เรื่องของ PDPA หรือ Personal Data Protection Act (พรบ.คุ้มครองส่วนบุคคล) ที่หลายธุรกิจได้รับทราบและเตรียมพร้อมมาตั้งแต่ปี 2562 ที่มีการประกาศในราชกิจจานุเบกษาตั้งแต่ 27 พฤษภาคม 2562 ซึ่งใกล้จะครบเป็นปีที่ 3 แล้วหลังการประกาศใช้ และในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ จะบังคับใช้อย่างเป็นทางการ
thumbsup จะมาสรุปสิ่งที่นักการตลาดและแบรนด์ควรรู้ จากข้อมูลของคุณเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มาให้ข้อมูลที่ชัดเจนและช่วยให้แบรนด์และนักการตลาดวางแผนได้รอบด้านขึ้นกว่าเดิม
ถึงเวลาใช้กฏหมายคุ้มครองใน 1 มิ.ย.นี้แน่นอน
สำหรับกฏหมายข้อมูลส่วนบุคคลที่จะเปิดบังคับใช้งานในครั้งนี้จะครอบคลุมข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้น ไม่ว่าทางตรงและทางอ้อมจะรูปแบบใดก็ได้ ไม่ว่าจะเป็น รูปกระดาษ ตัวอักษรภาพหรือเสียง ครอบคลุมตั้งแต่ ชื่อ นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล์
นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID EMEI หรือ Device ID ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม
ทั้งนี้ ทางหน่วยงานได้มีการเดินหน้าให้ความรู้และสร้างความตระหนักในเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคลแก่ประชาชน รวมทั้งส่งเสริมให้องค์กรภาครัฐและเอกชน ตระหนักถึงการต้องปฏิบัติตามกฎหมายฉบับนี้
สิ่งที่เจ้าของธุรกิจ แบรนด์หรือนักการตลาดควรจดจำและทราบแนวทางการเตรียมพร้อมให้ชัดคือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด จะต้องมีการขออนุญาตจากเจ้าของข้อมูลส่วนบุคคลหรือตามที่มีการบัญญัติไว้ในกฎหมายฉบับนี้ จะต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ รวมทั้งใช้ให้ตรงตามวัตถุประสงค์ที่ระบุไว้ อีกทั้งยังให้ความสำคัญ กับการให้สิทธิแก่ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนา ขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใด ๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาจะต้องมีมาตรการ และมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย
ทางด้านของเหตุผลที่ไทยจำเป็นต้องมีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้น เพราะการคุ้มครองข้อมูลส่วนบุคคลเป็นหลักสากลที่ประเทศต่างๆ ให้ความสำคัญ โดยเฉพาะคู่ค้าสำคัญของประเทศไทยที่ต่างนำหลักการคุ้มครองข้อมูลส่วนบุคคลมาตราเป็นกฎหมายเพื่อคุ้มครองประชาชนในประเทศของตนเอง
“เริ่มจากสหภาพยุโรป มีกฎหมายชื่อ General Data Protection Regulation หรือ GDPR บังคับใช้ไปตั้งแต่ปี 2561 ทำให้ประเทศต่างๆเริ่มมีกฎหมายลักษณะเดียวกัน เช่น สิงคโปร์ มาเลเซีย อินโดนิเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน ขณะเดียวกัน ประเทศไทยมีการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้น และองค์กรต่างๆ ไม่ตระหนักถึงการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตน ทำให้ข้อมูลมีการรั่วไหลออกไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล”
องค์กรควรให้ความสำคัญกับการเก็บข้อมูล
สิ่งที่องค์กร แบรนด์และนักการตลาดต้องเตรียมพร้อมในการจัดเก็บข้อมูลนั้น คือต้องทราบก่อนว่า สิ่งที่ต้องจัดเก็บนั้นจะต้องไม่ละเมิดในเรื่องของ
- การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies)
- การขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย (Consent Management)
- การประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)
ทั้งนี้ การบริหารจัดการข้อมูลส่วนบุคคลให้มีประสิทธิภาพและประสิทธิผลที่ดี ขึ้นอยู่กับ
- การกำกับดูแลของกรรมการและผู้บริหารและการมีส่วนร่วมของบุคคลในองค์กร
- การออกแบบกระบวนการที่มีการสอดแทรกมาตรการการคุ้มครองข้อมูลส่วนบุคคล
- การนำเทคโนโลยีเข้ามาช่วยในการติดตามตรวจสอบการปฏิบัติงาน การฝ่าฝืนนโยบาย และมาตรการที่กำหนดไว้ รวมถึงการวิเคราะห์ ตรวจสอบ ค้นหาและตอบสนองต่อภัยคุกคามจากภายนอก
การมีกฎหมาย PDPA นั้น นอกจากจะช่วยในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว ยังทำให้องค์กรที่เก็บข้อมูลส่วนบุคคลต้องมีการทบทวนถึงความจำเป็นของการเก็บ ประมวลผลและใช้ข้อมูลว่ามีความจำเป็นมากน้อยเพียงใด
และองค์กรควรที่จะต้องให้ความสำคัญกับข้อมูลส่วนบุคคลว่าได้มาอย่างไร เก็บรักษาอย่างไร และใช้อย่างไร เพื่อลดต้นทุนในการบริหารจัดการ การเก็บ ประมวลผล และใช้ รวมทั้งให้สิทธิแก่เจ้าของข้อมูลและการรักษาความปลอดภัยของข้อมูล ซึ่งจะทำให้องค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพในระยะยาว
บทลงโทษของ PDPA
สิ่งหนึ่งที่หลายๆ องค์กรกังวลกับกฎหมายฉบับนี้ก็คือเรื่องของบทลงโทษ ว่ามีบทลงโทษที่มากเกินไปหรือไม่ ไม่ว่าจะเป็น
- โทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี
- โทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท
- โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
แม้ว่าการลงโทษแบบนี้ในต่างประเทศจะไม่มี จากข้อเท็จจริงแล้วหลายๆ ประเทศในอาเซียนมีบทลงโทษทางอาญาเช่นกัน ส่วนโทษทางปกครองนั้น ทางคณะกรรมการกำลังยกร่าง เพื่อกำหนดโทษแบบจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่างๆ มากเกินไป
แต่สิ่งสำคัญที่เจ้าของธุรกิจควรใส่ใจคือการเริ่มต้นวางแผนและลงมือทำในเรื่องของ PDPA แบบจริงจังได้แล้ว เพราะถ้าประกาศกฏหมายออกมาแล้วค่อยลงมือทำก็อาจจะเจอปัญหาติดขัดหรือทำให้การทำงานต้องเจอปัญหาหยุดชะงักและเสียเวลาก็เป็นได้
ข้อมูลประกอบเพิ่มเติม