ธุรกิจเตรียมปรับตัว! 10 ข้อควรรู้ ก่อนพ.ร.บ.ข้อมูลส่วนบุคคลฯ เริ่มใช้บังคับ

  • 57.6K views
  • กรกฎาคม 18, 2019
Total
0
Shares
0
0
0

 

ในยุคสมัยที่การติดต่อสื่อสารเกิดขึ้นบนโลกดิจิทัลซึ่งเทคโนโลยีช่วยให้การเก็บข้อมูลและบันทึกข้อมูลการใช้งานทำได้ง่ายดาย และข้อมูลการใช้งานของผู้ใช้เมื่อเก็บรวบรวมอย่างดีจะมีมูลค่ามหาศาล ผู้ประกอบการสามารถนำข้อมูลพฤติกรรมของผู้บริโภคมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการได้ตรงกับกลุ่มเป้าหมาย ซึ่งจะช่วยพัฒนาธุรกิจได้อย่างมาก แต่ในอีกทางหนึ่งข้อมูลชื่อ ที่อยู่ หมายเลขโทรศัพท์ พฤติกรรมการติดต่อสื่อสาร ที่สามารถระบุถึงตัวเจ้าของข้อมูลได้ ถือเป็น "ข้อมูลส่วนบุคคล" และเจ้าของข้อมูลเท่านั้นที่มีสิทธิเข้าถึงและนำข้อมูลไปใช้งาน ผู้ประกอบการที่มีความสามารถทางเทคโนโลยีไม่เก็บข้อมูลของผู้ใช้บริการและนำไปวิเคราะห์ได้โดยพลการ
27 พฤษภาคม 2562 ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ซึ่งผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) ในช่วง "โค้งสุดท้าย" ก่อนที่สภาแต่งตั้งแห่งนี้จะหมดอายุลง ซึ่งกฎหมายฉบับที่ผ่านในยุคของรัฐบาลทหารเขียนข้อยกเว้นไว้กว้างขวาง โดยเฉพาะยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานความมั่นคง และแทบจะยกเว้นให้กิจการของรัฐไม่ต้องทำตามกฎหมายนี้ ดังนั้นการบังคับใช้กฎหมายฉบับนี้จึงมุ่งเน้นไปที่ผู้ประกอบการภาคธุรกิจเป็นหลัก
สำหรับผู้ประกอบการที่เคยเก็บข้อมูลของลูกค้า ลูกจ้าง ผู้มาติดต่อ หรือเคยนำข้อมูลมาเพื่อวิเคราะห์และพัฒนาการขายหรือการให้บริการจนเป็นส่วนหนึ่งของการทำธุรกิจ ผู้ประกอบการเหล่านี้กำลังจะต้องรีบปรับตัวให้ทันการบังคับใช้กฎหมายฉบับใหม่ แต่เนื่องจากกฎหมายฉบับนี้ยังเป็นเรื่องใหม่ จึงต้องให้เวลาภาครัฐในการสร้างองค์กรและกลไกกำกับดูแลขึ้นมาก่อนยังไม่เริ่มใช้บังคับทันที และภาคธุรกิจยังพอมีเวลาปรับตัว วางระบบการเก็บข้อมูลและการใช้ข้อมูลเสียใหม่ เพื่อให้ไม่ถูกลงโทษตามกฎหมาย และเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างมีมาตรฐาน
หลักการที่สำคัญตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ ที่ผู้ประกอบการควรทำความเข้าใจเพื่อปรับตัวให้ทัน ตัวอย่างเช่น 
1. การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ
หลักการทั่วไปนี้เขียนไว้ชัดเจนใน พ.ร.บ.ข้อมูลส่วนบุคคลฯ มาตรา 19 ที่ว่า "ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่บทบัญญัติ แห่งพระราชบัญญัติน้ีหรือกฎหมายอื่นบัญญัติให้กระทำได้"
การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
สำหรับข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ เช่น ข้อมูลเรื่องเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ มาตรา 26 กำหนดว่า ต้องได้รับ "ความยินยอมโดยชัดแจ้ง" จากเจ้าของข้อมูล การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความยินยอม มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
2. การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้
มาตรา 19 วรรคสอง กำหนดว่า "การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้"
ในการขอความยินยอม ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล และเพื่อไม่ให้ผู้ประกอบการแอบวางข้อความขอความยินยอมไว้เล็กๆ ไม่ให้เจ้าของข้อมูลสังเกตเห็น มาตรา 19 วรรคสาม จึงกำหนดว่า การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจออกประกาศกำหนดแบบของเอกสารขอความยินยอม ผู้ประกอบการจึงต้องติดตามประกาศที่จะออกตามมาอย่างใกล้ชิด
นอกจากนี้ ในการขอความยินยอมผู้ประกอบการต้องให้อิสระในการตัดสินใจแก่เจ้าของข้อมูล ต้องไม่ถือเอาความยินยอมในการเก็บและใช้ข้อมูลเป็นเงื่อนไขในการเข้าทำสัญญาหรือการให้บริการต่างๆ โดยเจ้าของข้อมูลที่ให้ความยินยอมไปแล้วหากเปลี่ยนใจก็มีสิทธิจะถอนความยินยอมเมื่อใดก็ได้ ผู้ประกอบการต้องจัดช่องทางไว้ให้ถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม หากการขอความยินยอมทำไม่ถูกต้องตามที่กฎหมายเขียนไว้ ก็จะไม่ทำให้ผู้ประกอบการมีสิทธิเก็บข้อมูลหรือนำข้อมูลไปใช้ได้
การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
3. การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล
มาตรา 23 กำหนดว่า แม้จะได้รับความยินยอมให้เก็บข้อมูลแล้วก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดที่เกี่ยวข้อง ได้แก่ วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ข้อมูลที่จะเก็บรวบรวมและระยะเวลาที่คาดหมายได้ว่า จะเก็บข้อมูลไว้ บุคคลหรือหน่วยงานที่ข้อมูลอาจจะถูกเปิดเผย ข้อมูลของผู้ประกอบการและตัวแทนที่เป็นผู้เก็บข้อมูล สถานที่ติดต่อ และวิธีการติดต่อ   
นอกจากนี้ยังต้องแจ้งสิทธิของเจ้าของข้อมูลให้ทราบด้วย เช่น สิทธิเข้าถึงและขอสำเนาข้อมูล สิทธิคัดค้านการเก็บข้อมูลและการใช้ข้อมูล สิทธิขอให้ลบหรือทำลายข้อมูล สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง สิทธิร้องเรียนว่า มีการละเมิดข้อมูลส่วนบุคคลตามกฎหมายนี้ ฯลฯ 
การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง 
แม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม แต่มาตรา 25 กำหนดว่า การเก็บข้อมูลต้องเก็บจากเจ้าของข้อมูลเท่านั้น กล่าวคือ ต้องให้เจ้าของข้อมูลเป็นผู้กรอกข้อมูลและมอบให้โดยตรง ผู้ประกอบการไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น ไม่สามารถค้นหาข้อมูลจากอินเทอร์เน็ตและบันทึกไว้เอง ไม่สามารถซื้อข้อมูลต่อมาจากผู้ประกอบการรายอื่น แม้จะได้รับความยินยอมแล้วก็ตาม
อย่างไรก็ตาม หลักการนี้มีข้อยกเว้นอยู่มากมาย ผู้ประกอบการยังสามารถเก็บข้อมูลจากแหล่งอื่นได้ ถ้าหากเมื่อเก็บข้อมูลแล้วได้แจ้งให้เจ้าของข้อมูลทราบพร้อมกับแจ้งสิทธิต่อเจ้าของข้อมูลโดยไม่ชักช้า หรือภายใน 30 วัน และได้รับความยินยอมจากเจ้าของข้อมูลให้เก็บข้อมูลจากแหล่งอื่นได้ แต่ผู้ประกอบการอาจจะไม่ต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมใหม่เลย หากเป็นกรณีที่เจ้าของข้อมูลทราบอยู่แล้ว หรือต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด หรือกฎหมายกำหนดให้รายละเอียดบางประการเป็นความลับ
การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
5. ธุรกิจใหญ่ ต้องมี "เจ้าหน้าที่คุ้มครองข้อมูล" ของตัวเอง
กรณีที่ผู้เก็บข้อมูลเป็นหน่วยงานของรัฐ หรือเป็นผู้ประกอบการที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่กิจกรรมหลักเป็นการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้นๆ หรือเป็นผู้รับจ้างให้บริการ หรือ outsource ก็ได้ 
โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินการของผู้ประกอบการให้เป็นไปโดยถูกต้องตามกฎหมายนี้ ผู้ประกอบการจะต้องสนับสนุนการทำงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลรายงานปัญหาไปยังผู้บริหารสูงสุดได้ และต้องไม่ไล่เจ้าหน้าที่ออกจากงานหรือเลิกจ้างเพราะการทำหน้าที่คุ้มครองข้อมูลตามกฎหมายนี้ ขณะเดียวกันเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลของตัวเองและวิธีการติดต่อให้กับเจ้าของข้อมูลและให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ 
ผู้ประกอบการที่ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มาตรา 85 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
6. การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ
ตามมาตรา 71 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาเพื่อพิจารณาเรื่องร้องเรียนและตรวจสอบการกระทำของผู้ประกอบการ เมื่อเจ้าของข้อมูลเห็นว่า มีการเก็บข้อมูล ใช้ข้อมูล หรือเปิดเผยข้อมูลของตัวเองโดยปฏิบัติไม่ถูกต้องตามกฎหมายนี้ เช่น ไม่ได้ขอความยินยอมก่อน หรือไม่ได้แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ก็สามารถร้องเรียนไปยังคณะกรรมการผู้เชี่ยวชาญได้
