Examining the benefits and challenges of Thailand’s latest Data Protection Law

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Tech for Good Institute on Wednesday, August 16, 2023. This article is co-authored by Gunn Jiravuttipong and Khemmapat Trasadikoon, researchers from the Thailand Development Research Institute (TDRI).

Thailand recognises the importance of embracing the digital economy and has taken significant steps to facilitate its growth through national plans, strategic investments, and new digital laws. The Data Protection Act is one area that received significant attention and generated discussion.

This article aims to provide an overview of the country’s developments in data protection, including the current regulations and guidelines, the potential benefits of having a strong data protection regime, and the challenges as Thailand continues to strengthen its data protection practices. The insights shared in this reflection will be valuable not only for Thailand’s progress but also for other nations navigating a similar path.

Overview of the law the Personal Data Protection Act, B.E. 2562 (2019)

The Personal Data Protection Act, B.E. 2562 (2019), also known as the PDPA, was announced on 24 May 2019 but came into full effect on 1 June, 2022. The Personal Data Protection Committee (PDPC) is the primary regulator and has been actively working on developing sub-regulations and guidelines to support the implementation of the PDPA. Several of these sub-regulations and guidelines have already been officially published (see Table).

Table: Sub-regulations and guidelines announced by the Personal Data Protection Commission (PDPC) (as of 14 July 2023)

Sub-regulations	Date
1. Notification of the PDPC on the Exemption from Maintenance of Records Obligation of the Data Controller Which Is a Small Organisation B.E. 2565 (2022)	21 June 2022
2. Notification of the PDPC on the Security Measures of the Data Controller B.E. 2565 (2022)	21 June 2022
3. Notification of the PDPC on the Rules on Consideration for Issuance of Orders Imposing Administrative Fines by the Expert Committee B.E. 2565 (2022)	21 June 2022
4. Notification of the PDPC on the Rules and Methods of Personal Data Breach Notification B.E. 2565 (2022)	15 Dec 2022
5. Notification of the PDPC on the Rules and Methods for Preparation and Maintenance of Records of Personal Data Processing Activities for the Data Processor B.E. 2565 (2022)	17 Dec 2022
6. Rules of the PDPC on the Filing, Refusal of Acceptance, Dismissal, Consideration, and Timeframe for the Consideration of the Complaints B.E. 2565 (2022)	12 July 2022
Guidelines	Date
7. Operational Guideline on Obtaining Consent from Data Subjects under the PDPA (2019)	7 Sep 2022
8. Operational Guideline on the Notification of the Purposes and Details of Collection of Personal Data from the Data Subjects under the PDPA	7 Sep 2022

Source: PDPC website

Draft sub-regulations are being developed to provide further clarity on Data Protection Officers (DPOs) in government agencies and international data transfers. Additionally, sector-specific regulations pertaining to data protection exist in areas such as telecommunications, credit bureaus, payments, and insurance. As of now, there have been no publicly announced court cases regarding the Data Protection Act.

Advantages of a robust data protection framework

The Data Protection Act has been acknowledged by stakeholders as a catalyst for boosting Thailand’s digital economy. Effective implementation of the act is crucial to protecting privacy rights in today’s data-driven economy. It also builds investor confidence, positioning Thailand as an appealing destination for data hubs and enhancing its competitiveness in the global market. Therefore, establishing a robust data protection framework is a vital preparatory step to capitalise on these opportunities.

An example of this potential is Amazon Web Services (AWS) recently announcing plans to invest in data centers and cloud services in Thailand and other ASEAN countries. Furthermore, compliance with international data protection standards facilitates seamless data flows, fostering collaborations and strengthening Thailand’s participation in trade negotiations such as Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP), Regional Comprehensive Economic Partnership (RCEP), and the latest Indo-Pacific Economic Framework for Prosperity (IPEF).

Navigating data protection challenges in a dynamic landscape

In early 2023, a significant personal data leak prompted the PDPC to call upon public organisations to assess their readiness in terms of risk and security systems. These incidents, coupled with a series of data breaches, may have adversely affected stakeholders’ confidence in Thailand’s data protection measures.

