สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ

สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ

PDPA หรือ พ.ร.บ. ข้อมูลส่วนบุคคล ว่าด้วยเรื่อง ข้อมูลส่วนบุคคล เป็นข้อมูลใด ๆ ที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

ไม่ว่าจะเป็น ชื่อ-นามสกุล, ที่อยู่, เพศ, เบอร์โทรศัพท์, อีเมลล์, เลขบัตรประชาชน, รูปภาพ, ลายนิ้วมือ, ข้อมูลพฤติกรรมต่าง ๆ และข้อมูลใด ๆ ก็ตาม ที่ทำให้เข้าใจได้ว่าหมายถึงบุคคลใด ล้วนแล้วแต่เป็นข้อมูลที่เข้าข่ายเป็น ข้อมูลส่วนบุคคล ทั้งสิ้น

ข้อมูลเหล่านี้มักจะถูกเก็บข้อมูล ไม่ว่าโดยตรงหรือโดยอ้อม เพื่อที่ผู้เก็บรวบรวมข้อมูลดังกล่าว จะได้มีข้อมูลไว้ใช้ในการวิเคราะห์กลุ่มลูกค้า จะได้ เพื่อที่จะได้นำมาใช้ในการพัฒนาสินค้า-บริการ ให้ตอบสนองความต้องการของลูกค้ามากขึ้น

สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ ข้อมูลส่วนบุคคลคืออะไร ต้องขออนุญาตอย่างไร ใครต้องรับผิดชอบ ต้องปรับตัวอย่างไร

ข้อมูลส่วนบุคคล จึงเป็นข้อมูลสำคัญที่หลาย ๆ องค์กร หลาย ๆ บริษัท จำต้องเก็บรวบรวมไว้ เพื่อใช้ในการพัฒนากิจการให้มีความก้าวหน้า

แต่ในทางกลับกัน หากไม่มีมาตรการคุ้มครองป้องกันที่เพียงพอ เป็นไปได้ที่ข้อมูลเหล่านี้จะหลุดรอด รั่วไหล และเมื่อรั่วไหล สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล มักถูกล่วงละเมิด

ไม่ว่าจะเป็น..
การถูกนำไปสวมรอยใช้หลอกลวงคนอื่นในโลกออนไลน์ (Identity Theft)
การถูกผู้ไม่ประสงค์ดีเอาข้อมูลมาใช้ก่ออาชญากรรมในรูปแบบต่าง ๆ
การเอาข้อมูลไปขายให้กับบริษัทต่าง ๆ จนรวมไปถึงการถูกส่ง spam mail เข้ามารบกวน

ช่วง 1-2 ปีมานี้ สังคมจึงให้ความสนใจเกี่ยวกับเรื่อง “การคุ้มครองข้อมูลส่วนบุคคล” เพิ่มขึ้นเรื่อย ๆ

เมื่อปี 2561 ในประเทศภาคพื้นยุโรป มีการประกาศกฎหมายตัวหนึ่งเพื่อคุ้มครองข้อมูลส่วนบุคคล ที่เรียกว่า General Data Protection Regulation หรือที่มักได้ยินในนาม GDPR ครับ

สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ ข้อมูลส่วนบุคคลคืออะไร ต้องขออนุญาตอย่างไร ใครต้องรับผิดชอบ ต้องปรับตัวอย่างไร

กฎหมายฉบับดังกล่าว ได้เข้ามากำหนดหลักเกณฑ์ต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมาตรการลงโทษ หากมีผู้ใดล่วงละเมิดเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งมาตรการลงโทษค่อนข้างเข้ม ในต่างประเทศเลยมีการเตรียมตัวเพื่อรองรับกฎหมายที่ประกาศใช้

หลักจากนี้.. ข้อมูลส่วนบุคคล ได้รับความคุ้มครอง ไม่ให้ถูกนำไปใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม

