อัปเดตล่าสุด PDPA ทำอะไรได้บ้างภายใต้ พ.ร.บ. คุ้มครองข้อมูลฯ
เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา ประเทศไทยได้ประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) อย่างเป็นทางการ โดยมีจุดประสงค์เพื่อป้องกันการละเมิดข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ ฯลฯ รวมไปถึงการจัดเก็บข้อมูลดังกล่าวและนำไปใช้โดยที่เจ้าของข้อมูลส่วนบุคคลนั้น ๆ ไม่ได้ให้ความยินยอม ซึ่งนอกจากคนทั่วไปจะต้องทำความเข้าใจแล้ว นักการตลาดออนไลน์ก็จำเป็นที่จะต้องตามให้ทัน พ.ร.บ. นี้เช่นกัน ว่าภายใต้ PDPA เราสามารถทำอะไรได้บ้าง เพื่อปรับแนวทางการทำงานของตนเองหลังจากนี้ให้สอดคล้องกับกฎหมายใหม่
Table of Contents
ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล?
ก่อนอื่น เรามาทำความเข้าใจกันก่อนว่าผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA นั้นมีใครบ้าง โดยสามารถแบ่งออกได้เป็น 3 กลุ่ม ได้แก่
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
คือ บุคคลที่ในข้อมูลส่วนบุคคลระบุถึง
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ตลอดจนการเปิดเผยข้อมูลดังกล่าว
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลได้รับสิทธิอะไรบ้าง?
1. สิทธิที่จะได้รับการแจ้งให้ทราบ
ตามกฎหมาย PDPA ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน (ในกรณีที่ไม่ใช่การเก็บข้อมูลส่วนบุคคลที่เจ้าของข้อมูลนั้นทราบรายละเอียดอยู่แล้ว เช่น การเปิดบัญชีธนาคาร การสมัครสมาชิกต่าง ๆ ฯลฯ) โดยมีรายละเอียดการแจ้งให้ทราบ ได้แก่ เก็บข้อมูลส่วนบุคคลอะไรบ้าง วัตถุประสงค์ในการเก็บคืออะไร วิธีการเก็บข้อมูลเป็นอย่างไร นำไปใช้อย่างไรและส่งต่อให้ใครบ้าง ตลอดจนวิธีขอเปลี่ยนแปลง แก้ไข เพิกถอนข้อมูลสามารถทำได้อย่างไร
2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยวิธีการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนเองไม่ได้ยินยอมด้วย โดยสิทธิข้างต้นจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล อันจะนำมาซึ่งผลกระทบต่อสิทธิเสรีภาพของผู้อื่น แต่ถ้าไม่ขัดหรือส่งผลกระทบใด ๆ เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธินี้ภายใน 30 วันนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ
3. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถใช้สิทธินี้เมื่อใดก็ได ตราบใดที่ไม่ขัดต่อกฎหมายหรือสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ และสถิติ
4. สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลนั้น ๆ ต่อสาธารณะ เจ้าของข้อมูลมีสิทธิที่จะขอให้ลบหรือทำลาย หรือแม้แต่ขอแก้ไขไม่ให้ข้อมูลระบุถึงตัวตนของตนเองได้ ซึ่งผู้ควบคุมข้อมูลจะต้องรับผิดชอบดำเนินการเอง
5. สิทธิในการเพิกถอนความยินยอม
หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว แต่ต้องการเพิกถอนความยินยอมนั้น ก็สามารถทำได้ทุกเมื่อ โดยจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
6. สิทธิขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูล ไม่ว่าจะในกรณีที่เปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะจำเป็นต้องนำข้อมูลนั้นไปใช้ในทางกฎหมายหรือการเรียกร้องสิทธิ เป็นต้น
7. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล
หากพบว่าข้อมูลส่วนบุคคลมีข้อผิดพลาด เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลให้ถูกต้องได้เพื่อจะได้ไม่ก่อความเข้าใจผิดในภายหลัง โดยการแก้ไขนั้นต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
8. สิทธิขอให้โอนข้อมูลส่วนบุคคล
หากเจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปให้กับผู้ควบคุมข้อมูลอีกราย ก็สามารถขอให้ผู้ควบคุมข้อมูลรายแรกที่จัดทำข้อมูลของเราไว้แล้วทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ โดยการใช้สิทธินี้ต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น
ในกรณีใดบ้างที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีบทบัญญัติเกี่ยวกับหลักการเก็บข้อมูลตามกฎหมาย PDPA มาตรา 24 อันระบุถึงหลักการในเรื่องของความยินยอม (Consent) การป้องกันหรือระงับอันตรายต่อชีวิต การปฏิบัติตามสัญญา ประโยชน์สาธารณะซึ่งชอบด้วยกฎหมาย และการดำเนินการเกี่ยวกับเอกสารทางประวัติศาสตร์ วิจัย และสถิติ โดยกรณีที่ไม่ต้องขอความยินยอมมีรายละเอียดดังนี้
- กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์ของสาธารณะ เช่น การป้องกันโรคระบาด เป็นต้น
- การปฏิบัติตามสัญญา
- การปฏิบัติตามภารกิจของรัฐ ตามมาตรา 24 (4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์ของสาธารณะ หรือเป็นการใช้อำนาจรัฐ ก็ไม่จำเป็นต้องขอความยินยอม แต่กระนั้น ผู้ควบคุมข้อมูลส่วนบุคคลก็ยังต้องทำหน้าที่ในการรักษาความปลอดภัยของข้อมูล และคำนึงถึงความจำเป็นในการใช้ข้อมูลนั้น ๆ ตลอดจนผลกระทบที่อาจเกิดขึ้นต่อตัวเจ้าของข้อมูล
- การปฏิบัติตามกฎหมาย ตามมาตรา 24 (6) เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนของลูกจ้างเพื่อส่งให้สำนักงานประกันสังคม เป็นต้น
เรื่องที่มักเข้าใจผิดเกี่ยวกับ PDPA
1. ถ่ายรูปหรือวิดีโอติดภาพผู้อื่นโดยไม่ได้รับความยินยอม จะผิด PDPA
กรณีการถ่ายรูปหรือวิดีโอแล้วติดบุคคลอื่นโดยไม่เจตนา ทว่าไม่ได้ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็ไม่ถือว่าผิด PDPA
2. โพสต์รูปภาพหรือวิดีโอที่ติดภาพผู้อื่นลงโซเชียลมีเดียโดยไม่ได้รับความยินยอม จะผิด PDPA
หากการโพสต์นั้นใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช่เพื่อการแสวงหาผลกำไรและไม่ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็สามารถโพสต์ได้ตามปกติ
3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือน จะผิด PDPA
หากเป็นการติดกล้องวงจรปิดภายในบ้านและมีจุดประสงค์เพื่อป้องกันอาชญากรรมหรือรักษาความปลอดภัย ก็ไม่จำเป็นต้องมีป้ายแจ้งเตือน
4. เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
การนำข้อมูลส่วนบุคคลไปใช้ ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลเสมอไป ในกรณีที่ข้อมูลเหล่านั้นเป็น
- การทำตามสัญญา
- การใช้ที่มีกฎหมายให้อำนาจ
