PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เลื่อนอีกปี จาก 64 ไป 65 หากเริ่มประกาศใช้แล้ว จะส่งผลอย่างไรบ้าง

PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พูดง่าย ๆ ก็คือกฏหมายคุ้มครองข้อมูลส่วนตัวของบุคคลที่เข้าไปใช้งานอินเทอร์เน็ต ซึ่งในช่วงหลายปีที่ผ่านมาเราน่าจะพอเห็นได้แล้วว่าทั่วทั้งโลกนั้นให้ความสำคัญกับเรื่องของ “ความเป็นส่วนตัว” มากแค่ไหน จากข่าวที่แพลตฟอร์มยักษ์ใหญ่อย่าง Facebook (ปัจจุบันคือบริษัท Meta) โดนค่าปรับมหาศาล หรือบริษัทต่าง ๆ ที่โดนฟ้องเรื่องการละเมิดสิทธิส่วนบุคคลโดยการนำข้อมูลเชิงลึกไปใช้หรือออกมาขายโดยไม่ได้รับอนุญาต 

กลับมาที่บ้านเราที่เนื่องจากสถานการณ์ต่าง ๆ ทั้งการระบาดของ COVID-19 การเมืองและกฎหมายบังคับใช้ต่าง ๆ ที่ยังไม่มีข้อสรุป ล่าสุดก็ได้มีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA โดยเป็นกฎหมายที่ออกมาตั้งแต่เดือนพฤษภาคม  2562 ได้มีการเลื่อนจากเดิมให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 เป็นเดือนมิถุนายน 2565 แทน

ด้วยความที่ “ข้อมูล” นั้นเป็นสิ่งที่มีค่าเปรียบได้ดังน้ำมันในยุค Big Data นี้ ทำให้แต่ละประเทศก็จะมีนโยบายหรือมาตรการเพื่อออกมาคุ้มครองข้อมูลส่วนบุคคลของประชาชน ป้องกันการถูกละเมิดสิทธิความเป็นส่วนตัว อีกทั้งยังมีมาตรการเยียวยาหากเจ้าของข้อมูลถูกนำข้อมูลไปใช้โดยไม่ได้ยินยอม บทความนี้เราจะมาขยายความถึง PDPA ของไทยว่าคืออะไร มีรายละเอียดอย่างไรบ้างและทำไมคนทำ Digital Marketing ถึงต้องทำความเข้าใจ และศึกษาอย่างละเอียด

PDPA ย่อมาจากอะไร

PDPA ย่อมาจาก “Personal Data Protection Act” 

PDPA คืออะไร มีบทลงโทษอะไรบ้าง

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฉบับปี พ.ศ. 2562 ซึ่งได้มีการประกาศในราชกิจจานุเบกษาไปเป็นที่เรียบร้อยเมื่อวันที่ 27 พฤษภาคม 2562 (บางส่วน) และกำหนดจะบังคับใช้กฎหมายทั้งฉบับในวันที่ 27 พฤษภาคม 2563 แต่ล่าสุดมีการประกาศขยายเวลาออกไปอีก 1 ปี เท่ากับว่าพ.ร.บ. ฉบับนี้ (อาจจะ) มีผลบังคับใช้ในช่วงปลายเดือน 1 มิถุนายน 2565 ถือเป็นกฎหมายที่มีใช้กันในหลายประเทศ อาทิ สิงคโปร์ มาเลเซีย ซึ่งรายละเอียดจะแตกต่างกันไปตามแต่ละประเทศนั้นๆ

หลักการของ PDPA คือ จะคุ้มครองข้อมูลส่วนบุคคล หรือคุ้มครองตัวข้อมูลของผู้ใช้งานที่ถูกเก็บระหว่างใช้งานบนโลกออนไลน์ เช่น เว็บไซต์ต่างๆ จะเก็บข้อมูล เช่น ชื่อ-สกุล อีเมลล์ หรือข้อมูลส่วนตัวอื่นๆ ของผู้ใช้งานเพื่อนำไปใช้ประโยชน์ทางธุรกิจต่อไป

