คนไทยยุคดิจิทัลวันนี้ไม่ว่าจะเป็นผู้ใช้บริการหรือผู้ประกอบการต้องรอบรู้และก้าวทัน โดยเฉพาะเรื่องข้อมูลส่วนบุคคล ซึ่งปัจจุบันมี พรบ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act) หรือ PDPA ที่ได้เลื่อนประกาศใช้ในประเทศไทยเป็นปีหน้า วันที่ 1 มิ.ย. 2565 เหลือเวลาอีก 1 ปี มาเตรียมพร้อมด้วยการลงมือทำเพื่อก้าวสู่โลกแห่งเศรษฐกิจดิจิทัลที่มั่นคง ปลอดภัยและโปร่งใสไปด้วยกันอย่างมั่นใจ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฏหมายที่กำหนดหลักเกณฑ์ กลไกและการกำกับดูแลคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่างๆ เพื่อให้ภาคประชาชน ภาคธุรกิจ และภาครัฐ เกิดความเข้าใจและเตรียมพร้อมธุรกิจให้เป็นไปตามหลักสากล และสอดคล้องตามข้อกำหนดทางกฎหมาย ซึ่งมีผลบังคับใช้กับบุคคลธรรมดาทั่วไป และนิติบุคคลที่อยู่ในประเทศไทยด้วย หากในกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น ผู้ที่ละเมิดสิทธิจะต้องได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และโทษปรับสูงสุดไม่เกิน 5 ล้านบาท หรือจำคุกสูงสุด 1 ปี ปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับจ่ายค่าสินไหมทดแทนตามความเหมาะสมในแต่ละกรณีนั้นๆ สำหรับในประเทศไทย
กฎหมาย PDPA มีต้นแบบมาจากกฎหมายคุ้มครองสิทธิส่วนบุคคลของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายที่ใช้ปกป้องพลเมืองในสหภาพยุโรปจากการถูกละเมิดข้อมูลส่วนตัวและเศรษฐกิจในยุโรป นอกจากนี้ ยังออกกฎหมายคุ้มครองผู้บริโภคทางด้านการถ่ายโอนข้อมูลนอกเขต EU และ พลเมืองของเขตเศรษฐกิจยุโรป (EEA) รวมทั้งการทำธุรกิจ E-Commerce การตลาดดิจิทัล การทำโฆษณา และการใช้อินเทอร์เน็ตทั่วไป
PDPA ให้ความคุ้มครองแก่บุคคล ในข้อมูลอะไรบ้าง
ผศ.ดร.สุภาภรณ์ เกียรติสิน หัวหน้ากลุ่มสาขาเทคโนโลยีการจัดการระบบสารสนเทศ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล กล่าวว่า ทุกวันนี้คงจะได้เห็นว่าร้านค้า ห้างสรรพสินค้า หรือแม้แต่ของใกล้ตัวของเรา เช่น หมายเลขโทรศัพท์มือถือ เริ่มมีการพัฒนาระบบสมาชิกให้ผู้บริโภคสามารถสมัครใช้บริการ บ้างก็ฟรี บ้างก็เสียค่าใช้จ่าย แต่ทราบหรือไม่ว่า หลายครั้ง ระบบสมาชิกส่งผลกระทบต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลทุกคนได้
