คนไทยพร้อมแค่ไหนกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า พ.ร.บ. ดังกล่าวมีประโยชน์ต่อตัวผู้บริโภคอย่างมาก โดยเฉพาะในช่วงสถานการณ์การแพร่ระบาดของเชื้อไวรัสโควิด-19 ในช่วง 2-3 ปีที่ผ่านมา เป็นช่วงที่ทุกคนเริ่มรู้จักคำว่า PDPA และหลังจากนั้นก็มีการประการเลื่อนการบังคับใช้และจะมีผลในวันที่ 1 มิถุนายน 2565 นี้
จับตา "ภาวะเงินเฟ้อ" รุนแรงทั่วโลก คาดกดดันตลาดหุ้นระยะกลาง-ยาว
เศรษฐกิจไทย เม.ย.65 คนยังกังวลของแพงจากสงคราม ภาคก่อสร้างยังหดตัว
4 เรื่องที่คนมักเข้าใจผิดเกี่ยวกับกฎหมาย PDPA หรือ พ.ร.บ. ข้อมูลส่วนบุคคล
ทั้งนี้ การเข้ามามีบทบาทของโลกออนไลน์หรือโลกดิจิทัล ที่เข้ามามีบทบาทในการใช้ชีวิตของเราทุกวัน เราทุกคนน่าจะต้องล้วนผ่านการกด ‘ยอมรับ’ ก่อนเข้าชมเนื้อหาหรือการเข้าทำธุรกรรมใดๆ มาก่อนหน้านี้แล้ว แต่ถึงวันนี้เป็นการที่จะต้องทำความเข้าใจในเนื้อหามากกว่า
“หากจะให้อธิบายอย่างง่ายคือ PDPA คุ้มครองปกป้องข้อมูลส่วนตัวของพวกเราทุกคนมากกว่า และควบคุมหน่วยงานองค์กรต่างๆ ที่จะนำข้อมูลส่วนตัวของเราไปใช้ประโยชน์อย่างถูกต้องปลอดภัยจากการยินยอมของเรา”
คำถามยอดฮิตคือ เมื่อ PDPA มีผลบังคับใช้แล้ว เวลาถ้าเราถ่ายรูปติดคนอื่นมาในภาพจะถูกฟ้องหรือไม่ คำตอบคือ ถ้าถ่ายรูปคนอื่นติดมาในภาพแล้วนำไปทำให้เกิดความเสียหายนั้นถือเป็นการละเมิดสิทธิส่วนบุคคล ซึ่งมีกฎหมายรองรับอยู่แล้ว โดยไม่จำเป็นต้องมี PDPA ก็สามารถฟ้องเอาผิดละเมิดสิทธิได้
สาระสำคัญคือ การนำข้อมูลไปใช้อย่างไร? ตรวจสอบข้อมูลได้ว่าข้อมูลนั้นมีแหล่งที่มาจากไหนอย่างไร?
โฆษกรัฐบาล ยัน ไม่มีนโยบายถอดหน้ากากอนามัย
มี PDPA แล้ว จะทำให้แก๊ง Call Center ลดลงได้หรือไม่
การมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เชื่อว่าจะทำให้ข้อมูลในอนาคตไม่หลุดรั่วออกไปเนื่องจาก พ.ร.บ. ดังกล่าวมีส่วนช่วยให้ทุกภาคส่วนเก็บข้อมูล และระมัดระวังความปลอดภัยมากยิ่งขึ้น
แต่การทำให้แก๊ง Call Center ลดลงได้หรือไม่นั้น PDPA อย่างเดียวไม่เพียงพอ จะต้องคาดหวังกับ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ หรือ กสทช. ที่จะต้องมีการพัฒนาเครื่องมือใดๆ หรืออาจจะต้องทำงานร่วมกับหน่วยงานอย่าง กรมสอบสวนคดีพิเศษ (ดีเอสไอ) หรือ โอเปอเรเตอร์ ผู้ให้บริการเครือข่าย ดั่งเช่นในต่างประเทศที่เขามีเครื่องมือกันสิ่งเหล่านี้
ล่าสุด ดีแทค ได้ประกาศความพร้อมรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ใช้เวลาเตรียมการมานานกว่า 2 ปี โดยเริ่มพัฒนานโยบายความเป็นส่วนตัว ออกแนวปฏิบัติ และบังคับใช้ภายในองค์กรสู่หลักปฏิบัติ ผ่านการออกแบบกระบวนการทำงาน การเก็บ ใช้ และเปิดเผยข้อมูล โดยเน้นด้านหลักธรรมาภิบาลและหลักสิทธิมนุษยชนที่เป็นวัฒนธรรมขององค์กร
