หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถูกประกาศในพระราชกิจจานุเบกษาตั้งแต่ปี พ.ศ. 2562 ถึงเวลาแล้วที่พ.ร.บ. ฉบับดังกล่าวจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้
PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หมายถึงข้อมูลส่วนบุคคลของประชาชนทุกคนจะต้องมีการคุ้มครอง โดยผู้ใช้งานจะเป็นผู้ถูกคุ้มครอง ในขณะที่ห้างร้านต่าง ๆ หน่วยงานข้าราชการ เอกชน ที่มีข้อมูลส่วนบุคคลของประชาชน ไม่ว่าจะเป็นชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ หรือรูปถ่าย จะต้องมีหน้าที่ปกป้องข้อมูลให้กับประชาชน เพื่อใม่ให้ข้อมูลเหล่านี้รั่วไหล หรือหลุดออกไปจนเกิดความเสียหายแก่เจ้าของข้อมูล
นับตั้งแต่วันที่กฎหมายบังคับใช้ ในวันที่ 1 มิถุนายน 2565 ประชาชนทุกคนจะได้รับการปกป้องคุ้มครองข้อมูลส่วนบุคคล
อาจารย์ปริญญา หอมเอนก ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด และผู้เชี่ยวชาญด้าน Cyber Security กล่าวกับ The Story Thailand ว่า PDPA มีผลกระทบให้ทางบวกต่อประชาชนอย่างมาก เพราะประชาชนทุกคนจะมีสิทธิในข้อมูลส่วนบุคคลของตัวเอง แต่ PDPA จะมีผลกระทบต่อเจ้าของธุรกิจที่ไม่เข้าใจ และรู้สึกว่าการทำตาม PDPA จะต้องมีค่าใช้จ่าย จ้างที่ปรึกษา มีเครื่องมือต่าง ๆ ทำให้สภาอุตสาหกรรม หน่วยงานรัฐ-เอกชน และบริษัทใหญ่ ๆ ขอให้เลื่อนการบังคับใช้กฎหมายนี้ออกไปตั้งแต่ช่วงโควิด จนถึงตอนนี้เป็นปีที่ 3 แล้ว เอกชนหลายแห่งเริ่มปรับตัว ซึ่งหลังจากที่กฎหมายบังคับใช้ในวันที่ 1 มิถุนายนนี้ การลงโทษต่าง ๆ จะยังไม่เกิดขึ้น แต่จะเป็นการให้ความรู้ ส่งเสริม ให้เกิดการคุ้มครองข้อมูลส่วนบุคคล
เพราะฉะนั้น ผลกระทบต่อบริษัท คือ อาจจะมีค่าใช้จ่ายช่วงแรก ต้องมีการเตรียมตัว เตรียม resource มีคน มีงบประมาณ เพื่อให้คุ้มครองข้อมูลส่วนบุคคลข้อมูลลูกค้า และพนักงาน เมื่อข้อมูลลูกค้า-พนักงานถูกคุ้มครอง ประโยชน์ที่จะเกิดขึ้นในระยะยาว คือภาพลักษณ์ที่ดีขององค์กร ลูกค้ารู้สึกสบายใจที่องค์กรดูแลข้อมูลได้ดี พนักงานรู้สึกว่าผู้บริหารดูแลข้อมูลดี จะเป็นภาพลักษณ์ที่ยั่งยืน
“หน่วยงาน องค์กร หรือบริษัทต่าง ๆ อาจจะเหนื่อยช่วงแรก แต่เชื่อว่าในระยะยาวจะส่งผลดีกับทุกฝ่ายแน่นอน”
อาจารย์ยกตัวอย่างให้เห็นภาพว่า ทุกบริษัทมีคู่แข่ง สมมติว่าข้อมูลจากบริษัทเรารั่ว แต่ข้อมูลจากบริษัทคู่แข่งไม่รั่ว ข้อมูลจากบริษัทเราถูกนำไปใช้ละเมิด แต่ข้อมูลจากคู่แข่งไม่ละเมิด ลูกค้าก็มีโอกาสหนีจากบริษัทเรา ไปใช้บริการบริษัทที่ปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูล PDPA เหมือนเป็นสเน่ห์อย่างหนึ่งของธุรกิจ ทำแล้วได้ประโยชน์
Security เป็นพื้นฐาน Privacy
อาจารย์ให้ความเห็นว่า หลายองค์กรธุรกิจไปผิดทาง สิ่งที่องค์กรต่าง ๆ ไม่ควรทำคือการไปซื้อเครื่องมือ หรือซอฟต์แวร์ที่คนขายบอกว่า ซื้อไปทำ Cookie consent (การขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้และข้อมูลต่าง ๆ จากผู้ใช้งานเว็บไซต์) เสร็จแล้ว จะผ่าน ซึ่งนั้นไม่ใช่เรื่องจริง