These security breaches are not unique to Thailand. According to a 2021 Check Point report, the Asia Pacific region experienced a 168% increase in cyberattacks year-on-year, with 59% of businesses reported being victims of cyberattacks. Furthermore, this issue is further compounded by the global cybersecurity workforce gap, which is estimated to be 2.72 million in 2021.

Thus, there is an urgent need for Thailand to establish a robust data protection framework while ensuring data risks are mitigated. Achieving this goal requires an effective data protection framework built on collaboration and continuous learning among all stakeholders to strike the right balance and understand the diverse perspectives of different stakeholders. Regulators, in particular, play a pivotal role in creating a clear policy and regulatory framework, overseeing and collaborating with the public and companies.

We reflect on Thailand’s experiences and highlight three primary challenges in the foreseeable future.

1. Creating industry-aligned regulations and guidelines that are fit-for-purpose

Industry standards and the co-creation of guidelines play a vital role in PDPA compliance. Even before the law entered into force, legal academics from Chulalongkorn University created a data protection guideline and continued to develop into specific areas. Additionally, sector associations, such as those in the financial, banking, and insurance, have made efforts to develop sector-specific guidelines.To further promote compliance and best practices, the PDPC has engaged the Thailand Development Research Institute (TDRI) to conduct public hearings and consult with seven sectors.

This collaboration aims to create case studies and identify best practices in data protection. The demonstrated interest from stakeholders indicates their readiness and the opportunity for the PDPC to establish legally binding codes of conduct, similar to leading jurisdictions. Such engagements can enhance clarity in regulatory compliance.In the era of rapidly emerging technologies and evolving business models, collaboration with all stakeholders becomes crucial. Regulators must navigate the technical aspects and strike a balance between business practices, individual rights, and other public benefits.

Future collaboration may encompass topics like algorithm transparency and the automation of systems that collect consumer behavior data.

2. Establishing a robust regulatory authority

To enhance enforcement and foster confidence in safeguarding personal data, it is crucial to prioritise adequate funding and the recruitment of qualified personnel. Thailand faced challenges during the initial enforcement of the Personal Data Protection Act (PDPA) in 2019, resulting in two one-year postponements.

The law eventually came into full effect on 1 June 2022, amidst the complexities and demands imposed by the COVID-19 pandemic on both public and private organisations, as well as the regulatory body. These postponements had implications for the appointment of the commissioner and the approval of sub-regulations. Adequate funding and recruitment of qualified personnel are crucial for strengthening enforcement efforts and building trust in personal data protection. While staff and budget constraints are common challenges in data protection agencies in other countries, the PDPC currently operates with a workforce below its target of 210 personnel.

However, there are plans to recruit approximately 49 more staff this year. Ongoing efforts are being made to secure a budget allocation of 99 billion baht to support the operations of the PDPC. These resources are vital for the PDPC to effectively fulfil its responsibilities and enforce the provisions of the PDPA.

3. Establishing a clear framework for regulatory exemption and divergence

Thailand’s PDPA was drafted closely aligned with the EU’s General Data Protection Regulation (GDPR), sharing many core principles with minor differences. Recognising the diverse landscape of businesses in Thailand, certain exemptions have been put in place to support small and medium-sized enterprises (SMEs) in mitigating the compliance burden.

However, Thailand faces a challenge of fragmentation in interpreting the data protection law, particularly in the context of existing sector-specific regulations such as in the financial on sensitive data collected before PDPA was enforced. There is a need for clarity on which law takes precedence and applies in specific scenarios.

Furthermore, the current draft sub-regulations being considered include provisions for exemptions to the Personal Data Protection Act (PDPA) specifically for select public agencies. Additionally, the precise frameworks for these exemptions and how they will be implemented remain ambiguous. This lack of clarity may result in a divergence in Thailand’s standard of personal data protection. Consequently, this divergence could potentially jeopardise the country’s inclusion in the European Union’s whitelist and impede data transfer across borders with countries that maintain equivalent data protection standards. To prevent such implications, it is crucial for the government to approach the issue of exemptions with utmost caution.

