PDPA คืออะไร? กฎหมายบังคับใช้ที่ทุกองค์กร “ต้อง” ให้ความสำคัญ

PDPA is

PDPA หรือ Personal Data Protection Act B.E. 2562 คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เป็นกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลทั้งทางตรงและทางอ้อม ซึ่งเจ้าของข้อมูล (บุคคลธรรมดา ไม่รวมถึงผู้ถึงแก่กรรมและข้อมูลของนิติบุคคล) มีอำนาจเด็ดขาดที่จะขอ แก้ไข ลบ ระงับ ยกเลิก หรือทำลายข้อมูลนั้น ๆ โดยที่องค์กรจะต้องยินยอมปฏิบัติตามสิทธิ์การเข้าถึงของข้อมูลตามที่เจ้าของข้อมูลได้ระบุไว้เท่านั้น

ตัวอย่างข้อมูลที่ได้รับการคุ้มครองตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

  • ชื่อ-นามสกุล
  • เชื้อชาติ
  • ที่อยู่
  • อีเมล
  • เบอร์โทรศัพท์
  • เลขบัตรประจำตัวประชาชน/ เลขหนังสือเดินทาง
  • ข้อมูลเลขบัญชีธนาคาร/ ข้อมูลบัตรเครดิต
  • ข้อมูลรูปใบหน้า
  • ความคิดเห็นทางการเมือง
  • ประวัติอาชญากรรม
  • ข้อมูลพันธุกรรม
  • ข้อมูลสุขภาพ
  • และอื่น ๆ สามารถดูได้ที่นี่

ตัวอย่างข่าวในประเทศไทยที่มีปัญหาด้านข้อมูลรั่วไหลปี 2564

DLP news

ทำไมทุกองค์กร"ต้อง"ให้ความสำคัญ?

เมื่อ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำลังจะมีผลบังคับใช้ในเดือนมิถุนายน 2565 นี้ คุณได้เตรียมพร้อมที่จะปฏิบัติตามกฎข้อบังคับนี้แล้วหรือยัง?

แน่นอนว่าหากเป็นข้อบังคับใช้แล้วเนี่ย องค์กรของคุณจึงจำเป็นที่จะต้องให้ความสำคัญเป็นแน่ เพราะความปลอดภัยไม่ใช่พื้นฐานที่องค์กรควรมีอีกต่อไป แต่เป็นพื้นฐานที่องค์กร “ต้องมี” ต่างหาก เพราะ ณ ปัจจุบัน หลาย ๆ องค์กรหันมาดำเนินกิจการแบบออนไลน์และทำธุรกรรมต่าง ๆ ผ่านโลกอินเทอร์เน็ต จึงทำให้ข้อมูลถูกเก็บไว้บนอินเทอร์เน็ตเป็นหลัก เป็นเหตุให้หลาย ๆ หน่วยงานต่างจับตาอยู่ไม่น้อยทีเดียว ซึ่งหน่วยงานที่ว่านี้คือบุคคลผู้ไม่ประสงค์ดีนั่นเอง ที่ต้องการเข้ามาปลอมแปลงดึงข้อมูลความลับภายในบริษัทไปใช้เพื่อผลประโยชน์ส่วนตัวหรือกระทำการใด ๆ โดยที่เจ้าของข้อมูลไม่รู้ตัวหรือไม่ได้ยินยอมในการกระทำดังกล่าว

ซึ่งจากที่ได้กล่าวไปด้านบนจะเห็นได้ว่าองค์กรทุกองค์กรต้องมีระบบรักษาความปลอดภัย (Data Loss Prevention) ภายในบริษัทที่จะสามารถป้องกันข้อมูลรั่วไหลนี้ได้ ซึ่ง DLP นี้จะคอยรักษาความปลอดภัยของข้อมูล คอยดูความเคลื่อนไหว สังเกตพฤติกรรมที่ผิดปกติ หากเกิดเหตุอันใดน่าสงสัย ระบบก็จะทำการคุ้มกันข้อมูลโดยทันที โดยที่ท่านสามารถซื้อระบบรักษาความปลอดภัยโดยเฉพาะก็ได้ หรือซื้อซอฟต์แวร์ที่มีฟังก์ชันในการเก็บข้อมูลได้อย่างปลอดภัยก็ได้

ในทางกลับกันหากองค์กรของท่านไม่มีความเข้าใจในกฎหมายนี้ ไม่ปฏิบัติตาม ไม่มีการเก็บข้อมูลพนักงานเป็นความลับ เผยแพร่ข้อมูลนี้ออกไปโดยที่พนักงานเจ้าของข้อมูลนั้นไม่ได้ยินยอม ขัดต่อกฎหมายข้อบังคับ PDPA ท่านจะต้องได้รับโทษทางกฎหมาย ต้องชดเชยค่าเสียค่าเป็นจำนวนมากซึ่งจะแบ่งออกเป็น 3 ประเภท ดังนี้

