Checklist เช็คความพร้อม PDPA พรบ. ใหม่ที่ทำให้องค์กรไม่ว่าจะเล็กหรือใหญ่ต้องขยับ!
พรบ.นี้มีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงไม่มีองค์กรไหนสามารถทำเพิกเฉยกับมันได้กับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันว่า PDPA ( Personal Data Protection Act ) ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค.2563 นี้แล้ว
อีก 3 เดือนเท่านั้น ขยับตอนนี้ก็ยังทันนะคะ
โดยบทความนี้จะช่วยท่านผู้บริหารและ CEO ให้เข้าใจผลของการมีพรบ.นี้มากขึ้น และเราได้เตรียม Roadmap การเตรียมพร้อมขององค์กรมาไว้ให้ด้วย หากท่านยังไม่แน่ใจว่าการมีกฎหมายนี้อาจสร้างความเสี่ยงให้บริษัทได้มากแค่ไหน ลองดูกรณีศึกษาจากต่างประเทศที่มีการใช้กฎหมายนี้มาก่อนเราที่มีการปรับจริง เจ็บจริงกันไปแล้ว
Facebook ทำรายได้ มากถึง 5.5 หมื่นล้านดอลลาร์สหรัฐ ในปี 2018
แต่โดนปรับจาก FTC กรณีละเมิดสิทธิ์ไปประมาณ 5 พันกว่าล้านดอลลาร์สหรัฐ หรือ คิดเป็นประมาณ 10% ของรายได้ทั้งหมด จากกรณีแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica วิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ว่ากันว่าคดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์โลกเลยทีเดียว
Google ทำรายได้ 1แสนสามหมื่นล้านดอลลาร์สหรัฐ ในปี 2018
แต่ก็โดนปรับไปประมาณ 300 ล้านดอลลาร์สหรัฐ หรือคิดเป็นประมาณ 1.5% ของรายได้ โดย Google มีโดนหลายเคสมาก แต่ที่โด่งดังคือการประมวลผลข้อมูลของผู้เยาว์เพื่อทำการขายโฆษณาแบบเจาะจง ( Re-targeting Ad ) โดยไม่ได้ขอคำยินยอมจากผู้ปกครอง และอีกเคสที่ดังมาก เพราะยอดค่าปรับสูงที่สุดในประวัติศาสตร์ของ GDPR เลย คือ กรณีทำ Consent แบบแอบซ่อน ไม่ชัดเจนตอนที่รับสมัครสมาชิก Google account ต้องให้ผู้ใช้งานกดหลายขั้นตอน และมีการนำข้อมูลไปทำ Personalized Advertisement
British Airways ทำรายได้ 1 หมื่นสามพันล้านปอนด์ ในปี 2018
แต่ก็โดนปรับจากไป 204 ล้านปอนด์ หรือ คิดเป็นประมาณ 1% ของรายได้
จากกรณีถูกเจาะระบบข้อมูลทำให้ข้อมูลลูกค้ากว่า 500,000 คนถูกขโมยไปจากการแฮกเวบไซต์ คล้ายๆ Phishing
ข้อมูลที่ถูกขโมยได้แก่ ชื่อ ที่อยู่ อีเมล และข้อมูลการชำระเงิน
คดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์ ICO เลยทีเดียว
Marriott International เครือโรงแรม W, Westin, Le Meridien และ Sheraton ถูกปรับจาก GDPR 99.2 ล้านปอนด์ เนื่องจากข้อมูลส่วนบุคคล รวมถึงรายละเอียดบัตรเครดิต หมายเลขพาสปอร์ต และวันเดือนปีเกิดของลูกค้ากว่า 339 ล้านคนถูกแฮ๊คไป
