การปรับตัวของเว็บไซต์บริษัทหลังจาก PDPA เข้ามามีบทบาทในไทย

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2565 ซึ่งเลื่อนกำหนดจากเดิมมาแล้ว 2 ครั้ง ได้แก่ เดือนพฤษภาคม พ.ศ. 2563 และเดือนมิถุนายน พ.ศ. 2564 ตามลำดับ เพื่อให้แต่ละบริษัทมีเวลาในการเตรียมตัวมากขึ้นและช่วยบรรเทาผลกระทบจากสถานการณ์แพร่ระบาดของโควิด-19 เป็นการชั่วคราว แต่สุดท้ายแล้วทุกบริษัทที่มีเว็บไซต์ในประเทศไทยก็จำเป็นต้องปรับตัวเพื่อก้าวสู่การเปลี่ยนแปลงครั้งสำคัญตามกฎระเบียบด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นความท้าทายที่ทุกองค์กรต้องดำเนินการให้เสร็จสิ้นก่อน PDPA เริ่มบังคับใช้อย่างเป็นทางการ

ขอบเขตและข้อกำหนดของ PDPA นั้นมีความซับซ้อน ทุกบริษัทจึงควรรีบดำเนินการตั้งแต่เนิ่นๆ เพื่อให้สามารถปฏิบัติตามกฎหมายได้อย่างสมบูรณ์ รวมทั้งแสดงให้เห็นถึงความคืบหน้าต่อหน่วยงานที่กำกับดูแลและความรับผิดชอบต่อสังคม อยากรู้ว่า PDPA คืออะไร? ทำไมถึงสำคัญ? แล้วเว็บไซต์บริษัทต้องปรับตัวอย่างไร บทความนี้มีคำตอบ

PDPA

PDPA คืออะไร?

PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งประกาศลงในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และถือเป็นกฎหมายฉบับแรกที่ควบคุมและให้ความคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย

PDPA มีวัตถุประสงค์เพื่อปกป้องผู้ใช้งานเว็บไซต์จากการรวบรวมและการใช้ข้อมูลส่วนบุคคลอย่างผิดกฎหมาย โดยกำหนดให้ผู้ใช้งานเว็บไซต์ต้องสามารถรับรู้ได้ว่าข้อมูลใดบ้างที่จะถูกเก็บรวบรวม นำไปใช้ประโยชน์อย่างไร และโดยใคร รวมทั้งตัดสินใจเลือกได้ว่า ข้อมูลส่วนบุคคลใดบ้างที่ตนให้ความยินยอมหรือไม่ยินยอมให้ภาคธุกิจเก็บไว้ขณะเข้าใช้งานเว็บไซต์หรือทำธุรกรรมออนไลน์ นอกจากนี้ ยังรวมถึงสิทธิในการเรียกข้อมูลส่วนบุคคลกลับมาตรวจสอบและขอยกเลิกสิทธิ์ในภายหลังได้อีกด้วย

ทั้งนี้ ข้อมูลส่วนบุคคลตามมาตรา 6 ใน PDPA หมายถึง ข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น ชื่อ ที่อยู่ อีเมล หมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน หรือข้อมูลอื่นๆ ที่มีความละเอียดอ่อนก็จะได้รับการคุ้มครองเพิ่มเติมตาม PDPA เช่นกัน อาทิ

  • ข้อมูลสุขภาพและข้อมูลทางพันธุกรรม
  • ข้อมูลอัตลักษณ์บุคคลหรือ Biometrics เช่น ลักษณะบนใบหน้า ดวงตา ลายนิ้วมือ
  • เพศ รสนิยมทางเพศ และความพิการ
  • เชื้อชาติ ชาติพันธุ์ และศาสนา
  • ข้อมูลสหภาพแรงงานและความคิดเห็นทางการเมือง

ทำไมการบังคับใช้ PDPA ถึงสำคัญกับเว็บไซต์บริษัท

โดยทั่วไป ข้อมูลเกี่ยวกับผู้ใช้งานเว็บไซต์จะถูกรวบรวมและประมวลผลผ่านคุกกี้และเครื่องมือติดตามอื่นๆ ในระบบ CRM (Customer Relationship Management) ของแต่ละบริษัทหรือแบบฟอร์มออนไลน์