แม้กฎหมายดังกล่าว จะใช้ในภาคพื้นยุโรป แต่เมื่อโลกในยุคปัจจุบัน ไร้ซึ่งพรมแดน ประเทศต่าง ๆ ก็เลยต้องมีการปรับตัว และออกกฎหมายขึ้นมาเพื่อคุ้มครองประชาชน และเพื่อให้สอดคล้องกับ GDPR ด้วย

ประเทศไทยก็เช่นกัน เมื่อวันที่ 27 พฤษภาคม 2562 ได้มีการประกาศเผยแพร่ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ในราชกิจจานุเบกษา

คนทั่วไปจะรู้จักในชื่อว่า “PDPA” (Personal Data Protection Act)

กฎหมายดังกล่าว จะมีผลใช้บังคับเมื่อพ้นกำหนด 1 ปี นับแต่วันประกาศราชกิจจานุเบกษา หมายความว่า กฎหมายฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป แล้วมันมีความสำคัญอย่างไร ?

กฎหมายฉบับดังกล่าว…มีขึ้นเพื่อคุ้มครองประชาชน ที่ “ข้อมูลส่วนบุคคล” ของเขา ไม่ว่าจะเป็นข้อมูลที่สื่อถึงตัวเขาได้โดยตรงหรือโดยอ้อม ล้วนแล้วแต่เป็นข้อมูลที่จะมีการถูกเก็บรวบรวม ถูกนำเอาไปใช้ หรือถูกเปิดเผยไม่ได้ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล

สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ ข้อมูลส่วนบุคคลคืออะไร ต้องขออนุญาตอย่างไร ใครต้องรับผิดชอบ ต้องปรับตัวอย่างไร
สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ ข้อมูลส่วนบุคคลคืออะไร ต้องขออนุญาตอย่างไร ใครต้องรับผิดชอบ ต้องปรับตัวอย่างไร

ไม่ว่าจะเป็นข้อมูลของลูกค้า พนักงาน ลูกจ้าง หรือใครก็ตาม ที่องค์กรได้เก็บรวบรวมไว้ ล้วนเข้าข่ายเป็น “ข้อมูลส่วนบุคคล” ตามกฎหมายฉบับนี้

นั่นหมายความว่า ทุก ๆ องค์กร และทุก ๆ คน ควรให้ความสนใจและทำความเข้าใจรายละเอียดของกฎหมายฉบับนี้

เพราะหากมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่ได้มีการขอความยินยอมและรวมถึงกรณีมีการนำข้อมูลไปใช้หรือเปิดเผยโดยไม่เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด มีความเสี่ยง ที่จะกระทำผิดกฎหมาย

  • ไม่ใช่ว่าจะเก็บข้อมูลอะไรก็ได้เหมือนเมื่อก่อน
  • ไม่ใช่ว่าจะเก็บแล้วนำเอาไปใช้อย่างไรก็ได้เหมือนเมื่อก่อน
  • ไม่ใช่ว่าให้ความยินยอมแล้ว จะถือว่าให้ความยินยอมตลอดไปเหมือนเมื่อก่อน
สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ ข้อมูลส่วนบุคคลคืออะไร ต้องขออนุญาตอย่างไร ใครต้องรับผิดชอบ ต้องปรับตัวอย่างไร

เพราะกฎหมายได้ให้ความคุ้มครองสิทธิของ “เจ้าของข้อมูลส่วนบุคคล” ในหลาย ๆ เรื่อง อาทิ

  • สิทธิในการได้รับแจ้งให้ทราบเมื่อต้องเก็บรวบรวมข้อมูลหรือจะมีการนำข้อมูลไปใช้
  • สิทธิในการที่แม้จะให้ความยินยอมในการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลไป แต่ก็ถอนความยินยอมเมื่อใดก็ได้
  • สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ได้มีการรวบรวมจัดเก็บไว้
  • สิทธิในการอนุญาตให้มีการโอนข้อมูลส่วนบุคคลของเราหรือไม่ก็ได้
  • สิทธิคัดค้านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเราไม่ว่าเวลาใด ๆ
  • สิทธิในการขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุถึงตัวของเขาได้
  • สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน ให้ถูกต้อง เป็นต้น