- การใช้เพื่อรักษาชีวิตหรือร่างกายของบุคคล
- การใช้เพื่อค้นคว้าวิจัยทางสถิติ
- การใช้เพื่อประโยชน์สาธารณะ
- การใช้เพื่อปกป้องผลประโยชน์หรือสิทธิของตนเอง
อัปเดตล่าสุด PDPA ทำอะไรได้บ้าง
ปัจจุบัน การทำการตลาดออนไลน์มีมากขึ้นเนื่องจากอินเทอร์เน็ตมีอิทธิพลต่อชีวิตของมนุษย์ในทุก ๆ ด้าน ส่งผลให้ความกังวลในเรื่องความปลอดภัยของข้อมูลส่วนบุคคลก็มากขึ้นตามไปด้วย ซึ่งในการทำ Digital Marketing ก่อนหน้านี้ยังไม่มีกฎหมายมาคุ้มครอง ทำให้สามารถเก็บข้อมูลส่วนบุคคลของลูกค้าได้โดยไม่ถูกร้องเรียน แต่ขณะนี้ เมื่อมีกฎหมาย PDPA ขึ้นมาแล้ว ผู้ประกอบการทั้งหลายจึงจำเป็นต้องมีความเข้าใจในขอบเขตของการเก็บข้อมูล เพื่อระมัดระวังไม่ให้เกิดการละเมิดข้อมูลส่วนบุคคลจนเกิดการร้องเรียนได้ โดยเฉพาะธุรกิจ Digital Agency ที่ต้องติดต่อกับลูกค้าเป็นจำนวนมาก
สิ่งที่ผู้ประกอบการควรระมัดระวัง มีดังนี้
- หากมีหลายเพจ ให้ใช้ข้อมูลของลูกค้าแค่เฉพาะเพจที่ลูกค้าใช้ทำการซื้อสินค้าเท่านั้น ไม่สามารถนำไปใช้ประโยชน์ในอีกเพจหนึ่งของตนเองได้
- ระบุวัตถุประสงค์ในการใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าให้ชัดเจน เพราะหากระบุไม่ชัดเจน ลูกค้าก็มีสิทธิร้องเรียนได้
- ไม่โทรศัพท์เพื่อเชิญชวนหรือขายสินค้ากับลูกค้าโดยตรงหากไม่ได้รับอนุญาตมาก่อน ต้องมีการระบุชัดเจนตั้งแต่ขอเบอร์โทรศัพท์ และหากมีความต้องการจะโทรศัพท์หา ต้องแจ้งให้ลูกค้าทราบล่วงหน้าด้วย
- หากต้องการถ่ายรูปลูกค้าเพื่อนำไปโปรโมตสินค้าหรือประชาสัมพันธ์ในที่สาธารณะ จำเป็นต้องขอความยินยอมจากลูกค้าก่อน และต้องไม่ถ่ายติดผู้อื่นที่ไม่ได้ขออนุญาต
- ในส่วนของข้อมูลลูกค้า ต้องมีระบบการจัดเก็บเป็นความลับ เพราะถ้าหากข้อมูลรั่วไหล เจ้าของข้อมูลนั้นสามารถฟ้องร้องเราได้
- ผู้ประกอบการสามารถยิงโฆษณาได้ปกติ เมื่อลูกค้าติดต่อซื้อสินค้า สามารถขอข้อมูลผ่านกล่องข้อความได้ แต่ต้องป้องกันไม่ให้ข้อมูลรั่วไหลจนถูกบุคคลอื่นนำไปแสวงหาผลประโยชน์ต่อ
- การขอข้อมูลชื่อและที่อยู่เพื่อจัดส่งสินค้า สามารถทำได้ตามปกติ แต่ลูกค้าสามารถปฏิเสธที่จะไม่ให้เบอร์โทรศัพท์ได้
สรุป
จะเห็นได้ว่า PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีจุดประสงค์เพื่อต้องการรักษาสิทธิของเจ้าของข้อมูลในด้านความปลอดภัยของข้อมูลเหล่านั้น ว่าถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความยินยอมหรือไม่ แต่อย่างไรก็ตาม เจ้าของข้อมูลก็ต้องพิจารณาอย่างรอบคอบก่อนจะตอบรับความยินยอมในการให้ข้อมูลแต่ละครั้ง หากพบว่าการให้ข้อมูลไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูลก็สามารถปฏิเสธได้ เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด
สำหรับผู้เก็บข้อมูลหรือผู้ประกอบการ แม้ว่าจะได้รับผลกระทบโดยตรงจากกฎหมาย PDPA แต่ก็อย่าเพิ่งกังวลมากจนเกินไป เพราะถ้าหากเราค่อย ๆ ปรับเปลี่ยนการทำงานให้มีรูปแบบที่ชัดเจนและไม่ละเมิดข้อมูลส่วนบุคคลของลูกค้า การทำธุรกิจภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ก็จะเป็นไปอย่างราบรื่นแน่นอน
Join the discussion - 0 Comment