สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แบบเข้าใจง่ายที่สุดโดยคนสตาร์ทอัพ เพื่อคนสตาร์ทอัพและเจ้าของธุรกิจ

สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แบบเข้าใจง่ายที่สุดโดยคนสตาร์ทอัพ เพื่อคนสตาร์ทอัพและเจ้าของธุรกิจ
พิสิฐ เหลี่ยมมุกดา Thoughts

ธุรกิจขนาดเล็ก กับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อาจจะดูเป็นเรื่องไกลตัว แต่จะมีผู้ประกอบการกี่รายที่ทราบว่า การเก็บข้อมูลพนักงานในธุรกิจของตัวเองก็เข้าไปเกี่ยวข้องกับ PDPA แล้ว

ยิ่งด้วยยุคสมัยที่เทคโนโลยีเข้ามาเป็นส่วนสำคัญในการขับเคลื่อนธุรกิจ ผู้ประกอบการต้องถามตัวเองว่าจะนำธุรกิจไปในทิศทางใด ถ้าวันนี้คำตอบคือการนำเทคโนโลยีเข้ามาใช้ การนำข้อมูลลูกค้าเข้ามาพัฒนาสินค้า และบริการเพื่อให้ตรงความต้องการของลูกค้า ออกแบบประสบการณ์ใหม่ๆให้ลูกค้าประทับใจ สร้างช่องทางการขายบนโลกออนไลน์ โฆษณาผ่านโซเชียลมีเดีย ถ้าคำตอบของคุณตรงกับสิ่งที่กล่าวมาข้างต้น คุณยิ่งจำเป็นต้องศึกษา PDPA ให้เข้าใจ

PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ ให้นิยามข้อมูลส่วนบุคคล (Personal Data) ตามที่ได้ให้ความหมายไว้ใน พ.ร.บ. ฉบับนี้ คือ “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม”

ยกตัวอย่างให้เห็นชัดเจนขึ้นข้อมูลส่วนบุคคลแบ่งได้เป็น 3 ประเภทได้แก่ หนึ่ง-ข้อมูลที่ยืนยันตัวตนได้โดยทันที (Linked Information), สอง-ข้อมูลที่ยืนยันตัวตนได้เมื่อนำข้อมูลมาประกอบกัน (Linkable Information) และสาม-ข้อมูลที่ยืนยันตัวตนไม่ได้ (Non-PII) หรือ Anonymous

หลายธุรกิจที่มีเว็บไซต์และทำการตลาดออนไลน์ อาจจะคุ้นกันดีกับ Google Analytics, Facebook Pixel หรือ Line OA Track โค้ดที่นำไปติดไว้บนเว็บไซต์เพื่อวัดผล หรือทำ Remarketing ซึ่งจำเป็นต้องได้รับความยินยอมในการเก็บ ถ้ายังนึกภาพไม่ออก หลายคนอาจสังเกตว่าตั้งแต่ปลายปีที่แล้วถึงต้นปีที่ผ่านมาเราจะเห็นแทบทุกเว็บไซต์จะมี Pop- up หรือข้อความแสดงขึ้นมาสร้างความรําคาญใจให้หลายท่าน (แต่กับ behindthescene.co ไม่มี-บรรณาธิการ) ยิ่งในบางเว็บไซต์อาจถึงขั้นถ้าไม่กดยินยอมก็ไม่สามารถใช้งานได้เลย

นี่ก็ถือเป็นอีกหนึ่ง New Normal ที่ไม่ได้มาเพราะโควิด-19 แต่มาจากที่ทั่วโลกให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากขึ้น และเริ่มบังคับใช้อย่างจริงจัง ซึ่งในต่างประเทศเราจะได้ยินในชื่อ GDPR ส่วนในไทยเป็น PDPA ที่มีความใกล้เคียงกัน

เราเป็นใครใน PDPA?

