ข่าวสาร/บทความ

เรียบเรียงโดย :คุณสถาพร ฉายะโอภาสประธานจังหวัดนครนายก สมาพันธ์เอสเอ็มอีไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA (Personal Data Protection Act) ที่ประกาศใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เนื่องจากปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่มีเพิ่มมากขึ้นเรื่อย ๆ ปัจจุบันองค์กรธุรกิจ หรือ หน่วยงานต่าง ๆ จำเป็นต้องให้ความสำคัญกับการจัดเก็บ และการประมวลผลข้อมูลส่วนบุคคล ให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล หากองค์การ หรือหน่วยงานละเลยไม่ดำเนินการตามกฎหมาย PDPA มีความเสี่ยงจากการรับโทษร้ายแรงทั้งทางแพ่ง ทางอาญา และทางปกครอง ในยุคที่มีการใช้เทคโนโลยีเข้ามาช่วยในการจัดเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล (Personal Data) ข้อมูลส่วนบุคคลของบุคคลในองค์กร ข้อมูลลูกค้า และข้อมูลผู้ที่เกี่ยวข้อง จึงจำเป็นต้องได้รับการบริหารจัดการ ความปลอดภัยของข้อมูล และการนำไปใช้งานตามวัตถุประสงค์ที่ขอไว้ ในกระบวนการบริหารข้อมูลส่วนบุคคลสำหรับระบบบริหารและจัดการลูกค้าสัมพันธ์ (Customer Relationship Management System  (CRM)) มีกระบวนการเกี่ยวข้องกับหลายหน่วยงานในองค์กร เช่น ฝ่ายขาย ฝ่ายการตลาด ฝ่ายบริการ พนักงานขาย Call Center รวมถึงพนักงานขายออนไลน์ ที่ต้องนำข้อมูลส่วนบุคคลของลูกค้า มาใช้ในการบริหารจัดการลูกค้าสัมพันธ์ (CRM) เพื่อผลทางธุรกิจให้เติบโต ยิ่งมีการเก็บ ใช้ และประมวลผลข้อมูลมากเท่าไร การกำกับดูแล การบริหารข้อมูล รวมถึงการให้ความสำคัญในการเข้าถึงข้อมูลส่วนบุคคลในแต่ละหน่วยงาน เพื่อให้การนำไปใช้งานเท่าที่จำเป็น และตรงตามวัตถุประสงค์ที่ขอไว้ ข้อมูลส่วนบุคคลสำหรับระบบบริหารและจัดการลูกค้าสัมพันธ์ (CRM) จัดเก็บ ตัวอย่างเช่น ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมลส่วนตัว, ที่อยู่ปัจจุบัน, ข้อมูลสถานที่ทำงาน, Line ID, Facebook, ข้อมูลทางการเงิน, เลขบัตรประชาชน, รวมถึงข้อมูลที่มีความอ่อนไหว ซึ่งหากมีการประมวลผลข้อมูลส่วนบุคคล แล้วเกิดมีการรั่วไหลของข้อมูลส่วนบุคคล อาจทำให้เกิดความเสี่ยงจากการฟ้องร้องดำเนินคดี ไม่ว่าจากหน่วยงานไหน

     จากบทความ Link ได้พูดถึง DPO พอสังเขปแล้วว่าคือใคร มีความจำเป็นแค่ไหนที่ต้องมี ทั้งโทษทางปกครองหาก ฝ่าฝืน หากเราคิดต่อว่าแล้วถ้าองค์กรต้องตั้ง DPO ควรตั้งรูปแบบไหนดี? จ้างคนนอกทำแทนได้หรือไม่? บทความนี้จะเป็นแนวทางเบื้องต้นในการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร ซึ่งอาจจะมีการเปลี่ยนแปลงได้หากว่ามีกฎหมายลูกออกตามมาในภายหลัง บุคคลเดียว หรือ คณะบุคคลดี?      ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการระบุไว้อย่างชัดเจน ว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวหรือเป็นคณะบุคคล ดังนั้น การที่จะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจึงสามารถแต่งตั้งเป็นบุคคลเดียวหรือเป็นคณะบุคคลได้ตามแต่ความเหมาะสมขององค์กร ซึ่งทั้งสองรูปแบบมีข้อดีและข้อเสียตามตารางข้างล่าง   DPO คนเดียว DPO เป็นคณะทำงาน ข้อดี บุคคลเดี่ยวสามารถดำเนินการตัดสินใจเกี่ยวกับการดำเนินการเรื่องข้อมูลส่วนบุคคลได้อย่างรวดเร็ว การตัดสินใจนั้นมีความแม่นยำและเป็นประโยชน์ต่อองค์กรเนื่องจากมีบุคลกรจากหลายแผนกที่มีความชำนาญมาช่วยให้ข้อมูลในการตัดสินใจ เนื่องจากมีผุ้เชี่ยวชาญหลาย ๆด้านมาช่วยพิจารณาให้สอดคล้องกับธุรกิจขององค์กร ข้อด้อย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้เกี่ยวกับข้อมูลส่วนบุคคลหลากหลายด้าน การดำเนินการที่อาจจะมีความล่าช้ากว่าการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวเนื่องจากจำเป็นต้องผ่านการพิจารณาจากคณะกรรมการหลาย ๆด้าน ก่อนถึงการตัดสินใจ      จากข้อเปรียบเทียบเห็นได้ว่า DPO ที่เป็นบุคคลคนเดียว ค่อนข้างจะเหมาะสมกับองค์กรที่มีขนาดเล็ก หรือองค์กรที่ไม่มีความซับซ้อนในเชิงโครงสร้าง หรือกระบวนการ ซึ่งการดำเนินการบุคคลเดียวจะดีกว่า แต่ถ้าองค์กรนั้นมีลักษณะที่มีความซับซ้อนในเชิงโครงสร้างหรือ องค์กรมีขนาดใหญ่ จำเป็นต้องใช้ความเชี่ยวชาญหลาย ๆด้านในการขับเคลื่อนองค์กร การที่ DPO เป็นคณะบุคคลย่อมมีความเหมาะสมกับธุรกิจและรูปแบบขององค์กรมากกว่า แม้จะมีข้อด้อยในการดำเนินการด้านการตอบสนองค่อนข้างล่าช้ากว่ารูปแบบคนเดียวก็ตาม คนนอกได้หรือไม่?       เป็นคำถามต่อมา ให้คนนอกรับบาทเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ได้หรือไม่ หรือไม่ ซึ่งหลาย ๆองค์กรให้เหตุผลว่า จะเกิดปัญหาเรื่องทรัพยากรบุคคล คือต้องจัดหาจัดจ้างเจ้าหน้าที่เพื่อมาทำหน้าที่ตำแหน่งนี้ หรือบุคลากรที่มีอยู่ยังไม่มีความรู้ความเข้าใจในเรื่องดังกล่าว ประเด็นนี้ ในปัจจุบันพระราชบัญญัติคุ้มครองข้อมูลส่สวนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้อง ณ ปัจจุบัน (มกราคม 2566) ยังไม่มีการกำหนดบุคคลที่จะเข้ามาเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนั้น การที่องค์กรหรือหน่วยงานจะจ้างบุคคลภายนอกเพื่อให้มาดำเนินการแทน ย่อมสามารถได้เช่นกัน ซึ่งในปัจจุบันมีหลายบริษัทที่ให้บริการ DPO Outsource ทั้งนี้องค์กรก็ต้องเลือกองค์กรที่มีความสามารถด้วยเช่นกัน โดยการจ้าง Outsource จะมีข้อดีและข้อด้อย ดังนี้  

หลังการมีผลบังคับใช้ทั้งฉบับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection   Act : PDPA) เป็นผลให้ทุกหน่วยงานเร่งปฏิบัติบัติให้เป็นไปตามที่กฎหมายกำหนด ทั้งการจัดทำประกาศความเป็นส่วนตัว การขอความยินยอม การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น ซึ่งการบังคับใช้กฎหมายฉบับนี้ยังมีขอบเขตการบังคับใช้ถึงหน่วยงานราชการด้วย ซึ่งการที่จะพิจารณาว่าหน่วยงานราชการได้อยู่ภายใต้บังคับของ PDPA หรือไม่นั้น ต้องไม่ใช่หน่วยงานที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ  ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ หน่วยงานราชการที่มีหน้าที่นอกเหนือจากที่กล่าวมาจะต้องอยู่ภายใต้บังคับของ PDPA ซึ่งการปฏิบัติให้สอดคล้องตามกฎมหายฉบับนี้นั้นจะต้องพิจารณาว่ามีกฎหมายเฉพาะที่กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้แล้วหรือไม่ หากใช่ก็ต้องปฏิบัติตามกฎมายว่าด้วยเรื่องนั้น ๆ โดยต้องนำ PDPA มาปฏิบัติเพิ่มเติมในบางส่วน ปัจจุบันการดำเนินงานของหน่วยงานภาครัฐจะอยู่ภายใต้บังคับของพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 (Official Information Act : OIA) ซึ่งเป็นกฎหมายทั่วไปที่หน่วยงานราชการจะต้องปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล แต่เนื่องจากกฎหมายฉบับดังกล่าวมีเหตุผลในการประกาศใช้เพื่อให้ประชาชนสามารถแสดงความคิดเห็นและใช้สิทธิในทางการเมืองได้ และเนื่องจากกฎหมายฉบับนี้เป็นการที่ให้อำนาจหน่วยงานราชการในการที่จะสามารถเปิดเผยข้อมูลที่อยู่ในความครอบครองของหน่วยงานต่อสาธารณะได้ ซึ่งข้อมูลนั้นครอบคลุมถึงข้อมูลส่วนบุคคลด้วย การบังคับใช้ของ PDPA นั้น เป็นการกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป ซึ่งกฎหมายฉบับนี้ต้องการให้ผู้ควบคุมข้อมูลห้ามเปิดเผยข้อมูลส่วนบุคคลหากไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่มีฐานทางกฎหมายอื่นมารองรับ จากที่กล่าวมาข้างต้นจะเห็นได้ว่ากฎหมายทั้ง 2 ฉบับ มีความต่างกันในวัตถุประสงค์ของการบังคับใช้ ดังนั้น การปฏิบัติตามกฎหมายทั้ง 2 ฉบับของหน่วยงานภาครัฐจึงต้องพิจารณาถึงขอบเขตการบังคับใช้ของกฎหมาย คือ OIA แม้จะเป็นกฎหมายที่บังคับใช้ทั่วไปกับหน่วยงานราชการ แต่การบังคับใช้นั้นไม่มีขอบเขตรวมไปถึงภาคเอกชนด้วย ซึ่ง PDPA เป็นกฎหมายที่ใช้บังคับเป็นการทั่วไปทั้งหน่วยงานราชการและเอกชน เมื่อพิจารณาแล้วเห็นว่า OIA เป็นกฎหมายเฉพาะที่บังคับใช้กับหน่วยงานราชการเท่านั้น นำไปสู่การที่หน่วยงานราชการเหล่านั้นจะต้องปฏิบัติตาม PDPA คือ ในการคุ้มครองข้อมูลส่วนบุคคลหน่วยงานราชการต้องดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้องให้สอดคล้องกับ PDPA ด้วย แม้ในเรื่องเหล่านี้จะมีการกำหนดไว้ใน OIA แล้วก็ตาม กล่าวคือ หาก OIA กำหนดอย่างใดไว้ หน่วยงานราชการจะต้องปฏิบัติตามกฎหมายฉบับดังกล่าว แล้วค่อยนำส่วนที่นอกเหนือจาก OIA แต่กำหนดไว้ใน PDPA ปฏิบัติเพิ่มเติม แต่ในส่วนที่กฎหมายทั้ง 2 ฉบับเขียนไว้ในเรื่องเดียวกัน ก็ต้องบังคับในส่วนนั้นให้เป็นไปตามกฎหมายทั้ง 2 ฉบับ และในกรณีเกี่ยวกับการร้องเรียน อำนาจของคณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล อำนาจหน้าที่ของพนักงานเจ้าหน้าที่รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ต้องปฏิบัติตาม PDPA ในกรณีที่กฎหมายเฉพาะนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน หรือกรณีที่กฎหมายเฉพาะนั้นมีบทบัญญัติที่ให้อำนาจแก่เจ้าหน้าที่ผู้มีอำนาจพิจารณาเรื่องร้องเรียนตามกฎหมายนั้นออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับอำนาจของคณะกรรมการผู้เชี่ยวชาญตาม PDPA และเจ้าหน้าที่ผู้มีอำนาจตามกฎหมายนั้นร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคำร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ

สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ‘ข้อมูลส่วนบุคคล’ อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง ‘มาตรฐานการค้ายุคใหม่’ และอาจถูกมองว่าเป็นการกำหนด ‘กติกาการค้า’ หมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน เช่นเดียวกับกรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่เป็นสมาชิก EU หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหรัฐอเมริกา ที่ถึงแม้จะมีการออกหลักเกณฑ์ที่ทำให้สามารถโอนข้อมูลส่วนบุคคลไปยังประเทศสหรัฐอเมริกาได้ แต่หลักเกณฑ์ เหล่านั้นกลับยังมีช่องว่าที่ทำมลให้เจ้าของข้อมูลส่วนบุคคลฟ้องผู้ประกอบการที่เป็นผู้ให้บริการนอกประเทศสมาชิก EU  ได้ ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป ( European Data Protection Board (EDPB)) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป ดูเหมือนว่า สถานการณ์เหล่านี้จะส่งผลกระทบต่อผู้ประกอบการไทยที่มีการติดต่อการค้ากับต่างประเทศ ภายใต้เงื่อนไขของ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ยังมีความคลุมเครือเกี่ยวกับการโอนข้อมูลส่วนบุคคลไปต่างประเทศและอาจจะต้องรอประกาศหลักเกณฑ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในอนาคต และด้วยเหตุนี้จึงเป็นผลให้ ผู้ประกอบการที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ หรือมีสาขาที่ดำเนินการในต่างประเทศ และจำเป็นต้องส่งข้อมูลไปยังประเทศที่สาม ควรจะต้องทำความเข้าใจในประเด็นนี้อย่างละเอียด ทั้งการโอนและรับข้อมูลฯ /*! elementor – v3.11.4 – 12-03-2023 */ .elementor-column .elementor-spacer-inner{height:var(–spacer-size)}.e-con{–container-widget-width:100%}.e-con-inner>.elementor-widget-spacer,.e-con>.elementor-widget-spacer{width:var(–container-widget-width,var(–spacer-size));–align-self:var(–container-widget-align-self,initial);–flex-shrink:0}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container,.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer,.e-con>.elementor-widget-spacer>.elementor-widget-container,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer{height:100%}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner{height:var(–container-widget-height,var(–spacer-size))} /*! elementor – v3.11.4 – 12-03-2023 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px} ดูกันชัดๆ PDPA กับเงื่อนไขในการโอนข้อมูลส่วนบุคคลไปต่างประเทศ กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ‘ส่งหรือโอนข้อมูลส่วนบุคคล’ ไปยังต่างประเทศ

