PDPA คืออะไร? ทำไมถึงเป็นกฎหมายใกล้ตัวที่ทุกคนต้องรู้จักในปี 2565

คุณเคยบ่นว่าอยากได้ของอะไรสักอย่างลงบนโซเชียลมีเดียไหม หรือไม่ก็กดเข้าไปดูสินค้าชนิดนั้นบนหน้าเว็บไซต์เฉย ๆ แต่ยังไม่ได้กดซื้อ แล้วก็กดออกจากเว็บไซต์มาเลยไหม จากนั้นอีกสักพักนึงก็มีโฆษณาสินค้าชนิดนั้นอยู่เต็มหน้าไทม์ไลน์หลอกหลอนเราเต็มไปหมดเลย คุณเคยสงสัยไหมว่า ทำไมมันถึงเป็นแบบนั้น ระบบมันรู้ได้ยังไง?

หรือในอีกกรณีนึง คุณคงอาจได้เคยรับโทรศัพท์เบอร์แปลก ๆ กันมานับไม่ถ้วน ซึ่งปลายสายนั้นบอกว่ามีพัสดุค้างส่งอยู่ที่ศุลกากร ถ้าอยากได้คืนก็ต้องโอนเงินไป หรือล้ำไปกว่านั้น มีจดหมายเสียค่าปรับทางด่วนปลอม ๆ ส่งมาถึงบ้าน ทั้ง ๆ ที่ตลอด 3 เดือนที่ผ่านมาไม่เคยออกไปเที่ยวที่ไหนเลย แล้วพวกเขาเหล่านั้นไปเอาข้อมูลที่อยู่ เบอร์โทรศัพท์ของเรามาจากไหนกัน?

ทั้งสองกรณี นั่นเป็นตัวอย่างของธุรกิจที่นำข้อมูลของเราไปใช้โดยที่เราไม่ยินยอม ซึ่งมันอาจสร้างความเดือดร้อน ความรำคาญ หรือนำข้อมูลไปบิดเบือนเพื่อสร้างความเสียหายให้กับเจ้าของข้อมูลนั้นได้ นั่นจึงเป็นที่มาของ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

และหลังจากที่ในปี 2564 คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกา ขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไปอีก 1 ปี โดยจะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้ ทำให้ส่งผลกระทบต่อประชาชนทั่วไปในฐานะเจ้าของข้อมูล เรามาดูกันว่าภาคธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะมีแนวทางการรับมือเรื่องนี้อย่างไรได้บ้างในบทความนี้

PDPA คืออะไร? ทำไมถึงเป็นกฎหมายใกล้ตัวที่ทุกคนต้องรู้จักในปี 2565

PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้บางส่วนแล้วเมื่อ 28 พฤษภาคม 2562 แต่ในปีนี้จะมีการประกาศบังคับใช้กฎหมายทั้งฉบับอย่างเป็นทางการ ในวันที่ 1 มิถุนายน 2565 หลังจากที่มีการเลื่อนบังคับใช้มาเป็นเวลา 2 ปีเต็ม เพื่อให้องค์กรต่าง ๆ  ได้เตรียมความพร้อมมากขึ้น

การคุ้มครองข้อมูลส่วนบุคคล คือ คุ้มครองบุคคลเพื่อไม่ให้ผู้อื่นนำข้อมูลของเราไปใช้ได้โดยที่เราไม่ยินยอม ซึ่งข้อมูลในที่นี้ จะหมายถึง ข้อมูลทุกอย่างที่ทำให้สามารถระบุตัวตนของบุคคลนั้นได้ทั้งทางตรงและทางอ้อม เช่น ชื่อ-นามสกุล, เลขบัตรประชาชน, เพศ, ที่อยู่, เบอร์โทรศัพท์, อีเมล, รูปภาพ, ลายนิ้วมือ, ข้อมูลพฤติกรรมของบุคคลนั้น ๆ หรือข้อมูลอื่น ๆ

