ผมมักพบเจ้าของธุรกิจ SME ที่คิดว่า PDPA เป็นเรื่องของบริษัทใหญ่เท่านั้น ความเข้าใจผิดนี้อันตราย เพราะพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act — PDPA) ไม่ได้จำกัดด้วยขนาดธุรกิจ ร้านค้าออนไลน์ คลินิก สำนักงานทนาย หรือโรงเรียนสอนพิเศษ ที่เก็บข้อมูลลูกค้าแม้แค่ชื่อ-เบอร์โทร ก็อยู่ภายใต้กฎหมายฉบับนี้เต็มรูปแบบ

บทความนี้เขียนให้เจ้าของธุรกิจ SME เข้าใจว่าต้องเตรียมอะไรอย่างเป็นรูปธรรม และเขียนให้นักศึกษากฎหมายเห็นโครงสร้างของ PDPA อย่างครบถ้วนพอที่จะอธิบายลูกความได้เอง

PDPA คืออะไร และบังคับใช้เมื่อไร

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 แต่เลื่อนการบังคับใช้หลักจริง ๆ มาจนถึง 1 มิถุนายน 2565 จากการเลื่อนด้วย พ.ร.ก. ต่างๆ ในช่วงโควิด-19 ตั้งแต่วันดังกล่าวเป็นต้นมา ธุรกิจทุกขนาดที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องปฏิบัติตามเต็มรูปแบบ

ข้อมูลส่วนบุคคล ตามนิยามในมาตรา 6 ของ PDPA หมายถึงข้อมูลใด ๆ ที่ระบุตัวบุคคลธรรมดาได้ ไม่ว่าจะทางตรง (ชื่อ บัตรประชาชน อีเมล) หรือทางอ้อม (IP address, cookies, พฤติกรรมการซื้อ)

บทบาทที่ SME ต้องรู้จัก

PDPA แบ่งผู้ที่เกี่ยวข้องกับข้อมูลออกเป็น 3 บทบาทหลัก

  1. เจ้าของข้อมูล (Data Subject) — คนที่ข้อมูลเป็นของเขา เช่น ลูกค้า พนักงาน
  2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) — คนหรือนิติบุคคลที่ตัดสินใจว่าเก็บข้อมูลอะไร ใช้ทำอะไร
  3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) — คนหรือนิติบุคคลที่ประมวลผลข้อมูลแทนผู้ควบคุม เช่น บริษัท cloud หรือ marketing agency

SME ส่วนใหญ่เป็น Data Controller สำหรับข้อมูลลูกค้าและพนักงานของตัวเอง และอาจเป็น Data Processor ถ้ารับงานประมวลผลข้อมูลให้ลูกค้าองค์กร

6 สิ่งที่ SME ต้องเตรียมเพื่อให้สอดคล้องกับ PDPA

1. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

นโยบายต้องระบุอย่างน้อย 7 เรื่อง ตามมาตรา 23 — วัตถุประสงค์การเก็บ, ฐานทางกฎหมายที่ใช้, ระยะเวลาเก็บ, บุคคลที่จะเปิดเผย, สิทธิของเจ้าของข้อมูล, ช่องทางติดต่อ และ ผู้ควบคุมข้อมูล ต้องเขียนให้อ่านเข้าใจได้ ไม่ซับซ้อน

ตามมาตรา 19 ความยินยอมต้องได้มาอย่างชัดแจ้ง เป็นลายลักษณ์อักษรหรือผ่านระบบอิเล็กทรอนิกส์ และต้องแยกจากข้อตกลงอื่น ๆ เจ้าของข้อมูลต้องสามารถถอนความยินยอมได้ตลอดเวลาด้วย — ตรงนี้สำคัญมาก ระบบของคุณต้องรองรับได้

ข้อระวัง: ไม่ใช่ทุกการเก็บข้อมูลต้องใช้ consent มาตรา 24 ให้ฐานอื่น ๆ เช่น ความจำเป็นตามสัญญา หรือ ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ซึ่งอาจเหมาะกว่าสำหรับข้อมูลพนักงานหรือการตามทวงหนี้

3. บันทึกการประมวลผลข้อมูล (ROPA)

Record of Processing Activities — มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลต้องทำบันทึกว่าใคร เก็บข้อมูลอะไร เพื่ออะไร เก็บนานแค่ไหน ส่งต่อให้ใคร สำหรับ SME ใช้ Excel หรือ Google Sheets ก็ได้ ขอแค่มีโครงสร้างชัดเจนและอัปเดตสม่ำเสมอ

4. มาตรการรักษาความปลอดภัย

มาตรา 37(1) กำหนดให้ต้องมีมาตรการที่เหมาะสม ทั้งทางเทคนิค (เข้ารหัส, firewall, access control) และทางการบริหาร (การอบรมพนักงาน, นโยบาย clean desk) ระดับความเข้มของมาตรการต้องสอดคล้องกับความเสี่ยงของข้อมูล ข้อมูลสุขภาพหรือข้อมูลการเงินต้องเข้มกว่าข้อมูลทั่วไป

