Security
PDPA คืออะไร สำหรับเว็บไซต์
PDPA คืออะไร? ทำไมเว็บเราต้องแคร์
น้องๆ หลายคนอาจจะเคยได้ยินคำว่า PDPA ผ่านหูกันมาบ้างแล้วใช่มั้ย? มันย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ง่ายๆ คือกฎหมายที่ออกมาปกป้องข้อมูลส่วนตัวของเราทุกคนนั่นแหละ
สมัยผมทำร้านเน็ตฯ นี่ ยังไม่มี PDPA เลยนะ เก็บข้อมูลลูกค้าสบายๆ แต่ยุคนี้ไม่ได้แล้ว! PDPA ทำให้เราต้องคิดเยอะขึ้น ว่าจะเก็บข้อมูลอะไรของลูกค้าบ้าง เก็บไปทำไม เก็บแล้วต้องดูแลยังไง และที่สำคัญ ต้องขออนุญาตเค้าก่อนนะจ๊ะ
ทำไมเว็บเราต้องแคร์? เพราะถ้าเราเก็บข้อมูลส่วนตัวใคร แล้วเอาไปใช้โดยไม่บอกกล่าว หรือเอาไปใช้ในทางที่ผิดกฎหมาย PDPA มีบทลงโทษนะน้อง ทั้งปรับ ทั้งจำคุก! ไม่คุ้มเลยจริงๆ
ข้อมูลส่วนบุคคลคืออะไร?
ข้อมูลส่วนบุคคล (Personal Data) ตาม PDPA นี่ครอบคลุมกว้างมากนะน้อง ชื่อ ที่อยู่ เบอร์โทร อีเมล เลขบัตรประชาชน รูปถ่าย IP Address Cookies ข้อมูลสุขภาพ ข้อมูลทางการเงิน ทุกอย่างที่เป็นข้อมูลที่สามารถระบุตัวตนของคนๆ นั้นได้ ถือเป็นข้อมูลส่วนบุคคลหมดเลย
ทำไม PDPA ถึงสำคัญ?
ลองคิดดูนะน้อง ถ้าข้อมูลส่วนตัวของเราหลุดไปอยู่ในมือคนไม่ดี เค้าอาจจะเอาไปใช้ทำอะไรก็ได้ ทั้งหลอกลวง โกงเงิน หรือแม้แต่แอบอ้างเป็นตัวเราไปทำเรื่องผิดกฎหมาย PDPA เลยเข้ามาช่วยตรงนี้ไง ทำให้เรามั่นใจได้ว่าข้อมูลของเราจะได้รับการดูแลอย่างดี
อีกอย่างนะ PDPA ช่วยสร้างความน่าเชื่อถือให้กับเว็บของเราด้วย ถ้าลูกค้าเห็นว่าเราให้ความสำคัญกับเรื่องความเป็นส่วนตัว เค้าก็จะกล้าที่จะเข้ามาใช้บริการของเรามากขึ้น SiamCafe Blog มีบทความดีๆ เรื่องนี้อีกเยอะเลยนะ ลองเข้าไปอ่านดู
วิธีทำให้เว็บเรารองรับ PDPA แบบ Step-by-Step
เอาล่ะ มาถึงส่วนที่สำคัญที่สุดแล้ว นั่นคือ วิธีทำให้เว็บเรารองรับ PDPA แบบง่ายๆ ที่น้องๆ ก็ทำตามได้
Step 1: สำรวจว่าเว็บเรารวบรวมข้อมูลอะไรบ้าง
ขั้นตอนแรกเลย คือเราต้องมานั่งไล่ดูว่าเว็บของเรามีการเก็บข้อมูลส่วนตัวอะไรของลูกค้าบ้าง เช่น
- ชื่อ-นามสกุล และข้อมูลติดต่อ เมื่อลูกค้าสมัครสมาชิก
- ที่อยู่จัดส่งสินค้า เมื่อลูกค้าสั่งซื้อสินค้า
- ข้อมูลการเข้าชมเว็บไซต์ (Cookies, IP Address)
- ข้อมูลที่ลูกค้ากรอกในแบบฟอร์มต่างๆ
ทำรายการออกมาให้ละเอียดเลยนะน้อง จะได้ไม่ตกหล่น
Step 2: จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)
นโยบายความเป็นส่วนตัว คือเอกสารที่บอกว่าเราเก็บข้อมูลอะไรของลูกค้าบ้าง เก็บไปทำไม เก็บแล้วจะเอาไปทำอะไรต่อ เก็บไว้นานแค่ไหน และลูกค้ามีสิทธิ์อะไรบ้างเกี่ยวกับข้อมูลของตัวเอง
นโยบายความเป็นส่วนตัวต้องเขียนให้ชัดเจน เข้าใจง่าย ไม่อ้อมค้อมนะน้อง ลูกค้าจะได้อ่านแล้วเข้าใจว่าเรากำลังทำอะไรกับข้อมูลของเค้า
ตัวอย่างเนื้อหาที่ควรมีในนโยบายความเป็นส่วนตัว:
<h3>นโยบายความเป็นส่วนตัว</h3>
<p>เว็บไซต์ของเราให้ความสำคัญกับความเป็นส่วนตัวของท่าน เราจึงได้จัดทำนโยบายความเป็นส่วนตัวนี้ขึ้น เพื่อแจ้งให้ท่านทราบถึงวิธีการที่เรารวบรวม ใช้ เปิดเผย และปกป้องข้อมูลส่วนบุคคลของท่าน</p>
