PDPA เรื่องใกล้ตัวที่นักท่องอินเตอร์เน็ตควรรู้
PDPA (Personal Data Protection Act, 2019) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 ไปบ้างแล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 ที่ผ่านมา จะเป็นวันที่บังคับใช้กฎหมายทั้งฉบับ แต่เนื่องด้วยสถานการณ์การแพร่ระบาดของเชื้อไวรัส Covid-19 ที่ผ่านมา ส่งผลให้ธุรกิจต่างๆ เกิดปัญหาด้านการดำเนินธุรกิจ ทั้งนี้ ครม.จึงมีมติเห็นชอบตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 ปี เฉพาะหมวดที่เกี่ยวกับภาคธุรกิจ และจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2564 แทนจากเดิมที่จะบังคับใช้ไปเมื่อวันที่ 27 พฤษภาคม 2563 ที่ผ่านมา โดยในบทความนี้ ทางผู้เขียนจะขอแบ่งเนื้อหาข้อมูลที่สำคัญต่างๆ ออกเป็นหัวข้อดังนี้
- กฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คืออะไร
- ข้อมูลส่วนบุคคลคืออะไร?
- การเตรียมความพร้อมของผู้ใช้งาน และผู้ประกอบการ
- เกี่ยวกับการใช้งาน Cookie
กฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คืออะไร
เนื่องด้วยความก้าวหน้าทางเทคโนโลยีและการสื่อสารต่างๆ มีความหลากหลายที่มากขึ้น จึงส่งผลให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลสามารถทำได้ง่าย และนำมาซึ่งการสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนส่งผลกระทบต่อเศรษฐกิจโดยรวมของประเทศ ดังนั้นจึงจำเป็นต้องมีการออกกฎหมาย เพื่อกำหนดหลักเกณฑ์ กลไกหรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลขึ้นมา
และอีกหนึ่งในสาเหตุสำคัญที่มีการออกกฎหมายฉบับนี้ขึ้นมาสืบเนื่องมาจากสหภาพยุโรป (European Union: EU) ได้มีการออกกฎหมาย GDPR ( General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 โดยนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ต้องติดต่อรับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues) ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย เพื่อเป็นการสร้างความเชื่อมั่นให้กับกลุ่มประเทศในสหภาพยุโรป ในการทำการค้าระหว่างประเทศ
ทั้งนี้จากเนื้อหาที่กล่าวไปในด้านบนนั้น ผู้อ่านหลายๆท่านอาจจะมีความสงสัยแล้วว่า "ข้อมูลส่วนบุคคลที่มีการรวบรวมข้อมูลนั้นประกอบไปด้วยข้อมูลอะไรบ้าง?" ดังนั้นในเนื้อหาถัดไป ผู้เขียนจะขออธิบาย เพื่อให้ผู้อ่านได้เข้าใจว่า ข้อมูลส่วนบุคคลนั้นประกอบไปด้วยอะไรและจำเป็นต้องรับมือกับเรื่องนี้อย่างไรบ้าง
ข้อมูลส่วนบุคคลคืออะไร?
ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุถึงตัวบุคคลนั้นได้ ตัวอย่างเช่น
- ชื่อ-นามสกุล
- เลขประจำตัวประชาชน
- ที่อยู่
- ข้อมูลการติดต่อ(เบอร์โทร-อีเมล)
- ข้อมูลส่วนตัวต่างๆ (วันเดือนปีเกิด,การศึกษา,เพศ,อาชีพ หรือรูปถ่ายเป็นต้น)
- ข้อมูลทางการเงิน
ทั้งนี้ กฎหมายดังกล่าวจำเป็นจะต้องได้รับความยินยอมจากทั้ง 2 ฝ่าย กล่าวคือ
- เจ้าของข้อมูล(User) ต้องให้ความยินยอม(Consent) ในการเก็บรวบรวมการใช้งานและการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ซึ่งผู้ให้บริการต้องแจ้งไว้ตั้งแต่แรกแล้วเท่านั้น หรือก็คือ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน เช่น หากจะบันทึกข้อมูลเช่นชื่อและข้อมูลการติดต่อของเจ้าของข้อมูล ก็จำเป็นต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม(โดยปัจจุบันเราสามารถเห็นข้อความได้จากเว็บไซต์ต่างๆ ในการขอเก็บ Cookie) พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวมและการใช้งาน โดยหากเราไม่ยินยอมให้ใช้ข้อมูล ผู้ให้บริการก็จะไม่สามารถใช้ข้อมูลของเราได้
- ผู้เก็บรวบรวมข้อมูล หรือผู้ให้บริการ(Company) จะต้องรักษาความปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูลเป็นอันขาด
- เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
การตอบรับความยินยอมนั้น ในปกติแล้ว หากผู้ใช้(User) เข้าเว็บไซต์ใดๆก็แล้วแต่ของผู้ประกอบการ(Company) ที่มีการใช้ Cookie ในการขออนุมัติการเก็บข้อมูลส่วนบุคคล จะมีหน้าต่างข้อความเด้งขึ้นมาเพื่อให้ผู้ใช้กดตอบรับความยินยอม ทั้งนี้หน้าต่างข้อความนั้นจะมีหน้าตาที่แตกต่างกันออกไปตามการออกแบบของเว็บไซต์ โดยทางผู้เขียนจะขอหยิบยก หน้าต่างข้อความการขออนุมัติของเว็บไซต์ Classmethod Thailand ที่ใช้งานซอฟต์แวร์การจัดเก็บข้อมูลส่วนบุคคลของทาง Cookiebot เพื่อเป็นข้อมูลให้ผู้อ่านทุกท่านได้ทำความเข้าใจ ในการขอเก็บ Cookie ดังรูปภาพด้านล่างต่อไปนี้
โดยการขออนุมัติการเก็บข้อมูลส่วนบุคคลนั้น หน้าต่าง Cookie ของเว็บไซต์ผู้ประกอบการนั้น จะต้องมีหน้าต่างเพื่อแสดงรายละเอียดการเก็บข้อมูลต่างๆ เพื่อให้ผู้ใช้รับทราบและสามารถอนุญาตเฉพาะเนื้อหาที่ต้องการให้เก็บข้อมูลได้ ดังนั้น ในส่วนข้อมูลถัดไปต่อจากนี้ ทางผู้เขียนจะขออนุญาตในการอธิบายวิธีการเตรียมความพร้อมสำหรับผู้ใช้งานและผู้ประกอบการ เพื่อให้ผู้อ่านได้เข้าใจ โดยมีเนื้อหาดังต่อไปนี้
สำหรับผู้ใช้งานที่เป็นเจ้าของข้อมูล(User)
สำหรับผู้ใช้งานทั่วไปอย่างพวกเราในฐานะเจ้าของข้อมูล ควรอ่านข้อกำหนด ก่อนยินยอมการใช้งานข้อมูลต่างๆให้รอบคอบ โดยไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล
โดยเจ้าของข้อมูลมีสิทธิในการขอยกเลิกหรือแก้ไขข้อมูลต่างๆ ดังนี้
- สิทธิในการได้รับการแจ้งข้อมูล
- สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
- สิทธิในการขอให้โอนย้ายข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการจำกัดการประมวลผลของข้อมูล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
- สิทธิขอให้ลบหรือทำลาย
ซึ่งการใช้สิทธิของเจ้าของข้อมูลจะต้องเป็นไปตามหลักเกณฑ์ของกฎหมาย และไม่ละเมิดสิทธิหรือเสรีภาพของผู้อื่นเช่นกัน
สำหรับผู้ประกอบการ(Company)
สำหรับผู้ประกอบการ หากอยู่ในข้อกำหนดที่ต้องมีการเก็บข้อมูลส่วนบุคคล จำเป็นจะต้องรู้ถึงขอบเขตการเก็บข้อมูลส่วนบุคคล รวมไปถึงต้องมีหน้าที่ในการเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยปราศจากความยินยอมของเจ้าของข้อมูล หรือเข้าถึงข้อมูลโดยมิชอบ อีกทั้งต้องมีการกำหนดนโยบายสำหรับบุคคลภายในองค์กรที่ต้องเกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลอีกด้วย และหากข้อมูลเกิดรั่วไหลหรือถูกขโมยไป ผู้เก็บข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบใน 72 ชั่วโมงนับแต่ทราบเหตุ
โดยหากฝ่าฝืน หรือไม่ปฏิบัติตามกฎของพ.ร.บ.ดังกล่าว จะมีบทลงโทษ ได้แก่
- ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง (มาตรา77,78)
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ (มาตรา79,80)
- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท (มาตรา82-90)
และหากผู้อ่านหรือผู้ประกอบการท่านใดมีความสนใจหรือต้องการที่จะใช้งาน Cookie ในการเก็บข้อมูลให้กับเว็บไซต์แล้วล่ะก็
ทางบริษัท Classmethod Thailand ของเรานั้นมีการให้บริการทางด้านการเก็บข้อมูลเพื่อให้สอดคล้องกับกฎหมาย PDPA ในประเทศไทย ด้วย Cookiebot ซึ่งถูกพัฒนาโดย Cybot ในทวีปยุโรป ที่มีขั้นตอนในการติดตั้งที่ง่ายอีกทั้งยังมีค่าใช้จ่ายในการให้บริการค่อนข้างถูก โดยหากต้องการรายละเอียดหรืออยากจะสอบถามเพิ่มเติม สามารถคลิกที่ลิงก์ด้านล่างดังต่อไปนี้ครับ
https://www.classmethod-thailand.com/th/services_cookiebot
เรียกได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้น จะเข้ามาเป็นอีกหนึ่งบทบาทสำคัญในชีวิต สำหรับการใช้อินเตอร์เน็ตของเราอันใกล้อย่างแน่นอน และหากเรารู้ให้เท่าทัน ก็จะทำให้การใช้งานอินเตอร์เน็ตของเราเป็นไปอย่างปลอดภัยมากยิ่งขึ้นทั้งในฐานะผู้ใช้งานและผู้ประกอบการ สำหรับในบทความนี้ ทางผู้เขียนหวังว่า ผู้อ่านจะได้รับความรู้และสามารถนำไปปรับใช้ ในการใช้งานอินเตอร์เน็ตได้ดียิ่งขึ้น และหากมีข้อผิดพลาดประการใด ต้องขออภัยมา ณ ที่นี้ สำหรับบทความนี้ก็ต้องจบเพียงเท่านี้ แล้วพบกันใหม่ในบทความครั้งถัดๆไป สวัสดีครับ