5 คำถามกฎหมาย PDPA ยอดฮิต ที่ผู้บริหารและนักการตลาดควรรู้

5 คำถามกฎหมาย PDPA ยอดฮิต ที่ผู้บริหารและนักการตลาดควรรู้

เมื่อวันที่ 27 พฤษภาคม 2562 ได้มีการประกาศบังคับใช้ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ในประเทศไทย หรือ ที่คนทั่วไปรู้จักในชื่อ PDPA ในภาคธุรกิจ มีความตื่นตัวกับกฎหมายฉบับนี้ พอสมควร และเริ่มมีการศึกษาหาข้อมูล เตรียมความพร้อม เพื่อให้เมื่อวันหนึ่งที่กฎหมายมีผลบังคับใช้อย่างเต็มรูปแบบแล้ว กิจการจะได้ลดความเสี่ยงในการกระทำผิดตามกฎหมาย

ในระหว่างที่รอความชัดเจนเกี่ยวกับเรื่องของรายละเอียด เพื่อให้การเตรียมความพร้อม สอดคล้องกับกฎหมาย มีคำถามเกิดขึ้นมากมายในโลกธุรกิจว่า ก่อนที่กฎหมายฉบับนี้ จะมีผลใช้บังคับ ในฐานะผู้ประกอบการ เราจะต้องดำเนินการอย่างไรบ้าง?

วันนี้ผมก็เลยรวบรวมเอา 5 คำถาม ที่มีคนสงสัย และเกิดคำถามในใจกันพอสมควรเกี่ยวกับกฏหมาย PDPA มาให้ได้ลองอ่านกัน คิดว่าน่าจะเป็นประโยชน์กับทั้งฝั่งผู้บริหาร นักการตลาด และประชาชนทั่วไปครับ

คำถามข้อที่ 1 : “ธุรกิจของเราเป็นธุรกิจเล็ก ๆ เป็น SME ลูกค้าไม่ได้มีเยอะมาก ยังไม่ต้องสนใจเรื่อง PDPA ได้ไหม ?”

เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่รัฐกำหนด “สิทธิ” ของเจ้าของข้อมูลส่วนบุคคล และ “หน้าที่”ขององค์กรที่ต้องไปเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้อื่น ไม่ว่าจะในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล”

กฎหมายไม่ได้ดูว่า ธุรกิจคุณจะเล็กหรือใหญ่ แต่ดูว่า ธุรกิจของคุณเกี่ยวข้องกับข้อมูลส่วนบุคคลของใครสักคนหรือไม่ครับ

และเรื่องของข้อมูลส่วนบุคคล ก็ไม่ได้จำกัด แต่เฉพาะ ข้อมูลส่วนบุคคลของ “ลูกค้า” เท่านั้นครับ คนทุกคน ที่เป็นบุคคลธรรมดาที่ยังมีชีวิตอยู่ ไม่ว่าจะเป็นบุคคลที่เกี่ยวข้องกับทางกฎหมาย มีนิติกรรม-สัญญาระหว่างกัน เช่น พนักงาน, ลูกค้า, ซับพลายเออร์, หุ้นส่วน เป็นต้น และรวมถึง บุคคลอื่น ๆ ที่อาจจะเกี่ยวข้องกับองค์กร แม้จะไม่มีความผูกพันกันทางกฎหมาย เช่น บุคคลที่เข้ามาติดต่อ หรือแค่ คนที่เดินผ่านไปผ่านมาภายในบริเวณที่ทำงานของคุณ เป็นต้น

หากองค์กรมีความจำเป็นที่จะต้องเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลเหล่านั้น องค์กรนั้น มีความเกี่ยวข้องกับกฎหมายฉบับนี้ทั้งนั้นครับ ซึ่งสิ่งที่จะทำให้ ผู้ประกอบการ เข้าใจและเตรียมความพร้อมเพื่อดำเนินการให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะต้องลองมองย้อนกลับมาดูที่ธุรกิจของเราครับ ว่า เรามีส่วนเกี่ยวข้องกับ “เจ้าของข้อมูลส่วนบุคคล” ประเภทใดบ้าง

