‘เท่าที่เราจะอนุญาต’ ชวนสำรวจ PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทยและต่างแดน

คุณเคยได้รับโทรศัพท์จากคนที่คุณไม่รู้จักหรือไม่?

ไม่ว่าจะเป็นคนขายประกัน คอลเซนเตอร์จากเครือข่ายโทรศัพท์ หรือเสียงในสายที่เสนอสิทธิพิเศษจากองค์กรธุรกิจ 

หลายคนอาจจะนึกสงสัย (แต่ไม่ได้หาคำตอบ) ขึ้นมาบ้างว่า ‘เบอร์ส่วนตัว’ ของเราถูกส่งต่อไปจากใคร แล้วเบอร์ของเราไปอยู่ในลิสต์การโทรของใครบ้าง? 

ไม่เพียงแค่เบอร์โทรศัพท์ แต่อาจจะมีข้อมูลส่วนตัวอื่นๆ หลุดออกไปโดยทั้งๆ ที่เราไม่ได้อนุญาต ปัญหาส่วนหนึ่งอาจจะมาจากการที่ไทยยังไม่ได้มีกฎหมายคุ้มครองข้อมูลส่วนตัวอย่างชัดเจน ทำให้ไม่สามารถจัดการกับผู้เก็บข้อมูลที่นำข้อมูลของเราไปปล่อยได้ รวมถึงมันไม่ได้ช่วยสร้างให้คนเห็นความสำคัญของข้อมูลส่วนตัว ดังจะเห็นได้จาก ชื่อ เบอร์โทรศัพท์ หรือตัวเลขบัตรประชาชนจากถุงกระดาษขนมกล้วยทอด หรือขนมโตเกียว เป็นต้น  

ปัจจุบันโลกเข้าสู่ยุคดิจิทัล ยิ่งเพิ่มความสะดวกสำหรับการนำข้อมูลส่วนตัวของเราไปใช้ เพราะอยู่บนการสื่อสารที่รวดเร็วและเข้าถึงได้ง่าย ดังนั้นแล้วหลายๆ ภาคส่วนจึงออกมาผลักดันให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้เกิดขึ้น โดยต้องมองให้เห็นประโยชน์ของประชาชนเป็นหลัก 

แม้เรื่องข้อมูลส่วนบุคคลจะใกล้ตัวเรามากอย่างที่บอกไปข้างต้น แต่ก็ดูเหมือนว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล อย่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA (Personal Data Protection Act) กว่าจะออกมาได้ก็เลื่อนมาหลายครั้ง ทั้งที่เป็นกฎหมายในชุดเดียวกับ พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550

**ล่าสุดเลื่อนการบังคับใช้เป็นวันที่ 27 พฤษภาคม พ.ศ. 2563

อนึ่ง PDPA ถ้าจะอธิบายง่ายๆ คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวทั้งทางตรงและทางอ้อมของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

ข้อมูลทางตรง เช่น ชื่อ นามสกุล อายุ เลขบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ ฯลฯ และข้อมูลทางอ้อม ที่เป็นข้อมูลที่จะนำไปวิเคราะห์ได้ว่าเราคือใคร สามารถเอาไปใช้ติดตามบุคคลซึ่งมีการเชื่อมโยงกับข้อมูลอื่นๆ ข้างนอกว่าใครเป็นเจ้าของข้อมูลได้

โดยหลักการพื้นฐานของ PDPA ตัวกฎหมายพยายามบอกว่า ทุกวันนี้ทุกคนรู้แล้วว่าข้อมูลส่วนบุคคลมันถูกใช้ในทุกๆ นาทีของการดำเนินชีวิต ทั้งนี้เราจะมั่นใจได้อย่างไรว่าข้อมูลของมันจะถูกใช้ไปในทางที่ถูกที่ควร ในทางที่เป็นประโยชน์กับเรา 

ดังนั้นแนวคิดของกฎหมายนี้ จะประกอบไปด้วย 3 แนวคิดหลักๆ ที่เรียกได้ว่าเป็นหัวใจสำคัญ คือ

