Personal Data Protection Act in Thailand Blog

ผลกระทบของ “ร่างพรบ. คุ้มครองข้อมูลส่วนบุคคล” ที่องค์กรไม่ควรมองข้าม

28 มีนาคม 2562

โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย

เมื่อวันที่ 28 กุมภาพันธ์ที่ผ่านมา ที่ประชุมสภานิติบัญญัติแห่งชาติ หรือ สนช. มีมติเป็นเอกฉันท์ ให้ความเห็นชอบร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (ฉบับล่าสุด) ไปเป็นที่เรียบร้อยแล้ว โดยร่างพรบ. ฉบับดังกล่าว เมื่อประกาศใช้ในราชกิจจานุเบกษาแล้วให้มีผลบังคับใช้ทันที ยกเว้นเนื้อหาสำคัญที่ว่าด้วยการรวบรวม ใช้ เปิดเผย สิทธิการเข้าถึง การร้องเรียน การรับผิดทางแพ่ง และบทกำหนดโทษที่ให้เวลาหน่วยงานที่เกี่ยวข้องได้เตรียมความพร้อม จึงจะทำให้มีผลหลังจากวันประกาศใช้ร่างกฎหมายแล้ว 1 ปี^[1] แต่ก็ถือว่าเป็นระยะเวลาที่ไม่มากนัก เมื่อเปรียบเทียบกับสิ่งที่องค์กรต้องเตรียมตัว

สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น เป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ดิจิทัล ซึ่งส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น จึงทำให้ภาครัฐต้องมีการคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Security) ครอบคลุมข้อมูลส่วนบุคคลประเภทต่างๆ ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล์ หมายเลขบัตรประจำตัวประชาชน และ อื่นๆ นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และ ข้อมูลชีวภาพ โดยวันนี้ดิฉันขอหยิบยกสาระสำคัญและแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยฉบับนี้ ซึ่งมีการปรับเปลี่ยนไปจากร่างพรบ. คุ้มครองข้อมูลสวนบุคคล (ฉบับเก่า) เล็กน้อย ดังนี้ค่ะ

• การขอความยินยอม การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ โดยขอบเขตการบังคับใช้ในร่างพรบ. ฉบับล่าสุดยังได้ขยายขอบเขตครอบคลุมถึงกรณีผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่อยู่นอกประเทศโดยมี 1) การเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในประเทศ ไม่ว่าจะมีการชำระเงินหรือไม่ และ 2) การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในประเทศ
• วัตถุประสงค์ในการใช้ข้อมูล ต้องแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการเก็บ ใช้  หรือ เปิดเผย และต้องไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้ง
• การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษาในประเทศ หรือกรณีการโอนย้ายข้อมูลไปนอกประเทศ ประเทศปลายทางต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
• สิทธิของเจ้าของข้อมูล โดยเจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน มีสิทธิขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงมีสิทธิโต้แย้ง หรือ คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพิ่มเติมจากการมีสิทธิเข้าถึง และขอให้เปิดเผยถึงการได้มาซึ่งข้อมูล ขอให้ลบทำลาย หรือเปลี่ยนแปลงข้อมูลที่องค์กรต่างๆ นำไปใช้
• บทลงโทษมีทั้งโทษทางแพ่ง ทางอาญา และทางปกครอง หากมีการฝ่าฝืนมีโทษจำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ (สำหรับโทษทางอาญา) และโทษทางปกครองที่ถูกเพิ่มอัตราโทษจากเดิมที่ระหว่าง 100,000 ถึง 500,000 บาทเป็นระหว่าง 1 ถึง 5 ล้านบาท

นอกจากนี้ กฎหมายยังระบุถึงหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลไว้ชัดเจน โดยหากพูดให้เข้าใจง่ายก็คือ ผู้ควบคุมข้อมูล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดย มีหน้าที่ในการขอความยินยอม บันทึกและป้องกันไม่ให้มีการละเมิดข้อมูลส่วนบุคคลโดยมิชอบ และต้องมีมาตรการในการเก็บรักษาข้อมูลที่เหมาะสม เป็นต้น

ส่วนผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคล ที่ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งจัดทำบันทึก ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุุคล ยิ่งไปกว่านั้น กฎหมายยังกล่าวถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer) ที่องค์กรจะต้องแต่งตั้งขึ้นมา หากเข้ากรณีดังต่อไปนี้ 1) เป็นหน่วยงานรัฐ  2) เป็นหน่วยงานที่มีข้อมูลส่วนบุคคลจำนวนมาก หรือ 3) มีการใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหว

สิ่งที่ดิฉันกล่าวมาข้างต้นเป็นเพียงสาระสำคัญเบื้องต้นของร่างพรบ. ฉบับล่าสุดที่องค์กรและบุคคลทั่วไปต้องไปศึกษาอย่างละเอียด  โดยในส่วนของผู้บริหารและผู้ประกอบการ จะเห็นว่า ร่างพรบ. ฉบับนี้ที่กำลังจะถูกบังคับใช้เป็นกฎหมายต่อไป  จะส่งผลกระทบต่อทุกส่วนงานขององค์กรที่มีการนำข้อมูลส่วนบุคคลไปใช้ ไม่ว่าจะเป็น ฝ่ายทรัพยากรบุคคล ที่มีการเก็บรักษาข้อมูลของพนักงาน ทั้งข้อมูลการสมัครงาน ข้อมูลด้านสุขภาพ และสัญญาจ้างงาน ก็ต้องได้รับความยินยอม และมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลไว้ชัดเจนด้วยเช่นกัน

นอกจากนี้ ฝ่ายการตลาด ประชาสัมพันธ์และสื่อสารองค์กร ที่เก็บรักษาข้อมูลของลูกค้า หรือมีการส่งจดหมายข่าวสาร หรือกิจกรรมทางการตลาดไปให้ลูกค้า ต่อไปหากลูกค้าไม่ต้องการ หรือต้องการให้ลบข้อมูลของตน ก็ต้องปฏิบัติตาม ยิ่งไปกว่านี้ หน่วยงานส่วนอื่นๆ ภายในองค์กร ไม่ว่าจะเป็น ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายกฎหมาย ฝ่ายไอที หรือ ฝ่ายตรวจสอบภายใน ฯลฯ ก็มีบทบาทสำคัญในการขับเคลื่อนให้องค์กรสามารถปฏิบัติตามข้อกฎหมายได้อย่างถูกต้องและครบถ้วนด้วยเช่นกัน

อ่านมาถึงตรงนี้แล้ว คงจะพอเห็นภาพแล้วนะคะว่า ผลที่จะเกิดขึ้นตามมาภายหลังจากที่กฎหมายถูกบังคับใช้เป็นอย่างไร ดิฉันพูดได้เลยว่า เมื่อกฎหมายฉบับนี้ถูกบังคับใช้ ไม่มีธุรกิจใดที่จะไม่ได้รับผลกระทบ เพราะทุกองค์กรล้วนมีข้อมูลส่วนบุคคลของพนักงานและลูกค้าที่ท่านเก็บรักษาอยู่ ซึ่งในส่วนข้อมูลของลูกค้านั้น ยิ่งบริษัททำการขยายช่องทางออนไลน์ในการสื่อสารกับลูกค้าไม่ว่าจะในรูปแบบเว็บไซต์ หรือ แอปพลิเคชันมากขึ้นเท่าไหร่ ยิ่งทำให้บริษัทอาจต้องเผชิญกับความเสี่ยงในการเก็บข้อมูลของลูกค้ามาโดยที่รู้ตัว หรือไม่รู้ตัวอีกด้วย

แม้ว่าความซับซ้อนในการเตรียมพร้อมไปสู่การปฏิบัติตามกฎหมายใหม่นี้จะมีอยู่มาก แต่สิ่งที่ผู้บริหารและเจ้าของข้อมูลสามารถทำได้เลยนับตั้งแต่วันนี้คือ ทำความความเข้าใจในข้อกฎหมาย รวมถึงสิทธิและหน้าที่ของเราในฐานะต่างๆ ไม่ว่าจะเป็นเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนขององค์กร ต้องมีการทำงานร่วมกันจากทุกฝ่าย  รวมถึงมีการสื่อสารให้ลูกค้าและพนักงานได้รับทราบถึงผลกระทบที่อาจจะเกิดขึ้นด้วย ซึ่งแนวทางปฏิบัติตามกฎหมายจะมีประสิทธิภาพหรือไม่นั้น ความเข้าใจอย่างเดียวอาจไม่เพียงพอ ดังนั้น การมีที่ปรึกษาเข้าไปช่วยประเมินผลกระทบ วางกลยุทธ์ในการเตรียมความพร้อม และนำเทคโนโลยีเข้าไปช่วยในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพ น่าจะช่วยให้องค์กรสามารถรับมือกับข้อกฎหมายฉบับนี้ได้อย่างสัมฤทธิ์ผลมากยิ่งขึ้น

^[1] สนช.เสียงเอกฉันท์ ผ่านร่างกม. คุ้มครองข้อมูลส่วนบุคคล, กรุงเทพธุรกิจ