PDPA
COVID-19
Marketing
01.04.2022
ถอดรหัส PDPA สร้างสมดุลแห่งการใช้ข้อมูลในยุคปัจจุบันและอนาคต
เมื่อใกล้เวลาของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ในวันที่ 1 มิถุนายน พ.ศ.2565 นี้ หลายฝ่ายต่างเร่งศึกษาทำความเข้าใจ หรือทบทวนสิ่งที่องค์กรดำเนินการมานั้นถูกต้องสอดรับกับข้อกำหนดแห่งกฎหมายหรือไม่ และหลายองค์กรยังคงมีความกังวลในบางประเด็น
บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง
ความสำคัญของ PDPA
การบริหารจัดการองค์กรในปัจจุบันมีการนำเทคโนโลยีสารสนเทศมาใช้เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการองค์กรในภาพรวม ทั้งในด้านการเก็บรวบรวม เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการใช้และเปิดเผยข้อมูล หากแต่หลายองค์กรมิได้ตระหนักหรือให้ความสำคัญกับการเก็บรักษาความลับของข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการ และบางครั้งการขาดความตระหนักดังกล่าวก็ได้ก่อให้เกิดความเสียหายแก่สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลนั้น
สำหรับองค์กรธุรกิจขนาดใหญ่หรือองค์กรธุรกิจที่มีการติดต่อทำการค้ากับองค์กรธุรกิจในต่างประเทศอาจต้องมีการส่งต่อข้อมูลหรือโอนข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการระหว่างกัน ก็ต้องเผชิญกับอุปสรรคสำคัญเนื่องจากในหลายประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว ทำให้องค์กรหรือผู้ประกอบการในต่างประเทศ ตระหนักถึงการส่งต่อข้อมูลเกี่ยวกับลูกค้ามายังประเทศไทยว่าจะได้รับการคุ้มครองมิให้ผู้อื่นล่วงรู้หรือนำไปใช้โดยมิชอบหรือผิดจากวัตถุประสงค์ของข้อตกลงทางการค้าหรือไม่
จากสภาพการณ์ที่เป็นปัญหาและเป็นอุปสรรคดังกล่าวจึงนำมาสู่การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นในประเทศไทย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) ซึ่งจะมีผลใช้บังคับอย่างสมบูรณ์ในวันที่ 1 มิถุนายน พ.ศ.2565
ความต่างระหว่าง GDPR กับ PDPA
กล่าวได้ว่า PDPA มีส่วนสำคัญในการช่วยลดปัญหาอุปสรรคด้านการค้าระหว่างประเทศที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังที่กล่าวมาแล้ว โดย PDPA ของประเทศไทยมีแนวทางที่สอดคล้องใกล้เคียงกับ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
นายเธียรชัย กล่าวว่า GDPR และ PDPA มีจุดเน้นที่ต่างกัน โดย GDPR มุ่งเน้นที่ Data Processing หรือการประมวลผลข้อมูลเป็นหลัก ในขณะที่ PDPA เน้นการเก็บรวบรวม การเก็บรักษา การใช้และการเปิดเผยข้อมูล อย่างไรก็ตามใน PDPA ก็มีบทบัญญัติที่กล่าวถึงการประมวลผลข้อมูลอยู่ในหลายมาตรา ดังนั้น จึงอาจจะกล่าวได้ว่าข้อแตกต่างในจุดเน้นที่แตกต่างกันของกฎหมายทั้งสองฉบับ ไม่ได้มีนัยที่สะท้อนถึงความแตกต่างในแง่ของการบังคับใช้กฎหมายแต่อย่างใด
แนะองค์กรธุรกิจควรที่จะต้องตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล
ปัจจุบันหลายองค์กรมีความกังวลเกี่ยวกับการปฏิบัติตามกฎหมาย ซึ่งหากไม่สามารถดำเนินการให้สอดคล้องและถูกต้องตามบทบัญญัติของกฎหมายแล้วนั้นจะถูกลงโทษ โดยต้องชำระค่าปรับในวงเงินที่ค่อนข้างสูง ประเด็นนี้ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำแนะนำเกี่ยวกับการประกอบธุรกิจที่เป็นการสอดคล้องกับแนวทางที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดว่า “ในทางปฏิบัติแม้ว่าจะมีกฎหมายใช้บังคับ ผมคิดว่าองค์กรธุรกิจหรือผู้ประกอบการก็ยังสามารถดำเนินหรือทำธุรกิจไปได้ตามปกติ เหมือนที่เคยถือปฏิบัติ เพียงแต่ต้องตระหนักในเรื่องความสำคัญของข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้มากขึ้น ต้องระมัดระวังว่าการเก็บรวบรวม การเก็บรักษา การใช้หรือเปิดเผยข้อมูลต้องดำเนินการตามที่กฎหมายกำหนด ซึ่งถ้าหากสามารถทำได้ ก็ไม่ต้องกังวลว่าตนเองจะถูกลงโทษหรือถูกลงโทษปรับ”
เจาะลึก “จุดเน้น-เจตนารมณ์” PDPA
ชี้ให้องค์กรคลายความกังวล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบด้วย 96 มาตรา มี 7 หมวด โดยมีหมวดที่เกี่ยวข้องกับองค์กรธุรกิจ ผู้ประกอบการและบุคคลผู้เป็นเจ้าของข้อมูล คือ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ ซึ่งแบ่งออกเป็น 2 ส่วน คือ โทษทางอาญา และโทษทางปกครอง
สำหรับหมวด 2 การคุ้มครองข้อมูลส่วนบุคคล จุดเน้นคือ “การเก็บรวบรวม การใช้ หรือเปิดเผย” ซึ่งเริ่มตั้งแต่การเก็บรวบรวมข้อมูล หากมีการเก็บข้อมูลของผู้ใดจะต้องขอความยินยอมและแจ้งวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยต่อเจ้าของข้อมูลส่วนบุคคลนั้น และจะเก็บข้อมูลได้เท่าที่จำเป็นเท่านั้น สำหรับความยินยอมของเจ้าของข้อมูลจะต้องเป็นการให้ความยินยอมก่อนหรือขณะจัดเก็บข้อมูล โดยที่เจ้าของข้อมูลเข้าใจในวัตถุประสงค์ของการจัดเก็บตามที่แจ้ง ในส่วนของ Sensitive Data หรือข้อมูลที่อ่อนไหวต่อความรู้สึกของบุคคล ซึ่งโดยปกติห้ามเก็บ แต่ก็จะมีข้อยกเว้นในบางกรณีตามกฎหมาย สำหรับขอความยินยอมในการจัดเก็บข้อมูลประเภท Sensitive Data จากเจ้าของข้อมูล จะต้องชัดเจนว่าเป็นการให้ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (Explicit Consent) จึงจะสามารถจัดเก็บได้
ในส่วนของการใช้หรือเปิดเผย หลักคิดที่สำคัญคือ การใช้หรือการเปิดเผยนั้นจะต้องอยู่ภายใต้กรอบความยินยอมและวัตถุประสงค์ของการจัดเก็บ เว้นแต่เป็นการเปิดเผยภายใต้เงื่อนไขที่กฎหมายกำหนดไว้ เช่น เป็นการเปิดเผยข้อมูลต่อเจ้าหน้าที่ตามกฎหมายที่ให้อำนาจไว้
สำหรับการส่งผ่านข้อมูลไปต่างประเทศ PDPA ถือหลักว่าประเทศที่เราจะส่งข้อมูลไปนั้นจะต้องมีมาตรฐานการคุ้มครองส่วนบุคคลที่เพียงพอต่อการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และภายใต้เงื่อนไขที่กฎหมายกำหนด เช่น เป็นการปฏิบัติตามกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
