โดนหมด ‘ขายของออนไลน์ ประกัน แบงก์’ หลังบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

บังคับใช้แล้ว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เตรียมฟันธุรกิจรวบรวม ใช้ หรือเปิดเผยข้อมูลดิจิทัลส่วนบุคคล กระทบทั้งระบบศก. ‘รัฐและธุรกิจทุกระดับ’

รู้ไหมว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ไทยใช้อยู่นั้นเป็นแค่บทบัญญัติที่กำหนดให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะในบางเรื่อง และอยู่ใน พ.ร.บ. อื่นๆ กระจายซึ่งใช้มาตั้งแต่ปี 40 ทำให้มันไม่เข้ากับยุคสมัยดิจิทัลนี่เสียเลย

กระทรวงดิจิทัลฯ จึงได้เสนอร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ต่อคณะรัฐมนตรี โดยมีต้นแบบมาจากกฎหมาย GDPR ของ EU ที่พึ่งจะสั่งปรับเครือโรงแรมแมริออท มูลค่าการปรับอาจเป็นจำนวนเงินสูงสุดถึง 700 ล้านบาท ขณะที่ Facebook อาจถูกปรับถึง 52,500 ล้านบาท กับการละเมิด GDPR

สำหรับของไทยก็จะคล้ายกันที่เป็นกฎหมายคุ้มครองประชาชน เมื่อรัฐ เอกชน และธุรกิจเล็กใหญ่นำเก็บ รวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลของประชาชน ให้ทันกับความก้าวหน้าทางเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วและแนวโน้มเกิดการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวมีเพิ่มมากขึ้น

ซึ่งทั้ง GDPR และ PDPA จะไม่ใช่แค่ครอบคลุมหลังเกิดเรื่องเท่านั้น แต่ยังหมายถึงกฎหมายที่เข้ามากำกับดูแลการปกป้องข้อมูลให้เป็นไปตามมาตรฐานด้วย ฉะนั้นไม่ใช่บทลงโทษหลังจากเกิดเรื่อง แต่ยังเตรียมการสำหรับธุรกิจและหน่วยงานที่ไม่ทำตามมาตรการด้วย

จึงทำให้ภาครัฐต้องมีการคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Protection)

ครอบคลุมข้อมูลส่วนบุคคลประเภทต่างๆ ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล์ หมายเลขบัตรประจำตัวประชาชน และอื่นๆ นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และข้อมูลชีวภาพ

ใจความสำคัญของ PDPA

หลังจากประกาศใช้อย่างเป็นทางการแล้วแน่นอนเมื่อ 28 กุมภาพันธ์ 2562 โดยในช่วงเวลานี้ เป็นต้นไป จะเป็นช่วงเวลาที่ให้หน่วยงานต่างๆ เตรียมตัวก่อนบังคับใช้จริงในวันที่ 28 พฤษภาคม 2563 ซึ่งจะส่งผลกระทบกับภาคธุรกิจที่มีความเกี่ยวข้องกับข้อมูลไม่ว่าจะเป็นรัฐและเอกชน โดยเฉพาะสถาบันการเงิน บริษัทประกันภัย ธุรกิจอีคอมเมิร์ซ จะเป็นหนึ่งในกลุ่มที่มีผลกระทบโดยตรงจาก PDPA

เพราะ PDPA เน้นไปที่การปกป้องเจ้าของข้อมูลจากการรวบรวม การใช้ หรือการเปิดเผย และการประมวลผลข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาตหรือผิดกฎหมาย ทำให้ผู้ให้บริการที่ต้องการจะเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบอย่างชัดเจน แและต้องให้เจ้าของข้อมูลยอมรับและรับทราบถึงการที่ข้อมูลของตนจะถูกนำไปใช้อย่างไร เมื่อใด ส่วนใด และในเงื่อนไขใดบ้าง

