เมื่อบังคับใช้ กฎหมาย PDPA เจ้าของเว็บไซต์ต้องทำอย่างไร ?
ทำเอาหลายคนตื่นตัวกันไม่น้อย สำหรับข่าวการบังคับใช้ กฎหมาย PDPA หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย ที่จริง ๆ เราจะเริ่มใช้ตั้งแต่ปีพ.ศ.2562 กันแล้วแต่ก็เลื่อนมาเรื่อย ๆ จนในที่สุดก็ประกาศใช้อย่างเป็นทางการไปเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมานี่เองค่ะ
PDPA คือ อะไร ?
Personal Data Protection หรือ PDPA คือ พระราชบัญญติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายใหม่ที่ออกมาบังคับใช้ในราชอาณาจักร เกี่ยวกับการป้องกันการเก็บรวบรวมข้อมูลส่วนบุคคล การนำข้อมูลส่วนบุคคลไปใช้ หรือนำข้อมูลส่วนบุคคลไปเปิดเผย ไม่ว่าจะด้วยข้อมูลบนเอกสาร หรือรูปแบบอิเล็กทรอนิกส์ โดยที่เจ้าตัวไม่ยินยอม
ข้อมูลส่วนบุคคล มีอะไรบ้าง ?
ข้อมูลส่วนบุคคล คือ ข้อมูลเฉพาะต่าง ๆ ที่สามารถระบุตัวตนของคน ๆ นั้นได้ ยกตัวอย่างเช่น
- ชื่อ นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- วันเกิด
- อาชีพ – การศึกษา
- รูปถ่าย
- ลายนิ้วมือ
- เลขบัตรต่าง ๆ ทั้งบัตรประชาชน บัตรเครดิต บัตรเอทีเอ็ม บัญชีธนาคาร
- ข้อมูลส่วนตัว เช่น ข้อมูลสุขภาพ การเงิน พันธุกรรม
- ข้อมูลที่ละเอียดอ่อน เช่น เชื้อชาติ ศาสนา ความเชื่อ รสนิยมทางเพศ ประวัติอาชญากรรม
ข้อมูลส่วนบุคคลเหล่านี้ เจ้าของข้อมูลสามารถมีสิทธิ์ในการขอรับข้อมูล / เข้าถึง / แก้ไข / โอนย้าย / ระงับ / ถอนความยินยอม / คัดค้านหรือร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคลต่าง ๆ กับผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ได้
ทุกคนน่าจะจำเหตุการณ์ฟ้องร้องที่ดังมาก ๆ อย่างกรณีที่ Facebook ถูกฟ้องร้องและตรวจสอบ หลังจากพบว่ามีการขายข้อมูลผู้ใช้งานกว่า 50 ล้านบัญชีให้กับบริษัทวิเคราะห์ข้อมูลทางการเมือง Cambridge Analytica , การใช้ฟีเจอร์จดจำใบหน้า และยังมีเรื่องการเก็บข้อมูลเบอร์โทรศัพท์ของผู้ใช้งานไปใช้ในการทำโฆษณาอีก
ซึ่ง Facebook ก็โดนปรับไปแบบจุก ๆ ถึง 5 พันล้านดอลลาร์สหรัฐเลยค่ะ ตีเป็นไทยก็ราว ๆ 155,000 ล้านบาท และ Facebook ต้องแต่งตั้งคณะกรรมการขึ้นมาดูแลและควบคุมนโยบายความเป็นส่วนตัวของผู้ใช้งานโดยเฉพาะเลยด้วย ถือเป็นบทเรียนสำคัญสำหรับเจ้าของแพลตฟอร์มยักษ์ใหญ่แบบนี้จริง ๆ
แต่เจ้าของแพลตฟอร์มเล็ก ๆ อย่างเรา ที่แม้จะมีเพียงเว็บไซต์ธุรกิจเป็นของตัวเอง ก็จะต้องให้ความสำคัญกับ กฎหมาย PDPA ให้มากกว่าคนอื่นค่ะ เพราะหากไม่ทำตาม เจ้าของข้อมูลหรือว่าผู้ใช้งานเว็บไซต์ของคุณนี่แหละ ที่อาจจะมาฟ้องร้องได้เลย
เจ้าของเว็บไซต์ต้องทำอย่างไรกับ PDPA
1) เปิดแถบแจ้งเก็บ cookie บนเว็บไซต์
