PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายใหม่ที่คลอดออกมาได้ไม่กี่ปี และเป็นเรื่องใหม่สำหรับสังคมไทย เนื่องจากรากเหง้าของกฎหมายฉบับนี้ถูกพัฒนามาจากวัฒนธรรมโลกตะวันตกที่ข้อมูลส่วนบุคคลอ่อนไหวถูกใช้ไปในทางละเมิด ก่อให้เกิดความเสียหาย และค่อย ๆ แพร่กระจายไปทั่วโลกจนถึงเอเชียและไทยในที่สุด ที่เริ่มมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลทยอยคลอดออกมากันตามลำดับ
ไม่ว่าคุณจะเพิ่งเคยได้ยิน หรือเริ่มศึกษากฎหมายตัวนี้มาได้สักพักและต้องการทำ Data Protection ให้กับองค์กรอาจรู้สึกมึนงง ว่ากฎหมายตัวนี้มันแสนจะซับซ้อนซ่อนเงื่อน เข้าใจยาก บางครั้งคิดว่าเข้าใจถูกแล้วกลายเป็นว่าเข้าใจคาดเคลื่อนไปอีก PDPA Thailand รวบรวม 7 เรื่องเล่าที่อาจทำให้คุณเข้าใจผิดเกี่ยวกับกฎหมาย PDPA มาเล่าสู่กันฟัง (พร้อมแถลงสิ่งที่เราเก็ตจากประสบการณ์ของเรา)
1. พ.ร.บ.ประกาศใช้แล้วจะโดนปรับหรือจับทันที
❌ ไม่จริง กฎหมายตัวนี้เป็นกฎหมายวินัย เป็นมาตรฐานสำหรับองค์กรให้ดำเนินการตามเอาไว้ หากไม่เกิดเหตุละเมิดใหญ่โตจนเกิดความเสียหายในวงกว้างจนเกิดการตรวจสอบ หรือมีผู้ร้องเรียนองค์กรนั้น ๆ ว่าไม่มีระบบการให้ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเมื่อร้องขอ หรือไม่ได้ Compliance ตามกฎหมายจนเกิดเคสฟ้องร้องกับทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อไต่สวนกันเรียบร้อยแล้วหากมีความผิดจึงจะโดนจับหรือปรับ ไม่ได้โดนโทษจากกฎหมายทันทีหลัง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ 1 มิ.ย. 65 อย่างที่หลาย ๆ คนตื่นตกใจ
อย่างไรก็ตาม การดำเนินกิจกรรมต่าง ๆ ให้สอดคล้องกับกฎหมาย PDPA เอาไว้ตั้งแต่แรกหลังประกาศใช้ย่อมดีกว่า กันไว้ดีกว่าแก้แน่นอน
2. ห้ามเก็บ ใช้ เปิดเผยข้อมูล
❌ ไม่จริง PDPA ไม่ได้ห้ามเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือกระทำแล้วมีความผิด เพียงแต่การจะทำได้ ต้องมี ”เหตุผล” หรือเรียกเป็นภาษากฎหมายว่า “ฐานทางกฎหมาย” ที่เหมาะสมและจำเป็น และก่อนหรือระหว่างการเก็บรวบรวมข้อมูลก็ต้องมีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพวกเขาเหล่านั้นด้วย
3. การขอความยินยอมคือทางรอดหนึ่งเดียว
❌ ไม่จริง หลายคนที่ศึกษากฎหมายตัวนี้ใหม่ ๆ อาจจะเคยได้ยินเรื่องการขอความยินยอมเป็นอันดับแรก ว่าขอความยินยอมแล้วจะสามารถเก็บรวบรวมข้อมูลเอาไปใช้งานได้ อันที่จริงเหตุผลในการเอาข้อมูลส่วนบุคคลไปใช้งานมีอยู่ด้วยกันถึง 7 ฐานการประมวลผลข้อมูลส่วนบุคคล ซึ่งการขอความยินยอมเป็นทางเลือกที่ไม่มั่นคงมากที่สุด เพราะเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอถอนความยินยอมได้ทุกเมื่อ โดยการขอความยินยอมจำเป็นอย่างยิ่งกับการเอาข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์ทางการตลาด และการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทพิเศษ (ข้อมูลอ่อนไหว) แต่ถ้าหากองค์กรสามารถประมวลข้อมูลส่วนบุคคลได้ด้วยเห็นผลในข้ออื่น ๆ แนะนำว่าควรใช้เหตุผลนั้นดีกว่านะครับ
4. พนักงานขององค์กรแต่ละคนเป็นผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลแตกต่างกัน
