ข้อมูลในโซเชียลมีเดียของเราทุกคนกลายเป็นวัตถุดิบสำคัญให้นักการตลาดและธุรกิจทั้งหลายหยิบไปใช้ได้แบบฟรีๆ ซึ่งทำให้คนเริ่มสนใจและพูดเรื่อง Privacy หรือการปกป้องข้อมูลส่วนบุคคลกันมากขึ้น จึงเกิดเป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือสั้นๆ ว่า PDPA เป็นกฎหมายซึ่งออกมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนตัวบนโซเชียลมีเดีย เบอร์โทรศัพท์ ฯลฯ เรียกได้ว่าเป็นประโยชน์กับผู้บริโภคอย่างเราสุดๆ มีข้อควรรู้อะไรบ้าง SC Asset รวบรวมมาให้ครบแล้ว
- PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act ซึ่งคือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดเกณฑ์ต่างๆ เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เช่น การควบคุมดูแลข้อมูลส่วนบุคคลไม่ให้องค์กรใดน้ำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ฯลฯ ที่เรากรอกผ่านทางเว็บไซต์ E-commerse ออนไลน์ หรือแม้แต่การสมัครสมาชิกองค์กรต่างๆ ซึ่งเริ่มใช้มาตั้งแต่ 27 พฤษภาคม ปี 2563 แล้ว
2. ปกป้องข้อมูลส่วนบุคคล ประโยชน์ต่อผู้บริโภค
PDPA จะคุ้มครองข้อมูลส่วนบุคคล แบ่งออกเป็นข้อมูล 3 ประเภทคือ
- ข้อมูลทางตรง – ข้อมูลที่ระบุตัวตนของบุคคลใดบุคคลหนึ่งได้ เช่น ชื่อ นามสกุล อายุ เลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง รูปถ่าย ที่อยู่ เบอร์โทรศัพท์ อีเมล ฯลฯ
- ข้อมูลละเอียดอ่อน (Sensitive Data) – ที่นำมาซึ่งการปฎิบัติที่ไม่เป็นธรรม เช่น รสนิยมทางเพศ เชื้อชาติ ศาสนา หรือความคิดเห็นทางการเมือง
- ข้อมูลทางอ้อม – ข้อมูลอื่นๆ ที่ไม่สามารถระบุตัวตนได้ แต่ก็ยังเป็นข้อมูลของเรา เช่น อีเมลฝ่ายงานของบริษัท, เลขทะเบียนบริษัท หรือที่อยู่สำนักงาน เป็นต้น
3. สาระสำคัญแบบสรุปของพ.ร.บ.นี้
- เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม ตั้งแต่การเก็บข้อมูลของบริษัทที่เราเข้าทำงาน เอกสารสำเนาบัญชีสำหรับฟรีแลนซ์ รวมทั้งเว็บไซต์ขายของออนไลน์ การสมัครสมาชิกออนไลน์และออฟไลน์ทั้งหมด ต้องมีการยินยอมจากเจ้าของข้อมูลก่อน
- ผู้เก็บรวบรวมข้อมูลส่วนตัวต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอนของเจ้าของบัญชี หรือบริษัทเครือข่ายโทรศัพท์ก็ต้องรักษาข้อมูลส่วนตัวของเจ้าของเบอร์โทรศัพท์
- เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
4. บริษัทและเว็บไซต์ควรทำอย่างไร
4.1 บริษัทที่มีพนักงาน มีการเก็บข้อมูลส่วนตัว ต้องมีการทำ HR Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ว่าจะเก็บข้อมูลอะไรบ้างเพื่อวัตถุประสงค์ใดทั้งพนักงานเก่าและพนักงานใหม่
4.2 กลุ่มเว็บไซต์ แอปพลิเคชัน และ Third-party
เจ้าของเว็บไซต์ ต้องมีการทำ Cookies Privacy Policy เพื่อแจ้งขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน เช่นเดียวกันกับ Third Party ที่มีการเก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่มันจะมาในรูปแบบ Banner หรือ Pop-Up ภายในเว็บไซต์ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย
5. บทลงโทษ
บทลงโทษมีทั้งโทษทางแพ่ง ทางอาญา และทางปกครอง นั่นก็คือ
- ทางแพ่ง สินไหมทดแทน 2 เท่าตามค่าเสียหายจริง
- ทางอาญาโทษจำคุกไม่เกิน 6 เดือนถึง 1 ปี ปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
- ทางปกครอง ปรับระหว่าง 1,000,000- 5,000,000 บาท
แม้ว่าพ.ร.บ. ใหม่นี้อาจจะซับซ้อนสำหรับเจ้าของข้อมูลอย่างเรา แต่ก็เป็นสิทธิ์และความคุ้มครองที่เราควรศึกษาให้ดี เพราะจะเกิดผลประโยชน์กับ Privacy ของเราล้วนๆ และก็อาจจะวุ่นวายสำหรับห้างร้าน บริษัท หรือเจ้าของเว็บไซต์ที่ต้องเพิ่มกลไกเพื่อให้ผู้ใช้งานยินยอมมอบข้อมูลอย่างถูกกฎหมาย แต่พ.ร.บ. นี้จะช่วยให้ทุกฝ่ายบริหารจัดการข้อมูลที่ละเอียดอ่อนนี้ได้อย่างมีประสิทธิภาพและปลอดภัยที่สุด