In Partnership with Creative Talk
งาน Creative Talk Conference 2022 พูดถึงงานสร้างสรรค์ การบริหารคน การตลาด เพื่อการสร้างแรงบันดาลใจในหลายมิติ
และหนึ่งในเรื่องสำคัญที่ถูกพูดถึงในงานเช่นกัน คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ที่บังคับใช้อย่างเป็นกิจจะลักษณะเมื่อต้นเดือนมิถุนายนที่ผ่านมา
หลังจากการ “ปรับตัว” อยู่สองปี กฎหมายฉบับนี้ก็มีผลแล้ว ซึ่งหลายคนก็ยังคงงง สับสน และกลัวว่าบางการกระทำในชีวิตประจำวันอาจจะผิดกฎหมาย PDPA ไปได้ซะเฉยๆ หรือแม้กระทั่งองค์กร ห้างร้าน บริษัทเอกชน ก็ยังงงกๆ เงิ่นๆ อยู่ว่าควรจะต้องจัดการกับ “ข้อมูล” อย่างไรถึงจะไม่ผิดกฎหมาย
เราจึงแวะมาที่หลังเวที CTC2022 และสนทนาเป็นพิเศษกับอาจารย์โดม-ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด และผู้ก่อตั้ง PDPA Thailand สื่อที่ให้ความรู้เกี่ยวกับกฎหมายฉบับนี้โดยเฉพาะ ที่นอกจากจะมาเปิดคลินิกให้คำปรึกษาปัญหากฎหมาย PDPA แล้ว อาจารย์ยังจัดเวิร์กช็อปให้ความรู้ PDPA ผ่านการเล่นบอร์ดเกมที่ผู้ร่วมงานให้ความสนใจกันอย่างคับคั่ง
“อยากให้คนเข้าใจ PDPA ง่ายๆ” อาจารย์ว่า
เราเลยถาม 5 คำถามสำคัญแบบเน้นๆ กับอาจารย์ในเวลาสัมภาษณ์ที่รวบรัด
เพราะเราอยากให้คุณเข้าใจ PDPA และรู้ว่ามันไม่ได้น่ากลัวอย่างที่คิด
คำถามที่ 1
ทำไมเราต้องเข้าใจใน PDPA
ในแง่ของบุคคลก่อน หนึ่ง-บุคคลในกฎหมายฉบับนี้ให้อำนาจเรา ให้สิทธิ์เรา จากที่เราเองไม่ได้รับการแจ้งเวลามีคนหรือนิติบุคคลเก็บข้อมูลเรา เราจะต้องได้รับการแจ้ง สอง-เรามีสิทธิ์เข้าถึงข้อมูลของเราที่เขาเก็บไว้ ซึ่งเขาในที่นี้จะเป็นบุคคลหรือนิติบุคคลก็ได้ สาม-คือเรามีสิทธิที่จะร้องเรียน ซึ่งเอาแค่ 3 สิทธิ์นี้ผมคิดว่าโอเคแล้ว การร้องเรียนไม่ใช่การไปปรับ ลงโทษ หรือจับ แต่เป็นการบอกเขาว่าให้หยุด แก้ไข ทำข้อมูลของเราให้ถูกต้องได้ ถ้าไม่ทำ อันนั้นเราถึงสามารถไปร้องเรียนประเภทลงโทษได้ อันนี้คือฝั่งบุคคล
ส่วนฝั่งนิติบุคคล ต้องเข้าใจว่ากฎหมายฉบับนี้ให้คำนึงถึงสิทธิ์ของประชาชนและผู้บริโภค เวลาผมพูดถึงประชาชนเนี่ย ผมหมายถึงรัฐ เวลาผมพูดถึงผู้บริโภคเนี่ย ผมหมายถึงนิติบุคคลหรือเอกชน ต้องคำนึงถึงแล้วว่าเจ้าของข้อมูลส่วนบุคคลต้องได้รับการคุ้มครองเรื่องของข้อมูลส่วนบุคคลของเขาที่เราเก็บ ประมวลผลไว้ใช้ แล้วก็พอเราเก็บมาแล้ว เราไม่ได้เป็นเจ้าของอย่างเดียว เขายังมีสิทธิ์เป็นเจ้าของร่วมกับเรา แต่วันนี้เราต้องดูแลรักษามันให้ดีก่อน อย่าให้ใครเข้ามาขโมย หรือเข้าถึงข้อมูลนั้นได้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
