11 มิ.ย. 2022 เวลา 20:38 • ธุรกิจ
PDPA. คืออะไร
สรุป 10 ข้อสำคัญที่ทุกคนต้องรู้ในกฎหมาย PDPA
จากหนังสือ PDPA ฉบับเข้าใจง่าย
.
1. กฎหมาย PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act
ชื่อภาษาไทยคือ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ดังนั้นกฎหมายฉบับนี้จึงเกี่ยวข้องกับทุกคนที่มีหรือใช้ “ข้อมูลส่วนบุคคล”
วัตุประสงค์ที่ต้องมีกฎหมายฉบับนี้ก็เพื่อ กำหนดกรอบการใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็น และไม่ให้กระทบสิทธิของเจ้าของข้อมูลส่วนบุคคล
.
2. ใครต้องรู้กฎหมาย PDPA บ้าง
1) เจ้าของข้อมูลส่วนบุคคล (Data subject)
ต้องเข้าใจสิทธิของตัวเอง ในการควบคุมการที่บุคคลอื่นจะใช้ข้อมูลของเรา
.
2) องค์รธุรกิจ
เข้าใจหน้าที่และความรับผิดชอบในการนำข้อมูลส่วนบุคคลของคนอื่นมาใช้
.
3) พนักงานบริษัท
โดยเฉพาะฝ่าย HR/ sales/ marketing/ IT ที่ต้องเข้าใจบทบาทและความรับผิดชอบในการใช้ข้อมูลส่วนบุคคลของคนอื่น
.
4) บุคคลทั่วไปที่ทำธุรกิจ
รวมถึงพ่อค้าแม่ค้าออนไลน์ ฟรีแลนซ์ ที่มีการเก็บและใช้มูลของคนอื่น จะได้ทำได้อย่างถูกต้อง
3. ทำไมต้องมีกฎหมาย PDPA
ประเด็นหลักคือการช่วยให้เจ้าของข้อมูลส่วนบุคคลได้รับความคุ้มครอง ปกป้องสิทธิของตัวเองได้มากขึ้น รวมถึงสามารถควบคุมข้อมูลส่วนบุคคลของตนได้มากขึ้น
ในขณะที่องค์กรธุรกิจ หรือแม่ค้าออนไลน์ก็ต้องใช้ข้อมูลส่วนบุคคลอย่างระมัดระวังมากขึ้น และมีขั้นตอนการดำเนินการที่มากขึ้นด้วย
.
เพราะทุกวันนี้มีการนำข้อมูลส่วนบุคคลออกมาใช้กันมากมาย จนหลายครั้งสร้างผลกระทบให้เจ้าของข้อมูล
เช่น การที่อยู่ ๆ มีคนโทรมาเสนอขายประกัน หรือส่งอีเมล spam ต่าง ๆ มา โดยไม่รู้ว่าเขาได้ข้อมูลเรามาได้อย่างไร และเราต้องดำเนินการยังไงบ้าง
.
4. หลักการสำคัญ 2 ประการของกฎหมาย PDPA
1) ใช้ข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นเท่านั้น (Necessity)
2) ต้องมีการแจ้งเจ้าของข้อมูลให้ทราบล่วงหน้าว่าข้อมูลส่วนบุคคลนั้นได้รับมาจากไหน และจะถูกนำไปใช้อย่างไร (No surprise)
.
5. ข้อมูลส่วนบุคคลคืออะไร
ข้อมูลส่วนบุคคล ภาษาอังกฤษเรียกว่า Personal Identifiable Information (PII)
เป็นข้อมูลที่ทำให้สามารถเชื่อมโยงระบุตัวตนของคนที่ยังมีชีวิตอยู่ได้
ดังนั้นพวกข้อมูลนิติบุคคล หรือข้อมูลบริษัทจึงไม่นับเป็นข้อมูลส่วนบุคคล
.
1
ข้อมูลส่วนบุคคลรวมถึง ชื่อ-นามสกุล บัตรประชาชน รูปถ่าย เบอร์โทรศัพท์ บัญชีธนาคาร นามบัตร Line ID Facebook account
หรือแม้กระทั่งเลขรหัสที่บริษัทใช้ระบุตัวลูกค้า ก็นับเป็นข้อมูลส่วนบุคคล เพราะสามารถเชื่อมโยงถึงตัวบุคคลได้
.
