เข้าใจ! ‘กฎหมายข้อมูลส่วนบุคคล’ ก่อนประกาศใช้

ผู้ประกอบการ SME ทุกท่านคงจะทราบกันดีอยู่แล้วว่า Data หรือข้อมูลลูกค้า คือสินทรัพย์สำคัญสำหรับการทำการตลาดมากน้อยเพียงใด เพราะการมีข้อมูลของอีกฝ่ายมากเท่าไหร่ ยิ่งทำให้เราสามารถวิเคราะห์ ต่อยอด และพัฒนา ตั้งแต่การสร้างสรรค์สินค้าไปจนถึงออกแบบการสื่อสารไปยังผู้บริโภคได้ตรงใจมากยิ่งขึ้น แต่จะทำอย่างไรเมื่อการเก็บข้อมูลของลูกค้าและกลุ่มเป้าหมายที่มีแนวโน้มสนใจสินค้าของคุณ ไม่สามารถทำได้อย่างอิสระต่อไป เพราะกฎหมาย PDPA กำลังคุ้มครองข้อมูลส่วนบุคคลบางส่วนอยู่

ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme 

กฎหมาย PDPA คืออะไร?

กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มีวัตถุประสงค์ตามชื่อ คือเน้นคุ้มครองข้อมูลส่วนบุคคล จากที่ปกติหลายองค์กรมักจะเก็บข้อมูลของแต่ละบุคคลที่ได้มาไปใช้อย่างอิสระ ราวกับว่าได้รับความยินยอมแล้วทั้งที่ยังไม่ได้มีการถามความสมัครใจ หรือบางทีอีกฝ่ายหนึ่งอาจจะยังไม่รู้ตัว ซึ่งกฎหมายนี้จะช่วยคุ้มครองไม่ให้มีการละเมิดความเป็นส่วนตัวของบุคคล โดยเก็บข้อมูลไปจนถึงประมวลผล-นำข้อมูลไปใช้โดยไม่ได้รับอนุญาต

จะเห็นได้เลยว่า ปัจจุบันหลากหลายองค์กรได้เริ่มมีการปรับตัวกันบ้างแล้ว เช่น เมื่อเข้าเว็บไซต์จะเห็นว่า มีปุ่มขออนุญาตเก็บ Cookie ที่ด้านล่างของหน้าจอ (Cookie คือ การเก็บกลุ่มข้อมูลต่างๆ ของคนที่เข้ามาใช้งานในเว็บไซต์ อย่างกิจกรรมบนเว็บไซต์นั้น ยูเซอร์ไอดี สถิติต่างๆ) ซึ่งกฎหมายนี้จะมีผลบังคับใช้อย่างครอบคลุมทั่วทุกกิจการ ในวันที่ 1 มิถุนายน 2564 นี้

ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลที่ทำให้ระบุถึงบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ เลขรหัสบัตรประชาชน ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลสุขภาพ ฯลฯ แต่ไม่รวมถึงข้อมูลของคนตายและนิติบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล คือใคร?

ตามตัวบทกฎหมายจะใช้คำว่า ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลทั่วไปหรือนิติบุคคลที่มีหน้าที่ตัดสินใจ สำหรับรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น สถาบัน องค์กรต่างๆ หรือแม้กระทั่งเจ้าของเพจร้านขายของ ฯลฯ

เมื่อผู้ประกอบการเป็นผู้ควบคุมข้อมูลส่วนบุคคล จะต้องเตรียมพร้อมอย่างไรบ้าง ?

1) ควรเก็บข้อมูลเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ไม่ผิดกฎหมายเท่านั้น

2) ระวังเรื่องการแจ้งวัตถุประสงค์ในการใช้ข้อมูล ข้อมูลส่วนบุคคลที่จะเก็บรวบรวม ระยะเวลาในการเก็บข้อมูล ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ วิธีการติดต่อ และสิทธิของเจ้าของข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบและยินยอม เราจึงจะนำข้อมูลไปใช้ได้ และหากผู้ประกอบการเราเปลี่ยนวัตถุประสงค์ในการใช้งานใหม่ ก็ต้องแจ้งให้เจ้าของข้อมูลทราบและได้รับความยินยอมใหม่ก่อนถึงจะนำข้อมูลไปใช้ได้ ยกเว้นจะมีกฎหมายบอกให้นำข้อมูลไปใช้ได้โดยไม่ต้องได้รับความยินยอมหรือทำตามคำสั่งของรัฐบาล