มีชุดคำอยู่ 3 คำที่ต้องขออธิบายก่อนจะลงรายละเอียดในส่วนต่อไป

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ในที่นี้จะหมายถึงตัวบุคคลทุกคนในประเทศไทยที่สามารถถูกเก็บรวบรวมข้อมูลเพื่อนำไปใช้ประโยชน์ได้ อาจมีข้อยกเว้นในบางกรณีที่เก็บรวบรวม ใช้ หรือเปิดเผยเพื่อประโยชน์สาธารณะ ส่วนข้อมูลนิติบุคคลไม่ถือว่าเป็นข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือบุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ข้อความข้างต้นยกมาจากตัว PDPA คำว่าอำนาจตัดสินใจในที่นี้ ที่จะกระทำการดังกล่าวจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสมอ

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือบุคคลหรือนิติบุคคลดำเนินการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ถ้าทำนอกเหนือคำสั่งให้ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลแทน

ยกตัวอย่างสถานการณ์ง่ายๆ ว่า “เราทุกคนเป็นเจ้าของข้อมูลส่วนบุคคล เมื่อทำธุรกิจเริ่มเก็บ ใช้ หรือเปิดเผยข้อมูลลูกค้าเรามีสถานะเป็นผู้ควบคุม เมื่อธุรกิจไปได้ดีจ้าง Marketing Agency มาช่วยทำการตลาดจากข้อมูลลูกค้าที่มีอยู่ Marketing Agency ถือว่าเป็น ผู้ประมวลผล หาก Marketing Agency ได้ทำนอกเหนือที่สั่งไว้จะเปลี่ยนสถานะเป็นผู้ควบคุมแทน และต้องไม่ลืมว่าการเก็บรวบรวม ใช้ หรือเปิดเผยต้องได้รับความยินยอมจากเจ้าของข้อมูล”

 

ขั้นตอนที่ธุรกิจขนาดใหญ่ใช้มานาน ในวันที่ถูกบังคับใช้กับทุกธุรกิจ

ในยุคที่เรียกได้ว่าแทบทุกคนเป็น Next Generation เพราะไม่ว่าจะสมัครบริการอะไรเราส่วนมากไม่เคยอ่านข้อกำหนด และเงื่อนไขบริการ (Terms and Conditions of Service) หรือนโยบายข้อมูลส่วนบุคคล (Privacy Policy) มีแต่กด Next อย่างเดียว ก็จะทำอะไรได้ในเมื่อถ้าไม่ยอมรับก็ใช้บริการนั้นไม่ได้ หากใครที่อ่านแล้วท้อกับเนื้อหาด้านบนลองมาทำความเข้าใจกันก่อนเพราะเรื่องนี้ไม่ได้เป็นเรื่องยาก และอยู่ใกล้ตัวเรามากกว่าที่คิด

แล้วเราจะเริ่มต้นจากตรงไหนถ้ายังคิดไม่ออกตอนนี้ ผมแนะนำให้ลองไปสังเกตขั้นตอนเปิดเบอร์โทรศัพท์ สมัครอินเตอร์เน็ต หรือแม้กระทั้งสมัครสมาชิกร้านสะดวกซื้อรายใหญ่ จะเห็นไว้ว่ามีขั้นตอน และเอกสารขอความยินยอมที่สามารถนำมาประยุกต์ใช้ได้กับธุรกิจ

หลังจากนั้นการนำมาประยุกต์ใช้จะเพิ่มจะตัดอะไรให้ดูที่ตัว PDPA ประกอบไปด้วยซึ่งการขอความยินยอมนั้นต้องเป็นไปตามมาตรา ๑๙ วรรค ๓ แยกเป็นข้อๆ ให้เข้าใจง่าย มีทั้งหมด 8 ข้อ คือทำโดยชัดแจ้ง, วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผย, แยกส่วนออกจากข้อความอื่น, ใช้ภาษาที่อ่าน และเข้าใจง่าย, ไม่เป็นการหลอกลวง, ไม่ทำให้เข้าใจผิด, คำนึงถึงความเป็นอิสระ และไม่มีเงื่อนไขในการให้ความยินยอม

