ปัจจุบันมีการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ในหลายประเทศ โดยเฉพาะในอาเซียน ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน สหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม ปี 2561 ใน Article 2 ของกฎหมายฉบับนี้ก็มีการกำหนดหลักการที่ไม่ให้บังคับใช้กฎหมาย GDPR กับการดำเนินงานเกี่ยวกับการรักษาความมั่นคง หรือความปลอดภัยด้วยเช่นกัน เรียกว่าการยกเว้นการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นหลักการที่ใช้กันในกฎหมายรูปแบบเดียวกัน แต่อาจจะแตกต่างการในเนื้อหาสาระ จึงไม่น่าจะสรุปว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเป็นกฎหมายที่ไม่ได้ให้ความคุ้มครองกับประชาชน แต่ก็ต้องยอมรับว่ากฎหมายฉบับนี้ยังไม่สมบูรณ์ เพราะยังต้องมีการออกกฎหมายลูกและกฎระเบียบต่างๆ เพื่อให้กฎหมายชัดเจนและสามารถใช้งานตอบโจทย์กับความต้องการที่แท้จริงของประชาชนได้
กฎหมายฉบับนี้จะมีผลบังคับใช้ตอนไหน
จากวันนั้นถึงวันนี้ผ่านมา 23 ปี กฎหมายฉบับนี้คลอดออกมา และจะมีผลบังคับใช้อย่างเต็มรูปแบบในปี 2563 สาระสำคัญของกฎหมายฉบับนี้คือ การให้ความคุ้มครองข้อมูลข่าวสารส่วนบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน และข้อมูลส่วนบุคคล เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียง เลขบัตรประชาชน หรือเลขหมายเอกสารส่วนตัวอื่น ๆ โดยห้ามไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์ เนื่องจากปัจจุบันเราต้องติดต่อกับหน่วยงานและองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน โดยใช้ข้อมูลส่วนตัวในการติดต่อเพื่อทำธุรกรรมต่าง ๆ เช่น การเปิดบัญชีเงินฝากกับสถาบันการเงิน เราต้องให้ข้อมูลส่วนตัวทั้งสำเนาบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ข้อมูลที่เราให้เหล่านี้คือใช้เพื่อการเปิดบัญชีเงินฝากกับธนาคารและเราอนุญาตให้ใช้เพื่อเปิดบัญชีกับธนาคารเท่านั้น แต่สิ่งที่เราต้องเผชิญในปัจจุบันคือ ข้อมูลดังกล่าวถูกนำไปใช้ในเชิงพาณิชย์ โดยขายข้อมูลต่าง ๆ ของเราให้หน่วยงานหรือองค์กรอื่น ๆ เพื่อไปใช้ประโยชน์ในด้านอื่น ๆ เช่น เรามักจะได้รับโทรศัพท์ติดต่อเพื่อเสนอขายสินค้าต่าง ๆ ทางโทรศัพท์ ทั้ง ๆ ที่เราไม่เคยติดต่อกับองค์กรดังกล่าวเลย ซึ่งถือเป็นการละเมิดสิทธิส่วนบุคคลของเรา กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเข้ามาแก้ไขปัญหานี้ โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น […]
อะไรคือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และทำไมต้องมีกฎหมายฉบับนี้!
ย้อนกลับไปเมื่อ 20 ปีที่ผ่านมา ที่เริ่มนำเทคโนโลยีเข้ามาใช้ทำงานในรูปแบบของ Information Technology คอมพิวเตอร์เข้ามามีบทบาทในการทำงานของผู้คนในสังคม และมีบทบาทในการจัดเก็บข้อมูลส่วนบุคคลมากขึ้น ทำให้มีการพูดถึงการคุ้มครองการใช้ข้อมูลส่วนบุคคลเพื่อคุ้มครองการใช้ข้อมูลส่วนบุคคลในธุรกรรมต่าง ๆ ที่เจ้าของข้อมูลไม่ต้องการให้ผู้อื่นนำไปใช้
มี PDPA ฉบับใหม่แล้วต้องจัดการกับข้อมูลเก่ายังไง?
หลังจากวันที่ 27 พ.ค. 2563 (หลังจากที่พรบ.มีผลบังคับใช้) คุณต้องแจ้งรายละเอียดการจัดเก็บข้อมูลส่วนบุคคลให้แก่ผู้ใช้เก่า ซึ่งต้องเปิดโอกาสให้ผู้ใช้เก่าสามารถเพิกถอนการยินยอมที่เคยให้ไว้ในอดีตด้วย รวมไปถึงคุณก็ต้องจัดฐานข้อมูลให้สอดคล้องกับนโยบายปัจจุบันเช่นกัน
ถ้าบริษัทดำเนินการในต่างประเทศด้วย ต้องใช้เลือก PDPA ฉบับไหน?
