PDPA คืออะไร?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า PDPA (Personal Data Protection Act) นี้ ถูกจัดทำขึ้นโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ประเทศไทย โดยครอบคลุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลระดับสากล 2 ฉบับ ได้แก่ ASEAN Framework on Personal Data Protection (2559) และ General Data Protection Regulation หรือ GDPR (2559) ทำหน้าที่ปกป้องสิทธิพื้นฐานในด้านความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่เป็นคนไทย โดยจะมีผลบังคับใช้ตามกฎหมายในวันที่ 28 พฤษภาคม 2563
กฎหมายฉบับนี้จะมีผลบังคับใช้กับภาคเอกชน ทั้งบุคคลธรรมดา นิติบุคคล และภาครัฐ ที่่ได้รับข้อมูลมาทั้งทางตรงและทางอ้อม โดยแบ่งกลุ่มบังคับใช้ออกเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) โดยมีเป้าหมายคุ้มครองข้อมูลส่วนบุคคลในโลกดิจิตอลอย่างเพียงพอที่จะรักษาความปลอดภัย ป้องกันการละเมิดสิทธิส่วนบุคคล หรือความเสียหายใดใดที่อาจเกิดขึ้นต่อตัวเจ้าของข้อมูล (Data Subject) นั้นๆ
บทลงโทษของการละเมิดกฎหมายข้อมูลส่วนบุคคลในประเทศไทยจัดว่าร้ายแรงกว่ามาก เมื่อเทียบกับ GDPR หรือ PDPA ของประเทศเพื่อนบ้านของเรา เพราะไม่มีแค่โทษทางแพ่งเป็นการปรับเพียงอย่างเดียว แต่มีโทษจำคุกด้วย ซึ่งผู้รับโทษจะเป็นกรรมการบริษัทนั่นเอง
อะไรบ้างที่เรียกว่า “ข้อมูลส่วนบุคคล”?
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใดๆก็ตาม ที่สามารถระบุกลับไปถึงตัวตนของเจ้าของข้อมูลได้ ไม่ว่าทางตรงหรือทางอ้อม (สำหรับประเทศไทยจะครอบคลุมเฉพาะข้อมูลของผู้ที่ยังมีชีวิตอยู่ตามกฎหมายเท่านั้น) ทั้งที่อยู่ในรูปแบบ Online หรือ Offline โดยข้อมูลต่างๆแบ่งออกได้ 3 กลุ่ม ดังนี้
1. ข้อมูลที่ทำให้รู้ตัวเจ้าของข้อมูลอย่างชัดเจน เช่น ชื่อ-นามสกุล ชื่อเล่น ลายนิ้วมือ ภาพถ่าย หรือเลขที่จากเอกสารที่ออกโดยรัฐ และเอกชนต่างๆ เช่น เลขที่บัตรประชาชน เลขบัตรเครดิต ที่อยู่ เบอร์โทรศัพท์มือถือ เลขบัญชีธนาคาร ทะเบียนรถ โฉนดที่ดิน
2. ข้อมูลที่ได้จากการติดตามพฤติกรรม หรือกิจกรรมการใช้งาน เช่น ประวัติการทำงาน Log file ต่างๆ ข้อมูลจากการใช้งานอุปกรณ์ เช่น IP Address, Cookie ID, MAC Address
3. เกร็ดของข้อมูลที่เมื่อนำมารวมกันแล้วอาจทำให้ระบุตัวเจ้าของข้อมูลได้ เช่น โลเกชั่นจับคู่กับเวลาที่เข้าใช้งาน รีวิวสินค้าจับคู่กับยูสเซอร์เนม เป็นต้น
อะไรบ้างที่ไม่ถือเป็น “ข้อมูลส่วนบุคคล” หรือได้รับการยกเว้นไม่จำเป็นต้องดำเนินการตามแนวปฏิบัติใหม่?
ขอยกเป็นต้วอย่างคร่าวๆดังนี้
1. เลขทะเบียนบริษัท
2. ข้อมูลสำหรับการติดต่อทางธุรกิจ เช่น เบอร์โทรศัพท์ ที่อยู่สำนักงาน อีเมลบริษัท
3. ข้อมูลที่หน่วยงาน องค์กร ทั้งภาครัฐและเอกชนรวบรวมมาเพื่อประโยชน์สาธารณะ เพื่อการบังคับใช้อำนาจรัฐ หรือได้รับมอบหมายอำนาจจากเจ้าของข้อมูล
4. ข้อมูลนิรนามที่ถูกทำให้ไม่สามารถระบุตัวตนได้แล้ว เช่น ข้อมูลสรุปบนแดชบอร์ดต่างๆ
5. ข้อมูลผู้เสียชีวิต
ความแตกต่างระหว่าง ผู้ควบคุมข้อมูล vs. ผู้ประมวลผลข้อมูล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ ผู้ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคล หรือก็คือ ผู้ประกอบการที่มีหน้าที่ตัดสินใจที่ใช้งานบนระบบ หรือแพลตฟอร์มต่างๆ
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ ผู้ทำหน้าที่เก็บ รวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุม ในที่นี้จะหมายถึงผู้ให้บริการระบบ หรือแพลตฟอร์มต่างๆ เช่น บริษัท บิลค์ วัน กรุ๊ป จำกัด ผู้พัฒนาแพลตฟอร์ม เป็นต้น
ดังนั้นนี่จึงกฎหมายที่ส่งผลต่อผู้ประกอบการโดยตรง เพื่อให้ผู้ประกอบต้องจัดให้มีนโยบายรักษาความปลอดภัย มีการขอความยินยอมจากเจ้าของข้อมูล และแสดงให้เจ้าของข้อมูลเห็น และรับทราบถึงความเสี่ยงต่างๆที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคลของตัวเอง
จุดยืนของบิลค์ วัน กรุ๊ปในการคุ้มครองข้อมูลส่วนบุคคล
บริษัท บิลค์ วัน กรุ๊ป จำกัด ในฐานะผู้พัฒนา ผู้ให้บริการแพลตฟอร์ม และแอพพลิเคชั่นเพื่อวงการก่อสร้าง และอสังหาริมทรัพย์ และในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลในประเทศไทย จึงมุ่งมั่นที่จะมอบความเข้าใจ และยกระดับนโยบายความปลอดภัย เพื่อช่วยให้ลูกค้า และผู้ประกอบการสามารถปฏิบัติตามข้อบังคับใหม่ที่อาจส่งผลบังคับใช้กับกิจการของคุณได้อย่างมั่นใจในความปลอดภัย และถูกต้องตามกฎหมายด้วยการ
1. ชี้แจงขอบเขตความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลบนแพลตฟอร์มต่างๆ ทั้ง Software as a Service และ Enterprise Solution
2. ปรับปรุงนโยบายความเป็นส่วนตัวเพิ่มเติมในรูปแบบที่อ่านง่าย และชัดเจน พร้อมทั้งชี้แจงผ่านทาง Online หรือ Offline ให้ผู้ใช้บริการรับทราบ
3. การขอความยินยอม หรือเพิกถอนความยินยอมในรูปแบบ Online/Offline ในฐานะของการเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในจุดที่จำเป็น
4. (บริการเพิ่มเติม) ให้คำแนะนำ และ/หรือออกแบบการขอความยินยอม หรือเพิกถอนความยินยอมในรูปแบบ Online/Offline ในฐานะของการเป็นผู้ควบคุมข้อมูลส่วนบุคคลให้แก่ลูกค้า
อ้างอิง:
1. https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf
2. กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับบริบทการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายฉบับอื่นๆ
