หลายท่านอาจเห็นได้จากหลาย ๆ เว็บไซต์หรือแอพพลิเคชั่นต่าง ๆ จะมี pop up ขึ้นบนหน้าจอและ
มีข้อความทำนองว่า “ประกาศนโยบายความเป็นส่วนตัว” หรือ “ตั้งค่าความเป็นส่วนตัวของข้อมูล” นั่นหมายถึงองค์กร/ธุรกิจเหล่านั้น ได้เริ่มปฏิบัติตามสอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า PDPA (Personal Data Protection Act) แล้ว ทั้งนี้ กฎหมายฉบับนี้มีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้ สำหรับองค์กร/ธุรกิจใดที่ยังไม่เริ่มปรับตัวตามกฎหมายฉบับนี้ก็ควรเริ่มที่จะศึกษาข้อมูลหรือติดต่อผู้เชี่ยวชาญเพื่อที่จะปฏิบัติให้ถูกต้องตาม PDPA กันได้แล้วนะคะ
PDPA มีความสำคัญอย่างไร?
PDPA เป็นกฎหมายที่มีขึ้นเพื่อปกป้องและคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดหรือถูกนำไปใช้อย่างไม่ถูกต้อง และเพื่อให้ทั่วโลกมีมาตรการรักษาและจัดเก็บข้อมูลในระดับเดียวกันหรือใกล้เคียงกันทั่วโลก PDPA เป็นกฎหมายที่มีต้นแบบมาจาก GDPR (The General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในประเทศฝั่งยุโรป ดังนั้น เพื่อสร้างความมั่นใจให้กับผู้ซื้อสินค้าและผู้ใช้บริการธุรกิจของท่าน และหลีกเลี่ยงค่าปรับตามกฎหมายที่ค่อนข้างสูง จึงควรมีวิธีจัดการ จัดเก็บข้อมูลของลูกค้า/พนักงานให้ถูกต้องตาม PDPA เพื่อประโยชน์สูงสุดขององค์กร/ธุรกิจท่าน และเป็นประโยชน์กับผู้ซื้อสินค้าและผู้ใช้บริการ
ธุรกิจใดต้องปรับตัวตาม PDPA?
ท่านสามารถเริ่มตรวจสอบจากธุรกิจตัวเองก่อนว่ามีการเก็บหรือรวบรวมข้อมูลของผู้ซื้อสินค้าและผู้ใช้บริการบ้างหรือไม่ เพราะที่จริงแล้วแทบทุกธุรกิจล้วนมีการจัดเก็บข้อมูลส่วนตัว โดยเฉพาะธุรกิจที่เน้นการทำ Digital Marketing ที่จะต้องมี Re-marketing ไปยังกลุ่มลูกค้าหรือธุรกิจอื่น ๆ ที่มีการเก็บ รวบรวม ข้อมูลส่วนบุคคลของลูกค้า/พนักงานไว้ เช่น ร้านค้า e-commerce ที่เก็บรวบรวมข้อมูลที่อยู่สำหรับการจัดส่งสินค้า หรือธุรกิจที่จัดให้มีการสมัครสมาชิกก่อนเข้าใช้งาน ก็ล้วนต้องปรับตัวให้สอดคล้องกับ PDPA
Checklist เบื้องต้น ที่ต้องมีตาม PDPA
1. แต่งตั้งผู้รับผิดชอบ หรือ DPO (Data Protection Officer) หรือเจ้าหน้าที่ฝ่ายกฎหมายในองค์กร เพื่อให้คำแนะนำ ตรวจสอบการดำเนินงาน การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2. สำรวจการจัดเก็บ ใช้ข้อมูลส่วนบุคคลภายในองค์กร/ธุรกิจ และกำหนดประเภทของข้อมูล เพื่อให้ทราบวัตถุประสงค์ในการจัดเก็บและบุคคลที่รับผิดชอบในการจัดเก็บข้อมูล
3. จัดเตรียมนโยบาย หรือแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลหรือเอกสารอื่น ๆ ตามที่กฎหมายกำหนด เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดการเก็บข้อมูล โดยคำนึงถึงการเก็บรวบรวมข้อมูลเท่าที่จำเป็นและเหมาะสมกับวัตถุประสงค์ของกิจกรรมเท่านั้น
4. พัฒนากระบวนการแจ้งเตือนให้กับเจ้าของข้อมูล และประชาสัมพันธ์ให้บุคคลที่เกี่ยวข้องได้รับทราบ
5. พัฒนาความรู้ให้กับสมาชิกหรือบุคลากรในองค์กร/ธุรกิจตระหนักถึงความสำคัญ
6. กำกับดูแล ตรวจสอบและเฝ้าระวังกระบวนการการดูแลข้อมูล การเก็บรักษา ใช้ หรือเปิดเผยข้อมูลและมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลให้เหมาะสมอยู่เสมอ
ใครได้ประโยชน์จากการทำตาม PDPA บ้าง?
