สรุป ม้วนเดียวจบ กับ ‘ความเข้าใจผิด’ ของกฎหมาย PDPA อะไรทำได้ แบบไหนต้องระวัง

หากพูดถึงเครื่องมือสำคัญที่ทำให้การทำธุรกิจประสบความสำเร็จเป็นอันดับต้นๆ หลายคนอาจจะนึกถึงเงินลงทุนจำนวนมหาศาล กลยุทธ์ทางการตลาดที่เฉียบคม การประชาสัมพันธ์ที่ครองใจลูกค้า แต่จริงๆ แล้ว ยังมีเครื่องมืออีกชิ้นที่สำคัญไม่แพ้กัน นั่นก็คือ ‘ข้อมูล’ โดยเฉพาะ ‘ข้อมูลส่วนบุคคล’ ของลูกค้า

ในปัจจุบัน ข้อมูลส่วนบุคคล กลายเป็นเครื่องมือสำคัญในการแสวงหาผลกำไรของบริษัทและหน่วยงานต่างๆ ซึ่งการนำไปใช้ในทางที่ถูกต้อง จะทำให้เกิดประโยชน์กับทุกฝ่าย ทั้งภาคธุรกิจที่สามารถสร้างรายได้ได้มากขึ้น และผู้บริโภคที่ได้รับสินค้าและบริการตรงความต้องการ

แต่หากมีการนำไปใช้ในทางที่มิชอบ จากข้อมูลที่มีประโยชน์ อาจกลายเป็นข้อมูลที่นำไปสู่ ‘อาชญากรรมไซเบอร์’ ที่มีเหยื่อผู้เคราะห์ร้ายมากมาย ทั้งจาก ‘แก๊งคอลเซนเตอร์’ ที่ยังวุ่นวายไม่เลิก และการถูก ‘ฟิชชิง’ (Phishing) ผ่านทางอีเมล ดังนั้น คงจะดีไม่น้อย หากมีกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลของเราออกมาเสียที

และวันนี้ (1 มิถุนายน) ถือเป็นวันแรกของการบังคับใช้ ‘PDPA’ ที่ย่อมาจาก Personal Data Protection Act หรือ ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562’ ในไทย โดยใจความสำคัญของ PDPA คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลเท่านั้น หมายความว่า หากมีผู้ใดนำข้อมูลส่วนบุคคลของผู้อื่นมาใช้หรือเผยแพร่ จนทำให้ผู้อื่นเกิดความเสียหาย หรือเสื่อมเสียชื่อเสียง ก็จะได้รับโทษตามที่กฎหมายระบุไว้

แต่จากใจความสำคัญเพียงประโยคเดียว ก็ทำให้เกิดการตีความ จนเกิดเป็นความเข้าใจผิดกันไปต่างๆ นานา บ้างก็ว่า นี่อาจจะเป็นการริดรอนสิทธิ์ในการใช้ชีวิต บ้างก็ว่า นี่อาจเป็น ‘เครื่องมือ’ ในการจับผิดบนโลกออนไลน์

ดังนั้น เราจึงรวบรวมความเข้าใจผิดเกี่ยวกับ PDPA มาสรุปแบบม้วนเดียวจบ ให้ทุกคนเข้าถึงวัตถุประสงค์ที่แท้จริงของการบังคับใช้กฎหมาย รวมถึงพาทุกคนไปย้อนไทม์ไลน์ว่า PDPA มีจุดเริ่มต้นอย่างไร และทำไมชื่อ พ.ร.บ. จึงต่อท้ายด้วยปี 2562 ทั้งๆ ที่มีการบังคับใช้อย่างเต็มรูปแบบในปี 2565?

ย้อนไทม์ไลน์กว่าจะมาเป็น ‘PDPA’

จุดเริ่มต้นของ PDPA เกิดจากการที่ความปลอดภัยของข้อมูลส่วนบุคคลถูกละเลย มีหลายกรณีมากๆ ที่ข้อมูลส่วนบุคคล ถูกทำให้ไม่เป็นข้อมูลส่วนบุคคลอีกต่อไป เช่น ถุงขนมที่พับจากสำเนาบัตรประชาชน การส่งต่อข้อมูลที่เป็นความลับด้วยความตั้งใจและไม่ตั้งใจ เป็นต้น เมื่อข้อมูลเหล่านี้ รั่วไหลออกมาเป็นจำนวนมาก ก็เป็นโอกาสที่ทำให้มิจฉาชีพสามารถทำผิดกฎหมายได้ง่ายขึ้น

จนในที่สุด PDPA ได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 เพื่อบังคับให้บริษัทหรือหน่วยงานต่างๆ ต้องมีการรักษาความปลอดภัยข้อมูลส่วนบุคคลของผู้ใช้งาน รวมถึงให้สิทธิ์ในการเพิกถอนความยินยอมแก่ประชาชนทุกเมื่อ แต่การบังคับใช้เป็นอันต้องสะดุด เนื่องจาก การแพร่ระบาดของโควิด-19 ทำให้คณะรัฐมนตรี (ครม.) ตัดสินใจออกพระราชกฤษฎีกา (พ.ร.ฎ.) ยกเว้น 22 ธุรกิจ ภายใต้การบังคับใช้ของ PDPA และขยายเวลาใช้ พ.ร.ฎ. ต่อเนื่องถึง 2 ปี ทำให้การบังคับใช้ PDPA ชะลอตัวไปโดยปริยาย

