Core Value หรือ ค่านิยมองค์กรที่เป็นเสมือนกรอบความคิดหลักเพื่อสร้าง Mindset ของคนในองค์กรให้มองไปที่ภาพเดียวกัน ทั้งในบางขณะยังเปรียบเป็นอัตลักษณ์เฉพาะ ที่ส่งผลต่อพฤติกรรมบางอย่างของผู้ปฏิบัติงานในองค์กรนั้นๆ หรือจะกล่าวแบบนิยายลึกลับก็คล้ายกับ ‘สะกดจิตหมู่’ เพื่อต้องการที่จะสร้างวัฒนธรรมการ ‘ตระหนักร่วม’ ส่วนสำคัญที่แต่ละองค์กรใช้เป็นเชื้อเพลิงในการสร้าง Passion ในการทำงานให้กับทุกคนในองค์กรได้ เช่น ความสามัคคี ความทันสมัย ความเป็นกันเอง ความมีน้ำใจ ความมุ่งมั่น ความมีอิสระทางความคิดและการแสดงจุดยืน สิ่งเหล่านี้เป็นเรื่องพื้นฐานที่แต่ละองค์กรต้องมี หากยังต้องทำงานกับมนุษย์ซึ่งไม่ใช่เครื่องจักร
PDPA เรื่องด่วนที่ธุรกิจต้องเทรนนิ่งพนักงาน
ภายใต้การประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ค่านิยม หรือการสร้างวัฒนธรรมขององค์กรธุรกิจ หรือบริษัทต่างๆ จะต้องเพิ่ม ‘ค่านิยมการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร’ เข้าไปด้วย และหากมองในแง่ของกฎหมายและวัตถุประสงค์ในการบังคับใช้ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยและเป็นมาตรฐานสากลมากยิ่งขึ้น
ทั้งนี้ ข้อกำหนดของกฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูล (Data Controller) รวมถึง ประมวลผลข้อมูล (Data Processor) โดยในที่นี้หมายถึงองค์กร หน่วยงาน สถานประกอบการ หรือบริษัทที่ทำการรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล จำเป็นต้องกำหนดมาตรการที่เหมาะสม ทั้งในด้านเทคนิคและอุปกรณ์ ตลอดจนการส่งเสริมความรู้ให้กับพนักงานให้มีความรู้ ความเข้าใจ รวมถึงการวางกรอบแนวทางปฏิบัติที่เหมาะสมเพียงพอ เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ทั้งจากภายนอก และสาเหตุที่เกิดจากบุคลากรภายในที่ทำงาน
ดังนั้น จะเห็นว่า ภายใต้การเดินหน้าบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หลายองค์กรธุรกิจต่างมีมาตรการด้านต่างๆ ในการเตรียมความพร้อมเพื่อให้สอดคล้องต่อกฎหมายใหม่ที่กำลังประกาศใช้
ทว่า กิจกรรมด้านการให้ความรู้พนักงาน การฝึกอบรม และแนวทางปฏิบัติ อาทิ หากเกิดกรณีการละเมิดข้อมูลส่วนบุคคลพนักงานในบริษัทควรทำอย่างไร แจ้งใคร จะป้องกันอย่างไร ซึ่งต้องสร้างค่านิยมองค์กรใหม่ ให้พนักงานทุกคนตระหนักว่า ‘ข้อมูลส่วนบุคคล กฎหมายคุ้มครอง และเป็นสิ่งที่ไม่ควรละเมิด’ แต่หากต้องการนำไปใช้ประโยชน์ ก็ควรจะมีการขออนุญาตจากเจ้าของไม่นำไปใช้นอกเหนือจากวัตถุประสงค์ที่เจ้าของข้อมูลไม่ได้ยินยอม ซึ่งสิ่งเหล่านี้ยังพบเห็นได้ไม่มากนักในสังคมและสถานประกอบการไทย
ข้อมูลส่วนบุคคล ธุรกิจพึงใช้อย่างระมัดระวัง
ปัญหาแรกของเจ้าของธุรกิจ พนักงานทราบหรือยังว่า ‘ข้อมูลส่วนบุคคล’ เป็นสินทรัพย์ที่กฎหมายคุ้มของความเป็นเจ้าของ และแน่นอนว่า แต่ละบริษัท ย่อมต้องมีข้อมูลพนักงาน ข้อมูลคู่ค้า ข้อมูลลูกค้า ตลอดจนข้อมูลต่างๆ ที่สามารถระบุตัวตนบุคคลได้ทั้งทางตรง เช่น ชื่อ รูปถ่าย เลขบัตรประจำตัว เลขบัญชีธนาคาร เลขภาษี ทะเบียนรถ เบอร์มือถือ อีเมล ไอดีไลน์ ไอดีเฟซบุ๊ก ลายนิ้วมือ ม่านตา ประวัติสุขภาพ ประวัติอาชญากรรม ข้อมูลพันธุกรรม
