อัปเดตล่าสุด PDPA ทำอะไรได้บ้างภายใต้ พ.ร.บ. คุ้มครองข้อมูลฯ

เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา ประเทศไทยได้ประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) อย่างเป็นทางการ โดยมีจุดประสงค์เพื่อป้องกันการละเมิดข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ ฯลฯ รวมไปถึงการจัดเก็บข้อมูลดังกล่าวและนำไปใช้โดยที่เจ้าของข้อมูลส่วนบุคคลนั้น ๆ ไม่ได้ให้ความยินยอม ซึ่งนอกจากคนทั่วไปจะต้องทำความเข้าใจแล้ว นักการตลาดออนไลน์ก็จำเป็นที่จะต้องตามให้ทัน พ.ร.บ. นี้เช่นกัน ว่าภายใต้ PDPA เราสามารถทำอะไรได้บ้าง เพื่อปรับแนวทางการทำงานของตนเองหลังจากนี้ให้สอดคล้องกับกฎหมายใหม่

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล?

ก่อนอื่น เรามาทำความเข้าใจกันก่อนว่าผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA นั้นมีใครบ้าง โดยสามารถแบ่งออกได้เป็น 3 กลุ่ม ได้แก่

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

คือ บุคคลที่ในข้อมูลส่วนบุคคลระบุถึง

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ตลอดจนการเปิดเผยข้อมูลดังกล่าว

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลได้รับสิทธิอะไรบ้าง?

1. สิทธิที่จะได้รับการแจ้งให้ทราบ

ตามกฎหมาย PDPA ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน (ในกรณีที่ไม่ใช่การเก็บข้อมูลส่วนบุคคลที่เจ้าของข้อมูลนั้นทราบรายละเอียดอยู่แล้ว เช่น การเปิดบัญชีธนาคาร การสมัครสมาชิกต่าง ๆ ฯลฯ) โดยมีรายละเอียดการแจ้งให้ทราบ ได้แก่ เก็บข้อมูลส่วนบุคคลอะไรบ้าง วัตถุประสงค์ในการเก็บคืออะไร วิธีการเก็บข้อมูลเป็นอย่างไร นำไปใช้อย่างไรและส่งต่อให้ใครบ้าง ตลอดจนวิธีขอเปลี่ยนแปลง แก้ไข เพิกถอนข้อมูลสามารถทำได้อย่างไร

2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยวิธีการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนเองไม่ได้ยินยอมด้วย โดยสิทธิข้างต้นจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล อันจะนำมาซึ่งผลกระทบต่อสิทธิเสรีภาพของผู้อื่น แต่ถ้าไม่ขัดหรือส่งผลกระทบใด ๆ เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธินี้ภายใน 30 วันนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ

3. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถใช้สิทธินี้เมื่อใดก็ได ตราบใดที่ไม่ขัดต่อกฎหมายหรือสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ และสถิติ

4. สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลนั้น ๆ ต่อสาธารณะ เจ้าของข้อมูลมีสิทธิที่จะขอให้ลบหรือทำลาย หรือแม้แต่ขอแก้ไขไม่ให้ข้อมูลระบุถึงตัวตนของตนเองได้ ซึ่งผู้ควบคุมข้อมูลจะต้องรับผิดชอบดำเนินการเอง

5. สิทธิในการเพิกถอนความยินยอม

หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว แต่ต้องการเพิกถอนความยินยอมนั้น ก็สามารถทำได้ทุกเมื่อ โดยจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

6. สิทธิขอให้ระงับการใช้ข้อมูล

เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูล ไม่ว่าจะในกรณีที่เปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะจำเป็นต้องนำข้อมูลนั้นไปใช้ในทางกฎหมายหรือการเรียกร้องสิทธิ เป็นต้น

7. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล

หากพบว่าข้อมูลส่วนบุคคลมีข้อผิดพลาด เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลให้ถูกต้องได้เพื่อจะได้ไม่ก่อความเข้าใจผิดในภายหลัง โดยการแก้ไขนั้นต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

8. สิทธิขอให้โอนข้อมูลส่วนบุคคล

หากเจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปให้กับผู้ควบคุมข้อมูลอีกราย ก็สามารถขอให้ผู้ควบคุมข้อมูลรายแรกที่จัดทำข้อมูลของเราไว้แล้วทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ โดยการใช้สิทธินี้ต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น

ในกรณีใดบ้างที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีบทบัญญัติเกี่ยวกับหลักการเก็บข้อมูลตามกฎหมาย PDPA มาตรา 24 อันระบุถึงหลักการในเรื่องของความยินยอม (Consent) การป้องกันหรือระงับอันตรายต่อชีวิต การปฏิบัติตามสัญญา ประโยชน์สาธารณะซึ่งชอบด้วยกฎหมาย และการดำเนินการเกี่ยวกับเอกสารทางประวัติศาสตร์ วิจัย และสถิติ โดยกรณีที่ไม่ต้องขอความยินยอมมีรายละเอียดดังนี้

• กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์ของสาธารณะ เช่น การป้องกันโรคระบาด เป็นต้น
• การปฏิบัติตามสัญญา
• การปฏิบัติตามภารกิจของรัฐ ตามมาตรา 24 (4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์ของสาธารณะ หรือเป็นการใช้อำนาจรัฐ ก็ไม่จำเป็นต้องขอความยินยอม แต่กระนั้น ผู้ควบคุมข้อมูลส่วนบุคคลก็ยังต้องทำหน้าที่ในการรักษาความปลอดภัยของข้อมูล  และคำนึงถึงความจำเป็นในการใช้ข้อมูลนั้น ๆ ตลอดจนผลกระทบที่อาจเกิดขึ้นต่อตัวเจ้าของข้อมูล
• การปฏิบัติตามกฎหมาย ตามมาตรา 24 (6)  เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนของลูกจ้างเพื่อส่งให้สำนักงานประกันสังคม เป็นต้น

เรื่องที่มักเข้าใจผิดเกี่ยวกับ PDPA

1. ถ่ายรูปหรือวิดีโอติดภาพผู้อื่นโดยไม่ได้รับความยินยอม จะผิด PDPA

กรณีการถ่ายรูปหรือวิดีโอแล้วติดบุคคลอื่นโดยไม่เจตนา ทว่าไม่ได้ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็ไม่ถือว่าผิด PDPA

2. โพสต์รูปภาพหรือวิดีโอที่ติดภาพผู้อื่นลงโซเชียลมีเดียโดยไม่ได้รับความยินยอม จะผิด PDPA

หากการโพสต์นั้นใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช่เพื่อการแสวงหาผลกำไรและไม่ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็สามารถโพสต์ได้ตามปกติ

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือน จะผิด PDPA

หากเป็นการติดกล้องวงจรปิดภายในบ้านและมีจุดประสงค์เพื่อป้องกันอาชญากรรมหรือรักษาความปลอดภัย ก็ไม่จำเป็นต้องมีป้ายแจ้งเตือน

4. เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

การนำข้อมูลส่วนบุคคลไปใช้ ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลเสมอไป ในกรณีที่ข้อมูลเหล่านั้นเป็น

• การทำตามสัญญา
• การใช้ที่มีกฎหมายให้อำนาจ
• การใช้เพื่อรักษาชีวิตหรือร่างกายของบุคคล
• การใช้เพื่อค้นคว้าวิจัยทางสถิติ
• การใช้เพื่อประโยชน์สาธารณะ
• การใช้เพื่อปกป้องผลประโยชน์หรือสิทธิของตนเอง

