ผู้ประกอบการเตรียมปรับตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ผู้ประกอบการเตรียมปรับตัว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้จริงปี 63 นี้!

ในปัจจุบันนับว่าเรื่องของเทคโนโลยี เข้ามามีบทบาทสำคัญต่อทุกคนมาก ไม่ว่าจะเป็นเรื่องของความสะดวกสบาย การเดินทาง การชำระสินค้า การเล่น Social Media หรือแม้กระทั่งการทำธุรกิจบน Platform Online เมื่อเทคโนโลยีเข้ามามีบทบาท ในการใช้ชีวิตประจำวันของทุก ๆ คน และมีบทบาทในการทำงานของทุกคนเช่นกัน เพราะเริ่มนำเทคโนโลยีเข้ามาใช้ทำงานในรูปแบบของ Information Technology ในการทำงานของผู้คน และมีส่วนในการจัดเก็บข้อมูลส่วนบุคคลมากขึ้น มีการเปิดเผยข้อมูลส่วนตัวทาง Social Media เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ พฤติกรรมการติดต่อสื่อส่าร ที่สามารถระบุถึงถึงตัวเจ้าของข้อมูลได้ เรียกว่า “ข้อมูลส่วนบุคคล” ซึ่งข้อมูลส่วนบุคคลนี้จะอยู่ในรูปแบบของการตั้งค่า Profile การโพสต์ Status การเช็คอินในสถานที่ต่างๆ หรือแม้แต่การสมัครสมาชิกบนเว็บไซต์ออนไลน์ก็จำเป็นต้องกรอกข้อมูลส่วนตัว ซึ่งสิ่งนี้ทำให้ผู้ประกอบการสามารถนำข้อมูลเหล่านี้ที่เป็นข้อมูลพฤติกรรมของผู้บริโภคมาวิเคราะห์เพื่อนำเสนอสินค้า และบริการได้ตรงกับกลุ่มเป้าหมาย และช่วยพัฒนาธุรกิจได้อย่างมาก

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกเป็นภาษาอังกฤษว่า PDPA (Personal Data Protection Act) กฎหมายฉบับนี้คือ การให้ความคุ้มครองข้อมูลส่วนบุคคล โดยห้ามไม่ให้ผู้อื่นนำข้อมูลไปใช้ เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์ เมื่อวันที่ 27 พฤษภาคม พ.ศ.2562 กฎหมายนี้ได้ผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) ก่อนที่สภาแต่งตั้งแห่งนี้จะหมดอายุการทำงานลง กฎหมายฉบับนี้ถูกร่างผ่านในยุคของรัฐบาลทหารเขียนข้อยกเว้นไว้อย่างกว้างขวาง โดยเฉพาะยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานความมั่นคง และแทบจะยกเว้นให้กิจการของรัฐไม่ต้องทำตามกฎหมายนี้ ดังนั้นการบังคับใช้กฎหมายฉบับนี้จึงมุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก

สำหรับผู้ประกอบการที่เคยเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือเคยนำข้อมูลมาเพื่อวิเคราะห์ และพัฒนาการขายหรือบริการธุรกิจของตนเอง ผู้ประกอบการเหล่านี้กำลังจะต้องรีบปรับตัวให้ทันการบังคับใช้กฎหมายฉบับใหม่ แต่ซึ่งกฎหมายนี้เป็นกฎหมายที่ถูกร่างขึ้นมาใหม่ ยังต้องให้เวลากับภาครัฐในการสร้างองค์กร และกลไกกำกับดูแลขึ้นมาก่อนยังไม่เริ่มบังคับใช้ทันที และภาคธุรกิจยังพอมีเวลาปรับตัวกับกฎหมายนี้ ยังมีเวลาในการวางระบบการเก็บข้อมูลของผู้บริโภค และการใช้ข้อมูลใหม่ เพื่อไม่ให้เป็นการละเมิดสิทธิส่วนบุคคลของผู้บริโภค หรือการใช้ข้อมูลส่วนบุคคลโดยการไม่ได้รับการยินยอมจากเจ้าของข้อมูล เพื่อเป็นการป้องกันไม่ให้ถูกลงโทษตามกฎหมาย และเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลอย่างมีมาตรฐาน

หลักการที่สำคัญตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ผู้ประกอบการควรทำความเข้าใจเพื่อปรับตัวให้ทัน

1. การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ

สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น เชื้อชาติ ความคิดทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ โดยการรับความยินยอมตามข้อมูลเหล่านี้ถูกระบุอยู๋ในมาตรา 19 , 83 , 26 , 79 อาทิ ผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์มิควรได้ โดยไม่ได้รับความยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

2. การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้

ในการยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล และเพื่อไม่ให้ผู้ประกอบการแอบวางข้อความยินยอมไว้เล็กๆ ไม่ให้เจ้าของข้อมูลสังเกตเห็น ผู้ประกอบการต้องให้อิสระในการตัดสินใจแก่เจ้าของข้อมูล หากเปลี่ยนใจก็มีสิทธิจะถอนความยินยอมเมื่อใดก็ได้ ผู้ประกอบการต้องจัดช่องทางไว้ให้ถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม อาทิ การกระทำใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิด 1,000,000 บาท

3. การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล

ตามมาตรา 23 กำหนดไว้ว่า แม้จะได้รับความยินยอมให้เก็บข้อมูลก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดที่เกี่ยวข้อง ได้แก่ วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ข้อมูลที่จะเก็บรวบรวม และระยะเวลาที่คาดหมายได้ว่าจะเก็บข้อมูลไว้ บุคคลหรือหน่วยงานที่ข้อมูลอาจจะถูกเปิดเผย ข้อมูลของผู้ประกอบการและตัวแทนที่เป็นผู้เก็บข้อมูล สถานที่ติดต่อ และวิธีการติดต่อ นอกจากน้ียังต้องแจ้งสิทธิของเจ้าของข้อมูลให้ทราบด้วย เช่น สิทธิเข้าถึงและขอสำเนาข้อมูล สิทธิขอให้ลบหรือทำลายข้อมูล ฯลฯ ตามมาตรา 82 กำหนดโทษไว้ว่า หากการกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล โทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง

แม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม แต่มาตรา 25 ต้องให้เจ้าของข้อมูลเป็นผู้กรอกข้อมูลและมอบให้โดยตรงผู้ประกอบการไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น ไม่สามารถค้นหาข้อมูลจากอินเทอร์เน็ตและบันทึกไว้เอง อย่างไรก็ตาม หลักการนี้มีข้อยกเว้นอยู่มากมาย ผู้ประกอบการยังสามารถเก็บข้อมูลจากแหล่งอื่นได้ ถ้าหากเมื่อเก็บข้อมูลแล้วได้แจ้งให้เจ้าของข้อมูลทราบพร้อมกับแจ้งสิทธิต่อเจ้าของข้อมูลแต่ผู้ประกอบการอาจจะไม่ต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมใหม่เลย หากเป็นกรณีที่เจ้าของข้อมูลทราบอยู่แล้ว หรือต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด หรือกฎหมายกำหนด การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

5. ธุรกิจใหญ่ ต้องมี "เจ้าหน้าที่คุ้มครองข้อมูล" ของตัวเอง

ผู้ประกอบการต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล”เป็นของตัวเอง โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำ และตรวจสอบการดำเนินการของผู้ประกอบการให้เป็นไปโดยถูกต้องตามกฎหมายนี้ ขณะเดียวกันเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลของตัวเอง และวิธีการติดต่อให้กับเจ้าของข้อมูล และให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ ผู้ประกอบการที่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มาตรา 85 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

6. การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อพิจารณาเรื่องร้องเรียนและตรวจสอบการกระทำของผู้ประกอบการ เมื่อเจ้าของข้อมูลเห็นว่า มีการเก็บข้อมูล ใช้ข้อมูล หรือเปิดเผยข้อมูลของตัวเองโดยปฏิบัติไม่ถูกต้องตามกฎหมายนี้ ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูลหรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

7. ข้อมูลคนตาย กฎหมายไม่คุ้มครอง

"ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ" ดังนั้น ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว จึงไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ สามารถทำได้โดยไม่ต้องขอความยินยมจากทายาทก่อน

8. บริษัทต่างชาติก็ไม่รอด คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าบริษัทตั้งอยู่ที่ใด

โลกยุคปัจจุบันการติดต่อสื่อสาร การส่งข้อมูล การเก็บข้อมูล และการใช้ข้อมูล เกิดขึ้นข้ามพรมแดนตลอดเวลา กฎหมายนี้จึงเขียนขอบเขตอำนาจการบังคับใช้ไว้กว้างขึ้นเป็นพิเศษ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ยังใช้บังคับกับ การเสนอขายสินค้าหรือบริการให้แก่คนที่อยู่ในประเทศไทย ไม่ว่า ผู้ประกอบการที่เก็บข้อมูล หรือใช้ข้อมูล หรือเปิดเผยข้อมูลจะอยู่ในประเทศหรือต่างประเทศก็ตาม

9. ฝ่าฝืนกฎหมายนี้ อาจโดน "ค่าเสียหายเชิงลงโทษ" จ่ายสองเท่า

ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย กรณีที่ศาลตัดสินให้ผู้ประกอบการต้องจ่ายค่าเสียหายแก่เจ้าของข้อมูล ตามมาตรา 78 ศาลมีอำนาจสั่งให้ผู้ประกอบการจ่าย "ค่าเสียหายเชิงลงโทษ" เพิ่มขึ้นจากจำนวนค่าเสียหายที่แท้จริงได้ตามที่ศาลกำหนด แต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริง โดยศาลอาจกำหนดให้จ่ายค่าเสียหายโดยคำนึงถึงความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ประกอบการได้รับจากข้อมูลส่วนบุคคล สถานะทางการเงินของผู้ประกอบการ ฯลฯ

ผู้ประกอบการยังมีเวลาเตรียมตัว เริ่มบังคับใช้ พ.ค. 63