1. การใช้ข้อมูลเท่าที่จำเป็น
2. การนำข้อมูลที่เอามาใช้ต้องเป็นธรรมโดยสอดคล้องกับคนขอข้อมูลกับคนให้ข้อมูล
3. ถ้านำข้อมูลมาใช้แล้วต้องใช้อย่างปลอดภัย

ด้านบริษัทเอกชน หรือหน่วยงานภาครัฐจะต้องดำเนินการตั้งมาตรการในการจัดการ การปกป้องข้อมูลของผู้อื่น การขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย นโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ

สำหรับบทลงโทษของ PDPA คือ โทษทางอาญา จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง และโทษทางปกครองปรับไม่เกิน 5 ล้านบาท

ดูของประเทศไทยไปแล้ว เราลองขยับมาสำรวจกฎหมายคุ้มครองข้อมูลส่วนตัวของต่างประเทศกันบ้าง มีอะไรเหมือนหรือต่าง? และประเทศเขาไปกันถึงไหนแล้ว?

สำรวจกฎหมายคุ้มครองข้อมูลส่วนตัวในต่างประเทศ

แคนาดา

PIPEDA หรือ Canadian law relating to data privacy เป็นข้อกำหนดที่เกิดขึ้นและจะต้องปฏิบัติตามกฎหมายในประเทศแคนาดา 

โดยเจ้า PIPEDA นี้จะถูกนำมาใช้ภายใต้องค์กรต่างๆ ในประเทศ ซึ่งสามารถแบ่งออกอย่างง่ายๆ ได้ 2 ประเภท คือ

1. องค์กรเอกชนที่มีการเก็บข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปใช้ ตลอดจนการเปิดเผยข้อมูลส่วนบุคคลตามกิจกรรมเชิงพาณิชย์ ที่ซึ่งกฎหมายระบุเอาไว้ว่า เป็นการทำธุรกรรมใดๆ ที่มีลักษณะเกี่ยวข้องกับการค้าขาย แลกเปลี่ยน การเช่า รวมถึงการเป็นสมาชิกในการระดมทุน

2. องค์กรต่างๆ ที่ทำงานอยู่ภายใต้รัฐบาลกลางของประเทศแคนาดา ไม่ว่าจะเป็นสนามบิน ท่าอากาศยาน สายการบิน ธนาคาร บริษัทขนส่งระหว่างเขตหรือระหว่างประเทศ บริษัทที่เกี่ยวข้องกับการสื่อสารโทรคมนาคม ตลอดจนวิทยุและโทรทัศน์

องค์กรที่ว่ามาทั้งหมดนี้ หากจะต้องดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคล จะต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน ซึ่งข้อมูลส่วนบุคคลจะนำมาใช้ได้ตามจุดประสงค์ที่ระบุไว้ตอนขอเก็บข้อมูลเท่านั้น หากจะนำไปใช้ในจุดประสงค์อื่นๆ จะต้องขอความยินยอมใหม่ และรายละเอียดต่างๆ ของข้อมูลที่เจ้าของข้อมูลให้ไปนั้นจะต้องได้รับการป้องกันอย่างเหมาะสม ที่สำคัญเจ้าของข้อมูล หรือ ประชาชนในประเทศแคนาดามีสิทธิ์ที่จะตรวจสอบความปลอดภัยในการเข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้อีกด้วย

อนึ่ง PIPEDA มีหลักการที่เป็นหัวใจหลักๆ ของกฎหมายอยู่ 10 ข้อ (ซึ่งมีบางข้อเรากล่าวไปบ้างแล้วในข้างต้น) 

1. องค์กรต่างๆ มีหน้าที่รับผิดชอบต่อข้อมูลส่วนบุคคลภายใต้การควบคุมขององค์กร 
2. การเก็บข้อมูลทุกครั้งจะต้องมีจุดประสงค์ที่ชัดเจน 
3. ต้องมีการยินยอมจากเจ้าของข้อมูลในการเก็บ ใช้ และเปิดเผย ข้อมูลส่วนตัว 
4. ข้อมูลที่ใช้ได้ต้องเป็นไปตามจุดประสงค์ที่ขอความยินยอมในตอนแรก ถ้าจะใช้มากกว่านั้นต้องขอใหม่ 
5. ต้องเก็บข้อมูลไว้จนกว่าจะบรรลุจุดประสงค์ตามที่ขอยินยอม 
6. ข้อมูลต้องถูกรักษาอย่างปลอดภัยและอัปเดตเท่าที่เป็นไปได้ 
7. ต้องได้รับการป้องกันที่เหมาะสมกับระดับความอ่อนไหวของข้อมูล 
8. ต้องมีนโยบายที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลบอกแก่สาธารณะ
9. เมื่อมีการเรียกร้องต้องเปิดให้ดู 
10. บุคคลสามารถตรวจสอบความปลอดภัยของข้อมูลได้ทุกเมื่อตามที่ต้องการ