ซึ่งถ้าองค์กรหรือบุคคลใดที่มีส่วนเกี่ยวข้องในการจัดเก็บข้อมูลส่วนบุคคล ต้องนำ PDPA ไปปรับใช้ หากไม่ปฏิบัติตามแล้ว อาจถูกลงโทษทางกฏหมายได้โดย PDPA ของไทยนั้นค่อนข้างจะมีบทลงโทษที่ถ้าเขียนเป็นภาษาพูดแบบบ้านๆ ก็คือ “โหด” อยู่พอสมควร เรามาดูตัวอย่างบทลงโทษในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศกันว่าเป็นอย่างไรเมื่อเทียบกับ PDPA ของไทยแล้ว

  • บทลงโทษในกฎหมาย GDPR ของสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร (ประมาณ 6.9 ร้อยล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563) หรือ 4% ของรายได้รวมทั้งปีของธุรกิจและแต่ว่าจำนวนใดจะมากกว่า
  • บทลงโทษในกฎหมาย PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้าน ดอลลาร์สิงคโปร์ (ประมาณ 22.5 ล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563)
  • บทลงโทษในกฎหมาย PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต (ประมาณ 3.6 ล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563)
  • ส่วนบทลงโทษในกฎหมาย PDPA ของไทยนั้นถือว่ารุนแรงกว่า ไม่ใช่ที่จำนวนเงินแต่เป็นการเพิ่มความผิดทางอาญาเข้ามาด้วย (GDPR จะมีบทลงโทษทางแพ่งเพียงอย่างเดียว) โดยบทลงโทษแบ่งเป็น 3 ลำดับดังนี้
  • โทษทางอาญาคือจำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท โทษทางแพ่ง
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

ใครบ้างที่ต้องสนใจกฎหมาย PDPA

จริงๆ แล้วเราทุกคนก็ควรจะมีความรู้ในกฎหมายฉบับนี้เอาไว้บ้าง แต่ถ้าจำเป็นจะต้องศึกษาเชิงลึกและทำความเข้าใจกับมันมากที่สุดก็คือ บริษัทหรือองค์กรต่างๆ ที่เข้าข่ายถูกบังคับใช้กฎหมายฉบับนี้ ซึ่งแบ่งออกเป็น 3 ประเภทดังต่อไปนี้

  1. องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล โดยใน พ.ร.บ. ฉบับนี้จะเรียกว่า “Data Controller” หรือผู้ควบคุมข้อมูลส่วนบุคคล เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็นไฟล์ Excel ไปจนถึงองค์กรขนาดใหญ่ที่ต้องมีข้อมูลลูกค้าปริมาณมากอย่างเช่น บริษัทขนส่ง เครือข่ายโทรศัพท์ ฯลฯ
  2. เป็นหน่วยงานที่ควบคุมข้อมูล ว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือบุคคลใดๆ ตามคำสั่งของผู้ควบคุม ใน พ.ร.บ. ฉบับนี้จะเรียกว่า “Data Processor” หรือผู้ประมวลผลข้อมูลส่วนบุคคล
  3. เป็นองค์กรที่อยู่นอกราชอาณาจักรแต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล อาทิ การเฝ้าติดตามพฤติกรรมผู้บริโภค อาจจะเป็น การตั้งกลุ่มเป้าหมายทำโฆษณาออนไลน์ หรือการรับจองรองแรมผ่านเว็บไซต์ ฯลฯ ก็ถือว่าอยู่ในกลุ่มนี้ทั้งหมด

แล้วนักการตลาด ต้องรู้อะไรเกี่ยวกับ PDPA บ้าง

แน่นอนว่านอกจากรายละเอียดทางกฎหมายต่างๆ ที่คุณควรจะรู้แล้วสิ่งต่อไปนี้คือสิ่งที่คุณควรจะต้องทำการศึกษาเอาไว้เพื่อไม่ให้กระทบกับการทำงานที่อาจจะต้องเข้าไปข้องเกี่ยวกับข้อมูลของลูกค้าในอนาคต ก่อนอื่นต้องมาดูก่อนว่าอะไรที่ถือว่าเป็นข้อมูลส่วนบุคคลบ้าง

