Data Protection
Data Protection ความปลอดภัยของข้อมูลส่วนบุคคลที่องค์กรไม่ควรมองข้าม ในขณะที่ภาคธุรกิจหลายๆ ที่กำลังตื่นตัวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยจะเริ่มมีผลบังคับใช้เต็มรูปแบบใน วันที่ 1 มิถุนายน 2565 แล้วนั้น แม้จะถูกเลื่อนมาแล้วหลายครั้งต่อหลายครั้ง เพราะเนื่องจากการระบาดของ Covid-19 แต่นั่นไม่ใช่สาเหตุหลักที่องค์กรจะต้องรอช้าได้อีกต่อไป เพราะสิ่งที่สำคัญคือทุกองค์กรจะต้องมีการเตรียมความพร้อมที่จะจัดการกับการจัดเก็บที่ตนนั้นครอบครองโดยเฉพาะอย่างยิ่งข้อมูลอ่อนไหวที่มีอยู่ในครอบครอง ทั้งข้อมูลที่เป็นตัวอักษรซึ่งถูกจัดเก็บในรูปแบบไฟล์บนคอมพิวเตอร์ หรือแม้แต่กระทั่งข้อมูลในรูปแบบเสียงที่หลายองค์กรมักมองข้ามนั่นเองอย่างธุรกิจที่เกี่ยวข้องกับการรวบรวมข้อมูลส่วนบุคคลในประเทศไทย อย่างเช่น Contact Center ที่จะต้องมีการบันทึกเสียงสนทนาระหว่างลูกค้าและพนักงาน ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องได้รับความคุ้มครองและมีการขอยินยอมในการจัดเก็บไฟล์ โดยแจ้งให้ลูกค้าทราบทุกครั้งที่มีการบันทึกเสียง และเจ้าของข้อมูลสามารถขอเรียกดูข้อมูลได้ในภายหลัง
และข้อมูลที่แต่ละองค์กรได้รับมาจากเจ้าของข้อมูลนั้น จะต้องทำการเก็บรักษาไว้อย่างปลอดภัย และในส่วนของผู้ควบคุมข้อมูล (Data Controller) ที่จะต้องมีหน้าที่ในการดำเนินการตามขั้นตอนตามที่เหมาะสม และเพื่อให้มั่นใจในความน่าเชื่อถือขององค์กร ดังนั้นพนักงานทุกคนที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของตน และถ้าหากในกรณีที่มีบุคคลที่สามนำข้อมูลไปใช้ในการประมวลผลอย่างอื่น องค์กรจะต้องมั่นใจได้ว่ามีการทำสัญญากับผู้ประมวลผลข้อมูลนั้นๆ โดยชัดแจ้งและจะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมในการเก็บรักษา และองค์กรผู้เก็บข้อมูลนั้นมีหน้าที่ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ตนจัดเก็บไว้นั้นถูกต้องและเป็นปัจจุบัน ซึ่งหมายความว่าองค์กรควรตรวจสอบข้อมูลที่เก็บไว้เกี่ยวกับบุคคลเป็นระยะๆ และแก้ไขข้อมูลที่ล้าสมัยหรือที่ไม่ถูกต้องตามหลักกฎหมาย PDPA ดังนั้นเจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะขอลบหรือทำลายข้อมูลที่ไม่ถูกต้องที่เกี่ยวกับพวกเขาเอง
การเก็บรวบรวมข้อมูลส่วนบุคคลกรณีความยินยอม
- ต้องได้รับความยินยอมจากเจ้าของข้อมูลโดยตรง และความยินยอมนั้นควรจะครอบคลุมวัตถุประสงค์ที่จะนำไปใช้
- องค์กรนั้นต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- แต่ละองค์กรควรปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตน
- ควรต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล
- ควรออกหนังสือขอความยินยอมหรือขอผ่านระบบอิเล็กทรอนิกส์
การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
- ห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม *เว้นแต่กรณีที่กฎหมายกำหนดไว้ว่าไม่ต้องขอความยินยอม*
- บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลจะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น
- การใช้หรือเปิดเผยข้อมูลที่ได้รับการยกเว้น ไม่ต้องขอความยินยอม แต่ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือการเปิดเผยนั้นไว้
สิ่งที่ควรรู้ :
- พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีไว้เพื่อคุ้มครองข้อมูลของบุคคลทั่วไปที่เป็นเจ้าของข้อมูล ทั้งทางตรงและทางอ้อม โดยผู้ถือครองข้อมูลสามารถนำข้อมูลไปใช้เท่าที่จำเป็นเท่านั้น ต้องมีวัตถุประสงค์ชัดเจนว่าเก็บข้อมูลไปเพื่ออะไร
- การบันทึกภาพและนำไปแชร์ ที่ไม่ก่อให้เกิดรายได้ เพื่อความสนุกส่วนตัว อยู่ในลักษณะการใช้งานเพื่อประโยชน์ส่วนตน (ภายในครอบครัว) ไม่ได้อยู่ภายใต้ข้อบังคับของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่ระวังการนำไปใช้เพื่อการค้าภายหลัง และระวังไม่ให้ภาพถูกนำไปใช้สร้างความเดือดร้อนให้ผู้อื่น
- ฐานประโยชน์อันชอบธรรม เข้าข่ายพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องป้องกันการนำข้อมูลส่วนบุคคลไปแสวงหาประโยชน์หรือเปิดเผยโดยมิชอบ ซึ่งการนำภาพถ่ายหรือข้อมูลไปใช้ต้องระบุให้ได้ว่าภาพถ่าย (หรือข้อมูล)ดังกล่าวมีประโยชน์อะไร และต้องคำนึงถึงสิทธิ เสรีภาพของเจ้าของข้อมูลด้วย
รู้หรือไม่ ? ข้อมูลส่วนบุคคลไม่ได้มีแค่ตัวอักษร
ระบบในการจัดเก็บข้อมูลในรูปแบบไฟล์ เสียง (Voice) มีความสำคัญไม่แพ้ระบบจัดเก็บข้อมูลในรูปแบบไฟล์ที่เป็นข้อความ (Text) ที่หัวใจสำคัญคือความปลอดภัย เพราะจะต้องมีคุณภาพเสียงต้องชัดเจน มีระบบประมวลผลกลางที่สามารถสร้างความมั่นใจได้ว่าข้อมูลส่วนบุคคลจะถูกเก็บเป็นความลับ แม้แต่กับตัวพนักงานผู้จัดเก็บนั่นเอง และเพื่อหลีกเลี่ยงความผิดพลาดที่อาจจะเกิดขึ้นหรือการถูกฟ้องร้อง หากระบบที่ใช้ไม่มีความรัดกุมมากพอจนก่อให้เกิดความผิดพลาดในการรั่วไหลของข้อมูลส่วนนี้
ข้อมูลเสียง หมายถึง เป็นข้อมูลที่เกิดจากการได้ยิน เช่น เสียงคนพูด เสียงสัตว์ร้อง เสียงจากธรรมชาติ หรือเสียงจากอุปกรณ์ต่าง ๆ ที่สามารถแสดงผลข้อมูลในรูปแบบเสียงได้ เช่น แผ่นซีดี โทรทัศน์ วิทยุ หรือโทรศัพท์มือถือ เป็นต้น
ข้อมูลเสียงกับธุรกิจ
- ข้อมูลเสียง สามารถใช้เป็นข้อยืนยันในทางกฎหมาย ธุรกิจที่มีความจำเป็นต้องติดต่อและรับความคิดเห็นจากลูกค้าอย่างสม่ำเสมอ ข้อมูลเสียงระหว่างการสนทนาที่ถูกบันทึกไว้ จะเป็นข้อมูลสำคัญที่ใช้ยืนยันในทางกฎหมายได้ แต่หากมีการเกิดกรณีการว่าร้าย หรือการฟ้องร้องเกิดขึ้น ระบบที่มีจะช่วยสร้างความเชื่อมั่นให้กับองค์กรและลูกค้าได้เป็นอย่างดี
- ไฟล์เสียง สามารถใช้เพื่อพัฒนาบริการของบริษัท ถึงแม้ปัจจุบันหลายองค์กรจะเริ่มใช้เทคโนโลยีระบบตอบรับอัตโนมัติผ่าน AI เพื่อตอบคำถามกับลูกค้าแทนคน แต่อย่างไรก็ตามการสื่อสารกับพนักงานยังคงตอบสนองความรู้สึกของลูกค้าได้มากกว่า ซึ่งบทสนทนาที่เกิดขึ้นจะนำไปสู่การพัฒนาและปรับปรุงบริการได้ในอนาคตนั่นเอง
- เสียง สามารถใช้เพื่อยืนยันข้อตกลง บางธุรกิจที่จำเป็นต้องทำข้อตกลงระหว่างองค์กรและลูกค้าผ่านช่องทางเสียงเพื่อตอบรับ หรือยืนยันการเลือกใช้บริการ เช่น ข้อตกลงในการอัปเกรดบริการตามโปรโมชั่นใหม่หรือการซื้อขาย ซึ่งลูกค้าสามารถยืนยันการใช้งานผ่าน Contact Center ได้นั้น ระบบจะสามารถจัดเก็บข้อมูลเสียงที่ใช้จำเป็นต้องสำรองข้อมูล และสามารถเรียกใช้ได้ตามต้องการ
ดังนั้น นอกจากการอัดเสียงแล้ว อีกทั้งในเรื่องการดักฟังทางโทรศัพท์ หรือเครื่องมือสื่อสารประการใดในทำนองเดียวกันก็เป็นอีกช่องทางที่จะได้รับรู้ว่าเขาพูดอะไร ทำอะไรโดยพลการเมื่อไหร่ก็อาจได้รับโทษสูงสุดถึงขั้นติดคุก 5 ปี มีการปรับถึงหลักแสนบาท แค่เพียงดักฟังก็มีความผิดไม่ต้องคิดว่าได้เผยแพร่หรือนำไปใช้ประโยชน์หรือยัง
ภายหลังการบังคับใช้ PDPA
การที่เราจะยินยอมจะไม่เหมือนกับการยอมรับข้อตกลงต่างๆ ที่ยาวเหยียดโดยที่เราไม่ได้อ่านข้อความ เพราะกฎหมายข้อมูลส่วนบุคคลก็จะมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครองด้วย ฉะนั้นแล้วเจ้าของข้อมูลจะต้องอ่านข้อมูลให้ละเอียด เพื่อดูว่าจุดประสงค์ของการเก็บข้อมูลนี้ถูกนำไปใช้ตรงวัตถุประสงค์ที่แจ้งหรือไม่ หากเรายินยอมโดยไม่อ่าน ผู้ที่ได้รับการยินยอมหรือผู้ครอบครองข้อมูลของเราสามารถนำข้อมูลไปใช้ได้ ตรงนี้ต้องเน้นย้ำเรื่องการอ่าน การศึกษาในวัตถุประสงค์ หรือข้อบังคับให้ละเอียดก่อนให้ความยินยอมเสมอ เพื่อป้องกันการถูกละเมิดสิทธิของตนเอง
บทลงโทษของการละเมิดกฎหมาย
โทษทางแพ่ง
ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
หากเราไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดที่ถูกต้องให้เจ้าของข้อมูลทราบ และไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิที่จะได้รับตามที่กฎหทายกำหนด ไม่มีการจัดทำบันทึกรายการ ไม่มีการกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO มีโทษปรับไม่เกิน 1,000,000บาท
หรือในการเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร มีโทษปรับไม่เกิน 3,000,000บาท
และเก็บรวบรวมข้อมูล ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000บาท
โทษทางอาญา
ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมายทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาททำไปเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกอย่างน้อย 1 ปี หรือปรับไม่เกิน 1,000,000 บาท
หากมีผู้ใด ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่นเว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่างๆ ที่เปิดเผยต่อสาธารณะ มีโทษจำคุกอย่างน้อย 6 เดือน หรือปรับไม่เกิน 500,000 บาท
ดังนั้น ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือ บุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
