อะไรคือ PDPA?
เมื่อโลกออนไลน์มีการเปลี่ยนแปลงและพัฒนาไปอย่างรวดเร็ว การที่ผู้คนเข้าถึงข้อมูลและสื่อต่างๆก็สะดวกสบายมากขึ้น เราจะเห็นได้ว่าสมัยก่อนที่การใช้งานออนไลน์หรือแพลทฟอร์มต่างๆบนอินเตอร์เน็ตยังไม่มากเท่าปัจจุบันนี้ ในหลายๆบริษัทหรือหลายๆองค์กร ยังไม่มีวิธีการทำการตลาดโดยการนำข้อมูลข้อง User มาใช้เท่าปัจจุบันนี้ เราจะเห็นได้จากกรณีที่ว่า ทำไมหลังจากที่เราเข้าไปที่เว็บไซต์ใดเว็บไซต์หนึ่งก็มักจะมีโฆษณาตามหลอกหลอน ทั้งๆที่เราก็ไม่ได้กดคลิกอะไรในเว็บนั้นเลย นั่นก็เป็นเพราะว่าเว็บไซต์นั้นๆได้มีการเก็บข้อมูลบางอย่างของเราให้ระบบการทำงานของโฆษณาติดตามผู้เข้าชมเว็บไซต์และให้ปรากฏโฆษณานั้นขึ้นเมื่อคุณไปยังแพลทฟอร์มที่มีการทำโฆษณา หรือที่เรารู้จักกันในชื่อ Pixel เจ้า Pixel เป็นระบบติดตามของ Facebook ที่ใช้ติดตามพฤติกรรมของผู้เข้าชมเว็บไซต์
แล้วจากกรณีดังกล่าว มีความเกี่ยวข้องกับ PDPA อย่างไร?
ความเป็นมาของ PDPA หรือ Personal Data Protection Act ต้องเท้าความย้อนกลับไปเมื่อ 2 ทศวรรษที่ผ่านมา ณ ตอนนั้นเทคโนโลยีได้เริ่มเข้ามามีบทบาทและถูกนำมาใช้งานในแบบของข้อมูลเทคโนโลยี หรือ Information Technology มากขึ้น ซึ่งจากที่ได้กล่าวไปข้างต้นก็จะเห็นได้ว่าคอมพิวเตอร์ได้เข้ามามีบทบาทกับผู้คนมากขึ้นเรื่อยๆ ทุกคนไม่สามารถปฏิเสธได้เพราะบางทีมนุษย์อาจจะเป็นฝ่ายที่ต้องปรับตัวตามเทคโนโลยีด้วยซ้ำ ซึ่งคอมพิวเตอร์จะทำหน้าที่เป็นตัวเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ วันเดือนปีเกิด ที่อยู่ หรือแม้กระทั่งข้อมูลทางการเงิน จึงทำให้มีคนพูดถึงเรื่องสิทธิในการคุ้มครองข้อมูลเหล่านั้นขึ้นมาเพื่อไม่ให้ข้อมูลส่วนบุคคลถูกขโมยไปใช้อย่างไม่ถูกต้องและไม่ได้รับการยินยอมจากตัวเจ้าของข้อมูลจึงเป็นเหตุผลที่ทำให้มีการจัดทำ พรบ.คุ้มครองข้อมูลส่วนบุคคล ขึ้นเมื่อปี 2562 ที่ผ่าน หรือที่เรามักจะเรียกสั้นๆว่า PDPA นั่นเอง
ทำไมเราถึงต้องทำ PDPA ?
