วางระบบ IT PDPA
IT infrastructure

ไขข้อสงสัย PDPA เป็นหน้าที่ของ IT จริงหรือ?

28 February 2025
Table of contents

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่หลายองค์กรให้ความสำคัญ แต่มีความเข้าใจผิดอยู่บ่อยครั้งว่าเป็นหน้าที่ของฝ่าย IT เพียงอย่างเดียว ในความเป็นจริง PDPA เป็นเรื่องที่เกี่ยวข้องกับทุกฝ่ายในองค์กรที่มีการจัดเก็บและใช้ข้อมูลส่วนบุคคล บทความนี้จะช่วยให้เข้าใจบทบาทของแต่ละฝ่ายและความสำคัญของความร่วมมือในการปฏิบัติตามกฎหมายนี้อย่างถูกต้อง

PDPA คืออะไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายที่มีเป้าหมายเพื่อปกป้องข้อมูลส่วนบุคคลของประชาชนจากการถูกนำไปใช้โดยไม่ได้รับอนุญาต กฎหมายนี้ถูกกำหนดขึ้นเพื่อให้สอดคล้องกับมาตรฐานสากล เช่น GDPR (General Data Protection Regulation) ของยุโรป ซึ่งเป็นแนวทางสำคัญในการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคและพนักงานในองค์กรต่าง ๆ

PDPA กำหนดให้องค์กรและธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องดำเนินการให้เป็นไปตามหลักการที่ถูกต้อง เพื่อป้องกันการละเมิดความเป็นส่วนตัวของบุคคล ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA รวมถึง

  • ข้อมูลระบุตัวบุคคล เช่น ชื่อ-นามสกุล, หมายเลขบัตรประชาชน, วันเกิด
  • ข้อมูลการติดต่อ เช่น หมายเลขโทรศัพท์, ที่อยู่, อีเมล
  • ข้อมูลทางการเงิน เช่น รายละเอียดบัญชีธนาคาร, หมายเลขบัตรเครดิต
  • ข้อมูลสุขภาพ เช่น ประวัติการรักษาพยาบาล, ประวัติการใช้ยา
  • ข้อมูลชีวมิติ เช่น ลายนิ้วมือ, ม่านตา, ใบหน้า

วัตถุประสงค์ของ PDPA

วัตถุประสงค์หลักของ PDPA มีดังนี้

  • ปกป้องสิทธิของเจ้าของข้อมูล ให้ประชาชนสามารถควบคุมข้อมูลส่วนบุคคลของตนเองได้
  • ส่งเสริมความโปร่งใสในการจัดการข้อมูล องค์กรต้องแจ้งให้เจ้าของข้อมูลทราบว่าเก็บข้อมูลเพื่อวัตถุประสงค์อะไร
  • ป้องกันการละเมิดข้อมูลส่วนบุคคล ลดโอกาสที่ข้อมูลจะถูกนำไปใช้ในทางที่ผิด หรือถูกโจมตีโดยภัยคุกคามทางไซเบอร์
  • ส่งเสริมความน่าเชื่อถือให้กับองค์กร สร้างความมั่นใจให้กับลูกค้าและคู่ค้าทางธุรกิจในการรักษาความปลอดภัยของข้อมูล

PDPA ไม่ใช่แค่หน้าที่ของ IT

หลายคนมักเข้าใจผิดว่า PDPA เป็นหน้าที่ของฝ่าย IT เพียงอย่างเดียว แต่ในความเป็นจริง PDPA เป็นเรื่องที่เกี่ยวข้องกับทุกฝ่ายในองค์กรที่มีการจัดการหรือเข้าถึงข้อมูลส่วนบุคคล โดยมีตัวอย่างบทบาทของฝ่ายต่างๆ ดังนี้

  • ฝ่ายบุคคล (HR) รับผิดชอบข้อมูลพนักงาน เช่น ข้อมูลส่วนบุคคล ข้อมูลเงินเดือน ประวัติสุขภาพ และข้อมูลการประเมินผล
  • ฝ่ายการตลาด จัดเก็บข้อมูลลูกค้าเพื่อใช้ในการทำโฆษณา ส่งเสริมการขาย และวิเคราะห์พฤติกรรมของลูกค้า
  • ฝ่ายขาย บริหารจัดการข้อมูลลูกค้า เช่น ข้อมูลการติดต่อ ประวัติการซื้อขาย และการให้บริการลูกค้า
  • ฝ่ายกฎหมาย ดูแลให้กระบวนการจัดเก็บและใช้งานข้อมูลเป็นไปตามกฎหมาย
  • ฝ่ายบริหารความเสี่ยง ประเมินความเสี่ยงที่เกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคล พร้อมจัดทำมาตรการป้องกัน

