TThaiLabHub
EN
|compliance

PDPA สำหรับห้องปฏิบัติการ: สิ่งที่แล็บไทยต้องทำเพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

PDPAพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลdata privacyห้องปฏิบัติการcompliance

PDPA คืออะไร และทำไมห้องปฏิบัติการต้องสนใจ?

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายนี้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลและหน้าที่ขององค์กรที่เก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าว

ห้องปฏิบัติการสอบเทียบและทดสอบเก็บข้อมูลส่วนบุคคลโดยปริยาย ในทุกการให้บริการ ไม่ว่าจะเป็น ชื่อผู้ติดต่อ เบอร์โทรศัพท์ อีเมล หรือชื่อบริษัทของลูกค้า สิ่งเหล่านี้ล้วนเข้าข่ายข้อมูลส่วนบุคคลตาม PDPA ทั้งสิ้น

ข้อมูลส่วนบุคคลที่แล็บมักเก็บรวบรวม

  • ข้อมูลลูกค้า: ชื่อ-นามสกุล บริษัท หมายเลขประจำตัวผู้เสียภาษี ที่อยู่ออกใบกำกับภาษี เบอร์โทรศัพท์ อีเมล
  • ข้อมูลในใบงาน (Job Form): ชื่อผู้ส่งมอบเครื่องมือ แผนก ผู้ติดต่อหน้างาน
  • ใบรับรองการสอบเทียบ: อาจระบุชื่อบุคคลที่เป็นผู้ส่งหรือผู้รับ
  • การสื่อสาร: อีเมล LINE LINE OA บันทึกการโทรติดต่อ

หน้าที่ของห้องปฏิบัติการในฐานะผู้ควบคุมข้อมูล

1. แจ้งวัตถุประสงค์ (Privacy Notice)

ก่อนหรือขณะเก็บข้อมูล ต้องแจ้งให้เจ้าของข้อมูลทราบว่าเก็บอะไร เพื่ออะไร เก็บนานแค่ไหน และใครเข้าถึงได้บ้าง โดยปกติทำเป็นนโยบายความเป็นส่วนตัว (Privacy Policy) บนเว็บไซต์และเอกสารใบสมัครลูกค้า

2. ขอความยินยอม (Consent) เมื่อจำเป็น

สำหรับการประมวลผลข้อมูลที่เกินกว่าการปฏิบัติตามสัญญา เช่น การส่งอีเมลการตลาดหรือการแชร์ข้อมูลกับบุคคลที่สาม ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง

หมายเหตุ: การส่งใบรับรองสอบเทียบหรือใบแจ้งหนี้ไปยังลูกค้า เข้าข่าย "การปฏิบัติตามสัญญา" จึงไม่จำเป็นต้องขอความยินยอมเพิ่มเติม

3. รักษาความปลอดภัยของข้อมูล

ต้องมีมาตรการด้านเทคนิคและองค์กรที่เหมาะสม เช่น:

  • การเข้าสู่ระบบด้วยรหัสผ่านที่แข็งแกร่งและ MFA
  • การจำกัดสิทธิ์การเข้าถึงตามบทบาท (Role-based access)
  • การบันทึก log การเข้าถึงและแก้ไขข้อมูล (Audit Trail)
  • การเข้ารหัสข้อมูลที่จัดเก็บและส่งผ่าน

4. รักษาสิทธิ์ของเจ้าของข้อมูล

เจ้าของข้อมูล (ลูกค้า พนักงาน) มีสิทธิ์:

  • เข้าถึงข้อมูล (Access): ขอดูว่าเก็บอะไรบ้าง
  • แก้ไขข้อมูล (Rectification): ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
  • ลบข้อมูล (Erasure): ขอให้ลบเมื่อหมดความจำเป็น
  • คัดค้าน (Objection): คัดค้านการประมวลผลบางประเภท
  • โอนถ่ายข้อมูล (Portability): ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง

แล็บต้องตอบสนองคำร้องเหล่านี้ภายใน 30 วัน

5. แจ้งเหตุการละเมิดข้อมูล

หากเกิดการรั่วไหลของข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ต้องแจ้งสำนักงาน PDPC ภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลโดยไม่ชักช้า

โทษและค่าเสียหายตาม PDPA

ความผิด โทษสูงสุด
เก็บรวบรวมโดยไม่มีฐานทางกฎหมายปรับ ≤ 3 ล้านบาท
เปิดเผยข้อมูลโดยไม่ได้รับอนุญาตปรับ ≤ 5 ล้านบาท + จำคุก ≤ 1 ปี
ไม่แจ้งเหตุละเมิดภายใน 72 ชั่วโมงปรับ ≤ 3 ล้านบาท
ค่าเสียหายทางแพ่ง (Class Action)ศาลกำหนดตามความเสียหายจริง

LabSync ช่วยให้แล็บสอดคล้องกับ PDPA อย่างไร?

  • Audit Trail: บันทึกการเข้าถึงและแก้ไขข้อมูลทุกรายการด้วย hash-chained log ที่ลบหรือแก้ไขย้อนหลังไม่ได้
  • Role-based Access: กำหนดสิทธิ์การเข้าถึงตามบทบาท ป้องกันพนักงานเข้าถึงข้อมูลที่ไม่เกี่ยวข้อง
  • MFA: ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตด้วย Time-based OTP
  • Data Export: ส่งออกข้อมูลลูกค้าในรูปแบบ CSV เพื่อตอบสนองคำร้องขอข้อมูล (DSAR)
  • PDPA DSAR Module: จัดการคำร้องขอข้อมูลส่วนบุคคลและติดตามสถานะการตอบสนองภายใน 30 วัน

ทดลองใช้ LabSync ฟรี 14 วัน — สร้างระบบ audit trail และการจัดการข้อมูลที่สอดคล้องกับ PDPA ตั้งแต่วันแรก

กลับไปรายการ