PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เลื่อนอีกปี จาก 64 ไป 65 หากเริ่มประกาศใช้แล้ว จะส่งผลอย่างไรบ้าง
PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พูดง่าย ๆ ก็คือกฏหมายคุ้มครองข้อมูลส่วนตัวของบุคคลที่เข้าไปใช้งานอินเทอร์เน็ต ซึ่งในช่วงหลายปีที่ผ่านมาเราน่าจะพอเห็นได้แล้วว่าทั่วทั้งโลกนั้นให้ความสำคัญกับเรื่องของ “ความเป็นส่วนตัว” มากแค่ไหน จากข่าวที่แพลตฟอร์มยักษ์ใหญ่อย่าง Facebook (ปัจจุบันคือบริษัท Meta) โดนค่าปรับมหาศาล หรือบริษัทต่าง ๆ ที่โดนฟ้องเรื่องการละเมิดสิทธิส่วนบุคคลโดยการนำข้อมูลเชิงลึกไปใช้หรือออกมาขายโดยไม่ได้รับอนุญาต
กลับมาที่บ้านเราที่เนื่องจากสถานการณ์ต่าง ๆ ทั้งการระบาดของ COVID-19 การเมืองและกฎหมายบังคับใช้ต่าง ๆ ที่ยังไม่มีข้อสรุป ล่าสุดก็ได้มีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA โดยเป็นกฎหมายที่ออกมาตั้งแต่เดือนพฤษภาคม 2562 ได้มีการเลื่อนจากเดิมให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 เป็นเดือนมิถุนายน 2565 แทน
ด้วยความที่ “ข้อมูล” นั้นเป็นสิ่งที่มีค่าเปรียบได้ดังน้ำมันในยุค Big Data นี้ ทำให้แต่ละประเทศก็จะมีนโยบายหรือมาตรการเพื่อออกมาคุ้มครองข้อมูลส่วนบุคคลของประชาชน ป้องกันการถูกละเมิดสิทธิความเป็นส่วนตัว อีกทั้งยังมีมาตรการเยียวยาหากเจ้าของข้อมูลถูกนำข้อมูลไปใช้โดยไม่ได้ยินยอม บทความนี้เราจะมาขยายความถึง PDPA ของไทยว่าคืออะไร มีรายละเอียดอย่างไรบ้างและทำไมคนทำ Digital Marketing ถึงต้องทำความเข้าใจ และศึกษาอย่างละเอียด
Table of Contents
PDPA ย่อมาจากอะไร
PDPA ย่อมาจาก “Personal Data Protection Act”
PDPA คืออะไร มีบทลงโทษอะไรบ้าง
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฉบับปี พ.ศ. 2562 ซึ่งได้มีการประกาศในราชกิจจานุเบกษาไปเป็นที่เรียบร้อยเมื่อวันที่ 27 พฤษภาคม 2562 (บางส่วน) และกำหนดจะบังคับใช้กฎหมายทั้งฉบับในวันที่ 27 พฤษภาคม 2563 แต่ล่าสุดมีการประกาศขยายเวลาออกไปอีก 1 ปี เท่ากับว่าพ.ร.บ. ฉบับนี้ (อาจจะ) มีผลบังคับใช้ในช่วงปลายเดือน 1 มิถุนายน 2565 ถือเป็นกฎหมายที่มีใช้กันในหลายประเทศ อาทิ สิงคโปร์ มาเลเซีย ซึ่งรายละเอียดจะแตกต่างกันไปตามแต่ละประเทศนั้นๆ
หลักการของ PDPA คือ จะคุ้มครองข้อมูลส่วนบุคคล หรือคุ้มครองตัวข้อมูลของผู้ใช้งานที่ถูกเก็บระหว่างใช้งานบนโลกออนไลน์ เช่น เว็บไซต์ต่างๆ จะเก็บข้อมูล เช่น ชื่อ-สกุล อีเมลล์ หรือข้อมูลส่วนตัวอื่นๆ ของผู้ใช้งานเพื่อนำไปใช้ประโยชน์ทางธุรกิจต่อไป
ซึ่งถ้าองค์กรหรือบุคคลใดที่มีส่วนเกี่ยวข้องในการจัดเก็บข้อมูลส่วนบุคคล ต้องนำ PDPA ไปปรับใช้ หากไม่ปฏิบัติตามแล้ว อาจถูกลงโทษทางกฏหมายได้โดย PDPA ของไทยนั้นค่อนข้างจะมีบทลงโทษที่ถ้าเขียนเป็นภาษาพูดแบบบ้านๆ ก็คือ “โหด” อยู่พอสมควร เรามาดูตัวอย่างบทลงโทษในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศกันว่าเป็นอย่างไรเมื่อเทียบกับ PDPA ของไทยแล้ว
