การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) และความเป็นส่วนตัว (Privacy) เป็นเรื่องที่กำลังได้รับความสนใจเป็นอย่างมากในช่วงนี้ ทั้งในด้านเทคโนโลยีที่ผู้คนเริ่มตระหนักถึงการถูกรุกล้ำความเป็นส่วนตัวมากขึ้น ไม่ว่าจะเป็น Big Data, Data Tracking, Facial Recognition Surveillance หรือในด้านกฎหมาย เริ่มมาจากทางยุโรปที่ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ General Data Protection Regulation (GDPR) ตามมาด้วยอีกหลายประเทศที่ออกกฎหมายในลักษณะเดียวกัน สำหรับประเทศไทยนั้นก็มีการประกาศพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกำลังจะมีผลใช้บังคับในวันที่ 27 พฤษภาคม 2563 นี้แล้ว
การที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีการรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคลมากขึ้น ประกอบกับพฤติกรรมของผู้บริโภคที่เปลี่ยนแปลงไป ทำให้ผู้บริโภคตระหนักและให้ความสำคัญกับความเป็นส่วนตัวของตนเองมากขึ้น
ตัวอย่างเช่น การที่ทางธุรกิจโทรศัพท์ติดต่อผู้บริโภคเพื่อแนะนำโปรโมชัน หากผู้บริโภคไม่สนใจ นอกจากการตอบปฏิเสธว่าไม่สนใจแล้ว ผู้บริโภคยังสามารถสอบถามกลับได้ว่าผู้ติดต่อได้ข้อมูลของเขามาจากไหน ใช้ข้อมูลเพื่อติดต่อเขาได้อย่างไร และยังสามารถร้องเรียนได้อีกด้วย จึงถือเป็นเรื่องสำคัญอย่างยิ่งที่ธุรกิจต่าง ๆ ต้องให้ความสำคัญเรื่องการนำข้อมูลส่วนบุคคลมาใช้ประโยชน์ต่าง ๆ มากขึ้น
ผู้ที่เกี่ยวข้องกับกฎหมายฉบับนี้
ธุรกิจทุกประเภท หากมีการเก็บ การใช้ หรือการเผยแพร่ข้อมูลอะไรก็ตามที่สามารถเชื่อมโยงกับบุคคลใด ๆ เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ลายนิ้วมือ ศาสนา หรือที่เรียกกันว่า “ข้อมูลส่วนบุคคล” ธุรกิจนั้นต้องให้ความสนใจและต้องปฎิบัติตามกฎหมายนี้
สิ่งที่เปลี่ยนแปลงไป
กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้เปลี่ยนแนวปฏิบัติในการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ดังนี้
ปฏิบัติอย่างไรให้เป็นไปตามกฎหมาย
จากที่กล่าวมาข้างต้น การปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะครบถ้วนได้นั้น ธุรกิจจะต้องมีระบบบริหารจัดการข้อมูลส่วนบุคคลที่ดี รวมทั้งทุกคนในบริษัทจะต้องมีความตระหนัก (Awareness) ในเรื่องนี้ การปฏิบัติไม่ถูกต้องมีโทษปรับตั้งแต่ 1 – 5 ล้านบาท รวมทั้งมีโทษทางอาญาอีกด้วย
การที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีการรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคลมากขึ้น ประกอบกับพฤติกรรมของผู้บริโภคที่เปลี่ยนแปลงไป ทำให้ผู้บริโภคตระหนักและให้ความสำคัญกับความเป็นส่วนตัวของตนเองมากขึ้น
ตัวอย่างเช่น การที่ทางธุรกิจโทรศัพท์ติดต่อผู้บริโภคเพื่อแนะนำโปรโมชัน หากผู้บริโภคไม่สนใจ นอกจากการตอบปฏิเสธว่าไม่สนใจแล้ว ผู้บริโภคยังสามารถสอบถามกลับได้ว่าผู้ติดต่อได้ข้อมูลของเขามาจากไหน ใช้ข้อมูลเพื่อติดต่อเขาได้อย่างไร และยังสามารถร้องเรียนได้อีกด้วย จึงถือเป็นเรื่องสำคัญอย่างยิ่งที่ธุรกิจต่าง ๆ ต้องให้ความสำคัญเรื่องการนำข้อมูลส่วนบุคคลมาใช้ประโยชน์ต่าง ๆ มากขึ้น
ผู้ที่เกี่ยวข้องกับกฎหมายฉบับนี้
ธุรกิจทุกประเภท หากมีการเก็บ การใช้ หรือการเผยแพร่ข้อมูลอะไรก็ตามที่สามารถเชื่อมโยงกับบุคคลใด ๆ เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล IP Address ลายนิ้วมือ ศาสนา หรือที่เรียกกันว่า “ข้อมูลส่วนบุคคล” ธุรกิจนั้นต้องให้ความสนใจและต้องปฎิบัติตามกฎหมายนี้
สิ่งที่เปลี่ยนแปลงไป
กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้เปลี่ยนแนวปฏิบัติในการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ดังนี้
- ไม่สามารถเก็บ ใช้ หรือเผยแพร่ (การประมวลผล) ข้อมูลส่วนบุคคลอย่างอิสระเสรีได้อีกต่อไป แต่จะสามารถทำได้ต่อเมื่อเข้าเงื่อนไขตามที่กฎหมายกำหนด (Legal Basis) เท่านั้น
- ต้องมีความโปร่งใส คือ ต้องให้ข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลกับผู้บริโภคหรือเจ้าของข้อมูลส่วนบุคคลอย่างเพียงพอตามที่กฎหมายกำหนด เช่น เก็บข้อมูลอะไรไปบ้าง เก็บไปใช้ทำอะไร เก็บนานแค่ไหน และเจ้าของข้อมูลจะใช้สิทธิตามกฎหมายได้อย่างไร
- ไม่สามารถเก็บข้อมูลส่วนบุคคลไว้ได้ตลอดกาลอย่างที่เคยทำ แต่ต้องลบเมื่อหมดความจำเป็นในการใช้งานแล้ว
ปฏิบัติอย่างไรให้เป็นไปตามกฎหมาย
- ก่อนการประมวลผลข้อมูลส่วนบุคคล ต้องระบุให้ได้ว่าการประมวลผลนั้นเข้าเงื่อนไขทางกฎหมาย หรือ Legal basis ข้อใด เช่น มีความจำเป็นต้องใช้ข้อมูลชื่อ ที่อยู่ เพื่อส่งสินค้าให้กับลูกค้า เป็นการใช้ Legal Basis เรื่องการปฏิบัติตามสัญญา (Performance of a Contract)
- จัดทำเอกสารเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice) เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนการเก็บข้อมูลส่วนบุคคลนั้น ๆ โดยเนื้อหา Privacy Notice ต้องมีรายการตามที่กฎหมายกำหนด เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง ใช้ทำอะไรบ้าง จะลบเมื่อไร
- จัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: RoP) เพื่อให้เจ้าของข้อมูลส่วนบุคคลและเจ้าหน้าที่สามารถตรวจสอบได้ โดยมีรายการตามที่กฎหมายกำหนด
- จัดให้มีช่องทางเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเพื่อขอใช้สิทธิตามกฎหมาย
- หากข้อมูลส่วนบุคคลรั่วไหล ต้องแจ้งเหตุดังกล่าวให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
- ดำเนินการตามที่กฎหมายกำหนดอื่น ๆ เช่น จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทำข้อตกลงกับผู้ที่รับข้อมูลส่วนบุคคลไปดำเนินการต่อ ดำเนินการตามกฎหมายเมื่อต้องส่งข้อมูลไปต่างประเทศ
จากที่กล่าวมาข้างต้น การปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะครบถ้วนได้นั้น ธุรกิจจะต้องมีระบบบริหารจัดการข้อมูลส่วนบุคคลที่ดี รวมทั้งทุกคนในบริษัทจะต้องมีความตระหนัก (Awareness) ในเรื่องนี้ การปฏิบัติไม่ถูกต้องมีโทษปรับตั้งแต่ 1 – 5 ล้านบาท รวมทั้งมีโทษทางอาญาอีกด้วย
