“ข้อมูล (DATA)” กลายเป็นสิ่งสำคัญในยุคที่ต้องเข้าใจพฤติกรรมผู้บริโภคให้มากที่สุด เพื่อให้สามารถตอบสนองความต้องการผู้บริโภคได้เป็นรายๆ ไป แต่หลายครั้งที่พบว่าข้อมูลมักจะรั่วไหลเห็นได้จากที่หลายคนมักจะพบว่า มีเบอร์แปลกๆ โทรเข้ามาเพื่อเสนอขายสินค้าและบริการต่างๆ มากมาย ทั้งที่ยังไม่เคยติดต่อหรือให้เบอร์ใครไป ร้ายแรงที่สุดคือการนำข้อมูลไปแอบอ้างเพื่อกระทำความผิดทางกฎหมาย
ปัจจุบันมีการประกาศ พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยมีการประกาศในราชกิจจานุเบกษาเมื่อวันที่ 24 พฤษภาคม พ.ศ.2562 ซึ่งสาระสำคัญที่หลายองค์กรต้องพึงระวังในด้านการจัดเก็บข้อมูลตามที่บัญญัติไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยสรุปมีดังนี้
1. องค์กรทั้งภาครัฐและเอกชนที่ดำเนินการจัดเก็บข้อมูล จะต้องมีระบบ แผนงานหรือเจ้าหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ไม่ว่าองค์กรนั้นจะอยู่ในประเทศไทยหรือนอกประเทศไทยก็ตาม
2. ต้องได้รับการยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล โดยต้องขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และต้องไม่มีเงื่อนไขในการขอความยินยอมจากเจ้าของข้อมูล
3. เจ้าของข้อมูลสามารถถอนความยินยอมเมื่อไหร่ก็ได้ โดยไม่มีข้อแม้หรือเงื่อนไข เว้นแต่จะมีข้อจำกัดสิทธิทางกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูล
4. แม้จะมีการถอนความยินยอมแล้ว ผู้ที่เก็บรวบรวมข้อมูลยังคงต้องดูแลรักษาความปลอดภัยข้อมูลเหล่านั้นไว้ หากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูล องค์กรที่เก็บรวบรวมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
5. กรณีที่เป็นเด็กอายุไม่เกิน 10 ปี ต้องได้รับความยินยอมจาก “ผู้ปกครอง” กรณีบุคคลไร้ความสามารถต้องได้รับความยินยอมจาก “ผู้อนุบาล” และกรณีบุคคลเสมือนไร้ความสามารถต้องได้รับความยินยอมจาก “ผู้พิทักษ์” โดยทั้งผู้ปกครอง, ผู้อนุบาล และผู้พิทักษ์สามารถถอนความยินยอมแทนเจ้าของข้อมูลนั้นได้
6. การเก็บข้อมูลต้องเก็บเฉพาะเท่าที่จำเป็น โดยต้องแจ้งรายละเอียดการเก็บข้อมูลให้เจ้าของข้อมูลทราบก่อนหรือระหว่างการจัดเก็บข้อมูล
7. ห้ามการจัดเก็บรวบรวมข้อมูลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง
8. ห้ามมีการจัดเก็บข้อมูลชีวภาพ ลักษณะเด่นทางกายภาพ หรือลักษณะเด่นทางพฤติกรรมที่สามารถยืนยันตัวตนบุคคลนั้นได้ ยกเว้นการเก็บข้อมูลด้านประวัติอาชญากรรม
9. เจ้าของข้อมูลมีสิทธิ์เข้าถึงและขอรับสำเนาข้อมูลของตนเองได้ รวมถึงการขอให้เปิดเผยวิธีการได้มาซึ่งข้อมูล โดยที่เจ้าของข้อมูลไม่เคยให้ความยินยอม
10. เจ้าของข้อมูลมีสิทธิ์ในการลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้ หากข้อมูลนั้นได้มาไม่ชอบด้วยกฎหมาย
11. เจ้าของข้อมูลสามารถร้องเรียนได้ ในกรณีที่การเก็บรวบรวมข้อมูลไม่เป็นไปตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้
12. ผู้เก็บรวบรวมข้อมูลจะต้องชำระค่าสินไหมทดแทนแก่เจ้าของข้อมูล หากจงใจหรือประมาทจนเป็นเหตุทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลรั่วไหล เว้นแต่จะเกิดจากเหตุสุดวิสัย หรือเป็นคำสั่งของเจ้าหน้าที่ตามกฎหมาย
13. ผู้เก็บรวบรวมข้อมูลที่ทำให้เกิดความเสียหาย เสื่อมเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือทำให้ได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาทหรือทั้งจำทั้งปรับ หากนำข้อมูลเหล่านั้นไปแสวงหาผลประโยชน์โดยมิชอบ จะต้องระวางโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
14. ใครที่ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยต่อผู้อื่น โดยที่ไม่ได้รับอนุญาตทางกฎหมาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
ทั้งนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ให้ระยะเวลา 1 ปีในการจัดตั้งคณะกรรมการและเจ้าหน้าที่ที่เกี่ยวข้องในการดูแลและตรวจสอบการรวบรวมข้อมูล ตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ และจะมีผลบังคับใช้ทันทีในวันที่ 24 พฤษภาคมพ.ศ 2563 นี้
นี่เป็นเพียงส่วนหนึ่งของ พ.ร.บ.ข้อมูลส่วนบุคคลที่จะมีผลบังคับใช้ในเร็วๆ นี้ ซึ่งยังมีอีกหลายประเด็นที่หลายบริษัทต้องศึกษาในยุคที่ข้อมูล (DATA) มีผลต่อการวางแผนธุรกิจ สามารถคลิกดาวน์โหลดและอ่านฉบับเต็มได้ ที่นี่
