บริษัทรักษาความปลอดภัย เป็นอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่ายตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งบังคับใช้กฎหมายใหม่ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมถึงมาตรการรักษาความปลอดภัยบางอย่าง สามารถนำไปสู่กรณีละเมิดที่สามารถฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ ยกตัวอย่างการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงานภายในบริษัทรักษาความปลอดภัย ได้แก่ ประวัติอาชญากรรม และลายนิ้วมือ แม้กระทั่งการที่บริษัทรักษาความปลอดภัยติดกล้องวงจรปิดในสถานที่ทำงาน หรือสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการด้วยเช่นกัน นอกจากนี้ บริษัทรักษาความปลอดภัยยังมีการเก็บและส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ หรือการเก็บข้อมูลจากบุคคลที่สามด้วย ซึ่งมีลักษณะเป็นการเก็บข้อมูลจากแหล่งอื่นที่เจ้าของข้อมูลไม่ทราบ ทั้งบริษัทรักษาความปลอดภัยยังเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลจำนวนมาก อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย รวมทั้งการดำเนินการยังเกี่ยวข้องกับข้อมูลส่วนบุคคลอื่น ๆ เช่น ข้อมูลคู่ค้า – คู่สัญญา ดังนั้นจะเห็นได้ว่า บริษัทรักษาความปลอดภัยดำเนินธุรกิจโดยมีรูปแบบที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในหลากหลายกิจกรรม กระนั้นบริษัทรักษาความปลอดภัยได้รับการจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์…

หลายประเทศทั่วโลกได้ก้าวเข้าสู่สังคมผู้สูงอายุ (Aging Society) อย่างเต็มรูปแบบ จากข้อมูลสถิติในปีที่ผ่านมาได้ระบุว่า ประเทศไทยมีจำนวนประชากรผู้สูงอายุ ตั้งแต่ 60 ปีขึ้นไป ประมาณร้อยละ 14 ของปริมาณประชากรทั้งประเทศ หมายถึงประเทศไทยคือหนึ่งในประเทศที่ก้าวสู่สังคมสูงอายุเช่นเดียวกัน ทำให้ธุรกิจที่เกี่ยวข้องกับการให้บริการผู้สูงอายุเกิดขึ้นตามความต้องการที่เพิ่มมากขึ้น เช่น ธุรกิจด้านการดูแลรักษาพยาบาล การแพทย์ บ้านพักคนชรา บริการด้านความงาม ท่องเที่ยว อสังหาริมทรัพย์ อาหารฟังก์ชัน (Functional Food) รวมทั้งสินค้าอุปโภคและบริโภค ซึ่งเป็นธุรกิจมาแรง และมีธุรกิจใหม่เกิดขึ้นเพื่อสอดรับกับกระแสเทรนด์โลก ขณะเดียวกัน การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA มีผลต่อทุกธุรกิจเป็นอย่างมาก โดยผู้ประกอบการที่ดำเนินธุรกิจที่เกี่ยวข้องกับผู้สูงอายุจะต้องมีมาตรการและความพร้อมสำหรับรับมือ ‘กฎหมายใหม่’ ที่มีความอ่อนไหวและสุ่มเสี่ยงการละเมิดสิทธิได้ง่ายมาก ซึ่งผู้ประกอบการควรให้ความสำคัญกับประเด็นหลัก 3 อย่าง ดังนี้ 1. เก็บข้อมูลส่วนบุคคลของผู้สูงอายุ จะต้องขอความยินยอม การเก็บ รวบรวมใช้ หรือเปิดเผยเพื่อกิจกรรมทางธุรกิจในรูปแบบต่าง ๆ ทั้งปราศจากฐานทางกฎหมายอื่น หรือการนำข้อมูลไปใช้เพื่อประโยชน์ทางการตลาด…

