PDPA คืออะไร อัปเดตข้อมูลที่ธุรกิจต้องรู้ ฉบับปี 2568

ในยุคที่สังคมขับเคลื่อนด้วยเทคโนโลยีและข้อมูลที่มีจำนวนมหาศาล ทำให้ข้อมูลเปรียบเสมือนเป็นทรัพยากรที่สำคัญต่อธุรกิจ โดยเฉพาะข้อมูลส่วนบุคคล ที่สามารถนำไปต่อยอดเพื่อพัฒนาธุรกิจได้อีกมากมาย อีกทั้งด้วยเทคโนโลยีปัจจุบันที่ทำให้สามารถเข้าถึงข้อมูลได้ง่าย หากไม่ระวัง ธุรกิจอาจจะละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว ทำให้ในวันที่ 1 มิถุนายน 2565 จึงมีการประกาศใช้กฎหมาย PDPA ขึ้น ซึ่ง PDPA คืออะไร ทำไมธุรกิจถึงต้องรู้และให้ความสำคัญ เราจะไปหาคำตอบกันในบทความนี้ค่ะ

เรื่องที่ 1 PDPA คืออะไร

PDPA (Personal Data Protection Act) หรือ กฎหมาย PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่มุ่งเน้นคุ้มครอง “สิทธิความเป็นส่วนตัว” ของ “ข้อมูลส่วนบุคคล” ให้กับเจ้าของข้อมูลส่วนบุคคล เนื่องจากในปัจจุบันเมื่อเทคโนโลยีมีความก้าวหน้าและสลับซับซ้อนมากยิ่งขึ้น ข้อมูลส่วนบุคคลมักจะถูกเก็บรวบรวม นำไปใช้ หรือเปิดเผยไปยังบุคคลอื่น ๆ ได้อย่างรวดเร็ว อันก่อให้เกิดการละเมิดความเป็นส่วนตัว ซึ่งย่อมสร้างความเดือดร้อนรำคาญ และความเสียหายทั้งต่อเจ้าของข้อมูลส่วนบุคคล และต่อสังคมโดยภาพรวม

ด้วยเหตุนี้ ประเทศไทยจึงได้มีการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้น เพื่อให้ประชาชนเจ้าของข้อมูลส่วนบุคคล ได้มี “เครื่องมือทางกฎหมาย” ในการดูแลและปกป้องข้อมูลส่วนบุคคลของตนเอง อีกทั้งสามารถตรวจสอบองค์กรที่ทำการประมวลผลข้อมูลส่วนบุคคลของตนเองได้อีกด้วย

ในขณะเดียวกันนั้นกฎหมาย PDPA ได้กำหนดให้องค์กรที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มีหน้าที่ต้องสร้างกลไก หรือมาตรการรักษาความมั่นคงปลอดภัย (security measures) เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเกิดความเป็นธรรม โปร่งใส และลดความเสี่ยงต่อเหตุการละเมิดข้อมูลส่วนบุคคล กล่าวคือ เพื่อไม่ให้ข้อมูลนั้นสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยบุคคลที่ไม่ได้มีอำนาจหรือไม่ได้เกี่ยวข้องกับการใช้ข้อมูลดังกล่าว ซึ่งหากองค์กรหรือหน่วยงานใดที่นำข้อมูลส่วนบุคคลไปใช้ ไม่ว่าจะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผย โดยไม่ได้แจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล และไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน การกระทำนี้อาจถือได้ว่ามีความผิดทางกฎหมาย PDPA

ข้อมูลแบบไหนเป็นข้อมูลที่ถูกคุ้มครองด้วยกฎหมาย PDPA

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดนิยาม “ข้อมูลส่วนบุคคล” ไว้ว่าเป็นข้อมูลที่สามารถใช้ยืนยันตัวบุคคลนั้นได้ (เฉพาะบุคคลธรรมดาที่ยังมีชีวิตอยู่เท่านั้น ไม่รวมถึงนิติบุคคล หรือบุคคลที่เสียชีวิตแล้ว) ทั้งทางตรงและทางอ้อม โดยสามารถจำแนกข้อมูลส่วนบุคคลออกเป็น 2 ประเภท ได้แก่

1. ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ-นามสกุล ชื่อเล่น เลขบัตรประชาชน ที่อยู่ อีเมล เบอร์โทรศัพท์
2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive data) คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องจัดการข้อมูลชุดนี้ด้วยความระมัดระวังเป็นการพิเศษ เช่น เชื้อชาติ ศาสนา ประวัติสุขภาพ ลายนิ้วมือ

เมื่อเรารู้แล้วว่ากฎหมาย PDPA คืออะไร ดังนั้นองค์กรจึงต้องมีการเตรียมการหรือวางมาตรการเพื่อให้การเก็บรวบรวม การใช้ข้อมูล หรือการเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนดนั่นเอง

เพื่อการปฏิบัติตามกฎหมาย PDPA เราขออธิบายขั้นตอนการเตรียมการโดยอิงตามแผนผัง ดังนี้

เรื่องที่ 2 ROPA คืออะไร

หนึ่งในมาตรการที่กฎหมายกำหนดให้ต้องรีบดำเนินการ คือ “การจัดทำบันทึกรายการกิจกรรม

การประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities ; ROPA) ซึ่งในทุกขั้นตอนของ การประมวลผลข้อมูลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้มีหลักฐานในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ อีกทั้ง ยังช่วยให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้โปร่งใสและดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่เริ่มต้นขอเก็บข้อมูลจนถึงการใช้ หรือการโอน ประมวลผล หรือส่งต่อให้กับองค์กรอื่น โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำ ROPA ในรูปแบบเอกสาร ที่เป็นลายลักษณ์อักษร

PDPA และ ROPA เกี่ยวข้องกันอย่างไร

อย่างที่กล่าวไปตอนต้นว่า ROPA คือการบันทึกกิจกรรมประมวลข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในข้อกำหนดของกฎหมาย PDPA องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำ ROPA เพื่อให้สามารถตรวจสอบได้ว่าข้อมูลส่วนบุคคลต่าง ๆ ไหลเวียนไปยังหน่วยงานใดบ้าง และยังสามารถประเมินความเสี่ยงที่ข้อมูลจะรั่วไหลได้อีกด้วย

ขั้นตอนเบื้องต้นในการจัดทำ ROPA

1. มอบหมายให้ผู้รับผิดชอบดำเนินการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวิเคราะห์ ข้อมูลในภาพรวม โดยยึดข้อมูลตามมาตรา 39 พิจารณานโยบายการคุ้มครองข้อมูลขององค์กร

2. เริ่มเก็บข้อมูลบันทึกลงใน ROPA ตามกิจกรรมที่รับผิดชอบเกี่ยวข้องกับข้อมูลส่วนบุคคล จะทำให้ ทราบได้ว่าการจัดเก็บข้อมูลดังกล่าวมีความปลอดภัยหรือไม่ และมีมาตรการตามกฎหมาย PDPA มากน้อยเพียงใด

3. จัดทำแผนผังภาพรวมกิจกรรมภายในองค์กรเพื่อวางแผนนโยบายได้อย่างมีประสิทธิภาพ

ทั้งนี้ การจัดทำ ROPA ควรมีการอัปเดตข้อมูลและบันทึกกิจกรรมการประมวลผลให้เป็นปัจจุบันอยู่เสมอ เพื่อช่วยให้เห็นถึงช่องโหว่ความปลอดภัยขององค์กรที่อาจทำให้เกิดการรั่วไหลของข้อมูลได้ตลอดเวลา และทำให้สามารถแก้ไขเพื่อปิดช่องโหว่นั้นได้ทันถ่วงที รวมถึงลดความเสี่ยงการใช้ข้อมูลส่วนบุคคลในกิจกรรมใหม่ ๆ อย่างไม่ถูกต้องตามกฎหมาย PDPA ที่ทำให้เกิดเกิดความเสียหายหรือฟ้องร้องคดีในอนาคต

เรื่องที่ 3 ก่อนเก็บรวบรวมข้อมูลอย่าลืม Data Inventory PDPA!