อย่างไรก็ตามเคยมีเหตุการณ์ตลาดออนไลน์ชื่อดังส่งอีเมลหาสมาชิกชาวแคนาดา โดยเชิญให้พวกเขาลงชื่อในคำร้องที่จะส่งไปยังกระทรวงการคลังของรัฐบาลกลางช่วงเดือนมกราคมปี 2562 ทำให้ผู้ใช้บริการคนหนึ่งไม่เห็นด้วยกับการกระทำนี้ เพราะถือว่าเป็นการใช้ข้อมูลส่วนตัวของเขานอกเหนือจากจุดประสงค์ ที่แจ้งไว้

ดังนั้นเขาจึงร้องเรียนให้หน่วยงานเข้ามาตรวจสอบถึงแนวทางการปฏิบัติด้านความเป็นส่วนตัวของตลาดออนไลน์ดังกล่าว แน่นอนว่าใช้ PIPEDA เข้ามาช่วยในการดำเนินเรื่อง ทางตลาดออนไลน์ได้อธิบายว่า อีเมลนั้นมีวัตถุประสงค์เพื่อแจ้งให้รับทราบเกี่ยวกับนโยบายสาธารณะที่จะมีผลต่อผู้ใช้บริการ ซึ่งได้รับการยินยอมในการรับอีเมลนั้นผ่านวัตถุประสงค์ในนโยบายความเป็นส่วนตัวแล้ว 

ทว่าหน่วยงานที่เข้าไปตรวจสอบไม่สามารถยอมรับคำอธิบายข้างต้นได้ เพราะถือว่าเป็นการกระตุ้นให้ลงชื่อโดยที่ไม่ตรงกับวัตถุประสงค์ใดๆ ในนโยบายความเป็นส่วนตัว และที่สำคัญไม่ได้ถือว่าเป็นการส่งที่เกี่ยวข้องกับการบริการหลักของตลาดออนไลน์

ทำให้ทางตลาดออนไลน์ดังกล่าวถูกตักเตือนและสั่งให้ต้องอัปเดตนโยบายความเป็นส่วนตัว และยกเลิกการส่งลิงก์สมัครสมาชิกที่ฝังอยู่กับอีเมล รวมไปถึงต้องดำเนินการจัดหานโยบายสาธารณะให้ตรงกับการบริการของตนเองภายในระยะเวลาที่กำหนด 

กรณีนี้เป็นการนำกฎหมายดังกล่าวไปใช้ในชีวิตประจำวัน ซึ่งในทางปฏิบัติสามารถช่วยคุ้มครองข้อมูลส่วนตัวของประชาชนได้ โดยที่หน่วยงานผิดชอบก็ดำเนินงานไปเป็นขั้นเป็นตอนตามที่กำหนด 

ทั้งนี้หากมีเหตุการณ์ที่ร้ายแรง PIPEDA มีบทลงโทษที่สามารถปรับองค์กรต่างๆ ได้ถึง 100,000 ดอลลาร์ ซึ่งตีเป็นเงินไทยราว 3 ล้านบาท

สิงคโปร์

ทุกวันนี้ข้อมูลส่วนตัวของคนประเทศสิงคโปร์ที่ถูกเก็บเอาไว้ โดนแจกจ่ายไปให้กับองค์กรมือที่สามเป็นจำนวนมากในหลายๆ เหตุผล และมีแนวโน้มว่าเทรนด์นี้จะเติบโตขึ้นเรื่อยๆ ทำให้เกิดความกังวลจากประชาชนว่า ‘ข้อมูลส่วนตัวจะถูกนำไปใช้อย่างไร?’

