News & Update website

สรุปสิ่งที่แบรนด์ควรเตรียมสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

June 6, 2019

สรุปสิ่งที่แบรนด์ควรเตรียมสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

จากข่าวที่ออกมาอ้างอิงเว็บไซต์ราชกิจจานุเบกษา ได้มีการเผยแพร่พระราชบัญญัติ (พ.ร.บ.) ที่เกี่ยวข้องกับการเก็บข้อมูลผู้บริโภคทางช่องทางดิจิตอลโดยตรง มีผลบังคับใช้วันที่ 28 พฤษภาคม 2562 นั่นคือ พระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 โดยขอสรุปสาระสำคัญดังนี้

  • มีเวลาให้เตรียมตัว 1 ปี – ในส่วนการคุ้มครองข้อมูล ให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อมแล้วเสร็จภายใน 1 ปี นับจากวันประกาศ เท่ากับจะมีผลจริง ๆ ในวันที่ 28 พฤษภาคม 2563
  • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล์)
  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ดังนั้น แบรนด์หรือธุรกิจที่มีระบบสมาชิกหรือการลงทะเบียน ไม่ว่าจะเป็นเว็บไซต์ app หรือสื่อดิจิตอลอื่น ๆ จะออนไลน์หรือไม่ก็ตาม ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคล)
  • “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล แต่ไม่ได้เป็นผู้ควบคุมข้อมูลเอง (ดังนั้น agency และผู้ให้บริการ hosting server ที่เก็บข้อมูล ซึ่งถือเป็นผู้ประมวลผล ไม่ใช่ ผู้ควบคุม)
  • ต้องได้รับความยินยอมจากเจ้าของข้อมูล – ผู้ควบคุมข้อมูลส่วนบุคคล ห้ามเก็บ ใช้ หรือเปิดเผย โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน
  • ชี้แจงให้ชัดเจนและเข้าใจง่ายว่าจะเก็บและนำข้อมูลส่วนบุคคลไปทำอะไร – ในการขอความยินยอมจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าว และการขอความยินยอมนั้น ต้องแยกออกจากข้อความอื่นให้ชัดเจน สามารถเข้าถึงง่ายและเขียนด้วยภาษาที่เข้าใจง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด
  • เจ้าของข้อมูลสามารถขอดูและขอสำเนาข้อมูลดังกล่าวได้ – หากเจ้าของข้อมูลต้องการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ผู้ควบคุมข้อมูลต้องปฎิบัติตาม
  • เจ้าของข้อมูลสามารถขอยกเลิกความยินยอมได้ – หากเจ้าของข้อมูลต้องการยกเลิกการยินยอม สามารถแจ้งให้ผู้ควบคุมข้อมูลปฎิบัติตามได้เช่นกัน
  • มีโทษทั้งจำทั้งปรับ – หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะมีโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และมาตรา 79)

สิ่งที่ต้องเตรียมและจัดทำ

แบรนด์และธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลของผู้บริโภค ไม่ว่าจะเป็นทางเว็บไซต์ app สื่อ social media หรือ สื่อดิจิตอลอื่น ๆ ควรเตรียมตัวและจัดทำดังนี้

  • มีหน้าในเว็บไซต์ app หรือสื่อดิจิตอลอื่น ๆ ที่จะระบุ วัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัว ในภาษาที่เข้าใจง่ายและตรงไปตรงมา สำหรับคนที่มีเว็บไซต์อยู่แล้วอาจจะคุ้นเคยกับหน้า ‘นโยบายความเป็นส่วนตัว’ (Privacy Policy) ที่จะมีเนื้อหาบางส่วนใกล้เคียงกัน สามารถนำปรับมาใช้ได้แต่ต้องใช้ข้อความที่สั้น ๆ เข้าใจง่าย ๆ มากกว่า
  • ทุกครั้งที่ให้ผู้ใช้งานลงทะเบียนหรือกรอกข้อมูลส่วนบุคคล ควรมีตัวเลือกแบบ checkbox ให้ผู้ใช้งานกดเลือกเพื่อยืนยันความยินยอมจากเจ้าของข้อมูลและมี link เพื่อกดเข้าดูรายละเอียดหน้า วัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัว
  • มีช่องทางติดต่อและมีหน้ารายละเอียดระบุว่า หากผู้ใช้งานต้องการที่จะติดต่อเพื่อขอตรวจสอบหรือขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ต้องติดต่อหาแบรนด์และธุรกิจอย่างไร โดยอาจจะเพิ่มปุ่ม ‘ติดต่อเพื่อขอตรวจสอบข้อมูลส่วนบุคคล’ ใน footer หรือหน้า contact us ในเว็บไซต์หรือ app
  • มีช่องทางให้ผู้ใช้งานเจ้าของข้อมูลแจ้งขอยกเลิกความยินยอมที่เคยให้ไปและลบข้อมูลส่วนบุคคลที่ตัวเองเป็นเจ้าของออกจากระบบการจัดเก็บของแบรนด์และธุรกิจ โดยอาจจะเป็น link ‘ยกเลิกความยินยอมจัดเก็บและใช้งานข้อมูลส่วนบุคคล’ เพื่อเข้าหน้าเว็บที่มีรายละเอียดวิธีการแจ้งความต้องการดังกล่าว

ที่มาและข้อมูลเพิ่มเติม:
https://techsauce.co/news/cybersecurity-act-and-data-privacy-act-2019-announcement
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

Comments

comments

ณรงค์ยศ มหิทธิวาณิชชา Chief Digital Officer & Cofounder at The Flight 19 Agency
One Comment

Comments are closed.

Leave a comment