ชำแหละ พ.ร.บ.ข้อมูลส่วนบุคคล

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายที่เข้ามาคุมครองบุคคลที่มีชีวิตอยู่ตั้งแต่เริ่มเกิด ก่อนหน้านี้กฎหมายคุ้มครองส่วนบุคคลก็จะถูกแทรกไปตามกฎหมายต่าง ๆ เช่น ประกันภัย ธุรกิจค้าปลีก หรือขายตรง แต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นเหมือน “ฝาชี” ที่มาครอบกฎหมายคุ้มครองส่วนบุคคลที่ถูกแทรกไปตามกฎหมายต่าง ๆ

-นักการตลาดต้องบริหารความคาดหวังผู้บริโภค ที่เปลี่ยนไปหลังโควิด-19
-ราชกิจจาฯ ประกาศ 22 กิจการ-หน่วยงาน ได้รับการยกเว้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 1 ปี

ไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญกฎหมายไซเบอร์ และ (อดีต) ที่ปรึกษาคณะกรรมาธิการยกร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กล่าวกับ The Story Thailand ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นเหมือนหลักใหญ่ ๆ ถ้าอะไรที่กฎหมายเฉพาะในแต่ละเรื่องไม่ได้เขียนไว้ ก็จะนำ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับนี้มาใช้ เช่น เรื่องการขอความยินยอม ประชาชนทั้งประเทศจะได้รับความคุ้มครองจากกฎหมายฉบับนี้

ขณะที่ผู้ประกอบการ หรือคนที่รวบรวมหรือใช้ข้อมูล หรือเปิดเผยข้อมูล กฎหมายเรียกคนเหล่านี้ว่าเป็น “ผู้ควบคุมข้อมูล” จะต้องมีมาตรการไม่ให้ข้อมูลรั่วไหลออกไป

บริษัททั่วไปจะมีข้อมูลส่วนบุคคลที่สำคัญอยู่ 3 ส่วน คือ

1.ลูกจ้าง: กฎหมายฉบับนี้บอกไว้ว่าทันทีที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล จะต้องระบุวงจรของการเก็บรวบรวมใช้ข้อมูลส่วนบุคคลได้ หรือ Life Cycle Data คือ ข้อมูลตั้งแต่เริ่มเข้ามาสมัคร จนถึงเลิกจ้าง จะมีมาตรการเก็บข้อมูลอย่างไร ถ้าข้อมูลรั่วไหลออกไปองค์กรจะต้องรับผิด

2.ลูกค้า: ทุกบริษัทเวลาเปิดขึ้นมาจะมีเรื่องการขายสินค้าและบริการ เช่น การสั่งสินค้า และความชอบของลูกค้า ข้อมูลพวกนี้ถูกนำไปขายได้ และจะต้องระบุวงจรของการเก็บข้อมูลเช่นเดียวกับลูกจ้าง คือ เก็บมาเมื่อไหร่ ใช้ทำอะไร และจะทำลายข้อมูลอย่างไรเมื่อเขาไม่ได้เป็นลูกค้าแล้ว

3.บุคคลภายนอก: เช่น การทำประกันภัยกลุ่มให้พนักงาน ทำให้ข้อมูลพนักงานถูกส่งออกไปภายนอกบริษัท หรือการที่มีบุคคลภายนอกเข้ามาติดต่อบริษัท

“ทั้งหมดนี้กฎหมายบอกว่าใช้ตามใจฉันไม่ได้อีกแล้ว คือขอมาแค่ไหนใช้ได้แค่นั้น ใช้มากกว่านั้นจะต้องแจ้งลูกค้า”

สิทธิที่ได้รับหากกฎหมายไม่ถูกเลื่อนไป 1 ปี

ถ้า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไม่ได้ถูกเลื่อนออกไปอีก 1 ปีในบางมาตรา คนไทยทั้งประเทศจะมีสิทธิทั้งหมด 8 ข้อ คือ

1.ต้องแจ้งเพื่อขอความยินยอม ทั้งการจัดเก็บและใช้ข้อมูล
2.มีสิทธิ์ให้ลบหรือแก้ไขข้อมูลที่ไม่ถูกต้อง
3.สิทธิคัดค้านการเก็บ เปิดเผย และรวบรวมข้อมูล
4.สิทธิขอให้ลบ หรือถูกลืม
5.มีสิทธิ์สั่งให้คนที่เก็บข้อมูลโอนไปให้ใครก็ได้
6.การประมวลผลข้อมูลต่าง ๆ ไม่ให้ AI หรือคอมพิวเตอร์ประมวลผล
7.สามารถจำกัดการประมวลผลข้อมูลการประมวลผลต่าง ๆ เฉพาะคน ห้ามผ่านคอมพิวเตอร์
8.สิทธิในการเข้าถึงข่อมูลส่วนบุคคลที่ถูกเก็บรวบรวมเปิดเผย

