สรุป & Checklist เตรียมพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เว็บไซต์ธุรกิจของคุณมีครบแล้วหรือยัง

   

PDPA (Personal Data Protection Act) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเริ่มมีผลบังคับใช้แล้วบางส่วนเมื่อวันที่ 28 พฤษภาคม 2562 และจะมีผลบังคับใช้ตามกฎหมายทั้งฉบับทุกหน่วยงานในวันที่ 1 มิถุนายน 2565

PDPA เป็นกฎหมายที่ออกมาทำหน้าที่ปกป้องและคุ้มครองข้อมูลส่วนบุคคล เพื่อไม่ให้ถูกละเมิด และนำไปใช้อย่างไม่ถูกต้อง หากมีการละเมิดหรือกระทำผิดต่อข้อมูลส่วนบุคคล ก็จะมีบทลงโทษที่ค่อนข้างรุนแรง PDPA จึงเป็นสิ่งที่ผู้ประกอบการจำเป็นต้องให้ความสนใจเพื่อดำเนินการให้สอดคล้องตามกฎหมาย

แม้จะบังคับใช้ในปีถัดไป แต่มีหลายรายการที่ธุรกิจต่างๆต้องทำเพื่อให้สอดคล้องกับกฎหมาย ซึ่งอาจต้องใช้เวลานาน เรามาดูกันว่าสำหรับธุรกิจที่มีเว็บไซต์ ควรทำอะไรบ้างเพื่อเตรียมพร้อม PDPA

บทลงโทษหากไม่ปฏิบัติตาม PDPA

• โทษปรับสูงสุด 5 ล้านบาท
  
• จำคุกสูงสุด 1 ปี
  
• จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  
• กรรมการที่มีส่วนเกี่ยวข้องในการดำเนินงาน อาจต้องรับผิดชอบด้วยในทุกกรณี
  

ธุรกิจที่มีเว็บไซต์ต้องเตรียมพร้อมอย่างไร

เมื่อธุรกิจมีการเก็บรวบรวม ใช้ หรือเปิดเผย หรือมีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งาน โดยทั่วไปแล้วควรจะต้อง

1. แจ้งว่านำข้อมูลส่วนบุคคลของผู้ใช้งานมาประมวลผลอย่างไร โดยการจัดทำ Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคล
2. มีช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน โดยการสร้าง Cookie Consent Banner
3. มีช่องทางให้ผู้ใช้งานส่งคำร้องขอใช้สิทธิแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล โดยการสร้าง แบบฟอร์มการขอใช้สิทธิตาม PDPA

1. Privacy Policy

เว็บไซต์ต้องมี Privacy Policy (นโยบายความเป็นส่วนตัว) เมื่อมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การเก็บอีเมล์ เบอร์โทรศัพท์ เพื่อนำไปทำการตลาด เสนอสินค้าหรือบริการ หรือปรับปรุงประสบการณ์การใช้งาน เพื่อแจ้งผู้ใช้งานว่านำข้อมูลส่วนบุคคลไปประมวลผลอย่างไรบ้าง

การจัดทำนโยบายความเป็นส่วนตัว มีวัตถุประสงค์เพื่อแจ้งให้ผู้ใช้งานรับรู้ถึงรายละเอียดต่าง ๆ เกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นวัตถุประสงค์ในการจัดเก็บข้อมูล การใช้ข้อมูล ระยะเวลาในการจัดเก็บ การเปิดเผยข้อมูลส่วนบุคคล ตลอดจนฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis) ที่เกี่ยวข้อง และรายละเอียดอื่นๆ ที่เกี่ยวข้องกับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือตัวแทน และสิทธิของเจ้าของข้อมูล (Data Subject Rights) ในการให้การยินยอม (Consent) เป็นต้น

Checklist: Privacy Policy ควรบอกอะไรกับผู้ใช้งานบ้าง

✔ ข้อมูลส่วนบุคคลที่ถูกเก็บมีอะไรบ้าง

✔ วิธีการจัดเก็บข้อมูลส่วนบุคคลนั้นๆ

✔ การเก็บข้อมูลส่วนบุคคลนั้นมีขั้นตอนอย่างไร

✔ วัตถุประสงค์ในการนำข้อมูลไปประมวลผล

✔ รายละเอียดในการเปิดเผยข้อมูลส่วนบุคคล เช่น มีการเปิดเผยข้อมูลส่วนบุคคลให้กับใครบ้าง

✔ สิทธิของเจ้าของข้อมูลส่วนบุคคล

✔ มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

✔ รายละเอียดการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่ผู้คุ้มครองข้อมูลส่วนบุคคล