ในการทำธุรกิจหรือธุรกรรมระหว่างองค์กรหรือบริษัท เป็นไปไม่ได้เลยที่จะต้องใช้หรือเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมต่าง ๆ อาทิ การจัดซื้อจัดจ้าง การทำสัญญา ฯลฯ ซึ่งแน่นอนว่าการทำธุรกิจหรือธุรกรรมระหว่างกัน เป็นกิจกรรมที่องค์กรหรือบริษัทดำเนินงานร่วมกันภายใต้สัญญาที่มีข้อตกลงเป็นลายลักษณ์อักษร ข้อมูล “คู่ค้า และคู่สัญญา” ขององค์กรหรือบริษัทที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล ต้องไม่ลืมที่จะตรวจสอบในแน่ใจว่าองค์กรหรือบริษัท ดำเนินกิจกรรมต่าง ๆ ได้สอดคล้องกับกฎหมาย PDPA แล้วหรือยัง ?   PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง? ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยมของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพราะข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูลตามกฎหมาย PDPA ไม่ใช่เพียงแค่ข้อมูลของลูกค้า เจ้าหน้าที่ หรือพนักงานในบริษัทเท่านั้น แต่รวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่บริษัทมีการเก็บใช้ ซึ่งเป็นสิ่งที่ค่อนข้าง ‘อ่อนไหวและสุ่มเสี่ยง’ ต่อการละเมิดกฎหมาย PDPA เนื่องจากขาดความเข้าใจเกี่ยวกับกฎหมายที่ดีพอ…

สำหรับโทษปรับฐานละเมิดและไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกลายเป็นประเด็นร้อนสำหรับองค์กรธุรกิจทั่วมุมโลกตั้งแต่ปี 2561 เป็นต้นมา หลังจากการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และต้นแบบของกฎหมายคุ้มครองส่วนบุคคลที่ทั่วโลกนำไปปรับใช้ รวมถึง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทยด้วย ทำให้ธุรกิจหลายแห่งถูกปรับหรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล กรณีศึกษาตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M, Amazon, Apple, Google, Netflix, Spotify และ Marriot Hotels องค์กรเหล่านี้ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบกฎหมายใหม่นี้อยู่ เนื่องจากระเบียบใหม่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลกลายเป็น ‘ต้นทุนการจัดการ’ เพื่อให้การดำเนินการถูกต้องตามกฎหมาย หากฝ่าฝืนจะมีโทษปรับที่ค่อนข้างรุนแรง โดยมีกรณีที่เคยเกิดขึ้น ดังนี้   Google โดนผู้ควบคุมข้อมูลของฝรั่งเศส (CNIL) ปรับเงิน 50…

“เวชระเบียน” เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึก และเก็บรวบรวมประวัติของผู้ป่วยทั้งประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา ค่ารักษา ไทม์ไลน์ของผู้ป่วยติดเชื้อโรคติดเชื้อไวรัสโคโรนา (COVID-19) ตลอดจนข้อมูลส่วนตัว ครอบครัว และข้อมูลต่าง ๆ ที่มีการบันทึกซึ่งเกี่ยวข้องกับผู้ป่วย นับเป็นข้อมูลที่สามารถบ่งชี้ตัวบุคคลได้ทั้งทางตรงและทางอ้อม ถือเป็น ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) การจะเก็บ รวบรวมใช้ หรือเปิดเผยได้ก็ต่อเมื่อ ได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA  ยกตัวอย่างกรณีที่เห็นกันบ่อยครั้ง คือการจัดเก็บ รวบรวมและเปิดเผยข้อมูลผู้ติดเชื้อโควิด-19 ไทม์ไลน์ก่อนติดเชื้อ ซึ่งหากตอบแบบกำปั้นทุบดินก็นับว่าผิดกฎหมาย PDPA หากการกระทำดังกล่าวไม่ได้รับความยินยอมจากเจ้าของข้อมูลตามสิทธิขั้นพื้นฐานของกฎหมายฉบับนี้   ซึ่งเป็นที่ทราบดีว่า ‘เวชระเบียน’ ถือเป็นข้อมูลสุขภาพ และเป็นข้อมูลส่วนบุคคลอ่อนไหว หากบุคคลหรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ เช่น กรณีตัวอย่างการเปิดเผยไทม์ไลน์ หรือประวัติการรักษาผู้ป่วยติดเชื้อโควิด-19 ด้วยเหตุนี้สถานพยาบาล โรงงานพยาบาล หน่วยงาน และเจ้าหน้าที่ด้านสาธารณสุขต่าง ๆ หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ฐานความยินยอม ของเจ้าของข้อมูล เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้ …

ไม่ติดป้ายแจ้งเตือน อาจติดคุก! หากใครที่เดินทางไปต่างประเทศ อาทิ ยุโรป หรืออเมริกา จะพบเห็นได้บ่อยๆ มีการแจ้ง CCTV Notice เช่น ในสนามบิน และร้านค้าต่าง ๆ ซึ่งเป็นป้ายหรือสติกเกอร์แจ้งเตือนว่า พื้นที่ดังกล่าวมีการติดกล้องวงจรปิด CCTV ซึ่งข้อมูลในนั้นนอกจากจะแจ้งเตือนไว้อย่างชัดเจนแล้ว ยังมี QR Code ที่สามารถสแกนเข้าถึงคำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) ของสถานประกอบการต่าง ๆ โดยมักจะติดอยู่ในบริเวณที่สังเกตเห็นได้ง่ายเพื่อให้ผู้มาติดต่อหรือใช้บริการได้ทราบ  สติกเกอร์ CCTV Notice เป็นการปฏิบัติตามข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว (General Data Protection Regulation : GDPR) โดยภาพถ่ายบุคคลไม่ว่าจะเป็นภาพนิ่ง ภาพเคลื่อนไหว รวมทั้งเสียงสนทนา ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นสถานประกอบการที่ติดกล้องวงจรปิด CCTV จึงมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และได้มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่จะให้ทุกคนที่มาติดต่อหรือใช้บริการมาเซ็นชื่อในข้อตกลงความยินยอม…

ก่อนอื่นผู้อ่านจะต้องเข้าใจในทิศทางที่ตรงกันก่อนว่า วัตถุประสงค์ใน ‘การประมวลผลข้อมูลส่วนบุคคล’ ไม่ว่าจะเพื่อการค้า การบริการ หรือกิจกรรมใดๆ ก็ตาม สิ่งนั้นก็เพื่อวัตถุประสงค์ที่เฉพาะเจาะจง แต่ย่อมไม่ใช่เป็นการทำความรู้จักบุคคลเหล่านั้นในเชิงลึกเพื่อสานสัมพันธ์ในเชิงครอบครัว คนรัก หรือมิตรสหาย ดังนั้นจึงไม่จำเป็นต้องทราบ ‘ตัวตนที่แท้จริง’ ของบุคคลเหล่านั้นทั้งหมดก็ได้ เพียงแค่ต้องทราบว่า พวกเขาต้องการอะไร ให้ความสำคัญกับสิ่งใด ต้องการเมื่อไหร่ หรือมีแนวโน้มว่าจะปรับเปลี่ยนไปอย่างไร  ขณะที่ทฤษฎีการตลาดเพื่อทำความรู้จักลูกค้าที่เรียกว่า ‘6W1H’ (Who What Where When Why Whom และ How) โดยคำว่า ‘Who’ อาจจะมีความหมายอย่างมากสำหรับการตลาดยุคเก่า แต่ภายใต้กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เราอาจจะต้องระมัดระวังในการระบุตัวตนของพวกเขามากขึ้น นั่นเพราะข้อมูลที่สามารถระบุตัวตน ไม่ว่าจะโดยตรงหรือทางอ้อม มีสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และจะต้องขอความยินยอมจากเจ้าของข้อมูล รวมถึงระบุวัตถุประสงค์ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน  จึงเป็นเหตุจำเป็นที่องค์กรธุรกิจจะต้องมีมาตรการในการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันการละเมิด หรือการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ ทั้งเจ้าของข้อมูลมีสิทธิในการจะขอให้ระงับ แก้ไข หรือเพิกถอนความยินยอมในการเปิดเผยข้อมูลได้ …

