เตรียมธุรกิจให้พร้อม สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล ( PDPA )

เตรียมธุรกิจให้พร้อม สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล ( PDPA )

 

สิทธิส่วนบุคคล และข้อมูลส่วนตัวของผู้บริโภค เป็นสิ่งที่ธุรกิจ นักการตลาด หรือผู้ประกอบการ จะต้องให้ความสำคัญเป็นอันดับต้น ๆ โดยเฉพาะกับการสร้างธุรกิจออนไลน์ ในยุคดิจิทัล ที่จะต้องมีการเข้าถึงข้อมูลของลูกค้าและแน่นอนว่า ข้อมูลของลูกค้าที่ได้มานั้น ต้องเกิดจากความยินยอมของตัวลูกค้าเอง ไม่ก้าวก่ายสิทธิส่วนบุคคล หรือทำให้ข้อมูลรั่วไหล

ในช่วง 2-3 ที่ผ่านมานี้ เราอาจเคยได้ยินข่าวการรั่วไหลของข้อมูลจากผู้ใช้งานออนไลน์กันมาบ้าง เช่น ในปี 2019 Facebook ออกมายอมรับว่า Database หรือ ข้อมูลของผู้ใช้งานรั่วไหลออกไปประมาณ 419 ล้านคน (ที่มา: Forbes, 2019) และในปี 2020 ข้อมูลการจองโรงแรมของลูกค้ากว่า 10 ล้านรายที่ผ่านเซิร์ฟเวอร์ Amazon Web Services (AWS) รั่วไหลออกไป ทำให้ลูกค้าตกอยู่ในความเสี่ยง (ที่มา: Lifehacker)

ปัญหาต่าง ๆ ที่ได้กล่าวไปข้างต้น เป็นเหตุผลที่ผู้ใช้งานออนไลน์ทุกคนจะต้องได้รับความคุ้มครอง และได้รับการปกป้องข้อมูลให้ปลอดภัย มีสิทธิที่จะให้ความยินยอม หรือไม่ก็ได้ตามความสมัครใจของคนนั้น ๆ ซึ่งในวันนี้เราจะไปทำความรู้จักกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  หรือ PDPA เพื่อให้ผู้ที่ทำธุกิจ E-Commerce เกิดความเข้าใจและเตรียมพร้อมธุรกิจให้เป็นไปตามสากล และสอดคล้องตามข้อกำหนดทางกฎหมายกันค่ะ

 

PDPA คืออะไร

PDPA ( Personal Data Protection Act ) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยพ.ร.บ. นี้มีเพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย ไม่ให้เกิดการละเมิดสิทธิ และมีผลบังคับใช้ในภาคธุรกิจในวันที่ 1 มิถุนยน 2564 ซึ่ง PDPA มีผลบังคับใช้กับบุคคลธรรมดาทั่วไป และนิติบุคคลที่อยู่ในประเทศไทยด้วย

หากในกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น ผู้ที่ละเมิดสิทธิจะต้องเกิดได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และโทษปรับที่หนักหน่วง 5 ล้านบาท หรือจำคุกสูงสุด 1 ปี และยังต้องจ่ายค่าสินไหมทดแทน ตามความเหมาะสมในแต่ละกรณีนั้น ๆ

สำหรับในประเทศไทย กฏหมาย PDPA มีต้นแบบมาจากกฎหมายคุ้มครองสิทธิส่วนบบุคลของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายที่ใช้เพื่อปกป้องพลเมืองในสหภาพยุโรปจากการถูกละเมิดข้อมูลส่วนตัว และเศรษฐกิจในยุโรป นอกจากนี้ ยังออกกฎหมายคุ้มครองผู้บริโภคทางด้านการถ่ายโอนข้อมูลนอกเขต EU และ EEA หรือ พลเมืองของเขตเศรษฐกิจยุโรป (EEA) รวมทั้งการทำธุรกิจ E-Commerce การตลาดดิจิทัล การทำโฆษณา และการใช้อินเทอร์เน็ตทั่วไป

 

GDPR กับ PDPA ต่างกันอย่างไร

 

