fbpx Skip to content

Category: PDPA

พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPAเลื่อนอีกหรือเปล่า ไม่ทำ Policy ก็ไม่ผิดกฏหมายนะ รู้ยัง?

ผ่านเทศกาลแห่งการเฉลิมฉลองเข้าสู่ปีเสือได้ไม่นาน ปีนี้เป็นที่ยอมรับว่าเป็นปีของการเปลี่ยนแปลงในหลากหลายเรื่อง ทั้งค่าครองชีพที่เปลี่ยนไป กำลังมีการเข็ญกฏเกณฑ์การเก็บภาษีเหรียญคริปโต และสิ่งที่มีการเปลี่ยนแปลงมากที่สุดคือกฏหมายที่มาดูแลข้อมูลของผู้ใช้โลกออนไลน์ หรือ พรบ.ข้อมูลส่วนบุคคล เล็กน้อยที่ยิ่งใหญ่ สิ่งหนึ่งที่จะเริ่มมีการเปลี่ยนแปลงในปี 2565 อย่างแรกคือการจัดระเบียบความเป็นส่วนตัวของสากลโลก กล่าวคือในโลกอินเตอร์เน็ตนั้นมีการเก็บข้อมูลได้อย่างอิสระเสรีมานาน และเก็บได้ลึกเข้าถึงแก่น ถ้าเปรียบเทียบการเก็บข้อมูลลูกค้าของโชว์ห่วยอาแปะที่เอาของมาขาย มีอะไรใหม่ก็สุ่มๆมาขาย พอลูกค้าเดินเข้ามาซื้อก็รับเงิน ปิดการขาย ทำให้อาแปะไม่รู้ว่าลูกค้าตัดสินใจซื้อสินค้าชิ้นนี้เพราะอะไร เลยสรุปไปว่าที่ปิดการขายได้นั้นเกิดจากเฮง หรือเลือกสุ่มซื้อของมาขายได้ถูก    กลับมาที่โลกของออนไลน์นั้นมีการเก็บข้อมูลเริ่มต้นตั้งแต่เราเข้าหน้าค้นหา หน้าแรกจนกระทั่งติดตามต่อว่าเราเข้าเว็บขายของ กอไก่ จากนั้นเราไปหยิบสบู่เหลวจากร้านค้าออนไลน์นั้นใส่ตระกร้า โดยซื้อพร้อมกับเซรั่มที่กำลังจัดโปรโมชั่นอยู่ ไปถึงรู้ว่าใช้วิธีการจ่ายเงินแบบไหน จ่ายผ่าน E Wallet หรือ Credit card เป็นต้น สิ่งเหล่านี้คือโลกของข้อมูลที่สามารถติดตามเราได้ทุกย่างก้าว จนเกิดการเรียกร้องกับรัฐบาลในหลายๆประเทศให้เขียนกฏเกณฑ์ออกมาบ้างเถอะ ว่าขอบเขตการเก็บข้อมูลได้เบอร์ไหน ทำอะไรได้บ้าง เพื่อที่จะไม่ทำให้ผู้บริโภครู้สึกว่าเป็นการคุกคาม หรือ สอดแนม (เจือก) เรื่องของฉันมากเกินไป   พรบ.คุ้มครองข้อมูลส่วนบุคคลเป็นโรคเลื่อน กฏหมายฉบับนี้ถูกเขียนขึ้นมาตั้งแต่ปี 2562 ซึ่งกำหนดเดิมของมันคือ 28 พฤษภาคม พ.ศ.2562 ในหมวดที่เกี่ยวข้องกับภาคธุรกิจเดิมที่เองจะเริ่มบังคับใช้วันที่ 1 มิถุนายน พ.ศ 2564 แต่ด้วยเหตุผลทางด้านเศรษฐกิจและการระบาดของเชื้อไวรัสนี่เองทำให้รัฐบาลไทยนั้นยอมเลื่อนต่อออกไปอีกหนึ่งปีเป็นปีนี้ (ซึ่งเป็นไปได้ว่าคงไม่เลื่อนต่อไปแล้ว …มั้งนะ)    โดยต้องยอมรับเลยว่าการเข้ามาของการระบาดครั้งนี้มันเป็นการเปลี่ยนแปลงเข้าสู่ยุคใหม่เกือบจะเป็นทางการแล้ว เพราะเมื่อหลายความวิกฤติไหลมารวมกัน จะทำให้มนุษยชาติดิ้นรนหาทางออก ไปซื้อของไม่ได้เพราะหวาดกลัว ก็สั่งออนไลน์ ออกไปซื้อข้าวเที่ยงไม่ได้ก็สั่งเดลิเวอรี่ ไปทำงานไม่ได้เพราะคนในออฟฟิศติดเชื้อ ก็ต้องวีดีโอคอลกันแทน เราจะเห็นสิ่งหนึ่งที่เป็นเหมือนผู้อำนวยการครั้งนี้คือ “อินเตอร์เน็ต” และ “โลกออนไลน์”    ซึ่งเราบอกไปตอนต้นแล้วว่าโลกออนไลน์นี้แหละ ที่สามารถรู้จักเราได้ทุกท้วงท่ากิริยา รู้ว่าเราชอบสั่งก๋วยเตี๋ยวต้มยำทุกวันจันทร์ อังคาร พุธ เวลา 11 โมง จากนั้นบ่าย 3 ก็เริ่มสั่งน้ำแตงโมปั่นมาส่งออฟฟิศ เป็นสิ่งที่อยู่เบื้องหลังการเก็บนิสัยของเรา ซึ่งเหล่านี้เองทำให้เป็นชนวนเหตุให้แน่ใจว่า ปีนี้ (2565) อาจจะไม่เลื่อนกฏหมายฉบับนี้ต่อไปแล้ว เพราะคนที่โดนผลกระทบจากการเก็บข้อมูลมันมีจำนวนมากเกินจะปล่อยผ่าน   รู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคลใน 30 วินาที PDPA ( Personal Data Protection

ไอทีจะถูกฟ้องร้องจากกฏหมาย PDPA ฉบับใหม่หรือเปล่า (วะ?)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่ออกมาคุ้มครองผู้บริโภค จากการนำข้อมูลส่วนตัวของเราไปใช้งานแบบไม่ได้อนุญาต จากหลากหลายผู้ให้บริการ ทั้งโซเชี่ยลมีเดีย ธนาคาร ประกันภัย หรือแม้กระทั่งกู้เงิน การพนันออนไลน์และอื่นๆ ข้อมูลนี้เป็นหน้าที่รับผิดชอบจากคนเบื้องหลังที่ดูแลข้อมูลคือ พนักงานไอที แล้วอย่างนี้คนทำงานบริษัทที่ดูแลข้อมูล ระบบงานแล้วมีข้อมูลหลุดหรือมีปัญหาถูกฟ้องร้องขึ้นมา ไอทีจะเป็นผู้สมรู้ร่วมคิดที่มีความผิดหรือเปล่านะ พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA มีไว้เพื่ออะไร  ถ้ายกเอานิยามจากราชกิจจานุเบกษามาพลอตลงให้อ่าน คำนิยามของกฏหมายฉบับนี้คือ “การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจาก การถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ” ฉะนั้นพอมาดูไอเดียของการมีฉบับนี้ดูเหมือนจะทำให้เจ้าของข้อมูล Win ที่มีขอบเขตการฟ้องร้องกรณีที่ถูกละเมิด เอาข้อมูลไปใช้โดยไม่ได้ยินยอม ตัวละครของ PDPA มีใครเป็นตัวละครคนสำคัญบ้าง? 1.ผู้ควบคุมข้อมูลส่วนบุคคล – โดยที่ผู้ควบคุมข้อมูลบุคคลที่ดูข้อกำหนด แจ้งจุดประสงค์ของข้อมูลไปใช้งาน2.เจ้าของข้อมูลส่วนบุคคล – เป็นคนที่ถูกนำข้อมูลไปใช้งาน ต้องเข้าใจข้อกำหนดการใช้งานทั้งหมดจากผู้ควบคุมข้อมูล3.ผู้ประมวลผลข้อมูลส่วนบุคคล – เป็นคนที่ต้องเก็บรวบรวมข้อมูลไว้ในที่ปลอดภัย ป้องกันการสูญหาย โดยรับอำนาจมาจากผู้ควบคุมข้อมูลส่วนบุคคลนั่นเอง ไอทีเกี่ยวอะไรกับ PDPA บริษัท? ปฏิเสธไม่ได้เลยว่าตัวละครสำคัญของการจัดเก็บข้อมูล ซึ่งกฏหมายฉบับนี้เหมือนเน้นไปทางเก็บข้อมูลทางอิเลกโทรนิคมากกว่ารูปแบบเดิม ผู้ที่ต้องอำนวยความสะดวกในการจัดการข้อมูลต่างๆ นอกจากตำแหน่งแอดมินแล้ว ผู้ที่เป็นโครงสร้างและเบื้่องหลังคือไอทีนั่นเอง ซึ่ง Part การจัดเก็บข้อมูลและความปลอดภัยทางข้อมูลต่างๆ จะขึ้นอยู่กับนโยบายของแต่ละบริษัท แต่สงสัยไหมว่าถ้าเกิดเหตุการณ์ไม่ปกติ เช่น ข้อมูลหลุดออกไปไม่ว่าจะเป็นฝีมือคนใน หรือ แฮกเกอร์เจาะระบบออกไปแล้ว ไอทีที่เป็นเหมือนผู้อำนวยความสะดวกมีสิทธิ์ติดคุกหรือเปล่า ไอทีติดคุกเรื่องจริงหรือจ้อจี้ 1.