ผู้จัดการสุดสัปดาห์ - พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act (PDPA) ซึ่งมีผลบังคับใช้ตั้งแต่ 1 มิ.ย. 2565 ว่าด้วยเรื่องสิทธิในข้อมูลส่วนบุคคลซึ่งเป็นประโยชน์โดยตรงต่อประชาชนคนไทย เป็นเรื่องใหม่ที่สังคมไทยต้องทำความเข้าใจ หลายประเด็นเกิดความคลาดเคลื่อนสื่อสารผิดเพี้ยนในโลกออนไลน์
สาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ “ความยินยอม” จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย
อย่างไรก็ตาม ข้อกำหนดบางบางประการกฎหมาย PDPA ได้สร้างความสับสนจนมีการตีความคลาดเคลื่อน โดยเฉพาะที่ระบุถึงการเปิดเผยข้อมูลส่วนบุคคลที่ส่งผลกระทบกับชีวิตประจำวัน ทำให้สังคมเกิดคำถามในหลายประเด็น ซึ่งทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เผยแพร่ข้อเท็จสร้างความเข้าใจ สรุปได้ดังนี้
กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายต่อผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
หากถ่ายคลิปหรือรูปถ่ายซึ่งบังเอิญติดคนอื่นด้วย สามารถโพสต์ในโซเชียลมีเดียได้ โดยมีข้อแม้ว่าต้องใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลของบุคคลที่ถ่ายติดมา
การติดกล้องวงจรปิดไม่มีป้ายแจ้งเตือนผิดกฎหมาย PDPA ยกเว้นการติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยของตัวเจ้าของบ้าน
และเจ้าของข้อมูลส่วนบุคคลไม่จำเป็นต้องขอความยินยอมต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้ หากการใช้ข้อมูลดังกล่าว เป็นการทำตามสัญญา เป็นการใช้ที่มีกฎหมายให้อำนาจ เป็นการใช้เพื่อรักษาชีวิต และ/หรือร่างกายของบุคคล เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ การใช้เพื่อประโยชน์สาธารณะ และ เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
“สำหรับข้อกังวลเกี่ยวกับ PDPA เรื่องการถ่ายภาพ เช่น การที่เราไปถ่ายภาพแล้วไปติดบุคคลอื่นเข้ามาในภาพ ซึ่งเราไม่รู้จักแล้วติดโดยบังเอิญ อันนี้ไม่มีความผิด แม้ว่าเราจะเอาภาพนั้นไปโพสต์ไปใช้ในเรื่องส่วนตัว ถ้าไม่ได้ไปทำให้เค้าเสียหาย ไม่ได้ตั้งใจไปให้เค้าเกิดความเสื่อมเสีย มันไม่มีความผิด อันนี้ไม่ถือว่าเป็นความผิดกฎหมาย PDPA รวมถึง เรื่องกล้องวงจรปิดที่เราติดไว้ที่บ้าน แล้วไปติดภาพของคนที่เดินผ่านไปผ่านมา ถ้าเราไม่ได้เอาไปใช้ประโยชน์ในทางที่มิชอบ เป็นข้อมูลที่เราเก็บไว้เพื่อป้องกันอาชญากรรมก็ไม่มีความผิด” นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจเเละสังคม (ดีอีเอส) อธิบายข้อมูลที่หลายคนปริวิตก
วัตถุประสงค์ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฎหมายที่คุ้มครองสิทธิของประชาชน ดูแลประชาชนในเรื่องข้อมูลข่าวสาร ไม่ใช่กฎหมายที่มุ่งจะไปเอาผิดหรือลงโทษใคร กล่าวคือเป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
ทั้งนี้ เพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อยๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่นๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
ดังนั้น PDPA จะมีผลทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว
และสิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล จะทำให้ผู้ประกอบการขององค์กรและบริษัทต่างๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูล ไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA และหากไม่ดำเนินการตามหลักของ PDPA อาจต้องรับโทษร้ายแรง
ทั้งโทษทางแพ่ง - ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน,
โทษทางปกครอง - ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท, เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท และ เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท
และโทษอาญา - ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท, เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท และล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
นอกจากนี้ ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย
แน่นอนว่า กฎหมายใหม่ฉบับนี้กระทบโดยตรงต่อภาคธุรกิจ โดย PDPA ระบุถึงผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลไว้ 3 กลุ่ม ได้แก่ กลุ่มแรกคือ “เจ้าของข้อมูลส่วนบุคคล” กลุ่มที่สองคือ ** “ผู้ควบคุมข้อมูลส่วนบุคคล”/ หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และกลุ่มที่สามคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ซึ่งภาคธุรกิจ จะอยู่ฐานะของ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน อาทิ ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ เป็นต้น