คุกกี้จะทำหน้าที่รวบรวมและประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้งาน ซึ่งอาจรวมถึงที่อยู่ IP ตำแหน่งทางภูมิศาสตร์ ID อุปกรณ์ ID คุกกี้ พฤติกรรมและการตั้งค่าออนไลน์ เพื่อใช้ประโยชน์ในการกำหนดกลุ่มเป้าหมายทางธุรกิจและปรับแต่งการโฆษณาให้มีประสิทธิภาพสอดคล้องกับ Profile ของผู้ใช้งานเว็บไซต์แต่ละคน

แม้ว่าคุกกี้บนเว็บไซต์บริษัทของคุณจะมาจากการตั้งค่าผ่านบริการอื่นๆ เช่น Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag เป็นต้น แต่ในฐานะผู้ควบคุมข้อมูล บริษัทของคุณจึงมีหน้าที่รับผิดชอบในการเก็บรวบรวมความยินยอมต่อคุกกี้ที่กำหนดโดยบุคคลที่สาม

หากข้อมูลใดที่เว็บไซต์รวบรวมสามารถระบุถึงตัวตนของผู้ใช้งานได้ แสดงว่าข้อมูลเหล่านั้นต้องได้รับการคุ้มครองภายใต้ข้อบังคับของ PDPA ซึ่งรวมถึงภาระผูกพันทางกฎหมาย ผลประโยชน์สาธารณะ ผลประโยชน์ที่ชอบด้วยกฎหมาย และการให้ความยินยอม

นอกจากนี้ PDPA ยังมีผลบังคับใช้กับบุคคล ธุรกิจ และเว็บไซต์ทั้งหมดไม่ว่าจะเป็นบริษัทในประเทศไทยหรือต่างประเทศ ถ้าทำธุรกิจหรือรวบรวมข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์เพื่อนำเสนอสินค้า บริการ หรือติดตามพฤติกรรมของบุคคลที่อยู่ในประเทศไทย ก็จำเป็นต้องจัดการเว็บไซต์ให้สอดคล้องตามข้อบังคับของ PDPA

ถ้าบริษัทหรือองค์กรใดฝ่าฝืนและละเมิดข้อกำหนดตามกฎหมายอาจได้รับโทษทั้งทางอาญาและทางแพ่ง โดยมีโทษปรับสูงสุด 5 ล้านบาทหรือจำคุกไม่เกินหนึ่งปี ยิ่งไปกว่านั้น PDPA ยังอนุญาตให้เจ้าของข้อมูลดำเนินคดีแบบกลุ่มได้ ซึ่งจะส่งผลให้บริษัทของคุณได้รับความเสียหายที่ประเมินค่าไม่ได้จากการมีภาพลักษณ์และชื่อเสียงที่ย่ำแย่มากไปกว่าเดิม

PDPA

เว็บไซต์บริษัทต้องปรับตัวอย่างไรก่อนบังคับใช้ PDPA

หากบริษัทของคุณกำลังต้องการสร้างเว็บไซต์หรือเป็นเจ้าของเว็บไซต์อยู่แล้ว ควรรีบปรับตัวและปฏิบัติตามกฎหมาย PDPA ตั้งแต่ตอนนี้

ขั้นตอนสำคัญที่จำเป็นต้องทำอันดับแรก คือ การติดตั้งระบบจัดการคุกกี้พ็อปอัปด้วยการคัดลอกโค้ดที่ฝ่ายไอทีเขียนขึ้นมาเพื่อนำไปติดตั้งลงในเว็บไซต์ของบริษัท หรือในกรณีที่บริษัทของคุณไม่มีฝ่ายไอทีและโปรแกรมเมอร์สามารถเลือกใช้บริการจากบริษัทเทคโนโลยีที่เกี่ยวข้อง เช่น beCOOKIES ซึ่งเปิดให้รับโค้ด JavaScript เพื่อสร้างคุกกี้สำหรับนำไปติดตั้งบนเว็บไซต์และแอปพลิเคชันของบริษัทโดยผ่านการออกแบบตามมาตรฐานของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุมทั้งประเทศไทย และ GDPR อีกกว่า 40 ประเทศทั่วโลก ใช้เวลาติดตั้งเพียงไม่กี่นาทีก็เสร็จสิ้น

