Blockdit Logo (Mobile)
antifraud.in.th
2 มี.ค. 2020 เวลา 16:30 • ธุรกิจ
PDPA กับ ประกัน COVID-19 แจกฟรี
(ด้านของเขา ด้านของเรา และความเป็นจริง)
บทนำ
วันก่อนมีมิตรสหายท่านหนึ่งส่งภาพ Capture หน้าจอด้านล่างนี้มาให้ผมทาง LINE application ...
ภาพจากมิตรสหายท่านหนึ่ง
ผมก็ลองไปตามหาจนเจอ Post ต้นทาง ก็พบว่าเป็น Page ที่เคยเห็นมาก่อน และก็เป็นเพจที่มีผู้ติดตามเยอะพอสมควรอันเนื่องมาจากแนวคิดทางสังคม และการเมืองที่เป็นเอกลักษณ์
ที่มาของเรื่องคือ ธนาคารกสิกร เขาจัดแคมเปญ แจกประกัน COVID-19 ฟรี แต่เจ้าของ Post มีประเด็นกับเงื่อนไขและข้อกำหนดของธนาคาร โดยบอกว่าว่ามัน "น่ากลัว" เกิดเป็น ดราม่าย่อม ๆ ในโลกออนไลน์
ใน Post ต้นเรื่องก็แปะ ภาพเงื่อนไขของธนาคาร ข้อที่เป็นประเด็นไว้สองภาพ ดังนี้
ภาพประกอบ Post ภาพที่ 1
ภาพประกอบ Post ภาพที่ 2
วันนั้นผมเองก็ได้เข้าไปอ่านดูเงื่อนไขของ ธนาคารฯ ที่ถูกพาดพิงด้วย ซึ่งที่จริง ก็เห็นข้อความนี้ในเงื่อนไขของบริการอื่น แต่ก็ไม่ได้เป็นประเด็นเหมือนกับประกัน COVID-19 อันนี้
(ตัวอย่าง: https://kasikornbank.com/MADHUB/Pages/terms-conditions.aspx)
พอผมเห็นเรื่องราวทั้งหมดก็เข้าใจได้ว่า อันที่จริงแล้วประเด็นนี้น่าจะมีที่มาจากกฎหมาย PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สำหรับท่านที่ยังไม่ทราบ เจตนารมณ์ของกฎหมายฉบับนี้ คือเพื่อคุ้มครองการเก็บ ใช้ และเปิดเผยข้อมูล "ส่วนบุคคล" ซึ่งหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลธรรมดาอย่างเรา ๆ ท่าน ๆ ได้ครับ
จะเห็นได้ว่า กฎหมายไม่รวมถึงข้อมูลของนิติบุคคลนะครับ
พรบ. ฉบับนี้ประกาศในราชกิจจานุเบกษาไปเมื่อ พฤษภาคม ปี 2562 โดยมาตราที่เกี่ยวกับประชาชน และธุรกิจทั่วไปจะมีผลบังคับใช้ในอีก 1 ปี
นั่นก็คือ พรบ. จะมีผลเต็มรูปแบบในเดือน พฤษภาคม ปี 2563 ที่จะถึงนี้นี่เอง
ซึ่งมันทำให้เกิดความปั่นป่วนในหลาย ๆ วงการ รวมทั้งประเด็นที่มิตรสหายท่านหนึ่งของผมได้ส่งมาให้ดูด้วย
ซึ่งดราม่านี้ เราพอจะแบ่งที่มาได้เป็น ด้านของเขา ด้านของเรา และความเป็นจริง ...
1. ด้านของเขา ...