แล้วกฎหมายฉบับนี้เป็นกฎหมายการค้าระหว่างประเทศ เราเองมีกฎหมายฉบับนี้ เชื่อมั้ยว่าตอนนี้ในอาเซียนที่มีกฎหมายฉบับนี้มี 6 ประเทศนะ จาก 10 ประเทศ แปลว่าเกินครึ่งแล้ว คู่ค้าสำคัญอย่างสหภาพยุโรปมีแล้ว ออสเตรเลียมี ญี่ปุ่น เกาหลีใต้ ฮ่องกง ไต้หวัน จีน มีหมด 200 กว่าประเทศทั่วโลก 2 ใน 3 มีกฎหมายฉบับนี้แล้ว ฉะนั้นมันจะทำให้ทุกประเทศแลกเปลี่ยนข้อมูลกันได้ นี่ก็เป็นอีกแง่มุมหนึ่งของกฎหมายฉบับนี้
คำถามที่ 2
นิติบุคคลปรับตัวกับ PDPA ยังไงบ้าง
ผมคิดว่าเรื่องนี้สำหรับเขาเป็นเรื่องใหม่ ในอดีตนิติบุคคลเก็บข้อมูลใครโดยไม่เคยขอ หรือถ้าขอก็ขอแบบขอไปที ถ้าไม่มีกฎหมายบังคับว่าต้องแจ้งก็จะไม่แจ้ง แล้วก็วัตถุประสงค์ในการใช้ใช้แบบไม่จำกัด เพราะฉะนั้นปัญหาก็คือ นิติบุคคลเองก็มีข้อมูลบางอย่างกองเป็นพะเนินเทินทึกเลยคือ กระดาษ หรือเป็นไฟล์ที่เก็บข้อมูลไว้มากเกินความจำเป็น ไม่เคยใช้ประโยชน์จากมัน แล้วถ้าองค์กรมันใหญ่มากก็จะมีฝ่ายต่างๆ เยอะแยะ ที่ไม่เคยเอาข้อมูลตรงนี้มาแชร์กัน กฎหมายฉบับนี้เลยบอกว่าตอนนี้คุณข้อมูลอะไรก็ตาม มันคือต้นทุนของคุณแล้วนะที่จำเป็นต้องแจ้ง ต้องทำให้ข้อมูลมันทันสมัยและถูกต้อง เป็นต้นทุนที่ต้องเปิดให้เจ้าของข้อมูลมาดู เพราะฉะนั้นองค์กรคุณมีไซโลกี่ไซโล (ภาวะหนึ่งที่สามารถเกิดขึ้นได้ ในองค์กรที่ซึ่งทีมงานไม่ยอมแลกเปลี่ยนข้อมูลหรือองค์ความรู้ระหว่างกัน) ต้องเอาข้อมูลมาเชื่อมกัน แปลว่าวันนี้เนี่ยทุกธุรกิจจะเห็นความสำคัญของข้อมูลเหล่านี้ จากเมื่อก่อนมีมันไว้เยอะๆ ก็ไม่ได้ใช้ประโยชน์จากมัน ก็ไม่เห็นคุณค่าของมัน
พอเห็นประโยชน์ตรงนี้ปุ๊บ เค้าก็จะทำให้ทุกหน่วยงานเชื่อมกันหมด มุมนี้ผมถึงเรียกว่าเป็น Digital Tranformation มันเป็นสิ่งที่องค์กรต้องตระหนักถึงสิทธิ์ของผู้บริโภค ต้องตระหนักถึงการใช้ข้อมูลในองค์กรตัวเอง ใช้ยังไงให้มันถูกต้อง ใช้ยังไงให้มันเกิดประโยชน์ต่อองค์กรในระยะยาว ซึ่งตรงนี้ยาก เพราะหลายองค์กรไม่ได้เตรียมตัวไว้ แล้วก็พอกฎหมายใช้เนี่ย ความไม่สมบูรณ์ของกฎหมายลูกที่ออกมาไม่หมด