PDPA คืออะไร PDPA คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ย่อมาจาก Personal Data Protection Act ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค. 2563 สาระสำคัญของ พ.ร.บ. นี้มีอะไรบ้างและผู้ดูแลเว็บไซต์หรือผู้มีเว็บไซต์จะต้องเตรียมอะไรบ้าง

7. ข้อ สาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act

1. PDPA เป็นพ.ร.บ.กฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยจะต้องปฏิบัติตาม หากผู้ใดฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี ต้องจ่ายค่าเสียหายตามจริง และกรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นอีกด้วย
2. ใครต้องปฏิบัติตาม บุคคลและนิติบุคคลที่จัดตั้งในราชอาณาจักรไทย รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทยจะต้องปฏิบัติตามพ.ร.บ.กฎหมายดังกล่าว
3. ข้อมูลที่ได้รับความคุ้มครอง PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดๆ ก็ตามที่สามารถระบุถึงตัวบุคคลได้ ไม่ว่าจะทางตรงหรือทางอ้อม รวมไปถึงบุคคลหรือนิติบุคคล
4. มาตรการความมั่นคงปลอดภัย จำเป็นต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลต่างๆ
5. สิทธิ์ของเจ้าของข้อมูล สามารถเข้าถึง แก้ไข ลบ จำกัดการประมวลผล ถ่ายโอน และทำลายข้อมูลของเข้าของข้อมูลเองได้ พร้อมทั้งสามารถขอให้เปิดเผยถึงการได้มา รายการข้อมูลที่จัดเก็บ รวมไปถึงการปฏิเสธไม่ให้ใช้ข้อมูล
6. ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล กรณีที่เป็นหน่วยงานที่มีการประมวลผลข้อมูลเป็นจำนวนมาก หรือประมวลผลข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม เชื้อชาติ ความคิดเห็นทางการเมือง จำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) สำหรับดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ
7. ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

ผู้ดูแลเว็บไซต์หรือผู้มีเว็บไซต์จะต้องทำอะไรบ้าง

ผู้ดูแลเว็บไซต์หรือผู้ที่มีเว็บไซต์จะต้องเตรียมข้อมูล เตรียมระบบเว็บไซต์ในส่วนการแจ้งเตื่อนเงื่อนไขการให้บริการหรือการจัดเก็บข้อมูลของเว็บไซต์เราอย่างไรบ้าง และต้องแจ้งอะไรให้กับผู้ใช้งานเว็บไซต์อะไรบ้าง สามารถดูได้ทั้ง 4 ข้อดังนี้

1. เว็บไซต์จะต้องมีหน้าแสดงนโยบายเงื่อนไขการจัดเก็บข้อมูล
2. เว็บไซต์จะต้องแสดงปุ่มแสดงเงื่อนไขการยินยอมของผู้ใช้งานเว็บไซต์
3. หากเป็นระบบเว็บไซต์มีระบบสมาชิก ระบบจะต้องสามารถลบข้อมูลออกจากระบบได้โดยสมาชิกเอง
4. ระบบเว็บไซต์ไม่ได้มีการจัดเก็บระบบสมาชิก จะต้องแจ้งลบข้อมูลอื่นๆได้ เช่น อีเมลที่ลงทะเบียนจดหมายข่าวไว้

ตัวอย่างระบบการแจ้งผู้ใช้งานให้ยินยอมหรือยอมรับนโยบายความเป็นส่วนตัว

หน้าตัวอย่าง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (PRIVACY POLICY) ของทางบริษัทพระนครซอฟต์ครับ