คณบดีคณะนิติศาสตร์ปรีดี พนมยงค์ มหาวิทยาลัยธุรกิจบัณฑิตย์ DPU แนะภาคธุรกิจรับมือกฎหมาย PDPA ระบุโดยหลักเก็บ ใช้ รักษา และทำลายข้อมูล ทำได้แต่ต้องไม่สร้างความเสียหายให้แก่เจ้าของข้อมูล ย้ำอย่าตื่นตระหนก ชี้ต้องลงทุนในการเก็บรักษาข้อมูล พร้อมเผยข้อควรระวังของนักธุรกิจในการใช้กฎหมาย PDPA
“ข้อมูล” เพิ่มประสิทธิภาพการเข้าถึงผู้บริโภค
ผศ.ดร.สมชาย รัตนซื่อสกุล คณบดีคณะนิติศาสตร์ปรีดี พนมยงค์ มหาวิทยาลัยธุรกิจบัณฑิตย์(มธบ.) หรือ DPU เปิดเผยถึงแนวทางของภาคธุรกิจในการรับมือกับกฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในยุค Data Marketing ว่าด้วยเทคโนโลยีในปัจจุบัน อย่าง ปัญญาประดิษฐ์ (AI : Artificial Intelligence) สามารถทำให้จัดการข้อมูลที่มีอยู่จำนวนมหาศาลได้ โดยเฉพาะภาคธุรกิจ ที่หากมีการนำข้อมูลมาใช้จัดทำ Personalized Marketing หรือการนำเสนอสินค้า บริการ และคอนเทนต์ให้ตรงกับใจของลูกค้าให้ได้มากที่สุด จะช่วยเพิ่มประสิทธิภาพในการเข้าถึงผู้บริโภค
“ข้อมูล มีความสำคัญอย่างมาก เพราะการจัดทำ Personalized Marketing ได้อย่างชัดเจน ถือเป็นการลงทุนที่คุ้มค่าแม้อาจจะไม่ลดต้นทุนค่าใช้จ่ายด้านการตลาดลง แต่เพิ่มประสิทธิภาพในการตลาดเข้าถึงผู้บริโภค และเพิ่มการแข่งขันมากกว่าภาคธุรกิจที่ไม่มีข้อมูลและไม่สามารถจัดทำ Personalized Marketing ได้ ยิ่งกลุ่มที่ไม่สามารถใช้ประโยชน์จากข้อมูลได้ย่อมกระทบต่อการบริหารธุรกิจอย่างแน่นอน” ผศ.ดร.สมชาย กล่าว
กฎหมาย PDPA ตีกรอบการใช้ ไม่ได้ห้ามเก็บ ห้ามใช้
คณบดีคณะนิติศาสตร์ปรีดี พนมยงค์ DPU กล่าวต่อว่า สำหรับกฎหมาย PDPA เป็นการพูดถึงข้อมูลส่วนบุคคล ซึ่งการที่องค์กรสามารถนำข้อมูลส่วนบุคคลมาใช้นั้น เดิมไม่ได้มีกฎหมายโดยเฉพาะ แต่มีกฎหมายอื่นๆ เช่น กฎหมายละเมิด มาบังคับใช้องค์กร หรือภาคธุรกิจที่นำข้อมูลส่วนบุคคลอื่นมาใช้อย่างไม่ถูกต้อง หรือมีการส่งต่อไปยังผู้อื่น ซึ่งตอนนี้ข้อมูลมีมหาศาล การใช้ข้อมูลมีมากขึ้นและสามารถสร้างเม็ดเงินได้ เมื่อเริ่มเห็นความสำคัญของข้อมูล จึงต้องมีการออกกฎหมายคุ้มครองเพื่อควบคุมการใช้ประโยชน์จากข้อมูลส่วนบุคคล ซึ่งเรื่องนี้ทางยุโรปได้มีการดำเนินการอยู่แล้ว