นายสตีเฟ่น เจมส์ แฮลวิก รักษาการรองประธานเจ้าหน้าที่บริหาร กลุ่มกิจการองค์กร บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือดีแทค กล่าวว่า ก่อนหน้านี้ที่มีการประกาศกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR ซึ่งมีเงื่อนไขข้อกำหนดเช่นเดียวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) ของไทย ดีแทคได้เริ่มดำเนินการแล้วในประเทศนอร์เวย์ โดยได้มีการเตรียมการมาอย่างต่อเนื่องและพร้อมที่ พ.ร.บ. ดังกล่าวจะมีผลบังคับใช้ในประเทศไทย
ทั้งนี้ ดีแทค ในฐานะผู้ให้บริการโทรคมนาคม มีหน้าที่สำคัญในการเคารพในหลักความเป็นส่วนตัว (Privacy) และเสรีภาพในการแสดงออกสำคัญ (Freedom of Expression) จึงปฏิบัติและดำเนินงานอย่างเคร่งครัด โดยพัฒนากระบวนการการทำงานกับผู้มีส่วนเกี่ยวข้องอย่างสม่ำเสมอ
“การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถือเป็นหมุดหมายสำคัญของประเทศไทยในการคุ้มครองสิทธิขั้นพื้นฐานด้านการปกป้องความเป็นส่วนตัวและความมั่นคงทางข้อมูลของผู้บริโภค ซึ่งดีแทคสนับสนุนและยินดีปฏิบัติตามอย่างยิ่งเพื่อประโยชน์ของผู้บริโภค ธุรกิจ และสังคมส่วนรวม”
ขณะที่ ดีแทคพัฒนาสินค้าและบริการโดยยึดหลักความเป็นส่วนตัวเป็นสำคัญ (Privacy by design) เพื่อส่งมอบบริการที่ตอบโจทย์ ปลอดภัย และคำนึงถึงประโยชน์สูงสุดของลูกค้าไม่ว่าพนักงานจะทำงานจากที่ใดก็ตาม
ดีแทคมีกระบวนการจัดการกับข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล คือ
- เก็บรวบรวม จัดเก็บข้อมูลที่เป็นประโยชน์และจำเป็นต่อการให้บริการ ทั้งข้อมูลที่ระบุตัวตน ทางตรง และข้อมูลที่ระบุตัวตนทางอ้อม
- ใช้ มีการใช้ข้อมูลตรงตามวัตถุประสงค์ที่แจ้ง เพื่อนำเสนอสิทธิประโยชน์สินค้าและบริการที่ตรงกับความต้องการ เพื่อให้ลูกค้าได้รับประโยชน์สูงสุด
- เปิดเผย เพื่อให้เป็นไปตามหลักเกณฑ์และเงื่อนไขการดูแลคุ้มครองข้อมูลตามที่กฏหมายกำหนด
ขั้นตอนการบริหารจัดการของดีแทค
1. การทำงานเชิงรุก (Proactive approach) ดีแทคมีการวางแนวทางในการใช้ข้อมูลลูกค้าเพื่อให้เป็นไปตามเจตจำนงค์ตามที่ลูกค้าได้อนุญาตผ่าน Privacy Checkpoint ซึ่งเป็นโครงสร้างการทำงานเพื่อควบคุมและลดความเสี่ยงอันเกิดจากการละเมิดความเป็นส่วนตัวของลูกค้าโดยตั้งใจหรือไม่ตั้งใจ โดยผู้แสดงความจำนงค์ต้องการใช้ข้อมูลลูกค้า (ตัวอย่างเช่น ทีมพัฒนาแอปพลิเคชัน ทีมบริหารคุณค่าลูกค้า ระเบียบการปฎิบัติการในส่วนต่างๆ) จะต้องแจ้งความจำนงค์มายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer: DPO) ของบริษัทเพื่อพิจารณาถึงวัตถุประสงค์ตามกฎหมาย (Legal basis) และความจำเป็น (Necessity and Proportionality) ของการใช้ข้อมูล นอกจากนี้ ยังต้องมีการประเมินความปลอดภัยข้อมูลทางด้านเทคนิค ซึ่งกำกับโดยทีมเทคโนโลยี จากนั้น จะเข้าสู่กระบวนการพิจารณาและอนุมัติโดยคณะกรรมการ การประเมินผลกระทบด้านการคุ้มครองส่วนบุคคล (DPIA) ของบริษัท
นอกจากนี้ ยังได้กำหนดโครงสร้างการทำงานของ DPO ให้เป็นอิสระ สามารถรายงานการทำงานแก้คณะผู้บริหาร (Management Committee) ได้โดยตรง เพื่อให้ความคิดเห็นของ DPO คงไว้ซึ่งหลักการความเป็นส่วนตัวและหลีกเลี่ยงผลกระทบจากปัจจัยภายนอกที่มีอิทธิพลต่อความคิดเห็นของ DPO
2. การตรวจสอบ (Investigative approach) เพื่อลดความเสี่ยงการละเมิดความเป็นส่วนตัวของข้อมูล พนักงานด่านหน้าที่มีเกี่ยวข้องกับข้อมูลลูกค้าจะต้องมีการทำประเมินอย่างสม่ำเสมอ จากนั้นส่งผลการประเมินมายัง DPO นอกจากนี้ ยังมีการตรวจสอบรายไตรมาส (Audit) จากทั้งคณะกรรมการภายในและภายนอก เพื่อให้มั่นใจว่ามีการปรับใช้นโยบายสู่แนวปฏิบัติอย่างถูกต้อง
3. การแก้ไข (Corrective action) เมื่อตรวจสอบพบการละเมิดความเป็นส่วนตัวของข้อมูล DPO มีหน้าที่ในการ ประสานงานผู้เกี่ยวข้อง เพื่อระงับ จัดการประเมิน ความเสียหาย กำหนดแนวทางการแก้ไข รวมถึงถ้าเหตุละเมิดดังกล่าวมีผลกระทบต่อเจ้าของข้อมูล จะต้องมีการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลรับทราบและแก้ไข
สถิติใหม่ 193 ล้านคน “เจอความไม่มั่นคงทางอาหารอย่างรุนแรง”
ภาครัฐมีสิทธิ์แค่ไหนในการเข้าถึงข้อมูลส่วนบุคคล
นายมนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล ดีแทค กล่าวว่า ดีแทคได้กำหนดหลักการปฏิบัติตามคำร้องขอของหน่วยงานภาครัฐอย่างเข้มงวดและเคร่งครัดโดยอยู่บนพื้นฐานของกฎหมายไทย หลักสิทธิมนุษยชน และขอบเขตการให้ข้อมูลโดยอ้างอิงจากวัตถุประสงค์ ดังนั้นเมื่อมีคำร้องขอจากหน่วยงานรัฐจะต้องมีกฎหมายรับรองและหน่วยงานนั้นต้องมีอำนาจร้องขอ ส่วนกรณีคำขอพิเศษที่ไม่มีกฎหมายรับรองและหน่วยงานไม่มีอำนาจร้องขอ จะต้องมีการประเมินและวิเคราะห์ความเสี่ยง พร้อมทั้งจะต้องให้หน่วยงานรัฐระบุข้อกฎหมายและหน่วยงานผู้รับผิดชอบรับรอง โดยการเปิดเผยข้อมูล ดีแทค จะพิจารณาเฉพาะกลุ่มข้อมูลที่มีความจำเป็นเท่านั้น
กลุ่มลูกค้าองค์กรของ DTAC Business
นายกฤษณ์ ประพัทธศักดิ์ ผู้อำนวยการอาวุโส กลุ่มงานขายลูกค้าองค์กร ดีแทค กล่าวว่า เราได้มีการให้ความรู้ความเข้าใจกับลูกค้าทุกกลุ่มธุรกิจทั้ง กลุ่มธุรกิจขนาดเล็ก, กลุ่มธุรกิจขนาดกลาง และกลุ่มธุรกิจขนาดใหญ่ ซึ่งปัจจุบันลูกค้ากลุ่มองค์กรของบริษัทมีจำนวนหลายล้านเลขหมาย
ไม่ใช่แค่โลกร้อน มนุษย์กำลังทำให้สภาพภูมิอากาศโลก “โกลาหล”
ดีเดย์ 2 มิ.ย.ขายหวย 80 บาทผ่านเป๋าตัง แนะวิธีซื้อ-ขึ้นเงินหากถูกรางวัล