ทำไม? “การคุ้มครองข้อมูลส่วนบุคคล เป็นเรื่องที่เจ้าของธุรกิจทุกคนต้องรู้” ไม่งั้นโดนปรับ 5 ล้านบาท!

PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ประกาศใช้ให้ต้องทำตามแน่ๆ ในวันที่ "28 พ.ค.2563" เป็นเรื่องเกี่ยวกับ Data Privacy ที่มีตัวฉบับร่างออกมาแล้วเมื่อ 28 พ.ค.2562 อาจมีกฎหมายลูก และนิยามออกมาที่มีความชัดเจนขึ้นในการปฏิบัติงานตามมา แต่ทั้งนี้ทั้งนั้น มองจากความเสี่ยง ผู้ประกอบการควรเป็นอย่างยิ่งที่จะวางแผนการปฏิบัติงานให้สอดคล้องกับพรบ.นี้แต่เนิ่นๆ


ทำไม? “การคุ้มครองข้อมูลส่วนบุคคล เป็นเรื่องที่เจ้าของธุรกิจทุกคนต้องรู้” ไม่งั้นโดนปรับ 5 ล้านบาท!


PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ประกาศใช้ให้ต้องทำตามแน่ๆ ในวันที่ "28 พ.ค.2563" เป็นเรื่องเกี่ยวกับ Data Privacy ที่มีตัวฉบับร่างออกมาแล้วเมื่อ 28 พ.ค.2562 ซึ่งอาจมีกฎหมายลูกและนิยาม ออกมาที่มีความชัดเจนขึ้นในการปฏิบัติงานตามมา แต่ทั้งนี้ทั้งนั้น มองจากความเสี่ยง ผู้ประกอบการควรเป็นอย่างยิ่งที่จะวางแผนการปฏิบัติงานให้สอดคล้องกับพรบ.นี้แต่เนิ่นๆ

PDPA นี้เป็นกฎหมายที่ใกล้เคียงกับ GDPR ของยุโรป ซึ่งถ้าเราติดต่อกับประเทศแถบยุโรป

จะเห็นว่ามีการใช้งานไปก่อนหน้าแล้ว ด้วยการขอความยินยอมในทุกกิจกรรมที่มีการขอข้อมูล

หรือ browse website และ Singapore ก็มีใช้ PDPA เป็นโอกาสให้สามารถขยายการค้าได้

ด้วยการยอมรับกฎเกณฑ์มาตรฐานโลก ดังนั้นอาจมองได้ว่า นี้เป็นกฎหมายที่ส่งเสริมให้มีความได้เปรียบในการแข่งขันหากผู้ประกอบการได้ปฏิบัติตามในการป้องกันข้อมูลส่วนบุคคลของลูกค้าและคู่ค้า

ว่าด้วยข้อมูลที่น่าเป็นกังวลจากการเก็บและการเปิดเผยข้อมูลที่พูดถึงในกฎหมายนี้ คือ ข้อมูลหลักๆที่เกี่ยวข้องกับ SME คือ ข้อมูลลูกค้า ข้อมูลคู่ค้า ข้อมูลพนักงาน โดยกล่าวถึงข้อมูลลูกค้าก่อนคือ สิ่งที่ต้องคำนึงถึงอันดับแรกคือ “ความยินยอม” (consent) ดังนั้นก่อนเราจะเก็บข้อมูลลูกค้าได้ จะต้องให้เค้ายินยอม และการขอความยินยอมต้องแยกจากข้อความอื่นๆให้ชัดเจน ห้ามเขียนล่อลวงให้เข้าใจผิด และเจ้าของข้อมูลต้องมีความอิสระด้วย คือ ไม่เอามาตั้งเงื่อนไขดอกจันว่าถ้าไม่ยินยอม จะไม่ให้บริการ

ดังนั้นผู้ประกอบการที่มีการขอข้อมูลลูกค้า ต้องมี consent ให้ลูกค้าแสดงความยินยอมเสมอ

ดังนั้น งานแรก คือ เช็คว่าส่วนไหนที่มีการขอข้อมูลลูกค้า ทำการขอความยินยอมให้เรียบร้อย

โดยกรอบเวลาการจัดการข้อมูลและผู้รับผิดชอบ ก็ต้องระบุไว้ในบทบัญญัติของกิจการเราด้วยเช่นกัน