เขาในที่นี้คือ องค์กรธุรกิจ หรือ เจ้าของกิจการต่าง ๆ ที่ต้องเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนชาวไทย ในการดำเนินธุรกิจ
ด้วยความที่กฎหมายกำลังจะถูกบังคับใช้เต็มรูปแบบในอีกไม่กี่เดือน ทุกองค์กรที่ต้องปฏิบัติตามกฎหมาย ก็เลยต้องเร่งมือปรับปรุงแก้ไขกระบวนการภายในกันยกใหญ่ ซึ่งผมคาดว่าธนาคารกสิกรไทยก็น่าจะเป็นหนึ่งในนั้น
โดยสิ่งหนึ่งที่องค์กรส่วนใหญ่ต้องทำ ก็คือปรับแก้เงื่อนไข เพื่อขอความยินยอม (Consent) จากลูกค้า ดังเช่นที่เราเห็นว่าเงื่อนไขและข้อกำหนดของธนาคารกสิกรมีข้อความใหม่ ๆ แปลก ๆ เพิ่มขึ้นมา
ซึ่งลักษณะของข้อความข้างต้น ก็เป็นการลอกขอบเขตของข้อมูลที่เรียกว่าเป็น "ข้อมูลที่มีความอ่อนไหวสูง" หรือ Sensitive data มาจาก มาตรา 26 ของ พรบ. PDPA แทบจะทั้งหมดดังภาพ ...
บางส่วนของมาตรา 26 พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ซึ่งถ้ามองจากด้านของเขา (องค์กรต่าง ๆ) เขาก็คงคิดว่า ในเมื่อ พรบ. กำหนดไว้ว่า สำหรับข้อมูลส่วนบุคคลที่มัน Sensitive นั้น เขาต้องขอ Consent โดย "ชัดแจ้ง" ดังนั้นเขาก็ปรับเงื่อนไขซะก็น่าจะดี
เพราะข้อมูลเหล่านี้ บางทีก็อาจจะเก็บไว้นานแล้ว หรือเก็บมาใหม่บ้างตอนลูกค้ามาสมัครบริการ หรือเผลอไปเก็บมาบ้างโดยไม่ตั้งใจ หรือ อาจจะมีส่วนงานอื่นในเครือธุรกิจไปเก็บมาแล้ว และแบ่งปันกันไปมาตามกระบวนการภายใน ที่มีอยู่เดิม
เพื่อให้องค์กรของตนเองผ่าน (Comply) ตามที่กฎหมายบังคับไว้ การปรับแก้เงื่อนไขให้ครอบคลุมไปถึงการขอ Consent กว้าง ๆ ไว้ก่อน ก็น่าจะเป็นวิธีที่ดีที่สุด
เรื่องการขอความยิมยอม ในแง่ของการเปิดเผยข้อมูล และการส่งไปต่างประเทศ ก็มีที่มาจากมาตรา ต่าง ๆ ใน พรบ. นี้ด้วยเช่นกัน
ซึ่งนั่นก็น่าจะเป็นมุมมองจากด้านของ "เขา" ...
2. ด้านของเรา ...
"เรา" ประชาชนทั่วไปที่อาจจะยังไม่ค่อยเข้าใจเรื่อง PDPA มาก่อน หากได้อ่านข้อความใน Post ข้างต้น มีใครบ้างที่จะรู้ว่า นี่มันเป็นแค่เรื่องของความพยายามที่จะปฏิบัติตาม PDPA ขององค์กรต่าง ๆ ?
หรือจะมีใครบ้างที่อ่าน Post แล้วจะไม่เข้าใจไปในทำนองว่า ธนาคารกำลังจะเก็บข้อมูลที่อ่อนไหวเหล่านั้น และกำลังจะส่งไปต่างประเทศ ?
ผมเชื่อว่าคนส่วนใหญ่อ่าน Post นั้นแล้วคงไม่สบายใจ
ถ้าจะถามผมว่าเป็นไปได้หรือไม่ ที่เจ้าของ Post นั้น แม้ความจริงจะรู้ว่าอะไรเป็นอะไร ก็จงใจบิดเบือน หรือ จงใจสื่อความออกมาให้ชาวเนทคิดไปในทางลบแบบนั้น
ผมว่าคงเป็นไปได้ยาก
ไม่ว่าใคร หากเจอข้อความในเงื่อนไขที่ไม่เคยเจอมาก่อนแบบนี้ ก็ย่อมต้องตกอกตกใจเป็นธรรมดา และจะคิดไปในทางร้ายไว้ก่อนก็ไม่แปลก
ยิ่งช่วงนี้ประเด็นเรื่องสิทธิเสรีภาพ ประชาธิปไตย เผด็จการ หรือ IO ยิ่งร้อนแรง คนเราก็อ่อนไหวง่ายเป็นพิเศษ
มันก็ทำให้หลาย ๆ คนก็มา Comment ต่อใน Post เรียกร้องให้ ธนาคารกสิกร ออกมาชี้แจงเลยด้วยซ้ำ
ซึ่งนั่นก็คือด้านของเรา. ..
