พรบ.นี้มีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงไม่มีองค์กรไหนสามารถทำเพิกเฉยกับมันได้ กับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันว่า PDPA ( Personal Data Protection Act )  ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค.2563 นี้แล้ว คือ อีก 3 เดือนเท่านั้น เริ่มตอนนี้ก็ยังทันนะคะ 

โดยบทความนี้จะช่วยให้เข้าใจผลของการมีพรบ.นี้มากขึ้น และ Roadmap การเตรียมพร้อมขององค์กรท่านมาไว้ให้ด้วย หากท่านยังไม่แน่ใจว่าการมีกฎหมายนี้อาจสร้างความเสี่ยงให้บริษัทได้มากแค่ไหน ลองดูกรณีศึกษาจากต่างประเทศที่มีการใช้กฎหมายนี้มาก่อนเราที่มีการปรับมาแล้วหลากหลายรูปแบบ

Facebook ทำรายได้ มากถึง 5.5 หมื่นล้านดอลลาร์สหรัฐ ในปี 2018 แต่โดนปรับจาก FTC กรณีละเมิดสิทธิ์ไปประมาณ  5 พันกว่าล้านดอลลาร์สหรัฐ หรือ คิดเป็นประมาณ 10% ของรายได้ทั้งหมด จากกรณีแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica วิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ว่ากันว่าคดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์โลกเลยทีเดียว

Google ทำรายได้  1แสนสามหมื่นล้านดอลลาร์สหรัฐ ในปี 2018 แต่ก็โดนปรับไปประมาณ 300 ล้านดอลลาร์สหรัฐ หรือคิดเป็นประมาณ 1.5% ของรายได้   โดย Google มีโดนหลายเคสมาก แต่ที่โด่งดังคือการประมวลผลข้อมูลของผู้เยาว์เพื่อทำการขายโฆษณาแบบเจาะจง ( Re-targeting Ad )  โดยไม่ได้ขอคำยินยอมจากผู้ปกครอง และอีกเคสที่ดังมาก เพราะยอดค่าปรับสูงที่สุดในประวัติศาสตร์ของ GDPR เลย คือ กรณีทำ Consent แบบแอบซ่อน ไม่ชัดเจนตอนที่รับสมัครสมาชิก Google account ต้องให้ผู้ใช้งานกดหลายขั้นตอน และมีการนำข้อมูลไปทำ Personalized Advertisement  

British Airways ทำรายได้  1 หมื่นสามพันล้านปอนด์ ในปี 2018 แต่ก็โดนปรับจากไป 204 ล้านปอนด์  หรือ คิดเป็นประมาณ 1% ของรายได้จากกรณีถูกเจาะระบบข้อมูลทำให้ข้อมูลลูกค้ากว่า 500,000 คนถูกขโมยไปจากการแฮกเวบไซต์ คล้ายๆ Phishing ข้อมูลที่ถูกขโมยได้แก่ ชื่อ ที่อยู่ อีเมล และข้อมูลการชำระเงิน คดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์ ICO เลยทีเดียว

Marriott International เครือโรงแรม W, Westin, Le Meridien และ Sheraton  ถูกปรับจาก GDPR  99.2  ล้านปอนด์ เนื่องจากข้อมูลส่วนบุคคล รวมถึงรายละเอียดบัตรเครดิต หมายเลขพาสปอร์ต และวันเดือนปีเกิดของลูกค้ากว่า 339 ล้านคนถูกแฮ๊คไป

ส่วนประเทศในเอเชียอย่างสิงคโปร์ที่ถึงแม้จะมีการบังคับใช้กฎหมายเรื่องนี้มานานกว่า 10  ปีแล้ว ก็มีการเพิ่มความเข้มงวดมากยิ่งขึ้นในปีที่ผ่านมา เนื่องจากมีเหตุการณ์ที่ระบบ IT ของ SingHealth ถูกแฮ็ค ส่งผลให้ข้อมูลผู้เข้ารับการรักษาในโรงพยาบาลและคลีนิคในเครือ 1,500,000 คนถูกขโมยออกไป ข้อมูลได้แก่ ชื่อ ที่อยู่ เพศ สัญชาติ วันเกิด และหมายเลขบัตรประจำตัวประชาชน นอกจากนี้ ข้อมูลการจ่ายยาผู้ป่วยนอกอีกประมาณ 160,000 รายก็ได้ถูกขโมยออกไปด้วย หนึ่งในนั้นคือข้อมูลของ Lee Hsien Loong นายกรัฐมันตรีคนปัจจุบันของสิงคโปร์  ค่าปรับจากคดีนี้สูงถึง 1 ล้านดอลลาร์สิงคโปร์ ทำให้ในปี 2019 มียอดการปรับรวมสูงถึง 1.54 ล้านดอลลาร์สิงคโปร์ สูงสุดในประวัติกาลของสิงคโปร์และก็สูงกว่า 3 ปีก่อน (2016-2018) รวมกันถึงเกือบ 5 เท่า  โดยในกว่า 100 องค์กรที่โดนปรับมาจากทุกอุตสาหกรรม โดยเฉพาะค้าปลีก, การเงิน, วิชาชีพเฉพาะทาง เช่น แพทย์ ส่วนใหญ่มาจากการมีระบบปกป้องข้อมูลที่ไม่ถูกต้องตามมาตรฐาน  และ ที่น่าแปลกใจคือ องค์กรการกุศลมีถึง 10 แห่งที่มีความผิดและโดนปรับรวมกันมากถึง

บทลงโทษของต่างประเทศ

• GDPR ของทางสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า 
• PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ 
• PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต

บทลงโทษจาก PDPA ของไทย 

ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว 

• โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท 
• โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง 
• โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

GDPR ใช้เวลาเพียง 2 ปีก็สามารถแผลงฤทธิ์ใส่องค์กรใหญ่ๆไปได้หนักหน่วงทีเดียว และ PDPA ในประเทศที่มีใช้มานานแล้วก็มีการตื่นตัวเพิ่มขึ้นเพื่อรองรับการเติบโตของเทรนด์การเก็บข้อมูลของผู้บริโภคเพื่อนำมาวิเคราะห์  เห็นความเสี่ยงใกล้ๆตัวหรือยังคะ ? หากเราดูจากเคสตัวอย่าง เทียบค่าปรับจากเปอร์เซ็นต์ของยอดขายอาจดูไม่เยอะ เพียงแค่ 1-10% ถ้าเทียบจากรายได้มหาศาลของบริษัทเหล่านั้น กลับกันหากเป็นบริษัทเล็กที่มีรายได้ต่อปีไม่ถึง 50 ล้านบาท แล้วโดนปรับ 5 ล้านบาท อาจเป็น 10% ที่แสนสาหัสมากเลยทีเดียว  สำหรับในบ้านเรานี้ คงไม่มีใครอยากเจิม PDPA เป็นคดีแรกหรอกใช่มั้ยคะ  

จะเริ่มอย่างไรดี เรามี 5 Step roadmap มาให้ค่ะ

1 ) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ?  ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่ค่ะ 

• หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล  ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS
• หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล 
• หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย  เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์ 

2 ) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ? 

ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม  ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น

ชื่อ นามสกุล

• หมายเลขโทรศัพท์ 
• ที่อยู่  
• อีเมล
• หมายเลขบัตรประจำตัวประชาชน 
• รูปถ่าย 
• ประวัติการทำงาน 
• อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง ) 
• นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
• เชื้อชาติ
• ชาติพันธุ์
• ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง) 
• ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพ ความพิการ 
• ข้อมูลสหภาพแรงงาน 
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ 
• ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
• หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล

1. สิทธิที่จะได้รับแจ้ง 
2. สิทธิในการแก้ไข
3. สิทธิในการได้รับและโอนถ่ายข้อมูล
4. สิทธิในการเข้าถึง
5. สิทธิคัดค้าน
6. สิทธิในการลบ (ถูกลืม)
7. สิทธิในการจำกัด
8. สิทธิในการเพิกถอนคำยินยอม

โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

3 ) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้

1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 

เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้ 

การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

• ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ 
• อ่านง่าย เข้าใจง่าย
• ไม่หลอกลวงให้เข้าใจผิด  
• แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์

การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

• ทำเมื่อไหร่ก็ได้
• ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม 
• แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ

2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 

3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center 

4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ  )

5. มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ 

มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม

1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ  
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต 
3. มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล  
4. มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล  
5. มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล  
6. เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล

 ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้วค่ะ

4) เริ่มจากส่วนกลางก่อนเลยค่ะ 

กำหนดบทบาท

• ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
• ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม (  ต้องเป็นคนละคนกับผู้ควบคุม )
• หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่  แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไปค่ะ  หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้ 

5)  และขอบอกเลยว่า เกี่ยวทุกแผนกนะคะ แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว 

ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดีค่ะ

• Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
• IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด 
• ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
• เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด  
• Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไขค่ะ 
• Sales :  หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent 
• Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะคะ แต่อาจเข้าข้อยกเว้นได้ 
• HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับค่ะ 

ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และจะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับ เคลียร์ความเทาในหลายๆกรณี แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลงค่ะ 

ที่มา : https://techsauce.co/tech-and-biz/pdpa-big-data-private-law