อีกประมาณไม่ถึงเดือน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019) : PDPA) ก็มีผลบังคับใช้ ธุรกิจ SMEs เตรียมตัวอย่างไรบ้าง
หลังจากกฎหมาย PDPA ฉบับนี้ถูกเลื่อนมาตั้งแต่ 1 ปีที่ผ่านมา ตอนนี้ก็น่าจะใกล้เวลาบังคับใช้กฎหมายกันแล้ว กฎหมายฉบับนี้มุ่งเน้นการขออนุญาตการใช้ข้อมูลส่วนบุคคล หลายคนบอกว่า กฎหมายฉบับนี้น่าจะกระทบกับธุรกิจขนาดใหญ่เท่านั้น แต่ในความเป็นจริงกฎหมายชุดนี้ การเตรียมการจะกระทบกับธุรกิจ SMEs เช่นเดียวกัน เพราะจะต้องเสียเงินในการจัดทำการขออนุญาตใช้ข้อมูลส่วนบุคคล
คำถามต่อมา แล้ว SMEs ไหน มีผลกระทบอย่างไรบ้าง
ส่วนหนึ่งจากการที่ SMEs ได้มีการเปิดใช้บริการผ่านเว็บไซต์ทั้งหลาย และมีการลงทะเบียนการใช้งาน การขออนุญาตการใช้ข้อมูลส่วนบุคคล จะมีผลบังคับใช้ทันที โดยต้องทำเว็บไซต์หน้าหนึ่ง เพื่อประกาศการเก็บข้อมูลความเคลื่อนไหวในการใช้บริการเว็บไซต์กับลูกค้า โดยเฉพาะในส่วนของการลงทะเบียนข้อมูลลูกค้าที่ต้องมีหน้าตาขึ้นมา เพื่อให้ลูกค้าคนนั้นติ๊กยินยอมเสียก่อน ถึงจะเก็บข้อมูลส่วนบุคคลนั้นได้ เรียกว่าเป็นส่วนสำคัญของกฎหมายชุดนี้ และยังต้องอัปเดตอยู่ให้ทันสมัยตลอดเวลา เมื่อมีการเปลี่ยนหรือแก้ไขเพิ่มเติมตามกฎหมายอยู่ด้วย จึงเป็นสิ่งที่ทาง SMEs ต้องลงทุนเพิ่มขึ้นในสภาวะแบบนี้
งานบุคคลก็เป็นอีกส่วนหนึ่ง
ไม่เพียงแค่เว็บไซต์ที่อยู่ภายใต้ SMEs แต่ละรายเท่านั้น ต่อไปเมื่อเราไปสมัครงาน ข้อมูลที่แต่ละบริษัทที่จัดเก็บก็ถือว่าเป็นอีกส่วนหนึ่งที่เข้าตามกฎหมายชุดนี้ SMEs ที่มีพนักงานก็ต้องให้ยิมยอมขอใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ยิ่งไปกว่านั้น เมื่อพนักงานลาออกหรือออกจากงานนั้น SMEs ที่อยู่นั้น ก็ต้องทำลายข้อมูลต่างๆ ของพนักงานเช่นเดียวกัน นอกจากมีการยินยอมให้จัดเก็บข้อมูล ด้วยระยะเวลาเท่าไหร่จากพนักงานคนนั้น ซึ่งต้องระบุระยะเวลาที่ชัดเจน และถ้าพนักงานทำเรื่องให้ทำลายข้อมูล SMEs ที่อยู่ภายใต้นั้นก็ไม่สามารถจัดเก็บข้อมูลต่อไปได้เช่นเดียวกัน
ไม่เพียงเท่านั้น ถ้าข้อมูลที่เป็นสำเนาบัตรต่างๆ ที่ทาง SMEs หรือฝ่ายบัญชีของ SMEs นั้น ขอข้อมูลจากที่ต่างๆ อยู่เสมอ และเมื่อไม่ได้ใช้งานแล้ว ชอบเอากระดาษเหล่านั้นไปทำเป็น Reuse และกระดาษเหล่านั้นหลุดออกไปภายนอกบริษัท อย่างไปทำถุงกล้วยแขก และเขาพบว่าเป็นข้อมูลของเขาที่เคยให้กับบริษัทใดไป อาจจะทำให้บุคคลนั้นกลับมาฟ้องร้องกับทาง SMEs ได้ จึงต้องระหว่างเคสแบบนี้เช่นเดียวกัน เพราะกฎหมายจะครอบคลุมทั้งออนไลน์และออฟไลน์ด้วย
ปรับสูงสุด 5 ล้านบาท
ภายใต้ พรบ. ได้เขียนถึงการพิจารณาโทษสูงสุด 5 ล้านบาท สำหรับกรณีของการนำข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ไม่ว่าจะเป็นข้อมูล เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุ์กรรม ข้อมูลชีวภาพ ข้อมูลเหล่านี้ถ้าถูกนำไปใช้ในกิจกรรมใดก็ตาม จะมีโทษสุดสุดและโทษทางอาญาด้วย
ส่วนข้อมูลส่วนบุคคล (Personal Data) จะถือว่ามีโทษรองลงมา และต้องขึ้นกับบริบทของการเก็บข้อมูลเพื่อไปใช้ในกิจกรรมใดๆ ก็ตาม
เป็นตัวอย่างเล็กๆ น้อยๆ ที่จะมีผลกระทบกับ SMEs เกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ตอนนี้ SMEs ต้องปรับการขอข้อมูลจากพนักงานและบุคคลภายนอกจะดีกว่า ขอข้อมูลเท่าที่จำเป็น และขออนุญาตการใช้งานตามลักษณะของการจริงเท่านั้น และเก็บข้อมูลให้เป็นความลับจริงๆ เมื่อไม่ใช้งานก็ต้องทำลายไม่เสียดายกระดาษที่ใช้ไป เท่านี้ก็ปลอดภัยจากโทษตามกฎหมายแล้ว