ส่วนประเทศในเอเชียอย่างสิงคโปร์ที่ถึงแม้จะมีการบังคับใช้กฎหมายเรื่องนี้มานานกว่า 10 ปีแล้ว ก็มีการเพิ่มความเข้มงวดมากยิ่งขึ้นในปีที่ผ่านมา เนื่องจากมีเหตุการณ์ที่ระบบ IT ของ SingHealth ถูกแฮ็ค ส่งผลให้ข้อมูลผู้เข้ารับการรักษาในโรงพยาบาลและคลีนิกในเครือ 1.5 ล้านคนถูกขโมยออกไป ข้อมูลได้แก่ ชื่อ ที่อยู่ เพศ สัญชาติ วันเกิด และหมายเลขบัตรประจำตัวประชาชน นอกจากนี้ ข้อมูลการจ่ายยาผู้ป่วยนอกอีกประมาณ 160,000 รายก็ได้ถูกขโมยออกไปด้วย หนึ่งในนั้นคือข้อมูลของ Lee Hsien Loong นายกรัฐมันตรีคนปัจจุบันของสิงคโปร์ ค่าปรับจากคดีนี้สูงถึง 1 ล้านดอลลาร์สิงคโปร์ ทำให้ในปี 2019 มียอดการปรับรวมสูงถึง 1.54 ล้านดอลลาร์สิงคโปร์ สูงสุดในประวัติกาลของสิงคโปร์และก็สูงกว่า 3 ปีก่อน (2016-2018) รวมกันถึงเกือบ 5 เท่า โดยในกว่า 100 องค์กรที่โดนปรับมาจากทุกอุตสาหกรรม โดยเฉพาะค้าปลีก, การเงิน, วิชาชีพเฉพาะทาง เช่น แพทย์ ส่วนใหญ่มาจากการมีระบบปกป้องข้อมูลที่ไม่ถูกต้องตามมาตรฐาน และ ที่น่าแปลกใจคือ องค์กรการกุศลมีถึง 10 แห่ง
บทลงโทษของต่างประเทศ
- GDPR ของทางสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า
- PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์
- PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต
บทลงโทษจาก PDPA ของไทย
ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
GDPR ใช้เวลาเพียง 2 ปีก็สามารถแผลงฤทธิ์ใส่องค์กรใหญ่ๆไปได้หนักหน่วงทีเดียว
และ PDPA ในประเทศที่มีใช้มานานแล้วก็มีการตื่นตัวเพิ่มขึ้นเพื่อรองรับการเติบโตของเทรนด์การเก็บข้อมูลของผู้บริโภคเพื่อนำมาวิเคราะห์
เห็นความเสี่ยงใกล้ๆตัวหรือยังคะ ? หากเราดูจากเคสตัวอย่าง เทียบค่าปรับจากเปอร์เซ็นต์ของยอดขายอาจดูไม่เยอะ เพียงแค่ 1-10% ถ้าเทียบจากรายได้มหาศาลของบริษัทเหล่านั้น กลับกันหากเป็นบริษัทเล็กที่มีรายได้ต่อปีไม่ถึง 50 ล้านบาท แล้วโดนปรับ 5 ล้านบาท อาจเป็น 10% ที่แสนสาหัสมากเลยทีเดียว สำหรับในบ้านเรานี้ คงไม่มีใครอยากเจิม PDPA เป็นคดีแรกหรอกใช่มั้ยคะ
จะเริ่มอย่างไรดี เรามี 5 Step roadmap มาให้ค่ะ
1) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ? ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่ค่ะ
- หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS - หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล
ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล - หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล
หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์
2) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ?
ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้
คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกเก็บทั้งแบบ Online และ Offline
ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น
- ชื่อ นามสกุล
- หมายเลขโทรศัพท์
- ที่อยู่
- อีเมล
- หมายเลขบัตรประจำตัวประชาชน
- รูปถ่าย
- ประวัติการทำงาน
- อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )
นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
- เชื้อชาติ
- ชาติพันธุ์
- ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
- ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
- หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด
ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล
- สิทธิที่จะได้รับแจ้ง
- สิทธิในการแก้ไข
- สิทธิในการได้รับและโอนถ่ายข้อมูล
- สิทธิในการเข้าถึง
- สิทธิคัดค้าน
- สิทธิในการลบ (ถูกลืม)
- สิทธิในการจำกัด
- สิทธิในการเพิกถอนคำยินยอม
โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน
3) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้
- การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น
ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้- การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
- อ่านง่าย เข้าใจง่าย
- ไม่หลอกลวงให้เข้าใจผิด
- แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์
- การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- ทำเมื่อไหร่ก็ได้
- ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
- แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ
- การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
- การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center
- การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ )
- มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ
แต่มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลบางอย่างไม่ต้องได้รับความยินยอม
- เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล
- มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล
- มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
- เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล
ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้วค่ะ
4) เริ่มจากส่วนกลางก่อนเลยค่ะ
- สร้างตำแหน่งใหม่
- ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
- ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม )
- หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM ) ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่ แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไปค่ะ หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้
5) และขอบอกเลยว่า เกี่ยวทุกแผนกนะคะ
แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดีค่ะ
- Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
- IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
- ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
- เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด
- Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไขค่ะ
- Sales : หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent
- Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะคะ แต่อาจเข้าข้อยกเว้นได้
- HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับค่ะ
ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และอีกภายใน 1 ปีจะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับเคลียร์ความเทาในหลายๆกรณี
แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน
เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลงค่ะ
เหนือกว่าสิ่งใด คือ การแสดงความจริงใจในการดูแลผู้บริโภค
โดยเฉพาะลูกค้าของท่านที่มอบข้อมูลให้ท่านได้เก็บไว้
Analytist มีบทความเกี่ยวกับ PDPA อีกหลายชิ้นที่น่าสนใจ
คลิกไปอ่านต่อได้เลยค่ะ
และหากสนใจอ่านเพิ่มเติมเกี่ยวกับ พรบ.นี้ได้ที่นี่
เวบไซต์ PDPA Thailand https://sites.google.com/view/pdpa-2019/pdpa-home
หรือ Thailand Data Protection Guidelines 1.0 จากทางศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
https://www.law.chula.ac.th/wp-content/uploads/2019/06/tdpg.pdf
มาร่วมกัน Building insightful decision-making culture
หากคุณกำลังวางแผนสิ่งใด จงใช้ข้อมูลมาประกอบการตัดสินใจเสมอ
แต่ถ้ามีปัญหาเรื่องข้อมูล ? ปรึกษาพวกเราได้ค่ะ
CONTACT US
Have fun discovering !
Analytist Team
Share
Related Posts
February 16, 2021
ข้อควรรู้ก่อนเล่น Clubhouse
Clubhouse กำลังเป็นที่นิยมทั่วโลก และทุกคนก็ชอบในประโยชน์ของแอพมาก……
December 22, 2020
Data Marketing Trends in 2021
สำรวจ Data Marketing Trends ที่กำลังจะมา (หรือมาแล้ว)……
December 22, 2020
พุ่งตัวเข้าสู่ New Normal ปกป้องยอดขายจากภัย COVID-19 ด้วย Data
นักการตลาดที่ดี “ต้องปรับตัวได้ไว” โดยเฉพาะในยุค New Normal กับสถานการณ์โลกที่อาจเปลี่ยนแปลงได้ในทุก ๆ……
December 14, 2020
Hyper-Personalization การตลาดทำน้อย แต่ได้มาก!
Growth.AI สร้างทั้ง Segment และแคมเปญ ได้ภายใน 5 นาที ในเพียงไม่กี่คลิกก็คลิกเปิด-ปิด…
December 14, 2020
Understanding Your Customer Attrition Rate (CAR)
หากคุณเข้าใจพฤติกรรมของลูกค้า และแบ่งกลุ่มลูกค้าได้เหมาะสม คุณก็จะทราบได้ว่าลูกค้ากลุ่มที่หายไปนั้น…
November 29, 2020
จาก “รู้จัก” เป็น “รู้ใจ” ทำอย่างไรให้ลูกค้าตกหลุมรักแบรนด์คุณ
ไม่ใช่ทุกคนที่เห็นโฆษณาจะคลิก และ……