“ถ้าสินค้านั้นฟรี คุณก็คือสินค้า” คำกล่าวติดตลกของนักการตลาดที่ไม่ได้ตลกเลยซักนิดเดียว ทำนองเดียวกับตรรกะทางเศรษฐศาสตร์ที่ว่า “โลกนี้ไม่มีอะไรฟรี แม้แต่อากาศที่คุณกำลังหายใจ” ข้อเท็จจริงเชิงเปรียบเทียบในลักษณะนี้เรามักพบเจอได้ในกิจกรรมทางการตลาดและส่งเสริมการขายในช่วงที่ผ่านมา ซึ่งมีการนำข้อมูลบุคคลมารวบรวม และวิเคราะห์เพื่อการขายสินค้าหรือบริการ แต่เมื่อทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค และประเทศไทยกำลังบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ข้อมูลส่วนบุคคลก็เป็นเพียงแค่สิ่งที่สามารถ ‘ยืมใช้’ อย่างระมัดระวังเท่านั้น เรื่องนี้ อาจมองว่าเป็น ‘ตลกร้าย’ สำหรับนักการตลาดที่แต่เดิมข้อมูลส่วนบุคคลที่นำมาใช้กันราวเป็น ‘ของฟรี’ ผ่านการทำแคมเปญต่างๆ เพื่อค้นหา Customer Journey หรือ เส้นทางของผู้บริโภคตั้งแต่ก่อนจะเป็นลูกค้า จนนำไปสู่การตัดสินใจซื้อสินค้าหรือใช้บริการ รวมถึงกลับมาซื้อสินค้าหรือใช้บริการนั้นซ้ำ ๆ โดยการรวบรวมข้อมูลลูกค้า นำมาวิเคราะห์พฤติกรรมและความต้องการของลูกค้า ที่เรียกว่า Behavior Marketing แต่ทราบหรือไม่ว่า คุณอาจกำลังทำผิดกฎหมาย PDPA อยู่ !! เพราะภายใต้กฎหมาย PDPA ข้อมูลส่วนบุคคลเป็นสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และเป็นสิทธิของบุคคลนั้นๆ ในการจะยินยอม หรือไม่ยินยอมให้ใช้ข้อมูล รวมถึงสิทธิการขอให้แก้ไข ระงับ ถ่ายโอน…

ผลิตภัณฑ์ของ Google ได้กลายเป็นประเด็นร้อนอีกครั้งหลังจากที่ก่อนนี้ เกิดการฟ้องร้องในรัฐแคลิฟอร์เนีย สหรัฐอเมริกาจากกรณีการละเมิดสิทธิข้อมูลส่วนบุคคลในโหมด ‘ส่วนตัว’ ที่ไม่ได้มีความเป็นส่วนตัวตามชื่อ โดยทาง Google ก็ได้ออกมาชี้แจงเรื่องนี้ว่า แม้จะอยู่ในโหมดส่วนตัวแต่ก็มีการเก็บข้อมูลการท่องเว็บของผู้ใช้งาน และได้มีการระบุไว้ในเอกสารความยินยอมอย่างชัดเจน ต่อจากนั้นในช่วงเดือนมกราคมที่ผ่านมา ก็มีการฟ้องร้องการละเมิดความเป็นส่วนตัวของ Google โดยคำตัดสินของหน่วยงานคุ้มครองข้อมูลของออสเตรเลีย(DPA) ที่ได้พิจารณาแล้วว่าการใช้งาน Google Analytics เป็นการละเมิดข้อมูลส่วนบุคคลตามระเบียบการคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งในเวลาต่อมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส (CNIL) ก็ได้พิจารณาว่า การใช้ Google Analytics เพื่อประมวลผลและจัดเก็บข้อมูลส่วนบุคคลในการเข้าถึงเว็บไซต์ก็เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลตามกฎหมาย GDPR เช่นเดียวกัน ดังนั้น คำถามที่หลายคนอยากรู้ในตอนนี้คือ เจ้าของเว็บไซต์และผู้ประผลข้อมูลในเว็บไซต์ที่ใช้ Google Analytics เครื่องมือยอดฮิตที่มีการใช้งานอย่างกมากมายในประเทศไทยจะเข้าข่ายผิดกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่จะบังคับใช้วันที่ 1 มิถุนายน 2565…