การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (พ.ศ. 2562) หรือ PDPA (Personal Data Protection Act) 1 มิ.ย. 2565 หลังเลื่อนมาแล้ว 2 ปี เป็นสิ่งที่หลายฝ่ายให้ความสนใจและตื่นตัวกันอย่างมาก ด้วยว่าเป็นเรื่องที่เกี่ยวกับประชาชนทุกคน
โดยหลักการสำคัญของกฎหมายกำหนดให้องค์กร หรือบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีมาตรการในการบริหารจัดการ และดูแลความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอม และสามารถถอนความยินยอมเมื่อใดก็ได้ ถ้าไม่มีข้อจำกัดสิทธิ เช่น มีกฎหมาย ที่กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ก่อน
- ล้งกระหน่ำทุบราคามังคุด จากโลละ 200 เหลือ 60 บาท
- “ทางรัฐ” ซูเปอร์แอปแห่งชาติ รองรับแจกเงินดิจิทัล 10,000 บาท
- ทูลเกล้า 11 รายชื่อคณะรัฐมนตรี เศรษฐา 1/1 ออก 4 เข้าใหม่ 6 ตำแหน่ง
ย้ำแนวกำกับ “เบาไปหาหนัก”
นายเธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า การคุ้มครองข้อมูลส่วนบุคคลเป็นการสร้างกฎเกณฑ์สําคัญในการสร้างความเชื่อมั่นให้ประชาชนว่า ข้อมูลส่วนบุคคลจะมีการนําไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแล
มีการกําหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้องค์กรใช้ข้อมูลในทางที่ไม่ก่อให้เกิดการละเมิดสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมากเกินไป ทั้งความเป็นสากลของ PDPA จะมีส่วนในการช่วยเพิ่มขีดความสามารถเศรษฐกิจดิจิทัลให้กับประเทศ
สิ่งที่องค์กรต่าง ๆ ควรทำในช่วงเริ่มต้น คือ ประกาศ Privacy Notice ให้ประชาชนทราบว่า บริษัทมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลอย่างไร ตามกรอบที่ทำได้จริง
“ไม่ต้องกลัวว่าผิดหรือถูก ขอให้ทำขึ้นมาก่อน ปรับแก้ได้ทีหลัง ถ้าองค์กรมีปัญหาเกี่ยวกับข้อมูลส่วนบุคคล กรรมการผู้เชี่ยวชาญจะเรียก Privacy Notice มาดู พร้อมตรวจสอบร่วมกับระบบรักษาความปลอดภัยข้อมูลว่าเป็นไปตามมาตรฐานหรือเปล่า ซึ่งแนวทางการพิจารณา และกำกับการบังคับใช้จะเริ่มจากเบาไปหนัก
คือ มีการตักเตือนให้แก้ไขก่อนลงโทษ ไม่อยากให้มีการฟ้องร้องเกิดขึ้น การพิจารณาบทลงโทษจะดูที่เจตนาเป็นหลัก ว่ามีการใช้ข้อมูลที่ผิดจริงหรือไม่ เช่น กรณีองค์กรธุรกิจทำระบบไว้ดีแล้ว แต่โดนแฮกข้อมูล ก็คงไม่ใช่ว่าอยากโดนแฮก ต้องดูเป็นรายกรณี เป็นต้น”
ส่วนที่มีความกังวลถึงบทลงโทษ เช่น โทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาทนั้น คณะกรรมการกำลังยกร่างเพื่อกำหนดโทษจากเบาไปหาหนัก เพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่าง ๆ มากเกินไป
ค่ายมือถือโชว์ความพร้อม
นายสตีเฟ่น แฮลวิก รักษาการรองประธานเจ้าหน้าที่บริหาร กลุ่มกิจการองค์กร ดีแทค เปิดเผยว่า การดูแลข้อมูลส่วนบุคคลเป็นทั้งนโยบายและหลักการดำเนินธุรกิจของบริษัท เพราะเป็นสิทธิมนุษยชนของคนทั่วโลก และกุญแจเปิดสู่ชีวิตดิจิทัลที่มีมูลค่า การที่ลูกค้าจะไว้ใจมอบกุญแจให้ก็ต้องทำให้ปลอดภัย ซึ่งในฐานะผู้ให้บริการโทรคมนาคม
