ปัจจุบันโลกของเรามีการรับส่งข้อมูลระหว่างกันในปริมาณมากมหาศาล ไม่ว่าจะเป็นข้อมูลทั่วไป ข้อมูลลับสำคัญ รวมไปถึงข้อมูลลับทางธุรกิจ เมื่อปี 2021 มีการประเมินกันว่าข้อมูลที่ทั้งโลกมีการใช้งานบนโลกอินเตอร์เน็ตมีปริมาณอยู่ที่ 9,200,000 TB ต่อวัน หรือถ้าหากเอาฮาร์ดดิสก์ 3.5 ขนาด 1 TB ที่ใช้งานในคอมพิวเตอร์มาต่อกันจะเท่ากับระยะทางจากกรุงเทพมหานคร ไปยังกัวลาลัมเปอร์ เมืองหลวงของมาเลยเซีย และนี่เป็นสาเหตุที่ทำให้เราต้องจัดการกับข้อมูลมหาศาลด้วยการกำหนดว่าข้อมูลเหล่านั้นจะทำยังไงให้เป็นระเบียบ ซึ่งในประเทศไทยเองก็มีกฏหมายที่ชื่อย่อว่า PDPA คือ กฏเกณฑ์ในการจัดระเบียบข้อมูลมหาศาลเหล่านี้
โลกของเราจัดการกับข้อมูลมหาศาลกันยังไง?
มีการคาดการณ์ว่าสิ้นปี 2022 ข้อมูลที่อยู่บนโลกนี้จะมีประมาณ 94,000 ล้านเทระไบต์ นี่คือปริมาณข้อมูลที่เติบโตมากขึ้นทุกไปไม่มีวันลดลงได้ ทำให้หลายประเทศเริ่มจะจัดการกับระเบียบ ข้อกำหนดบังคับใช้ให้กับปริมาณข้อมูลเหล่านี้ ซึ่งในปัจจุบันข้อมูลของ การประชุมสหประชาชาติว่าด้วยการค้าและการพัฒนา (UNCTAD) ในเดือนธันวาคม 2022 มีประเทศที่มีกฏหมายคุ้มครองข้อมูลส่วนบุคคลไปแล้วกว่า 71% ของประเทศบนโลกนี้ มีอีก 9% ที่กำลังร่างกฏหมาย 15% ยังไม่มีกฏหมายรองรับและ 5% ไม่มีข้อมูลเรื่องกฏหมายฉบับนี้ โดยที่ไม่ว่าตัวบทกฏหมายจะแตกต่างกันไปในแต่ละประเทศ แต่ตัวบทใจความสำคัญที่มีร่วมกัน คือการคุ้มครองข้อมูลที่แบ่งย่อยลงไป การจัดการกับข้อมูล สิทธิ์ที่เจ้าของข้อมูลจะสามารถจัดการได้ในกรณีที่เกิดข้อพิพาทต่างๆตามมาซึ่งเป็นหัวใจหลักของตัวบทกฏหมายฉบับดังกล่าว
กฏหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
จุดเริ่มต้นของการคุ้มครองข้อมูลส่วนบุคคล
ก่อนอื่นต้องมาดูวิวัฒนาการทางกฏหมายก่อนที่กลายร่างมาเป็นกฏหมายข้อมูลส่วนบุคคลของประเทศไทย เริ่มต้นจากการหนังสื่อที่ถูกตีพิมพ์จาก APEC Privacy Framework ในปี 2005 โดยผู้นำชาติสมาชิกเอเปคได้ลงนามบรรดารัฐมนตรีได้ให้การรับรองกรอบความเป็นส่วนตัวของเอเปค โดยตระหนักถึงความสำคัญของการพัฒนาการคุ้มครองความเป็นส่วนตัว จากนั้น 8 ปีต่อมามีการออกแนวทางการคุ้มครองข้อมูลส่วนบุคคล ที่จัดทำโดยองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ ที่ส่วนใหญ่เป็นชาติสมาชิกจากประเทศที่พัฒนาแล้วจนกระทั่งการประกาศใช้กฏหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปในปี 2016 ที่เป็นแนวทางนำให้หลายประเทศทั่วโลกใช้ในการนำไปอ้างอิงตัวบทกฏหมายรวมกระทั่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA คือ สิทธิขั้นพื้นฐานของมนุษย์
