พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) คือกฎหมายหลักด้านความเป็นส่วนตัวของข้อมูลในประเทศไทย ซึ่งมีผลบังคับใช้เต็มรูปแบบเมื่อเดือนมิถุนายน 2022 กฎหมายนี้กำหนดหน้าที่ที่ธุรกิจต้องปฏิบัติเมื่อมีการเก็บรวบรวม จัดเก็บ ใช้ หรือโอนข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย กฎหมายนี้อ้างอิงจากกรอบกฎหมายอย่าง GDPR ของยุโรป และบังคับใช้กับองค์กรใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใดก็ตาม
PDPA กำหนดให้ธุรกิจต้องทำอะไรบ้าง?
ภายใต้ PDPA ธุรกิจที่เก็บรวบรวมข้อมูลส่วนบุคคลต้อง:
- ขอความยินยอมที่ชัดเจนและได้รับข้อมูลอย่างเพียงพอ ก่อนเก็บรวบรวมข้อมูลส่วนบุคคล หรือมีฐานทางกฎหมายอื่นในการประมวลผล เช่น ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) หรือความจำเป็นตามสัญญา
- แจ้งให้บุคคลทราบว่ามีการเก็บรวบรวมข้อมูลใดบ้าง จะนำไปใช้อย่างไร และจะเก็บรักษาไว้นานเท่าใด
- ให้บุคคลสามารถเข้าถึง แก้ไข หรือขอให้ลบข้อมูลส่วนบุคคลของตนได้
- จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการรั่วไหล
- ไม่โอนข้อมูลส่วนบุคคลออกนอกประเทศไทย เว้นแต่ประเทศปลายทางจะมีมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่ากัน

PDPA บังคับใช้กับใครบ้าง?
PDPA บังคับใช้กับธุรกิจ องค์กร หรือบุคคลใด ๆ ที่เก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย รวมถึงบริษัทต่างชาติที่ดำเนินธุรกิจในตลาดไทย มีข้อยกเว้นสำหรับการใช้งานส่วนตัวหรือในครัวเรือน องค์กรสื่อที่ดำเนินการเพื่อประโยชน์สาธารณะ และภารกิจบางประการของภาครัฐ สำหรับธุรกิจที่ทำแคมเปญการตลาดดิจิทัล PDPA ส่งผลโดยตรงต่อวิธีการเก็บข้อมูลเว็บไซต์ผ่านแพลตฟอร์มวิเคราะห์และโฆษณา วิธีที่แบบฟอร์มติดต่อเก็บข้อมูลผู้ใช้ และวิธีการจัดเก็บข้อมูลลูกค้าในระบบ CRM รวมถึงการแบ่งปันข้อมูลกับเครื่องมือของบุคคลที่สาม เช่น แพลตฟอร์มอีเมลหรือซอฟต์แวร์ Marketing Automation
บทลงโทษหากไม่ปฏิบัติตาม PDPA มีอะไรบ้าง?
PDPA กำหนดบทลงโทษไว้สามประเภท โทษทางปกครองสูงสุด 3 ล้านบาท บังคับใช้กับองค์กรที่ฝ่าฝืนหน้าที่ในการคุ้มครองข้อมูล โทษทางอาญาสูงสุด 1 ล้านบาทและจำคุกไม่เกินหนึ่งปี บังคับใช้กับการเปิดเผยข้อมูลส่วนบุคคลโดยเจตนาเพื่อแสวงหากำไร
ความรับผิดทางแพ่งเปิดโอกาสให้บุคคลที่ได้รับผลกระทบเรียกร้องค่าสินไหมทดแทนสำหรับความเสียหายที่เกิดขึ้นจริงจากการฝ่าฝืนได้ หน่วยงานกำกับดูแลอาจออกคำสั่งให้ยุติการประมวลผลและกำหนดให้แก้ไขเยียวยาได้ด้วย ความรุนแรงของบทลงโทษขึ้นอยู่กับว่าการฝ่าฝืนเกิดขึ้นโดยเจตนาหรือไม่ ปริมาณข้อมูลที่ได้รับผลกระทบ และมาตรการที่องค์กรได้ดำเนินการไปแล้วเพื่อปฏิบัติตามกฎหมาย
ธุรกิจควรทำอย่างไรเพื่อให้เป็นไปตาม PDPA?
ขั้นตอนปฏิบัติเพื่อให้เป็นไปตามกฎหมายสำหรับธุรกิจที่ดำเนินการในประเทศไทย ได้แก่:
- ตรวจสอบจุดเก็บข้อมูลทั้งหมด รวมถึงแบบฟอร์ม คุกกี้ เครื่องมือวิเคราะห์ และระบบ CRM เพื่อทำความเข้าใจว่ามีการเก็บข้อมูลส่วนบุคคลใดบ้างและด้วยฐานทางกฎหมายใด
- เผยแพร่นโยบายความเป็นส่วนตัวที่ชัดเจนและเป็นปัจจุบัน ซึ่งเป็นไปตามข้อกำหนดของ PDPA และเข้าถึงได้จากทุกหน้าของเว็บไซต์
- จัดให้มีกลไกการขอความยินยอมเรื่องคุกกี้ที่ให้ผู้ใช้มีทางเลือกอย่างแท้จริง รวมถึงตัวเลือกในการปฏิเสธคุกกี้ที่ไม่จำเป็น
- ตั้งค่า Google Consent Mode V2 หากมีการใช้ Google Ads หรือ GA4 เพื่อให้พฤติกรรมการติดตามปรับเปลี่ยนตามการตัดสินใจให้ความยินยอมของผู้ใช้
- ทบทวนข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการภายนอกทุกรายที่จัดการข้อมูลส่วนบุคคลในนามของธุรกิจ