ทำไมเราต้องให้ความสนใจกับ PDPA มันคืออะไรกันแน่ ?
หากเราใช้คำว่า PDPA นั้นหลายคนอาจไม่คุ้นหูกันสักเท่าใดนัก แต่ถ้าลองเกริ่นด้วยคำว่า ‘พ.ร.บ. ข้อมูลส่วนบุคคลฯ’ ก็เชื่อว่าต้องมีคนร้องอ๋อกันออกมาไม่มากก็น้อย
บทบาทของพ.ร.บ.นี้ส่งผลกระทบอย่างยิ่งต่อภาคเอกชน ที่เราคงเห็นแล้วว่ามีผู้ประกอบการบางรายนำข้อมูลที่ได้ไปใช้โดยที่ไม่ได้รับความยินยอม ซึ่งหากมีการเปิดใช้งานเมื่อไหร่ ผู้ประกอบการทั้งหมดที่มีการวิเคราะห์ข้อมูลจากลูกค้าอยู่แล้วต้องดำเนินการปรับตัวทันที มิฉะนั้นอาจถูกดำเนินการทางกฎหมายได้ง่ายๆ
เราได้นำข้อมูลของ PDPA ส่วนสำคัญออกมาและสรุปให้ทุกท่านเข้าใจว่า พ.ร.บ.นี้ทำงานอย่างไร ครอบคลุมถึงไหน และคุณควรปรับตัวอย่างไรบ้าง
ทำความเข้าใจเกี่ยวกับ PDPA (Personal Data Protection Act)
Personal Data Protection Act (PDPA) หรือในภาษาไทยก็คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้น คือพ.ร.บ.ที่ออกมาเพื่อป้องกันการนำข้อมูลส่วนบุคคลของผู้คนในประเทศไปใช้งานโดยมิชอบ หรือไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้นๆ
ซึ่ง พ.ร.บ.นี้ มีกำหนดการใช้งานในวันที่ 1 มิถุนายน พ.ศ. 2565
ในโลกที่ข้อมูลกลายเป็นสิ่งที่เราเห็นผ่านตากันทุกคน น่าจะมีคนไม่น้อยกว่าตัวของเรานั้นมีข้อมูลที่มีค่ามากขนาดนั้นเลยหรือ ขอตอบว่าใช่ และยิ่งข้อมูลจำนวนมหาศาลมากขึ้นเท่าไหร่ก็ยิ่งส่งผลกระทบต่อเศรษฐกิจหรือสังคมได้เลยทีเดียว
ไม่ว่าจะเป็น ข้อมูลส่วนบุคคลเรื่อง เพศ ศาสนาที่นับถือ พรรคการเมืองที่สนใจ สุขภาพ เงินในบัญชีธนาคาร ข้อมูลทางชีวภาพเช่นลายนิ้วมือ
ทำไมข้อมูลถึงสำคัญ?
เพราะข้อมูลทุกอย่างล้วนนำไปใช้งานได้ เราสามารถนำข้อมูลทางสุขภาพไปใช้เพื่อนำเสนอขายประกันที่คิดว่าคนๆ นั้นอาจซื้อ ใช้ความถี่ในการเข้าเว็บไซต์เพื่อประเมินความชอบในการสั่งสินค้า หรือแม้แต่คนที่เราคุยด้วยเพื่อขยายผลว่าหากซื้อสินค้าร่วมกันจะต้องซื้ออะไร หากเราไม่ใส่ใจ ละเลย เมื่อเวลาผ่านไปนานๆ เรานี่ล่ะจะกลายเป็นหนึ่งในสินค้าโดยที่ไม่รู้ตัวมาก่อน
นั่นทำให้ PDPA มีบทบาทอย่างน้อยๆ ก็เป็นการ ‘กรอง’ หนึ่งชั้น ด้วยการถามความสมัครใจ ว่าเราต้องการเปิดเผยข้อมูลนี้หรือไม่ และเป็นส่วนรองรับหากเราจำเป็นต้องเสียข้อมูลโดยไม่สมัครใจก็สามารถฟ้องร้องได้
ใครที่ต้องเกี่ยวข้องกับ PDPA บ้าง
