สรุป 10 ข้อสำคัญที่ทุกคนต้องรู้ในกฎหมายPDPA
จากหนังสือ PDPA ฉบับเข้าใจง่าย
.
1. กฎหมาย PDPA คืออะไร
PDPA ย่อมาจากPersonal Data Protection Act
ชื่อภาษาไทยคือ พรบ. คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562
ดังนั้นกฎหมายฉบับนี้จึงเกี่ยวข้องกับทุกคนที่มีหรือใช้“ข้อมูลส่วนบุคคล”
วัตุประสงค์ที่ต้องมีกฎหมายฉบับนี้ก็เพื่อ กำหนดกรอบการใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็น และไม่ให้กระทบสิทธิของเจ้าของข้อมูลส่วนบุคคล
.
.
2. ใครต้องรู้กฎหมายPDPA บ้าง
1) เจ้าของข้อมูลส่วนบุคคล (Data subject)
ต้องเข้าใจสิทธิของตัวเองในการควบคุมการที่บุคคลอื่นจะใช้ข้อมูลของเรา
.
2) องค์รธุรกิจ
เข้าใจหน้าที่และความรับผิดชอบในการนำข้อมูลส่วนบุคคลของคนอื่นมาใช้
.
3) พนักงานบริษัท
โดยเฉพาะฝ่าย HR/ sales/ marketing/ IT ที่ต้องเข้าใจบทบาทและความรับผิดชอบในการใช้ข้อมูลส่วนบุคคลของคนอื่น
.
4) บุคคลทั่วไปที่ทำธุรกิจ
รวมถึงพ่อค้าแม่ค้าออนไลน์ฟรีแลนซ์ที่มีการเก็บและใช้มูลของคนอื่นจะได้ทำได้อย่างถูกต้อง
.
.
3. ทำไมต้องมีกฎหมายPDPA
ประเด็นหลักคือการช่วยให้เจ้าของข้อมูลส่วนบุคคลได้รับความคุ้มครองปกป้องสิทธิของตัวเองได้มากขึ้นรวมถึงสามารถควบคุมข้อมูลส่วนบุคคลของตนได้มากขึ้น
ในขณะที่องค์กรธุรกิจหรือแม่ค้าออนไลน์ก็ต้องใช้ข้อมูลส่วนบุคคลอย่างระมัดระวังมากขึ้นและมีขั้นตอนการดำเนินการที่มากขึ้นด้วย
.
เพราะทุกวันนี้มีการนำข้อมูลส่วนบุคคลออกมาใช้กันมากมายจนหลายครั้งสร้างผลกระทบให้เจ้าของข้อมูล
เช่น การที่อยู่ๆมีคนโทรมาเสนอขายประกันหรือส่งอีเมลspam ต่างๆมาโดยไม่รู้ว่าเขาได้ข้อมูลเรามาได้อย่างไรและเราต้องดำเนินการยังไงบ้าง
.
4. หลักการสำคัญ 2 ประการของกฎหมาย PDPA
1) ใช้ข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นเท่านั้น (Necessity)
2) ต้องมีการแจ้งเจ้าของข้อมูลให้ทราบล่วงหน้าว่าข้อมูลส่วนบุคคลนั้นได้รับมาจากไหน และจะถูกนำไปใช้อย่างไร (No surprise)
.
.
5. ข้อมูลส่วนบุคคลคืออะไร
ข้อมูลส่วนบุคคล ภาษาอังกฤษเรียกว่า Personal Identifiable Information (PII)
เป็นข้อมูลที่ทำให้สามารถเชื่อมโยงระบุตัวตนของคนที่ยังมีชีวิตอยู่ได้
ดังนั้นพวกข้อมูลนิติบุคคล หรือข้อมูลบริษัทจึงไม่นับเป็นข้อมูลส่วนบุคคล
.
ข้อมูลส่วนบุคคลรวมถึง ชื่อ-นามสกุล บัตรประชาชน รูปถ่าย เบอร์โทรศัพท์ บัญชีธนาคาร นามบัตร Line ID Facebook account
หรือแม้กระทั่งเลขรหัสที่บริษัทใช้ระบุตัวลูกค้า ก็นับเป็นข้อมูลส่วนบุคคล เพราะสามารถเชื่อมโยงถึงตัวบุคคลได้
.
.
6. ข้อมูลส่วนบุคคลอ่อนไหว คืออะไร
ข้อมูลบุคคลอ่อนไหว (Sensitive PII) คือ ข้อมูลที่มีความละเอียดอ่อน และมีความสุ่มเสี่ยงต่อการใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ หรือรูม่านตา ที่ใช้แสกนเข้าโทรศัพท์
- ข้อมูลสุขภาพ
- เชื่อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสหภาพแรงงาน
- ข้อมูลอื่น ๆ ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศเพิ่มเติม
.
