ในช่วงไม่กี่ปีที่ผ่านมา เราได้เห็นข่าวที่เกี่ยวข้องกับการละเมิดสิทธิส่วนบุคคลในยุคดิจิตอลกันมากขึ้น ยกตัวอย่าง เช่น กรณีที่ผู้ประกอบการนำข้อมูลส่วนตัวของลูกค้าไปใช้เพื่อประโยชน์เชิงพาณิชย์โดยไม่ได้รับการยินยอม รวมไปถึงเหตุการณ์ที่มีผู้ไม่หวังดีนำข้อมูลส่วนตัวของผู้อื่นไปใช้เพื่อให้เกิดความเสียหาย และเพื่อเป็นการป้องกันไม่ให้เหตุการณ์ในลักษณะดังกล่าวเกิดขึ้น รัฐบาลจึงตัดสินใจออกกฎหมายว่าด้วยเรื่องของการการคุ้มครองสิทธิส่วนบุคคลเพื่อคุ้มครองผู้บริโภคหรือ PDPA ขึ้นมา ว่าแต่รายละเอียดในเชิงลึกของ PDPA คืออะไร? แล้วผู้ประกอบการที่จำเป็นต้องนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ควรทำอย่างไรเพื่อไม่ให้ขัดต่อตัวกฎหมาย? หากใครอยากรู้คำตอบแล้ว ลองตามไปดูกันได้เลย
PDPA คืออะไร?
จริงๆ แล้ว PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฉบับปี พ.ศ. 2562 โดยเนื้อหาสำคัญของกฎหมายดังกล่าวได้แก่การคุ้มครองไม่ให้ข้อมูลส่วนตัว อันได้แก่ ข้อมูลพื้นฐาน เช่น ชื่อ-สกุล และหมายเลขบัตรประชาชน ฯลฯ และข้อมูลละเอียดอ่อน อาทิ ความเห็นทางการเมืองและเชื้อชาติ ถูกนำไปเผยแพร่หรือนำไปใช้เพื่อผลประโยชน์ในเชิงพาณิชย์ไม่ว่าจะทั้งทางตรงหรือทางอ้อมโดยปราศจากการยินยอม ซึ่งการทำผิดพระราชบัญญัติดังกล่าวมีโทษทั้งทางแพ่ง, ทางอาญา และทางปกครอง
รายละเอียดสำคัญที่ผู้ประกอบการต้องรู้
หลังจากทราบกันไปแล้วว่า PDPA คืออะไร ขั้นตอนต่อมาเราอยากจะขอพูดถึงทุกขั้นตอนสำคัญที่ผู้ประกอบการทุกคนควรทราบก่อนนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ โดยรายละเอียดว่าด้วยเรื่องดังกล่าวมีรายละเอียดเบื้องต้นดังนี้
ต้องได้รับการยินยอมจากลูกค้าก่อนนำข้อมูลไปใช้
เนื่องจาก PDPA คือกฎหมายที่ว่าด้วยสิทธิส่วนบุคคล ดังนั้นขั้นตอนแรกสุดที่เราจำเป็นต้องทำในฐานะผู้ประกอบการคือการชี้แจ้งให้ลูกค้าหรือลูกจ้างทราบถึงสิทธิในเรื่องดังกล่าว เมื่อเสร็จสิ้นแล้ว จึงค่อยจัดทำเอกสารเพื่อขอความยินยอม โดยเนื้อความในเอกสารจะต้องมีองค์ประกอบดังต่อไปนี้ เนื้อหาจะต้องใช้ภาษาที่อ่านแล้วเข้าใจง่าย, ไม่มีการพลิกแพลงคำเพื่อนำไปสู่การเข้าใจผิด และแบ่งเงื่อนไขต่างๆ ไว้ชัดเจนโดยปราศจากการผูกมัด
มีมาตรการในการดูแลข้อมูลส่วนบุคคลที่รัดกุม
นอกเหนือไปจากการขอความยินยอมจากลูกค้าแล้ว ทางผู้ประกอบการยังจะต้องมีมาตรการในการดูแลข้อมูลส่วนบุคคลที่รัดกุม ซึ่งจะต้องประกอบไปด้วย มาตรการด้านการบริหารการจัดการ, มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพ นอกจากนี้ภายในมาตรการทั้งหมดที่ได้พูดถึงไปยังจะต้องมีรายละเอียดต่อไปนี้ เช่น การกำหนดให้เฉพาะผู้ที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลส่วนบุคคลได้, การจัดตั้งระบบตรวจสอบประวัติการใช้งานข้อมูล และการกำหนดขอบเขตของผู้ที่ได้รับอนุญาตในการนำข้อมูลไปใช้งาน เป็นต้น
และทั้งหมดก็คือบทความของเราว่าด้วยเรื่อง PDPA คืออะไร? หวังว่ารายละเอียดข้างต้นที่เราได้นำเสนอไปคงจะเป็นประโยชน์ทั้งกับบุคคลทั่วไปรวมไปถึงผู้ประกอบการทุกคนไม่มากก็น้อย