เพราะ “เจ้าของข้อมูลส่วนบุคคล” แต่ละประเภท แต่ละคน อาจมีสิทธิ-หน้าที่ ที่แตกต่างกันครับ

คำถามนี้เป็นคำถามยอดฮิตอันดับต้นๆ ที่มีคนสอบถามผมครับ ในฐานะที่เป็นคนหนึ่งที่ศึกษาเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาบ้าง อยากบอกอย่างนี้ครับ

เรื่อง “การคุ้มครองข้อมูลส่วนบุคคล” มันมีอะไรมากกว่าแค่การขอ Consent ครับ 

คือ ถ้ามันง่าย ครบ จบแค่การขอความยินยอม เท่านั้น คงจะไม่มีข่าวทั้งในและต่างประเทศให้เห็นกันอยู่บ่อย ๆ ว่าองค์กร มีการละเมิดข้อมูลส่วนบุคคล หรือ มีเหตุให้ข้อมูลส่วนบุคคลที่องค์กรได้มีการเก็บรวบรวมเอาไว้รั่วไหลออกไป (Data Breach)

ข้อมูลนี้ เป็นสถิติที่ได้มีการรวบรวมไว้ในเว็บไซต์ของต่างประเทศ แยกเป็นส่วนของสถิติเกี่ยวกับจำนวนค่าปรับที่เกิดขึ้นจากการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคล และ สถิติของจำนวนครั้งที่เกิดการละเมิดข้อมูลส่วนบุคคลในประเทศต่าง ๆ ในภาคพื้นยุโรปครับ 

เกี่ยวกับเรื่องของ “การคุ้มครองข้อมูลส่วนบุคคล” ในประเทศภาคพื้นยุโรป ที่ เป็นกลุ่มประเทศที่มีการออกกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่เรียกว่า “GDPR” หรือ “General Data Protection Regulation” ซึ่งในหลาย ๆ องค์กร ในหลาย ๆ ประเทศ ก็มีการเตรียมความพร้อมในการคุ้มครองข้อมูลส่วนบุคคลเอาไว้เหมือนกัน

จากสถิติ จะเห็นได้ว่า ในภาคพื้นยุโรป ประเทศต่าง ๆ แม้จะมีการเตรียมความพร้อม มีการกำหนดกฎหมายเข้ามาคุ้มครอง มีการขอความยินยอมเกี่ยวกับข้อมูลส่วนบุคคล รวมถึง มีการประกาศ Privacy Policy หรือมีการเตรียมความพร้อมเกี่ยวกับเรื่องนี้ ก็ยังมีให้เห็นถึงการละเมิดสิทธิในข้อมูลส่วนบุคคล เกิดขึ้นอยู่เรื่อย ๆ

หลายคนเข้าใจว่า การจะเก็บรวบรวมข้อมูลส่วนบุคคล แค่ขอ “ความยินยอม (Consent)“ ก็น่าจะพอแล้ว เหมือนเป็นฐานครอบจักรวาล แต่ความจริงแล้ว ไม่แน่เสมอไปนะครับ เพราะ การขอความยินยอม จริงๆ แล้ว เป็นเพียงฐานหนึ่งใน 7 ฐานทางกฎหมาย ในการเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น

ฐานทางกฎหมาย หรือที่เรียกว่า “Lawful Basis” ตาม PDPA ของไทย มีอยู่ทั้งหมด 7 ฐาน

ซึ่งหากมีเหตุผลในฐานใดฐานหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลก็สามารถเก็บรวมรวบข้อมูลส่วนบุคคลได้ ไม่ได้หมายความว่า ต้องใช้ “ฐานความยินยอม” ในทุกกรณี

และจริงๆ แล้ว ฐานความยินยอม มีข้อจำกัดหลายประการ ซึ่งเรื่องหนึ่ง คือ หากอ้างฐานความยินยอมเป็นหลักในการเก็บรวบรวมข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถขอถอนความยินยอมเมื่อใดก็ได้