  1. โทษทางแพ่ง – การทำให้ผู้อื่นได้รับความเสียหายทั้งด้านสิทธิ ชื่อเสียง และร่างกาย
    ท่านต้องชดเชยค่าสินไหมทดแทนให้เจ้าของข้อมูลและต้องได้รับโทษทางกฎหมายโดยท่านต้องชดเชยเป็นจำนวน 2 เท่าของค่าเสียหายจริง
  2. โทษทางอาญา – การสร้างความเสียหายต่อส่วนรวม
    บทลงโทษทางอาญาที่ท่านจะได้รับคือ การจำคุก 1 ปีหรือปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ ผู้ใดก็ตามที่มีส่วนเกี่ยวข้องกับการเปิดเผยข้อมูลหรือมีการโอนย้ายข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูลอันขัดต่อ พ.ร.บ. นี้จะต้องได้รับโทษ
  3. โทษทางปกครอง – การฝ่าฝืนข้อกฎหมาย
    สำหรับโทษทางปกครองนี้ท่านจะต้องโดนปรับตั้งแต่ 1 – 5 ล้าน หรือตามค่าเสียหายจริง ซึ่งนับได้ว่าเป็นจำนวนที่มหาศาลเลยทีเดียว 

ซึ่งโทษทั้ง 3 ประเภทนี้จะเป็นคนละส่วนกัน ท่านมีสิทธิ์ได้รับโทษทั้งหมดนี้ในเวลาเดียวกันได้ ด้วยเหตุนี้ท่านจึงต้องให้ความสำคัญต่อกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างมาก เพื่อหลีกเลี่ยงการฝ่าฝืนข้อกฎหมายดังกล่าวและเพื่อที่ท่านจะไม่ได้รับโทษใด ๆ นั่นเอง

คอร์สอบรมเรื่อง PDPA


ดังนั้นทาง Demeter ICT จึงได้ตระหนักถึงความสำคัญในการปฏิบัติตาม PDPA และถือโอกาสจัดคอร์สอบรมเกี่ยวกับ PDPA สำหรับผู้ใช้งาน Google Workspace ในหัวข้อ
การรับมือ PDPA อย่างมั่นใจด้วย Google Workspace” เพื่อให้ทุกท่านมีความเข้าใจอย่างถี่ถ้วนว่า พ.ร.บ. นี้คืออะไร ต้องปฏิบัติตามกฎข้อใดบ้าง ข้อมูลไหนที่เข้าข่าย PDPA และหากเกิดการละเมิดท่านจะสามารถป้องกันได้อย่างไร อีกทั้งยังมีหัวข้ออื่น ๆ อีกมากมาย ท่านสามารถคลิกลิงก์นี้เพื่ออ่านรายละเอียดคอร์สเพิ่มเติม >> การรับมือ PDPA อย่างมั่นใจด้วย Google Workspace”

บริษัท Demeter ICT เองก็ได้มีการนำซอฟต์แวร์เพื่อการทำงานอย่าง Google Workspace มาใช้ภายในองค์กร เพราะ Google Workspace นั้นมีระบบ DLP ที่สามารถช่วยป้องกันข้อมูลรั่วไหลได้อย่างแน่นหนา สามารถป้องกันมิจฉาชีพไม่ให้โจรกรรมข้อมูลได้ ไม่เพียงแค่นั้น Google Workspace ยังได้รับรองมาตรฐานรักษาความปลอดภัยอีกมากมาย อาทิ

  • ISO/IEC27001 ระบบมาตรฐานความมั่นคงปลอดภัยสารสนเทศและจัดการข้อมูลส่วนบุคคลที่ช่วยเพิ่มความแข็งแกร่งและลดความเสี่ยงจากการถูกโจรกรรมข้อมูล
  • ISO/IEC27017 ระบบมาตรฐานรักษาความปลอดภัยบนคลาวด์
  • ISO/IEC27018 แสดงถึงความโปร่งใสในการจัดเก็บข้อมูลของคนในองค์กร

และมาตรฐานอื่น ๆ อีกมากมาย ดูเพิ่มเติมได้ที่ >> Data Loss Prevention (DLP) ใน Google Workspace ช่วยยกระดับความปลอดภัยของข้อมูลให้สอดคล้องกับ PDPA ได้อย่างไร?

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับ Google Workspace คลิกที่นี่ หรือติดตามบทความที่น่าสนใจได้ที่ Facebook: Demeter ICT หรือ Line: @dmit 

ระบบอีเมลองค์กรและชุดแอปพลิเคชันเพื่อการทำงานร่วมกัน ตอบโจทย์สำหรับทุกธุรกิจ

บริษัท ดีมีเตอร์ ไอซีที จำกัด - พันธมิตรระดับ Google Premier Partner

ตัวแทนจำหน่าย Google Workspace ในประเทศไทยและเอเชียแปซิฟิกอย่างเป็นทางการ