“PDPA” หรือ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ถูกบังคับใช้ในเมื่อวันที่ 1 มิ.ย. 2565 นับเป็นประเด็นสำคัญให้ผู้ประกอบการและผู้บริโภคตระหนักเรื่องความปลอดภัยของข้อมูลส่วนบุคคล โดยยุคปัจจุบันที่มีการใช้ดิจิทัลในการดำเนินการทางธุรกิจ โดยทุกธุรกิจส่วนมากมีการแข่งกันเก็บรวบรวมข้อมูลของผู้บริโภค เพื่อเป็นแต้มต่อในการแข่งขันทางการค้า โดยเฉพาะปัจจุบันที่ร้านค้าส่วนมากมีการลดการใช้การสมัครสมาชิคผ่านบัตร แต่หันมาใช้ผ่าน application แทน คำถามต่อมาคือข้อมูลส่วนบุคคลของผู้บริโภคเหล่านี้ได้รับการคุ้มครองหรือดูแลดีพอหรือไม่
โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งนี้ข้อมูลส่วนบุคคลที่แอพในโทรศัพท์อาจจะมีการดึงไปใช้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ เป็นต้น ในส่วนของกฎหมาย PDPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล
การละเมิดข้อมูลจากแอพมือถือจะเกิดขึ้นได้ในกรณี..
เมื่อผู้ใช้ดาวน์โหลดแอป จะมีการรวบรวมข้อมูลส่วนบุคคลกับลูกค้าซึ่งเป็นวิธีเดียวกันกับที่เว็บไซต์ทำ โดยข้อมูลส่วนบุคคลจะมีการแชร์กับ บริษัท ของคุณ อย่างไรก็ตามในกระบวนการนี้มีความเสี่ยงต่อการละเมิดข้อมูลไปอยู่กับบุคคลที่สาม (third-party data processors). ข้อมูลส่วนบุคคลที่มีการ log-in การใช้งานแอปสามารถรวบรวมผ่านส่วนประกอบต่างๆในแอปได้ นอกจากนี้ข้อมูลส่วนบุคคลของลูกค้า อาจถูกแชร์หรือโอนไปที่บุคคลที่สามซึ่งไม่ได้เป็นตามกฎหมายPDPA โดยไม่ได้รับความยินยอมที่ถูกต้อง ทั้งนี้หากหน่วยงานคุณมีความจำเป็นต้องแชร์หรือโอนข้อมูลส่วนบุคคลไปที่บุคคลที่สาม หน่วยงานจะต้องสร้างแบบฟอร์มการแชร์ หรือโอนข้อมูลและขอความยินยอมให้โปร่งใสในการประมวลผลข้อมูลกับบุคคลที่สาม
- จัดทำเอกสารการรวบรวมข้อมูลและการประมวลผลข้อมูล
หน่วยงานจะต้องมีการแจ้งต่อเจ้าของข้อมูลว่าข้อมูลส่วนบุคคลบ้างใดที่แอป มีการเก็บรวบรวมโดยตรงจากอุปกรณ์ของผู้ใช้
- แจ้งผู้ใช้แอปเกี่ยวกับการรวบรวมข้อมูลและการประมวลผลข้อมูล
privacy policy ของบริษัทต้องแสดงให้ชัดเจนแก่ผู้ใช้แอป และต้องแจ้งให้ผู้ใช้ทราบว่าเหตุใดจึงต้องมีการรวบรวมข้อมูลส่วนบุคคล แจ้งว่าใครเป็นผู้ประมวลผลฯ และข้อมูลส่วนบุคคล จะมีการถูกจัดเก็บไว้ระยะเวลานานเท่าใด หากอยากรู้วิธีการเขียน Privacy Policy ให้ถูกหลัก PDPA สามารถอ่านได้ที่นี่ คลิก!
- แจ้งให้ลูกค้าทราบ หากหน่วยงานมีความจำเป็นในการแบ่งปัน หรือโอนข้อมูลส่วนบุคคล กับบุคคลที่สาม
คุณต้องแจ้งให้ผู้ใช้ทราบกระบวนการถ่ายโอนข้อมูล หรือแบ่งปันข้อมูลส่วนบุคคลไปให้บุคคลที่ 3 โดยจำเป็นต้องแจ้งว่า ผู้ใดรับผิดชอบในการดูแลข้อมูลส่วนบุคคล และเหตุใดจึงประมวลผลข้อมูลฯ ใช้ข้อมูลอะไรบ้าง ใครเป็นผู้รับข้อมูล เหตุผลที่ต้องถ่ายโอนหรือแบ่งปันข้อมูลส่วนบุคคลของผู้ใช้
- รวบรวม Consent ของลูกค้า
หลังจากมีการแจ้งกระบวนการไหลของของข้อมูลส่วนบุคคลแล้ว สิ่งที่สำคัญที่สุดคือการขอ consent จากลูกค้า โดยหากลูกค้าไม่ให้ความยินยอมนั่นหมายถึงเราไม่สามารถกระทำการใดๆต่อข้อมูลส่วนบุคคลของลูกค้าได้
- แจ้ง Contact เพื่อให้ลูกค้าสามารถติดต่อได้ทุกเมื่อหากมีปัญหา หรืออยากทราบข้อมูลเพิ่มเติม
เจ้าของข้อมูลส่วนบุคคลต้องสามารถติดต่อ บริษัท ของคุณได้เพื่อเข้าถึงข้อมูลส่วนบุคคลที่คุณจัดเก็บไว้
- จัดตั้งมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้า
กำหนดมาตรการณ์การรักษาความปลอดภัยทางเทคนิคที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้า ตรวจสอบ และมีการประเมินเป็นประจำว่าข้อมูลส่วนบุคคลถูกจัดเก็บในรูปแบบที่มีการป้องกันหรือไม่ และการโอนข้อมูลจะถูกเข้ารหัสผ่านการเชื่อมต่อที่ปลอดภัยหรือไม่
เรียกว่าหากธุรกิจใดก็ตาม ที่ไม่สามารถรักษาความปลอดภัยในข้อมูลผู้ใช้บริการได้ ก็เสี่ยงเผชิญความเสียหายทางเศรษฐกิจสูง ดังนั้นการลงทุนเพื่อรักษาความปลอดภัยของข้อมูลลูกค้าจึงเป็นเรื่องจำเป็นและคุ้มค่า หากจะบอกว่า Website ถือเป็นหน้าร้านค้าของบริษัท Application โทรศัพท์ก็แทบขะไม่ต่างกันดังนั้นการจัดการข้อมูลส่วนบุคคลต้องมีความโปร่งใส ป้องกันปัญหาเสี่ยงรั่วไหล ถูกจารกรรม หรือถูกนำไปใช้ประโยชน์โดยที่เจ้าของข้อมูลหรือคนไข้ไม่อนุญาต ดังนั้นในโอกาสที่กฎหมาย PDPA ถูกบังคับใช้ ธุรกิจทุกประเภทต้องให้ความสำคัญกับการจัดการและดูแล “ข้อมูลส่วนบุคคล” ของผู้บริโภค เพื่อไม่ให้กระทบต่อสิทธิของประชาชน
