Company News

เจาะลึก กฎหมาย PDPA ทำไมทุกบริษัทจึงต้องให้ความสนใจ

PDPA หรือ Personal Data Protection Act ซึ่งจะประกาศใช้ในวันที่ 27 พ.ค 2564 เพื่อคุ้มครองข้อมูลส่วนบุคคล เพราะที่ผ่านๆ มาข้อมูลมหาศาลถูกจัดเก็บ ประมวลผล นำไปใช้ได้อย่างอิสระเกินไป ชนิดที่ว่า แทบจะรู้ความต้องการได้ดีกว่าเรา ยังไม่ทันไปเสริชหาใน Google เพียงแค่คิดในใจก็แสดงออกมาบน Facebook, Instagram แล้ว ซึ่งข้อมูลแบบนี้ละเข้าค่ายการละเมิดสิทธิส่วนบุคคลอย่างเห็นได้ชัด และนับว่าจะมากขึ้นเรื่อยๆ ด้วยเหตุนี้จึงได้มีกฎหมาย PDPA เพื่อคุ้มครองพื้นที่ส่วนบุคคลบนโลกดิจิตอลขึ้นมา

ข้อมูลที่สามารถระบุตัวบุคคล ไม่ว่าทางตรงและทางอ้อม ไม่ว่าจะเป็นชื่อ นามสกุล เบอร์โทร อีเมล์ LIND ID เลขประจำตัวประชาชน ข้อมูลเหล่านี้ล้วนมีความอ่อนไหว ทางรสนิยม fanpage ความคิดเห็นทางการเมืองอย่างเห็นได้ชัด รวมถึงข้อมูลประเภทระบุตัวตนทางอ้อมใน Cookies ID , IMEI หรือ Device ID เมื่อมีการถูกเชื่อมกับ Server เพื่อระบุตัวอุปกรณ์ แม้ไม่เปิดเผยชื่อ นามสกุล เพราะอุปกรณ์พวกนี้นำข้อมูลที่มากพอ มาเรียนรู้รสนิยม ความชอบ ไม่ชอบ จนถูกยัดเยียดข้อมูลทางการตลาดให้กับผู้บริโภคเต็มๆ จุดนี้เองทำให้ PDPA เข้ามาบังคับให้หน่วยงาน ธุรกิจ ปฏิบัติอย่างเคร่งครัด ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนถึงจะนำไปใช้ได้ และหากฝ่าฝืน เกิดการฟ้องร้องกันในคดี ทั้งทางแพ่ง อาญา และปกครอง จะมีโทษปรับสูงถึง 5 ล้านบาทและจำคุกสูงสุด 1 ปี

ทำไมข้อมูลจึงสำคัญ

ข้อมูลส่วนบุคคลของเราทั้งที่อยู่ใน Big Data, Database ขนาดมหึมาขององค์กร หน่วยงาน ธุรกิจทั้งหลายล้วนเป็นข้อมูลที่สำคัญ โดยที่ผ่านๆ มา ตอนที่ยังไม่มีกฎหมายควบคุม สังเกตไหมว่า จะมีคนโทรศัพท์มาขายสินค้าเรา ไม่ว่าจะประกันชีวิต หรือสินค้าอื่นๆ ทั้งที่เราไม่เคยรู้จัก หรือให้ข้อมูลกับพวกเขาเลย ซึ่งข้อมูลนี่ละ คือ ข้อมูลส่วนตัวของเรา ที่เราเคยไปกรอกทิ้งไว้ ไม่ว่าจะตอนสมัครบัตรเครดิต ไปโรงพยาบาล สมัครงาน ข้อมูลต่างๆ ที่เรากรอกเอาไว้ ล้วนเป็น “ประวัติ” ข้อมูลส่วนบุคคล ทางบริษัท หรือสถานที่ แหล่งที่เราเคยไปกรอกข้อมูลทิ้งไว้ ไม่มีสิทธินำข้อมูลเราส่งต่อ หรือไปทำการตลาด หรือกิจกรรมอื่นๆ ต่อได้หากไม่ได้รับความยินยอมจากเรา ดังนั้น นับจากนี้ต่อไป ข้อมูลหรือ Data ที่ไม่เคย Consent มาก่อนจะไม่สามารถนำไปใช้ในกิจกรรมอื่นๆ ได้ เพราะเป็นข้อมูลที่ไม่ได้มีการขอความยินยอมมาก่อน

ใครบ้างที่ได้ผลกระทบจากกฎหมาย PDPA 

• องค์กรธุรกิจต่างๆ ในประเทศไทยไม่ว่าจะเป็นข้อมูลลูกค้าเก่าๆ หรือแม้แต่ข้อมูลพนักงานในองค์กร จะได้รับผลกระทบกับกฎหมายฉบับนี้ด้วย

• หน่วยงานภาครัฐและเอกชนในประเทศไทยที่มีการเก็บข้อมูลประชาชน ไม่มีสิทธินำข้อมูลที่เกี่ยวข้องกับกฎหมายฉบับนี้ไปทำกิจกรรมอื่นๆ 

