PDPA คืออะไร

บทความโดย Yes Web Design Studio

ทำ PDPA

อะไรคือ PDPA?

เมื่อโลกออนไลน์มีการเปลี่ยนแปลงและพัฒนาไปอย่างรวดเร็ว การที่ผู้คนเข้าถึงข้อมูลและสื่อต่างๆก็สะดวกสบายมากขึ้น เราจะเห็นได้ว่าสมัยก่อนที่การใช้งานออนไลน์หรือแพลทฟอร์มต่างๆบนอินเตอร์เน็ตยังไม่มากเท่าปัจจุบันนี้ ในหลายๆบริษัทหรือหลายๆองค์กร ยังไม่มีวิธีการทำการตลาดโดยการนำข้อมูลข้อง User มาใช้เท่าปัจจุบันนี้ เราจะเห็นได้จากกรณีที่ว่า ทำไมหลังจากที่เราเข้าไปที่เว็บไซต์ใดเว็บไซต์หนึ่งก็มักจะมีโฆษณาตามหลอกหลอน ทั้งๆที่เราก็ไม่ได้กดคลิกอะไรในเว็บนั้นเลย นั่นก็เป็นเพราะว่าเว็บไซต์นั้นๆได้มีการเก็บข้อมูลบางอย่างของเราให้ระบบการทำงานของโฆษณาติดตามผู้เข้าชมเว็บไซต์และให้ปรากฏโฆษณานั้นขึ้นเมื่อคุณไปยังแพลทฟอร์มที่มีการทำโฆษณา หรือที่เรารู้จักกันในชื่อ Pixel เจ้า Pixel เป็นระบบติดตามของ Facebook ที่ใช้ติดตามพฤติกรรมของผู้เข้าชมเว็บไซต์

 

แล้วจากกรณีดังกล่าว มีความเกี่ยวข้องกับ PDPA อย่างไร?

ความเป็นมาของ PDPA หรือ Personal Data Protection Act ต้องเท้าความย้อนกลับไปเมื่อ 2 ทศวรรษที่ผ่านมา ณ ตอนนั้นเทคโนโลยีได้เริ่มเข้ามามีบทบาทและถูกนำมาใช้งานในแบบของข้อมูลเทคโนโลยี หรือ Information Technology มากขึ้น ซึ่งจากที่ได้กล่าวไปข้างต้นก็จะเห็นได้ว่าคอมพิวเตอร์ได้เข้ามามีบทบาทกับผู้คนมากขึ้นเรื่อยๆ ทุกคนไม่สามารถปฏิเสธได้เพราะบางทีมนุษย์อาจจะเป็นฝ่ายที่ต้องปรับตัวตามเทคโนโลยีด้วยซ้ำ ซึ่งคอมพิวเตอร์จะทำหน้าที่เป็นตัวเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ วันเดือนปีเกิด ที่อยู่ หรือแม้กระทั่งข้อมูลทางการเงิน จึงทำให้มีคนพูดถึงเรื่องสิทธิในการคุ้มครองข้อมูลเหล่านั้นขึ้นมาเพื่อไม่ให้ข้อมูลส่วนบุคคลถูกขโมยไปใช้อย่างไม่ถูกต้องและไม่ได้รับการยินยอมจากตัวเจ้าของข้อมูลจึงเป็นเหตุผลที่ทำให้มีการจัดทำ พรบ.คุ้มครองข้อมูลส่วนบุคคล ขึ้นเมื่อปี 2562 ที่ผ่าน หรือที่เรามักจะเรียกสั้นๆว่า PDPA นั่นเอง 

 

ทำไมเราถึงต้องทำ PDPA ?

หลายๆคนคงเกิดคำถามว่า พรบ คอมพิวเตอร์ ยังไม่เพียงพอต่อการปรับใช้อีกเหรอ ทำไมยังต้องมี PDPA ขึ้นมาอีก ต้องทวนกันอีกทีว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นเหมือนกฏหมายฉบับที่ช่วยเติมเต็ม พรบ. คอมพิวเตอร์ ให้ครอบคลุมมากขึ้น ถ้าจะพูดให้เข้าใจง่ายๆคือ PDPA จะเป็นเหมือนการสร้างขึ้นมาเพื่อเน้นคุ้มครองประชาชน ส่วน พรบ.คอมพิวเตอร์นั้น เป็นกฎหมายที่ให้อำนาจรัฐสามารถควบคุมประชาชนอีกทีหนึ่ง ทั้งนี้ในส่วนของประชาชนก็สามารถมั่นใจได้ถึงข้อมูลของตนเองมากขึ้นว่าจะไม่มีการรั่วไหล หรือหากมีการรั่วไหลบทลงโทษและค่าปรับก็ค่อนข้างโหดอยู่เหมือนกัน (*บทลงโทษในหัวข้อถัดไป)

และจากหัวข้อนี้ที่ว่า ทำไมเราถึงต้องทำ PDPA ก็คงพอเห็นภาพกันไปแล้วบ้าง ในการทำ PDPA นั้นถ้าเรามองในมุมขององค์กรหรือบริษัทที่ให้บริการแน่นอนว่าในทุกๆบริษัทหรือองค์กรต้องมีการเก็บข้อมูลของลูกค้า ไม่ว่าจะผ่านแบบฟอร์มการกรอกข้อมูล หรือมีเรื่องของการชำระเงินเกิดขึ้น แน่นอนว่าข้อมูลเหล่านี้ล้วนเป็นข้อมูลที่บางบริษัทอาจจะนำไปใช้เพื่อทำการตลาดและส่งเสริมการให้บริการให้ดีขึ้น เมื่อหลายปีที่ผ่านมาหรือก่อนที่จะเกิด พรบ.ฉบับนี้ขึ้น หลายๆบริษัทก็ยังไม่ได้มีการทำ PDPA ให้เกิดขึ้น

เราจะขอยกตัวอย่างให้เห็นว่า ถ้าบริษัทหรือองค์กรไหนที่มีการดำเนินการเก็บข้อมูลตามที่กล่าวมาในข้างต้น ไม่ได้ทำ PDPA ก็จะมีบทลงโทษที่ค่อนข้างหนักพอสมควร ทั้งจำและปรับ เราจะเห็นได้จากกรณีของ บริษัท Facebook ที่ต้องจ่ายค่าปรับรวม 1.5 แสนล้านบาท ให้กับคณะกรรมาธิการ การค้าสหรัฐ (Federal Trade Commission) จากการที่ได้นำข้อมูลส่วนตัวผู้ใช้งานไปใช้ในทางที่ผิด มูลค่าการปรับครั้งนี้ถือเป็นค่าปรับที่แพงสุดในโลกสำหรับบริษัทเทคโนโลยี แต่นั่นก็ไม่ได้ทำให้ Facebook สะทบสะท้านแต่อย่างใด เพราะมูลค่า GDP ของ Facebook นั้นใหญ่กว่าประเทศไทยทั้งประเทศเสียอีก แล้วถ้าบริษัทเราไม่ใช่บริษัทที่มีรายได้เยอะขนาดนั้นหรือคุณจะยอมเสี่ยงต่อการจ่ายค่าปรับสูงๆ ซึ่งนั่นมันก็ไม่คุ้ม เพราะหากเราไม่มีการป้องกันหรือลดความเสี่ยงจากการถูกฟ้องร้องและนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตจากผู้เข้าชม ก็อาจข่าวขึ้นหน้าฟีดว่า จากฟ้าสู่ดิน พบบริษัทที่เคยมีกำไรในการขายสินค้ามาในตลาดออนไลน์ได้ขายข้อมูลและส่งข้อความน่ารำคาญให้กับผู้ใช้ ต้องเสียค่าปรับหลายล้าน หลังจากที่มีการปรับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง  ในทางกลับกัน ถ้าเรามองในมุมของผู้ใช้งานหรือผู้เข้าชมเว็บไซต์อย่างเราๆอาจจะทำให้เรารู้สึกปลอดภัยมากขึ้นในการยินยอมที่จะให้ข้อมูลไป *ในส่วนนี้ถ้าเราอยู่ในฐานะผู้เข้าชมเว็บไซต์ ควรตะหนักด้วยเช่นกันว่าทางเว็บไซต์จะมีการเก็บข้อมูลของเราไปในรูปแบบไหนบ้าง ซึ่งเราก็สามารถอ่านเงื่อนไขต่างๆใน term ของ Cookie Popup เวลาที่เราเข้าชมแล้วเว็บไซต์ให้เรายินยอม ฉะนั้นแล้วถ้าเว็บไซต์ไม่มีความน่าเชื่อถือการให้ข้อมูลไปอาจจะไม่เป็นการปลอดภัยต่อเรานัก ทางที่ดีควรมีการพิจารณาดูเงื่อนไขของการเก็บข้อมูลของเว็บไซต์ก่อน หากเรารับได้ในเงื่อนไขวิธีการเก็บข้อมูลในเว็บไซต์ดังกล่าว เราจำเป็นจะต้องกดยอมรับ หรือ accept เพื่อเป็นการยินยอมให้บริษัทหรือองค์กรนั้นๆ มีการเก็บข้อมูลจากเราไป