หลายๆคนคงเกิดคำถามว่า พรบ คอมพิวเตอร์ ยังไม่เพียงพอต่อการปรับใช้อีกเหรอ ทำไมยังต้องมี PDPA ขึ้นมาอีก ต้องทวนกันอีกทีว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นเหมือนกฏหมายฉบับที่ช่วยเติมเต็ม พรบ. คอมพิวเตอร์ ให้ครอบคลุมมากขึ้น ถ้าจะพูดให้เข้าใจง่ายๆคือ PDPA จะเป็นเหมือนการสร้างขึ้นมาเพื่อเน้นคุ้มครองประชาชน ส่วน พรบ.คอมพิวเตอร์นั้น เป็นกฎหมายที่ให้อำนาจรัฐสามารถควบคุมประชาชนอีกทีหนึ่ง ทั้งนี้ในส่วนของประชาชนก็สามารถมั่นใจได้ถึงข้อมูลของตนเองมากขึ้นว่าจะไม่มีการรั่วไหล หรือหากมีการรั่วไหลบทลงโทษและค่าปรับก็ค่อนข้างโหดอยู่เหมือนกัน (*บทลงโทษในหัวข้อถัดไป)
และจากหัวข้อนี้ที่ว่า ทำไมเราถึงต้องทำ PDPA ก็คงพอเห็นภาพกันไปแล้วบ้าง ในการทำ PDPA นั้นถ้าเรามองในมุมขององค์กรหรือบริษัทที่ให้บริการแน่นอนว่าในทุกๆบริษัทหรือองค์กรต้องมีการเก็บข้อมูลของลูกค้า ไม่ว่าจะผ่านแบบฟอร์มการกรอกข้อมูล หรือมีเรื่องของการชำระเงินเกิดขึ้น แน่นอนว่าข้อมูลเหล่านี้ล้วนเป็นข้อมูลที่บางบริษัทอาจจะนำไปใช้เพื่อทำการตลาดและส่งเสริมการให้บริการให้ดีขึ้น เมื่อหลายปีที่ผ่านมาหรือก่อนที่จะเกิด พรบ.ฉบับนี้ขึ้น หลายๆบริษัทก็ยังไม่ได้มีการทำ PDPA ให้เกิดขึ้น
เราจะขอยกตัวอย่างให้เห็นว่า ถ้าบริษัทหรือองค์กรไหนที่มีการดำเนินการเก็บข้อมูลตามที่กล่าวมาในข้างต้น ไม่ได้ทำ PDPA ก็จะมีบทลงโทษที่ค่อนข้างหนักพอสมควร ทั้งจำและปรับ เราจะเห็นได้จากกรณีของ บริษัท Facebook ที่ต้องจ่ายค่าปรับรวม 1.5 แสนล้านบาท ให้กับคณะกรรมาธิการ การค้าสหรัฐ (Federal Trade Commission) จากการที่ได้นำข้อมูลส่วนตัวผู้ใช้งานไปใช้ในทางที่ผิด มูลค่าการปรับครั้งนี้ถือเป็นค่าปรับที่แพงสุดในโลกสำหรับบริษัทเทคโนโลยี แต่นั่นก็ไม่ได้ทำให้ Facebook สะทบสะท้านแต่อย่างใด เพราะมูลค่า GDP ของ Facebook นั้นใหญ่กว่าประเทศไทยทั้งประเทศเสียอีก แล้วถ้าบริษัทเราไม่ใช่บริษัทที่มีรายได้เยอะขนาดนั้นหรือคุณจะยอมเสี่ยงต่อการจ่ายค่าปรับสูงๆ ซึ่งนั่นมันก็ไม่คุ้ม เพราะหากเราไม่มีการป้องกันหรือลดความเสี่ยงจากการถูกฟ้องร้องและนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตจากผู้เข้าชม ก็อาจข่าวขึ้นหน้าฟีดว่า จากฟ้าสู่ดิน พบบริษัทที่เคยมีกำไรในการขายสินค้ามาในตลาดออนไลน์ได้ขายข้อมูลและส่งข้อความน่ารำคาญให้กับผู้ใช้ ต้องเสียค่าปรับหลายล้าน หลังจากที่มีการปรับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง ในทางกลับกัน ถ้าเรามองในมุมของผู้ใช้งานหรือผู้เข้าชมเว็บไซต์อย่างเราๆอาจจะทำให้เรารู้สึกปลอดภัยมากขึ้นในการยินยอมที่จะให้ข้อมูลไป *ในส่วนนี้ถ้าเราอยู่ในฐานะผู้เข้าชมเว็บไซต์ ควรตะหนักด้วยเช่นกันว่าทางเว็บไซต์จะมีการเก็บข้อมูลของเราไปในรูปแบบไหนบ้าง ซึ่งเราก็สามารถอ่านเงื่อนไขต่างๆใน term ของ Cookie Popup เวลาที่เราเข้าชมแล้วเว็บไซต์ให้เรายินยอม ฉะนั้นแล้วถ้าเว็บไซต์ไม่มีความน่าเชื่อถือการให้ข้อมูลไปอาจจะไม่เป็นการปลอดภัยต่อเรานัก ทางที่ดีควรมีการพิจารณาดูเงื่อนไขของการเก็บข้อมูลของเว็บไซต์ก่อน หากเรารับได้ในเงื่อนไขวิธีการเก็บข้อมูลในเว็บไซต์ดังกล่าว เราจำเป็นจะต้องกดยอมรับ หรือ accept เพื่อเป็นการยินยอมให้บริษัทหรือองค์กรนั้นๆ มีการเก็บข้อมูลจากเราไป
