พระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล)

หลังจากที่มีการปรับแก้กันมาหลายครั้งกับการร่างพระราชบัญญัติที่เกี่ยวข้องกับการเก็บข้อมูลผู้บริโภคทางช่องทางดิจิทัล ในที่สุด เมื่อวันที่ 27 พฤษภาคม 2562 ก็ได้มีประกาศอย่างเป็นทางการบนเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) โดยจะมีผลคับใช้วันที่ 28 พฤษภาคม 2563 ซึ่งวันนี้ผมจะมาสรุปสาระสำคัญทั้งหมดให้ได้อ่านกัน พร้อมกับจะไปดูกันว่าแนวทางในการปฏิบัติของแบรนด์และธุรกิจต่าง ๆ จะต้องมีการเตรียมตัวในเรื่องใดบ้าง

1. มีเวลาให้เตรียมตัว 1 ปี

ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อมและเสร็จภายใน 1 ปี นับจากวันประกาศ นั่นเท่ากับว่าจะมีผลจริง ๆ ในวันที่ 28 พฤษภาคม 2563

2. ใครคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” ?

ผู้ควบคุมข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังนั้น แบรนด์หรือธุรกิจที่มีระบบสมาชิกหรือการลงทะเบียน ไม่ว่าจะเป็นเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ไม่ว่าจะออนไลน์หรือออฟไลน์ ก็ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลเช่นกัน

3. “ข้อมูลส่วนบุคคล” หมายถึงอะไรบ้าง

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล

4. “ผู้ประมวลผลข้อมูล” ไม่ใช่ “ผู้ควบคุมข้อมูล”

ผู้ประมวลผลข้อมูล คือใคร? ผู้ประมวลผลข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล แต่ไม่ได้เป็นผู้ควบคุมข้อมูลเอง ดังนั้น Agency และผู้ให้บริการ Hosting Server ที่เก็บข้อมูล ถือเป็นผู้ประมวลผล ไม่ใช่ ผู้ควบคุม

5. ข้อมูลทุกอย่าง ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน

ผู้ควบคุมข้อมูลส่วนบุคคล ห้ามเก็บ ใช้ หรือเปิดเผย โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

6. ชี้แจงให้ชัดเจนและเข้าใจง่ายว่าจะเก็บและนำข้อมูลส่วนบุคคลไปทำอะไร

ในการขอความยินยอมจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าว และข้อความการขอความยินยอมนั้น ต้องแยกออกจากข้อความอื่นให้ชัดเจน สามารถเข้าถึงง่ายและเขียนด้วยภาษาที่เข้าใจง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด

7. เจ้าของข้อมูลสามารถขอดูและขอสำเนาข้อมูลดังกล่าวได้

หากเจ้าของข้อมูลต้องการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ผู้ควบคุมข้อมูลต้องปฎิบัติตามคำร้องขอดังกล่าวได้

8. เจ้าของข้อมูลสามารถขอยกเลิกความยินยอมได้

หากเจ้าของข้อมูลต้องการยกเลิกการยินยอม สามารถแจ้งให้ผู้ควบคุมข้อมูลปฎิบัติตามได้เช่นกัน

9. การละเมิดสิทธิ มีโทษทั้งจำ ทั้งปรับ

หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะมีโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และมาตรา 79)

สิ่งที่แบรนด์และธุรกิจควรเตรียมตัว

จากที่ได้ทราบสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปบ้างแล้ว อีกสิ่งหนึ่งที่ต้องมีการปรับตัวตามกันไป นั่นก็คือ แบรนด์และธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลของผู้บริโภค ไม่ว่าจะเป็นทางเว็บไซต์ Application สื่อ Social Media หรือสื่อดิจิทัลอื่น ๆ ควรมีการเตรียมตัวและเริ่มทำ มีดังนี้

• ควรมีหน้าในเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ที่จะต้องระบุวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัว ในภาษาที่เข้าใจง่ายและตรงไปตรงมา สำหรับคนที่มีเว็บไซต์อยู่แล้วอาจจะคุ้นเคยกับหน้า ‘นโยบายความเป็นส่วนตัว’ (Privacy Policy) ที่จะมีเนื้อหาบางส่วนใกล้เคียงกัน สามารถนำปรับมาใช้ได้แต่ต้องใช้ข้อความที่สั้น ๆ เข้าใจง่าย ๆ มากกว่า
• ทุกครั้งที่ให้ผู้ใช้งานลงทะเบียนหรือกรอกข้อมูลส่วนบุคคล ควรมีตัวเลือกแบบ Checkbox ให้ผู้ใช้งานกดเลือกเพื่อยืนยันความยินยอมจากเจ้าของข้อมูล และมี link เพื่อกดเข้าดูรายละเอียดหน้าวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัวนั้นด้วย
• ควรมีช่องทางติดต่อและมีหน้ารายละเอียดที่ระบุว่า หากผู้ใช้งานต้องการที่จะติดต่อเพื่อขอตรวจสอบหรือขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ต้องติดต่อหาแบรนด์และธุรกิจอย่างไร โดยอาจจะเพิ่มปุ่ม ‘ติดต่อเพื่อขอตรวจสอบข้อมูลส่วนบุคคล’ ใน Footer หรือหน้า Contact Us ในเว็บไซต์หรือ Application นั้นด้วย
• ควรมีช่องทางให้ผู้ใช้งานเจ้าของข้อมูลแจ้งขอยกเลิกความยินยอมที่เคยให้ไปและลบข้อมูลส่วนบุคคลที่ตัวเองเป็นเจ้าของออกจากระบบการจัดเก็บของแบรนด์และธุรกิจได้ โดยอาจจะเป็น link ‘ยกเลิกความยินยอมจัดเก็บและใช้งานข้อมูลส่วนบุคคล’ เพื่อเข้าหน้าเว็บที่มีรายละเอียดวิธีการแจ้งความต้องการดังกล่าว

บทความโดย: คุณณรงค์ยศ มหิทธิวาณิชชา
Chief Digital Officer & Co-Founder at The Flight 19 Agency