PDPA คืออะไร? ทำไมธุรกิจต้องให้ความสำคัญ
เมื่อกล่าวถึง PDPA หลายท่านอาจยังมีข้อสงสัยว่า PDPA คือ อะไร เพราะเป็นเรื่องใหม่ที่เกิดขึ้นในสังคมไทย และมีคำถามต่อไปว่า ทำไมธุรกิจต้องให้ความสำคัญ? บทความนี้จะมาไขข้อสงสัยแบบสั้นๆ เข้าใจง่าย พร้อมกับบอกที่มาของ PDPA รวมไปถึงความสำคัญและประโยชน์ที่จะได้รับในภาพรวมจากการปฏิบัติตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่องค์กรอาจมองข้ามไป
PDPA คืออะไร
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายใหม่ในกลุ่มกฎหมายดิจิทัลของประเทศไทยซึ่งว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยมีการประกาศในราชกิจจานุเบกษา ในปี 2562 ในปีเดียวกันนั้นมีการประกาศใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ด้วย
หากจะอธิบายว่า PDPA คือ อะไร ที่ขยายต่อไปถึงสถานะในช่วง 3 ปี ที่ผ่านมาจนถึงสิ้นเดือนพฤษภาคม 2565 นั้น มีการผ่อนผันการบังคับใช้บางส่วน โดยเฉพาะเรื่องที่เกี่ยวข้องกับองค์กรต้องปฏิบัติหรือคอมไพล์ตามกฎหมาย หากแต่นับตั้งแต่ 1 มิถุนายน 2565 เป็นต้นไป ทั้งองค์กรภาครัฐ ภาคเอกชน ต่างจะต้องดำเนินการตามข้อกำหนดในกฎหมายให้แล้วเสร็จ
สำหรับกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศ ในที่นี้ขอเทียบเคียงกับ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเช่นกัน โดยออกมาบังคับใช้ก่อนหน้านี้ และ PDPA คือ กฎหมายที่ใช้หลักการในการร่างเดียวกันกับ GDPR
ความจำเป็นที่ต้องมี PDPA
ปัจจุบันองค์กรมีการนำเทคโนโลยีสารสนเทศมาใช้ในการขับเคลื่อนงานต่างๆ เพื่อเพิ่มประสิทธิภาพการทำงาน การบริหารจัดการ และใช้ในการประมวลผลเพื่อให้ได้ข้อมูลเชิงวิเคราะห์อันจะเป็นประโยชน์ต่อการดำเนินธุรกิจ ซึ่งหมายรวมถึง Big Data, AI, Machine Learning โดยมีการนำเข้าข้อมูลส่วนบุคคลมาเก็บไว้ในระบบขององค์กร มีการประมวลผลและนำไปใช้ ซึ่งในกฎหมายให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลด้าน “การเก็บรวบรวม การใช้ หรือเปิดเผย”
เจตนารมณ์หลักของ PDPA ต้องการให้องค์กรตระหนักถึงการเก็บรักษาข้อมูลส่วนบุคคล ทั้งข้อมูลของลูกค้า และข้อมูลของพนักงาน โดยต้องการจำกัดสิทธิและเสรีภาพในการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งข้อมูลที่ระบุตัวบุคคล ดังเช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ เป็นต้น เพราะหากหลุดรั่ว หรือถูกเปิดเผยออกไปแล้วจะก่อให้เกิดความเสียหายแก่สิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล อีกทั้งยังอาจนำมาซึ่งความเสี่ยงที่จะเกิดความเสียหายได้
ดังนั้นอาจกล่าวได้ว่า PDPA คือ ความจำเป็นในการดำเนินธุรกิจในยุคที่ข้อมูลส่วนบุคคลถูกเก็บ ใช้ หรือเปิดเผย เพื่อให้เกิดกระบวนการป้องกัน ดูแลรักษาข้อมูลส่วนบุคคลให้เป็นมาตรฐาน
ทำไมธุรกิจต้องให้ความสำคัญ
จากความจำเป็นที่จะต้องมี PDPA บังคับใช้ในประเทศไทย จึงมาสู่คำถามว่า ทำไมธุรกิจต้องให้ความสำคัญ คำตอบก็คือ เพื่อกำหนดกฎเกณฑ์ให้องค์กรธุรกิจให้ความสำคัญกับ ข้อมูลส่วนบุคคล ซึ่งจะลดการใช้ข้อมูลส่วนบุคคลในทางที่ไม่เหมาะสมหรือเป็นการละเมิดสิทธิความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล ทั้งนี้องค์กรธุรกิจควรต้องมีความเข้าใจ มีความตั้งใจ และมีวินัยในการปฏิบัติตามกฎหมาย
