Privacy or Security? สิ่งที่คุณไม่ต้องเลือกเมื่อมี PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ในปี 2020 ที่ผ่านมา จะเห็นได้ว่ามีข่าวข้อมูลหลุดต่อเนื่องตลอดทั้งปี ตั้งแต่ AIS, true, Eatigo, Wongnai, Lazada ซึ่งกรณีหลังสุดนี้ได้ข้อสรุปว่า ข้อมูลหลุดมาจากแพลตฟอร์มจัดการออเดอร์ และต่อเนื่องถึงต้นปี 2021 ที่ข้อมูลของ 3BB และ MONO ภายใต้บริษัท Jasmine International ถูกแฮกเพื่อเรียกค่าไถ่จำนวน 15 ล้านบาท

กรณีแบบนี้หากเกิดขึ้นในประเทศโซนยุโรปที่มีกฎหมาย GDPR (กฎหมายที่คุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ) ผู้เก็บรวบรวมข้อมูลเตรียมตัวจ่ายค่าปรับมหาศาลได้เลย แต่สำหรับบ้านเรานั้น แม้จะมีมาตรการเยียวยาความเสียหายออกมาบ้าง แต่ข่าวค่าปรับนั้นก็ยังไม่ค่อยหนาหูเท่าไร

สาเหตุหนึ่งน่าจะมาจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่ประกาศใช้เพียงบางส่วน ทำให้มาตรฐานการเก็บรวบรวมข้อมูล การนำไปใช้ และบทลงโทษยังไม่ถูกดำเนินการอย่างเด็ดขาด แล้วการมี PDPA อย่างเต็มรูปแบบจะช่วยคุ้มครองข้อมูลส่วนบุคคลอย่างไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ประกาศในราชกิจจานุเบกษาไปเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 และมีผลบังคับใช้แล้วในบางส่วน แต่ก่อนที่จะมีผลบังคับใช้ตามกฎหมายทั้งฉบับเพียงไม่กี่วันก็ถูกเลื่อนระยะเวลาออกไป 1 ปี ซึ่งคราวนี้ถ้าไม่มีการเปลี่ยนแปลงอีก พ.ร.บ. ฉบับนี้จะมีผลบังคับใช้ตามกฎหมายทั้งฉบับในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้

PDPA มีขึ้นมาเพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด มีผลกับทั้งบุคคลธรรมดา และนิติบุคคล ทั้งที่อยู่ในไทยและในต่างประเทศ ที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ผู้ที่ละเมิดข้อกฎหมายนี้ จะได้รับบทลงโทษ คือ

  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่า ของสินไหมที่แท้จริง
  • โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

กฎหมายนี้จะทำให้เกิดความสมดุลระหว่างความเป็นส่วนตัวและความปลอดภัย เนื่องจากก่อนการเก็บข้อมูลส่วนบุคคลทุกครั้ง เจ้าของข้อมูลจะต้องทำการยินยอมก่อน และผู้เก็บข้อมูลจะต้องทำการแจ้งอย่างละเอียดและชัดเจนว่า จะเก็บข้อมูลอะไรบ้าง เก็บอย่างไร เอาไปทำอะไร เก็บไว้นานแค่ไหน และเมื่อมีการเก็บข้อมูลไปแล้ว พ.ร.บ. ฉบับนี้ยังให้สิทธิแก่เจ้าของข้อมูลในการเข้าถึง ขอสำเนา ขอแก้ไข ทำลาย หรือยกเลิกการใช้ข้อมูลได้อีกด้วย

ในตอนนี้หลายคนอาจจะเห็นแล้วว่า เมื่อเข้าเว็บไซต์หรือแอปพลิเคชัน เราจะเจอกับข้อความ Pop Up ขึ้นมา มีทั้ง ข้อตกลงและเงื่อนไขการใช้บริการ (Terms and Conditions) และ นโยบายความเป็นส่วนตัว (Privacy Policy) ซึ่งก่อนจะกดยินยอมนั้น ทาง beartai ขอแนะนำให้เจ้าของข้อมูลทุกคนอ่านข้อความเหล่านี้อย่างละเอียด

โดยเฉพาะวิธีการเก็บข้อมูล ซึ่งมีทั้ง คุกกี้ (Cookies) หรือเทคโนโลยีการติดตามอื่น ๆ เช่น Google Analytics, Facebook Pixels และ Facebook Conversion Tracking เนื่องจากเครื่องมือเหล่านี้ จะช่วยให้ผู้เก็บข้อมูลสามารถเลือกโฆษณาหรือข้อเสนอที่เจ้าของข้อมูลน่าจะสนใจมากที่สุดมาแสดง ในขณะที่เรากำลังใช้สินค้าหรือบริการนั้น ๆ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ยังคุ้มครองไปถึงการใช้สินค้าและบริการแบบออฟไลน์ด้วย ตอนนี้หลายคนน่าจะเห็นแล้วว่า เมื่อไปเปิดบัตรเครดิตที่ธนาคาร จะมีเอกสารยินยอมการเปิดเผยข้อมูลส่วนบุคคลให้กับบริษัทในเครือของธนาคาร เช่น บริษัทประกัน หากใครที่ไม่ต้องการให้ตัวแทนประกันโทรมาเสนอขายผลิตภัณฑ์ หรือรับโฆษณาทางอีเมลก็สามารถเลือกไม่ยินยอมในการเปิดเผยข้อมูลได้ โดยที่เรื่องนี้จะไม่มีผลต่อการอนุมัติบัตรเครดิตอีกด้วย

