ไทย
ค้นหา
กลับไปหน้าคลังความรู้ทั้งหมด

PDPA เราควรเริ่มได้หรือยัง???

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะเริ่มมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคล ภาครัฐหรือรัฐวิสาหกิจที่จะต้องปฏิบัติตาม (ยกเว้นองค์กรที่เข้าข่ายตามมาตรา 4)  โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ครอบคลุมไปถึงข้อมูลลูกค้า พนักงาน หรืออื่นที่เกี่ยวข้องด้วย

ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง อีกทั้งเจ้าของข้อมูลสามารถถอนความยินยอมได้ และเมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

องค์กรเหล่านั้นจึงจำเป็นต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

ดังนั้นองค์กรควรเริ่มพิจารณาตนเองว่าทำหน้าที่อะไร Data Controller, Data Proccessor มีกระบวนการจัดเก็บข้อมูลอย่างไร จัดเก็บอย่างถูกต้องและขออนุญาตหรือไม่ รวมไปถึงตรวจสอบรูปแบบการรักษาความมั่นคงปลอดภัย และระบบแจ้งเตือนเมื่อเกิดเหตุละเมิดให้เหมาะสม

เหลือเวลาอีกไม่นานแล้ว เราควรจะเริ่มได้หรือยัง? ต้องถามองค์กรท่านดู