PDPA คืออะไร ทำไมเราต้องรู้

pdpa

ปัจจุบันนี้เราต้องกรอกข้อมูลส่วนตัวในการทำธุรกรรมหลายอย่าง เช่น การเปิดบัญชีเงินฝากกับธนาคาร สมัครบัตรสมาชิก หรือแม้กระทั่งการสั่งซื้อสินค้าออนไลน์ เป็นต้น ซึ่งข้อมูลที่เราให้ไปเป็นข้อมูลที่เราให้ไว้เพื่อเป็นข้อมูลในการใช้บริการเท่านั้น ทว่า ในความเป็นจริง ข้อมูลของเรากลับถูกนำไปใช้ในเชิงพาณิชย์หรือขายต่อ เพราะในยุคนี้ ใครที่มีข้อมูลลูกค้าอยู่ในมือมากกว่าก็จะได้เปรียบในการแข่งขันทางธุรกิจ 

[โพสต์ครั้งแรกเมื่อวันที่ 2 เม.ย. 2563]

[แก้ไขล่าสุดเมื่อวันที่ 21 พ.ค. 2563 จากการอนุมัติขยายเวลาบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ออกไปอีกหนึ่งปี] PDPA จะมีผลบังคับใช้เต็มรูปแบบในวันที่ 31 พ.ค. 2564

PDPA คืออะไร

หนึ่งในประสบการณ์ที่หลายคนน่าจะเคยเจอ คือ มีบริษัทโทรมาติดต่อเพื่อเสนอขายสินค้า ทั้งที่เราไม่เคยติดต่อบริษัทเหล่านั้นเลย ซึ่งถือว่าเป็นการละเมิดสิทธิส่วนบุคคล และทำให้เราเดือดร้อน รำคาญใจ หรือรู้สึกไม่ปลอดภัย แต่ที่ผ่านมาไม่สามารถเอาผิดได้ เพราะในประเทศไทยยังไม่มีกฎหมายไหนที่คุ้มครองสิทธิส่วนนี้ จนกระทั่งมีการประกาศใช้ PDPA หลายคนอาจเคยได้ยินชื่อนี้มาบ้าง แต่อาจจะยังไม่เข้าใจว่า PDPA คืออะไร

PDPA ก็คือ Personal Data Protection Act หรือ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ขึ้นในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม ปีที่แล้ว (ปี 2562) ภายใต้การกำกับดูแลของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งจะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พฤษภาคม พ.ศ. 2563 

สาระสำคัญของ PDPA

โดยสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น สามารถสรุปโดยย่อได้ดังนี้

  • ให้ความคุ้มครองสิทธิส่วนบุคคล ด้วยการปกป้องข้อมูลส่วนตัว ที่ระบุเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ อีเมล เบอร์โทรศัพท์ IP Address และข้อมูลที่มีความอ่อนไหว เช่น ความเห็น ความเชื่อ ทางการเมือง ศาสนา หรือรสนิยมทางเพศ เป็นต้น ที่อาจมีคนนำมาใช้โจมตีหรือเลือกปฏิบัติกับเจ้าของข้อมูลได้ 
  • บุคคล หรือนิติบุคคลใด ๆ ก็ตามที่เก็บรวมรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลดังกล่าว ต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัด และต้องดูแลรักษาข้อมูลให้ปลอดภัย
  • การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง 
  • การขอความยินยอมจะต้องมีความชัดเจน เฉพาะเจาะจง ว่าจะนำไปใช้ทำอะไร โดยเจ้าของข้อมูลสามารถเลือกที่จะยินยอมหรือไม่ก็ได้ และสามารถถอนความยินยอมในภายหลังได้หากต้องการ
  • เจ้าของข้อมูลส่วนตัวต้องมีสิทธิเข้าถึงข้อมูล แก้ไข ขอรับสำเนา ระงับ รวมถึงลบหรือทำลายข้อมูลเหล่านั้นได้
  • ผู้เก็บข้อมูลต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูล และความเป็นไปได้ที่จะเปิดเผยหรือโอนข้อมูล ในขณะเก็บรวบรวม และต้องใช้ตรงตามวัตถุประสงค์ที่ได้ขอไว้เท่านั้น
  • หากละเมิดกฎหมายนี้จะมีทั้งโทษทางอาญา คือ ปรับเงินสูงสุดถึง 5 ล้านบาท จำคุกสูงสุด 1 ปี และโทษทางแพ่ง ที่อาจต้องจ่ายค่าเสียหายสูงสุดถึงสองเท่าของค่าเสียหายจริง ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล คณะกรรมการบริหารเป็นผู้รับผิดชอบ

