Author Kris

กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับผลกระทบกับวงการอสังหาฯ ถึงตอนนี้ กฎหมายฉบับนี้ยังถือว่าใหม่มาก กฎหมายลำดับรองต่าง ๆ ยังไม่ถูกประกาศใช้ครบถ้วน แต่จากมุมมองของผม กฎหมายฉบับนี้จะส่งผลกระทบต่อวงการอสังหาริมทรัพย์อย่างแน่นอนในส่วนของผู้ประกอบการ ในเบื้องต้นก็เช่น – ผู้ประกอบการไม่ว่าผู้พัฒนาโครงการหรือตัวแทนขาย ที่มีการใช้ เก็บรวบรวม เปิดเผย ข้อมูลส่วนบุคคลอยู่เป็นประจำ ไม่ว่าในการขาย หรือการดำเนินกิจกรรมอื่น ๆ อาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และใช้มาตรการที่เหมาะสมในการเก็บรักษาข้อมูลส่วนบุคคล – ผู้ประกอบการที่มีข้อมูลส่วนบุคคลอยู่ในความครอบครองอยู่แล้วจะต้องทบทวนแหล่งที่มาของข้อมูลว่าได้มาจากเจ้าของข้อมูลโดยตรงตามที่กฎหมายกำหนดหรือไม่ ข้อมูลที่ได้มาจากแหล่งอื่น เช่น ซื้อฐานข้อมูลมาจากผู้ประกอบการอื่น อาจจะกลายเป็นไม่ชอบด้วยกฎหมายไป และใช้ไม่ได้ – การเก็บข้อมูลส่วนบุคคลใหม่ ๆ จะต้องทำตามข้อกำหนดในกฎหมาย ต้องได้รับความยินยอมโดยชัดแจ้ง บอกวัตถุประสงค์ และต้องเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น

ข้อยกเว้นของกฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ยกเว้นไม่ใช้บังคับกับ (มาตรา 6) – การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ของตนเองหรือกิจกรรมในครอบครัวของตนเอง – การดำเนินกิจกรรมของหน่วยงานรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลัง การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักษาความมั่นคงปลอดภัยไซเบอร์ – บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เก็บรวรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือ วรรณกรรม อันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น – สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงกรรมาธิการ ซึ่งทำตามอำนาจหน้าที่ – การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการยุติธรรม – การดำเนินการกับข้อมูลของบริษัทและข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต – กรณีอื่น ๆ ตามที่พระราชกฤษฎีกากำหนด

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีจำนวนทั้งสิ้น 96 มาตรา แต่สาระสำคัญที่มีผลกระทบต่อประชาชนทั่วไปสามารถสรุปได้คร่าว ๆ ดังนี้ – กฎหมายบังคับใช้กับผู้ประกอบการที่อยู่ในประเทศไทยไม่ว่ากิจกรรมเกี่ยวกับข้อมูลจะเกิดที่ใดก็ตาม (มาตรา 5) – การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้นโดชัดแจ้ง ทำเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้ และการถอนความยินยอมต้องทำได้โดยง่ายเช่นเดียวกับการให้ความยินยอม (มาตรา 19) – การเก็บข้อมูลต้องแจ้งรายละเอียดที่เกี่ยวข้อง เช่น วัตถุประสงค์ ข้อมูลที่จะเก็บ ระยะเวลาที่จะเก็บ หน่วยงานที่ข้อมูลจะถูกเปิดเผย ฯลฯ และแจ้งสิทธิต่อเจ้าของข้อมูล (มาตรา 23) – ห้ามเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่มิใช่จากเข้าของข้อมูลส่วนบุคคลโดยตรง (มาตรา 25) – ธุรกิจที่ดำเนินกิจกรรมรวบรวม ใช้ เปิดเผย หรือตรวจสอบข้อมูลส่วนบุคคลจำนวนมากอย่างสม่ำเสมอ เช่น ธุรกิจขนาดใหญ่ จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในหน่วยงาน (มาตรา 41) – มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อกำกับการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล – ผู้ฝ่าฝืนมีโทษทางอาญา ทั้งจำและปรับ และมีโทษปรับทางปกครองด้วย […]

ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล , ที่อยู่ , เลขบัตรประชาชน , ข้อมูลสุขภาพ , หมายเลขโทรศัพท์ , e-mail , ประวัติอาชญากรรม เป็นต้น

เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้ 1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง? สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to […]

ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ ใช้ภาษาที่อ่านง่าย เข้าใจง่าย ไม่หลอกลวงให้เข้าใจผิด การทำ Opt Out จะไม่สามารถทำได้อีกต่อไป ควรมีทางเลือกไว้ 2 ทาง คือ ยินยอม และไม่ยินยอม แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพัน ที่เราชอบเอามาพับๆใส่ไว้ให้ User อ่านจบเร็วๆ หรือกดอ่านหรือไม่อ่านก็ได้นี่คือ ผิดนะคะ ที่ถูกจะต้องคลี่ ต้องแผ่ ยาวๆไปเลย และแยกหัวข้อออกจากหัวข้ออื่นๆ การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ ทำเมื่อไหร่ก็ได้  ระบุไว้กว้างอีกเช่นกัน  คงต้องรอกฎหมายลูกมาแจ้ง เช่นว่า จะต้อง 24 ชม.หรือไม่ แต่เราก็แนะนำให้เตรียมแบบที่ประหยัดกำลังคนที่สุด เช่น เวบ, แอพ, Call center) แต่พรบ.ระบุว่าจะต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม ( ข้อนี้กว้างหนักเลย และคงทำได้ยากอยู่ เพราะต้องยืนยันตัวตนด้วย)

ข้อเสีย PDPA กับนักการตลาด ในระยะสั้น เราต้องรื้องานค่อนข้างเยอะ เช่น เวบ แอพ ใบสมัคร ระบบสมาชิก ระบบการติดต่อกับลูกค้า และหากเราทำได้ไม่ดีพอ โดนฟ้องเป็นคดีเจิม PDPA แบรนด์เราจะดังมากกก แต่ก็ทำลายความน่าเชื่อถือได้มากกกก จนไม่คุ้มเสี่ยงหรอกค่ะ

หากบริษัทของคุณลงทุนด้าน  Data Security ไว้เยอะ ถึงเวลาเอามา PR ซะให้คุ้ม ! ระยะยาวพรบ.นี้จะทำให้ผู้บริโภคมั่นใจในระบบการเก็บข้อมูล และการเอาข้อมูลไปใช้อย่างถูกต้อง นักการตลาดก็จะได้ข้อมูลที่ถูกต้อง เป็นจริง ใช้ได้จริงมากขึ้นเอาไปประมวลผลใช้งานเป็น predictive model หรือ Automation ที่แม่นยำสุดอะไรสุด

ทำไม PDPA ถึงต้องใช้เวลาในการจัดทำ? 1. ผู้ประกอบการ ธุรกิจ หรือเว็บไซต์ต่างๆ อาจใช้ Policy คนละฉบับกัน • Policy ของแต่ละเว็บไซต์ต้องครอบคลุมที่ตั้งและฐานลูกค้าของตัวเอง • หากคุณขายสินค้าในไทยให้ลูกค้าชาวไทย คุณสามารถอิงแค่กฎหมาย PDPA แต่หากคุณมีกลุ่ม  ลูกค้าชาวยุโรปคุณอาจจะต้องอิงกฎหมาย GDPR ของสหภาพยุโรปด้วย 2.  จะทำยังไงให้เนื้อหาครอบคลุม ในเมื่อ Policy แต่ละฉบับเนื้อหาไม่เหมือนกัน? • ถ้า Policy คุณต้องอิงตามกฎหมาย 2 ประเทศขึ้นไป คุณควรรวบรวมเนื้อหาทั้งหมดอยู่ในฉบับเดียวเพื่อความสะดวกของผู้เข้าใช้เวลากดให้ความยินยอม • ดังนั้นคุณต้องหาให้เจอว่ากฎหมายทั้งสองประเทศข้อไหนต่างกัน เหมือนกัน หรือข้อไหนที่อีกฉบับไม่มีเลย และนำมาเรียบเรียงอีกที • เรามีตัวอย่างข้อแตกต่างบางจุดในเนื้อหาของ Privacy Policy ที่อิงตามกฎหมายคนละประเทศในรูปด้านล่าง 3. เพราะ PDPA ไม่ใช่แค่ Copy และ Paste ก็จบ […]