‍ความสำคัญของ PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

หลายปีที่ผ่านมา หลายคนอาจมองว่าข้อมูลส่วนบุคคลของเรานั้นเป็นเรื่องธรรมดาที่ใคร ๆ จะรู้ก็ได้ ไม่ว่าจะเป็นชื่อ-นามสกุล, เบอร์โทรศัพท์, เพศ, อายุ หรือแม้กระทั่งรูปใบหน้าของเรา แต่พอมาเป็นยุคดิจิทัลนี้ ทั้งแบรนด์ และองค์กรธุรกิจต่าง ๆ รวมถึงพฤติกรรมของผู้บริโภค ทุกอย่างมีการเปลี่ยนแปลงไปเยอะกว่าเดิมมาก อะไรก็ตามที่สามารถระบุตัวตนของลูกค้าหรือผู้บริโภคได้ ข้อมูลเหล่านั้นเป็นสิ่งที่ทุกธุรกิจหรือผู้ประกอบการนักธุรกิจต่าง ๆ มีความชื่นชอบ และพากันคิดกลยุทธ์ต่าง ๆ เพื่อที่จะได้นำข้อมูลของลูกค้ามา

เพราะธุรกิจสามารถนำข้อมูลของลูกค้าแต่ละคนที่พอนำมารวม ๆ กันแล้ว ก็กลายเป็นข้อมูลขนาดใหญ่ (Big Data) นำไปวางแผน คิดกลยุทธ์ทำการตลาด เพื่อทำให้สามารถขายสินค้าหรือบริการให้กับผู้บริโภคได้โดยตรงผ่านโทรศัพท์มือถือหรือโซเชียลมีเดียต่าง ๆ ดังนั้น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจึงเกิดมาเพื่อช่วยคุ้มครองความเป็นส่วนตัวของผู้บริโภคทุกคนโดยเฉพาะ 

ถึงแม้ว่าจะมีการพูดถึงกิจกรรมการเก็บข้อมูลในออนไลน์เป็นส่วนใหญ่ แต่กฎหมายฉบับนี้เป็นกฎหมายที่ครอบคลุมทุกกิจกรรมที่มีการเก็บข้อมูลหรือการใช้ข้อมูลส่วนบุคคลของประชาชน ทั้งแบบออนไลน์และออฟไลน์

ยกตัวอย่างเช่น เรากำลังเดินทางโดยรถไฟฟ้า ทันใดนั้นเอง สายตาเราก็มองไปเห็นคน ๆ หนึ่งที่เราแอบปิ๊งมาเนิ่นนาน เราจึงแอบถ่ายรูปคน ๆ นั้น แล้วส่งต่อให้กับเพื่อน นี่ก็ถือว่าเข้าข่ายผิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเหมือนกัน 

เพราะแอบถ่ายรูปคนอื่นโดยที่เขาไม่ได้รับความยินยอม แถมยังส่งต่อให้กับผู้อื่นอีก ถ้าเกิดว่าเพื่อนของเรานำรูปคนนั้นไปใช้ในทางที่ไม่ดี ก็อาจสร้างความเสียหายให้กับบุคคลนั้นได้ ซึ่งในกรณีนี้เราอาจเห็นได้บ่อยครั้งบนโลกโซเชียล ทำให้มีประเด็นคนเดือดร้อนกันมากมาย

หรืออีกหนึ่งกรณี เราอาจเคยถ่ายสำเนาบัตรประชาชน, สำเนาทะเบียนบ้าน, สำเนาสมุดบัญชีธนาคาร เพื่อไปสมัครสมาชิกหรือองค์กรใดสักแห่งหนึ่ง แต่หลังจากที่พวกเขานำข้อมูลของเราไปใช้แล้ว เกิดอะไรขึ้นกับสำเนาแผ่นนั้นล่ะ? 