5. การแจ้งเหตุข้อมูลรั่วไหล

มาตรา 37(4) กำหนดว่าเมื่อเกิดเหตุข้อมูลรั่วไหล ต้องแจ้งสำนักงานคณะกรรมการ PDPA (สคส.) ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และแจ้งเจ้าของข้อมูลในกรณีที่มีความเสี่ยงสูง จุดนี้หลายธุรกิจเตรียมไม่ทัน — ควรมีแผน incident response พร้อมไว้ล่วงหน้า

6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ในกรณีที่กำหนด

มาตรา 41 กำหนดว่าธุรกิจที่เก็บข้อมูลเป็นจำนวนมาก ใช้ข้อมูลอ่อนไหว (sensitive data) หรือทำการประมวลผลที่มีความเสี่ยงสูง ต้องแต่งตั้ง Data Protection Officer (DPO) อาจเป็นพนักงานในองค์กรหรือจ้างภายนอกก็ได้ SME ทั่วไปอาจไม่ถึงเกณฑ์ แต่ถ้าเก็บข้อมูลสุขภาพ ข้อมูลเด็ก หรือข้อมูลจำนวนมาก ต้องตรวจให้ชัด

สิทธิของเจ้าของข้อมูลที่ SME ต้องตอบสนองได้

มาตรา 30-36 ให้สิทธิแก่เจ้าของข้อมูลหลายประการ SME ต้องมีกระบวนการตอบสนองสิทธิเหล่านี้ภายใน 30 วัน

  • สิทธิในการเข้าถึงข้อมูลของตน
  • สิทธิในการขอสำเนาข้อมูล
  • สิทธิในการขอแก้ไขให้ถูกต้อง
  • สิทธิในการขอลบ (Right to be Forgotten)
  • สิทธิในการคัดค้านการประมวลผล
  • สิทธิในการขอระงับการใช้
  • สิทธิในการโอนย้ายข้อมูล

บทลงโทษที่ต้องรู้

PDPA มีโทษ 3 ชั้นซ้อนกัน

  • โทษทางปกครอง — ปรับสูงสุด 5 ล้านบาท (มาตรา 82-87) ขึ้นอยู่กับความผิด
  • โทษอาญา — จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1 ล้านบาท ในกรณีที่ใช้หรือเปิดเผยข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต (มาตรา 79)
  • ความรับผิดทางแพ่ง — เจ้าของข้อมูลฟ้องเรียกค่าสินไหมได้โดยไม่ต้องพิสูจน์ความผิด (strict liability) ตามมาตรา 77

ที่น่ากังวลที่สุดคือค่าสินไหมทดแทนเชิงลงโทษ (Punitive Damages) มาตรา 78 กำหนดว่าศาลอาจสั่งให้ชดใช้สูงสุด 2 เท่าของค่าสินไหมจริง ถ้าผู้กระทำมีเจตนาหรือประมาทเลินเล่ออย่างร้ายแรง

เริ่มต้นยังไงถ้ายังไม่ได้ทำอะไรเลย

สำหรับ SME ที่พึ่งเริ่มต้น ผมแนะนำลำดับนี้

  1. ทำ data inventory — เริ่มจากสำรวจก่อนว่าธุรกิจเก็บข้อมูลอะไรอยู่บ้าง ใครเก็บ เก็บที่ไหน
  2. เขียน Privacy Policy + Consent Form — พาดหัวตรงไปที่ลูกค้าเห็นได้ก่อน
  3. อบรมพนักงาน — พนักงานที่จับข้อมูลต้องรู้เบื้องต้น
  4. ทำ ROPA และมาตรการความปลอดภัย — ค่อย ๆ เพิ่มรายละเอียดขึ้น
  5. ขอคำปรึกษาทนายหรือ DPO ภายนอก — เมื่อธุรกิจโตขึ้นหรือเก็บข้อมูลอ่อนไหว

สรุป

PDPA ไม่ได้ออกมาเพื่อขัดขวางธุรกิจ แต่เพื่อสร้างความเชื่อมั่นระหว่างลูกค้าและผู้ประกอบการ SME ที่ปฏิบัติตามอย่างจริงใจ จะได้เปรียบในระยะยาว เพราะลูกค้ายุคนี้ซีเรียสเรื่องข้อมูลส่วนตัวมากขึ้น และความเชื่อมั่นคือสินทรัพย์ที่สร้างยาก แต่เสียง่าย

ธุรกิจของคุณต้องการทนายช่วยร่าง Privacy Policy หรือวางระบบ PDPA? ผมให้บริการที่ปรึกษา PDPA สำหรับ SME ตั้งแต่ data mapping ไปจนถึงการร่างเอกสารครบชุด — ดูบริการที่ปรึกษานิติบุคคล หรือติดต่อปรึกษา

นักศึกษากฎหมาย/ทนายฝึกหัดสนใจทำงานด้าน Data Privacy? ติดต่อแสดงความสนใจ — งาน PDPA เป็นสายที่โตเร็วและขาดแคลนผู้เชี่ยวชาญ