เริ่มต้นทำธุรกิจต้องรู้! PDPA เรื่องง่ายๆ ที่ห้ามมองข้าม

ทำความรู้จัก PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

PDPA หรือ Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ซึ่ง PDPA เป็นกฎหมายที่ออกมาคุ้มครองสิทธิข้อมูลส่วนบุคคล เพราะในปัจจุบันมีการพัฒนาเทคโนโลยีที่ทำให้ข้อมูลส่วนบุคคลนั้นสำคัญในการพัฒนาธุรกิจ ทำให้เกิดโอกาสที่จะมีผู้ไม่หวังดีทำการละเมิดสิทธิส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้นครับ

PDPA จึงเข้ามามีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อดูแลและการให้ความคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่างเช่น การนำข้อมูลส่วนบุคคลไปใช้ ต้องได้รับความยินยอมจากบุคคลนั้นๆก่อน การนำข้อมูลไปใช้ผิดๆ ที่พบเห็นกันได้ทั่วไป คือ การซื้อขายฐานข้อมูลส่วนตัวลูกค้า เพื่อการขายทางโทรศัพท์โดยไม่ได้รับความยินยอม อย่างรูปแบบแก๊งคอลเซ็นเตอร์ในตอนนี้

ข้อบังคับกฎหมาย PDPA จะคุ้มครองข้อมูลส่วนบุคคลครอบคลุมถึงการศึกษา ฐานะ การเงิน ประวัติสุขภาพ ประวัติการทำงาน ลายพิมพ์นิ้วมือ เสียงบันทึก เลขบัตรประชาชน หรือแม้กระทั่ง ข้อมูลการใช้งานบนเว็บไซต์ต่างๆอีกด้วยนะครับ

สิทธิอะไรบ้างที่ PDPA ดูแล?

สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะต้องให้ความยินยอมแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการเพื่อรวบรวม ใช้ หรือเปิดเผยข้อมูล ซึ่งเจ้าของข้อมูลก็มีสิทธิในข้อมูลของตัวเองตามกฎหมาย และสามารถใช้สิทธินั้นได้โดยแบ่งออกได้ ดังนี้

• สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดในการเก็บข้อมูล ว่านำไปใช้เพื่อสิ่งใด ตัวอย่างเช่น การแจ้งความยินยอมในการนำที่อยู่ส่วนบุคคลเพื่อนำไปใช้ในการส่งสินค้าทดลองสำหรับกิจกรรมโปรโมทการขาย
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่างเช่น การขอเข้าถึงข้อมูลประวัติบัญชีรายการฝากเงิน หรือ สเตทเม้น
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) เจ้าของข้อมูลสามารถโอนถ่ายข้อมูลที่เคยให้ไว้กับผู้ควบคุมรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย ยกตัวอย่างเช่น การดำเนินในการส่งต่อข้อมูลผู้ป่วยไปแต่ละแผนก
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกตัวอย่างเช่น การปกปิดผู้ให้ข้อมูลในเหตุการณ์เป็นพยานอุบัติเหตุทางรถยนต์
• สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (Right to erasure / Right to be forgotten) หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบ ทำลายข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ ยกตัวอย่างเช่น การถูกนำตัวอย่างผลงานไปวิจารณ์ในทางลบบนสื่อออนไลน์
• สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ ยกตัวอย่างเช่น การเปลี่ยนใจที่จะลงรีวิวสถาบันสอนพิเศษเมื่อสอบติดมหาลัย
• สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ยกตัวอย่างเช่น ธนาคารอยู่ระหว่างการตรวจสอบการซื้อประกันสุขภาพ ก็สามารถขอให้ธนาคารระงับการใช้ข้อมูลส่วนบุคคลแทนการลบหรือทำลายข้อมูลที่ไม่มีความจำเป็นอีกต่อไป
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง ยกตัวอย่างเช่น การแก้ไขข้อมูลส่วนตัวในการสมัครสมาชิกเว็บไซต์ทุกเว็บไซต์

5 วิธีเริ่มปฏิบัติตาม PDPA

บุคคลที่ต้องปฏิบัติตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรืออธิบายๆ ง่ายๆ ก็คือ ลูกค้า กับตัวเจ้าของธุรกิจ

เจ้าของธุรกิจจึงมีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมจากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายสินค้าออนไลน์ เจ้าของเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องมีมาตรการรักษาความปลอดภัยข้อมูลด้วย หากเจ้าของธุรกิจมือใหม่ยังไม่รู้จะเริ่มต้นอย่าง ลองไปดูคำแนะนำได้เลยครับ

1.การเก็บรวบรวมข้อมูลส่วนบุคคล

ควรที่จะต้องจัดทำ Privacy Policy เพื่ออธิบายให้เจ้าของข้อมูลส่วนบุคคลทราบ(ผู้ใช้งาน) โดยสามารถแจ้งผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน ในรูปแบบการลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย ซึ่งจะต้องแจ้งว่า

• เก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
• เจ้าของข้อมูลมีสิทธิอะไรบ้าง
• เจ้าของข้อมูลสามารถยกเลิกความยินยอมได้ทุกเมื่อ

ข้อความที่อธิบายให้กับผู้ใช้งาน จะต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมเช่นกันครับ

2.การใช้ข้อมูลส่วนบุคคล

หลังจากที่ได้รับความยินยอมจากผู้ใช้งานในการเข้าถึงข้อมูลส่วนตัวแล้ว ก็จำเป็นที่จะต้องมีกระบวนการบันทึกข้อมูลส่วนบุคคล มีการเก็บข้อมูล มีการใช้ข้อมูล ที่ต้องระมัดระวังเป็นอย่างมาก รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

ซึ่งในฐานข้อมูลได้มีการแบ่งข้อมูลที่ถูกดูแลผ่าน PDPA ไว้ 3 ประเภท ได้แก่ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ข้อมูลส่วนบุคคลที่อ่อนไหวจะเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ)

3.มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล

• กำหนดแนวทางตามมาตรฐานด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล ได้แก่
  - การรักษาความลับ (Confidentiality)
  - ความถูกต้องครบถ้วน (Integrity)
  - สภาพพร้อมใช้งาน (Availability)
  - มาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
  - มาตรการป้องกันด้านเทคนิค (Technical Safeguard)
  - มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง
  - ควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control)
• กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
• มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี

4.การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคล

• ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
• ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
• มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้

5.การดูแลข้อมูลส่วนบุคคล

ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล

ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับธุรกิจต่างๆ และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น ธุรกิจขนาดกลางไปจนถึงขนาดใหญ่ ควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

ธุรกิจส่วนใหญ่จำเป็นต้องมีความเกี่ยวข้องกับกฎหมาย PDPA ครับ ถึงแม้ว่าจะเป็นกฎหมายที่ดูใหม่สำหรับเจ้าของธุรกิจคนไทย แต่ก็เป็นสิ่งที่ทุกธุรกิจต้องปรับตัวให้ทัน เพราะถ้าหากมีการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ก็ตามจะมีความผิดตามกฎหมาย ซึ่งจะส่งผลเสียหายต่อภาพลักษณ์และความน่าเชื่อถือขององค์กรในระยะยาวต่อไปได้ครับ