ตอนนี้ไม่ว่าจะเปิดเข้าเว็บไซต์ไหน ก็จะเจอแถบแจ้งเตือน หรือบางเว็บก็เป็น Popup เด้งขึ้นมา เนื้อความประมาณว่า ‘ทางเว็บไซต์มีการใช้งาน cookie ให้ลองศึกษาข้อมูลหรือกดยอมรับการใช้งาน cookie เพื่อการใช้งานที่ดีขึ้น’ นั่นคือการที่เว็บไซต์กำลังขออนุญาตเข้าถึงข้อมูลส่วนบุคคลของคุณนั่นเอง
ก่อนอื่น เรามารู้จักเจ้า Cookie กันดีกว่า
Cookie คือ ไฟล์ของเว็บไซต์ที่สร้างขึ้นมา เพื่อบันทึกรายละเอียดต่าง ๆ ที่คุณได้ทำบนเว็บไซต์เก็บไว้ เมื่อคุณเข้าไปที่เว็บไซต์นั้นอีกครั้ง ก็จะช่วยให้คุณใช้งานได้สะดวก รวดเร็วมากขึ้น เช่น คุณล็อกอินไว้ตอนเช้า ตอนบ่ายกลับมาใช้งาน ก็ไม่ต้องเสียเวลาไปล็อกอินอีกครั้ง หรือพวกข้อมูลที่เคยกรอก ก็เรียกขึ้นมาใช้ได้ทันที
ซึ่งนั่นคือการเข้าถึงข้อมูลส่วนบุคคลแบบเต็ม ๆ เลยค่ะ
สิ่งที่เจ้าของเว็บไซต์ต้องเพิ่มเติมตามพ.ร.บ. PDPA คือ เว็บไซต์จะต้องขออนุญาตผู้ใช้งานในการเก็บข้อมูลส่วนบุคคลเหล่านี้ ซึ่งจะแตกต่างกันไปในแต่ละเว็บไซต์ บางเว็บให้แสดงเป็นป็อบอัป บางเว็บก็แสดงขึ้นมาเป็นแถบเล็ก ๆ ด้านล่าง ผู้ใช้งานสามรารถเลือกว่าจะยินยอม หรือปฏิเสธก็ได้ นอกจากจะทำตาม กฎหมาย PDPA แล้ว ยังทำให้เว็บไซต์ของเรามีความน่าเชื่อถือ ผู้ใช้งานรู้สึกปลอดภัยด้วยค่ะ
2) แสดง Privacy Policy ให้ชัดเจน
Privacy Policy คือ นโยบายความเป็นส่วนตัว ที่ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเจ้าของเว็บไซต์อย่างเรา ต้องแจ้งรายละเอียดให้ผู้ใช้งานได้รู้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบ และตัดสินใจว่าจะอนุญาตให้เก็บข้อมูลเหล่านั้นได้หรือไม่
ในแบบฟอร์ม Privacy Policy แบบมาตรฐาน จะต้องแจ้งข้อมูลต่าง ๆ ตามนี้เลยค่ะ
- เว็บไซต์มีการจัดเก็บข้อมูลอะไรบ้าง
- เว็บไซต์มีการจัดเก็บข้อมูลตอนไหนบ้าง
- เว็บไซต์มีการจัดเก็บข้อมูลไว้ที่ไหน ปลอดภัยหรือไม่
- เว็บไซต์มีการจัดเก็บข้อมูลไว้นานแค่ไหน
- เจ้าของเว็บไซต์จะนำข้อมูลนี้ไปทำอะไร
- การใช้งานคุกกี้บนเว็บไซต์
- การแก้ไขนโยบายความเป้นส่วนตัว
- วิธีการติดต่อ
- จะลบข้อมูลต้องทำอย่างไร
หน้า Privacy Policy มักจะแสดงเป็น 1 หน้าเพจบนเว็บไซต์หรือ popup ขนาดใหญ่ เมื่อมีการคลิกดูรายละเอียดนโยบายความส่วนตัวจากแท็ป cookie
3) ให้ลูกค้ายินยอมก่อนแสดงข้อมูลบนเว็บไซต์
การทำเว็บไซต์ธุรกิจ แน่นอนว่าส่วนที่ขาดไปไม่ได้เลยก็คือ Testimonial หรือว่าการ Review จากลูกค้าจริงของเรา บางธุรกิจก็ใช้เป็นข้อความพร้อมรูปของลูกค้ามาประกอบ บางธุรกิจก็ลงทุนทำคลิปวิดิโอสัมภาษณ์มาเลยก็มี พวกการรีวิวแบบนี้ล้วนมีข้อมูลส่วนบุคคลรวมอยู่ด้วยทั้งนั้นค่ะ ทั้งชื่อ-นามสกุล หน้าตา ข้อมูลทางธุรกิจ เผลอ ๆ บางเจ้ามีบอกข้อมูลสถานะการเงินด้วย
