แม้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA จะถูกเลื่อนบังคับใช้ออกไปอีก 1 ปี หลังจากที่ครม. ออกมาประกาศเลื่อนเมื่อวันที่ 12 พ.ค 2563 ที่ผ่านมา เนื่องจากสถานการณ์ COVID-19 ภาคเอกชนกำลังประสบปัญหาทางด้านเศรษฐกิจและอยู่ในช่วงฟื้นฟูธุรกิจ หลายธุรกิจไม่มีความพร้อม และอาจกระทำผิดโดยไม่เจตนาได้

สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคหรือ PDPA นี้ เป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ยุคออนไลน์ ทำให้มีการละเมิดสิทธิส่วนบุคคลกันมากขึ้น เห็นได้จากกรณี ในตอนที่ส่งอีเมล หรือโทรศัพท์จะมีข้อมูลแปลกๆ ส่งมา หรือมีคนที่ไม่รู้จักโทรมา ซึ่งเจ้าของข้อมูลไม่ทราบมาก่อนว่า “ฉันยินยอมให้ข้อมูลตอนไหน” กระทั่งมีการประกาศบังคับใช้จากเดิมจะใช้ในวันที่ 27 พ.ค. 2564 แต่ถูกเลื่อนออกไปอีก 1 ปี โดยหมวดที่มีการเลื่อนบังคับใช้ คือ

– หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล

– หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล

– หมวด 5 การร้องเรียน

– หมวด 6 ความรับผิดทางแพ่ง

– หมวด 7 บทกำหนดโทษ

– ความในมาตรา 95 และมาตรา 96 ที่เดิมจะมีผลบังคับใช้

ดังนั้นแม้ว่าจะมีการเลื่อนใช้แต่อย่างไรก็ควรเตรียมพร้อมปรับตัว โดยเฉพาะฝ่ายที่เกี่ยวข้องกับ Digital Marketing & Sales เพราะต้องนำข้อมูลไปทำการตลาดหรือการขายเกี่ยวข้องกับธุรกิจ ต้องหันมาศึกษาวางแผนวิธีทาง เพื่อทำให้ถูกกฎหมายยิ่งขึ้น

ไม่ว่าจะเป็นการสร้างความตระหนักในองค์กร ทุกฝ่ายต้องมีความเข้าใจ และให้ความร่วมมือกัน เช่น ฝ่ายไอทีเป็นผู้ดูแลระบบการจัดวาง ที่ใช้เก็บข้อมูล ประมวลผล ฝ่ายการตลาด ฝ่ายขายที่ต้องทำหน้าที่ติดต่อประสานงาน ส่งข้อมูลต่างๆ ให้ลูกค้า จำเป็นต้องปรับกลยุทธ์ การตลาด การทำงานมากขึ้น

ควรตั้งคณะทำงานที่เกี่ยวข้อง ให้เป็นเรื่องเป็นราว จัดเจ้าหน้าที่ผู้ควบคุมข้อมูล DPOs (Data Protection Officer) เป็นตัวแทนในการรับผิดชอบควบคุมด้าน PDPA เพื่อประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล เมื่อเกิดปัญหา และเลือกใช้บริการ Data Processor ที่มีการจัดเก็บข้อมูลอย่างมีมาตรฐาน ทางด้านซอฟต์แวร์ ความน่าเชื่อถือของบริษัท เพื่อเป็นฐานเก็บข้อมูล ประมวลผล ใช้แพลตฟอร์มที่ผ่านการยอมรับมีมาตรฐาน

นอกจากนี้ยังต้องมีผู้ที่ทำหน้าที่ตรวจสอบเนื้อหา แหล่งที่มา สิทธิของเจ้าของข้อมูล ทำงานให้เป็นระบบยิ่งขึ้น และควรออกแบบระบบ ให้ User ที่เข้ามาในระบบสามารถพิจารณา คลิกเลือกได้ว่าจะยินยอมให้นำข้อมูลไปใช้ได้หรือไม่

เช่น หากสามารถนำข้อมูลไปใช้ต่อได้ ให้กดปุ่ม Next เพื่อถือว่ายินยอมให้ดำเนินการต่อไป

แต่หากไม่ยินยอม “ให้ปัดหน้าจอต่อไป ถือว่าคุณไม่ได้ยินยอมแล้ว”

ระบบเว็บไซต์ควรออกแบบมา เพื่อขอคำยินยอมการใช้ก่อน หรือทำ Form ขึ้นมา เพื่อเป็นการขอข้อมูลส่วนบุคคลหรือผ่านการพิมพ์ chat Field ข้อมูลและปุ่มให้คลิก แทรกในจุดหน้าเว็บไซต์หรือเพจ หากผู้ที่สนใจรับข่าวสารผ่านเว็บไซต์อย่างต่อเนื่อง สามารถกรอกชื่อ อีเมล และกดติดตามได้

ดันนั้น ทีมต้องกลับมาคิดเพื่อปรับตัวมากขึ้น ไม่ว่าจะเป็นการเขียนส่งอีเมลจะเขียนอย่างไรเพื่อให้ได้ข้อมูลเหล่านั้นมาเป็นฐานข้อมูลด้วยความยินยอม เช่น อาจต้องปรับรูปแบบการติดต่อสื่อสารใหม่ จากที่เคยส่งแบบกว้าง ปรับมาเป็นเจาะจงเฉพาะกลุ่มเฉพาะคนยิ่งขึ้น ไม่ว่าจะเป็นเรื่องของสินค้าหรือการบริการ การตอบคำถามหรือปัญหา เช่นแบบฟอร์มขอข้อมูลบริการเพิ่มเติม หรือขอความช่วยเหลือ จะทำให้ได้กลุ่มเป้าหมายที่ชัดเจน ลดความผิดพลาดในการจัดเก็บข้อมูล สามารถส่งข่าวสารให้คนที่สนใจจริงๆ ได้ ต่างจากเดิมที่ส่งไปแบบกว้าง ให้หลายกลุ่มกรอกแบบฟอร์มเดียวกัน เราจึงมักจะพบเห็นข้อมูลข่าวสารในอีเมลเรา เป็นข่าวสารที่เราไม่ได้ต้องการรับรู้มากก่อน

นอกจากนี้ ควรมีช่องทางการขอยกเลิกที่ชัดเจนเพิ่มปุ่ม Unsubscribe หรือ Manage Preference เพื่อยกเลิกการรับข้อมูลในอีเมล หรือกดขอเปลี่ยนแปลงประเภทของอีเมลที่จะรับได้ และทั้งหมดนี้ คือแนวทางในการเตรียมรับมือกับกฎหมาย PDPA ที่องค์กรยังพอมีเวลาให้ศึกษา ดูแล จัดการเรื่องข้อมูลส่วนบุคคล เพื่อสร้างนโยบายองค์กรที่ชัดเจน อีกทั้งยังเป็นการสร้างความมั่นใจให้กับผู้ใช้บริการ จะได้ไม่เกิดปัญหาฟ้องร้องกันภายหลัง เพราะโทษทางอาญา จำคุกไม่เกิน 6 เดือนถึง 1 ปี หรือปรับไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ ในส่วนของทางแพ่ง ต้องจ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง และโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท ลองปรับเปลี่ยนให้ถูกกฎหมายกันดูนะคะ