร้อมใช้งาน ช่วยให้คุณเก็บข้อมูลบนเว็บไซต์ได้อย่างครบถ้วนและถูกหลัก PDPA 

Categories
PDPA Tips Uncategorized

รู้จักกับ 6 เอกสาร PDPA ที่บริษัทควรรู้!

เอกสาร PDPA คืออะไร? ทำความรู้จักกับแบบฟอร์มเอกสารที่สำคัญสำหรับ PDPA 

กฎหมาย PDPA ใกล้ประกาศใช้ในวันที่ 1 มิถุนายน 2565 แล้ว โดยกฎหมายนี้ถือว่าสำคัญสำหรับเป็นอย่างมาก เพราะเป็นพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ถูกกำหนดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บ หรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือ ได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

สำหรับบริษัทหรือเจ้าหน้าที่ภายในองค์กรที่มีความจำเป็นต้องใช้หรือจัดเก็บข้อมูลส่วนบุคคล บางท่านอาจจะยังไม่ทราบว่าการจัดการข้อมูลส่วนบุคคลนั้น มีขั้นตอนอย่างไร? และมี เอกสาร PDPA ประเภทไหนบ้าง? ที่เราต้องใช้เพื่อขอความยินยอมจากข้อมูลส่วนบุคคล วันนี้ทีม EasyPDPA มีความรู้ดี ๆ เกี่ยวกับ เอกสาร PDPA มาฝากทุกท่านกันค่ะ 

เอกสาร PDPA

6 เอกสาร PDPA ที่สำคัญสำหรับการจัดการข้อมูลส่วนบุคคล

สำหรับใครที่สงสัยว่าเอกสาร PDPA มีอะไรบ้าง? แล้วเราในฐานะบริษัทต้องเตรียมอะไรเพื่อใช้ในการจัดการข้อมูลส่วนบุคคล วันนี้เรามีความรู้ดี ๆ เกี่ยวกับเอกสาร PDPA 6 ประเภทมาฝากกันค่ะ

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

บริษัทไหนที่มีเว็บไซต์เป็นของตัวเอง อีกทั้งยังมีการเก็บข้อมูลของผู้เข้าเยี่ยมชมเช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ หรือใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้บนเว็บไซต์ ถือว่าเราเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่ หากเราอยากเก็บและประมวลผข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA เราจำเป็นต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับก่อน อีกทั้งยังต้องมีเอกสาร  Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้ด้วย

มองหาเอกสาร PDPA อยู่หรือไม่? เราขอแนะนำ Privacy Policy แพ็กเกจที่รวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท

เอกสาร PDPA

 

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

มาต่อกับเอกสาร PDPA ประเภทที่สอง เอกสารชุดนี้เหมาะสำหรับผู้ที่ทำงานด้านฝ่ายบุคคล หรือ HR เป็นอย่างยิ่ง เนื่องจากตำแหน่งนี้ เราจะต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอดเวลา เริ่มตั้งแต่การทำเอกสารรับสมัครงาน การทำสัญญาจ้าง หนังสือรับรองการทำงาน ตลอดจนหนังสือบอกเลิกสัญญาจ้าง ซึ่งล้วนเป็นเอกสารที่บริษัทมีการจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย โดยข้อมูลส่วนบุคคลเหล่านี้ จะเป็นข้อมูลส่วนบุคคลที่เกี่ยวกับข้องกับการทำงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ 

เอกสาร PDPA

นอกจากข้อมูลที่เกี่ยวข้องกับการทำงานแล้ว ยังอาจรวมถึง ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งถือเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ทั้งในส่วนของการทำงาน สังคม และชีวิตความเป็นอยู่ด้วย ยกตัวอย่าง  ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม เป็นต้น 

บริษัทและพนักงาน HR จึงมีหน้าที่ที่ต้องปฏิบัติตามกฎหมาย PDPA โดยการแจ้ง Privacy Policy เพื่อขอความยินยอมในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพนักงานด้วย

แนะนำแพ็กเกจที่รวบรวมเอกสารสำหรับการทำงานของ HR และ Recruiter เอกสารรวบรวมการทำงานด้าน PDPA: HR Privacy Policy ราคาเพียง 3,990 บาท 

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

สำหรับบริษัทไหนที่ใช้เว็บไซต์ สิ่งที่เราจะควรให้ความสำคัญไม่แพ้ข้อมูลบนเว็บไซต์ คือ Cookies ซึ่งเป็นเครื่องมือที่ใช้ในการติดตามการใช้งานของผู้เยี่ยมชมเว็บไซต์ เช่น Google Analytic Facebook Pixel เป็นต้น ดังนั้น ก่อนที่เราจะใช้เก็บข้อมูลของผู้เข้าเยี่ยมชมเว็บไซต์ เราจำเป็นที่จะต้องแจ้งให้ผู้ใช้งานรับทราบก่อน และให้สิทธิในการตั้งค่า Cookies สำหรับบุคคลดังกล่าวด้วย

เก็บข้อมูลผู้ใช้งานบนเว็บไซต์อย่างถูกต้อง ด้วยเอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บนเว็บไซต์ทั้งภาษาไทย และภาษาอังกฤษ พร้อมคำแนะนำเกี่ยวกับการแจ้งสิทธิการตั้งค่า Cookies Cookies Privacy Package ราคาเพียง 599 บาท

4. CCTV Privacy Policy เอกสารการเก็บภาพบุคคล

หากบริษัทมีการติดตั้งกล้อง CCTV ภายในพื้นที่เพื่อระบบรักษาความปลอดภัย การใช้กล้อง CCTV ถือเป็นสิ่งที่สำคัญมาก เพราะเราสามารถใช้บันทึกภาพถ่ายของบุคคล ที่เข้า-ออกภายในพื้นที่เพื่อความปลอดภัยแต่รู้หรือไม่? การเก็บภาพถ่ายบุคลลนี่น ถือเป็นข้อมูลส่วนบุคคลด้วย ดังนั้น เราจึงมีหน้าที่ที่ต้องแจ้งให้บุคคลที่มีการบันทึกภาพถ่ายจากกล้อง CCTV รับทราบด้วย โดยเราสามารถเก็บข้อมูลและขอความยินยอมในการบันทึกภาพจาก CCTV Privacy Policy 

ซึ่งเอกสาร CCTV Privacy Policy  ของ EasyPDPA เริ่มต้นเพียง 599 บาท ครอบคลุมทั้งภาษาไทยและภาษาอังกฤษ ช่วยให้คุณเก็บบันทึกภาพถ่ายได้ถูกต้องตามกฎหมาย PDPA 

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

บริษัทส่วนใหญ่มักจะมีการส่งต่อหรือโอนข้อมูลส่วนบุคคลของพนักงาน ให้แก่แผนกอื่นภายนอกองค์กร ดังนั้น ถ้าบริษัทของเรามีความจำเป็นที่จะต้องรับ ส่งต่อ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน ไม่ว่าจะเป็นการส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย 

เราจึงควรมีการทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกันด้วย โดยเราสามารถดำเนินการผ่าน Data Processing Agreement ในราคาเพียง 1,590 บาท พร้อมคำแนะนำวิธีการใช้อย่างถูกต้อง

6. DPO Working Document เอกสารสำหรับ DPO

สำหรับเอกสารในข้อสุดท้ายนั้น ถือมีความสำคัญไม่แพ้กับเอกสารในข้ออื่น ๆ ถ้าหากเรามีความจำเป็นต้องรับ ส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล

เราจึงควรมีการทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกันด้วย โดยเราสามารถดำเนินการผ่าน  DPO Working Document Packaget ในราคาเพียง  4,990  บาท พร้อมคำแนะนำวิธีการใช้อย่างถูกต้อง

Categories
Uncategorized

PDPA เลื่อน จริงไหม? แล้วเราเตรียมความพร้อมอย่างไร

PDPA เลื่อน จริงไหม? PDPA จะเริ่มใช้เมื่อไหร่? นี่อาจจะเป็นคำถามยอดฮิต ที่หลายๆบริษัทอยากจะรู้มากที่สุดในตอนนี้ ท่ามกลางกระแสข่าวลือมากมายในปัจจุบันยังไม่มีประกาศใดๆออกมาจากทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ ว่าจะมีการเลื่อน PDPA แต่อย่างใด ซึ่งทำให้วันที่ PDPA มีผลบังคับใช้อย่างเต็มรูปแบบ ยังคงเป็นวันที่ 1 มิถุนายน 2565 ตามเดิม 

PDPA เลื่อน

แต่อย่างไรก็ตามหากมีการเลื่อน PDPA อาจเป็นเพียงแค่การเลื่อนวันที่มีผลบังคับใช้ แต่ไม่ใช่การยกเลิกกฎหมายฉับนี้ หรือพูดอีกอย่างว่า PDPA จะถูกนำมาใช้อย่างแน่นอน ทาง EasyPDPA จึงแนะนำให้แต่ละบริษัทดำเนินการเตรียมความพร้อมด้าน PDPA ต่อตามกำหนดการปกติ หรือบริษัทไหนที่ยังไม่ได้เริ่มเตรียมความพร้อมใดๆ อาจจะต้องเริ่มขยับตัวในเรื่อง PDPA ได้แล้วตอนนี้ โดยเฉพาะบริษัทที่มีความเสี่ยงในด้าน PDPA สูง เพราะว่าการเตรียมตัวด้าน PDPA เป็นกระบวนการที่ใช้ระยะเวลา และความร่วมมือของหลายฝ่ายในองค์กร ซึ่งจากประสบการณ์การเป็นที่ปรึกษาด้าน PDPA ของทาง EasyPDPA แล้วใช้ระยะเวลาอย่างน้อย 3-6 เดือนในการเตรียมความพร้อมทั้งด้านนโยบาย และกระบวนการ

หาก PDPA เลื่อน บริษัทจะต้องทำอะไรบ้าง?