3. ความเป็นจริง ...
มองจากด้านของเขา และด้านของเราไปแล้ว ต่อมาคือข้อเท็จจริง ซึ่งผมขอแบ่งเป็น 3 ข้อดังนี้ ...
ข้อที่ 1.
ที่จริงแล้วองค์กรไม่จำเป็นต้องขอ (Consent) เสมอไป หากตรงตามกรณียกเว้น 6 กรณีตามมาตรา 24 เช่น การให้ข้อมูลนั้นเป็นไปเพื่อการให้บริการตามสัญญาต่าง ๆ
ตัวอย่าง: สมมติผมไปจ้างนาย ก ทำนามบัตรให้ผม แน่นอนว่าผมก็ต้องให้ข้อมูลส่วนบุคคลของผมแก่ นาย ก อันนี้ถือเป็นการที่ นาย ก ปฏิบัติตามสัญญาจ้างทำของ โดยมีผมเป็นผู้ว่าจ้าง
นาย ก ไม่ต้องมาขอ Consent ผมอีก
แต่ถ้าเป็นข้อมูลที่มีความอ่อนไหวสูง ตามมาตรา 2ุ6 ที่กล่าวไปข้างต้น นาย ก ต้องขอ Consent จากผมโดยชัดแจ้ง (แต่ก็มีข้อยกเว้นอีก 5 กรณีนะครับ ไปหาอ่านกันเอาเอง)
ดังนั้น ในประเด็นปัญหานี้ สิ่งที่ธนาคาร (และองค์กรต่าง ๆ) ควรจะกลับไปพิจารณา คือ ตนเองมีความจำเป็นที่ต้องเกีบข้อมูลอ่อนไหวดังกล่าวไว้ด้วยหรือไม่ ข้อมูลนั้นเกี่ยวกับการให้บริการอย่างไร
ถ้าจำเป็น ก็ต้องขอ Consent ให้ "ชัดแจ้ง" จะมาอ้างแค่สัญญาที่มีไม่ได้
ข้อ 2.
องค์กรส่วนใหญ่ จะมีบทบาทตาม พรบ. นี้ว่า "ผู้ควบคุมข้อมูลส่วนบุคคล" หรือ Data Controller
ซึ่งหน้าที่หนึ่งของ Data Controller นี้ สามารถกล่าวโดยสรุปจากหลาย ๆ มาตราได้ว่า จงอย่าไปขอข้อมูลมาเกินความจำเป็นตามวัตถุประสงค์ในตอนแรกที่ไปเก็บรวบรวมมา หรือหากดันไปขอมาเกิน หรือ ตอนแรกใช้ แต่ตอนนี้ไม่ได้ใช้แล้ว ก็ต้องทำลายทิ้ง
ฝรั่งเขาเรียกหลักการนี้ว่า Data Minimisation
นั่นก็คือ การขอข้อมูล "เผื่อไว้" มากจนเกินไป อาจจะทำให้องค์กรมีความผิดตามกฎหมาย และการไปขอ Consent มาเติมเต็ม จริง ๆ ก็ไม่ได้ช่วยอะไร
ดังนั้น ขั้นตอนสำคัญอย่างหนึ่งที่องค์กรควรทำ เพื่อให้ตนเอง Comply กับ PDPA ไปพร้อม ๆ กับการทำงานได้คงมีประสิทธิภาพ ก็คือการทำ Data classification หรือ อาจจะลามไปถึงการทำ Data governance เลยด้วยซ้ำ
จะทำมากน้อยแค่ไหนก็อย่าลืมนะว่ามีเวลาอีกไม่มาก ก่อนที่ พรบ. นี้จะถูกบังคับใช้เต็มรูปแบบ
ข้อ 3.