2. Cookie Consent Banner

คือช่องทางสำหรับผู้ใช้งานในการเลือกให้ความยินยอมในการเก็บข้อมูลส่วนบุคคล

Cookie คือ ไฟล์ขนาดเล็กที่มีหน้าที่ในการจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้งาน มีวัตถุประสงค์หลักในการจดจำข้อมูล เช่น ชื่อบัญชีผู้ใช้ ประวัติการเข้าชมและลักษณะการใช้งานเว็บไซต์ เพื่อนำไปประมวลผลตามจุดประสงค์ของผู้ให้บริการ เช่น การปรับปรุงประสบการณ์การใช้งาน การวิเคราะห์ข้อมูลเพื่อนำไปใช้ทำการตลาด

ยกตัวอย่างใกล้ตัว เมื่อเข้าเว็บไซต์ขายสินค้าออนไลน์แล้วนำสินค้าใส่ตะกร้า ความสามารถของ'คุกกี้'คือจดจำสิ่งที่คใส่ในตะกร้าไว้ ทำให้เมื่อปิดเว็บไซต์ไปแล้ว สินค้าในตะกร้าเหล่านั้นก็ยังอยู่

เช่นเดียวกันกับการใช้ Google Analytics หรือ Facebook Pixel เพื่อวิเคราะห์พฤติกรรมของผู้ใช้งานเว็บไซต์ ก็ต้องอาศัย'คุกกี้'ในการติดตามการเข้าชมและโต้ตอบเว็บไซต์ของผู้ใช้งานเช่นเดียวกัน

Cookie มีกี่ประเภท

1. คุกกี้ที่มีความจำเป็นอย่างยิ่ง (Strictly Necessary Cookies): มีความสำคัญต่อการทำงานของเว็บไซต์ ซึ่งช่วยให้ผู้เข้าชมสามารถเข้าถึงข้อมูล และใช้งานในเว็บไซต์ได้อย่างปลอดภัย
   
   
2. คุกกี้สำหรับการวิเคราะห์และวัดผลการทำงาน (Analytical/Performance Cookies): มีหน้าที่จดจำและนับจำนวนผู้เข้าชมเว็บไซต์ ตลอดจนวิเคราะห์พฤติกรรมในการเยี่ยมชมเว็บไซต์ เพื่อปรับปรุงการทำงานของเว็บไซต์
   
   
3. คุกกี้เพื่อการทำงานของเว็บไซต์ (Functionality Cookies): ทำหน้าที่จดจำการตั้งค่าการใช้งานเว็บไซต์ เช่น ภาษา ขนาดตัวอักษร หรือภูมิภาคของผู้ใช้งานเว็บไซต์
   
   
4. คุกกี้สำหรับกลุ่มเป้าหมาย (Targeting Cookies): ทำหน้าที่บันทึกการเยี่ยมชมเว็บไซต์ เช่น ลิงก์ที่เยี่ยมชม เพื่อนำข้อมูลไปปรับปรุงเนื้อหาให้ตรงกับความสนใจมากขึ้น และอาจมีการเปิดเผยข้อมูลให้กับบุคคลที่สาม
   
   
5. คุกกี้เพื่อการโฆษณา (Advertising Cookies): ทำการบันทึกข้อมูลของผู้ใช้งานเว็บไซต์ เพื่อนำเสนอขายสินค้าที่ตรงกับความสนใจของผู้ใช้งาน
   
   

ตาม PDPA นั้นเจ้าของเว็บไซต์ต้องมีช่องทางสำหรับผู้ใช้เพื่อให้ความยินยอมในการใช้ cookie เพื่อเก็บข้อมูลส่วนบุคคล ซึ่งโดยทั่วไปแล้วเว็บไซต์ต่างๆจะใช้ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมตามภาพด้านล่าง

Checklist: Cookie Consent Banner ควรมีรายละเอียดอะไรบ้าง

✔ ระบุการใช้งาน Cookie: แจ้งให้ผู้ใช้งานทราบว่าเว็บไซต์มีการใช้งาน Cookie พร้อมเนื้อหาที่มีความกระชับ เข้าใจง่าย
✔ ประเภทของ Cookie: ผู้ให้บริการต้องแจ้งว่ามีการใช้งาน Cookie ประเภทใดในเว็บไซต์ พร้อมวัตถุประสงค์ในการใช้งาน
✔ หน้าที่ของ Cookie: เป็นการระบุว่า Cookie ที่ถูกใช้งานนั้นมีหน้าที่อย่างไร จะจัดเก็บข้อมูลประเภทใดของผู้ใช้งานบ้าง
✔ ตัวเลือกในการยินยอม: เป็นตัวเลือกในการตัดสินใจว่าผู้ใช้งานยินยอมให้เก็บข้อมูลใดบ้าง โดยสามารถเลือกทั้งหมด หรือเลือกเพียงบางส่วนได้

