PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีผลบังคับใช้ตั้งแต่ วันที่ 1 มิถุนายน 2565กำกับดูแลโดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

ทำไม PDPA ถึงสำคัญ
กับธุรกิจ FinTech?

ธุรกิจ FinTech ประมวลผลข้อมูลส่วนบุคคลปริมาณมหาศาล ทั้ง ข้อมูลทางการเงิน ข้อมูล Biometric (ใบหน้า ลายนิ้วมือ)
ข้อมูลการยืนยันตัวตน (e-KYC) และข้อมูลธุรกรรมแบบ Real-time ซึ่งถือเป็น ข้อมูลอ่อนไหว (Sensitive Data) ที่ได้รับความคุ้มครองพิเศษตาม PDPA

การไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ส่งผลให้องค์กรเสี่ยงต้องโทษรุนแรง ทั้งโทษปรับทางปกครองสูงสุด 5 ล้านบาท
(โดยเฉพาะกรณีข้อมูลอ่อนไหว) โทษอาญาจำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท และโทษทางแพ่งชดใช้ค่าสินไหมทดแทนจริงบวกค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า นอกจากนี้ยังสร้างความเสียหายต่อชื่อเสียงและสูญเสียความเชื่อมั่นจากลูกค้า และความเสียหายต่อชื่อเสียงองค์กรที่ประเมินค่าไม่ได้

โทษทางแพ่ง

ไม่เกิน 2 เท่าของค่าเสียหายจริง
ค่าสินไหมทดแทนเชิงลงโทษ

โทษทางอาญา

ปรับไม่เกิน 1 ล้านบาท/จำคุกไม่เกิน 1 ปี
กรณีเปิดเผยข้อมูลอ่อนไหวโดยมิชอบ

โทษทางปกครอง

ปรับไม่เกิน 5 ล้านบาท
กรณีฝ่าฝืนข้อกำหนด PDPA

สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้

PDPA คุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject) อย่างเข้มงวด 7 ประการ เพื่อให้มั่นใจว่าข้อมูลจะถูกนำไปใช้อย่างโปร่งใสและตรวจสอบได้

มาตรา 19 : สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)

เจ้าของข้อมูลสามารถถอนความยินยอมที่เคยให้ไว้ได้ตลอดเวลา โดยการถอนต้องทำได้ง่ายเหมือนตอนให้

มาตรา 30 : สิทธิในการเข้าถึงข้อมูล (Right of Access)

ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยที่มาของข้อมูลที่ตนไม่ได้ให้ความยินยอม

มาตรา 31 : สิทธิในการโอนย้ายข้อมูล (Right to Data Portability)

ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่องมืออุปกรณ์อัตโนมัติ และขอให้ส่งข้อมูลไปยังผู้ควบคุมข้อมูลอื่น

มาตรา 32 : สิทธิในการคัดค้าน (Right to Object)

คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ในบางกรณี เช่น เพื่อวัตถุประสงค์ทางการตลาด

มาตรา 33 : สิทธิในการลบข้อมูล (Right to Erasure)

ขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ หากข้อมูลหมดความจำเป็นหรือถอนความยินยอม

มาตรา 34 : สิทธิในการระงับการใช้ข้อมูล (Right to Restriction of Processing)

ขอให้ระงับการใช้ข้อมูลส่วนบุคคลชั่วคราว เช่น ระหว่างการตรวจสอบความถูกต้องหรือระหว่างรอการลบ

มาตรา 35 : สิทธิในการแก้ไขข้อมูล (Right to Rectification)

ขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

ฐานทางกฎหมาย 7 ประการ

ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายรองรับในการประมวลผลข้อมูล (Lawful Basis) อย่างน้อย 1 ฐาน จากทั้งหมด 7 ฐาน ตามมาตรา 24 และ 26

ความยินยอม (Consent)

ขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้ง เป็นลายลักษณ์อักษรหรือผ่านระบบอิเล็กทรอนิกส์

สัญญา (Contract)

จำเป็นต่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา หรือเพื่อดำเนินการตามคำขอก่อนเข้าทำสัญญา

หน้าที่ตามกฎหมาย (Legal Obligation)

จำเป็นเพื่อการปฏิบัติตามกฎหมายที่ผู้ควบคุมข้อมูลส่วนบุคคลถือปฏิบัติ

ประโยชน์สาธารณะ (Public Interest)

จำเป็นต่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือใช้อำนาจรัฐที่ได้รับมอบหมาย

ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)

จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลหรือบุคคลอื่น (โดยไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูล)

ป้องกันอันตราย (Vital Interest)

จำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

จดหมายเหตุ/วิจัย/สถิติ (History/Research/Statistics)

เพื่อวัตถุประสงค์ทางประวัติศาสตร์ จดหมายเหตุ สาธารณประโยชน์ หรือการศึกษาวิจัยทางสถิติ (โดยมีมาตรการเยียวยาที่เหมาะสม)

บริการด้าน PDPA จาก CODEFIN

บริษัท โค้ดฟิน จำกัด มีความเชี่ยวชาญในการพัฒนาระบบ FinTech ที่ปฏิบัติตาม PDPA โดยนำหลักการ Privacy by Design มาใช้ในทุกโครงการ

Privacy by Design Implementation

ออกแบบระบบที่คำนึงถึงความเป็นส่วนตัวตั้งแต่ขั้นตอนแรก (Privacy by Design & Default)

Consent Management Platform

พัฒนาระบบจัดการความยินยอมที่ครบถ้วน สามารถให้ ปรับเปลี่ยน และถอนความยินยอมได้ตลอดเวลา

Data Subject Rights Portal

สร้างช่องทางให้เจ้าของข้อมูลใช้สิทธิตาม PDPA ได้อย่างสะดวก ครบทั้ง 7 สิทธิ์

Data Protection Impact Assessment

ประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) สำหรับระบบที่มีความเสี่ยงสูง

แนวทางการพัฒนาของ CODEFIN

ทีม CODEFIN มีความเชี่ยวชาญด้าน PDPA Testing และ OWASP Testing พร้อมพัฒนาระบบให้ลูกค้าสถาบันการเงินชั้นนำ

  • ออกแบบระบบแบบ Privacy by Design & Default ตามมาตรา 37

  • สร้าง Consent Management ที่รองรับการเพิกถอนความยินยอม

  • พัฒนา Data Subject Request Portal สำหรับเจ้าของข้อมูล

  • ใช้ Data Encryption (AES-256) และ Anonymization

  • จัดทำ Record of Processing Activities (RoPA) ตามมาตรา 39

  • ออกแบบ Data Breach Notification ภายใน 72 ชั่วโมง

Privacy by Design Implementation

ออกแบบระบบที่คำนึงถึงความเป็นส่วนตัวตั้งแต่ขั้นตอนแรก (Privacy by Design & Default)

Consent Management Platform

พัฒนาระบบจัดการความยินยอมที่ครบถ้วน สามารถให้ ปรับเปลี่ยน และถอนความยินยอมได้ตลอดเวลา

Data Subject Rights Portal

สร้างช่องทางให้เจ้าของข้อมูลใช้สิทธิตาม PDPA ได้อย่างสะดวก ครบทั้ง 7 สิทธิ์

Data Protection Impact Assessment

ประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) สำหรับระบบที่มีความเสี่ยงสูง