PDPA คืออะไร อัปเดตข้อมูลที่ธุรกิจต้องรู้ ฉบับปี 2568

ในยุคที่สังคมขับเคลื่อนด้วยเทคโนโลยีและข้อมูลที่มีจำนวนมหาศาล ทำให้ข้อมูลเปรียบเสมือนเป็นทรัพยากร ที่สำคัญต่อธุรกิจ โดยเฉพาะข้อมูลส่วนบุคคล ที่สามารถนำไปต่อยอดเพื่อพัฒนาธุรกิจได้อีกมากมาย อีกทั้งด้วยเทคโนโลยีปัจจุบันที่ทำให้สามารถเข้าถึงข้อมูลได้ง่าย หากไม่ระวัง ธุรกิจอาจจะละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว ทำให้ในวันที่ 1 มิถุนายน 2565 จึงมีการประกาศใช้กฎหมาย PDPA ขึ้น ซึ่ง PDPA คืออะไร ทำไมธุรกิจถึงต้องรู้และให้ความสำคัญ เราจะไปหาคำตอบกันในบทความนี้ค่ะ

PDPA คืออะไร

PDPA (Personal Data Protection Act) หรือ กฎหมาย PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลและการจัดเก็บข้อมูลโดยปราศจากการแจ้งให้ทราบและให้ความยินยอมจากเจ้าของข้อมูล ด้วยเหตุนี้ จึงได้มีการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้น เพื่อให้หน่วยงานที่เกี่ยวข้อง และประชาชนเจ้าของข้อมูลได้ตระหนักถึงความสำคัญในการดูแลและปกป้องการละเมิดข้อมูลส่วนบุคคล ซึ่งหากทางองค์กรหรือหน่วยงานใดที่นำข้อมูลส่วนบุคคลไปใช้ ไม่ว่าจะเป็นการเก็บ รวบรวม เปิดเผย โดยไม่ได้แจ้งและได้รับความยินยอมจากเจ้าของข้อมูลก่อน จึงอาจถือได้ว่ามีความผิดทางกฎหมาย

ข้อมูลแบบไหนเป็นข้อมูลที่ถูกคุ้มครองด้วยกฎหมาย PDPA

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดนิยาม “ข้อมูลส่วนบุคคล” ไว้ว่าเป็นข้อมูลที่สามารถใช้ยืนยันตัวบุคคลนั้นได้ ทั้งทางตรงและทางอ้อม รวมถึงข้อมูลอ่อนไหว เช่น ชื่อ-นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ เชื้อชาติ ศาสนา ประวัติสุขภาพ อีเมล เลขบัญชีธนาคาร ID ข้อมูลอุปกรณ์ต่าง ๆ ลายนิ้วมือ เป็นต้น

เมื่อเรารู้แล้วว่า PDPA คืออะไร ดังนั้นองค์กรจึงต้องมีการเตรียมการหรือวางมาตรการเพื่อให้การเก็บรวบรวมข้อมูลหรือการเปิดเผยการใช้ข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนดนั่นเอง

ROPA คืออะไร

หนึ่งในมาตรการที่กฎหมายกำหนดให้ต้องรีบดำเนินการ คือ “การจัดทำบันทึกรายการกิจกรรม การประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities ; ROPA) ซึ่งในทุกขั้นตอนของ การประมวลผลข้อมูลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้มีหลักฐานในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ อีกทั้ง ยังช่วยให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้โปร่งใสและดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่เริ่มต้นขอเก็บข้อมูลจนถึงการใช้ หรือการโอน ประมวลผล หรือส่งต่อให้กับองค์กรอื่น โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำ ROPA ในรูปแบบเอกสาร ที่เป็นลายลักษณ์อักษร

PDPA และ ROPA เกี่ยวข้องกันอย่างไร

อย่างที่กล่าวไปตอนต้นว่า ROPA คือการบันทึกกิจกรรมประมวลข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในข้อกำหนดของกฎหมาย PDPA องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำ ROPA เพื่อให้สามารถตรวจสอบได้ว่าข้อมูลส่วนบุคคลต่าง ๆ ไหลเวียนไปยังหน่วยงานใดบ้าง และยังสามารถประเมินความเสี่ยงที่ข้อมูลจะรั่วไหลได้อีกด้วย

ขั้นตอนเบื้องต้นในการจัดทำ ROPA

1. มอบหมายให้ผู้รับผิดชอบดำเนินการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวิเคราะห์ข้อมูลในภาพรวม โดยยึดข้อมูลตามมาตรา 39 พิจารณานโยบายการคุ้มครองข้อมูลขององค์กร
2. เริ่มเก็บข้อมูลบันทึกลงใน ROPA ตามกิจกรรมที่รับผิดชอบเกี่ยวข้องกับข้อมูลส่วนบุคคล จะทำให้ทราบได้ว่าการจัดเก็บข้อมูลดังกล่าวมีความปลอดภัยหรือไม่ และมีมาตรการตามกฎหมาย PDPA มากน้อยเพียงใด
3. จัดทำแผนผังภาพรวมกิจกรรมภายในองค์กรเพื่อวางแผนนโยบายได้อย่างมีประสิทธิภาพ

ทั้งนี้ การจัดทำ ROPA ควรมีการอัปเดตข้อมูลและบันทึกกิจกรรมการประมวลผลให้เป็นปัจจุบันอยู่เสมอ เพื่อช่วยให้เห็นถึงช่องโหว่ความปลอดภัยขององค์กรที่อาจทำให้เกิดการรั่วไหลของข้อมูลได้ตลอดเวลา และทำให้สามารถแก้ไขเพื่อปิดช่องโหว่นั้นได้ทันถ่วงที รวมถึงลดความเสี่ยงการใช้ข้อมูลส่วนบุคคลในกิจกรรมใหม่ ๆ อย่างไม่ถูกต้องตามกฎหมาย PDPA ที่ทำให้เกิดเกิดความเสียหายหรือฟ้องร้องคดีในอนาคต

ก่อนเก็บรวบรวมข้อมูลอย่าลืม Data Inventory PDPA!

