บังคับใช้แล้ว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เตรียมฟันธุรกิจรวบรวม ใช้ หรือเปิดเผยข้อมูลดิจิทัลส่วนบุคคล กระทบทั้งระบบศก. ‘รัฐและธุรกิจทุกระดับ’
รู้ไหมว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ไทยใช้อยู่นั้นเป็นแค่บทบัญญัติที่กำหนดให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะในบางเรื่อง และอยู่ใน พ.ร.บ. อื่นๆ กระจายซึ่งใช้มาตั้งแต่ปี 40 ทำให้มันไม่เข้ากับยุคสมัยดิจิทัลนี่เสียเลย
กระทรวงดิจิทัลฯ จึงได้เสนอร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ต่อคณะรัฐมนตรี โดยมีต้นแบบมาจากกฎหมาย GDPR ของ EU ที่พึ่งจะสั่งปรับเครือโรงแรมแมริออท มูลค่าการปรับอาจเป็นจำนวนเงินสูงสุดถึง 700 ล้านบาท ขณะที่ Facebook อาจถูกปรับถึง 52,500 ล้านบาท กับการละเมิด GDPR
สำหรับของไทยก็จะคล้ายกันที่เป็นกฎหมายคุ้มครองประชาชน เมื่อรัฐ เอกชน และธุรกิจเล็กใหญ่นำเก็บ รวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลของประชาชน ให้ทันกับความก้าวหน้าทางเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วและแนวโน้มเกิดการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวมีเพิ่มมากขึ้น
ซึ่งทั้ง GDPR และ PDPA จะไม่ใช่แค่ครอบคลุมหลังเกิดเรื่องเท่านั้น แต่ยังหมายถึงกฎหมายที่เข้ามากำกับดูแลการปกป้องข้อมูลให้เป็นไปตามมาตรฐานด้วย ฉะนั้นไม่ใช่บทลงโทษหลังจากเกิดเรื่อง แต่ยังเตรียมการสำหรับธุรกิจและหน่วยงานที่ไม่ทำตามมาตรการด้วย
จึงทำให้ภาครัฐต้องมีการคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Protection)
ครอบคลุมข้อมูลส่วนบุคคลประเภทต่างๆ ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล์ หมายเลขบัตรประจำตัวประชาชน และอื่นๆ นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และข้อมูลชีวภาพ
ใจความสำคัญของ PDPA
หลังจากประกาศใช้อย่างเป็นทางการแล้วแน่นอนเมื่อ 28 กุมภาพันธ์ 2562 โดยในช่วงเวลานี้ เป็นต้นไป จะเป็นช่วงเวลาที่ให้หน่วยงานต่างๆ เตรียมตัวก่อนบังคับใช้จริงในวันที่ 28 พฤษภาคม 2563 ซึ่งจะส่งผลกระทบกับภาคธุรกิจที่มีความเกี่ยวข้องกับข้อมูลไม่ว่าจะเป็นรัฐและเอกชน โดยเฉพาะสถาบันการเงิน บริษัทประกันภัย ธุรกิจอีคอมเมิร์ซ จะเป็นหนึ่งในกลุ่มที่มีผลกระทบโดยตรงจาก PDPA
เพราะ PDPA เน้นไปที่การปกป้องเจ้าของข้อมูลจากการรวบรวม การใช้ หรือการเปิดเผย และการประมวลผลข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาตหรือผิดกฎหมาย ทำให้ผู้ให้บริการที่ต้องการจะเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบอย่างชัดเจน แและต้องให้เจ้าของข้อมูลยอมรับและรับทราบถึงการที่ข้อมูลของตนจะถูกนำไปใช้อย่างไร เมื่อใด ส่วนใด และในเงื่อนไขใดบ้าง