ซึ่งจะกล่าวถึงในตอนท้ายของการเตรียมตัว

สิ่งที่ต้องได้รับความยินยอม คือ

• Cookies website ต้องได้รับความยินยอม

• Event ที่จัดและมีการถ่ายรูป ต้องได้รับความยินยอม

• ถ้าใช้บุคคลที่ 3 เช่น digital marketing agency จะต้องบัญญัติให้ชัดเจนเรื่องการส่งต่อข้อมูล ให้ลูกค้าแสดงความยินยอม ถ้าไม่ได้แจ้งก่อน ต้องแจ้งภายใน 30วัน

• ข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความเชื่อในลัทธิ ศาสนาปรัชฌา ความคิดเห็น ทางการเมือง ข้อมูลสุขภาพ ความพิการ ประวัติอาชญากรรม ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูล สหภาพแรงงาน ข้อมูลทางการเงิน หรือข้อมูลอื่นใดที่ส่งผลกระทบต่อเจ้าของข้อมูลนั้นห้ามเก็บหาก ไม่ได้รับความยินยอม

• ในการขอข้อมูลนั้น ต้องระบุวัตถุประสงค์ด้วย ว่าจะเอาข้อมูลไปทำอะไร (ใช้การเขียนคำแบบกว้างๆว่า อื่นๆใดๆ นั้นไม่ได้)

• ถ้าภาครัฐต้องการข้อมูล ต้องใช้หลักการเดียวกันในการป้องกันการเปิดเผยข้อมูล ไม่ควรให้ไปหมด ทั้งชุดข้อมูล แต่เลือกเฉพาะที่ตรงวัตถุประสงค์ หรือรับคำชี้แจงให้ชัดว่าต้องการข้อมูลอะไรบ้าง

หากไม่ปฏิบัติตาม

• โทษอาญา จำคุกไม่เกิน1ปี ปรับไม่เกิน 1ล้านบาท

• โทษของนิติบุคคล ถ้าความผิดพลาดเกิดจากการสั่งการ หรือการกระทำของกรรมการ หรือละเว้นไม่สั่งการไม่กระทำการ

• โทษปกครอง - เก็บเกินจำเป็น เกินวัตถุประสงค์ /เปิดเผยโดยไม่ได้รับความยินยอม /ทำให้เจ้าของข้อมูลเข้าใจผิด ปรับไม่เกิน 5ล้านบาท

ก่อนหน้านี้ ประเทศไทยมีพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2450 และ ฉบับแก้ไขเพิ่มเติม 2560 กล่าวถึงหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ว่าต้อง ไม่น้อยกว่า 90 วัน และกรณีจำเป็น เก็บได้เกิน 90 วันแต่ไม่เกิน 2 ปีเฉพาะราย โดยถ้ามารวมกับพรบ.ฉบับนี้ว่าด้วยข้อมูลส่วนบุคคลแล้ว ก็คือระยะเวลานั้นถือเป็นพื้นฐาน และข้อมูลก็จะต้องจัดเก็บโดยเจ้าหน้าที่ของิจการ

(Data Processer) จะต้องสั่งการให้เจ้าหน้าที่ผู้ควบคุมข้อมูล (Data Controller)เป็นผู้เก็บรักษาข้อมูล

นั่นแปลว่าผู้ประกอบการจะต้องแต่งตั้ง Data processer & Data Controller และต้องมีกรอบของการเก็บข้อมูลระบุไว้ให้ชัด


ทำอย่างไร หากมีข้อมูลส่วนบุคคลที่ได้รวบรวมไว้”ก่อน” กฎหมายนี้ใช้บังคับ

• สามารถเก็บรวบรวมต่อไปได้ตามจุดประสงค์เดิม แต่ต้องประชาสัมพันธ์ หรือถามลูกค้าและคู่ค้าเจ้าของข้อมูล ว่าปรารถนาจะยินยอมหรือไม่ประสงค์ให้เก็บข้อมูลต่อ

• ซึ่งต้องคำนึงถึงความเสี่ยงของการเปิดเผยข้อมูลด้วย สิ่งที่ทำกันคือส่งเป็นลิงค์ให้เข้ามา verify ข้อมูลด้วยตนเอง โดยไม่ส่งเป็นข้อมูลไปโดยตรง เพราะถ้าปลายทางที่ส่งเป็นบ้านเลขที่ที่ย้ายไปแล้ว เบอร์โทรที่เปลี่ยนไปเป็นของคนอื่นแล้ว จะมีปัญหาเรื่องการเปิดเผยข้อมูลส่วนบุคคลไป