ระบบสมาชิก ไม่ว่าจะเป็นในรูปแบบของบัตรสมาชิก บัตรเงินสด หรือระบบสมาชิกในรูปแบบอื่น ๆ เช่น การเพิ่มเพื่อนบนแอพพลิเคชั่น LINE ส่วนมากจะจัดเป็นหนึ่งในกระบวนการในด้านระบบการจัดการลูกค้าสัมพันธ์ (Customer Relationship Management : CRM) ซึ่งจะมีการรวบรวมข้อมูลที่เกี่ยวข้องกับเรา เช่น ข้อมูลพื้นฐาน (อย่างเช่น ชื่อ, นามสกุล, เบอร์โทรศัพท์) ข้อมูลการทำงาน หรือแม้แต่ประวัติการใช้งานหรือใช้จ่ายในร้านค้าต่าง ๆ ซึ่งข้อมูลพวกนี้ฟังดูแล้วเหมือนว่าไม่มีอะไร แต่อันที่จริงแล้ว ข้อมูลพวกนี้เป็นข้อมูลที่มีค่ามากในอุตสาหกรรมที่เกี่ยวข้องกับการค้าขายและระบบสมาชิก
โดยสรุป ประเภทข้อมูลที่ พรบ. PDPA ให้ความคุ้มครองแก่บุคคล มีทั้งแบบทางตรงและทางอ้อม ได้แก่ ข้อมูลส่วนบุคคลทั่วไป ที่สามารถนำไปใช้ยืนยันตัวบุคคลนั้นๆ เช่น ชื่อจริง นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน Email รูปถ่ายของบุคคลนั้นๆ อายุ ประวัติการศึกษา ประวัติการทำงาน อีกส่วนหนึ่งคือ ข้อมูลส่วนตัวที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ สัญชาติ พฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ประวัติอาชญากรรม ความเชื่อทางศาสนา ความคิดเห็นทางด้านการเมือง ข้อมูลอื่นๆ ที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล
สิ่งที่ประชาชนต้องพึงทราบสิทธิ จาก PDPA
กฏหมาย PDPA ได้เปิดโอกาสให้ผู้ใช้อย่างท่านมีสิทธิ ดังนี้
- ผู้บริโภคสามารถควบคุมการแบ่งปันข้อมูลได้ เนื่องจากพระราชบัญญัตินี้ให้สิทธิการขอข้อมูล , ลบข้อมูล โดยไม่มีค่าใช้จ่าย
- ผู้บริโภคมีสิทธิในการปฏิเสธไม่ให้แบ่งปันข้อมูลไปให้หน่วยงานภายนอก รวมถึงสิทธิในการไม่แบ่งปันข้อมูล ทั้งนี้ ขึ้นอยู่กับเงื่อนไขของผู้จัดเก็บข้อมูล ว่าจะส่งผลกระทบกับการเป็นสมาชิกหรือไม่
- ผู้ให้บริการมีความจำเป็นที่จะต้องเปิดเผยถึงข้อมูลที่จัดเก็บ รวมไปถึงวัตถุประสงค์ของการจัดเก็บ และ/หรือใช้ข้อมูลเหล่านี้
PDPA เรื่องจำเป็นที่ SMEs ต้องปฎิบัติ
ข้อมูลนั้นจัดว่าเป็นหนึ่งในทรัพย์สินที่มีมูลค่ามากสำหรับธุรกิจในยุคสมัยปัจจุบัน เพราะสามารถนำข้อมูลต่าง ๆ ไปใช้เพื่อนำไปวิเคราะห์ หรือแม้แต่การพัฒนาบริการของธุรกิจต่าง ๆ เพื่อให้ตอบสนองความต้องการของลูกค้าอย่างแท้จริง จะเห็นได้จากหลายร้านค้าเอง ก็เริ่มใช้ระบบสมาชิก หรือการจัดการลูกค้าสัมพันธ์ (CRM) เก็บประวัติการใช้บริการของร้านค้า หรือแม้แต่ข้อมูลด้านประวัติการซื้อขายต่าง ๆ ที่จำเป็นต้องเก็บเพื่อใช้ในด้านกฎหมายหรือด้านอื่น ๆ ที่เกี่ยวข้อง และด้วยเทคโนโลยีที่ทันสมัยมากยิ่งขึ้น