“คุณอาจจัดการ Cookie consent ได้ดี แต่ระบบความปลอดภัยคุณไม่ได้ คุณไม่มีทางผ่าน”
อาจารย์ให้ข้อคิดสั้น ๆ ว่า “You can get security without privacy But You can’t get privacy without security” แปลว่า หากคุณทำ Cookie consent เสร็จ ถ่ายรูปทำ ISO 27000 ผ่าน รับใบ certification เสร็จ คุณผ่าน แต่หากคุณจะทำ privacy certification ISO 27701 คุณต้องกลับไปทำ 27000 (มาตรฐานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ) ให้เสร็จก่อน
“ถ้าคุณไม่ได้ security เป็นพื้นฐาน privacy คุณไม่ต้องพูดถึง consent ได้ ทุกอย่างได้ ซอฟต์แวร์มี แต่คุณยังโดนแฮก security คุณยังไม่ได้ คุณก็ยังไม่ผ่าน”
การทำให้บริษัท องค์กร หรือหน่วยงานผ่าน PDPA ไม่ใช่แค่การใช้เครื่องมือ หรือเทคโนโลยี แต่ประกอบด้วย 3 สิ่งคือ
- People – พนักงานในองค์กรตั้งแต่พนักงานล่างสุดจนถึงผู้บริหารสูงสุด ต้องรับรู้เรื่องดังกล่าว และทำให้เกิดเป็นวัฒนธรรมองค์กร
- Proceed – ต้องมีกระบวนการที่ดี
- Technology – เทคโนโลยีต้องมี โปรแกรมที่จะมาบริหารจัดการ ในกรณีที่มีรีเควสเข้ามา ขอยกเลิก ขอให้ลบข้อมูล ต้องมีซอฟต์แวร์หลังบ้านบันทึกข้อมูล ทำ record of processing activities
“ผมคิดว่าในอนาคต เขาจะมีกฎหมายลูกออกมา ให้ธุรกิจเล็ก ๆ อย่างร้านกาแฟ ร้านตัดผม ไม่ต้องทำ นอกจากองค์กรใหญ่ ๆ บริษัทจดทะเบียน จำเป็นต้องทำ”
ในมุมของประชาชน วันที่ 1 มิถุนายนนี้ ทุกคนจะได้รับการคุ้มครองข้อมูล ดังนั้น เวลามี Cold Call ประชาชนสามารถร้องเรียนบริษัทที่โทรศัพท์เข้ามาได้ว่า ไม่ให้บริษัทนำข้อมูลส่วนตัวของเราไปใช้ บริษัทไหนซื้อข้อมูลเรามา จะนำไปใช้ไม่ได้
“สมมติผมสมัครสมาชิกเว็บไซต์หนึ่ง แล้วเว็บไซต์นั้นส่งข้อความมาโปรโมตบทความ ชวนผมไปงานสัมมนา ผมสามารถบล็อกได้ และบอกได้ว่าไม่อนุญาตให้ส่งอีเมลมาหา หรือหากไปนั่งตามร้านอาหารที่มีกล้องวงจรปิด โดยไม่ได้ติดป้ายเพื่อบอกวัตถุประสงค์ เพราะร้านกำลังถ่ายรูปผมอยู่ ซึ่งนั่นเป็นข้อมูลส่วนบุคคล”
อาจารย์ให้คำแนะนำว่า ร้านต่าง ๆ ที่ติดกล้องวงจรปิด ด้วยเหตุผลอะไรก็ตาม ควรติดป้ายบอกวัตถุประสงค์เพื่อไม่ให้คนเข้าใจผิด ซึ่งจะเป็นประโยชน์อย่างมากต่อประชาชน
อาจารย์ปริญญา ยกตัวอย่างอีกว่า ที่ยุโรป หลังจาก GDPR มีผลบังคับใช้ เมืองมิลาน ประเทศอิตาลี รอบมหาวิหารดูโอโม่ จะมีร้านพิซซ่าอยู่ หากเราเดินผ่าน แล้วอยากถ่ายรูป คนที่นั่งอยู่สามารถฟ้องได้ โดยต้องเสียค่าปรับประมาณ 1-200 ยูโร เพราะยุโรปจริงจังกับเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาก หรือหากขึ้นรถไฟฟ้า เจอผู้หญิงสวย ถ่ายรูปเขามาลงโซเชียลมีเดีย มีความผิดทันที เพราะเขายังไม่อนุญาตให้เอาข้อมูล ซึ่งเป็นรูปของเขาไปโพสต์
ดังนั้น ข้อมูลส่วนบุคคล คือข้อมูลเมื่อหลุดรั้วออกไปแล้ว เจ้าของไม่อนุญาต แล้วเจ้าของเดือดร้อน
Cold-call จะลดลง
