เข้าใจ PDPA แบบง่ายๆ – กฎหมายใหม่ ที่ทุกวงการต้องพร้อมรับ 1 มิ.ย. 65 นี้

ช่วงปีที่ผ่านมา หลายคนคงจะคุ้นตากับแถบแจ้งเตือนเรื่องข้อมูลส่วนตัว และแจ้งให้ยอมรับสิ่งที่เรียกว่า “cookies” เมื่อไปที่เว็บไซต์ต่างๆแทบทุกแห่ง

… ซึ่งหลายๆเว็บที่ไม่เคยมีแถบนี้มาก่อน  ก็กลับมีขึ้นมากันถ้วนหน้า

นั่นก็เพราะการมาของกฏหมายใหม่ในประเทศไทย อย่าง “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” หรือที่เรียกกันทั่วไปว่า PDPA ซึ่งย่อมาจาก Personal Data Protection Act

… และกฎหมายใหม่นี้ก็จะเริ่มบังคับใช้จริงทั่วไทยแน่นอนแล้วในวันที่ 1 มิถุนายน 2565 นี้ !

ทำไมต้องมีกฎหมายนี้ ?

ทุกวันนี้ข้อมูลส่วนตัวของเราแทบทุกคน กระจายไปอยู่ในหลากองค์กร หลายบริษัท

เพราะเมื่อเราเปิดบัญชีธนาคาร  เปิดเบอร์มือถือใหม่ สมัครงาน  ไปโรงพยาบาล หรือแม้แต่เรื่องเล็กๆ อย่างการสมัครสมาชิกดูหนังแอปฟังเพลง  ก็มักต้องกรอกชื่อ นามสกุล ชื่ออีเมล  อายุ  เพศ  ฯลฯ

ซึ่งที่ผ่านมา องค์กรเหล่านี้ไม่ได้โดนกฎหมายบังคับจริงจังให้ “ทำสัญญา” กับเราว่าจะนำข้อมูลไปใช้หรือไม่ใช่ทำอะไรบ้างและอย่างไร

ที่ผ่านมา องค์กรเหล่านี้ก็ไม่ได้โดนกฎหมายบังคับจริงจัง ให้ต้องจัดเก็บข้อมูลส่วนตัวของเราอย่างถูกต้องปลอดภัย

และที่ผ่านมา เมื่อองค์กรเหล่านี้ได้ข้อมูลไปแล้ว  ก็เหมือนว่าเรา ผู้เป็นเจ้าของข้อมูลตัวจริง กลับไม่สามารถไปควบคุม หรือไปขอให้ลบข้อมูลของเราเองได้

ซึ่งเราจะได้ยินข่าวเป็นประจำว่ามีแก๊งค์ต้มตุ๋น แก๊งคอลล์เซ็นเตอร์ หรือสายโทรขายบัตรเครดิตทั่วไป  ที่ไม่รู้ว่าได้เบอร์และชื่อเรามาจากไหน  วันดีคืนไม่ดีก็โทรมามาเรา โดยไม่บอกว่าได้เบอร์โทรมาจากไหนและอย่างไร

ฉะนั้นกฎหมาย PDPA จึงเกิดขึ้นเพื่อแก้ไขประเด็นเหล่านี้  โดยมีต้นแบบมาจากกฎหมายทางยุโรปที่ชื่อ GDPA ซึ่งย่อจาก General Data Protection Regulation (GDPR) ซึ่งบังคับใช้กันในหลายประเทศแถวนั้นมาก่อนแล้ว

เจ้าของธุรกิจ ผู้บริหารองค์กร  เจ้าของเว็บไซต์  ฯลฯ ต้องเตรียมพร้อมอะไรบ้าง ?

คำตอบสามารถแบ่งเป็น 2 ด้านใหญ่ๆ ดังนี้ …

ด้านที่ 1 การเก็บรวบรวมข้อมูลส่วนบุคคล

1.1. แจ้งลูกค้าหรือผู้ใช้บริการ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้ทราบว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด

… และต้องแจ้งสิทธิของเจ้าของข้อมูลด้วย  ว่าสามารถถอนความยินยอมได้ทุกเมื่อ

การแจ้งให้ทราบนี้ ต้องเขียนออกมาเป็น “Privacy Policy” บนเว็บไซต์ หรือแอป หรือทางสื่ออื่น