ซึ่งกฎหมายดังกล่าว มีบทลงโทษ 3 รูปแบบ คือ มาตรการทางแพ่ง, มาตรการทางอาญา และมาตรการทางปกครอง ซึ่งล้วนแล้วแต่ส่งผลกระทบต่อการบริการจัดการองค์กรไม่มากก็น้อยแน่นอน

และเมื่อกฎหมายฉบับนี้ เกี่ยวข้องได้กับทุกองค์กร ทุกภาคธุรกิจ แม้จะเป็นช่วงเวลาที่ประชาชนส่วนใหญ่กำลังวิตกกังวลกับวิกฤตโควิด ก็จะมองข้าม หรือ ไม่ให้ความสำคัญกับกฎหมายฉบับนี้ไม่ได้

7 สิ่ง ที่ผู้ประกอบการ ควรเตรียมให้พร้อม ก่อนที่กฎหมาย PDPA จะมีผลใช้บังคับ

  1. ศึกษาข้อมูลและทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามกฎหมาย
  2. ทบทวน ปรับข้อมูลใน Terms & Policy ต่าง ๆ ที่องค์กรมีอยู่ เพื่อให้มีความชัดเจนและโปร่งใส
  3. จัดเตรียมเอกสาร แบบฟอร์มต่าง ๆ ทำ Checklist ที่ใช้ในองค์กร ไม่ว่าจะเป็นการขอความยินยอม หรือขั้นตอนในการจัดเก็บ
  4. กำหนดระเบียบและหลักเกณฑ์ต่าง ๆ ที่ใช้ในองค์กร เพื่อให้สอดคล้องกับกฎหมาย ตลอดจนกำหนดมาตรการในการแก้ปัญหา เพื่อรองรับกรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคล
  5. ศึกษาหาข้อมูล + ระบบ + โปรแกรมต่าง ๆ ที่เข้ามาช่วยให้การจัดเก็บข้อมูลส่วนบุคคล ง่าย ราบรื่น และปลอดภัย
  6. ให้ความรู้กับบุคลากรภายในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลทั้งภายในและภายนอกองค์กร ให้เข้าใจหลักการ จะได้นำไปประยุกต์ใช้การทำงานได้อย่างราบรื่น
  7. แต่งตั้งและมอบหมายผู้รับผิดชอบภายในองค์กร เพื่อดำเนินการให้สอดคล้องและเป็นไปตามกฎหมาย

ทุกวันนี้ ทำธุรกิจ ไม่รู้กฎหมายไม่ได้ครับ และทำงานด้านกฎหมาย ไม่รู้เรื่องธุรกิจก็ไม่ได้เช่นกัน

และนี่คือ การปรับตัวเบื้องต้นของผู้ประกอบการให้เป็นไปตามกฎหมาย เมื่อวันที่ “ข้อมูลส่วนบุคคล” ได้รับความคุ้มครองเข้มข้นขึ้นครับ

ขอแชร์บางส่วนของสรุปคร่าว ๆ เกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อความสะดวกในการทำความเข้าใจครับ

อ่านบทความที่เกี่ยวกับ PDPA ต่อ > https://www.everydaymarketing.co/?s=pdpa

กฎหมายฉบับเต็ม > http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF?fbclid=IwAR0LskTm9VF48hsUcXw7L31dLFnfSH8DTeWi4OOkkM8u8-1y-XrkbkW6CL4

ใครสนใจหาข้อมูลเพิ่มเติม แนะนำหนังสือ “General Data Protection Regulation ฉบับภาษาไทย” จัดพิมพ์โดย Privacy Thailand ครับ

ขอบคุณเพจทนายกอล์ฟ ที่อนุญาตให้นำมาแบ่งปันครับ

Nattapon Muangtum

Nattapon Muangtum

เจ้าของเพจการตลาดวันละตอน / ที่ปรึกษาให้กับเอเจนซี่และธุรกิจต่างๆ / อาจารย์วิชา Data-Driven Communication ที่ PIM / นักอ่านหนังสือ / เจ้าของเพจอ่านแล้วเล่า

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *