ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดี ๆ จะมีมูลค่ามหาศาล เพราะว่าองค์กร หรือบริษัทที่เก็บข้อมูลเหล่านี้สามารถนำข้อมูลผู้ใช้งานมาวิเคราะห์เพื่อนำมาสื่อสารทางการตลาด ซึ่งจะช่วยเพิ่มยอดขายสินค้า และบริการเป็นอย่างมาก แน่นอนว่า PDPA ถือว่าเป็นเรื่องที่สำคัญมากๆ
ส่วนผู้ประกอบการณ์ที่ต้องเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็น ที่อยู่ หมายเลขโทรศัพท์ จะต้องระมัดระวังมากขึ้นหากจะนำข้อมูลเหล่านั้นไปใช้
ซึ่ง 27 พฤษภาคม ที่ผ่านมา ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผ่านการพิจารณา และเริ่มบังคับใช้ภายในปีหน้า
ในบทความนี้ จะมาสรุปกฎหมายคุ้มครองข้อมูลว่าภาคธุรกิจที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องทำอย่างไรบ้าง ปกป้องข้อมูลส่วนตัวอย่างไรบ้าง สิทธิของเจ้าของข้อมูลส่วนตัวว่ามีอะไรบ้าง
หลายมิติของ “สิทธิเจ้าของข้อมูล”
องค์กรที่ต้องการเก็บข้อมูลส่วนตัวของผู้ใช้งานนั้นสิ่งที่จำเป็นต้องทำมีดังนี้
- วัตถุประสงค์ของการเก็บข้อมูลส่วนตัว
- บอกถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนตัวเมื่อต้องทำสัญญารวมถึงผลกระทบหากไม่ให้ข้อมูล
- บอกระยะเวลาที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานให้ชัดเจน
- บอกว่าจะนำข้อมูลส่วนตัวไปใช้ทำอะไร ที่ไหน และอย่างไร
- ระบุข้อมูลเกี่ยวกับองค์กร สถานที่ติดต่อ และวิธีการติดต่อหา
- แจ้งสิทธิของผู้ใช้งาน หรือลูกที่ต้องให้ข้อมูลส่วนตัว
หมายเหตุ ห้ามให้องค์กรใดๆ ก็แล้วแต่เก็บข้อมูลส่วนตัวจากแหล่งที่มาอื่นไม่ใช่เจ้าของข้อมูลโดยตรง
สิทธิของเจ้าของข้อมูลนั้นสามารถเข้าถึง และขอรับสำเนาข้อมูลที่อยู่ในความรับผิดชอบขององค์กร (เว้นแต่ว่าหากเป็นคำสั่งของศาล หรือทำให้เกิดผลกระทบต่อบุคคลอื่นก็สามารถปฏิเสธได้) โดยองค์กรจะต้องดำเนินการตามคำขอภายใน 30 วัน
นอกจากนี้ยังสามารถคัดค้านการเก็บข้อมูลได้ก็ต่อเมื่อจุดประสงค์เกี่ยวกับการตลาดแบบตรง การศึกษาวิจัยต่าง ๆ
เจ้าของข้อมูลสามารถให้องค์กรลบข้อมูลได้เมื่อ…
- ไม่มีความจำเป็นที่จะต้องเก็บข้อมูล
- ถอนความยินยอม หรือคัดค้านการเก็บข้อมูลส่วนตัว
- หากไม่ชอบด้วยกฎหมาย
ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานจะต้องมีหน้าที่ดังนี้
- จัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันไม่ให้ข้อมูลสูญหาย เข้าถึง และเปลี่ยนแปลงได้
- จะต้องดำเนินการป้องไม่ให้เปิดเผยข้อมูลส่วนบุคคลหากมีบริษัทหรือองค์กรมาขอข้อมูลส่วนตัว
- เมื่อพ้นกำหนดของการเก็บรักษาข้อมูลส่วนบุคคลแล้วจะต้องมีระบบการตรวจสอบเพื่อที่จะทำลาย หรือลบข้อมูล
- หากมีเหตุการละเมิดข้อมูลส่วนบุคคลจะต้องแจ้งสำนักงานภายใน 72 ช.ม.
- หากบริษัท หรือองค์กรอยู่ต่างประเทศจะต้องมีตัวแทนขององค์กรในประเทศด้วย
ประโยคที่ว่า Data is a new oil ในปัจจุบันนี้ก็คงไม่ผิดเพราะข้อมูลจราจรผู้ใช้งานไม่ว่าจะเป็นพนักงานในองค์กร หรือว่าลูกค้าก็ตาม สามารถนำข้อมูลเหล่ามาวิเคราะห์พฤติกรรมการใช้สินค้า และบริการเพื่อเป้าหมายทางการตลาด
ดังนั้นถึงแม้กฎหมายฉบับนี้จะบังคับใช้ในปีหน้า แต่องค์กรที่ต้องเก็บข้อมูลส่วนบุคคลควรที่จะเข้าใจ และรู้ก่อนที่จะเริ่มบังคับใช้นั่นเอง