รู้หรือไม่?! การจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  วันนี้จะมาแนะนำกัน เพราะในแต่ละประเทศก็จะมีนโยบายหรือมาตรการเพื่อออกมาคุ้มครองข้อมูลส่วนบุคคลของประชาชน เพื่อป้องกันการถูกละเมิดสิทธิความเป็นส่วนตัวการคุ้มครอง “ข้อมูลส่วนบุคคล” ควรทำความเข้าใจและศึกษาอย่างละเอียดให้ความสำคัญควบคู่กันไป

PDPA คืออะไร ?

Personal Data Protection Act (PDPA)คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่เข้ามากำหนดเกณฑ์ต่างๆ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

เนื่องจากปัจจุบันนี้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ซึ่งการให้ข้อมูลของลูกค้าโดยที่ลูกค้าไม่รู้ตัว หรือการที่มีเบอร์ต่างๆ ติดต่อเข้ามาหาเราโดยที่เราไม่รู้จัก ไม่ว่าจะเป็นการขายประกัน แนะนำสินค้า ชักชวนดูดวง หรือผู้ใช้งานได้หลากหลายช่องทาง จากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่างๆ จึงมีกฎหมายฉบับนี้เกิดขึ้นเพื่อเป็นประโยชน์ต่อผู้บริโภค โดยข้อบังคับกฎหมาย PDPA จะให้ความคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกนำไปใช้ หรือเพื่อประโยชน์โดยที่เจ้าของข้อมูลไม่ยินยอม จะกลายเป็นกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคล มีอะไรบ้าง?

1. ข้อมูลส่วนบุคคลพื้นฐาน คือข้อมูลที่สามารถระบุตัวตนผู้เป็นเจ้าของได้ ไม่ว่าจะเป็นชื่อ นามสกุล ที่อยู่อาศัย เบอร์โทรศัพท์ อีเมล์ เลขที่บัตรประชาชน หมายเลขบัญชีธนาคาร กรรมธรรม์ ทะเบียนรถ
2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน หรือ sensitive data (มีการควบคุมเข้มงวดขึ้น) ข้อมูลจำพวกนี้ข้อมูลที่อาจจะนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม ข้อมูลส่วนนี้จึงต้องมีความคุ้มครองเป็นพิเศษ เช่น รสนิยมทางเพศ เชื้อชาติ ศาสนา หรือความคิดเห็นทางการเมือง

หากข้อมูลดังกล่าวถูกนำไปใช้ เจ้าของข้อมูลจะมีสิทธิกระทำการต่างๆ ดังต่อไปนี้ได้

1. สิทธิได้รับการแจ้งให้ทราบ
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
6. สิทธิขอให้ระงับการใช้ข้อมูล
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

ใครบ้างที่ต้องสนใจกฎหมาย PDPA

ในความเป็นจริงแล้ว เราทุกควรรู้กฎหมายฉบับนี้ เพื่อจะได้ทราบถึงสิทธิ์ของตัวเอง และเพื่อไม่ให้ก้าวล้ำไปใช้ข้อมูลบุคคลอื่น สำหรับบริษัท หรือองค์กรต่างๆ จำเป็นต้องศึกษาเชิงลึก และทำความเข้าใจกับมันมากที่สุด ซึ่งแบ่งออกเป็น 3 ประเภทดังต่อไปนี้

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)คือ เจ้าของข้อมูลอนุญาตให้นำไปใช้
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจที่จะตัดสินใจได้ว่าสามารถใช้ข้อมูลได้ หรือเรียกได้ว่าเป็นคนที่มีไฟล์ข้อมูลดิบส่วนบุคคลในมือที่มีอำนาจหน้าที่ “ตัดสินใจ” ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)คือ คนที่ทำหน้าที่ในการนำข้อมูลไปใช้ หรือเปิดเผยข้อมูล ตามคำสั่งผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) แต่ไม่ใช่บุคคลเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

PDPA มีบทลงโทษอะไรบ้าง ?

1. โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
2. โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
3. โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท

ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่างๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และโทษปกครองที่อาจถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy 

อ่านบทลงโทษทางกฎหมาย PDPA แล้ว หลายคนอาจจะรู้สึกร้อนๆ หนาวๆ กันบ้าง แต่อย่าพึ่งตกใจไป! เพราะ ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ ในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

ทำยังไงให้ข้อมูล ถูกต้องตามกฎหมาย

สำหรับข้อมูลที่คุณสามารถนำมาทำกิจกรรมทางการตลาดต่างๆ ได้แบบไม่ผิดกฎหมาย PDPA นั้นจะต้องเป็นข้อมูลที่ได้จากเจ้าของข้อมูลหรือเรียกได้ว่าเป็นข้อมูลที่ได้รับการอนุญาตจากเจ้าของแล้ว ห้ามเก็บจากแหล่งอื่นโดยเด็ดขาด นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง 

การขออนุญาตจากเจ้าของข้อมูลด้วยการยินยอมจะทำได้จาก

1. เก็บข้อมูลผ่านกระดาษ หรือระบบออนไลน์ก็ได้
2. เนื้อหาในรายละเอียดจะต้องอ่านง่าย เข้าใจง่าย
3. ไม่หลอกลวงให้เข้าใจผิด
4. แยกชัดเจนจากเงื่อนไขอื่นๆ และจะต้องไม่เอาเงื่อนไขใดๆ มาผูกมัด

เจ้าของข้อมูลสามารถที่จะถอนความยินยอมได้เมื่อ

1. เจ้าของข้อมูลจะขอยกเลิกเมื่อไหร่ก็ได้
2. ทำได้ง่ายเหมือนกับการให้ความยินยอม
3. แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น

PDPA สรุป

การมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เพื่อคุ้มรองสิทธิในการนำข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตเพื่อป้องกันการนำข้อมูลไปใช้เพื่อผลประโยชน์ให้กับผู้ที่ถือข้อมูล ซึ่งสำหรับเจ้าของข้อมูลก็ต้องควรรู้เกี่ยวกับ พ.ร.บ นี้เช่นกัน เพื่อประโยชน์และความปลอดภัยในข้อมูลของตัวคุณ สำหรับกลุ่มธุรกิจก็จะต้องเคารพต่อการนำข้อมูลของลุกค้าไปใช้เพิ่มมากขึ้น เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของลูกค้า โดยพ.ร.บ.ฉบับนี้จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้

แปลโดย : kirz.com