เพียงเท่านี้ก็แสดงให้ลูกค้าเห็นว่า เว็บไซต์บริษัทของคุณมีความพร้อมที่จะปกป้องข้อมูลส่วนบุคคลและสิทธิของผู้บริโภคตามแนวทางที่ถูกต้องตามกฎหมาย กล่าวคือ เมื่อใดก็ตามที่มีบุคคลเข้าเยี่ยมชมเว็บไซต์ จะต้องมีพ็อปอัปแบนเนอร์เพื่อขอความยินยอมในการใช้คุกกี้ โดยระบบคุกกี้จะเก็บบันทึกข้อมูลต่อเมื่อผู้เยี่ยมชมกดยอมรับหรือให้ความยินยอมเท่านั้น หากผู้เยี่ยมชมกดปฏิเสธ คุณจะต้องเคารพการตัดสินใจของพวกเขาโดยไม่ใช้คุกกี้เก็บข้อมูลของบุคคลเหล่านั้น

นอกจากนี้ ยังมีแนวทางปฏิบัติอื่นๆ ที่จะช่วยให้คุณมั่นใจได้ว่า เว็บไซต์บริษัทของคุณมีการดำเนินงานที่สอดคล้องกับ PDPA อาทิ

  • แบนเนอร์คุกกี้ต้องแจ้งผู้เยี่ยมชมเว็บไซต์ให้รับทราบว่า ข้อมูลใดบ้างที่จะถูกเก็บรวบรวม ผู้รวบรวมข้อมูลคือใคร และระยะเวลาที่จัดเก็บข้อมูลนานแค่ไหน
  • สามารถระงับคุกกี้ไว้จนกว่าผู้เยี่ยมชมจะยินยอมให้ใช้คุกกี้ในเว็บไซต์ของคุณ
  • เสนอวิธีการให้กับผู้เยี่ยมชมสามารถเปลี่ยนแปลงหรือเพิกถอนความยินยอมต่อคุกกี้
  • จัดเก็บความยินยอมของผู้ใช้งานทั้งหมดเป็นเวลา 5 ปีตามที่กฎหมายกำหนด
  • ทำความเข้าใจวิธีการที่บริษัทของคุณใช้รวบรวม ประมวลผล ส่ง และจัดเก็บข้อมูล
  • ทบทวนนโยบายภายในของบริษัท ข้อตกลง และแนวปฏิบัติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
  • อัปเดตประกาศความเป็นส่วนตัวที่มีอยู่และสร้างเอกสารทางกฎหมายที่เกี่ยวข้อง
  • ตรวจสอบให้แน่ใจว่าพนักงานและบุคลากรของบริษัทได้รับการฝึกอบรมเกี่ยวกับข้อกำหนดที่เกี่ยวข้องของ PDPA

Summary

การปกป้องข้อมูลส่วนบุคคลกำลังกลายเป็นประเด็นสำคัญที่ทุกบริษัทต้องมีการวางแผนปรับเปลี่ยนระบบจัดการและปกป้องข้อมูลส่วนบุคคลของเว็บไซต์บริษัทอย่างรอบคอบ เพื่อให้แน่ใจว่าได้ปฏิบัติตามกฎหมาย PDPA และแสดงให้เห็นถึงความรับผิดชอบต่อสังคม

ปัจจุบัน หลายบริษัทในประเทศไทยได้ตระหนักถึงปัญหาและข้อกำหนดด้านความเป็นส่วนตัวของข้อมูล จึงเริ่มดำเนินการปรับปรุงเว็บไซต์เพื่อเตรียมพร้อมสำหรับการบังคับใช้ PDPA อย่างเป็นทางการในเดือนมิถุนายน 2565

ทั้งนี้ การปรับเปลี่ยนเว็บไซต์บริษัทให้สอดคล้องกับ PDPA ไม่ได้ให้ประโยชน์ในแง่ของการปฏิบัติตามข้อกำหนดทางกฎหมายเท่านั้น แต่ยังช่วยเพิ่มโอกาสของการเติบโตและแก้ไขปัญหาทางธุรกิจ ตลอดจนสร้างความไว้วางใจให้กับลูกค้า คู่ค้าทางธุรกิจ พนักงาน และนักลงทุน จึงเป็นเรื่องคุ้มค่าที่ทุกบริษัทควรลงมือทำ

ให้ความสำคัญกับเว็บไซต์บริษัทแล้ว อย่ามองข้ามสวัสดิการของพนักงานด้วย หากสนใจมอบสวัสดิการดีๆ ให้พนักงานในองค์กรของคุณทำงานได้อย่างมั่นใจและมีประสิทธิภาพ ด้วยแผนประกันสุขภาพและอุบัติเหตุกลุ่มสุดคุ้มของ Cigna อ่านรายละเอียดเพิ่มเติมได้ที่แผนประกันกลุ่มจากซิกน่า