PDPA คืออะไร ทำความรู้จักข้อจำกัด! (พร้อมแนวทางการปรับตัวของธุรกิจ)

หากคุณลองสังเกตดูในตอนที่เราเข้าไปที่เว็บไซต์หรือแอพพลิเคชั่นต่างๆ มักจะมีป๊อปอัพขึ้นมาให้กดยินยอมหรืออนุญาต พร้อมข้อความ “เว็บไซต์นี้มีการใช้คุกกี้เพื่อการปรับปรุงการใช้บริการออนไลน์ของท่าน โดยเราจะใช้คุกกี้เมื่อท่านเข้ามาหน้าเว็บไซต์” เพื่ออนุญาตให้เจ้าของสามารถนำข้อมูลต่างๆไปใช้ได้ แล้วเจ้าคุกกี้ที่ว่านี่คืออะไร สำคัญอย่างไร วันนี้ Wisdom มีคำตอบ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” คืออะไร?

Personal Data Protection Act หรือ PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

ซึ่ง PDPA เป็นกฏหมายที่ออกมาคุ้มครองสิทธิข้อมูลส่วนบุคคล จากการพัฒนาเทคโนโลยีที่ก้าวหน้าขึ้นทำให้ “ข้อมูล”  เป็นสิ่งสำคัญในการต่อยอดธุรกิจ ทำให้มีการละเมิดสิทธิส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และสร้างความเดือนร้อนหรือรำคาญให้กับเจ้าของข้อมูล จึงต้องมีจึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น เช่น การนำข้อมูลส่วนบุคคลไปใช้ ต้องได้รับความยินยอมจากบุคคลนั้นๆก่อน การซื้อ-ขายฐานข้อมูลลูกค้าเพื่อการขายทางโทรศัพท์โดยไม่ได้รับความยินยอม หรือการนำข้อมูลไปใช้สร้างกลุ่มเป้าหมายในการโฆษณาโดยไม่ได้รับความยินยอมก่อน

ข้อบังคับกฏหมาย PDPA จะคุ้มครองข้อมูลส่วนบุคคลครอบคลุมถึงการศึกษา ฐานะ การเงิน ประวัติสุขภาพ ประวัติการทำงาน ลายพิมพ์นิ้วมือ เสียงบันทึก เลขบัตรประชาชน หรือแม้กระทั่ง ข้อมูลการใช้งานบนเว็บไซต์ต่างๆอีกด้วย 

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีอะไรบ้าง?

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

หลังจากนี้จะสามารถเก็บรวบรวมข้อมูล หรือเปิดเผยข้อมูลได้หรือไม่?

สามารถทำได้ในกรณี ดังต่อไปนี้

  • ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
  • ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

PDPA มีผลกระทบต่อธุรกิจมากน้อยแค่ไหน?

หากพูดถึง “ข้อมูล” ธุรกิจที่เกี่ยวข้องที่สุดคงหนีไม่พ้นธุรกิจออนไลน์ หรือ Digital Marketing ที่ต้องใช้ข้อมูลมหาศาลเพื่อให้เข้าถึงกลุ่มเป้าหมายได้ ทั้งประวัติการเข้าเว็บไซต์ ข้อมูลส่วนบุคคล เช่น เพศ อายุ เป็นต้น  หรือแม้กระทั่งประวัติการส่งข้อความคุยกันผ่าน social media ทำให้สามารถอ่านความคิดของผู้ใช้แต่ละบุคคลได้ ซึ่งสิ่งเหล่านี้ในอดีตสามารถช่วยให้ธุรกิจเข้าถึงกลุ่มเป้าหมายได้อย่างรวดเร็ว และแม่นยำ

หลังจากที่มีข้อบังคับใช้ PDPA หลายๆธุรกิจประสบปัญหาการเข้าถึงกลุ่มเป้าหมายในการโฆษณา บางครั้งกลุ่มเป้าหมายไม่ตรง ไม่สามารถเข้าถึงกลุ่มลูกค้าได้เหมือนเดิมเพราะปรับตัวไม่ทันนั่นเอง 

  1. สร้างระบบจัดเก็บข้อมูลที่มีมาตรฐาน ที่สามารถใช้ป้องกันการรั่วไหลของข้อมูล หรือการละเมิดสิทธิส่วนบุคคลจากการจัดเก็บข้อมูลที่ไม่ได้มาตรฐาน อย่างซอฟต์แวร์ที่ได้มาตรฐานจากต่างประเทศ ที่ได้รับการรองรับ GDPR (General Data Protection Regulation) หรือกฏหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป หรือหากในประเทศไทยก็สามารถสอบถามกับผู้ผลิต PDPA ได้เลย
  2. เว็บไซต์หน้า Privacy Policy ที่มีกำหนดนโยบายและสร้างความเข้าใจเรื่องมาตรการปกป้องความเป็นส่วนตัวของข้อมูล เช่น เราจะเก็บข้อมูลใดบ้าง, วัตถุประสงค์ในการเก็บข้อมูลคืออะไร, ใช้อะไรในการเก็บรักษาข้อมูล ทำให้ผู้ใช้งานเข้าใจว่าเว็บไซต์นี้นำข้อมูลด้านใดไปใช้บ้าง และผู้ใช้จะยินยอมหรือไม่ ซึ่งต้องเป็นไปตามข้อบังคับ PDPA
  3. ข้อมูลบนเว็บไซต์ต้องชัดเจน เข้าใจง่าย และมีรายละเอียดและเน้นย้ำให้ผู้ใช้งานพิจารณา และอ่านข้อมูลให้ครบถ้วนก่อนให้ความยินยอม และสามารถให้ผู้ใช้ปฏิเสธการใช้ข้อมูลได้

หากไม่ทำตามข้อบังคับ PDPA ได้หรือไม่?

เพื่อให้ข้อมูลส่วนบุคคลสามารถนำไปใช้ได้อย่างเหมาะสมและเกิดประโยชน์ จึงต้องรอบคอบและทำตามข้อกำหนดของ PDPA เพื่อกำหนดขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล และมีระบบควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้

  1. ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
  2. โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  3. โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

ใครที่กำลังทำธุรกิจขายสินค้าออนไลน์หรือธุรกิจอื่นๆที่กำลังเริ่มต้นทำนั้น ควรศึกษาเรื่องนี้อย่างลึกซึ่งและนำไปปรับใช้ให้เร็วที่สุด เพื่อลดปัญหาต่างๆที่กำลังจะตามมาในภายหลัง

ที่มา : Scb.com / krungsri.com

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top