นอกจากนี้ PDPA ยังเป็นปัจจัยที่ส่งเสริมความมั่นคงของชาติได้ด้วย เนื่องจาก สหภาพยุโรป (EU) และประเทศอื่นๆ มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมานานแล้ว หากไทยยังไม่มีการบังคับใช้กฎหมายนี้อย่างเป็นทางการ อาจจะทำให้ไทยเสียโอกาสด้านการค้าระหว่างประเทศได้

ดังนั้น นี่จึงเป็นเวลาอันสมควรแก่การบังคับใช้ PDPA อย่างเต็มรูปแบบในไทยเสียที

ความเข้าใจผิดเกี่ยวกับ ‘PDPA’

เนื่องจาก PDPA เพิ่งมีการบังคับใช้อย่างสดๆ ร้อนๆ จึงถือว่า เป็นเรื่องใหม่สำหรับสังคมไทยมาก รวมถึงมีความเข้าใจผิดหลายอย่างที่เกิดขึ้นในโลกออนไลน์ วันนี้ เราจึงรวบรวมประเด็นความเข้าใจผิดเหล่านั้น มาเคลียร์ให้ชัดในรูปแบบถาม-ตอบ

Q: PDPA คุ้มครองแค่ข้อมูลที่ถูกเก็บและรวบรวมในรูปแบบออนไลน์ใช่หรือไม่?

A: ไม่ใช่ ข้อมูลทุกรูปแบบจะได้รับการคุ้มครองภายใต้ข้อบังคับของ PDPA ไม่ว่าจะเป็นไฟล์เอกสาร เอกสารแบบฉบับ เสียง รูปภาพ และวิดีโอ

Q: การถ่ายภาพหรือวิดีโอ ติดใบหน้าของผู้อื่นโดยที่เจ้าตัวไม่ยินยอม ผิดต่อ PDPA หรือไม่?

A: ไม่ผิด ในกรณีที่การถ่ายภาพและวิดีโอ ติดใบหน้าของผู้อื่นมาโดยไม่เจตนา ไม่ได้มีวัตถุประสงค์เพื่อใช้เชิงพาณิชย์ และไม่ได้สร้างความเสียหายให้กับบุคคลในภาพหรือวิดีโอ แต่เราสามารถเซนเซอร์ใบหน้าของผู้อื่นก่อนเผยแพร่ลงโซเชียลมีเดียได้ เพื่อรักษาความเป็นส่วนตัวของบุคคลนั้นๆ

Q: การถ่ายภาพหรือวิดีโอ ร่วมกับบุคคลสาธารณะ ต้องขอความยินยอมเป็นลายลักษณ์อักษรก่อนหรือไม่?

A: ไม่ต้อง สามารถถ่ายภาพหรือวีดิโอ เพื่อวัตถุประสงค์ส่วนตัวได้ แต่หากบุคคลสาธารณะท่านนั้น ไม่ยินยอมให้เผยแพร่ภาพหรือวีดิโอลงโซเชียลมีเดีย ก็ไม่สามารถเผยแพร่ภาพหรือวีดิโอนั้นได้

Q: เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้ใช่หรือไม่?

A: ไม่จำเป็น แต่ต้องให้ความยินยอมในกรณีที่อาจเกิดส่วนได้ส่วนเสียบางอย่าง เช่น การใช้เพื่อการค้นคว้าทางสถิติ การใช้ในทางกฎหมาย การใช้เพื่อประโยชน์สาธารณะ

Q: PDPA ทำให้ประชาชนเสียเปรียบมากกว่าได้เปรียบ เพราะเป็นการริดรอนสิทธิ์การใช้โซเชียลมีเดียใช่หรือไม่?

A: เมื่อวิเคราะห์ตามข้อบังคับของกฎหมาย จะพบว่า ประชาชนได้เปรียบมากกว่า เพราะข้อมูลส่วนบุคคลของประชาชนจะได้รับความคุ้มครอง และป้องกันการรั่วไหลมากขึ้น ส่วนเรื่องการใช้โซเชียลมีเดีย หากใช้งานโดยตั้งอยู่บนพื้นฐานทางสังคมที่เหมาะสมอยู่แล้ว ก็ไม่จำเป็นต้องกังวลใดๆ ทั้งสิ้น

การบังคับใช้ PDPA อย่างเต็มรูปแบบ นับว่าเป็นก้าวสำคัญที่จะผลักดันให้คนในสังคมเห็นความสำคัญของการรักษาความปลอดภัยของข้อมูล ถึงแม้ว่า ในตอนนี้ จะยังมีคนที่ไม่เห็นด้วยกับ PDPA แบบ 100 เปอร์เซ็นต์ รวมถึงบางหน่วยงานก็ยังมีความไม่พร้อมที่จะปรับตัวตามข้อบังคับของกฎหมาย

ดังนั้น อาจจะต้องใช้เวลา 1-2 ปี ในการปรับตัว ส่งเสริมการเรียนรู้ และการพัฒนาระบบให้กับบริษัทหรือหน่วยงานต่างๆ รวมถึงสนับสนุนให้คนในสังคมลองเปิดใจที่จะศึกษาข้อกฎหมายนี้เพิ่มเติม เพื่อให้เป็นประโยชน์ต่อตนเองในอนาคต เพราะสุดท้ายแล้ว คนที่มีสิทธิ์ในการตัดสินใจที่จะปกป้อง หรือเปิดเผยข้อมูลส่วนบุคคลของตัวเองก็เป็นตัวเราเองอยู่ดี

สามารถศึกษารายละเอียดเพิ่มเติมของ PDPA ได้ที่ https://bit.ly/3zgkIUN

Sources: https://bit.ly/3zbb6uu

https://bit.ly/3m1kXuK

https://bit.ly/3No42ip

https://bit.ly/3x4pn9D

https://bit.ly/3GBAYkA