เพื่อที่จะจัดการกับข้อกังวลดังกล่าวและรักษาความไว้วางใจของตัวบุคคลกับองค์กรที่ทำการจัดเก็บข้อมูล ดังนั้นการป้องกันเพื่อคุ้มครองข้อมูลส่วนบุคคลจึงมีความจำเป็นอย่างมากในปัจจุบัน PDPA 2012 หรือ Personal Data Protection Act 2012 เป็น 1 ในตัวช่วยแก้ไขปัญหาข้างต้นนี้ 

กฎหมาย PDPA 2012 จะทำหน้าที่คุ้มครองข้อมูลที่ประกอบไปด้วยข้อกำหนดว่าด้วยการเก็บ รวบรวม ใช้งาน เปิดเผย และการดูแลเกี่ยวกับข้อมูลส่วนบุคคล ซึ่งครอบคลุมข้อมูลส่วนบุคคลที่จัดเก็บทั้งในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์

โดยที่สาระสำคัญได้ตระหนักถึงสิทธิของบุคคลที่จะปกป้องข้อมูลส่วนตัว รวมถึงสิทธิในการเข้าถึงและแก้ไขข้อมูล ตลอดจนความต้องการเก็บข้อมูล ใช้ เปิดเผยขององค์กรต่างๆ  ต้องมีวัตถุประสงค์ที่ถูกกฎหมายและสมเหตุสมผล

ทั้งนี้แนวคิดหลักของกฎหมายตัวนี้ ระบุส่วนประกอบไว้ว่า

1. การขอคำยินยอม-องค์กรจะทำการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เฉพาะจุดประสงค์และความยินยอมตามแต่ที่บุคคลให้
2. จุดประสงค์-องค์กรอาจจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในลักษณะที่เหมาะสมกับสถานการณ์และเมื่อพวกเขาได้รับการแจ้งถึงวัตถุประสงค์แล้วเท่านั้น
3. มีเหตุมีผล-องค์กรอาจจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อจุดประสงค์ที่พิจารณาแล้วว่าเหมาะสมกับบุคคลทในสถานการณ์ที่เกิดขึ้น

มากไปกว่านั้นการทำงาน PDPA ของ 2012 จะรับรองมาตรฐานของการปกป้องข้อมูลส่วนบุคคลทั่วระบบเศรษฐกิจ โดยเสริมสร้างกรอบระเบียบข้อบังคับเฉพาะภาคส่วน หมายความว่า องค์กรต่างๆ จะต้องนำ PDPA ไปใช้ด้วยเสมือนกฎหมายทั่วไป

อย่างกรณีที่ใช้กฎหมาย PDPA จัดให้มีการลงทะเบียน Do not call (DNC) เพื่ออนุญาตให้ประชาชนต่างๆ ลงทะเบียนหมายเลขโทรศัพท์สิงคโปร์ เพื่อยกเลิกการรับสายรวมถึงเอสเอ็มเอส (sms) เอ็มเอ็มเอส (mms) และแฟกซ์ทางการตลาดจากองค์กรต่างๆ ที่ไม่ต้องการ 

สำหรับการลงโทษหากองค์กรต่างๆ ไม่ปฏิบัติตาม PDPA จะมี PAPC (Personal Data Protection Commission) คอยกำกับพิจารณา จากข้อมูลปี 2019 ที่เคยเกิดเหตุการณ์ในองค์กร ก้าวล้ำข้อมูลส่วนตัวโดนโทษปรับสูงสุด ไปถึง 250,000 เหรียญสิงคโปร์ หรือราวๆ 5 ล้านบาทไทย

สหราชอาณาจักร

General Data Protection Regulation หรือ GDPR  เป็นกฎหมายเกี่ยวกับกระบวนการต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ของสหภาพยุโรป (EU) มีผลบังคับใช้ 25 พฤษภาคม 2018 ถึงแม้ว่าอังกฤษจะออกจากสหภาพยุโรปแล้ว ตัวกฎหมาย GDPR ยังคงถูกใช้ในอังกฤษอยู่ เนื่องจากเหตุผลส่วนหนึ่งยังมีหลายๆ องค์กรของอังกฤษที่ทำธุรกิจกับประเทศใน EU    

