PDPA พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล กำลังจะมีผลบังคับใช้

 หลังจากที่มีการประกาศใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลให้มีผลบังคับใช้เมื่อเดือนพฤษภาคม 2563 และหลังจากนั้น วันที่ 21 พฤษภาคม 2563 รัฐบาลก็ได้ออก พระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้ พรบ.  บังคับใช้ ตั้งแต่ 27 พฤษภาคม 2563 ถึง 31 พฤษภาคม 2564 โดยมีกิจการทั้งหมด 22 ด้าน ด้วยกันทั้งภาครัฐและเอกชน กิจการด้านเกษตร กิจการด้านอุตสาหกรรม มูลนิธิ สมาคม และอื่น ตามประกาศแนบท้าย ตีความง่าย ๆ คือ หลังวันที่ 31 พฤษภาคม 2564 ทุกกิจการจะต้องอยู่ภายใต้ พรบ คุ้มครองข้อมูลส่วนบุคคล

สาเหตุที่นำเสนอเรื่องนี้ก็เกิดมาจาก ได้ชม Documentary เรื่อง The Great Hack ทาง Netflix ที่นำเอาเรื่องราวของ Cambridge Analytica ทำงานให้กับวุฒิสมาชิก Ted Cruz จนได้คะแนนสูง  ซึ่งหลังจากนั้นแคมเปญต่อมา Brittany Kaiser อดีตผู้อำนวยการ ฝ่ายพัฒนาธุรกิจ ของบริษัท SCL Group ซึ่งเป็นบริษัทแม่ของ Cambridge Analytica ก็ทำให้ ทรัมป์ ชนะการเลือกตั้งเมื่อปี 2016 เป็นการทำผิดกฏหมายข้อมูลส่วนบุคคล จากบัญชีของ facebook มาใช้ประโยชน์ โดยไม่ได้รับความยินยอม เรื่องนี้น่าจะเป็นคดีที่โด่งดัง อื้อฉาว มากและเกี่ยวข้องกับข้อมูลส่วนบุคคล การนำเอาข้อมูลส่วนบุคคลมาใช้เพื่อให้เกิดการมีส่วนได้ส่วนเสียในเรื่องนี้ และ มีผลกระทบเป็นอย่างมาก หลายคนไม่เชื่อว่าเฟสบุคเองนั้นไม่ได้มีส่วนเกี่ยวข้องในเรื่องนี้ 

กฏหมายไทยหรือ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ของไทยซึ่ง ณ วันนี้ที่เขียนบทความยังไม่มีประกาศเลือนออกไป สาเหตุของการเลือนออกไปในปีที่แล้ว น่าจะมาจากสองสาเหตุ คือ เรื่องของโรคระบาด Covid-19 และการเตรียมความพร้อง ทั้งภาครัฐและเอกชน ซึ่ง ใน พ.ร.บ. ฉบับนี้จะทำให้เกิด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่ง ตอนนี้ ทั้งสำนักงาน และ คณะกรรมการ ได้จัดตั้งและสรรหาเป็นที่เรียบร้อยแล้ว

ในยุโรป ก็มีกฏหมายฉบับนี้เหมือนกัน จะใช้ชื่อ ว่า GDPR ถ้าหากใครไปอ่านข่าวเจอก็ให้เข้าใจได้เลยว่าเป็นเรื่องของการคุ้มครองข้อมูลส่วนบุคคล GDPR (General Data Protection Regulation) เป็นกฎระเบียบของ EU ที่ออกมาเพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล กฎหมายนี้เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออก EU Directive เมื่อปี 1995 

สำหรับ ไทยใช้ชื่อว่า PDPA(Personal Data Protection Act)

ประชาชนจะได้อะไร

1. ประชาชนจะไม่ต้องให้ข้อมูลมากเกินจำเป็นกับการสมัครใช้บริการต่าง

2. ประชาชนจะได้รับการปกป้องจากการนำข้อมูลส่วนบุคคลไปใช้และทำให้เกิดความอับอาย

3. การนำข้อมูลส่วนบุคคลไปใช้ประโยชน์ เช่น ไป ขายให้กับผู้ลงโฆษณาจะทำไม่ได้ หรือ ธนาคารจะ นำข้อมูลไปขายให้ บริษัทประกันโทรมาขาย จะทำไม่ได้อีกต่อไป เว้นแต่ บริษัทจะเก็บรวบรวมข้อมูลเอง

4. การเปิดเผยข้อมูลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล

5. การจะแชร์ข้อมูลส่วนบุคคล เช่น e-mail ข้อมูลติดต่อ อื่นๆ 

6. การนำข้อมูลคนอื่นไปสวมรอย ก็จะได้รับความคุ้มครองด้วย

หน่วยงานหรือบริษัทต้องทำอะไร

หากมีการเก็บข้อมูลส่วนบุคคลซึ่ง บริษัทส่วนใหญ่จะมีการเก็บข้อมูลลูกค้า มาใช้ในการให้บริการหลังการขายหรือส่งโปรโมชั่น ดี ๆ กลับไปให้ซึ่งสามารถทำได้ แต่ ห้ามนำข้อมูลที่เก็บไว้ไปขาย และการเก็บข้อมูลต้องได้รับความยินยอม

ยกตัวอย่างเว็บไซต์แห่งหนึ่งต้องการให้มีการสมัครรับข้อมูลข่าวสารจะต้องให้มีการกรอกข้อมูลเท่าที่จำเป็นเช่นใส่แค่ email address ก็พอไม่จำเป็นต้องใช้ที่อยู่ และจะต้องมีข้อความ ประกาศข้อกำหนดในการใช้บริการ

ยกตัวอย่าง Facebook การสมัครสมาชิก จะมีลิงค์ข้อความให้เข้าไปอ่าน ข้อกำหนดการใช้บริการ ผมจะยกตัวอย่างข้อความหนึ่งที่ Facebook ระบุไว้ว่า 

"เราจะไม่ขายข้อมูลส่วนตัวของคุณแก่ผู้ลงโฆษณา และเราจะไม่แชร์ข้อมูลที่ระบุตัวคุณได้โดยตรง(เช่น ชื่อ อีเมล หรือ ข้อมูลติดต่ออื่นๆ ) ให้กับผู้ลงโฆษณาเว้นแต่คุณจะให้สิทธิ์การอนุญาตเป็นการเฉพาะกับเราแต่ผู้ลงโฆษณาสามารถบอกเราเกี่ยวกับประเภทของกลุ่มเป้าหมายที่ต้องการให้เห็นโฆษณาของตนได้ แล้วเราจึงแสดงโฆษณาเหล่านั้นให้กับผู้คนที่อาจสนใจ "

หน่วยงานจะต้องรักษาข้อมูล

ทุกวันนี้ไม่ว่าจะเป็น การใช้บริการต่าง ๆ ที่มีความจำเป็นจะต้องลงทะเบียนเช่น การซื้อบัตรชมคอนเสริต์ การซื้อสินค้าออนไลน์ แม้แต่การลงทะเบียนรับสิทธิ์ ของรัฐบาล หน่วยงานของรัฐก็จะต้องเก็บรักษาข้อมูลไม่ให้รั่วไหลไม่ว่าจะด้วยวิธีการใดก็ตามดังนั้น ระบบการรักษาความปลอดภัยของข้อมูลต้องเข้มแข็ง

การสมัครใช้บริการเปิดบัญชีธนาคาร เปิดบัญชีซื้อขายหลักทรัพย์ ปัจจุบันมีการสมัครแบบยืนยันตัวตนต้องมีการถ่ายรูป ถ่ายบัตรประชาชน ถ่ายหนังสือเดินทาง ก็จะต้อง ไม่นำข้อมูลเหล่านี้ไปใช้ และต้องป้องกันไม่ให้รั่วไหล หรือบุคคลภายในล่วงรู้ข้อมูลและนำไปใช้ เช่นหลังการลาออก นำเอาข้อมูลลูกค้าของ บริษัท ไปใช้ประโยชน์

อ้างอิง 

พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

พ.ร.ก กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๓  http://www.ratchakitcha.soc.go.th/DATA/PDF/2563/A/037/T_0001.PDF

GDPR https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

เกี่ยวกับ สารคดี The Great Hack https://en.wikipedia.org/wiki/The_Great_Hack