ซึ่งการขอความยินยอมสามารถทำได้ ผ่านเอกสาร หรือระบบที่ออกแบบมาให้ทำได้ และสำคัญที่สุดเมื่อได้ความยินยอมแล้วไม่สามารถทำผิดวัตถุประสงค์ที่ได้แจ้งไว้ ดังนั้นก่อนที่จะร่างแบบขอความยินยอมเราควรต้อง คิดให้ครบถ้วนก่อนว่า “ต้องการเก็บข้อมูลอะไร นำไปใช้เพื่ออะไร ประโยชน์ที่เจ้าของข้อมูลได้รับ การสูญเสียประโยชน์ใดๆถ้าปฏิเสธ”

หลายคนอาจมีคำถามว่าถ้าทำแบบนี้แล้วจะดูจริงจังไปหรือไม่ จะทำให้ลูกค้ากลัวการเซ็นเอกสาร หรือให้ข้อมูลหรือไม่ ความคิดเห็นส่วนตัวผมอยากให้มองตรงนี้เป็นเรื่องของความโปร่งใส และความจริงใจกับลูกค้า นอกจากจะป้องกันความผิดเกี่ยวกับ PDPA แล้ว เรามีความจำเป็นที่ต้องเก็บข้อมูลมาพัฒนาสินค้า และบริการ เพื่อให้สามารถส่งมอบประสบการณ์ที่ดีที่สุดให้กับลูกค้า และสุดท้ายแล้วลูกค้าจะเป็นคนได้ประโยชน์จากข้อมูลที่ให้มา

เมื่อได้รับความยินยอมมาแล้วลูกค้าเองก็ยังมีสิทธิของเจ้าของข้อมูลอยู่ ธุรกิจต้องเตรียมขั้นตอน และวิธีการเพื่ออำนวยความสะดวกให้สามารถขอใช้สิทธิ โดยประกอบด้วยสิทธิได้รับการแจ้งให้ทราบ, สิทธิขอเข้าถึงข้อมูลส่วนบุคคล, สิทธิในการขอให้โอนข้อมูลส่วนบุคคล, สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล, สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล, สิทธิขอให้ระงับการใช้ข้อมูล, สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล, สิทธิในการถอนความยินยอม

การขอสิทธิทั้งหมดนี้อาจดูเป็นเรื่องยาก หรืออาจจะต้องลงทุนพัฒนาระบบ แต่ในช่วงแรกเราจะเห็นหลายธุรกิจกำหนดขั้นตอนเป็นเอกสารเพราะมีต้นทุนที่ต่ำกว่าซึ่งเป็นอีกทางเลือกหนึ่งที่สามารถนำมาใช้ได้

 

PDPA กำหนดให้ธุรกิจมีหน้าที่ต้องทำอะไรบ้าง?

พลังอันยิ่งใหญ่ มาพร้อมกับความรับผิดชอบที่ใหญ่ยิ่ง 

เรากำลังพูดถึงพลังของข้อมูล และความรับผิดชอบที่ใหญ่ตาม แต่อย่าพึ่งถอดใจด้วยความที่โลกธุรกิจมีทางเลือกเสมอ เพราะหลายธุรกิจด้านกฎหมาย และข้อมูล ที่มีความเชี่ยวชาญสามารถช่วยให้คำแนะนำ หรือทำหน้าที่ DPO ได้ไม่จำเป็นต้องจัดจ้างเป็นพนักงานประจำ

ส่วนในเรื่องมาตรการรักษาความปลอดภัยมีระบบหลังบ้านเพื่อเก็บข้อมูลลูกค้าให้บริการอยู่มากในท้องตลาดไม่ว่าจะเป็นระบบขายหน้าร้าน (POS) ระบบบริหารความสัมพันธ์ลูกค้า (CRM) ที่มีมาตรการและระบบที่รองรับไว้อยู่

อย่างไรก็ตามถึงผมจะแนะนำให้ยกส่วนนี้ไปทำการจัดซื้อจัดจ้าง Outsource ผู้ประกอบการก็จำเป็นต้องทำความเข้าใจกับเรื่องนี้เป็นพื้นฐานจากส่วนต่อไปนี้

ธุรกิจที่ต้องที่จะนำเทคโนโลยีเข้ามาพัฒนาต้องปรับตัวให้ทันกับการเปลี่ยน สำหรับธุรกิจที่มีเว็บไซต์ในครั้งหน้าผมจะพูดถึงการเก็บคุ๊กกี๊ และการให้ความยินยอม