 

ข้อมูลพื้นฐาน

หมายเลขบัตรประจำตัวประชาชน  ชื่อ นามสกุล

หมายเลขโทรศัพท์ ที่อยู่ อีเมล

รูปถ่าย ประวัติการทำงาน 

อายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง)

 

ข้อมูลละเอียดอ่อน (มีการควบคุมเข้มงวดขึ้น)

เชื้อชาติ ชาติพันธุ์

ความคิดเห็นทางการเมือง ( เช่น การใช้ Social Listening ที่จับประเด็นการเมือง) 

ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน)

พฤติกรรมทางเพศ

ประวัติอาชญากรรม

ข้อมูลด้านสุขภาพ ความพิการ 

ข้อมูลสหภาพแรงงาน 

ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์)

และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

 

โดยเจ้าของข้อมูลจะมีสิทธิกระทำการต่างๆ ดังต่อไปนี้ได้

– สิทธิได้รับการแจ้งให้ทราบ 

– สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

– สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

– สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

– สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล – สิทธิขอให้ระงับการใช้ข้อมูล

– สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล 

จะทำยังไงให้ข้อมูลที่ได้มาถูกต้องตามกฎหมาย

สำหรับข้อมูลที่คุณจะสามารถนำมาทำกิจกรรมทางการตลาดต่างๆ ต่อได้แบบไม่ผิดกฎหมาย PDPA นั้นจะต้องเป็นข้อมูลที่เก็บจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่นโดยเด็ดขาด โดยทุกครั้งที่ขอจะต้องมีการแจ้งสิทธิ รายละเอียดรวมถึงวัตถุประสงค์ในการเก็บข้อมูลนั้นๆ ด้วยว่าจะเอาไปทำอะไรและต้องลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งเอาไว้

การขอความยินยอม 

  1. เก็บข้อมูลผ่านกระดาษ หรือระบบออนไลน์ก็ได้
  2. เนื้อหาในรายละเอียดจะต้องอ่านง่าย เข้าใจง่าย
  3. ไม่หลอกลวงให้เข้าใจผิด
  4. แยกชัดเจนจากเงื่อนไขอื่นๆ และจะต้องไม่เอาเงื่อนไขใดๆ มาผูกมัด

การถอนความยินยอม

  1. เจ้าของข้อมูลจะขอยกเลิกเมื่อไหร่ก็ได้
  2. ทำได้ง่ายเหมือนกับการให้ความยินยอม
  3. แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น

รู้ว่า PDPA คืออะไรแล้วยังไงต่อ

หากคุณเป็นนักการตลาดหรือแม้แต่เจ้าของธุรกิจเองที่ต้องคลุกคลีอยู่กับเรื่องของข้อมูลอยู่ตลอดเวลา คงไม่อยากเข้าไปจำคุกหรือโดนปรับเป็นล้านๆ โดยที่รู้เท่าไม่ถึงการณ์อย่างแน่นอน เพราะไม่แน่ว่าคุณอาจจะเผลอไปใช้ข้อมูลที่เจ้าของไม่ได้ยินยอมวันใดวันหนึ่งก็ได้ ดังนั้นการเข้าใจตัวกฎหมาย PDPA ฉบับนี้จะช่วยให้คุณทำงานได้รัดกุมมากขึ้นและโอกาสจะผิดพลาดแทบเป็นศูนย์

อย่างไรก็ตามไม่ว่าคุณจะนำข้อมูลที่ได้นั้นไปใช้เพื่อจุดประสงค์อะไรก็แล้วแต่ สิ่งที่คุณควรทำมากที่สุดคือความโปร่งใสของการเก็บข้อมูล เพราะหากคุณไม่ได้ทำอะไรผิดแน่นอนว่า PDPA ฉบับนี้ก็ไม่ใช่เรื่องน่ากลัวแต่อย่างใด

ขอบคุณข้อมูลจาก: techsauce.co, www.scb.co.th, brandinside.asia, techtalkthai.com, www.law.chula.ac.th, www.ratchakitcha.soc.go.th