เมื่อวันที่ 1 มิถุนายน พ.ศ. 2565 ที่ผ่านมา ประเทศไทยได้ประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) อย่างเป็นทางการ โดยมีจุดประสงค์เพื่อป้องกันการละเมิดข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ ฯลฯ รวมไปถึงการจัดเก็บข้อมูลดังกล่าวและนำไปใช้โดยที่เจ้าของข้อมูลส่วนบุคคลนั้น ๆ ไม่ได้ให้ความยินยอม ซึ่งนอกจากคนทั่วไปจะต้องทำความเข้าใจแล้ว นักการตลาดออนไลน์ก็จำเป็นที่จะต้องตามให้ทัน พ.ร.บ. นี้เช่นกัน ว่าภายใต้ PDPA เราสามารถทำอะไรได้บ้าง เพื่อปรับแนวทางการทำงานของตนเองหลังจากนี้ให้สอดคล้องกับกฎหมายใหม่

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล?

ก่อนอื่น เรามาทำความเข้าใจกันก่อนว่าผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA นั้นมีใครบ้าง โดยสามารถแบ่งออกได้เป็น 3 กลุ่ม ได้แก่

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

คือ บุคคลที่ในข้อมูลส่วนบุคคลระบุถึง

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ตลอดจนการเปิดเผยข้อมูลดังกล่าว

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลได้รับสิทธิอะไรบ้าง?

1. สิทธิที่จะได้รับการแจ้งให้ทราบ

ตามกฎหมาย PDPA ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน (ในกรณีที่ไม่ใช่การเก็บข้อมูลส่วนบุคคลที่เจ้าของข้อมูลนั้นทราบรายละเอียดอยู่แล้ว เช่น การเปิดบัญชีธนาคาร การสมัครสมาชิกต่าง ๆ ฯลฯ) โดยมีรายละเอียดการแจ้งให้ทราบ ได้แก่ เก็บข้อมูลส่วนบุคคลอะไรบ้าง วัตถุประสงค์ในการเก็บคืออะไร วิธีการเก็บข้อมูลเป็นอย่างไร นำไปใช้อย่างไรและส่งต่อให้ใครบ้าง ตลอดจนวิธีขอเปลี่ยนแปลง แก้ไข เพิกถอนข้อมูลสามารถทำได้อย่างไร

2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิที่จะขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยวิธีการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนเองไม่ได้ยินยอมด้วย โดยสิทธิข้างต้นจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล อันจะนำมาซึ่งผลกระทบต่อสิทธิเสรีภาพของผู้อื่น แต่ถ้าไม่ขัดหรือส่งผลกระทบใด ๆ เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธินี้ภายใน 30 วันนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ

3. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถใช้สิทธินี้เมื่อใดก็ได ตราบใดที่ไม่ขัดต่อกฎหมายหรือสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ และสถิติ

4. สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลนั้น ๆ ต่อสาธารณะ เจ้าของข้อมูลมีสิทธิที่จะขอให้ลบหรือทำลาย หรือแม้แต่ขอแก้ไขไม่ให้ข้อมูลระบุถึงตัวตนของตนเองได้ ซึ่งผู้ควบคุมข้อมูลจะต้องรับผิดชอบดำเนินการเอง

5. สิทธิในการเพิกถอนความยินยอม

หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว แต่ต้องการเพิกถอนความยินยอมนั้น ก็สามารถทำได้ทุกเมื่อ โดยจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

6. สิทธิขอให้ระงับการใช้ข้อมูล

เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูล ไม่ว่าจะในกรณีที่เปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะจำเป็นต้องนำข้อมูลนั้นไปใช้ในทางกฎหมายหรือการเรียกร้องสิทธิ เป็นต้น

7. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล

หากพบว่าข้อมูลส่วนบุคคลมีข้อผิดพลาด เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลให้ถูกต้องได้เพื่อจะได้ไม่ก่อความเข้าใจผิดในภายหลัง โดยการแก้ไขนั้นต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

8. สิทธิขอให้โอนข้อมูลส่วนบุคคล

หากเจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปให้กับผู้ควบคุมข้อมูลอีกราย ก็สามารถขอให้ผู้ควบคุมข้อมูลรายแรกที่จัดทำข้อมูลของเราไว้แล้วทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ โดยการใช้สิทธินี้ต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น

ในกรณีใดบ้างที่ไม่ต้องขอความยินยอมในการเก็บข้อมูล?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีบทบัญญัติเกี่ยวกับหลักการเก็บข้อมูลตามกฎหมาย PDPA มาตรา 24 อันระบุถึงหลักการในเรื่องของความยินยอม (Consent) การป้องกันหรือระงับอันตรายต่อชีวิต การปฏิบัติตามสัญญา ประโยชน์สาธารณะซึ่งชอบด้วยกฎหมาย และการดำเนินการเกี่ยวกับเอกสารทางประวัติศาสตร์ วิจัย และสถิติ โดยกรณีที่ไม่ต้องขอความยินยอมมีรายละเอียดดังนี้

กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล หรือเพื่อประโยชน์ของสาธารณะ เช่น การป้องกันโรคระบาด เป็นต้น
การปฏิบัติตามสัญญา
การปฏิบัติตามภารกิจของรัฐ ตามมาตรา 24 (4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์ของสาธารณะ หรือเป็นการใช้อำนาจรัฐ ก็ไม่จำเป็นต้องขอความยินยอม แต่กระนั้น ผู้ควบคุมข้อมูลส่วนบุคคลก็ยังต้องทำหน้าที่ในการรักษาความปลอดภัยของข้อมูล และคำนึงถึงความจำเป็นในการใช้ข้อมูลนั้น ๆ ตลอดจนผลกระทบที่อาจเกิดขึ้นต่อตัวเจ้าของข้อมูล
การปฏิบัติตามกฎหมาย ตามมาตรา 24 (6) เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนของลูกจ้างเพื่อส่งให้สำนักงานประกันสังคม เป็นต้น

เรื่องที่มักเข้าใจผิดเกี่ยวกับ PDPA

1. ถ่ายรูปหรือวิดีโอติดภาพผู้อื่นโดยไม่ได้รับความยินยอม จะผิด PDPA

กรณีการถ่ายรูปหรือวิดีโอแล้วติดบุคคลอื่นโดยไม่เจตนา ทว่าไม่ได้ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็ไม่ถือว่าผิด PDPA

2. โพสต์รูปภาพหรือวิดีโอที่ติดภาพผู้อื่นลงโซเชียลมีเดียโดยไม่ได้รับความยินยอม จะผิด PDPA

หากการโพสต์นั้นใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช่เพื่อการแสวงหาผลกำไรและไม่ก่อให้เกิดความเสียหายแก่บุคคลนั้น ก็สามารถโพสต์ได้ตามปกติ

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือน จะผิด PDPA

หากเป็นการติดกล้องวงจรปิดภายในบ้านและมีจุดประสงค์เพื่อป้องกันอาชญากรรมหรือรักษาความปลอดภัย ก็ไม่จำเป็นต้องมีป้ายแจ้งเตือน

4. เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

การนำข้อมูลส่วนบุคคลไปใช้ ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลเสมอไป ในกรณีที่ข้อมูลเหล่านั้นเป็น

-การทำตามสัญญา
-การใช้ที่มีกฎหมายให้อำนาจ
-การใช้เพื่อรักษาชีวิตหรือร่างกายของบุคคล
-การใช้เพื่อค้นคว้าวิจัยทางสถิติ
-การใช้เพื่อประโยชน์สาธารณะ
-การใช้เพื่อปกป้องผลประโยชน์หรือสิทธิของตนเอง

