PDPA
COVID-19
Marketing
01.04.2022
ถอดรหัส PDPA สร้างสมดุลแห่งการใช้ข้อมูลในยุคปัจจุบันและอนาคต
เมื่อใกล้เวลาของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ในวันที่ 1 มิถุนายน พ.ศ.2565 นี้ หลายฝ่ายต่างเร่งศึกษาทำความเข้าใจ หรือทบทวนสิ่งที่องค์กรดำเนินการมานั้นถูกต้องสอดรับกับข้อกำหนดแห่งกฎหมายหรือไม่ และหลายองค์กรยังคงมีความกังวลในบางประเด็น
บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง
ความสำคัญของ PDPA
การบริหารจัดการองค์กรในปัจจุบันมีการนำเทคโนโลยีสารสนเทศมาใช้เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการองค์กรในภาพรวม ทั้งในด้านการเก็บรวบรวม เก็บรักษา ประมวลผล และวิเคราะห์ข้อมูล รวมถึงการใช้และเปิดเผยข้อมูล หากแต่หลายองค์กรมิได้ตระหนักหรือให้ความสำคัญกับการเก็บรักษาความลับของข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการ และบางครั้งการขาดความตระหนักดังกล่าวก็ได้ก่อให้เกิดความเสียหายแก่สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลนั้น
สำหรับองค์กรธุรกิจขนาดใหญ่หรือองค์กรธุรกิจที่มีการติดต่อทำการค้ากับองค์กรธุรกิจในต่างประเทศอาจต้องมีการส่งต่อข้อมูลหรือโอนข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการระหว่างกัน ก็ต้องเผชิญกับอุปสรรคสำคัญเนื่องจากในหลายประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว ทำให้องค์กรหรือผู้ประกอบการในต่างประเทศ ตระหนักถึงการส่งต่อข้อมูลเกี่ยวกับลูกค้ามายังประเทศไทยว่าจะได้รับการคุ้มครองมิให้ผู้อื่นล่วงรู้หรือนำไปใช้โดยมิชอบหรือผิดจากวัตถุประสงค์ของข้อตกลงทางการค้าหรือไม่
จากสภาพการณ์ที่เป็นปัญหาและเป็นอุปสรรคดังกล่าวจึงนำมาสู่การตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นในประเทศไทย คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) ซึ่งจะมีผลใช้บังคับอย่างสมบูรณ์ในวันที่ 1 มิถุนายน พ.ศ.2565
ความต่างระหว่าง GDPR กับ PDPA
กล่าวได้ว่า PDPA มีส่วนสำคัญในการช่วยลดปัญหาอุปสรรคด้านการค้าระหว่างประเทศที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังที่กล่าวมาแล้ว โดย PDPA ของประเทศไทยมีแนวทางที่สอดคล้องใกล้เคียงกับ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
นายเธียรชัย กล่าวว่า GDPR และ PDPA มีจุดเน้นที่ต่างกัน โดย GDPR มุ่งเน้นที่ Data Processing หรือการประมวลผลข้อมูลเป็นหลัก ในขณะที่ PDPA เน้นการเก็บรวบรวม การเก็บรักษา การใช้และการเปิดเผยข้อมูล อย่างไรก็ตามใน PDPA ก็มีบทบัญญัติที่กล่าวถึงการประมวลผลข้อมูลอยู่ในหลายมาตรา ดังนั้น จึงอาจจะกล่าวได้ว่าข้อแตกต่างในจุดเน้นที่แตกต่างกันของกฎหมายทั้งสองฉบับ ไม่ได้มีนัยที่สะท้อนถึงความแตกต่างในแง่ของการบังคับใช้กฎหมายแต่อย่างใด
แนะองค์กรธุรกิจควรที่จะต้องตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล
ปัจจุบันหลายองค์กรมีความกังวลเกี่ยวกับการปฏิบัติตามกฎหมาย ซึ่งหากไม่สามารถดำเนินการให้สอดคล้องและถูกต้องตามบทบัญญัติของกฎหมายแล้วนั้นจะถูกลงโทษ โดยต้องชำระค่าปรับในวงเงินที่ค่อนข้างสูง ประเด็นนี้ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำแนะนำเกี่ยวกับการประกอบธุรกิจที่เป็นการสอดคล้องกับแนวทางที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดว่า “ในทางปฏิบัติแม้ว่าจะมีกฎหมายใช้บังคับ ผมคิดว่าองค์กรธุรกิจหรือผู้ประกอบการก็ยังสามารถดำเนินหรือทำธุรกิจไปได้ตามปกติ เหมือนที่เคยถือปฏิบัติ เพียงแต่ต้องตระหนักในเรื่องความสำคัญของข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้มากขึ้น ต้องระมัดระวังว่าการเก็บรวบรวม การเก็บรักษา การใช้หรือเปิดเผยข้อมูลต้องดำเนินการตามที่กฎหมายกำหนด ซึ่งถ้าหากสามารถทำได้ ก็ไม่ต้องกังวลว่าตนเองจะถูกลงโทษหรือถูกลงโทษปรับ”
เจาะลึก “จุดเน้น-เจตนารมณ์” PDPA
ชี้ให้องค์กรคลายความกังวล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกอบด้วย 96 มาตรา มี 7 หมวด โดยมีหมวดที่เกี่ยวข้องกับองค์กรธุรกิจ ผู้ประกอบการและบุคคลผู้เป็นเจ้าของข้อมูล คือ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ ซึ่งแบ่งออกเป็น 2 ส่วน คือ โทษทางอาญา และโทษทางปกครอง
สำหรับหมวด 2 การคุ้มครองข้อมูลส่วนบุคคล จุดเน้นคือ “การเก็บรวบรวม การใช้ หรือเปิดเผย” ซึ่งเริ่มตั้งแต่การเก็บรวบรวมข้อมูล หากมีการเก็บข้อมูลของผู้ใดจะต้องขอความยินยอมและแจ้งวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยต่อเจ้าของข้อมูลส่วนบุคคลนั้น และจะเก็บข้อมูลได้เท่าที่จำเป็นเท่านั้น สำหรับความยินยอมของเจ้าของข้อมูลจะต้องเป็นการให้ความยินยอมก่อนหรือขณะจัดเก็บข้อมูล โดยที่เจ้าของข้อมูลเข้าใจในวัตถุประสงค์ของการจัดเก็บตามที่แจ้ง ในส่วนของ Sensitive Data หรือข้อมูลที่อ่อนไหวต่อความรู้สึกของบุคคล ซึ่งโดยปกติห้ามเก็บ แต่ก็จะมีข้อยกเว้นในบางกรณีตามกฎหมาย สำหรับขอความยินยอมในการจัดเก็บข้อมูลประเภท Sensitive Data จากเจ้าของข้อมูล จะต้องชัดเจนว่าเป็นการให้ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล (Explicit Consent) จึงจะสามารถจัดเก็บได้
ในส่วนของการใช้หรือเปิดเผย หลักคิดที่สำคัญคือ การใช้หรือการเปิดเผยนั้นจะต้องอยู่ภายใต้กรอบความยินยอมและวัตถุประสงค์ของการจัดเก็บ เว้นแต่เป็นการเปิดเผยภายใต้เงื่อนไขที่กฎหมายกำหนดไว้ เช่น เป็นการเปิดเผยข้อมูลต่อเจ้าหน้าที่ตามกฎหมายที่ให้อำนาจไว้
สำหรับการส่งผ่านข้อมูลไปต่างประเทศ PDPA ถือหลักว่าประเทศที่เราจะส่งข้อมูลไปนั้นจะต้องมีมาตรฐานการคุ้มครองส่วนบุคคลที่เพียงพอต่อการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และภายใต้เงื่อนไขที่กฎหมายกำหนด เช่น เป็นการปฏิบัติตามกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา
ในส่วนของการร้องเรียนโดยเจ้าของข้อมูลตามหมวด 5 กฎหมายระบุให้คณะกรรมการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อพิจารณาดำเนินการเกี่ยวกับเรื่องร้องเรียน ซึ่งมีแนวทางในการดำเนินการที่อาจจะแตกต่างกันไปแล้วแต่ความหนักเบาของแต่ละกรณี เช่น การตักเตือน ไกล่เกลี่ย หรือลงโทษปรับทางปกครอง ซึ่งเมื่อคณะกรรมการผู้เชี่ยวชาญรับเรื่องร้องเรียนและพบว่ามีมูล หากพิจารณาแล้วเป็นกรณีที่อาจไกล่เกลี่ยได้และคู่กรณีประสงค์จะไกล่เกลี่ยให้คณะกรรมการผู้เชี่ยวชาญดำเนินการไกล่เกลี่ย แต่หากไกล่เกลี่ยไม่สำเร็จ หรือไม่อาจไกล่เกลี่ยได้ คณะกรรมการผู้เชี่ยวชาญก็มีอำนาจในการออกคำสั่งเพื่อแก้ไขปัญหาต่อไป เช่น สั่งให้แก้ไข สั่งให้ระงับความเสียหาย ซึ่งหากอ่านขั้นตอนการดำเนินการของกรรมการผู้เชี่ยวชาญก็จะเห็นได้ว่าก่อนที่องค์กรธุรกิจหรือผู้ประกอบจะถูกลงปรับทางปกครองมีขั้นตอนหลายขั้นตอนที่องค์กรธุรกิจหรือผู้ประกอบการสามารถเลือกที่จะตัดสินใจเพื่อยุติปัญหาข้อพิพาทที่เกิดขึ้นได้
ในส่วนของความผิดและบทกำหนดโทษ ซึ่งเป็นเรื่องที่องค์กรธุรกิจหรือผู้ประกอบการกลัวหรือมีความกังวล นายเธียรชัยเห็นว่า กฎหมายไม่มีเจตนาที่จะลงโทษปรับขั้นสูงสุดทุกกรณี เพราะยังมีตัวแปรอื่นๆ ที่กรรมการผู้เชี่ยวชาญต้องนำมาพิจารณาประกอบด้วย เช่น ความร้ายแรงของผลกระทบที่เกิดขึ้น ขนาดขององค์กรและจำนวนของข้อมูล และโดยเฉพาะความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูล เป็นต้น หากเป็นกรณีที่ไม่ร้ายแรงโทษปรับก็จะน้อยกว่าเรื่องที่มีความร้ายแรงและที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลเป็นจำนวนมาก
ความผิดและบทกำหนดโทษตามกฎหมายฉบับนี้แบ่งออกเป็น 2 ส่วน คือ หมวด 6 ความรับผิดทางแพ่ง และหมวด 7 บทกำหนดโทษ
เกี่ยวกับคำถามเรื่องใบรับรอง (Certificate) สำหรับองค์กรธุรกิจหรือผู้ประกอบการ นายเธียรชัย กล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยังไม่ได้ระบุให้องค์กรธุรกิจหรือผู้ประกอบการจะต้องได้รับใบรับรอง (Certificate) ที่แสดงว่าองค์กรได้ผ่านการตรวจสอบด้านการปฏิบัติตามกฎหมาย สิ่งที่จะทำได้คือ การสุ่มตรวจซึ่งการที่จะเข้าไปสุ่มตรวจนั้นก็จะต้องมีเหตุอันควรให้ต้องเข้าไปตรวจ และการตรวจก็อาจจะเป็นการทำ Checklist เช่น ตรวจว่าในช่วง 1 ปีที่ผ่านมามีการใช้ข้อมูลส่วนบุคคลมากน้อยเพียงใด มีการอบรมพนักงานเพื่อให้ความรู้ในเรื่องข้อมูลส่วนบุคคลหรือไม่ มีการเก็บใช้ข้อมูลส่วนบุคคลอย่างไรใช้อย่างไร เป็นต้น ซึ่งกระบวนการตรวจสอบจะดำเนินการอย่างไรก็ยังเป็นประเด็นที่คณะกรรมการต้องคิดต่อไปหลังจากมีการบังคับใช้กฎหมายแล้วในระยะหนึ่ง
อย่างไรก็ตาม ขณะนี้กฎหมายลำดับรอง หลักเกณฑ์และกฎระเบียบต่างๆ ยังออกมาไม่ครบ จึงขอให้ภาคองค์กรธุรกิจหรือผู้ประกอบการติดตามต่อไปหลังจากกฎหมายมีผลบังคับใช้
#####
Show Case
Related Articles
ประเทศไทยเป็นประเทศที่มีบริษัทญี่ปุ่นจำนวนมากเข้ามาตั้งฐานการผลิต ซึ่งอุตสาหกรรมการผลิตและการก่อสร้างกำลังเผชิญปัญหาต่าง ๆ เช่น ต้นทุนแรงงานและต้นทุนวัสดุที่สูงขึ้น รวมถึงการขาดแคลนแรงงาน จากสถานการณ์ดังกล่าว จึงจำเป็นต้องมีการเปลี่ยนเป็นระบบดิจิทัลในหน้าไซต์งาน
20.02.2024
EdTech ย่อมาจาก Educational Technology หมายถึง เทคโนโลยีด้านการศึกษา ซึ่งเมื่อนำมาใช้กับธุรกิจจะสามารถพัฒนาระดับความสามารถของพนักงาน และองค์กรได้อย่างมีประสิทธิภาพ ช่วยยกระดับองค์กรให้มีโอกาสเหนือคู่แข่ง และช่วยลดต้นทุนด้านการอบรม เพราะการเรียนรู้นั้นไม่รู้จบ
08.03.2024
การถดถอยของตลาดเกมคอมพิวเตอร์และคอนโซล
03.04.2024
