หลังจากที่มีการปรับแก้กันมาหลายครั้งกับการร่างพระราชบัญญัติที่เกี่ยวข้องกับการเก็บข้อมูลผู้บริโภคทางช่องทางดิจิทัล ในที่สุด เมื่อวันที่ 27 พฤษภาคม 2562 ก็ได้มีประกาศอย่างเป็นทางการบนเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) หรือ PDPA (Thailand’s Personal Data Protection Act B.E. 2562 (2019)) จะมีผลคับใช้วันที่ 28 พฤษภาคม 2563 ซึ่งวันนี้ผมจะมาสรุปสาระสำคัญทั้งหมดให้ได้อ่านกัน พร้อมกับจะไปดูกันว่าแนวทางในการปฏิบัติของแบรนด์และธุรกิจต่าง ๆ จะต้องมีการเตรียมตัวในเรื่องใดบ้าง
1. มีเวลาให้เตรียมตัว 1 ปี
ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อมและเสร็จภายใน 1 ปี นับจากวันประกาศ (27 พฤษภาคม 2562) นั่นเท่ากับว่าจะมีผลจริง ๆ ในวันที่ 28 พฤษภาคม 2563
2. “ข้อมูลส่วนบุคคล” หมายถึงอะไรบ้าง
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
3. ใครคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” ?
ผู้ควบคุมข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังนั้น แบรนด์หรือธุรกิจที่มีระบบสมาชิกหรือการลงทะเบียน ไม่ว่าจะเป็นเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ไม่ว่าจะออนไลน์หรือออฟไลน์ ก็ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลเช่นกัน
4. “ผู้ประมวลผลข้อมูล” ไม่ใช่ “ผู้ควบคุมข้อมูล”
ผู้ประมวลผลข้อมูล คือใคร? ผู้ประมวลผลข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล แต่ไม่ได้เป็นผู้ควบคุมข้อมูลเอง ดังนั้น Agency และผู้ให้บริการ Hosting Server ที่เก็บข้อมูล ถือเป็นผู้ประมวลผล ไม่ใช่ ผู้ควบคุม
5. ข้อมูลทุกอย่าง ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
ผู้ควบคุมข้อมูลส่วนบุคคล ห้ามเก็บ ใช้ หรือเปิดเผย โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
6. ชี้แจงให้ชัดเจนและเข้าใจง่ายว่าจะเก็บและนำข้อมูลส่วนบุคคลไปทำอะไร
ในการขอความยินยอมจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าว และข้อความการขอความยินยอมนั้น ต้องแยกออกจากข้อความอื่นให้ชัดเจน สามารถเข้าถึงง่ายและเขียนด้วยภาษาที่เข้าใจง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด
7. เจ้าของข้อมูลสามารถขอดูและขอสำเนาข้อมูลดังกล่าวได้
หากเจ้าของข้อมูลต้องการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ผู้ควบคุมข้อมูลต้องปฎิบัติตามคำร้องขอดังกล่าวได้
8. เจ้าของข้อมูลสามารถขอยกเลิกความยินยอมได้
หากเจ้าของข้อมูลต้องการยกเลิกการยินยอม สามารถแจ้งให้ผู้ควบคุมข้อมูลปฎิบัติตามได้เช่นกัน
9. การละเมิดสิทธิ มีโทษทั้งจำ ทั้งปรับ
หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะมีโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และมาตรา 79)
สิ่งที่แบรนด์และธุรกิจควรเตรียมตัว