ดังนั้น บริษัททั้งหลายต้องกลับมาทบทวนตัวเองว่าที่ผ่านมา การดำเนินการของบริษัทได้ปฏิบัติตามข้อกำหนดดังกล่าวในการคุ้มครองดูแลข้อมูลส่วนบุคคลหรือไม่ ถ้าหากไม่ ก็ต้องรีบศึกษารายละเอียดของกฎหมาย ตรวจสอบและปรับเปลี่ยนการดำเนินการภายในองค์กรให้ได้มาตรฐานสอดคล้องกับ PDPA ก่อนที่จะสายเกินแก้

สิ่งหนึ่งที่หลายๆ เว็บไซต์อาจจะขาดอยู่ คือตัว consent form สำหรับการเก็บข้อมูลลูกค้าเมื่อมาใช้เว็บเรา สำหรับหลาย ๆ เว็บไซต์ที่ใช้ Google Analytics, Facebook Pixel และ analytics tool อื่น ๆ อย่างหนึ่งที่ควรทำเลยคือการทำ cookie banner ซึ่งจะช่วยให้เว็บเรานั้นสอดคล้องกับข้อบังคับของ PDPA หากท่านไม่รู้ว่าจะปรับเว็บให้มี cookie banner ได้อย่างไรนั้น สามารถติดต่อเข้ามาคุยกับผู้เชี่ยวชาญ ของเราได้


อย่างไรก็ตาม การออกพระราชบัญญัตินี้นับเป็นการเริ่มต้นที่ดีในการพัฒนาเศรษฐกิจและสังคมไทยให้ก้าวไกลในยุคดิจิทัลต่อไป นับเป็นการสร้างมาตรฐานในการควบคุมการใช้ข้อมูลส่วนบุคคลขึ้นอย่างเป็นรูปธรรม และยังสอดคล้องกับแนวโน้มของอารยประเทศประเทศอื่น ๆ ที่พยายามออกกฎหมายเกี่ยวกับเรื่องนี้มากขึ้น เช่น GDPR (General Data Protection Regulation) ของสหภาพยุโรป รวมถึงประเทศเพื่อนบ้านร่วมอาเซียนอย่างสิงคโปร์ที่มี PDPA ออกมาใช้ก่อนหน้าเราแล้ว

คำถามที่พบบ่อยเกี่ยวกับ PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
หากละเมิดกฎหมายนี้จะมีทั้งโทษทางอาญา คือ ปรับเงินสูงสุดถึง 5 ล้านบาท จำคุกสูงสุด 1 ปี และโทษทางแพ่ง ที่อาจต้องจ่ายค่าเสียหายสูงสุดถึงสองเท่าของค่าเสียหายจริง ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล คณะกรรมการบริหารเป็นผู้รับผิดชอบ
คณะรัฐมนตรีได้ขยายเวลาบังคับใช้ PDPA บางหมวดเฉพาะที่เกี่ยวกับภาคธุรกิจออกไปจากเดิม 27 พฤษภาคม 2563 เป็น 31 พฤษภาคม 2564
Cookies (คุกกี้) คือ ฐานข้อมูลขนาดเล็กที่ใช้จัดเก็บข้อมูลโดยจะเก็บเอาไว้ในอุปกรณ์คอมพิวเตอร์ เครื่องมือสื่อสาร ผ่านทางเว็บเบราว์เซอร์ในขณะใช้เว็บนั้น ๆ
Cookies จะเก็บข้อมูลบางประเภทที่สามารถระบุตัวตนได้บางอย่าง เช่น IP Address หรือ ข้อมูลการเข้า website แบบต่าง ๆ PDPA จึงเข้ามามีส่วนควบคุมข้อมูลส่วนตัวประเภทนี้ด้วย
Google Analytics เป็น Cookies สำหรับการวิเคราะห์และวัดผลจึงถือว่ารวมอยู่ใน Cookies ที่ต้องถูกควบคุมด้วย
มีผลอย่างแน่นอน website จะไม่สามารถตรวจสอบและวัดผลประสิทธิภาพการเข้าถึงของ website ได้อย่างถูกต้อง