หากมีการเลื่อนวันที่ PDPA มีผลบังคับใช้ขึ้นมาจริง ทาง EasyPDPA ก็ยังแนะนำให้บริษัทเตรียมความพร้อมด้าน PDPA ต่อตามปกติ เพราะเราเชื่อว่าบริษัทที่มีการเตรียมตัวด้าน PDPA ก่อน มีความได้เปรียบกว่าบริษัทอื่นๆในหลายด้าน โดยเฉพาะบริษัทที่มีหน้าที่ตามกฎหมายในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) จะมีระยะเวลาให้ DPO ได้ปรับตัวเข้ากับกระบวนการทำงานใหม่ขององค์กรภายใต้ PDPA อีกด้วย

PDPA เลื่อน

ข้อได้เปรียบของบริษัทที่เตรียมความพร้อมด้าน PDPA ก่อน?

หากเรามองข้ามประเด็นเรื่องของการเลื่อน PDPA แล้ว บริษัทไหนที่มีการเตรียมตัวด้าน PDPA ก่อนมีความได้เปรียบบริษัทอื่นในหลายด้านดังต่อไปนี้

  • Grace Period: บริษัทจะมีช่วงเวลาที่ PDPA ยังไม่มีผลบังคับใช้มาใช้ทดลองกระบวนการทำงาน ทดสอบระบบต่างๆ รวมไปถึงในสถานการณ์ที่มีเจ้าของข้อมูลมาขอใช้สิทธิ์ต่างๆด้วย ซึ่งเราสามารถใช้เป็นช่วงเวลาในการทดลองรับมือการใช้สิทธิต่างๆโดยที่ไม่ต้องกังวลถึงเรื่องโทษ หรือกรอบระยะเวลาตามกฎหมายใดๆ มองอีกมุมเหมือนบริษัทได้โอกาสฝึกฝน เตรียมความพร้อมการรับมือด้าน PDPA ก่อนที่จะเริ่มบังคับใช้ และมีบทลงโทษจริงๆอีกด้วย
  • Customer Trust & Company Reputation: ผู้บริโภคในยุคนี้มีความรู้ ความเข้าใจ และความตื่นตัว (awareness) ในเรื่องความเป็นส่วนตัว (privacy) หรือ PDPA เพิ่มขึ้นมาก หากบริษัทไหนมีการเตรียมความพร้อม และเริ่มปฏิบัติตาม PDPA ก่อน ย่อมได้รับความน่าเชื่อถือ และความไว้ใจจากลูกค้ามากขึ้นตามไปด้วย
  • More Data: หากเรามีความเข้าใจ PDPA ที่ถูกต้องแล้ว เราจะพบว่า PDPA ไม่ได้ห้ามบริษัทในการใช้ข้อมูลส่วนบุคคลแต่อย่างใด (เพียงแต่กำหนดกรอบการใช้งานให้ถูกต้องมากขึ้น) อีกทั้งยังมีข้อกำหนดถึงการใช้ข้อมูลส่วนบุคคลที่ได้มาก่อนกฎหมายมีผลบังคับใช้ไว้ว่า

    “ยังใช้ข้อมูลได้ตามวัตถุประสงค์เดิม โดยต้องมีการแจ้งนโยบาย (Privacy Notice) และ/หรือ แจ้งช่องทางการถอนความยินยอม (ในกรณีที่ได้ความยินยอมมาก่อนหน้า)”

    ยิ่งไปกว่านั้น สืบเนื่องจากข้อ (2) หากลูกค้ามีความไว้วางใจในบริษัทของไหนในด้าน PDPA แล้ว ทาง EasyPDPA เชื่อว่าลูกค้าก็ยินดีที่จะให้ข้อมูลส่วนบุคคล หรือให้ความยินยอมในการใช้ข้อมูล (เช่น เพื่อวัตถุประสงค์ทางการตลาด) มากขึ้นตามไปด้วย

บทสรุปเรื่อง PDPA เลื่อน

กล่าวโดยสรุปแล้วทาง EasyPDPA แนะนำว่าไม่ว่า PDPA จะเลื่อนวันที่มีผลการบังคับใช้หรือไม่ ทางบริษัทยังควรเดินหน้าการเตรียมความพร้อมด้าน PDPA รวมไปถึงการแต่งตั้ง DPO ต่อตามปกติ เพราะนอกจากจะมีเวลาเพิ่มเติมในการลองกระบวนการทำงานใหม่ๆภายใต้ PDPA แล้ว บริษัทยังได้รับความไว้ใจจากลูกค้าเพิ่มขึ้น ซึ่งอาจจะส่งผลให้ได้รับข้อมูลส่วนบุคคลที่เป็นประโยชน์มากขึ้นด้วย

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท

อ่านบทความที่น่าสนใจเพิ่มเติมได้ที่:

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

Categories
Uncategorized

ก.ล.ต. เตรียมกำกับดูแล NFT

“NFT” หรือ Non-Fungible Token เป็นหนึ่งในประเภทของสินทรัพย์ดิจิตอล ที่มีเพียงชิ้นเดียวในโลก ไม่สามารถทำซ้ำได้ อีกทั้งเรายังสามารถซื้อขาย แลกเปลี่ยน รวมถึงเป็นเจ้าของNFT ชิ้นนั้นได้ ผ่านการซื้อขายบน NFT Marketplace

ด้วยความพิเศษของสินทรัพย์ชนิดนี้ ทำให้ NFT ได้รับความนิยมจากผู้ที่สนใจสะสมผลงานและต้องการลงทุนจำนวนมาก ทำให้ NFT มีอัตราการซื้อขายที่เติบโตอย่างรวดเร็วในไทย ดังนั้น เพื่อความชัดเจนในการประกอบธุรกิจและการซื้อขาย NFT ทาง ก.ล.ต. จึงได้ออกแนวทางการกำกับดูแล NFT โดยเฉพาะ

NFT (Non-Fungible Token) คืออะไร?

NFT ย่อมาจาก “Non-Fungible Token” เป็นสินทรัพย์ดิจิทัลที่เกิดจากการใช้เทคโนโลยี Blockchain โดย NFT มีลักษณะพิเศษที่แตกต่างจากโทเคนดิจิทัลอื่น คือ NFT มีเพียงชิ้นเดียว และแต่ละโทเคนดิจิทัลมีคุณค่าพิเศษของตน ไม่สามารถทำซ้ำขึ้นมาเพื่อให้มีคุณค่าเท่ากันได้อีก ซึ่งจะแตกต่างจาก Fungible Token เช่น Bitcoin ที่ทุกเหรียญมีมูลค่าเท่ากัน และสามารถมีจำนวนมากกว่าหนึ่งได้

นอกจากนี้ คนทั่วไปก็สามารถเป็นเจ้าของงาน NFT ได้ จึงทำให้ NFT ได้รับความนิยมจากนักสะสมชาวไทยจำนวนมาก เพราะเราสามารถซื้อเพื่อสะสม ใช้งาน หรือเก็งกำไรได้นั่นเอง

รู้หรือไม่? NFT ไม่ได้มีเพียงผลงานศิลปะเท่านั้น

หลายคนอาจจะคิดว่าผลงาน NFT ที่เราเห็นว่ามีการซื้อ-ขาย หรือประมูลนั้น มีเพียงผลงานศิลปะ หรือ Digital Art เท่านั้น แต่ความจริงแล้ว NFT อาจถูกสร้างขึ้นเพื่อรองรับผลงานได้หลากหลายประเภทและรูปแบบด้วยกัน โดยสามารถใช้ได้สำหรับของทุกสิ่งที่ต้องการความแตกต่างมีชิ้นเดียวในโลก และที่สามารถพิสูจน์ความเป็นเจ้าของได้ ไม่ว่าจะเป็น NFT ในรูปแบบของผลงานเพลง ไอเทมและตัวละครใน GameFi ของสะสมเกี่ยวกับศิลปิน กรรมสิทธิ์ที่ดินใน Sandbox เป็นต้น โดยเราสามารถศึกษาประเภทของผลงาน NFT ที่สนใจ เพื่อนำไปใช้ประโยชน์ในการลงทุนได้