● สำหรับผู้ประกอบการ/องค์กร/ธุรกิจ
– ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ ข้อมูลและสร้างโอกาสการทำธุรกิจในระดับนานาชาติ
– สร้างความไว้วางใจให้กับผู้ซื้อสินค้า/ผู้ใช้บริการ โดยการมีมาตรฐานการรักษาข้อมูลที่เหมาะสม
– มีกระบวนการทำงาน การจัดเก็บข้อมูล ที่มีประสิทธิภาพ
● สำหรับบุคคลธรรมดา (เจ้าของข้อมูลส่วนบุคคล)
– รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน
– มีสิทธิร้องขอให้ลบ ทำลาย ระงับการใช้ข้อมูลส่วนบุคคล หรือสิทธิอื่น ๆ ตามกฎหมายได้
– สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้
ตามที่ได้กล่าวไปก่อนหน้านี้ว่า กฎหมายฉบับนี้มีบทลงโทษหนักทีเดียว ซึ่งกฎหมายกำหนดโทษไว้ ดังนี้
ความรับผิดทางแพ่ง นั้นคิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของความเสียหายนั้น
ความรับผิดทางปกครอง หากองค์กร/ธุรกิจไม่ปฏิบัติตามข้อกำหนดของกฎหมาย เช่น ไม่ขอความยินยอมในการใช้หรือจัดเก็บข้อมูล ไม่ให้เจ้าของข้อมูลใช้สิทธิตามกฎหมาย หรือส่งข้อมูลให้บุคคลอื่น มีโทษปรับไม่เกินสามล้านบาท หากเป็นข้อมูลอ่อนไหว (Sensitive Data) มีโทษปรับไม่เกินห้าล้านบาท
ความรับผิดทางอาญา หากผู้ควบคุมข้อมูลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมหรือผิดจากวัตถุประสงค์ที่แจ้งไว้ เป็นเหตุให้ผู้อื่นเกิดความเสียหาย อาจมีโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือในกรณีที่นำข้อมูลไปแสวงหาประโยชน์ที่มิควร มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท
Case Study: “Amazon บริษัท e-commerce อันดับต้น ๆ ของสหรัฐอเมริกา ถูกสั่งปรับเป็นเงินมูลค่าสูงถึง 885.9 ล้านเหรียญสหรัฐ เนื่องจากฝ่าฝืนกฎหมาย GDPR ฐานละเมิดความเป็นส่วนตัวของลูกค้าผู้ใช้บริการ โดย AMAZON ได้เก็บข้อมูลส่วนบุคคลของลูกค้าไว้โดยไม่ได้แจ้งวัตถุประสงค์ของการจัดเก็บและได้มีการนำข้อมูลส่วนบุคคลไปวิเคราะห์พฤติกรรมการใช้งานของลูกค้าเพื่อยิงโฆษณา หาประโยชน์ทางการตลาด สร้างรายได้ให้แก่กิจการของตนเอง โดยที่ลูกค้าไม่ได้ให้ความยินยอมในการนำข้อมูลส่วนตัวไปใช้ในวัตถุประสงค์อื่นนอกจากให้ข้อมูลเพื่อให้สำหรับการซื้อหรือจัดส่งสินค้าเท่านั้น ซึ่งถือเป็นค่าปรับจากการฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่สูงที่สุดในปัจจุบัน
ดังนั้น การเตรียมตัวให้พร้อมเพื่อรองรับกับ PDPA จึงเป็นเรื่องสำคัญ องค์กรทุกระดับหรือแม้บุคคลธรรมดาควรศึกษาและปรับตัวให้สอดคล้องกับ PDPA ให้มากที่สุดเท่าที่จะเป็นไปได้ เพราะหากชะล่าใจรอเวลาให้กฎหมายบังคับใช้ หรือเพิกเฉย อาจก่อให้เกิดปัญหาอื่น ๆ ตามมาหรืออาจจะสายเกินแก้ เพื่อให้ธุรกิจของท่านสามารถปฏิบัติได้อย่างถูกต้อง ตรงสาระสำคัญที่กฎหมายบังคับ ท่านสามารถสอบถาม IDG ซึ่งมีผู้เชี่ยวชาญคอยให้คำปรึกษาเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