บางองค์กรก็อาจเอาไปทำลายให้เรา แต่กลับกันบางองค์กรก็นำไปชั่งกิโลขายต่อ เช่น เวลาที่เราซื้อกล้วยทอด เราก็อาจเคยเห็นเอกสารสำคัญพวกนั้นตามถุงกล้วยทอดบ้าง ใช่แล้ว นั่นแหละก็เป็นการนำข้อมูลส่วนบุคคลของเราไปใช้หรือนำไปให้คนอื่นเหมือนกัน 

เมื่อคนอื่นมาดูข้อมูลของเรา เขาก็อาจนำไปใช้ในทางที่ไม่ดีก็ได้ ดังนั้นกฎหมายฉบับนี้จึงไม่ได้อยู่เฉพาะแค่บนโลกดิจิทัลเท่านั้น แต่หมายถึงการควบคุมข้อมูลส่วนบุคคลทุกประเภท ทุกวิธีการ แม้แต่ในโลกออฟไลฟ์ด้วยนั่นเอง

PDPA กฎหมายฉบับนี้มีผลกระทบถึงใครบ้าง?

ผู้ประกอบการ ธุรกิจทุกภาคส่วน และประชาชนทุกคน ล้วนมีส่วนเกี่ยวข้องกับกฎหมายฉบับนี้ทั้งหมด ในฝั่งธุรกิจเอง ถึงแม้จะบอกว่าตัวเองไม่ได้เก็บข้อมูลของลูกค้าเลย แต่ว่าการที่คุณมีข้อมูลพนักงานทั้งหมดอยู่ในมือ ซึ่งถือว่าเป็นข้อมูลส่วนบุคคล คุณก็มีความเกี่ยวข้องกับกฎหมายฉบับนี้เช่นกัน

ส่วนในด้านดิจิทัล เว็บไซต์ธุรกิจต่าง ๆ จะมีการฝังซอฟต์แวร์เล็ก ๆ ไว้ ที่เราเรียกว่า “คุกกี้” (Cookie หรือ HTTP Cookie) คือ ข้อมูลขนาดเล็กที่ถูกบันทึกลงบนเว็บเบราว์เซอร์ของผู้เยี่ยมชมเว็บไซต์นั้น ๆ ทำให้เจ้าของเว็บไซต์ สามารถเก็บข้อมูลพฤติกรรมบางอย่างที่เว็บเบราว์เซอร์ของผู้ใช้งาน 

ตัวอย่างเช่น กิจกรรมที่ผู้ใช้งานเคยทำบนเว็บไซต์แห่งนี้ ไม่ว่าจะเป็นการคลิก, การหยุดอ่านข้อมูลที่ส่วนใดส่วนหนึ่งของเว็บไซต์ หรือข้อมูลแบบฟอร์มที่เคยกรอก เพื่อเจ้าของเว็บไซต์จะได้นำข้อมูลเหล่านั้นไปใช้ประโยชน์ในการทำธุรกิจหรือปรับปรุงประสบการณ์บนเว็บไซต์ของผู้ใช้งานให้ดีขึ้น 

ในปัจจุบันนี้หลายเว็บไซต์ก็ได้มี Popup ขึ้นมา เพื่อขอความยินยอมจากเราแล้ว บางครั้งบาง Popup ถ้าหากเราไม่กดยินยอม หรือไม่ Take Action อะไรเลย Popup นั้นก็จะขึ้นค้างไว้ ไม่ให้เราเข้าไปอ่านบทความหรือกดซื้อสินค้าได้เลย ดังนั้นเราจึงจำเป็นต้องกดยินยอมก่อน จึงจะสามารถทำสิ่งที่เราต้องการได้

อย่างไรก็ตาม เราก็สามารถเลือกได้ว่าจะให้เว็บไซต์นั้นเก็บข้อมูลส่วนไหนของเราไปใช้บ้าง เช่น คุกกี้ที่นำไปใช้ทางการตลาด, คุกกี้ที่ยินยอมให้เปิดเผยข้อมูลกับ Third Party ของธุรกิจนั้น ๆ เป็นต้น ซึ่งแต่ละเว็บไซต์ก็จะมีหน้าตาและจุดประสงค์ของ Popup ที่แตกต่างกันไป

