หลังจากที่ทุกคนทราบกันดีอยู่แล้วว่ากฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มีการประกาศให้บังคับใช้อย่างเป็นทางการแล้วเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาแล้วนั้นเอง ซึ่งในปัจจุบันนั้นการทำธุรกิจในประเทศไทยได้เริ่มมีการเปลี่ยนผ่านเข้าสู่ระบบดิจิทัลมีการใช้เทคโนโลยีมากยิ่งขึ้นเป็นจำนวนมาก ดังนั้นแล้วประเทศไทยจึงได้มีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 ขึ้นมา หรือที่เรียกว่ากฎหมาย PDPA เพื่อใช้ปกป้องสิทธิส่วนบุคคลการให้ข้อมูลมีความปลอดภัยต่อผู้ใช้งานหรือบุคคลที่เป็นเจ้าของข้อมูลมากยิ่งขึ้น และเพื่อเป็นการใช้สำหรับการประมวลผลข้อมูลเหล่านั้นอย่างมีความรับผิดชอบ โดยกฎหมายฉบับนี้ได้มีผลบังคับใช้ทั้งกับระดับบุคคลที่เป็นเจ้าของข้อมูล และนิติบุคคลที่จดทะเบียนในประเทศไทย รวมไปถึงบริษัทที่มีที่ตั้งอยู่ในต่างประเทศแต่ได้มีส่งขายสินค้าหรือบริการให้กับลูกค้าที่เป็นคนไทย
และเรามักจะพบว่าข้อมูลส่วนบุคคลในบางครั้งถูกเก็บไปใช้งานได้ง่ายดายและรวดเร็วยิ่งขึ้น โดยเฉพาะผ่านสื่อดิจิทัล ดังนั้น คนที่ทำธุรกิจผ่านระบบดิจิทัล หรือใช้บริการในระบบดิจิทัลในการปฏิบัติการต่างๆ ในสายงานที่เกี่ยวข้องกับบริบทขององค์กรกับการเข้าถึงข้อมูลส่วนบุคคล จึงมีความเกี่ยวข้องกับกฎหมาย PDPA นี้เป็นอย่างมาก
ทั้งนี้ บริษัทหรือองค์ธุรกิจที่อยู่ในฐานะของผู้ควบคุม และประมวลผลข้อมูล ต้องมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ รวมถึงการเผยแพร่และต้องระบุระยะเวลาในการเก็บข้อมูลที่ชัดเจน
ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?
กฎหมาย PDPA ได้มีการระบุถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 3 กลุ่ม ได้แก่
- “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) นั้นหมายถึงคนทุกคนที่เป็นเจ้าของข้อมูลหรือ Data Subject ในรูปแบบต่าง ๆ ทั้งทางตรง และทางอ้อม ที่สามารถนำข้อมูลเหล่านั้นมาระบุถึงตัวบุคคลคนนั้นได้
- “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) นั้นหมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) นั้นหมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล หรือ (Data Controller) นั้นเอง
สิ่งที่คนทำธุรกิจต้องคำนึงถึงและต้องเตรียมรับมือ เพื่อตอบรับกับกฎหมาย PDPA
- เตรียมเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล
เป็นเอกสารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) ที่จะต้องมีการระบุถึงรูปแบบว่านำข้อมูลไปประมวลผลอย่างไรบ้าง มีวัตถุประสงค์เพื่อการใด ใครบ้างคือผู้เกี่ยวข้อง และนอกจากเป็นข้อกำหนดตาม พ.ร.บ. เพื่อทำการตรวจสอบแล้ว ตัวเอกสารการทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP ก็จะเป็นส่วนช่วยให้องค์กรมองเห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมดของพนักงานผู้เป็นเจ้าของข้อมูล และยังสามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
- เตรียมแบบฟอร์มเพื่อให้เจ้าของข้อมูลขอใช้สิทธิบนเว็บไซต์