ทั้งนี้กฎหมายระบุว่าจะใช้เกินขอบเขตจากนี้ จะต้องมีเหตุผลของการใช้ เช่น

1.กรณีที่ปฏิบัติหน้าที่ตามกฎหมาย: เช่น การส่งข้อมูลพนักงานให้กรมสรรพากร หรือประกันสังคม ซึ่งเป็นสิ่งที่กฎหมายให้ทำ
2.ในกรณีที่ลูกค้ายินยอม: เช่น การเข้าเว็บไซต์และอนุญาตให้เจ้าของเว็บไซต์บันทึกการใช้งานบนอินเทอร์เน็ต ซึ่งถ้ากดยินยอม ก็จะถูกฝังคุกกี้ และบันทึกว่าลูกค้าเข้าเว็บไซต์อะไรบ้าง
3.การทำตามสัญญา: เช่น การเซ็นสัญญาจ้างแรงงาน นายจ้างสามารถนำข้อมูลไปใช้ได้
4.เพื่อประโยชน์และชีวิตร่างกาย: เช่น คนไข้ที่หมดสติและถูกหามส่งโรงพยาบาล แพทย์สามารถดึงข้อมูลคนไข้และรักษาได้เลยโดยที่ไม่ต้องขอความยินยอม
5.การปกป้องส่วนได้เสียของบริษัทหรือเจ้าของข้อมูล: เช่น การติดกล้องวงจรปิดในบริษัท
6.ทำเพื่อป้องกันประโยชน์แก่สาธารณชน (Public Interest)

กฎหมายฉบับนี้แบ่งโทษออกเป็น 3 ส่วน

1.ทางแพ่ง: ในกรณีที่ไม่ได้ทำตามที่กฎหมายบอก หรือถูกนำข้อมูลไปใข้โดยไม่ได้ขอความยินยอม จะสามารถฟ้องศาลเพื่อขอค่าสินไหมทดแทนได้
2.อาญา: นอกจากจะถูกค่าปรับแล้วยังถูกโทษจำคุกอีกด้วย เช่น ถูกนำข้อมูลไปใช้แสวงหากำไร จะถูกปรับ 1 ล้านบาทและจำคุก 1 ปี
3.ปกครอง: คือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 16 คน เป็นผู้ดูแลทุกภาคส่วนของประเทศ เช่น ถ้าถูกนำข้อมูลไปขายโดยที่ไม่ยินยอม และขอให้ช่วยลบ แต่เจ้าของกิจการไม่ทำ สามารถไปแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ ซึ่งโทษปรับมีตั้งแต่ 1-5 ล้านบาท ต่อการละเมิด 1 ครั้ง

เลื่อนเพราะหลายฝ่ายยังไม่พร้อม

ไพบูลย์ กล่าวว่า สิ่งที่เกิด คือ มาตรการที่จะต้องดำเนินการตามกฎหมายฉบับนี้ โดยเฉพาะในส่วนของบริษัทต่าง ๆ นั้นมากกว่าที่คิด

ยังมีความเข้าใจผิดอยู่มาก ว่ากฎหมายฉบับนี้เป็นแค่การออก Data Policy หรือการแจ้งกับบุคคลภายนอก แค่ขอความยินยอม ซึ่งไม่ใช่ แต่กฎหมายฉบับนี้จะมีในเรื่องของการดูแลข้อมูลส่วนบุคคลให้มีความปลอดภัย หรือ Data Security ด้วย

โอกาสที่ข้อมูลส่วนบุคคลจะหลุดออกไปได้ง่ายที่สุด คือ การใช้ “ฟรีอีเมล” หรือ “แฟลชไดร์ฟ” ซึ่งกฎหมายบอกไว้ว่าจะต้องมี Data Transfer Protocol หรือกำหนดว่าเวลาโอนข้อมูลมีมาตรการป้องกันอย่างไร

อีกส่วนคือการใช้งาน “โซเชียลมีเดีย” เวลาเก็บข้อมูลของลูกค้าจะใช้ได้ในวัตถุประสงค์ที่ถูกกำหนดเท่านั้น สิ่งที่เกิดขึ้นคือคนมักจะแชร์ข้อมูลผ่านโซเชียลมีเดีย เช่น เวลามีดารามาซื้อประกัน และคนแชร์ข้อมูลผ่านโซเชียลมีเดียโดยคิดว่าตัวเองเป็นแฟนคลับแต่เจ้าตัวไม่ยินยอม ไม่สามารถทำได้

สิ่งที่กฎหมายต้องการ คือ ทุกองค์กรที่เป็นบริษัท หรือคนที่เป็นผู้ประมวลผลข้อมูล จะต้องทำ 3 อย่าง

1.มาตรการทางด้านบุคลากร ว่าจะดูแลข้อมูลส่วนบุคคลอย่างไร
2.กระบวนการในการดูแลคุ้มครองข้อมูลส่วนบุคคล
3.เทคโนโลยี

“จะต้องอบรมบุคลากรว่าเมื่อไปทำการตลาดจะต้องดูแลข้อมูลส่วนบุคคลอย่างไร เมื่อไร จะต้องแจ้งภายในกี่ชั่วโมงและมีกระบวนการอย่างไร รวมถึงมีเจ้าหน้าที่คุ้มครองหรือไม่และใช้ซอฟต์แวร์อะไร”