• ควรระบุไปในการประชาสัมพันธ์ไปที่บุคคลด้วยว่า ถ้าไม่ตอบกลับภายในกรอบเวลา (ต้องไม่เร็วไปด้วย) หรือไม่โต้แย้ง จะถือว่าให้การยินยอมเก็บข้อมูลต่อไป

ในการเตรียมตัวรับมือกับการประกาศใช้พรบ.ในเดือน พ.ค.63 ที่จะถึงนี้

• ผู้ประกอบการซึ่งเป็นเจ้าของกิจการ หรือผู้บริหาร ต้องวางหลักเกณฑ์ ว่าใครเป็นผู้ได้รับมอบหมาย (Data Processor, Data Controller) ใครดูได้ ใครดูไม่ได้ เก็บนานแค่ไหน เอาไปทำอะไร การเปิดเผยข้อมูลกับคู่ค้ามีอะไรบ้าง ต้องเขียนหลักเกณฑ์ระบุ ระบบรับข้อมูลลูกค้ามีอะไรบ้าง ต้องเขียนคำขอความยินยอมให้ลูกค้าตอบรับ

• หลักเกณฑ์การวางกลยุทธ์ Data Privacy ควรจาก Service based approach ไม่ใช่จาก scope หรือ data process flow

• องค์กรตามเงื่อนไขในพรบ.จะต้องแต่งตั้ง Data processor /Data Controller และสื่อสารในองค์กร สามารถเก็บหลักฐานเป็น Minute of meeting ได้

• ในกิจกรรมหลักของธุรกิจ สามารถระบุในฐานสัญญา แต่ถ้าเป็นกิจกรรมนอกเหนือจากกิจกรรมหลักของธุรกิจ จำเป็นต้องมีการหลักฐานความยินยอม

• พิจารณาให้ดีในการขอข้อมูล อันไหนไม่จำเป็นหรือไม่มีจุดประสงค์แน่ชัด ไม่ควรขอหรือเก็บข้อมูล

• ในส่วนของลูกจ้าง ข้อมูลส่วนบุคคลที่สำคัญและส่งออกภายนอก เช่น เอกสารเบิกจ่ายค่ารักษาพยาบาลให้บริษัทประกัน ในความเป็นนายจ้างลูกจ้าง ข้อมูลส่วนตัวสามารถใช้ได้อยู่แล้ว ดังนั้นกำหนดเฉพาะจุดที่เปิดเผยข้อมูลกับบุคคลที่3 ก็พอ

อย่างที่ทราบกันว่าข้อมูลมีประโยชน์มากกับธุรกิจ ประเด็นหลักที่อยากแนะนำคือเรายังสามารถเก็บดาต้าได้เท่าที่ต้องการ แต่ด้วยวิธีของ Data Analytics ที่จะเก็บข้อมูลแบบไม่ให้สามารถ identify กลับ

เป็นตัวบุคคลได้(จากกลุ่มข้อมูลนั้น) ดังนั้นมันจะเป็นเหมือนข้อมูลที่ segment เพื่อประโยชน์ในทิศทางธุรกิจและประชาสัมพันธ์สินค้าหรือบริการ ก็คือการส่งไปที่หมายเลขโทรศัพท์ อีเมล์ ที่ไม่เป็น individualize ที่เรียกว่าเป็นการเปิดเผยข้อมูลส่วนบุคคล แต่ยังสามารถ personalize เพื่อประโยชน์ในการ CRM ได้ เช่นสามารถส่งอีเมล์หาลูกค้าเฉพาะบุคคลโดยที่มีชื่อนั้น แต่เกิดจากการ matching algorithm ของต้นทางข้อมูลอีเมล์

(แต่แน่นอนว่าต่อจากนี้ไป จะต้องผ่านการยินยอมก่อนให้อีเมล์มาก่อนแล้ว)

