PDPA คืออะไร?
คุณพร้อมหรือยังที่จะปรับเปลี่ยนการใช้ข้อมูลในธุรกิจของคุณ
ทุกคนคงเคยได้ยินคำว่า PDPA กันมาพอสมควรในช่วง 2-3 ปีที่ผ่านมา ซึ่งทำให้ธุรกิจหลายธุรกิจต้องหันมาให้ความสนใจ ไม่ว่าจะเป็นด้านกฎหมายหรือการปฏิบัติตามเพื่อให้ข้อมูลส่วนตัวของลูกค้ามีความปลอดภัย และถูกจัดเก็บอย่างถูกต้อง
ในความเป็นจริงแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ก่อนหน้านี้เป็นเวอร์ชันอื่น ๆ มาก่อน เช่น พ.ร.บ.คอมพิวเตอร์ เป็นต้น ที่จะถูกนำมาใช้แต่ก็ถูกเลื่อนออกไปก่อน และได้มาจบที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งความกระตือรือร้นที่จะให้ความสำคัญกับข้อมูลส่วนบุคคลมากขึ้น อาจะเป็นผลมากจากต่างประเทศหรือทางสหภาพยุโรปได้ออกระเบียบ ระเบียบคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล หรือ General Data Protection Regulation (GDPR) ที่เริ่มขึ้นจริงจังในปี พ.ศ. 2561 นอกจากนี้อาจเป็นผลมาจากในยุคดิจิทัลเราต่างแลกเปลี่ยนข้อมูลกันได้ง่ายมากขึ้น การคุ้มครองข้อมูลส่วนบุคคลของผู้อื่นถือเป็นเรื่องสำคัญและค่อนข้างละเอียดอ่อน ซึ่งทำให้ประเทศต่าง ๆ ตื่นตัวมากขึ้น โดยประเทศไทยก็ได้มี PDPA หรือ Personal Data Protection Act
PDPA คืออะไร? : เป็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลสามารถอนุญาตไม่ให้ข้อมูลถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ หรือต้องได้รับความยินยอมจากเราในฐานะผู้เป็นเจ้าของข้อมูลก่อน
หากถามว่าในปัจจุบันกฎหมายฉบับนี้มีผลมากแค่ไหน? ก็คงตอบได้แค่ว่า ต่อให้ทุกคนรวมถึงบริษัทส่วนใหญ่รับรู้ว่า ข้อมูลส่วนตัวของลูกค้าเป็นสิ่งสำคัญ แต่ก็ยังมีคนฉวยโอกาสในการซื้อ-ขายหรือขโมยข้อมูล เพื่อให้ได้ข้อมูลเหล่านี้ไปใช้ในทางที่ผิด ตัวอย่างที่เห็นได้ชัดในขณะนี้และเป็นกระแสในโซเชียลมีเดียเป็นอย่างมาก คือการโดนคอลเซ็นเตอร์โทรมาหลอกว่าเป็นหน่วยงานรัฐ หรือผู้จัดส่งพัสดุ ซึ่งหลอกเงินจากผู้เสียหายและสร้างความรำคาญให้กับเจ้าของข้อมูลเป็นอย่างมาก โดยอาชญากรเหล่านี้มีทั้งชื่อ-นามสกุล รวมถึงเบอร์โทรศัพท์ ที่เป็นข้อมูลส่วนบุคคล ตัวอย่างนี้คือการใช้ข้อมูลส่วนบุคคลโดยที่เจ้าของข้อมูลไม่อนุญาต ถึงแม้จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยแล้วก็ตาม แต่เหมือนจะยังไม่ได้ผลอย่างจริงจัง เพราะการจับตัวคอลเซ็นเตอร์เหล่านี้ค่อนข้างซับซ้อน
วิธีการแก้ปัญหาเบื้องต้นคือ ดูที่เบอร์โทรศัพท์ที่โทรเข้ามามีความน่าเชื่อถือมากเพียงใด หากเป็นเบอร์โทรศัพท์ที่มีรหัสนำหน้าเป็นเบอร์ของต่างประเทศ ไม่จำเป็นต้องรับสาย ถ้าเป็นของไทยจะเป็น +66 หรือถ้าหากรับสายทางคนโทรไม่ได้เป็นรู้จักให้วางสายทันที และใช้แอปพลิเคชัน Whoscall ในการตรวจสอบเบอร์โทรศัพท์ก่อนรับสายก็ทำได้เช่นกัน
ฉะนั้นหากคุณเป็นหนึ่งในบริษัทที่ต้องจัดเก็บข้อมูลส่วนบุคคลของลูกค้า คุณต้องคิดอยู่เสมอว่า ข้อมูลของลูกค้าคือสิ่งสำคัญ หากคุณนำข้อมูลไปใช้จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ไม่ว่าจะเป็น ชื่อ-นามสกุล, เบอร์โทรศัพท์, ที่อยู่, อายุ, เลขบัตรประจำตัวประชาชน และอื่น ๆ เพราะถ้าคุณนำไปใช้โดยไม่ขอเจ้าของก่อน บริษัทของคุณอาจได้รับบทลงโทษ ซึ่งอาจทำให้ภาพลักษณ์ของบริษัทเสียได้ โดยบทลงโทษของ PDPA มีดังต่อไปนี้ที่บริษัทควรจำไว้เสมอ
บทลงโทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) แบ่งเป็น 3 ประเภท ดังนี้