เพราะฉะนั้นแล้ว ก่อนที่จะนำข้อมูลของใครก็ตามไปใช้ ทั้งออนไลน์หรือออฟไลน์ จึงจำเป็นที่จะต้องให้พวกเขารับทราบข้อตกลงและขอความยินยอมจากพวกเขาก่อน รวมถึงมีการระบุวัตถุประสงค์หรือระยะเวลาที่จะนำข้อมูลของบุคคลนั้นไปใช้ด้วยว่านำไปใช้เพื่ออะไร และจะสิ้นสุดลงเมื่อไร เพื่อความเข้าใจตรงกันของทั้งสองฝ่าย และจะได้ไม่ผิดกฎหมาย PDPA ที่กำลังจะมีผลบังคับใช้เต็มฉบับอีกด้วย

Take Action ง่าย ๆ เพื่อเตรียมตัวก่อนกฎหมาย PDPA ประกาศใช้

• องค์กรธุรกิจต่าง ๆ ต้องให้ตัวบุคคลเจ้าของข้อมูลนั้นรับทราบและยินยอมข้อตกลงการใช้ข้อมูลก่อน
• ระบุวัตถุประสงค์ในการใช้ข้อมูลให้ชัดเจน
• ระบุระยะเวลาที่ขอใช้ข้อมูล เพื่อความเข้าใจของทั้งสองฝ่าย

โทษของบุคคลที่ฝ่าฝืนกฎหมาย PDPA

สำหรับเว็บไซต์หรือผู้ที่ฝ่าฝืนกฎหมาย PDPA จะมีบทลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ดังนี้

• โทษทางแพ่ง มีการกำหนดให้ชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด บวกกับ ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดเป็น 2 เท่าของค่าเสียหายจริง
• โทษทางอาญา จำคุก 1 ปี หรือปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับ‍
• โทษทางปกครอง มีการปรับตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท

PDPA และ GDPR ต่างกันอย่างไร?

เราอาจจะเคยได้ยินกฎหมาย GDPR (General Data Protection Regulation) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรปมาแล้ว แต่ก็อาจสงสัยว่าทั้งสองกฎหมายนี้ มีความเหมือนหรือต่างกันอย่างไรบ้าง? เราจะขอสรุปแบบง่าย ๆ เลย

• PDPA เป็นกฎหมายที่คุ้มครองข้อมูลบุคคลที่ใช้ในประเทศไทย
• GDPR เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่ใช้ในฝั่งยุโรป

ยกตัวอย่าง ถึงแม้ว่า Facebook จะเป็นบริษัทที่ไม่ได้จดทะเบียนอยู่ในประเทศไทย แต่ในเมื่อมีผู้ใช้ชาวไทยไปใช้งาน Facebook ก็ต้องเคารพกฎหมาย PDPA เหมือนกัน เพราะว่าเขาได้รับ “ข้อมูล” ของคนไทยไป แต่กลับกัน ถ้าเราเป็นบริษัทที่จดทะเบียนในประเทศไทย แต่ว่ามีผู้ใช้งานชาวยุโรปมาใช้ บริษัทของเราก็ต้องศึกษาและเคารพกฎหมาย GDPR ด้วยเหมือนกัน 

นอกจากนั้น ในแง่ของการทำธุรกิจระหว่างประเทศ ถ้าเกิดว่าในประเทศไทยไม่มีกฎหมายคุ้มครองข้อมูลบุคคล บางบริษัทต่างประเทศ เขาก็ไม่กล้าส่งข้อมูลมาให้เรา เพราะเขาอาจกลัวว่าข้อมูลของเขาจะไม่ได้รับการปกป้อง ไม่มีอะไรคุ้มครอง กลัวไม่ปลอดภัย อาจทำให้เราเสียโอกาสในการทำธุรกิจตรงนี้ไปได้เช่นกัน

