เข้าใจ PDPA แบบง่ายๆ – กฎหมายใหม่ ที่ทุกวงการต้องพร้อมรับ 1 มิ.ย. 65 นี้
ช่วงปีที่ผ่านมา หลายคนคงจะคุ้นตากับแถบแจ้งเตือนเรื่องข้อมูลส่วนตัว และแจ้งให้ยอมรับสิ่งที่เรียกว่า “cookies” เมื่อไปที่เว็บไซต์ต่างๆแทบทุกแห่ง
… ซึ่งหลายๆเว็บที่ไม่เคยมีแถบนี้มาก่อน ก็กลับมีขึ้นมากันถ้วนหน้า
นั่นก็เพราะการมาของกฏหมายใหม่ในประเทศไทย อย่าง “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” หรือที่เรียกกันทั่วไปว่า PDPA ซึ่งย่อมาจาก Personal Data Protection Act
… และกฎหมายใหม่นี้ก็จะเริ่มบังคับใช้จริงทั่วไทยแน่นอนแล้วในวันที่ 1 มิถุนายน 2565 นี้ !
ทำไมต้องมีกฎหมายนี้ ?
ทุกวันนี้ข้อมูลส่วนตัวของเราแทบทุกคน กระจายไปอยู่ในหลากองค์กร หลายบริษัท
เพราะเมื่อเราเปิดบัญชีธนาคาร เปิดเบอร์มือถือใหม่ สมัครงาน ไปโรงพยาบาล หรือแม้แต่เรื่องเล็กๆ อย่างการสมัครสมาชิกดูหนังแอปฟังเพลง ก็มักต้องกรอกชื่อ นามสกุล ชื่ออีเมล อายุ เพศ ฯลฯ
ซึ่งที่ผ่านมา องค์กรเหล่านี้ไม่ได้โดนกฎหมายบังคับจริงจังให้ “ทำสัญญา” กับเราว่าจะนำข้อมูลไปใช้หรือไม่ใช่ทำอะไรบ้างและอย่างไร
ที่ผ่านมา องค์กรเหล่านี้ก็ไม่ได้โดนกฎหมายบังคับจริงจัง ให้ต้องจัดเก็บข้อมูลส่วนตัวของเราอย่างถูกต้องปลอดภัย
และที่ผ่านมา เมื่อองค์กรเหล่านี้ได้ข้อมูลไปแล้ว ก็เหมือนว่าเรา ผู้เป็นเจ้าของข้อมูลตัวจริง กลับไม่สามารถไปควบคุม หรือไปขอให้ลบข้อมูลของเราเองได้
ซึ่งเราจะได้ยินข่าวเป็นประจำว่ามีแก๊งค์ต้มตุ๋น แก๊งคอลล์เซ็นเตอร์ หรือสายโทรขายบัตรเครดิตทั่วไป ที่ไม่รู้ว่าได้เบอร์และชื่อเรามาจากไหน วันดีคืนไม่ดีก็โทรมามาเรา โดยไม่บอกว่าได้เบอร์โทรมาจากไหนและอย่างไร
ฉะนั้นกฎหมาย PDPA จึงเกิดขึ้นเพื่อแก้ไขประเด็นเหล่านี้ โดยมีต้นแบบมาจากกฎหมายทางยุโรปที่ชื่อ GDPA ซึ่งย่อจาก General Data Protection Regulation (GDPR) ซึ่งบังคับใช้กันในหลายประเทศแถวนั้นมาก่อนแล้ว
เจ้าของธุรกิจ ผู้บริหารองค์กร เจ้าของเว็บไซต์ ฯลฯ ต้องเตรียมพร้อมอะไรบ้าง ?
