เหลือเวลาอีกไม่ถึง 1 ปี ก็จะถึงวันที่1 มิ.ย. 2565 ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data ProtectionAct-PDPA) จะมีผลบังคับใช้ โดย พ.ร.บ.นี้เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไกและการกำกับดูแลคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่างๆ เพื่อให้ภาคประชาชน ภาคธุรกิจ และภาครัฐ เกิดความเข้าใจและเตรียมพร้อมธุรกิจให้เป็นไปตามหลักสากล และหากในกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น จะมีบทลงโทษทั้งทางแพ่งทางอาญา และโทษปรับสูงสุดไม่เกิน5 ล้านบาท หรือจำคุกสูงสุด 1 ปี ปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ รวมถึงจ่ายค่าสินไหมทดแทนตามความเหมาะสมในแต่ละกรณี
กฎหมาย PDPA มีต้นแบบมาจากกฎหมายคุ้มครองสิทธิส่วนบุคคลของสหภาพยุโรป (EU) ที่มีชื่อว่า General Data Protection Regulation หรือ GDPR ซึ่งใช้ปกป้องพลเมืองใน EU จากการถูกละเมิดข้อมูลส่วนตัวและเศรษฐกิจในยุโรป อีกทั้งยังมีกฎหมายคุ้มครองผู้บริโภคทางด้านการถ่ายโอนข้อมูลนอกเขต EU และพลเมืองของเขตเศรษฐกิจยุโรป (EEA) รวมทั้งการทำธุรกิจ E-Commerce การตลาดดิจิทัล การทำโฆษณา และการใช้อินเตอร์เนตทั่วไป
- PDPA ให้ความคุ้มครองแก่บุคคลในข้อมูลอะไรบ้าง? : ผศ.ดร.สุภาภรณ์ เกียรติสิน หัวหน้ากลุ่มสาขาเทคโนโลยีการจัดการระบบสารสนเทศ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล กล่าวว่า ร้านค้า ห้างสรรพสินค้า หรือแม้แต่ของใกล้ตัวของเรา เช่น หมายเลขโทรศัพท์มือถือ มีการพัฒนา “ระบบสมาชิก” ให้ผู้บริโภคสามารถสมัครใช้บริการ ฟรีบ้างมีค่าใช้จ่ายบ้าง ซึ่งหลายครั้งกระทบต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูลทุกคน
ระบบสมาชิก ไม่ว่าจะเป็นในรูปแบบของบัตรสมาชิก บัตรเงินสด หรือรูปแบบอื่นๆ ส่วนมากจะจัดเป็นหนึ่งในกระบวนการในด้านระบบการจัดการลูกค้าสัมพันธ์(Customer Relationship Management :CRM) ซึ่งจะมีการรวบรวมข้อมูลที่เกี่ยวข้องกับเรา เช่น ข้อมูลพื้นฐาน (อย่างเช่น ชื่อ,นามสกุล, หมายเลขโทรศัพท์) ข้อมูลการทำงาน หรือแม้แต่ประวัติการใช้งานหรือใช้จ่ายในร้านค้าต่างๆ “ข้อมูลพวกนี้ฟังดูแล้วเหมือนว่าไม่มีอะไร แต่อันที่จริงแล้ว เป็นข้อมูลที่มีค่ามาก” ในอุตสาหกรรมที่เกี่ยวข้องกับการค้าขายและระบบสมาชิก
โดยสรุป “ข้อมูลที่ พ.ร.บ. PDPA ให้ความคุ้มครอง มีทั้งแบบทางตรงและทางอ้อม” ได้แก่ ข้อมูลส่วนบุคคลทั่วไป ที่สามารถนำไปใช้ยืนยันตัวบุคคลนั้นๆ เช่น ชื่อจริงนามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน Email รูปถ่ายของบุคคลนั้นๆ อายุ ประวัติการศึกษาประวัติการทำงาน อีกส่วนหนึ่งคือ ข้อมูลส่วนตัวที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ สัญชาติ พฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ประวัติอาชญากรรม ความเชื่อทางศาสนา ความคิดเห็นทางด้านการเมือง ข้อมูลอื่นๆ ที่มีผลกระทบต่อเจ้าของข้อมูล