โทษทางอาญา จากพระราชบัญญัติฉบับนี้กำหนดโทษไว้สองรูปแบบ คือโทษทางอาญาซึ่งกำหนดบทลงโทษให้กับ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งการทำงานของฝ่ายไอทีที่อยู่ภายใต้บริษัท ที่เป็นนิติบุคคล ถ้าหากสิ่งใดที่เกิดความผิดพลาดจากระบบการทำงาน หรือคำสั่งของผู้บังคับบัญชา จะมีบทลงโทษกับนิติบุคคล หรือ “ผู้ควบคุมข้อมูลส่วนบุคคล” 2.โทษทางปกครอง ฐานะฝ่ายไอทีที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะมีบทลงโทษถ้าหากไม่ได้มีการทำตามผู้ควบคุม ในการเก็บข้อมูล หรือตรวจสอบข้อมูลในระบบอย่างสม่ำเสมอ รวมถึงตรวจสอบการดำเนินงาน ประสานงานสำนักงานในกรณีที่มีปัญหาการเก็บข้อมูลส่วนบุคคล ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท  ถึงแม้ว่าทางกฏหมายมีบัญญัติไว้แล้วก็ตาม ในทางปฏิบัติขั้นตอนการดำเนินการหลายอย่างยังคงมีความคลุมเครือ ระหว่างการทำงานที่ได้รับมอบหมายจากผู้คุมข้อมูลส่วนบุคคลแต่เกิดปัญหา หรือ ปัญหาการถูกโจรกรรมข้อมูลแล้วข้อมูลสูญหาย ในกรณีดังกล่าวยังคงเป็นที่ถกเถียงกันอยู่ อย่าเพิ่งตื่นตกใจ ปัญหาของกฏหมายที่ออกมาใหม่นั้นคือไม่มีกรณีตัวอย่างการตัดสินคดี ฉะนั้นหลายกรณีนั้นก่อนจะเกิดเป็นคดีความจึงจะมีการไกล่เกลี่ย รวมถึงขั้นตอนการสืบหาความผิดนั้นยังคงไม่แน่นอน และผู้ที่เป็นพระเอกในการรับการถูกฟ้องร้องได้ก่อนก็คือตัวองค์กร หรือ ผู้ควบคุมข้อมูล เป็นด่านแรกก่อนเสมอ ทำให้ไอทีที่ทำงานตามนโยบายขององค์กร และการตัดสินใจเรื่องต่างๆก็เป็นความรับผิดชอบของผู้บริหารนั่นเอง สบายใจได้ว่าโอกาสที่คนทำงานต้องมาแบกรับความผิดมีน้อย สรุป ถึงมีการเปลี่ยนแปลงทางกฏหมายในการเก็บข้อมูลส่วนบุคคลที่ต้องการความรัดกุมทางการทำงานมากยิ่งขึ้น ซึ่งแนวทางการออกกฏหมาย PDPA ฉบับนี้นั้นเน้นให้ผู้ใช้งานต้องยอมรับสิทธิ์ โดยที่รับทราบกฏและข้อบังคับอย่างถี่ถ้วนเพียงเท่านี้ บริษัทก็สบายใจได้ว่าความเสี่ยงที่บริษัทจะต้องปวดหัวกับการถูกฟ้องร้องคงมีไม่มาก

พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) อาจทำให้ฝ่ายบุคคลเสียค่าปรับ 5 ล้านบาท