ทั้งนี้ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม 

1.2 เว็บไซต์ แอป ต้องขอความยินยอมในการใช้ Cookies

เว็บยุคนี้ มีมากมายที่จะให้เราล็อกอิน ไม่ว่าจะด้วยเฟซบุ้ก หรือเมล  หรือบางเว็บแม้ไม่ต้องล็อกอิน แต่ก็มีการติดตามเล็กน้อยว่าผู้ใช้คนหนึ่งๆ เมื่อเข้ามาแล้ว ไปที่หน้าใดบ้าง โดยใช้วิธีที่เรียกว่า “Cookies” 

… นั่นเองเราจึงเห็นกรอบเล็กๆให้ยอมรับ Cookies ในเว็บไซต์ต่างๆ

ซึ่ง Cookies ในที่นี้ ก็ไฟล์เล็กๆที่เว็บไซต์ขอส่งมาเก็บไว้ที่คอมพิวเตอร์ (หรือมือถือ) ของผู้ชม เพื่อจะได้รู้ว่าผู้ชมคนนั้นๆ ได้ล็อกอินแล้ว หลังจากนั้นไม่ว่าจะออกไปหน้าไหน หรือเว็บอื่นใด แล้วกลับมา  จะได้ไม่ต้องล็อกอินใหม่ให้ยุ่งยาก

“คุกกี้” นี้จึงเปรียบได้กับเวลาเราไปดูคอนเสิร์ต หรือเข้าสนามฟุตบอล แล้วเจ้าหน้าที่ขอประทับตราเล็กๆไว้ที่แขน เผื่อระหว่างชมเราออกไปนอกบริเวณงาน แล้วกลับเข้าไปใหม่  เจ้าหน้าที่ก็จะขอดูตราปั๊มที่แขนแล้วรู้ได้ว่าตรวจตั๋วเราไปแล้วนั่นเอง

ส่วนเว็บไหนที่ใช้บริการภายนอก (third party) ด้วย เช่นบริการโฆษณา ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

1.3. การเก็บข้อมูลพนักงาน

นอกจากข้อมูลลูกค้า หรือผู้เข้าเว็บ หรือผู้ใช้แอปแล้ว การเก็บข้อมูลส่วนบุคคลของพนักงานก็ต้องจัดทำนโยบายความเป็นส่วนตัวด้วย โดยอาจเรียกว่า “HR Privacy Policy”

ซึ่งธุรกิจไม่ว่าเล็กใหญ่ ถ้ามีพนักงาน ก็ขาดไม่ได้ที่จะต้องมีใบสมัครซึ่งมีข้อมูลส่วนตัวอยู่ในนั้นมากมาย 

ฉะนั้นตามกฎหมาย PDPA  ฝ่ายนายจ้างจึงต้องแจ้งวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของพนักงาน  โดยต้องออกเอกสารแจ้งกับทั้งพนักงานเดิม  และแจ้งพนักงานใหม่ไว้ตั้งแต่ในใบสมัคร และต้องแจ้งในสัญญาจ้างด้วย

1.4  มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

ต้องมีกระบวนการรับคำร้องจากลูกค้า หรือผู้ใช้บริการ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล  โดยต้องเป็นวิธีที่ง่าย ไม่ซับซ้อน และไม่กำหนดเงื่อนไข 

ตัวอย่างเช่นเมื่อลูกค้าจะขอให้ลบข้อมูลส่วนบุคคลของตัวเอง  ก็สามารถเลือกได้ว่าจะยื่นแบบฟอร์มกระดาษ, หรือส่งคำร้องผ่านช่อง chat, หรือส่งอีเมลก็ได้

… และนอกจากนั้น การเก็บข้อมูลส่วนบุคคล จะต้องเป็นไปตามหลักต่างๆ คือ

– การรักษาความลับ (Confidentiality)

– ความถูกต้องครบถ้วน (Integrity)

– สภาพพร้อมใช้งาน (Availability)

– มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)

– มาตรการป้องกันด้านเทคนิค (Technical Safeguard)

– มาตรการป้องกันทางกายภาพ (Physical Safeguard)

– นโยบายรักษาระยะเวลาการเก็บข้อมูล

– การทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention) เมื่อเลิกใช้

– กระบวนการแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี (Breach Notification Protocol)

ด้านที่ 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล

องค์กรต้องเขียนสิ่งเหล่านี้ไว้อย่างชัดเจน เพื่อให้บุคลากรทำงานตาม 

– นโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure)

– บันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) โดยห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

และการนำข้อมูลไปใช้หลังจากได้มาแล้ว  ต้องอยู่ภายใต้ข้อห้ามเหล่านี้เช่น …

2.1. การแอด LINE หรือแอดสื่อโซเชียลใดๆ ของเจ้าของข้อมูลส่วนบุคคล ต้องขออนุญาตก่อน

2.2. การส่งเมลโฆษณาประชาสัมพันธ์ ต้องให้ลูกค้ายินยอมก่อน

2.3. การยิงโฆษณาในเว็บโดยอิงข้อมูลจาก Cookies ต้องขอความยินยอมจากลูกค้าก่อน

2.4. ถ้ามีการส่งข้อมูลลูกค้าให้บริษัทอื่น ต้องขอความยินยอมจากลูกค้า และบริษัทอื่นนั้นต้องทำตามข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลอย่างถูกต้องแล้ว

2.5. การวิเคราะห์ข้อมูลส่วนบุคคล เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน

2.6. การรวบรวมสถิติลูกค้าเพื่อพัฒนาสินค้าหรือบริการ โดยไม่ใช้ข้อมูลที่ระบุตัวตนของลูกค้า  เช่น ใช้ได้แค่ข้อมูลเพศ วัย พฤติกรรมการซื้อ โดยรวมๆ แต่ห้ามใช้ชื่อ ห้ามใช้ที่อยู่ที่ระบุตัวตนได้ ฯลฯ

สรุปโทษถ้าใครละเมิดหรือไม่ทำตาม

ทั้งนี้ถ้าธุรกิจใด องค์กรไหน  หรือเว็บไซต์/แอปใดๆ ที่เก็บข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นไปตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็จะมีโทษทั้งในทางแพ่ง อาญา

ซึ่งโทษทางอาญานั้นก็มีค่าปรับตั้งแต่ 5 แสนบาทไปจนถึง 5 ล้านบาท  และ/หรือโทษจำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน ถ้าข้อมูลรั่วไหล  และทำให้เสียหายทั้งทรัพย์สินและอื่นๆ

… อ่านมาถึงตรงนี้ เจ้าของธุรกิจหรือผู้บริหารหน่วยงานทุกรูปแบบไม่ว่าเล็กใหญ่  คงไม่อาจอยู่เฉยและมองข้ามเรื่องนี้ไปได้  และอาจต้องย้อนกลับไปอ่านทั้งหมดอีกรอบหนึ่งกันเลย !

แล้วคนทั่วไปจะทำตัวอย่างไร ?

สำหรับผู้บริโภคสื่อ ผู้ใช้แอปหรือเว็บไซต์ หรือพนักงานทั่วไป  ก็ไม่ต้องทำอะไรมาก เพียงแต่ดูให้แน่ใจทุกครั้งที่กรอกข้อมูลไม่ว่าในกระดาษ ในแอป หรือเข้าเว็บใดก็ตาม ว่ามีการแจ้งนโยบายหรือแจ้งเตือนอย่างถูกต้อง 

และที่สำคัญคือไปอ่านนโยบายเหล่านั้นสักหน่อย  จะได้รู้เท่าทันว่าบริษัทหรือองค์กรนั้นๆจะนำข้อมูลเราไปทำอะไรบ้าง

และนอกจากนั้นถ้าเมื่อไหร่จะเลิกใช้หรือปิดแอคเคาท์กับบริการไหนๆ  ก็สามารถขอให้ลบข้อมูลตัวเองได้ตามกฎหมาย PDPA ด้วย

… เหลืออีกแค่หนึ่งเดือนกว่าๆ ที่กฎหมายใหม่นี้จะบังคับใช้  ซึ่งถึงวันนั้นอาจมีหลายบริษัทธุรกิจห้างร้านที่ยังมองข้ามหรือไม่สนใจ  จนอาจโดนฟ้องโดนโทษ โดนปรับ เกิดดราม่าตามมาได้ 

ซึ่งถ้าใครไม่อยากโดนโทษเหล่านั้น  ก็ควรเริ่มทำตาม  โดยรีบไปทยอยศึกษาตัวอย่างเพิ่มเติมได้ที่เว็บไซต์สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.)  dga.or.th/document-sharing/article/59030 ซึ่งมีตัวอย่างเอกสารต่างๆหลากหลายครบถ้วน  จึงน่าจะต้องใช้เวลาศึกษาไม่น้อย

ภาพประกอบจาก
grafimedia.eu/blog/data-protection-regulation-gdpr-guide/what-is-data-protection-8
mydata.org/homepage/personal-data-is-everywhere
newbanking.com/personal-data