กฎหมาย PDPA ที่เจ้าของธุรกิจต้องรู้กับกฎหมาย PDPA
ในช่วงที่ผ่านมาคงเคยได้ยินประโยคที่ว่า “ข้อมูลส่วนตัวรั่วไหล” โดยเฉพาะกับเว็บไซค์ หรือแพลตฟอร์ม เช่น Facebook ที่มีการรั่วไหลข้อมูลของผู้ใช้งาน เป็นต้น โดยเฉพาะอย่างยิ่งในยุคดิจิตอลที่ทำให้ผู้ประกอบจำเป็นต้องพาธุรกิจเข้ามาอยู่ในโลกออนไลน์ ทำให้ต้องเข้าถึงข้อมูลลูกค้ามากขึ้น แต่ข้อมูลที่ได้มานั้นต้องได้รับความยินยอมจากลูกค้าเอง และเจ้าของธุรกิจต้องดูแลข้อมูลของลูกค้าไม่ให้มีการรั่วไหล
ซึ่งในประเทศไทยได้ให้ความสำคัญในการคุ้มครองข้อมูลของผู้ที่ใช้งานออนไลน์ จึงได้มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ขึ้นมา เพื่อป้องกันการละเมิดข้อมูลส่วนตัวกัน
PDPA คืออะไร
PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีกำหนดเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2564 โดยให้ความคุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ไอดีไลน์ บัญชีธนาคาร ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งเป็นได้ทั้งข้อมูลในรูปแบบเอกสารกระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
สิ่งที่เจ้าของธุรกิจต้องเตรียมความพร้อมสู่ PDPA
- จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ องค์กรหรือเจ้าของเว็บไซต์ต้องแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ ว่าได้มีการจัดเก็บข้อมูลส่วนบุคคล
- เตรียมเอกสารบันทึกการจัดเก็บข้อมูล มีวัตถุประสงค์เพื่ออะไร
- ขอคำยินยอมในการใช้ Cookie
- แจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล
ความเสียหายหากไม่ปฏิบัติตาม PDPA
ความผิดทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้าบาท
ความผิดทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
ความผิดทางแพ่ง จ่ายค่าเสียหายตามจริง และค่าสินไหมไม่เกิน 2 เท่าของค่าเสียหาย