<h4>ข้อมูลส่วนบุคคลที่เรารวบรวม</h4>
<ul>
<li>ชื่อ-นามสกุล</li>
<li>ที่อยู่</li>
<li>เบอร์โทรศัพท์</li>
<li>อีเมล</li>
<li>ข้อมูลการเข้าชมเว็บไซต์</li>
</ul>
<h4>วัตถุประสงค์ในการเก็บรวบรวมข้อมูล</h4>
<p>เราเก็บรวบรวมข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้</p>
<ul>
<li>เพื่อให้บริการแก่ท่าน</li>
<li>เพื่อปรับปรุงเว็บไซต์ของเรา</li>
<li>เพื่อติดต่อท่าน</li>
</ul>
<h4>การเปิดเผยข้อมูลส่วนบุคคล</h4>
<p>เราจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอก เว้นแต่จะได้รับความยินยอมจากท่าน หรือเป็นไปตามที่กฎหมายกำหนด</p>
<h4>สิทธิของท่านเกี่ยวกับข้อมูลส่วนบุคคล</h4>
<p>ท่านมีสิทธิในการเข้าถึง แก้ไข ลบ หรือโอนย้ายข้อมูลส่วนบุคคลของท่าน ท่านสามารถติดต่อเราได้ตามช่องทางที่ระบุไว้ในเว็บไซต์ของเรา หากท่านต้องการใช้สิทธิของท่าน</p>
Step 3: ขอความยินยอม (Consent) ก่อนเก็บข้อมูล
กฎเหล็กของ PDPA คือ เราต้องขอความยินยอมจากลูกค้าก่อนที่จะเก็บข้อมูลส่วนตัวของเค้า ไม่ใช่ว่าเก็บไปเลยโดยไม่บอกกล่าว
วิธีการขอความยินยอมก็มีหลายแบบ เช่น
- แสดง Pop-up ให้ลูกค้ากดยอมรับ Cookies
- มี Checkbox ให้ลูกค้าติ๊กยอมรับนโยบายความเป็นส่วนตัวก่อนสมัครสมาชิก
- มีข้อความแจ้งให้ทราบว่ามีการเก็บข้อมูล และให้ลูกค้ากด "ตกลง"
ข้อความที่ใช้ขอความยินยอม ต้องชัดเจน เข้าใจง่าย และบอกให้ละเอียดว่าเราจะเอาข้อมูลไปทำอะไร SiamCafe Blog มีตัวอย่างข้อความขอความยินยอมดีๆ เพียบ ลองไปดูเป็นไอเดียได้เลย
Step 4: รักษาความปลอดภัยของข้อมูล
เมื่อเราเก็บข้อมูลลูกค้ามาแล้ว หน้าที่ของเราคือต้องดูแลรักษาข้อมูลเหล่านั้นให้ดีที่สุด ป้องกันไม่ให้ใครมาขโมยหรือเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
วิธีการรักษาความปลอดภัยของข้อมูลก็มีหลายอย่าง เช่น
- เข้ารหัสข้อมูล (Encryption)
- ใช้ Firewall ป้องกันการบุกรุก
- กำหนดสิทธิ์การเข้าถึงข้อมูล
- อบรมพนักงานให้เข้าใจเรื่องความปลอดภัยของข้อมูล
สมัยผมทำร้านเน็ตฯ นี่โดนแฮกบ่อยมาก! แต่เดี๋ยวนี้มีเครื่องมือและเทคนิคเยอะแยะ ที่ช่วยให้เราดูแลข้อมูลได้ดีขึ้น
ตารางเปรียบเทียบ PDPA กับกฎหมายอื่น
| กฎหมาย | PDPA (Personal Data Protection Act) | GDPR (General Data Protection Regulation) | HIPAA (Health Insurance Portability and Accountability Act) |
|---|---|---|---|
| ประเทศ | ประเทศไทย | สหภาพยุโรป | สหรัฐอเมริกา |
| ขอบเขต | คุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดา | คุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดา | คุ้มครองข้อมูลสุขภาพของบุคคล |
| หลักการสำคัญ | ความยินยอม, ความโปร่งใส, ความถูกต้อง, ความปลอดภัย | ความยินยอม, ความโปร่งใส, ความถูกต้อง, ความปลอดภัย | ความลับ, ความปลอดภัย |
