รู้จักกับ PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่จะเริ่มใช้ 1 มิถุนายน นี้
ในวันที่ 1 มิถุนายน 2565 นี้จะเป็นวันแรกที่มีผลการบังคับใช้กฎหมาย PDPA หรือ Personal Data Protection Act ที่แปลว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วนะครับ โดยเป็นกฎหมายที่ได้รับการสร้างและทำเป็นกฎหมายมาตั้งแต่ปี 2562 แล้วครับ แล้วมันเป็นยังไง ในบทความของ TamKung วันนี้เราจะมาพูดถึงเรื่องของกฎหมาย Personal Data Protection Act รู้ไว้จะได้ไม่เสียสิทธิ์กัน
ช่วงนี้หากเราได้เลื่อนดูตามโซเชียลมีเดีย เราอาจจะได้เห็นข่าวต่างๆ ว่าประเทศไทยของเราเตรียมตัวจะบังคับใช้กฎหมายสำหรับการคุ้มครองข้อมูลส่วนบุคคลกันแล้ว หลายคนที่ยังไม่รู้จัก ก็อาจจะรู้สึกตกใจ หรือไม่รู้ว่าต้องทำยังไงกับกฎหมายนี้นะครับ เพราะฉะนั้นวันนี้เดี๋ยวผมจะมาเล่าให้ฟัง ว่าทำไมต้องมี แล้วมีไวเพื่ออะไรกัน
จริงๆ แล้วกฎหมาย PDPA หรือชื่อเต็มๆ ก็คือ Personal Data Protection Act ครับ หรือถ้าให้แปลเป็นภาษาไทยก็คือกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้มีการร่างกฎหมายหรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในปี 2562 ที่ผ่านมา โดยมีไว้เพื่อให้ทุกคนได้ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้นครับ เพราะว่าในปัจจุบันนี้ เราก็เรียกได้ว่ามีการเก็บข้อมูลของเราไปเยอะมากๆ จากหลายๆ ที่ หากพวกเขาเอาไปใช้เพื่อความสะดวกสบายของเรา มันก็เป็นเรื่องที่ดี แต่หากพวกเขาเอาข้อมูลของเราไปขายต่อ หรือเอาข้อมูลไปทำในทางที่ไม่ดี ก็อาจจะส่งผลร้ายต่อเรานั่งเองครับ
แล้วก็ต้องบอกแบบนี้ก่อนที่หลายคนจะเข้าใจอะไรผิดนะครับ คือเจ้ากฎหมายตัวนี้ ไม่ได้มีแค่ในประเทศไทยแต่อย่างใด เพราะมันเป็นตัวกฎหมายที่มีการนำไปใช้ในหลายประเทศทั่วโลก โดยเฉพาะอย่างยิ่งในประเทศใหญ่ๆ เช่นสหรัฐฯ ญี่ปุ่น เกาหลี อินเดีย จีนและประเทศอื่นๆ มากกว่า 17 ประเทศครับ โดยที่อาจจะไม่ได้เป็นชื่อนี้โดยตรง แต่ก็จะมีตัวบทกฎหมายที่คล้ายๆกัน คือการปกป้องข้อมูลส่วนบุคคลนั่นแหละครับ
ทำไมถึงต้องมีกฎหมาย PDPA?
จริงๆ มันมีที่มาจากกฎหมายอย่าง GDPR หรือที่เรียกว่าเป็นกฎหมายที่เอาไว้คุ้มครองข้อมูลส่วนบุคคลของทางสหภาพยุโรป มีเพื่อการจัดการกับการเก็บข้อมูลส่วนบุคคล ซึ่งจะเป็นการช่วยป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูลนั่นเองครับ
ขอบเขตของกฎหมาย PDPA?
จริงๆ กฎหมายนี้ไม่ได้บังคับใช้แค่เฉพาะกับเหล่าบริษัทใหญ่ๆ เท่านั้นนะครับ แต่มันบังคับแก่ทุกธุรกิจเลย ซึ่งจะไปตกอยู่กับที่ธุรกิจที่ทำการตลาดหรือการค้า และให้บริการแก่คนไทยเรา โดยที่เหล่าผู้ให้บริการทุกรายที่ทำการใช้ข้อมูลส่วนตัวของลูกค้าจำเป็นต้องให้คุณลูกค้านั้นยินยอมต่อการใช้ข้อมูลเสมอ และต้องมีวิธีในการจัดการกับข้อมูลเหล่านี้ครับ
โดยจะมีการจำกัดที่แตกต่างกันไปในแต่ละหมวดข้อมูล เช่นข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่อ่อนไหว ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งอันนี้ผมขอไม่ลงรายละเอียดนะครับ เพราะว่ามันมีเรื่องของกฎหมายที่มาหลายมาตรา ซึ่งอาจจะงงได้ เอาเป็นว่าข้อมูลแต่ละประเภท ก็จะมีวิธีหรือกฎหมายการใช้งานที่แตกต่างกัน ลูกค้าหรือผู้บริโภคทั่วไปก็อาจจะไม่ต้องอ่านมันมาก หรือหากต้องการศึกษาข้อมูล ก็สามารถเข้าไปอ่านได้ที่เว็บไซต์ของราชกิจจานุเบกษาได้ครับ
ประโยชน์ที่ได้รับจากการทำ PDPA