 

ทำไมเราถึงต้องทำ PDPA ? ตอบ เพื่อความสบายใจของผู้ใช้และความโปร่งใสของการทำงานขององค์กรหรือบริษัท

 

แล้ว PDPA กับ GDPR เหมือนหรือแตกต่างกันอย่างไร

ความเป็นจริงแล้ว พรบ.ในลักษณะนี้มีขึ้นมานานแล้วในต่างประเทศ แต่ละประเทศมีบทลงโทษแตกต่างกันไป ซึ่งเอาเข้าจริงๆแล้วกฏหมายมีความเหมือนกันมาก แต่แตกต่างกันที่มีผลบังคับใช้กับใครบ้าง วันนี้เราจึงเปรียบเทียบให้เห็นถึงคำนิยาทความแตกต่างของ PDPA และ GDPR ให้คุณได้เห็นภาพได้ชัดขึ้น

 

คำนิยาม GDPR

“ข้อมูลใดๆที่เกี่ยวข้องกับตัวบุคคลที่สามารถระบุตัวบุคคลได้ โดยทางตรงและทางอ้อม โดยเฉพาะการอ้างอิงถึงสิ่งที่สามารถระบุถึงตัวบุคคลได้ เช่นคุณสมบัติทางกายภาพ สรีรวิทยาสามารถระบุตัวบุคคล”

 

คำนิยาม PDPA

“ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรม”

แล้วอะไรบ้างที่สามารถระบุตัวตนได้ทั้งทางตรงและทางอ้อม

  • IP Adress
  • ข้อมูลพฤติกรรม
  • โลเคชั่นเช็คอิน
  • ข้อมูลสุขภาพ
  • ลายนิ้วมือ
  • รสนิยมทางเพศ
  • Cookie ID
  • อื่นๆ

Checklist ว่าเว็บไซต์คุณเข้าข่ายถูกบังคับใช้หรือไม่

  • เว็บไซต์หรือองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล  ตัวอย่าง เช่น เว็บไซต์ Ecommerce รายหนึ่ง มีเก็บข้อมูลของผู้ใช้
  • เว็บไซต์หรือองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลจ้างให้ประมวลผลข้อมูลของลูกค้า ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.จะเรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
  • เว็บไซต์คุณมีข้อมูลอยู่ต่างประเทศหรือไม่ หมายถึงเว็บไซต์หรือบริษัทคุณตั้งอยู่ต่างประเทศและมีการถ่ายโอนข้อมูล เข้า-ออกในประเทศไทยก็นับว่าเข้าข่ายเช่นเดียวกัน

หากละเมิดมีบทลงโทษอะไรบ้าง

  • โทษทางอาญาจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

 

สรุปแล้วในมุมมองของผู้เขียนเห็นว่าการทำ PDPA นั้นมีความสำคัญและจำเป็นอย่างมากที่องค์กรหรือผู้ให้บริการเว็บไซต์จะต้องทำ เพราะเสมือนเป็นการสร้างความไว้วางใจและความปลอดภัยให้กับตัวผู้ใช้เองและสร้างความโปร่งใสในการทำให้บริการของเว็บไซต์ และหากละเมิดก็มีบทลงโทษที่ค่อนข้างหนักอยู่เหมือนกัน เราคงไม่ยอมเสี่ยงที่จะเสียเครดิตหรือภาพลักษณ์ของธุรกิจไปกับการทำงานหรือการให้บริการที่ไม่โปร่งใสต่อตัวผู้ใช้

 

ติดตามเราเพิ่มเติมได้ที่ yeswebdesignstudio.com

Facebook : yeswebdesignstudio

Instagram : yeswebdesign_bkk

Twitter : yeswebdesignbkk 

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest

HAVE A PROJECT IN MIND? LET’S GET STARTED