ทั้งหมดนี้ เราควรขออนุญาตให้ลูกค้ายินยอมที่จะให้ข้อมูลดังกล่าวก่อนนะคะ ควรแจ้งให้ดีว่าจะนำข้อมูลเหล่านี้ไปใช้ที่ไหนบ้าง จะเผยแพร่ที่แพลฟอร์มไหน เพราะบางทีเขาอาจไม่ได้ยินยอมไปซะหมด บางคนสะดวกให้ลงบนเว็บไซต์ แต่ถ้าไปลง Social Media ไม่เอาก็มีเหมือนกันนะ
4) ไม่ลงรูปกล่องพัสดุหรือเอกสารที่แสดงข้อมูลลูกค้า
พ่อค้าแม่ค้าสายค้าปลีกต้องระวังข้อนี้ให้มาก ๆ เลยนะคะ
เพราะหลายธุรกิจยังคงชอบที่จะลงรูปหรือคลิปกล่องพัสดุที่กำลังจะจัดส่ง โดยที่ไม่ได้สังเกตว่าในรูปภาพจะติดชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ของลูกค้าด้วย
วิธีการแก้ไขก็คือ ให้เลี่ยงการลงรูปกล่องพัสดุ หรือแม้แต่เอกสารแสดงเลข Tracking แบบสาธารณะ เพราะในนั้นจะระบุชื่อ นามสกุลผู้รับและรหัสไปรษณีย์ ซึ่งถือเป็นข้อมูลส่วนบุคคลที่ลูกค้าไม่ได้ยินยอมให้เผยแพร่นะ
หากเจ้าของเว็บไซต์ที่ต้องการใช้ฟังก์ชั่นการแจ้งเลขพัสดุอัตโนมัติ แถมยังส่งเลขพัสดุให้ลูกค้าแบบส่วนตัว ไม่ผิดหลัก PDPA ทาง MakeWebEasy มีฟีเจอร์ ‘ระบบขนส่งอัตโนมัติ’ รองรับในเรื่องนี้อยู่นะคะ
5) แจ้งลูกค้าทันที เมื่อมีข้อมูลรั่วไหล
เหตุการณ์ที่เว็บไซต์โดนแฮก จนทำให้ข้อมูลของลูกค้าโดนเอาไปเผยแพร่มีอยู่บ่อยครั้ง ในประเทศไทยก็มีข่าวการขายข้อมูล หรือข้อมูลลูกค้าหลุดออกมาอยู่บ่อย ๆ
แม้กระทั่งกับบริษัทเครือข่ายมือถือรายใหญ่อย่าง AIS ที่มีข่าวไปเมื่อต้นปีที่ผ่านมาว่า มีข้อมูลลูกค้ากว่า 1 แสนรายชื่อโดนนำไปขายอยู่ใน Dark Web ข้อมูลส่วนบุคคลทั้งหมดที่รั่วไหลออกไปมีทั้ง ชื่อ-นามสกุล เลขบัตรประชาชน วันเกิด เบอร์โทรศัพท์ สาเหตุเกิดจากมีการแฮกคอมพิวเตอร์ของพนักงาน
ทาง AIS ก็ได้ลงแถลงการณ์ขอโทษและส่ง sms แจ้งเรื่องข้อมูลส่วนบุคคลรั่วไหลนี้ไปให้กับลูกค้าที่รับผลกระทบทุกคนอย่างรวดเร็ว พร้อมแจ้งว่าได้ปรับปรุงระบบรักษาข้อมูลใหม่เรียบร้อยแล้ว
( อ้างอิงข่าวจาก The Matter )
จากข่าวตัวอย่างจะเห็นว่าขนาดบริษัทรายใหญ่ ยังโดนแฮกได้ แล้วในฐานะผู้ประกอบการที่มีเว็บไซต์ จะต้องทำอย่างไรเมื่อเกิดเหตุแบบนี้ล่ะ ?
5.1 แจ้งเรื่องให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบให้เร็วที่สุด ( ในกรณีที่ข้อมูลไม่มีความเสี่ยงมาก ไม่จำเป็นต้องแจ้งสำนักงานฯ ก็ได้ค่ะ )
5.2 แจ้งเรื่องให้กับเจ้าของข้อมูลส่วนบุคคลทราบ โดยมีเนื้อหาครบถ้วน ภาษาที่ชัดเจน เข้าใจง่าย
- บอกจำนวนข้อมูล และประเภทข้อมูลที่รั่วไหล
- บอกผลกระทบจากเหตุการณ์นี้
- บอกแนวทางการแก้ไขปัญหาที่เกิดขึ้น
รู้แล้ว ลองเลย !
เห็นมั้ยคะว่า กฎหมาย PDPA ไม่ได้อยู่ไกลตัวเลย แต่มันอยู่ในทุก ๆ การใช้อินเทอเน็ตของเราเลยต่างหาก หากคุณอยากให้ลูกค้าของคุณมั่นใจในธุรกิจและเข้าใช้งานเว็บไซต์ได้อย่างสบายใจ เริ่มปรับเว็บไซต์เพื่อให้ถูกหลัก กฎหมาย PDPA กันตั้งแต่วันนี้ เพราะเรื่อง Privacy เป็นเรื่องสำคัญสำหรับทุกคนค่ะ
