โทษปรับฐานละเมิด และไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังเป็นเรื่องใหญ่สำหรับองค์กรธุรกิจทั่วโลกนับตั้งแต่ปี 2561 เป็นต้นมา ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทั่วโลกนำไปประยุกต์ใช้ ทำให้ธุรกิจหลายแห่งถูกปรับ หรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าผืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล โทษปรับฐานละเมิด และไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังเป็นเรื่องใหญ่สำหรับองค์กรธุรกิจทั่วโลกนับตั้งแต่ปี 2561 เป็นต้นมา ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทั่วโลกนำไปประยุกต์ใช้ ทำให้ธุรกิจหลายแห่งถูกปรับ หรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าผืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล ยกตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M,  Amazon, Apple, Netflix, Spotify และ Marriot Hotels ที่ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบใหม่นี้อยู่ เนื่องจากเป็นระเบียบใหม่ที่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวมรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเกิดเป็น…

‘เวชระเบียน’ เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึกและเก็บรวบรวมประวัติของผู้ป่วย อาทิ ทั้งประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา และประวัติการใช้ยา ถือเป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) การจะเก็บ รวบรวมใช้ หรือเปิดเผยได้ก็ต่อเมื่อ ‘ได้รับความยินยอม’ จากเจ้าของข้อมูลส่วนบุคคลตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ซึ่งเป็นที่ทราบดีว่า ‘เวชระเบียน’ ถือเป็นข้อมูลสุขภาพ และเป็นข้อมูลส่วนบุคคลอ่อนไหว หากบุคคล หรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ เช่น กรณีตัวอย่างการเปิดเผยไทน์ไลน์ หรือประวัติการรักษาผู้ป่วยติดเชื้อโควิด-19 ด้วยเหตุนี้ สถานพยาบาล โรงงานพยาบาล หน่วยงานและเจ้าหน้าที่ด้านสาธารณะสุขต่างๆ หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ‘ฐานความยินยอม’ ของเจ้าของข้อมูล เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้ ขณะที่ฐานกฎหมาย และฐานประโยชน์โดยชอบในการปฏิบัติงานตามหน้าที่ของเจ้าหน้าที่รัฐ และฐานของประโยชน์สาธารณะ ก็ยังดู ‘ก้ำกึ่ง’ หากการดำเนินการเปิดเผยข้อมูลผู้ป่วยนำไปสู่การละเมิด ทั้งด้านร่างกาย อาทิ การเลือกปฏิบัติ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรม และด้านจิตใจ เช่น…

หลายประเทศทั่วโลกกำลังก้าวสู่สังคมผู้สูงอายุ (Aging Society) และจากข้อมูลในปีที่ผ่านมาระบุว่าประเทศไทยมีปริมาณผู้สูงอายุ (ตั้งแต่ 60 ปีขึ้นไป) ประมาณร้อยละ 14 ของปริมาณประชากรทั้งประเทศ นั่นหมายความว่าไทยก็เป็นหนึ่งในประเทศที่ก้าวสู่สังคมสูงอายุเช่นกัน ด้วยเหตุนี้ ธุรกิจที่เกี่ยวข้องกับการให้บริการผู้สูงอายุจึงเกิดขึ้นตามดีมานด์ที่เพิ่มขึ้น อาทิ ด้านการดูแลรักษาพยาบาล การแพทย์ บ้านพักคนชรา บริการด้านความงาม ท่องเที่ยว อสังหาริมทรัพย์ อาหารฟังก์ชัน (Functional Food) ตลอดจนสินค้าอุปโภค-บริโภคต่างๆ ซึ่งเป็นธุรกิจกระแสแรง และมีธุรกิจใหม่ผุดขึ้นราวดอกเห็ดสอดรับเมกะเทรนด์โลก ขณะที่การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA มีผลต่อธุรกิจอย่างมากรวมถึงผู้ประกอบการที่ดำเนินธุรกิจที่เกี่ยวข้องกับผู้สูงอายุจะต้องมีมาตรการและความพร้อมสำหรับรับมือ ‘กฎหมายใหม่’ ที่ค่อนข้างจะอ่อนไหวและสุ่มเสี่ยงการละเมิดได้ง่ายมาก หากไม่ระวัง ! โดยมี 3 ประเด็นหลักๆ ที่ผู้ประกอบการควรให้ความสำคัญ ดังนี้ เก็บข้อมูลส่วนบุคคลของผู้สูงอายุ ต้องขอความยินยอม : ข้อมูลทั่วไปของผู้สูงอายุ เช่น ชื่อ นามสกุล อายุ เบอร์โทร…