ดังนั้น การปฏิบัติตาม PDPA ไม่ใช่หน้าที่ของ IT เท่านั้น เพียงแต่ฝ่าย IT มีหน้าที่ในการจัดการ ระบบ IT  พร้อมเป็นความรับผิดชอบร่วมกันของทุกฝ่ายในองค์กร

บทบาทของ IT ในการปฏิบัติตาม PDPA

 

บทบาทของ IT ในการปฏิบัติตาม PDPA

แม้ว่า PDPA จะไม่ใช่หน้าที่ของ IT เพียงฝ่ายเดียว แต่ฝ่าย IT มีบทบาทสำคัญในการสนับสนุนและจัดการวางระบบ IT ให้เป็นไปตามกฎหมาย โดยบทบาทหลักของ IT ได้แก่

  1. การจัดหาเครื่องมือและระบบที่ปลอดภัย เช่น ระบบจัดเก็บข้อมูลที่มีมาตรการป้องกันข้อมูลรั่วไหล
  2. การดูแลระบบรักษาความปลอดภัย IT Network ใช้มาตรการป้องกันภัยคุกคามทางไซเบอร์ เช่น Firewall, ระบบตรวจจับการบุกรุก (IDS/IPS)
  3. การเข้ารหัสข้อมูล (Data Encryption) ป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลส่วนบุคคล
  4. การควบคุมการเข้าถึงข้อมูล (Access Control) จำกัดการเข้าถึงข้อมูลเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
  5. การสำรองข้อมูลและกู้คืนข้อมูล (Backup & Recovery) ป้องกันการสูญหายของข้อมูลจากอุบัติเหตุหรือการโจมตีทางไซเบอร์
  6. การติดตามและเฝ้าระวังความปลอดภัย (Monitoring & Auditing) ตรวจสอบการใช้งาน IT Network ข้อมูลส่วนบุคคลภายในองค์กรเพื่อป้องกันการละเมิด

PDPA ไม่ใช่หน้าที่ของฝ่าย IT เพียงอย่างเดียว

 

สรุป

PDPA เป็นกฎหมายที่องค์กรต้องปฏิบัติตามเพื่อคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและพนักงาน การปฏิบัติตาม PDPA ไม่ใช่หน้าที่ของฝ่าย IT เพียงอย่างเดียว แต่เป็นความรับผิดชอบร่วมกันของทุกฝ่ายในองค์กร หากองค์กรสามารถปฏิบัติตาม PDPA ได้อย่างถูกต้อง จะช่วยเพิ่มความน่าเชื่อถือ ลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล และเสริมสร้างภาพลักษณ์ที่ดีให้กับองค์กรในระยะยาว

FAQ 

PDPA ครอบคลุมข้อมูลอะไรบ้าง?

–        PDPA ครอบคลุมข้อมูลส่วนบุคคลทุกประเภทที่สามารถระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ อีเมล ข้อมูลทางการเงิน และข้อมูลชีวภาพ รวมถึงข้อมูลที่มีความอ่อนไหว เช่น ข้อมูลทางศาสนา ข้อมูลสุขภาพ และข้อมูลชีวมิติ

องค์กรใดบ้างที่ต้องปฏิบัติตาม PDPA?

–        PDPA มีผลบังคับใช้กับทุกองค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ไม่ว่าจะเป็นองค์กรในประเทศหรือต่างประเทศที่ให้บริการแก่บุคคลในประเทศไทย

บทลงโทษของการไม่ปฏิบัติตาม PDPA?

–        องค์กรที่ไม่ปฏิบัติตาม PDPA อาจได้รับโทษดังนี้

  • โทษทางปกครอง ปรับสูงสุดถึง 5 ล้านบาท
  • โทษทางอาญา ในกรณีร้ายแรง เช่น การละเมิดข้อมูลที่ก่อให้เกิดความเสียหายร้ายแรงต่อเจ้าของข้อมูล
  • ความรับผิดทางแพ่ง องค์กรอาจต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลที่ได้รับผลกระทบ

ดังนั้น ทุกองค์กรควรให้ความสำคัญกับ PDPA เพื่อป้องกันความเสี่ยงและดำเนินธุรกิจอย่างถูกต้องตามกฎหมาย

เฮลโหลไพน์ (Hellopine) บริการที่ปรึกษาด้านเทคโนโลยีที่ให้บริการโซลูชันไอทีครบวงจรสำหรับองค์กรธุรกิจและสำนักงานต่างๆ เราออกแบบและวางโครงสร้างระบบ IT ที่เหมาะสมกับธุรกิจของคุณโดยเฉพาะ ติดต่อ Hellopine เพื่อรับคำปรึกษาโดยผู้เชี่ยวชาญ โทร 02-100-5073 หรือทางเว็บไซต์ www.hellopine.com