Categories
PDPA Tips

เลื่อนพรบ.คุ้มครองข้อมูลส่วนบุคคล ≠ ยกเลิก

ข่าวล่ามาเร็ว เลื่อน PDPA อีก 1 ปี! วันที่มีผลบังคับใช้อย่างเต็มรูปแบบ (รอบใหม่นี้) คือ 1 มิถุนายน 2565

กระทรวง DE โพสประกาศขยายเวลาบังคับใช้ ( = เลื่อน) PDPA ไปอีก 1 ปี ส่งผลต่อเราในฐานะเจ้าของข้อมูล (Data Subject) และ ในฐานะภาคธุรกิจ (Data Controller) อย่างไร มาดูกันในโพสนี้ครับ

บุคคลทั่วไป เช่นเราทุกคน ในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ถูกภาคธุรกิจเก็บข้อมูลไปใช้เพื่อวัตถุประสงค์ต่างๆนาๆ แจ้งบ้าง ไม่แจ้งบ้าง ถูกบ้าง ผิดบ้าง อาจจะต้องทนกันต่อไปอีก 1 ปี เนื่องจากว่ากฎหมายจะยังไม่มีผลบังคับใช้ (ยังไม่มีบทลงโทษใดๆ) เราอาจจะเห็นการใช้ข้อมูลโดยที่ไม่แจ้ง หรือ ไม่ขออนุญาตไปอีก 1 ปี เราอาจจะเห็นการโทรมาขายพ่วงประกัน บัตรเครดิต โดยเอาข้อมูลส่วนบุคคลจากแหล่งต่างๆ โดยไม่มีการแจ้งที่มากันต่ออีก 1 ปี

ข้อมูลส่วนบุคคล

แต่อย่างไรก็ตามถ้าหากมีใครมาใช้ข้อมูลเรา แล้วทำให้เกิดความเสียหาย เช่น เอาสำเนาบัตรประชาชนเราไปกู้เงินทำให้เกิดหนี้สินโดยที่เราไม่รับรู้ เราก็ยังสามารถฟ้องร้องเอาผิดได้อยู่เหมือนเดิมนะครับ (แค่ไม่ได้ฟ้องด้วยกฎหมาย PDPA) แต่อาจจะมีความยากลำบากและต้องใช้ความพยายามในการพิสูจน์เอาผิดมากขึ้น เมื่อเทียบกับการฟ้องร้องภายใต้ PDPA (ที่ภาคธุรกิจ หรือ Data Controller ต้องมีหน้าที่ในการพิสูจน์ครับ) อย่างไรก็ตามทาง EasyPDPA เราเป็นกำลังใจให้ทุกคน และจะช่วยเป็นส่วนหนึ่งในการเสริมสร้างความรู้ความเข้าใจให้ถูกต้องต่อไปครับ

PDPA เลื่อน

ภาคธุรกิจในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีหน้าที่ต้องทำตาม PDPA อาจจะมีเวลาหายใจและเตรียมตัวเพิ่มขึ้นอีก 1 ปี แต่ก็ไม่ได้หมายความว่าเราสามารถใช้ข้อมูลส่วนบุคคลของลูกค้า หรือ พนักงานยังไงก็ได้นะครับ ทางกระทรวง DE ยังเน้นย้ำว่า Data Controller ยังคงต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ ประกาศกำหนด (ซึ่งส่วนนี้ต้องเริ่มทำเลยทันที และไม่ได้รับการเลื่อนนะครับ) ซึ่งทางเราสรุปมาให้ 4 ข้อง่ายๆครับ

1. การสร้างความตระหนักรู้ให้กับบุคคลากรและพนักงานทุกคน ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือพูดง่ายๆคือการจัดการ Training สร้าง Awareness เรื่องข้อมูลส่วนบุคคลนั่นเองครับ

2. การทำ Access Control แบ่งสิทธิ์การเข้าถึงข้อมูลให้กับแต่ละบุคลากรตามหน้าที่และความจำเป็น

3. การเก็บ Logs & Records ว่ามีบุคคลใดเข้าถึง ทำสำเนา หรือแก้ไขข้อมูลส่วนบุคคลขององค์กรบ้าง

4. การรักษาความปลอดภัยของข้อมูล Data Security อาทิเช่นการป้องการการเข้าถึงโดยไม่ได้รับอนุญาต จากทั้งภายนอก (เช่น data breach, hacking) และ ภายในองค์กร (unauthorized access)