ในส่วนของการร้องเรียนโดยเจ้าของข้อมูลตามหมวด 5 กฎหมายระบุให้คณะกรรมการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อพิจารณาดำเนินการเกี่ยวกับเรื่องร้องเรียน ซึ่งมีแนวทางในการดำเนินการที่อาจจะแตกต่างกันไปแล้วแต่ความหนักเบาของแต่ละกรณี เช่น การตักเตือน ไกล่เกลี่ย หรือลงโทษปรับทางปกครอง ซึ่งเมื่อคณะกรรมการผู้เชี่ยวชาญรับเรื่องร้องเรียนและพบว่ามีมูล หากพิจารณาแล้วเป็นกรณีที่อาจไกล่เกลี่ยได้และคู่กรณีประสงค์จะไกล่เกลี่ยให้คณะกรรมการผู้เชี่ยวชาญดำเนินการไกล่เกลี่ย แต่หากไกล่เกลี่ยไม่สำเร็จ หรือไม่อาจไกล่เกลี่ยได้ คณะกรรมการผู้เชี่ยวชาญก็มีอำนาจในการออกคำสั่งเพื่อแก้ไขปัญหาต่อไป เช่น สั่งให้แก้ไข สั่งให้ระงับความเสียหาย ซึ่งหากอ่านขั้นตอนการดำเนินการของกรรมการผู้เชี่ยวชาญก็จะเห็นได้ว่าก่อนที่องค์กรธุรกิจหรือผู้ประกอบจะถูกลงปรับทางปกครองมีขั้นตอนหลายขั้นตอนที่องค์กรธุรกิจหรือผู้ประกอบการสามารถเลือกที่จะตัดสินใจเพื่อยุติปัญหาข้อพิพาทที่เกิดขึ้นได้
ในส่วนของความผิดและบทกำหนดโทษ ซึ่งเป็นเรื่องที่องค์กรธุรกิจหรือผู้ประกอบการกลัวหรือมีความกังวล นายเธียรชัยเห็นว่า กฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่นๆ ที่กรรมการผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงและที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลเป็นจำนวนมาก
ความผิดและบทกำหนดโทษตามกฎหมายฉบับนี้แบ่งออกเป็น 2 ส่วน คือ หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ
เกี่ยวกับคำถามเรื่องใบรับรอง (Certificate) สำหรับองค์กรธุรกิจหรือผู้ประกอบการ นายเธียรชัย กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยังไม่ได้ระบุให้องค์กรธุรกิจหรือผู้ประกอบการจะต้องได้รับใบรับรอง (Certificate) ที่แสดงว่าองค์กรได้ผ่านการตรวจสอบด้านการปฏิบัติตามกฎหมาย สิ่งที่จะทำได้คือ การสุ่มตรวจซึ่งการที่จะเข้าไปสุ่มตรวจนั้นก็จะต้องมีเหตุอันควรให้ต้องเข้าไปตรวจ และการตรวจก็อาจจะเป็นการทำ Checklist เช่น ตรวจว่าในช่วง 1 ปีที่ผ่านมามีการใช้ข้อมูลส่วนบุคคลมากน้อยเพียงใด มีการอบรมพนักงานเพื่อให้ความรู้ในเรื่องข้อมูลส่วนบุคคลหรือไม่ มีการเก็บใช้ข้อมูลส่วนบุคคลอย่างไรใช้อย่างไร เป็นต้น ซึ่งกระบวนการตรวจสอบจะดำเนินการอย่างไรก็ยังเป็นประเด็นที่คณะกรรมการต้องคิดต่อไปหลังจากมีการบังคับใช้กฎหมายแล้วในระยะหนึ่ง
อย่างไรก็ตาม ขณะนี้กฎหมายลำดับรอง หลักเกณฑ์และกฎระเบียบต่างๆ ยังออกมาไม่ครบ จึงขอให้ภาคองค์กรธุรกิจหรือผู้ประกอบการติดตามต่อไปหลังจากกฎหมายมีผลบังคับใช้
#####
【SHOW CASE for PDPA】
บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง
01.04.2022
1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปี จะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก โดย นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ในที่นี้
20.04.2022
ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม โดยการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นที่จะต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด
05.05.2022