สิทธิ์ของเจ้าของข้อมูลภายใต้ PDPA
- สิทธิที่จะได้รับการแจ้งเมื่อจะมีการใช้ข้อมูล
- สิทธิ์ในการเข้าถึงของมูลของตนจากผู้ให้บริการ
- สิทธิ์ในการที่เจ้าของข้อมูลจะสามารถนำข้อมูลของตนจากผู้บริการหนึ่ง ไปให้กับอีกผู้บริการหนึ่ง
- สิทธิ์ในการคัดค้านไม่ให้ผู้ให้บริการ นำข้อมูลของตนไปใช้ในทางที่ไม่ได้รับอณุญาต
- สิทธิ์ในการขอให้ข้อมูลของตนถูกลบโดยสมบูรณ์
- สิทธิ์ในการ จำกัด การประมวลผล
- สิทธิ์ในการแก้ไขข้อมูลของตนโดยผู้ให้บริการต้องทำการปรับปรุงข้อมูลนั้นๆ ให้เป็นปัจจุบันด้วย
ไม่ใช่แค่บริษัทในประเทศเท่านั้นที่ต้องปฏิบัติตามกฎที่ระบุไว้ใน PDPA แต่รวมถึงบริษัทในต่างประเทศก็ต้องปฏิบัติตามด้วยตราบใดที่พวกเขาเข้ามาข้องเกี่ยวกับข้อมูลของผู้ใช้ที่อยู่ในประเทศไทย
การเตรียมตัวเพื่อไม่ให้บริษัทผิดกฎหมายข้อมูลส่วนบุคคล
นอกจากนี้ ภายในระยะเวลาหลังจากนี้ก่อนวันที่ 28 พฤษภาคม 2563 ผู้ประกอบจะต้องเตรียมเรื่องขั้นตอนการควบคุมอย่างระมัดระวัง ภายใต้ PDPA เพื่อให้แน่ใจว่า ข้อมูลผู้ใช้จะได้รับการปกป้องด้วยวิธีการที่กฎหมายใหม่ โดยแต่ละองค์กรจะต้องกำหนดกระบวนการควบคุมข้อมูล เพื่อตรวจสอบการรวบรวมการใช้หรือการเปิดเผยข้อมูลของตัวเอง รวมถึงกิจกรรมการประมวลผล จัดหาบุคคลากรที่มีความรับผิดชอบพิเศษ เช่น มีผู้ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หลังจากค้นพบการละเมิดหรือการละเมิดข้อมูลส่วนบุคคล – และสามารถรับผิดชอบได้อย่างถูกกฎหมาย ภายใน 72 ชั่วโมง หากกิจกรรมการเก็บรวบรวมข้อมูลขององค์กรไม่เป็นไปตามข้อกำหนดของกฎหมาย PDPA
แม้แต่หน่วยงานที่อยู่นอกประเทศไทยหาก พวกเขาได้รับข้อมูลส่วนบุคคลจากผู้ใช้ในประเทศไทย ก็ต้องควบคุมข้อมูล เพื่อให้มั่นใจว่าหน่วยงานต่างประเทศนั้นมีประสิทธิภาพตามมาตรการในการปกป้องข้อมูลส่วนบุคคลของผู้ใช้ในประเทศไทย
ผู้ประกอบการจึงต้องร่วมมือกับหน่วยงานที่รับผิดชอบในกรณีที่มีการฝ่าฝืนข้อมูลหรือฝ่าฝืนพระราชบัญญัติ เจ้าของข้อมูลอาจยื่นเรื่องร้องเรียนทางกฎหมายต่อตัวควบคุมข้อมูลหรือตัวประมวลผลหากข้อมูลของพวกเขา เมื่อถูกนำไปใช้ในทางที่ผิดและผลที่ตามมาจากการประมาทเลินเล่อหรือความผิดพลาดอาจรุนแรง
เพื่อลดความเสี่ยงในการละเมิด PDPA บริษัท จำเป็นต้องทบทวนแผนและขั้นตอนการป้องกันข้อมูลของตนเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดใหม่ภายใต้กฎหมาย ความพยายามดังกล่าวหมายถึงการทำให้มั่นใจได้ว่าข้อมูลได้รับการควบคุมอย่างเข้มงวดภายในระบบและใช้เพื่อจุดประสงค์ที่ชัดเจนซึ่งผู้ใช้ให้ความยินยอมอย่างชัดเจน
ใบรับรองคุณวุฒิ Data Protection Certificate
ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง