ปัจจุบันนี้เราต้องกรอกข้อมูลส่วนตัวในการทำธุรกรรมหลายอย่าง เช่น การเปิดบัญชีเงินฝากกับธนาคาร สมัครบัตรสมาชิก หรือแม้กระทั่งการสั่งซื้อสินค้าออนไลน์ เป็นต้น ซึ่งข้อมูลที่เราให้ไปเป็นข้อมูลที่เราให้ไว้เพื่อเป็นข้อมูลในการใช้บริการเท่านั้น ทว่า ในความเป็นจริง ข้อมูลของเรากลับถูกนำไปใช้ในเชิงพาณิชย์หรือขายต่อ เพราะในยุคนี้ ใครที่มีข้อมูลลูกค้าอยู่ในมือมากกว่าก็จะได้เปรียบในการแข่งขันทางธุรกิจ
[โพสต์ครั้งแรกเมื่อวันที่ 2 เม.ย. 2563]
[แก้ไขล่าสุดเมื่อวันที่ 21 พ.ค. 2563 จากการอนุมัติขยายเวลาบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ออกไปอีกหนึ่งปี] PDPA จะมีผลบังคับใช้เต็มรูปแบบในวันที่ 31 พ.ค. 2564
PDPA คืออะไร
หนึ่งในประสบการณ์ที่หลายคนน่าจะเคยเจอ คือ มีบริษัทโทรมาติดต่อเพื่อเสนอขายสินค้า ทั้งที่เราไม่เคยติดต่อบริษัทเหล่านั้นเลย ซึ่งถือว่าเป็นการละเมิดสิทธิส่วนบุคคล และทำให้เราเดือดร้อน รำคาญใจ หรือรู้สึกไม่ปลอดภัย แต่ที่ผ่านมาไม่สามารถเอาผิดได้ เพราะในประเทศไทยยังไม่มีกฎหมายไหนที่คุ้มครองสิทธิส่วนนี้ จนกระทั่งมีการประกาศใช้ PDPA หลายคนอาจเคยได้ยินชื่อนี้มาบ้าง แต่อาจจะยังไม่เข้าใจว่า PDPA คืออะไร
PDPA ก็คือ Personal Data Protection Act หรือ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ขึ้นในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม ปีที่แล้ว (ปี 2562) ภายใต้การกำกับดูแลของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งจะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พฤษภาคม พ.ศ. 2563
สาระสำคัญของ PDPA
โดยสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น สามารถสรุปโดยย่อได้ดังนี้
- ให้ความคุ้มครองสิทธิส่วนบุคคล ด้วยการปกป้องข้อมูลส่วนตัว ที่ระบุเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ อีเมล เบอร์โทรศัพท์ IP Address และข้อมูลที่มีความอ่อนไหว เช่น ความเห็น ความเชื่อ ทางการเมือง ศาสนา หรือรสนิยมทางเพศ เป็นต้น ที่อาจมีคนนำมาใช้โจมตีหรือเลือกปฏิบัติกับเจ้าของข้อมูลได้
- บุคคล หรือนิติบุคคลใด ๆ ก็ตามที่เก็บรวมรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลดังกล่าว ต้องปฏิบัติตามกฎหมายนี้อย่างเคร่งครัด และต้องดูแลรักษาข้อมูลให้ปลอดภัย
- การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง
- การขอความยินยอมจะต้องมีความชัดเจน เฉพาะเจาะจง ว่าจะนำไปใช้ทำอะไร โดยเจ้าของข้อมูลสามารถเลือกที่จะยินยอมหรือไม่ก็ได้ และสามารถถอนความยินยอมในภายหลังได้หากต้องการ
- เจ้าของข้อมูลส่วนตัวต้องมีสิทธิเข้าถึงข้อมูล แก้ไข ขอรับสำเนา ระงับ รวมถึงลบหรือทำลายข้อมูลเหล่านั้นได้
- ผู้เก็บข้อมูลต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูล และความเป็นไปได้ที่จะเปิดเผยหรือโอนข้อมูล ในขณะเก็บรวบรวม และต้องใช้ตรงตามวัตถุประสงค์ที่ได้ขอไว้เท่านั้น
- หากละเมิดกฎหมายนี้จะมีทั้งโทษทางอาญา คือ ปรับเงินสูงสุดถึง 5 ล้านบาท จำคุกสูงสุด 1 ปี และโทษทางแพ่ง ที่อาจต้องจ่ายค่าเสียหายสูงสุดถึงสองเท่าของค่าเสียหายจริง ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล คณะกรรมการบริหารเป็นผู้รับผิดชอบ
ดังนั้น บริษัททั้งหลายต้องกลับมาทบทวนตัวเองว่าที่ผ่านมา การดำเนินการของบริษัทได้ปฏิบัติตามข้อกำหนดดังกล่าวในการคุ้มครองดูแลข้อมูลส่วนบุคคลหรือไม่ ถ้าหากไม่ ก็ต้องรีบศึกษารายละเอียดของกฎหมาย ตรวจสอบและปรับเปลี่ยนการดำเนินการภายในองค์กรให้ได้มาตรฐานสอดคล้องกับ PDPA ก่อนที่จะสายเกินแก้
สิ่งหนึ่งที่หลายๆ เว็บไซต์อาจจะขาดอยู่ คือตัว consent form สำหรับการเก็บข้อมูลลูกค้าเมื่อมาใช้เว็บเรา สำหรับหลาย ๆ เว็บไซต์ที่ใช้ Google Analytics, Facebook Pixel และ analytics tool อื่น ๆ อย่างหนึ่งที่ควรทำเลยคือการทำ cookie banner ซึ่งจะช่วยให้เว็บเรานั้นสอดคล้องกับข้อบังคับของ PDPA หากท่านไม่รู้ว่าจะปรับเว็บให้มี cookie banner ได้อย่างไรนั้น สามารถติดต่อเข้ามาคุยกับผู้เชี่ยวชาญ ของเราได้
อย่างไรก็ตาม การออกพระราชบัญญัตินี้นับเป็นการเริ่มต้นที่ดีในการพัฒนาเศรษฐกิจและสังคมไทยให้ก้าวไกลในยุคดิจิทัลต่อไป นับเป็นการสร้างมาตรฐานในการควบคุมการใช้ข้อมูลส่วนบุคคลขึ้นอย่างเป็นรูปธรรม และยังสอดคล้องกับแนวโน้มของอารยประเทศประเทศอื่น ๆ ที่พยายามออกกฎหมายเกี่ยวกับเรื่องนี้มากขึ้น เช่น GDPR (General Data Protection Regulation) ของสหภาพยุโรป รวมถึงประเทศเพื่อนบ้านร่วมอาเซียนอย่างสิงคโปร์ที่มี PDPA ออกมาใช้ก่อนหน้าเราแล้ว