ผศ.ดร.สุภาภรณ์ เกียรติสิน หัวหน้ากลุ่มสาขาเทคโนโลยีการจัดการระบบสารสนเทศ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล กล่าวว่า พรบ. นี้ได้กำหนดถึงการรักษาข้อมูล ไม่ว่าจะเป็นข้อมูลที่ใช้ในการดำเนินธุรกิจ เช่น รายชื่อพนักงานในสำนักงาน ข้อมูลลูกค้า เช่น ข้อมูลสมาชิก หรือแม้แต่ข้อมูลที่อ่อนไหวง่าย เช่น ข้อมูลบนบัตรประชาชน ต้องมีการจัดเก็บอย่างถูกต้องเหมาะสม และต้องไม่เก็บข้อมูลเหล่านั้นที่มากกว่าความจำเป็นในการใช้ ขณะเดียวกัน ต้องแจ้งวัตถุประสงค์ของการใช้ข้อมูลเหล่านั้นให้กับลูกค้าเข้าใจได้ง่ายด้วย พร้อมกับยกตัวอย่างว่า เมื่อเวลาร้านค้าถามลูกค้าว่าจะสมัครสมาชิกหรือไม่ ถ้าหากลูกค้าจะสมัครสมาชิก ร้านค้าต้องขอข้อมูลเฉพาะส่วนที่ธุรกิจจำเป็นต้องใช้จริง เช่น ชื่อ-นามสกุล, หมายเลขโทรศัพท์, อีเมล์, ที่อยู่ และรายละเอียดที่เกี่ยวข้องเท่านั้น ไม่ควรที่จะจัดเก็บข้อมูลที่ไม่มีความจำเป็นต่อการดำเนินธุรกิจหรือไม่มีวัตถุประสงค์ที่แน่ชัด เช่น ร้านค้าไม่ควรขอหมายเลขบัตรประจำตัวประชาชน เนื่องจากร้านค้าส่วนมากไม่มีความจำเป็นต้องใช้หมายเลขบัตรประชาชนในการยืนยันตัวตน เป็นต้น นอกจากนี้ ข้อมูลที่อ่อนไหวง่าย ควรมีการจัดเก็บข้อมูลกลุ่มนี้ให้รัดกุมมากที่สุด เช่น การเข้ารหัสข้อมูลในกรณีที่เป็นไฟล์หรือข้อมูลอิเล็กทรอนิกส์ เป็นต้น
ใน พรบ. ฉบับนี้ยังระบุไว้ว่า ทางฝั่งบุคคลหรือลูกค้าที่เข้ามาซื้อสินค้าหรือบริการนั้น ก็มีสิทธิที่จะได้รับแจ้ง ขอสำเนาของข้อมูล ขอแก้ไข ขอระงับการใช้งาน ขอให้ลบข้อมูลส่วนบุคคลของเขา รวมถึงสิทธิในการเพิกถอนคำยินยอม เมื่อไรก็ตามที่มีคำขอดังกล่าว ร้านค้าหรือผู้ให้บริการต้องดำเนินการตามคำขอเหล่านั้นโดยไม่ชักช้า หรือไม่เกินระยะเวลา 30 วันในกรณีของการขอสำเนาข้อมูล ยกเว้นมีประเด็นทางกฎหมายหรือประเด็นด้านการขัดขวางสิทธิเสรีภาพเข้ามาเกี่ยวข้อง
ธุรกิจต้องเตรียมให้พร้อม เพื่อตอบรับกับ PDPA
- เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) เป็นเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล มีวัตถุประสงค์เพื่ออะไร และมีใครเกี่ยวข้องบ้าง
- เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์ เพื่อให้เจ้าของข้อมูล สามารถขอสิทธิการเข้าถึงข้อมูลส่วนตัวได้ ในช่องทางใดๆก็ตาม และต้องมีการดำเนินการตามคำร้องภายใน 30 วัน
- แจ้งเจ้าของข้อมูลเกี่ยวกับ นโยบายความเป็นส่วนตัว หรือ Privacy Policy เพื่อให้เจ้าของข้อมูลทราบว่า ข้อมูลที่จะนำไปใช้มีวัตถุประสงค์เพื่ออะไร มีเงื่อนไขอะไรบ้าง รวมถึงระยะเวลาในการจัดเก็บข้อมูล
- การขอคำยินยอมในการใช้ Cookie ธุรกิจ หรือแต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจัดเก็บ
- การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล ธุรกิจหรือองค์กรจะต้องแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือใช้ในทางที่ผิด ซึ่งจะต้องมีการประเมินส่วนที่เสียหาย และวิธีการเยียวยาเจ้าของข้อมูล