สินทรัพย์ดิจิทัล 3 ประเภท ที่อยู่ภายใต้ พ.ร.ก. สินทรัพย์ดิจิทัลฯ

พระราชกำหนดการประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561 (พ.ร.ก. สินทรัพย์ดิจิทัลฯ) ระบุว่า สินทรัพย์ดิจิทัลที่อยู่ภายใต้กำกับ พ.ร.ก.นั้นแบ่งออกเป็น 3 ประเภท ได้แก่

  1. คริปโทเคอร์เรนซี (CryptoCurrency) เป็นสินทรัพย์ดิจิทัลที่มีคุณสมบัติอย่างเดียวคือ เป็นสื่อกลางในการชำระเงิน ตัวอย่างเช่น BTC / ETH เป็นต้น
  2. โทเคนดิจิทัลเพื่อการลงทุน (Investment Token) เป็นโทเคนดิจิทัลที่ผู้ที่ถือโทเคนจะมีสิทธิเข้าร่วมลงทุนในโครงการต่างๆ เช่น ได้ส่วนแบ่งจากผลกำไรหรือผลตอบแทนของโครงการ ตัวอย่างในไทย เช่น SiriToken เป็นต้น
  3. โทเคนดิจิทัลเพื่อการใช้ประโยชน์ (Utility Token) เป็นโทเคนดิจิทัลที่ผู้ที่ถือโทเคนสามารถนำโทเคนนั้นมาใช้เพื่อแลกสินค้า / บริการ หรือสิทธิเฉพาะเจาะจงได้ ตัวอย่างในไทย เช่น PopCoin ที่สามารถนำโทเคนมาแลกสินค้า และสิทธิเข้าร่วมกิจกรรมที่กำหนดได้

ผู้ที่จะประกอบธุรกิจที่เกี่ยวกับสินทรัพย์ดิจิทัล ต้องได้รับการอนุญาตจากก.ล.ต.ก่อน

สำหรับผู้ที่ต้องการเปิดให้บริการตัวกลางในการซื้อขายสินทรัพย์ดิจิทัล เช่น เปิด Exchange คือเป็นผู้จัดทำแพลตฟอร์มการซื้อขายสินทรัพย์ดิจิทัล หรือเป็น Broker คือนายหน้าในการวางคำสั่งแทนลูกค้า หรือ Advisory คือที่ปรึกษาการลงทุนในสินทรัพย์ดิจิทัล เป็นต้น ล้วนแต่ตัองได้รับใบอนุญาตจาก ก.ล.ต. ก่อนทั้งหมด

นอกจากธุรกิจตัวกลางแล้ว หากมีผู้สนใจประกอบธุรกิจเป็นแพลตฟอร์มที่ให้บริการแก่ผู้สนใจออกและเสนอขายโทเคนดิจิทัล (Initial Coin Offering) ไม่ว่าจะเป็น Investment Token / Utility Token ในการออกและเสนอขายโทเคนดิจิทัลดังกล่าวให้แก่ บุคคลทั่วไป ผู้ประกอบธุรกิจนั้นจะมีฐานะ ICO Portal และต้องได้รับใบอนุญาตจาก ก.ล.ต. ก่อนจึงจะสามารถประกอบธุรกิจดังกล่าวได้ 

สุดท้ายนี้ ถ้าบุคคลไหนต้องการทำ ICO และเสนอขายโทเคนดิจิทัล ถ้าโทเคนดิจิทัลดังกล่าวไม่มีลักษณะ ‘พร้อมใช้’ ในวันที่ออกและเสนอขายครั้งแรก บุคคลนั้นก็ต้องนำ whitepaper หรือแผนการออกโทเคนดิจิทัลดังกล่าวไปเสนอผ่าน ICO Portal และต้องขออนุญาตจาก ก.ล.ต. ก่อนเช่นกัน

NFT ประเภทไหนบ้าง? ที่อยู่ภายใต้ พ.ร.ก. สินทรัพย์ดิจิทัลฯ

ถ้าพิจารณาจากคุณสมบัติของ NFT แล้ว จะเห็นว่า NFT ก็มีลักษณะเป็นโทเคนดิจิทัลประเภทหนึ่ง ดังนั้นเพื่อความชัดเจนในการตีความ ก.ล.ต. จึงกำหนดว่า NFT จะต้องมีลักษณะแบบไหน? ถึงจะเป็นโทเคนดิจิทัลที่อยู่ภายใต้การกำกับดูแลของ ก.ล.ต. และพ.ร.ก. สินทรัพย์ดิจิทัล

NFT ที่มีการกำหนดสิทธิให้ผู้ถือสามารถนำโทเคนดิจิทัลไปใช้เพื่อแลกสิทธิอื่นอีกขั้นหนึ่ง ถือเป็น “โทเคนดิจิทัลภายใต้กำกับดูแลของ ก.ล.ต.” เนื่องจากมีลักษณะเป็นโทเคนดิจิทัลที่ผู้ถือจะได้รับสินค้า / บริการ / สิทธิเฉพาะเจาะจงตามนิยาม

ตัวอย่างของ NFT ดังกล่าวได้แก่

  • NFT ที่ให้กรรมสิทธิ์แก่ผู้ถือเหนืองานศิลปะที่เป็น physical ของศิลปินชื่อดัง ที่อาจมีการจัดแสดงอยู่ในพิพิธภัณฑ์ ผู้ที่ถือ NFT นี้จะได้รับสิทธิการยืนยันว่า เป็นผู้กรรมสิทธิ์เหนืองานศิลปะนั้น และสามารถทำการซื้อ-ขาย แลกเปลี่ยน NFT ได้อย่างสะดวกสบาย โดยไม่จำเป็นต้องมีการส่งมอบภาพที่จัดแสดงในพิพิธภัณฑ์นั้นให้กับผู้ที่ถือครองอยู่ แต่หากผู้ถือตัองการภาพจริง ผู้ถือต้องนำ NFT นั้นไปแลกเพื่อรับภาพจริงอีกครั้ง ดังนั้นการโอน NFT จึงไม่ใช่การโอนผลงานศิลปะ physical นั้นโดยตรง
  • NFT ที่เป็น Collectible Card ที่มีการกำหนดเงื่อนไขว่า หากสะสมได้ครบตามเงื่อนไข ผู้ที่ถือโทเคนดิจิตอลจะสามารถนำไปแลกเป็นสิทธิเข้างาน Exclusive Meet & Greet ของศิลปินที่สร้างผลงานนี้ในอนาคตได้

NFT ที่ไม่เป็นโทเคนดิจิตอล และไม่อยู่ภายใต้ พ.ร.ก. สินทรัพย์ดิจิทัลฯ

กรณี NFT ที่มีการแปลงทรัพย์สินในรูปแบบ digital / electronic ให้เป็นโทเคนดิจิทัลโดยตรง ดังนั้น ทุกครั้งที่มีการซื้อ-ขาย NFT นั้น จะเท่ากับเป็นซื้อขายทรัพย์สินนั้นโดยตรง โดยไม่ต้องนำเอาโทเคนดิจิทัลนั้นไปแลกสิทธิใดอีก NFT ในกรณีดังกล่าว ไม่ถือเป็นโทเคนดิจิทัล ถือเป็นทรัพย์สินประเภทหนึ่งเท่านั้น ไม่อยู่ภายใต้ พ.ร.ก. สินทรัพย์ดิจิทัลฯ เช่นกัน เนื่องจากไม่ถือเป็นหนึ่งใน 3 ประเภทของสินทรัพย์ดิจิทัล

ตัวอย่าง NFT ประเภทนี้ ได้แก่ ภาพของศิลปิน หรือเพลง หรือทรัพย์สินใดก็ตามที่อยู่ในรูปแบบ digital ที่มีการแปลงให้กลายเป็นงาน NFT ด้วยเทคนิคต่าง ๆ โดยตรง

การประกอบธุรกิจเกี่ยวกับ NFT มีอะไรบ้าง?

กรณีที่ NFT เป็นโทเคนดิจิทัล

  • การออกและเสนอขายโทเคนดิจิทัล แม้เป็น NFT ดังกล่าวให้แก่บุคคลเป็นการทั่วไปนั้น หาก NFT นั้นให้สิทธิที่พร้อมให้มาใช้แลกเปลี่ยนในวันที่ออกทันที ผู้ประกอบการจะต้องดำเนินการผ่าน ICO Portal ผู้ออกจะได้รับยกเว้นการขออนุญาตจาก ก.ล.ต. แต่หากเป็นสิทธิที่จะใช้ได้ในอนาคตต้อง ดำเนินการผ่าน ICO Portal ก่อนการขออนุญาตจาก ก.ล.ต.
  • สำหรับการซื้อขายแลกเปลี่ยนNFT ประเภทนี้ในตลาดรอง ปัจจุบัน NFT ต้องห้าม ไม่ให้ซื้อขายผ่าน Exchange ที่ได้รับอนุญาตในประเทศไทย (ตามประกาศ กธ. 18/2564) ดังนั้นอาจตีความการทำ Marketplace สำหรับ NFT ประเภทนี้ไม่สามารถดำเนินการได้

กรณีที่ NFT ที่ไม่ใช่โทเคนดิจิตอล

  • สำหรับ NFT ประเภทนี้ เมื่อไม่อยู่ภายใต้กำกับ พ.ร.ก. สินทรัพย์ดิจิทัลฯ เราจึงสามารถเสนอขายผลงานได้โดยตรง ไม่ต้องขออนุญาตจากก.ล.ต. เหมือนกับ NFT เป็นโทเคนดิจิทัล

ภาพจาก: สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

อ้างอิงข้อมูลจาก: สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

Categories
Uncategorized

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!


