พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือ Personal Data Protection Act (PDPA) นั้นกำลังจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 ที่ใกล้จะถึงนี้ แม้จะมีเวลาเตรียมตัวกันมาสักพักใหญ่หลายองค์กรก็ยังมีความกังวลต่อความเปลี่ยนแปลงที่กำลังจะเกิด ในบทความนี้ ขอเชิญทุกท่านมาทบทวนความรู้เกี่ยวกับ PDPA ด้วยความรู้ที่ได้รับมาจากการสัมภาษณ์คุณเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
PDPA เกิดขึ้นเพื่ออะไร
พรบ.คุ้มครองข้อมูลส่วนบุคคลนั้นเกิดขึ้นโดยมีเป้าหมายหลักใน 2 ด้าน ด้านแรกที่เป็นที่เข้าใจกันดีคือการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลในยุคที่ธุรกิจเก็บข้อมูลสำคัญของผู้มาใช้บริการมากขึ้นเรื่อยๆ ป้องกันไม่ให้เกิดการนำข้อมูลไปใช้ในทางที่ไม่ชอบที่อาจจะก่อให้เกิดความเสียหายตามมา
และอีกด้านหนึ่งคือการวางแนวทางการจัดการและส่งต่อข้อมูล ทั้งในระดับของการดำเนินธุรกิจและการโอนข้อมูลข้ามระหว่างองค์กร ซึ่งจำเป็นจะต้องมีกฎหมายกำกับดูแลเพื่อให้สอดคล้องกับแนวทางสากล และสร้างความมั่นใจให้กับองค์กรจากประเทศที่มีกฎหมายคุ้มครองข้อมูลท้องถิ่นว่าข้อมูลของลูกค้าที่พวกเขาจะส่งมอบมายังองค์กรไทยนั้นจะถูกรักษาเป็นอย่างดี
อะไรบ้างที่อยู่ในกฎหมาย PDPA
พรบ.ฉบับนี้ได้ให้นิยามของสิ่งที่เกี่ยวข้องหลักๆ ไว้ 4 อย่าง คือ
- ข้อมูลส่วนบุคคล หมายถึงข้อมูลใดๆที่ทำให้สามารถระบุตัวบุคคลนั้นๆได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) หมายถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลอื่นๆตามที่ได้ประกาศไว้ซึ่งกระทบต่อเจ้าของข้อมูล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึงบุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บ ใช้ หรือเผยแพร่ข้อมูล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึงบุคคลหรือนิติบุคคลซึ่งดำเนินการเก็บ ใช้ หรือเผยแพร่ข้อมูลในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ความแตกต่างระหว่าง PDPA และ GDPR
GDPR หรือ General Data Protection Regulation นั้นเป็นกฎหมายที่บังคับใช้ขึ้นหลายปีแล้วในสหภาพยุโรป แนวทางของ PDPA นั้นมีความสอดคล้องกับ GDPR อยู่หลายประการ ทว่า PDPA นั้นจะเน้นไปที่แนวทางการเก็บรวบรวม รักษา การใช้และเปิดเผยข้อมูล ในขณะที่ GDPR นั้นมีเนื้อหาหลักที่การจัดการการประมวลผลข้อมูลของธุรกิจ
ส่วนประกอบของ PDPA
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นั้นประกอบไปด้วย 96 มาตรา ซึ่งแบ่งออกเป็น 7 หมวด ครอบคลุมการดูแลข้อมูลในด้านต่างๆ ได้แก่
- การคุ้มครองข้อมูลส่วนบุคคล – หากธุรกิจต้องการเก็บข้อมูล จะต้องแจ้งวัตถุประสงค์ในการใช้งานและได้รับความยินยอมจากลูกค้า และเก็บเพียงข้อมูลที่จำเป็นต่อการใช้งานเท่านั้น
- การใช้หรือเปิดเผยข้อมูล – ต้องได้รับการยินยอมและเป็นไปตามเงื่อนไขที่แจ้งไว้
- การส่งผ่านข้อมูลไปต่างประเทศ – ประเทศปลายทางจะต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอต่อการรักษาความปลอดภัย
- การร้องเรียนโดยเจ้าของข้อมูล – มีขั้นตอนและแนวทางในการดำเนินการที่ถูกกำหนดไว้โดยเฉพาะ
- ความผิดทางแพ่ง – จะเกิดขึ้นเมื่อมีการฟ้องร้องต่อศาล และศาลจะเป็นผู้กำหนดสินไหมทดแทน
- บทกำหนดโทษ – มีทั้งโทษอาญาและโทษทางปกครอง แปรผันตามความเสียหายและดุลยพินิจของคณะกรรมการผู้เชี่ยวชาญ
ธุรกิจต้องกังวลถึงบทลงโทษแค่ไหน
บทบัญญัติของ PDPA นั้นกำหนดโทษขององค์กรที่ไม่สามารถดำเนินการได้สอดคล้องกับหลักการไว้ค่อนข้างสูง อย่างไรก็ตามกฎหมายนั้นไม่มีเจตนาที่จะลงโทษขั้นสูงสุดทุกกรณี และจะพิจารณาตามปัจจัยอื่นๆ เช่น ความร้ายแรงของผลกระทบ จำนวนของข้อมูล และขนาดขององค์กร ธุรกิจจึงไม่ต้องกังวลเกินกว่าเหตุนัก
อย่างไรก็ตาม การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลของลูกค้าเป็นสิ่งที่ธุรกิจจะต้องตระหนัก และระมัดระวังในการดำเนินการเกี่ยวกับข้อมูลให้มากขึ้นกว่าที่เคย ซึ่งการตระหนักรู้ในประเด็นนี้นอกจากจะเป็นประโยชน์ต่อผู้ใช้บริการแล้ว ยังส่งเสริมให้ธุรกิจมีความปลอดภัยที่ดีขึ้น และลดความเสี่ยงและความเสียหายจากการโจมตีทางไซเบอร์ด้วย
ศึกษารายละเอียดเพิ่มเติมเกี่ยวกับ PDPA และการสัมภาษณ์นี้ฉบับเต็มได้ที่ https://www.jrit-ichi.com/cutting/2022/04/01/1020/