อีก 2 วัน (1 มิ.ย.) จะเป็นวันแรกที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรามักได้ยินชื่อย่อกันว่า PDPA (Personal Data Protection Act B.E. 2019) บังคับใช้ หลังจากที่เคยออกมาประกาศตั้งแต่ 27 พฤษภาคม 2562 แต่ก็เลื่อนมาโดยตลอดเนื่องจากเกิดการระบาดของ COVID-19 รวมถึงเพื่อให้องค์กรต่าง ๆ ได้เตรียมพร้อมกัน ว่าแต่ PDPA นั้นส่งผลอะไรกับประชาชนตาดำ ๆ บ้าง อะไรที่ทำได้หรือทำไม่ได้ แล้วต้องปรับตัวอย่างไรกับกฎหมายนี้ ไปดูกัน
กฎหมาย PDPA คืออะไร
สำหรับกฎหมาย PDPA มีต้นแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทั้ง PDPA และ GDPA ต่างก็มีวัตถุประสงค์ ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เนื่องจากที่ผ่านมาได้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ตัวอย่างง่าย ๆ ก็ที่มีคอลเซ็นเตอร์จากบริษัทที่ไม่เคยใช้บริการโทรมาหานั่นเอง
สำหรับข้อมูลส่วนบุคคลที่จะได้รับการคุ้มครองนั้น ต้องเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนี้
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
- ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ส่วนถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม PDPA และนอกจากข้อมูลส่วนบุคคลแล้วยังต้องระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีดังนี้
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
แค่ถ่ายรูปติดก็ผิดจริงหรือ?
อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า กฎหมายนี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ ประชาชนทั่วไป จากการที่ องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์
หากประชาชนเกิดถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอมแต่ ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปยุ่งวุ่นวาย เพราะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่ผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็น การคุ้มครองตามปกติ
อย่างไรก็ตาม ประชาชนก็ควรศึกษากฎหมาย GDPA เพื่อให้รู้ว่า เรามีสิทธิ์อะไรในข้อมูลส่วนตัวมากกว่าเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้
- สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
- สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
- สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
- สิทธิขอให้โอนข้อมูลส่วนบุคคล
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
หากไม่ปฏิบัติตาม PDPA จะโดนอะไร
ที่หลายคนตื่นตัวเรื่อง PDPA ส่วนหนึ่งก็เป็นเพราะ บทลงโทษ โดยแบ่งเป็น 3 ประเภท คือ 1. บทลงโทษทางแพ่ง 2. บทลงโทษทางอาญา และ 3. บทลงโทษทางปกครอง ได้แก่
- โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษปกครอง: ปรับไม่เกิน 1-3-5 ล้านบาท
องค์กรต้องปรับตัวอย่างไร
แม้ว่ากฎหมาย PDPA จะเริ่มบังคับใช้ในวันพรุ่งนี้แล้ว แต่เชื่อว่าบางองค์กร โดยเฉพาะที่ไม่ได้เกี่ยวข้องกับการนำข้อมูลของผู้บริโภคมาใช้ประโยชน์อาจจะไม่ได้ตื่นตัวมาก หรือบางองค์กรยังบริหารจัดการไม่เรียบร้อย ก็มี 6 ข้อแนะนำสำหรับองค์กร
- ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
- รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
- ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซีเคียวริตี้
- แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
- ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
- ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น
สรุป การที่ไทยมีกฎหมาย PDPA ถือเป็นการคืนอำนาจของข้อมูลส่วนตัวให้กับประชาชนมีอำนาจมากขึ้น แต่ไม่ได้เข้ามาเปลี่ยนการใช้งานในลักษณะส่วนตัว แต่เข้ามาเปลี่ยนแปลงการใช้งานข้อมูลส่วนบุคคลโดยองค์กร ซึ่งหากองค์กรสามารถปฏิบัติตามได้ ก็จะช่วยให้องค์กรมีความน่าเชื่อถือทั้งในมุมคู่ค้าและลูกค้า เพราะมีมาตรฐาน มีขอบเขต และมีความโปร่งใสมากขึ้น นอกจากนี้ ประเทศไทยเองก็มีภาพลักษณ์ดีขึ้น เพราะมีมาตรฐานการคุ้มครองในระดับ GDPR