มีหน้าที่สำคัญในการเคารพหลักความเป็นส่วนตัว และเสรีภาพในการแสดงออก โดยดีแทคเป็นบริษัทในกลุ่มเทเลนอร์ที่ดำเนินมาตรฐานความปลอดภัยตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (GDPR) อยู่แล้ว จึงพร้อมปฏิบัติตาม PDPA ของประเทศไทย
มีกระบวนการ “เก็บรวบรวม-ใช้ และเปิดเผย” คือ 1.เก็บรวบรวม จัดเก็บข้อมูลที่เป็นประโยชน์ และจำเป็นต่อการให้บริการ ทั้งข้อมูลที่ระบุตัวตน ทางตรงและทางอ้อม 2.ใช้ มีการใช้ข้อมูลตรงตามวัตถุประสงค์ที่แจ้ง เพื่อนำเสนอสิทธิประโยชน์สินค้า และบริการที่ตรงความต้องการ เพื่อให้ลูกค้าได้ประโยชน์สูงสุด และ 3.เปิดเผย ตามหลักเกณฑ์และเงื่อนไขการดูแลคุ้มครองข้อมูลตามที่กฎหมายกำหนด
ด้าน นางสายชล ทรัพย์มากอุดม หัวหน้าฝ่ายงานประชาสัมพันธ์ บมจ.แอดวานซ์ อินโฟร์ เซอร์วิส (เอไอเอส) กล่าวว่า ในฐานะที่มีลูกค้ากว่า 44.6 ล้านเลขหมาย รวมลูกค้าองค์กรตั้งแต่ SMEs ถึงองค์กรขนาดใหญ่มีภารกิจในการจัดการระบบฐานข้อมูลสารสนเทศ
ทั้งข้อมูลจากการดำเนินธุรกิจ และข้อมูลส่วนบุคคลของลูกค้าให้ปลอดภัยสูงสุด ตามนโยบาย และแผนความยั่งยืนด้านการปกป้องระบบสารสนเทศ และคุ้มครองข้อมูลส่วนบุคคลของลูกค้า นับจากวันที่กฎหมาย PDPA ประกาศในราชกิจจานุเบกษาตั้งแต่ปี 2562 ก็มีการกำกับดูแล ศึกษา ปรับปรุง พัฒนาเครื่องมือ และกระบวนการทำงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องอย่างสม่ำเสมอ จึงพร้อมต่อการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ความเข้าใจผิดเกี่ยวกับกฎหมาย
นายมนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล ดีแทค กล่าวว่า ที่ผ่านมาอาจมีความเข้าใจผิดเกี่ยวกับกฎหมาย PDPA ใน 3 ส่วน 1.เจตนาดี ไม่ใช่สิ่งที่ดีเสมอไป กล่าวคือการนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ต้องได้รับการยินยอมก่อนเสมอ แม้องค์กรจะนำข้อมูลไปใช้เพื่อประโยชน์ของลูกค้า เช่น เจตนาดีนำข้อมูลลูกค้าไปพัฒนาบริการเสริม หรือมีข้อเสนอดี ๆ เช่น ให้ข้อมูลลูกค้ากับบริษัทไอศกรีมเพื่อให้บริษัทไอศกรีมทำแพ็กเกจแลกส่วนลด 50%
แต่ถ้าลูกค้าบอกว่า ไม่ชอบ ก็เป็นการละเมิดแล้ว เป็นต้น เพราะวัตถุประสงค์ไม่ตรงตามความต้องการของลูกค้าที่ทำสัญญาให้บริการโทรคมนาคมไว้ 2.ความปลอดภัยไม่เท่ากับความเป็นส่วนตัว แม้องค์กรจะมีขั้นตอนการเก็บรักษาข้อมูลที่ปลอดภัย แต่ไม่ได้หมายความว่า องค์กรจะไม่เข้าถึงหรือไม่นำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดวัตถุประสงค์ เช่น บริติช แอร์ไลน์ และกูเกิล โดนปรับจาก กม. GDPR เพราะขอความยินยอมคลุมเครือ และ 3.ไม่ใช่แค่การเปิดเผยข้อมูล แค่เข้าถึงข้อมูลลูกค้าโดยไม่จำเป็นก็ผิดแล้ว
สิ่งที่ประชาชนควรรู้-PDPA ไม่ใช่ไม้กายสิทธิ์