- สิ่งที่ประชาชนต้องพึงทราบสิทธิ จาก PDPA : กฎหมาย PDPA ได้เปิดโอกาสให้ผู้ใช้อย่างท่านมีสิทธิ ดังนี้ 1.ผู้บริโภคสามารถควบคุมการแบ่งปันข้อมูลได้ เนื่องจาก พ.ร.บ.นี้ให้สิทธิการขอข้อมูล, ลบข้อมูล โดยไม่มีค่าใช้จ่าย2.ผู้บริโภคมีสิทธิในการปฏิเสธไม่ให้แบ่งปันข้อมูลไปให้หน่วยงานภายนอก รวมถึงสิทธิในการไม่แบ่งปันข้อมูล ทั้งนี้ ขึ้นอยู่กับเงื่อนไขของผู้จัดเก็บข้อมูล ว่าจะส่งผลกระทบกับการเป็นสมาชิกหรือไม่ และ 3.ผู้ให้บริการมีความจำเป็นที่จะต้องเปิดเผยถึงข้อมูลที่จัดเก็บ รวมไปถึงวัตถุประสงค์ของการจัดเก็บ และ/หรือใช้ข้อมูลเหล่านี้
- PDPA เรื่องจำเป็นที่ SMEs ต้องปฏิบัติ : ข้อมูลนั้นจัดว่าเป็นหนึ่งในทรัพย์สินที่มีมูลค่ามากสำหรับธุรกิจในยุคสมัยปัจจุบัน เพราะสามารถนำข้อมูลต่างๆ ไปใช้เพื่อนำไปวิเคราะห์หรือแม้แต่การพัฒนาบริการของธุรกิจต่างๆ เพื่อให้ตอบสนองความต้องการของลูกค้าอย่างแท้จริง จะเห็นได้จากหลายร้านค้าเองก็เริ่มใช้ระบบสมาชิก หรือการจัดการลูกค้าสัมพันธ์ (CRM) เก็บประวัติการใช้บริการของร้านค้า หรือแม้แต่ข้อมูลด้านประวัติการซื้อขายต่างๆ ที่จำเป็นต้องเก็บเพื่อใช้ในด้านกฎหมายหรือด้านอื่นๆ ที่เกี่ยวข้อง และด้วยเทคโนโลยีที่ทันสมัยมากยิ่งขึ้น
ผศ.ดร.สุภาภรณ์ อธิบายว่า พ.ร.บ.นี้ได้กำหนดถึงการรักษาข้อมูล ไม่ว่าจะเป็นข้อมูลที่ใช้ในการดำเนินธุรกิจ เช่น รายชื่อพนักงานในสำนักงาน ข้อมูลลูกค้า เช่น ข้อมูลสมาชิก หรือแม้แต่ข้อมูลที่อ่อนไหวง่าย เช่น ข้อมูลบนบัตรประจำตัวประชาชน ต้องมีการจัดเก็บอย่างถูกต้องเหมาะสม และต้องไม่เก็บข้อมูลเหล่านั้นที่มากกว่าความจำเป็นในการใช้ ขณะเดียวกันต้องแจ้งวัตถุประสงค์ของการใช้ข้อมูลเหล่านั้นให้กับลูกค้าเข้าใจได้ง่ายด้วย พร้อมกับยกตัวอย่างว่า เมื่อเวลาร้านค้าถามลูกค้าว่าจะสมัครสมาชิกหรือไม่
ถ้าหากลูกค้าจะสมัครสมาชิก ร้านค้าต้องขอข้อมูลเฉพาะส่วนที่ธุรกิจจำเป็นต้องใช้จริง เช่น ชื่อ-นามสกุล, หมายเลขโทรศัพท์, อีเมล, ที่อยู่ และรายละเอียดที่เกี่ยวข้องเท่านั้น ไม่ควรจัดเก็บข้อมูลที่ไม่จำเป็นต่อการดำเนินธุรกิจหรือไม่มีวัตถุประสงค์ที่แน่ชัด เช่น ร้านค้าไม่ควรขอหมายเลขบัตรประจำตัวประชาชน เนื่องจากร้านค้าส่วนมากไม่มีความจำเป็นต้องใช้หมายเลขบัตรประจำตัวประชาชนในการยืนยันตัวตน เป็นต้น นอกจากนี้ ข้อมูลที่อ่อนไหวง่าย ควรมีการจัดเก็บข้อมูลกลุ่มนี้ให้รัดกุมมากที่สุด เช่น การเข้ารหัสข้อมูลในกรณีที่เป็นไฟล์หรือข้อมูลอิเล็กทรอนิกส์ เป็นต้น
