สรุป PDPA พ.ร.บ. ข้อมูลส่วนบุคคล กับ 7 เรื่อง ที่ผู้ประกอบการต้องให้ความสำคัญ
PDPA หรือ พ.ร.บ. ข้อมูลส่วนบุคคล ว่าด้วยเรื่อง ข้อมูลส่วนบุคคล เป็นข้อมูลใด ๆ ที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
ไม่ว่าจะเป็น ชื่อ-นามสกุล, ที่อยู่, เพศ, เบอร์โทรศัพท์, อีเมลล์, เลขบัตรประชาชน, รูปภาพ, ลายนิ้วมือ, ข้อมูลพฤติกรรมต่าง ๆ และข้อมูลใด ๆ ก็ตาม ที่ทำให้เข้าใจได้ว่าหมายถึงบุคคลใด ล้วนแล้วแต่เป็นข้อมูลที่เข้าข่ายเป็น ข้อมูลส่วนบุคคล ทั้งสิ้น
ข้อมูลเหล่านี้มักจะถูกเก็บข้อมูล ไม่ว่าโดยตรงหรือโดยอ้อม เพื่อที่ผู้เก็บรวบรวมข้อมูลดังกล่าว จะได้มีข้อมูลไว้ใช้ในการวิเคราะห์กลุ่มลูกค้า จะได้ เพื่อที่จะได้นำมาใช้ในการพัฒนาสินค้า-บริการ ให้ตอบสนองความต้องการของลูกค้ามากขึ้น
ข้อมูลส่วนบุคคล จึงเป็นข้อมูลสำคัญที่หลาย ๆ องค์กร หลาย ๆ บริษัท จำต้องเก็บรวบรวมไว้ เพื่อใช้ในการพัฒนากิจการให้มีความก้าวหน้า
แต่ในทางกลับกัน หากไม่มีมาตรการคุ้มครองป้องกันที่เพียงพอ เป็นไปได้ที่ข้อมูลเหล่านี้จะหลุดรอด รั่วไหล และเมื่อรั่วไหล สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล มักถูกล่วงละเมิด
ไม่ว่าจะเป็น..
การถูกนำไปสวมรอยใช้หลอกลวงคนอื่นในโลกออนไลน์ (Identity Theft)
การถูกผู้ไม่ประสงค์ดีเอาข้อมูลมาใช้ก่ออาชญากรรมในรูปแบบต่าง ๆ
การเอาข้อมูลไปขายให้กับบริษัทต่าง ๆ จนรวมไปถึงการถูกส่ง spam mail เข้ามารบกวน
ช่วง 1-2 ปีมานี้ สังคมจึงให้ความสนใจเกี่ยวกับเรื่อง “การคุ้มครองข้อมูลส่วนบุคคล” เพิ่มขึ้นเรื่อย ๆ
เมื่อปี 2561 ในประเทศภาคพื้นยุโรป มีการประกาศกฎหมายตัวหนึ่งเพื่อคุ้มครองข้อมูลส่วนบุคคล ที่เรียกว่า General Data Protection Regulation หรือที่มักได้ยินในนาม GDPR ครับ
กฎหมายฉบับดังกล่าว ได้เข้ามากำหนดหลักเกณฑ์ต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และมาตรการลงโทษ หากมีผู้ใดล่วงละเมิดเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งมาตรการลงโทษค่อนข้างเข้ม ในต่างประเทศเลยมีการเตรียมตัวเพื่อรองรับกฎหมายที่ประกาศใช้
หลักจากนี้.. ข้อมูลส่วนบุคคล ได้รับความคุ้มครอง ไม่ให้ถูกนำไปใช้หรือเปิดเผยโดยไม่ได้รับความยินยอม
แม้กฎหมายดังกล่าว จะใช้ในภาคพื้นยุโรป แต่เมื่อโลกในยุคปัจจุบัน ไร้ซึ่งพรมแดน ประเทศต่าง ๆ ก็เลยต้องมีการปรับตัว และออกกฎหมายขึ้นมาเพื่อคุ้มครองประชาชน และเพื่อให้สอดคล้องกับ GDPR ด้วย
ประเทศไทยก็เช่นกัน เมื่อวันที่ 27 พฤษภาคม 2562 ได้มีการประกาศเผยแพร่ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ในราชกิจจานุเบกษา
คนทั่วไปจะรู้จักในชื่อว่า “PDPA” (Personal Data Protection Act)
กฎหมายดังกล่าว จะมีผลใช้บังคับเมื่อพ้นกำหนด 1 ปี นับแต่วันประกาศราชกิจจานุเบกษา หมายความว่า กฎหมายฉบับนี้ มีผลใช้บังคับตั้งแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป แล้วมันมีความสำคัญอย่างไร ?