ในยุคนี้ บริษัทส่วนใหญ่ล้วนมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า หรือพนักงานในองค์กรเอง 

ถึงแม้ว่าการใช้ข้อมูลส่วนบุคคล จะช่วยให้เรามีข้อมูลมากพอจนสามารถนำไปต่อยอดทางธุรกิจ หรือดำเนินงานให้มีประสิทธิภาพขึ้นได้ แต่ถ้าบริษัทไหนมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ก็อาจส่งผลให้เกิดปัญหาต่าง ๆ ตามมาได้ ไม่ว่าจะเป็นการละเมิด สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำอื่นที่ผิดหลักกฎหมาย PDPA 

DPO

ด้วยสาเหตุนี้ บริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ หรือต้องใช้ข้อมูลส่วนบุคคลจำนวนมาก ควรจะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ขึ้น เพื่อช่วยให้การจัดการข้อมูลเป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA 

ถ้าใครอยากรู้ว่า DPO คือใคร? และมีหน้าที่สำคัญอย่างไรต่อองค์กรในยุคนี้ ลองหาคำตอบได้ในบทความนี้ รับรองว่าจะได้ความรู้ไปแบบเต็ม ๆ แน่นอนค่ะ

DPO คือใครในองค์กร?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 

DPO

เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

DPO Working Document เอกสารสำหรับเจ้าหน้าที่

หากคุณมีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่คุณเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

ใครมีหน้าที่ในการแต่งตั้ง DPO บ้าง?

ตามกฎหมาย PDPA ได้กำหนดให้บางองค์กรไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนที่เข้าเกณฑ์ ตามที่กำหนดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้ามาช่วยตรวจสอบ จัดการ  และช่วยให้การดำเนินงาน เกี่ยวกับข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น มีประสิทธิภาพและถูกต้องตามหลัก PDPA 

สำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย สามารถได้เป็น 3 ประเภท ดังนี้ 

1. หน่วยงานรัฐ ซึ่งรวมถึง ส่วนราชการ รัฐวิสาหกิจ และองค์กรปกครองส่วนท้องถิ่น

2. องค์กรที่ประกอบธุรกิจหลัก (Core activities) เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) เช่น โรงพยาบาล บริษัทประกัน หรือบริษัทเทคโนโลยีที่ประมวลผลข้อมูล facial recognition เป็นต้น  

3. องค์กรอื่นที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคล “จำนวนมาก”

นอกจากนี้ แม้ว่าบางองค์กรจะไม่อยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้ผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ก็จะช่วยให้องค์กรมีระบบจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมถึงมีเจ้าหน้าที่คอยช่วยจัดการ และตรวจสอบการดำเนินงาน ให้ถูกต้องตามหลักกฎหมาย PDPA มากขึ้นด้วย 

ถ้าไม่แต่งตั้ง จะมีโทษทางกฎหมายหรือไม่?

DPO

สำหรับองค์กรไหนที่กฎหมายกำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทไม่ยอมทำตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้ 

โทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สูงสุดถึง 1 ล้านบาท!!

ใครสามารถเป็นเจ้าหน้าที่ DPO บ้าง?

เราจะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อองค์กรอย่างมาก โดยเฉพาะบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นจำนวนมาก ยิ่งต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ช่วยในการจัดการกับข้อมูลส่วนบุคคลเหล่านี้ เพื่อให้ถูกต้องตามหลักกฎหมาย PDPA  นั่นเอง

คำถามต่อมาที่หลายคนสงสัย คงหนีไม่พ้นเรื่องเกี่ยวกับ คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะมีอะไรบ้าง? และใครเหมาะสมที่จะเป็นทำงานในตำแหน่งนี้? ดูรายละเอียดในหัวข้อต่อไปนี้ได้เลยค่ะ 

DPO ต้องเป็นคนภายในองค์กรเท่านั้นหรือไม่?

คำตอบคือไม่จำเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ขอแค่เป็นบุคคลที่มีคุณสมบัติครบถ้วน ก็สามารถทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดได้

DPO ต้องมีคุณสมบัติอย่างไร?

PDPA กำหนดคุณสมบัติหลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่าต้องมีความเข้าใจเกี่ยวกับ PDPA และต้องสามารถดำเนินการควบคุมการประมวลผลข้อมูลส่วนบุคคลได้ โดยไม่ได้กำหนดคุณสมบัติพิเศษด้านการศึกษาหรือวิชาชีพ

ในปัจจุบันมีการออก (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาในเบื้องต้น ​โดยกำหนดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องได้รับการอบรม / ผ่านการทดสอบจากหลักสูตรที่ได้รับการรับรอง โดยต้องอบรมไม่เกิน 1 ปี ก่อนหรือขณะแต่งตั้ง และต้องฝึกทบทวนอย่างน้อยทุก 3 ปี 

และหากมีความคืบหน้าที่ชัดเจนเกี่ยวกับคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทาง EasyPDPA จะมาอัพเดทข้อมูลใหม่ ๆ  ให้ทุกคนได้รู้กันแน่นอนค่ะ 

บริษัทควรมีเจ้าหน้าที่คุ้มครองข้อมูลกี่คน? 

ตามกฎหมาย PDPA ได้ระบุไว้เพียงว่า เจ้าหน้าที่ DPO จะต้องเป็นบุคคลธรรมดาเท่านั้น ดังนั้น องค์กรที่มีหน้าที่หรือต้องการแต่งตั้งเจ้าหน้าที่ DPO 

สามารถแต่งตั้งคณะทำงาน เจ้าหน้าที่ DPO ทำงานร่วมกันได้ตั้งแต่ 1 คนขึ้นไป แต่องค์กรหนึ่งต้องมีการแจ้งการแต่งตั้ง เจ้าหน้าที่ DPO 1 บุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

หมายเหตุ:  สำหรับบริษัทที่มีธุรกิจอยู่ในเครือเดียวกัน สามารถจัดตั้งให้มีเจ้าหน้าที่ DPO ร่วมกันระหว่างบริษัทในเครือธุรกิจนั้น เพื่อช่วยให้การทำงานสะดวกมากยิ่งขึ้น แต่ก็ต้องรับประกันว่า DPO นั้นต้องสามารถประสานงานกับทุกบริษัทในกลุ่มได้จริง 

บทบาทและหน้าที่ของเจ้าหน้าที่ DPO มีอะไรบ้าง?

จะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญสำหรับการดำเนินงานที่เกี่ยวข้องกับ PDPA  ซึ่งผู้ที่ได้รับการแต่งตั้งเป็น ​DPO จากองค์กร อาจมีข้อสงสัยอย่างอื่นตามมา ไม่ว่าจะเป็น DPO ต้องทำหน้าที่อะไรอย่างไรบ้าง? มีความเสี่ยงในการทำหน้าที่ DPO หรือไม่?

โดยในวันนี้ EasyPDPA ก็รวบรวมข้อมูลเกี่ยวกับหน้าที่และความเสี่ยงของเจ้าหน้าที่ DPO มาฝากทุกคนกันค่ะ รับรองว่าอ่านจบแล้ว จะช่วยให้เราเข้าใจแนวทางการทำงานของ DPO มากขึ้น

แนวทางการปฏิบัติงานของเจ้าหน้าที่ของ DPO

สำหรับหน้าที่ของเจ้าหน้าที่ DPO นั้น เรียกได้ว่าครอบคลุมตั้งแต่การให้คำแนะนำ ตรวจสอบ รวมถึงช่วยจัดการการดำเนินงานด้านข้อมูลส่วนบุคคล ให้เป็นไปอย่างมีประสิทธิภาพ และที่สำคัญสอดคล้องกับ PDPA จึงเป็นหน้าที่ที่สำคัญไม่แพ้ตำแหน่งอื่นเลยทีเดียวค่ะ  

หน้าที่ของเจ้าหน้าที่ DPO มี 3 หัวข้อหลัก ดังนี้

1. การให้คำแนะนำรายบุคคล  (Go-To Person)

เจ้าหน้าที่ DPO จะต้องมีความรู้ความเข้าใจเกี่ยวกับ PDPA และให้คำแนะนำ 

ชี้แนะ เป็นที่ปรึกษาให้แก่ องค์กร พนักงานและบุคคลที่เกี่ยวข้องทั้งหมด ให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกรอบของ PDPA 

2. การควบคุมภายในองค์กร (Internal Control)

DPO จะต้องเป็นผู้ติดต่อประสานงานกับแผนกต่าง ๆ  ภายในองค์กร เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับ PDPA รวมถึงต้องมีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลของแต่ละแผนก ว่ามีการดำเนินการที่ถูกต้องตามหลักกฎหมาย PDPA หรือไม่?