โทษทางอาญา : โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับโทษทางอาญาแบ่งออกได้ 2 กรณี คือ
- การใช้หรือเปิดเผยข้อมูลที่เป็นข้อมูลอ่อนไหว ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกเกลียดชัง ถูกดูหมิ่น หรือได้รับความอับอาย
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
หมายเหตุ : ข้อยกเว้น
- - การเปิดเผยข้อมูล เพื่อประโยชน์แก่การสอบสวนคดีหรือพิจารณคดี
- - การเปิดเผยข้อมูลกับหน่วยงานของรัฐที่มีอำนาจทางกฎหมาย ไม่ว่าจะเป็นในประเทศหรือต่างประเทศ
- - การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
- - การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ
โทษทางแพ่ง : ค่าสินไหมทดแทน เป็นการจ่ายค่าสินไหมไม่เกิน 2 เท่า
ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลได้รับความเสียหาย จะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ โดยมีข้อยกเว้น ดังต่อไปนี้
- - หากกรณีนี้เกิดจากเหตุสุดวิสัยที่พิสูจน์ได้
- - เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล
- - เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย
หมายเหตุ : ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือ คน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลโดยใช้ข้อมูลอะไร ที่ไหน และเพื่ออะไร ส่วนผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่มีหน้าที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
โทษทางปกครอง : มีบทลงโทษทางปกครองสูงสุดไม่เกิน 5,000,000 บาท หรือในกรณีที่คณะกรรมการผู้เชี่ยวชาญเห็นสมควรซึ่งแบ่งออกเป็น 3 ส่วนด้วยกัน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่น ๆ
โทษของผู้ควบคุมข้อมูลส่วนบุคคล
- - ไม่ขอความยินยอมหรือไม่แจ้งผลกระทบจากการถอนความยินยอม
- - ไม่แจ้งการเก็บข้อมูลส่วนบุคคล
- - ไม่ให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงข้อมูลตามสิทธิ
- - ไม่ทำบันทึกรายการตามที่กฎหมายกำหนด
- - ไม่มีเจ้าหน้าที่หรือไม่จัดให้มีเจ้าหน้าที่ดูแลข้อมูลส่วนบุคคลอย่างเพียงพอ
- - เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
- - ใช้ข้อมูลส่วนบุคคลผิดไปจากวัตถุประสงค์ที่แจ้งเอาไว้
- - เก็บข้อมูลส่วนบุคคลเกินกว่าที่จำเป็น
- - เก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ต้องห้ามตามกฎหมาย
- - ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- - ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
โทษของผู้ประมวลผลข้อมูลส่วนบุคคล
- - การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือไม่มีการสนับสนุนการปฏิบัติหน้าที่อย่างเพียงพอ
- - การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
- - การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
- - การโอนข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
บทลงโทษทางปกครองอื่น ๆ
- - ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
- - ไม่ปฏิบัติตามคำสั่งคณะกรรมการผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
- - การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- - การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ดังนั้นบริษัทคุณพร้อมหรือยังที่จะปรับเปลี่ยนการใช้ข้อมูลในธุรกิของคุณ เพื่อให้ข้อมูลส่วนบุคคลสามารถนำไปใช้ได้อย่างถูกต้อง