สำหรับประเด็นนี้ ผมคิดว่าประชาชนอย่างเรา ๆ ควรจะต้องแยกให้ออกระหว่าง "การขอความยินยอม" จากลูกค้า กับการขอ "ข้อมูลส่วนบุคคล" จากลูกค้าของธนาคาร
คือ พรบ. ไม่ได้สั่งว่าองค์กรต้องไปเก็บอะไรมาบ้าง นั่นคือ พรบ. ไม่ได้บอกให้ธนาคาร หรือใครมาเก็บข้อมูลด้านความเชื่อในศาสนา การเมือง รสนิยมทางเพศ ฯลฯ
แต่ พรบ. บอกไว้ว่า หากองค์กรไปเก็บข้อมูลพวกนี้มา "เขา" ต้องมาขอ Consent จาก "เรา" เจ้าของข้อมูล "อย่างชัดเจน" นะ จะมาหมกเม็ดไม่ได้
ซึ่งหากท่านได้ลองสมัครประกัน COVID-19 แล้วจริงจะพบว่าธนาคารไม่ได้ถามอะไรจากท่านเกี่ยวกับ ศาสนา หรือ ความคิดเห็นทางการเมือง หรือ รสนิยมทางเพศเลย
ดังนั้น ผมว่า สบายใจได้
คือจริง ๆ มันมีปัญหานิดนึงตรงเรื่อง "ความเชื่อในศาสนา" เพราะถึงแม้ว่าองค์กรต่าง ๆ ไม่ได้มีความจำเป็นต้องเก็บข้อมูลศาสนา แต่มันดันติดมาในบัตรประชาชนโดยอัตโนมัติ
จะให้ซ่อนข้อมูลตรงนั้นก่อนถ่ายสำเนามันก็คงไม่สะดวกเท่าไหร่
สำหรับอันนี้ ผมพบว่าเป็นข้อปัญหาในเชิงปฏิบัติเล็กน้อย ซึ่งอาจจะต้องรอประกาศของสำนักงานคุ้มครองข้อมูลส่วนบุคคลอีกที ว่าจะมีทางออกอะไรได้บ้าง
แต่อย่างไรเสีย ผมว่าไม่ใช่เรื่องใหญ่
บทสรุป
ผมมองว่ากฎหมายฉบับนี้ถือเป็นการยกระดับการคุ้มครองข้อมูลส่วนบุคคลของไทยให้เป็นสากลมากขึ้น
ต่อไปเราจะได้ค้าขายกับอารยะประเทศ ที่เขามีกฎหมายทำนองนี้อยู่ได้อย่างสบายใจ เพราะส่วนใหญ่ กฎหมายพวนี้จะมีบทบังคับคล้าย ๆ กันคือ หากจะต้องมีการแลกเปลี่ยนข้อมูล หรือโอนข้อมูลระหว่างประเทศกันนั้น ประเทศปลายทางจะต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีเช่นเดียวกัน
ถ้าเราไม่มี พรบ. ฉบับนี้ ผมเชื่อว่าต่อไปประเทศเราจะมีปัญหาในการทำงานกับ กลุ่มประเทศที่พัฒนาแล้วแน่ ๆ
แต่เนื่องจากมันเป็นของใหม่ หลาย ๆ องค์กรก็อาจจะนำไปปฏิบัติกันอย่างไม่สมดุลย์ และส่งผลทำให้ประชาชนที่อ่อนไหวง่าย เกิดหวั่นไหวได้ ...
ก็คงต้องให้เวลากันอีกสักพัก ทั้ง องค์กร ห้างร้าน บริษัท ที่ปรึกษา หรือ แม้กระทั่งภาครัฐ
การเปลี่ยนแปลงทุกอย่างต้องใช้เวลาครับ แต่ถ้ามันเป็นการเปลี่ยนไปในทางทีดี ผมว่าเราก็น่าจะรอได้นะ
ขอบคุณมากครับ
Website: www.antifraud.in.th
Blockdit: www.blockdit.com/antifraud.in.th
หมายเหตุ: ล่าสุด กสิกรไทย ปรับแก้เงื่อไขแล้วนะครับไปตามดูได้ที่
https://www.blognone.com/node/114918
โฆษณา