ทำไมคุณควร คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันนี้ แม้ PDPA เลื่อนบังคับใช้?

คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันนี้ 01

สืบเนื่องจาก “พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ที่มีผลบังคับใช้ในวันที่ 20 พฤษภาคม พ.ศ. 2563 อนุญาตให้มีการยกเว้นการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในบางหมวดออกไปเป็นระยะเวลาอีก 1 ปี อาจจะทำให้ใครหลาย ๆ คน (องค์กรและภาคธุรกิจ) เกิดความโล่งใจ เนื่องจากไม่สามารถดำเนินการให้สอดคล้องกับกฎหมาย คุ้มครองข้อมูลส่วนบุคคล ฉบับดังกล่าวได้ทัน แถมมรสุมโควิด-19 ยังทำให้กระบวนการหลาย ๆ อย่างหยุดชะงักและล่าช้าอีกด้วย

สบายใจเพราะมีเวลาเพิ่มอีกตั้ง 1 ปี พอใกล้ถึงเวลาบังคับใช้ค่อยเตรียมตัวจัดการเรื่องการคุ้มครองข้อมูลส่วนบุคคลก็ได้ คุณคิดว่าจริงหรือ?

  • การเตรียมตัวเพื่อให้สอดคล้องกับ PDPA ต้องกระทำในหลายมิติ ทั้งด้านการสำรวจ Data Flow การปรับปรุงนโยบายความเป็นส่วนตัว การจัดการเรื่องคุกกี้ การแจ้งขอความยินยอมเพื่อเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การวางระบบเพื่อให้เจ้าของข้อมูลสามารถใช้สิทธิในข้อมูลส่วนตัวของตนเอง การพัฒนาระบบรักษาความปลอดภัยของข้อมูล ฯลฯ ซึ่งองค์กรต้องใช้เวลา ไม่ใช่เตรียมตัวได้อย่างเสร็จสรรพเรียบร้อยในเพียงไม่กี่วัน
  • แม้ PDPA ยังไม่พร้อมบังคับใช้อย่างเต็มรูปแบบในวันนี้ แต่ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่กำลังแอคทีฟอยู่ในปัจจุบัน อาจส่งผลให้คุณได้รับโทษตามกฎหมายหากมีการละเมิดเกิดขึ้นได้เช่นกัน

อย่าชะล่าใจเพียงเพราะ PDPA เลื่อนบังคับใช้ องค์กรของคุณควรเริ่มดำเนินการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่วันนี้ ลดความเสี่ยงเข้าข่ายความผิดตามกฎหมาย เลี่ยงเจ็บตัวเพราะโดนค่าปรับ

เหตุใดเราคนไทยต้องให้ความสำคัญกับ GDPR

คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันนี้ 02

General Data Protection Regulation (GDPR) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป นักกฎหมายต่างยกย่องให้กฎหมายนี้เป็นต้นฉบับของ PDPA เนื่องจากเป็นกฎหมายที่บัญญัติขึ้นมาก่อนเกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคลโดยตรง และ PDPA มีความคล้ายคลึงด้านโคร่งร่างกับ GDPR อยู่หลายประการด้วยกัน โดย GDPR มีวัตถุประสงค์ตรงตามชื่อของกฎหมาย ก็คือมีขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชากรที่อาศัยอยู่ในประเทศกลุ่มสหภาพยุโรปนั่นเอง

อ้างอิงสรุป กฎหมาย GDPR ฉบับรวบรัด โดย สพธอ. (ETDA) “การคุ้มครอง” ในที่นี้ของ GDPR มีขอบเขตการบังคับใช้ คือ

  • ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่มีสถานประกอบการอยู่ในสหภาพยุโรป
  • ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ไม่มีสถานประกอบการอยู่ในสหภาพยุโรป แต่การประมวลผลข้อมูลนั้นเกี่ยวข้องกับการนำเสนอสินค้าหรือบริการให้แก่บุคคลผู้ที่พำนักอาศัยอยู่ในสหภาพยุโรป
  • ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ไม่มีสถานประกอบการอยู่ในสหภาพยุโรป แต่การประมวลผลนั้นเกี่ยวข้องกับการเฝ้าสังเกตพฤติกรรมที่เกิดขึ้นในสหภาพยุโรป ทั้งนี้ หากมีการประมวลผลข้อมูลส่วนบุคคลนอกอาณาเขตของสหภาพยุโรป และประเทศนั้นมีผลผูกพันทางกฎหมายกับประเทศสหภาพยุโรป (สนธิสัญญา เป็นต้น) จะตกอยู่ภายใต้ขอบเขตการบังคับใช้ของ GDPR เช่นเดียวกัน

เราสามารถสรุปอย่างง่าย ๆ ได้ว่า GDPR มีขอบเขตการคุ้มครองข้อมูลส่วนบุคคลของประชากรของกลุ่มประเทศสหภาพยุโรปที่อยู่ในประเทศสหภาพยุโรป คุ้มครองการใช้ข้อมูลส่วนบุคคลของประชากรในประเทศเหล่านั้นเพื่อนำเสนอสินค้าหรือบริการจากภายนอกประเทศ และยังคุ้มครองไปถึงการประมวลผลข้อมูลส่วนบุคคลของประชากรสหภาพยุโรปจากประเทศนอกอาณาเขตสหภาพฯ ที่ผูกพันกับสหภาพยุโรปผ่านสนธิสัญญาหรือข้อตกลง ดังนั้นไม่ว่าอยู่ที่ไหนบนโลกใบนี้ถ้าคุณนำข้อมูลส่วนบุคคลของประชากรของสหภาพยุโรปไปเก็บ ใช้ หรือประมวลผลอย่างใดอย่างหนึ่งโดยไม่ได้ทำตามมาตรการที่สอดคล้องกับ GDPR ก็ถือว่ามีความเสี่ยงที่จะได้รับโทษตามที่ระบุเอาไว้ในกฎหมายหากพิสูจน์แล้วว่ามีความผิด

ผลจากการแพร่ระบาดของโควิด-19 ส่งผลให้การเดินทางเข้ามายังประเทศไทยของประชากรจากประเทศในสหภาพยุโรปลดน้อยลงเป็นอย่างมาก ซึ่งเมื่อมองด้วยเหตุผลนี้จะข้าใจได้ว่าความเสี่ยงในการละเมิด GDPR ก็จะลดลงตามไปด้วย เนื่องจากการเก็บและใช้ข้อมูลจากนักท่องเที่ยวจากสหภาพยุโรปลดน้อยลงจนแทบไม่มีเลย จนหลาย ๆ ท่านอาจคิดว่าการละเลยการปฎิบัติตามกฎหมายตัวนี้ไปคงไม่เป็นไร หรือยังไม่ต้องเร่งให้ความสำคัญก็ได้

แต่… อย่าลืมว่าการติดต่อสื่อสารเพื่อจองห้องพัก สายการบิน หรือบริการอื่น ๆ ล่วงหน้าของประชากรประเทศสหภาพยุโรปก็ต้องมีการเก็บและโอนย้ายข้อมูลส่วนบุคคล โดยคุณควรมีมาตรการรองรับเพื่อเคารพสิทธิของเจ้าของข้อมูลและคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดตาม GDPR ยิ่งในช่วงนี้ที่โควิด-19 เริ่มคลี่คลาย และเริ่มมีการวางแผน จองสินค้าและบริการต่าง ๆ ที่เกี่ยวข้องกับการท่องเที่ยว

และถึงไม่มีนักท่องเที่ยว ก็ยังมีประชากรจากประเทศสหภาพยุโรปที่เข้ามาทำงานหรือใช้ชีวิตอยู่ในราชอาณาจักรไทยอยู่ การเก็บ ใช้ หรือประมวลผลข้อมูลของบุคคลเหล่านี้ภายในประเทศไทยอาจจะไม่มีปัญหา แต่ลองคิดดูว่าเราจะรู้ได้อย่างไรว่าเขาจะเดินทางกลับไปประเทศเมื่อใด (และได้รับความคุ้มครองตามขอบเขตของ GDPR) หากเรานำข้อมูลของบุคคลเหล่านั้นมาประมวลผลและยิงโฆษณา โดยไม่ได้ขอความยินยอมเอาไว้ก่อนหน้านั้น เข้าไปที่ตัวบุคคลซึ่งปัจจุบันพำนักอยู่ในสหภาพยุโรป นั่นย่อมหมายความว่า คุณระวางโทษความผิดฐานละเมิด GDPR เสียแล้ว

โลกาภิวัตน์ที่มีการไหลเวียนของข้อมูลข่าวสาร (และข้อมูลส่วนบุคคล) GDPR มีบทบาทสำคัญและยากที่จะหลีกเลี่ยงไม่ปฏิบัติตามได้ เพราะประชากรของสหภาพยุโรปและข้อมูลของพวกเขามีอยู่แทบทุกที่ ทุกแห่งหน

เตรียมตัว คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันนี้

น่าประหลาดที่ PDPA ให้เวลาก่อนบังคับใช้อย่างเต็มรูปแบบแค่ 1 ปี ซึ่งอาจเป็นระยะเวลาการเตรียมตัวที่สั้นไป จึงส่งผลให้ต้องขยายเวลาบังคับใช้ออกไปเช่นนี้ (แม้ไม่ได้มีสถานการณ์โควิดเข้ามาเป็นอีกหนึ่งปัจจัย) ในขณะที่ GDPR ให้เวลาเตรียมตัวก่อนการบังคับใช้ถึง 2 ปีด้วยกัน แสดงให้เห็นว่าทาง EU เขาคิดมาแล้วว่าเราต้องใช้เวลาในการเตรียมตัวรับมือกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลค่อนข้างมาก

เริ่มต้นเรียนรู้และดำเนินการเพื่อให้องค์กรของคุณมีนโยบายและแนวทางการดำเนินงานเกี่ยวกับข้อมูลส่วนบุคคลที่สอดคล้องกับ GDPR ตั้งแต่วันนี้ อย่ารอช้าจนโดนปรับตามความผิด เพราะ GDPR บังคับใช้มาตั้งแต่ปี 2018 แล้ว แต่ยังคงมีหลาย ๆ องค์กรที่ตามกฎหมายฉบับนี้ไม่ทัน นอกจากนั้นการเตรียมตัวตาม GDPR ยังเป็นแนวทางสำคัญที่ช่วยให้คุณพร้อมรับมือกับ PDPA ที่กำลังจะบังคับใช้อย่างเต็มรูปแบบในอนาคตด้วยเช่นกัน เนื่องจากกฎหมายทั้ง 2 มีความคล้ายคลึงกัน และ GDPR ได้รับการยกย่องเป็นต้นแบบของ PDPA ตามที่ได้กล่าวไปแล้วข้างต้นคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันนี้ 03

หลักสูตร Personal Data Protection Certificate (PDPC) ออกแบบมาเพื่อสร้างความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งและครอบคลุม โดยปูพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตามด้วย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของไทย ตั้งแต่คอนเซ็ปต์และหลักการพื้นฐาน ตลอดจนแนวปฏิบัติตามกฎหมาย ด้วยหวังว่าผู้เข้าอบรมจะสามารถนำองค์ความรู้ที่ได้ไปประยุกต์ใช้สำหรับการทำงานภายในองค์กร ตลอดจนสามารถปฏิบัติให้สอดคล้องกับกฎหมายทั้งสองได้อย่างมีประสิทธิภาพ

สนใจรายละเอียดหลักสูตรสอบถามเพิ่มเติมได้ที่ Facebook: PDPA ICDLTHAILAND

X