หากเราจะมีการระบุว่า ‘ทุกคน’ ก็คงจะไม่เกินเลยไปเท่าใดนัก แต่หากพิจารณาตามข้อกฎหมายดูแล้ว ตัวของพ.ร.บ.ข้อมูลส่วนบุคคลนี้จะค่อนข้างไม่ส่งผลกระทบต่อภาครัฐและหน่วยงานราชการเท่าใดนัก แต่ส่งผลต่อผู้ประกอบการบริษัท และองค์กรเอกชนเสียมากกว่า ไม่ว่าจะเป็น
- องค์กรที่มีการเก็บข้อมูลส่วนบุคคลและนำข้อมูลเหล่านั้นมาใช้งาน
- องค์กรที่เป็นตัวกลางคอยเก็บข้อมูลและประมวลผลข้อมูลของลูกค้า
- องค์กรที่เสนอขายสินค้าต่างๆ และเก็บข้อมูลลูกค้าภายในประเทศไทย
ซึ่งในยุคที่ข้อมูลครองเมืองนี้ไม่ว่าบริษัทไหนๆ ต่างก็มีส่วนร่วมเกี่ยวกับข้อมูลไม่ทางใดก็ทางหนึ่งแทบทั้งสิ้น ดังนั้นทุกบริษัทจะต้องดำเนินการตรวจสอบการใช้ข้อมูลของตนเอง เพื่อดูว่ามีส่วนใดส่งผลกระทบเมื่อพ.ร.บ. ดังกล่าวมีการใช้งานจริงบ้าง
หลักการทำงานของ PDPA
การทำงานของ PDPA จะเหมือนพ.ร.บ.ประเภทอื่นๆ คือทำหน้าที่เปรียบเสมือนกฎหมายคอยคุ้มครองหรือห้ามมิให้บุคคลใดหรือบริษัทใดบริษัทหนึ่งทำเรื่องผิดต่อกฎหมาย สิ่งที่เราต้องโฟกัสอย่างจริงจังจะไปอยู่ในส่วนของสิ่งที่อยู่ภายในพ.ร.บ. มากกว่า ซึ่งก็คือ
- ผู้เก็บข้อมูล ใช้ข้อมูล ประมวลผลข้อมูล หรือเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
- มีการแจ้งวัตถุประสงค์การเก็บข้อมูล รายละเอียด สิทธิต่างๆ ให้เจ้าของข้อมูลได้รับทราบ
- ข้อมูลต่างๆ ต้องมีการเก็บจากเจ้าของข้อมูลเท่านั้น
- บางธุรกิจหรือหน่วยงานต้องมีการจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด
- การเก็บข้อมูลจะต้องถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ
ทั้งนี้พ.ร.บ.ดังกล่าวไม่รวมไปถึงข้อมูลของผู้เสียชีวิตแต่อย่างใด
ซึ่งหากทำผิดพ.ร.บ.แล้วย่อมมีบทลงโทษตามมา ทั้ง
โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
โทษทางแพ่ง กรณีเกิดความเสียหาย ต้องจ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
โทษทางปกครอง โทษปรับสูงสุดไม่เกิน 5 ล้านบาท
แน่นอนว่า PDPA เองก็มีข้อยกเว้นเช่นกัน เช่น
- การเก็บข้อมูลนั้นเป็นประโยชน์ต่อสาธารณะ
- การเก็บข้อมูลเพื่อศึกษา หรือบันทึกจดหมายเหตุต่างๆ
- เพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลเป็นคู่สัญญา
- เพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- เป็นการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของรัฐหรือผู้ที่ได้รับมอบหมาย
ซึ่งทางที่ดีฝ่ายกฎหมายของบริษัทต้องมีการดูแลในเรื่องนี้ก่อนที่จะดำเนินการผิดพลาดโดยไม่ได้ตั้งใจ
แนวทางการปรับตัวขององค์กรต่างๆ