ประกอบกับเรื่องของ COVID-19 ทำให้รัฐบาลเองพูดในลักษณะที่ว่ายังผ่อนผัน โดยที่ยังไม่ได้บังคับใช้ 100 เปอร์เซ็นต์ ในความหมายก็คือไม่ได้มีการลงโทษแบบเอาจริงเอาจังนะ ปีนี้ยังให้โอกาสทุกคนในการปรับตัว เพราะฉะนั้นตอนนี้ผมว่าองค์กรจะเริ่ม Active แล้วว่า เอ๊ะ ฉันต้องทำอะไรบ้าง ต้องปรับปรุงสัญญา ข้อตกลงอะไรบ้าง ปรับปรุงกระบวนการทำงานอะไรบ้าง ปรับปรุงระบบไอทีอะไรบ้าง ซึ่งตรงนี้น้อยที่สุดต้องใช้เวลา 3-4 ปี
ทีนี้องค์กรเล็กใหญ่อาจใช้เวลาไม่เท่ากัน องค์กรที่ใหญ่กว่าอาจจะใช้เวลามากกว่านี้ ผมคิดว่าองค์กรแต่ละองค์กรจะมีการลงทุนกับเรื่องนี้ไม่เท่ากัน แน่นอนว่าช่วงแรกจะยุ่งยากเพราะว่าไม่เคยทำมาก่อน แล้วถ้ามีหลายไซโล แล้วข้อมูลเยอะ อาจจะยิ่งยากกันไปใหญ่ ต้นทุนก็อย่างที่บอกว่าขึ้นอยู่กับโมเดลของแต่ละองค์กร ฉะนั้นความเสี่ยงที่จะผิดกฎหมายก็อาจจะน้อยในช่วงแรก แต่ถ้าผ่าน 4 เดือน 6 เดือนหรือ 1 ปีไปแล้ว รัฐบาลอาจจะเข้มงวดตามกฎหมายมากขึ้น ถ้าทำเข้มงวดมากขึ้นเท่าไหร่ ผู้ประกอบการก็ต้องปรับตัวมากขึ้นเท่านั้น แต่ในระยะยาวจะดีต่อผู้ประกอบการ
คำถามที่ 3
คนกลัวอะไรเกี่ยวกับ PDPA
ผมคิดว่าอันนี้คือความเข้าใจผิด เพราะจริงๆ ก่อนหน้าที่จะมีกฎหมายฉบับนี้เราก็เคยใช้กันอยู่ และต้องบอกว่าสิทธิของคนไทยในเรื่องการละเมิดมีอยู่แล้วในประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 420 แปลว่าปกติถ้าเราไปถ่ายรูปคนอื่นแล้วแชร์ ถ้าเจ้าของข้อมูลเขาไม่แฮปปี้แล้วเขาฟ้องตามประมวลกฎหมายแพ่งและพาณิชย์ได้ ไม่ต้องใช้ PDPA เพราะฉะนั้นอันนี้เป็นสิ่งที่เรากำลัง Educate คนไทยก็ต้องถูก Educate เราเข้าใจในเรื่องนี้ ในขณะเดียวกันก็ทำให้คนไทยเริ่มตระหนักถึงความเป็นส่วนตัวของแต่ละคน การจะทำอะไรต้องคิดถึงคนอื่นล่ะ ถ้าเราไม่อยากถูกละเมิด เราก็อย่าทำเรื่องนี้กับคนอื่น
ผมว่ากระบวนการนี้อาจจะใช้เวลาสัก 1 ปี พอเราเข้าใจสิทธิ์ของตัวเอง เราก็จะไม่ไปละเมิดสิทธิ์คนอื่น เพราะฉะนั้นมันก็จะค่อยๆ ถูกเรียนรู้ไป พอเรียนรู้ไปเรื่อยๆ ประเด็นเรื่องถ่ายรูปได้มั้ย ถ่ายรูปได้เป็นเรื่องของครอบครัว เรื่องส่วนตัว ถ้าติดคนอื่นโดยไม่เจตนาก็ไม่เป็นไร แต่เรื่องที่สำคัญคือเรื่องระหว่างบุคคลและนิติบุคคลต่างหาก อย่างที่บอกว่ากฎหมายฉบับนี้มันมุ่งเน้นไปที่คนกับนิติบุคคล เรื่องนี้กำลังพูดกันอยู่ และกำลังเรียนรู้ไป ฉะนั้นเรื่องนี้อาจจะใช้เวลานานกว่าเรื่องของความเป็นส่วนตัว เพราะเรื่องนี้ในกฎหมาย PDPA มันมีฐานกฎหมายที่เกี่ยวกับการแจ้งเพื่อขอเก็บข้อมูล ไม่ใช่ขอความยินยอมนะ เพราะว่าบางครั้งเราเก็บข้อมูลโดยอาศัยฐานสัญญา ไม่ใช่ฐานยินยอม
