
ในโลกที่ถูกขับเคลื่อนด้วยเทคโนโลยีและข้อมูล การตอบสนองความต้องการของลูกค้าที่มีพฤติกรรมความสนใจ และความชื่นชอบที่แตกต่างกันไปในแต่ละบุคคล จึงจำเป็นต้องอาศัยข้อมูลเชิงลึกของผู้บริโภคที่ผ่านการจัดเก็บ วิเคราะห์ และประมวลผล เพื่อนำมาออกแบบผลิตภัณฑ์ บริการที่โดนใจ ทำให้ธุรกิจมีความแตกต่างเหนือคู่แข่ง ทั้งนี้เพื่อเป็นการคุ้มครองข้อมูลที่ธุรกิจได้มีการจัดเก็บ และนำไปใช้เพื่อเป้าหมายต่าง ๆ ภาครัฐจึงได้ออกกฏหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personnel Protection Data Act : PDPA) กฎหมาย PDPA ซึ่งมีการประกาศใช้งานอย่างเป็นทางการ ในวันที่ 1 มิถุนายน 2565 ซึ่งธุรกิจต่าง ๆ จำเป็นต้องทำความเข้าใจในรายละเอียด ต้องออกแบบการจัดเก็บ การรวบรวมข้อมูล และการไปใช้ให้สอดคล้องกับวัตถุประสงค์และเป้าหมายที่ได้มีการแจ้งแก่ลูกค้า ซึ่งมีสิ่งที่ต้องทำความเข้าใจ และต้องดำเนินการอย่างไรบ้าง
มาเจาะลึกกฎหมาย PDPAเรื่องสำคัญนี้ไปด้วยกัน
1. ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับธุรกิจมีอะไรบ้าง
สำหรับข้อมูลส่วนบุคคล ที่อยู่ภายใต้ความคุ้มครองของ พ.ร.บ. PDPA นั้น จะหมายรวมถึง ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนของบุคคลใดบุคคลหนึ่งได้ ไม่ว่าจะเป็นใน สำหรับทางตรง หรือทางอ้อม ซึ่งอาจจะเป็นลูกค้า พนักงาน ซัพพลายเออร์ ข้อมูลทั่วไป อาทิ เช่น ชื่อ – นามสกุล / เบอร์โทรศัพท์ อีเมล์ ที่อยู่ปัจจุบัน / เลขที่บัตรประชาชน เลขที่หนังสือเดินทาง ใบขับขี่รถประเภทต่าง ๆ / ข้อมูลการศึกษา ข้อมูลการเงิน และข้อมูลการแพทย์ / วัน เดือน ปีเกิด สัญชาติ / ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน / ข้อมูลบนโลกอินเตอร์เน็ต ที่สามารถนำมาใช้ในการค้นข้อมูลเพื่อระบุตัวบุคคลได้ นอกจากนั้นยังมีข้อมูลอ่อนไหวต่าง ๆ เช่น เชื้อชาติ เผ่าพันธุ์ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลพันธุกรรม ประวัติการรักษาโรค ข้อมูลด้านสุขภาพ ฯลฯ
2. บุคคลใดบ้างที่เกี่ยวข้องต้องปฏิบัติตามกฎหมาย PDPA
ต้องบอกว่า พ.ร.บ. ข้อมูล PDPA จะครอบคลุมไปถึงคนในประเทศไทยทุกคน ซึ่งแต่ละคนก็จะมีบทบาทที่แตกต่างกันไป โดยจะมีทั้งผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล ที่หน่วยงาน ภาคธุรกิจต่าง ๆ ได้มีการจัดเก็บข้อมูล และนำไปใช้งาน เพื่อประโยชน์ต่าง ๆ โดยผู้เป็นเจ้าของข้อมูลจะได้รับความคุ้มครองต่าง ๆ ตามกฏหมาย นอกจากนั้นยังมีผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งอาจจะเป็นบุคคล องค์กรต่าง ๆ ที่ได้เก็บข้อมูลและนำไปใช้ ซึ่งมีหน้าที่ตามกฏหมาย PDPA และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ปฏิบัติตามผู้ควบคุมข้อมูล และไม่นำข้อมูลที่ประมวลผลแล้วไปใช้ในวัตถุประสงค์อื่น ๆ นอกเหนือจากที่ได้แจ้งไว้