นอกจากนี้ DPO จะต้องเป็นคนประสานงานติดต่อและดำเนินการโดยเร็ว ในกรณีที่เกิดปัญหาการละเมิดข้อมูลส่วนบุคคล (Data Breach)  โดยมีกระบวนการตั้งแต่การรับเรื่อง การตรวจสอบข้อเท็จจริง การทำงาน และให้คำปรึกษาแก่องค์กรหรือบริษัท เพื่อหาแนวทางการแก้ไขปัญหาที่เกิดขึ้นด้วย

3. การติดต่อประสานงานภายนอกองค์กร (External Communication)

DPO จะทำหน้าที่เป็นผู้ติดต่อประสานงานกับ เจ้าของข้อมูล ในกรณีมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อีกทั้งเป็นผู้ติดต่อประสานงานกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานการเกิด Data Breach หรือคำร้องเรียนที่เกิดขึ้นในองค์กรด้วย 

ความเสี่ยงและความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ในกฎหมาย PDPA ได้กำหนดชัดเจนแล้วว่า ถ้า DPO ให้คำแนะนำที่ถูกต้อง เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่องค์กรแล้ว แต่องค์กรไม่ยอมทำตาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่ได้มีสถานะเป็น DC / DP ภายใต้ PDPA จึงไม่ต้องรับผิดชอบต่อการกระทำใด ๆ ที่องค์กรในฐานะ DC / DP ต้องรับผิดโดยตรง  ดังนั้น DPO ไม่ใช่ผู้รับผิดจำคุกกรณีองค์กรมีความเสี่ยงโทษทางอาญา และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ยังได้รับสิทธิในการปกป้องคุ้มครองตามกฎหมาย PDPA 

เพื่อไม่ให้ถูกเลิกจ้างหรือถูกไล่ออกอย่างไม่เป็นธรรม จากการปฏิบัติหน้าที่นี้อีกด้วย ซึ่ง DPO จะรับผิดทางกฎหมาย ก็ต่อเมื่อมีการทุจริตภายในองค์กรระหว่างทำหน้าที่นี้ หรือนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่จนเกิดความเสียหายแก่องค์กรนั่นเอง 

สรุปแล้ว เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อบริษัทในยุคปัจจุบันอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยทันที อีกทั้งเราต้องมั่นใจได้ว่าผู้ที่ทำหน้าที่นี้ มีความรู้ความเชี่ยวชาญเกี่ยวกฎหมาย PDPA อย่างแท้จริง

เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สามารถทำหน้าที่ได้อย่างมีประสิทธิภาพ ช่วยให้องค์กรใช้ข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่าง ๆ ในอนาคตนั่นเองค่ะ 

วันนี้ บริษัทคุณมี Privacy Policy หรือยัง?

เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท

อ่านบทความที่น่าสนใจเกี่ยวกับ PDPA ได้ที่: 

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA ที่บริษัทควรรู้!

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

อ้างอิงข้อมูลจาก:

เอกสารผลการรับฟังความเห็นเกี่ยวกับร่างกฎหมายลําดับรองกลุ่มที่ 1

Categories
Uncategorized

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA ที่บริษัทควรรู้!

เมื่อกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เริ่มเข้ามามีบทบาทต่อธุรกิจหลายประเภทมากขึ้น โดยเฉพาะธุรกิจที่ต้องการเก็บข้อมูลส่วนบุคคล ของลูกค้า เพื่อนำไปใช้ทางการตลาดหรือพัฒนาสินค้าในอนาคต นักการตลาดหรือผู้ที่ต้องการเก็บข้อมูลของลูกค้าจะต้องทำความเข้าใจเกี่ยวกับ กฎหมาย PDPA และศึกษาสิทธิที่ของเจ้าของข้อมูลส่วนบุคคลที่พึงมีด้วย ก็จะช่วยให้เราเก็บข้อมูลของลูกค้าได้อย่างถูกต้อง ไม่เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลนั่นเอง

สิทธิของเจ้าของข้อมูลส่วนบุคคล คืออะไร? 

กฎหมาย PDPA ไม่เพียงแต่ให้การคุ้มครองข้อมูลส่วนบุคคลให้มีความโปร่งใสและปลอดภัยเท่านั้น แต่ยังให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการควบคุมการประมวลผลข้อมูลส่วนบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของตนได้อีกด้วย ซึ่งในกฎหมายได้ระบุไว้ว่า เจ้าของข้อมูลส่วนบุคคล (Data Subject) สามารถขอใช้สิทธิต่างๆได้นั่นเอง

ข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิอะไรบ้างตามกฎหมาย PDPA บ้าง? 

เมื่อเรารู้จักกับสิทธิของเจ้าของข้อมูลส่วนบุคคลแบบเบื้องต้นแล้ว ทีนี้เราก็มาดูกันต่อว่า เจ้าของข้อมูลจะมีสิทธิอะไรบ้าง ตามกฎหมาย PDPA บ้าง?

เพื่อที่เราในฐานะเจ้าของข้อมูลจะได้ใช้ถูกต้อง และเราในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะได้รับมือและปฎิบัติตามสิทธิของเจ้าของข้อมูลได้อย่างถูกวิธี เพื่อลดความเสี่ยงในการรับโทษภายใต้ PDPA ของเราด้วย 

ข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้ PDPA มีทั้งหมด 7 ข้อดังนี้

1. สิทธิในการถอนความยินยอม (right to withdraw consent)

เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมที่เคยให้บริษัทจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลของตนเอง เมื่อไหร่ก็ได้ โดยผู้ควบคุมข้อมูลต้องรับประกันให้การขอถอนความยินยอม ง่ายเหมือนกับวิธีที่ได้รับความยินยอมด้วย

ยกตัวอย่าง ถ้าบริษัทขอความยินยอมในการส่งข่าวสารทางอีเมล ผ่านการกดปุ่ม Subscribe เมื่อเจ้าของข้อมูลต้องการขอถอนความยินยอม ก็ต้องสามารถกดปุ่ม Unsubscribe ได้ทันทีเช่นกัน เป็นต้น 

2. สิทธิในการขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล (right of access and copy)

เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงข้อมูลและขอรับสำเนาข้อมูลส่วนบุคคลของตัวเองจากบริษัท รวมถึงขอให้บริษัทชี้แจงรายละเอียดและเปิดเผยที่มาของแหล่งข้อมูลชุดนี้ได้เช่นกัน 

สำหรับการขอใช้สิทธินี้บริษัทจะมีหน้าที่ในการพิจารณาและดำเนินการตามคำร้องขอ ภายใน 30 วัน นับตั้งแต่วันที่เจ้าของข้อมูลแจ้งมา ไม่เช่นนั้นจะมีโทษปกครองสูงสุด 1 ล้านบาท

3. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification)

เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไข หรือขอเพิ่มเติมข้อมูลส่วนบุคคลของตนเอง เพื่อให้ถูกต้องและครบถ้วน ซึ่งกรณีดังกล่าวโดยหลักบริษัทต้องดำเนินการตามคำขอได้ 

4. สิทธิขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (right to erasure)

หากเจ้าของข้อมูลเห็นว่าข้อมูลที่บริษัทจัดเก็บนั้น ไม่มีความเป็นจำเป็นหรือเป็นข้อมูลที่ประมวลผลโดยไม่ถูกต้อง เจ้าของข้อมูลมีสิทธิที่จะขอให้บริษัททำลายข้อมูลส่วนบุคคลนั้นทั้งหมด หรือลบบางชุดข้อมูลให้ไม่สามารถระบุถึงตัวตนของเจ้าของข้อมูลได้ ในกรณีการขอใช้สิทธินี้ ถ้าบริษัทมีความจำเป็นที่อธิบายได้ว่า  บริษัทมีความจำเป็นด้วยฐานใดหนึ่งในการประมวลผลข้อมูลส่วนบุคคลนั้นอยู่ บริษัทก็สามารถแจ้งปฏิเสธการใช้สิทธิเจ้าของข้อมูลได้เช่นกัน 

5. สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object)

กรณีที่บริษัทประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลด้วยฐานประโยชน์อันชอบด้วยกฎหมาย เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองนั้นเมื่อไหร่ก็ได้ ถ้าหากการเก็บ รวบรวม หรือใช้ข้อมูลนั้น ส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลมากเกินควร

6. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing)

กรณีอยู่ระหว่างการตรวจสอบเพื่อแก้ไขข้อมูลที่ถูกต้อง หรือหากเป็นข้อมูลส่วนบุคคลที่บริษัทจะต้องลบ หรือทำลายเพราะหมดความจำเป็นแล้ว เจ้าของข้อมูลมีสิทธิในการขอให้บริษัทระงับการใช้ข้อมูลส่วนบุคคลนั้นเป็นการชั่วคราวได้ 

7. สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลที่เก็บในรูปแบบอัตโนมัติ (right to data portability)

กรณีข้อมูลส่วนบุคคลเก็บอยู่ในรูปแบบที่สามารถโอนได้โดยอัตโนมัติ เจ้าของข้อมูลสามารถแจ้งขอให้บริษัททำการส่งต่อข้อมูลไปยังบริษัทอีกแห่งได้

บริษัทมีหน้าที่ในการดำเนินการตามคำร้องขอ อย่างไร?