แต่ในกรณีเราเป็นพนักงานกับนายจ้าง นายจ้างกับเรามีฐานสัญญาต่อกัน มีการจ้างงานกันว่าเก็บข้อมูลได้หรือไม่ได้ เก็บเอาไปใช้เพื่อประโยชน์อะไร หรือกรณีบริษัทกับลูกค้ามีการทำสัญญาต่อกัน ในอดีตสัญญาพวกนั้นอาจจะเขียนแบบครอบจักรวาล ประเภทว่าฉันขอเก็บข้อมูลเธอ แล้วฉันเอาไปใช้ยังไงก็ได้ แต่กฎหมาย PDPA กำลังบอกว่า เฮ้ย เวลาคุณเก็บข้อมูลอะไรของคนอื่นเนี่ย มันต้องมีการจำกัดวัตถุประสงค์นะ ไม่ใช่ใช้ตลอดชีวิต แล้วก็ต้องให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงข้อมูลที่นิติบุคคลนั้นเก็บได้ด้วย แล้วก็ขอใช้สิทธิตรวจสอบว่าเก็บข้อมูลอะไรไปแค่ไหน อันนี้ได้ไม่ได้ อยู่ในเงื่อนไขที่ตกลงกันไว้หรือไม่ ใช้เกินเงื่อนไขหรือเปล่า อันนี้เป็นเรื่องที่ผมว่าต้องเรียนรู้ ทั้งในส่วนของตัวนิติบุคคล ทั้งส่วนของประชาชนที่เป็นผู้บริโภค
คำถามที่ 4
คำถามอันดับหนึ่งที่ลูกเพจ PDPA Thailand ถามเยอะที่สุดคืออะไร
ถามอันดับหนึ่งคือ “ทำแบบนี้ผิดกฎหมายไหม” เป็นสิ่งที่คนสงสัยกันเยอะ เพราะกฎหมายฉบับนี้มีตัวละคร คือ Data Subject คือเจ้าของข้อมูลส่วนบุคคล, Data Controller คือผู้ควบคุมข้อมูลส่วนบุคคล และ Data Processor คือผู้ควบคุมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล แล้วก็ DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ส่วนคำถามแรกๆ เลยในมุมของนิติบุคคลนะ ก็จะถามว่า “ฉันเป็นผู้ประมวล ฉันเป็นผู้ควบคุมหรือไม่” “พนักงานคือผู้ประมวล หรือผู้ควบคุมหรือไม่” ซึ่งกฎหมายฉบับนี้แรกๆ ไม่มีใครฟันธงก็จะงง ก็จะบอกว่าพนักงานเป็นผู้ประมวล แต่จริงๆ แล้วต้องบอกว่านิติบุคคลเป็นอะไร พนักงานทำในนามนิติบุคคล พนักงานในองค์กรมีบทบาทแค่เป็นผู้กระทำแทนนิติบุคคลเท่านั้น ฉะนั้นอันนี้เป็นคำถามแรกๆ