“หัวใจหลักของกฎหมาย PDPA คือการควบคุมการใช้ข้อมูลส่วนบุคคลให้มีระบบระเบียบมากขึ้น เพื่อไม่ให้เกิดความเสียหาย หรือรำคาญ ดังนั้น โดยหลักไม่ได้ห้ามเก็บ หรือห้ามใช้ ก่อนหน้านี้ภาคธุรกิจได้มีการเก็บข้อมูลอย่างไร ก็สามารถกระทำได้อย่างนั้น เพียงแต่กฎหมายใหม่วางกติกาละเอียดมากขึ้น เช่น นักศึกษามาสมัครเรียน มหาวิทยาลัยสามารถเก็บข้อมูลได้ แต่ก่อนจะเก็บข้อมูลส่วนบุคคล ต้องคำนึงว่าจำเป็นต้องเก็บหรือไม่ มีประโยชน์อย่างไร และเมื่อเก็บข้อมูลแล้วก็ต้องรักษาข้อมูลเหล่านั้นให้ดี จะนำไปใช้อะไรก็ต้องแจ้งบุคคลเหล่านั้น ซึ่งเป็นการตีกรอบการใช้ แต่ไม่ได้ห้ามเก็บ ถ้าองค์กรคิดว่าจำเป็นต้องรู้ก็เก็บได้ กฎหมายไม่ได้ตีกรอบว่าทำได้ทำไม่ได้ แต่วางกติกาว่าจะเก็บอย่างไร ใช้อย่างไร รักษาอย่างไร และทำลายอย่างไร” ผศ.ดร.สมชาย กล่าว
ข้อควรระวังของนักธุรกิจในการใช้กฎหมาย PDPA
ผศ.ดร.สมชาย กล่าวอีกว่าข้อควรระวังสำหรับภาคธุรกิจในการใช้กฎหมาย PDPA ในการเก็บข้อมูลส่วนบุคคล ซึ่งสามารถเก็บและใช้ได้ปกติเหมือนที่ทำมา เพียงแต่เมื่อเก็บข้อมูลมาแล้ว ต้องรู้ว่าจะใช้ประโยชน์อะไร และต้องรักษา หรือทำลายให้ดี ห้ามนำไปให้ผู้อื่น และที่สำคัญต้องไม่สร้างความเสียหายให้แก่เจ้าของข้อมูล หากจะนำไปใช้ต้องมีการขออนุญาต ขอความยินยอม
ทั้งนี้ กฎหมาย PDPA จะเป็นการพูดถึงการเก็บ การใช้ การรักษา และการทำลายข้อมูล อดีตอาจจะใช้ข้อมูลอย่างสะดวก แต่เมื่อมีกฎหมาย PDPA ภาคธุรกิจต้องพึ่งระวังในการนำข้อมูลมาใช้ ส่วนอีกประเด็น คือ การขอความยินยอม ซึ่งจริงๆ อาจไม่จำเป็น เพราะกฎหมายอนุญาตให้เก็บข้อมูลได้ด้วยหลายสาเหตุ หากเข้าข่ายอื่นๆ ที่สามารถเก็บข้อมูลได้ ไม่จำเป็นต้องขอความยินยอม เช่น มีการทำสัญญารับจ้าง จำเป็นต้องขอสำเนาบัตรประชาชน หรือข้อมูลอื่นๆ ไม่ต้องขอความยินยอม เพราะเป็นไปตามฐานสัญญา หรือเด็กมาสมัครเรียน สามารถขอข้อมูลเรื่องกรุ๊ปเลือดได้ เพื่อประโยชน์ด้านสุขภาพ เป็นต้น
“ขอให้คำนึงไว้ว่าการอ้างฐานความยินยอมให้ใช้เป็นหนทางสุดท้าย เนื่องจากหากมีการเก็บได้ด้วยเหตุผลอื่นควรเก็บด้วยฐานอื่นๆ หรือเป็นประโยชน์อันชอบด้วยกฎหมาย เพราะหากใช้ฐานความยินยอม ผู้ให้ความยินยอมจะสามารถยกเลิกความยินยอมเมื่อใดก็ได้แต่ถ้าเป็นฐานสัญญาหรือฐานอื่นๆ เจ้าของข้อมูลไม่สามารถยกเลิกการให้ข้อมูลได้ ส่วนข้อมูลอ่อนไหว เช่น ประวัติการรักษาคนไข้ ต้องใช้ฐานความยินยอมที่มีความชัดแจ้ง มีลายลักษณ์อักษร และเมื่อยินยอมง่าย ตอนถอนความยินยอมก็ต้องง่ายเช่นเดียวกัน” ผศ.ดร.สมชาย กล่าว