6. ข้อมูลส่วนบุคคลอ่อนไหว คืออะไร
ข้อมูลบุคคลอ่อนไหว (Sensitive PII) คือ ข้อมูลที่มีความละเอียดอ่อน และมีความสุ่มเสี่ยงต่อการใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ หรือรูม่านตา ที่ใช้แสกนเข้าโทรศัพท์
- ข้อมูลสุขภาพ
.
- เชื่อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสหภาพแรงงาน
- ข้อมูลอื่น ๆ ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศเพิ่มเติม
.
ถามว่าข้อมูลบุคคลอ่อนไหว ต่างจากข้อมูลส่วนบุคคลยังไง
ด้วยความอ่อนไหวของข้อมูล การนำไปใช้อย่างไม่ถูกต้องจึงมีโทษปรับที่รุนแรงกว่า และการจะนำข้อมูลไปใช้ได้ ก็ต้องขอความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง
7. รู้จักผู้ที่อาจเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล
แบ่งได้เป็น 2 ประเภทใหญ่ ๆ คือ
1) Data controller (DC) หรือ ผู้ควบคุมข้อมูล ทำหน้าที่ตัดสินใจเก็บ และใช้ข้อมูลส่วนบุคคล เช่น บริษัทและแม่ค้าขายของ
2) Data processor (DP) หรือ ผู้ประมวลผลข้อมูล ส่วนใหญ่จะทำตามคำสั่งของ DC เช่น บริษัทส่งของ บริษัทจัดหางาน
ดังนั้นแล้ว ทั้งบริษัท แม่ค้า เมสเซนเจอร์ส่งของ รวมถึงบริษัทตรวจสอบบัญชีและ Marketign agency ล้วนแล้วแต่เกี่ยวข้องกับกฎหมาย PDPA ทั้งสิ้น ถ้าไม่ทำตามหลักเกณฑ์และขั้นตอนอย่างถูกต้อง ก็อาจเข้าข่ายมีความผิด และอาจถูกลงโทษได้
.
8. PDPA คุ้มครองตั้งแต่ตอนเริ่มเก็บข้อมูล ต่อเนื่องตลอดระยะเวลาที่ข้อมูลยังอยู่ในครอบครอง
ตั้งแต่เริ่มไปเก็บข้อมูล ใช้งาน รักษา และส่งต่อ
ดังนั้นแม้จะเป็นข้อมูลพนักงานเก่ากว่า 10 ปีที่แล้ว ก็ยังถือว่าอยู่ภายใต้การกำกับดูแลของ PDPA อยู่
.
.9. หน้าที่หลัก 4 ประการของ Data controller (DC)
1) ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพราะยิ่งประมวลผลมาก ก็ยิ่งมีความเสี่ยงมาก และควรมีการบันทึกการประมวลผลไว้อย่างชัดเจน
เรื่องความจำเป็นมีการกำหนดไว้อย่างชัดเจน เช่น ตามฐานกฎหมาย ฐานการทำประโยชน์ต่อสาธารณะรัฐ ฐานการทำวิจัย ฐานการระงับอันตรายเป็นต้น
2) แจ้งการประมวลผลข้อมูล แจ้ง Privacy notice กับเจ้าของข้อมูล และขอความยินยอมในกรณีที่จำเป็น
เรื่องการขอความยินยอมก็มีรายละเอียดปลีกย่อย เช่นการขอถอนความยินยอมต้องทำได้ง่าย เช่นเดียวกับตอนที่ขอ
.3) ต้องจัดให้มีการรักษามาตรฐานความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม ระบบในบริษัทต้องมีการรักษาความปลอดภัยที่ดี ถ้าเกิดเหตุข้อมูลรั่วไหล ต้องมีมาตรการในการจัดการได้ รวมถึงแจ้งคณะกรรมการควบคุมดูแลข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
อาจต้องเข้าใจว่า เรื่องนี้ไม่ใช่เพียง security อย่างเดียว
เพราะ Privacy ≠ Security
เปรียบเหมือนการที่เราปิดกรงในบ้าน แต่ก็ยังมีช่องให้คนอื่นมองเห็นในบ้านเราอยู่ดี
เราจึงควรปิดกรง พร้อมปิดผ้าม่านด้วย เพื่อป้องกันไม่ให้เกิดข้อมูลรั่วไหลเช่น กระดาษรีไซเคิลที่ดันทำมาจากสำเนาบัตรประชาชนของพนักงาน หรือพนักงานในบริษัทแอบเอาข้อมูลไปใช้ในเรื่องส่วนตัว
.