ช่วงต้นปีมานี้ มีข่าวบริษัทด้านธุรกิจสื่อสารรายใหญ่ของไทยถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA จะต้องแจ้งเหตุละเมิดภายในไม่เกิน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ ประเด็นนี้ อาจมองได้ว่าธุรกิจขนาดใหญ่ โดยเฉพาะ ‘บริษัทมหาชน’ ที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลลูกค้าจำนวนมาก กำลังตกเป็นเป้าโจมตีทางไซเบอร์ และจากสถิติการโจมตีทางไซเบอร์ในช่วงนับตั้งแต่มีสถานการณ์ COVID-19 มีอัตราการเพิ่มขึ้นเป็นตัวเลขที่น่าตกใจ อย่างไรก็ตาม บริษัทมหาชนยังมีอีกหลายประเด็นที่ ‘อ่อนไหว’ ไม่เฉพาะแค่เรื่อง Cyber Security ทำให้ช่วงเวลาที่ผ่านมาธุรกิจต่างๆ ได้มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) รวมถึงมีการประกาศนโยบายคุ้มครองข้อมูลส่วนส่วนบุคคล (Privacy Policy) เพื่อปฏิบัติตามกฎหมาย PDPA และถึงแม้จะมีการดำเนินการในข้างต้น แต่ยังมีความเสี่ยงในอีกหลายด้านที่ข้อมูลส่วนบุคคลจะเกิด ‘การรั่วไหล’ อันนำไปสู่การ ‘ละเมิดสิทธิ’ ที่ไม่ใช่เฉพาะข้อมูลลูกค้า เพราะ พ.ร.บ.คุ้มครองข้อมูลฯ ระบุถึงสิทธิของทุกคนที่จะได้รับความคุ้มครองความเป็นส่วนตัว ดังนั้น การดำเนินกิจกรรมต่างๆ ของบริษัทมหาชนที่มีการซื้อขายในตลาดหลักทรัพย์ ซึ่งมีข้อมูลส่วนบุคคลอีกมากที่นำไปสู่การละเมิด…

ไม่ติดป้ายแจ้งสิทธิ…อาจติดคุก! .. หากใครที่เดินทางไปต่างประเทศ อาทิ ยุโรป หรืออเมริกา จะพบเห็นได้บ่อยๆ มีการแจ้ง ‘CCTV Notice’ เช่น ในสนามบิน และร้านค้าต่างๆ ซึ่งเป็นป้าย หรือสติ๊กเกอร์แจ้งเตือนว่า พื้นที่ดังกล่าวมีการติดกล้องวงจรปิด CCTV  ซึ่งข้อมูลในนั้นนอกจากจะแจ้งเตือน และบอกสิทธิไว้อย่างชัดเจนแล้ว ยังมี QR Code ที่สามารถสแกนเข้าถึงคำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) ของสถานประกอบการต่างๆ โดยมักจะติดอยู่ในบริเวณที่สังเกตเห็นได้ง่ายเพื่อให้ผู้มาติดต่อหรือใช้บริการได้ทราบ โดยสติ๊กเกอร์ CCTV Notice เป็นการปฏิบัติตามข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว (General Data Protection Regulation : GDPR) โดยภาพถ่ายบุคคลไม่ว่าจะเป็นภาพนิ่ง ภาพเคลื่อนไหว รวมทั้งเสียงสนทนา ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นสถานประกอบการที่ติดกล้องวงจรปิด CCTV จึงมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และได้มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล…

ข้อมูลส่วนบุคคลของ ‘บุคคลที่สาม’ ในที่นี้หมายถึง บุคคล หรือนิติบุคคลที่บริษัทมีการดำเนินงานร่วมกันภายใต้กรอบสัญญาที่มีการตกลงกันเป็นลายลักษณ์อักษร โดยในทางปฏิบัติงานอาจหมายถึง ข้อมูลของ ‘คู่ค้า และคู่สัญญา’ ของบริษัทที่ได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย เพื่อวัตถุประสงค์ด้านธุรกิจ และเมื่อมีการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทของคุณได้ดำเนินการในส่วนข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่ถูกต้องแล้วหรือยัง ??? PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง? ในทางเทคนิค กฎหมาย PDPA กำหนดให้ข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูล ดังนั้น ผู้ควบคุมข้อมูล (Data Controller)  และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ด้วยเหตุนี้ จึงไม่ใช้แค่ ข้อมูลลูกค้า เจ้าหน้าที่หรือพนักงานในบริษัท แต่ยังรวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญา ที่บริษัทมีการเก็บใช้ ซึ่งสิ่งที่ยังคงเป็นประเด็นที่ค่อนข้าง ‘อ่อนไหวและสุ่มเสี่ยง’ ต่อการละเมิดกฎหมาย PDPA…