อย่างไรก็ตาม กฎหมายดังกล่าวไม่ได้ห้าม หรือไปตีกรอบจนไม่สามารถเก็บข้อมูลส่วนบุคคลได้ แต่เป็นการกำหนดวางระเบียบกติกา การเก็บ การใช้ การรักษา และการทำลาย เพื่อไม่ให้เกิดความเสียหายต่อคนที่เป็นเจ้าของข้อมูล ฉะนั้น ภาคธุรกิจ ไม่ต้องตื่นตระหนก หรือกังวลต่อกฎหมาย PDPA เพราะโดยหลักการกฎหมายดี เนื่องจากต่อให้เป็นผู้ประกอบการแต่ทุกคนก็เป็นเจ้าของข้อมูลส่วนบุคคลเช่นเดียวกัน กฎหมายฉบับนี้คุ้มครองข้อมูลส่วนบุคคล และผู้ประกอบการเป็นคนหนึ่งที่จะได้รับประโยชน์จากกฎหมาย
ปัจจัยที่ประชาชนไม่เข้าใจ PDPA
คณบดีคณะนิติศาสตร์ปรีดี พนมยงค์ กล่าวอีกด้วยว่าหลังประกาศใช้กฎหมาย PDPA ต้องยอมรับว่าหลายๆ หน่วยงาน ไม่ว่าจะเป็นภาครัฐ ภาคเอกชน ภาคประชาชนต่างไม่เข้าใจการใช้กฎหมายดังกล่าว ซึ่งปัจจัยหลักๆ คือ 1.กฎหมายมีความยุ่งยาก เป็นกฎหมายเชิงเทคนิค ที่ผู้เขียนกฎหมายอาจจะเขียนทุกอย่างไว้หมดแต่เป็นเรื่องเทคนิคอย่างมาก ซึ่งเขียนยาวก็กังวล เขียนสั้นมากก็กลัวคนอ่านไม่เข้าใจ อีกทั้งกฎหมายฉบับดังกล่าวมีข้อยกเว้นซ้อนถึง 3-4 ชั้น ทำให้ภาคธุรกิจ และประชาชนอาจจะอ่านไม่เข้าใจ อีกทั้งเป็นเรื่องใหม่ด้วย
2.กฎหมายดังกล่าวเป็นเรื่องใหม่ของทุกคนและคณะกรรมการก็พึ่งได้รับการแต่งตั้ง ทำให้ยังไม่มีกฎหมายลูก การตีความจึงหลากหลาย เกิดเป็นข้อจำกัดของตัวกฎหมายที่ซับซ้อนมากเกินไป คาดว่าหลังจากนี้จะมีข้อถกเถียงในเรื่องของการตีความ
“โดยหลักการกฎหมายดีมาก ไม่ให้คนอื่นนำข้อมูลส่วนบุคคลไปใช้ แต่เมื่อถูกตีความว่าแม้แต่ถ่ายรูปติดผู้อื่นยังไม่ได้ หรือมีคนทะเลาะกันแล้วมีการถ่ายคลิปวิดีโอไว้ ทั้งที่จริงๆ ภาพถ่าย หรือคนทะเลาะกันในที่สาธารณะ อาจจะไม่ได้หมายถึงข้อมูลส่วนบุคคล เพราะกฎหมายไม่ได้ห้าม ซึ่งการตีความเหล่านี้ จะส่งผลลบให้กฎหมายดังกล่าวดูเป็นปัญหา การถ่ายภาพและใช้ภาพอย่างที่ทุกคนใช้กันตามปกติ คือ แสดง(ใช้)ภาพนั้นในลักษณะของภาพถ่ายได้ โดยส่วนตัวมองว่าไม่ใช่การใช้ข้อมูลส่วนบุคคลและไม่เกี่ยวข้องกับ PDPA แต่หากทำให้คนในภาพเสียหายจึงจะเป็นเรื่องการละเมิดความเป็นส่วนตัวซึ่งเป็นคนละเรื่องกับข้อมูลส่วนบุคคล แต่ปัจจุบันคนสับสนนำสองเรื่องนี้มาปนกัน” ผศ.ดร.สมชาย กล่าวในตอนท้าย