เป้าหมายหลักๆ ของ PDPA คือบังคับให้บริษัท องค์กรที่ถือครองข้อมูลลูกค้า ต้องจัดเก็บข้อมูลให้ปลอดภัย ประมวลผลใช้งานเท่าที่จำเป็น และไม่แชร์ให้บุคคลที่สามตามอำเภอใจ เพราะข้อมูลส่วนตัวที่เราเคยคิดว่าเป็นข้อมูลทั่วๆ ไปอย่างชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ จริงๆ แล้วมันเป็นข้อมูลที่มีค่าทางธุรกิจมหาศาล 

ธุรกิจต้องปรับตัวยังไง
PDPA ไม่ใช่ของใหม่ในไทย เพราะตัว พ.ร.บ. เขียนขึ้นมานานหลายปีแล้ว และในหลายประเทศก็ทำมาก่อน แต่ PDPA เลื่อนการบังคับใช้มาเรื่อยๆ จนมาประกาศใช้อย่างเต็มรูปแบบในวันที่ 1 มิ.ย. ที่ผ่านมา

PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ย่อมาจาก Personal Data Protection Act เขียนขึ้นเพื่อให้บริษัทเอกชนและหน่วยงานรัฐที่ถือครองข้อมูลส่วนบุคคล ซึ่งในกฎหมายมีฐานะเป็น Data Controller  ต้องปกป้องข้อมูลไม่ให้ถูกละเมิด ที่สำคัญต้องขอความยินยอมจากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย ดังนั้น สิ่งที่บริษัทต้องปรับตัว คือ ต้องเพิ่มนโยบายดูแลข้อมูลลูกค้า, ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในบริษัท (DPO), แจ้งให้ลูกค้าทราบเรื่องการนำข้อมูลไปใช้ และขอความยินยอม ทำได้ทั้งรูปแบบเอกสาร, แจ้งเตือนออนไลน์, ระบบคุกกี้ ฯลฯ ถ้าจะให้ตีความว่า PDPA จะกระทบธุรกิจไหนมากที่สุด ก็คงหนีไม่พ้นองค์กรใหญ่ๆ ที่มีฐานข้อมูลลูกค้ามหาศาลอย่าง เทเลคอม สถาบันการเงิน บริษัทประกันภัย เป็นต้น 

ข้อมูลที่ได้รับการคุ้มครองภายใต้ PDPA
ข้อมูลที่ได้รับการคุ้มครองภายใต้ PDPA กว้างขวางมาก หลักๆ คือ เป็นข้อมูลที่ระบุตัวเราได้ ตั้งแต่ชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ ข้อมูลทางกายภาพ รูปร่างส่วนสูง ไปจนถึงข้อมูลตัวตนของเราบนออนไลน์ อย่าง Username/password, Cookies IP address, GPS Location แม้แต่ข้อมูลเซนซิทีฟ อย่าง เชื้อชาติ เผ่าพันธุ์ ความคิดทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ก็ได้รับการปกป้องด้วย

เราคนธรรมดา ในฐานะเจ้าของข้อมูล หรือ Data Subject ก็จะมีสิทธิ์มีเสียงในข้อมูลของเรามากขึ้น ภายใต้กฎ PDPA เรามีสิทธิ์รู้ว่าข้อมูลที่ถูกเก็บไป มีอะไรบ้าง แชร์ให้ใคร เอาไปทำอะไร, เราขอสำเนาข้อมูลของตัวเองได้, เราขอโอนข้อมูลตัวเองให้บริษัทอื่นได้ นอกจากนี้ เรายังขอหยุดการใช้ข้อมูล และขอลบเมื่อไรก็ได้ 

สรุป PDPA เพิ่มอำนาจให้คนทั่วไปอย่างเราๆ เข้าไปจัดการกับบริษัทที่เอาข้อมูลของเราไปใช้ ได้อิสระมากกว่าเดิม สำหรับบริษัท นิติบุคคลที่ทำผิดกฎหมาย PDPA จะต้องรับโทษตั้งแต่โทษทางแพ่ง ทางปกครอง ทางอาญา ขึ้นอยู่กับระดับความเสียหาย ปรับตั้งแต่ 5 แสนบาท – 5 ล้านบาท และถ้าเกิดความเสียหายเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน

ดังนั้น กฎหมายคุ้มครองข้อมูล จึงเป็นจุดเริ่มต้นที่จะช่วยอุดรอยรั่ว ให้องค์กรมีความกระตือรือร้นในการเก็บรักษาข้อมูลลูกค้าการที่บริษัท ให้ความเชื่อมั่นแก่ลูกค้าในการปกป้องข้อมูล ก็เป็นอีกวิธีที่จะทำให้บริษัทเติบโตในระยะยาว เพราะอย่างน้อยๆ ลูกค้าก็มีความเชื่อมั่นว่าบริษัทจะทำตามกฎหมาย 

Ref. :  https://workpointtoday.com/how-pdpa-law-effects-business/