ยกตัวอย่างเช่น

กิจการต้องการเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า เพื่อใช้ในการพัฒนาสินค้าหรือบริการ เมื่อวาน เลยขอความยินยอมจากลูกค้าในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งลูกค้าก็ให้ เซ็นหนังสือให้ความยินยอมเอาไว้ด้วย แต่พอกลับบ้านไป 

จู่ๆ เกิดเปลี่ยนใจ วันนี้ เลยติดต่อเข้ามาอีกครั้งว่า ที่ให้ความยินยอมไปเมื่อวาน วันนี้ไม่ให้แล้วนะ ขอถอนความยินยอม

ลูกค้าสามารถถอนความยินยอมได้นะครับ และเมื่อถอนความยินยอมแล้ว เราไม่สามารถใช้ข้อมูลส่วนบุคคลนั้นได้เลย เว้นแต่มีฐานทางกฎหมายอื่นรองรับ

เจออย่างนี้เข้าหลาย ๆ ครั้ง ผู้ประกอบการน่าจะงง และสุดท้ายเกิดความสุ่มเสี่ยงในการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลแน่ ๆ

ฐานนี้เลยไม่ใช่ฐานแรกๆ ที่ใครก็ตามที่คิดจะเก็บรวบรวมข้อมูลส่วนบุคคล ควรใส่ใจหรือเลือกเป็นหลักครับ

คำถามข้อที่ 3 : “ถ้าเราจัดเตรียมประกาศ เช่น Privacy Policy หรือ Privacy Notice ก็ถือว่าเราทำหน้าที่ถูกต้องตามกฎหมายแล้วใช่ไหม ?”

 ถ้าสังเกตดีๆ จะพบว่าหลายๆองค์กร มีการตื่นตัวและเตรียมความพร้อมในการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลลักษณะนี้เอาไว้

หลักของเรื่องนี้ คือ การแจ้งให้บุคลากรในองค์กรของเราทราบว่า ตอนนี้ องค์กรของเรากำลังให้ความสำคัญกับเรื่องการคุ้มครองข้อมูลส่วนบุคคลอยู่ และแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ซึ่งเป็นเพียง “หน้าที่หนึ่ง” ของ “ผู้ควบคุมข้อมูล” ตามที่กฎหมายกำหนดเท่านั้น แต่มันไม่ใช่หน้าที่เดียวที่ผู้ประกอบการมีครับ

นอกเหนือจากการประกาศนโยบายความเป็นส่วนตัวแล้ว กฎหมายยังกำหนดหน้าที่อีกหลายเรื่อง ที่ผู้ประกอบการต้องเตรียมความพร้อมครับ และเรื่องหลัก เรื่องหนึ่งที่ไม่ค่อยมีคนพูดถึง คือ การกำหนดมาตรฐานในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ตามที่ มาตรา 37 กำหนดไว้

หน้าที่นี้ ไม่ใช่การเตรียมความพร้อมในเชิงกฎหมายแบบเพียว ๆ  แต่เป็นการเตรียมความพร้อมในการดำเนินกิจการในภาพรวม และเป็น “โลกเบื้องหลัง” ของการคุ้มครองข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับการวางระบบความมั่นคงปลอดภัยทางด้านไอที (IT Security) ซึ่งเป็นเรื่องใหญ่ และส่วนตัวผม คิดว่าเป็นเรื่องที่สำคัญค่อนข้างจะมากที่สุดเรื่องหนึ่ง ที่หลาย ๆ คน หลาย ๆ องค์กร อาจยังไม่ได้มีการเตรียมความพร้อม

จากคำถามข้อ 2 และข้อ 3 ที่หลายคนเข้าใจว่า การปฏิบัติตนให้สอดคล้องกับ PDPA แค่ขอ Consent แค่ทำ Privacy Policy หรือแค่มี Privacy Notice ก็เพียงพอแล้ว

ซึ่งถ้าเข้าใจเช่นนี้ ขอแสดงความยินดีด้วยครับว่า..