ก่อนอื่นผู้อ่านจะต้องเข้าใจในทิศทางที่ตรงกันก่อนว่า วัตถุประสงค์ใน ‘การประมวลผลข้อมูลส่วนบุคคล’ ไม่ว่าจะเพื่อการค้า การบริการ หรือกิจกรรมใดๆ ก็ตาม สิ่งนั้นก็เพื่อวัตถุประสงค์ที่เฉพาะเจาะจง แต่ย่อมไม่ใช่เป็นการทำความรู้จักบุคคลเหล่านั้นในเชิงลึกเพื่อสานสัมพันธ์ในเชิงครอบครัว คนรัก หรือมิตรสหาย ดังนั้นจึงไม่จำเป็นต้องทราบ ‘ตัวตนที่แท้จริง’ ของบุคคลเหล่านั้นทั้งหมดก็ได้ เพียงแค่ต้องทราบว่า พวกเขาต้องการอะไร ให้ความสำคัญกับสิ่งใด ต้องการเมื่อไหร่ หรือมีแนวโน้มว่าจะปรับเปลี่ยนไปอย่างไร ขณะที่ทฤษฎีการตลาดเพื่อทำความรู้จักลูกค้าที่เรียกว่า ‘6W1H’  (Who What Where When Why Whom และHow) โดยคำว่า ‘Who’ อาจจะมีความหมายอย่างมากสำหรับการตลาดยุคเก่า แต่ภายให้กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะบังคับใช้ในเร็วๆ นี้ อาจจะต้องเปลี่ยนเป็น ‘They’ นั่นเพราะข้อมูลที่สามารถระบุตัวตน ไม่ว่าจะโดยตรงหรือทางอ้อม มีสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และจะต้องขอความยินยอมจากเจ้าของข้อมูล รวมถึงระบุวัตถุประสงค์ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน จึงเป็นเหตุจำเป็นที่องค์กรธุรกิจจะต้องมีมาตรการในการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันการละเมิด หรือการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ ทั้งเจ้าของข้อมูลมีสิทธิในการจะขอให้ระงับ…

“ถ้าสินค้านั้นฟรี คุณก็คือสินค้า” คำกล่าวติดตลกของนักการตลาดที่ไม่ได้ตลกเลยซักนิดเดียว ทำนองเดียวกับตรรกะทางเศรษฐศาสตร์ที่ว่า “โลกนี้ไม่มีอะไรฟรี แม้แต่อากาศที่คุณกำลังหายใจ” ข้อเท็จจริงเชิงเปรียบเทียบในลักษณะนี้เรามักพบเจอได้ในกิจกรรมทางการตลาดและส่งเสริมการขายในช่วงที่ผ่านมา ซึ่งมีการนำข้อมูลบุคคลมารวบรวม และวิเคราะห์เพื่อการขายสินค้าหรือบริการ แต่เมื่อทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค และประเทศไทยที่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ข้อมูลส่วนบุคคลก็เป็นเพียงแค่สิ่งที่สามารถ ‘ยืมใช้’ อย่างระมัดระวังเท่านั้น เรื่องนี้ อาจมองว่าเป็น ‘ตลกร้าย’ สำหรับนักการตลาดที่แต่เดิมข้อมูลส่วนบุคคลที่นำมาใช้กันราวเป็น ‘ของฟรี’ ผ่านการทำแคมเปญต่างๆ เพื่อค้นหา Customer Journey หรือ เส้นทางของผู้บริโภคตั้งแต่ก่อนจะเป็นลูกค้า จนนำไปสู่การตัดสินใจซื้อสินค้าหรือใช้บริการ รวมถึงกลับมาซื้อสินค้าหรือใช้บริการนั้นซ้ำๆ โดยการรวบรวมข้อมูลลูกค้า นำมาวิเคราะห์พฤติกรรมและความต้องการของลูกค้า ที่เรียกว่า Behavioral Marketing แต่ทราบหรือไม่ว่า คุณอาจกำลังทำผิดกฎหมาย PDPA อยู่!!! เพราะภายใต้กฎหมาย PDPA ข้อมูลส่วนบุคคลเป็นสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และเป็นสิทธิของบุคคลนั้นๆ ในการจะยินยอม หรือไม่ยินยอมให้ใช้ข้อมูล รวมถึงสิทธิการขอให้แก้ไข ระงับ ถ่ายโอน หรือเพิงถอนไม่ให้นำข้อมูลไปใช้ในกิจกรรมทางการตลาดก็ได้ และเป็นสิทธิที่ผู้บริโภคในปัจจุบันเข้าใจเรื่องเหล่านี้ดีเลยทีเดียว…