Any exemptions granted must undergo thorough evaluation and alignment with the overarching objective of establishing a robust data protection framework in Thailand.

Conclusion

Overall, enforcing the PDPA in Thailand requires addressing challenges related to state capacity, exemption and divergence, and industry standards. By prioritising adequate resources, aligning with international standards, and actively collaborating with the private sector, Thailand can strengthen its data protection framework and enhance compliance, fostering trust and facilitating the secure and responsible use of personal data.

Digital treasure trove threatens privacy

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 16, 2023

With the unstoppable digital boom, Thailand faces a critical question: Is the country adequately prepared to shield its citizens’ personal information from potential misuse?

Due to their rapid growth, digital platform businesses have propelled their value to over 900 billion baht in 2021. Their prowess lies in their capacity to compile and process vast data, enabling them to decode consumer behaviour and create sought-after services. Yet, this advantage raises privacy concerns.

Amid escalating data breaches and privacy infringements, swift government action is essential to fortify data protection against influential digital entities before matters spiral.

Although the 2019 Personal Data Protection Act (PDPA) is in effect, challenges persist. It remains unclear how well this law shields individual privacy given the difficulty in finding the right balance between commerce and personal privacy.

The first challenge is unclear communication with consumers on how their personal data is collected and used.

A Thailand Development Research Institute (TDRI) study reveals businesses using perplexing language and legal jargon, hindering consumers’ comprehension of how their personal data are handled. Moreover, the use of technology to block access to information unless the consumer agrees to be tracked by a “cookie wall” creates consumer annoyance. As a result, many impulsively give consent without fully grasping the data implications.

Given platforms’ typically free services, users rarely pay close attention to the terms of use, unknowingly playing with their personal data and online browsing habits which have an impact on their privacy. Therefore, the government must mandate that digital platform businesses transparently inform users about personal data usage.

Currently, “super apps” grant users an array of services under one roof. Yet these apps are not clear about how they share users’ personal data with other platforms within the same app. This causes consumer frustration and concerns about privacy infringement.

The second concern is that not all digital platforms have adequate standards to protect personal data as required by the Personal Data Protection Committee in 2022, thus putting personal data at risk.

Lacking specific guidelines to protect consumer rights, many platforms fail to fully understand the required procedures. This results in varying security standards. Some do not offer channels for consumers to exercise their rights. Some offer overzealous measures while others forego all security measures, preferring to deal with risks as they arise.

The third challenge involves the transfer of personal information. Since platforms may send data to companies and countries without data protection standards equivalent to Thailand, it raises legality questions. To resolve this issue, platforms have to bear the costs of ensuring proper handling and obtaining consumer consent.

The Personal Data Protection Act’s exemption of state agencies is the fourth problem. To safeguard “national security” and “public interests,” the Cabinet approved a draft royal decree in July 2022 that would exempt state agencies from adhering to the PDPA.

Although the Cabinet has amended the draft decree to narrow the scope of the exemption and provide data protection measures, citizen privacy is still at risk. The government needs to be more aware of the significance of protecting personal data in the digital era. It should not permit exemptions based on broad, ambiguous justifications like “national security” and “public interests” that compromise citizens’ rights to privacy protection.

It cannot be denied that state agencies are also collecting huge amounts of citizens’ personal data on their platforms. Excluding them from the PDPA then endangers citizens’ privacy. It is, therefore, essential to include measures to minimise the repercussions and provide compensation for privacy violations by state agencies. In short, the law should not allow state agencies to violate citizens’ privacy without being held accountable and responsible.

Moreover, international regulations demand equivalent privacy standards for cross-border data transfers. Making exceptions for state agencies regarding personal data protection suggests that Thailand’s standards do not meet global benchmarks. As a result, Thailand’s digital economy may face negative consequences.

