PDPA สำคัญอย่างไรต่อองค์กรและบุคคล

 

นับตั้งแต่มีการประกาศใช้ PDPA (Personal Data Protection Act) หรือ พ.ร.บ. ข้อมูลส่วนบุคคลฯ เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา เพื่อป้องกันการนำข้อมูลส่วนบุคคลไปใช้งานโดยมิชอบ หรือไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้นๆ เราสามารถกล่าวได้ว่า บทบาทของ PDPA นั้นเกี่ยวข้องกับทุกคนอย่างแน่นอน โดยแบ่งผู้เกี่ยวข้องตามลักษณะของข้อมูล ได้แก่ เจ้าของข้อมูล (Data Subject) ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) ซึ่งวันนี้เราจะมาพูดถึงในส่วนของ ผู้ควบคุมข้อมูล ที่ส่งผลต่อบริษัทและองค์กรเอกชนกับเรื่องของการเก็บข้อมูลว่ามีประเด็นไหนบ้างที่จำเป็นต้องให้ความสำคัญ

 

สามารถอ่านบทความเพิ่มเติมเกี่ยวกับ PDPA : PDPA บัญญัติใหม่ รู้ไว้ปลอดภัย อุ่นใจกับทุกฝ่าย

 

---

บทบาทของ PDPA ที่มีผลต่อองค์กรแต่ละประเภท

PDPA เข้ามาควบคุมองค์กรเอกชนและบริษัทต่างๆ ในเรื่องของการเก็บข้อมูลจากเจ้าของข้อมูล (Data Subject) หรือก็คือ บุคคลธรรมดาทั่วไป ที่อาจจะอยู่ในฐานะของลูกค้าหรือสมาชิกของแต่ละองค์กร ซึ่งโดยภาพรวมแล้ว PDPA จะกำหนดบทบาทหน้าที่ของ ผู้ควบคุมข้อมูล (Data Controller) ไว้ในลักษณะคล้ายๆ กันโดย จะกำหนดให้ ผู้ควบคุมข้อมูล ต้องทำการขอยินยอมอนุญาต (Consent) จากเจ้าของข้อมูลก่อนถึงจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ซึ่งรายละเอียดการขอความยินยอมในมาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

 

 

โดยต้องระบุถึงวัตถุประสงค์ ข้อมูลที่ต้องการ ระยะเวลาที่จัดเก็บ ให้มีความชัดเจน ไม่หลอกลวง ด้วยรูปแบบข้อความเข้าถึงและเข้าใจได้ง่าย ภาษาอ่านง่าย พร้อมกับอนุญาตเจ้าของข้อมูลตามสิทธิต่างๆ รวมถึงสิทธ์ในการถอนความยินยอมได้โดยง่ายด้วย ไม่เช่นนั้นจะถือว่า ไม่มีผลผูกพันกับเจ้าของข้อมูลส่วนบุคคล ทำให้ผู้ควบคุมข้อมูลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หรือถ้าทำก็จะมีความผิดตามกฏหมายและถูกฟ้องร้องได้

 

ต้องการคำปรึกษาเกี่ยวกับการจัดทำระบบขององค์กรให้สอดคล้องกับ PDPA สามารถติดต่อสอบถามกับเรา IT Solution ได้ทาง: https://itsolution.co.th/contact-us

 

---

 

ซึ่งการคุ้มครองข้อมูลส่วนบุคคลมีรายละเอียดแตกต่างกันในแต่ละองค์กรที่ต้องคำนึงถึง ดังนี้

อย่างไรก็ตาม ล่าสุดได้มี ประกาศกระทรวงสาธารณสุข เรื่อง การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรค จากการประกอบอาชีพและโรคจากสิ่งแวดล้อม พ.ศ. 2562 กำหนดให้สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้โดย ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ เช่น การระบาดของโรค (ไม่ครอบคลุมคลินิกและสถาบันเสริมความงาม เนื่องจากเป็นกิจกรรมทางการค้าหรือการบริการที่เป็นลักษณะหารายได้หรือแบ่งปันผลกำไร จึงไม่เข้าข่ายเพื่อประโยชน์สาธารณะ)

 

ธุรกิจค้าปลีก

ตัวอย่างเช่น ร้านโชห่วย ร้านสะดวกซื้อ ซูเปอร์มาร์เก็ต ห้างสรรพสินค้า คอมมูนิตี้มอลล์ และร้านค้าออนไลน์ เหล่านี้จะมีความเสี่ยงในเรื่องของการละเมิด PDPA โดยไม่ตั้งใจ ได้จากกรณีดังนี้

 

1. การบันทึกภาพบุคคลนิ่ง หรือภาพเคลื่อนไหวผ่านกล้องวงจรปิด CCTV เพื่อความปลอดภัยของร้าน โดยไม่ได้ขอความยินยอมจากเจ้าของข้อมูลหรือแจ้งว่าพื้นที่ดังกล่าวได้มีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน รวมถึง เรื่องของ ทะเบียนรถ ก็เป็นข้อมูลที่สามรถระบุตัวบุคคลได้ จึงควรระมัดระวังในส่วนนี้ด้วย

2. การจัดทำระบบสมาชิก โดยปกติจะมีการขอข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน และอาจจะมีภาพถ่ายใบหน้า ซึ่งจะต้องผ่านการขอความยินยอม (Consent) จากเจ้าของข้อมูลก่อน ตามในมาตรา 19 ที่ได้กล่าวไปแล้ว

3. การทำ Omni Channel ที่เป็นรูปแบบของการผสานระว่างช่องทางค้าปลีกออฟไลน์และค้าปลีกออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย การซื้อซ้ำ และ สร้างความภักดีของผู้ซื้อ (Loyalty Customers) อย่างเช่น การให้ลูกค้ากรองข้อมูลส่วนตัวเพื่อสมัครสมาชิกในการรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ และยังรวมไปถึงข้อมูลเรื่องของวันเวลาที่ลูกค้าจะมาที่ร้าน ข้อมูลธุรกรรมการเงิน เลขบัตรเครดิต ที่ถูกนำไปใช้เพื่อการติดตามผล กิจกรรมด้านการส่งเสริมการขาย (Promotion) และการตลาดอื่นๆ ซึ่งไม่เฉพาะภายในองค์กรแต่ยังนับรวมถึงการส่งต่อข้อมูลเหล่านี้ไปให้บุคคลที่สามใช้งานเพื่อประโยชน์ในธุรกิจอีกด้วย จึงจำเป็นต้องแจ้งให้ลูกค้าทราบถึง การใช้งานข้อมูล ว่าจะนำไปทำอะไรบ้างด้วย

4. บริการ Delivery เป็นที่นิยมในการส่งสินค้าให้ลูกค้าโดยที่ลูกค้าเองไม่ต้องมารับที่ร้าน ทั้งแบบส่งด่วน ส่งผ่านแอปพลิเคชัน หรือช่องทางที่ร้านค้าพัฒนาขึ้นเอง รวมถึงการส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express และระบบไปรษณีย์ ซึ่งล้วนแล้วแต่ต้องมีการเปิดเผยข้อมูลของผู้รับ ซึ่งก็คือ ลูกค้า ที่เป็นเจ้าของข้อมูล ให้แก่บุคคลที่สามที่เป็นบริการ Delivery นั่นเอง

5. จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกบางแห่งอาจมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ของลูกค้า ซึ่งเป็นข้อมูลที่เข้าข่าย ข้อมูลส่วนบุคคลอ่อนไหว โดย PDPA กำหนดไว้ว่าจะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย และต้องเป็นไปตามในมาตรา 19 เช่นกัน

6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก ในยุคแห่งข้อมูลยิ่งมีข้อมูลมากก็ยิ่งเป็นประโยชน์สำหรับการวิเคราะห์และประมวลผล ซึ่งเป็นปัจจัยสำคัญให้มีการออก PDPA ขึ้นมานั่นเอง ตามนิยามของกฎหมาย PDPA ที่ระบุถึงขอบเขตของ ข้อมูลจำนวนมาก คือ บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลส่วนบุคคลที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลอ่อนไหว มากกว่า 5 พันรายการ และร้านค้าปลีกที่เข้าเกณฑ์นี้จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือ DPO เข้ามาจัดการดูแล

 

 

---

ตัวอย่างของการรั่วไหลของข้อมูลส่วนบุคคลและผลกระทบที่เกิดขึ้น

การรั่วไหลของข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคล (Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) อาจเกิดขึ้นได้จากการตั้งใจ เช่น การนำข้อมูลไปให้บริษัทบุคคลที่สาม หรือ ผู้ประมวลผลข้อมูล (Data Processor) ในการวิเคราะห์ข้อมูลเพื่อนำมาใช้ประโยชน์ และที่เกิดจากความไม่ได้ตั้งใจ เช่น การถูกโจมตีโดยแฮกเกอร์ผู้ไม่หวังดี ก็เป็นสาเหตุที่ทำให้เกิดการรั่วไหลของข้อมูลได้เช่นกัน