อัปเดทล่าสุด PDPA ทำอะไรได้บ้าง

ปัจจุบัน การทำการตลาดออนไลน์มีมากขึ้นเนื่องจากอินเทอร์เน็ตมีอิทธิพลต่อชีวิตของมนุษย์ในทุก ๆ ด้าน ส่งผลให้ความกังวลในเรื่องความปลอดภัยของข้อมูลส่วนบุคคลก็มากขึ้นตามไปด้วย ซึ่งในการทำ Digital Marketing ก่อนหน้านี้ยังไม่มีกฎหมายมาคุ้มครอง ทำให้สามารถเก็บข้อมูลส่วนบุคคลของลูกค้าได้โดยไม่ถูกร้องเรียน แต่ขณะนี้ เมื่อมีกฎหมาย PDPA ขึ้นมาแล้ว ผู้ประกอบการทั้งหลายจึงจำเป็นต้องมีความเข้าใจในขอบเขตของการเก็บข้อมูล เพื่อระมัดระวังไม่ให้เกิดการละเมิดข้อมูลส่วนบุคคลจนเกิดการร้องเรียนได้ โดยเฉพาะธุรกิจ Digital Agency ที่ต้องติดต่อกับลูกค้าเป็นจำนวนมาก

สิ่งที่ผู้ประกอบการควรระมัดระวัง มีดังนี้

-หากมีหลายเพจ ให้ใช้ข้อมูลของลูกค้าแค่เฉพาะเพจที่ลูกค้าใช้ทำการซื้อสินค้าเท่านั้น ไม่สามารถนำไปใช้ประโยชน์ในอีกเพจหนึ่งของตนเองได้
-ระบุวัตถุประสงค์ในการใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าให้ชัดเจน เพราะหากระบุไม่ชัดเจน ลูกค้าก็มีสิทธิร้องเรียนได้
-ไม่โทรศัพท์เพื่อเชิญชวนหรือขายสินค้ากับลูกค้าโดยตรงหากไม่ได้รับอนุญาตมาก่อน ต้องมีการระบุชัดเจนตั้งแต่ขอเบอร์โทรศัพท์ และหากมีความต้องการจะโทรศัพท์หา ต้องแจ้งให้ลูกค้าทราบล่วงหน้าด้วย
-หากต้องการถ่ายรูปลูกค้าเพื่อนำไปโปรโมตสินค้าหรือประชาสัมพันธ์ในที่สาธารณะ จำเป็นต้องขอความยินยอมจากลูกค้าก่อน และต้องไม่ถ่ายติดผู้อื่นที่ไม่ได้ขออนุญาต
-ในส่วนของข้อมูลลูกค้า ต้องมีระบบการจัดเก็บเป็นความลับ เพราะถ้าหากข้อมูลรั่วไหล เจ้าของข้อมูลนั้นสามารถฟ้องร้องเราได้
-ผู้ประกอบการสามารถยิงโฆษณาได้ปกติ เมื่อลูกค้าติดต่อซื้อสินค้า สามารถขอข้อมูลผ่านกล่องข้อความได้ แต่ต้องป้องกันไม่ให้ข้อมูลรั่วไหลจนถูกบุคคลอื่นนำไปแสวงหาผลประโยชน์ต่อ
-การขอข้อมูลชื่อและที่อยู่เพื่อจัดส่งสินค้า สามารถทำได้ตามปกติ แต่ลูกค้าสามารถปฏิเสธที่จะไม่ให้เบอร์โทรศัพท์ได้

สรุป

จะเห็นได้ว่า PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีจุดประสงค์เพื่อต้องการรักษาสิทธิของเจ้าของข้อมูลในด้านความปลอดภัยของข้อมูลเหล่านั้น ว่าถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความยินยอมหรือไม่ แต่อย่างไรก็ตาม เจ้าของข้อมูลก็ต้องพิจารณาอย่างรอบคอบก่อนจะตอบรับความยินยอมในการให้ข้อมูลแต่ละครั้ง หากพบว่าการให้ข้อมูลไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูลก็สามารถปฏิเสธได้ เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด

สำหรับผู้เก็บข้อมูลหรือผู้ประกอบการ แม้ว่าจะได้รับผลกระทบโดยตรงจากกฎหมาย PDPA แต่ก็อย่าเพิ่งกังวลมากจนเกินไป เพราะถ้าหากเราค่อย ๆ ปรับเปลี่ยนการทำงานให้มีรูปแบบที่ชัดเจนและไม่ละเมิดข้อมูลส่วนบุคคลของลูกค้า การทำธุรกิจภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ก็จะเป็นไปอย่างราบรื่นแน่นอน