บริษัทขนาดเล็กอย่าง SMEs จะมีค่าใช้จ่ายอย่างน้อย 1 แสนบาท 1 บริษัท ที่จะต้องมานั่งไล่กระบวนการ การร่างข้อสัญญามาตรฐาน ที่จะต้องให้ลูกค้า ลูกจ้าง และบุคคลภายนอก กดให้ความยินยอม ซึ่งการจัดทำให้เสร็จภายใน 1 ปีนั้นค่อนข้างลำบาก

ส่วนมาตรการรักษาความปลอดภัยของข้อมูลไม่ต้องเสียค่าใช้จ่ายเลย เพราะสามารถเข้ารหัสผ่านโปรแกรม เช่น Excel ได้ ซึ่งเพียงพอแล้ว

ขณะที่บริษัทใหญ่อาจจะมีค่าใช้จ่ายถึงหลักล้านบาท เพราะมีการประมวลผลมาก บางบริษัทให้พนักงานเช็คอินโดยใช้ใบหน้า ก็จะต้องเขียนความยินยอมที่ได้มาตรฐาน และลูกค้าต้องยินยอมด้วย

เป็นเหตุที่รัฐบาลช่วยผู้ประกอบการให้ยกเว้นในส่วนของกิจการไปก่อน 1 ปี จึงมีพระราชกฤษฎีกาออกมา เมื่อวันที่ 21 พฤษภาคม

“เทรนด์การใช้ข้อมูลส่วนบุคคลกำลังจะมาแรง ขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ถ้าเน้นเรื่องการคุ้มครองมากเกินไปนวัตกรรมก็จะไม่เกิด”

ทั้งนี้ ในวันที่ 27 พฤษภาคม 2563 กฎหมายอาญามีผลบังคับใช้เหมือนเดิม แต่ยกเว้นกิจการ 22 กิจการ โดยกฎหมายเข้ามายกเว้นเรื่องสิทธิของข้อมูลส่วนบุคคล บทกำหนดโทษ และหน้าที่ต่าง ๆ ที่ต้องดำเนินการ แต่ส่วนที่ใช้คือคณะกรรมการข้อมูลส่วนบุคคลเพราะยังต้องดำเนินการต่อไป

เรื่องส่วนบุคคล ยังถูกบังคับใช้

ไพบูลย์ กล่าวว่า กฎหมายฉบับนี้ยกเว้นเรื่องการใช้ส่วนตัว เช่น เพื่อน หรือญาติ แต่ในกรณีที่เพื่อนนำข้อมูลส่วนบุคคลของเราไปให้บุคคลที่ 3 โดยไม่ได้รับความยินยอม กฎหมายฉบับนี้ยังมีผลบังคับใช้อยู่ จะถูกปรับ 500,000 บาท จำคุก 6 เดือน สูงสุดตามกฎหมายฉบับนี้

ด้านกิจการที่กฎหมายที่ถูกเลื่อนไป 1 ปี ก็ยังต้องเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัย ซึ่งกระทรวงดีอีเอส จะเป็นผู้กำหนด เช่น การเก็บข้อมูลก็จะต้องทำการเข้ารหัส เพื่อให้ระบุตัวตนไม่ได้ ถ้าเป็นเอกสารก็จัดการเก็บและล็อกให้เรียบร้อย

ส่วนเรื่องการร้องเรียนเป็นกลไกที่จะต้องฝากไว้ ซึ่งกระทรวงดีอีเอสจะต้องร่วมกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตั้งศูนย์กลางกรณีที่มีคนถูกละเมิดจะให้คำปรึกษาอย่างไร และแจ้งสิทธิอย่างไร

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะทำงานคล้ายกับสำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) แต่เข้ามาคุ้มครองในเรื่องของข้อมูลส่วนบุคคล มีระเบียบออกประกาศในการปรับใช้ โดยจะมีประกาศออกมาประมาณ 30 กว่าฉบับ ฉบับที่เอกชนน่าจะอยากได้มากที่สุดคือ

1.แบบฟอร์มขอความยินยอม ที่อ่านง่ายและเข้าใจง่าย
2.มาตรฐานการรักษาความปลอดภัยของข้อมูล คณะกรรมการจะต้องเร่งทำ
3.มาตรการโอนข้อมูลส่วรบุคคลระหว่างกัน และการโอนไปต่างประเทศ
4.ถ้าเป็นกิจการขนาดใหญ่ที่มีพนักงานมาก หรือประมวลผลข้อมูลส่วนบุคคลมาก จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จะต้องมีคุณสมบัติอะไรบ้าง และหลักเกณฑ์ที่ต้องทำ

“กฎหมายคุ้มครองข้อมูลส่วนบุคคลถือว่าเป็นกฎหมายเศรษฐกิจฉบับหนึ่ง ถ้าเราฉลาดใช้และฉลาดปรับก็จะช่วยได้มาก”

อศินา พรวศิน – สัมภาษณ์
ทรงกลด แซ่โง้ว – เรียบเรียง