Knowledge Base

PDPA คืออะไรและมีความหมายอย่างไรต่อธุรกิจในประเทศไทย?

PDPA ของประเทศไทยคืออะไรและมีความหมายอย่างไรต่อธุรกิจ กฎหมายกำหนดอะไรบ้าง บังคับใช้กับใคร บทลงโทษหากไม่ปฏิบัติตาม และขั้นตอนปฏิบัติเพื่อให้เป็นไปตามกฎหมาย

ออกแบบและพัฒนาเว็บไซต์ What is / explanation อ่าน 5 นาที

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) คือกฎหมายหลักด้านความเป็นส่วนตัวของข้อมูลในประเทศไทย ซึ่งมีผลบังคับใช้เต็มรูปแบบเมื่อเดือนมิถุนายน 2022 กฎหมายนี้กำหนดหน้าที่ที่ธุรกิจต้องปฏิบัติเมื่อมีการเก็บรวบรวม จัดเก็บ ใช้ หรือโอนข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย กฎหมายนี้อ้างอิงจากกรอบกฎหมายอย่าง GDPR ของยุโรป และบังคับใช้กับองค์กรใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใดก็ตาม

PDPA กำหนดให้ธุรกิจต้องทำอะไรบ้าง?

ภายใต้ PDPA ธุรกิจที่เก็บรวบรวมข้อมูลส่วนบุคคลต้อง:

  • ขอความยินยอมที่ชัดเจนและได้รับข้อมูลอย่างเพียงพอ ก่อนเก็บรวบรวมข้อมูลส่วนบุคคล หรือมีฐานทางกฎหมายอื่นในการประมวลผล เช่น ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) หรือความจำเป็นตามสัญญา
  • แจ้งให้บุคคลทราบว่ามีการเก็บรวบรวมข้อมูลใดบ้าง จะนำไปใช้อย่างไร และจะเก็บรักษาไว้นานเท่าใด
  • ให้บุคคลสามารถเข้าถึง แก้ไข หรือขอให้ลบข้อมูลส่วนบุคคลของตนได้
  • จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการรั่วไหล
  • ไม่โอนข้อมูลส่วนบุคคลออกนอกประเทศไทย เว้นแต่ประเทศปลายทางจะมีมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่ากัน
Screenshot of Google Consent Mode V2 being configured in Google Tag Manager.
Google Consent Mode V2 ซึ่งตั้งค่าใน Tag Manager จะปรับการติดตามของ GA4 และ Google Ads ตามการเลือกยินยอมคุกกี้ของผู้ใช้ ซึ่งเกี่ยวข้องกับการปฏิบัติตาม PDPA

PDPA บังคับใช้กับใครบ้าง?

PDPA บังคับใช้กับธุรกิจ องค์กร หรือบุคคลใด ๆ ที่เก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย รวมถึงบริษัทต่างชาติที่ดำเนินธุรกิจในตลาดไทย มีข้อยกเว้นสำหรับการใช้งานส่วนตัวหรือในครัวเรือน องค์กรสื่อที่ดำเนินการเพื่อประโยชน์สาธารณะ และภารกิจบางประการของภาครัฐ สำหรับธุรกิจที่ทำแคมเปญการตลาดดิจิทัล PDPA ส่งผลโดยตรงต่อวิธีการเก็บข้อมูลเว็บไซต์ผ่านแพลตฟอร์มวิเคราะห์และโฆษณา วิธีที่แบบฟอร์มติดต่อเก็บข้อมูลผู้ใช้ และวิธีการจัดเก็บข้อมูลลูกค้าในระบบ CRM รวมถึงการแบ่งปันข้อมูลกับเครื่องมือของบุคคลที่สาม เช่น แพลตฟอร์มอีเมลหรือซอฟต์แวร์ Marketing Automation

บทลงโทษหากไม่ปฏิบัติตาม PDPA มีอะไรบ้าง?

PDPA กำหนดบทลงโทษไว้สามประเภท โทษทางปกครองสูงสุด 3 ล้านบาท บังคับใช้กับองค์กรที่ฝ่าฝืนหน้าที่ในการคุ้มครองข้อมูล โทษทางอาญาสูงสุด 1 ล้านบาทและจำคุกไม่เกินหนึ่งปี บังคับใช้กับการเปิดเผยข้อมูลส่วนบุคคลโดยเจตนาเพื่อแสวงหากำไร

ความรับผิดทางแพ่งเปิดโอกาสให้บุคคลที่ได้รับผลกระทบเรียกร้องค่าสินไหมทดแทนสำหรับความเสียหายที่เกิดขึ้นจริงจากการฝ่าฝืนได้ หน่วยงานกำกับดูแลอาจออกคำสั่งให้ยุติการประมวลผลและกำหนดให้แก้ไขเยียวยาได้ด้วย ความรุนแรงของบทลงโทษขึ้นอยู่กับว่าการฝ่าฝืนเกิดขึ้นโดยเจตนาหรือไม่ ปริมาณข้อมูลที่ได้รับผลกระทบ และมาตรการที่องค์กรได้ดำเนินการไปแล้วเพื่อปฏิบัติตามกฎหมาย

ธุรกิจควรทำอย่างไรเพื่อให้เป็นไปตาม PDPA?

ขั้นตอนปฏิบัติเพื่อให้เป็นไปตามกฎหมายสำหรับธุรกิจที่ดำเนินการในประเทศไทย ได้แก่:

  • ตรวจสอบจุดเก็บข้อมูลทั้งหมด รวมถึงแบบฟอร์ม คุกกี้ เครื่องมือวิเคราะห์ และระบบ CRM เพื่อทำความเข้าใจว่ามีการเก็บข้อมูลส่วนบุคคลใดบ้างและด้วยฐานทางกฎหมายใด
  • เผยแพร่นโยบายความเป็นส่วนตัวที่ชัดเจนและเป็นปัจจุบัน ซึ่งเป็นไปตามข้อกำหนดของ PDPA และเข้าถึงได้จากทุกหน้าของเว็บไซต์
  • จัดให้มีกลไกการขอความยินยอมเรื่องคุกกี้ที่ให้ผู้ใช้มีทางเลือกอย่างแท้จริง รวมถึงตัวเลือกในการปฏิเสธคุกกี้ที่ไม่จำเป็น
  • ตั้งค่า Google Consent Mode V2 หากมีการใช้ Google Ads หรือ GA4 เพื่อให้พฤติกรรมการติดตามปรับเปลี่ยนตามการตัดสินใจให้ความยินยอมของผู้ใช้
  • ทบทวนข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการภายนอกทุกรายที่จัดการข้อมูลส่วนบุคคลในนามของธุรกิจ