สรุปกฎหมาย PDPA กับความสำคัญต่อโลกธุรกิจ เมื่อข้อมูลลูกค้ามีค่าดั่งทอง จึงต้องได้รับการปกป้อง

ใครที่กำลังหงุดหงิดกับมิจฉาชีพคอลเซนเตอร์ คนหื่นทักไลน์มาหา โดยที่ไม่รู้ว่าไปเอาเบอร์เรามาจากไหน วันนี้นี่แหละ จะเป็นจุดเริ่มต้นของทางออกปัญหา เพราะ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้แล้ว     

เป้าหมายหลักๆ ของ PDPA คือบังคับให้บริษัท องค์กรที่ถือครองข้อมูลลูกค้า ต้องจัดเก็บข้อมูลให้ปลอดภัย ประมวลผลใช้งานเท่าที่จำเป็น และไม่แชร์ให้บุคคลที่สามตามอำเภอใจ 

เพราะข้อมูลส่วนตัวที่เราเคยคิดว่าเป็นข้อมูลทั่วๆ ไปอย่างชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ จริงๆ แล้วมันเป็นข้อมูลที่มีค่าทางธุรกิจมหาศาล Facebook, Google ต่างก็ทำเงินจากข้อมูลส่วนตัวของเรานี้แหละ ไม่เช่นนั้น คงไม่มีคำพูดติดปากผู้บริหารสมัยนี้ว่า Data is the new oil กันออกมาเยอะแยะ

[ ธุรกิจต้องปรับตัวยังไง ]

PDPA ไม่ใช่ของใหม่ในไทย เพราะตัว พ.ร.บ. เขียนขึ้นมานานหลายปีแล้ว และในหลายประเทศก็ทำมาก่อน แต่ PDPA เลื่อนการบังคับใช้มาเรื่อยๆ จนมาประกาศใช้อย่างเต็มรูปแบบในวันที่ 1 มิ.ย. ที่ผ่านมานี้เอง 

มารีแคปกันสั้นๆ ว่า กฎหมายเขียนขึ้นมาเพื่อใคร และภาคธุรกิจต้องปรับตัวยังไงบ้าง เพื่อไม่ให้ผิดกฎหมาย

“PDPA” หรือ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ย่อมาจาก Personal Data Protection Act เขียนขึ้นเพื่อให้บริษัทเอกชนและหน่วยงานรัฐที่ถือครองข้อมูลส่วนบุคคล ซึ่งในกฎหมายมีฐานะเป็น Data Controller  ต้องปกป้องข้อมูลไม่ให้ถูกละเมิด ที่สำคัญต้องขอความยินยอมจากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย 

ดังนั้น สิ่งที่บริษัท ต้องปรับตัวแน่ๆ คือ ต้องเพิ่มนโยบายดูแลข้อมูลลูกค้า, ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในบริษัท (DPO), แจ้งให้ลูกค้าทราบเรื่องการนำข้อมูลไปใช้ และขอความยินยอม ทำได้ทั้งรูปแบบเอกสาร, แจ้งเตือนออนไลน์, ระบบคุกกี้ ฯลฯ 

ตรงการขอความยินยอมนี้ บริษัทควรจะทำให้อ่านง่ายด้วย ไม่ใช่ตัวเล็กอ่านยาก และยาวเป็นพรืด และต้องไม่บังคับให้เรากดยินยอม ลูกค้าต้องมีอิสระที่จะยินยอมหรือไม่ยินยอมก็ได้ ส่วนนี้เป็นเรื่องสำคัญมาก 

อีกเรื่องที่สำคัญคือ ถ้าเกิดเหตุแฮกเกอร์โจมตีศูนย์ข้อมูลบริษัท จนข้อมูลรั่วไหล ตรงนี้บริษัทไม่ผิดเพราะถือเป็นเหยื่อ แต่จะผิดถ้าไม่แจ้งเจ้าหน้าที่สำนักงานภายใน 72 ชั่วโมง [มาตรา 37 (4)] 

ถ้าจะให้ตีความว่า PDPA จะกระทบธุรกิจไหนมากที่สุด ก็คงหนีไม่พ้นองค์กรใหญ่ๆ ที่มีฐานข้อมูลลูกค้ามหาศาลอย่าง เทเลคอม สถาบันการเงิน บริษัทประกันภัย เป็นต้น 

ล่าสุดบางองค์กรออกมาการันตี ให้ความมั่นใจกับลูกค้าว่าได้เตรียมพร้อมสำหรับ PDPA แล้ว เช่น เอไอเอส และ ดีแทค 

[ ข้อมูลที่ได้รับการคุ้มครองภายใต้ PDPA ]

ข้อมูลที่ได้รับการคุ้มครองภายใต้ PDPA กว้างขวางมาก หลักๆ คือ เป็นข้อมูลที่ระบุตัวเราได้ ตั้งแต่ชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ ข้อมูลทางกายภาพ รูปร่างส่วนสูง ไปจนถึงข้อมูลตัวตนของเราบนออนไลน์ อย่าง Username/password,  Cookies IP address, GPS Location

แม้แต่ข้อมูลเซนซิทีฟ อย่าง เชื้อชาติ เผ่าพันธุ์ ความคิดทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ก็ได้รับการปกป้องด้วย 

