Categories
PDPA Tips

เลื่อนพรบ.คุ้มครองข้อมูลส่วนบุคคล ≠ ยกเลิก

ข่าวล่ามาเร็ว เลื่อน PDPA อีก 1 ปี! วันที่มีผลบังคับใช้อย่างเต็มรูปแบบ (รอบใหม่นี้) คือ 1 มิถุนายน 2565

กระทรวง DE โพสประกาศขยายเวลาบังคับใช้ ( = เลื่อน) PDPA ไปอีก 1 ปี ส่งผลต่อเราในฐานะเจ้าของข้อมูล (Data Subject) และ ในฐานะภาคธุรกิจ (Data Controller) อย่างไร มาดูกันในโพสนี้ครับ

บุคคลทั่วไป เช่นเราทุกคน ในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ถูกภาคธุรกิจเก็บข้อมูลไปใช้เพื่อวัตถุประสงค์ต่างๆนาๆ แจ้งบ้าง ไม่แจ้งบ้าง ถูกบ้าง ผิดบ้าง อาจจะต้องทนกันต่อไปอีก 1 ปี เนื่องจากว่ากฎหมายจะยังไม่มีผลบังคับใช้ (ยังไม่มีบทลงโทษใดๆ) เราอาจจะเห็นการใช้ข้อมูลโดยที่ไม่แจ้ง หรือ ไม่ขออนุญาตไปอีก 1 ปี เราอาจจะเห็นการโทรมาขายพ่วงประกัน บัตรเครดิต โดยเอาข้อมูลส่วนบุคคลจากแหล่งต่างๆ โดยไม่มีการแจ้งที่มากันต่ออีก 1 ปี

ข้อมูลส่วนบุคคล

แต่อย่างไรก็ตามถ้าหากมีใครมาใช้ข้อมูลเรา แล้วทำให้เกิดความเสียหาย เช่น เอาสำเนาบัตรประชาชนเราไปกู้เงินทำให้เกิดหนี้สินโดยที่เราไม่รับรู้ เราก็ยังสามารถฟ้องร้องเอาผิดได้อยู่เหมือนเดิมนะครับ (แค่ไม่ได้ฟ้องด้วยกฎหมาย PDPA) แต่อาจจะมีความยากลำบากและต้องใช้ความพยายามในการพิสูจน์เอาผิดมากขึ้น เมื่อเทียบกับการฟ้องร้องภายใต้ PDPA (ที่ภาคธุรกิจ หรือ Data Controller ต้องมีหน้าที่ในการพิสูจน์ครับ) อย่างไรก็ตามทาง EasyPDPA เราเป็นกำลังใจให้ทุกคน และจะช่วยเป็นส่วนหนึ่งในการเสริมสร้างความรู้ความเข้าใจให้ถูกต้องต่อไปครับ

PDPA เลื่อน

ภาคธุรกิจในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีหน้าที่ต้องทำตาม PDPA อาจจะมีเวลาหายใจและเตรียมตัวเพิ่มขึ้นอีก 1 ปี แต่ก็ไม่ได้หมายความว่าเราสามารถใช้ข้อมูลส่วนบุคคลของลูกค้า หรือ พนักงานยังไงก็ได้นะครับ ทางกระทรวง DE ยังเน้นย้ำว่า Data Controller ยังคงต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ ประกาศกำหนด (ซึ่งส่วนนี้ต้องเริ่มทำเลยทันที และไม่ได้รับการเลื่อนนะครับ) ซึ่งทางเราสรุปมาให้ 4 ข้อง่ายๆครับ

1. การสร้างความตระหนักรู้ให้กับบุคคลากรและพนักงานทุกคน ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือพูดง่ายๆคือการจัดการ Training สร้าง Awareness เรื่องข้อมูลส่วนบุคคลนั่นเองครับ

2. การทำ Access Control แบ่งสิทธิ์การเข้าถึงข้อมูลให้กับแต่ละบุคลากรตามหน้าที่และความจำเป็น

3. การเก็บ Logs & Records ว่ามีบุคคลใดเข้าถึง ทำสำเนา หรือแก้ไขข้อมูลส่วนบุคคลขององค์กรบ้าง

4. การรักษาความปลอดภัยของข้อมูล Data Security อาทิเช่นการป้องการการเข้าถึงโดยไม่ได้รับอนุญาต จากทั้งภายนอก (เช่น data breach, hacking) และ ภายในองค์กร (unauthorized access)

สุดท้ายนี้ทาง EasyPDPA ยังขอเน้นย้ำครับว่าการเลื่อนออกไปอีก 1 ปี ไม่ได้หมายความว่ายกเลิก ซึ่งแปลว่ากฎหมายนี้จะถูกนำมาใช้เต็มรูปแบบในอีก 1 ปีข้างหน้า จากประสบการณ์ให้คำปรึกษามากว่า 40 บริษัทในรอบปีที่ผ่านมา บริษัทจะใช้เวลาในการเตรียมตัวด้าน PDPA ทั้งระบบเฉลี่ย อยู่ที่ประมาณ​ 6-12 เดือน ซึ่งแน่นอนว่าไม่ได้เป็นการเตรียมตัวใน 1-2 อาทิตย์แน่ๆ อีกทั้งบริษัทที่มีการเตรียมตัวมาดีก่อนกฎหมายบังคับใช้ สามารถวางแผนและบริหารการใช้ข้อมูลส่วนบุคคลเดิมได้ดีกว่าบริษัทที่ไม่ได้เตรียมตัวอย่างมากๆ ส่งผลให้สามารถใช้ข้อมูลได้ “มากขึ้น” และ “ง่ายขึ้น” เมื่อกฎหมายมีผลบังคับใช้ครับ ทาง EasyPDPA เลยแนะนำว่า PDPA เตรียมตัวก่อน ได้เปรียบกว่า แน่นอนครับ

สร้าง Cookies Popup ฟรี!

ใครอยากได้ PDPA/GDPR Cookies Popup ไปใช้แบบฟรีๆ ทดลองใช้งาน Cookies Popup จาก EasyPDPA ได้ครับ ครบถ้วน ถูกหลัก PDPA

เริ่มสร้าง Privacy Policy ได้แล้ววันนี้!

มาพร้อมกับเทมเพลต Privacy Policy / Privacy Notice เหมาะสำหรับการใช้ภายในบริษัท ให้คุณเริ่มต้นใช้งานง่ายๆ ถูกหลักตามกฎหมาย PDPA หากใครสนใจอยากลองใช้งาน แต่ไม่รู้ว่าจะซื้อที่ไหนดี? ทดลองใช้ Privacy Policy ได้แล้ววันนี้

#EasyPDPA
#เลื่อนPDPA
#ที่ปรึกษาPDPA
#PDPAComplianceAward2020
#PrivacyPolicy
#PrivacyNotice
#EasyCookies