สุดท้ายนี้ทาง EasyPDPA ยังขอเน้นย้ำครับว่าการเลื่อนออกไปอีก 1 ปี ไม่ได้หมายความว่ายกเลิก ซึ่งแปลว่ากฎหมายนี้จะถูกนำมาใช้เต็มรูปแบบในอีก 1 ปีข้างหน้า จากประสบการณ์ให้คำปรึกษามากว่า 40 บริษัทในรอบปีที่ผ่านมา บริษัทจะใช้เวลาในการเตรียมตัวด้าน PDPA ทั้งระบบเฉลี่ย อยู่ที่ประมาณ​ 6-12 เดือน ซึ่งแน่นอนว่าไม่ได้เป็นการเตรียมตัวใน 1-2 อาทิตย์แน่ๆ อีกทั้งบริษัทที่มีการเตรียมตัวมาดีก่อนกฎหมายบังคับใช้ สามารถวางแผนและบริหารการใช้ข้อมูลส่วนบุคคลเดิมได้ดีกว่าบริษัทที่ไม่ได้เตรียมตัวอย่างมากๆ ส่งผลให้สามารถใช้ข้อมูลได้ “มากขึ้น” และ “ง่ายขึ้น” เมื่อกฎหมายมีผลบังคับใช้ครับ ทาง EasyPDPA เลยแนะนำว่า PDPA เตรียมตัวก่อน ได้เปรียบกว่า แน่นอนครับ

สร้าง Cookies Popup ฟรี!

ใครอยากได้ PDPA/GDPR Cookies Popup ไปใช้แบบฟรีๆ ทดลองใช้งาน Cookies Popup จาก EasyPDPA ได้ครับ ครบถ้วน ถูกหลัก PDPA

เริ่มสร้าง Privacy Policy ได้แล้ววันนี้!

มาพร้อมกับเทมเพลต Privacy Policy / Privacy Notice เหมาะสำหรับการใช้ภายในบริษัท ให้คุณเริ่มต้นใช้งานง่ายๆ ถูกหลักตามกฎหมาย PDPA หากใครสนใจอยากลองใช้งาน แต่ไม่รู้ว่าจะซื้อที่ไหนดี? ทดลองใช้ Privacy Policy ได้แล้ววันนี้

#EasyPDPA
#เลื่อนPDPA
#ที่ปรึกษาPDPA
#PDPAComplianceAward2020
#PrivacyPolicy
#PrivacyNotice
#EasyCookies

Categories
PDPA Tips

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

คุณมี Privacy Policy แล้วหรือยัง?
ถ้าคำตอบคือยัง เราแนะนำว่าให้รีบดำเนินการโดยด่วน! เพราะอีกไม่กี่เดือน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้แล้ว พร้อมกับโทษปรับมหาศาลและโทษอื่นๆ อีกมากมาย โดยจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้

  1. โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  2. โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  3. โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

PDPA กำหนดหน้าที่ให้ผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ต้องแจ้ง Privacy Policy แก่เจ้าของข้อมูลส่วนบุคคลทราบ หากถึงวันที่ 1 มิ.ย. 2565 แล้วคุณยังไม่ได้จัดทำ Privacy Policy หรือทำไม่ถูกต้องตามกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคุณอาจได้รับโทษทางปกครองได้

ถึงแม้ PDPA จะยังไม่มีผลบังคับใช้ในทันทีแต่การเริ่มทำไว้ตั้งแต่เนิ่นๆ ก็จะส่งผลดีต่อธุรกิจของคุณ เพราะการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะก่อนหรือหลังพ.ร.บ. บังคับใช้ ต้องมีการแจ้ง Privacy Policy อยู่ดี ถ้าคุณไม่เตรียมตัวตั้งแต่ตอนนี้ อาจไม่ทันการและมีความเสี่ยงภายใต้ PDPA ได้ นอกจากนี้ยังช่วยให้คุณได้ทดลองระบบต่างๆ ในการเก็บข้อมูลส่วนบุคคล เพื่อปรับระบบให้สอดรับกับ PDPA ด้วย

จะเห็นได้ว่า โทษของ พ.ร.บ. นี้ค่อนข้างรุนแรงเลยทีเดียว ดังนั้นคุณควรเริ่มดำเนินการทำ Privacy Policy โดยด่วน เพื่อลดความเสี่ยงที่อาจจะเกิดตามมา แต่ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

Privacy Policy คืออะไร?