หลักการแรก บริษัทต้องแจ้งสิทธิให้เจ้าของข้อมูลทราบผ่าน Privacy Policy และในกรณีเจ้าของข้อมูลต้องการใช้สิทธิ เจ้าของข้อมูลย่อมสามารถส่งคำร้องขอใช้สิทธิผ่านช่องทางการติดต่อของบริษัทตามที่ระบุไว้ใน Privacy Policy ได้เลย และเมื่อบริษัทได้รับคำร้องขอแล้ว บริษัทก็จะต้องพิจารณาและดำเนินการตามคำร้องอย่างเหมาะสมตามกฎหมาย

ข้อมูลส่วนบุคคล

ขั้นตอนการดำเนินการตามคำร้องขอข้อมูล (Data Subject Request)

1. กำหนดช่องทางในการแจ้งสิทธิของเจ้าของข้อมูล

ใน เอกสาร Privacy Policy บริษัทจะต้องระบุข้อมูลของบริษัทและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อและแจ้งคำร้องขอได้ เช่น ที่อยู่บริษัท อีเมล เบอร์โทรศัพท์ เป็นต้น

2. จัดทำแบบฟอร์มคําขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

เพื่อความชัดเจนและสะดวกในการพิจารณาคำขอใช้สิทธิของเจ้าของข้อมูล บริษัทควรจัดทำแบบฟอร์มคำร้องของให้เจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลสามารถติดต่อและยื่นคำร้องขอได้อย่างถูกต้อง และเพื่อให้ง่ายต่อการส่งต่อเรื่องให้แก่หน่วยงานที่รับผิดชอบ เพื่อดำเนินการกับคำร้องขอข้อมูลนี้ทันที

3. ตรวจสอบตัวตนของเจ้าของข้อมูล

หลังจากที่บริษัทได้รับรายละเอียดเกี่ยวกับคำร้องขอจากเจ้าของข้อมูลเรียบร้อยแล้ว บริษัทต้องตรวจสอบตัวตนของเจ้าของข้อมูลว่า เป็นบุคคลเดียวกันที่เป็นเจ้าของข้อมูลที่ขอใช้สิทธิหรือไม่ โดยสามารถแจ้งให้เจ้าของข้อมูลส่งรายละเอียดเพิ่มเติม เพื่อยืนยันตัวตนได้เช่นกัน 

4. พิจารณาว่าบริษัทมีเหุตที่จะปฏิเสธคำร้องขอหรือไม่?

เมื่อได้รับข้อมูลการขอใช้สิทธิจากเจ้าของข้อมูล บริษัทต้องพิจารณาคำร้องขอ เพื่อดูว่า บริษัทมีเหตุตามกฎหมายในการ ปฏิเสธคำร้องขอของเจ้าของข้อมูลได้อย่างไรบ้าง หรือบริษัทต้องดำเนินการ ก่อนที่จะประสานงานภายในเพื่อดำเนินการตามคำขอ

หากพิจารณาแล้วเห็นว่าเราสามารถดำเนินการตามคำร้องได้ บริษัทก็สามารถดำเนินการได้ทันที รวมถึงบริษัทอาจคิดค่าใช้จ่ายในการดำเนินการก็ได้ (หากค่าใช้จ่ายไม่สูงจนเป็นการขัดขวางคำร้องขอนั้น)

5. แจ้งผลการพิจารณาดำเนินการตามสิทธิที่ร้องขอ

เมื่อบริษัทพิจารณาตามข้อมูลที่ได้รับทั้งหมด แล้วไม่ว่าจะตอบรับหรือปฏิเสธ บริษัทจะต้องติดต่อแจ้งเจ้าของข้อมูลทราบ พร้อมด้วยเหตุผลการปฏิเสธ หรือการดำเนินการใดที่ได้ดำเนินการตามคำขอดังกล่าว

6. บันทึกการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

ขั้นตอนสุดท้าย หากบริษัทได้ทำการตรวจสอบตัวตนของผู้ยื่นคำร้องขอแล้ว บริษัทจะต้องบันทึกข้อมูลการขอใช้สิทธิ พร้อมทั้งรายละเอียดของผู้ขอใช้สิทธิ เพื่อเก็บเป็นหลักฐานสำหรับการพิสูจน์การตอบรับสิทธิที่บริษัทได้ดำเนินการ โดยเฉพาะเป็นหลักฐานสำคัญในกรณีการโต้แย้งปกป้องสิทธิของบริษัทกรณีมีการฟ้องร้องคดีในอนาคตอีกด้วย 

จบไปแล้วกับสาระน่ารู้เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล ที่บริษัทหรือผู้ประกอบการจำเป็นต้องรู้ และรับมือ เพื่อให้เราสามารถวางแผนและจัดการกับข้อมูลส่วนบุคคลได้อย่างถูกต้อง และไม่ผิดหลักของกฎหมาย PDPA อีกด้วย

อ่านบทความที่น่าสนใจเกี่ยวกับกฎหมาย PDPA ได้ที่

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

คู่มือนายจ้างยุค PDPA: เก็บข้อมูลพนักงาน อย่างไรให้ถูกกฎหมาย PDPA?


EasyPDPA

หากองค์กรของท่านต้องการปรึกษาเกี่ยวกับการจัดทำ เอกสารนโยบายส่วนบุคคล (Policy Policy) สามารถสร้างเอกสาร Privacy Policy ได้ง่าย ๆ ภายใน 2 นาทีได้ที่แพ็กเกจนี้ ซึ่งรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,599 บาท เท่านั้น!

หรือขอคำปรึกษากับทีมกฎหมายผู้เชี่ยวชาญด้านกฎหมาย ชั้นนำของประเทศ!!

ติดต่อทีมกฎหมาย EasyPDPA 

Website: https://www.easypdpa.com/pdpa-consultation/

Facebook Page: https://www.facebook.com/EasyPDPA

Email: EasyPDPA@easycompany.asia

อ้างอิงข้อมูลจาก : 

ratchakitcha.soc.go.th

Thailand Data Protection Guidelines 3.0

Categories
PDPA Tips

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?

ซึ่งกฎหมาย PDPA ที่จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 นั้น ถือว่าเป็นเรื่องที่สำคัญมาก เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  

ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ EasyPDPA จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก จัดเต็ม!

PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้ 

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร? อีกทั้งยังไม่รู้ว่า PDPA จะประกาศใช้ 1 มิถุนายน 2565 นี้

กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

PDPA คืออะไร?

ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

PDPA คืออะไร?

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล 
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 

  • เชื้อชาติ เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม 
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครต้องอยู่ภายใต้ PDPA บ้าง?

หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง 

PDPA คืออะไร?

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน 

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

โทษที่คุณอาจเจอ หากไม่ปฎิบัติตาม PDPA

ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่าง ๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และ โทษปกครอง ที่อาจจะถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy

อ่านรายละเอียดเกี่ยวกับโทษทางกฎหมาย PDPA ได้ที่

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

สรุป 3 ขั้นตอนในการทำตาม PDPA แบบ Step By Step

PDPA คืออะไร?

อ่านบทลงโทษทางกฎหมาย PDPA แล้ว หลายคนอาจจะรู้สึกร้อน ๆ หนาว ๆ กันบ้าง แต่อย่าพึ่งตกใจไป! เพราะ ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

โดย EasyPDPA ได้สรุป 3 ขั้นตอนสำหรับการทำตามกฎหมาย PDPA ง่าย ๆ ดังนี้

ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA

PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ EasyPDPA เชื่อว่า PDPA ไม่ใช่กฎหมายที่ยากเกินไป 

ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ 

ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี

หาก Data Controller ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่า  Data Contoller จะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือนโยบายความเป็นส่วนตัวนั่นเอง

ข้อมูลสำคัญที่ต้องระบุใน  Privacy Policy

  • จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
  • มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
  • จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
  • จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง? 
  • จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร? 
  • สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?

เปลี่ยน PDPA ให้เป็นเรื่องง่ายสำหรับทุกคน

หากใครยังไม่รู้ว่าจะเริ่มต้นทำแบบฟอร์มยังไง  EasyPDPA มีแบบฟอร์ม Privacy Policy เริ่มต้นเพียง 1,290 บาท  ให้คุณแจ้งผู้ใช้งานได้อย่างครบถ้วนและถูกหลัก PDPA ภายใน 2 นาที เท่านั้น

สร้าง Privacy Policy ง่ายๆ เพียง 3 ขั้นตอนเท่านั้น!