สิ่งสำคัญหลักๆ .ในการรับมือการเข้ามาของ พ.ร.บ.ข้อมูลส่วนบุคคลนี้คือการเปลี่ยนแปลงหรือปรับปรุงบางส่วนขององค์กรเพื่อรับมือ เพื่อแสดงให้เห็นถึงความพยายามที่จะใช้ข้อมูล หรือรับข้อมูลมาอย่างระมัดระวังเพียงพอ เช่น
- การวางนโยบายเกี่ยวกับการเก็บข้อมูลส่วนบุคคลและรักษาข้อมูลส่วนบุคคลใหม่ ให้ครอบคลุมต่อผลกระทบที่เกิดจากพ.ร.บ. นี้
- มีการขออนุญาตหรือขอความยินยอมต่อเจ้าของข้อมูลก่อนที่จะดำเนินการรวบรวม ใช้ หรือเปิดเผยข้อมูลที่ได้รับมา ทั้งนี้ควรมีการบันทึกด้วยว่าเจ้าของข้อมูลมีการยินยอมจริง
- มีการดูแลข้อมูลภายในองค์กร ทั้งของลูกค้าและของพนักงานอย่างมีคุณภาพ
- มีการตรวจสอบ ประเมินความเสี่ยง และอัปเดตข้อมูลที่เกี่ยวข้องอยู่อย่างสม่ำเสมอ เพื่อหลีกเลี่ยงข้อผิดพลาดที่อาจเกิดโดยไม่ได้ตั้งใจ
- ให้ความรู้กับคนในองค์กรเกี่ยวกับการใช้งานข้อมูล และข้อกฎหมายที่เกี่ยวข้อง
- ปรับปรุง อัปเกรด อุปกรณ์และซอฟต์แวร์ที่เกี่ยวกับการเก็บและใช้งานข้อมูล ให้มีความปลอดภัยมากขึ้น ลบข้อมูลที่ไม่จำเป็นทิ้ง
- บูรณาการฝ่ายกฎหมายและฝ่ายไอทีของบริษัท เพื่อทำให้การจัดการเป็นไปได้อย่างรัดกุมและรวดเร็วที่สุด
การเข้ามาของ PDPA จะส่งผลกระทบต่อทุกคน โดยเฉพาะตัวบริษัท ดังนั้นผู้ที่มีบทบาทในเรื่องนี้จะมีตั้งแต่ผู้บริหาร โปรแกรมเมอร์หรือคนออกแบบกระบวนการเก็บข้อมูล และพนักงานบริษัทที่ดำเนินการทำงานในแง่มุมต่างๆ ที่เกี่ยวข้อง
หากคุณมีเว็บไซต์ควรใส่ใจ PDPA
ดังที่กล่าวไว้ข้างต้นในเร็วๆ นี้จะเริ่มมีการควบคุมการเก็บข้อมูลทางออนไลน์อย่างจริงจัง ดังนั้นหากคุณมีเว็บไซต์แต่ละเลยในส่วนของ พ.ร.บ. ที่กำลังจะมีผลบังคับใช้ในมิถุนายน พ.ศ. 2565 นี้ ผู้ใช้งานเว็บไซต์มีสิทธิ์ที่จะฟ้องร้องคุณได้ หากคุณนำข้อมูลไปใช้โดยไม่ถามความยินยอมก่อน
สำหรับบางคนอาจจะคิดว่า ‘ปกติเราก็ไม่ได้ใช้ข้อมูลเหล่านี้ไปทำอะไรอยู่แล้ว’ ดังนั้นไม่ต้องมีก็ได้
เราอยากจะบอกว่าใน พ.ร.บ. ตัวใหม่นี้ค่อนข้าง Sensitive ในระดับหนึ่งเลยนะครับ
เพราะทุกครั้งที่คุณเข้าเว็บไซต์ จะมีการเก็บข้อมูล Cookie บนเบราว์เซอร์ที่คุณใช้งาน ซึ่งตัว Cookie นี้เปรียบเสมือนไฟล์ที่เก็บข้อมูลต่างๆ ของผู้ใช้ โดนถ้าเว็บเหล่านั้นมีการติดตั้งเครื่องมือ Tracking หรือ Analytics เช่น Google Analytics, Facebook Pixel หรืออื่นๆ ก็จะมีการเก็บ Cookie เพื่อนำใช้งานตามจุดประสงค์ของแต่ละเครื่องมือ
ยกตัวอย่างเคสปัจจุบัน
