3 ความเข้าใจผิดเกี่ยวกับ PDPA ที่คนส่วนใหญ่อาจไม่เคยรู้

   

หลายคนคงคุ้นหูกับคำว่า PDPA มาบ้าง ว่าเป็นกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งไทยยกกฎหมายของสหภาพยุโรปอย่าง GDPR มาเป็นต้นแบบ ส่วนภาคเอกชนบางหน่วยงานก็ใช้วิธีการแจ้งนโยบายความเป็นส่วนตัวมาสักพักหนึ่งแล้ว เพื่อให้สอดรับและอำนวยความสะดวกกับการทำธุรกิจระหว่างประเทศ จนล่าสุดไทยได้ออก “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 (2019))” ซึ่งมีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565

แต่เชื่อไหมคะว่ายังมีความเข้าใจผิดเกี่ยวกับข้อกฎหมายนี้อยู่อีกมาก ดังนั้นเราจึงหยิบยก 3 เรื่องหลัก ๆ ที่คนมักเข้าใจผิดเกี่ยวกับ PDPA มาเล่าสู่กันฟังค่ะ

ความเข้าใจผิดที่ 1 : มีแค่เพียงผู้ประกอบการและภาคธุรกิจเท่านั้นที่จะต้องปฏิบัติตาม PDPA

โดยหลักแล้วกฎหมาย PDPA ให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงและทางอ้อม ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบออนไลน์และออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล ลายนิ้วมือ เลขบัตรประชาชน ฯลฯ ดังนั้น การบังคับใช้จึงมีผลกับทุกภาคส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นประชาชนทั่วไป ภาคเอกชน หน่วยงานรัฐ

ยกตัวอย่าง การซื้อของออนไลน์ ในกรณีที่ติดต่อแม่ค้าโดยตรง เราจะได้เลขบัญชีมาเพื่อโอนจ่ายเงิน จากนั้นก็ต้องแจ้งสลิป พร้อมชื่อ ที่อยู่ เบอร์โทร เพื่อที่แม่ค้าจะจัดส่งสินค้า ซึ่งเลขที่บัญชี ชื่อ ที่อยู่ เบอร์โทรศัพท์ที่เราแจ้งไป ถือว่าเป็นข้อมูลส่วนบุคคล เท่ากับว่าแม่ค้าและเราก็ต้องปฏิบัติตาม PDPA ทั้งคู่

ความเข้าใจผิดที่ 2 : เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ความยินยอมการใช้ข้อมูลทุกครั้ง

อันที่จริงแล้ว เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ต่อผู้ควบคุมข้อมูลการใช้ข้อมูลตามที่แจ้งไว้ตั้งแต่แรกเพียงครั้งเดียวเท่านั้น

ยกตัวอย่าง การลงทะเบียนผ่านเว็บไซต์หรือแอปพลิเคชัน จะขึ้นข้อความวัตถุประสงค์ให้เราอ่าน และกดยินยอม ซึ่งการขอความยินยอมนี้ อาจทำเพียงครั้งเดียว นั่นคือ ครั้งแรกที่ลงทะเบียน ไม่จำเป็นต้องให้กดยินยอมทุกครั้งในการเข้าระบบครั้งต่อ ๆ ไป หรือการเปิดบัญชีธนาคาร ที่ต้องกรอกข้อมูลส่วนบุคคลในเอกสารในครั้งแรก เพื่อแสดงความยินยอมให้ธนาคารใช้ข้อมูล พร้อมแจ้งวัตถุประสงค์ว่าธนาคารจะนำข้อมูลไปใช้เพื่ออะไรบ้าง หากเราไม่ยินยอม ก็สามารถปฏิเสธความยินยอมนั้นได้ แต่อย่างไรก็ตาม หากผู้ควบคุมข้อมูลส่วนบุคคลจะใช้ข้อมูลส่วนบุคคลที่ต่างออกไปจากวัตถุประสงค์เดิมที่เจ้าของข้อมูลส่วนบุคคลได้เคยให้ความยินยอมไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งและขอความยินยอมกับเจ้าของข้อมูลส่วนบุคคลสำหรับวัตถุประสงค์นั้นใหม่ด้วย

ความเข้าใจผิดที่ 3 : โพสต์รูปตัวเองตอนไปเที่ยวแล้วติดคนอื่นในรูปด้วย ถือว่าผิดกฎหมาย PDPA

หลักการสำคัญของ PDPA คือ เจ้าของข้อมูลต้องยินยอมการใช้ก่อน และจะต้องไม่ละเมิดความเป็นส่วนตัวของผู้อื่น ดังนั้น การใช้เพื่อส่วนตัว หรือ การโพสต์รูปลงโซเชียลมีเดียเพื่อแบ่งปันกับคนรู้จัก ไม่ใช่เพื่อสร้างผลกำไรทางการค้า และไม่ได้สร้างความเดือดร้อนต่อบุคคลอื่น ถือว่าเป็นข้อยกเว้นของ PDPA แต่ทางที่ดีเพื่อป้องกันปัญหาด้านความปลอดภัยของคนที่ถูกถ่ายติดที่อาจเกิดขึ้นตามมา หากเป็นไปได้ก็ควรหลีกเลี่ยง หรือเบลอหน้าคนอื่นก่อนลงพื้นที่โซเชียลมีเดีย แต่ในกรณีที่หลีกเลี่ยงไม่ได้จริง ๆ ต้องดูบริบทของภาพว่าเป็นสถานที่สาธารณะหรือไม่ เช่น ถ่ายรูปในงานคอนเสิร์ต ในงานวิ่งมาราธอน ซึ่งมีผู้เข้าร่วมงานจำนวนมาก จึงเป็นสถานที่ที่ทุกคนรู้อยู่แล้วว่ามีโอกาสที่รูปจะถูกถ่ายติดไปในภาพของคนอื่นได้ ทั้งนี้ การขอความยินยอมก็อาจต้องพิจารณาเป็นกรณีไป

กฎหมาย PDPA เป็นกฎหมายที่บังคับใช้กับทุกภาคส่วน ประชาชนจำเป็นต้องรู้สิทธิเพื่อคุ้มครองข้อมูลของตน ดังนั้น เมื่อมีการลงทะเบียนหรือสมัครเพื่อเปิดธุรกรรมใด ๆ จึงควรอ่านนโยบายความเป็นส่วนตัวและวัตถุประสงค์การใช้ข้อมูลให้ครบถ้วนก่อนกดยินยอม ส่วนหน่วยงานต่าง ๆ ก็จำเป็นต้องปรับตัว เรียนรู้ ศึกษา และปรับนโยบายการใช้ข้อมูลให้เกิดความโปร่งใส ชัดเจน และไม่นำข้อมูลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เพื่อรักษามาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้เกิดความน่าเชื่อถือในหน่วยงานระยะยาวค่ะ

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy https://pdpa.pro ได้แล้ววันนี้!