ตามปกติหากบริษัทของคุณจดทะเบียนในประเทศไทย คุณต้องถูกบังคับใช้ PDPA โดยพื้นฐาน แต่หากคุณมีที่ตั้งหรือขายสินค้าและบริการให้กับชาวต่างชาติ คุณต้องเพิ่ม Privacy Policy ให้ครอบคลุมทั้งสองประเทศ อาทิเช่น หากกลุ่มลูกค้าคุณเป็นชาวยุโรป คุณต้องเพิ่มข้อระเบียบของ GDPR ที่คุ้มครองนโยบายส่วนบุคคลของยุโรปซึ่งมีเนื้อหาเหลื่อมล้ำกับ PDPA ของไทย ในทางกลับกันการหากบริษัทคุณตั้งอยู่ในต่างประเทศแต่ขายสินค้าหรือบริการให้ลูกค้าคนไทย คุณก็จำเป็นต้องมี PDPA ของไทยเช่นกัน คุณสามารถเลือก PDPA ฉบับที่เรารวมระเบียบบังคับใช้ของทั้งประเทศไทย ยุโรป หรือสิงคโปร์ได้ โดยไม่ต้องนั่งหาข้อมูลเองว่าทั้งสามฉบับมีข้อที่เหมือนหรือแตกต่างกันอย่างไร
ราคาแพงไปไหมสำหรับการจัดทำ PDPA?
โดยปกติแล้วการทำ Privacy Policy นั้นต้องใช้เวลา รวมถึงค่าใช้จ่ายค่อนข้างมากในการจ้างนักกฎหมายผู้เชี่ยวชาญ โดยเฉพาะผู้ประกอบการหรือบริษัทขนาดเล็กที่อาจจะไม่ได้มีงบประมาณเพียงพอ ดังนั้นราคาเทมเพลต Privacy Policy ของเรานั้นจึงถือว่ามีความคุ้มค่าและตรงกับความต้องการโดยเฉพาะสำหรับผู้ประกอบธุรกิจเล็กบนโลกออนไลน์
มี Privacy Policy แปลว่าเราเก็บข้อมูลอะไรก็ได้หากผู้ใช้ยินยอมใช่ไหม?
ไม่ใช่ ที่จริงแล้วคุณสามารถเก็บข้อมูลพื้นฐานของผู้ใช้ได้ ซึ่งนี่ก็เป็นข้อมูลที่ผู้ประกอบการส่วนใหญ่ต้องการจัดเก็บ อาทิ ชื่อ อายุ เบอร์ติดต่อ เป็นต้น แต่มีข้อมูลบางชนิดถูกจัดเป็นข้อมูลที่อ่อนไหว เช่น ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา หรือข้อมูลทางชีวภาพ สิ่งเหล่านี้ควรได้รับการยินยอมอย่างชัดแจ้งและมีฐานการยินยอมจากหน่วยงานรัฐ อาจต้องมีการทำสัญญาการเขียน แทนการใช้แพลตฟอร์มอิเล็กทรอนิกส์เพียงอย่างเดียว
ทำไมเปลี่ยนมาใช้ PDPA เร็วกว่าคนอื่นถึงได้เปรียบ?
เพราะการใช้กฎหมาย PDPA ฉบับใหม่นี้ไม่ได้หมายถึงเพียงแค่คุณนำนโยบายความส่วนตัวไปแจ้งต่อผู้ใช้เมื่อเข้าเว็บไซต์ของคุณ แต่นี่อาจส่งผลกระทบไปถึงการจัดรูปแบบเว็บไซต์ของคุณ รวมถึงการเก็บข้อมูลฐานลูกค้าซึ่งต่างไปจากเดิม บวกกับกลุ่มผู้ประกอบการขนาดเล็กก็ต้องเพิ่มการขายออนไลน์แบบมีมาตรฐานมากขึ้น ดังนั้นภายในเดือน พ.ค. 2563 คุณจะต้องรีบวางระบบทำงาน แบ่งหน้าที่ วางแผนการขายแบบใหม่ ด้วยเวลาที่กระชั้นชิดนี้ หากคุณเข้าใจและจัดการ Privacy Policy ของเว็บไซต์คุณให้เสร็จเร็วกว่าคนอื่น คุณจะได้เปรียบกว่าในหลายๆด้าน
เราสามารถนำ Privacy Policy ของบริษัทเราไปใช้ร่วมกับบริษัทอื่นๆได้หรือไม่?
Privacy Policy นั้นถึงจะมีใจความหลักคล้ายๆกัน แต่ไม่สามารถนำไปใช้ร่วมกับบริษัทอื่นๆได้ เนื่องจากนโยบายความเป็นส่วนตัวแต่ละฉบับนั้นจะมีเนื้อหาและข้อกฎหมายที่แตกต่างกัน ไม่ว่าจะเป็นรายละเอียดเกี่ยวกับตัวบริษัท กฎระเบียบที่อิงกับที่ตั้งของบริษัท ลักษณะอุตสาหกรรม หรือการจัดเก็บข้อมูลผู้ใช้ที่ไปในคนละทิศทางกัน ดังนั้นการนำ Privacy Policy ของผู้ประกอบการอื่นมาใช้ จะไม่สามารถครอบคลุมข้อระเบียบได้ครบถ้วนและถูกต้อง รวมถึงอาจทำให้เกิดปัญหาทางด้านกฎหมายอีกด้วย