กฎหมายฉบับดังกล่าว…มีขึ้นเพื่อคุ้มครองประชาชน ที่ “ข้อมูลส่วนบุคคล” ของเขา ไม่ว่าจะเป็นข้อมูลที่สื่อถึงตัวเขาได้โดยตรงหรือโดยอ้อม ล้วนแล้วแต่เป็นข้อมูลที่จะมีการถูกเก็บรวบรวม ถูกนำเอาไปใช้ หรือถูกเปิดเผยไม่ได้ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล
ไม่ว่าจะเป็นข้อมูลของลูกค้า พนักงาน ลูกจ้าง หรือใครก็ตาม ที่องค์กรได้เก็บรวบรวมไว้ ล้วนเข้าข่ายเป็น “ข้อมูลส่วนบุคคล” ตามกฎหมายฉบับนี้
นั่นหมายความว่า ทุก ๆ องค์กร และทุก ๆ คน ควรให้ความสนใจและทำความเข้าใจรายละเอียดของกฎหมายฉบับนี้
เพราะหากมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่ได้มีการขอความยินยอมและรวมถึงกรณีมีการนำข้อมูลไปใช้หรือเปิดเผยโดยไม่เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด มีความเสี่ยง ที่จะกระทำผิดกฎหมาย
- ไม่ใช่ว่าจะเก็บข้อมูลอะไรก็ได้เหมือนเมื่อก่อน
- ไม่ใช่ว่าจะเก็บแล้วนำเอาไปใช้อย่างไรก็ได้เหมือนเมื่อก่อน
- ไม่ใช่ว่าให้ความยินยอมแล้ว จะถือว่าให้ความยินยอมตลอดไปเหมือนเมื่อก่อน
เพราะกฎหมายได้ให้ความคุ้มครองสิทธิของ “เจ้าของข้อมูลส่วนบุคคล” ในหลาย ๆ เรื่อง อาทิ
- สิทธิในการได้รับแจ้งให้ทราบเมื่อต้องเก็บรวบรวมข้อมูลหรือจะมีการนำข้อมูลไปใช้
- สิทธิในการที่แม้จะให้ความยินยอมในการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลไป แต่ก็ถอนความยินยอมเมื่อใดก็ได้
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่ได้มีการรวบรวมจัดเก็บไว้
- สิทธิในการอนุญาตให้มีการโอนข้อมูลส่วนบุคคลของเราหรือไม่ก็ได้
- สิทธิคัดค้านในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเราไม่ว่าเวลาใด ๆ
- สิทธิในการขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุถึงตัวของเขาได้
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน ให้ถูกต้อง เป็นต้น
ซึ่งกฎหมายดังกล่าว มีบทลงโทษ 3 รูปแบบ คือ มาตรการทางแพ่ง, มาตรการทางอาญา และมาตรการทางปกครอง ซึ่งล้วนแล้วแต่ส่งผลกระทบต่อการบริการจัดการองค์กรไม่มากก็น้อยแน่นอน
และเมื่อกฎหมายฉบับนี้ เกี่ยวข้องได้กับทุกองค์กร ทุกภาคธุรกิจ แม้จะเป็นช่วงเวลาที่ประชาชนส่วนใหญ่กำลังวิตกกังวลกับวิกฤตโควิด ก็จะมองข้าม หรือ ไม่ให้ความสำคัญกับกฎหมายฉบับนี้ไม่ได้
7 สิ่ง ที่ผู้ประกอบการ ควรเตรียมให้พร้อม ก่อนที่กฎหมาย PDPA จะมีผลใช้บังคับ
- ศึกษาข้อมูลและทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามกฎหมาย
- ทบทวน ปรับข้อมูลใน Terms & Policy ต่าง ๆ ที่องค์กรมีอยู่ เพื่อให้มีความชัดเจนและโปร่งใส
- จัดเตรียมเอกสาร แบบฟอร์มต่าง ๆ ทำ Checklist ที่ใช้ในองค์กร ไม่ว่าจะเป็นการขอความยินยอม หรือขั้นตอนในการจัดเก็บ
- กำหนดระเบียบและหลักเกณฑ์ต่าง ๆ ที่ใช้ในองค์กร เพื่อให้สอดคล้องกับกฎหมาย ตลอดจนกำหนดมาตรการในการแก้ปัญหา เพื่อรองรับกรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคล
- ศึกษาหาข้อมูล + ระบบ + โปรแกรมต่าง ๆ ที่เข้ามาช่วยให้การจัดเก็บข้อมูลส่วนบุคคล ง่าย ราบรื่น และปลอดภัย
- ให้ความรู้กับบุคลากรภายในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลทั้งภายในและภายนอกองค์กร ให้เข้าใจหลักการ จะได้นำไปประยุกต์ใช้การทำงานได้อย่างราบรื่น
- แต่งตั้งและมอบหมายผู้รับผิดชอบภายในองค์กร เพื่อดำเนินการให้สอดคล้องและเป็นไปตามกฎหมาย
ทุกวันนี้ ทำธุรกิจ ไม่รู้กฎหมายไม่ได้ครับ และทำงานด้านกฎหมาย ไม่รู้เรื่องธุรกิจก็ไม่ได้เช่นกัน
และนี่คือ การปรับตัวเบื้องต้นของผู้ประกอบการให้เป็นไปตามกฎหมาย เมื่อวันที่ “ข้อมูลส่วนบุคคล” ได้รับความคุ้มครองเข้มข้นขึ้นครับ
ขอแชร์บางส่วนของสรุปคร่าว ๆ เกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อความสะดวกในการทำความเข้าใจครับ
อ่านบทความที่เกี่ยวกับ PDPA ต่อ > https://www.everydaymarketing.co/?s=pdpa
กฎหมายฉบับเต็ม > http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF?fbclid=IwAR0LskTm9VF48hsUcXw7L31dLFnfSH8DTeWi4OOkkM8u8-1y-XrkbkW6CL4
ใครสนใจหาข้อมูลเพิ่มเติม แนะนำหนังสือ “General Data Protection Regulation ฉบับภาษาไทย” จัดพิมพ์โดย Privacy Thailand ครับ
ขอบคุณเพจทนายกอล์ฟ ที่อนุญาตให้นำมาแบ่งปันครับ