คำตอบสามารถแบ่งเป็น 2 ด้านใหญ่ๆ ดังนี้ …
ด้านที่ 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
1.1. แจ้งลูกค้าหรือผู้ใช้บริการ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ได้ทราบว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
… และต้องแจ้งสิทธิของเจ้าของข้อมูลด้วย ว่าสามารถถอนความยินยอมได้ทุกเมื่อ
การแจ้งให้ทราบนี้ ต้องเขียนออกมาเป็น “Privacy Policy” บนเว็บไซต์ หรือแอป หรือทางสื่ออื่น
ทั้งนี้ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม
1.2 เว็บไซต์ แอป ต้องขอความยินยอมในการใช้ Cookies
เว็บยุคนี้ มีมากมายที่จะให้เราล็อกอิน ไม่ว่าจะด้วยเฟซบุ้ก หรือเมล หรือบางเว็บแม้ไม่ต้องล็อกอิน แต่ก็มีการติดตามเล็กน้อยว่าผู้ใช้คนหนึ่งๆ เมื่อเข้ามาแล้ว ไปที่หน้าใดบ้าง โดยใช้วิธีที่เรียกว่า “Cookies”
… นั่นเองเราจึงเห็นกรอบเล็กๆให้ยอมรับ Cookies ในเว็บไซต์ต่างๆ
ซึ่ง Cookies ในที่นี้ ก็ไฟล์เล็กๆที่เว็บไซต์ขอส่งมาเก็บไว้ที่คอมพิวเตอร์ (หรือมือถือ) ของผู้ชม เพื่อจะได้รู้ว่าผู้ชมคนนั้นๆ ได้ล็อกอินแล้ว หลังจากนั้นไม่ว่าจะออกไปหน้าไหน หรือเว็บอื่นใด แล้วกลับมา จะได้ไม่ต้องล็อกอินใหม่ให้ยุ่งยาก
“คุกกี้” นี้จึงเปรียบได้กับเวลาเราไปดูคอนเสิร์ต หรือเข้าสนามฟุตบอล แล้วเจ้าหน้าที่ขอประทับตราเล็กๆไว้ที่แขน เผื่อระหว่างชมเราออกไปนอกบริเวณงาน แล้วกลับเข้าไปใหม่ เจ้าหน้าที่ก็จะขอดูตราปั๊มที่แขนแล้วรู้ได้ว่าตรวจตั๋วเราไปแล้วนั่นเอง
ส่วนเว็บไหนที่ใช้บริการภายนอก (third party) ด้วย เช่นบริการโฆษณา ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
1.3. การเก็บข้อมูลพนักงาน
นอกจากข้อมูลลูกค้า หรือผู้เข้าเว็บ หรือผู้ใช้แอปแล้ว การเก็บข้อมูลส่วนบุคคลของพนักงานก็ต้องจัดทำนโยบายความเป็นส่วนตัวด้วย โดยอาจเรียกว่า “HR Privacy Policy”
ซึ่งธุรกิจไม่ว่าเล็กใหญ่ ถ้ามีพนักงาน ก็ขาดไม่ได้ที่จะต้องมีใบสมัครซึ่งมีข้อมูลส่วนตัวอยู่ในนั้นมากมาย
ฉะนั้นตามกฎหมาย PDPA ฝ่ายนายจ้างจึงต้องแจ้งวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของพนักงาน โดยต้องออกเอกสารแจ้งกับทั้งพนักงานเดิม และแจ้งพนักงานใหม่ไว้ตั้งแต่ในใบสมัคร และต้องแจ้งในสัญญาจ้างด้วย
1.4 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
ต้องมีกระบวนการรับคำร้องจากลูกค้า หรือผู้ใช้บริการ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล โดยต้องเป็นวิธีที่ง่าย ไม่ซับซ้อน และไม่กำหนดเงื่อนไข
ตัวอย่างเช่นเมื่อลูกค้าจะขอให้ลบข้อมูลส่วนบุคคลของตัวเอง ก็สามารถเลือกได้ว่าจะยื่นแบบฟอร์มกระดาษ, หรือส่งคำร้องผ่านช่อง chat, หรือส่งอีเมลก็ได้
… และนอกจากนั้น การเก็บข้อมูลส่วนบุคคล จะต้องเป็นไปตามหลักต่างๆ คือ
– การรักษาความลับ (Confidentiality)
– ความถูกต้องครบถ้วน (Integrity)
– สภาพพร้อมใช้งาน (Availability)
– มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
– มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
– มาตรการป้องกันทางกายภาพ (Physical Safeguard)
– นโยบายรักษาระยะเวลาการเก็บข้อมูล
– การทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention) เมื่อเลิกใช้
– กระบวนการแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี (Breach Notification Protocol)