4) อาจแต่งตั้ง Data Protection officer (DPO) ในกรณีที่มีการประมวลข้อมูลส่วนบุคคลที่มีความอ่อนไหวสม่ำเสมอ และในกรณีของหน่วยงานรัฐ รัฐวิสาหกิจ และราชการ
ถ้าไม่แต่งตั้ง DPO อาจถูกโทษปรับจำนวนมหาศาล
.
.
10. กรณีศึกษาการปรับใช้ PDPA ในสถานการณ์ต่าง ๆ
1) แม่ค้าออนไลน์ – ถ้ามีการเก็บข้อมูลลูกค้า ต้องส่ง Privacy notice แจ้งลูกค้าอย่างชัดเจน
2) การทำการตลาด – ถ้าทำแบบ broadcast กว้าง ๆ ใน Line offificial หรือตาม social media ถือว่าไม่ได้เข้าข่ายการใช้ PII
แต่ถ้าทำการตลาดแบบเจาะจงบุคคล เช่น ส่ง message ไปเฉพาะกลุ่มลูกค้า หรือยิง Ads ใส่ลูกค้ากลุ่มเฉพาะ ต้องมีการขอความยินอยมให้นำข้อมูลส่วนบุคคลไปใช้ในการทำการตลาด
.
3) การแชร์รีวิวจากลูกค้า ต้องขอความยินยอมจาก เจ้าของข้อมูลก่อน
4) การทำวิจัยการตลาด ถ้าไม่ได้เก็บแบบเจาะจงระบุตัวบุคคล ก็ไม่ต้องขอความยินยอม
5) Web cookies ถ้าไม่ใช่ Cookies ที่มีความจำเป็นที่จะทำให้เว็ปไซต์ใช้งานได้ ต้องขอความยินยอมต่อผู้ใช้งานในทุกกรณี
6) การเก็บข้อมูลอ่อนไหว เช่น ลายนิ้วมือ รูม่านตา ต้องขอความยินยอม แต่สามารถระบุเป็นเงื่อนไขในการทำงานตำแหน่งนั้น ๆ ได้
7) การขอดูกล้องวงจรปิด ทำไม่ได้เพราะจะมีภาพคนอื่นอยู่ด้วย ยกเว้นบางกรณีเช่น ตำรวจต้องดูเพื่อสืบหาคนร้าย
8) รูปถ่าย ถ้าถ่ายเซลฟี่แล้วติดคนอื่น ไม่เข้าข่าย PDPA เพราะไม่ได้นำไปใช้ในเชิงธุรกิจ แต่ถ้ามีการมาเก็บภาพงาน event เพื่อนำไปใช้ในเชิงพาณิชย์ ต้องมีการแจ้ง Privacy notice
หนังสือ PDPA ฉบับเข้าใจง่ายจัดทำโดย บริษัท Easy company group บริษัทที่รับงานที่ปรึกษาและการสร้างนวัตกรรมทางกฎหมาย ร่วมกับ ทีมงานขายหัวเราะ
การ์ตูนจึงดูสนุก น่าติดตาม และเข้าใจง่าย
ยังไงใครสนใจอยากเข้าใจกฎหมาย PDPA ฉบับพื้นฐาน ลองหาอ่านกันดูนะครับ
.
ผู้เขียน: รับขวัญ ชลดำรงค์กุล (ขวัญ) และ อมรเชษฐ์ จินดาภิรักษ์ (ทาโร่)
สำนักพิมพ์: EasyPDPA ในเครืออีซี คอมพานี กรุ๊ป
โฆษณา