Data Inventory PDPA คือ การวางแผนผังข้อมูลเพื่อช่วยให้องค์กรสามารถสำรวจข้อมูลและมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและชัดเจน โดยจะบันทึกข้อมูลเพื่อให้รู้ที่มาที่ไปว่าข้อมูลมาจากช่องทางใด เก็บจากใคร เก็บอย่างไร เก็บทำไม เก็บมาเมื่อไร สามารถติดตามและระบุตำแหน่งของข้อมูลได้อย่างรวดเร็ว ซึ่งจะอยู่ในขั้นตอนการเตรียมการก่อนเก็บรวบรวมข้อมูล

เรื่องที่ 4 DPO คืออะไร ทำไมองค์กรถึงต้องมีตำแหน่งนี้

เมื่อเราทราบแล้วว่าทุกกิจกรรมที่มีการเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลจะต้องมีผู้ดูแลรับผิดชอบในเรื่องดังกล่าว นั่นคือ DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือผู้ที่ทำหน้าที่ดูแลรักษาข้อมูลส่วนบุคคล เป็นเสมือนตัวแทนขององค์กร ที่จะให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหาหากองค์กรไหนที่จำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล แต่เพิกเฉย ไม่ปฏิบัติตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้

เรื่องที่ 5 จะเกิดอะไรขึ้น หากไม่ปฏิบัติตามข้อกฎหมาย PDPA

PDPA กำหนดให้ธุรกิจที่นำข้อมูลส่วนบุคคลมาใช้ จะต้องแจ้งให้เจ้าของข้อมูลทราบและให้ความยินยอมก่อน หากธุรกิจไม่ดำเนินการไปตามเงื่อนไขและมีการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยบทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดโทษไว้ 3 ลักษณะ คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

โทษทางแพ่ง บุคคลที่ทำหน้าที่ควบคุมข้อมูลและประมวลผลข้อมูล หากไม่ปฏิบัติตามกฎหมาย PDPA จนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือไม่ตั้งใจให้เกิดขึ้นก็ตาม จะต้องชดใช้ค่าสินไหมทดแทน ทั้งนี้ ศาลอาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียหายจริงที่เกิดขึ้น โดยบทลงโทษทางแพ่งจะมีอายุความ 3 ปี นับตั้งวันที่เจ้าของข้อมูลส่วนบุคคลรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล

โทษทางอาญา บทลงโทษทางอาญาเป็นความผิดที่เกิดจากการที่ธุรกิจผู้อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลได้ละเมิดข้อมูลส่วนบุคคลโดยนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล โดยจะมีโทษทั้งปรับเงิน, จำคุก หรือทั้งจำทั้งปรับ แบ่งตามกรณีต่าง ๆ ได้แก่

• ปรับเงินไม่เกิน 500,000 บาท จำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ ในกรณีสร้างความเสียหาย อับอาย เสียชื่อเสียงให้กับเจ้าของข้อมูลส่วนบุคคล
• ปรับเงินไม่เกิน 1,000,000 บาท จำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ ในกรณีธุรกิจแสวงหาผลประโยชน์ส่วนตนเองหรือผู้อื่นโดยทุจริต
• ปรับเงินไม่เกิน 500,000 บาท จำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ ในกรณีเปิดเผยข้อมูลให้ผู้อื่นรับรู้ โดยไม่ปฏิบัติตามข้อกฎหมาย PDPA

อ่านถึงตรงนี้ เราก็คงได้ทราบกันแล้วว่า PDPA คืออะไร ธุรกิจควรจะตื่นตัวและตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล เพื่อที่จะได้ดำเนินการและปฏิบัติตามข้อกฎหมายได้อย่างถูกต้อง

หากคุณกำลังมองหาตัวช่วยในการทำ PDPA แบบครบจบทุกขั้นตอน ให้ PDPA Core ช่วยดูแลธุรกิจของคุณ ทั้งให้คำปรึกษาและบริการครอบคลุมจัดอบรม PDPA ให้กับองค์กรทุกระดับ ทั้ง On-site, Online และคอร์ส E-Learning รวมถึง Implement PDPA พร้อมตรวจสอบ Compliance Audit ติดต่อเราเลย