   ในการแข่งขันฟุตบอลโลก 2022 ที่ผ่านมาถือเป็นเรื่องราวที่ทำเอาหัวใจแฟน ๆ นักเตะทีมชาติอาร์เจนตินาและทีมชาติฝรั่งเศสลุ้นกันเป็นอย่างมาก เพราะสองสตาร์ดังจากสโมสรปารีส แซ็ง แฌร์แม็ง กัปตันผู้เป็นทุกอย่างของทัพฟ้าขาว “ลิโอเนล เมสซี่” และว่าที่แข้งซุป’ตาร์เบอร์ 1 ของโลกคนต่อไปจากทัพตราไก่อย่าง “คิลิยัน เอ็มบัปเป้” ได้มาเปิดศึกสร้างประวัติศาสตร์ห้ำหั่นกันอย่างดุเดือด  โดยทีมชาติอาร์เจนตินาคว้าแชมป์โลกหนนี้ไปครองด้วยการชนะการดวลจุดโทษ ซึ่งอีกหนึ่งไฮไลท์ของงานนี้ไม่ได้อยู่ที่การรับถ้วยของเมสซี่แต่เพียงเท่านั้น เพราะเขากลับได้ใจคนรักครอบครัวไปเต็ม ๆ เมื่อ “ลิโอเนล เมสซี่” ที่ได้ชื่อว่าเป็นแข้งที่เก่งกาจที่สุดในโลกด้วยรางวัลบัลลงดอร์ 7 สมัย ยังต้องรับบทช่างภาพจำเป็นถ่ายรูปให้ภรรยาที่ชูถ้วยแชมป์ “ฟุตบอลโลก 2022 เป็นภาพที่เห็นแล้วก็สร้างความประทับใจให้กับใครหลายคน แหล่งที่มา : https://www.thairath.co.th/sport/worldcup/2581460      วันนี้เราจะมาเปิดประเด็นถึงเรื่องการถ่ายภาพในสนามกีฬา ซึ่งแน่นอนว่าไม่ว่าจะเป็นกีฬาใด ๆ หรือแม้กระทั่งในที่สาธารณะก็คงหลีกหนีไม่พ้นเรื่องของการถ่ายภาพและวิดีโอเนื่องจากตอนนี้ในประเทศไทยมีการประกาศบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาแล้วตั้งแต่ 1 มิถุนายน 2565 แต่ก็มีข้อที่ทำให้ถกเถียงเป็นประเด็นอยู่มาก เรื่องของการถ่ายภาพติดบุคคลอื่นในที่สาธารณะว่าสามารถทำได้หรือไม่ ผิด PDPA หรือไม่? ก่อนอื่นผู้อ่านทุกท่านต้องเข้าใจก่อนว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั้นมีวัตถุประสงค์เพื่อปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคลของทุกคนโดยข้อมูลส่วนบุคคลนั้นคือข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวตนของบุคคลนั้นได้ทั้งทางตรงและทางอ้อม ไม่ว่าจะเป็นเลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือแม้กระทั้งข้อมูลสุขภาพ แต่การถ่ายภาพหรือวิดีโอของบุคคลอื่นโดยไม่ได้รับอนุญาต ในมุมของ PDPA นั้นจะขึ้นอยู่กับวัตถุประสงค์ของการใช้งาน โดยการถ่ายภาพมีหลายเงื่อนไขที่ต้องพิจารณาตามแต่ละกรณี       กรณีที่ 1 ถ่ายภาพหรือวิดีโอเพื่อประโยชน์ส่วนตน ถ่ายภายในครอบครัวเพื่อนฝูง อ้างอิงจากมาตรา 4(1) มีการระบุเอาไว้ว่า “การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น” ดังนั้นในกรณีนี้ เราจึงสรุปได้ว่าสามารถทำได้โดยไม่ผิด PDPA โดยในกรณีนี้จะรวมไปถึงเรื่องการติดกล้องวงจรปิดด้วยเช่นกัน

นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม พ.ศ.2547 และตามกฎกระทรวงกำหนดประเภทและหลักเกณฑ์การประกอบธุรกิจโรงแรม พ.ศ. 2551 ดังนั้นในบรรทัดต่อจากนี้จึงขอใช้คำว่า ‘โรงแรม’ ซึ่งเป็นคำอิบายถึงลักษณะที่ถูกต้องของการให้บริการห้องพักแบบเป็นครั้งคราว และมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่เข้ามารับบริการตามนิยามของกฎหมาย PDPA เช่น ข้อมูลการติดต่อ (ชื่อ นามสกุล หมายเลขโทรศัพท์  อีเมล) ข้อมูลเฉพาะของบุคคล (วันเดือนปีเกิด เลขหนังสือเดินทาง เลขบัตรประจำตัวประชาชน สัญชาติ) ข้อมูลที่เกี่ยวข้องกับผู้ติดตาม หรือผู้ที่อยู่ในความดูแล ( ชื่อ วันเกิด อายุ หมายเลขโทรศัพท์) ข้อมูลธุรกรรมการเงินและการจอง (ชื่อ นามสกุล หมายเลขบัตรเครดิต อีเมล เบอร์โทรศัพท์)   ข้อมูลการเดินทาง (กำหนดการเข้าพักและเช็กเอ้าท์) ข้อมูลผู้เด็ก (ผู้เยาว์ที่ไม่เกิน 10

‘ความรับผิดชอบ’ เป็นคำที่ยิ่งใหญ่ แต่หากดูที่แก่นความหมายซึ่งเป็นการสนธิของสองคำ คือ รับผิด+โดยชอบ อันหมายถึง ‘หน้าที่’ คือ สิ่งที่ต้องทำ แต่ก็น่าแปลกที่สิ่งเหล่านี้อาจจะไม่ใช่ทุกคน หรือทุกองค์กรอยากทำ เพราะมักจะนำไปเปรียบเทียบกับภาระอันยิ่งใหญ่ หรือผลจากการกระทำในเชิงลบที่ต้องมีคนต้องแบกรับ และอาจด้วยเหตุผลนี้ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้กำหนด หน้าที่ ตามมาด้วยความรับผิดชอบสำหรับสถานะต่างๆ ภายใต้การดำเนินการด้านข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งหากเกิดข้อมูลรั่วไหลอันนำไปสู่การละเมิดข้อมูลส่วนบุคคล (Data Breach) และคำถามที่หลายคนอยากรู้คือ ความรับผิดชอบนั้นจะตกอยู่ที่ใคร? แต่ก่อนที่จะกล่าวถึงความรับผิดชอบตามกฎหมาย PDPA ในกรณีการละเมิดข้อมูลส่วนบุคคล มาดูความหมายและตัวอย่างของการละเมิดข้อมูลส่วนบุคคลตามนิยามของกฎหมาย ซึ่งหมายถึง เหตุการณ์ หรือการกระทำที่นำไปสู่การเก็บรวบรวม เข้าถึง สูญหาย ทำลาย เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเจตนา หรือเกิดความผิดพลาดโดยไม่ตั้งใจ ยกกรณีตัวอย่าง เช่น : สถาบันการเงินส่งไปใบแจ้งหนีไปผิดคน โรงพยาบาลส่งผลตรวจสุขภาพไปผิดบ้าน องค์กรโดนโจมตีทางไซเบอร์ ศูนย์ข้อมูลทำงานผิดพลาดจนทำให้ข้อมูลเสียหาย หรือถูกโจรกรรม การส่งต่อข้อมูลหรือแชร์โดยเจ้าของข้อมูลไม่อนุญาต พนักงานในองค์กรขโมยข้อมูลลูกค้าไปขายหรือใช้ประโยชน์ส่วนตัว ร้านกาแฟแอบติดกล้องวงจรปิดเพื่อบันทึกภาพลูกค้าที่เข้ามาใช้บริการในร้าน   ข้อมูลส่วนบุคคลที่เกิดการรั่วไหลหรือละเมิดอาจจะมีผลที่ตามมา เช่น การทำให้เจ้าของข้อมูลมีความเสี่ยง ทั้งความเสี่ยงต่อทางร่างกาย สุขภาพจิต ชื่อเสียง ทรัพย์สิน เสียโอกาส ถูกปฏิบัติที่ไม่เป็นธรรม หรือผลกระทบในด้านลบต่างๆ อันเป็นผลจากการถูกเปิดเผยข้อมูลส่วนบุคคล /*! elementor – v3.11.0 – 13-02-2023 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px} ไทม์ไลน์การละเมิดข้อมูล กฎหมาย PDPA กำหนดแนวทางปฏิบัติอย่างไร /*! elementor – v3.11.0 – 13-02-2023 */

