2020.02.25

Like a Rolling Stone

PDPA จะมีผลบังคับใช้ในประเทศไทยในอีกไม่ช้า

PDPA ของประเทศไทยที่ดูเหมือนจะเป็นไปได้ยาก

ในญี่ปุ่นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้มาตั้งแต่ปีพ.ศ. 2548 และในสหภาพยุโรป GDPR ได้ถูกบังคับใช้มาตั้งแต่ปีพ.ศ. 2561 เงื่อนไขที่บริษัทต้องดำเนินการเพื่อจัดการข้อมูลส่วนบุคคลมีความเข้มงวดมากขึ้นทั่วโลก ซึ่งแนวโน้มนี้ก็จะไม่ยกเว้นประเทศใน ASEAN เช่น ประเทศไทย ได้มีการประกาศใช้ PDPA (พรบ. คุ้มครองข้อมูลส่วนบุคคล) เมื่อปลายเดือนพฤษภาคมปีที่แล้ว (พ.ศ. 2562) และดูเหมือนว่ากระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำลังวางแผนที่จะกำหนดและเผยแพร่ประกาศอย่างเป็นทางการมากกว่า 70 ฉบับภายในวันที่ 27 พฤษภาคม พ.ศ. 2563(※Remark1)

ในฐานะบริษัทที่ให้บริการการตลาด B2B เรื่องนี้น่าสนใจอย่างมากในการส่งเสริมธุรกิจในอนาคต แต่ก็ยากที่จะมองเห็นภาพรวมทั้งหมด ยกตัวอย่างเช่น “สำนักงานเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย” ยังไม่เริ่มดำเนินการ และมีแนวโน้มว่าการประกาศอย่างเป็นทางการอาจล่าช้ากว่ากำหนด ซึ่งเป็นที่แน่นอนว่าปัจจุบันยังไม่ทราบว่าจะมีการบังคับใช้กฎหมายทันทีตั้งแต่วันที่ 27 พฤษภาคม 2563 หรือไม่ และคาดว่าจะยังไม่มีรายละเอียดบทลงโทษที่ชัดเจน อย่างไรก็ตาม ถึงแม้ว่าจะมีหรือไม่มีคณะกรรมการก็ตาม หากมีบุคคลใดที่ออกมาร้องเรียนว่า “ข้อมูลส่วนบุคคลของตนรั่วไหลออกไป” รัฐบาลมีหน้าที่ที่จะต้องรับผิดชอบและดำเนินการแก้ไข ซึ่งในส่วนนี้ทำให้เรารู้สึกเห็นถึงลักษณะเด่นของประเทศไทยได้อย่างชัดเจน

อย่างไรก็ตาม หากกล่าวแต่「ไม่รู้ ไม่รู้」จะทำให้เราไม่สามารถรับมือกับปัญหาใดๆได้เลย ดังนั้น ทางเราจึงขอสรุปข้อมูลที่เราได้รับทราบ ได้เห็น ได้ฟังจากที่กรุงเทพฯ มาให้อ่านกันครับ แต่อย่างไรก็ตาม กรุณาทำความเข้าใจว่าข้อมูลอาจจะไม่ถูกต้องเสมอไปครับ
ลำดับแรก คือ เนื้อหา 80% ของ PDPA ในประเทศไทยน่าจะคล้ายคลึงกับ GDPR ในสหภาพยุโรป ดังนั้นหากบริษัทของคุณใช้ GDPR อยู่ก่อนแล้ว ก็ควรจะลองปรึกษากับผู้ดูแลเฉพาะทางด้านนี้ดูก่อนเป็นอันดับแรก

เนื้อหาของ PDPA ประเทศไทย (ข้อสมมติฐาน)

1 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่สามารถระบุได้โดยตรงหรือโดยอ้อมเกี่ยวกับบุคคล (ยกเว้นผู้เสียชีวิต) เช่น ชื่อ หมายเลขโทรศัพท์ ที่อยู่ อีเมล ข้อมูลบัตรประชาชน ภาพถ่าย และ ข้อมูลพนักงานบริษัท เป็นต้น