สิทธิ์ของเจ้าของข้อมูลภายใต้ PDPA

  • สิทธิที่จะได้รับการแจ้งเมื่อจะมีการใช้ข้อมูล
  • สิทธิ์ในการเข้าถึงของมูลของตนจากผู้ให้บริการ
  • สิทธิ์ในการที่เจ้าของข้อมูลจะสามารถนำข้อมูลของตนจากผู้บริการหนึ่ง ไปให้กับอีกผู้บริการหนึ่ง
  • สิทธิ์ในการคัดค้านไม่ให้ผู้ให้บริการ นำข้อมูลของตนไปใช้ในทางที่ไม่ได้รับอณุญาต
  • สิทธิ์ในการขอให้ข้อมูลของตนถูกลบโดยสมบูรณ์
  • สิทธิ์ในการ จำกัด การประมวลผล
  • สิทธิ์ในการแก้ไขข้อมูลของตนโดยผู้ให้บริการต้องทำการปรับปรุงข้อมูลนั้นๆ ให้เป็นปัจจุบันด้วย

ไม่ใช่แค่บริษัทในประเทศเท่านั้นที่ต้องปฏิบัติตามกฎที่ระบุไว้ใน PDPA แต่รวมถึงบริษัทในต่างประเทศก็ต้องปฏิบัติตามด้วยตราบใดที่พวกเขาเข้ามาข้องเกี่ยวกับข้อมูลของผู้ใช้ที่อยู่ในประเทศไทย

การเตรียมตัวเพื่อไม่ให้บริษัทผิดกฎหมายข้อมูลส่วนบุคคล

นอกจากนี้ ภายในระยะเวลาหลังจากนี้ก่อนวันที่ 28 พฤษภาคม 2563 ผู้ประกอบจะต้องเตรียมเรื่องขั้นตอนการควบคุมอย่างระมัดระวัง ภายใต้ PDPA เพื่อให้แน่ใจว่า ข้อมูลผู้ใช้จะได้รับการปกป้องด้วยวิธีการที่กฎหมายใหม่ โดยแต่ละองค์กรจะต้องกำหนดกระบวนการควบคุมข้อมูล เพื่อตรวจสอบการรวบรวมการใช้หรือการเปิดเผยข้อมูลของตัวเอง รวมถึงกิจกรรมการประมวลผล จัดหาบุคคลากรที่มีความรับผิดชอบพิเศษ เช่น มีผู้ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หลังจากค้นพบการละเมิดหรือการละเมิดข้อมูลส่วนบุคคล – และสามารถรับผิดชอบได้อย่างถูกกฎหมาย ภายใน 72 ชั่วโมง หากกิจกรรมการเก็บรวบรวมข้อมูลขององค์กรไม่เป็นไปตามข้อกำหนดของกฎหมาย PDPA

แม้แต่หน่วยงานที่อยู่นอกประเทศไทยหาก พวกเขาได้รับข้อมูลส่วนบุคคลจากผู้ใช้ในประเทศไทย ก็ต้องควบคุมข้อมูล เพื่อให้มั่นใจว่าหน่วยงานต่างประเทศนั้นมีประสิทธิภาพตามมาตรการในการปกป้องข้อมูลส่วนบุคคลของผู้ใช้ในประเทศไทย

ผู้ประกอบการจึงต้องร่วมมือกับหน่วยงานที่รับผิดชอบในกรณีที่มีการฝ่าฝืนข้อมูลหรือฝ่าฝืนพระราชบัญญัติ เจ้าของข้อมูลอาจยื่นเรื่องร้องเรียนทางกฎหมายต่อตัวควบคุมข้อมูลหรือตัวประมวลผลหากข้อมูลของพวกเขา เมื่อถูกนำไปใช้ในทางที่ผิดและผลที่ตามมาจากการประมาทเลินเล่อหรือความผิดพลาดอาจรุนแรง

เพื่อลดความเสี่ยงในการละเมิด PDPA บริษัท จำเป็นต้องทบทวนแผนและขั้นตอนการป้องกันข้อมูลของตนเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดใหม่ภายใต้กฎหมาย ความพยายามดังกล่าวหมายถึงการทำให้มั่นใจได้ว่าข้อมูลได้รับการควบคุมอย่างเข้มงวดภายในระบบและใช้เพื่อจุดประสงค์ที่ชัดเจนซึ่งผู้ใช้ให้ความยินยอมอย่างชัดเจน

ใบรับรองคุณวุฒิ Data Protection Certificate

รู้จักเรามากขึ้น

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

X