ด้วยความที่ว่ากฎหมายนี้มันอาจจะส่งผลให้แก่ผู้คนในวงกว้าง เพราะฉะนั้นแล้วหากกฎหมายนี้ได้บังคับใช้แล้ว มันจะมีประโยชน์ต่อทั้งประชาชน หน่วยงานรัฐและเอกชน และต่อประเทศในระดับที่แตกต่างกัน
ส่วนของประชาชน
- สามารถรู้ได้ว่าการเก็บข้อมูลนั้นจะต้องเอาไปใช้กับอะไร
- เราสามารถขอให้ลบหรือแก้ไขข้อมูลส่วนบุคคลนั้นๆ ได้
- สามารถร้องเรียนหรือขอให้ชดใช้ค่าสินไหมได้ หากมีการเอาข้อมูลไปทำอย่างอื่นนอกจากที่ขอไว้
- ช่วยลดความเดือดร้อนที่อาจจะทำให้เกิดความเสียหาย จากการละเมิดของข้อมูลส่วนบุคคล
ส่วนของหน่วยงานรัฐและเอกชน
- สามารถช่วยยกระดับความเชื่อมั่นในมาตราฐานในการจัดเก็บข้อมูล
- มีขอบเขตในการเก็บข้อมูลที่ชัดเจน
- มีการดำเนินงานที่โปร่งใส
ส่วนของประเทศ
- มีมาตราการในการจัดการกับการใช้ข้อมูล เพื่อการส่งเสริมภาพลักษณ์ของประเทศ
- มีเครื่องมือที่จะช่วยในการกำกับดูแลข้อมูลส่วนบุคคล
ซึ่งมันอาจจะมีประโยชน์อีกหลายอย่างต่อผู้บริโภคหรือผู้ใช้บริการอย่างเราๆ นะครับ แต่ก็อาจจะมีความยุ่งยากต่อบริษัทหรือผู้ให้บริการอยู่สักหน่อย แต่ผมก็เชื่อว่าอีกไม่นานมันจะค่อยๆ ปรับตัวให้สามารถใช้งานได้อย่างราบรื่นครับ
ตัวอย่างโทษของการทำผิดกฎหมาย PDPA
แน่นอนครับว่า บทลงโทษของกฎหมายนี้จะมีในส่วนชองความผิดทั้ง ทางแพ่ง ทางปกครองและทางอาญาครับ โดยหากเป็นทางแพ่ง ก็จะมีการลงโทษในการจ่ายค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง หรือทางปกครอง ก็อาจจะโดนปรับถึง 1,000,000 บาท หรือยิ่งหากเป็นระหว่างประเทศ ก็มีโทษปรับสูงถึง 3,000,000 บาท และถ้าหากเป็นทางอาญา ก็มีโทษตั้งแต่ความผิดทำให้เกิดความเสียหายต่อชื่อเสียง ถูกดูหมิ่น ก็อาจจะถูกจำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 500,000 บาท หรือโทษอื่นๆ ก็จะมีความผิดที่ไล่เรียงกันไปครับ
แล้วต้องทำอะไรบ้าง?
ตอนนี้ในส่วนของภาคผู้ให้บริการ หรือบริษัทต่างๆ เองก็ต้องจัดทำข้อกำหนดที่เกี่ยวข้องกับ PDPA ทั้งหมดครับ ไม่ว่าจะเป็น
- การจัดทำแผนการใช้งานข้อมูลจากผู้ใช้บริการ ว่าจะใช้ทำอะไร อย่างไร และระยะเวลาเท่าไหร่
- การทบทวนนโยบายในการจัดการข้อมูล ข้อตกลง หรือแนวทางในการปฏิบัติต่อข้อมูล
- การปรับปรุงการประกาศความเป็นส่วนตัว รวมถึงขอความยินยอมในการใช้ข้อมูล
- เตรียมความพร้อมต่อพนักงานในการจัดการเกี่ยวกับ PDPA
- เตรียมพร้อมสำหรับการใช้งาน
ส่วนตัวผมมองว่า การมีกฎหมาย PDPA นั้นก็เป็นเรื่องที่ดีในการจัดการกับข้อมูลของผู้บริโภค หรือผู้ใช้งานนะครับ เพราะอย่างน้อยเราก็สามารถมั่นใจได้ว่า ทางบริษัทที่ได้เอาข้อมูลของเราไปนั้น จะไม่เอาข้อมูลเอาไปทำในสิ่งที่ไม่ดี หรือขายให้กับบริษัทอื่นๆ และเพื่อการรับประกันว่า ข้อมูลของเรานั้นจะปลอดภัยนั่งเอง แต่ผมก็เชื่อว่าในช่วงแรกๆ มันก็อาจจะยุ่งยากหรือติดปัญหาไปบ้าง ก็ต้องค่อยๆ ปรับตัว ค่อยๆ ปรับแก้ไขกันต่อไป เพื่อจะได้ป้องกันความเป็นส่วนตัวของลูกค้าของเรานั่นเองละครับ
ยกตัวอย่างเช่นสำหรับผู้ที่เขียนเว็บไซต์หรือทำ Blog ลงบนอินเทอร์เน็ต แล้วเรามีการใช้คำขอเก็บ Cookie เราก็จำเป็นจะต้องทำ PDPA ด้วยเช่นกันนะครับ เพราะถือว่าเป็นการขอเก็บข้อมูลของผู้ใช้งาน ดังนั้นผมเองก็ต้องไปทำเอกสารเพื่อขอใช้งานข้อมูลเหล่านั้น ต้องเขียนว่าเราจะเอาข้อมูลของผู้ใช้งานไปทำอะไร หรือจะเอาไปใช้กี่วัน เพื่อทำตามกฎหมายของ PDPA นั่นเองครับ
แล้วเพื่อนๆ มีความคิดเห็นอย่างไรเกี่ยวกับกฎหมายตัวนี้หรือไม่ สามารถมาลองพูดคุยหรือแลกเปลี่ยนความคิดเห็นกันได้นะครับ