ถามว่าข้อมูลบุคคลอ่อนไหว ต่างจากข้อมูลส่วนบุคคลยังไง
ด้วยความอ่อนไหวของข้อมูล การนำไปใช้อย่างไม่ถูกต้องจึงมีโทษปรับที่รุนแรงกว่า และการจะนำข้อมูลไปใช้ได้ ก็ต้องขอความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง
.
.
7. รู้จักผู้ที่อาจเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล
แบ่งได้เป็น 2 ประเภทใหญ่ ๆ คือ
1) Data controller (DC) หรือ ผู้ควบคุมข้อมูล ทำหน้าที่ตัดสินใจเก็บ และใช้ข้อมูลส่วนบุคคล เช่น บริษัทและแม่ค้าขายของ
2) Data processor (DP) หรือ ผู้ประมวลผลข้อมูล ส่วนใหญ่จะทำตามคำสั่งของ DC เช่น บริษัทส่งของ บริษัทจัดหางาน
.
ดังนั้นแล้ว ทั้งบริษัท แม่ค้า เมสเซนเจอร์ส่งของ รวมถึงบริษัทตรวจสอบบัญชีและ Marketign agency ล้วนแล้วแต่เกี่ยวข้องกับกฎหมาย PDPA ทั้งสิ้น ถ้าไม่ทำตามหลักเกณฑ์และขั้นตอนอย่างถูกต้อง ก็อาจเข้าข่ายมีความผิด และอาจถูกลงโทษได้
.
.
8. PDPA คุ้มครองตั้งแต่ตอนเริ่มเก็บข้อมูล ต่อเนื่องตลอดระยะเวลาที่ข้อมูลยังอยู่ในครอบครอง
ตั้งแต่เริ่มไปเก็บข้อมูล ใช้งาน รักษา และส่งต่อ
ดังนั้นแม้จะเป็นข้อมูลพนักงานเก่ากว่า 10 ปีที่แล้ว ก็ยังถือว่าอยู่ภายใต้การกำกับดูแลของ PDPA อยู่
.
.
9. หน้าที่หลัก 4 ประการของ Data controller (DC)
1) ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพราะยิ่งประมวลผลมาก ก็ยิ่งมีความเสี่ยงมาก และควรมีการบันทึกการประมวลผลไว้อย่างชัดเจน
เรื่องความจำเป็นมีการกำหนดไว้อย่างชัดเจน เช่น ตามฐานกฎหมาย ฐานการทำประโยชน์ต่อสาธารณะรัฐ ฐานการทำวิจัย ฐานการระงับอันตรายเป็นต้น
.
2) แจ้งการประมวลผลข้อมูล แจ้ง Privacy notice กับเจ้าของข้อมูล และขอความยินยอมในกรณีที่จำเป็น
เรื่องการขอความยินยอมก็มีรายละเอียดปลีกย่อย เช่นการขอถอนความยินยอมต้องทำได้ง่าย เช่นเดียวกับตอนที่ขอ
.
3) ต้องจัดให้มีการรักษามาตรฐานความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม ระบบในบริษัทต้องมีการรักษาความปลอดภัยที่ดี ถ้าเกิดเหตุข้อมูลรั่วไหล ต้องมีมาตรการในการจัดการได้ รวมถึงแจ้งคณะกรรมการควบคุมดูแลข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
อาจต้องเข้าใจว่า เรื่องนี้ไม่ใช่เพียง security อย่างเดียว
เพราะ Privacy ≠ Security
เปรียบเหมือนการที่เราปิดกรงในบ้าน แต่ก็ยังมีช่องให้คนอื่นมองเห็นในบ้านเราอยู่ดี ข้อมูลจึงรั่วไหลได้
เราจึงควรปิดกรง พร้อมปิดผ้าม่านด้วย เพื่อป้องกันไม่ให้เกิดข้อมูลรั่วไหลเช่น กระดาษรีไซเคิลที่ดันทำมาจากสำเนาบัตรประชาชนของพนักงาน หรือพนักงานในบริษัทแอบเอาข้อมูลไปใช้ในเรื่องส่วนตัว
.
4) อาจแต่งตั้ง Data Protection officer (DPO) ในกรณีที่มีการประมวลข้อมูลส่วนบุคคลที่มีความอ่อนไหวสม่ำเสมอ และในกรณีของหน่วยงานรัฐ รัฐวิสาหกิจ และราชการ
ถ้าไม่แต่งตั้ง DPO อาจถูกโทษปรับจำนวนมหาศาล
.
.