ด้านที่ 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล
องค์กรต้องเขียนสิ่งเหล่านี้ไว้อย่างชัดเจน เพื่อให้บุคลากรทำงานตาม
– นโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure)
– บันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) โดยห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
และการนำข้อมูลไปใช้หลังจากได้มาแล้ว ต้องอยู่ภายใต้ข้อห้ามเหล่านี้เช่น …
2.1. การแอด LINE หรือแอดสื่อโซเชียลใดๆ ของเจ้าของข้อมูลส่วนบุคคล ต้องขออนุญาตก่อน
2.2. การส่งเมลโฆษณาประชาสัมพันธ์ ต้องให้ลูกค้ายินยอมก่อน
2.3. การยิงโฆษณาในเว็บโดยอิงข้อมูลจาก Cookies ต้องขอความยินยอมจากลูกค้าก่อน
2.4. ถ้ามีการส่งข้อมูลลูกค้าให้บริษัทอื่น ต้องขอความยินยอมจากลูกค้า และบริษัทอื่นนั้นต้องทำตามข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลอย่างถูกต้องแล้ว
2.5. การวิเคราะห์ข้อมูลส่วนบุคคล เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
2.6. การรวบรวมสถิติลูกค้าเพื่อพัฒนาสินค้าหรือบริการ โดยไม่ใช้ข้อมูลที่ระบุตัวตนของลูกค้า เช่น ใช้ได้แค่ข้อมูลเพศ วัย พฤติกรรมการซื้อ โดยรวมๆ แต่ห้ามใช้ชื่อ ห้ามใช้ที่อยู่ที่ระบุตัวตนได้ ฯลฯ
สรุปโทษถ้าใครละเมิดหรือไม่ทำตาม
ทั้งนี้ถ้าธุรกิจใด องค์กรไหน หรือเว็บไซต์/แอปใดๆ ที่เก็บข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่เป็นไปตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็จะมีโทษทั้งในทางแพ่ง อาญา
ซึ่งโทษทางอาญานั้นก็มีค่าปรับตั้งแต่ 5 แสนบาทไปจนถึง 5 ล้านบาท และ/หรือโทษจำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน ถ้าข้อมูลรั่วไหล และทำให้เสียหายทั้งทรัพย์สินและอื่นๆ
… อ่านมาถึงตรงนี้ เจ้าของธุรกิจหรือผู้บริหารหน่วยงานทุกรูปแบบไม่ว่าเล็กใหญ่ คงไม่อาจอยู่เฉยและมองข้ามเรื่องนี้ไปได้ และอาจต้องย้อนกลับไปอ่านทั้งหมดอีกรอบหนึ่งกันเลย !
แล้วคนทั่วไปจะทำตัวอย่างไร ?
สำหรับผู้บริโภคสื่อ ผู้ใช้แอปหรือเว็บไซต์ หรือพนักงานทั่วไป ก็ไม่ต้องทำอะไรมาก เพียงแต่ดูให้แน่ใจทุกครั้งที่กรอกข้อมูลไม่ว่าในกระดาษ ในแอป หรือเข้าเว็บใดก็ตาม ว่ามีการแจ้งนโยบายหรือแจ้งเตือนอย่างถูกต้อง
และที่สำคัญคือไปอ่านนโยบายเหล่านั้นสักหน่อย จะได้รู้เท่าทันว่าบริษัทหรือองค์กรนั้นๆจะนำข้อมูลเราไปทำอะไรบ้าง
และนอกจากนั้นถ้าเมื่อไหร่จะเลิกใช้หรือปิดแอคเคาท์กับบริการไหนๆ ก็สามารถขอให้ลบข้อมูลตัวเองได้ตามกฎหมาย PDPA ด้วย
… เหลืออีกแค่หนึ่งเดือนกว่าๆ ที่กฎหมายใหม่นี้จะบังคับใช้ ซึ่งถึงวันนั้นอาจมีหลายบริษัทธุรกิจห้างร้านที่ยังมองข้ามหรือไม่สนใจ จนอาจโดนฟ้องโดนโทษ โดนปรับ เกิดดราม่าตามมาได้
ซึ่งถ้าใครไม่อยากโดนโทษเหล่านั้น ก็ควรเริ่มทำตาม โดยรีบไปทยอยศึกษาตัวอย่างเพิ่มเติมได้ที่เว็บไซต์สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) dga.or.th/document-sharing/article/59030 ซึ่งมีตัวอย่างเอกสารต่างๆหลากหลายครบถ้วน จึงน่าจะต้องใช้เวลาศึกษาไม่น้อย
ภาพประกอบจาก
grafimedia.eu/blog/data-protection-regulation-gdpr-guide/what-is-data-protection-8
mydata.org/homepage/personal-data-is-everywhere
newbanking.com/personal-data