3) จัดให้มีมาตรการรักษาความมั่นคงและความปลอดภัยของข้อมูล

4) เมื่อข้อมูลพ้นระยะเวลาการเก็บรักษา ข้อมูลที่ไม่เกี่ยวข้องหรือไม่มีความจำเป็นตามวัตถุประสงค์ จะต้องจัดให้มีการตรวจสอบข้อมูล เพื่อดำเนินการลบหรือทำลายทิ้ง

5) ถ้ามีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เช่น มีการขโมยข้อมูล ผู้ประกอบการจะต้องแจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชม. นับแต่ทราบเหตุ และหากข้อมูลที่ถูกนำไปมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล คุณจำเป็นจะต้องรีบแจ้งให้เจ้าของข้อมูลทราบ และเตรียมแนวทางในการเยียวยาแก่เจ้าของข้อมูลด้วยโดยเร็ว ฯลฯ

6) ผู้ประกอบการจำเป็นจะต้องจัดทำบันทึกรายการ โดยลงบันทึกไว้ เพื่อบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ เราจะทำเป็นหนังสือหรือทำเป็นไฟล์ในคอมพิวเตอร์ก็ได้

7) ในกรณีเจ้าของกิจการเป็นชาวต่างชาติ จะต้องตั้งตัวเเทนในประเทศไทยด้วย

ถ้าฝ่าฝืนจะโดนอะไรบ้าง?

เรียกได้ว่ามีโทษครบ ตั้งแต่ แพ่ง อาญา และปกครอง ดังนี้

- ในทางแพ่ง ชดใช้ค่าสินไหมทดแทนจากความเสียหายตามจริงแก่เจ้าของข้อมูล โดยศาลอาจสั่งลงโทษเพิ่มขึ้นได้ แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง

- โทษทางอาญา มีอัตราโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท

- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

รวมถึงถ้าทางนิติบุคคลเป็นผู้เปิดเผยข้อมูลทำให้คนอื่นเสียหาย คนที่เป็นกรรมการ ผู้จัดการ ผู้สั่งหรือผู้รับผิดชอบในการดำเนินงานต่างๆ ที่เกี่ยวข้อง จะต้องได้รับโทษตามความผิดนั้นๆ ด้วย

ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาก่อนหน้ากฎหมายบังคับใช้จะเป็นอย่างไร ?

ผู้ควบคุมข้อมูลส่วนบุคคลหรือตัวผู้ประกอบการเอง สามารถเก็บข้อมูลและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ (ตามวัตถุประสงค์เดิม) และต้องกำหนดวิธีการยกเลิกความยินยอมให้เจ้าของข้อมูลที่ประสงค์จะยกเลิกความยินยอม สามารถเเจ้งยกเลิกได้ง่ายๆ ส่วนวิธีการเปิดเผยข้อมูลและการดำเนินการที่ไม่ใช่การเก็บหรือใช้ข้อมูลให้เป็นไปตามที่กฎหมายบังคับใช้ในปัจจุบัน

ความจริงแล้วกฎหมาย PDPA แม้จะเป็นเรื่องใหม่ แต่ไม่ใช่เรื่องยากจนเกินไป หากผู้ประกอบการ SME ท่านใดต้องการที่จะเก็บข้อมูลส่วนบุคคลของลูกค้าไว้ ก็จำเป็นที่จะต้องเรียนรู้และปฏิบัติตามกฎหมาย PDPA ให้ถูกต้อง (นอกจากนี้อย่าลืมศึกษากฎหมายในฉบับเต็ม เพื่อให้วางแผนการเก็บข้อมูลได้ไม่พลาดและไม่ต้องโดนโทษตามกฎหมายด้วย) 

สมัครสินเชื่อ >>สินเชื่อธุรกิจบัวหลวง SMEs ดีแน่นอน<<