10. กรณีศึกษาการปรับใช้ PDPA ในสถานการณ์ต่าง ๆ
1) แม่ค้าออนไลน์ – ถ้ามีการเก็บข้อมูลลูกค้า ต้องส่ง Privacy notice แจ้งลูกค้าอย่างชัดเจน
2) การทำการตลาด – ถ้าทำแบบ broadcast กว้าง ๆ ใน Line offificial หรือตาม social media ถือว่าไม่ได้เข้าข่ายการใช้ PII
แต่ถ้าทำการตลาดแบบเจาะจงบุคคล เช่น ส่ง message ไปเฉพาะกลุ่มลูกค้า หรือยิง Ads ใส่ลูกค้ากลุ่มเฉพาะ ต้องมีการขอความยินอยมให้นำข้อมูลส่วนบุคคลไปใช้ในการทำการตลาด
.
3) การแชร์รีวิวจากลูกค้า ต้องขอความยินยอมจาก เจ้าของข้อมูลก่อน
4) การทำวิจัยการตลาด ถ้าไม่ได้เก็บแบบเจาะจงระบุตัวบุคคล ก็ไม่ต้องขอความยินยอม
5) Web cookies ถ้าไม่ใช่ Cookies ที่มีความจำเป็นที่จะทำให้เว็ปไซต์ใช้งานได้ ต้องขอความยินยอมต่อผู้ใช้งานในทุกกรณี
6) การเก็บข้อมูลอ่อนไหว เช่น ลายนิ้วมือ รูม่านตา ต้องขอความยินยอม แต่สามารถระบุเป็นเงื่อนไขในการทำงานตำแหน่งนั้น ๆ ได้
7) การขอดูกล้องวงจรปิด ทำไม่ได้เพราะจะมีภาพคนอื่นอยู่ด้วย ยกเว้นบางกรณีเช่น ตำรวจต้องดูเพื่อสืบหาคนร้าย
8) รูปถ่าย ถ้าถ่ายเซลฟี่แล้วติดคนอื่น ไม่เข้าข่าย PDPA เพราะไม่ได้นำไปใช้ในเชิงธุรกิจ แต่ถ้ามีการมาเก็บภาพงาน event เพื่อนำไปใช้ในเชิงพาณิชย์ ต้องมีการแจ้ง Privacy notice
.
.
รีวิวหลังอ่านสั้น ๆ
กฎหมาย PDPA เริ่มใช้ไปแล้วเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา
การทำความเข้าใจกฎหมายไว้แต่เนิ่นๆจึงมีความสำคัญมาก
โดยเฉพาะสำหรับบริษัทและคนขายของออนไลน์
ส่วนด้านผู้บริโภคเองก็มีความสำคัญพอสมควรเพราะการเข้าใจสิทธิของตัวเองก็ช่วยให้เราป้องกันสิทธิพื้นฐานและเรียกร้องต่อผู้ตรวจสอบเมื่อเกิดกรณีที่เข้าข่ายการทำผิดได้
.
ต้องยอมรับว่าหนังสือกฎหมายอ่านยากโดยธรรมชาติของมันเองอยู่แล้ว
แต่การทำเป็นฉบับการ์ตูนคือช่วยลดความยากไปได้ระดับหนึ่ง
และถึงจะไม่เข้าใจหมดแต่อย่างน้อยๆก็จะพอคุ้นๆกับหลักการพื้นฐานอยู่บ้าง
หรือถ้าตรงไหน จำไม่ได้ก็ยังเปิดกลับมาอ่านดูใหม่ได้
.
อย่างตัวผมเองไม่เคยเรียนกฎหมายมาก่อนเลยแม้แต่น้อย
การอ่านก็เรียกว่าไปแบบช้าๆ
แต่ก็พอจับคอนเซ็ปต์หลักของกฎหมายฉบับนี้ได้แม้จะยังไม่เข้าใจรายละเอียดทั้งหมดก็ตาม
เพราะฉะนั้น ไม่ค้องมีพื้นฐานทางกฎหมายมาก่อนก็น่าจะอ่านได้สบายครับ
.
หนังสือ PDPA ฉบับเข้าใจง่ายจัดทำโดยบริษัทEasy company group บริษัทที่รับงานที่ปรึกษาและการสร้างนวัตกรรมทางกฎหมายร่วมกับทีมงานขายหัวเราะ
การ์ตูนจึงดูสนุก น่าติดตามและเข้าใจง่าย
ยังไงใครสนใจอยากเข้าใจกฎหมายPDPA ฉบับพื้นฐานลองหาอ่านกันดูนะครับ
.
.
.
--------------------------------------------------------------
สั่งซื้อหนังสือ PDPA ฉบับเข้าใจง่ายได้ที่
m.me/iamthebestofficial
--------------------------------------------------------------
.
.
..........................................................................
ผู้เขียน: รับขวัญ ชลดำรงค์กุล (ขวัญ) และอมรเชษฐ์ จินดาภิรักษ์ (ทาโร่)
สำนักพิมพ์: EasyPDPA ในเครืออีซี คอมพานีกรุ๊ป
..........................................................................
.
.
.