อ้างอิง

– GDPR https://gdpr-info.eu/issues/personal-data/

– พ.ร.บ. ข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ฉบับเต็ม http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

– Reference https://www.martechthai.com/data/what-is-customer-data/

Contributors

พิสิฐ เหลี่ยมมุกดา

ผู้ประกอบการที่เข้าใจปัญหาของ SME หันมาทำสตาร์ทอัพเป็นงานหลักเพราะต้องการลดช่องว่างด้านเทคโนโลยีของธุรกิจ

Related Posts

สถานีรถไฟกรุงเทพ (หัวลำโพง) : ชีวิต เรื่องราว ความทรงจำ และการเปลี่ยนแปลง

Thoughts

เสียงตึงตัง ตึงตัง ตึงตัง… ทุ่งนา และทิวเขาที่อยู่ไกลออกไป แสงแดดอ่อนๆยามรุ่งสาง สายลมหนาวพัดผ่านเข้ามาทางหน้าต่างของรถไฟชั้นสาม ผู้โดยสารเบาบางลงบ้าง เพราะต่างคนต่างลงตามสถานีปลายทางของตนเอง … เรื่องราวรถไฟยังคงดำเนินต่อไป ย้อนกลับไปสิบกว่าชั่วโมงที่แล้ว ก่อนที่ใบหน้า และร่างกายจะปะทะอุณหภูมิหนาวเย็น ทุกอย่างเริ่มต้นที่ หัวลำโพง ในวันนี้ เรื่องราวของหัวลำโพงกำลังจะเปลี่ยนไป หัวลำโพงยังคงอยู่ แต่บทบาทในทางการเดินทาง อาจกำลังจบลง … หัวลำโพงเป็นสถานที่ที่เต็มไปด้วยเรื่องราว และความหวังมาเป็นเวลาเนิ่นนานแล้ว เก้าอี้ที่โถงพักคอยของหัวลำโพงรองรับผู้คนที่หลากหลายมานาน แต่ละคนต่างมีจุดมุ่งหมายในการเดินทางแตกต่างกันไปทั้งสิ้น กลุ่มเพื่อนที่นัดกันไปแสวงหาประสบการณ์ชีวิต ชายวัยชราซึ่งเพิ่งเสร็จจากการพบแพทย์กำลังจะกลับภูมิลำเนา คุณพ่อซึ่งเข้าเมืองกรุงเพื่อเยี่ยมลูกชาย หรือแม้กระทั่งพระภิกสุสงฆ์ และอีกมากมาย สถานีรถไฟหัวลำโพงมีความหลากหลายของเรื่องราวและความทรงจำ … ในการทำให้เรื่องราวของแต่ละคนดำเนินไปอย่างไม่ติดขัด มีผู้อยู่เบื้องหลังมากมาย เพียงแค่เดินเข้ามาในตัวสถานีไปจนถึงตู้รถไฟ สามารถพบเจอได้ตั้งแต่พนักงานจำหน่ายตั๋วซึ่งกำลังตอบคำถามผู้โดยสาร พนักงานทำความสะอาดที่ชานชาลากำลังลากอุปกรณ์คู่ใจ พนักงานซึ่งกำลังเข็นรถเข็นขนผ้าห่ม พนักงานเดินรถกำลังเรียกผู้โดยสารให้ขึ้นรถไฟ และอื่นๆอีกมากมายซึ่งอยู่เบื้องหลัง และล้วนมีส่วนสำคัญ ในวันที่สถานีรถไฟบางซื่อกำลังมีบทบาทมากขึ้น หัวลำโพงกำลังจะเริ่มค่อยๆถอยออกมาให้น้องใหม่ได้เฉิดฉายแทน หากพูดกันในเชิงการคมนาคม การย้ายสถานีหลักไปที่สถานีบางซื่อก็อาจจะตอบโจทย์ได้ดีกว่าในการคมนาคมที่สะดวก การเปลี่ยนถ่ายรูปแบบของการเดินทางควรเป็นไปอย่างสะดวก กล่าวคือ ควรมีการสร้าง HUB ของการเดินทางขึ้นมา คือที่ๆเดียวสามารถเปลี่ยนถ่ายรูปแบบการเดินทางได้อย่างครอบคลุม ทั้งทางน้ำ ทางบก และทางอากาศ […]