‘ข้อมูลประวัติอาชญากรรม’ ดำเนินการไม่ถูกต้อง ‘นายจ้างอาจติดคุก’ เพราะแม้การตรวจสอบประวัติอาชญากรรมนับเป็นหนึ่งในขั้นตอนการ ‘คัดกรอง’ ก่อนการจ้างงาน ทั้งบางธุรกิจหรือสถานประกอบการยังกำหนดเป็นมาตรฐานการควบคุมที่สำคัญและเป็นชอบด้วยกฎหมาย เนื่องจากเป็นเหตุผลด้านความปลอดภัยของการให้บริการที่จำเป็นต้องมีมาตรการขั้นสูงในการคัดกรอง เช่น พนักงานรักษาความปลอดภัย พนักงานด้านการเงิน พนักงานที่ดูแลระบบสารสนเทศ แม่บ้าน ช่างซ่อมบำรุงในอาคาร พนักงานขับรถขนเงิน พนักงานขับรถสาธารณะ หรือพนักงานขับรถส่งอาหาร ฯลฯ แม้กฎหมายจะอนุญาตให้บางธุรกิจหรือบางสถานประกอบการมีสิทธิตรวจสอบข้อมูลประวัติอาชญากรรม หรือขอเอกสารการตรวจสอบข้อมูลประวัติอาชญากรรมของผู้สมัครงานได้ แต่ไม่ได้อนุญาตให้ดำเนินการตรวจสอบประวัติใครก็ได้โดยส่วนตัว เพราะอาจจะก่อให้เกิดการละเมิดสิทธิของบุคคลนั้น หรือทำให้เกิดความเกลียดชัง เสียชื่อเสียง ถูกเลือกปฏิบัติ ด้วยเหตุนี้ การที่นายจ้างจะตรวจสอบข้อมูลประวัติอาชญากรรมของผู้สมัครจะต้องดำเนินการโดยการควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย โดยในปัจจุบันเป็นบริการของกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ ซึ่งมีบริการประชาชนทั้งรูปแบบออฟไลน์และออนไลน์ โดยมี 2 วิธี คือ การตรวจสอบด้วยลายพิมพ์นิ้วมือ และการตรวจสอบด้วยชื่อและสกุล ซึ่งนายจ้างจะต้องมีเอกสารสำคัญที่ใช้ในการตรวจสอบ นั่นคือ เอกสารความยินยอมของเจ้าของข้อมูลส่วนบุคคล /*! elementor – v3.11.0 – 13-02-2023 */ .elementor-column .elementor-spacer-inner{height:var(–spacer-size)}.e-con{–container-widget-width:100%}.e-con-inner>.elementor-widget-spacer,.e-con>.elementor-widget-spacer{width:var(–container-widget-width,var(–spacer-size));–align-self:var(–container-widget-align-self,initial);–flex-shrink:0}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container,.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer,.e-con>.elementor-widget-spacer>.elementor-widget-container,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer{height:100%}.e-con-inner>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner,.e-con>.elementor-widget-spacer>.elementor-widget-container>.elementor-spacer>.elementor-spacer-inner{height:var(–container-widget-height,var(–spacer-size))} /*! elementor – v3.11.0 – 13-02-2023 */ .elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px} นายจ้างรู้ไว้! ขอเอกสารตรวจสอบประวัติอาชญากรรมอย่างไร ไม่ผิดกฎหมาย PDPA โดยหลักการ ‘ประวัติอาชญากรรม’ เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุว่า ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นโดยไม่ได้รับ ‘ความยินยอม’ โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล และต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด หมายความว่า หากนายจ้าง ‘จำเป็น’ ต้องขอตรวจสอบประวัติอาชญากรรม หรือขอเอกสารประวัติอาชญากรรมโดยผู้สมัครดำเนินการตรวจสอบด้วยตนเอง จะต้องได้รับความยินยอมจากเจ้าของขอมูลในการเก็บรวบรวม ใช้