สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดี ๆ จะมีมูลค่ามหาศาล เพราะว่าองค์กร หรือบริษัทที่เก็บข้อมูลเหล่านี้สามารถนำข้อมูลผู้ใช้งานมาวิเคราะห์เพื่อนำมาสื่อสารทางการตลาด ซึ่งจะช่วยเพิ่มยอดขายสินค้า และบริการเป็นอย่างมาก แน่นอนว่า PDPA ถือว่าเป็นเรื่องที่สำคัญมากๆ

ส่วนผู้ประกอบการณ์ที่ต้องเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็น ที่อยู่ หมายเลขโทรศัพท์ จะต้องระมัดระวังมากขึ้นหากจะนำข้อมูลเหล่านั้นไปใช้

ซึ่ง 27 พฤษภาคม ที่ผ่านมา ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผ่านการพิจารณา และเริ่มบังคับใช้ภายในปีหน้า

ในบทความนี้ จะมาสรุปกฎหมายคุ้มครองข้อมูลว่าภาคธุรกิจที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องทำอย่างไรบ้าง ปกป้องข้อมูลส่วนตัวอย่างไรบ้าง  สิทธิของเจ้าของข้อมูลส่วนตัวว่ามีอะไรบ้าง

หลายมิติของ “สิทธิเจ้าของข้อมูล”

องค์กรที่ต้องการเก็บข้อมูลส่วนตัวของผู้ใช้งานนั้นสิ่งที่จำเป็นต้องทำมีดังนี้

• วัตถุประสงค์ของการเก็บข้อมูลส่วนตัว
• บอกถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนตัวเมื่อต้องทำสัญญารวมถึงผลกระทบหากไม่ให้ข้อมูล
• บอกระยะเวลาที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานให้ชัดเจน
• บอกว่าจะนำข้อมูลส่วนตัวไปใช้ทำอะไร ที่ไหน และอย่างไร
• ระบุข้อมูลเกี่ยวกับองค์กร สถานที่ติดต่อ และวิธีการติดต่อหา
• แจ้งสิทธิของผู้ใช้งาน หรือลูกที่ต้องให้ข้อมูลส่วนตัว

หมายเหตุ ห้ามให้องค์กรใดๆ ก็แล้วแต่เก็บข้อมูลส่วนตัวจากแหล่งที่มาอื่นไม่ใช่เจ้าของข้อมูลโดยตรง

สิทธิของเจ้าของข้อมูลนั้นสามารถเข้าถึง และขอรับสำเนาข้อมูลที่อยู่ในความรับผิดชอบขององค์กร (เว้นแต่ว่าหากเป็นคำสั่งของศาล หรือทำให้เกิดผลกระทบต่อบุคคลอื่นก็สามารถปฏิเสธได้) โดยองค์กรจะต้องดำเนินการตามคำขอภายใน 30 วัน

นอกจากนี้ยังสามารถคัดค้านการเก็บข้อมูลได้ก็ต่อเมื่อจุดประสงค์เกี่ยวกับการตลาดแบบตรง การศึกษาวิจัยต่าง ๆ

เจ้าของข้อมูลสามารถให้องค์กรลบข้อมูลได้เมื่อ…

• ไม่มีความจำเป็นที่จะต้องเก็บข้อมูล
• ถอนความยินยอม หรือคัดค้านการเก็บข้อมูลส่วนตัว
• หากไม่ชอบด้วยกฎหมาย

ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนตัวของผู้ใช้งานจะต้องมีหน้าที่ดังนี้

1. จัดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันไม่ให้ข้อมูลสูญหาย เข้าถึง และเปลี่ยนแปลงได้
2. จะต้องดำเนินการป้องไม่ให้เปิดเผยข้อมูลส่วนบุคคลหากมีบริษัทหรือองค์กรมาขอข้อมูลส่วนตัว
3. เมื่อพ้นกำหนดของการเก็บรักษาข้อมูลส่วนบุคคลแล้วจะต้องมีระบบการตรวจสอบเพื่อที่จะทำลาย หรือลบข้อมูล
4. หากมีเหตุการละเมิดข้อมูลส่วนบุคคลจะต้องแจ้งสำนักงานภายใน 72 ช.ม.
5. หากบริษัท หรือองค์กรอยู่ต่างประเทศจะต้องมีตัวแทนขององค์กรในประเทศด้วย

ประโยคที่ว่า Data is a new oil ในปัจจุบันนี้ก็คงไม่ผิดเพราะข้อมูลจราจรผู้ใช้งานไม่ว่าจะเป็นพนักงานในองค์กร หรือว่าลูกค้าก็ตาม สามารถนำข้อมูลเหล่ามาวิเคราะห์พฤติกรรมการใช้สินค้า และบริการเพื่อเป้าหมายทางการตลาด

ดังนั้นถึงแม้กฎหมายฉบับนี้จะบังคับใช้ในปีหน้า แต่องค์กรที่ต้องเก็บข้อมูลส่วนบุคคลควรที่จะเข้าใจ และรู้ก่อนที่จะเริ่มบังคับใช้นั่นเอง