แพ็กเกจ Privacy Policy ของ EasyPDPA ใช้งานง่ายมาก เพียงแค่คุณเลือก Policy ที่ต้องการ กรอกข้อมูลบริษัท ก็ดาวน์โหลด พร้อมใช้งาน หรือถ้าไม่แน่ใจ ทำแบบทดสอบ ก่อนเลือก Policy ที่ใช่สำหรับคุณได้

Privacy Policy

การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies Privacy Policy

อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการเว็บไซต์ ภายใต้ PDPA คือ Cookies ที่ถูกใช้เพื่อจุดประสงค์ต่าง ๆ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็น ข้อมูลส่วนบุคคล

ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน โดยคุณสามารถแจ้งและขอความยินยอมจากผู้ใช้งานได้อย่างง่ายดาย ผ่าน EasyCookies Popup ถูกต้องตามหลัก PDPA สะดวกรวดเร็ว เริ่มต้นเพียง 599 บาท เท่านั้น!

เริ่มต้นใช้ EasyCookies Popup ง่ายใน 5 นาที

PDPA คืออะไร?

นอกจากการแจ้ง Privacy Policy แล้ว สำหรับนักการตลาด และการทำการตลาดของ บริษัทต่าง ๆ บริษัทอาจต้องขอความยินยอม (Consent) จากกลุ่ม target ต่าง ๆ นั้นก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่าง ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทางใด เช่น SMS / e-mail / Facebook Retargeting / In-App Notification เป็นต้น

โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที 

ขั้นตอน 3:  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล และการรับมือเหตุการณ์ต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล

นอกจากการจัดทำเอกสาร Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด Data Controller มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมใช้ของข้อมูลส่วนบุคคลที่ตนใช้ 

สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้อง ทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก

นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้ว Data Controller ต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง Data Controller ต้อง take action รวมถึงรายงานเหตุการณ์ในกำหนดเวลา และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และ Data Controller ต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม

6 เอกสาร PDPA ที่บริษัทต้องเตรียมพร้อม

สำหรับใครที่กำลังมองหาเอกสาร PDPA เพื่อเตรียมความพร้อมให้กับบริษัทและองค์กรของตนเอง ทาง EasyPDPA ก็มี 6 เอกสาร PDPA 4พร้อมแบบฟอร์มอื่น ๆ มาแนะนำให้บริษัทได้นำไปใช้ในองค์กรกัน

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

หากเว็บไซต์ของเรา มีการเก็บข้อมูลของผู้เข้าเยี่ยมชม (เช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ) และ/หรือใช้ Cookies ประเภทต่างๆ เพื่อ ติดตามการใช้งานบน เว็บไซต์ ถือได้ว่าเรากำลังเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่

ดังนั้น เราจึงจำเป็นที่จะต้องแจ้ง Privacy Policy เพื่อให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

HR เป็นตำแหน่งที่ต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอด ตั้งแต่ การรับสมัคร การทำสัญญาจ้าง การปฏิบัติหน้าที่ของลูกจ้าง จนถึงการยกเลิกสัญญา บริษัทเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย ทั้งที่เป็นข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำงาน (เช่น ชื่อนามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ) และอาจรวมถึงข้อมูลส่วนบุคคลอ่อนไหว (เช่น ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม) ซึ่งบริษัทมีหน้าที่ตาม PDPA ต้องแจ้ง Privacy Policy และต้องขอความยินยอมจากพนักงานดังกล่าว

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

หากเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) เราจำเป็นต้องแจ้งให้ผู้ใช้ทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว เอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บน Website ภาษาไทย และแปลภาษาอังกฤษ พร้อมคำแนะนำ เกี่ยวกับการแจ้งให้สิทธิตั้งค่า Cookies

4. CCTV Privacy Policy เอกสารสำหรับการเก็บภาพบุคคล

หากเราติดตั้งกล้อง CCTV ในพื้นที่ของคุณเพื่อความปลอดภัย ด้วยระบบ CCTV เรากำลังเก็บภาพถ่ายใบหน้าของคนที่เข้าพื้นที่ ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นเราจึงมีหน้าที่ต้องแจ้งให้บุคคลนั้นทราบถึงการเก็บข้อมูลเป็น CCTV Privacy Policy

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

6. DPO Working Document เอกสารสำหรับ DPO

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

เตรียมพร้อมรับมือ PDPA ด้วย Policy

เตรียมพร้อมรับมือวันประกาศใช้ PDPA 1 มิถุนายนนี้ ด้วย Privacy Policy จาก EasyPDPA เรามี เอกสาร PDPA ทุกประเภท ร่างโดยทีมนักกฎหมายผู้เชี่ยวชาญระดับประเทศ พร้อมใช้ภายใน 1 นาที

จบไปแล้วกับสาระน่ารู้ที่ EasyPDPA สรุปมาให้ทุกคนได้อ่านกันในวันนี้ เชื่อว่าหลายคนจะรู้จักกับ PDPA มากขึ้น และเห็นถึงความสำคัญว่า กฎหมายจะมีส่วนบังคับกับการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ไม่ว่าจะเล็กหรือใหญ่ และทุกองค์กรต้องเตรียมพร้อมกับการปฏิบัติตาม PDPA นี้ แต่ถ้าเข้าใจ ทาง EasyPDPA เชื่อว่า PDPA can be made Easy

อ่านบทความที่น่าสนใจเกี่ยวกับกฎหมาย PDPA ได้ที่

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

Categories
PDPA Tips

เลื่อนพรบ.คุ้มครองข้อมูลส่วนบุคคล ≠ ยกเลิก

ข่าวล่ามาเร็ว เลื่อน PDPA อีก 1 ปี! วันที่มีผลบังคับใช้อย่างเต็มรูปแบบ (รอบใหม่นี้) คือ 1 มิถุนายน 2565

กระทรวง DE โพสประกาศขยายเวลาบังคับใช้ ( = เลื่อน) PDPA ไปอีก 1 ปี ส่งผลต่อเราในฐานะเจ้าของข้อมูล (Data Subject) และ ในฐานะภาคธุรกิจ (Data Controller) อย่างไร มาดูกันในโพสนี้ครับ

บุคคลทั่วไป เช่นเราทุกคน ในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ถูกภาคธุรกิจเก็บข้อมูลไปใช้เพื่อวัตถุประสงค์ต่างๆนาๆ แจ้งบ้าง ไม่แจ้งบ้าง ถูกบ้าง ผิดบ้าง อาจจะต้องทนกันต่อไปอีก 1 ปี เนื่องจากว่ากฎหมายจะยังไม่มีผลบังคับใช้ (ยังไม่มีบทลงโทษใดๆ) เราอาจจะเห็นการใช้ข้อมูลโดยที่ไม่แจ้ง หรือ ไม่ขออนุญาตไปอีก 1 ปี เราอาจจะเห็นการโทรมาขายพ่วงประกัน บัตรเครดิต โดยเอาข้อมูลส่วนบุคคลจากแหล่งต่างๆ โดยไม่มีการแจ้งที่มากันต่ออีก 1 ปี

ข้อมูลส่วนบุคคล

แต่อย่างไรก็ตามถ้าหากมีใครมาใช้ข้อมูลเรา แล้วทำให้เกิดความเสียหาย เช่น เอาสำเนาบัตรประชาชนเราไปกู้เงินทำให้เกิดหนี้สินโดยที่เราไม่รับรู้ เราก็ยังสามารถฟ้องร้องเอาผิดได้อยู่เหมือนเดิมนะครับ (แค่ไม่ได้ฟ้องด้วยกฎหมาย PDPA) แต่อาจจะมีความยากลำบากและต้องใช้ความพยายามในการพิสูจน์เอาผิดมากขึ้น เมื่อเทียบกับการฟ้องร้องภายใต้ PDPA (ที่ภาคธุรกิจ หรือ Data Controller ต้องมีหน้าที่ในการพิสูจน์ครับ) อย่างไรก็ตามทาง EasyPDPA เราเป็นกำลังใจให้ทุกคน และจะช่วยเป็นส่วนหนึ่งในการเสริมสร้างความรู้ความเข้าใจให้ถูกต้องต่อไปครับ

PDPA เลื่อน

ภาคธุรกิจในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีหน้าที่ต้องทำตาม PDPA อาจจะมีเวลาหายใจและเตรียมตัวเพิ่มขึ้นอีก 1 ปี แต่ก็ไม่ได้หมายความว่าเราสามารถใช้ข้อมูลส่วนบุคคลของลูกค้า หรือ พนักงานยังไงก็ได้นะครับ ทางกระทรวง DE ยังเน้นย้ำว่า Data Controller ยังคงต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ ประกาศกำหนด (ซึ่งส่วนนี้ต้องเริ่มทำเลยทันที และไม่ได้รับการเลื่อนนะครับ) ซึ่งทางเราสรุปมาให้ 4 ข้อง่ายๆครับ