พราน มณีรัตน์

December 18, 2021

เชียงใหม่: ฝุ่น รัฐราชการรวมศูนย์ กับเมืองที่เป็นได้แค่สถานที่ท่องเที่ยวช่วงเทศกาล

Thoughts

ช่วงปลายหนาวต้นร้อนของทุกปีสำหรับภาคเหนือ คือช่วงเวลาที่ชาวภาคเหนือต้องประสบกับภัยพิบัติด้านมลพิษอันมาจากฝุ่น PM 2.5 มาตลอด 10 กว่าปี ในบางปีค่าฝุ่นนั้นติดอันดับสูงที่สุดในโลก แต่เหตุใดจึงไม่ได้รับการเหลียวแลจากหน่วยงานที่เกี่ยวของในการแก้ไขปัญหานี้ได้อย่างยั่งยืนเสียที? มากไปกว่านั้น ทำไมกรุงเทพฯ ก็ประสบปัญหาฝุ่น PM 2.5 เช่นกัน แถมออกข่าวเป็นเดือนๆ แต่ภาคเหนือและเชียงใหม่ที่มีฝุ่นทุกปีกลับมีพื้นที่สื่อน้อยมากเสียจนไม่ได้อยู่ในความทรงจำของชาวกรุงเทพฯ หากเทียบกับสถานะของเชียงใหม่ในฐานะเมืองท่องเที่ยว ผู้เขียนจะขออภิปรายสถานการณ์นี้ด้วยการวิพากษ์รัฐราชการรวมศูนย์ (Centralization) ซึ่งเป็นระบบบริหารราชการแผ่นดินของไทยว่ามีความเกี่ยวข้องอย่างไรกับปัญหาฝุ่น PM 2.5 และเกี่ยวข้องกับความทรงจำของชาวกรุงเทพฯ ที่มีต่อเชียงใหม่ที่ถูกทำให้เป็นแค่สถานที่ท่องเที่ยวตามเทศกาลเท่านั้น แต่เหตุใดจึงไม่มีความทรงจำที่เกี่ยวกับประเด็นอื่น ๆ หากพูดถึงเชียงใหม่ ซึ่งเป็นอารมณ์เดียวกันกับตอนเด็ก ๆ ที่ครูสั่งให้เราวาดรูปบ้านนอกหรือชนบทในจินตนาการของเรา เราก็จะนึกออกแค่ “ภาพกระท่อมปลายนาตัดด้วยทิวทัศน์ภูเขาและดวงอาทิตย์” เพียงเท่านั้น เช่นเดียวกับเชียงใหม่ในสายตาคนกรุงเทพฯ ที่นึกออกแค่เป็นสถานที่ท่องเที่ยวในช่วงเทศกาลหรือช่วงปลายฝนต้นหนาวเพียงเท่านั้น ในฐานะที่ผมเป็นคนภาคกลาง พื้นเพมาจากจังหวัดในเขตปริมณฑล ก็คงมีความทรงจำเกี่ยวกับเชียงใหม่และภาคเหนือไม่ต่างจากคนกรุงเทพฯ สักเท่าไหร่ เพียงแต่ความคิดของผมในการมองประเทศไทยเปลี่ยนไปอย่างสิ้นเชิงหลังจากมาอาศัยอยู่เชียงใหม่ ความคิดนั้นคือ “ประเทศไทย ≠ ประเทศกรุงเทพฯ”   รัฐราชการรวมศูนย์ อาณานิคมภายใน กับความล้มเหลวในการบำบัดทุกข์ บำรุงสุข รัฐราชการรวมศูนย์ (Centralization) คือระบบบริหารราชการแผ่นดินที่ยึดหลักการตัดสินใจอยู่ที่ส่วนกลางเป็นหลัก มีระบบการบริหารแบบสายการบังคับบัญชา (Hierarchy) […]

สุชัจจ์ โสสุทธิ์

February 8, 2021