Data Inventory PDPA คือ การวางแผนผังข้อมูลเพื่อช่วยให้องค์กรสามารถสำรวจข้อมูลและมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและชัดเจน โดยจะบันทึกข้อมูลเพื่อให้รู้ที่มาที่ไปว่าข้อมูลมาจากช่องทางใด เก็บจากใคร เก็บอย่างไร เก็บทำไม เก็บมาเมื่อไร สามารถติดตามและระบุตำแหน่งของข้อมูลได้อย่างรวดเร็ว ซึ่งจะอยู่ในขั้นตอนการเตรียมการก่อนเก็บรวบรวมข้อมูล

DPO คืออะไร ทำไมองค์กรถึงต้องมีตำแหน่งนี้

เมื่อเราทราบแล้วว่าทุกกิจกรรมที่มีการเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลจะต้องมีผู้ดูแลรับผิดชอบในเรื่องดังกล่าว นั่นคือ DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือผู้ที่ทำหน้าที่ดูแลรักษาข้อมูลส่วนบุคคล เป็นเสมือนตัวแทนขององค์กร ที่จะให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหาหากองค์กรไหนที่จำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล แต่เพิกเฉย ไม่ปฏิบัติตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้

จะเกิดอะไรขึ้น หากไม่ปฏิบัติตามข้อกฎหมาย PDPA

PDPA กำหนดให้ธุรกิจที่นำข้อมูลส่วนบุคคลมาใช้ จะต้องแจ้งให้เจ้าของข้อมูลทราบและให้ความยินยอมก่อน หากธุรกิจไม่ดำเนินการไปตามเงื่อนไขและมีการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยบทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดโทษไว้ 3 ลักษณะ คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

โทษทางแพ่ง

บุคคลที่ทำหน้าที่ควบคุมข้อมูลและประมวลผลข้อมูล หากไม่ปฏิบัติตามกฎหมาย PDPA จนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือไม่ตั้งใจให้เกิดขึ้นก็ตาม จะต้องชดใช้ค่าสินไหมทดแทน ทั้งนี้ ศาลอาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียหายจริงที่เกิดขึ้น โดยบทลงโทษทางแพ่งจะมีอายุความ 3 ปี นับตั้งวันที่เจ้าของข้อมูลส่วนบุคคลรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล

โทษทางอาญา

บทลงโทษทางอาญาเป็นความผิดที่เกิดจากการที่ธุรกิจผู้อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลได้ละเมิดข้อมูลส่วนบุคคลโดยนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล โดยจะมีโทษทั้งปรับเงิน, จำคุก หรือทั้งจำทั้งปรับ แบ่งตามกรณีต่าง ๆ ได้แก่

• ปรับเงินไม่เกิน 500,000 บาท จำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ ในกรณีสร้างความเสียหาย อับอาย เสียชื่อเสียงให้กับเจ้าของข้อมูลส่วนบุคคล
• ปรับเงินไม่เกิน 1,000,000 บาท จำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ ในกรณีธุรกิจแสวงหาผลประโยชน์ส่วนตนเองหรือผู้อื่นโดยทุจริต
• ปรับเงินไม่เกิน 500,000 บาท จำคุกไม่เกิน 6 เดือน หรือทั้งจำทั้งปรับ ในกรณีเปิดเผยข้อมูลให้ผู้อื่นรับรู้ โดยไม่ปฏิบัติตามข้อกฎหมาย PDPA

อ่านมาถึงตรงนี้ เชื่อว่าหลายธุรกิจคงเริ่มเห็นแล้วว่า PDPA ไม่ใช่แค่เรื่องของกฎหมายที่ "ต้องทำตาม" แต่คือโอกาสในการวางระบบข้อมูลให้รัดกุม โปร่งใส และสร้างความเชื่อมั่นกับลูกค้าในระยะยาว อย่างไรก็ตาม การจะเข้าใจลึกถึงระดับ ROPA, DPO หรือการทำ Data Inventory อย่างถูกต้องนั้น ไม่ใช่เรื่องง่ายสำหรับทุกองค์กร ยิ่งหากไม่มีทีมเฉพาะทางที่เข้าใจทั้งด้านกฎหมาย กระบวนการภายใน และความเสี่ยงของแต่ละธุรกิจ

หากคุณกำลังมองหาผู้เชี่ยวชาญที่เข้าใจทุกมุมของการวางระบบ PDPA และสามารถช่วยวางแผน ดำเนินการ และสร้างความรู้ให้กับทีมของคุณได้แบบครบจบทุกขั้นตอน PDPA Core พร้อมเป็นพาร์ตเนอร์ที่ดูแลคุณตั้งแต่ต้นจนจบ ทั้งการวางแผน กลยุทธ์ ดำเนินการ ฝึกอบรม ไปจนถึง Compliance Audit เพื่อให้แน่ใจว่าองค์กรของคุณไม่เพียงแค่ "รอด" จากกฎหมาย แต่ "พร้อม" สำหรับอนาคต