❌ ไม่จริง เพราะกฎหมายตัวนี้มองถึงบุคคล/นิติบุคคลที่สามารถตัดสินใจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเองได้ = ผู้ควบคุวมข้อมูลส่วนบุคคล (Data Controller) หรือประมวลผลตามที่ได้รับมอบหมาย = ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) พนักงานในองค์กรที่มีฐานะเป็น Data Controller / Data Processor ไม่ว่าใครก็ถือว่าเป็นส่วนหนึ่งขององค์กรนั้น ถ้าพนักงานในองค์กรละเมิดข้อมูลส่วนบุคคลที่อยู่ในความดูแลขององค์กร ก็เท่ากับว่าทั้งองค์กรละเมิดข้อมูลส่วนบุคคลนั้นด้วย เรื่องการเอาผิดพนักงานรายบุคคลนั้นเป็นเรื่องการละเมิดต่อกฎระเบียบภายในองค์กร ดังนั้น การปรับระเบียบข้อบังคับ สัญญาพนักงาน และการอบรมพนักงานเรื่อง PDPA จึงกลายเป็นสิ่งสำคัญ
5. การถ่ายรูป/วิดีโอติดคนอื่นทำไม่ได้
❌ ไม่จริง กับประเด็นที่เป็นกระแสร้อนแรงข้อนี้ อันที่จริงเป็นเรื่องของความเป็นส่วนตัว (Privacy) มากกว่าการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) เราสามารถถ่ายรูป/วิดีโอติดคนอื่นที่ “เต็มใจ” ได้อยู่แล้ว การอยู่ในที่สาธารณะและถ่ายภาพหรือวิดีโอติดคนอื่นสามารถกระทำได้ โดยดูที่เจตนาของการกระทำครับ โดยหากเห็นบุคคลห่าง ๆ ไม่ได้โฟกัสหรือตั้งใจถ่ายไปบูลลี่เขาให้เกิดความเสียหายก็ไม่เป็นไร หรือหากเห็นได้ชัดเจนก็ช่วยเบลอหน้าเขานิดหนึ่ง ระมัดระวังในการลงภาพและวิดีโอมากขึ้น หรือถ้าไม่ชัวร์ก็ขออนุญาตเขาสักนิดก็ไม่เป็นปัญหาแล้วครับ
ส่วนในแง่ของเชิงองค์กร เช่นมีการจัดงานอีเวนท์และมีการถ่ายภาพ/วิดีโอบรรยากาศในงาน หนทางแก้คือแจ้งให้เขารับทราบว่าในงานจะมีการบันทึกภาพและวิดีโอ ระหว่างการลงทะเบียนตามช่องทางต่าง ๆ ไม่ว่าจะเป็นหน้างานหรือออนไลน์ล่วงหน้า พร้อมแจ้งเตือนการถ่ายภาพ/วิดีโอไว้หน้างาน หากเขาเต็มใจจะลงทะเบียนและเลือกก้าวเข้ามาในงานอีเวนท์ ย่อมหมายความว่าเขายอมรับ Condition นั้นนั่นเอง และทางกฎหมายอาจมองได้อีกว่าเป็นประโยชน์อันชอบธรรมหนึ่งของผู้จัดงาน อย่างไรก็ตาม ตากล้องของคุณยังคงต้องมีความระแวดระวังในการถ่าย และเคารพในสิทธิของเจ้าของข้อมูลส่วนบุคคลเหมือนเดิม
6. เจ้าของข้อมูลส่วนบุคคลมีสิทธิทำอะไรก็ได้กับข้อมูลของตัวเอง
❌ ไม่จริง เจ้าของข้อมูลส่วนบุคคลมีสิทธิในข้อมูลส่วนบุคคลของตนเองตามกฎหมาย PDPA คือ ขอเข้าถึง แก้ไข โอนย้าย ลบทำลาย ฯลฯ แต่ไม่ได้หมายความว่าสามารถใช้สิทธิทุกอย่างได้ในทุกกรณี ต้องดูว่าไม่ติดเงื่อนไขตามที่ระบุไว้ในกฎหมาย เช่นติดอยู่ในสัญญาแลกเปลี่ยน หรือข้อมูลส่วนบุคคลนั้นกำลังถูกใช้เพื่อการก่อตั้งสิทธิตามกฎหมายของผู้ควบคุมข้อมูลอยู่ เป็นต้น
7. PDPA เกิดมาผลักภาระให้ธุรกิจ/ผู้ประกอบการ
❌ ไม่จริง คนทำงานองค์กรคงรู้สึก PDPA แสนจะเป็นภาระ แต่เมื่อลองมองในมุมกลับ กฎหมายฉบับนี้เป็นกฎหมายที่ช่วยพัฒนากระบวนการทำงานขององค์กรด้านการจัดการข้อมูล (ส่วนบุคคล) ให้มีประสิทธิภาพสูงยิ่งขึ้น แม้จะต้องลงทุนด้านกำลังทรัพย์และกำลังคน ก็ถือว่าเป็นการลงทุนที่คุ้มค่ารับการเปลี่ยนแปลงของโลกดิจิทัลที่นับวันข้อมูลจะมีมูลค่ามาก และมีความยุ่งเหยิงซับซ้อนได้อีกหลายเท่า การมีความตระหนักด้านข้อมูลส่วนบุคคล กระบวนการทำงานที่ส่งเสริม และการป้องกันด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ที่แข็งแรง จะทำให้องค์กรโตได้อย่างมั่นคง มีความสามารถในการแข่งขันในระดับนานาชาติ และได้รับความไว้วางใจจากผู้เกี่ยวข้อง ไม่ว่าจะเป็นผู้ถือหุ้น ผู้มาติดต่อ คู่ค้า และลูกค้า
อ่านแล้วเป็นอย่างไรกันบ้าง PDPA เข้าใจยากแต่ก็ไม่ยากเกินเข้าใจ สำหรับผู้ที่ยังไม่เข้าใจกฎหมายฉบับนี้ในเชิงลึกพอที่จะนำไปปรับประยุกต์ใช้ในการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร หรือไม่มีเวลาลงมาศึกษาเรื่องนี้ด้วยตนเองอย่างเพียงพอ แก้ปัญหาได้ด้วยบริการจาก PDPA Thailand คลิก!