On the other hand, the European Union (EU) and the United Kingdom (UK) are taking significant steps to strike a balance between personal data protection and using data for business purposes. The EU, for example, has provided clear guidelines for communication between service providers and platforms, with specific dos and don’ts. These well-defined guidelines lead to better understanding among service and platform providers, going beyond mere enforcement of rules.

In addition, the UK’s Information Commissioner’s Office (ICO), which is in charge of protecting personal data, is urging the private sector to participate in the development of a “business code of conduct” for use in the industry.

Since the government may not fully understand the practices of the business sector, allowing the private sector to contribute to the development of standards and having the government certify their quality is an efficient way to deal with rapid changes in the digital world that the government cannot keep up with.

Realising that state support is essential for the development of the digital economy, ICO also provides consultation and collaboration with businesses in a sandbox environment to foster innovation with ICO’s legal guidance.

Furthermore, the European Union has released a whitelist of nations with sufficient data protection standards for the transfer of personal data which boosts confidence in businesses when they transfer personal data for processing in these countries.

Such collaboration between the government and private sector to protect consumers’ personal data and promote innovation offers valuable strategies for Thailand to address the challenges at home.

To strike a balance between citizens’ privacy and business interests, the government and the Personal Data Protection Committee (PDPC) must expedite the following three measures and immediately stop one damaging move.

First and foremost, release personal data protection guidelines for businesses as soon as possible. The guidelines should include concrete examples of clear and transparent communication with consumers and the need to inform them regularly what practices they should or should not engage in. The use of personal data by the “super apps” should also be closely monitored to prevent privacy violations.

Secondly, expedite collaborations with businesses to formulate a privacy protection code of conduct as well as establish consultations and dialogues on legal aspects of personal data protection between the government and the industry.

Thirdly, speed up the issuance of government directives for cross-border personal data transfers. Also, publish a list of countries with personal data protection standards on par with Thailand’s.

It is the responsibility of the Personal Data Protection Committee (PDPC) to implement these crucial measures, which it must prioritise as its immediate goals.

Finally, the government must stop the efforts to exempt state entities from personal data regulations. If not, Thailand’s standard for personal data protection will fall below international guidelines. As a result, Thailand will miss out on the chance to fully participate in the global platform economy.

Amid the digital revolution, Thailand faces a pivotal choice: act fast to embrace strong personal data protection or succumb to the officialdom’s resistance to change and lag behind. The path chosen today will shape Thailand’s digital future and determine where it will stand in the global digital arena.

Personal Data at Risk in Govt Hands

สิงหาคม 31, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 31, 2022

Only one month after enforcing the law to protect the Thai people’s personal data security and privacy, the government had a change of heart.

Instead of imposing the PDPA law on all organisations that handle data, the government has helped some government agencies to bypass the Personal Data Protection Act (PDPA) in the name of “national security” and “public service”. As a result, government, national security agencies, the courts, public attorneys, police and tax authorities will be permitted to collect, access, and transfer our data with impunity.

In addition, the government can access citizens’ personal data to fulfil those obligations.

A scary scenario indeed.

The Personal Data Protection Act (PDPA) took effect on June 1 this year after a two-year delay. The long-overdue law sets rules and standards for the private and public sectors to follow on collecting and using personal data to protect privacy and security.

While the business community is busy setting up new security mechanisms to comply with the PDPA’s complex rules and avoid legal punishment, the government has hatched a plan to bypass the PDPA altogether.

On July 5, 2022, the cabinet approved the draft of the royal decree by the Ministry of Digital Economy and Society to exempt government agencies from the PDPA law if the data is to be used for public service, national security protection or the inspection of crimes such as narcotics offences, human trafficking and money laundering.

Following cabinet approval, the royal decree can bypass parliament as an urgent piece of law. The legislation will be effective after it is signed by His Majesty the King.

This royal decree will affect citizens’ rights and freedoms for many reasons.

Firstly, the areas of exemption are too broad. Under the drafted royal decree, the PDPA’s stipulations on data protection rights, petition procedures, financial compensation and the punishment for violators will not apply to those state authorities which are exempted by the royal decree.

In short, the officials will freely enjoy legal immunity from prosecution under data protection laws.