2 ชี้แจงว่าใครเป็นผู้รับผิดชอบ (ผู้ควบคุมข้อมูล เจ้าหน้าที่คุ้มครองข้อมูล DPO)

3 มีภาระผูกพันที่จะต้องได้รับ “ข้อตกลง” สำหรับการได้มาซึ่งข้อมูลส่วนบุคคลที่ละเอียดอ่อน ตัวอย่างเช่น เชื้อชาติ / สัญชาติ ความคิดทางการเมือง ศาสนา ข้อมูลทางการแพทย์ ข้อมูลทางพันธุกรรม ความพิการ ประวัติอาชญากรรมก่อนหน้า ข้อมูลไบโอเมตริกซ์ (เช่น ลายนิ้วมือ)

4 สิ่งสำคัญสำหรับการถ่ายโอนข้อมูลที่อยู่นอกขอบเขตและการโอนระหว่างประเทศ คือ ข้อผูกมัดที่ต้องแจ้งให้บุคคลเจ้าของข้อมูลนั้นทราบว่าประเทศปลายทางมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับประเทศไทยหรือไม่

5 จำเป็นต้องระบุข้อมูลดังกล่าวสำหรับการประกาศความเป็นส่วนตัว ①วัตถุประสงค์ของการรวบรวมข้อมูลส่วนบุคคล ②ระบุการปฏิบัติตามข้อผูกพันทางกฎหมายและระบุสิ่งที่เกิดขึ้นหากคุณปฏิเสธที่จะให้ข้อมูลส่วนบุคคล ③ระยะเวลาการเก็บรักษา ④ระบุนิติบุคคลหรือองค์กรที่เปิดเผยข้อมูล ⑤ระบุข้อมูล เช่น ผู้ควบคุมข้อมูล เจ้าหน้าที่คุ้มครองข้อมูล DPO ที่อยู่ติดต่อและอื่นๆ

6 สิ่งสำคัญสำหรับแบบฟอร์มยินยอมเมื่อได้รับข้อมูลส่วนบุคคล คือ “ง่ายต่อการอ่าน เข้าใจง่าย เจตจำนงเสรี ไม่มีเงื่อนไขตามมา แจ้งให้ทราบล่วงหน้า”

7 ข้อยกเว้นที่ไม่จำเป็นต้องได้รับความยินยอมเป็นลายลักษณ์อักษร ได้แก่ ①สำหรับการช่วยชีวิต ②ภาระผูกพันทางกฎหมาย ③ข้อกำหนดทางสัญญา ④ผลประโยชน์สาธารณะ ⑤ผลประโยชน์ที่ชอบด้วยกฎหมาย เป็นต้น

8 แม้ว่ายังไม่มีรายละเอียดบทลงโทษที่ออกมาอย่างชัดเจน แต่ก็มีแนวโน้มที่จะถูกควบคุมจากมุมมองของ「ความรับผิดชอบทางแพ่ง」「ความรับผิดชอบทางอาญา」「ความรับผิดชอบด้านการบริหาร」

9 รายละเอียดข้อมูลเกี่ยวกับวิธีการตอบสนองต่อการรั่วไหลของข้อมูล ถึงแม้ว่ายังออกมาไม่ชัดเจน แต่คาดว่าจะมี 「การแจ้งต่อสำนักงานเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล」และ「การแจ้งข้อเท็จจริงเกี่ยวกับการรั่วไหลของข้อมูล (บุคคล) และมาตรการแก้ไข」ซึ่งสำนักงานเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยจะเป็นผู้ตัดสินใจรายละเอียด