• ธุรกิจขายของออนไลน์ e-commerce ที่มีการให้ข้อมูล ชื่อ นามสกุล เลขบัญชีโอนเงินกัน ถือเป็นการเก็บข้อมูลส่วนบุคคลแล้ว กฎหมายนี้จะไปครอบคลุมข้อมูลส่วนบุคคลทั้งหมดด้วย

ดังนั้น ทุกคนต้องปรับตัวตามกฎหมาย PDPA ฉบับนี้ การเก็บข้อมูลต่างๆ จะต้องได้รับความยินยอมจากบุคคลนั้นๆ ก่อน  เพราะอย่างที่รู้ๆ กันอยู่ว่าโลกทุกวันนี้ ทุกอย่างเติบโตไปพร้อมกับ Innovative ทุกอย่างต้องอาศัย Data เพื่อนำมาวางแผนโครงสร้างองค์กร และการตลาดได้อย่างแม่นยำ มันหมดยุคการคาดเดาอีกแล้ว ดังนั้น จึงต้องมีการวางแผนทำความเข้าใจ ให้สอดคล้องกับ PDPA เพื่อทำ Marketing อย่างฉลาดขึ้น แล้วไม่ผิดต่อกฎหมาย

แบบไหนเรียกว่า “ยินยอมรับทราบ”

• หากในระบบดิจิทัล ต้องมีการแจ้งเตือน เพื่อให้ผู้กรอกข้อมูลรับทราบว่า จะมีข้อมูลที่บุคคลนั้นๆ กรอกเข้ามาจะถูกเก็บเป็นข้อมูลส่วนบุคคล• ต้องได้รับการยินยอม หรืออนุญาต ยืนยันจากบุคคลนั้นๆ ผ่านระบบ ว่ายินยอมให้เก็บข้อมูลส่วนบุคคลของตนเองได้

• ต้องแจ้งให้ทราบว่า ข้อมูลส่วนบุคคลนั้นจะถูกนำไปใช้ เพื่ออะไร ระยะเวลาที่กำหนดไว้จะจัดเก็บยาวนานแค่ไหน ** และที่สำคัญต้องมีระบบที่สามารถให้บุคคลนั้นๆ เข้ามาลบข้อมูลส่วนบุคคล ไม่ว่าจะเป็นชื่อ เบอร์โทร ฯลฯ ได้ เช่น Function แสดงบนหน้าเว็บไซต์ “ยกเลิกการเก็บข้อมูล” ได้อย่างสมัครใจ

เพราะสิ่งที่ผู้ประกอบการ หรือบริษัทต่างๆ  ต้องพึงระวังมากที่สุด นั้นคือ เจ้าของข้อมูลสามารถฟ้องร้องได้ หากไม่ได้ความยินยอม โดยค่าเสียหายมูลค่าสูงสุดถึง 5 ล้านบาท!! เลยทีเดียว

ตัวอย่างที่ต้องปรับตามกฎหมาย PDPA คุ้มครองประชาชน

• ห้ามถ่ายรูปหน้าตาคนอื่นนำมาโพสท์ Facebook เข้าข่ายผิด พ.ร.บ คุ้มครองส่วนบุคคล เพราะไม่ได้รับความยินยอมจากเจ้าของ

• ข้อมูลโฆษณาการตลาด ไม่ว่าจะผ่าน E-mail หรือผ่าน Facebook ผ่าน Google ผ่านในมือถือ ข้อมูลเหล่านี้ต้องได้รับความยินยอมในการเก็บข้อมูลจากบุคคลนั้นๆ ก่อน ที่จะนำไปใช้ยิงโฆษณา Retarget ตามหลอกหลอนผู้บริโภคได้ ซึ่งข้อมูลตรงนี้ผู้บริโภคผู้ใช้งานสามารถเข้าไปลบข้อมูลบน Facebook ตนเองได้ เพื่อไม่ให้ Facebook จำว่าตนเองเคยท่องเพจหรือเว็บไซต์ไหนมาบ้าง รวมถึงคอมเมนต์ สามารถลบทิ้งได้หมด ซึ่งข้อมูลตรงนี้ส่วนใหญ่ผู้บริโภคจะไม่ค่อยทราบ

ดังนั้น นับจากนี้ข้อมูลต่างๆ จะต้องถูกกฎหมาย ทำถูกหลักการทำงานของ PDPA การเก็บข้อมูล ไม่ว่ากรอกหรือบันทึกเสียง ต้องถูกเก็บบันทึกโดยได้ความยินยอมจากเจ้าของข้อมูล และมีการแจ้งรายละเอียด สิทธิ วัตถุประสงค์ของการเก็บข้อมูลนั้นๆ ให้เจ้าของข้อมูลทราบ และที่สำคัญ การเก็บข้อมูลจะต้องถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ องค์กรต่างๆ จึงต้องปรับตัว ใส่ใจ วางแผนเว็บไซต์เพื่อรับมือกับ พ.ร.บ PDPA ทำ ‘Cookie Consent’ ให้เจ้าของข้อมูลผู้ใช้งานยินยอมให้ข้อมูล พร้อมศึกษารายละเอียด พ.ร.บ เพื่อแก้ไขป้องกันอย่างสม่ำเสมอ เพื่อประโยชน์ของตนเองและองค์กรต่อไป และเพื่อเป็นการสร้างความมั่นใจยิ่งขึ้น