ทั้งนี้ GDPR ได้วางความรับผิดชอบไว้ให้สำหรับองค์กร เพื่อให้มั่นใจในเรื่องของความเป็นส่วนตัวของข้อมูล รวมถึงการป้องกันข้อมูลส่วนบุคคล และยังให้สิทธิ์ที่จะตรวจสอบความรับผิดชอบขององค์กร จนถึงสามารถกำหนดค่าปรับกับองค์กรได้ในกรณีที่ไม่ปฏิบัติตาม GDPR

อย่างไรก็ดีกฎหมายที่ว่ามานี้มีหลักการของมันอยู่ด้วยกันถึง 10 ข้อ กล่าวคือ

1. บริษัทต่างๆ จะต้องจัดการกับข้อมูลตามวัตถุประสงค์ที่ชอบด้วยกฎหมายไม่มากกว่านั้น ต้องรับผิดชอบกับการจัดการข้อมูล มีความโปร่งใส โดยต้องแจ้งข้อมูลที่เกี่ยวกับกิจกรรมการประมวลผลข้อมูลให้บุคคลทราบ 
2. บริษัทนั้นควรจะมีข้อจำกัดในการประมวลผลข้อมูลส่วนบุคคล กล่าวคือ เก็บข้อมูลเท่าที่จำเป็น และไม่เก็บข้อมูลไว้เมื่อกระบวนการเสร็จสิ้นไปแล้ว ห้ามไม่ให้ทำนอกเหนือวัตถุประสงค์ 
3. บุคคลที่ถูกเก็บข้อมูลมีสิทธิ์ถามว่า ข้อมูลนี้เกี่ยวข้องกับพวกเขายังไง ข้อมูลจะถูกนำไปทำอะไรบ้าง นอกจากนี้ยังมีสิทธิ์ที่จะยื่นคำร้อง ขอแก้ไข  คัดค้านกระบวนการ ได้รับแจ้งเมื่อเกิดความเสียหาย รวมถึงลบข้อมูลส่วนตัวออก 
4. ต้องมีการขออนุญาตเสมอ และเมื่อเก็บรวบรวมข้อมูลแล้ว จะต้องมีการบันทึกความยินยอมด้วยและบุคคลเองก็มีสิทธิ์ที่จะถอดถอนความยินยอมได้ทุกเมื่อ 
5. องค์กรต้องรักษาทะเบียนข้อมูลเอาไว้ และควรแจ้งให้ผู้ดูแลระบบทราบ ภายใน 72 ชั่วโมงหลังพบการละเมิดตามความรุนแรงที่เกิดขึ้น 
6. บริษัทควรรวมกลไก วิธีการต่างๆ ขององค์กร เมื่อมีการออกแบบระบบหรือกระบวนการใหม่ เพื่อให้มั่นใจว่ามีการปกป้องข้อมูลส่วนบุคคลตั้งแต่เริ่มต้นออกแบบระบบนั้นๆ มากกว่าจะมาเพิ่มมาตรการในภายหลัง 
7. การประเมินผลกระทบ เป็นการประเมินผลกระทบของการปกป้องข้อมูล ควรเริ่มประเมินเมื่อมีการเริ่มหรือเปลี่ยนโครงการ
8. ผู้ที่ควบคุมข้อมูลจะต้องมีความรับผิดชอบ เพื่อให้แน่ใจว่าข้อมูลส่วนตัวนั้นจะได้รับความคุ้มครอง และหากมีการดำเนินการโดยบุคคลที่ 3 ผู้ที่ควบคุมก็มีหน้าที่ในการตรวจสอบการป้องกันและความเป็นส่วนตัว เมื่อมีการถ่ายโอนข้อมูลทั้งในและนอกบริษัท
9. เมื่อมีการประมวลผลข้อมูลส่วนบุคคลที่สำคัญในองค์กร องค์กรควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ซึ่งจะมีหน้าที่ให้คำปรึกษากับบริษัท เกี่ยวกับการปฏิบัติตาม GDPR
10. องค์กรต้องสร้างความตระหนักให้กับพนักงาน เกี่ยวกับหลัก GDPR  รวมถึงมีการฝึกเกี่ยวกับหลักดังกล่าว เพื่อให้มั่นใจว่า พนักงานจะมีความตระหนักและรับผิดชอบเกี่ยวกับข้อมูลส่วนบุคคลนี้