อย่างไรก็ตาม สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่ข้อมูลเพื่อสื่อสารทำความเข้าใจเกี่ยวกับ กม.ดังกล่าวอย่างต่อเนื่อง เช่น 1.การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่น โดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
2.ถ้านำคลิป หรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดีย ทำได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล 3.ติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
และ 4.ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลทุกครั้ง ก่อนนำข้อมูลไปใช้ หากการใช้ข้อมูลดังกล่าวเป็นการทำตามสัญญา/เป็นการใช้ที่มีกฎหมายให้อำนาจ/ใช้เพื่อรักษาชีวิต และหรือร่างกายของบุคคล/ใช้เพื่อการค้นคว้าวิจัยทางสถิติ/ใช้เพื่อประโยชน์สาธารณะ และเพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง เป็นต้น
ด้าน อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า สิ่งที่ประชาชนควรรู้ คือ กฎหมายให้สิทธิในข้อมูลของเรามากขึ้น จึงต้องเรียนรู้ว่าจะใช้สิทธิอย่างไรให้เกิดประโยชน์สูงสุด ในการยินยอม ยกเลิก หรือแก้ไขข้อมูลส่วนบุคคลที่ให้ไปกับองค์กรต่าง ๆ ทั้งเป็นการเพิ่มหน้าที่ให้องค์กร เนื่องจากชีวิตคนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลมากขึ้น
“เป็นการเปลี่ยนแปลงทางวัฒนธรรมการทำงานกับข้อมูล จึงต้องใช้เวลาเพื่อสื่อสารทำความเข้าใจ ในระยะยาวจะทำให้การใช้ข้อมูลมีประสิทธิภาพมากขึ้น ส่งผลถึงวัฒนธรรมการใช้เหตุผลมาถกเถียงกันของสังคมด้วย”
ส่วนการละเมิดสิทธิเสรีภาพบุคคล กรณีการถ่ายภาพ กม.นี้ไม่ได้เข้ามายุ่งในส่วนชีวิตปกติถ่ายรูป เล่นโซเชียลได้ปกติ เรื่องการโพสต์และส่งต่อข้อมูลที่ละเมิดสิทธิเสรีภาพบุคคลนั้น มีกฎหมายอื่นให้ความคุ้มครองอยู่แล้ว สามารถฟ้องร้องทางแพ่งและอาญาได้ ทั้งมองว่าเป็นมารยาททางสังคมที่เราต้องจัดการเอง
อาจารย์ฐิติรัตน์ย้ำว่า PDPA ไม่ใช่ไม้กายสิทธิ์ เป็นการป้องกันในเบื้องต้น ส่วนการป้องปรามอาจต้องใช้เทคโนโลยี และหน่วยงานอื่น ๆ ช่วย เช่น ปัญหาคอลเซ็นเตอร์หลอกลวงแต่ข้อมูลส่วนบุคคลที่รั่วไหลไปก่อนที่กฎหมายนี้จะบังคับใช้ก็มีไม่น้อย จึงต้องมีหน่วยงานเฉพาะจัดการ เช่น กสทช.จะมีเครื่องมือร่วมกับโอเปอเรเตอร์ช่วยป้องกันและปราบปราม
- พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA เริ่ม 1 มิ.ย. เปิด 4 เรื่องไม่จริงต้องรู้
- PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลคืออะไร ? รวมเรื่องต้องรู้ โทษสูงสุด
- พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ตำรวจเตือนสิ่งที่ประชาชนควรรู้
- ราชกิจจาฯประกาศ “22 หน่วยงานและกิจการ” ไม่ต้องอยู่ภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล
-
พ.ร.บ.ข้อมูลส่วนบุคคลฉบับใหม่ ฝ่าฝืนโทษจำคุกสูงสุด 6 เดือน ปรับ 5 แสน
