ย้อนไปเมื่อต้นเดือนพฤษภาคม มีหนึ่งประเด็นสำคัญที่หลายคนอาจไม่ทันรับทราบ คือการที่ ครม.รับทราบออกพระราชกฤษฎีกา ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act) หรือ PDPA ออกไปอีก 1 ปี จากเดิมที่มีกำหนดบังคับใช้ในวันที่ 27 พฤษภาคม 2563 เป็นวันที่ 31 พฤษภาคม 2564 แทน เพราะเห็นว่าผลกระทบจากโควิด-19 อาจทำให้ทุกภาคส่วนยังไม่พร้อม

PDPA คืออะไร สำคัญกับเราอย่างไร?

หลายคนน่าจะเคยได้ยินเรื่องเกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR กันมาบ้าง

กฎหมายฉบับนี้ มีขึ้นเพื่อตอบรับความเป็นไปของโลกยุคปัจจุับัน ที่ผู้คนและบริษัทต่างๆทำธุรกรรมผ่านอินเทอร์เน็ตกันเป็นเรื่องปกติ เช่น ธุรกิจอีคอมเมิร์ซ การโฆษณาและการตลาดออนไลน์

GDPR ได้รวบรวมกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลของผู้บริโภคหลายฉบับไว้ด้วยกัน แต่เพิ่มบทลงโทษที่รุนแรงขึ้น ซึ่งก็มีตัวอย่างให้เห็นแล้ว จากกรณีฝรั่งเศสสั่งปรับเงิน Google เป็นเงิน 57 ล้านดอลลาร์ (ราว 1,900 ล้านบาท) เมื่อปีที่แล้ว

ขณะที่ PDPA ของไทยก็ถูกร่างขึ้นด้วยเหตุผลเดียวกัน โดยมีสาระสำคัญที่ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม เว้นแต่มีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย

ที่สำคัญ คือเป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากฝ่าฝืนมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

เตรียมรับมือ PDPA ด้วย นโยบายความเป็นส่วนตัว

ณ ตอนนี้ ตัวกฎหมายยังไม่ได้ลงรายละเอียดที่ครอบคลุม และคาดว่าในอนาคตจะมีกฎหมายลูกออกมาเพิ่มความชัดเจน และเข้มงวดขึ้นในหลายๆกรณี

แต่เมื่อมีการระบุชัดว่าทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม คนทำธุรกิจทั้งหลายจึงควรเตรียมตัวรับมือแต่เนิ่นๆ ด้วยการระบุนโยบายความเป็นส่วนตัว (Privacy Policy) ของบริษัทไว้ เพื่อลดความเสี่ยงใดๆที่อาจเกิดขึ้น กับการใช้งานข้อมูลส่วนบุคคลของลูกค้าหรือแม้แต่พนักงาน

เพราะนโยบายความเป็นส่วนตัว จะทำหน้าที่คล้ายเป็นกันชนให้ธุรกิจของคุณ กรณีเกิดการฟ้องร้องในเรื่องนี้ เพราะถือว่าคู่กรณีได้รับทราบข้อตกลงตามที่ระบุไว้แล้ว

นโยบายความเป็นส่วนตัว ที่ดีต้องเป็นยังไง?

แต่การร่างนโยบายความเป็นส่วนตัวก็ไม่ใช่เรื่องง่าย เพราะต้องเขียนให้อ่านเข้าใจง่าย และครอบคลุมหัวข้อต่างๆตามกฎหมาย อาทิเช่น

  • ข้อมูลส่วนบุคคลที่จะเก็บรวบรวมและใช้ประมวลผล
  • วัตถุประสงค์ในการเก็บข้อมูล
  • วัตถุประสงค์ในการประมวลผลข้อมูล
  • การเก็บรักษาและระยะเวลา
  • สิทธิต่างๆของเจ้าของข้อมูล
  • ช่องทางการติดต่อ

ซึ่งเราควรพิจารณาถึงกิจกรรมต่างๆที่บริษัทมีส่วนร่วม ทั้งออนไลน์และออฟไลน์ ในเรื่องเหล่านี้

  • กิจกรรมใดๆ ที่เกี่ยวข้องกับสินค้าและบริการ
  • กิจกรรมใดๆ ระหว่างผู้ว่าจ้างและลูกจ้าง
  • กิจกรรมใดๆ ที่เกี่ยวข้องกับฟีดแบ็กจากลูกค้า
  • ธุรกรรมทางการเงิน
  • กิจกรรมใดๆ บนโซเชียลเน็ตเวิร์ค
  • กิจกรรมด้านจัดหาเครือข่าย (Network Provider)
  • การทำธุรกรรมต่างๆกับหน่วยงานรัฐ
  • กิจกรรมด้านสุขภาพและความเป็นอยู่

นอกจากนี้ ยังควรครอบคลุมถึงปัจจัยอื่นๆ รวมถึงประเด็นละเอียดอ่อนอย่าง การเก็บข้อมูลส่วนบุคคลอ่อนไหว (sensitive personal data) ที่อาจจะสุ่มเสี่ยงต่อการเลือกปฏิบัติอย่างไม่เป็นธรรม อาทิเช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา ประวัติอาชญากรรม ประวัติสุขภาพ และข้อมูลพันธุกรรม เป็นต้น

และสำคัญที่สุด นโยบายความเป็นส่วนตัวของแต่ละบริษัท แม้จะมีใจความหลักคล้ายกัน แต่ไม่สามารถใช้ร่วมกันได้ เพราะมีรายละเอียดปลีกย่อยในทางกฎหมายที่ต่างกัน

ถ้าไม่แน่ใจ ควรปรึกษาใคร?

ปัจจุบัน เริ่มมีผู้ให้บริการด้านคำปรึกษา รวมถึงบริการร่างนโยบายความเป็นส่วนตัว ซึ่งครอบคลุมตั้งแต่ธุรกรรมต่างๆ ตั้งแต่ลูกค้า (Privacy Policy) พนักงานในองค์กร (HR Privacy Policy) หรือแม้แต่การรับส่งและใช้งานข้อมูลกับบุคคลที่สาม (Data Processor Agreement)

หนึ่งในนั้นคือ EasyPDPA ที่พร้อมช่วยให้คุณเข้าใจกฎหมาย PDPA พร้อมช่วยสรุปและเรียงเรียง Privacy Policy ให้พร้อมใช้งานได้ภายใน 2 นาที ในราคาเริ่มต้นที่ 1,499 บาท

หรือหากต้องการความช่วยเหลือที่ลงลึกในรายละเอียดมากกว่านั้น ก็สามารถปรึกษากับทีมงานที่มีประสบการณ์ด้านกฎหมาย พร้อมทั้งให้บริการ Online Course เพื่อให้พนักงานในองค์กรมีความเข้าใจและลดความเสี่ยงให้กับธุรกิจของคุณในอนาคต

ผู้อ่าน AHEAD ASIA ที่สนใจใช้บริการของ EasyPDPA สามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่นี่ EasyPDPA เพื่อที่คุณจะได้พร้อมรับมือกับความเปลี่ยนแปลงนี้แต่เนิ่นๆ

AHEAD ASIA นวัตกรรม ล้ำหน้า