ดังนั้นแล้ว ถ้าเกิดว่าเราทำธุรกิจใด ๆ ก็ตามที่ต้องรับข้อมูลของชาวต่างชาติ เราก็ต้องศึกษาข้อกฎหมายของประเทศนั้น ๆ ด้วย และถ้าเกิดว่าเราละเมิดกฎหมายนั้น ก็ต้องไปรับโทษตามบทลงโทษของกฎหมายเขาเช่นกัน ซึ่งกฎหมายก็ถือว่าเป็นเรื่องที่ละเอียดอ่อนและไม่ควรละเลยแม้แต่น้อย แต่ควรให้ความสำคัญเป็นอย่างยิ่ง

อย่างไรก็ตาม ถึงแม้ว่าจะมีกฎหมายนี้ออกมาคุ้มครองบุคคล แต่แบรนด์หรือธุรกิจต่าง ๆ ก็ยังคงต้องการข้อมูลของลูกค้าอยู่ดี ซึ่งโดยปกติแล้ว การเข้าถึงข้อมูลพฤติกรรมของผู้ใช้งานบนเว็บไซต์ แบรนด์ต่าง ๆ ก็ต้องให้ผู้ใช้กดยินยอมเข้าใช้งานคุกกี้ (Cookie) ก่อนอยู่ดี จึงจะสามารถเข้าถึงข้อมูลของผู้ใช้งานได้

แต่ถ้าเกิดว่าผู้ใช้งานไม่กดยินยอม เพื่อให้แบรนด์เข้าถึงข้อมูลของพวกเขาผ่านการใช้คุกกี้ เราก็มีทางออกสำหรับนักการตลาดมาให้ ซึ่งเป็นเครื่องมือที่ทำให้เข้าถึงข้อมูลของลูกค้าได้ง่ายขึ้น เครื่องมือนั้นที่ว่านั้นก็คือ Google Consent Mode ที่เป็นสิ่งที่เป็นเหมือนกับสะพานที่เอาไว้เชื่อมช่องว่างระหว่างความเป็นส่วนตัวของข้อมูล (Data Privacy) และโฆษณาดิจิทัลที่ขับเคลื่อนด้วยข้อมูล (Data-Driven Digital Advertisement) 

อ่านบทความเกี่ยวกับ: 

• Google Consent Mode เครื่องมือที่นักการตลาดควรรู้จักในยุคที่การยินยอมจากลูกค้าคือสิ่งที่ธุรกิจไม่ควรละเลย

สรุปทั้งหมด

ปัจจุบันเทคโนโลยีมีความก้าวหน้าขึ้นอย่างมาก พฤติกรรมของผู้คนก็เปลี่ยนจากออฟไลน์มาเป็นออนไลน์มากขึ้น ทำให้หลายธุรกิจต่างมีข้อมูลเป็นหนึ่งในเป้าหมายในการทำธุรกิจมากขึ้น ดังนั้นจึงมีการประกาศใช้ PDPA ขึ้นมา ซึ่งในช่วง 5-10 ปีที่ผ่านมา เราอาจจะเห็นประเด็นที่มีคนถูกละเมิดข้อมูลส่วนตัวกันค่อนข้างเยอะ ทำให้ผู้คนเกิดความเดือดร้อนขึ้น กฎหมายนี้ก็จะช่วยให้เราทุกคนได้รับความคุ้มครองมากขึ้น

และวินาทีที่กฎหมาย PDPA บังคับใช้ ในวันที่ 1 มิถุนายน 2565 จะไม่ใช่เฉพาะแค่ธุรกิจ แบรนด์ หรือองค์กรต่าง ๆ เท่านั้นที่ได้รับผลกระทบ แต่เป็นประชาชนทุกคนเลยที่มีความเกี่ยวข้องกับกฎหมายฉบับนี้ ซึ่งเราก็ต้องศึกษาให้ดี และหลีกเลี่ยงพฤติกรรมการละเมิดข้อมูลของบุคคลอื่นด้วย

The Growth Master หวังเป็นอย่างยิ่งว่า ทุกคนจะได้รับประโยชน์จากบทความนี้นะคะ :)