หลังจากที่มีการปรับแก้กันมาหลายครั้งกับการร่างพระราชบัญญัติที่เกี่ยวข้องกับการเก็บข้อมูลผู้บริโภคทางช่องทางดิจิทัล ในที่สุด เมื่อวันที่ 27 พฤษภาคม 2562 ก็ได้มีประกาศอย่างเป็นทางการบนเว็บไซต์ราชกิจจานุเบกษา ว่าด้วยพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) หรือ PDPA (Thailand’s Personal Data Protection Act B.E. 2562 (2019)) จะมีผลคับใช้วันที่ 28 พฤษภาคม 2563 ซึ่งวันนี้ผมจะมาสรุปสาระสำคัญทั้งหมดให้ได้อ่านกัน พร้อมกับจะไปดูกันว่าแนวทางในการปฏิบัติของแบรนด์และธุรกิจต่าง ๆ จะต้องมีการเตรียมตัวในเรื่องใดบ้าง
1. มีเวลาให้เตรียมตัว 1 ปี
ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อมและเสร็จภายใน 1 ปี นับจากวันประกาศ (27 พฤษภาคม 2562) นั่นเท่ากับว่าจะมีผลจริง ๆ ในวันที่ 28 พฤษภาคม 2563
2. “ข้อมูลส่วนบุคคล” หมายถึงอะไรบ้าง
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
3. ใครคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” ?
ผู้ควบคุมข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังนั้น แบรนด์หรือธุรกิจที่มีระบบสมาชิกหรือการลงทะเบียน ไม่ว่าจะเป็นเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ไม่ว่าจะออนไลน์หรือออฟไลน์ ก็ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลเช่นกัน
4. “ผู้ประมวลผลข้อมูล” ไม่ใช่ “ผู้ควบคุมข้อมูล”
ผู้ประมวลผลข้อมูล คือใคร? ผู้ประมวลผลข้อมูล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล แต่ไม่ได้เป็นผู้ควบคุมข้อมูลเอง ดังนั้น Agency และผู้ให้บริการ Hosting Server ที่เก็บข้อมูล ถือเป็นผู้ประมวลผล ไม่ใช่ ผู้ควบคุม
5. ข้อมูลทุกอย่าง ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
ผู้ควบคุมข้อมูลส่วนบุคคล ห้ามเก็บ ใช้ หรือเปิดเผย โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
6. ชี้แจงให้ชัดเจนและเข้าใจง่ายว่าจะเก็บและนำข้อมูลส่วนบุคคลไปทำอะไร
ในการขอความยินยอมจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลดังกล่าว และข้อความการขอความยินยอมนั้น ต้องแยกออกจากข้อความอื่นให้ชัดเจน สามารถเข้าถึงง่ายและเขียนด้วยภาษาที่เข้าใจง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิด
7. เจ้าของข้อมูลสามารถขอดูและขอสำเนาข้อมูลดังกล่าวได้
หากเจ้าของข้อมูลต้องการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ผู้ควบคุมข้อมูลต้องปฎิบัติตามคำร้องขอดังกล่าวได้
8. เจ้าของข้อมูลสามารถขอยกเลิกความยินยอมได้
หากเจ้าของข้อมูลต้องการยกเลิกการยินยอม สามารถแจ้งให้ผู้ควบคุมข้อมูลปฎิบัติตามได้เช่นกัน
9. การละเมิดสิทธิ มีโทษทั้งจำ ทั้งปรับ
หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะมีโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และมาตรา 79)
สิ่งที่แบรนด์และธุรกิจควรเตรียมตัว
จากที่ได้ทราบสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไปบ้างแล้ว อีกสิ่งหนึ่งที่ต้องมีการปรับตัวตามกันไป นั่นก็คือ แบรนด์และธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลของผู้บริโภค ไม่ว่าจะเป็นทางเว็บไซต์ Application สื่อ Social Media หรือสื่อดิจิทัลอื่น ๆ ควรมีการเตรียมตัวและเริ่มทำ มีดังนี้