1. การสร้างความตระหนักรู้ให้กับบุคคลากรและพนักงานทุกคน ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือพูดง่ายๆคือการจัดการ Training สร้าง Awareness เรื่องข้อมูลส่วนบุคคลนั่นเองครับ

2. การทำ Access Control แบ่งสิทธิ์การเข้าถึงข้อมูลให้กับแต่ละบุคลากรตามหน้าที่และความจำเป็น

3. การเก็บ Logs & Records ว่ามีบุคคลใดเข้าถึง ทำสำเนา หรือแก้ไขข้อมูลส่วนบุคคลขององค์กรบ้าง

4. การรักษาความปลอดภัยของข้อมูล Data Security อาทิเช่นการป้องการการเข้าถึงโดยไม่ได้รับอนุญาต จากทั้งภายนอก (เช่น data breach, hacking) และ ภายในองค์กร (unauthorized access)

สุดท้ายนี้ทาง EasyPDPA ยังขอเน้นย้ำครับว่าการเลื่อนออกไปอีก 1 ปี ไม่ได้หมายความว่ายกเลิก ซึ่งแปลว่ากฎหมายนี้จะถูกนำมาใช้เต็มรูปแบบในอีก 1 ปีข้างหน้า จากประสบการณ์ให้คำปรึกษามากว่า 40 บริษัทในรอบปีที่ผ่านมา บริษัทจะใช้เวลาในการเตรียมตัวด้าน PDPA ทั้งระบบเฉลี่ย อยู่ที่ประมาณ​ 6-12 เดือน ซึ่งแน่นอนว่าไม่ได้เป็นการเตรียมตัวใน 1-2 อาทิตย์แน่ๆ อีกทั้งบริษัทที่มีการเตรียมตัวมาดีก่อนกฎหมายบังคับใช้ สามารถวางแผนและบริหารการใช้ข้อมูลส่วนบุคคลเดิมได้ดีกว่าบริษัทที่ไม่ได้เตรียมตัวอย่างมากๆ ส่งผลให้สามารถใช้ข้อมูลได้ “มากขึ้น” และ “ง่ายขึ้น” เมื่อกฎหมายมีผลบังคับใช้ครับ ทาง EasyPDPA เลยแนะนำว่า PDPA เตรียมตัวก่อน ได้เปรียบกว่า แน่นอนครับ

สร้าง Cookies Popup ฟรี!

ใครอยากได้ PDPA/GDPR Cookies Popup ไปใช้แบบฟรีๆ ทดลองใช้งาน Cookies Popup จาก EasyPDPA ได้ครับ ครบถ้วน ถูกหลัก PDPA

เริ่มสร้าง Privacy Policy ได้แล้ววันนี้!

มาพร้อมกับเทมเพลต Privacy Policy / Privacy Notice เหมาะสำหรับการใช้ภายในบริษัท ให้คุณเริ่มต้นใช้งานง่ายๆ ถูกหลักตามกฎหมาย PDPA หากใครสนใจอยากลองใช้งาน แต่ไม่รู้ว่าจะซื้อที่ไหนดี? ทดลองใช้ Privacy Policy ได้แล้ววันนี้

#EasyPDPA
#เลื่อนPDPA
#ที่ปรึกษาPDPA
#PDPAComplianceAward2020
#PrivacyPolicy
#PrivacyNotice
#EasyCookies

Categories
PDPA Tips

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

คุณมี Privacy Policy แล้วหรือยัง?
ถ้าคำตอบคือยัง เราแนะนำว่าให้รีบดำเนินการโดยด่วน! เพราะอีกไม่กี่เดือน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้แล้ว พร้อมกับโทษปรับมหาศาลและโทษอื่นๆ อีกมากมาย โดยจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้

  1. โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  2. โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  3. โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

PDPA กำหนดหน้าที่ให้ผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ต้องแจ้ง Privacy Policy แก่เจ้าของข้อมูลส่วนบุคคลทราบ หากถึงวันที่ 1 มิ.ย. 2565 แล้วคุณยังไม่ได้จัดทำ Privacy Policy หรือทำไม่ถูกต้องตามกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคุณอาจได้รับโทษทางปกครองได้

ถึงแม้ PDPA จะยังไม่มีผลบังคับใช้ในทันทีแต่การเริ่มทำไว้ตั้งแต่เนิ่นๆ ก็จะส่งผลดีต่อธุรกิจของคุณ เพราะการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะก่อนหรือหลังพ.ร.บ. บังคับใช้ ต้องมีการแจ้ง Privacy Policy อยู่ดี ถ้าคุณไม่เตรียมตัวตั้งแต่ตอนนี้ อาจไม่ทันการและมีความเสี่ยงภายใต้ PDPA ได้ นอกจากนี้ยังช่วยให้คุณได้ทดลองระบบต่างๆ ในการเก็บข้อมูลส่วนบุคคล เพื่อปรับระบบให้สอดรับกับ PDPA ด้วย

จะเห็นได้ว่า โทษของ พ.ร.บ. นี้ค่อนข้างรุนแรงเลยทีเดียว ดังนั้นคุณควรเริ่มดำเนินการทำ Privacy Policy โดยด่วน เพื่อลดความเสี่ยงที่อาจจะเกิดตามมา แต่ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

Privacy Policy คืออะไร?

Privacy Policy หรือ นโยบายความเป็นส่วนตัว คือ การ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคลรูปแบบหนึ่ง โดยระบุว่าคุณจะเก็บข้อมูลอะไรของเจ้าของข้อมูลบ้าง? จะเอาไปใช้ทำอะไรบ้าง? จะเก็บข้อมูลไว้ที่ไหน?  จะขอลบข้อมูลต้องติดต่อใคร? จะลบภายในกี่วัน? และจะมีมาตรการอย่างไรในการรักษาความเป็นส่วนตัวของผู้ให้ข้อมูล เป็นต้น

หากคุณทำธุรกิจหรือให้บริการใดๆ ที่จะต้องมีการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล  ยกตัวอย่างเช่น ชื่อ ที่อยู่ หรือเบอร์ติดต่อ คุณจะต้องแจ้งให้เจ้าของข้อมูลทราบว่าคุณเก็บ ใช้ ส่งต่อ เปิดเผย และรักษาข้อมูลเหล่านั้นอย่างไร เพื่อจุดประสงค์อะไรบ้าง  ซึ่งรายละเอียดนี้เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัวนั่นเอง

Privacy Policy จะต้องแจ้งยังไง?

โดยปกติ คุณมักจะเห็น Privacy Policy ปรากฎตัวตามหน้าเว็บไซต์ต่างๆ แต่จริงๆ แล้ว ผู้ใช้ข้อมูลยังสามารถแจ้ง Privacy Policy ด้วยวิธีอื่นๆ ได้ เช่น ติดประกาศเพื่อแจ้งให้พนักงานในบริษัททราบ ส่งเป็นเอกสารตอนเซ็นสัญญา ส่งอีเมล แจ้งในเว็บไซต์ แอพพลิเคชั่น หรือช่องทางอื่นๆ ที่คุณใช้ แต่ที่คุณมักเห็น Privacy Policy บนเว็บไซต์ก็เพราะว่า เกือบจะทุกเว็บไซต์มีการเก็บข้อมูลส่วนบุคคล การมี Privacy Policy จึงมีความจำเป็นอย่างมาก

แล้วทำไมถึงต้องมี Privacy Policy ล่ะ?

ฟังดูแล้วเจ้าตัว Privacy Policy นี้จะมีประโยชน์กับเจ้าของข้อมูลส่วนบุคคลเป็นหลัก แล้วทำไมผู้ใช้ข้อมูลถึงต้องสร้าง Privacy Policy ด้วยหละ? ข้อดีของการมี Privacy Policy อย่างแรกเลยคือ มันช่วยทำให้ธุรกิจหรือแบรนด์ของคุณดูน่าเชื่อถือมากยิ่งขึ้น เจ้าของข้อมูลจะรู้สึกเชื่อใจในการให้ข้อมูลกับคุณ ซึ่งนั่นก็ทำให้เป็นผลดีต่อแบรนด์ของคุณด้วย

ข้อที่สองคือ ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ จะมีการประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยออกมาเพื่อกำหนดกรอบและหน้าที่เพิ่มเติมสำหรับผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ซึ่งหนึ่งในหน้าที่เหล่านั้นคือ การแจ้ง Privacy Policy ให้บุคคลเหล่านั้นทราบ และหากไม่ทำตาม จะมีบทลงโทษแก่ผู้ที่นำข้อมูลส่วนบุคคลไปใช้ โดยมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งอาจจะโดนโทษปรับสูงสุดถึง 5 ล้านบาท

ดังนั้น หากคุณทำธุรกิจหรือให้บริการใดๆ ที่มีการเก็บข้อมูลส่วนบุคคล จากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ แล้วคุณยังไม่มี Privacy Policy ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท