ชัวร์ก่อนแชร์ พ.ร.บ. ข้อมูลส่วนบุคคล ที่ทุกคนควรรู้
เคยเป็นไหม? มีสายเข้าเป็นเบอร์แปลก ๆ โทรมา พอรับสายก็เป็นเสียงตัวแทนเสนอขายกรมธรรม์ความคุ้มครองจากประกันภัยต่าง ๆ บางสายก็ขายแพคเกจ sms ชิงโชค หลอกล่อให้สมัคร หรือหนักกว่านั้นหน่อยก็อาจเป็นมิจฉาชีพที่หลอกว่าคุณได้รับรางวัลใหญ่ ให้โอนเงินไปเพื่อยืนยัน และอีกมากมายที่โทรมาล่อลวงให้เราเผลอจ่ายเงินไปโดยไม่รู้เนื้อรู้ตัว
คำถามก็คือ พวกเขาเหล่านั้นไปเอาเบอร์โทรศัพท์ของเรามาจากไหน หรือเราเคยไปกรอกเบอร์โทรศัพท์เอาไว้กับสินค้าและบริการใดบ้าง แล้วข้อมูลพวกนี้ มันควรจะเก็บเป็นความลับไม่ใช่หรือ?
พ.ร.บ. ข้อมูลส่วนบุคคล ที่กลุ่มธุรกิจและเหล่าลูกค้าควรรู้
การทำธุรกรรมต่าง ๆ เช่น การสมัครบัตรกดเงินสดหรือสมัครบัตรเครดิต การยื่นเอกสารขอสินเชื่อส่วนบุคคล การสมัครสมาชิกบริการต่าง ๆ ที่ต้องกรอกข้อมูลส่วนตัว อย่าง ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ ซึ่งข้อมูลส่วนนี้แหละมีโอกาสถูกนำไปเผยแพร่ต่อ
ข้อมูลเหล่านี้ ถือว่าเป็นข้อมูลส่วนบุคคล ที่ไม่ควรเผยแพร่แก่ผู้อื่นหากไม่จำเป็น ทั้งนี้ จึงมีการปรับปรุง พ.ร.บ. ข้อมูลส่วนบุคคล ฉบับใหม่ล่าสุด เริ่มบังคับใช้ในเดือนพฤษภาคม 2563 นี้
-
การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอม
ข้อบังคับนี้ระบุไว้ใน พ.ร.บ. ข้อมูลส่วนบุคคลฯ มาตรา 19 ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น” โดยมีการกำหนดโทษปรับไว้สูงสุด ไม่เกิน 3,000,000 บาท
และสำหรับข้อมูลส่วนตัวที่อ่อนไหวเป็นพิเศษ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ความเชื่อ ลัทธิศาสนา ความคิดเห็นทางการเมือง พฤติกรรมทางเพศ ข้อมูลเกี่ยวกับสุขภาพ ความพิการ ฯลฯ จะต้องได้รับ “ความยินยอมโดยชัดแจ้ง” จากเจ้าของข้อมูล หากพบว่ามีการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล จะมีบทลงโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
-
การขอความยินยอม ต้องทำเป็นหนังสือหรือยื่นทางออนไลน์ตามข้อกำหนด
การที่ผู้ประกอบการจะเก็บข้อมูลจากลูกค้า จะต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล และขอความยินยอมอย่างชัดเจน ห้ามผู้ประกอบการแอบแทรกข้อความเล็ก ๆ เพื่อขอความยินยอม แบบไม่ให้เจ้าของข้อมูลไม่ได้สังเกตเห็น ต้องใช้ข้อความที่เข้าใจง่าย อ่านแล้วเข้าใจตรงกัน โดยทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะทำการออกประกาศกำหนดแบบเอกสารขอความยินยอม เพื่อให้ได้นำรูปแบบเอกสารนี้ไปใช้กัน
และในการขอความยินยอมเก็บข้อมูลส่วนตัวจากเจ้าของข้อมูล จะต้องไม่อยู่ในเงื่อนไขในการเข้าถึงการบริการใด ๆ หรือการทำสัญญาใด ๆ เจ้าของข้อมูลต้องมีมีสิทธิที่จะตัดสินใจเอง หากเปลี่ยนใจในภายหลังก็สามารถขอถอนความยินยอมได้