- ควรมีหน้าในเว็บไซต์ Application หรือสื่อดิจิทัลอื่น ๆ ที่จะต้องระบุวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัว ในภาษาที่เข้าใจง่ายและตรงไปตรงมา สำหรับคนที่มีเว็บไซต์อยู่แล้วอาจจะคุ้นเคยกับหน้า ‘นโยบายความเป็นส่วนตัว’ (Privacy Policy) ที่จะมีเนื้อหาบางส่วนใกล้เคียงกัน สามารถนำปรับมาใช้ได้แต่ต้องใช้ข้อความที่สั้น ๆ เข้าใจง่าย ๆ มากกว่า
- ทุกครั้งที่ให้ผู้ใช้งานลงทะเบียนหรือกรอกข้อมูลส่วนบุคคล ควรมีตัวเลือกแบบ Checkbox ให้ผู้ใช้งานกดเลือกเพื่อยืนยันความยินยอมจากเจ้าของข้อมูล และมี link เพื่อกดเข้าดูรายละเอียดหน้าวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนตัวนั้นด้วย
- ควรมีช่องทางติดต่อและมีหน้ารายละเอียดที่ระบุว่า หากผู้ใช้งานต้องการที่จะติดต่อเพื่อขอตรวจสอบหรือขอรับสำเนาข้อมูลส่วนบุคคลเกี่ยวกับตน ต้องติดต่อหาแบรนด์และธุรกิจอย่างไร โดยอาจจะเพิ่มปุ่ม ‘ติดต่อเพื่อขอตรวจสอบข้อมูลส่วนบุคคล’ ใน Footer หรือหน้า Contact Us ในเว็บไซต์หรือ Application นั้นด้วย
- ควรมีช่องทางให้ผู้ใช้งานเจ้าของข้อมูลแจ้งขอยกเลิกความยินยอมที่เคยให้ไปและลบข้อมูลส่วนบุคคลที่ตัวเองเป็นเจ้าของออกจากระบบการจัดเก็บของแบรนด์และธุรกิจได้ โดยอาจจะเป็น link ‘ยกเลิกความยินยอมจัดเก็บและใช้งานข้อมูลส่วนบุคคล’ เพื่อเข้าหน้าเว็บที่มีรายละเอียดวิธีการแจ้งความต้องการดังกล่าว
ความเห็นเพิ่มเติมจากผู้เขียน
ผมคิดว่าการแสดงความรับผิดชอบและความโปร่งใสในการรักษาสิทธิ์ข้อมูลส่วนบุคคลของผู้บริโภค ถือว่าเป็นการสร้างแบรนด์ที่ดีอีกแบบหนึ่งด้วยครับ เพราะจากการตื่นตัวของผู้บริโภคในยุคนี้ที่ต้องการจะรักษาสิทธิ์ของตัวเอง จึงน่าจะเป็นผลดีที่สุดสำหรับทุกแบรนด์ที่จะปรับสื่อดิจิตอลของตัวเองเพื่อดูแลและจัดการข้อมูลส่วนบุคคลของผู้บริโภคอย่างเหมาะสมและปฎิบ้ติกับข้อมูลเหล่านี้อย่างเป็นธรรมกับผู้บริโภค โดยเฉพาะเรื่องการนำข้อมูลดังกล่าวไปเปิดเผยกับผู้อื่นที่เจ้าของข้อมูลไม่ได้ให้ความยินยอม
จริง ๆ แล้วแม้ไม่มี พ.ร.บ. ฉบับนี้ ทุกแบรนด์ก็ควรต้องใส่ใจและจริงจังกับเรื่องนี้เพื่อแสดงให้ผู้บริโภคเห็นว่า ข้อมูลส่วนบุคคลที่พวกเขายินยอมมอบให้มานั้น จะได้รับการเอาใจใส่ดูแลอย่างดีที่สุด แม้วันหนึ่งจะไม่ได้เป็นลูกค้าของแบรนด์แล้วก็ตาม
บทความโดย: คุณณรงค์ยศ มหิทธิวาณิชชา
Chief Digital Officer & Co-Founder at The Flight 19 Agency
บทความที่คุณอาจสนใจ
เทรนด์ Customer Insight ครึ่งปีหลัง จะเป็นอย่างไร?
รู้หรือไม่? บริษัทที่จะ Most Powerful มากที่สุด คือบริษัทที่มี ‘Data’ มากที่สุด
ต่อไปยุคของธุรกิจที่ต้องการจะเข้าใจ รู้ใจลูกค้า ต้องมี ‘Data’ ในมือมากยิ่งขึ้น…วันนี้ CREATIVE TALK จะมาสรุปเทรนด์ Customer Insight ครึ่งปีหลัง และการหา Customer Insight หลังจากนี้โดยคุณต่อ-ณัฐกรณ์ รัตนชัยสิทธิ์ CEO of Predictive
บาตรติด GPS แก้ปัญหาการยืนรอใส่บาตรนาน ๆ
ในที่สุดเราก็เจอวิธีลดปัญหาการยืนรอตักบาตรนาน ๆ ด้วยสิ่งประดิษฐ์ของน้องนักเรียนจากโรงเรียนส่วนบุญโญปถัมภ์ จ.ลำพูน ในผลงานที่ชื่อว่า “ตักบาตร เติมบุญ” และได้รับรางวับชนะเลิศจากการประกวดทักษะการพัฒนาต้นแบบทางวิศวกรรมระดับประเทศ ปัญหาอย่างหนึ่งของญาติโยมที่ต้องการทำบุญตักบาตรตอนเช้าคือการมาหลวงพ่อนาน ๆ…
“เปลี่ยนจุดอ่อน ให้เป็นจุดแข็ง” ด้วยการบอกจุดด้อยของตัวเอง
จุดอ่อนของคุณคืออะไร? ถ้าใครเคยผ่านการสัมภาษณ์งานมาแล้ว หนึ่งในคำถามที่มักจะถูกถามอยู่เสมอก็คือ “จงบอกข้อเสียของคุณ” ดังนั้น เวลาเรากำลังพรีเซนต์อะไรก็ตาม “อย่าลืมนำเสนอจุดอ่อนของเราด้วย” ลองนึกภาพตามว่า ตลอดเวลาที่เรากำลังพูดถึงข้อดีต่าง ๆ…