Privacy Policy หรือ นโยบายความเป็นส่วนตัว คือ การ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคลรูปแบบหนึ่ง โดยระบุว่าคุณจะเก็บข้อมูลอะไรของเจ้าของข้อมูลบ้าง? จะเอาไปใช้ทำอะไรบ้าง? จะเก็บข้อมูลไว้ที่ไหน?  จะขอลบข้อมูลต้องติดต่อใคร? จะลบภายในกี่วัน? และจะมีมาตรการอย่างไรในการรักษาความเป็นส่วนตัวของผู้ให้ข้อมูล เป็นต้น

หากคุณทำธุรกิจหรือให้บริการใดๆ ที่จะต้องมีการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล  ยกตัวอย่างเช่น ชื่อ ที่อยู่ หรือเบอร์ติดต่อ คุณจะต้องแจ้งให้เจ้าของข้อมูลทราบว่าคุณเก็บ ใช้ ส่งต่อ เปิดเผย และรักษาข้อมูลเหล่านั้นอย่างไร เพื่อจุดประสงค์อะไรบ้าง  ซึ่งรายละเอียดนี้เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัวนั่นเอง

Privacy Policy จะต้องแจ้งยังไง?

โดยปกติ คุณมักจะเห็น Privacy Policy ปรากฎตัวตามหน้าเว็บไซต์ต่างๆ แต่จริงๆ แล้ว ผู้ใช้ข้อมูลยังสามารถแจ้ง Privacy Policy ด้วยวิธีอื่นๆ ได้ เช่น ติดประกาศเพื่อแจ้งให้พนักงานในบริษัททราบ ส่งเป็นเอกสารตอนเซ็นสัญญา ส่งอีเมล แจ้งในเว็บไซต์ แอพพลิเคชั่น หรือช่องทางอื่นๆ ที่คุณใช้ แต่ที่คุณมักเห็น Privacy Policy บนเว็บไซต์ก็เพราะว่า เกือบจะทุกเว็บไซต์มีการเก็บข้อมูลส่วนบุคคล การมี Privacy Policy จึงมีความจำเป็นอย่างมาก

แล้วทำไมถึงต้องมี Privacy Policy ล่ะ?

ฟังดูแล้วเจ้าตัว Privacy Policy นี้จะมีประโยชน์กับเจ้าของข้อมูลส่วนบุคคลเป็นหลัก แล้วทำไมผู้ใช้ข้อมูลถึงต้องสร้าง Privacy Policy ด้วยหละ? ข้อดีของการมี Privacy Policy อย่างแรกเลยคือ มันช่วยทำให้ธุรกิจหรือแบรนด์ของคุณดูน่าเชื่อถือมากยิ่งขึ้น เจ้าของข้อมูลจะรู้สึกเชื่อใจในการให้ข้อมูลกับคุณ ซึ่งนั่นก็ทำให้เป็นผลดีต่อแบรนด์ของคุณด้วย

ข้อที่สองคือ ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ จะมีการประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยออกมาเพื่อกำหนดกรอบและหน้าที่เพิ่มเติมสำหรับผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ซึ่งหนึ่งในหน้าที่เหล่านั้นคือ การแจ้ง Privacy Policy ให้บุคคลเหล่านั้นทราบ และหากไม่ทำตาม จะมีบทลงโทษแก่ผู้ที่นำข้อมูลส่วนบุคคลไปใช้ โดยมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งอาจจะโดนโทษปรับสูงสุดถึง 5 ล้านบาท

ดังนั้น หากคุณทำธุรกิจหรือให้บริการใดๆ ที่มีการเก็บข้อมูลส่วนบุคคล จากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ แล้วคุณยังไม่มี Privacy Policy ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

หนึ่งในกฏหมายใหม่ที่กำลังเป็นประเด็นร้อนแรงในขณะนี้ คงหนีไม่พ้นพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งหลายองค์กรต่างให้ความสำคัญมากเป็นพิเศษ

โดยเฉพาะฝ่ายทรัพยากรบุคคล (HR) ที่มีหน้าที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล ทั้งของพนักงานและผู้สมัครงาน นับเป็นบุคคลกลุ่มแรกที่เสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว! เพื่อป้องกันปัญหาที่จะเกิดขึ้นในอนาคต 

HR ยุคใหม่จึงควรมีความรู้ความเข้าใจเกี่ยวกับ PDPA  มากยิ่งขึ้น

วันนี้ เราจะมาสรุป 3 ประเด็นหลัก ว่าทำไม HR ยุคใหม่ ควรรู้ PDPA

ประเด็นที่ 1
ฝ่ายทรัพยากรบุคคล (HR) มีหน้าที่รวบรวมข้อมูลส่วนบุคคล จากเจ้าของข้อมูลเหล่านี้

