สรุปกฎหมาย ‘PDPA’ พร้อมไขข้อสงสัยแค่ ‘ถ่ายรูปติด’ ก็ผิดจริงหรือ?

อีก 2 วัน (1 มิ.ย.) จะเป็นวันแรกที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรามักได้ยินชื่อย่อกันว่า PDPA (Personal Data Protection Act B.E. 2019) บังคับใช้ หลังจากที่เคยออกมาประกาศตั้งแต่ 27 พฤษภาคม 2562 แต่ก็เลื่อนมาโดยตลอดเนื่องจากเกิดการระบาดของ COVID-19 รวมถึงเพื่อให้องค์กรต่าง ๆ ได้เตรียมพร้อมกัน ว่าแต่ PDPA นั้นส่งผลอะไรกับประชาชนตาดำ ๆ บ้าง อะไรที่ทำได้หรือทำไม่ได้ แล้วต้องปรับตัวอย่างไรกับกฎหมายนี้ ไปดูกัน

กฎหมาย PDPA คืออะไร

สำหรับกฎหมาย PDPA มีต้นแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทั้ง PDPA และ GDPA ต่างก็มีวัตถุประสงค์ ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เนื่องจากที่ผ่านมาได้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ตัวอย่างง่าย ๆ ก็ที่มีคอลเซ็นเตอร์จากบริษัทที่ไม่เคยใช้บริการโทรมาหานั่นเอง

สำหรับข้อมูลส่วนบุคคลที่จะได้รับการคุ้มครองนั้น ต้องเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนี้

  • ชื่อ-นามสกุล
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address,  GPS Location

ส่วนถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA และนอกจากข้อมูลส่วนบุคคลแล้วยังต้องระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีดังนี้

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

แค่ถ่ายรูปติดก็ผิดจริงหรือ?

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า กฎหมายนี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ ประชาชนทั่วไป จากการที่ องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์

หากประชาชนเกิดถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอมแต่ ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปยุ่งวุ่นวาย เพราะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่ผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็น การคุ้มครองตามปกติ

อย่างไรก็ตาม ประชาชนก็ควรศึกษากฎหมาย GDPA เพื่อให้รู้ว่า เรามีสิทธิ์อะไรในข้อมูลส่วนตัวมากกว่าเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้

  • สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
  • สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
  • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
  • สิทธิขอให้โอนข้อมูลส่วนบุคคล
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

หากไม่ปฏิบัติตาม PDPA จะโดนอะไร

ที่หลายคนตื่นตัวเรื่อง PDPA ส่วนหนึ่งก็เป็นเพราะ บทลงโทษ โดยแบ่งเป็น 3 ประเภท คือ 1. บทลงโทษทางแพ่ง 2. บทลงโทษทางอาญา และ 3. บทลงโทษทางปกครอง ได้แก่

  • โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  • ทษปกครอง: ปรับไม่เกิน 1-3-5 ล้านบาท

องค์กรต้องปรับตัวอย่างไร

แม้ว่ากฎหมาย PDPA จะเริ่มบังคับใช้ในวันพรุ่งนี้แล้ว แต่เชื่อว่าบางองค์กร โดยเฉพาะที่ไม่ได้เกี่ยวข้องกับการนำข้อมูลของผู้บริโภคมาใช้ประโยชน์อาจจะไม่ได้ตื่นตัวมาก หรือบางองค์กรยังบริหารจัดการไม่เรียบร้อย ก็มี 6 ข้อแนะนำสำหรับองค์กร

  • ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
  • รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
  • ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซีเคียวริตี้

  • แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
  • ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
  • ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น

สรุป การที่ไทยมีกฎหมาย PDPA ถือเป็นการคืนอำนาจของข้อมูลส่วนตัวให้กับประชาชนมีอำนาจมากขึ้น แต่ไม่ได้เข้ามาเปลี่ยนการใช้งานในลักษณะส่วนตัว แต่เข้ามาเปลี่ยนแปลงการใช้งานข้อมูลส่วนบุคคลโดยองค์กร ซึ่งหากองค์กรสามารถปฏิบัติตามได้ ก็จะช่วยให้องค์กรมีความน่าเชื่อถือทั้งในมุมคู่ค้าและลูกค้า เพราะมีมาตรฐาน มีขอบเขต และมีความโปร่งใสมากขึ้น นอกจากนี้ ประเทศไทยเองก็มีภาพลักษณ์ดีขึ้น เพราะมีมาตรฐานการคุ้มครองในระดับ GDPR