ปฏิเสธไม่ได้เลยว่าโลกของเราจะถูกขับเคลื่อนด้วยนวัตกรรมที่เปลี่ยนแปลงเราไปตลอดการคือ คอมพิวเตอร์ ทำให้ข้อมูลของเราไม่ว่าจะเป็นข้อมูลที่ต้องกรอกให้กับแพลตฟอร์มมีเดีย การให้ข้อมูลกับทางธนาคารหรือหน่วยงานราชการ ข้อมูลเหล่านั้นเป็นส่วนหนึ่งในมหาสมุทรของข้อมูล ทำให้เกิดการเหตุประโยชน์ของการแย่งชิงข้อมูลเหล่านี้เพื่อประโยชน์ด้านอุตสาหกรรม การค้า หรือการเสนอขายผลิตภัณฑ์บริการต่างๆ ทำให้ตัวเราเองนั้นถูกนำไปใช้ประโยชน์มากมายโดยในหลายกรณีเป็นการไม่ยินยอมในการนำข้อมูลของเราไปใช้เลยก็ตาม จึงเป็นเหตุให้มีการกำหนดกฏเกณฑ์การใช้งานข้อมูลขึ้นมา
ถ้าหากลองแยกคำออกมาของ PDPA คือ การประสมคำของ Personal (บุคคล) + Data (ข้อมูล) + Protection (การป้องกัน) + Act (พระราชบัญญัติ) ทำให้เราเข้าใจว่าตัวละครหลักของกฏหมายฉบับนี้คือการจัดการกับ “ข้อมูล” ของ “บุคคล” เป็นคำนิยาม จำกัดความที่เป็นขอบเขตของกฏหมาย
ข้อมูลส่วนบุคคล (Data privacy) คืออะไร
ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม โดยจากนิยามจะแบ่งเป็นข้อมูลสองประเภท ได้แก่ ข้อมูลส่วนบุคคล และ ข้อมูลส่วนบุคคลละเอียดอ่อน ซึ่งความแตกต่างด้านข้อมูลนั้นจะขึ้นอยู่กับผลกระทบต่อเจ้าของข้อมูลนั้น
ข้อมูลส่วนบุคคล
โดยคำนิยามของข้อมูลส่วนบุคคลแล้วมันคือการที่เราสามารถระบุตัวตนคนนั้นได้ว่าเป็นใคร ไม่ว่าจะเป็นชื่อและนามสกุล , เพศ , ที่อยู่ที่ระบุตำแหน่งได้ , อีเมล์ เป็นต้น
ข้อมูลส่วนบุคคลละเอียดอ่อน
โดยคำจำกัดความของมันเป็นการระบุตัวตนที่มากขึ้น มีผลกระทบถ้าหากข้อมูลเหล่านั้นหลุดออกไปสู่สาธารณะ ไม่ว่าจะเป็นการเกิดผลเสียทางด้านสังคม การถูกกีดกันอันเนื่องมาจากสิ่งที่ไม่สามารถหลีกเลี่ยงได้ เช่น ชาติพันธ์ุ , ความคิดเห็นทางการเมืองหรือจุดยืนทางการเมือง , เลขบัตรประจำตัวประชาชน , เลขประกันสังคม (ซึ่งในประเทศไทยจะใช้เลขบัตรประชาชนแทนใช้ในการทำธุรกรรม) , ประวัติการรักษาทางการแพทย์ , ข้อมูลชีวมิติ ใบหน้า ลายนิ้วมือ ม่านตา เสียง ที่สามารถระบุตัวตนได้อย่างชัดเจนว่าเป็นคนนั้นรวมไปถึงการนับถือศาสนาเองก็เป็นเรื่องที่ละเอียดอ่อนเช่นเดียวกัน
ผู้เกี่ยวข้องกับกฏหมาย PDPA
เจ้าของข้อมูล
เป็นผู้เกี่ยวข้องกับข้อมูลโดยตรง หรือ อาจจะเป็นผู้เยี่ยมชมเว็บไซต์ที่ถูกเก็บข้อมูล
ผู้ดูแลข้อมูล
ผู้ที่เป็นกำกับดูแลข้อมูล โดยส่วนใหญ่เป็นบริษัท เจ้าของธุรกิจ
ผู้ประมวลผลข้อมูล
เป็นบุคคลที่สามที่ถูกแต่งตั้งมาจัดการข้อมูลให้กับผู้ดูแลข้อมูล
ความปลอดภัยของข้อมูล
ข้อมูลในยุค Big Data ถือว่าเป็นสิ่งที่มีค่ามาก ไม่ว่าจะเป็นข้อมูลส่วนบุคคล หรือพฤติกรรมต่าง ๆ ดังนั้น จึงต้องมี PDPA มาช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอที่จะปกป้องเจ้าของข้อมูลนั้น ๆ ไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว และมีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดให้บุคคลธรรมดาและนิติบุคคลต้องทำการขออนุญาตลูกค้าเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลก่อนนำไปใช้เพื่อเสนอผลิตภัณฑ์หรือบริการแก่ลูกค้า และต้องมีการปกป้องข้อมูลชองลูกค้าตามมาตรฐาน ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง
ใช้ข้อมูลตามความจำเป็น
กฎหมายเกี่ยวกับข้อมูลเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคม เราซึ่งมีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย นอกจากนี้ เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อน และเราในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้
เขียนคำขออนุญาตที่ชัดเจนไม่กำกวม
การเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย จริง ๆ ก็เป็นเรื่องของเงื่อนไขที่องค์กรต่าง ๆ ต้องปฏิบัติอยู่แล้ว เพียงแต่ถ้าหากบ้านเราประกาศใช้กฎหมาย ก็จะช่วยสร้างความเชื่อมั่นเพราะมีมาตรฐานทางกฎหมายรองรับ ไม่ใช่แค่นโยบายที่อาจแตกต่างไปตามแต่ละหน่วยงานในทางปฏิบัติแล้วสิ่งที่องค์กรเล็ก หรือ ใหญ่จะต้องทำ คือ การทำ privacy policy และ การบันทึกกิจกรรมประมวลผล เพื่อบันทึกและบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร โดยองค์กรที่ต้องทำตามกฎหมายของ PDPA มีลักษณะดังนี้
องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล
ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
องค์กรที่เป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้าง
ให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใด ๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
องค์กรที่อยู่นอกประเทศไทย
แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย
ป้องกันและการจัดเก็บข้อมูล
จะเห็นได้ว่า ข้อมูลต่าง ๆ ที่ถูกจัดเก็บเอาไว้ ล้วนแล้วแต่มีความสำคัญเป็นอย่างมาก นอกเหนือจาก กฎหมาย PDPA ที่เตรียมจะออกสู่มาตรการการบังคับใช้นี้แล้ว เรายังต้องระวังเหล่าผู้ร้าย หรือ แฮกเกอร์ทั้งหลายที่มุ่งหวังจะโจมตีเราอีกด้วย ก็คงจะดีกว่ามาก หากเรามีมาตรการการป้องกันและปกป้องข้อมูลในระหว่างที่เราใช้งานหรือกำลังกรอกข้อมูลหรือส่งข้อมูลส่วนบุคคลเหล่านี้ด้วยหลายองค์กรนั้นยังไม่ค่อยเห็นการเปลี่ยนแปลงด้านกฏหมายคุ้มครองข้อมูลส่วนบุคคล เพราะมันอาจจะดูไกลตัว แต่จริงๆแล้วแค่มีเบอร์แปลกโทรมาขายประกันในทุกเดือน มันก็คือการแอบเอาข้อมูลของเรามาขายให้กับคนอื่นเช่นเดียวกัน เหล่านี้ถ้าหากมีการบังคับใช้จริงจะสามารถติดตามกลับไปหาคนที่ทำข้อมูลเราหลุดและฟ้องร้องดำเนินคดีได้นั่นเอง
PDPA Prokit ชุดเอกสารทำเองใน 30 วัน
รวมชุดเอกสารสำหรับทำ PDPA ให้สอดคล้องกับกฏหมายในบริษัท ลดเวลาเตรียมตัวจาก 6 เดือนเหลือ 30 วัน
- ชุดเอกสาร 69 รายการ
- ใบสัญญาอนุญาตการเก็บข้อมูล
- ขั้นตอนการเตรียมการ
- ที่ปรึกษาต่อเนื่อง 1 เดือน
ปรึกษาการทำ PDPA
กรอกฟอร์มเพื่อให้ทีมงานติดต่อกลับ