นอกจากนี้ยังมีความสำคัญกับองค์กรธุรกิจที่ทำการค้ากับต่างประเทศหรือมีพาร์ทเนอร์ในต่างประเทศ โดยเฉพาะในกรณีที่ต้องมีการส่งต่อข้อมูลหรือโอนข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการทางธุรกิจระหว่างกัน ยิ่งมีความจำเป็นที่จะต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลอย่างหลีกเลี่ยงไม่ได้ เนื่องจากพาร์ทเนอร์ต่างประเทศส่วนใหญ่มักมีข้อกำหนดให้ธุรกิจต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มั่นใจได้ว่าเมื่อทำการส่งต่อข้อมูลเกี่ยวกับลูกค้ามายังพาร์ทเนอร์ในประเทศไทยแล้ว จะได้รับการคุ้มครองมิให้ผู้อื่นล่วงรู้หรือนำไปใช้โดยมิชอบ หรือใช้ผิดจากวัตถุประสงค์ของข้อตกลงทางการค้า
อธิบายเจตนา 3 ประการ “การเก็บรวบรวม ใช้ หรือเปิดเผย”
หากจะอธิบายเจตนาของ 3 ประเด็นในกฎหมาย ที่ประกอบด้วย การเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขยายความได้ ดังนี้
- การเก็บรวบรวม : เมื่อใดที่มีการเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็นลูกค้า หรือพนักงานก็ตาม องค์กรจะต้องขอความยินยอม และต้องแจ้งวัตถุประสงค์ต่อเจ้าของข้อมูลส่วนบุคคลนั้น ทั้งนี้ควรจัดเก็บเท่าที่จำเป็นเท่านั้น
- การใช้ : การใช้จะต้องอยู่ภายใต้กรอบความยินยอมและวัตถุประสงค์ที่ได้แจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคล โดยไม่สามารถนำไปใช้เพื่อการอื่นใดที่นอกเหนือวัตถุประสงค์ที่แจ้งไว้ได้
- การเปิดเผย : องค์กรต้องปฏิบัติตามความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้ ในกรณีที่ไม่ได้ให้ความยินยอมด้านการเปิดเผย หรือโอนข้อมูลก็ไม่สามารถเปิดเผยหรือโอนข้อมูลให้แก่พาร์ทเนอร์ได้ เว้นแต่เป็นการเปิดเผยภายใต้เงื่อนไขที่กฎหมายกำหนดไว้ เช่น เป็นการเปิดเผยข้อมูลต่อเจ้าหน้าที่ตามกฎหมายที่ให้อำนาจไว้ เป็นต้น
ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถขอเพิกถอน ลบ หรือทำลายข้อมูลส่วนบุคคลของตนเองได้เสมอ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่อยู่ภายใต้ฐานสัญญาที่มิอาจเพิกถอนได้ ยกตัวอย่างฐานสัญญาที่ไม่สามารถเพิกถอนได้ คือฐานสัญญาลูกหนี้ เป็นต้น
PDPA มองเป็นการลงทุน คือ ประโยชน์อันยิ่งใหญ่
แม้ว่าการบังคับใช้กฎหมาย PDPA จะเสมือนสร้างภาระให้กับองค์กรก็ตาม แต่ในมุมมองภาพลักษณ์ขององค์กรจะเป็นการช่วยสร้างความเชื่อมั่นให้แก่ลูกค้า พนักงาน ตลอดจนพาร์ทเนอร์หรือคู่ค้า
นอกจากนี้การปฏิบัติตาม PDPA ยังสามารถตอบโจทย์ข้อกังวลเกี่ยวกับ GDPR สำหรับธุรกิจที่มีการดำเนินธุรกิจกับต่างประเทศได้อีกด้วย เนื่องจากสามารถนำไปเป็นข้อชี้แจงในรายละเอียดต่อไปได้ ดังนั้นจึงอาจหมายถึงการยกระดับให้ธุรกิจมีแนวปฏิบัติที่สอดคล้องกับมาตรฐานสากลซึ่งเป็นที่ยอมรับนั่นเอง
จึงมักมีคำกล่าวที่ว่า ควรมอง PDPA ให้เป็นการลงทุน ไม่ใช่มองเป็นภาระหรือค่าใช้จ่าย เพราะความคุ้มค่าที่จะเกิดขึ้นในระยะยาวคือ ภาพลักษณ์ และความเชื่อมั่นที่จะได้จากลูกค้าและคู่ค้า ซึ่งไม่อาจสร้างได้ด้วยเงินทองหรือการซื้อมา แต่ต้องใช้ความมุ่งมั่น และใช้เวลาอันยาวนาน โดย ภาพลักษณ์ และความเชื่อมั่น นี้เองที่จะนำไปสู่ความจงรักภักดีต่อแบรนด์สินค้าอย่างยืนยงถาวร
สุดท้ายนี้ บริษัท ไพร์ม โซลูชั่น แอนด์ เซอร์วิส จำกัด ผู้นำด้านการออกแบบและวางระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Infrastructure Solution Provider) แบบครบวงจร หวังว่าบทความนี้จะให้ประโยชน์ต่อสาธารณชน และมีส่วนร่วมในการผลักดันให้ภาคส่วนต่างๆ ปฏิบัติตามกฎหมาย PDPA ได้อย่างสัมฤทธิ์ผล