จินตนาการว่าคุณเข้าเว็บไซต์ eCommerce เพื่อไปดูสินค้าที่คุณกำลังสนใจทันใดนั้นสินค้าชิ้นที่คุณดูตามคุณไปทุกที่ เช่น บน Facebook หรือบนเว็บไซต์ต่างๆ ที่คุณเข้าชม ทั้งๆ ที่คุณไม่เคยให้ข้อมูลอะไรเลย เพราะเว็บเหล่านี้มีการเก็บ Cookie ของคุณไปใช้ Retargeting แล้ว ในปัจจุบันเรายังทำแบบนี้ได้อยู่ แต่หากเป็นหลังวันที่ 1 มิถุนายน พ.ศ. 2565 นี้ที่ พ.ร.บ. มีผลบังคับใช้แล้วหล่ะก็ ทุกครั้งที่จะเก็บ Cookie ของผู้ใช้งานมาใช้ คุณควรต้องได้รับการ ‘ยินยอม’ จากผู้ใช้ในการเก็บ Cookie จากผู้ใช้ก่อนครับ
เว็บไซต์ต้องทำรับมือยังไงกับ พ.ร.บ. นี้ [ทำ Cookie Consent]
การป้องกันองค์กรคุณเองจากการโดนฟ้องนั้น ทำได้ไม่ยากแค่ถามผู้ใช้งานว่าเค้ายอมรับการเก็บข้อมูลไหม? มันง่ายแค่นี้เอง แต่ถามว่าทำยังไงให้ผู้ใช้งานยินยอม? ทางเทคนิคมีคำศัพท์ที่ใช้กัน เรียกว่า ‘Cookie Consent’
Cookie Consent คือระบบออนไลน์ที่เป็นการขอความยินยอมจากผู้ใช้ ว่าจะมีการเก็บ Cookie เพื่อนำไปใช้งาน โดยจะมีการแจ้งจุดประสงค์ชัดเจนว่าจะนำไปใช้เพื่ออะไร โดยสามารถให้ผู้ใช้สามารถยินยอม และถอนความยินยอมเมื่อใดก็ได้ (โดยสามารถทำได้ง่าย เหมือนตอนยินยอม) และแจ้งให้ผู้ใช้งานทราบถึงผลกระทบด้วยเช่นกัน ถ้าให้เห็นภาพเราได้ยกตัวอย่าง Manage Preference Cookie Consent จากเว็บ 1stCraft ข้างล่าง ซึ่งมีการบอกจุดประสงค์และแบ่งแยกประเภทการนำ Cookie ไปใช้อย่างชัดเจน และสามารถทำได้ง่าย โดยไม่ต้องไปปิดการใช้งาน Cookie ผ่าน Browser setting ให้ยุ่งยาก
หากคุณต้องการถามความยินยอมจากผู้ใช้งานหรือการทำ Cookie Consent ให้สอดคล้องตาม พ.ร.บ. ตัวใหม่ และคุณไม่มั่นใจว่าควรจะทำอย่างไร พวกเรา 1stCraft ยินดีให้คำปรึกษากับคุณได้ เรามีเครื่องมือที่ทำให้คุณสามารถทำ Cookie Consent พร้อมกับเก็บข้อมูลแบบเป็น Log ได้เลยทีเดียว
สรุป
พ.ร.บ.ข้อมูลส่วนบุคคลจะส่งผลกระทบอย่างมากกับภาคเอกชนที่มีการเก็บข้อมูลประชาชน รวมถึงบริษัทที่มีเว็บไซต์และมีการเก็บข้อมูลผู้ใช้งาน เราแนะนำให้มีการปรึกษากับฝ่ายกฎหมายรวมถึงศึกษารายละเอียดของพ.ร.บ.ดังกล่าวเพื่อประเมินผลกระทบที่ส่งผลต่อบริษัทตนเองโดยตรง และวางแผนว่าจะต้องปรับตัวอย่างไร หรือจะแก้ไขและป้องกันอย่างไรด้วย
แน่นอนว่าพ.ร.บ.ต่างๆ มักมีการปรับปรุงและเปลี่ยนแปลงตามมาอยู่เสมอๆ ดังนั้นผู้ประกอบการและองค์กรควรมีการติดตามข้อมูลข่าวสารทางกฎหมายอย่างสม่ำเสมอ เพื่อประโยชน์สูงสุดของตนเองและคนรอบข้าง มาถึงตรงนี้แล้วหากยังไม่มั่นใจว่าคุณควรติดตั้งหรือทำอะไรกับเว็บไซต์คุณเพิ่มเติมบ้าง ปรึกษาเราได้ฟรี ไม่มีค่าใช้จ่ายครับ