เราคนธรรมดา ในฐานะเจ้าของข้อมูล หรือ Data Subject ก็จะมีสิทธิ์มีเสียงในข้อมูลของเรามากขึ้น ภายใต้กฎ PDPA เรามีสิทธิ์รู้ว่าข้อมูลที่ถูกเก็บไป มีอะไรบ้าง แชร์ให้ใคร เอาไปทำอะไร, เราขอสำเนาข้อมูลของตัวเองได้, เราขอโอนข้อมูลตัวเองให้บริษัทอื่นได้ นอกจากนี้ เรายังขอหยุดการใช้ข้อมูล และขอลบเมื่อไรก็ได้ 

สรุปก็คือ PDPA เพิ่มอำนาจให้คนทั่วไปอย่างเราๆ เข้าไปจัดการกับบริษัทที่เอาข้อมูลของเราไปใช้ ได้อิสระมากกว่าเดิม 

สำหรับบริษัท นิติบุคคลที่ทำผิดกฎหมาย PDPA จะต้องรับโทษตั้งแต่โทษทางแพ่ง ทางปกครอง ทางอาญา ขึ้นอยู่กับระดับความเสียหาย ปรับตั้งแต่ 5 แสนบาท – 5 ล้านบาท และถ้าเกิดความเสียหายเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน

[ เนื้อหาส่วนหนึ่งอ้างอิงจาก GDPR กฎควบคุมข้อมูลส่วนตัวของยุโรป ]

เล่าย่อๆ อีกนิดว่า เนื้อหาส่วนหนึ่งของกฎหมาย PDPA อ้างอิงจากกฎควบคุมข้อมูลส่วนตัวของยุโรป GDPR ซึ่งน่าจะเป็นกฎที่ก้าวหน้าและครอบคลุมที่สุดของโลกในตอนนี้ 

GDPR หรือ General Data Protection Regulation บังคับใช้  25 พฤษภาคม 2561 ความก้าวหน้าของกฎนี้คือ คุ้มครองข้อมูลพลเมืองยุโรปไม่ว่าจะอยู่ที่ไหน ทำให้บริษัทที่มีลูกค้าเป็นชาวยุโรปต้องทำตามกฎ GDPR ไม่เช่นนั้นจะผิดกฎหมาย ถูกปรับมหาศาล 

กรณีคดีปรับที่เกิดขึ้นมาแล้วคือ Google โดนปรับไป 1,800 ล้านบาท จากเหตุขอความยินยอมจากเจ้าของข้อมูลไม่ชัดเจนพอ

หรือกรณี H&M โดนปรับ 1,200 ล้านบาท เหตุประมวลผลข้อมูลอ่อนไหวโดยไม่แจ้งก่อน และ British Airways ถูกปรับ 800 ล้านบาท หลังไม่ยอมให้ความร่วมมือกับเจ้าหน้าที่หลังเกิดเหตุโดนเจาะข้อมูล 

หรือคดีที่ฉาวที่สุด คือ Facebook กับ Cambridge Analytica แชร์ข้อมูลให้นักวิจัยคนอื่น ทำข้อมูลรั่ว 87 ล้านบัญชี เปิดทางให้ผู้ไม่หวังดีใช้ข้อมูลนี้แสดงโฆษณาการเมือง แสดงข่าวปลอมโจมตีฝั่งตรงข้าม เป็นเหตุการณ์จุดประกายคนทั่วโลกเลยว่า ข้อมูลส่วนตัวของเรา นำไปใช้ประโยชน์ได้ และความเสียหายก็เกินกว่าจินตนาการของเราจะไปถึง 

(อ่านบทความ สรุปคดีประวัติศาสตร์ Cambridge Analytica https://workpointtoday.com/cambridge-analytica/) 

[ เพิ่มความเชื่อใจให้ลูกค้า ]

กระแสการปกป้องข้อมูลส่วนตัว มีความสำคัญมากขึ้น ในยุคที่ข้อมูลของเราเริ่มย้ายไปอยู่บนออนไลน์​ ข้อมูลเริ่มมีค่า และกลายเป็นสินค้าที่ทำเงินได้ 

การรั่วไหลของข้อมูลแต่ละครั้ง สร้างความเสียหาย ยากที่จะคาดเดา อีเมลที่หลุดไป อาจเป็นช่องทางให้มิจฉาชีพส่งลิงค์สแปม ล้วงข้อมูลส่วนตัว นำไปสู่การเรียกค่าไถ่ออนไลน์ การเข้าถึงบัญชีธนาคาร เหตุการณ์เหล่านี้สามารถเกิดขึ้นได้จากการที่ข้อมูลส่วนตัวของเราถูกขโมยไป 

ดังนั้น กฎหมายคุ้มครองข้อมูล จึงเป็นจุดเริ่มต้นที่จะช่วยอุดรอยรั่ว ให้องค์กรมีความกระตือรือร้นในการเก็บรักษาข้อมูลลูกค้า 

การที่บริษัท ให้ความเชื่อมั่นแก่ลูกค้าในการปกป้องข้อมูล ก็เป็นอีกวิธีที่จำทำให้บริษัทเติบโตในระยะยาว เพราะอย่างน้อยๆ ลูกค้าก็มีความเชื่อมั่นว่าบริษัทจะทำตามกฎหมาย 

ซึ่งการที่ PDPA เลื่อนบังคับใช้มาหลายครั้ง แม้จะไม่ส่งผลดีต่อประชาชน แต่ก็ช่วยซื้อเวลาให้บริษัทได้เตรียมตัว และพร้อม เมื่อถึงวันที่กฎหมายบังคับใช้จริงๆ  

ที่มา : สรุปสาระสำคัญกฎหมาย PDPA, GDPR