ปัจจุบันนี่เราคงหลีกเลี่ยงการไม่ยอมให้ข้อมูลของเรากับคนอื่นๆไม่ได้ ทั้งการขอเก็บข้อมูลบนเว็บไซต์ การขอเก็บข้อมูลตอนเข้าสมัครงาน หรือแม้กระทั่งการซื้อของออนไลน์ ข้อมูลส่วนตัวแทบทั้งหมดของเรานั้นก็เริ่มกลายเป็นข้อมูลที่คนนั้นรู้ คนนี้เห็น จนบางครั้งเราไม่แน่ใจเลยว่าสิ่งที่เรามอบให้ไปมันจะถูกเอาไปต้มยำทำแกงอะไรบ้าง โดยเฉพาะข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลที่เป็นส่วนตัวในตอนที่เราสมัครเข้าทำงาน โดยมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2565 PDPA คืออะไร (ภาษากฏหมาย) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act : PDPA) ถ้ายกมาจากตัวเอกสารเขาบอกไว้ว่า “พระราชบัญญัตินี้มีบทบัญญัติบางประการเกี่ยวกับการจำกัดสิทธิและเสรีภาพของบุคคล ซึ่งมาตรา ๒๖ ประกอบกับมาตรา ๓๒ มาตรา ๓๓ และมาตรา ๓๗ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้กระทำได้โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เหตุผลและความจำเป็นในการจำกัดสิทธิและเสรีภาพของบุคคลตามพระราชบัญญัตินี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งการตราพระราชบัญญัตินี้สอดคล้องกับเงื่อนไขที่บัญญัติไว้ในมาตรา ๒๖ ของรัฐธรรมนูญแห่งราชอาณาจักรไทย”   โดยที่ มาตรา ๒๖ การตรากฎหมายที่มีผลเป็นการจํากัดสิทธิหรือเสรีภาพของบุคคลต้องเป็นไป ตามเงื่อนไขที่บัญญัติไว้ในรัฐธรรมนูญ ในกรณีที่รัฐธรรมนูญมิได้บัญญัติเงื่อนไขไว้ กฎหมายดังกล่าว ต้องไม่ขัดต่อหลักนิติธรรม ไม่เพิ่มภาระหรือจํากัดสิทธิหรือเสรีภาพของบุคคลเกินสมควรแก่เหตุ และจะกระทบต่อศักดิ์ศรีความเป็นมนุษย์ของบุคคลมิได้ รวมทั้งต้องระบุเหตุผลความจําเป็นในการจํากัดสิทธิ และเสรีภาพไว้ด้วย   PDPA คืออะไร (ภาษาชาวบ้าน) พระราชบัญญัติฉบับนี้ออกแบบมาให้ข้อมูลส่วนตัวของเราที่มี ก่อนจะเอาให้ใครไปต้องให้เขามาขออนุญาตให้เอาไปใช้ เช่น เมื่อก่อนเราถ่ายรูปคนอื่นที่ไม่รู้จัก แล้วปรากฏว่ารูปสวยดีแล้วเอาไปขายภาพต่อได้ แต่พอมีกฏหมายนี้บังคับใช้ ถ้าเราถ่ายภาพคนอื่นแล้วเอาไปขายโดยคนในรูปไม่อนุญาต ก็มีสิทธิ์โดนฟ้องร้องค่าเสียหายจากการที่นำรูปภาพเขาไปใช้นั่นเอง   PDPA คุ้มครอง 3 บุคคล 1. เจ้าของข้อมูล (ตัวเรา)  ให้เรารู้และเข้าใจว่าถ้าอนุญาตให้เขาเอาข้อมูลไปใช้ เขาจะเอาไปส่ง SMS เข้าเบอร์เราได้ไหม ส่งไลน์มาสวัสดีวันจันทร์กับเราได้หรือเปล่า ถ้าทำไม่ได้แล้วเขาแอบส่งมาให้เรา เราก็ฟ้องร้องเรียกค่าเสียหายได้ 2.ผู้ควบคุมข้อมูล ( เจ้าของเว็บ เจ้าของบริษัท เจ้าของรูปภาพ) ต้องบอกเจ้าของข้อมูลว่าจะเอาข้อมูลอะไรไปใช้ แล้วเรามีสิทธิ์ทำอะไรกับข้อมูลลูกค้า หรือ พนักงานของเราบ้าง โดยที่มีลายลักษณ์อักษรว่าเราขออนุญาตเขาถูกต้องแล้ว เพื่อป้องกันไม่ให้เราถูกฟ้องตอนที่เราเอาข้อมูลไปใช้งาน 3.ผู้ประมวลผลข้อมูล (คนที่ทำงานตามคำสั่งเจ้าของเว็บ เจ้าของบริษัท) คนที่ทำงานเกี่ยวกับข้อมูล เอาไปยิงแอด เอาไปส่งเมลแจ้งโปรโมชั่น หรือเอาข้อมูลไปเก็บเป็นฐานข้อมูลเพื่อดูภาพรวมว่าลูกค้ากลุ่มไหนชอบซื้อสินค้า