ใน พ.ร.บ. ฉบับนี้ยังระบุไว้ว่า ทางฝั่งบุคคลหรือลูกค้าที่เข้ามาซื้อสินค้าหรือบริการนั้น ก็มีสิทธิที่จะได้รับแจ้ง ขอสำเนาของข้อมูล ขอแก้ไข ขอระงับการใช้งาน ขอให้ลบข้อมูลส่วนบุคคลของเขา รวมถึงสิทธิในการเพิกถอนคำยินยอม เมื่อไรก็ตามที่มีคำขอดังกล่าว ร้านค้าหรือผู้ให้บริการต้องดำเนินการตามคำขอเหล่านั้นโดยไม่ชักช้า หรือไม่เกินระยะเวลา 30 วัน ในกรณีของการขอสำเนาข้อมูล ยกเว้นมีประเด็นทางกฎหมายหรือประเด็นด้านการขัดขวางสิทธิเสรีภาพเข้ามาเกี่ยวข้อง
- ธุรกิจต้องเตรียมให้พร้อม เพื่อตอบรับกับ PDPA : เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) เป็นเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล มีวัตถุประสงค์เพื่ออะไร และมีใครเกี่ยวข้องบ้าง, เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์ เพื่อให้เจ้าของข้อมูลสามารถขอสิทธิการเข้าถึงข้อมูลส่วนตัวได้ ในช่องทางใดๆ ก็ตาม และต้องมีการดำเนินการตามคำร้องภายใน 30 วัน,
แจ้งเจ้าของข้อมูลเกี่ยวกับนโยบายความเป็นส่วนตัว หรือ Privacy Policy เพื่อให้เจ้าของข้อมูลทราบว่า ข้อมูลที่จะนำไปใช้มีวัตถุประสงค์เพื่ออะไร มีเงื่อนไขอะไรบ้าง รวมถึงระยะเวลาในการจัดเก็บข้อมูล, การขอคำยินยอมในการใช้ Cookie ธุรกิจ หรือแต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์รวมถึงประเภทข้อมูลที่ถูกจัดเก็บ,
การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล ธุรกิจหรือองค์กรจะต้องแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือใช้ในทางที่ผิด ซึ่งจะต้องมีการประเมินส่วนที่เสียหาย และวิธีการเยียวยาเจ้าของข้อมูล!!!
คณะวิศวกรรมศาสตร์ มหาวิทยาลัยมหิดล
โปรดอ่านก่อนแสดงความคิดเห็น
1.กรุณาใช้ถ้อยคำที่ สุภาพ เหมาะสม ไม่ใช้ ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่น สร้างความแตกแยกในสังคม งดการใช้ถ้อยคำที่ดูหมิ่นหรือยุยงให้เกลียดชังสถาบันชาติ ศาสนา พระมหากษัตริย์
2.หากพบข้อความที่ไม่เหมาะสม สามารถแจ้งได้ที่อีเมล์ online@naewna.com โดยทีมงานและผู้จัดทำเว็บไซด์ www.naewna.com ขอสงวนสิทธิ์ในการลบความคิดเห็นที่พิจารณาแล้วว่าไม่เหมาะสม โดยไม่ต้องชี้แจงเหตุผลใดๆ ทุกกรณี
3.ขอบเขตความรับผิดชอบของทีมงานและผู้ดำเนินการจัดทำเว็บไซด์ อยู่ที่เนื้อหาข่าวสารที่นำเสนอเท่านั้น หากมีข้อความหรือความคิดเห็นใดที่ขัดต่อข้อ 1 ถือว่าเป็นกระทำนอกเหนือเจตนาของทีมงานและผู้ดำเนินการจัดทำเว็บไซด์ และไม่เป็นเหตุอันต้องรับผิดทางกฎหมายในทุกกรณี