PDPA เป็น พ.ร.บ. ที่ถูกบัญญัติขึ้นเพื่อคุ้มครองสิทธิส่วนบุคคลในด้านสิทธิ และความปลอดภัยของข้อมูล หากข้อมูลมีการรั่วไหล ถูกถ่ายโอน ถูกดัดแปลง หรือไม่ได้รับความยินยอมจากดเจ้าของข้อมูล ผู้เสียหายสามารถร้องเรียนเพื่อเอาผิดได้ นอกจากนี้ผู้เสียหายยังสามารถร้องเรียนได้ในกรณีที่ ข้อมูลส่วนบุคคลถูกนำไปใช้โดยพลการ หรือนำไปใช้ในทางที่ผิดจากจุดประสงค์ที่ตกลงร่วมกันไว้ก่อนหน้า ซึ่งหากผู้ที่ละเมิดสิทธิข้อมูล เป็นนิติบุคคล ผู้ที่รับผิดชอบการดำเนินงานของนิติบุคคลนั้น ๆ ก็จะต้องรับผิดชอบร่วมกันด้วย ซึ่งบทลงโทษและค่าปรับนั้นขึ้นอยู่กับความร้ายแรงของแต่ละกรณี โดย PDPA มีผลบังคับใช้ในประเทศไทยในวันที่ 1 มิถุนายน 2564

(ตัวอย่าง นิติบุคคล: บริษัท สมาคม มูลนิธิ หน่วยงานรัฐ และเอกชน)

PDPA จะมีผลบังคับใช้ได้ทั้งกับองค์กรทั้งในประเทศและต่างประเทศที่เจรจาการค้าหรือทำธุรกิจในประเทศไทย

GDPR เป็นกฎหมายที่ใช้คุ้มครองข้อมูลส่วนบุคคลและป้องกันการถูกละเมิดสิทธิทางด้านข้อมูล โดยเจ้าของข้อมูลจะได้รับแจ้งเรื่องเมื่อเกิดความเสียหายจาก GDPR และได้สิทธิที่จะรับรู้ และสามารถขอเข้าถึงข้อมูลส่วนตัวของตัวเองได้ ในกรณีที่ผู้เสียหายต้องการลบข้อมูล ก็สามารถแจ้งคำร้องเพื่อลบข้อมูลได้เช่นกัน ซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561

นอกจากนี้ Privacy Policy ในกฎหมาย GDPR สามารถขอคัดค้านการตัดสินใจแทนแบบอัตโนมัต แต่ใน PDPA ยังไม่ได้มีการระบุในส่วนนี้

GDPR มีผลบังคับใช้กับองค์กรใด ๆ ก็ตามทั้งในและภายนอกสหภาพยุโรปที่เจรจาการค้า หรือทำธุรกิจกับบุคคลในสหภาพยุโรป

ประเภทข้อมูลที่ PDPA ให้ความคุ้มครองแก่บุคคล

มีทั้งแบบทางตรงและทางอ้อม ได้แก่

1   ข้อมูลส่วนบุคคลทั่วไป ที่สามารถนำไปใช้ยืนยันตัวบุคลลนั้น ๆ เช่น

  • ชื่อจริง นามสกุล
  • ที่อยู่
  • หมายเลขโทรศัพท์
  • หมายเลขบัตรประชาชน
  • Email
  • รูปถ่ายของบุคลลนั้น ๆ
  • อายุ
  • ประวัติการศึกษา
  • ประวัติการทำงาน

2   ข้อมูลส่วนตัวที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น

  • เชื้อชาติ
  • สัญชาติ
  • พฤติกรรมทางเพศ
  • ข้อมูลด้านสุขภาพ
  • ประวัติอาชญากรรม
  • ความเชื่อทางศาสนา
  • ความคิดเห็นทางด้านการเมือง
  • ข้อมูลอื่น ๆ ที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล
ภาพจาก primal

 

ขั้นตอนสำคัญที่ธุรกิจควรดำเนินการ

  1. มีความรู้พื้นฐานทางกฎหมาย และได้รับความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
  2. ธุรกิจ หรือองค์กรจะต้องโปร่งใส ต้องแจ้งให้เจ้าของข้อมูลทราบเมื่อมีการรวบรวมข้อมูลสำหรับแต่ละบุคคล
  3. มีมาตรการรักษาความปลอดภัยที่รัดกุม ตรงตามมาตรฐานสากล เพื่อปกป้องข้อมูลของบุคคลไม่ให้ถูกถ่ายโอน รั่วไหล หรือนำไปใช้ในทางที่ผิด
  4. จะต้องแจ้ง ข้อมูล หรือนโยบายเกี่ยวกับระยะเวลาข้อมูลส่วนบุคคลจะถูกจัดเก็บไว้
  5. มีการจัดเก็บข้อมูลที่เป็นไปตามมาตรฐาน เพื่อแสดงว่ามีการปฏิบัติตามข้อกำหนด PDPA