บทลงโทษตามกฎหมาย GDPR จะมีตั้งแต่การละเมิดที่มีความรุนแรงไม่มาก อาจมีค่าปรับสูงถึง 10 ล้านยูโร หรือ 2%ของรายได้ทั่วโลกขององค์กรนั้นๆ จากปีงบประมาณก่อนหน้านี้ แล้วแต่ว่าส่วนไหนราคาสูงกว่า

จนไปถึงการละเมิดที่รุนแรง จะเกี่ยวข้องกับการขัดแย้งของสิทธิในความเป็นส่วนตัว ซึ่งถือว่าเป็นหัวใจหลักของ GDPR อาจมีโทษปรับสูงถึง 20 ล้านยูโร หรือ 4%ของรายได้ทั่วโลก ขององค์กรนั้นๆจากปีงบประมาณก่อนหน้านี้ แล้วแต่ว่าส่วนไหนราคาสูงกว่า

ทั้งหมดนี้เพื่อทำให้มั่นใจว่าราคาความปลอดภัยของข้อมูลนั้นมีค่าสูงเกินกว่าจะรับไหวหากเกิดความเสียหาย

ตัดภาพกลับมาที่ประเทศไทย พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 ที่จะมีผลบังคับใช้เดือนพฤษภาคมปีนี้ แต่ทว่าช่วงอาทิตย์ที่ผ่านมาเกิดกระแสวิพากษ์วิจารณ์ไปในทิศทางที่ไม่ดีนัก เพราะมีข่าวว่าจะเลื่อนการใช้ออกไปอีก 1 ปี 

อย่างไรก็ตามเมื่อคืนวันที่  21 พฤษภาคม 2563 มีการประกาศพระราชกฤษฎีกาเพิ่มเติมขึ้น เป็นข้อกำหนดเกี่ยวกับหน่วยงานและกิจการของผู้ควบคุมข้อมูลส่วนบุคคล ที่จะไม่อยู่ภายใต้ข้อบังคับแห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 นี้ โดยแนบท้ายรายละเอียดประเภทของหน่วยงานและกิจการที่ว่าจะเป็นข้อยกเว้นมีถึง 22 ประเภท เช่น หน่วยงานรัฐ กิจการอุตสาหกรรม กิจการพาณิชยกรรม กิจการการเงิน ธนาคาร และประกันภัย ฯลฯ 

ดังนั้นถ้าเกิดการบังคับใช้พ.ร.บ คุ้มครองข้อมูลส่วนตัว 2562 ตามกำหนดเวลาเดิม จะไม่ครอบคลุมหน่วยงานและกิจการ (ส่วนใหญ่) จากไม่เคยคาดฝันว่าจะได้รับการป้องกันข้อมูลส่วนตัวอย่างปลอดภัย ขณะนี้คงได้เริ่มคาดฝันบ้างแล้ว แต่คงสะดุ้งตื่นบ่อยหน่อยเพราะอาจจะเจอกับฝันร้าย

เรื่อง : รชา เหลืองบริสุทธิ์
ภาพ : สุธาทิพย์ อุปสุข

แบรนด์และธุรกิจควรเตรียมตัวอย่างไร หากมีการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อ่านเพิ่มได้ที่ : สิ่งที่แบรนด์ต้องระวังในการเก็บข้อมูลส่วนตัว เพราะอาจผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

อ้างอิง :

• PIPEDA in brief
• PIPEDA fair information principles
• Online marketplace needs consent from members before contacting them to join advocacy network
• A summary of 10 key GDPR requirements
• What are the GDPR Fines?
• GDPR and Brexit
• PIPEDA: What Canadian businesses need to know
• PDPA Overview
• Singapore – Data Protection Overview
• พระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
• PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บรรทัดฐานใหม่ของชีวิตดิจิทัล
• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. ๒๕๖๒
• ความจริง PDPA โดย ทีมงาน TDPG