 

ในกรณีที่เกิดจากการตั้งใจนั้น ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของ PDPA ในประเทศไทย ตั้งแต่ปี 2561 เป็นต้นมา บริษัทยักษ์ใหญ่ของโลกหลายแห่ง เช่น Google, Meta (Facebook), British Airways และบริษัทอื่นๆ อีกมากมาย ที่ถูกศาลตัดสินให้ต้องจ่ายค่าสินไหมทดแทนในกรณีละเมิดข้อมูลส่วนบุคคล

 

 

ส่วนกรณีของการถูกโจมตีทาง Cyber นั้น จากรายงานของ The State of Ransomware ที่ทำการสำรวจองค์กรขนาดกลางที่มีขนาด User 100 -5000 คน ในกว่า 31 ประเทศทั่วโลก เมื่อช่วงต้นปี 2022 พบว่า มีองค์กรจำนวนถึง 66 เปอร์เซนต์ที่ถูกโจมตีด้วย Ransomware และมีถึง 65 เปอร์เซนต์ที่ผู้บุกรุกสามารถ Data Encryption ได้สำเร็จ ซึ่งความเสียหายและความรุนแรงของการโจมตีก็มีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง โดยบริษัทที่ถูกโจมตีนั้น ต้องจ่ายเงินในหลัก 10 ล้านบาท เพื่อกู้คืนข้อมูล ซึ่งมีทั้งได้ข้อมูลคืนและไม่ได้ข้อมูลคืน ทั้งนี้ในประเทศไทยก็มีเหยื่อจากการถูกโจมตีด้วย Ransomware ทั้งภาคเอกชนและรัฐบาล

 

 

ตัวอย่างเช่น ข้อมูลผู้ป่วยจาก ร.พ.แห่งหนึ่งในจังหวัดเพชรบูรณ์ ถูกแฮกกว่า 16 ล้านรายการและถูกนำไปขายบนเว็บไซต์แห่งหนึ่งในราคา 500 ดอลลาร์ และอีกกรณีของ ร.พ.ในจังหวัดสระบุรี ที่ถูกโจมตีโดย มัลแวร์เรียกค่าไถ่ (Ransomware) ครั้งนั้นมีการอ้างอิงจำนวนเงินที่ถูกเรียกค่าไถ่สูงถึง 200,000 บิทคอยน์ ซึ่งเป็นการสะท้อนถึงระบบ Cyber Security ในไทยที่ยังไม่ได้มาตรฐาน ข้อมูลที่หลุดไปส่วนใหญ่เป็น “ข้อมูลส่วนบุคคล” (Personal Data) ทั้ง ชื่อ-นามสกุล วันเกิด เลขบัตรประจำตัวประชาชน หรือข้อมูลบัตรเครดิตและบัญชีธนาคาร ที่ถูกเก็บในองค์กรเหล่านั้น

 

 

ซึ่งนอกจากจะต้องเสียเงินค่าไถ่แล้ว ยังต้องถูกดำเนินการทางกฏหมายตามที่ PDPA กำหนดไว้อย่างชัดเจน แบ่งเป็น 3 ลักษณะดังนี้

อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหายต่อเจ้าของข้อมูล ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย ซึ่งขึ้นอยู่กับดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ และหากมีความร้ายแรงจริงๆ ก็มีโอกาสที่จะได้รับโทษทั้ง 3 ทางเลยอีกด้วย

 

IT Solution เป็นผู้เชี่ยวชาญด้าน Solution & Service ดำเนินการให้บริการมายาวนานกว่า 20 ปี

---

 

 

สอบถามรายละเอียดเพิ่มเติมได้ที่ช่องทางนี้ โทร.02-725-6400 , 084-424-2428 / อีเมล sales@itsolution.co.th หรือ websupport1@itsolution.co.th

 

Tags : PDPA, ข้อบังคับ PDPA , กฏหมาย PDPA, การคุ้มครองข้อมูลส่วนบุคคล, พ.ร.บ. ข้อมูลส่วนบุคคล, Personal Data Protection Act, การรั่วไหลของข้อมูลส่วนบุคคล, ITSC, ITSolution