แล้วก็คำถามพวก “DPO ต้องติดคุกไหม” อันนี้ก็เป็นคำถามที่เราโดนถามมามาก สุดท้ายแล้ว DPO ได้รับการยกเว้น ถ้าทำตามหน้าที่จะไม่มีการลงโทษ สิทธิ์ที่จะลงโทษถึงขั้นไล่ออกก็คือไม่มีสิทธิ์ อันนี้ก็คือเรื่องของการคุ้มครองเพื่อให้ DPO มีความอิสระในแง่ของการทำหน้าที่ ผมว่าปัญหาที่มันท้าทายมากขึ้นตอนนี้จากการทำสื่อ PDPA Thailand เนี่ย คือเนื่องจากการที่เราชัดเจนมาตั้งแต่ต้นว่าเรื่องของคนกับนิติบุคคลเราไม่ยุ่ง เวลาคนถามก็จะเป็นมุมของนิติบุคคลกับนิติบุคคล คำถามคือ เชื่อไหมว่าองค์กรที่เรียนรู้จากเรายังน้อยอยู่มาก นิติบุคคลในประเทศไทยถ้าเป็นเอกชน จดทะเบียนนิติบุคคลมาประมาณสัก 800,000 จ่ายประกันสังคมประมาณ 500,000 ที่เหลืออาจจะเป็นเจ้าของคนเดียว แล้วก็ไม่มีพนักงานก็ไม่จ่ายประกันสังคม องค์กรของรัฐเนี่ยที่เป็นนิติบุคคลน่าจะมีประมาณ 50,000 คนยังรู้เรื่องนี้น้อยมาก
ฉะนั้นปัญหาก็คือว่าความเข้าใจเรื่องกฎหมายจะกลายเป็นเรื่องที่สำคัญ เพราะถ้าองค์กรไม่เข้าใจ ก็อาจจะไปละเมิดสิทธิ์ของผู้บริโภคได้ หรืออาจจะละเมิดสิทธิ์ของพนักงานเองด้วย ฉะนั้นองค์กรต้องมีความเข้าใจ อันนี้ก็เลยทำให้ทาง PDPA Thailand ทำบอร์ดเกมขึ้นมาเพื่อแจกให้ทุกคนสามารถดาวน์โหลดไฟล์ไปเล่น และเข้าใจตัวกฎหมายได้ด้วย โดยที่ไม่ต้องมีใครไปอธิบาย คุณก็ลองรู้จักกฎหมายผ่านจากการเล่นบอร์ดเกมนี้ผ่านตัวคุณเอง
คำถามที่ 5
แล้วการเล่น Board Game จะช่วยให้ประชาชนเข้าใจ PDPA ได้ยังไง
พอเป็นบอร์ดเกมทุกคนจะไม่รู้สึกว่ามันเครียด แล้วพอเข้ามาเล่นเกมปุ๊บ ในเวลา 1 ชั่วโมงครึ่งเนี่ย คุณสามารถจะเรียนรู้กฎหมายนี้ได้เลย แล้วเราก็หวังว่าเรื่องนี้จะขยายผลต่อไปได้ เพราะว่าในเวลาเดือนกว่าๆ เราไม่สามารถที่จะพูุดเรื่องนี้ให้ทุกคนรู้ได้ บอร์ดเกมนี้จะกลายเป็นสิ่งที่ส่งผ่านได้ ผมคิดว่าตัวบอร์ดเกมน่าจะทำให้เราบรรลุวัตถุประสงค์ในการทำให้คนมีความรู้ความเข้าใจเรื่อง PDPA ได้ดีขึ้น
ด้วยบอร์ดเกมนี้มันเป็น Creative Commons อยู่แล้ว แปลว่ามันปล่อยให้ดาวน์โหลดฟรีในเว็บไซต์ แล้วก็บน Facebook Page, Facebook Group ของเรา หรือใครจะช่วยเอาไปประชาสัมพันธ์ก็ได้เลย เพราะว่าเราให้ฟรี ไม่มีลิขสิทธิ์ใดๆ เพียงแต่ว่าอย่าทำขาย แล้วก็ถ้านำไปดัดแปลงอะไรช่วยแจ้งเราด้วย เพราะเราจะได้เอาไปทำให้มันดีขึ้น แค่นี้ เพราะฉะนั้นเราก็คาดหวังว่าสื่อต่างๆ หรือแม้กระทั่งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือกระทรวง DES จะเอาเกมนี้ไปเผยแพร่ต่อเพื่อเป็นประโยชน์ต่อผู้คน
Content Creator
สุรพันธ์ แสงสุวรรณ์
Photographer