และที่ระบุได้ทางอ้อม เช่น ที่อยู่ที่บ้าน ที่ทำงาน IP address, MAC address, Cookie ID วันเกิด เป็นต้น ที่เมื่อประกอบกับข้อมูลอื่นหรือสืบค้นย้อนกลับจะทำให้ระบุตัวตนของเจ้าของได้ โดยที่ผ่านมาจะเห็นว่าแต่ละบริษัทมีการเก็บข้อมูลต่างๆ เหล่านี้ไว้อย่างมากมายเพื่อใช้ประโยชน์ด้านการติดต่อสื่อสาร และกิจกรรมทางธุรกิจ
แต่ตามที่ระบุในข้างต้นว่า ภายใต้กฎหมาย PDPA ไม่เพียงมีเป้าหมายเพื่อคุ้มครองสิทธิ แต่ยังมีการกำหนดโทษทั้งทางแพ่ง อาญา และมีโทษทางปกครอง ซึ่งผู้ละเมิดอาจจะมีสิทธิ์ติดคุก 1 ปีและค่าปรับสูงสุด 5 ล้านบาท ยังไม่รวมค่าสินไหมทดแทนกรณีมีการฟ้องร้องเรียกว่าเสียหาย ยกตัวอย่างที่เห็นได้ชัด อาทิ กรณี Big tech ของโลกทั้ง Google และ Facebook ก็เคยโดนโทษปรับเป็นเงินจำนวนมากจากการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ GDPR(General Data Protection Regulation) มาแล้ว ซึ่ง กฎหมาย PDPA ก็มีบรรทัดฐานเดียวกัน
แนะกำหนดตัวบุคคลเพื่อเป็น ‘เสาหลักด้าน PDPA’ ในบริษัท
ว่ากันตามกฎหมาย PDPA อาจมีหลายธุรกิจที่ต้องมีการแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) คือต้องเป็นธุรกิจที่เป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ที่มีข้อมูลส่วนบุคคลไม่น้อยกว่า 5 หมื่นราย/ปี หรือมีข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive data) ไม่น้อยกว่า 5 พันราย/ปี หรือธุรกิจที่มีการรวบรวม ใช้ เผยแพร่ ข้อมูลส่วนบุคคลอย่างเป็นประจำและต้องเนื่อง ซึ่งหากธุรกิจของคุณเข้าเกณฑ์ดังกล่าว ก็ต้องมีการจัดตั้งตำแหน่ง DPO ที่จะได้รับความคุ้มครองตามกฎหมาย
แต่หากเป็นธุรกิจรายขนาดเล็กและขนาดกลาง ที่ยังไม่ถึงขั้นต้องเพิ่มตำแหน่ง DPO แต่มีแนวโน้ม หรือมองว่ามีความสุ่มเสี่ยงและอ่อนไหวต่อการละเมิดข้อมูลส่วนบุคคล ก็อาจจะมีการเพิ่มบุคลากรในบางตำแหน่งได้เช่นกัน อาทิ ‘เจ้าหน้าที่ช่วยประสานด้านข้อมูลส่วนบุคคล’ ที่มีหน้าที่ในการวางแนวปฏิบัติในการจัดการข้อมูลส่วนบุคคลในบริษัทให้สอดคล้องกับหลักกฎหมาย และค่านิยมการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร รวมทั้งการกำหนดแผนงานป้องกันความเสี่ยง และการดำเนินการในกรณีเกิดการละเมิดซึ่งตามกฎหมายจะต้องแจ้งการละเมิดภายในไม่เกิน 72 ชั่วโมง
ดังนั้น การมีพนักงานที่มีหน้าที่ในการดูแลและจัดการความเสี่ยงด้าน PDPA จึงมีความสำคัญมากต่อการทำธุรกิจในยุคใหม่ ซึ่งอย่างที่บอกว่าในหลายประเทศทั่วโลกมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนแล้ว อาทิ สหภาพยุโรป สหราชอาณาจักร และสหรัฐอเมริกาและได้เกิดกรณีฟ้องร้องเรื่องการละเมิดข้อมูลส่วนบุคคลในองค์กรธุรกิจหลายๆ ราย และในไม่ช้าภาพเหล่านั้นจะเกิดขึ้นในประเทศไทยด้วย และด้วยเหตุนี้ ย่อหน้าสุดท้ายจึงต้องถามย้ำอีกว่า