  • ข้อมูลจากผู้สมัครงาน ซึ่งมีการกรอกข้อมูลต่างๆ ลงในใบสมัครงาน หรือ Resume
  • ข้อมูลจากพนักงานในองค์กร ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทร ประวัติการศึกษา เงินเดือน ผลการประเมินการทำงาน ประวัติสุขภาพ ประวัติอาชญากรรม เป็นต้น
  • ข้อมูลจากพนักงานเก่า อย่างเช่น ประวัติการทำงาน เงินเดือน หรือสัญญาจ้าง 

ซึ่งข้อมูลของกลุ่มคนเหล่านี้อาจเก็บด้วยฐานกฎหมายที่แตกต่างกัน หรืออาจจะมีการเก็บข้อมูลซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว

โดยจะมีขั้นตอนการปฏิบัติและมาตรฐานการรักษาความปลอดภัยของข้อมูลที่แตกต่างกัน ดังนั้น การที่เราเก็บข้อมูลอะไรของพนักงาน หรือผู้สมัครอาจจะต้องคำนึงถึงความจำเป็นและขั้นตอนที่จะต้องปฏิบัติต่อข้อมูลนั้นๆด้วย

แต่อย่าพึ่งตกใจไป เพราะยังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ ตราบใดที่มีความจำเป็นตามกฎหมาย (เช่น การจ้างงาน การจ่ายเงินเดือน เป็นต้น) เพียงแต่จะต้องมีการแจ้งให้พนักงานทราบอย่างชัดเจนเท่านั้นเองว่า เราเก็บข้อมูลอะไรบ้างและนำไปใช้เพื่ออะไรบ้าง ซึ่งในที่นี้เป็นหน้าที่ของ HR ยุคใหม่ที่จะต้องแจ้งผ่านเอกสารที่มีชื่อว่า HR Privacy Policy

ประเด็นที่ 2

ฝ่ายทรัพยากรบุคคล (HR) จำเป็นที่จะต้องส่งมอบข้อมูลส่วนบุคคล ให้กับหน่วยงานอื่นๆ ในองค์กร ซึ่งในบางครั้ง HR มีความจำเป็นที่จะต้องส่งมอบข้อมูลของพนักงาน ให้แก่บุคคลที่สาม เช่น การส่งข้อมูลเกี่ยวกับเงินเดือนของพนักงาน หรือการส่งชื่อ เลขบัญชี และเงินเดือน ให้กับแผนกบัญชี

หรือบางทีอาจต้องส่งข้อมูลของพนักงานให้แก่หน่วยงานของรัฐ เช่น กรมสรรพากร หรือ สำนักงานประกันสังคม เป็นต้น

การส่งข้อมูลของพนักงานให้แก่บุคคลที่สาม ถือเป็นการประมวลผลข้อมูลตาม PDPA จำเป็นต้องระบุรายละเอียดของการส่งต่อข้อมูลใน Privacy Policy ทุกครั้ง ว่าจะต้องส่งต่อข้อมูลในกรณีไหน ฐานอะไร ส่งให้ใคร และผู้ใดมีสิทธิที่จะเข้าถึงข้อมูลบ้าง เป็นต้น

ซึ่งการเปิดเผยข้อมูลส่วนบุคคลของพนักงานให้แก่บุคคลภายนอก จำเป็นต้องมีการขอความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง ดังนั้น HR ยุคใหม่จะต้องไม่ลืมประเด็นนี้เป็นอันขาด

ประเด็นที่ 3
HR เป็นผู้นำในการปรับใช้ PDPA ในองค์กร เนื่องจาก PDPA ถือเป็นความรู้ที่ค่อนข้างใหม่สำหรับทุกคน ในฐานะ HR ยุคใหม่ ซึ่งเปรียบเสมือนฟันเฟืองในการขับเคลื่อนองค์กร จึงมีบทบาทสำคัญในการนำ PDPA มาปรับใช้ในองค์กรด้วย เช่น การจัด Training ด้าน PDPA ให้พนักงาน เป็นต้น ซึ่งการริเริ่มในการปรับใช้ PDPA ถือเป็นสิ่งจำเป็นมาก เนื่องจากหากพนักงานคนใดคนหนึ่งทำผิด ความรับผิดอาจตกแก่บริษัทได้