และสุดท้ายที่เป็นข้อสังเกตุส่วนตัว ปกติถ้าบังคับใช้กฎหมายใหม่ๆ มักจะมีการเคสที่เป็นบทลงโทษของผู้ไม่ปฏิบัติตาม กลุ่มธุรกิจรายย่อย อาจจะไม่ใช่เป้าหมายในการเช็คมากนักเมื่อเทียบกับองค์กรใหญ่ที่มีผลกระทบมากกว่า แต่อย่างไรก็ดี บริหารความเสี่ยงด้วยการเตรียมพร้อม ย่อมดีกว่าเอาชื่อเสียงไปเสี่ยง ลงมือวางกลยุทธ์นโยบายก่อน เฉพาะเท่าที่จำเป็น (ตัวอย่างที่กล่าวข้างต้นในการรับมือ) ถ้าเตรียมการและปฏิบัติก่อน จะสามารถประกาศให้ลูกค้าทราบก่อนว่าเราพร้อมในการปฏิบัติตามพรบ.ที่จะปกป้องลูกค้าและคู่ค้าได้ก่อนใคร และแสดงถึงความใส่ใจ และเป็นองค์กรที่ลูกค้าไว้วางใจได้

ที่มาของ PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตราขึ้นเพราะความก้าวหน้าทางเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว และแนวโน้มเกิดการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวมีเพิ่มมากขึ้น โดยเฉพาะการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์หรือเปิดเผยโดยมิชอบหรือโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เพื่อประโยชน์ในทางการค้า หรือเพื่อประโยชน์ในการนำข้อมูลส่วนบุคคลไปใช้ในการกระทำความผิดต่าง ๆ เช่น การฉ้อโกง การหมิ่นประมาท เป็นต้น ซึ่งปัญหาเหล่านี้ย่อมส่งผลกระทบต่อความเชื่อมั่นในการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมตามนโยบายของรัฐบาล


ดังนั้น ประเทศไทยจึงจำเป็นต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างกลไกการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นมาตรฐานเดียวกันและสอดคล้องกับมาตรฐานที่เป็นสากล โดยต้องไม่สร้างภาระหน้าที่แก่ผู้เกี่ยวข้องจนกลายเป็นข้อจำกัดหรืออุปสรรคในการประกอบธุรกิจการค้าหรือการให้บริการของภาคส่วนต่าง ๆ จนเกินสมควร เพื่อแก้ไขปัญหาการละเมิดข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ


อย่างไรก็ตาม กฎหมายดังกล่าวมีหลักการที่กำหนดหน้าที่หลายประการอันอาจส่งผลกระทบต่อการประกอบธุรกิจ เนื่องจากได้กำหนดหน้าที่แก่ผู้เก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้อื่น การโอนข้อมูล การรักษาความปลอดภัยของข้อมูล การให้สิทธิตรวจสอบ แก้ไข ลบแก่เจ้าของข้อมูล ซึ่งผู้ควบคุมข้อมูลจำเป็นต้องปฏิบัติให้ถูกต้องตามกฎหมาย อาทิ เรื่องการขอความยินยอม (Consent Form) การจัดให้มีนโยบายความเป็นส่วนตัว (Privacy Policy) และต้องเตรียมความพร้อมเพื่อจัดให้มีเอกสาร สัญญา ระบบและกระบวนการต่าง ๆ ตามที่กฎหมายนี้กำหนด โดยเฉพาะอย่างยิ่งในส่วนงานบริหารทรัพยากรบุคคล งานบุคคลและงานธุรการ ที่ต้องเกี่ยวข้องกับการเก็บ ใช้ เปิดเผยและโอนข้อมูลของพนักงาน ลูกจ้างและบุคลากรขององค์กร รวมถึงการส่ง หรือโอนข้อมูลส่วนบุคคลเหล่านี้ไปยังหน่วยงานรัฐ ภายใต้กฎหมายที่เกี่ยวข้องหลายฉบับ อาทิ กฎหมายคุ้มครองแรงงาน กฎหมายประกันสังคมกฎหมายว่าด้วยเงินทดแทน กฎหมายภาษีอากร


ซึ่งผู้ประกอบการจำเป็นต้องปฏิบัติเตรียมความพร้อมเพื่อจัดการ วางระบบและกระบวนการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากหากฝ่าฝืนไม่ปฏิบัติตาม กฎหมายกำหนดมาตรการลงโทษทั้งทางแพ่ง ทางอาญาและทางปกครอง”




#PDPA #DataPrivacy #DigitalTransformation #CRM #Customer #Sales #Data #Analytics



10 views0 comments