ทำไมเราถึงต้องทำ PDPA ? ตอบ เพื่อความสบายใจของผู้ใช้และความโปร่งใสของการทำงานขององค์กรหรือบริษัท
แล้ว PDPA กับ GDPR เหมือนหรือแตกต่างกันอย่างไร
ความเป็นจริงแล้ว พรบ.ในลักษณะนี้มีขึ้นมานานแล้วในต่างประเทศ แต่ละประเทศมีบทลงโทษแตกต่างกันไป ซึ่งเอาเข้าจริงๆแล้วกฏหมายมีความเหมือนกันมาก แต่แตกต่างกันที่มีผลบังคับใช้กับใครบ้าง วันนี้เราจึงเปรียบเทียบให้เห็นถึงคำนิยาทความแตกต่างของ PDPA และ GDPR ให้คุณได้เห็นภาพได้ชัดขึ้น
คำนิยาม GDPR
“ข้อมูลใดๆที่เกี่ยวข้องกับตัวบุคคลที่สามารถระบุตัวบุคคลได้ โดยทางตรงและทางอ้อม โดยเฉพาะการอ้างอิงถึงสิ่งที่สามารถระบุถึงตัวบุคคลได้ เช่นคุณสมบัติทางกายภาพ สรีรวิทยาสามารถระบุตัวบุคคล”
คำนิยาม PDPA
“ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรม”
แล้วอะไรบ้างที่สามารถระบุตัวตนได้ทั้งทางตรงและทางอ้อม
- IP Adress
- ข้อมูลพฤติกรรม
- โลเคชั่นเช็คอิน
- ข้อมูลสุขภาพ
- ลายนิ้วมือ
- รสนิยมทางเพศ
- Cookie ID
- อื่นๆ
Checklist ว่าเว็บไซต์คุณเข้าข่ายถูกบังคับใช้หรือไม่
- เว็บไซต์หรือองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่าง เช่น เว็บไซต์ Ecommerce รายหนึ่ง มีเก็บข้อมูลของผู้ใช้
- เว็บไซต์หรือองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลจ้างให้ประมวลผลข้อมูลของลูกค้า ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.จะเรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
- เว็บไซต์คุณมีข้อมูลอยู่ต่างประเทศหรือไม่ หมายถึงเว็บไซต์หรือบริษัทคุณตั้งอยู่ต่างประเทศและมีการถ่ายโอนข้อมูล เข้า-ออกในประเทศไทยก็นับว่าเข้าข่ายเช่นเดียวกัน
หากละเมิดมีบทลงโทษอะไรบ้าง
- โทษทางอาญาจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
สรุปแล้วในมุมมองของผู้เขียนเห็นว่าการทำ PDPA นั้นมีความสำคัญและจำเป็นอย่างมากที่องค์กรหรือผู้ให้บริการเว็บไซต์จะต้องทำ เพราะเสมือนเป็นการสร้างความไว้วางใจและความปลอดภัยให้กับตัวผู้ใช้เองและสร้างความโปร่งใสในการทำให้บริการของเว็บไซต์ และหากละเมิดก็มีบทลงโทษที่ค่อนข้างหนักอยู่เหมือนกัน เราคงไม่ยอมเสี่ยงที่จะเสียเครดิตหรือภาพลักษณ์ของธุรกิจไปกับการทำงานหรือการให้บริการที่ไม่โปร่งใสต่อตัวผู้ใช้
ติดตามเราเพิ่มเติมได้ที่ yeswebdesignstudio.com
Facebook : yeswebdesignstudio
Instagram : yeswebdesign_bkk
Twitter : yeswebdesignbkk