- บทลงโทษในกฎหมาย GDPR ของสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร (ประมาณ 6.9 ร้อยล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563) หรือ 4% ของรายได้รวมทั้งปีของธุรกิจและแต่ว่าจำนวนใดจะมากกว่า
- บทลงโทษในกฎหมาย PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้าน ดอลลาร์สิงคโปร์ (ประมาณ 22.5 ล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563)
- บทลงโทษในกฎหมาย PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต (ประมาณ 3.6 ล้านบาท *เทียบค่าเงิน ณ วันที่ 20 พฤษภาาคม 2563)
- ส่วนบทลงโทษในกฎหมาย PDPA ของไทยนั้นถือว่ารุนแรงกว่า ไม่ใช่ที่จำนวนเงินแต่เป็นการเพิ่มความผิดทางอาญาเข้ามาด้วย (GDPR จะมีบทลงโทษทางแพ่งเพียงอย่างเดียว) โดยบทลงโทษแบ่งเป็น 3 ลำดับดังนี้
- โทษทางอาญาคือจำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท โทษทางแพ่ง
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
ใครบ้างที่ต้องสนใจกฎหมาย PDPA
จริงๆ แล้วเราทุกคนก็ควรจะมีความรู้ในกฎหมายฉบับนี้เอาไว้บ้าง แต่ถ้าจำเป็นจะต้องศึกษาเชิงลึกและทำความเข้าใจกับมันมากที่สุดก็คือ บริษัทหรือองค์กรต่างๆ ที่เข้าข่ายถูกบังคับใช้กฎหมายฉบับนี้ ซึ่งแบ่งออกเป็น 3 ประเภทดังต่อไปนี้
- องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล โดยใน พ.ร.บ. ฉบับนี้จะเรียกว่า “Data Controller” หรือผู้ควบคุมข้อมูลส่วนบุคคล เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็นไฟล์ Excel ไปจนถึงองค์กรขนาดใหญ่ที่ต้องมีข้อมูลลูกค้าปริมาณมากอย่างเช่น บริษัทขนส่ง เครือข่ายโทรศัพท์ ฯลฯ
- เป็นหน่วยงานที่ควบคุมข้อมูล ว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือบุคคลใดๆ ตามคำสั่งของผู้ควบคุม ใน พ.ร.บ. ฉบับนี้จะเรียกว่า “Data Processor” หรือผู้ประมวลผลข้อมูลส่วนบุคคล
- เป็นองค์กรที่อยู่นอกราชอาณาจักรแต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล อาทิ การเฝ้าติดตามพฤติกรรมผู้บริโภค อาจจะเป็น การตั้งกลุ่มเป้าหมายทำโฆษณาออนไลน์ หรือการรับจองรองแรมผ่านเว็บไซต์ ฯลฯ ก็ถือว่าอยู่ในกลุ่มนี้ทั้งหมด
แล้วนักการตลาด ต้องรู้อะไรเกี่ยวกับ PDPA บ้าง
แน่นอนว่านอกจากรายละเอียดทางกฎหมายต่างๆ ที่คุณควรจะรู้แล้วสิ่งต่อไปนี้คือสิ่งที่คุณควรจะต้องทำการศึกษาเอาไว้เพื่อไม่ให้กระทบกับการทำงานที่อาจจะต้องเข้าไปข้องเกี่ยวกับข้อมูลของลูกค้าในอนาคต ก่อนอื่นต้องมาดูก่อนว่าอะไรที่ถือว่าเป็นข้อมูลส่วนบุคคลบ้าง
ข้อมูลพื้นฐาน
หมายเลขบัตรประจำตัวประชาชน ชื่อ นามสกุล
หมายเลขโทรศัพท์ ที่อยู่ อีเมล
รูปถ่าย ประวัติการทำงาน
อายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง)
ข้อมูลละเอียดอ่อน (มีการควบคุมเข้มงวดขึ้น)
เชื้อชาติ ชาติพันธุ์
ความคิดเห็นทางการเมือง ( เช่น การใช้ Social Listening ที่จับประเด็นการเมือง)
ความเชื่อทางศาสนา หรือ ปรัชญา (เช่น บันทึกการลาบวช ของพนักงาน)
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลด้านสุขภาพ ความพิการ
ข้อมูลสหภาพแรงงาน
ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ (เช่น ใบรับรองแพทย์)
และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
โดยเจ้าของข้อมูลจะมีสิทธิกระทำการต่างๆ ดังต่อไปนี้ได้
– สิทธิได้รับการแจ้งให้ทราบ
– สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
– สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
– สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
– สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล – สิทธิขอให้ระงับการใช้ข้อมูล
– สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
จะทำยังไงให้ข้อมูลที่ได้มาถูกต้องตามกฎหมาย
สำหรับข้อมูลที่คุณจะสามารถนำมาทำกิจกรรมทางการตลาดต่างๆ ต่อได้แบบไม่ผิดกฎหมาย PDPA นั้นจะต้องเป็นข้อมูลที่เก็บจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่นโดยเด็ดขาด โดยทุกครั้งที่ขอจะต้องมีการแจ้งสิทธิ รายละเอียดรวมถึงวัตถุประสงค์ในการเก็บข้อมูลนั้นๆ ด้วยว่าจะเอาไปทำอะไรและต้องลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งเอาไว้
การขอความยินยอม
- เก็บข้อมูลผ่านกระดาษ หรือระบบออนไลน์ก็ได้
- เนื้อหาในรายละเอียดจะต้องอ่านง่าย เข้าใจง่าย
- ไม่หลอกลวงให้เข้าใจผิด
- แยกชัดเจนจากเงื่อนไขอื่นๆ และจะต้องไม่เอาเงื่อนไขใดๆ มาผูกมัด
การถอนความยินยอม
- เจ้าของข้อมูลจะขอยกเลิกเมื่อไหร่ก็ได้
- ทำได้ง่ายเหมือนกับการให้ความยินยอม
- แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้น
รู้ว่า PDPA คืออะไรแล้วยังไงต่อ
หากคุณเป็นนักการตลาดหรือแม้แต่เจ้าของธุรกิจเองที่ต้องคลุกคลีอยู่กับเรื่องของข้อมูลอยู่ตลอดเวลา คงไม่อยากเข้าไปจำคุกหรือโดนปรับเป็นล้านๆ โดยที่รู้เท่าไม่ถึงการณ์อย่างแน่นอน เพราะไม่แน่ว่าคุณอาจจะเผลอไปใช้ข้อมูลที่เจ้าของไม่ได้ยินยอมวันใดวันหนึ่งก็ได้ ดังนั้นการเข้าใจตัวกฎหมาย PDPA ฉบับนี้จะช่วยให้คุณทำงานได้รัดกุมมากขึ้นและโอกาสจะผิดพลาดแทบเป็นศูนย์
อย่างไรก็ตามไม่ว่าคุณจะนำข้อมูลที่ได้นั้นไปใช้เพื่อจุดประสงค์อะไรก็แล้วแต่ สิ่งที่คุณควรทำมากที่สุดคือความโปร่งใสของการเก็บข้อมูล เพราะหากคุณไม่ได้ทำอะไรผิดแน่นอนว่า PDPA ฉบับนี้ก็ไม่ใช่เรื่องน่ากลัวแต่อย่างใด
ขอบคุณข้อมูลจาก: techsauce.co, www.scb.co.th, brandinside.asia, techtalkthai.com, www.law.chula.ac.th, www.ratchakitcha.soc.go.th
Join the discussion - 0 Comment