-
แจ้งรายละเอียดต่อเจ้าของข้อมูล เมื่อต้องการเก็บข้อมูล
ถึงแม้ว่าเจ้าของข้อมูลจะยินยอมให้มีการเก็บข้อมูลไปแล้ว แต่ผู้ขอเก็บข้อมูลจะต้องแจ้งรายละเอียดต่าง ๆ ที่เกี่ยวข้อง เช่น บุคคลหรือหน่วยงานที่จะเห็นข้อมูลนี้ ระยะเวลาที่คาดว่าจะเก็บข้อมูลไว้ รวมทั้งข้อมูลขององค์กรที่เป็นผู้เก็บข้อมูลเอง
นอกจากนี้ ผู้เก็บข้อมูลต้องแจ้งสิทธิของผู้เป็นเจ้าของข้อมูลให้ทราบด้วย เช่น สิทธิในการเข้าถึงและขอสำเนาข้อมูล สิทธิในการขอให้ลบหรือทำลายข้อมูล สิทธิในการร้องเรียนหากมีการพบว่ามีผู้ละเมิดข้อมูลส่วนบุคคล
ผู้ที่กระทำการใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่แจ้งวัตถุประสงค์ รายละเอียด และแจ้งสิทธิให้กับเจ้าของข้อมูล จะมีบทลงโทษสูงสุดไม่เกิน 1,000,000 บาท
-
เก็บข้อมูลจากผู้เป็นเจ้าของข้อมูลเท่านั้น
แม้จะได้รับการยินยอมจากเจ้าของข้อมูลแล้ว แต่การเก็บข้อมูลนั้น จะต้องเก็บจากเจ้าของข้อมูลเท่านั้น หมายถึง เจ้าของข้อมูลจะต้องเป็นผู้กรอกข้อมูลและส่งมอบให้ด้วยตนเอง ผู้เก็บข้อมูลไม่สามารถเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นได้ และไม่สามารถซื้อข้อมูลต่อมาจากผู้เก็บข้อมูลรายอื่น แม้จะได้รับความยินยอม
แต่การกระทำนี้ยังมีข้อยกเว้น ในกรณีที่ผู้เก็บข้อมูลได้รับข้อมูลแล้วแจ้งให้กับเจ้าของข้อมูลรับทราบพร้อมทั้งแจ้งสิทธิต่อเจ้าของข้อมูลโดยรวดเร็ว หรือภายใน 30 วัน หลังจากเก็บข้อมูล หากได้รับการยินยอมก็สามารถกระทำการเก็บข้อมูลได้
บทลงโทษของผู้ประกอบการหรือผู้เก็บข้อมูลที่เก็บข้อมูลส่วนบุคคลจากแหล่งอื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มีกำหนดโทษปรับสูงสุดไม่เกิน 3,000,000 บาท
-
ธุรกิจใหญ่ ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล”
“เจ้าหน้าที่คุ้มครองข้อมูล” จะทำหน้าที่ให้คำแนะนำและตรวจสอบการดำเนินงานต่าง ๆ ของผู้ประกอบการให้อยู่ในกรอบข้อบังคับนี้ โดยที่ตัวองค์กรเองก็ต้องสนับสนุนการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูล ให้สามารถรายงานปัญหาได้อย่างตรงไปตรงมา ไม่ขัดขวางการปฏิบัติงาน ในขณะเดียวกัน เจ้าหน้าที่คุ้มครองข้อมูลก็จะต้องแจ้งข้อมูลของตนเองรวมถึงวิธีติดต่อเจ้าของข้อมูลให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
กรณีที่ผู้เก็บข้อมูลเป็นหน่วยงานของรัฐ หรือองค์กรขนาดใหญ่ มีข้อมูลส่วนบุคคลอยู่จำนวนมาก ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล” อยู่ในองค์กร เพื่อช่วยดูแลเรื่องการเก็บข้อมูลนั่นเอง
-
การเก็บข้อมูลและการใช้ข้อมูล จะถูกตรวจสอบโดยผู้เชี่ยวชาญ
ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะทำการแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ เพื่อดำเนินการพิจารณาเรื่องร้องเรียนเกี่ยวกับการใช้ข้อมูลส่วนบุคคล และตรวจสอบการกระทำของกลุ่มผู้ประกอบการ
หากเจ้าของข้อมูลพบว่า มีการละเมิดสิทธิ หรือผู้เก็บข้อมูลได้นำเอาข้อมูลไปส่งต่อโดยไม่ได้รับความยินยอม หรือไม่มีการแจ้งรายละเอียด ก็สามารถร้องเรียนไปยังคณะกรรมการผู้เชี่ยวชาญเพื่อทำการตรวจสอบ
-
ไม่คุ้มครองข้อมูลคนตาย
ข้อมูลส่วนตัวของผู้ที่ถึงแก่กรรม หรือผู้ที่เสียชีวิตไปแล้ว จะไม่รวมอยู่ในความคุ้มครองของกฎหมายนี้ หากต้องการใช้ข้อมูล หรือเก็บข้อมูลของบุคคลที่เสียชีวิตไปแล้ว จึงสามารถกระทำได้โดยไม่ต้องขอความยินยอมจากทายาท
-
คุ้มครองข้อมูลของคนในประเทศ แม้บริษัทตั้งอยู่ที่อื่น
วิวัฒนาการของโลกในยุคนี้มีการติดต่อสื่อสารที่รวดเร็ว ส่งต่อข้อมูลทำได้ง่ายเพียงคลิกเดียว แม้จะอยู่ต่างประเทศก็สามารถสื่อสารกันได้อย่างสะดวกรวดเร็ว จึงมีการขยายขอบเขตของกฎหมายให้ครอบคลุมถึงการเก็บข้อมูลส่วนบุคคล การนำข้อมูลไปใช้ หรือการเปิดเผยข้อมูล ทั้งที่เกิดขึ้นในประเทศไทยและต่างประเทศด้วย
-
ค่าเสียหายเป็นสองเท่า หากฝ่าฝืนกฎหมายนี้
หากเจ้าของข้อมูลพบว่า มีผู้ประกอบการเจ้าใดที่นำข้อมูลส่วนตัวไปเปิดเผยต่อโดยไม่ได้รับการยินยอม และเกิดความเสียหายต่อเจ้าของข้อมูล ผู้ประกอบการนั้น ๆ จะได้รับบทลงโทษตามกฎหมาย
หากศาลตัดสินว่าผู้ประกอบการได้กระทำความผิดจริงและต้องชดเชยค่าเสียหายให้กับผู้ที่เป็นเจ้าของข้อมูล ศาลมีอำนาจสั่งให้ผู้ประกอบการจ่าย “ค่าเสียหายเชิงลงโทษ” โดยจะเป็นจำนวนเงินที่เพิ่มขึ้นจากจำนวนค่าเสียหายที่แท้จริง เพื่อให้ผู้กระทำผิดไม่กล้ากระทำอีก ซึ่งค่าเสียหายจะกำหนดโดยคำนึงถึงความร้ายแรงของความเสียหาย ผลประโยชน์ที่ได้รับจากการใช้ข้อมูลส่วนบุคคล สถานะทางการเงินของผู้ประกอบการ
-
ช่วงเวลาที่เริ่มบังคับใช้
ข้อบังคับทางกฎหมายนี้ จะเริ่มบังคับใช้ในเดือนพฤษภาคม ปี พ.ศ. 2563 ซึ่งถือว่ายังพอมีเวลาอีกพักใหญ่ ให้เหล่าผู้ประกอบการได้ปรับตัวเพื่อรับความเปลี่ยนแปลง พร้อมทั้งเตรียมการจัดการข้อมูลส่วนตัวของลูกค้าให้เป็นระบบระเบียบมากขึ้น
และนี่คือเรื่องราวของ พ.ร.บ. ข้อมูลส่วนบุคคลฯ ที่กำลังจะเริ่มบังคับใช้ภายในปี 63 นี้แล้ว Rabbit Care ขอแนะนำให้กลุ่มธุรกิจ ผู้ประกอบการหลายเจ้า ที่เคยทำการเก็บข้อมูลส่วนตัวของลูกค้าเพื่อมาทำการวิจัย หรือนำมาขายต่อตามวงจรธุรกิจ และ กลุ่มลูกค้า ที่ต้องกรอกข้อมูล หรือเคยให้ข้อมูลกับกลุ่มธุรกิจใด ๆ ไป หลังจากนี้ให้มาทำความเข้าใจกับ พ.ร.บ. ข้อมูลส่วนบุคคลฯ เพื่อความปลอดภัยของทั้งสองฝ่าย
สมัครบัตรเครดิต สะดวก และปลอดภัย
ทีมกองบรรณาธิการ กลุ่มนักเขียนผู้มีประสบการณ์ด้านรถยนต์ การเงิน และประกันภัย ของ แรบบิท แคร์ ที่เปิดดำเนินการมาแล้วมากกว่า 10 ปี