Secondly, the exemptions granted to protect “national security” and allow operations of “public service” are too wide-ranging and unclear. This ambiguity allows officials to interpret “national security” and “public service” as they see fit, making it easy for them to abuse power. Allowing all levels of the judiciary — from police and attorneys to the courts — and tax collectors to freely access and transfer the citizens’ personal data creates similar worries.

Public concern over data safety is valid when trust is already so low and power abuse is so widespread.

The public sector has repeatedly failed to protect the personal data of those it should be serving. Government agencies experienced at least five data breaches last year alone. The hacked data involved users’ health records and other sensitive information.

Apart from data breaches from external violators, the government also faces allegations of breaching public privacy and freedom by using spyware to track and record activists’ and journalists’ mobile phone use. Only governments can buy this spyware to hack people’s cell phones.

The government’s alleged violations have raised questions about state responsibility and accountability. Exempting the state from the PDPA further intensifies public concern about abuse of power and political persecution. It also perpetuates a culture of impunity, which aggravates state violence against the citizens.

The exemption may also affect the economy. The PDPA is an important part of a host of digital economic laws to set standards and regulations on the cross-border transfer of personal data, which is essential for digital economic transactions.

Public trust in a secure cross-border transfer of personal data is crucial for the growth of the digital economy. As a result, most international trade agreements, such as the Regional Comprehensive Economic Partnership or Comprehensive and Progressive Agreement for Trans-Pacific Partnership, require members to honour personal data protection. Even China, an economic powerhouse, agreed to pass the law on personal data protection last year.

The core principle of data protection and privacy in international trade is that the data senders’ and receivers’ countries must share similar data protection standards. To safeguard citizens’ rights and freedoms, the General Data Protection Regulation of the European Union, the gold standard on data protection and privacy, prohibits intervention by the government or security agencies.

The government’s attempt to free itself from the PDPA’s legal obligations violates EU standards on data protection. It will backfire economically.

Data transfer to Thailand will become problematic from failure to meet international standards. The local businesses will be hit hard. The private sector will therefore miss the opportunities to grow in the era of the digital economy.

The government must realise the risks of allowing officials to tamper with people’s privacy and threaten people’s safety. The economic loss will be huge. So will the impact on the citizens’ rights and freedoms.

This royal decree effort violates citizens’ rights enshrined in the constitution. It protects the officialdom, not the people. It perpetuates state oppression and a culture of impunity. It risks seeing Thailand slide into becoming a pariah state. It must be stopped before it is too late.

เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

กุมภาพันธ์ 28, 2022มีนาคม 15, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 28 กุมภาพันธ์ 2565 บนเว็บไซต์ pridi.or.th

มื่อไม่นานมานี้มีข่าวว่ารัฐบาลได้ทำการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมา ข่าวนี้เป็นสัญญาณสำคัญถึงการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศ โดยคณะกรรมการชุดนี้จะมีบทบาทสำคัญในการกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ท่ามกลางยุคสมัยที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

ข้อมูลส่วนบุคคลคืออะไร

ก่อนจะไปทำความเข้าใจว่าเพราะอะไรข้อมูลส่วนบุคคลจึงมีค่าดั่งทองคำ ในบทความนี้จะขอเริ่มต้นจากการอธิบายก่อนว่า ข้อมูลส่วนบุคคลคืออะไร?

หากพิจารณานิยามของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเห็นได้ว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ)^[1]

กล่าวโดยสรุปง่ายๆ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถระบุตัวตนของบุคคลนั้นได้ ตัวอย่างของสิ่งที่เราแน่ใจอย่างแน่นอนว่าเป็นข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล เบอร์โทรศัพท์ เลขบัตรประจำตัวประชาชน ส่วนสูง และน้ำหนัก เป็นต้น

อย่างไรก็ตาม ความหมายของข้อมูลส่วนบุคคลนั้นกว้างกว่าที่เราคิด ข้อมูลส่วนบุคคลนั้นยังรวมไปถึงข้อมูลอื่นๆ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เป็นต้น