อัปเดตล่าสุด PDPA ทำอะไรได้บ้าง

ปัจจุบัน การทำการตลาดออนไลน์มีมากขึ้นเนื่องจากอินเทอร์เน็ตมีอิทธิพลต่อชีวิตของมนุษย์ในทุก ๆ ด้าน ส่งผลให้ความกังวลในเรื่องความปลอดภัยของข้อมูลส่วนบุคคลก็มากขึ้นตามไปด้วย ซึ่งในการทำ Digital Marketing ก่อนหน้านี้ยังไม่มีกฎหมายมาคุ้มครอง ทำให้สามารถเก็บข้อมูลส่วนบุคคลของลูกค้าได้โดยไม่ถูกร้องเรียน แต่ขณะนี้ เมื่อมีกฎหมาย PDPA ขึ้นมาแล้ว ผู้ประกอบการทั้งหลายจึงจำเป็นต้องมีความเข้าใจในขอบเขตของการเก็บข้อมูล เพื่อระมัดระวังไม่ให้เกิดการละเมิดข้อมูลส่วนบุคคลจนเกิดการร้องเรียนได้ โดยเฉพาะธุรกิจ Digital Agency ที่ต้องติดต่อกับลูกค้าเป็นจำนวนมาก 

สิ่งที่ผู้ประกอบการควรระมัดระวัง มีดังนี้

• หากมีหลายเพจ ให้ใช้ข้อมูลของลูกค้าแค่เฉพาะเพจที่ลูกค้าใช้ทำการซื้อสินค้าเท่านั้น ไม่สามารถนำไปใช้ประโยชน์ในอีกเพจหนึ่งของตนเองได้
• ระบุวัตถุประสงค์ในการใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าให้ชัดเจน เพราะหากระบุไม่ชัดเจน ลูกค้าก็มีสิทธิร้องเรียนได้
• ไม่โทรศัพท์เพื่อเชิญชวนหรือขายสินค้ากับลูกค้าโดยตรงหากไม่ได้รับอนุญาตมาก่อน ต้องมีการระบุชัดเจนตั้งแต่ขอเบอร์โทรศัพท์ และหากมีความต้องการจะโทรศัพท์หา ต้องแจ้งให้ลูกค้าทราบล่วงหน้าด้วย
• หากต้องการถ่ายรูปลูกค้าเพื่อนำไปโปรโมตสินค้าหรือประชาสัมพันธ์ในที่สาธารณะ จำเป็นต้องขอความยินยอมจากลูกค้าก่อน และต้องไม่ถ่ายติดผู้อื่นที่ไม่ได้ขออนุญาต
• ในส่วนของข้อมูลลูกค้า ต้องมีระบบการจัดเก็บเป็นความลับ เพราะถ้าหากข้อมูลรั่วไหล เจ้าของข้อมูลนั้นสามารถฟ้องร้องเราได้
• ผู้ประกอบการสามารถยิงโฆษณาได้ปกติ  เมื่อลูกค้าติดต่อซื้อสินค้า สามารถขอข้อมูลผ่านกล่องข้อความได้ แต่ต้องป้องกันไม่ให้ข้อมูลรั่วไหลจนถูกบุคคลอื่นนำไปแสวงหาผลประโยชน์ต่อ
• การขอข้อมูลชื่อและที่อยู่เพื่อจัดส่งสินค้า สามารถทำได้ตามปกติ แต่ลูกค้าสามารถปฏิเสธที่จะไม่ให้เบอร์โทรศัพท์ได้

สรุป

จะเห็นได้ว่า PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีจุดประสงค์เพื่อต้องการรักษาสิทธิของเจ้าของข้อมูลในด้านความปลอดภัยของข้อมูลเหล่านั้น ว่าถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความยินยอมหรือไม่ แต่อย่างไรก็ตาม เจ้าของข้อมูลก็ต้องพิจารณาอย่างรอบคอบก่อนจะตอบรับความยินยอมในการให้ข้อมูลแต่ละครั้ง หากพบว่าการให้ข้อมูลไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูลก็สามารถปฏิเสธได้ เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด

สำหรับผู้เก็บข้อมูลหรือผู้ประกอบการ แม้ว่าจะได้รับผลกระทบโดยตรงจากกฎหมาย PDPA แต่ก็อย่าเพิ่งกังวลมากจนเกินไป เพราะถ้าหากเราค่อย ๆ ปรับเปลี่ยนการทำงานให้มีรูปแบบที่ชัดเจนและไม่ละเมิดข้อมูลส่วนบุคคลของลูกค้า การทำธุรกิจภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ก็จะเป็นไปอย่างราบรื่นแน่นอน