3. สิทธิของเจ้าของข้อมูลส่วนบุคคล
สำหรับผู้เป็นเจ้าของข้อมูล ซึ่งได้รับความคุ้มครองตามกฏหมาย PDPA นั้น จะมีสิทธิต่าง ๆ ทั้งสิทธิที่จะได้รับการแจ้งให้ทราบก่อนการจัดเก็บข้อมูล ว่าจะทำไปใช้ทำอะไร เผยแพร่ผ่านช่องทางใด และมีระยะเวลาในการจัดเก็บนานขนาดไหน รวมไปถึงสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง ไม่ว่าจะเป็นการจัดทำสำเนาข้อมูล รวมทั้งขอให้เปิดเผยที่มาของการได้ข้อมูลส่วนบุคคลนั้นมา นอกจากนั้นยังมีสิทธิที่จะขอให้โอนข้อมูลส่วนบุคคล จากผู้ให้บริการรายหนึ่งไปอีกรายหนึ่งได้ รวมไปถึงการคัดค้านการเก็บข้อมูล การขอให้ลบ หรือทำลายข้อมูล การเพิกถอนความยินยอมที่เคยให้ไป การระงับการให้ใช้ข้อมูล และการขอให้แก้ไขข้อมูลส่วนบุคคลที่เคยให้ไป
4. บทลงโทษสำหรับผู้ไม่ปฏิบัติตาม
พ.ร.บ. PDPA มีเป้าหมายสำคัญเพื่อปกป้องคุ้มครองมิให้ผู้ใดที่ไม่หวังดี นำข้อมูลส่วนบุคคลของผู้อื่น ไปใช้ประโยชน์ในทางที่ขัดต่อกฏหมาย ไม่ได้รับความยินยอม รวมไปถึงสร้างผลกระทบและความเสียหายต่อผู้เป็นเจ้าของข้อมูล โดยหากบุคคล หน่วยงาน บริษัทใดฝ่าฝืน ดำเนินการใด ๆ ที่ขัดต่อกฏหมายนี้ จะได้รับการลงโทษ ทั้งทางแพ่ง ซึ่งจะต้องชดใช้ค่าเสียหายที่เกิดขึ้น และอาจจะต้องชดใช้ค่าสินไหมอื่น ๆ เพิ่มเติม ไม่เกิน 2 เท่าของค่าเสียหายจริง และทางอาญา จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
5. องค์กรธุรกิจต้องดำเนินการอย่างไรให้เป็นไปตามกฏหมาย
กฏหมาย PDPA เมื่อมีการประกาศใช้ในราชอาณาจักร ทุกคนจำเป็นต้องปฏิบัติตาม โดยองค์กรธุรกิจ ควรมีการวางแผนการดำเนินเพื่อความพร้อมในการนำไปใช้งาน ทั้งการสร้างความเข้าใจแก่คนในองค์กร การจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูล มีการวางแผนการจัดเก็บข้อมูลต่าง ๆ ของผู้เกี่ยวข้องอย่างเป็นระบบ การสำรองข้อมูล และมีระบบป้องกันไม่ให้ข้อมูลรั่วไหล มีการนำไปใช้เพื่อเป้าหมายและวัตถุประสงค์ที่ได้มีการแจ้งแก่ผู้เป็นเจ้าของข้อมูลไว้เท่านั้น
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ. PDPA แม้จะเป็นเรื่องใหม่สำหรับคนไทย แต่ก็ไม่ใช่สิ่งที่ควรเพิกเฉย ไม่ปฏิบัติตาม โดยภาคธุรกิจ ไม่ว่าจะเป็นในนามบริษัท หรือบุคคล ควรมีการจัดทำช่องทางและรายละเอียดที่เกี่ยวกับการจัดเก็บ และใช้ประโยชน์จากข้อมูลแจ้งให้ลูกค้าทราบ รวมไปถึงจัดเก็บข้อมูลต่าง ๆ ของลูกค้าเท่าที่มีความจำเป็น และได้รับความยินยอมจากลูกค้า รวมทั้งเก็บรักษา และใช้ประโยชน์ตามที่ได้สร้างความเข้าใจไว้เท่านั้น ทั้งนี้เพื่อป้องกันไม่เกิดปัญหาที่จะสร้างความเดือนร้อน และส่งผลกระทบต่อผู้เป็นเจ้าของข้อมูลรวมไปถึงผู้จัดเก็บ และควบคุมข้อมูลด้วย
อ่านเพิ่มเติม: สร้างความประทับใจ