9 ข้อต้องระวัง! ผู้ประกอบการต้องปรับตัว PDPA เริ่มใช้ พ.ค. 63

Cyber Security

การใช้เทคโนโลยีของผู้คนในปัจจุบัน นับว่าเป็นอีกปัจจัยที่สำคัญในการเข้ามามีบทบาทในชีวิตประจำวันมากยิ่งขึ้น ทั้งการค้นหาข้อมูล การติดต่อสื่อสาร การเดินทาง การสั่งซื้อสินค้า รวมถึงการทำธุรกิจ และเมื่อพฤติกรรมผู้บริโภคเปลี่ยนไปมาใช้เทคโนโลยีและใช้ Platform Online เพื่อตอบสนองความต้องการของตนเอง ทำให้กลุ่มธุรกิจต้องมีการปรับตัว และใช้เทคโนโลยีเป็นช่องทางการติดต่อสื่อสารกับผู้บริโภคเช่นเดียวกัน และสิ่งสำคัญคือต้องนำข้อมูลพฤติกรรมของผู้บริโภคที่ใช้อยู่ในช่องทางออนไลน์มาวิเคราะห์เพื่อนำเสนอสินค้าและบริการให้ตรงกลุ่มเป้าหมายมากยิ่งขึ้น

 

เนื่องด้วยข้อมูลส่วนใหญ่ของผู้บริโภคที่อยู่บนออนไลน์จะเป็นข้อมูลส่วนบุคคล ทำให้เกิดพ.ร.บ.ข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกเป็นภาษาอังกฤษว่า PDPA (Personal Data Protection Act) กฎหมายฉบับนี้คือ การให้ความคุ้มครองข้อมูลส่วนบุคคล โดยห้ามไม่ให้ผู้อื่นนำข้อมูลไปใช้ เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์ สำหรับผู้ประกอบการที่เคยเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือเคยนำข้อมูลมาเพื่อวิเคราะห์ และพัฒนาการขายหรือบริการธุรกิจของตนเอง

 

► ภาคธุรกิจยังพอมีเวลาปรับตัวกับกฎหมายนี้

 

ธุรกิจ

 

ผู้ประกอบการเหล่านี้กำลังจะต้องรีบปรับตัวให้ทันการบังคับใช้กฎหมายฉบับใหม่ แต่ซึ่งกฎหมายนี้เป็นกฎหมายที่ถูกร่างขึ้นมาใหม่ ยังต้องให้เวลากับภาครัฐในการสร้างองค์กร และกลไกกำกับดูแลขึ้นมาก่อนยังไม่เริ่มบังคับใช้ทันที และภาคธุรกิจยังพอมีเวลาปรับตัวกับกฎหมายนี้ ยังมีเวลาในการวางระบบการเก็บข้อมูลของผู้บริโภค และการใช้ข้อมูลใหม่ เพื่อไม่ให้เป็นการละเมิดสิทธิส่วนบุคคลของผู้บริโภค หรือการใช้ข้อมูลส่วนบุคคลโดยการไม่ได้รับการยินยอมจากเจ้าของข้อมูล เพื่อเป็นการป้องกันไม่ให้ถูกลงโทษตามกฎหมาย และเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลอย่างมีมาตรฐาน

 

✔︎ หลักการที่สำคัญตาม พ.ร.บ. ข้อมูลส่วนบุคคลฯ เช่น

 

  • การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ
    สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น เชื้อชาติ ความคิดทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ โดยการรับความยินยอมตามข้อมูลเหล่านี้ถูกระบุอยู่ในมาตรา 19 , 83 , 26 , 79 อาทิ ผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์มิควรได้ โดยไม่ได้รับความยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

 

ข้อมูล

 

  • การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้                                                           
    ในการยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล และเพื่อไม่ให้ผู้ประกอบการแอบวางข้อความยินยอมไว้เล็กๆ ไม่ให้เจ้าของข้อมูลสังเกตเห็น ผู้ประกอบการต้องให้อิสระในการตัดสินใจแก่เจ้าของข้อมูล หากเปลี่ยนใจก็มีสิทธิจะถอนความยินยอมเมื่อใดก็ได้ ผู้ประกอบการต้องจัดช่องทางไว้ให้ถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม อาทิ การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิด 1,000,000 บาท

 

  • การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล             
    ตามมาตรา 23 กำหนดไว้ว่า แม้จะได้รับความยินยอมให้เก็บข้อมูลก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดที่เกี่ยวข้อง ได้แก่ วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ข้อมูลที่จะเก็บรวบรวม และระยะเวลาที่คาดหมายได้ว่าจะเก็บข้อมูลไว้ บุคคลหรือหน่วยงานที่ข้อมูลอาจจะถูกเปิดเผย ข้อมูลของผู้ประกอบการและตัวแทนที่เป็นผู้เก็บข้อมูล สถานที่ติดต่อ และวิธีการติดต่อ นอกจากนี้ยังต้องแจ้งสิทธิของเจ้าของข้อมูลให้ทราบด้วย เช่น สิทธิเข้าถึงและขอสำเนาข้อมูล สิทธิขอให้ลบหรือทำลายข้อมูล ฯลฯ ตามมาตรา 82 กำหนดโทษไว้ว่า หากการกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล โทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

 

อินเทอร์เน็ต

 

  • ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง
    แม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม แต่มาตรา 25 ต้องให้เจ้าของข้อมูลเป็นผู้กรอกข้อมูลและมอบให้โดยตรงผู้ประกอบการไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น ไม่สามารถค้นหาข้อมูลจากอินเทอร์เน็ตและบันทึกไว้เอง อย่างไรก็ตาม หลักการนี้มีข้อยกเว้นอยู่มากมาย ผู้ประกอบการยังสามารถเก็บข้อมูลจากแหล่งอื่นได้ ถ้าหากเมื่อเก็บข้อมูลแล้วได้แจ้งให้เจ้าของข้อมูลทราบพร้อมกับแจ้งสิทธิต่อเจ้าของข้อมูลแต่ผู้ประกอบการอาจจะไม่ต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมใหม่เลย หากเป็นกรณีที่เจ้าของข้อมูลทราบอยู่แล้ว หรือต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด หรือกฎหมายกำหนด การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

 

  • ธุรกิจใหญ่ ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล” ของตัวเอง
    ผู้ประกอบการต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”เป็นของตัวเอง โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำ และตรวจสอบการดำเนินการของผู้ประกอบการให้เป็นไปโดยถูกต้องตามกฎหมายนี้ ขณะเดียวกันเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลของตัวเอง และวิธีการติดต่อให้กับเจ้าของข้อมูล และให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ ผู้ประกอบการที่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มาตรา 85 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

 

คณะกรรมการ

 

  • การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ
    คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อพิจารณาเรื่องร้องเรียนและตรวจสอบการกระทำของผู้ประกอบการ เมื่อเจ้าของข้อมูลเห็นว่า มีการเก็บข้อมูล ใช้ข้อมูล หรือเปิดเผยข้อมูลของตัวเองโดยปฏิบัติไม่ถูกต้องตามกฎหมายนี้ ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูลหรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

 

  • ข้อมูลคนตาย กฎหมายไม่คุ้มครอง
    “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” ดังนั้น ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว จึงไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ สามารถทำได้โดยไม่ต้องขอความยินยมจากทายาทก่อน

 

บริษัทต่างชาติ

 

  • บริษัทต่างชาติก็ไม่รอด คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าบริษัทตั้งอยู่ที่ใด
    โลกยุคปัจจุบันการติดต่อสื่อสาร การส่งข้อมูล การเก็บข้อมูล และการใช้ข้อมูล เกิดขึ้นข้ามพรมแดนตลอดเวลา กฎหมายนี้จึงเขียนขอบเขตอำนาจการบังคับใช้ไว้กว้างขึ้นเป็นพิเศษ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ยังใช้บังคับกับ การเสนอขายสินค้าหรือบริการให้แก่คนที่อยู่ในประเทศไทย ไม่ว่า ผู้ประกอบการที่เก็บข้อมูล หรือใช้ข้อมูล หรือเปิดเผยข้อมูลจะอยู่ในประเทศหรือต่างประเทศก็ตาม

 

  • ฝ่าฝืนกฎหมายนี้ อาจโดน “ค่าเสียหายเชิงลงโทษ” จ่ายสองเท่า
    ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย  กรณีที่ศาลตัดสินให้ผู้ประกอบการต้องจ่ายค่าเสียหายแก่เจ้าของข้อมูล ตามมาตรา 78 ศาลมีอำนาจสั่งให้ผู้ประกอบการจ่าย “ค่าเสียหายเชิงลงโทษ” เพิ่มขึ้นจากจำนวนค่าเสียหายที่แท้จริงได้ตามที่ศาลกำหนด แต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริง โดยศาลอาจกำหนดให้จ่ายค่าเสียหายโดยคำนึงถึงความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ประกอบการได้รับจากข้อมูลส่วนบุคคล สถานะทางการเงินของผู้ประกอบการ ฯลฯ

 

“สนใจเพิ่มความปลอดภัยให้กับองค์กรของท่าน
โดยมีผู้เชี่ยวชาญคอยจัดการปัญหาทุกอย่างให้?”