Back

การเก็บข้อมูลลูกค้าต้องคำนึงถึงอะไรบ้าง ตามกฎหมาย PDPA

การเก็บข้อมูลลูกค้าต้องคำนึงถึงอะไรบ้าง ตามกฎหมาย PDPA

   

ทำไมเราจึงต้องมีล็อคเกอร์ ใส่กุญแจไว้เก็บของสำคัญไม่ให้สูญหายหรือโดนขโมย ข้อมูลที่สำคัญก็เหมือนกันที่ต้องมีมาตรการการเก็บรักษาให้ปลอดภัย อาจใช้การใส่รหัสไว้ส่วนตัว หรือเป็นการเข้ารหัสจากตัวระบบเอง วัตถุประสงค์ก็เพื่อไม่ให้เกิดการละเมิดข้อมูลตามมา ซึ่งจะส่งผลให้เกิดความเสียหายได้

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งไทยได้บังคับใช้บางส่วนมื่อปีที่ผ่านมา กล่าวถึงรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งรูปแบบออนไลน์และออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ ลายนิ้วมือ เป็นต้น ในส่วนของกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปก็มีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เช่นกัน วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลที่มีหน้าที่ตัดสินใจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูล มีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคลดังนี้

  • แจ้งวัตถุประสงค์ที่จะเก็บจากเจ้าของข้อมูลก่อนให้ชัดเจน
  • ในกรณีที่ต้องขอความยินยอมต้องให้อิสระเจ้าของข้อมูลในการเลือกให้ความยินยอม
  • ต้องเก็บข้อมูลเท่าที่จำเป็น และลบทำลายข้อมูลเมื่อครบกำหนดระยะเวลาที่ได้แจ้งไว้
  • แจ้งสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงาน
  • ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น จะซื้อข้อมูลต่อจากที่อื่น หรือใช้ข้อมูลจากแหล่งอื่นไม่ได้ แต่ถ้าจำเป็นต้องใช้ข้อมูลจากแหล่งอื่น ก็ต้องขอความยินยอมจากเจ้าของข้อมูลโดยเร็ว หรือภายใน 30 วัน
  • อาจไม่ต้องขอความยินยอมก็ได้ เช่น เป็นกรณีเจ้าของข้อมูลเคยให้ความยินยอมไว้อยู่แล้ว หรือ กรณีเร่งด่วนจำเป็น เจ้าของข้อมูลเกิดอุบัติเหตุต้องเข้ารับการรักษาฉุกเฉิน แพทย์ก็อาจใช้ข้อมูลได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาเป็นรายกรณีไป และศึกษาข้อยกเว้นที่ไม่ต้องขอความยินยอมให้ละเอียดครบถ้วน เพราะหากพลาดพลั้งไป ก็มีความเสี่ยงที่จะทำผิด PDPA และมีโทษตามกฎหมายได้

องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล คงจะทำงานเพียงคนเดียวไม่ได้ ถ้าองค์กรไม่กำหนดนโยบายให้ชัดเจน ในทางปฏิบัติควรให้ทุกฝ่ายในองค์กรทั้ง IT, HR, Marketing, Customer service, Compliance, Sales, กฎหมาย, บัญชี ประชุมร่วมกัน

โดยดำเนินการตาม 6 ขั้นตอน ดังต่อไปนี้

  1. จัดทำนโยบายการเก็บรักษาข้อมูล สร้างมาตรฐานการรักษาความปลอดภัยของข้อมูลร่วมกัน เพื่อให้ทิศทางการเก็บข้อมูลในแต่ละฝ่ายเป็นไปในทิศทางเดียวกัน
  2. ให้แต่ละฝ่ายระบุข้อมูลที่จำเป็นต้องเก็บ ระยะเวลาที่เก็บข้อมูล หากข้อมูลนั้นจำเป็นจะต้องเก็บ จะเก็บต่อเป็นระยะเวลาเท่าใด หรือถ้าไม่จำเป็นจะลบทำลายได้หรือไม่
  3. จัดทำฐานการประมวลผลข้อมูล แบ่งประเภทข้อมูล ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูล hard copy ที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เพื่อจัดเก็บข้อมูลให้เป็นระเบียบ ทำให้มีหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย
  4. ปฏิบัติตามนโยบายการเก็บรักษาข้อมูล โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและยินยอมตามวัตถุประสงค์ของการขอเก็บข้อมูล โดยอาจเขียนรวมกับนโยบายความเป็นส่วนตัว (Privacy Policy) หรือจะเขียนแยกเพื่อให้ชัดเจนมากขึ้นก็ได้ สร้าง Privacy Policy สอดคล้อง PDPA ฟรี ! เก็บรักษาและลบทำลายข้อมูลตามระยะเวลาของนโยบายการเก็บรักษาข้อมูล เช่น หากลูกค้าไม่ได้ใช้บริการ ไม่ได้ซื้อสินค้ากับองค์กร หรือไม่ได้เป็นสมาชิกแล้ว ให้มีการลบทำลายข้อมูลลูกค้าและข้อมูลการใช้บริการภายใน 3 ปี การเก็บรักษาข้อมูลส่วนบุคคลของบุคลากรซึ่งมีทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว (ลายนิ้วมือ ข้อมูลสุขภาพ) ให้ลบทำลายข้อมูลเมื่อพ้นสภาพพนักงานภายใน 1 ปี การเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว เมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี สามารถลบหรือทำลายข้อมูลนั้นได้ เป็นต้น การลบทำลายข้อมูลก็เพื่อให้องค์กรไม่ต้องดูแลหรือเสียค่าใช้จ่ายเพื่อเก็บรักษาข้อมูลที่ไม่จำเป็นอีกต่อไป
  5. จ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA และ GDPR เพื่อขอคำปรึกษาหากไม่มั่นใจว่าองค์กรปฏิบัติถูกต้องหรือไม่ หรือถ้าเกิดเหตุข้อมูลลูกค้าถูกละเมิดจริง ก็เป็นผู้ประสานงานกับหน่วยงานรัฐที่เกี่ยวข้องได้

นโยบายการเก็บรักษาข้อมูลเป็นเครื่องมือที่สำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า ซึ่งหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กร มีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลแล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ทำให้องค์กรเกิดความน่าเชื่อถือ และยกระดับมาตรฐานองค์กรในสายตาผู้บริโภคได้มากขึ้นอีกด้วย

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้!

บทความที่เกี่ยวข้อง

3 สิ่งที่ควรรู้ ถ่ายรูปบัตรประชาชนให้คนอื่นอย่างไรให้ปลอดภัยจากมิจฉาชีพ

3 สิ่งที่ควรรู้ ถ่ายรูปบัตรประชาชนให้คนอื่นอย่างไรให้ปลอดภัยจากมิจฉาชีพ

18/01/23

Data SecurityData PrivacyID Card
ทำความรู้จัก Data Fraud ภัยคุกคามทางอินเทอร์เน็ต ที่อยู่ใกล้ตัวคุณมากกว่าที่คิด

ทำความรู้จัก Data Fraud ภัยคุกคามทางอินเทอร์เน็ต ที่อยู่ใกล้ตัวคุณมากกว่าที่คิด

06/12/22

Data SecurityData PrivacyCyber SecurityData Fraud
หากมีผู้ไม่ประสงค์ดีนำรูปของเราไปใช้โดยไม่ได้รับอนุญาต จะต้องทำอย่างไร ?

หากมีผู้ไม่ประสงค์ดีนำรูปของเราไปใช้โดยไม่ได้รับอนุญาต จะต้องทำอย่างไร ?

02/11/22

หน้าแรกเริ่มต้นและวิธีการใช้ทำไมต้องมี Privacy PolicyPDPA Blogทำไมต้อง PDPA ProFAQsราคาและแพ็กเกจผลิตภัณฑ์ของเราReferral Program

บริษัท เอ็นเดต้าธอธ จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560
sales@ndatathoth.com

©2024 nDataThoth Limited All Rights Reserved.

HelpTerms of UsePrivacy Policy