 

สิ่งที่ธุรกิจต้องเตรียมให้พร้อม เพื่อตอบรับกับข้อกำหนดของ PDPA

 

ภาพจาก primal

 

1. เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP)

เป็นเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล มีวัตุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง

2. เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์

เพื่อให้เจ้าของข้อมูล สามารถขอสิทธิการเข้าถึงข้อมูลส่วนตัวได้ ในช่องทางใด ๆ ก็ตาม และต้องมีการดำเนินการตามคำร้องภายใน 30 วัน

3. แจ้งเจ้าของข้อมูลเกี่ยวกับ นโยบายความเป็นส่วนตัว หรือ Privacy Policy 

เพื่อให้เจ้าของข้อมูลทราบว่า ข้อมูลที่จะนำไปใช้มีวัตถุประสงค์เพื่ออะไร มีเงื่อนไขอะไรบ้าง  รวมถึงระยะเวลาในการจัดเก็บข้อมูล

4. การขอคำยินยอมในการใช้ Cookie 

ธุรกิจ หรือแต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจับเก็บ

5. การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล 

ธุรกิจหรือองค์กรจะต้องแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือใช้ในทางที่ผิด ซึ่งจะต้องมีการประเมิณส่วนที่สายหาย และวิธีการเยียวยาเจ้าของข้อมูล

 

ประโยชน์ของ PDPA ที่มีต่อผู้ใช้งานออนไลน์ และเจ้าของข้อมูล

 

สำหรับผู้ที่เป็นเจ้าของข้อมูล ทุกคนมีสิทธิที่จะรับทราบว่า วัตถุประสงค์ของการให้ข้อมูลคืออะไร นำไปใช้ในด้านไหน และมีระยะเวลาเท่าไหร่ ก่อนการตัดสินใจยินยอมให้รายละเอียด ซึ่งไม่ว่านิติบุคคล หรือธุรกิจใด ๆ ก็ตาม จะต้องทำตามข้อกำหนดที่วางเอาไว้ตั้งแต่แรก และยินยอมลบข้อมูลต่าง ๆ เมื่อเจ้าของข้อมูลต้องการ โดยเจ้าของข้อมูลสามารถขอแจ้งสิทธิต่าง ๆ ได้ดังนี้

  • สิทธิที่จะได้รับแจ้ง
  • สิทธิในการเข้าถึงข้อมูลส่วนตัว
  • ทธิในการได้รับและโอนถ่ายข้อมูล
  • สิทธิในการแก้ไข
  • สิทธิในการจำกัด
  • สิทธิคัดค้าน
  • สิทธิในการลบข้อมูล
  • สิทธิในการเพิกถอนคำยินยอม

บทลงโทษในกรณีที่เกิดการนำข้อมูลไปใช้ในทางที่ผิด หรือไม่เป็นตามข้อตกลง 

 

  1. สำหรับโทษทางปกตรอง จะถูกปรับสูงสุดไม่เกิน 5 ล้านบาท
  2. สำหรับโทษทางอาญา จะถูกจำคุกสูงสุดไม่เกิน 1 ปี หรือถูกปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  3. กรณีรับผิดทางแพ่ง จะมีการประเมิณความเสียหายตามที่เกิดขึ้นจริง เป็นกรณีไป จะต้องมีการจ่ายเงินสินไหมทดแทน หรือเยียวยาวผู้เสียหายไม่เกิน 2 เท่าของความเสียหายที่เกิดขึ้นจริง

ข้อมูลจาก: 

https://sites.google.com

https://www.lexology.com

https://www.primal.co.th

Learning More

Interesting Topics

เทรนด์ธุรกิจอาหารและเครื่องดื่ม ที่น่าจับตามองสำหรับปี 2021