ดังจะเห็นได้ว่าความหมายของข้อมูลส่วนบุคคลนั้นมีความหมายกว้างมากโดยเฉพาะในยุคสมัยที่เราทุกคนนั้นมีการเชื่อมต่อกันในยุคแห่ง internet of things (IoTs) หรือที่เรียกว่า “อินเทอร์เน็ตสำหรับทุกสรรพสิ่ง” ที่ผู้ใช้งานอินเทอร์เน็ตไม่ได้เพียงเชื่อมต่ออินเทอร์เน็ตจากคอมพิวเตอร์เท่านั้น แต่การเชื่อมต่อนั้นเกิดขึ้นกับอุปกรณ์ต่างๆ รอบตัว เช่น นาฬิกาข้อมือที่มีการเก็บข้อมูลอัตราการเต้นของหัวใจ และความดันของผู้สวมใส่ หรือโทรศัพท์มือถือที่มีการเก็บข้อมูลพิกัดการใช้งานแอปพลิเคชัน เป็นต้น

ทำไมข้อมูลส่วนบุคคลจึงกลายเป็นสิ่งมีค่า

ด้วยเหตุที่ชีวิตปัจจุบันของเราเข้าไปสัมพันธ์กับการเชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลา ทำให้มีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพิ่มขึ้นแตกต่างจากยุคก่อนๆ ที่การเก็บรวบรวมข้อมูลส่วนบุคคลจะมีเฉพาะในเวลาที่มีการทำธุรกรรมบางอย่างเท่านั้น

ในปัจจุบันการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นมีความจำเป็นมากในทางธุรกิจ เพราะการมีข้อมูลเป็นจำนวนมากนั้นทำให้เกิดความแม่นยำในการสร้างสรรค์ผลิตภัณฑ์ การโฆษณาเพื่อตอบสนองความต้องการของผู้บริโภค และปรับเปลี่ยนกลยุทธ์ทางธุรกิจให้เหมาะสมกับสถานการณ์ในปัจจุบัน ความต้องการข้อมูลเป็นจำนวนมากนี้ถึงขั้นทำให้มีผู้กล่าวว่า “ข้อมูล (ส่วนบุคคล) นั้นเปรียบเสมือนน้ำมันใหม่ของเศรษฐกิจดิจิทัล” เพราะหากยิ่งผู้ประกอบการมีข้อมูลมากเท่าไรและรู้จักผู้บริโภคมากเท่าไร ผู้ประกอบการก็ยิ่งจะสามารถตอบสนองความต้องการของผู้บริโภคได้ตรงจุดมากเท่านั้น

ตัวอย่างเช่น สถาบันการเงินประเภทธนาคารแห่งหนึ่งต้องการเสนอสินเชื่อให้กับลูกค้า กรณีเช่นนี้ธนาคารก็ต้องใช้ข้อมูลทางด้านรายได้ ภาระหนี้สิน พฤติกรรมการใช้จ่ายของลูกค้า และการชำระหนี้ของลูกค้ามาประกอบเพื่อตัดสินใจจะให้สินเชื่อแก่ลูกค้าหรือไม่ หรือแม้แต่กระทั่งหน่วยงานของรัฐก็จำเป็นต้องใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อทำความเข้าใจกลุ่มเป้าหมายที่ใช้งานบริการ และพยายามปรับเปลี่ยนนโยบายการทำงานให้มีประสิทธิภาพ (กรณีนี้เริ่มเกิดขึ้นบ้างแล้วในหน่วยงานของรัฐในประเทศไทย เช่น กรมสรรพากร ที่ช่วยอำนวยความสะดวกในการเก็บข้อมูลเพื่อการลดหย่อนภาษี เป็นต้น^[2]) หรือ การนำข้อมูลมาใช้ทำฐานข้อมูลเพื่อจัดทำระบบป้องกันอาชญากรรม