| บทลงโทษ | ปรับ, จำคุก | ปรับ | ปรับ, จำคุก |
Best Practices / เคล็ดลับจากประสบการณ์
เอาล่ะ น้องๆ หลังจากเข้าใจ PDPA เบื้องต้นแล้ว มาดูเคล็ดลับที่พี่บอม SiamCafe สรุปจากประสบการณ์จริงกันบ้าง สมัยทำร้านเน็ตนี่เจ็บมาเยอะ เรื่องข้อมูลลูกค้าสำคัญสุดๆ
1. Privacy Notice ชัดเจน เข้าใจง่าย
Privacy Notice หรือนโยบายความเป็นส่วนตัวเนี่ย ต้องเขียนให้คนทั่วไปอ่านแล้วเข้าใจนะ ไม่ใช่ภาษาทนาย! บอกไปตรงๆ ว่าเก็บข้อมูลอะไร ทำไมต้องเก็บ เอาไปทำอะไรบ้าง และเก็บไว้นานแค่ไหน
<p>เราเก็บข้อมูลชื่อ อีเมล และ IP Address เพื่อใช้ในการปรับปรุงบริการ และติดต่อคุณเท่านั้น ข้อมูลจะถูกเก็บไว้ 1 ปี</p>
2. Consent ต้องชัด ห้ามมัดมือชก
การขอ Consent หรือความยินยอม ต้องชัดเจน ว่าลูกค้าอนุญาตให้เราทำอะไรได้บ้าง อย่าเอาไปรวมกับเงื่อนไขการใช้บริการ หรือมัดมือชกให้กดยอมรับทั้งหมด ไม่งั้นผิด PDPA แน่นอน
เคยเจอเคส ลูกค้าไม่รู้ตัวว่าติ๊กยินยอมให้ส่งอีเมลโปรโมชั่น สุดท้ายโดนร้องเรียน เสียชื่อเสียงหมด
3. Data Security ต้องแน่นหนา
เรื่องความปลอดภัยของข้อมูลนี่สำคัญสุดๆ สมัยก่อนร้านเน็ตโดนแฮกบ่อยมาก ต้องลงทุนเรื่อง Firewall และ Anti-Virus ให้ดี อย่าคิดว่าไม่สำคัญ เพราะถ้าข้อมูลลูกค้ารั่วไหล โดนฟ้องร้องหนักแน่นอน
<p>เราใช้ระบบ Encryption ในการเก็บข้อมูล และมีทีมงานคอยดูแลความปลอดภัยตลอด 24 ชั่วโมง</p>
4. Right to be Forgotten ต้องทำให้ได้จริง
PDPA ให้สิทธิลูกค้าในการลบข้อมูลของตัวเองออกจากระบบของเรา ถ้าลูกค้าขอมา เราต้องทำให้ได้จริงนะ ไม่ใช่บอกว่า "ลบแล้ว" แต่จริงๆ ยังอยู่ใน Database อันนี้ผิดกฎหมาย
สมัยนี้มีเครื่องมือช่วยจัดการเรื่องนี้เยอะแยะ ลองหามาใช้ดู จะได้ไม่ปวดหัว
FAQ คำถามที่พบบ่อย
ทำเว็บไซต์ขายของเล็กๆ ต้องทำตาม PDPA ด้วยเหรอ?
ถึงจะเป็นเว็บไซต์เล็กๆ ถ้ามีการเก็บข้อมูลส่วนตัวของลูกค้า เช่น ชื่อ ที่อยู่ อีเมล ก็ต้องทำตาม PDPA ครับ กฎหมายไม่ได้ยกเว้นให้ธุรกิจขนาดเล็กนะ
Privacy Notice ต้องมีอะไรบ้าง?
Privacy Notice ต้องบอกรายละเอียดเกี่ยวกับการเก็บ ใช้ เปิดเผย และลบข้อมูลส่วนตัว ต้องระบุวัตถุประสงค์ ระยะเวลา และสิทธิของเจ้าของข้อมูลให้ชัดเจน
ถ้าโดนลูกค้าฟ้องร้องเรื่อง PDPA จะทำยังไง?
อันดับแรกคือตั้งสติ! หาที่ปรึกษาทางกฎหมาย และตรวจสอบว่าเราได้ทำตาม PDPA ครบถ้วนหรือไม่ ถ้าผิดจริงก็ต้องรีบแก้ไข และเจรจาไกล่เกลี่ยกับลูกค้า
Consent ต้องเก็บไว้นานแค่ไหน?
ควรเก็บหลักฐานการให้ Consent ไว้นานเท่ากับระยะเวลาที่เราเก็บข้อมูลส่วนตัวของลูกค้า เพื่อเป็นหลักฐานว่าเราได้รับความยินยอมอย่างถูกต้อง
สรุป
PDPA ไม่ใช่เรื่องยากอย่างที่คิด ถ้าเราเข้าใจหลักการ และทำตามกฎหมายอย่างเคร่งครัด จะช่วยสร้างความน่าเชื่อถือให้กับธุรกิจของเรา และป้องกันปัญหาทางกฎหมายในอนาคต iCafeForex ก็ให้ความสำคัญกับเรื่องนี้มากๆ
อย่าลืมศึกษาข้อมูลเพิ่มเติมจาก SiamCafe Blog นะครับ มีบทความดีๆ เกี่ยวกับ IT และธุรกิจอีกเยอะเลย