จากที่ได้ทราบสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปบ้างแล้ว อีกสิ่งหนึ่งที่ต้องมีการปรับตัวตามกันไป นั่นก็คือ แบรนด์และธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลของผู้บริโภค ไม่ว่าจะเป็นทางเว็บไซต์ Application สื่อ Social Media หรือสื่อดิจิทัลอื่น ๆ ควรมีการเตรียมตัวและเริ่มทำ มีดังนี้
- ควรมีหน้าในเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ที่จะต้องระบุวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัว ในภาษาที่เข้าใจง่ายและตรงไปตรงมา สำหรับคนที่มีเว็บไซต์อยู่แล้วอาจจะคุ้นเคยกับหน้า ‘นโยบายความเป็นส่วนตัว’ (Privacy Policy) ที่จะมีเนื้อหาบางส่วนใกล้เคียงกัน สามารถนำปรับมาใช้ได้แต่ต้องใช้ข้อความที่สั้น ๆ เข้าใจง่าย ๆ มากกว่า
- ทุกครั้งที่ให้ผู้ใช้งานลงทะเบียนหรือกรอกข้อมูลส่วนบุคคล ควรมีตัวเลือกแบบ Checkbox ให้ผู้ใช้งานกดเลือกเพื่อยืนยันความยินยอมจากเจ้าของข้อมูล และมี link เพื่อกดเข้าดูรายละเอียดหน้าวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัวนั้นด้วย
- ควรมีช่องทางติดต่อและมีหน้ารายละเอียดที่ระบุว่า หากผู้ใช้งานต้องการที่จะติดต่อเพื่อขอตรวจสอบหรือขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ต้องติดต่อหาแบรนด์และธุรกิจอย่างไร โดยอาจจะเพิ่มปุ่ม ‘ติดต่อเพื่อขอตรวจสอบข้อมูลส่วนบุคคล’ ใน Footer หรือหน้า Contact Us ในเว็บไซต์หรือ Application นั้นด้วย
- ควรมีช่องทางให้ผู้ใช้งานเจ้าของข้อมูลแจ้งขอยกเลิกความยินยอมที่เคยให้ไปและลบข้อมูลส่วนบุคคลที่ตัวเองเป็นเจ้าของออกจากระบบการจัดเก็บของแบรนด์และธุรกิจได้ โดยอาจจะเป็น link ‘ยกเลิกความยินยอมจัดเก็บและใช้งานข้อมูลส่วนบุคคล’ เพื่อเข้าหน้าเว็บที่มีรายละเอียดวิธีการแจ้งความต้องการดังกล่าว
ความเห็นเพิ่มเติมจากผู้เขียน
ผมคิดว่าการแสดงความรับผิดชอบและความโปร่งใสในการรักษาสิทธิ์ข้อมูลส่วนบุคคลของผู้บริโภค ถือว่าเป็นการสร้างแบรนด์ที่ดีอีกแบบหนึ่งด้วยครับ เพราะจากการตื่นตัวของผู้บริโภคในยุคนี้ที่ต้องการจะรักษาสิทธิ์ของตัวเอง จึงน่าจะเป็นผลดีที่สุดสำหรับทุกแบรนด์ที่จะปรับสื่อดิจิตอลของตัวเองเพื่อดูแลและจัดการข้อมูลส่วนบุคคลของผู้บริโภคอย่างเหมาะสมและปฎิบ้ติกับข้อมูลเหล่านี้อย่างเป็นธรรมกับผู้บริโภค โดยเฉพาะเรื่องการนำข้อมูลดังกล่าวไปเปิดเผยกับผู้อื่นที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม
จริง ๆ แล้วแม้ไม่มี พ.ร.บ. ฉบับนี้ ทุกแบรนด์ก็ควรต้องใส่ใจและจริงจังกับเรื่องนี้เพื่อแสดงให้ผู้บริโภคเห็นว่า ข้อมูลส่วนบุคคลที่พวกเขายินยอมมอบให้มานั้น จะได้รับการเอาใจใส่ดูแลอย่างดีที่สุด แม้วันหนึ่งจะไม่ได้เป็นลูกค้าของแบรนด์แล้วก็ตาม
บทความโดย: คุณณรงค์ยศ มหิทธิวาณิชชา
Chief Digital Officer & Co-Founder at The Flight 19 Agency
บทความที่คุณอาจสนใจ