อาจารย์ กล่าวว่า ปัจจุบันข้อมูลของประชาชนส่วนใหญ่ได้รั่วไหลหมดแล้ว ทั้งชื่อ นามสกุล ที่อยู่ เบอร์ติดต่อ หรืออีเมล์ ซึ่งเกิดจากการที่ทุกคนโทรศัพท์ไปสั่งซื้อสินค้า สั่งของให้มาส่งที่บ้าน สมัครบริการอีคอมเมิร์ซต่าง ๆ การสมัครสมาชิก หรือเดินชมงานต่าง ๆ แล้วกรอกแบบฟอร์มให้พนักงาน ซึ่งมีทั้งแบบตั้งใจ และไม่ตั้งใจ บางครั้งพนักงานในบริษัทเหล่านั้น “บางคน” ไม่ซื่อสัตย์ นำข้อมูลส่วนตัวของลูกค้าไปขาย หรือมีแฮกเกอร์เข้ามาในระบบ และดูดข้อมูลไป ซึ่งเรื่องเหล่านี้ไม่ใช่เรื่องใหม่ แต่เกิดขึ้นหลาย 10 ปีแล้ว
ในกรณีที่มีเจ้าหน้าที่โทรศัพท์มาขายสินค้าและบริการต่าง ๆ ผู้รับสายมีสิทธิสอบถามข้อมูลว่า บริษัทที่โทรเข้ามา นำข้อมูลชื่อ เบอร์ติดต่อมาจากไหน สามารถแจ้งกับคนที่โทรมาได้ว่าไม่ต้องติดต่อมาหาอีก หรือไม่อนุญาตให้โทรมา
แม้ PDPA อาจไม่ทำให้แก๊งค์ คอลล์เซ็นเตอร์ที่กำลังระบาดอยู่ตอนนี้หมดไป ซึ่งอาจารย์ให้เหตุผลว่า แก๊งค์ คอลล์เซ็นเตอร์เป็นอาชกรที่ไม่ปฏิบัติตามกฎหมาย แต่สิ่งที่จะเกิดขึ้นและลดลงคือพวก Cold-Call (คนที่โทรหาลูกค้าที่เป็นกลุ่มเป้าหมายของบริษัทโดยที่เจ้าของเบอร์ไม่รู้จักมาก่อน) อาทิ บริษัทประกัน บริษัทบัตรเครดิต หรือสินเชื่อต่าง ๆ ซึ่งประชาชน สามารถร้องเรียนได้กับทาง สคส. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – กระทรวงดิจิทัลเพื่อเศรษฐกิจ) หรือ PDPC ที่มีเจ้าหน้าที่คอยดูแล เป็น regulator คอยคุ้มครองข้อมูลส่วนบุคคลอยู่ตลอดเวลา
การคุ้มครองข้อมูลส่วนบุคคล คือ สากล
การคุ้มครองข้อมูลส่วนบุคคล เกิดขึ้นตั้งแต่ปีพ.ศ. 2513 โดยองค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) ซึ่งเป็นองค์การระหว่างประเทศที่มีสมาชิกกว่า 35 ประเทศ ได้เริ่มทำมาตลอดระยะเวลา 10 ปี จนถึงปีพ.ศ. 2523 เริ่มเป็นรูปเป็นร่างขึ้น จนถึงวันนี้ ปีพ.ศ. 2565 นั่นแสดงให้เห็นว่า ต่างชาติและทั่วโลกให้ความสำคัญต่อการปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคลมานาน แต่เริ่มตื่นตัวจริง ๆ เมื่อปีพ.ศ. 2559 เมื่อทางสหภาพยุโรปออกจากกฎระเบียบ มาเป็นกฎหมาย เรียกว่า GDPR (General Data Protection Regulation กฎหมายของสหภาพยุโรปที่มีวัตถุประสงค์เพื่อให้หน่วยงาน องค์กรต่าง ๆ ที่จัดเก็บ และจัดการข้อมูลส่วนบุคคล จะต้องเพิ่มมาตรการการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล) และมีผลบังคับใช้ในปีพ.ศ. 2561 สำหรับประเทศไทยมีการประกาศเมื่อปีพ.ศ. 2562 และมีผลบังคับใช้ในปีพ.ศ. 2565
ทำให้วันนี้ PDPA เป็น Global Standard ที่มีผลบังคับใช้ทั่วโลก อาจารย์ยกตัวอย่างอีกว่า สำหรับชาวยุโรปที่มาอยู่ในประเทศไทย มาพักโรงแรมที่ภูเก็ตหรือสมุย เมื่อโรงแรมไปโฆษณาในยุโรป ชาวยุโรปจะมาพัก ก็จะดูว่าโรงแรมดังกล่าวให้ความสำคัญกับ GDPR หรือไม่ เพราะฉะนั้น ตรงนี้จะมีผลกับ Global Effect ทำให้ประเทศมีความสามารถในการแข่งขัน
“ประเทศสิงคโปร์มี PDPC ที่ดูแลด้านนี้ ประเทศไทยก็มี PDPC หรือ สคส. จีน และประเทศอื่น ๆ ก็มี นี่คือศักยภาพในการแข่งขันในระดับโลก ระดับเอเชียตะวันออกเฉียงใต้”
บทความอื่น ๆ ที่เกี่ยวกับ PDPA
รัฐประสานเสียงพร้อมบังคับใช้ PDPA อย่างผ่อนปรน เอกชนขานรับ วอนขอความชัดเจนและแรงสนับสนุน
PDPA ไม่เริ่มต้นก็ไม่มีวันพร้อม แนะไทยเปิดใจ เพื่อเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคล
