เอสเอ็มอี เร่งปรับปรุงองค์กรอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ปลอดจากความผิดทางกฎหมาย


“กฎหมายคุ้มครองข้อมูลส่วนบุคคล ” หรือ PDPA เป็นกฎหมายใหม่ที่บริษัท ห้างร้านต่าง ๆ จำเป็นต้องเรียนรู้และปรับตัวให้สอดคล้องกับกฎหมาย เพราะกฎหมายดังกล่าวมีผลบังคับใช้แล้ว และมีบทลงโทษทั้งทางแพ่ง อาญา และปกครอง

งาน มหกรรม “ Smart SME EXPO 2022” จัดหัวข้อบรรยาย “กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ SME ต้องรู้ ” โดย ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand ประธานเจ้าหน้าที่บริหารบริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และเลขาธิการสมาพันธ์เอสเอ็มอีไทย”

ดร.อุดมธิปกกล่าวว่า PDPA ไม่จำกัดขนาดของธุรกิจว่าต้องทำหรือไม่ทำ แต่ขึ้นอยู่กับขนาดของการเก็บข้อมูลลูกค้าไปทำกิจกรรมทางการค้า การตลาด จำนวนของข้อมูลมีผลต่อการทำ PDPA เอสเอ็มอีที่เป็นบุคคลธรรมดาก็ต้องทำ

PDPA เกี่ยวข้องกับ 3 ด้าน
1. กฎหมาย สัญญา
2. กระบวนการธุรกิจ
3. เทคโนโลยี

กฎหมาย PDPA เป็นกฎหมายการค้า และการค้าระหว่างประเทศ การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของกฎหมายแพ่งและพาณิชย์ ฉะนั้นสามารถถ่ายภาพอื่นได้ กฎหมายนี้จำเป็นต้องออกเพราะทางยุโรปออกกฎหมายคุ้มครองผู้บริโภคในอาเซียนหลายประเทศก็ทำ เมื่อต้องขายสินค้าไปต่างประเทศ จึงต้องมีกฎหมายคุ้มครองส่วนบุคคลที่ปฏิบัติต่อกัน

การทำตนเองให้สอดคล้องกับ PDPA ประกอบด้วย
1. เจ้าของข้อมูลส่วนบุคคลข้อมูลสามารถระบุตัวตนได้ถือ่าเป็นข้อมูลส่วนบุคคล โดยแบ่งเป็น 2 กลุ่มคือข้อมูลทั่วไป และข้อมูลอ่อนไหว ข้อมูลเกี่ยวกับบริษัทไม่ใช่ข้อมูลส่วนบุคคล
2. ผู้ควบคุมข้อมูลส่วนบุคคล คือผู้ที่มีอำนาจตัดสินใจว่าจะใช้อย่างไร เก็บอย่างไร
3. ผู้ประมวลผลข้อมูลส่วนบุคคล คนที่ทำงานข้อมูลส่วนบุคคล เอสเอ็มอีเองเป็นผู้ประมวลผล ถ้าพนักงานทำ
4. เจ้าหน้าที่คมครองข้อมูลส่วนบุคคล

หลักการของ PDPA
1. มีการใช้ข้อมูลอย่างจำกัด
2. สิทธิของเจ้าของข้อมูลประกอบด้วยสิทธิได้รับการรับแจ้ง เจ้าของข้อมูลมีสิทธิเข้าถึง มีการลงโทษถ้าไม่ให้เขาเข้าถึง สิทธิในกฎหมายนี้มีการลงโทษ หากไม่ทำตามคนนำไปใช้มีโทษ
3. ฐานกฎหมาย PDPA มีอยู่ 7 ฐาน เช่น ฐานสัญญา, ฐานปฏิบัติตามหน้าที่ที่กฎหมายกำหนดว่าเอสเอ็มอีต้องกระทำ,ฐานประโยชน์อันชอบด้วยกฎหมายผู้ควบคุมส่วนบุคคล เช่น เข้าออฟฟิศต้องแลกบัตร เป็นต้น ฐานความยินยอมเป็นฐานสุดท้าย เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมเมื่อไหร่ก็ได้

กรณีเป็นผู้เยาว์ก็ต้องขอความยินยอมกับผู้ปกครอง กฎหมายฉบับนี้คุ้มครองที่อยู่ประเทศไทย เช่น ต่างชาติท่องเที่ยวมาเมืองไทย PDPA คุ้มครองเขา

กฎหมายนี้เป็นกฎหมายการค้าต่างประเทศ เช่น ส่งข้อมูลไปต่างประเทศต้องปฏิบัติตาม PDPA ข้อมูลที่เก็บก่อน 1 มิ.ย.65 ก็สามารถเก็บข้อมูลต่อไปได้

กฎหมายมีโทษทางแพ่ง โทษสูงสุด 2 เท่าของมูลค่าความเสียหาย มีโทษอาญา เกี่ยวกับนำข้อมูลอ่อนไหวไปใช้หรือเก็บ เราต้องพยายามลดการใช้ข้อมูลอ่อนไหว เช่นฝ่ายบุคคลไม่จำเป็นต้องเก็บข้อมูลเรื่องศาสนา

โทษอาญาอีกประเภทคือการนำไปให้คนอื่นใช้โดยที่เราไม่มีอำนาจ เรามีพนักงานสั่งให้ไม่ทำตาม PDPA มีบทลงโทษทางอาญา นอกจากนี้ยังมีโทษทางปกครองด้วย

ในระยะสั้นเอสเอ็มอีได้รับผลกระทบหมด เพราะมีความยุ่งยากในการจัดการ ต้องจัดระบบใหม่ มีความเสี่ยง มีค่าใช้จ่ายเพิ่ม แต่ในระยะยาวจะมีประโยชน์เรื่องระบบการจัดการ

เอสเอ็มอีต้องเก็บข้อมูล ลูกค้า คนจะเป็นบลูกค้า พนักงาน หุ้นส่วนผู้จัดการ คู่ค้า ผู้มาติดต่อ การเก็บข้อมูลยิ่งมากสิ่งเสี่ยง

ฝ่ายที่เก็บข้อมูลมาก เช่น ฝ่ายบุคคล ฝ่ายการตลาดเป็นฝ่ายที่กระทบมากที่สุด เพราะการค้ายุคใหม่เป็นระบบออนไลน์

ถ้าจะทำ PDPA ต้องทบทวนวิธีการทำงาน และเปลี่ยนสัญญาต่าง ๆ ที่เกี่ยวกับ PDPA และร่วมมือกับฝ่าย IT การออกคำสั่งของผู้บริหารทำให้เราปลอดภัยจากข้อผิดกฎหมายเรื่องผู้บริหารไม่ทำ PDPA นอกจากนี้สิ่งสำคัญที่สุดต้องประกาศเรื่องการเป็นส่วนตัว โดยก่อนหน้านี้ต้องทำนโยบายความเป็นส่วนบุคคลก่อน

ถ้าธุรกิจผลิตและค้าส่งมีข้อมูลพนักงาน ยกเว้นสินค้าซื้อจากเกษตรกร ในนั้นมี PDPA ค้าส่งไม่ต้องกระทบมากนัก เพราะพนักงานไม่มาก ค้าส่งไม่ค่อยเกี่ยวกับ PDPA มากนัก

ถ้าเป็นค้าปลีก ลูกค้าเก็บข้อมูล เช่น เบอร์โทร ไลน์ อีเมล เป็นความเสี่ยงด้าน PDPA

กรณีเป็นบริการนิติบุคคล เช่นรปภ. เป็นธุรกิจให้บริการด้านคน มีความเสี่ยง PDPA มาก