เป็นเอกสารเพื่อให้เจ้าของข้อมูลนั้น สามารถขอมีสิทธิในการเข้าถึงข้อมูลส่วนตัวได้ ไม่ว่าผ่านทางช่องทางใดๆ ก็ตาม และจะต้องมีการดำเนินการตามคำร้องภายใน 30 วันนับแต่ทราบ แต่สำหรับธุรกิจที่มีการให้บริการผ่านช่องทางเว็บไซต์ จำเป็นอย่างยิ่งที่ควรจะสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ของตนเพื่อให้ผู้ใช้บริการซึ่งมีสิทธิในการเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ และแบบฟอร์มควรจะระบุให้มีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน รวมทั้งระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้นั้นเองค่ะ
- แจ้งเจ้าของข้อมูลเกี่ยวกับนโยบายความเป็นส่วนตัว หรือ Privacy Policy
เพื่อเป็นเอกสารยืนยันให้กับทางเจ้าของข้อมูลรับทราบว่าข้อมูลที่จะนำไปใช้นั้นมีวัตถุประสงค์ในการใช้เพื่ออะไร หรือมีเงื่อนไขอะไรบ้างนำไปใช้ รวมไปถึงระยะเวลาในการจัดเก็บข้อมูล รวมไปถึงระบุมาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางการติดต่อบริษัท ซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)
- การขอคำยินยอมในการใช้ Cookie ธุรกิจ
จำเป็นอย่างยิ่งที่หน้าเว็บไซต์ของแต่ละธุรกิจจะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากเจ้าของข้อมูลที่เป็นผู้ใช้งานหน้าเว็บไซต์ในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจับเก็บ นับตั้งแต่ข้อมูลพื้นฐาน ไม่ว่าจะเป็น ชื่อบัญชีผู้ใช้งาน รวมไปจนถึงการติดตามประวัติการใช้งาน หรือพฤติกรรมของผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ ที่องค์ได้มีการระบุได้ รวมำไปถีงสิทธิของผู้ใช้งานเพื่อเป็นการตัดสินใจในการยินยอมเข้าถึงข้อมูลส่วนบุคคลใดบ้าง
5. การแจ้งเตือนเจ้าของข้อมูลหากข้อมูลเกิดการรั่วไหล
หากเกิดการรั่วไหลของข้อมูลที่องค์กรเป็นผู้ดูแล คนทำธุรกิจหรือองค์กรจะต้องมีการแจ้งต่อเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดกรณีที่ข้อมูลของลูกค้าเกิดการถ่ายโอน รั่วไหล หรือถูกนำไปใช้ในทางที่ผิด จะต้องมีการประเมินส่วนที่ขาดหาย และวิธีการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้ได้รับความเสียหาย
เมื่อสิ่งนี้ถูกเรียกว่าเป็นกฎหมายแล้ว หากคนทำธุรกิจยังมีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎจากผู้ที่มีหน้าที่ควบคุมข้อมูลหรือจัดเก็บข้อมูลส่วนบุคคลของผู้อื่น ก็จะถูกพิจารณาความรับผิดในโทษตามที่กฎหมายกำหนดไม่ว่าจะเป็น โทษทั้งทางแพ่ง โทษทางอาญาและโทษทางการปกครอง โดยกำหนดให้มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินห้าล้านบาท หรือทั้งจำทั้งปรับ เพิ่มเติม โทษ PDPA
⠀⠀สรุป หลังจากที่กฎหมาย PDPA ได้มีการบังคับใช้อย่างเป็นทางการไปแล้วนั้นเมื่อ วันที่ 1 มิถุนายน พ.ศ. 2565 ดังนั้นจำเป็นอย่างยิ่งที่คนทำธุรกิจ หรือในองค์กรต่างๆ จึงต้องตระหนักในการปฏิบัติตามกฎหมายและควรเริ่มศึกษา เรียนรู้ และให้ความสำคัญกับกฎหมาย PDPA อย่างจริงจัง เพื่อสร้างความเชื่อมั่นให้กับบุคคลที่เป็นเจ้าของข้อมูลที่เราจัดเก็บข้อมูล รวมถึงลูกค้าผู้ที่เข้ามาซื้อสินค้าและใช้บริการ และเพื่อให้สามารถการดำเนินธุรกิจอย่างถูกต้องตามกฎหมายอีกด้วยค่ะ
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