3. แบบฟอร์มการขอใช้สิทธิตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น กำหนดให้ผู้ให้บริการต้องมีช่องทางอย่างง่ายให้ผู้ใช้งานเว็บไซต์ สามารถยื่นคำร้องขอใช้สิทธิในการขอลบ แก้ไข โอน ตลอดจนทำข้อมูลส่วนบุคคลให้เป็นปัจจุบัน

ซึ่งอาจจะเป็นอีเมล์ จดหมาย หรือช่องทางใดๆ แต่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) นั้นต้องทำการตอบสนองคำขอดังกล่าวภายใน 30 วันหลังจากได้รับคำขอ

วิธีในการสร้างช่องทางคือการสร้างแบบฟอร์มขอใช้สิทธิ์บนหน้าเว็บไซต์ ที่ผู้ใช้งานสามารถกดเข้ามาใช้สิทธิ์และกรอกข้อมูลได้โดยง่าย คำร้องขอนั้นๆก็จะถูกส่งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อให้ดำเนินการต่อไป

สิทธิของเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) นั้นได้กำหนดสิทธิของเจ้าของข้อมูล ดังนี้

• สิทธิขอถอนความยินยอม (right to withdraw consent)
  
• สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (right to access)
  
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (right to data portability)
  
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (right to object)
  
• สิทธิขอให้ลบหรือทำลาย หรือให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (right to erasure)
  
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตนเองชั่วคราว (right to restrictction of processing)
  
• สิทธิในการดำเนินการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องสมบูรณ์และเป็นปัจจุบัน (right to rectification)
  
• สิทธิร้องเรียน (right to lodge a complaint)
  

Checklist: รายละเอียดในแบบฟอร์มการขอใช้สิทธิควรมีอะไรบ้าง

✔ ชื่อ-นามสกุล ที่อยู่ ของเจ้าของข้อมูล หรือตัวแทน
✔ เอกสารยืนยันตัวตนของเจ้าของข้อมูล เช่น สำเนาบัตรประชาชน หรือหนังสือเดินทาง (Passport)
✔ ความสัมพันธ์กับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เช่น ผู้มาติดต่อ หรือ พันธมิตร
✔ สิทธิที่ต้องการใช้ พร้อมระบุเหตุผล
✔ คำรับรองความถูกต้องในการให้ข้อมูล

ด้านล่างคือตัวอย่างของแบบฟอร์มการขอใช้สิทธิ์ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจาก PDPA FORM ผู้ให้บริการสร้างแบบฟอร์มและระบบจัดการการขอใช้สิทธิ์ตาม PDPA

หากคุณเป็นเจ้าของเว็บไซต์ จะเห็นว่ามีรายการที่ต้องทำอยู่ไม่น้อย คุณอาจจ้างนักกฎหมาย หรือฝ่ายไอทีมาดำเนินการให้ ซึ่งแน่นอนว่าใช้เวลานานและมีค่าใช้จ่ายสูง

อีกตัวเลือกหนึ่งที่ประหยัดทั้งเวลาและค่าใช้จ่ายคือการเลือกใช้ซอฟต์แวร์ที่ให้บริการผ่านทางเว็บไซต์ (SaaS) ที่ดำเนินการให้สอดคล้องตาม PDPA ไว้แล้ว ทำให้คุณแค่เข้าไปทำตามที่เว็บไซต์บอกในไม่กี่ขั้นตอนก็จะได้ Privacy Policy, Cookie Banner หรือแบบฟอร์มการขอใช้สิทธิ์ตามที่กล่าวมาในทันที

-

หนึ่งในบริการเกี่ยวกับ PDPA แบบครบวงจรคือ PDPA PRO อำนวยความสะดวกให้คุณสร้าง Privacy Policy, Cookie Banner และแบบฟอร์มขอใช้สิทธิ์ได้โดยง่ายและใช้ได้จริง ที่สำคัญคุณไม่ต้องกังวลเรื่องกฎหมายเพราะบริการนี้ได้ดำเนินการตาม PDPA ในส่วนที่ต้องทำให้สอดคล้องกับกฎหมายให้แล้ว

เริ่มต้นตั้งแต่วันนี้ สบายใจเรื่องกฎหมาย

• สร้าง Privacy Policy ถูกต้องตาม PDPA: https://pdpa.pro
  
• สร้าง Cookie Consent Banner ใน 2 นาที (ทดลองใช้ฟรี): https://cookiewow.com
  
• สร้างแบบฟอร์มและจัดการการขอใช้สิทธิตาม PDPA: https://pdpaform.com
  

หากมีข้อสงสัยใดๆก็ตามเกี่ยวกับ PDPA ทั้งเรื่องกฎหมายและบริการต่างๆสามารถติดต่อสอบถามมาที่ Facebook Page PDPA PRO ได้เลยค่ะ