นอกจากนี้ ในทางการเมืองการใช้ข้อมูลส่วนบุคคลก็มีปัจจัยสำคัญในการสร้างความได้เปรียบทางการเมือง ดังเช่นในกรณีของ Cambridge Analytica ซึ่งหนังสือพิมพ์ New York Time และ The Guardian ในช่วงเดือนมีนาคม 2561 ได้ออกมาเปิดเผยรายงานข่าวการสอบสวนเชิงลึกว่า บัญชีผู้ใช้งาน Facebook ถูกนำข้อมูลส่วนบุคคลบางส่วนไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง โดยเจ้าของบัญชีผู้ใช้งานเหล่านั้นไม่รู้ถึงการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้มาก่อน^[3]

ด้วยเหตุดังกล่าวนี้ ทั้งในภาคเอกชนและภาครัฐจึงมีความพยายามที่จะเก็บรวบรวมข้อมูลส่วนบุคคลให้ได้มากเพื่อที่จะนำข้อมูลส่วนบุคคลนั้นมาใช้ในการประกอบการตัดสินใจ และเพื่อสร้างความได้เปรียบในทางเศรษฐกิจหรือการเมือง

อย่างไรก็ดี การนำข้อมูลส่วนบุคคลมาใช้ในการวิเคราะห์หรือสร้างฐานข้อมูลบางอย่างนั้นก็เป็นเสมือนดาบสองคม ในแง่หนึ่ง การใช้ข้อมูลเพื่อวิเคราะห์ความต้องการของผู้ใช้บริการเพื่อปรับปรุงบริการ นำเสนอผลิตภัณฑ์ที่ตรงต่อความต้องการของผู้ใช้บริการนั้นก็เป็นสิ่งที่ดี หรือช่วยทำให้การตัดสินใจบางประการขององค์กรมีประสิทธิภาพ แต่ในอีกแง่หนึ่ง การใช้ข้อมูลส่วนบุคคลในลักษณะเกินความเหมาะสมหรือความพอดี โดยการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลโดยไม่คำนึงถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งในแง่ของสิทธิความเป็นส่วนตัวหรือสิทธิในข้อมูลส่วนบุคคลก็อาจจะกลายเป็นการคุกคามความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการกำกับดูแลการใช้ข้อมูลส่วนบุคคล

ผลจากความต้องการรักษาสมดุลของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในด้านความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลนั้นทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา

กฎหมายคุ้มครองข้อมูลส่วนบุคคลในปัจจุบันที่มีอิทธิพลมากที่สุดในขณะนี้คงหนีไม่พ้น GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ถูกเรียกว่ามีความทันสมัยที่สุดในขณะนี้ โดยมีวัตถุประสงค์เพื่อประมวลกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และกำหนดแนวทางในการรักษาความเป็นธรรมระหว่างการใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปไม่ว่าบุคคลนั้นจะอยู่ที่ใดในโลก (เพราะฉะนั้น GDPR สามารถบังคับได้กับทุกการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลไม่ว่าจะอยู่ในสหภาพยุโรปหรือไม่)

จุดสำคัญของ GDPR ที่คนส่วนใหญ่มักจะพูดถึงคือ การกำหนดโทษปรับไว้เป็นจำนวนที่ค่อนข้างสูง โดยมีเจตนาเพื่อที่จะห้ามปรามการละเมิดข้อมูลส่วนบุคคลโดยเจตนาและการจงใจไม่ดำเนินการเพื่อบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้กับข้อมูลส่วนบุคคล โดยบทลงโทษที่รุนแรงของ GDPR คือ การปรับเป็นเงินจำนวนสูงสุด 20 ล้านยูโร หรือคิดจากผลประโยชน์การดำเนินการมากถึงร้อยละ 4 ของมูลค่าการซื้อขายทั่วโลกในปีบัญชีก่อนหน้า^[4]