รัฐมนตรีว่าการกระทรวงดีอีเอส ขยายความเพิ่มเติมด้วยว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีไว้คุ้มครองประชาชน ยกตัวอย่างเช่น ข้อมูลส่วนบุคค ข้อมูลที่ประชาชนไปติดต่อธุรกิจ ติดต่อร้านค้าต่างๆ ก็จะให้ชื่อ ที่อยู่ เบอร์โทรศัพท์ และข้อมูลส่วนตัวต่างๆ ในการทำธุรกรรมที่เรามีกิจการ ข้อมูลเหล่านี้จะได้รับความคุ้มครองตามกฎหมาย
หมายความว่าร้านค้าหรือธุรกิจที่เก็บข้อมูลร้านค้าจะต้องเก็บให้ดี ห้ามให้รั่วไหล หรือห้ามเอาไปขาย หรือเอาไปใช้ประโยชน์ในทางมิชอบ ซึ่งอันนี้มีความผิดตามกฎหมายนี้ประชาชนก็จะมีสิทธิ์ในข้อมูลของตัวเอง ถ้าท่านไม่ให้ความยินยอมร้านค้าหรือธุรกิจที่เอาข้อมูลของท่านไป จะเอาข้อมูลนั้นไปใช้ไม่ได้ ซึ่งอันนี้ก็เป็นกฎหมายที่มีประโยชน์จริงๆ ในการคุ้มครองข้อมูลของประชาชนเพื่อให้ประชาชนมีความมั่นใจในการให้ข้อมูลกับกิจการร้านค้าต่างๆ อันจะทำให้เกิดความเชื่อมั่นในระบบเศรษฐกิจดิจิทัลมากขึ้น
ขณะที่ นายไตรรัตน์ วิริยะศิริกุล รักษาการแทนเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เปิดเผยหลังสำนักงาน กสทช. ได้ประชุมร่วมกับผู้รับใบอนุญาตประกอบกิจการโทรคมนาคม และผู้แทนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เรื่อง ความพร้อมในการคุ้มครองข้อมูลส่วนบุคคลในกิจการโทรคมนาคมรองรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ว่า กฎหมาย PDPA จะเป็นเครื่องมือในการแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคล เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่นๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่พบมากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดย กสทช. อยู่ระหว่างจัดทำร่างประกาศ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล สิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม ก่อนประกาศในราชกิจจานุเบกษาลำดับถัดไป
ในส่วนของผู้รับใบอนุญาตประกอบกิจการโทรคมนาคม ผู้ให้บริการโทรศัพท์เคลื่อนที่และผู้ให้บริการอินเทอร์เน็ตรายใหญ่ มีการเตรียมความพร้อมรองรับกฎหมาย PDPA อาทิ มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer (DPO)) การจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) การจัดทำบันทึกรายการกิจกรรมการประมวลผล (ROPA) การจัดทำความยินยอมในกรณีที่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล (Consent Form) การจัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล การจัดตั้งคณะทำงาน PDPA ภายในองค์กร การจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้า การจัดทำนโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศ เพื่อป้องกันข้อมูลรั่วไหล เป็นต้น
และมีประเมินว่าหลังบังคับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล หรือ PDPA จะเป็นประเด็นที่ถูกนำมาเก็งกำไรระยะสั้นในหุ้นกลุ่มเทคโนโลยี
นายกรภัทร วรเชษฐ์ ผู้อำนวยการฝ่ายวิจัยและบริการการลงทุน บล.โนมูระ พัฒนสิน เปิดเผยถึงหุ้นที่จะได้รับอานิสงส์ 1. ทำให้ภาคธุรกิจมีความจำเป็นต้องเก็บข้อมูลเป็นระบบมากขึ้น ซึ่งจะทำให้ธุรกิจที่เกี่ยวเนื่องกับ Cloud & Data หุ้นที่ได้รับประโยชน์คือ INSET และ ITEL 2. ทำให้ภาคธุรกิจเร่งดำเนินการยกระดับรักษาความปลอดภัยข้อมูล (Cyber Security) หุ้นที่ได้รับประโยชน์คือ SECURE, VCOM และ MFEC 3. ทำให้เกิดความจำเป็นสำหรับผู้ต้องการนำข้อมูลไปใช้งานต้องอิงหลักวิธีที่ถูกตามกฎหมายและสามารถใช้สร้างประสิทธิภาพต่อธุรกิจดีขึ้น (Digital Technology Consults) หุ้นที่ได้รับประโยชน์คือ BE8 และ BBIK
นอกจากนี้ ฝ่ายวิจัย บล.หยวนต้า เปิดเผยว่ากฎหมาย PDPA เป็นตัวผลักดันให้เอกชนและภาครัฐต้องลงทุนในด้านของการจัดการระบบจัดเก็บข้อมูลลูกค้า เพื่อให้สามารถนำไปใช้ได้อย่างถูกต้องตามกฎหมาย ซึ่งจะเป็นผลดีต่อการเติบโตของหุ้นในกลุ่ม ICT Small Cap ที่กำลังเจาะตลาดดังกล่าวอยู่ ได้แก่ MFEC, HUMAN, ITEL, INSET และ SECURE
สรุปได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA จะเข้ามามีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลประชาชนทุกคน เป็นการสร้างมาตรฐานใหม่ด้านข้อมูลส่วนบุคคล และส่งผลกระทบต่อภาคธุรกิจอย่างมีนัยสำคัญ