ส่วนใครที่เคยเซ็นยินยอมเปิดเผยข้อมูลไปแล้ว สามารถติดต่อธนาคารหรือหน่วยงานที่เกี่ยวข้องเพื่อขอยกเลิกการใช้ข้อมูลในการนำเสนอผลิตภัณฑ์ได้ เพราะนี่คือหนึ่งในสิทธิของเจ้าของข้อมูลส่วนบุคคล

สำหรับผู้เก็บข้อมูลนั้น ก่อนถึงวันที่ 1 มิถุนายน พ.ศ. 2564 จะต้องเตรียมความพร้อมของสินค้าและบริการให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ขั้นแรกต้องสำรวจก่อนว่าสินค้าและบริการของเรา มีการเก็บข้อมูลผู้ใช้งานอะไรบ้าง มีระบบสมัครสมาชิกไหม ติดตั้งระบบวิเคราะห์อะไรไว้ เช่น Google Analytics หรือ Facebook Pixels ถ้าติดตั้งไว้ เราก็ต้องเขียนแจ้งผู้ใช้งานตามที่กฎหมายระบุไว้ ทั้งข้อตกลงและเงื่อนไขการใช้บริการ และนโยบายความเป็นส่วนตัว

สำหรับสินค้าและบริการที่มีการสมัครสมาชิก จะต้องมีกล่องให้ผู้ใช้งานติ๊กถูก เพื่อยืนยันและยอมรับกฏการใช้บริการที่ต้องมีการแจ้งข้อมูลอย่างละเอียด แบ่งแยกออกจากส่วนอื่น ๆ ของสินค้าและบริการอย่างชัดเจน ไม่ปะปนกับเนื้อหา หรือสร้างความสับสนให้ผู้ใช้งาน

นอกจากนี้ กฎหมายยังกำหนดให้ผู้เก็บข้อมูลต้องพิจารณาถึงวัตถุประสงค์และความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลด้วย เช่น การลงทะเบียนเลขประจำตัวประชาชนเพื่อแลกรับส่วนลดสมาร์ตโฟน อาจเป็นข้อมูลส่วนบุคคลที่เกินความจำเป็นในการนำไปใช้เชิงการตลาด เพียงแค่อีเมลและเบอร์โทรศัพท์ก็น่าจะเพียงพอแล้ว ในการส่งจดหมายหรือข้อความประชาสัมพันธ์

หากคิดว่าข้อมูลไหนที่เกินความจำเป็น เจ้าของข้อมูลสามารถร้องเรียนได้ภายใต้อำนาจของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

หน้าที่ของผู้เก็บข้อมูลไม่ได้มีแค่การรวบรวมข้อมูลเท่านั้น แต่ต้องดูรักษาข้อมูลให้มีความมั่นคงปลอดภัยด้วย กฎหมายจึงได้กำหนดหนึ่งในวิธีการคือ ผู้เก็บข้อมูลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DOP) เพื่อให้ตรวจสอบความปลอดภัยของระบบ หาจุดเสี่ยงหรือช่องโหว่ รวมถึงวิธีการรับมือกับสถานการณ์ที่ไม่คาดคิด เช่น การโจรกรรมข้อมูล

ทางด้านสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำแนะนำเมื่อเกิดเหตุฉุกเฉินว่า ควรตัดการเชื่อมต่อกับระบบที่ได้รับผลกระทบทันที รวมถึงประสานกับ ThaiCERT เพื่อนำข้อมูลส่วนบุคคลออกจากเว็บไซต์ที่เกี่ยวข้อง แจ้งความต่อหน่วยงานที่บังคับใช้กฎหมาย ชี้แจงต่อผู้ที่ได้รับผลกระทบจากเหตุการณ์ และท้ายที่สุด ควรหาช่องโหว่ในระบบของตนเองเพื่อวิเคราะห์ปัญหา หาทางแก้ไข และเสริมความมั่นคงปลอดภัยในระยะยาว

ข้อมูลคือทรัพยากรสำคัญในการผลักดันเศรษฐกิจยุคดิจิทัล และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นหนึ่งในกลไกสำคัญในการขับเคลื่อน เพื่อทำให้เกิดความสมดุลระหว่างความเป็นส่วนตัว และความปลอดภัย

พิสูจน์อักษร : สุชยา เกษจำรัส