ผลของการตรา GDPR ของสหภาพยุโรปนั้นมีนัยสำคัญต่อสังคมเศรษฐกิจดิจิทัลของโลกมาก เนื่องจากปริมาณการบริโภคและส่วนแบ่งตลาดของสหภาพยุโรปนั้นค่อนข้างสูง อันเป็นผลมาจากการรวมตัวของประเทศต่างๆ ในทวีปยุโรป ทำให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกเกิดการปรับเปลี่ยนเนื้อหาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ GDPR ของสหภาพยุโรป ไม่เว้นแม้แต่ประเทศไทยซึ่งในช่วงปี พ.ศ. 2562 ประเทศได้ตรา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อให้เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

หลักการส่วนใหญ่ของ พ.ร.บ. นี้นั้นสอดคล้องกันกับ GDPR ในหลายๆ ส่วน มีหลักการสำคัญคือ การมุ่งสร้างความเป็นธรรมในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (ผู้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง) และเจ้าของข้อมูลส่วนบุคคล โดยมีหลักการสำคัญ ดังนี้

หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส กำหนดให้การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น

หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม

หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน

หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์

หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย

หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน

นอกเหนือจากหลักการต่างๆ แล้วสิ่งที่เหมือนกันกับ GDPR ก็คือ การกำหนดโทษสำหรับผู้ที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้ทั้งภาคเอกชนและหน่วยงานของรัฐต้องตระหนักในการคุ้มครองข้อมูลส่วนบุคคลให้มากขึ้น

ธุรกิจกับการคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ดี ในเชิงธุรกิจนั้นการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีความสำคัญเพียงเฉพาะเรื่องของการถูกลงโทษตามกฎหมาย ทว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องของความน่าเชื่อถือในทางธุรกิจ เพราะเป็นที่แน่นอนว่าไม่อยากมีผู้ใช้บริการใด อยากใช้บริการของผู้ประกอบกิจการที่มีการปล่อยให้มีข้อมูลส่วนบุคคลรั่วไหล หรือไม่ได้ดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในความปลอดภัย ซึ่งหากบริษัทและองค์กรธุรกิจไม่มีความตระหนักในเรื่องดังกล่าวแล้ว เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล ผลกระทบที่ร้ายแรงกว่าการโดนปรับตามกฎหมายก็คือ การขาดความน่าเชื่อถือในทางธุรกิจ

ปัญหานี้จึงไม่ใช่เพียงแค่การลงโทษตามกฎหมายเท่านั้น แต่มันเป็นเรื่องของความน่าเชื่อถือทางธุรกิจ ซึ่งบริษัทและองค์กรธุรกิจควรตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่าแต่ก่อน และเริ่มต้นเตรียมตัวให้พร้อมกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีผลบังคับใช้ในอนาคต

การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องที่ในสังคมประชาธิปไตยควรให้ความสำคัญ มิใช่เฉพาะกับในทางหน่วยงานของรัฐ แต่รวมถึงบริษัทและองค์กรธุรกิจ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะ เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ การตระหนักถึงการใช้ข้อมูลส่วนบุคคลจึงมีความสำคัญทั้งในทางกฎหมายและเศรษฐกิจ

เชิงอรรถ

^[1] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.

^[2] กรมสรรพากร, ‘สรรพากรชู 9 ระบบ Easy Tax ช่วยผู้ประกอบการลดต้นทุน กระตุ้นการหมุนเวียนเศรษฐกิจ สร้างวิถีภาษีใหม่ให้ยิ่งง่ายและเป็นธรรม’ (กรมสนรรพากร, 24 สิงหาคม 2563) <https://www.rd.go.th/fileadmin/user_upload/news/news52_2563.pdf> สืบค้นเมื่อ 20 มกราคม 2565.

^[3] Nicholas Confessore, ‘Cambridge Analytica and Facebook: The Scandal and the Fallout So Far’ (NY Time, 4 April 2018) <https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html>; and Carole Cadwalladr and Emma Graham-Harrison accessed 20 January 2022, ‘Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach’ (The Guardian, 17 Mar 2018) <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election> accessed 20 January 2022.

^[4] GDPR, Article 83 (5).

Khemmapat Trisadikoon

ป้ายกำกับ: General Data Protection Regulation