หากคณะกรรมการผู้เชี่ยวชาญพิจารณาแล้วเห็นว่า มีการปฏิบัติที่ไม่ถูกต้องจริง อาจให้มีการไกล่เกลี่ยกัน และมีอำนาจสั่งให้ผู้ประกอบการแก้ไขให้ถูกต้อง หรือสั่งห้ามกระทำการที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลได้ มาตรา 90 ให้อำนาจกับคณะกรรมการผู้เชี่ยวชาญสามารถสั่งปรับได้ โดยคำนึงถึงความร้ายแรงของการกระทำความผิด และขนาดของกิจการ หรืออาจจะสั่งเพียงแค่ให้แก้ไขและตักเตือนก่อนก็ได้
ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท
7. ข้อมูลคนตาย กฎหมายไม่คุ้มครอง
ตามาตรา 6 กำหนดนิยามของ "ข้อมูลส่วนบุคคล" ไว้ว่า "ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ" ดังนั้น ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว จึงไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลของผู้ที่เสียชีวิตแล้วสามารถทำได้โดยไม่ต้องขอความยินยมจากทายาทก่อน
8. บริษัทต่างชาติก็ไม่รอด! คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าบริษัทตั้งอยู่ที่ใด
โดยหลักการทั่วไป กฎหมายของไทยที่ประกาศใช้ออกมาจะมีผลใช้บังคับเฉพาะกับการกระทำที่เกิดขึ้นในประเทศไทยเท่านั้น แต่ด้วยโลกยุคปัจจุบันการติดต่อสื่อสาร การส่งข้อมูล การเก็บข้อมูล และการใช้ข้อมูล เกิดขึ้นข้ามพรมแดนตลอดเวลา กฎหมายนี้จึงเขียนขอบเขตอำนาจการบังคับใช้ไว้กว้างขึ้นเป็นพิเศษ ตามมาตรา 5 พ.ร.บ.ข้อมูลส่วนบุคคลฯ จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่า การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล จะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม
และพ.ร.บ.ข้อมูลส่วนบุคคลฯ ยังใช้บังคับกับ การเสนอขายสินค้าหรือบริการให้แก่คนที่อยู่ในประเทศไทย หรือการเฝ้าติดตามพฤติกรรมของคนที่อยู่ในประเทศไทยด้วย ไม่ว่า ผู้ประกอบการที่เก็บข้อมูล หรือใช้ข้อมูล หรือเปิดเผยข้อมูลจะอยู่ในประเทศหรือต่างประเทศก็ตาม
9. ฝ่าฝืนกฎหมายนี้ อาจโดน "ค่าเสียหายเชิงลงโทษ" จ่ายสองเท่า
มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืนพ.ร.บ.ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่ 
กรณีที่ศาลตัดสินให้ผู้ประกอบการต้องจ่ายค่าเสียหายแก่เจ้าของข้อมูล ตามมาตรา 78 ศาลมีอำนาจสั่งให้ผู้ประกอบการจ่าย "ค่าเสียหายเชิงลงโทษ" เพิ่มขึ้นจากจำนวนค่าเสียหายที่แท้จริงได้ตามที่ศาลกำหนด แต่ไม่เกินสองเท่าของค่าเสียหายที่แท้จริง ค่าเสียหายเชิงลงโทษในที่นี้เป็นเงินที่ต้องจ่ายเพิ่มจากความเสียที่เกิดขึ้นจริง ซึ่งเป็นมาตรการเพื่อ "ปราม" ไม่ให้ผู้ประกอบการกล้ากระทำความผิดอีก โดยศาลอาจกำหนดให้จ่ายค่าเสียหายโดยคำนึงถึงความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ประกอบการได้รับจากข้อมูลส่วนบุคคล สถานะทางการเงินของผู้ประกอบการ ฯลฯ
10. ยังมีเวลาเตรียมตัว เริ่มบังคับใช้ พ.ค.63
สำหรับผู้ประกอบการที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลยังพอมีเวลาให้เตรียมตัวกับความเปลี่ยนแปลงตามกฎหมายนี้ และวางระบบขององค์กรให้พร้อมสำหรับการทำตามเงื่อนไขใหม่ๆ ทั้งตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ และตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่อาจจะตามมา เพราะมาตรา 2 กำหนดให้ บทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและโทษของผู้ฝ่าฝืนเริ่มมีผลบังคับใช้เมื่อพ้น 1 ปี นับตั้งแต่วันที่ประกาศในราชกิจจานุเบกษา หรือมีผลบังคับใช้วันที่ 28 พฤษภาคม 2563
เมื่อกฎหมายนี้ประกาศใช้ ส่วนที่มีผลบังคับใช้แล้วมีเพียงแค่ หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และบทเฉพาะกาล เพื่อให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เริ่มดำเนินกระบวนการเพื่อสรรหาและแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 90 วัน และให้จัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้แล้วเสร็จภายใน 1 ปี 
Total
0
Shares
Share 0
Tweet 0
Share 0
Related Tags