การรับมือขององค์กร

หากดูจากข้อมูลในด้านบนแล้ว ในระหว่างที่เราเฝ้ารอฟังการประกาศอย่างเป็นทางการและศึกษาแนวโน้มทางธุรกิจ การที่เราเริ่มจัดลำดับความสำคัญรายการต่าง ๆ ตั้งแต่ตอนนี้ เช่น การเตรียมเอกสารและแบบฟอร์มที่จำเป็น (แบบฟอร์มความยินยอมและหนังสือแจ้งสำหรับการได้รับข้อมูลส่วนบุคคล) รวมถึงการเริ่มฝึกอบรมพนักงานภายในนั้น เป็นเรื่องที่ดีกว่าการเริ่มลงมือทีเดียว 100% ในภายหลัง
สิ่งสำคัญ คือ การระบุรูปแบบที่ปกป้องข้อมูลส่วนบุคคลของบริษัทคุณ ยกตัวอย่างเช่น บริษัทคุณเป็น “ประเภทการตอบสนองภายนอก” ที่จัดการกับข้อมูลของลูกค้าภายนอก เช่น การสัมมนาและการขายสินค้าอุปโภคบริโภคหรือไม่? หรือ บริษัทคุณเป็น “ประเภทการตอบสนองภายใน” ที่ให้ความสำคัญการคุ้มครองข้อมูลส่วนบุคคลของพนักงานจำนวนมากกว่า 1,000 คนหรือไม่?
นอกจากนี้ การทำ 「Data Mapping」 ณ เวลาปัจจุบัน เช่น ข้อมูลส่วนบุคคลประเภทใดที่บริษัทมี ก็จะเป็นเรื่องที่ดี เพราะหากเราได้รู้จักและจำแนกข้อมูลส่วนบุคคลไว้เรียบร้อยแล้ว จะทำให้เราเข้าใจจำนวนและการไหลของข้อมูลส่วนบุคคล ทำให้เรารู้ว่าควรเตรียมเอกสารหรือเครื่องมือประเภทใดไว้รับมือในอนาคต

สรุปรายการที่ควรเตรียมไว้ตั้งแต่ตอนนี้
① Data Mapping (รายการข้อมูลส่วนบุคคล)
② เอกสาร เช่น แบบฟอร์มความยินยอมและหนังสือแจ้งสำหรับการได้รับข้อมูลส่วนบุคคล
③ การฝึกอบรมภายใน (การสัมมนา / อบรม) ※ซึ่งที่จริงแล้วน่าจะเป็นสิ่งที่สำคัญที่สุด

ที่ผ่านมาประเทศไทยอาจดูเหมือนไม่ได้ให้ความสำคัญมากนักกับการคุ้มครองข้อมูลส่วนบุคคล แต่หลังจากนี้จะกลายเป็นสิ่งที่หลีกเลี่ยงไม่ได้ เพื่อส่งเสริม “Thailand 4.0” ซึ่งคุณจะต้องให้ความสำคัญในการจัดการข้อมูลส่วนบุคคลในทุกกิจกรรมของบริษัทคุณ
ยังเหลือเวลาอีกประมาณ 3 เดือน จนกว่าจะมีการประกาศออกมาอย่างเป็นทางการ หากเรามีข้อมูลใหม่มาเพิ่มเติม จะมาแชร์ให้ทุกท่านทราบทันที

(※Remark1)เดิมรัฐบาลไทยกำหนดให้บังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในวันที่ 27 พ.ค. 2563 แต่เนื่องจากองค์กรธุรกิจต้องรับภาระหนักในการรับมือกับไวรัสโคโรนาสายพันธุ์ใหม่ จึงไม่สามารถเตรียมการเพื่อตอบสนองต่อการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ทันตามกำหนด ดังนั้นมติในที่ประชุมครม. เมื่อวันที่ 19 พ.ค. 2563 จึงกำหนดให้เลื่อนการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไปอีก 1 ปี (27 พ.ค. 2563 – 31 พ.ค. 2564)
และด้วยเหตุนี้ องค์กรธุรกิจซึ่งมีการควบคุม และจัดการเกี่ยวกับข้อมูลส่วนบุคคล จึงยังมีเวลาที่จะเตรียมการจนถึงวันที่ 31 พ.ค. 2564 เพื่อให้สามารถปฏิบัติตามกฎหมายใหม่ได้อย่างถูกต้อง ยกตัวอย่างเช่น การ mapping ข้อมูลส่วนบุคคลภายในบริษัท การจัดทำเอกสารต่าง ๆ เช่น Privacy Notice และการอบรมเพิ่มเติมความรู้ให้กับพนักงาน เกี่ยวกับการใช้ข้อมูลส่วนบุคคล เป็นต้น