กิจการของคุณ “มีความเสี่ยง” ในการดำเนินการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ครับ และอาจจะยังไม่เข้าใจถึง “เหตุผลเบื้องหลัง” ของกฎหมายฉบับนี้ อย่างแท้จริงครับ

คำถามข้อที่ 4 : “ปัจจุบัน กฎหมายเลื่อนการบังคับใช้ไปแล้ว ยังไม่ต้องเตรียมก็ได้ใช่ไหม ?”

ปัจจุบัน กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีการเลื่อนการบังคับใช้บางส่วน และ ณ วันนี้ ยังไม่มีการประกาศกฎหมายลูกออกมาอย่างชัดเจน แต่ก็ไม่ได้หมายความว่า ณ ตอนนี้ เราจะนิ่งนอนใจ หรือยังไม่ต้องเตรียมอะไร รอให้กฎหมายมีความชัดเจนก่อน ค่อยเตรียมก็ได้

หลายองค์กร หลายกิจการ คิดเช่นนี้จริง ๆ นะครับ ซึ่งจะว่าผิดเสียทีเดียวก็พูดได้ไม่เต็มปาก เพราะ การเตรียมความพร้อมเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคล เกี่ยวข้องกับการตั้งงบประมาณในการดำเนินงานขององค์กร ยิ่งในช่วงที่หลาย ๆ กิจการกระทบกับวิกฤตเศรษฐกิจด้วยแล้ว ยิ่งต้องรัดเข็มขัด ตัดค่าใช้จ่ายที่ยังไม่จำเป็นออกไปก่อน เพื่อความอยู่รอดของกิจการ

อยากฝากไว้อย่างนี้ครับ การเตรียมความพร้อมเกี่ยวกับเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล มีหลายเรื่องที่ต้องสนใจ อาจต้องย้อนกลับไปถึงการประกอบธุรกิจของกิจการเลยครับ ตัวอย่างเช่น

  • ธุรกิจของเราขายสินค้าอะไรให้กับใคร
  • กิจการของเรามีบุคคลที่มีส่วนได้เสีย (Stakeholder) หรือเกี่ยวข้องกับกิจการของเราบ้าง
  • เรากำลังสื่อสารกับบุคคลต่าง ๆ เหล่านั้นในช่องทางใด ออฟไลน์ ออนไลน์ หรือทั้งสองทาง
  • ข้อมูลหรือดาต้าต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคลอะไรบ้างที่จริง ๆ แล้ว องค์กรเก็บมาใช้ประโยชน์ และข้อมูลใดบ้างที่จริง ๆ เคยเก็บ แต่ไม่เคยใช้ประโยชน์ใด ๆ เลย
  • การไหลเวียนของข้อมูลส่วนบุคคล (Data Flow) ภายในองค์กรของเราเป็นอย่างไร
  • ใครหรือแผนกไหนในองค์กรของเราที่เข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคล
  • ในองค์กรของเรา มีมาตรการในรองรับการไหลเวียนของข้อมูลส่วนบุคคล ในแต่ละขั้นตอนบ้างแล้วหรือยัง
  • มาตรการในการรองรับที่มีเมื่อวันก่อน วันนี้ยังใช้ได้อยู่ปกติหรือไม่ มีอะไรที่เราพัฒนาต่อให้ดียิ่ง ๆ ขึ้นไปได้หรือเปล่า เป็นต้น

ซึ่งเรื่องเหล่านี้ ไม่ใช่เรื่องที่จะทำเสร็จได้เพียงแค่ 1-2 วัน หลายองค์กรใช้เวลาหลายเดือนในการเตรียมการ บางองค์กรใช้เวลาเป็นปียังไม่เรียบร้อย และไม่ใช่แค่ทำครั้งเดียวแล้วจบไป แต่จะต้องมีการทบทวนขั้นตอนในการดำเนินการอย่างสม่ำเสมอด้วย เพราะในโลกยุคปัจจุบัน ที่เข้าสู่โลกออนไลน์ โลกหมุนไปข้างหน้า ไวกว่ากฎหมายจะตามทัน การล่วงละเมิดสิทธิต่าง ๆ โดยเฉพาะข้อมูลส่วนบุคคล เกิดขึ้นได้ง่าย…มากกว่าในอดีตเยอะครับ

คำถามข้อที่ 5 : “ฉันไม่ใช่เจ้าของกิจการ เป็นแค่พนักงานคนหนึ่งเท่านั้น ไม่ต้องสนใจเรื่องนี้ก็ได้ใช่ไหม ?”

 เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นเรื่องที่เกี่ยวข้องกับทุกคนครับ คนทุกคน เป็นเจ้าของข้อมูลส่วนบุคคล จึงเป็นเรื่องจำเป็นที่ แต่ละคนจะต้องรับรู้ถึง “สิทธิ” ของตนเอง เพื่อไม่ให้ใครมาเอารัดเอาเปรียบและในมุมของกิจการ แม้กฎหมายจะมุ่งเน้นในการกำหนด “หน้าที่” ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ในลักษณะที่เป็นตัวองค์กรก็ตาม แต่องค์กร ไม่สามารถขับเคลื่อนไปได้… หากปราศจาก “คน”

ทุกคนในองค์กร ไม่ว่าจะเป็น ตัวเจ้าของกิจการ ผู้บริหาร ผู้ถือหุ้น หรือพนักงานลำดับชั้นต่าง ๆ ล้วนแล้วแต่เป็น “ฟันเฟือง” สำคัญ ที่ขับเคลื่อนองค์กรไปข้างหน้าได้

การคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ หน้าที่ขององค์กร หรือ เจ้าของกิจการแต่เพียงคนเดียว แต่เป็นหน้าที่ของทุกคนที่ต้องร่วมมือร่วมใจ ให้ความสำคัญกับเรื่องนี้ เพื่อให้องค์กรของเรา ขับเคลื่อนไปข้างหน้า และไม่ต้องสูญเสียค่าใช้จ่าย ไม่ต้องเสี่ยงคุกเสี่ยงตาราง ไม่ต้องกังวลใจเกี่ยวกับสถานภาพว่าจะตกงานหรือไม่ จากการกระทำผิดกฎหมายโดยไม่จำเป็นครับ

เรื่องนี้ อาจเริ่มต้นจาก การที่ “ผู้นำ” องค์กร ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล 

ต่อด้วยการ “สื่อสาร” ให้กับทุกคนในองค์กรให้ความสำคัญ ในลักษณะ และทิศทางเดียวกัน 

เสริมความพร้อมทั้งด้าน “ความรู้” “ความเข้าใจ” ต่างๆ  ให้เท่าทัน

และเมื่อนั้น…

.

.

.

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” จะไม่ใช่เรื่องยาก หรือน่าปวดหัว อีกต่อไปครับ

แล้วถ้ามีโอกาส ผมจะมาเล่าเรื่อง “กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ผู้บริหารและนักการตลาดควรรู้” ในแง่มุมต่าง ๆ ทั้งในแง่มุมกฎหมาย แง่มุมในการบริหาร แง่มุมในการดำเนินการ และแง่มุมในด้านมาตรการทางเทคโนโลยี ให้ฟังเป็นระยะ ๆ นะครับ

.

การตลาดวันละตอนและทนายกอล์ฟ ร่วมกันเปิดคอร์สสอน PDPA สำหรับนักการตลาด และเจ้าของธุรกิจ 1 วันเต็มพร้อม Workshop ในวันอาทิตย์ที่ 19 กันยายน 2564 ค่าเรียนคนละ 5,900 บาท สนใจอ่านรายละเอียดและลงทะเบียนก่อนเต็มได้ที่ > https://bit.ly/PDPA4MKT1

Sanpob Pornwattanakij

Sanpob Pornwattanakij

ทนายความ ที่ปรึกษากฎหมาย บริษัท ที่ปรึกษากฎหมาย ลีกัล มายด์ จำกัด วิทยากรด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) Facebook Admin : รู้ทันกฎหมาย, ทนายกอล์ฟ Sanpob Pornwattanakij เลขานุการคณะกรรมาธิการความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติ และการปฏิรูปประเทศ Training Ambassador องค์กรธุรกิจ BNI (Business Network International) Mentor เพจ สรุปให้

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *