ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?

       ซึ่งกฎหมาย PDPA ที่จะมีการประกาศใช้ใน วันที่ 1 มิถุนายน 2565 นั้น ถือว่าเป็นเรื่องที่สำคัญมาก เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  
       ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึกกันครับ

PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้ 
       หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร? อีกทั้งยังไม่รู้ว่า PDPA จะประกาศใช้ 1 มิถุนายน 2565 นี้
       กฎหมาย PDPA (Personal Data Protection Act) เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน
       ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึง ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

       ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
       เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

ส่วนบุคคลทั่วไป
       • ชื่อ-นามสกุล 
       • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
       • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
       • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
       • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
       • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
       • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

       ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

       นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 
       • เชื้อชาติ เผ่าพันธุ์ 
       • ความคิดเห็นทางการเมือง 
       • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
       • พฤติกรรมทางเพศ
       • ประวัติอาชญากรรม 
       • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
       • ข้อมูลสหภาพแรงงาน
       • ข้อมูลพันธุกรรม
       • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครต้องอยู่ภายใต้ PDPA บ้าง?
       หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง 

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
       เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน 

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
       ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
       ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

โทษที่คุณอาจเจอ หากไม่ปฎิบัติตาม PDPA

       ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่าง ๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และ โทษปกครอง ที่อาจจะถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้
       • โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
       • โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
       • โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท
       PDPA กำหนดหน้าที่ให้ผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ต้องแจ้ง Privacy Policy แก่เจ้าของข้อมูลส่วนบุคคลทราบ หากถึงวันที่ 1 มิ.ย. 2565 แล้วคุณยังไม่ได้จัดทำ Privacy Policy หรือทำไม่ถูกต้องตามกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคุณอาจได้รับโทษทางปกครองได้

นอกจาก Privacy Policy แล้ว ยังมีคำว่า Privacy Notice แล้ว Privacy Policy กับ Privacy Notice ต่างกันอย่างไร ?
       ในบทความนี้เราจะมาคลายความสงสัยกันนะครับว่าคำตอบของคำถามที่กล่าวมาข้างต้นมันเป็นอย่างไร
       ตัว Policy และ Notice คือหนึ่งในข้อบังคับของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งจุดประสงค์ของการใช้มันแตกต่างกันครับ งั้นเรามาเริ่มต้นด้วยความหมายของ 2 อย่างนี้กันก่อน
       สำหรับ Policy คือข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน ซึ่งในเนื้อหามันส่งผลโดยตรงกับพนักงานที่ใช้ข้อมูลส่วนบุคคลไม่ว่าจะเก็บ หรือใช้ก็ตาม ดังนั้นพนักงานต้องเข้าใจ และทำตามนโยบายที่องค์กรกำหนดมาอย่างเคร่งครัด
       ส่วน Notice คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งในบางครั้งก็สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล

       พออ่านมาถึงจุดนี้ก็จะเข้าใจแล้วล่ะครับว่าความแตกต่างระหว่างสองสิ่งนี้เป็นอย่างไร ซึ่งสรุปได้ว่า Policy จะโฟกัสเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และการใช้ข้อมูลส่วนบุคคลของพนักงานในองค์กร ส่วน Privacy  Notice จะโฟกัสไปยังเจ้าของข้อมูล (Data Subject) หรือผู้ที่มีส่วนได้ส่วนเสียในองค์กรว่าจะทำอะไรกับข้อมูลส่วนบุคคลนั่นเอง ซึ่งจุดประสงค์ หรือเนื้อหาก็จะแตกต่างกัน

Privacy Policy มีองค์ประกอบดังนี้
       Scope
              • รูปแบบการเก็บข้อมูล (Electroinic, กระดาษ, มีการ Encrypted หรือไม่)
              • ใครที่ส่วนเกี่ยวข้องกับนโยบายนี้บ้าง (พนักงาน, Supplier, Vendors)
       คำแถลงนโยบาย
              • คำชี้แจงนโยบายการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล
              • โทษของการไม่ปฎิบัติตามนโยบาย
       ความหมายของข้อมูลส่วนบุคคล
              • การจำแนกข้อมูลส่วนบุคคล
       มาตรฐานการป้องกัน
       วิธีการทำลายข้อมูล
       ผู้รับผิดชอบในการตอบคำถาม (DPO)
       มีผลบังคับใช้เมื่อไหร่

Privacy Notice มีองค์ประกอบดังนี้
       เก็บข้อมูลส่วนบุคคลเมื่อไหร่
       จุดประสงค์ในการเก็บข้อมูล
       ข้อมูลอะไรบ้างที่จะเก็บ
       วิธีการป้องกันความปลอดภัยของข้อมูลส่วนบุคคล
       เมื่อไหร่ที่คุณจะส่งต่อข้อมูลให้กับ Data Processor (ถ้ามี)
       ใครที่รับผิดชอบในการ…
              • ตอบคำถาม
              • แจ้งแก้ไข หรือลบข้อมูล
       กระบวนการในการประสานงานหากเกิดข้อมูลรั่วไหล
       มีผลบังคับใช้เมื่อไหร่

       สรุปแล้ว นโยบายความเป็นส่วนตัว จะเน้นใช้งานภายในองค์กรโดยบอกพนักงานว่าพวกเขาจะทำอะไรกับข้อมูลส่วนบุคคล ระเบียบข้อบังคับการใช้งานข้อมูล ในขณะที่ ประกาศเกี่ยวกับความเป็นส่วนตัว จะถูกประกาศสู่บุคคลบุคคลภายนอกโดยบอกลูกค้าหน่วยงานกำกับดูแลและผู้มีส่วนได้ส่วนเสียอื่น ๆ ว่าองค์กรทำอะไรกับข้อมูลส่วนบุคคลนั่นเองครับ

ถ่ายรูปติดคนอื่น - โพสต์รูปติดคนอื่น' ผิด พ.ร.บ. PDPA ไหม?

การถ่ายรูป - ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA?
       สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตอบชัดว่า กรณีการถ่ายรูป - ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป - ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA?
       ข้อนี้ก็สร้างความสับสนแก่ชาวโซเชียลทั้งหลาย ซึ่งตามหลักการของกฎหมายแล้ว สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล 

ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA?
       การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือนหากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำ ข้อมูลส่วนบุคคล ไปใช้ไหม?
ข้อนี้ไม่จำเป็นต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
       (1) เป็นการทำตามสัญญา
       (2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
       (3) เป็นการใช้เพื่อรักษาชีวิต และ/หรือ ร่างกายของบุคคล
       (4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
       (5) เป็นการใช้เพื่อประโยชน์สาธารณะ
       (6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป

ไปร่วมงานอีเวนต์ แล้วโดนถ่ายภาพ ถือว่าละเมิดข้อมูลส่วนบุคคลไหม?
       เมื่อมีการจัดงานอีเวนต์ หรือกิจกรรมที่มีคนจำนวนมาก การถ่ายภาพแล้วติดบุคคลโดยไม่ได้ขออนุญาตอาจจะไม่เข้าข่ายละเมิดสิทธิส่วนบุคคล แต่ทางผู้จัดงานต้องมีเอกสาร หรือข้อความ privacy policy หรือ privacy notice หรือนโยบายข้อมูลส่วนบุคคล เพื่อแจ้งแก่ผู้ร่วมงานว่าในงานมีการถ่ายรูป หรือบันทึกภาพ ถ้าใครไม่สะดวกอาจจะจัดพื้นที่ไม่มีการบันทึกภาพให้แก่คนร่วมงาน

อ้างอิง : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี่ทางเราโตโยต้าแก่นนคร เรามีนโยบายความเป็นส่วนตัวสำหรับผู้แทนจำหน่ายรถยนต์โตโยต้า/โตโยต้าชัวร์ สามารถเข้าไปอ่านได้ที่ลิงค์ข้างล่างนี้ได้เลยครับ
https://www.tkn.co.th/page/policy/

ขอบคุณบทความดีๆ
easypdpa.com
t-reg.co
www.bangkokbiznews.com

       หากสนใจอยากออกรถยนต์โตโยต้าหรือต้องการข้อมูลเพิ่มเติม ติดต่อมาได้ที่ศูนย์บริการข้อมูลลูกค้า โทร.(043) 333-444 สำหรับติดต่อช่องทางออนไลน์ทักมาที่เพจ Facebook Toyotakaennakorn หรือ Add LINE @TOYOTAKAENNAKORN ศูนย์บริการโตโยต้าแก่นนครเรามีเช็กฟรี 24 รายการ บริการซ่อมเครื่องรถยนต์โตโยต้า บริการงานศูนย์ซ่อมตัวถังและสี และอื่นๆอีกมากมาย สนใจสามารถเข้ามาใช้บริการได้ที่ โตโยต้าแก่นนคร ทุกสาขา