เข้าใจเรื่องกฎหมาย PDPA เรื่องไหนจริง-ไม่จริง มาดูกัน

PDPA ย่อมาจาก Personal Data Protection Act หมายถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรืออธิบายให้เข้าใจง่าย ๆ ว่าเป็นกฎหมายที่คุ้มครอง ป้องกันการละเมิดสิทธิข้อมูลที่สามารถระบุตัวตนของเราได้ชัดเจน เช่น บัตรประชาชน เอกสารทางราชการต่าง ๆ รวมไปถึงภาพถ่ายของเรานั่นเอง อีกทั้งกฎหมาย PDPA นี้จะปกป้องความเป็นส่วนตัวของเราจากภาครัฐที่มีข้อมูลของเราอยู่แล้ว และภาคเอกชนที่เราอาจเคยใช้บริการอยู่ ดังนั้นเมื่อมีความต้องการที่จะใช้ข้อมูลของเรา ก็จะต้องได้รับความ “ยินยอม” จากเราก่อน 

ไม่เพียงแต่ข้อมูลส่วนตัวเท่านั้น เพราะแม้แต่ภาพถ่ายที่ติดเรานั้นก็เข้าข่ายผิดกฎหมาย PDPA เช่นกัน หากเราไปในที่สาธารณะ หรืออาคารต่าง ๆ ที่ไม่ใช่ที่อยู่อาศัยส่วนตัว เราอาจจะต้องลองสังเกตดูว่ามีป้ายติดประกาศหรือสติกเกอร์ ที่แจ้งให้เราทราบว่ามีการบันทึกและติดตั้งกล้องวงจรปิด CCTV หรือไม่ เพราะกฎหมาย PDPA จะคุ้มครองเราในส่วนนี้ด้วยนั่นเอง และถ้าหากว่าใครกำลังกังวลว่าตัวเราเองติดกล้องวงจรปิดที่บ้าน จะต้องติดป้ายนี้หรือเปล่า ความจริงคือ “ไม่จำเป็น” เพราะเราเองนั้นใช้เพื่อประโยชน์ส่วนตัวในการป้องกันอาชญากรรม และใช้งานด้านความปลอดภัยนั่นเอง

และสำหรับสายแชะที่กำลังกังวลหากถ่ายภาพแล้วติดคนอื่นจะผิด PDPA ไหม? เราขอตอบตรงนี้เลยว่า หากเรานำรูปภาพไปใช้ทางส่วนตัว เช่น ถ่ายภาพที่คาเฟ่ แต่กลับติดหน้าบุคคลอื่นเล็กน้อยโดยที่เราไม่ได้เจตนา เราสามารถลงโซเชียลมีเดียส่วนตัวของเราได้โดยไม่ต้องกังวลถึง PDPA แต่ถ้าหากว่าภาพเหล่านั้นถูกนำไปใช้แสวงหาผลกำไรทางการค้า ก็จะหมายความว่าเรากำลังกระทำผิดต่อ PDPA อยู่

สำหรับสายติ่งก็ห้ามพลาดอีกเรื่องที่น่ารู้ หากเรากำลังร่วมงานอีเวนต์ หรือคอนเสิร์ตต่าง ๆ และโดนถ่ายภาพ หรือเราต้องการที่จะถ่ายภาพติดคนอื่นโดยไม่เจตนา ในส่วนนี้ก็ไม่เข้าข่ายละเมิดสิทธิส่วนบุคคลเช่นกัน แต่ทางผู้จัดงานอีเวนต์จะต้องมีเอกสาร หรือข้อความที่เกี่ยวกับ privacy policy หรือ privacy notice หรือนโยบายข้อมูลส่วนบุคคล เพื่อแจ้งแก่ผู้ร่วมงานว่าในงานมีการถ่ายรูป หรือบันทึกภาพ ถ้าใครไม่สะดวกอาจจะจัดพื้นที่ไม่ให้มีการบันทึกภาพให้แก่คนร่วมงานนั่นเอง 

จริง ๆ แล้วภาคเอกชน หรือภาคธุรกิจ ได้แก่ แม่ค้าออนไลน์ หรือบริษัทเอกชนต่าง ๆ จะต้องมีการปรับตัวให้เข้ากับกฎหมาย PDPA มากกว่าบุคคลทั่วไป เพราะข้อมูลส่วนบุคคลจากลูกค้า หรือผู้ใช้บริการ พนักงานมักจะถูกเก็บไว้ โดยเราจะแนะนำสำหรับภาคเอกชน หรือภาคธุรกิจในส่วนของกฎหมาย PDPA ต้องทำอะไรบ้าง 

เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชันต่าง ๆ รวมไปถึงช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ โดยต้องระบุให้ชัดเจนว่าแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง วัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคล แจ้งสิทธิของเจ้าของข้อมูล การเปิดเผย การรักษาข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ

นอกจากการจัดทำนโยบายความเป็นส่วนตัว Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว หากใครที่ท่องเว็บไซต์ต่าง ๆ บ่อย ๆ จะเห็นถึงเรื่องของ Cookie ที่เด้งขึ้นมา ในส่วนนี้เองการขอจัดเก็บ Cookie ก็จำเป็นจะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานอีกด้วย

โดยเราต้องกำหนดแนวทางชัด ๆ อย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การรักษาความลับ ความถูกต้องครบถ้วน รวมไปถึงต้องระบุชัดเจนในส่วนของนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล และจำเป็นจะต้องครอบคลุมไปถึงส่วนของกระบวนการ Breach Notification Protocol ที่เป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดีอีกด้วย

แต่ละองค์กรจำเป็นจะต้องปฏิบัติตาม และถ้าหากเราต้องการประมวลผลและนำข้อมูลไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคล ดังนั้นธุรกิจควรจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล และคนในทุกองค์กรควรทำความเข้าใจกับกฎหมาย PDPA ให้ดี เพื่อลดความเสี่ยงข้อมูลส่วนบุคคลที่จะถูกละเมิดนั่นเอง และติดตามข้อกฎหมายที่เกี่ยวกับ PDPA อาจมีการเปลี่ยนแปลง

และถึงแม้ว่ากฎหมาย PDPA เป็นกฎหมายใหม่ที่เราต้องทำความเข้าใจ แต่นี่ไม่ใช่เรื่องของใครคนใดคนหนึ่งเพราะเป็นเรื่องของเรา “ทุกคน” และนี่เป็นเพียงจุดเริ่มต้นที่จะทำให้เราทุกคนตระหนักที่จะเคารพ “สิทธิส่วนบุคคล” ของกันและกัน ท้ายที่สุดแล้วเราหวังว่าบทความนี้จะเป็นประโยชน์ให้กับทุกคนไม่มากก็น้อย

ขอขอบคุณข้อมูลจาก
https://www.bangkokbiznews.com
https://www.bangkokbiznews.com
https://pdpa.pro
https://pdpacore.com
https://droidsans.com
https://www.beartai.com