เช็คด่วน! เริ่ม 1 มิถุนายน กิจการธุรกิจอะไรได้ยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ศูนย์วิจัยกสิกรไทย เปิดเผยเว่า นับถอยหลังก่อนถึงวันบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) 1 มิถุนายน 2565 หน่วยงานและองค์กรขนาดใหญ่ต่างให้ความสำคัญในการปฏิบัติให้เป็นไปตามกฎหมาย ซึ่งนอกจากจะลดคดีความข้อพิพาทต่างๆ แล้ว ยังมีส่วนช่วยสร้างภาพลักษณ์ที่ดีและสร้างความเชื่อมั่นให้แก่ลูกค้าผู้ใช้บริการ อย่างไรก็ดี แนวปฏิบัติที่กำหนดในกฎหมายอาจเกินความจำเป็นในการบังคับใช้กับกิจการขนาดเล็กและองค์กรที่ไม่แสวงหากำไร กฎหมายจึงเปิดช่องให้มีข้อยกเว้นไม่ต้องจัดทำบันทึกรายการข้อมูลส่วนบุคคล แต่ยังคงความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลไม่ให้รั่วไหลและเกิดการละเมิดสิทธิ
ทุกกิจการที่ได้รับข้อมูลส่วนบุคคลจากลูกค้าหรือผู้ใช้บริการ ถือว่าอยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งสิ้น และต้องปฏิบัติตามข้อกำหนดในกฎหมาย เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ ซึ่งหากกิจการใดปล่อยให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล หรือมีการละเมิดสิทธิในข้อมูลส่วนบุคคลแล้ว อาจได้รับโทษทั้งถูกปรับและ/หรือจำคุก ขึ้นกับกรณี
สำหรับกิจการขนาดเล็กและองค์กรที่ไม่แสวงหาผลกำไร 6 ประเภท ขอให้อดใจรอกฎหมายลูก ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อยู่ระหว่างการเปิดรับฟังความเห็นและข้อเสนอแนะต่อร่างประกาศที่ให้กิจการขนาดเล็กไม่ต้องจัดทำบันทึกรายการข้อมูลส่วนบุคคล หรือกล่าวอีกนัยหนึ่งเพื่อให้เข้าใจง่ายขึ้น คือได้รับยกเว้นให้ไม่ต้องจัดทำแบบฟอร์มขอความยินยอมจัดเก็บข้อมูลส่วนบุคคลของลูกค้า ซึ่งเท่ากับช่วยปลดล็อกกระบวนการอื่นตามมาอีกมาก อาทิ ไม่ต้องจัดเตรียมช่องทางรองรับการใช้สิทธิ (แก้ไข / ลบ / โอนย้าย ข้อมูล) ของเจ้าของข้อมูลส่วนบุคคล และไม่ต้องจัดทำบันทึกการประมวลข้อมูล เพื่อให้ทางการเรียกตรวจสอบ
ทั้งนี้ ไม่ใช่กิจการขนาดเล็กทุกแห่งที่อาจได้รับยกเว้นการจัดทำบันทึกรายการข้อมูลส่วนบุคคล แต่ยังต้องเป็นกิจการที่มีลักษณะสำคัญ คือมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลเพียงเพื่อประโยชน์ในการให้บริการเป็นครั้งคราว และไม่มีความเสี่ยงที่อาจกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูล รวมทั้งไม่อยู่ในธุรกิจบริการเข้าสู่อินเทอร์เน็ตและธุรกิจบริการเก็บรักษาข้อมูลคอมพิวเตอร์ ดังตัวอย่าง
– ร้านค้ารายย่อยบนออนไลน์ ที่มีการทักแชทหรือส่งข้อความ Inbox เพื่อรับชื่อที่อยู่จัดส่งสินค้าและข้อมูลบัตรเครดิตเพื่อชำระเงินของลูกค้า >> ได้รับยกเว้น เนื่องจากมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว
– มูลนิธิ วัด สถานศึกษา ที่ได้รับเงินบริจาค และมีการจัดเก็บชื่อ ที่อยู่ เลขที่บัญชีธนาคาร/บัตรเครดิต ของผู้บริจาคเพื่อจัดส่งใบเสร็จรับเงินหรือรายงานผลการใช้เงินบริจาค >> ได้รับยกเว้น เนื่องจากมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว
– กิจการด้านโทรคมนาคมรายย่อย เช่น ผู้ให้บริการระบบดาวเทียม ระบบวงจรเช่าหรือสื่อสารไร้สาย >> ไม่ได้รับยกเว้น เนื่องจากเป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์
– กิจการที่ให้บริการข้อมูลคอมพิวเตอร์ผ่านแอปพลิเคชันต่าง ๆ เช่น ผู้ให้บริการเว็บบอร์ด หรือเว็บเซอร์วิส >> ไม่ได้รับยกเว้น เนื่องจากเป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์
อย่างไรก็ดี ทุกกิจการไม่สามารถปฏิเสธความรับผิดชอบหากเกิดการรั่วไหลของข้อมูลหรือเกิดการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยยังต้องรอติดตามแนวปฏิบัติขั้นต่ำในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่ตนได้รับมา ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอยู่ในขั้นตอนเตรียมออกประกาศบังคับใช้ต่อไป
